FÖRVALTNINGSUTSKOTTETS UTLÅTANDE 40/2014 rd

FvUU 40/2014 rd - MINU 3/2014 rd

Granskad version 2.0

Informationssystemet för misstänkta (Epri), behandling av, tillsyn över och dataskydd för personuppgifter

Till inrikesministeriet

INLEDNING

Remiss

Förvaltningsutskottet begärde den 27 januari 2015 en i 47 § 2 mom. i grundlagen avsedd skriftlig utredning av inrikesministeriet i ärendet Informationssystemet för misstänkta (Epri), behandling av, tillsyn över och dataskydd för personuppgifter (HAO 10/2014 vp).

Inrikesministeriet lämnade den 3 februari 2015 den avsedda utredningen till förvaltningsutskottet.

Sakkunniga

Utskottet har hört

kanslichef Päivi Nerg, avdelningschef Kauko Aaltomaa och lagstiftningsdirektör Marko Viitanen, inrikesministeriet

justitieombudsman Petri Jääskeläinen

polisöverdirektör Mikko Paatero, polisdirektör Seppo Kolehmainen och polisdirektör Tomi Vuori, Polisstyrelsen

statsåklagare Jarmo Hirvonen och statsåklagare Juha-Mikko Hämäläinen, Riksåklagarämbetet

chef, polisråd Robin Lardot, centralkriminalpolisen

dataombudsman Reijo Aarnio

Dessutom har skriftliga yttranden lämnats av

  • Förvaltningens IT-central HALTIK
  • Polisyrkeshögskolan

BEGÄRAN OM UTREDNING

Enligt 4 § i lagen om behandling av personuppgifter i polisens verksamhet () är informationssystemet för misstänkta ett personregister som är avsett för polisens riksomfattande bruk och förs med hjälp av automatisk databehandling. Det kan innehålla information som för att handha uppgifter enligt 1 kap. 1 § 1 mom. i polislagen () inhämtats genom kriminalunderrättelseverksamhet, observation eller iakttagelser och som gäller personer som skäligen kan misstänkas 1) göra eller ha gjort sig skyldiga till ett brott, som kan följas av fängelse, eller 2) medverka eller ha medverkat till ett brott, som kan följas av fängelse i mer än sex månader, eller till straffbart bruk av narkotika.

Av 4 § framgår det också vilka uppgifter som får föras in i registret. Med stöd av 4 § får informationssystemet (Epri) genom teknisk anslutning bara användas av polispersonal som förordnats till kriminalunderrättelse-, brottsanalys- och observationsuppgifter samt av kontaktpersoner som polisen sänt utomlands. Lagstiftningen tillåter också att uppgifter genom teknisk anslutning lämnas ut från registret över misstänkta till Gränsbevakningsväsendet och Tullen. Ungefär 1400 personer har fått behörighet att använda informationssystemet. Av dessa är omkring 1 100 poliser.

Med anledning av de omständigheter som lyftes fram i offentligheten våren 2013 har förvaltningsutskottet begärt en utredning om informationssystemet för misstänkta av inrikesministeriet och har också hört sakkunniga i ärendet (HAO 2/2013 vp). Frågekomplexet aktualiserades på nytt under vårsessionen 2014. Utskottet granskade då frågan i samband med behandlingen av regeringens proposition med förslag till säkerhetsutredningslag och lagar som har samband med den (RP 57/2013 rd). Teman som då togs upp var bland annat innehållet i informationssystemet för misstänkta, anteckningar som har gjorts och görs i det samt tillsyn, utbildning och anvisningar. Utskottet konstaterar i sitt betänkande FvUB 16/2014 rd att ett av utskottets viktigaste mål är att se till att polisens personregister är utformade och används korrekt i alla hänseenden och att brister som förekommit och kan förekomma rättas till så snabbt som möjligt.

I samband med behandlingen av propositionen RP 57/2014 rd framgick att det finns felaktiga anteckningar i informationssystemet. Registreringen av personuppgifter var bristfälligt ordnad och det fanns ingen egentlig tillsyn över informationssystemet. Enligt utredning har det sedan dess åtminstone till vissa delar vidtagits korrigerande åtgärder. Registret har inte heller granskats under hela den tid det funnits. Nu har media återigen lyft fram kända personer som påstås ha registrerats i informationssystemet för misstänkta och föranlett debatt om grunderna för de eventuella anteckningarna på samma sätt som vid den påstådda registeranteckning som aktualiserades i april 2014.

Utifrån förvaltningsutskottets betänkande FvUB 16/2014 rd har riksdagen godkänt ett uttalande enligt vilket riksdagen förutsätter att regeringen ser till att förvaltningsutskottet före utgången av 2015 får en heltäckande utredning 1) om vilka åtgärder som har vidtagits i synnerhet i fråga om informationssystemet för misstänkta men också i fråga om polisens andra personregister, för att säkerställa att informationssystemen inte innehåller felaktigheter och att behandlingen av personuppgifter i alla avseenden sker i enlighet med lag och även i övrigt på ett korrekt sätt samt 2) om vilka åtgärder som har vidtagits för att utveckla styrningen och övervakningen av personregistren och av behandlingen av personuppgifter och utbildningen i anslutning till dem.

Av bland annat skäl som anknyter till dataskyddet och rättssäkerheten är det motiverat att i fråga om de uppgifter som antecknas i informationssystemet för misstänkta än en gång, och i mån av möjlighet grundligare än tidigare, utreda olika omständigheter kring informationssystemet.

Inför förvaltningsutskottets sammanträde den 3 februari 2015 kl. 12.15 begärde utskottet därför av inrikesministeriet en skriftlig utredning om 1) de åtgärder som har vidtagits med anledning av riksdagens uttalanden, 2) tillståndet för informationssystemet för misstänkta och frågor gällande dataskyddet och rättssäkerheten, 3) antalet registrerade personer, specificerade enligt olika grunder, inklusive anteckningar som bygger på misstanke om penningtvätt och anteckningar om andra än misstänkta samt det totala antalet registrerade, 4) orsaken till att centralkriminalpolisen i praktiken sköter registerföringen, trots att polisstyrelsen enligt lagen är registeransvarig, 5) de åtgärder som vidtagits för utveckling av registreringen jämte tillhörande styrning, övervakning och utbildning och andra åtgärder i fråga om behandlingen av personuppgifter, 6) en kronologiskt ordnad förteckning över de personer, angivna enligt yrkesbeteckning, som under den tid informationssystemet för misstänkta funnits har gjort anteckningar i systemet och om övriga ansvariga personer, om styrningen och de olika formerna av övervakning, om utbildning och anvisningar, gjorda anteckningar och granskning av registret samt 7) andra omständigheter som är relevanta i ärendet.

UTSKOTTETS ÖVERVÄGANDEN

Motivering

Allmänt

Förvaltningsutskottet upprepar först det som den sade i betänkandet FvUB 16/2014 rd. Där förutsattes att regeringen ser till att förvaltningsutskottet före utgången av 2015 får en heltäckande utredning 1) om vilka åtgärder som har vidtagits i synnerhet i fråga om informationssystemet för misstänkta men också i fråga om polisens andra personregister, för att säkerställa att informationssystemen inte innehåller felaktigheter och att behandlingen av personuppgifter i alla avseenden sker i enlighet med lag och även i övrigt på ett korrekt sätt samt 2) om vilka åtgärder som har vidtagits för att utveckla styrningen och övervakningen av personregistren och av behandlingen av personuppgifter och utbildningen i anslutning till dem.

Utskottet tog upp ärendet till ny behandling innan tiden för lämnande av den utredning som förutsattes i betänkandet FvUB 16/2014 rd hade löpt ut, eftersom det i massmedia antytts att vissa offentliga personer finns upptagna i informationssystemet för misstänkta (registret för misstänkta, Epri).

Förvaltningsutskottet granskar i korthet ärendet utifrån utredningen och yttrandena från inrikesministeriet, Polisstyrelsen och centralkriminalpolisen och i den utsträckning som är möjlig med hänsyn till att en del av materialet är sekretessbelagt.

Analys

Efter att det kommit ut i offentligheten att Putin finns med i informationssystemet för misstänkta blev såväl anteckningsförfarandet som styrningen av och tillsynen över informationshanteringen föremål för förundersökning. Åtal väcktes mot tre tjänstemän. De har uppenbarligen bestridit att de gjort sig skyldiga till något brott i frågan. Ärendet har ännu inte behandlats i rätten. Det är ett av skälen till att utskottet tills vidare i huvudsak nöjt sig med en allmän granskning. Det bör dock nämnas att utskottets granskning givetvis inte är av straffrättslig art, utan grundar sig på att riksdagens fackutskott enligt grundlagen har rätt att få information.

Inrikesministeriet, Polisstyrelsen och centralkriminalpolisen har lämnat utredningar om de åtgärder de vidtagit efter att Putin-anteckningen uppdagades. Utskottet fäster uppmärksamhet vid att de inkomna yttrandena är så allmänt hållna att de inte ger en tillräckligt klar bild över hur den praktiska tillsynen och utbildningen var ordnade tidigare. Utifrån det samlade tillgängliga materialet kan det likväl konstateras att behandlingen av personuppgifter i registret för misstänkta inte höll den nivå som fordras. Det fanns brister i rutinerna, praxisen, tillsynen, styrningen och utbildningen. I detta avseende har det inte framkommit något nytt av värde jämfört med det som sades i utskottets betänkande (se även FvUB 16/2014 rd).

Redogörelserna för registreringsgrunderna och antalet registrerade är inte heller särskilt konkreta. Uppgifterna om antalet registrerade har dessutom varierat. Det har dock blivit klart varför man tidigare felaktigt nämnt att det finns 180 000 registrerade.

Utskottet har fått en allmän förklaring angående bristerna i behandlingen av personuppgifter i de registret för misstänkta. Vid sidan av Putin-anteckningen har utskottet dock inte kännedom om att det skulle gjorts felaktiga registeranteckningar om någon annan enskild namngiven person. I registret antecknas endast misstänkta och medverkande. I en kompletterande "förklaringsdel" kan det dessutom ha funnits anteckning om till exempel den mot vilken den misstänkte riktat eller kan rikta hot om våld. Detta har motiverats med att polisen i annat fall inte kan skydda denna person, som kan ses som måls-ägande. Till denna del har det alltså inte varit fråga om registrerade personer. I detta sammanhang och på basis av vad som framgår av handlingarna är det skäl att konstatera att utskottet ser det som mycket märkligt att den som beslutade om den så kallade Putin-anteckningen inte har sagt sig inse att registreringen var felaktig.

Av de inkomna yttrandena framgår det i och för sig att många åtgärder vidtagits inom polisförvaltningen. Det är ännu oklart hur effektiva åtgärderna är, eftersom alla inte är fullt genomförda och de övriga tämligen nya.

Under sakkunnigutfrågningen väcktes frågan om huruvida det var nödvändigt att helt och hållet avbryta förvaltningens utredning om registret för misstänkta bara för att det inleddes en förundersökning i ärendet. Riktigheten i registrets innehåll kunde ha granskats oberoende av förundersökningen och vid behov kunde man ha förhandlat med de åklagare som var förundersökningsledare. Utskottet menar att trovärdigheten för Polisstyrelsen som registeransvarig och högsta polismyndighet skulle ha krävt det. Endast några få tjänstemän var misstänkta, inte hela Polisstyrelsen. Frågan om behovet av skydd mot självinkriminering är enligt utskottet därför inte relevant i sammanhanget. Det är också bra att konstatera att lagstiftaren gett polisen omfattande befogenheter bland annat när det gäller registrering av personuppgifter. Med tanke på polisens uppgifter och befogenheter och det att polisen i stor utsträckning övervakar att lagarna följs vill utskottet betona att det i sin tur förväntas att polisens behandling av personuppgifter är exemplarisk och till alla delar felfri.

Utöver den nämnda förvaltningsbaserade utredningen verkar inte heller Polisstyrelsens arbetsgrupp, tillsatt i november 2014, ha slutfört sitt arbete (kontroll av riktigheten i registret för misstänkta). Av det material som utskottet fått framgår det inte hur kontrollen görs och huruvida den är heltäckande. Det verkar dessutom som om arbetsgruppen kommer att ge sin bedömning av hur anvisningarna kan preciseras först hösten 2015. Vidare är det fortfarande oklart hur utbildningen ska utvecklas i konkreta termer.

Det är exceptionellt att registreringarna i informationssystemet för misstänkta minskade med 80 procent 2014. Behandlingen av personuppgifter får inte vila på en osäker grund. En sådan variation ger inte heller i övrigt någon god bild av kvaliteten i verksamheten.

Utskottet konstaterar vidare att det inte fått någon tillräcklig juridisk förklaring till att centralkriminalpolisen i praktiken sköter registreringen, trots att Polisstyrelsen enligt lag är registeransvarig.

Utskottet poängterar att det behövs en övergripande reform av lagstiftningen om polisens behandling av personuppgifter (se FvUB 26/2013 rd). I framtiden måste man ytterligare fokusera på att informationssystemens struktur måste vara uppbyggd så att de styr användaren att handla rätt och lagligt och på att man vid utvecklingen av informationssystem beaktar vad laglighetsövervakningen kräver. Utskottet understryker att inget system och ingen övervakning kan ersätta att saker och ting görs rätt från första början. Det är detta vi måste satsa på mer än något annat. Det kan rentav vara omöjligt att heltäckande gå igenom registren i efterhand också för den registeransvarige, vars handlingar måste kunna övervakas också av utomstående. Utskottet vill i det här sammanhanget också lyfta fram att anvisningarna är av särskild vikt.

Utifrån inkommen utredning konstateras förvaltningsutskottet att den behöriga myndigheten enligt 41 § i personuppgiftslagen () ska bereda dataombudsmannen tillfälle att bli hörd vid beredningen av reformer av sådan lagstiftning eller förvaltning som gäller skydd av fri- och rättigheter vid behandlingen av personuppgifter. Syftet med bestämmelsen är naturligtvis att proaktivt sträva efter en lagenlig behandling och registrering av personuppgifter. Målet måste självklart ständigt vara en god praxis för behandlingen av personuppgifter. Enligt utredning har det i de anvisningar som på senare tid utfärdats om informationssystemet för misstänkta inte beretts tillfälle för dataombudsmannen att bli hörd. Dataombudsmannens byrå har i sin tur meddelat att uppgifter i registret har korrigerats efter kontakter från dataombudsmannen. Dataombudsmannen har dessutom meddelat att han kommer att göra en sådan inspektion av informationssystemet för misstänkta som förutsätts i förvaltningsutskottets betänkande, när Polisstyrelsen har slutfört sina utredningar.

Om ansvarighet och redovisningsskyldighet

Sammanfattningsvis konstaterar förvaltningsutskottet på ett allmänt plan att det uppdagats strukturella missförhållanden i bland annat polisens anvisningar, rutiner, utbildning och interna kontroll och i övervakningens trovärdighet. Det handlar om principiellt viktiga frågor som sträcker sig längre än enbart till informationssystemet för misstänkta. Det handlar om polisens ansvarighet och redovisningsskyldighet (accountability) i fråga om hemliga register och taktiska och tekniska metoder, dvs. i en miljö som är varken offentlig eller transparent. Inom det hemliga verksamhetsfältet kräver ansvarigheten att polisen är redovisningsskyldig och att det som görs också registreras (audit trail). Det krävs alltså tydliga ansvarspositioner, heltäckande dokumentation och övervakning. Den registeransvariga måste kunna visa att registreringen är laglig. "Accountability" innebär också att polisen på begäran av en auktoriserad instans är skyldig att ge en fullständig redogörelse för sin verksamhet (audit trail). På grund av de strukturella bristerna och felen i informationssystemet för misstänkta menar utskottet att en trovärdig övervakning inte kan uppnås enbart genom polisens interna övervakning. I det högre skiktet i polisens hierarkiska organisation påträffas ofrånkomligen så kallade farliga arbetskombinationer och problem som anknyter till självinkrimineringsskyddet.

Utskottet ser det också som nödvändigt att vidta åtgärder som kan förhindra läckor ur polisens hemliga register. De mekanismer som kan avslöja denna typ av brott fungerar samtidigt i förebyggande syfte.

Utskottet kommer att behandla ärendet mer ingående när den fått den utredning som förutsätts i betänkandet .

Ställningstagande

Förvaltningsutskottet förutsätter

att inrikesministeriet beaktar det som sägs ovan.

Helsingfors den 9 mars 2015

I den avgörande behandlingen deltog

  • vordf. Mika Kari /sd
  • medl. Maarit Feldt-Ranta /sd
  • Satu Haapanen /gröna
  • Reijo Hongisto /saf
  • Risto Kalliorinne /vänst
  • Elsi Katainen /cent
  • Timo V. Korhonen /cent
  • Antti Lindtman /sd
  • Markus Lohi /cent
  • Tapani Mäkinen /saml
  • Kari Tolvanen /saml
  • Ulla-Maj Wideroos /sv
  • ers. Ari Jalonen /saf

Sekreterare var

utskottsråd Ossi Lantto