Allmänt

Regeringen föreslår en ny lag om behandling av personuppgifter i polisens verksamhet (lagförslag 1, nedan också polisens personuppgiftslag). Bakgrunden till propositionen är ett uttalande som godkändes i samband med behandlingen av RP 66/2012, där riksdagen förutsatte att regeringen snarast möjligt påbörjar en totalrevidering av lagen om behandling av personuppgifter i polisens verksamhet och att man i samband därmed också beaktar det slutliga innehållet i den nya dataskyddslagstiftning som är under beredning i EU och vilka krav den ställer på den nationella lagstiftningen. Avseende ska dessutom fästas vid de anmärkningar beträffande lagens struktur och innehåll som framgår av förvaltningsutskottets betänkande (FvUB 26/2013 rd) och vid behovet att utveckla tillsynen över polisens register. 

Syftet med propositionen är att lagstiftningen om behandling av personuppgifter som behövs för skötseln av polisens uppgifter ska motsvara kraven enligt Europeiska unionens dataskyddslagstiftning och att beakta också de förändringar som skett i polisens omvärld och de behov av att behandla uppgifter som förändringarna medfört. Behoven gäller i synnerhet behandling av personuppgifter för att förebygga brott. Man vill också göra lagens komplicerade struktur tydligare och enklare. Dessutom föreslås ändringar i vissa andra lagar där det finns bestämmelser om behandling av personuppgifter. 

EU:s nya dataskyddslagstiftning har spjälkat upp den rättsliga grunden så att samma reglering inte längre kan tillämpas på all behandling av personuppgifter. EU:s allmänna dataskyddsförordning (förordning (EU) 2016/679) började tillämpas den 25 maj 2018. Dataskyddslagen (1050/2018) trädde i kraft den 1 januari 2019 och kompletterar nationellt dataskyddsförordningen. Samtidigt som dataskyddslagen trädde även lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018, dataskyddslagen avseende brottmål), varmed dataskyddsdirektivet för brottsbekämpande myndigheter (direktiv (EU) 2016/680, nedan också polisdirektivet) genomfördes nationellt. 

Dataskyddsförordningen och dataskyddslagen tillämpas inom polisen på uppgifter i anknytning till tillståndsförvaltning och på sådana övervakningsuppgifter som föreskrivits för polisen och där det inte är fråga om att tillämpa dataskyddslagen avseende brottmål. Inom polisen omfattar till-lämpningsområdet för dataskyddsdirektivet för brottsbekämpande myndigheter förebyggande, avslöjande och utredning av brott och förande av brott till åtalsprövning samt åtgärder i anknytning till dessa för att upprätthålla allmän ordning och säkerhet. Uppgifter i anknytning till upprätthållandet av den nationella säkerheten omfattas inte av unionsrätten och därmed inte heller av tillämpningsområdet för dataskyddsförordningen eller polisdirektivet. På dessa uppgifter tillämpas med vissa undantag och som en nationell lösning dataskyddslagen avseende brottmål. Den föreslagna lagen om behandling av personuppgifter i polisens verksamhet är en speciallag som kompletterar de allmänna lagarna. 

Det är inte bara den nya dataskyddslagstiftningen som dikterar behovet av en översyn av den gällande lagen om behandling av personuppgifter i polisens verksamhet (761/2003). Den gällande regleringen är mycket detaljerad, i synnerhet när det gäller uppgifter som registreras i informationssystemen. Detta regleringssätt är osmidigt, och det är en utmaning att hålla bestämmelserna uppdaterade. I propositionen görs ett försök att förtydliga regleringen och den nya lagens struktur är helt omarbetad. Målet att åstadkomma en klar och tydlig reglering har inte uppnåtts till fullo, vilket i många avseenden beror på det avgränsade och speciella tillämpningsområdet för unionsrätten och dess dataskyddsnormer. Lagstiftningen måste också iaktta de krav på en detaljerad och noggrant avgränsad lagstiftning som följer tolkningspraxis när det gäller grundlagen och människorättskonventionerna. 

Förvaltningsutskottet ser det som en betydelsefull ändring jämfört med gällande lagstiftning att bestämmelserna om riksomfattande informationssystem och om polisens andra personregister i den gällande lagen ersätts med bestämmelser om ändamålet med behandlingen av personuppgifter och innehållet i de personuppgifter som behandlas. I lagen ska det föreskrivas om grundläggande personuppgifter och om uppgiftskategorier. Enligt propositionen är Polisstyrelsen allmänt personuppgiftsansvarig, men skyddspolisen personuppgiftsansvarig i fråga om de personuppgifter som avses i 7 kap. 

Polisens grundläggande uppgifter och ändamålet med behandlingen av personuppgifter har inte förändrats efter att den gällande lagen om personuppgifter i polisens verksamhet stiftades. Däremot har det skett många förändringar i polisens omvärld och av de strategiska prioriteringarna i polisens verksamhet. Som exempel kan nämnas att hotet om terrorism har ökat i hela Europa, och dessutom är gränsöverskridande organiserad brottslighet och rörliga, mindre kriminella sammanslutningar ett växande fenomen. Även it-brottsligheten har ökat. Ett viktigt mål är att trygga polisens möjligheter att utifrån fakta i realtid reagera på förändringar i säkerhetsmiljön och att säkerställa den nödvändiga informationsgången mellan myndigheterna. 

Enligt grundlagsutskottets utlåtande kan lagförslagen behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar mot lagförslagets principbestämmelser och mot dess 5–9, 12, 14, 48, 49 och 51 § beaktas på behörigt sätt. 

Sammantaget anser utskottet att propositionen behövs och fyller sitt syfte. Utskottet tillstyrker lagförslagen, men med följande anmärkningar och ändringsförslag. 

Det föreslagna lagkomplexet är en betydande reform med avseende på polisens verksamhetsförutsättningar och skyddet för personuppgifter. Förvaltningsutskottet förutsätter att regeringen följer och utvärderar verkställigheten av personuppgiftslagstiftningen och uppmärksammar bland annat hur den nya på ändamålsbundenhet baserade regleringen fungerar, hur skyddet för personuppgifter genomförs, vilka konsekvenserna blir för polisens och andra myndigheters verksamhet samt hur behandlingen av personuppgifter övervakas samt att den avfattar en detaljerad rapport om detta till förvaltningsutskottet under 2021 (Utskottets förslag till uttalande). 

Ändamålsbundenhet i behandlingen

Artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna förutsätter att behandling av personuppgifter sker för ett särskilt ändamål. Enligt artikel 5.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt artikel 5.2 ska den personuppgiftsansvarige ansvara för och kunna visa att 1 punkten har följts. Dataskyddsförordningen tillämpas emellertid bland annat inte på sådan behandling av personuppgifter som utförs i samband med verksamhet som inte omfattas av unionsrättens tillämpningsområde eller som behöriga myndigheter utför i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Till det först nämnda undantaget hänförs i regel exempelvis den nationella säkerheten (se även GrUU 35/2018 rd och GrUU 36/2018 rd) och till det senare undantaget närmast polisdirektivet. 

Enligt artikel 2 i polisdirektivet tillämpas direktivet på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1. I den artikeln nämns som godtagbara ändamål behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Enligt artikel 4.1 b i direktivet ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt artikel 4.4 ska den personuppgiftsansvarige ansvara för och kunna visa att personuppgifterna har behandlats enligt denna princip. I artikel 8.2 sägs det att medlemsstaternas nationella rätt som reglerar behandling av personuppgifter inom tillämpningsområdet för direktivet åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. 

När grundlagsutskottet har tagit ställning till lagstiftning om behandling av personuppgifter har det med avseende på skyddet för personuppgifter ansett det viktigt att reglera bland annat syftet med registreringen av uppgifterna, uppgifternas innehåll och det tillåtna användningsändamålet (se GrUU 14/1998 rd och t.ex. GrUU 14/2018 rd). Enligt utskottet ska dessa omständigheter på lagnivå i den nu aktuella normkontexten även framöver vara täckande och detaljerad. 

I propositionen föreslås det att den gällande lagens bestämmelserna om riksomfattande informationssystem och andra personregister som polisen för ersätts med bestämmelser om ändamålet med behandlingen av de personuppgifter som behövs för att utföra de uppgifter som avses i polislagen samt innehållet i de personuppgifter som behandlas. Grundlagsutskottet har ingenting att invända mot den principen. 

Andra utgångspunkter för propositionen

Grundlagsutskottet har nyligen (GrUU 26/2018 rd) behandlat en proposition med förslag till lag om dataskyddslag avseende brottmål. Den syftar bland annat till att genomföra polisdirektivet nationellt. Utskottet har inom tillämpningsområdet för EU:s dataskyddsförordning justerat sin ståndpunkt till skyddet för personuppgifter i fråga om kraven på föreskrivande genom lag. I den regleringskontext det nu är fråga om anser grundlagsutskottet att till skillnad från den direkt till-lämpliga dataskyddsförordningen innehåller polisdirektivet inte några detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen (se även GrUU 14/2018 rd). Av betydelse är också att nationell säkerhet är ett område som i fördraget om Europeiska unionen faller utanför EU:s behörighet och därmed inte heller direkt kan hänföras till polisdirektivets tillämpningsområde. Till följd av förpliktelsen att skydda personuppgifter enligt 10 § i grundlagen krävs det nationell lagstiftning om behandling av personuppgifter på grundval av nationell säkerhet (se GrUU 26/2018 rd). 

Dataskyddslagen avseende brottmål ska enligt dess 1 § 2 mom. 2 punkt tillämpas på sådan behandling av personuppgifter som utförs av polisen, när uppgifterna behandlas inom ramen för en i 1 kap. 1 § 1 mom. i polislagen avsedd uppgift som hänför sig till skyddet av den nationella säkerheten. På behandlingen av personuppgifter som behövs för skyddspolisens skötsel av uppgifter tillämpas enligt 46 § 2 mom. i det nu aktuella lagförslaget dataskyddslagen avseende brottmål, med undantag av 10 § 2 mom., 54 § och 7 kap. i den lagen. 

Enligt grundlagsutskottet (GrUU 26/2018 rd och GrUU 14/2018 rd) får dock de rättigheter som är tryggade enligt 10 § i grundlagen en speciell betydelse i sammanhang som är särskilt känsliga med avseende på de grundläggande fri- och rättigheterna. Före reformen av de grundläggande fri- och rättigheterna kom utskottet med en karakterisering som senare blivit vedertagen, nämligen att ”polislagen är typexemplet på en lag som lätt kan råka i konflikt med medborgarnas grundläggande rättigheter, i synnerhet de klassiska friheterna” (GrUU 15/1994 rd och GrUU 67/2010 rd). Grundlagsutskottet anser att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en kontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (se även GrUU 14/2018 rd). 

Relevant i detta avseende var också att det då aktuella förslaget till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten är en lag som blir till-lämplig som allmän lag inom sin räckvidd, och den ska kompletteras med speciallagstiftning för olika förvaltningsområden (GrUU 26/2018 rd). Enligt utskottets uppfattning är det nu aktuella lagförslaget tänkt att utgöra sådan kompletterande speciallagstiftning. 

I konstitutionella analyser av behandlingen av personuppgifter har grundlagsutskottet sett ändamålet med behandlingen som relevant, eftersom behandlingen möjliggör utövning av offentlig makt gällande individer (se GrUU 1/2018 rd). Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. För lagar gäller det allmänna kravet på att en lag ska vara exakt och noga avgränsad. Polisens befogenheter ska med tanke på rättsstatsprincipen i grundlagens 2 § 3 mom. grunda sig på lag (se även GrUU 10/2016 rd och GrUU 51/2006 rd). Enligt utskottet är regleringen av befogenheter vanligen relevant också i förhållande till de i grundlagen inskrivna grundläggande fri- och rättigheterna (GrUU 51/2006 rd). 

Av propositionens motiv till lagstiftningsordning framgår dessutom att känsliga personuppgifter behandlas inom polisen för att de polisuppgifter som hör till direktivets och förordningens till-lämpningsområde ska kunna utföras. Polisens behov att behandla uppgifter som hör till särskilda kategorier av personuppgifter ansluter sig dessutom till nästan alla ändamål med behandlingen enligt lagförslaget, enligt motiven. Exempelvis biometriska uppgifter, som i grundlagsutskottets praxis i många avseenden ansetts kunna liknas vid känsliga uppgifter, (se t.ex. GrUU 14/2009 rd) behandlas både för förebyggande, avslöjande och utredning av brott samt i arbetsuppgifter inom tillståndsförvaltningen. Därtill behandlar polisen för utförande av sina uppgifter också andra uppgifter som hör till särskilda kategorier av personuppgifter, till exempel uppgifter om hälsotillstånd. 

Grundlagsutskottet har tagit ställning till behandlingen av känsliga uppgifter med utgångspunkt i att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar i de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd och de utlåtanden som nämns där). Här är det relevant att utskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme i fråga om behandlingen av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför ansett att i synnerhet tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd), vilket inneburit att inrättandet av register med exempelvis sådana uppgifter måste bedömas i skenet av villkoren för inskränkningar i de grundläggande fri- och rättigheterna och med hänsyn till inskränkningarnas acceptabilitet och proportionalitet (GrUU 29/2016 rd och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 38/2016 rd). 

Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd och GrUU 14/2009 rd). Även enligt EU:s allmänna dataskyddsförordning bör särskilda personuppgifter, som till sin natur är särskilt känsliga med hänsyn till grundläggande fri- och rättigheter, åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande fri- och rättigheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd [PeVL 3/2017 vp]). Denna avgränsning har i utskottets senare praxis ansetts vara en fråga som är relevant för lagstiftningsordningen (se t.ex. GrUU 15/2018 rd). 

Bestämmelserna om behandling av känsliga uppgifter bör följaktligen enligt grundlagsutskottet fortfarande analyseras också utifrån praxis för tidigare bestämmelser på lagnivå, i den utsträckning dataskyddsförordningen tillåter. Behovet av lagbestämmelser som är mer detaljerade än i den förordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. I fråga om behovet bör också det riskbaserade synsättet i förordningen vägas in. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd). 

Grundlagsutskottet har redan tidigare betonat att lagen om behandling av personuppgifter i polisens verksamhet till såväl struktur som innehåll är mycket komplicerad och därför bör revideras (GrUU 18/2012 rd). Utskottet har upprepat denna ståndpunkt och framhållit att den konstitutionella granskningen av den lagstiftning som definierar behandlingen av personuppgifter i polisens verksamhet bör göras utifrån lagstiftningen som helhet (GrUU 42/2014 rd, se även GrUU 35/2018 rd). Utskottet beklagar att också den nu föreslagna lagstiftningen har ett synnerligen komplicerat och svårbegripligt innehåll. 

Polisens personregister innehåller mycket sådan information som det är ytterst viktigt att skydda mot obehörig användning. I en sådan situation måste också övervakningen av användningen av informationen ägnas särskild uppmärksamhet (GrUU 42/2014 rd, se även GrUU 35/2018 rd). Utskottet betonar att skyddet för uppgifter från obehörig användning inte uteslutande kan baseras på det tjänsteansvar som gäller för den personuppgiftsansvarige eller den som hanterar uppgifterna eller på något annat påföljdssystem. 

Grundlagsutskottet konstaterar att det inte inom ramen för sitt konstitutionella uppdrag har gjort någon övergripande bedömning av den föreslagna regleringens överensstämmelse med unionsrätten. Förvaltningsutskottet har anledning att försäkra sig om att den föreslagna regleringen inte står i konflikt med de krav som följer av unionsrätten. 

Förvaltningsutskottet konstaterar att det i dataskyddsdirektivet för brottsbekämpande myndigheter sägs att medlemsstaternas nationella rätt som reglerar behandling av personuppgifter inom till-lämpningsområdet för direktivet åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. Direktivet fastställer således ett slags miniminivå. Grundlagsutskottet har i anslutning till dataskyddsreformen konstaterat att direktivet inte innehåller några detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund för skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen (GrUU 14/2018 rd). Bestämmelserna måste därför kompletteras med nationell lagstiftning. 

Dataskyddsförordningen är däremot direkt tillämplig rätt. Den ger dock i någon mån nationellt handlingsutrymme. Genom nationell lag kan man preciseras den rättsliga grunden för behandlingen av personuppgifter och innehållet i behandlingen samt exempelvis möjligheten att under vissa förutsättningar göra undantag från den registrerades rättigheter. Artikel 6 i dataskyddsförordningen innehåller närmare bestämmelser om laglig behandling av personuppgifter. Med stöd av artikel 9 i dataskyddsförordningen kan närmare bestämmelser utfärdas också om behandling av personuppgifter inom särskilda kategorier av personuppgifter. Grundlagsutskottet har framhållit att i den mån EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan är det viktigt att hänsyn tas till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella spelrummet utnyttjas (GrUU 14/2018 rd). 

I propositionsmotiven redogörs det för hur förslagen i propositionen relaterar till dataskyddslagen avseende brottmål och till dataskyddsförordningen. Förvaltningsutskottet föreslår vissa ändringar i lagförslaget som är av betydelse med avseende på unionsrätten. Valet i den nationella lagstiftningen mellan en registerbaserad regleringslösning eller en lösning som utgår från ändamålen med behandlingen begränsas dock inte i något avseende av EU-lagstiftningen om dataskydd. 

Förvaltningsutskottet konstaterar vidare att dataskyddsförordningen, dataskyddslagen och dataskyddslagen avseende brottmål innehåller detaljerade bestämmelser bland annat om de allmänna principerna för behandling av personuppgifter, om den personuppgiftsansvariges skyldigheter, om den registrerades rättigheter, om informationssäkerhet och övervakning och om följderna av lagstridig behandling av personuppgifter. 

Enligt förvaltningsutskottets uppfattning beaktar propositionen på behörigt sätt de krav som följer av unionsrätten. Behörigheten att bedöma om lagstiftningen harmonierar med unionsrätten hör emellertid till EU-domstolen. 

Lagens tillämpningsområde

Grundlagsutskottet menar i sitt utlåtande att det är svårt och tidsödande att utifrån de bestämmelser som ingår i lagförslaget få klarhet i det exakta tillämpningsområdet för den föreslagna regleringen. Trots att utskottet anser det klart att det begränsade och specifika tillämpningsområdet för unionsrätten och dess dataskyddsbestämmelser är en synnerligen starkt bidragande orsak till den komplicerade regleringen, bör förvaltningsutskottet undersöka om det finns några sätt att förtydliga frågan om tillämpningsområdet. 

Förvaltningsutskottet anser att det till följd av de villkor som ingår i EU-regleringen inte egentligen finns några möjligheter att precisera tillämpningsområdet för den föreslagna lagen. I bestämmelserna om tillämpningsområdet anges förhållandet mellan allmänna lagar och speciallagar. Men för tydlighetens skull vill förvaltningsutskottet konstatera följande. 

Tillämpningsområdet för polisens personuppgiftslag framgår av det som föreskrivs i 1 § om till+-lämpningsområdet och av det som föreskrivs i 2 § om förhållandet till annan lagstiftning. Enligt 1 § i lagförslaget tillämpas polisens personuppgiftslag på samma sätt som för närvarande endast när polisen behandlar personuppgifter för skötseln av polisens uppgifter enligt 1 kap. 1 § i polislagen. Lagen tillämpas alltså exempelvis inte på behandling av personuppgifter i anknytning till personal- och ekonomiförvaltning. 

Enligt den föreslagna 1 § tillämpas polisens personuppgiftslag om inte något annat föreskrivs någon annanstans i lag. Om det någon annanstans i lag föreskrivs om behandling av personuppgifter i polisens verksamhet på ett sätt som avviker från det som sägs i polisens personuppgiftslag, ska den lagen tillämpas i stället för polisens personuppgiftslag. Det finns specialbestämmelser bland annat i lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017), lagen om centralen för utredning av penningtvätt (445/2017) och lagen om vittnesskyddsprogram (88/2015). I regeringens proposition RP 55/2018 rd med förslag till lag om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet finns ytterligare specialbestämmelser. I lagen om nödcentralsverksamhet (692/2010) finns särskilda bestämmelser om behandling av personuppgifter i nödcentralsdatasystemet. Också i lagen om utlänningsregistret (1270/1997) föreskrivs det om behandling av personuppgifter. 

Av den föreslagna 1 § följer också att polisens personuppgiftslag ska tillämpas kompletterande på behandlingen av personuppgifter för utförandet av polisens uppgifter till den del som speciallagstiftningen inte innehåller bestämmelser som avviker från bestämmelserna i polisens personuppgiftslag. 

På merparten av behandlingen av de personuppgifter som hör till lagförslagets tillämpningsområde kommer dataskyddslagen avseende brottmål att vara tillämplig såsom allmän lag. På en del av behandlingen av personuppgifter i polisens verksamhet ska EU:s allmänna dataskyddsförordning och den kompletterande nationella dataskyddslagen tillämpas som allmän reglering. Uppgifter i anknytning till upprätthållandet av den nationella säkerheten omfattas inte av tillämpningsområdet för unionsrätten och därför inte heller av tillämpningsområdet för dataskyddsförordningen eller polisdirektivet. Dataskyddslagen avseende brottmål tillämpas enligt dess 1 § 2 mom. 2 punkt på sådan behandling av personuppgifter som utförs av polisen, när uppgifterna behandlas inom ramen för en i 1 § 1 mom. i polislagen avsedd uppgift som hänför sig till skyddet av den nationella säkerheten. Det här är en nationell lösning. På sådan behandling som avses ovan ska emellertid inte 10 § 2 mom., 54 § eller 7 kap. tillämpas. 

Den föreslagna lagens struktur är också en viktig aspekt på tillämpningen av polisens personuppgiftslag. Alla bestämmelserna om skyddspolisen har samlats i lagförslagets 7 kap. Det här bidrar till en tydlig reglering, menar förvaltningsutskottet. 

EU:s dataskyddsreform har genomförts med beaktande av principen om handlingars offentlighet. I artikel 86 i dataskyddsförordningen föreskrivs det om att samordna dataskyddslagstiftningen och principen om handlingars offentlighet. Enligt skäl 16 i ingressen till dataskyddsdirektivet för brottsbekämpande myndigheter påverkar direktivet inte tillämpningen av principen om allmänhetens rätt att få tillgång till allmänna handlingar. När uppgifter lämnas ut ur en myndighets personregister ska offentlighetsprincipen och sekretessbestämmelserna beaktas på det sätt som föreskrivs i offentlighetslagen och i synnerhet i dess 16 § 3 mom., sägs det i propositionsmotiven. När dataskyddslagen avseende brottmål stiftades framhölls det att avsikten inte är att genom den föreslagna lagen ändra det nuvarande inbördes förhållandet mellan offentlighetslagstiftningen och lagstiftningen om skydd för personuppgifter (FvUB 14/2018 rd). Utskottet föreslår nedan i detaljmotiveringen en precisering av hänvisningen till offentlighetslagen. 

Bestämmelser om polisens befogenheter att inhämta information som behövs för att förebygga och avslöja brott samt avvärja fara finns i polislagen (872/2011) och bestämmelser om befogenheterna att inhämta information som behövs för brottsutredning i tvångsmedelslagen (806/2011) och förundersökningslagen (805/2011). Lagstiftning om polisens befogenheter ingår också i annan speciallagstiftning som gäller polisens uppgifter. Vid behandling av personuppgifter som inhämtats med polisens befogenheter ska den allmänna lagstiftningen om dataskydd iakttas och dessutom polisens personuppgiftslag, som nu föreslås. Om befogenhetsbestämmelserna innehåller strängare villkor för behandling av personuppgifter ska dessa iakttas i stället för polisens personuppgiftslag. 

Under alla omständigheter kommer den allmänna lagstiftningen och speciallagstiftningen att utgöra ett mångbottnat komplex. Det kan vara svårt att identifiera de tillämpliga bestämmelserna i synnerhet i polisens praktiska verksamhet. Även den i sammanhanget nya principen om ändamålsbundenhet förutsätter nya attityder. Förvaltningsutskottet framhåller att allt detta ger upphov till ett stort behov att styra in verksamheten i nya banor och att ge personalen en gedigen utbildning. Myndigheterna måste behandla sina personregister och personuppgifter på ett korrekt sätt i alla hänseenden och uppfylla de lagstadgade kraven på personregister, påpekar utskottet. Det är också viktigt att genomföra en god informationshantering och att följa bästa praxis. 

Behandling av personuppgifter för att förebygga eller avslöja brott

Den gällande lagen om behandling av personuppgifter i polisens verksamhet tillämpas enligt 1 § på helt eller delvis automatisk behandling av personuppgifter som behövs för skötseln av polisens uppgifter enligt 1 kap. 1 § i polislagen samt på annan behandling av personuppgifter, då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. Syftet med den gällande lagen har dock varit att reglera lagringen av uppgifter i polisens rikstäckande informationssystem och i andra i lagen avsedda personregister. Bestämmelserna gäller därmed inte behandlingen av information som omfattas av lagens tillämpningsområde innan de lagras i ett namngivet personregister eller informationssystem. 

Ett av målen med ändamålsbundenhet i behandlingen av personuppgifter är att inkludera all sådan behandling av personuppgifter som behövs i polisens verksamhet. Med avvikelse från den gällande lagen kommer de nya bestämmelserna, som grundar sig på ändamålsbundenhet, att också gälla behandling av det som enligt definitioner i den allmänna lagstiftningen utgör ett personregister samt automatisk behandling, även om det inte finns några bestämmelser om detta i polisens personuppgiftslag. 

Bestämmelserna i 7 och 8 § om att behandla personuppgifter i syfte att förbygga eller avslöja brott gäller således all registrering och annan behandling av personuppgifter som behövs för polisens förebyggande och avslöjande verksamhet. Paragraferna ska ersätta den gällande lagens bestämmelser i 2 § om behandling av information i informationssystemet för polisärenden, i 4 § om informationssystemet för misstänkta och i 6 § om polisens övriga personregister för att förhindra och avslöja brott. 

Avsikten är dessutom att 7 och 8 § i enlighet med ändamålsbundenhetsgrunden ska inbegripa också sådan informationsbehandling i anknytning till polisens förebyggande verksamhet som det saknas bestämmelser om i den gällande lagen. Polisen får till exempel genom sådana metoder för informationsinhämtning som avses i 5 kap. i polislagen information om personer som det finns grundad anledning att anta att har gjort sig skyldiga till brott. Det finns inga bestämmelser i den gällande lagen om hur dessa uppgifter ska behandlas i inledningsfasen även om de måste behandlas automatiskt bland annat för att utröna om tröskeln för registrering i datasystemet för misstänkta överskrids. I den gällande lagen om behandling av personuppgifter i polisens verksamhet regleras med andra ord inte behandlingen av uppgifter som inhämtats med hemliga metoder för inhämtande av information förrän de registreras i något av de informationssystem som nämns i lagen. Villkoret för behandling enligt den föreslagna 7 § 2 mom. 1 punkten (”med fog kan antas”) täcker in behandlingen av uppgifter som inhämtats med metoder som avses i 5 kap. i polislagen i syfte att förhindra brott. Detta är inte fallet med det villkoret ”skäl att misstänka”, som nämns i den gällande lagen. 

Grundlagsutskottet har reagerat på att enligt motiven i propositionen till lagstiftningsordningen innebär de föreslagna 7 och 8 § en utvidgning i jämförelse med den gällande lagen av det datainnehåll som behandlas riksomfattande, både vad gäller datainnehållet och vad gäller de kategorier av personer som får registreras. Enligt gällande lag är antecknande i registret knutet till straffet för ett misstänkt brott på så sätt att personuppgifter om en person som gör sig skyldig eller misstänks ha gjort sig skyldig till ett brott får behandlas om straffpåföljden kan vara fängelse. Uppgifter om en person som har medverkat eller medverkar till ett brott får enligt gällande lag behandlas om det misstänkta brottet kan följas av fängelse i mer än sex månader eller om det misstänkta brottet är straffbart bruk av narkotika. Grundlagsutskottet konstaterar att det i 7 § inte uppställs några kriterier för hur grova brott det är fråga om, utan de uppgifter som lagrummet avser förutsätts anknyta till personer som ”med fog kan antas ha gjort sig eller göra sig skyldiga till brott”. Enligt det gällande 4 § 2 mom. är en förutsättning för behandling av uppgifter att en person ”skäligen kan misstänkas” göra eller ha gjort sig skyldig till brott. Utskottet påpekar att myndighetsmisstanke om brott enligt artikel 10 i dataskyddsförordningen utgör en känslig personuppgift som kräver särskild konstitutionell reglering. Förvaltningsutskottet måste komplettera regleringen så att behandlingen knyts till brottets grovhetsgrad. En sådan komplettering är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Dessutom finns det skäl för förvaltningsutskottet att höja graden av antagande exempelvis till ”skäligen misstänkas” i överensstämmelse med den gällande lagen, anser grundlagsutskottet. 

I det följande jämförs de föreslagna ändringarna i propositionen närmare med den gällande lagen. 

Informationssystemet för misstänkta

Bestämmelser om informationssystemet för misstänkta finns i 4 § i den gällande lagen. Informationssystemet kan innehålla information som för skötseln av uppgifter enligt 1 kap. 1 § 1 mom. i polislagen inhämtats genom kriminalunderrättelseverksamhet, observation eller iakttagelser och som gäller personer som skäligen kan misstänkas 1) göra eller ha gjort sig skyldiga till ett brott på vilket kan följa fängelse eller 2) medverka eller ha medverkat till ett brott på vilket kan följa fängelse i mer än sex månader eller till straffbart bruk av narkotika. 

Förvaltningsutskottet har fäst uppmärksamhet vid brister i anknytning till behandlingen av personuppgifter i informationssystemet för misstänkta (FvUU 40/2014 rd). I det registret kan endast antecknas misstänkta och medverkande. Förvaltningsutskottet har i ett betänkande (FvUB 16/2014 rd) konstaterat att när uppgifter om en person förs in i registret över misstänkta måste kriterierna uppfyllas, det vill säga att personen kan misstänkas göra sig eller ha gjort sig skyldig alternativt medverka eller ha medverkat till ett brott. Tröskeln för ”skäl att misstänka” är densamma som tröskeln för att inleda förundersökning av brott enligt förundersökningslagen. 

Att det inte är så enkelt att tillämpa bestämmelserna om registret över misstänkta framgår enligt förvaltningsutskottet av att registret inte bara innehåller uppgifter om misstänkta personer som har gjort sig skyldiga eller har medverkat till ett brott som nämns i bestämmelsen, utan också om ett sådant brott som personen kan göra sig skyldig eller medverka till i framtiden. Det är uppenbart att misstanken också i sådana fall måste grunda sig på konkreta iakttagelser som ger anledning att sluta sig till att personen kommer att handla så att kravet ”skäl att misstänka” uppfylls på ett godtagbart sätt. Att bedöma hur en person kommer att bete sig i framtiden är kopplat till en så osäker slutledningskedja att risken för felbedömning är mycket stor. 

Bestämmelserna om informationssystemet för misstänkta har betraktats som oändamålsenliga och bristfälliga även med tanke på polisens verksamhet. I sin nuvarande utformning gynnar bestämmelsen inte fullt ut polisens förebyggande verksamhet, prognostisering och utnyttjande av systematiskt inhämtad och behandlad information. Enligt motiveringen till bestämmelsen i regeringens proposition (RP 93/2002 rd) går det på grund av syftet med registret för misstänkta inte att förutsätta en mycket precis specificering av brottet. Detta gäller exempelvis den verksamhet som medlemmarna i en känd kriminell grupp bedriver. Utgångspunkten för ordalydelsen i paragrafen är dock personbaserad kriminalunderrättelseinhämtning på så sätt att polisen ska ha en konkret brottsmisstanke mot en enskild person, och regleringen omfattar inte i större utsträckning till exempel uppgiftsbaserad brottsanalys som gäller organiserad brottslighet eller kriminella sammanslutningar. 

Vid utformningen av de föreslagna 7 och 8 § om behandling av personuppgifter för förebyggande och avslöjande av brott har uppmärksamhet ägnats åt de anmärkningar av förvaltningsutskottet som refererats ovan i fråga om informationssystemet för misstänkta (FvUU 40/2014 rd och FvUB 16/2014 rd). Enligt den föreslagna 7 § får polisen behandla personuppgifter som hänger samman med en uppgift i anknytning till förebyggande eller avslöjande av brott. I paragrafen finns en uttömmande förteckning över vilka personkategorier bestämmelsen gäller. 

Enligt propositionen kan man med stöd av 7 § 2 mom. 1 punkten behandla personuppgifter om personer som med fog kan antas ha gjort sig eller göra sig skyldiga till brott. Med hänvisning till grundlagsutskottets utlåtande föreslår förvaltningsutskottet på det sätt som närmare framgår av detaljmotiven att tröskeln för behandling av personuppgifter höjs så att bestämmelsen endast kan tillämpas i fråga om personer som med fog kan antas ha gjort sig eller göra sig skyldiga till brott på vilket kan följa fängelse. Formuleringen ”skäligen kan misstänkas” i 4 § i den gällande lagen är ett begrepp som hänför sig till inledande av förundersökning och den definitionen är svår att anpassa till verksamhet som anknyter till förhindrande och avslöjande verksamhet. Polisens verksamhet för att förhindra brott riktar sig normalt mot personer i fråga om vilka det ännu inte uppkommit någon skyldighet att inleda förundersökning. Begreppet ”skäligen kan misstänkas” kan inte i verksamhet som handlar om att förhindra eller avslöja brott tolkas på samma sätt som vid en förundersökning. Det är därför befogat att formulera tröskeln för behandling av personuppgifter på ett sätt som uttryckligen hänger samman med att förhindra och avslöja brott och till verksamheten bundna befogenheter att inhämta information. Den föreslagna nya tröskeln för behandling av personuppgifter (”med fog kan antas”) kan också motiveras med att den tydligare än tröskeln ”skäligen kan misstänkas” anknyter till polislagens 5 kap., som handlar om informationsinhämtning för att förhindra och avslöja brott. 

Med stöd den föreslagna 7 § 2 mom. 2 punkten är det möjligt att behandla uppgifter om personer som har kontakt med en i 1 punkten avsedd person eller påträffas i dennes sällskap, och kontakten eller sammanträffandena på grund av att de har upprepats, omständigheterna eller personens beteende kan antas ha samband med ett brott. Jämfört med den gällande lagen är denna kategori av personer ny. Behovet att behandla uppgifter om kontakter och medgärningsmän noteras också i dataskyddsdirektivet för brottsbekämpande myndigheter, där artikel 6 föreskriver om åtskillnad mellan olika kategorier av registrerade. I artikel 6 d nämns personer med kontakter eller medgärningsmän till de aktuella personerna. Dessa personer ska anknyta till personer i fråga om vilka det finns tungt vägande skäl att anta att de har begått eller är på väg att begå ett brott eller personer som dömts för brott. 

Eftersom grundlagsutskottet förutsätter att behandlingen av personuppgifter är knuten till brottets grovhetsgrad måste också den personkategori som avses i 2 punkten begränsas ytterligare i förhållande till propositionen. Med stöd av 2 punkten kan uppgifter behandlas endast i fråga om personer som har kontakt med sådana i 1 punkten avsedda personer som misstänks ha begått brott på vilka det kan följa fängelsestraff. Den personuppgiftsansvarige ska i enlighet med kraven i dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. 

Polisen kan med stöd av förslaget till 7 § 2 mom. 3 punkten behandla uppgifter om personer som är föremål för sådan observation som avses i 5 kap. 13 § i polislagen. Med observation avses enligt 5 kap. 13 § 1 mom. i polislagen iakttagande av en viss person i hemlighet i syfte att inhämta information. Till i punkten avsedda personer hör sådana personer som är föremål för observation och vars uppgifter inte kan behandlas med stöd av 1 och 2 punkten. Det har framkommit ett behov att komplettera punkten med bestämmelser om registrering av uppgifter också om andra personer som är föremål för polisiära åtgärder. Denna frågar behandlas närmare nedan i samband med informationssystemet för polisärenden. 

Förvaltningsutskottet har fäst uppmärksamhet också vid att det i en kompletterande ”förklaringsdel” dessutom kan ha funnits anteckningar om till exempel den mot vilken den misstänkte riktat eller kan rikta hot om våld (FvUU 40/2014 rd). Även grundlagsutskottet har redan tidigare lagt vikt vid att det i motiveringen anges att också uppgifter om potentiella eller verkliga brottsoffer får införas i informationssystemet för misstänkta såsom uppgifter som hänför sig till brottet. Innehållet i 4 § i den gällande lagen omfattar dock inte detta syfte (GrUU 51/2002 rd). Det faktum att registrering av uppgifter om offer i registret framkommer endast i motiveringen till bestämmelsen kan inte anses vara en sådan noggrann avgränsning som grundlagsutskottet krävt i sin tolkningspraxis. 

I vissa situationer måste polisen nödvändigt behandla uppgifter också om andra personer än de som i första hand är föremål för kriminalunderrättelseinhämtning. I 7 § 3 mom. kan för dessa personers vidkommande föreskrivas om en högre behandlingströskel. Behandling av uppgifter om de som är offer för brott eller som uppträder som målsägande, som har anmält ett brott eller är vittnen till ett brott kan vara nödvändigt till exempel i situationer där man försöker förebygga ett brott mot ett vittne eller en målsägande i ett redan inträffat brott. Bestämmelsen förtydligar nuläget och gör det möjligt att till exempel behandla uppgifter om brottsoffer, något som hittills i fråga om informationssystemet för misstänkta bara har framgått av motiveringen till bestämmelsen. 

Tillfälliga brottsanalysregister

I den gällande lagen föreskrivs det om temporära register för brottsanalys i 6 § 2 mom. 2 punkten, som gäller polisens övriga personregister. Bestämmelsen ändrades genom en lag som trädde i kraft vid ingången av 2014 (1181/2013) så att det blev möjligt att inrätta ett temporärt register för sådan brottsanalys som behövs för att förhindra, avslöja eller utreda förutom ett enskilt brott även en helhet bestående av flera brott. Ändringen har effektiviserat utredningen av lokala, grova brott och i synnerhet omfattande brottsserier. Men bestämmelserna inriktar också analysverksamheten och situationsbilden utifrån analyser i riktning mot enskilda brott eller brottskomplex, och inte mot en sammantagen bild av brottsligheten eller omvärldsförändringar. Funktionellt sett är det också ett problem att uppgifterna i registren för brottsanalys inte kan användas i hela landet. Tillsynen över registreringen försvåras likaså av att registreringen är så splittrad. 

I förslaget till 7 § har behandlingströskeln för vissa personkategorier höjts. I den gällande lagen finns inga bestämmelser om personkategorier om vilka uppgifter kan registreras i tillfälliga analysregister. Förslaget innebär således välkomna preciseringar jämfört med nuläget. Personuppgifter skulle emellertid framöver få behandlas i hela landet för utförandet av en uppgift som anknyter till förebyggande eller avslöjande av brott. Uppgifterna kommer att behandlas enhetligt i Polisstyrelsens riksomfattande registerföring i enlighet med riksomfattande processer, vilket underlättar styrningen och övervakningen av behandlingen och förbättrar skyddet för uppgifterna. 

Informationssystemet för polisärenden

Bestämmelserna om iakttagelser som registrerats i informationssystemet för polisärenden (gällande 2 § 3 mom. 11 punkten) ingår i propositionens 7 § 5 mom. om förebyggande eller avslöjande av brott. Det föreslås inga materiella ändringar i bestämmelserna om observationer, utan behandlingströskeln är densamma som hittills. 

Utöver observationer registreras i polisens informationssystem för förebyggande av brott också i den gällande lagens 2 § 2 mom. avsedda personuppgifter om vittnen, de som anmäler brott eller som har något annat samband med ärendet. Om dessa registreras i systemet i 2 § 3 mom. 1 punkten underpunkt c avsedda behövliga beskrivningar, förhållanden och specificeringar som har samband med polisens uppdrag. Med stöd av bestämmelsen registreras i polisens informationssystem uppgifter exempelvis om personer vars uppträdande, prat, verksamhet eller skriverier ger anledning till oro på ett sätt som aktiverar polisens skyldighet att utreda eller vidta åtgärder. Åtgärderna är i praktiken tilläggsutredningar (såsom slagningar i register), utifrån vilka polisen bedömer behovet av fortsatta åtgärder. För att hjälpa en person som ger anledning till oro och för att ta tag i en situation krävs det ofta gemensamma preventiva åtgärder från flera myndigheter sida. Åtgärderna syftar till att bryta en radikalisering, en missbruksspiral eller något annat bekymmersamt beteende. Dessutom krävs det gemensamma stödåtgärder exempelvis enligt handlingsmodellen Ankkuri eller andra åtgärder för att bedöma behovet av vård eller behandling. Åtgärderna avser att förhindra brott och ett extremt beteende hos den som åtgärderna gäller. 

De personkategorier som avses i förslaget till 7 § 2 mom. inkluderar inte behandling av personuppgifter i den personkategori som beskrivs ovan. Polisens förebyggande verksamhet riktar sig ofta också mot personer som inte med fog kan antas göra sig skyldiga till brott som kan leda till fängelsestraff på ett sådant sätt som avses i 7 § 2 mom. 1 punkten. Polisen kan vara skyldig att utreda eller vidta åtgärder också innan en person med fog kan antas göra sig skyldig till brott. Föremål för åtgärder kan också vara en person som med fog kan antas göra sig skyldig till brott (eller ha en sådan kontakt till denna brottslighet som avses i 7 § 2 mom. 2 punkten), men brottets grovhetsgrad kan vara oklar. En del av de personuppgifter som enligt den gällande lagen kan behandlas i polisens nuvarande informationssystem utan bundenhet till grovhetsgraden skulle därmed lämnas utanför sådan behandling av personuppgifter som avses i de föreslagna paragraferna. Den föreslagna ändringen försämrar således polisens möjligheter att registrera uppgifter i den förebyggande verksamheten. 

Förvaltningsutskottet menar att 7 § 2 mom. 3 punkten måste kompletteras med en ny personkategori för att det ska vara möjligt att behandla uppgifter som gäller personer med ett oroväckande beteende och andra personer som är föremål för åtgärder inom ramen för polisens brottsförebyggande verksamhet. Polisen ska ha möjlighet att behandla uppgifter också om personer som är föremål för dessa åtgärder. Det här behövs för att förebygga och avslöja brott fram till dess att man kan avgöra om den behandlingströskel som avses i 7 § 2 mom. 1 eller 2 punkten överskrids. Polisens åtgärder i fråga om fysiska personer är alltid en del av ett enskilt uppdrag och kan vara förenat med olika grad av utövande av offentlig makt. 

Det saknas egentliga bestämmelser om registrering av förebyggande verksamhet i polisens informationssystem, om man undantar definitionen av behandlingssyfte i 2 § 1 mom., som gäller alla polisiära uppgifter enligt 1 kap. 1 § 1 mom. Förslagen till 7 och 8 § skulle i detta avseende förtydliga villkoren för att behandla uppgifter om personer som är föremål för åtgärder. Utskottet påpekar att den gällande 2 § tillåter behandling av uppgifter om ”den som har något annat samband med ärendet”. Begreppet definieras inte närmare och därmed skulle de personkategorier vilkas uppgifter får behandlas snävas in märkbart enligt 7 § i lagförslaget. Utskottet hänvisar till det som sägs i detaljmotiveringen. 

Sammanfattning

Utskottet beaktar grundlagsutskottet konstitutionella anmärkningar och föreslår på det sätt som framgår av detaljmotiven att behandlingen av personuppgifter ska anknyta till det misstänkta brottets grovhetsgrad. Tröskeln för behandling av personuppgifter föreslås således bli höjd så att uppgifter kan behandlas endast om personer som med fog kan antas ha gjort sig eller göra sig skyldiga till brott på vilket kan följa fängelse. 

Förvaltningsutskottet konstaterar att om behandlingströskeln höjs till nivån ”skäligen misstänkas”, ökar samtidigt trycket på att behandla uppgifter om de personer som är föremål för åtgärder. Uppgifter om den som är föremål för åtgärder skulle i så fall behandlas med stöd av 7 § 2 mom. 3 punkten till dess att det blir klart om personen skäligen kan misstänkas ha gjort eller göra sig skyldig till ett brott på vilket kan följa fängelse. Utskottet hänvisar till det som sägs ovan om bestämmelserna om förebyggande och avslöjande av brott och registerjämförelser och konstaterar att det anser att den behandlingströskel som föreslås i 7 § 2 mom. 1 punkten i propositionen (”med fog kan antas”) är motiverad, och utskottet lägger inte fram något förslag till ändring. 

Förvaltningsutskottet understryker att beslutsfattandet i polisens verksamhet måste grunda sig på saklig, korrekt och aktuell information. Genom att behandla uppgifter kan man försäkra sig om att åtgärderna är proportionerliga i sin inriktning och att verksamheten är informationsdriven. Att behandla uppgifter och dokumentera är samtidigt en rättssäkerhetsfaktor med vilken man tryggar rättssäkerheten för såväl dem som är föremål för som dem som vidtar åtgärderna. En utvärdering av verksamheten i efterskott kan i princip endast bygga på dokumenterad information. 

Behandling av personuppgifter vid skyddspolisen

I 7 kap. finns bestämmelser om behandling av personuppgifter vid skyddspolisen. I lagförslaget beaktas skyddspolisens ställning som en rikstäckande enhet inom inrikesministeriet. I lagen föreslås bestämmelser om utlämnande av personuppgifter mellan skyddspolisen och andra polisenheter. Bestämmelser om utlämnande av sådana personuppgifter till skyddspolisen som hör till Polisstyrelsens registerföring finns i 4 kap. och om utlämnande av uppgifter som hör till skyddspolisens registerföring till övriga polisenheter i 7 kap. I 7 kap. finns bestämmelser om skyddspolisens rätt att få uppgifter också när det gäller de personuppgifter som ingår i Polisstyrelsens registerföring. I 3 och 7 kap. beaktas också skyddspolisens möjlighet att lämna ut personuppgift till polisens personregister genom registrering via direkt anslutning eller som en datamängd. 

Riksdagen antog den 11 mars 2019 lagstiftning om civil underrättelseinhämtning (RP 202/2017 rd — FvUB 36/2018 rd). När den lagstiftningen träder i kraft förlorar skyddspolisen sina förundersökningsbefogenheter. Därför krävs det en ändring av 48 § i polisens personuppgiftslag om ändamålet med behandlingen av personuppgifter vid skyddspolisen. I övrigt har lagstiftningen om civil underrättelseinhämtning och dess konsekvenser för behandlingen av personuppgifter vid skyddspolisen beaktats. Förvaltningsutskottet hänvisar till det som sägs i detaljmotiven. 

Skyddspolisens primära uppgift är att skaffa information för att skydda den nationella säkerheten. I detta syfte måste det också vara möjligt att trots sekretessbestämmelserna lämna ut uppgifter. Personuppgifter ska kunna lämnas till behöriga myndigheter, sammanslutningar som sköter offentliga uppgifter och i vissa fall också till privata aktörer. Bestämmelser om detta finns i förslaget till 50 §. I paragrafen föreslås med tanke på den gällande lagstiftningen inte några ändringar i sak. Den enda ändringen är termen nationell säkerhet i stället för uttrycket i den gällande lagen, statens säkerhet. I sak motsvarar termerna dock varandra. 

Under utfrågningen av sakkunniga har förvaltningsutskottet uppmärksammats i synnerhet på 50 § 2 mom. Enligt det får skyddspolisen dessutom trots sekretessbestämmelserna lämna ut personuppgifter till andra polisenheter för de ändamål med behandlingen som avses i 13 § samt till andra myndigheter eller sammanslutningar som sköter offentliga uppgifter för de ändamål som avses i 4 kap. Det har påpekats att vissa uppgifter rentav kan utlämnas till privata sammanslutningar eller näringsidkare. I fråga om detta framför utskottet följande. 

Utlämnande av information till myndigheter.

Enligt 50 § 2 mom. i propositionen får skyddspolisen lämna ut personuppgifter till andra myndigheter för skötseln av deras uppgifter, på samma sätt som polisen i övrigt kan göra. Till denna del finns det en hänvisning till lagens 4 kap. och till motsvarande reglering om polisen i övrigt. I momentet avses alltså utlämnande av information i situationer där utlämnandet inte behövs för att utföra skyddspolisens egna uppgift, utan för att utföra en uppgift som det föreskrivs att en annan myndighet eller polisenhet ska sköta. Skyddspolisen kan då med stöd av detta moment lämna ut personuppgifter till andra polisenheter när det behövs för de ändamål som föreskrivs i 13 §. Skyddspolisen ska därvid iaktta vad som föreskrivs om befogenheter. Om bestämmelserna om utlämnande av uppgifter för brottsbekämpning begränsas i lagstiftningen om civil underrättelseinhämtning, ska dessa bestämmelser iakttas. Med reglering av nyttjandebegränsningen avses den s.k. brandväggsbestämmelsen i lagstiftningen om civil underrättelseinhämtning, dvs. 5 a kap. 44 § i polislagen. När personuppgifter och uppgifter om brott i anknytning till dem har fåtts genom en metod för underrättelseinhämtning, ska bestämmelsen iakttas om uppgifterna lämnas ut för brottsbekämpning. Därmed får skyddspolisen lämna ut personuppgifter till andra polisenheter och myndigheter för skötseln av deras uppgifter, om utlämnandet av uppgifterna inte har begränsats eller förbjudits med stöd av någon annan bestämmelse. 

Skyddspolisen kan använda sig av andra metoder än underrättelseinhämtning och dessutom få information av myndigheter, genom internationellt samarbete och från öppna källor. Den så kallade brandvägg som gäller underrättelseinhämtning berör endast utlämnande av uppgifter som inhämtats genom civil underrättelseinhämtning. 

Skyddspolisen måste kunna lämna ut uppgifter till andra myndigheter för att de ska kunna sköta sina lagfästa uppgifter. Skyddspolisen har andra uppgifter än de som nämns i 5 a kap. i polislagen bland annat på grundval av säkerhetsutredningslagen (726/2014), medborgarskapslagen (359/2003), utlänningslagen (301/2004), andra kapitel i polislagen, lagen om försvarstillstånd (1083/1991), lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004), lagen om bedömningsorgan för informationssäkerhet (1405/2011), lagen om export av försvarsmateriel (282/2012) och lagen om brottsbekämpning inom Tullen (623/2015). 

Det föreslås inga ändringar i fråga om dessa skiftande uppgifter som skyddspolisen har. Lagstiftningen om civil underrättelseinhämtning innebär inte att skyddspolisens myndighetssamarbete skulle upphöra eller förändras så att skyddspolisen skulle behöva förhindras att precis som för närvarande stödja andra myndigheter i deras verksamhet. Lagstiftningen om civil underrättelseinhämtning leder inte heller till förslag om att slopa andra viktiga uppgifter som skyddspolisen har med stöd av andra lagar. Skyddspolisen måste också framöver kunna utföra sina uppgifter på ett sätt som innefattar utlämning av uppgifter till andra myndigheter. 

Förvaltningsutskottet anser att 50 § 2 mom. för tydlighetens skull bör kompletteras med en hänvisning till 5 a kap. 44 § i polislagen, varvid det skulle bli helt klart att brandväggsbestämmelsen begränsar rätten att lämna ut personuppgifter när det är fråga om uppgifter som inhämtats genom metoder för underrättelseinhämtning. Utskottet går närmare in på detta i detaljmotiveringen. 

Utlämnande av uppgifter till privata aktörer

Skyddspolisens primära uppgift är att inhämta information i syfte att skydda den nationella säkerheten. I Finland behärskas till exempel en stor del av den kritiska infrastrukturen av privata aktörer. Detsamma gäller för statsfinanserna viktig kompetens och betydande innovationer som kan vara av intresse i utlandet. För att skyddspolisen ska kunna sköta sitt uppdrag måste den kunna utlämna information och även personuppgifter till privata aktörer. 

All verksamhet som hotar den nationella säkerheten utförs i sista hand av människor och också en statlig aktör handlar alltid genom en eller flera fysiska personer. Personuppgifter om dessa måste kunna utlämnas till privata aktörer som till exempel hotas av en person som företräder en statlig aktör. 

Skyddspolisen levererar uppgifter endast i enskilda fall enligt prövning och bara när det är nödvändigt. Användarbehörighet till skyddspolisens informationssystem ges inte till någon utanför skyddspolisens organisation och även inom skyddspolisen begränsas användarbehörigheten till personer som behöver information för att kunna sköta sina uppgifter. 

Med stöd av 7 kap. 2 § i polislagen kan skyddspolisen lämna ut personuppgifter till privata aktörer. Eftersom det föreslås att det i 5 a kap. 55 § i polislagen ska föreskrivas om utlämnande av information som erhållits vid civil underrättelseinhämtning och eftersom grundlagsutskottet (GrUU 35/2018 rd) har förutsatt att utlämningsparagrafen begränsas så att rätten att lämna ut personuppgifter stryks, måste det i polisens personuppgiftslag föreskrivas om utlämnande av personuppgifter till privata aktörer. På denna grund föreslås det att skyddspolisen i enskilda fall för att sköta sina uppgifter precis som för närvarande kan lämna ut personuppgifter till enskilda aktörer (50 § 4 mom.). 

Eftersom det på samma sätt som enligt den gällande lagen alltid är fråga om ett enskilt fall där det finns vägande skäl för utlämnande föreslår förvaltningsutskottet att 50 § 4 mom. preciseras på det sätt som framgår av detaljmotiven. 

Rätt att lämna ut och att få uppgifter

Grundlagsutskottet har i sitt utlåtande om polisens personuppgiftslag endast i fråga om 51 § dryftat regleringen av när uppgifter får lämnas ut respektive när en myndighet har rätt att få uppgifter. Paragrafen gäller skyddspolisen och reglerar utlämnande av uppgifter i internationellt samarbete (GrUU 51/2018 rd). I utlåtandet ingår en konstitutionell anmärkning till förslaget. Förvaltningsutskottet går närmare in på detta i detaljmotiven nedan. 

I övrigt har grundlagsutskottet inte i sitt utlåtande haft något att anmärka när det gäller bestämmelserna om rätt att lämna ut eller att få uppgifter. 

I sitt utlåtande om RP 241/2018 rd om Gränsbevakningsväsendets personuppgiftslag hänvisar grundlagsutskottet till 17 § i lagförslaget, där det föreskrivs om Gränsbevakningsväsendets rätt att få uppgifter av myndigheter (GrUU 58/2018 rd). Grundlagsutskottet har bedömt bestämmelserna om myndigheternas rätt att få och skyldighet att lämna ut information med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och att lämna ut information kan gälla ”nödvändiga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över vad uppgifterna ska innehålla. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att ”informationen är nödvändig” för ett visst syfte (se t.ex. GrUU 17/2016 rd, s. 2—3, och de utlåtanden som nämns där). I sina analyser av exakthet och innehåll har utskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om överlåtelse av uppgifter har gällt också känsliga uppgifter, har det för vanlig lagstiftningsordning krävts att bestämmelserna preciseras så att de följer grundlagsutskottets ovan refererade praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se t.ex. GrUU 15/2018 rd, s. 39). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 14/2018 rd, s. 5). Utskottet anser att motsvarande utgångspunkter också kan tillämpas på rätten att få och lämna ut information trots exempelvis banksekretessen (se GrUU 48/2018 rd, s. 5). 

Grundlagsutskottet menar att förslaget till 17 § i Gränsbevakningsväsendets personuppgiftslag på grund av grundlagens 10 § 1 mom. om skydd för privatlivet och personuppgifter måste preciseras så att den följer grundlagsutskottets ovan refererade praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Samma ståndpunkt gäller förslaget till 18 § om rätt att få uppgifter av privata sammanslutningar och personer, 20 § om rätt att få uppgifter ur vissa register och datasystem, 30 § om utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål och 31 § om övrigt utlämnande av personuppgifter till myndigheter. 

Enligt grundlagsutskottets utlåtande (GrUU 60/2018 rd) om RP 259/2018 rd med förslag till lag om behandling av personuppgifter inom Tullen måste Tullens rätt att få uppgifter ur vissa register och informationssystem på grund av grundlagens 10 § 1 mom. om skydd för privatlivet och personuppgifter preciseras så att den följer grundlagsutskottets ovan refererade praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Motsvarande ställningstagande i fråga om lagstiftningsordningen gäller också den föreslagna 15 § om uppgifter som andra myndigheter lämnar ut till Tullen genom registrering via direkt anslutning eller för registrering som en datamängd, 18 § om utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål och 19 § om övrigt utlämnande av personuppgifter till myndigheter. 

Också i polisens personuppgiftslag finns det bestämmelser om rätt att lämna ut och få uppgifter. Förvaltningsutskottet anser att regleringen ska vara så överensstämmande som möjligt av hänsyn till PTG-samarbetet mellan polisen, Tullen och Gränsbevakningsväsendet. Regleringen får inte heller leda till att uppgifter får lämnas ut till andra EU/EES-länder eller tredjeländer på vagare grunder än de som gäller nationellt. 

Enligt allmän praxis har bestämmelser om utlämnande av uppgifter och om rätt att få information tagits in i både den överlåtande myndighetens och den mottagande myndighetens lagstiftning. Men detta regleringssätt har inte varit heltäckande. I sitt betänkande FvUB 36/2014 rd har förvaltningsutskottet uppmärksammat den dubbla regleringen. 

Förutom dubbel reglering har frågan i speciallagstiftningen också lösts så att bestämmelser om rätten att få information tas in enbart i fråga om den aktör som lämnar ut uppgifter eller enbart i fråga om den aktör som har rätt att få uppgifter. Det skulle inte vara möjligt att i någon av de speciallagar som gäller rätten att få uppgifter enligt polisens personuppgiftslag ta in motsvarande bestämmelser om att lämna ut uppgifter. För att beakta alla behov som gäller informationsutbyte måste det därför i polisens personuppgiftslag tas in bestämmelser både om rätten att lämna ut och att få uppgifter, beroende på vilken typ av bestämmelser det finns i lagstiftningen om den andra parten. Därmed skulle situationen inte bli särskilt mycket klarare om man frångick den dubbla regleringen i polisens personuppgiftslag. 

Förvaltningsutskottet konstaterar att den föreslagna regleringen nu ser ut att utformas på olika sätt i den lagstiftning som gäller dels förhållandet polisen och Gränsbevakningsväsendet/Tullen, dels till vissa delar också förhållandet mellan Tullen och Gränsbevakningsväsendet. De föreslagna ändringar skulle samtidigt leda till att uppgifter får lämnas ut till andra EU/EES-länder eller tredjeländer på vagare grunder än de som gäller nationellt. 

I sina analyser av exakthet och innehåll har grundlagsutskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om överlåtelse av uppgifter har gällt också känsliga uppgifter, har det för vanlig lagstiftningsordning krävts att bestämmelserna preciseras så att de följer grundlagsutskottets ovan refererade praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se t.ex. GrUU 15/2018 rd, s. 39). 

Förvaltningsutskottet konstaterar att känsliga personuppgifter behandlas inom polisen för att de polisuppgifter som hör till direktivets och förordningens tillämpningsområde ska kunna skötas. Polisens behov att behandla uppgifter som hör till särskilda kategorier av personuppgifter ansluter sig dessutom enligt motiven till nästan alla ändamål med behandlingen enligt lagförslaget. 

EU:s dataskyddsreform har skärpt dataskyddet. I artikel 5 i dataskyddsförordningen föreskrivs det om principerna för behandling av personuppgifter och i artikel 6 om behandlingens laglighet. Behandlingen av personuppgifter är laglig bland annat när den behövs för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. 

Enligt artikel 9.1 i dataskyddsförordningen är behandling av särskilda kategorier av personuppgifter i princip förbjuden. Särskilda kategorier av personuppgifter är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Hantering av särskilda kategorier av personuppgifter är också behandling av genetiska uppgifter, hantering av biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Enligt artikel 9.2 får uppgifterna behandlas om något av villkoren i leden till punkt 2 led uppfylls. En del av de här leden ska tillämpas direkt medan andra kräver nationell lagstiftning. 

I 6 § i den nationella dataskyddslagen, som kompletterar dataskyddsförordningen, föreskrivs det om situationer där känsliga personuppgifter får behandlas i den mån den aktuella behandlingen av personuppgifter inte är möjlig direkt med stöd av artikel 9.2 i dataskyddsförordningen. Det är dock viktigt att i sammanhanget observera att begreppet särskilda kategorier av personuppgifter inte är exakt detsamma som de personuppgifter som avses i 12 § i den tidigare personuppgiftslagen. Förordningen förutsätter att medlemsstatens lagstiftning då innehåller bestämmelser om lämpliga och särskilda åtgärder för att skydda den registrerades grundläggande fri- och rättigheter och intressen. 

Enligt 6 § i dataskyddslagen avseende brottmål ska personuppgifterna vara adekvata och behövliga och inte för omfattande i förhållande till de syften för vilka de behandlas. I 11 § i dataskyddslagen avseende brottmål föreskrivs det om vilka uppgifter som hör till en särskild kategori av personuppgifter. Enligt paragrafen är behandling av särskilda kategorier av personuppgifter tillåten endast om det är nödvändigt och de skyddsåtgärder som krävs för att trygga den registrerades rättigheter har vidtagits och en sådan särskild rättsgrund som nämns i 11 §, exempelvis en speciallag, är för handen. 

I dataskyddsförordningen avses med behandling en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring (artikel 4.2). I 3 § i dataskyddslagen avseende brottmål definieras behandling på motsvarande sätt. 

Enligt grundlagsutskottets utlåtande måste ett i särklass grundrättighetskänsligt lagförslag kompletteras med en allmän bestämmelse med ett nödvändighetskrav för behandling av känsliga uppgifter. Alternativt kan regleringen kompletteras paragrafvis med bestämmelser som knyter behandlingen av känsliga uppgifter till ett nödvändighetskrav. Med anledning av grundlagsutskottets utlåtande föreslår förvaltningsutskottet att en allmän bestämmelse tas in i förslaget till 14 § (15 § i utskottets betänkande) med det innehåll som framgår nedan av detaljmotiven. 

Eftersom utlämnande och mottagande av uppgifter på det sätt som konstateras ovan betraktas som behandling av uppgifter inom de båda dataskyddsförfattningarnas tillämpningsområde, gäller utskottets förslag till ny bestämmelse om ett nödvändighetskriterium för behandling av särskilda kategorier av personuppgifter också att lämna ut och att få uppgifter. Därmed uppfyller bestämmelsen samtidigt de kriterier som grundlagsutskottet i sin praxis har uppställt för att bestämmelser om att få och kunna lämna ut personuppgifter trots sekretessbestämmelser för behandling av särskilda kategorier av personuppgifter. 

På andra uppgifter än särskilda kategorier av personuppgifter ska den allmänna lagstiftningen till-lämpas, alltså dataskyddsförordningen och dataskyddslagen samt dataskyddslagen avseende brottmål, enligt vilka personuppgifter får behandlas bara om det behövs för att sköta lagfästa myndighetsuppgifter. 

Förvaltningsutskottet anser att det förslag som utskottet lagt fram på denna punkt motsvarar EU-rättens krav och grundlagsutskottets praxis beträffande tolkning av villkoren för att behandla personuppgifter. 

Lagringstid

I 5 kap. i polisens personuppgiftslag föreslås bestämmelser om arkiveringstider för personuppgifter. Motsvarande bestämmelser som gäller skyddspolisen finns i 57 §. Grundlagsutskottet har ägnat uppmärksamhet åt arkiveringstidernas längd. Enligt 35 § ska personuppgifter i anknytning till förebyggande och avslöjande av brott raderas senast tio år från det att den sista uppgiften om ett brott, brottslig verksamhet eller ett uppdrag infördes. Enligt 36 § i lagförslaget ska uppgifter om en informationskälla raderas senast tio år från det att den sista uppgiften antecknades. Också enligt 33 § 7 mom., 34 § 4 mom. och 35 § 2 mom. får arkiveringen fortgå upprepat på synnerligen obestämbara grunder. Enligt 57 §, som gäller skyddspolisen, ska uppgifter raderas 25 år från det att den sista uppgiften fördes in, om det inte finns särskilda skäl att fortfarande bevara personuppgifterna. 

Enligt grundlagsutskottet är varaktig lagring av uppgifter inte förenlig med skyddet för personuppgifter om det inte är befogat av skäl som är kopplade till informationssystemets art eller syfte (GrUU 31/2017 rd). Utskottet har också ansett att en femårig förvaringstid för känsliga uppgifter är lång (GrUU 13/2017 rd) och betonat att ju längre förvaringstiden blir, desto viktigare är det att se till datasäkerheten, övervakningen av användningen av uppgifterna och de registrerades rättssäkerhet (GrUU 28/2016 rd). Försvarsutskottet bör överväga om så långa förvaringstider behövs och begränsa förvaringstiden särskilt för känsliga personuppgifter med avseende på syftet med nödvändig förvaring. 

Förvaltningsutskottet konstaterar att 5 kap. i polisens personuppgiftslag innehåller bestämmelser om maximitiden för lagring av personuppgifter. Sålunda ska tiderna för radering av uppgifter enligt 5 kap. iakttas om inte någon annan bestämmelse kräver att uppgifterna raderas tidigare. Utskottet anser emellertid att det är motiverat att arkiveringstiderna till vissa delar anges i absolut form. Den arkiveringstid på fem år som anges i 33 § 1 mom. garanterar att uppgifter sparas åtminstone under den tid det tar att behandla ett ärende i domstolsväsendet till dess att ett avgörande vinner laga kraft. När det gäller 35 och 36 § finner utskottet det lämpligt att understryka att uppgifter ska raderas redan före arkiveringstiden på tio år löpt ut, om de visat sig vara överflödiga med tanke på ändamålet med behandlingen. 

Förvaltningsutskottet anser det likaså lämpligt att säkerställa att de arkiveringstider som avses i 5 kap. inte blir ett hinder för arkivering om det finns grundad anledning att anse att uppgifterna fortsatt behövs (33 § 7 mom., 34 § 4 mom. och 35 § 2 mom.). Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. Bestämmelserna motsvarar 6 § 3 mom. i dataskyddslagen avseende brottmål, enligt vilken behovet att bevara personuppgifter ska bedömas med minst fem års mellanrum, om inte något annat föreskrivs om bevaringstider för personuppgifter någon annanstans. Förvaltningsutskottet konstaterar vidare att en kortare arkiveringstid för uppgifter av känslig natur skulle leda till att en del av uppgifterna som hänför sig till ett specifikt fall skulle raderas vid en annan tidpunkt än övriga uppgifter. Det skulle vara problematiskt främst med tanke på informationens integritet. 

I 57 § i lagförslaget finns bestämmelser om arkivering av personuppgifter vid skyddspolisen. Enligt förslaget ska uppgifter raderas 25 år från det att den sista uppgiften fördes in, om det inte finns särskilda skäl att fortfarande bevara personuppgifterna. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 

Förvaltningsutskottet konstaterar att detta i stort sett motsvarar den gällande 25 §. Som en ny bestämmelse införs i lagen en möjlighet att bevara uppgifter över 25 år, om det finns särskilda skäl i anslutning till skyddspolisens uppgifter att fortsatt bevara dem. I lagen införs också en skyldighet att bedöma behovet av uppgifterna och grunderna för behandlingen av dem med fem års mellanrum i det fall att uppgifterna behöver bevaras längre än de lagfästa maximitiden. Om det konstateras att uppgifterna fortfarande behöver bevaras, görs en anteckning om att bedömningen gjorts i anslutning till personuppgiften. 

Skyddspolisens uppgifter kräver långsiktig uppföljning av ärenden. Den information som tas fram och den påföljande analysen ska uppfattas som en cykel där producerad information nästan undantagslöst föder behov av ny information. Syftet med informationsinhämtning avviker i detta avseende från exempelvis förhindrande av brott, där tidsspannet kan sammankopplas bland annat med preskriptionstiderna för brott. Den information som behandlas behövs inte bara för att reda ut ett enskilt fall utan strävan är att genom informationen skapa en bredare bild av företeelser och att producera information i preventivt syfte. 

Skyddspolisens ansvarsområde har särdrag med relevans för behovet att arkivera uppgifter. Underrättelseinhämtning som riktar sig mot statliga aktörer är långsiktig och fortlöpande verksamhet, och personer som med en falsk identitet infiltrerat till exempel en främmande stat kan under mycket långa perioder arbeta helt integrerade i samhället. Arbetar man yrkesmässigt inom underrättelseinhämtning är det normalt att man under karriären förflyttas från en stationeringsort till en annan. Det är inte alls ovanligt att samma person efter många år återvänder till sin tidigare stationeringsort varvid tidigare inhämtad information aktualiseras på nytt. 

När det handlar om att bekämpa terrorism finns det skäl att notera att de som är föremål för underrättelseinhämtning i allmänhet håller fast vid sina tankemönster och sin värdegrund. Det hot som en enskild person utgör kan således pågå under en lång tid. En person kan exempelvis vara kontaktperson och organisatör i ett nätverk av flera personer utan att göra sig skyldig till terroristbrott i strafflagens bemärkelse. För att kunna förstå beroendeförhållanden mellan olika personer är det viktigt att informationen finns tillgänglig under en tillräckligt lång tid. Det är också möjligt att personer med anknytning till terrorism lämnar Finland för en lång tid för att sedan återvända hit. Det här gäller i synnerhet så kallade utländska stridande. 

I dessa exempelfall handlar det om att rikta uppmärksamheten dels mot den personella dimensionen, dels att under en längre tid följa den bakomliggande aktören eller ideologin. Det går inte heller nödvändigtvis alltid att göra en klar skillnad mellan en terroristiskt och en statlig aktör. 

För jämförelsens skull kan det konstateras att enligt 43 § i försvarsmaktens personuppgiftslag (RP 13/2018 rd — FsUB 3/2018 rd) ska personuppgifter som gäller en registrerad utplånas ur registret för militär underrättelseverksamhet senast 50 år från det att den sista uppgiften om den registrerade infördes. Den arkiveringstid som gäller militär underrättelseverksamhet ger en bild av hur långa tidsperioder det kan röra sig om vid underrättelseinhämtning. 

Enligt uppgift till förvaltningsutskottet skulle en differentiering av arkiveringstiderna på det sätt som görs till exempel i 157 § i lagen om tjänster inom elektronisk kommunikation (917/2014) bli synnerligen besvärlig. Inom skyddspolisens verksamhetsområde är det nödvändigt att behandla bland annat personuppgifter av känslig natur, såsom uppgifter om en persons etniska bakgrund eller religiösa övertygelse, som en del av underrättelseinhämtningsarbetet. Om det vid sidan av grundläggande personuppgifter är nödvändigt att behandla känsliga personuppgifter försvinner behovet i allmänhet inte förrän samtliga uppgifter om en person kan raderas. Därför borde bland annat känsliga personuppgifter inte belastas med särskilda krav på radering som avviker från de allmänna reglerna. 

I grundlagsutskottets utlåtande sägs det att ju längre förvaringstiden blir, desto viktigare är det att se till datasäkerheten, övervakningen av användningen av uppgifterna och de registrerades rättssäkerhet. Skyddspolisens funktionella informationssystem klassificeras som ett informationssystem med hög informationssäkerhetsnivå, vilket innebär krav på ett exceptionellt starkt skydd och en kontroll av användningen som avviker från det normala. På grund av uppgifternas känsliga natur har kretsen av personer som är behöriga att använda registret begränsats till skyddspolisens personal. Skyddspolisens funktionella informationssystem övervakas också framöver av dataombudsmannen. Dessutom övervakas systemet av den nya underrättelsetillsynsombudsmannen enligt vad som föreskrivs i lagen om övervakning av underrättelseverksamheten (121/2019). Man kan därför anse att de personuppgifter som skyddspolisen behandlar är både exceptionellt väl skyddade och dessutom synnerligen väl kontrollerade. 

Förvaltningsutskottet anser därför att de föreslagna arkiveringstiderna är behövliga och dessutom väl och lämpligt övervägda också när det gäller känsliga uppgifter. 

Tillsyn

Riksdagen förutsatte i sitt svar på regeringens proposition RP 66/2012 rd att man i samband med totalrevidering av lagen om behandling av personuppgifter i polisens verksamhet också beaktar behovet att utveckla tillsynen över polisens register. Förvaltningsutskottet konstaterade i sitt betänkande (FvUB 26/2013 rd) om propositionen att de nya typer av information som enligt propositionen ska få lagras och den närmare preciseringen av informationens innehåll utifrån behövlighetsprövning kräver extra satsningar på tillsynen över hur personuppgifter behandlas. Det är nödvändigt att övervaka behandlingen av personuppgifter såväl med hänsyn till uppgifternas innehåll som till hur de används. Slutsatserna av övervakningen borde också rapporteras bättre. I propositionsmotiven redogörs det för den interna och externa laglighetsövervakningen av behandlingen av personuppgifter vid polisen. 

Polisens personregister innehåller mycket sådan information som det är synnerligen viktigt att skydda mot obehörig användning (GrUU 42/2014 rd och GrUU 18/2012 rd). Grundlagsutskottet har också fäst uppmärksamhet vid att i och med tidigare lagändringar har informationsinnehållet ytterligare ökat. I sådana situationer måste användningen övervakas särskilt noga (se GrUU 42/2014 rd). 

Enligt 1 § 1 mom. i polisförvaltningslagen ansvarar inrikesministeriet för styrningen och övervakningen av polisens verksamhetsområde. Enligt 13 § 2 mom. i inrikesministeriets förordning om inrikesministeriets arbetsordning (1078/2013) behandlar ministeriets polisavdelning ärenden som gäller laglighetsövervakning av polisen. Polisavdelningen genomför sin laglighetsövervakning i enlighet med anvisningen för laglighetsövervakning vid inrikesministeriet och inom dess förvaltningsområde (SMDno-2016-329). Den laglighetsövervakning som utförs av polisavdelningen omfattar till exempel att behandla förvaltningsklagan och respons från allmänheten, övervaka behandlingen av personuppgifter, utföra granskningar samt ge utlåtanden i synnerhet till de högsta laglighetsövervakarna. 

Ledningen för ämbetsverken och inrättningarna inom inrikesministeriets förvaltningsområde svarar för att behandlingen av personuppgifter och övervakningen av användning av personregister har ordnats lagenligt samt på ett ändamålsenligt och effektivt sätt. Chefen för en polisenhet svarar för att ordna laglighetsövervakningen och för att resurserna är tillräckliga för övervakningen i enheten. 

I polisens interna laglighetskontroll betonas betydelsen av enhetschefernas, befälets och de närmaste chefernas agerande samt anvisningarna om behandlingen av personuppgifter. Tillsynen över behandlingen av personuppgifter baserar sig dels på den dagliga chefstillsynen, dels på praxis rörande användarrättighet och logguppföljning samt på olika kontroller. Genom praxis för beviljande av användarrättigheter kan man se till att personuppgifter behandlas endast av personer i vars arbetsuppgifter behandling av personuppgifter ingår och som uppfyller de lagfästa villkoren för att få användarrättigheter. Polisstyrelsen utför dessutom övervakning i form av stickprov i användarlogguppgifterna för de register som förs av polisen. Det görs för att övervaka användningen av polisens informationssystem och personuppgifterna. Kontrollerna görs systematiskt och alltid när behov uppstår. Polisenheterna får också utföra granskningar av logguppgifterna. 

Under de senaste åren har polisenheternas rättsenheter haft en betydande inverkan på ordnandet och organiseringen av laglighetsövervakningen inom polisen samt på övervakningen av användningen av registren i polisenheterna. Enligt vad utskottet fått veta har organiseringen av uppgifter i anslutning till registerföringen och dataskyddet inom polisen preciserats under 2015—2018 och resurserna har stärkts. Inom polisens dataskyddsorganisation kommer de personer som sköter uppgiften som dataskyddsansvarig i första hand från en rättsenhet. Polisen började dessutom i början av 2019 använda det system för rapportering av överträdelser som föreskrivs i 55 § i lagen om dataskydd avseende brottmål (1054/2018) inom hela landet. Systemet ingår i ett större internt informationssystem inom polisförvaltningen. 

Polisstyrelsen lämnar utifrån polisenheternas granskningsberättelser för det föregående året en sammanfattad berättelse för hela polisförvaltningen till inrikesministeriet och ger den för kännedom till justitiekanslern i statsrådet och riksdagens justitieombudsman. I berättelserna behandlas bland annat loggkontroll, resultatet av den och åtgärder som krävts och genomförts på grund av kontrollen samt andra åtgärder i anknytning till övervakningen av behandlingen av personuppgifter. 

Skyddspolisens funktionella informationssystem klassificeras som ett informationssystem med hög informationssäkerhetsnivå, vilket innebär krav på ett exceptionellt starkt skydd och en kontroll av användningen som avviker från det normala. På grund av uppgifternas känsliga natur har kretsen av personer som är behöriga att använda registret begränsats till skyddspolisens personal. Inom skyddspolisen har chefen för skyddspolisen ansvar för att laglighetsövervakningen ordnas, tilldelas resurser och utvecklas. Chefen för skyddspolisen ska se till att regelrätta laglighetsgranskningar och övrig laglighetskontroll utförs vid skyddspolisen i enlighet med anvisningen för laglighetsövervakning vid inrikesministeriet och skyddspolisens egna anvisningar (se föreskriften Suojelupoliisin sisäinen laillisuusvalvonta, määräys, Dnr 20/2017). Förutom anvisningen för laglighetsövervakning vid inrikesministeriet tillämpar skyddspolisen vid övervakningen av behandlingen av personuppgifter också Polisstyrelsens anvisning om intern laglighetsövervakning och vissa andra rättsliga frågor vid polisen (POL-2016-17212). 

Skyddspolisen utför regelrätta interna laglighetsgranskningar som baserar sig på en årlig plan. Skyddspolisen sammanställer varje år en granskningsplan som fastställs av chefen för skyddspolisen och som skickas till inrikesministeriets polisavdelning för kännedom. En granskningsberättelse upprättas över varje laglighetsgranskning. Berättelsen behandlas på den nivå som har behörighet att fatta beslut om de åtgärder som granskningen föranleder. Chefen för skyddspolisen ska omedelbart informeras om betydande fel och brister och om lagstridig verksamhet. Behandlingen av granskningsobservationerna, åtgärderna och uppföljningen av åtgärderna ska dokumenteras. I den interna laglighetskontrollen av skyddspolisen fästs det särskild vikt vid hemliga tvångsmedel och hemliga metoder för informationsinhämtning samt behandlingen av personuppgifter och handlingar. 

I 7 § i statsrådets förordning 1126/2009, som utfärdats med stöd av lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet (687/2009, PTG-lagen), föreskrivs det att för övervakningen av behandlingen av personuppgifter vid PTG-kriminalunderrättelseenheterna svarar den PTG-myndighet som har inrättat registret i fråga. PTG-myndigheterna ordnar enligt paragrafens 2 mom. i samband med övervakningen av behandlingen av personuppgifter gemensamma inspektioner och annan övervakning enligt vad som närmare avtalas i PTG-myndigheternas riksomfattande samarbetsavtal. 

EU:s dataskyddsreform har medfört viktiga ändringar i lagstiftningen om övervakningen av behandlingen av personuppgifter. Den nya dataskyddslagstiftningen betonar övervakningen av att lagligheten i behandlingen av personuppgifter säkerställs. I dataskyddsförordningen föreskrivs det om tillsynsmyndigheten och dess befogenheter. Enligt dataskyddslagen finns dataombudsmannen i anslutning till justitieministeriet och är den nationella tillsynsmyndigheten enligt dataskyddsförordningen. 

Dataombudsmannen ska också vara specialmyndighet för efterlevnaden av dataskyddslagen avseende brottmål. Dataombudsmannen ska utöva tillsyn över efterlevnaden av lagen både på eget initiativ och på basis av begäranden om åtgärder som lämnas in till ombudsmannen. Dataombudsmannen kan göra utredningar av hur lagen följs och behandla begäranden om åtgärder som lämnats in till ombudsmannen. Ombudsmannen kan i fall av ett lagstridigt förfarande exempelvis meddela den personuppgiftsansvarige en anmärkning eller uppställa ett tillfälligt eller bestående förbud eller någon annan tillfällig eller bestående begränsning av behandlingen av personuppgifter. Ombudsmannen kan förena ett rättsligt förpliktande beslut med vite. 

Skyddspolisen är dessutom föremål för underrättelsetillsynsombudsmannens tillsyn i enlighet med lagen om övervakning av underrättelseverksamheten (121/2019). Underrättelsetillsynsombudsmannen ska i egenskap av laglighetsövervakare över underrättelseverksamheten övervaka lagenligheten vid användning av metoder för underrättelseinhämtning och tillgodoseendet av de grundläggande och mänskliga rättigheterna i underrättelseverksamheten, bidra till att rättssäkerheten tillgodoses och anknytande god praxis iakttas i underrättelseverksamheten samt inom sitt ansvarsområde ge akt på och bedöma hur verkningsfull lagstiftningen är och lägga fram de utvecklingsförslag som han eller hon anser vara behövliga. 

Också riksdagens justitieombudsman och justitiekanslern i statsrådet ska i egenskap av högsta laglighetsövervakare följa efterlevnaden av lagstiftningen om behandling av personuppgifter som en del av den allmänna laglighetsövervakningen av myndigheter och tjänstemän. Båda två utför regelbundna inspektioner för att granska lagenligheten i verksamhet och behandling av personuppgifter. Justitieombudsmannen och justitiekanslern övervakar dessutom lagenligheten i dataombudsmannens och underrättelsetillsynsombudsmannen verksamhet. 

Förslaget till ändringar i polisens personuppgiftslagstiftning innehåller förslag som innebär att behovet av övervakning kommer att öka. Avsikten är ändå att styra lagstiftningen i en sådan riktning att det blir lättare att leda och övervaka skyddet av uppgifterna. Enligt förvaltningsutskottets uppfattning kommer den nya lagstiftning som reglerar övervakningen, normbasen för övervakningen i övrigt och de praktiska effektiviseringsåtgärderna att skapa bättre förutsättningar att övervaka behandlingen av personuppgifter. Men det krävs också tillräckliga resurser för att genomföra skyddet för personuppgifter och en effektiv övervakning. 

Den nya dataskyddslagstiftningen innefattar detaljerade bestämmelser om övervakning av behandlingen av personuppgifter och påföljder vid lagstridig behandling av sådana uppgifter, om den personuppgiftsansvariges ansvar och skyldigheter, den registrerades rättigheter och om informationssäkerheten. EU:s dataskyddsreform har skärpt den personuppgiftsansvariges ansvar. Den personuppgiftsansvarige ska ansvara för att personuppgifter behandlas i överensstämmelse med lag. Den personuppgiftsansvarige ska dessutom kunna visa att behandlingen av personuppgifter också i verkligheten överensstämmer med dataskyddslagstiftningen. Också det har betydelse med avseende på övervakningen.