1.1  Lag om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet

Lagförslaget är nytt och baserar sig på Europaparlamentets och rådets direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (PNR-direktivet). Direktivet förpliktar lufttrafikföretag att överföra fastställda PNR-uppgifter till de enheter för passagerarinformation som inrättats eller utsetts av medlemsstaterna för analys av uppgifterna samt från enheten för eventuell överföring till behöriga myndigheter, en enhet för passagerarinformation i en annan medlemsstat eller till Europol för bedömning av om det behövs utredningar för att dessa ska kunna identifiera personer som är delaktiga i sådana terroristbrott eller sådan grov brottslighet som definieras i direktivet. Medlemsstaterna ska genomföra direktivet senast den 25 maj 2018.  

1 §.Tillämpningsområde. I paragrafen föreskrivs det att genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, nedan PNR-direktivet. 

2 §.Förhållande till annan lagstiftning. I paragrafen preciseras lagförslagets förhållande till annan lagstiftning. Enligt 1 mom. tillämpas utöver det som föreskrivs i lagförslag 1 också lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ) på behandlingen av PNR-uppgifter vid enheten för passagerarinformation. Lagförslaget syftar till att genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet). Den föreslagna lagen är en speciallag som ska komplettera lagstiftningen i fråga.  

I 2 mom. föreslås ett informativt omnämnande om att bestämmelser om polisens, Tullens och Gränsbevakningsväsendets rätt att få uppgifter om flygpassagerare även finns i lagen om behandling av personuppgifter i polisens verksamhet (761/2003), lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/205) och lagen om behandling av personuppgifter inom Tullen (639/2015). PNR-direktivet och den nu föreslagna lagen om genomförande av direktivet kommer inte att begränsa rätten att få information eller behandlingen av uppgifter som grundar sig på annan lagstiftning och inte heller utbytet av uppgifter om passagerare i utrikestrafiken. Sådan reglering ingår åtminstone i lagen om behandling av personuppgifter i polisens verksamhet, lagen om behandling av personuppgifter inom Tullen och lagen om behandling av personuppgifter vid gränsbevakningsväsendet. PNR-direktivet och lagen om genomförande av direktivet ålägger lufttrafikföretagen en preciserad skyldighet att lämna ut information. För att den nya lagstiftningen inte i onödan ska öka transportörernas administrativa börda, bör de myndigheter som behöver PNR-uppgifter i första hand enas om möjligheten att ta emot dessa uppgifter som lämnats ut med stöd av olika lagstiftningar via en enda kanal och eventuellt rentav vid ett och samma tillfälle. Dessutom bör myndigheterna enas om hur de uppgifter som överförts till och tagits emot av myndigheterna ska överföras vidare till de nationella behöriga myndigheterna.  

3 §.Definitioner. I paragrafen ingår de definitioner som gäller i lagen. I paragrafen definieras lufttrafikföretag (1 punkten), flygning utanför Europeiska unionen (2 punkten), flygning inom Europeiska unionen (3 punkten), passagerare (4 punkten), PNR-uppgifter (5 punkten), terroristbrott (6 punkten), grov brottslighet (7 punkten), maskering (8 punkten), behöriga myndigheter (9 punkten) och Europol (10 punkten). Definitionerna i 1—8 punkten motsvarar definitionerna i artikel 3 i PNR-direktivet. Med terroristbrott avses terroristbrott enligt 34 a kap. 1—5 § i strafflagen (1889/33), medräknat olika brott som begåtts i terroristiskt syfte, förberedelse till brott som begås i terroristiskt syfte, ledning av terroristgrupper, främjande av terroristgruppers verksamhet och finansiering av terrorism. I 9 punkten definieras som behöriga myndigheter enligt PNR-direktivet polisen, Tullen och Gränsbevakningsväsendet. I PNR-direktivet hänvisas det i fråga om definitionerna av terroristbrott till rådets rambeslut 2002/475/RIF (artiklarna 1—4), vilket har ersatts med Europaparlamentets och rådets direktiv (EU) 2017/541 om bekämpande av terrorism, om ersättande av rådets rambeslut 2002/475/RIF och om ändring av rådets beslut 2005/671/RIF (terrorismdirektivet). Enligt artikel 27 i terrorismdirektivet ska hänvisningar till rambeslut 2002/475/RIF anses som hänvisningar till detta direktiv. Den skyldighet som åläggs i terrorismdirektivet att kriminalisera terroristbrott är betydligt mer omfattande än skyldigheten enligt artiklarna 1—4 i rambeslutet. Direktivet förpliktigar t.ex. medlemsstaterna att som nya brott kriminalisera mottagande av utbildning för terroristsyften och resor för terroristsyften och främjande av sådana resor samt att strängare än tidigare kriminalisera finansiering av terrorism. Medlemsstaterna ska införliva terrorismdirektivet med den nationella lagstiftningen senast den 8 september 2018.  

Med grov brottslighet i 7 punkten avses brott som förtecknas i bilaga II till PNR-direktivet och vilka bestraffas med fängelse eller annan frihetsberövande åtgärd eller säkringsåtgärd i minst tre år enligt medlemsstatens nationella rätt. Beträffande grov brottslighet innehåller bilaga II till PNR-direktivet följande brottsförteckning med 26 punkter: 1) Deltagande i en kriminell organisation 2) Människohandel 3) Sexuellt utnyttjande av barn samt barnpornografi 4) Olaglig handel med narkotika och psykotropa ämnen 5) Olaglig handel med vapen, ammunition och sprängämnen 6) Korruption 7) Bedrägeri, inbegripet riktat mot unionens finansiella intressen 8) Penningtvätt och penningförfalskning, inklusive förfalskning av euron 9) It-brottslighet/cyberbrottslighet 10) Miljöbrott, inbegripet olaglig handel med hotade djurarter och hotade växtarter och växtsorter 11) Hjälp till olovlig inresa och olovlig vistelse 12) Mord, grov misshandel 13) Olaglig handel med mänskliga organ och vävnader 14) Människorov, olaga frihetsberövande och tagande av gisslan 15) Organiserad stöld och väpnat rån 16) Olaglig handel med kulturföremål, inbegripet antikviteter och konstverk 17) Varumärkesförfalskning och piratkopiering 18) Förfalskning av administrativa dokument och handel med sådana förfalskningar 19) Olaglig handel med hormonsubstanser och andra tillväxtsubstanser 20) Olaglig handel med nukleära och radioaktiva ämnen 21) Våldtäkt 22) Brott som omfattas av den internationella brottmålsdomstolens behörighet 23) Kapning av flygplan eller fartyg 24) Sabotage 25) Handel med stulna fordon 26) Industrispionage. 

Då man jämför denna brottsförteckning med de brott som nämns i strafflagen, kan man bedöma att omkring sextio brott vars gärningsbeskrivning kan anses motsvara gärningarna i brottsförteckningen är sådana brott för vilka den strängaste påföljden är minst tre års fängelse. Bedömningen innehåller också olika gärningsformer av en gärning som föreskrivs som samma brott.  

4 §.Lufttrafikföretags skyldighet att överföra PNR-uppgifter. Enligt 1 mom. i paragrafen ska ett lufttrafikföretag överföra PNR-uppgifter som avses i 2 mom. för såväl ankommande som avgående flygningar utanför eller inom Europeiska unionen som de utför, till den del uppgifterna har samlats in som en del av den normala affärsverksamheten. I fråga om flygningar med gemensam linjebeteckning gäller skyldigheten det företag som utför flygningen. PNR-uppgifterna ska överföras till den enhet för passagerarinformation som avses i 5 §. Om lufttrafikföretaget också har samlat in sådan förhandsinformation om passagerare som avses i punkt 18 i bilaga I till PNR-direktivet men inte förvarar den med samma tekniska medel som andra PNR-uppgifter, ska även denna information överföras. Lufttrafikföretaget ska överföra PNR-uppgifterna avgiftsfritt. 

I artikel 8.1 i PNR-direktivet fastställs lufttrafikföretags skyldighet att överföra PNR-uppgifter till enheten för passagerarinformation och i artikel 8.2 anges medlemsstaternas skyldighet att se till att lufttrafikföretagen överför också den förhandsinformation om passagerare, s.k. API-uppgifter (Advance Passenger Information), som avses i punkt 18 i bilaga I. Av artikel 2 i PNR-direktivet framgår det att en medlemsstat kan tillämpa PNR-direktivet också på flygningar inom EU, antingen på alla eller endast valda flygningar inom EU. Enligt 3 kap. 13 § 1 mom. 16 punkten i lagen om behandling av personuppgifter i polisens verksamhet (761/2003) har polisen redan rätt att av samfund och sammanslutningar få uppgifter ur register som gäller passagerare och fordons personal, för förhindrande, avslöjande och utredning av brott, för överlämnande till åtalsprövning samt för att nå efterlysta personer. Tullen har motsvarande rätt med stöd av 13 § 1 mom. 1 punkten i lagen om behandling av personuppgifter inom Tullen. Polisens och Tullens rätt att få dessa uppgifter är inte begränsade till flygningar utanför EU. Såsom det framgår av det förra avsnittet 2.2. om den internationella utvecklingen samt lagstiftningen i utlandet och i EU gav medlemsstaterna i EU i samband med antagandet av PNR-direktivet en förklaring där de förbinder sig att vid godkännandet av de nationella genomförandelagarna fullt ut utnyttja möjligheten enligt artikel 2 i PNR-direktivet att tillämpa direktivet också på flygningar inom EU. I samband med beredningen av direktivet framgick det att det för direktivets effektfullhet krävs att uppgifter fås också om flygningar inom EU. Med beaktande av det ovannämnda ska ett lufttrafikföretag överföra de uppgifter som avses i den föreslagna paragrafens 1 mom. för alla ankommande och avgående flygningar utanför eller inom Europeiska unionen. Uppgifterna ska överföras avgiftsfritt. Genom det föreslagna 1 mom. genomförs artikel 2 i PNR-direktivet samt artikel 8.1 delvis och artikel 8.2.  

Förklaringen innehåller också ett uttalande om att medlemsstaterna strävar efter att i sin nationella lagstiftning (i vissa medlemsstater inom ramen för de parlamentariska procedurerna) utvidga direktivets tillämpningsområde så att det också omfattar andra ekonomiska aktörer än dem som bedriver lufttrafik, såsom resebyråer och researrangörer. Enligt artikel 19.1 i PNR-direktivet, som gäller översyn, ska kommissionen senast den 25 maj 2020 göra en översyn av samtliga delar av direktivet och överlämna till och lägga fram en rapport för Europaparlamentet och rådet. Rapporten ska också beakta huruvida det är nödvändigt att låta ekonomiska aktörer som inte är trafikföretag, t.ex. resebyråer och researrangörer som tillhandahåller reserelaterade tjänster, inklusive bokning av flygningar, omfattas av detta direktivs tillämpningsområde. I detta lagförslag föreslås ingen skyldighet att överföra uppgifter för andra än lufttrafikföretagen. 

Enligt 2 mom. PNR-uppgifterna omfattar 1) PNR-uppgifternas lokaliseringskod, 2) datum för bokning/utfärdande av biljett, 3) planerat/planerade resdatum, 4) namn, 5) adress och kontaktuppgifter, 6) alla former av betalningsinformation, 7) hela resrutten för de aktuella PNR-uppgifterna, 8) uppgifter om bonusprogram, 9) resebyrå/resebyråtjänsteman, 10) passagerares resestatus, inbegripet resebekräftelser, incheckningsstatus, passagerare som inte infinner sig eller passagerare utan bokning, 11) delade PNR-uppgifter, 12) allmänna anmärkningar, 13) biljettinformation, 14) platsnummer och annan platsinformation, 15) information om gemensam linjebeteckning, 16) all bagageinformation, 17) antal medresenärer i PNR-uppgifterna och deras namn, i samband med en bokning, 18) eventuell förhandsinformation som samlats in om passagerare, samt 19) alla tidigare ändringar av de PNR-uppgifter som avses i 1—18 punkten. Genom det föreslagna 2 mom. genomförs skyldigheten enligt artikel 8.1 i PNR-direktivet att överföra uppgifterna i direktivets bilaga I. 

Enligt 3 mom. ska PNR-uppgifterna överföras 24 timmar före flygningens planerade ankomst- eller avgångstid och omedelbart efter det att gatens dörrar stängts, varvid överföringen av uppgifter också kan begränsas till uppdateringar av tidigare överförda uppgifter. Om uppgifterna behövs för att man ska kunna reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet, ska uppgifterna på begäran av enheten för passagerarinformation överföras även vid andra tidpunkter. Enligt artikel 8.3 a i PNR-direktivet ska uppgifterna överföras 24—48 timmar före flygningens planerade avgång, och enligt punkt 4 omedelbart efter det att gatens dörrar har stängts. När enheten för passagerarinformation byggdes upp sågs 24 timmar som en lämplig tid. Beträffande tiden skulle det vara ändamålsenligt att alla medlemsstater följde samma praxis, saken diskuteras för närvarande av medlemsstaterna och kommissionen. Enligt artikel 8.4 ska medlemsstaterna tillåta lufttrafikföretag att begränsa den överföring som avses i punkt 3 b till uppdateringar av sådana överföringar som avses i punkt 3 a. I situationer där åtkomst till PNR-uppgifter är nödvändig för att reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet, ska enligt artikel 8.5 lufttrafikföretag efter en bedömning i det enskilda fallet på begäran av en enhet för passagerarinformation, i enlighet med nationell rätt, överföra PNR-uppgifter vid andra tidpunkter än de som anges i punkt 3. Genom det föreslagna 3 mom. genomförs artikel 8.3—5 i PNR-direktivet.  

Enligt 4 mom. ska PNR-uppgifter överföras i enlighet med kommissionens genomförandebeslut (EU) 2017/759 om gemensamma protokoll och dataformat som ska användas av lufttrafikföretag när PNR-uppgifter överförs till enheterna för passagerarinformation. Genom det föreslagna 4 mom. genomförs det första stycket i artikel 8.3 samt artikel 16.2-3 i PNR-direktivet.  

5 §.Enhet för passagerarinformation. I paragrafens 1 mom. preciseras den enhet för passagerarinformation som avses i lagen och som utgörs av en sådan riksomfattande PTG-kriminalunderrättelseenhet som avses i 5 § i lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet (nedan PTG-lagen). Artikel 4 i PNR-direktivet ålägger varje medlemsstat att inrätta eller utse en myndighet med behörighet att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet eller en avdelning inom en sådan myndighet, vilken ska fungera som medlemsstatens enhet för passagerarinformation. I Finland är den riksomfattande PTG-kriminalunderrättelseenhet som avses i 5 § i PTG-lagen en sådan enhet för passagerarinformation som avses i direktivet. Vid enheten arbetar företrädare för polisen, Tullen och Gränsbevakningsväsendet som är de behöriga myndigheter som förutsätts i PNR-direktivet. I avsnitt 4.2, konsekvenser för myndigheterna, ingår en närmare beskrivning av enheten för passagerarinformation och dess verksamhet. I propositionen ingår också ett förslag till ändring av 5 § i PTG-lagen, genom vilken den riksomfattande PTG-kriminalunderrättelseenheten fastställs som permanent. I samband med det stryks hänvisningen i den sista meningen i det gällande 1 mom. som gäller särskilda polisbefogenheter enligt 8 § i den upphävda polislagen (493/1995). Bestämmelser om särskilda polisbefogenheter ingår inte i den gällande polislagen. Dessutom är det lämpligt att ändra 3 § i statsrådets förordning om samarbete mellan polisen, tullen och gränsbevakningsväsendet (1126/2009) så att polisöverdirektören, generaldirektören för Tullstyrelsen och chefen för gränsbevakningsväsendet beslutar i den riksomfattande PTG-ledningsgruppen om de riksomfattande PTG- kriminalunderrättelseenheternas närmare uppbyggnad samt om inrättande och indrag av andra PTG-enheter. Enligt 2 mom. har enheten för passagerarinformation till uppgift att ta emot PNR-uppgifter och behandla dem i enlighet med denna lag. Genom den föreslagna 5 § samt ändringen av PTG-lagen genomförs PNR-direktivets artikel 4 om enheter för passagerarinformation.  

6 §.Personuppgiftsansvarig och dataskyddsombud. Enligt 1 mom. i paragrafen är Polisstyrelsen personuppgiftsansvarig för det register vid enheten för passagerarinformation som innehåller PNR-uppgifter och ansvarar för utnämningen av ett dataskyddsombud. Dataskyddsombudet ansvarar för övervakningen av behandlingen av PNR-uppgifter och genomförandet av åtgärder i anslutning till dataskydd vid enheten för passagerarinformation. Enligt paragrafens 2 mom. har dataskyddsombudet tillgång till de uppgifter som behandlas vid enheten för passagerarinformation. En registrerad har rätt att kontakta dataskyddsombudet i alla ärenden som gäller behandling av hans eller hennes PNR-uppgifter. Genom den föreslagna 6 § genomförs artikel 5 i PNR-direktivet.  

7 §.Behandling av PNR-uppgifter. Enligt 1 mom. i paragrafen får enheten för passagerarinformation behandla PNR-uppgifter för identifiering av personer som kan vara delaktiga i terroristbrott eller grov brottslighet, enligt följande: 1) före passagerarnas beräknade ankomst eller avresa, 2) på motiverad begäran, som bygger på tillräckliga observationer, från de behöriga myndigheterna, enheten för passagerarinformation i en annan medlemsstat eller Europol, 3) i enlighet med på förhand fastställda kriterier för bedömning och analys eller för att uppdatera kriterierna eller fastställa nya kriterier.  

Enligt artikel 6.2 a i PNR-direktivet får enheten för passagerarinformation behandla PNR-uppgifter för att göra en bedömning av passagerare före deras beräknade ankomst till eller avresa från den berörda medlemsstaten. Genom förslaget i 1 mom. 1 punkten genomförs artikel 6.2 a i PNR-direktivet.  

Enligt artikel 6.2 b i PNR-direktivet får enheten för passagerarinformation behandla PNR-uppgifter genom att i enskilda fall besvara en vederbörligen motiverad förfrågan som bygger på tillräckliga skäl från de behöriga myndigheterna om att tillhandahålla och behandla PNR-uppgifter i specifika fall och tillhandahålla de behöriga myndigheterna eller, när så är lämpligt, Europol resultaten av sådan behandling. Enligt artikel 9.2 i PNR-direktivet har en medlemsstat rätt att vid behov begära PNR-uppgifter från enheten för passagerarinformation i vilken medlemsstat som helst. Enligt artikel 10.1 i PNR-direktivet har Europol rätt att inom ramen för sina befogenheter och för fullgörandet av sina arbetsuppgifter begära PNR-uppgifter eller resultatet av behandlingen av dessa uppgifter från enheterna för passagerarinformation i medlemsstaterna. Genom förslaget i 1 mom. 2 punkten genomförs artikel 6.2 b och artikel 9.2 samt artikel 10.1 i PNR-direktivet.  

Enligt artikel 6.2 c i PNR-direktivet får enheten för passagerarinformation analysera PNR-uppgifter för att uppdatera och skapa nya kriterier och enligt 3 b behandla PNR-uppgifter i enlighet med på förhand fastställda kriterier. Genom förslaget i 1 mom. 3 punkten genomförs artikel 6.2 c och 6.3 b i PNR-direktivet.  

Inom brottsbekämpningen kan PNR-uppgifter användas på många olika sätt. Först och främst kan informationen användas reaktivt: i samband med brottsutredningar, lagföring eller upplösning av kriminella nätverk efter det att ett brott redan har begåtts. För att de brottsbekämpande myndigheterna ska få tillgång till de gamla uppgifter som de behöver måste de ha rätt att lagra uppgifterna tillräckligt länge. Informationen kan användas också i realtid, innan en passagerare har anlänt eller avrest, i syfte att förhindra ett brott, övervaka eller gripa personer innan ett brott har begåtts eller på grund av att ett brott har begåtts eller håller på att begås. I dessa fall behövs PNR-uppgifter för en jämförelse mot redan fastställda bedömningskriterier vilket gör det möjligt att identifiera tidigare okända misstänkta, eller för att söka i olika databaser över eftersökta personer och föremål. Vidare kan uppgifterna användas proaktivt för analys och för att skapa bedömningskriterier som sedan kan användas för bedömning av passagerare före ankomst och avresa. För att de brottsbekämpande myndigheterna ska ha nytta av en sådan analys för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet måste de ha rätt att lagra uppgifterna tillräckligt länge. Proaktiv användning av uppgifter är till exempel att man kommer eventuella terrorister eller kriminella grupper som smugglar droger eller bedriver människohandel på spåren genom att analysera sätten att resa och tillvägagångssätt som avviker från det normala. Som avvikande kan nämnas till exempel kontantbetalning för bokningar som gjorts i sista minuten eller att en passagerare saknar bagage. Avsikten kan vara att dölja en passagerares identitet. Flygning är ett snabbt, enkelt och billigt sätt att resa också för den som planerar terroristiska gärningar. Nyttan av analyser av PNR-uppgifter vid brottsbekämpning kan jämföras med analyser av routning och dess innehåll i samband med telekommunikation. Trots att det är allmänt känt, också bland dem som planerar brott, att myndigheterna har möjlighet att, antingen i realtid eller i efterhand, analysera telekommunikationen, har teleövervakning ändå stor betydelse som ett arbetsredskap för brottsbekämpande myndigheter.  

Enligt 2 mom. ska enheten för passagerarinformation fastställa de i 1 mom. 3 punkten avsedda kriterierna för bedömning och analys och se över dem regelbundet tillsammans med de behöriga myndigheterna. Bedömningskriterierna ska vara riktade, proportionella och tydliga. De får inte grunda sig på uppgifter om en persons ras, etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, medlemskap i fackförbund, hälsotillstånd, sexualliv eller sexuella läggning. Genom den föreslagna bestämmelsen i 2 mom. genomförs artikel 6.4 i PNR-direktivet. Genom momentet uppfyller medlemsstaterna samtidigt skyldigheten enligt artikel 11.3 i PNR-direktivet att förvissa sig om att profilering inte leder till diskriminering. Medlemsstaterna ska se till att kriterierna fastställs och regelbundet ses över av enheterna för passagerarinformation i samarbete med de behöriga myndigheter som avses i artikel 7. Dessa på förhand fastställda kriterier får under inga omständigheter vara baserade på en persons ras, etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning.  

I 3 mom. i paragrafen föreskrivs det om rätten för enheten för passagerarinformation att i samband med den behandling som avses i 1 mom. genom automatiserade metoder jämföra PNR-uppgifter med uppgifter i databaser som är relevanta för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Enligt artikel 6.3 a i PNR-direktivet får enheten för passagerarinformation jämföra PNR-uppgifter med uppgifter i databaser som är relevanta för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, inklusive databaser över personer eller föremål som är eftersökta eller finns uppförda på spärrlista, i enlighet med unionsbestämmelser eller internationella eller nationella bestämmelser som är tillämpliga på sådana databaser.  

Enligt propositionen får enheten för passagerarinformation i samband med den behandling som avses i 1 mom. genom automatiserade metoder jämföra PNR-uppgifter med uppgifter i följande databaser och register:  

1) polisens informationssystem och personregister enligt 2—4 och 6 § i lagen om behandling av personuppgifter i polisens verksamhet, 

2) skyddspolisens funktionella informationssystem enligt 5 § i lagen om behandling av personuppgifter i polisens verksamhet, 

3) Schengens informationssystem enligt 32 § 2 punkten i lagen om behandling av personuppgifter i polisens verksamhet, 

4) det undersöknings- och handräckningsregister som avses i 7 §, det register för övervakningsärenden som avses i 9 § samt Gränsbevakningsväsendets register över personer misstänkta för brott som avses i 11 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet, 

5) de informationssystem och personregister som avses i 3—7 § i lagen om behandling av personuppgifter inom Tullen, 

6) utlänningsregistret enligt 2 § i lagen om utlänningsregistret (1270/1997), 

7) fordonstrafikregistret enligt 1 § i lagen om fordonstrafikregistret (541/2003), 

8) farkostregistret enligt 1 § i lagen om farkostregistret (424/2014), 

9) befolkningsdatasystemet enligt 3 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009), 

10) internationella kriminalpolisorganisationens (I.P.C.O. - Interpol) databaser, samt 

11) de uppgifter som avses i 3 § 2 mom. i lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning (214/2017). 

De databaser som nämns ovan i 1—5 samt 10 och 11 punkten har upprättats för polisens, Tullens och Gränsbevakningsväsendets grundläggande uppgifter, där också brottsbekämpning ingår. Det utlänningsregister som avses i 6 punkten används bl.a. för behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse, i syfte att trygga statens säkerhet samt göra sådana normala eller omfattande säkerhetsutredningar som avses i lagen om säkerhetsutredningar. Registren i 7—9 punkten är inte upprättade med avseende på brottsbekämpning. Det har dock ansetts att det är nödvändigt att utvidga möjligheten att utnyttja datainnehållet och lämna ut uppgifter ur registren för att myndigheterna ska kunna sköta uppgifter som föreskrivs annanstans i lag eller bestäms med stöd av lag. Också jämförelse av dessa register med PNR-uppgifter är väsentligt för att förebygga brottslighet som avses i direktivet. Till exempel kan det konstateras att egendom som förvärvats genom brott ofta överförs till den närmaste kretsen till den som begått ett allvarligt brott och omvandlas till en annan form, t.ex. när det gäller fordon, båtar, fastighets- och andra värdetillgångar. När man försöker nå sådana personer som är efterlysta för allvarliga brott och finna samband och kontaktinformation mellan personer och egendom och rikta åtgärder mot dem, kan också officiella uppgifter ur register över fordon, farkoster och fastigheter ha stor betydelse. Vid en jämförelse av registren är det inte fråga om att överväga att inleda förundersökning. Vid en jämförelse av uppgifter analyserar enheten för passagerarinformation de uppgifter den fått för att se om det finns grunder för att överföra uppgifterna till behöriga myndigheter för ytterligare undersökningar. En eventuell förundersökning görs av de behöriga myndigheterna, inte av enheten för passagerarinformation. 

Genom 1—11 punkten i det föreslagna 3 mom. genomförs artikel 6.3 a i PNR-direktivet.  

Enligt artikel 7.4 i PNR-direktivet får PNR-uppgifter och resultaten av behandlingen av dessa uppgifter som mottas av enheten för passagerarinformation vidarebehandlas av de behöriga myndigheterna i medlemsstaterna bara för specifika syften, såsom att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet. Enligt artikel 7.5 i direktivet ska punkt 4 inte påverka de brottsbekämpande eller rättsliga myndigheternas befogenheter på nationell nivå, om andra brott eller indikationer på sådana upptäcks i samband med brottsbekämpande insatser som görs till följd av sådan behandling av PNR-uppgifter. Om specifika PNR-uppgifter har överförts till en behörig myndighet för att användas inom ramen för särskilda brottsutredningar eller lagföringsåtgärder, bör enligt skäl 26 i ingressen till direktivet den behöriga myndighetens lagring av dessa uppgifter regleras av nationell rätt, oavsett vilken lagringstid för uppgifter som anges i detta direktiv. Vid behandling av PNR-uppgifter eller resultat av behandlingen av uppgifterna som erhållits från enheten för passagerarinformation för bekämpning av terrorism och grov brottslighet, får polisen, Tullen och Gränsbevakningsväsendet behandla uppgifterna också för bekämpning av annan brottslighet, om det till följd av behandlingen framkommer andra brott eller indikationer på sådana. 

PNR-direktivet och förslaget till lag om genomförande av direktivet kommer inte att begränsa rätten att få information eller behandlingen av uppgifter som grundar sig på annan lagstiftning och inte heller utbytet av uppgifter om passagerare i utrikestrafiken. Sådan reglering ingår åtminstone i lagen om behandling av personuppgifter i polisens verksamhet, lagen om behandling av personuppgifter vid gränsbevakningsväsendet och lagen om behandling av personuppgifter inom Tullen. PNR-direktivet och lagen om genomförande av direktivet medför en mera preciserad och definierad skyldighet att lämna ut uppgifter i fråga om PNR-uppgifter inom lufttrafiken. För att den nya lagstiftningen inte i onödan ska öka transportörernas administrativa börda, bör de myndigheter som behöver PNR-uppgifter i första hand enas om möjligheten att ta emot dessa uppgifter som lämnats ut med stöd av olika lagstiftningar via en enda kanal och eventuellt rentav vid ett och samma tillfälle. Dessutom bör myndigheterna enas om hur de uppgifter som lämnats ut och tagits emot ska vidarefördelas till de nationella behöriga myndigheterna.  

Enligt 4 mom. i paragrafen ska eventuella träffar i samband med sådan behandling av PNR-uppgifter som avses i 1 mom. 1 punkten granskas individuellt. Enligt artikel 6.5 i PNR-direktivet ska medlemsstaterna se till att eventuella träffar i samband med automatisk behandling av PNR-uppgifter enligt punkt 2 a (bedömning av passagerare före deras beräknade ankomst eller avresa) granskas individuellt med icke-automatiska metoder, för att verifiera huruvida den behöriga myndighet som avses i artikel 7 behöver vidta åtgärder enligt nationell rätt. Genom det föreslagna 4 mom. genomförs artikel 6.5 i PNR-direktivet. 

Enligt 5 mom. ska en jämförelse med uppgifterna i skyddspolisens funktionella informationssystem enligt 3 mom. 2 punkten ovan genomföras på ett sätt som tryggar dataskyddet, i enlighet med vad som avtalas med skyddspolisen. Jämförelsen får genomföras endast av en tjänsteman som skyddspolisen har förordnat till enheten för passagerarinformation. Resultaten av jämförelsen får vidarebefordras endast med samtycke av skyddspolisen. Punkten gäller en jämförelse av PNR-uppgifter med de personuppgifter som behandlas av skyddspolisen. Genom den föreslagna punkten framhålls kraven på dataskydd som uppstår när uppgifter behandlas i ett informationssystem med hög datasäkerhet (skyddsnivå II).  

I enlighet med den föreslagna 14 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ska den personuppgiftsansvarige svara för att personuppgifter behandlas lagenligt. Enligt 15 § i samma lagförslag ska den personuppgiftsansvarige när metoder för behandlingen av personuppgifter fastställs och i samband med behandlingen av uppgifterna vidta lämpliga tekniska och organisatoriska skyddsåtgärder för att förvissa sig om att behandlingen är lagenlig och den registrerades rättigheter tryggas. När åtgärderna genomförs ska de tekniska lösningar som står till förfogande, kostnaderna för åtgärderna samt behandlingens art, omfattning, sammanhang och syften beaktas liksom de risker som riktar sig mot fysiska personers rättigheter. Enligt 31 § i lagförslaget ska den personuppgiftsansvarige och personuppgiftsbiträdet genom tekniska och organisatoriska åtgärder skydda personuppgifterna för att förvissa sig om en säkerhetsnivå som är lämplig i förhållande till risken för den registrerades rättigheter. Bestämmelser om skyddet av personuppgifter finns också i PNR-direktivet. Enligt artikel 13.7 i direktivet ska medlemsstaterna se till att deras enhet för passagerarinformation genomför lämpliga tekniska och organisatoriska åtgärder och förfaranden för att säkerställa en så hög säkerhetsnivå som är lämplig med tanke på de risker som är förknippade med behandlingen och arten av PNR-uppgifterna. 

Den föreslagna bestämmelsen kan anses ha en delvis informativ karaktär, eftersom bestämmelserna ovan förutsätter att all behandling av personuppgifter genomförs på ett sätt som tryggar dataskyddet. Bestämmelser om dataskydd ingår också i den gällande lagstiftningen om behandling av personuppgifter. Förslaget till bestämmelse ses dock som nödvändigt, eftersom jämförelsen görs i ett informationssystem på skyddsnivå II, vilket vid informationsbehandlingen kräver avvikande tekniker med ett starkare skydd jämfört med andra system på lägre datasäkerhetsnivå. I det avseendet är det lämpligt att framhålla vikten av att jämförelsen görs på ett datasäkert sätt, eftersom man blir tvungen att tillgripa metoder som avviker från andra informationssystem på en lägre säkerhetsnivå. 

Enligt 5 mom. får jämförelsen genomföras bara av en tjänsteman som skyddspolisen förordnat till uppgiften vid enheten för passagerarinformation. Redan tidigare i lagstiftningen har man omfattat ståndpunkten att utomstående inte ska ha åtkomst till skyddspolisens informationssystem på grund av att innehållet är känsligt. Saken har beskrivits på följande sätt i tidigare förarbeten till lagen om behandling av personuppgifter i polisens verksamhet: ”Datasystemet är avsett att användas av en enda polisenhet, nämligen skyddspolisen, varför endast personer som hör till skyddspolisens personal skall ha rätt att använda det” (RP 39/1994 s.15). 

Det föreslagna momentet anknyter också till de krav på datasäkerhet som behandlas ovan. I praktiken innebär bestämmelsen en skyldighet att begränsa behandlingen av uppgifter med organisatoriska medel, eftersom bara en avgränsad grupp av användare kan ges åtkomst till hemligt eller särskilt känsligt faktamaterial. I skyddspolisens register är det dessutom även möjligt att registrera personer vilkas delaktighet i handlingar som skyddas genom direktivet kan vara i viss mån mer diffus eller osäker än i andra liknande personregister som ingår i jämförelsen. Därför krävs kännedom om polisens verksamhetsområde hos den som ska bedöma om uppgifterna är i den mån väsentliga och nödvändiga att de behöver lämnas vidare till behöriga myndigheter, andra enheter för passagerarinformation, Europol eller ett tredje land. Enligt sista meningen i 5 mom. kan de PNR-uppgifter som observerats genom jämförelsen enligt 6 § 3 mom. 2 punkten och resultaten av behandlingen av uppgifterna vidarebefordras bara med samtycke av skyddspolisen. 

Enligt skäl 23 i ingressen till PNR-direktivet får bestämmelserna i direktivet inte påverka andra unionsinstrument om informationsutbyte mellan polismyndigheter och andra brottsbekämpande myndigheter och rättsliga myndigheter. Till sådana bestämmelser hör Europaparlamentets och rådets förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (den s.k. Europol-förordningen). I artikel 7.7 i förordningen föreskrivs det att utan att det påverkar medlemsstaternas fullgörande av sitt ansvar att upprätthålla lag och ordning och skydda den inre säkerheten ska medlemsstaterna inte vara skyldiga att i ett konkret fall tillhandahålla information i enlighet med punkt 6 a, om det skulle a) strida mot den berörda medlemsstatens grundläggande säkerhetsintressen, b) äventyra en positiv utgång av en pågående utredning eller en enskild persons säkerhet, eller c) medföra att uppgifter som sätts i samband med organisationer eller särskild underrättelseverksamhet inom området för nationell säkerhet lämnas ut. Medlemsstaterna ska dock tillhandahålla information så snart den upphör att omfattas av första stycket led a, b eller c. Dessa grunder för vägran begränsar Europols rätt att få uppgifter från enheten för passagerarinformation. Vid bedömningen av grunderna för vägran har skyddspolisen en central roll.  

Enligt artikel 4.2 i Fördraget om Europeiska unionen (EU-fördraget) är den nationella säkerheten varje medlemsstats eget ansvar. Till skyddspolisens uppgifter hör att upprätthålla den nationella säkerheten, och därför omfattas dess verksamhet inte av tillämpningsområdet för unionsrätten. 

Även om det är skyddspolisens uppgift att upprätthålla den nationella säkerheten, är skyddspolisen samtidigt också till sin karaktär en polismyndighet. I Finland hör det till dess ansvarsområde att förhindra och avslöja terrorism samt administrera ett informationssystem i vilket tillhörande personuppgifter kan registreras. Om det inte vore möjligt att jämföra PNR-uppgifterna med skyddspolisens informationssystem, skulle man inte kunna förhindra eller avslöja terroristbrott i tillnärmelsevis lika hög grad. Utifrån ett nationellt effektivitetsperspektiv kan det anses vara av yttersta vikt att PNR-uppgifterna kan jämföras i den omfattning det behövs även med skyddspolisens informationssystem. Till exempel en jämförelse med informationssystemet för polisärenden har inte en ens på långt när en lika effektiv terrorismhämmande inverkan, eftersom dess syfte när det gäller terroristbrott i princip är att utreda brott. 

I skäl 23 i ingressen till direktivet hänvisas till rådets rambeslut 2006/960/RIF. Med stöd av detta rambeslut har det stiftats en nationell lag om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009). Enligt 3 § i lagen avses med information och underrättelser enligt 1) uppgifter i de personregister som avses i 2—4 och 6 § i lagen om behandling av personuppgifter i polisens verksamhet (761/2003). Bestämmelser om skyddspolisens register ingår i 5 § i lagen om behandling av personuppgifter i polisens verksamhet, vilket innebär att lagen inte tillämpas i skyddspolisens verksamhet. Trots detta får skyddspolisens uppgifter inte ha ett sämre skydd än den övriga polisens uppgifter för vilkas del det i 7 § i lagen om informations- och underrättelseutbyte (26/2009) föreskrivs om vägran att lämna ut information och underrättelser, om utlämnandet av informationen kan kränka Finlands suveränitet eller äventyra Finlands säkerhet eller andra väsentliga nationella intressen. Grunden för vägran ska således i sak tillämpas också på skyddspolisens verksamhet, även om lagen i fråga formellt inte tillämpas på verksamheten. 

I den gällande lagen om behandlingen av personuppgifter i polisens verksamhet utgår man från att uppgifterna i skyddspolisens funktionella datasystem i allmänhet är sådana att utlämnande av dem kan äventyra statens säkerhet (RP 39/1994 s. 21). Ett uttryck för detta är också att bestämmelserna om skyddspolisens uppgifter enligt 24 § 1 mom. 9 punkten i lagen om offentlighet i myndigheternas verksamhet (621/1999) innehåller en sekretesspresumtion. Med anledning av det som anges ovan är utgångspunkten också i detta lagförslag att det för utlämningen av uppgifter krävs samtycke av skyddspolisen. Med andra ord ska skyddspolisen bedöma om utlämningen av uppgifter kan äventyra statens säkerhet eller andra väsentliga nationella intressen. 

Med avseende på uppgifternas sekretess är det stora skillnader mellan skyddspolisens och den övriga polisens informationssystem. Skillnaderna i sin tur uttrycker varför uppgifter som noterats vid en jämförelse med skyddspolisens informationssystem som regel inte kan lämnas vidare i motsats till exempelvis utlämningen av uppgifter från informationssystemet för polisärenden. Dessutom talar de begränsningar som gäller skyddspolisens utbyte av information för den föreslagna bestämmelsen. Jämfört med den övriga polisens informationssystem betonas i skyddspolisens system de s.k. reglerna om tredjeland. Skyddspolisens verksamhet grundar sig i betydande grad på internationellt utbyte av information, och dess informationssystem innehåller i stor utsträckning personuppgifter som inhämtats i sådana sammanhang. Enligt 1 § 2 mom. i den gällande lagen om behandling av personuppgifter i polisens verksamhet ska utöver vad som föreskrivs i denna lag iakttas internationella avtal som är bindande för Finland. Informationsutbytet mellan säkerhets- och underrättelsetjänster grundar sig på överlåtarstatens prövning utan någon juridisk skyldighet att överlåta information, och på förtroendet för att informationen inte överlåts till tredje part utan överlåtarstatens samtycke. Bestämmelser om skyldigheten att iaktta internationella begränsningar i användningen av uppgifter finns i 31 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet. Skyddspolisens internationella samarbete äventyras om begränsningarna i användningen inte iakttas, vilket också är fallet om skyddspolisen förpliktigas att till PTG-myndigheterna lämna ut uppgifter som den fått inom ramen för sitt internationella informationsutbyte.  

Det faktum att rätten till insyn enligt 45 § i lagen om behandling av personuppgifter i polisens verksamhet inte överhuvudtaget gäller skyddspolisens informationssystem talar för krav på ett särskilt samtycke i förhållande till övriga register. Någon liknande begränsning gäller inte exempelvis informationssystemet för polisärenden. Syftet med skyddspolisens och den övriga polisens register skiljer sig från varandra, vilket i hög grad påverkar möjligheterna att lämna ut uppgifter ur registret.  

8 §.Överföring av PNR-uppgifter till behöriga myndigheter. Enligt 1 mom. ska enheten för passagerarinformation överföra de PNR-uppgifter om personer som har identifierats genom den behandling av PNR-uppgifter som avses i 7 § 1 mom. 1 punkten eller resultaten av behandlingen av uppgifterna till de behöriga myndigheterna, så att de kan utreda personernas delaktighet i terroristbrott eller grov brottslighet.  

Enligt 2 mom. får uppgifterna eller resultaten av behandlingen av uppgifterna överföras till de behöriga myndigheterna även på behörig och motiverad begäran från dessa myndigheter för att förebygga, avslöja, utreda och lagföra terroristbrott och grov brottslighet. 

Enligt 3 mom. får de uppgifter som avses ovan i 1 och 2 mom. lämnas ut endast från fall till fall. 

Enligt 4 mom. får de behöriga myndigheterna använda de uppgifter som enheten för passagerarinformation har överfört även för att utreda, förebygga och avslöja brott och omständigheter som tyder på brott som har kommit fram i samband med behandlingen av uppgifterna samt för inriktning av verksamheten och stödjande av oskuldspresumtionen.  

Enligt artikel 6.6 i PNR-direktivet ska enheten för passagerarinformation i en medlemsstat översända PNR-uppgifterna beträffande personer som har identifierats i enlighet med punkt 2 a (bedömning av passagerare före ankomst eller avresa) eller resultaten av behandlingen av dessa uppgifter till de behöriga myndigheter som avses i artikel 7 i samma medlemsstat för vidare granskning. Sådana överföringar får bara göras i enskilda fall och, vid automatisk behandling av PNR-uppgifter, efter individuell icke-automatisk granskning. Enligt artikel 6.2 b i direktivet ska enheten för passagerarinformation i enskilda fall besvara en vederbörligen motiverad förfrågan som bygger på tillräckliga skäl från de behöriga myndigheterna om att tillhandahålla och behandla PNR-uppgifter eller resultaten av behandlingen av uppgifter. Enligt artikel 6.7 i direktivet ska medlemsstaterna se till att dataskyddsombudet har åtkomst till alla uppgifter som enheten för passagerarinformation behandlar. Genom den föreslagna 8 § genomförs artikel 6.2 b, 6.6 och 6.7 i PNR-direktivet. 

9 §.Begäran om PNR-uppgifter av andra medlemsstater och utlämnande av uppgifter till dem. Enligt 1 mom. får enheten för passagerarinformation begära PNR-uppgifter av en enhet för passagerarinformation i en annan medlemsstat för att förebygga, avslöja, utreda och lagföra terroristbrott och grov brottslighet. Begäran ska motiveras. Enheten för passagerarinformation ska till den behöriga myndigheten överföra de PNR-uppgifter eller resultat av behandlingen av uppgifterna som den tagit emot av en enhet för passagerarinformation i en annan medlemsstat. 

I artikel 9.2 i PNR-direktivet konstateras det att enheten för passagerarinformation i en medlemsstat ska ha rätt att vid behov begära att en enhet för passagerarinformation i en annan medlemsstat tillhandahåller PNR-uppgifter som lagrats i den senares databas på vissa närmare villkor, om den begärande enheten för passagerarinformation anser begäran vara nödvändig för att bekämpa terroristbrott eller grov brottslighet. Enligt artikel 9.1 i PNR-direktivet ska bland annat enheterna för passagerarinformation i de mottagande medlemsstaterna översända den mottagna informationen till sina behöriga myndigheter. Genom det föreslagna 1 mom. genomförs delvis artikel 9.1 och 9.2 i PNR-direktivet. 

Enligt 2 mom. i paragrafen ska enheten för passagerarinformation överföra uppgifterna om personer som den identifierat genom sådan behandling av PNR-uppgifter som avses i 7 § 1 mom. 1 punkten samt genom tilläggsutredningar till motsvarande enheter för passagerarinformation i andra medlemsstater. De uppgifter som överförs ska omfatta alla relevanta och nödvändiga PNR-uppgifter eller resultat av behandlingen av uppgifterna om personer som identifierats genom behandlingen. Enheten för passagerarinformation får dessutom överföra PNR-uppgifter eller resultaten av behandlingen av uppgifterna till en enhet för passagerarinformation i en annan medlemsstat på dennes motiverade begäran. 

När personer i samband med en bedömning av passagerare identifieras av en enhet för passagerarinformation ska medlemsstaten enligt artikel 9.1 i PNR-direktivet se till att enheten för passagerarinformation översänder alla relevanta och nödvändiga PNR-uppgifter eller resultaten av en eventuell behandling av dessa uppgifter till motsvarande enheter i de andra medlemsstaterna. I artikel 9.2 i PNR-direktivet konstateras det att enheten för passagerarinformation i en medlemsstat ska ha rätt att vid behov begära att en enhet för passagerarinformation i en annan medlemsstat tillhandahåller PNR-uppgifter som lagrats i den senares databas på vissa närmare villkor, om den begärande enheten för passagerarinformation anser begäran vara nödvändig för att bekämpa terroristbrott eller grov brottslighet. Av artikel 9.1 framgår inte den ändamålsenliga principen att uppgifterna ska lämnas till enheten eller enheterna för passagerarinformation i den eller de medlemsstater som identifieringen hänsyftar till. Genom det föreslagna 2 mom. genomförs delvis artikel 9.1 och 9.2 i PNR-direktivet.  

Enligt 3 mom. kan de behöriga myndigheterna direkt av en enhet för passagerarinformation i en annan medlemsstat begära PNR-uppgifter när det behövs i nödfall för att förebygga, avslöja, utreda och lagföra terroristbrott och grov brottslighet. Begäran ska motiveras och information om den ska skickas till enheten för passagerarinformation. Under motsvarande förutsättningar får enheten för passagerarinformation överföra PNR-uppgifter till de behöriga myndigheterna i en annan medlemsstat på deras begäran.  

Enligt artikel 9.3 i PNR-direktivet får endast i nödfall och för att bekämpa terroristbrott och grov brottslighet en medlemsstats behöriga myndigheter vända sig direkt till enheten för passagerarinformation i en annan medlemsstat med en begäran om utlämnande av PNR-uppgifter som finns lagrade i den enhetens databas. Begäran från de behöriga myndigheterna ska motiveras. En kopia av begäran ska alltid skickas till enheten för passagerarinformation i den begärande medlemsstaten. I alla andra fall ska de behöriga myndigheterna översända sina framställningar via enheten för passagerarinformation i den egna medlemsstaten. Genom det föreslagna 3 mom. genomförs artikel 9.3 i PNR-direktivet. 

10 §.Överföring av PNR-uppgifter till Europol. Enheten för passagerarinformation får på motiverad begäran överföra PNR-uppgifter eller resultaten av tilläggsutredningar från behandlingen av uppgifterna till Europol för sådan behandling av uppgifter som avses i kapitel IV i den förordning som avses i 3 § 13 punkten i syfte att förebygga, avslöja och lagföra terroristbrott och grov brottslighet när överföringen av uppgifterna är behövlig för att målen för medlemsstaternas behöriga myndigheters brottsbekämpningssamarbete och ömsesidiga samarbete i enlighet med artikel 3 i den förordningen ska nås.  

Enligt artikel 10.1 i PNR-direktivet ska Europol inom ramen för sina befogenheter och för fullgörandet av sina arbetsuppgifter ha rätt att begära PNR-uppgifter eller resultaten av behandlingen av dessa uppgifter från enheterna för passagerarinformation i medlemsstaterna. Enligt artikel 10.2 får Europol från fall till fall via Europols nationella enhet lämna in en elektronisk, vederbörligen motiverad begäran till enheten för passagerarinformation i en medlemsstat om översändande av specifika PNR-uppgifter eller resultaten av behandlingen av dessa uppgifter. Europol får lämna in en sådan begäran när detta är absolut nödvändigt för att stödja och stärka medlemsstaternas åtgärder för att förebygga, förhindra, upptäcka eller utreda ett specifikt terroristbrott eller grovt brott i den mån brottet i fråga omfattas av Europols behörighet enligt beslut 2009/371/RIF. I den motiverade begäran ska rimliga skäl anges till varför Europol anser att översändandet av PNR-uppgifterna eller resultaten av behandlingen av PNR-uppgifter väsentligt kommer att bidra till att brottet i fråga förebyggs, upptäcks eller utreds. Enligt artikel 10.3 ska Europol informera det dataskyddsombud som utsetts i enlighet med artikel 28 i beslut 2009/371/RIF om varje informationsutbyte enligt den här artikeln. Enligt artikel 10.4 ska informationsutbyte enligt denna artikel äga rum via Siena och i enlighet med beslut 2009/371/RIF. Det språk som används för framställningen och informationsutbytet ska vara det som gäller för Siena. 

Europaparlamentets och rådets förordning (EU) 2016/794 (Europolförordningen) ersätter beslut 2009/371/RIF som nämns i PNR-direktivet. Bestämmelser som kompletterar Europolförordningen har utfärdats i lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning (214/2017). Enligt 3 § 1 mom. i lagen tillåts de behöriga myndigheter i Finland som avses i artikel 2 a i Europolförordningen ha direktkontakt med Europol i enlighet med artikel 7.5 i den förordningen. Enligt artikel 7.5 ska den nationella enheten i enlighet med punkt 2 fungera som sambandsorgan mellan Europol och medlemsstaternas behöriga myndigheter. På villkor som fastställs av medlemsstaterna, inbegripet tidigare kontakt med den nationella enheten, får medlemsstaterna dock tillåta direktkontakt mellan sina behöriga myndigheter och Europol. Skyldigheten enligt PNR-direktivet att överföra uppgifter bara via en nationell enhet grundar sig på det upphävda beslutet. Eftersom förordningen tillåter också direktkontakt, är det inte ändamålsenligt att begränsa kontakterna till att ske bara via en nationell enhet. Genom den föreslagna 10 § genomförs artikel 10.1 och 10.2 i PNR-direktivet. 

11 §.Överföring av PNR-uppgifter till tredjeländer. I paragrafen föreskrivs det om överföring av PNR-uppgifter till tredjeländer. Enligt det föreslagna 1 mom. får enheten för passagerarinformation överföra PNR-uppgifter och resultaten av behandlingen av uppgifterna till ett tredjeland endast i enskilda fall och förutsatt att 1) bestämmelserna i 41—43 § § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten iakttas, och 2) överföringen behövs för att förebygga, avslöja, utreda och lagföra terroristbrott och grov brottslighet. 

Enligt artikel 11.1 a i PNR-direktivet får en medlemsstat överföra PNR-uppgifter och resultaten av behandling av sådana uppgifter som lagrats av enheten för passagerarinformation i enlighet med artikel 12 till ett tredjeland efter bedömning i det enskilda fallet, bara under förutsättning att de villkor som fastställs i artikel 13 i rambeslut 2008/977/RIF är uppfyllda. Rambeslut 2008/977/RIF har upphävts genom Europaparlamentets och rådets direktiv (EU) 2016/680 (dataskyddsdirektivet). I 7 kap. 41 § i regeringens proposition med förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten, genom vilken dataskyddsdirektivet kommer att genomföras, behandlas allmänna principer för överföringen av personuppgifter till tredjeländer. Lagförslagets 7 kap. 41 § grundar sig på artikel 35, skäl 64 i ingressen och artikel 36.1 i dataskyddsdirektivet. Dessa ersätter de villkor som föreskrivs i artikel 13 i rambeslut 2008/977/RIF. Artikel 11.1 b i PNR-direktivet ställer som ytterligare villkor för överföring att överföringen är nödvändig för detta direktivs syften enligt artikel 1.2 (terroristbrott och grov brottslighet). Genom det föreslagna 1 mom. genomförs artikel 11.1 och 11.2 i PNR-direktivet.  

I 2 mom. i paragrafen föreskrivs det om villkoren för överföring när ett tredjeland som har fått PNR-uppgifter eller resultaten av behandlingen av uppgifterna överför uppgifterna eller resultaten av behandlingen av uppgifterna vidare till ett annat tredjeland. Enheten för passagerarinformation får ge tillstånd till ett tredjeland till vilket enheten har överfört PNR-uppgifter eller resultaten av behandlingen av uppgifterna att överföra uppgifterna vidare till ett annat tredjeland, om överföringen är nödvändig för bekämpning av terroristbrott och grov brottslighet. 

Enligt artikel 11.1 c i PNR-direktivet godtar det berörda tredjelandet att överföra uppgifterna till ett annat tredjeland bara om det är strikt nödvändigt för detta direktivs syften enligt artikel 1.2 (terroristbrott och grov brottslighet) och bara efter uttryckligt samtycke av medlemsstaten. Genom det föreslagna 2 mom. genomförs artikel 11.1 c i PNR-direktivet. 

Enligt det föreslagna 3 mom. får enheten för passagerarinformation överföra PNR-passageraruppgifter som den tagit emot från en enhet för passagerarinformation i en annan medlemsstat till ett tredjeland utan tillstånd av enheten för passagerarinformation i medlemsstaten i fråga endast om överföringen är av väsentlig betydelse för att man ska kunna reagera på ett i denna lag avsett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet som riktar sig mot en medlemsstat eller ett tredjeland och tillstånd inte kan fås i tid. Enheten för passagerarinformation i medlemsstaten i fråga ska informeras om överföringen och överföringen ska registreras på behörigt sätt och kontrolleras i efterhand. 

Enligt artikel 11.2 i PNR-direktivet ska överföring av PNR-uppgifter utan förhandssamtycke av den medlemsstat från vilken uppgifterna hämtades tillåtas i undantagsfall och bara om a) överföringen är absolut nödvändig för att reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet i en medlemsstat eller ett tredjeland, och b) förhandssamtycke inte kan erhållas i tid. Den myndighet som ansvarar för att ge samtycke ska informeras utan dröjsmål och överföringen ska vederbörligen registreras samt genomgå efterhandskontroll. Genom det föreslagna 3 mom. genomförs artikel 11.2 i PNR-direktivet.  

Innan PNR-uppgifter överförs till de behöriga myndigheterna i ett tredjeland ska enheten för passagerarinformation enligt 4 mom. i paragrafen förvissa sig om att tredjelandets planerade användning av uppgifterna är förenlig med villkoren och skyddsåtgärderna enligt denna paragraf. Dataskyddsombudet vid enheten för passagerarinformation ska informeras om överföringen av uppgifterna.  

Enligt artikel 11.3 i PNR-direktivet ska medlemsstaterna överföra PNR-uppgifter till behöriga myndigheter i tredjeländer på villkor som är förenliga med detta direktiv bara efter att ha förvissat sig om att mottagarnas planerade användning av uppgifterna är förenlig med dessa villkor och skyddsåtgärder. Enligt artikel 11.4 ska dataskyddsombudet vid enheten för passagerarinformation i den medlemsstat som har överfört PNR-uppgifterna informeras varje gång medlemsstaten överför PNR-uppgifter enligt denna artikel. Genom det föreslagna 4 mom. genomförs artikel 11.3 och 11.4 i PNR-direktivet. 

12 §. Utplåning och maskering av PNR-uppgifter och utlämnande av maskerade uppgifter. Enligt 1 mom. ska enheten för passagerarinformation utplåna PNR-uppgifter ur det register som avses i 6 § när fem år har förflutit från det att de överfördes till enheten för passagerarinformation. När sex månader har förflutit från det att uppgifterna överfördes till enheten för passagerarinformation ska följande PNR-uppgifter avskiljas från uppgifterna genom maskering: 1) namn, inklusive namn på andra passagerare i PNR-uppgifterna som reser tillsammans samt deras antal, 2) adress och andra kontaktuppgifter, 3) alla former av betalningsinformation, inbegripet faktureringsadress, om denna innehåller uppgifter som kan användas för att omedelbart identifiera den passagerare som PNR-uppgifterna avser, eller andra personer, 4) uppgifter om bonusprogram, 5) allmänna anmärkningar, och 6) eventuell förhandsinformation som har samlats in om passagerare. 

Enligt artikel 12.1 i PNR-direktivet ska medlemsstaterna se till att PNR-uppgifter som lämnas av lufttrafikföretag till enheten för passagerarinformation lagras i en databas vid enheten under en period på fem år efter överföringen till enheten för passagerarinformation i den medlemsstat på vars territorium flygningen ankom eller avgick. Denna skyldighet gäller dock inte om specifika PNR-uppgifter har överförts till en behörig myndighet och används i specifika fall i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, varvid den behöriga myndighetens lagring av uppgifterna i stället ska regleras av nationell rätt. Enligt artikel 12.2 i PNR-direktivet ska vid utgången av en period på sex månader efter överföringen av de PNR-uppgifter som avses i punkt 1 alla PNR-uppgifter avidentifieras genom maskering av följande uppgifter [1—6 punkten ovan], som kan användas för att omedelbart identifiera de passagerare som PNR-uppgifterna avser. Enligt artikel 12.4 ska medlemsstaterna se till att PNR-uppgifterna slutgiltigt raderas vid utgången av den period som avses i punkt 1. Genom det föreslagna 1 mom. genomförs artikel 12.1 och 12.2 i PNR-direktivet. 

Enligt 2 mom. i paragrafen ska enheten för passagerarinformation utplåna resultaten av den behandling som avses i 7 § 1 mom. 1 punkten (bedömning av passagerare i samband med avresa och ankomst) när de behöriga myndigheterna eller en enhet för passagerarinformation i en annan medlemsstat har informerats om en träff. Om resultatet efter tilläggsutredningar visar sig vara felaktigt får den felaktiga uppgiften, för att felaktiga träffar ska kunna undvikas i framtiden, bevaras till dess att uppgifterna har utplånats med stöd 1 mom. De behöriga myndigheter eller den enhet för passagerarinformation i en annan medlemsstat som resultaten av behandlingen lämnats ut till ska informeras om felaktiga resultat. 

Enligt artikel 12.5 i PNR-direktivet ska resultaten av den behandling som avses i artikel 6.2 a bevaras bara av enheten för passagerarinformation så länge som krävs för att informera de behöriga myndigheterna och, i enlighet med artikel 9.1, för att informera enheterna för passagerarinformation i andra medlemsstater om en träff. Även om automatisk behandling som utförs efter en sådan individuell icke-automatisk granskning som avses i artikel 6.5 inte ger någon träff, får resultatet bevaras för att undvika framtida ”falska” träffar, så länge de bakomliggande uppgifterna inte har raderats enligt punkt 4 i den här artikeln. Genom det föreslagna 2 mom. genomförs artikel 12.5 i PNR-direktivet. 

I 3 mom. föreskrivs det att uppgifterna ska utplånas omedelbart efter att de mottagits om PNR-uppgifterna innehåller andra uppgifter än de som avses i 4 § 2 mom., eller uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförbund, hälsotillstånd, sexualliv eller sexuell läggning. 

Om de PNR-uppgifter som överförs av lufttrafikföretag omfattar andra uppgifter än dem som anges i bilaga I, ska enheten för passagerarinformation enligt artikel 6.1 andra meningen i PNR-direktivet omedelbart och slutgiltigt radera dessa vid mottagandet. Enligt artikel 13.4 i direktivet ska medlemsstaterna förbjuda behandling av sådana PNR-uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförbund, hälsotillstånd, sexualliv eller sexuell läggning. Om enheten för passagerarinformation tar emot PNR-uppgifter av vilka sådan här information framgår ska den informationen omedelbart utplånas.  

PNR-uppgifter från vilka de uppgifter som avses i 1 mom. har avskilts genom maskering får enligt 4 mom. i paragrafen, inklusive de maskerade uppgifterna, lämnas ut endast genom ett beslut av chefen för enheten för passagerarinformation eller av en av denne förordnad person som hör till personalen vid enheten för passagerarinformation. Om det är fråga om en begäran från en enhet för passagerarinformation i en annan medlemsstat krävs det dessutom att utlämnandet av uppgifterna rimligen kan antas vara behövligt för bekämpning av terroristbrott eller grov brottslighet.  

Enligt artikel 12.3 i PNR-direktivet ska vid utgången av perioden på sex månader (tidsfrist för maskering av uppgifter) utlämnande av de fullständiga PNR-uppgifterna tillåtas bara a) om det rimligen kan antas vara nödvändigt för de ändamål som avses i artikel 6.2 b (begäran av en behörig myndighet), och b) efter tillstånd från i) en rättslig myndighet, eller ii) en annan nationell myndighet som i enlighet med nationell rätt är behörig att kontrollera om villkoren för tillgång är uppfyllda, under förutsättning att dataskyddsombudet vid enheten för passagerarinformation informeras och att denne genomför en efterhandsutvärdering. Utlämningen av uppgifter efter maskering kan inte ses som en sådan åtgärd som ingår i polisens sedvanliga verksamhet, och att det därför inte skulle vara nödvändigt att särskilt föreskriva om den som vidtar åtgärden. För att utföra sina uppdrag enligt polislagen på de sätt som anges i olika lagar har polisen rätt att få och lämna ut personuppgifter. Utlämningen av personuppgifter för de syften som avses i PNR-direktivet hör till de åtgärder som påverkar individens rättigheter och skyldigheter, och det är därför motiverat att särskilt föreskriva också om den. Oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet har polisen enligt 4 kap. 3 § 1 punkten i polislagen (872/2011) på begäran av en polisman som hör till befälet rätt att få information som behövs för att förhindra eller utreda brott. Med beaktande av att en polisman som hör till befälet enligt gällande lag har en omfattande rätt att få tillgång till konfidentiella uppgifter, är det lämpligt att fastställa samma tröskel också för utlämningen av PNR-uppgifter.  

Om de uppgifter som enheten för passagerarinformation i en annan medlemsstat begärt har avidentifierats genom maskering, ska enheten för passagerarinformation enligt artikel 9.2 i PNR-direktivet bara tillhandahålla fullständiga PNR-uppgifter, om det rimligen kan antas vara nödvändigt för att bekämpa terroristbrott och grov brottslighet. Genom det föreslagna 4 mom. genomförs artikel 9.2 delvis samt artikel 12.3. 

13 §.Inskränkningar i rätten till insyn. Med avvikelse från 23 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten gäller enligt 1 mom. i denna paragraf rätten till insyn inte uppgifter om resultaten av behandlingen av PNR-uppgifter. Enligt 2 mom. kan dataombudsmannen på begäran av en registrerad kontrollera att de uppgifter som avses i 1 mom. är lagenliga. 

14 §.Påföljdsavgift för lufttrafikföretag. I paragrafen föreskrivs om påföljdsavgift för lufttrafikföretag. Enligt 1 mom. ska lufttrafikföretag som bryter mot skyldigheten enligt 4 § att överföra PNR-uppgifter påföras en påföljdsavgift. Avgiften är 3 000 euro för varje sådan flygning för vilken PNR-uppgifter inte har överförts eller för vilken uppenbart bristfälliga uppgifter överförts. Enligt artikel 14 i PNR-direktivet ska medlemsstaterna särskilt fastställa bestämmelser om sanktioner, inklusive ekonomiska sanktioner, mot lufttrafikföretag som inte översänder uppgifter i enlighet med direktivet eller som inte översänder uppgifterna i det fastställda formatet. Sanktionerna ska vara effektiva, proportionella och avskräckande. Om man ser till principerna och påföljdens omfattning, överensstämmer bestämmelsen med 20 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005) om lufttrafikföretags skyldighet att lämna på förhand fastställda passageraravgifter till gränskontrollmyndigheten. Påföljderna av brott mot skyldigheten definieras i 179 § 1 mom. i utlänningslagen (301/2004). Genom bestämmelsen i fråga genomförs skyldigheten i artikel 4 i rådets direktiv 2004/82/EG, det s.k. API-direktivet, om lufttrafikföretags skyldighet att lämna förhandsinformation om passagerare och påföra de företag som inte översänder uppgifter eller översänder bristfälliga eller felaktiga uppgifter sanktioner som är effektiva, proportionella och avskräckande. Eftersom de uppgifter som avses i PNR-direktivet till viss del grundar sig på uppgifter från passagerarna själva, och lufttrafikföretagen inte har vare sig skyldighet eller möjlighet att kontrollera riktigheten, går det inte att ställa samma villkor för uppgifternas riktighet som när uppgifter översänds enligt API-direktivet. Därför bör det vara uppenbart att de uppgifter som har översänts är bristfälliga, innan en påföljdsavgift kan övervägas. Genom det föreslagna 1 mom. genomförs artikel 14 i PNR-direktivet. 

Enligt 2 mom. i paragrafen påförs ingen påföljdsavgift om ett fel har inträffat vid överföringen av PNR-uppgifter till följd av ouppmärksamhet som med beaktande av omständigheterna är ursäktlig eller om det med hänsyn till omständigheterna skulle vara oskäligt att påföra en avgift. 

Enligt 3 mom. i paragrafen får påföljdsavgift inte påföras den som är misstänkt för samma gärning i en förundersökning eller åtalsprövning eller i ett brottmål som är anhängigt vid en domstol. Påföljdsavgift får inte heller påföras den som genom en lagakraftvunnen dom har dömts till straff för samma gärning eller som för brott mot 20 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet har påförts påföljdsavgift för transportör enligt 179 § i utlänningslagen (301/2004). 

15 §.Hörande av lufttrafikföretag. I paragrafen föreskrivs om rätten för lufttrafikföretag att bli hörda innan en påföljdsavgift påförs. Lufttrafikföretaget ska ges tillfälle att skriftligen avge en förklaring inom en tid som inte får vara kortare än två veckor. 

16 §.Påförande av påföljdsavgift. Enligt den föreslagna paragrafen påförs påföljdsavgift av chefen för centralkriminalpolisen eller av en tjänsteman som denne utsett. Påföljdsavgiften ska betalas till staten. Ett beslut om påförande av påföljdsavgift ska iakttas även om ändring har sökts, om inte besvärsmyndigheten bestämmer något annat. Eftersom Polisstyrelsen är personuppgiftsansvarig för registret över PNR-uppgifter, kan polisen anses vara lämplig att påföra påföljdsavgifter. Avgiften ska påföras senast inom två år från lufttrafikföretagets i 14 § 1 mom. avsedda förseelse. 

17 §.Betalningstid. Enligt den föreslagna paragrafen ska påföljdsavgiften betalas inom en månad från delfåendet av beslutet. På en påföljdsavgift som förfallit till betalning och som inte har betalats senast på förfallodagen tas en dröjsmålsränta ut enligt den räntesats som avses i 4 § 1 mom. i räntelagen (633/1982). 

18 §.Verkställighet och ändringssökande. I paragrafen föreskrivs det om hur påföljdsavgiften verkställs och om sökande av ändring. Enligt det föreslagna 1 mom. verkställer rättsregistercentralen påföljdsavgiften. Rättsregistercentralen ska underrättas om ett beslut av en myndighet eller domstol genom vilket påföljdsavgiften har sänkts eller avlyfts. Rättsregistercentralen ska utan ansökan betala tillbaka en påföljdsavgift som betalats utan grund. Enligt 2 mom. ska en påföljdsavgift som påförts med stöd av detta lagförslag verkställas i den ordning som föreskrivs i lagen om verkställighet av böter. Hörande av lufttrafikföretag, delgivning av beslut som gäller påförande av påföljdsavgift samt delgivning som gäller verkställigheten av beslut kan genomföras med vilken befälhavare som helst som är anställd hos lufttrafikföretaget i fråga, om inte trafikföretaget har någon utsedd representant i Finland. Enligt 3 mom. får ett beslut om påföljdsavgift överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996). Över förvaltningsdomstolens beslut får besvär anföras endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Påföljdsavgiften preskriberas när fem år har förflutit från det att det lagakraftvunna beslutet fattades. 

19 §.Ikraftträdande. Det föreslås att denna lag träder i kraft den 2018. Åtgärder som verkställigheten av lagen förutsätter får vidtas innan lagen träder i kraft. 

1.2  Lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet

5 §.PTG-kriminalunderrättelseenheter. Den riksomfattande kriminalunderrättelseenhet som i 5 § i lagförslag 2 föreslås bli fastställd som nationell enhet för passagerarinformation blir i 1 mom. i paragrafen fastställd som permanent. Utöver den nationella enheten kan det inrättas regionala och lokala PTG-kriminalunderrättelseenheter. I den sista meningen i 1 mom. stryks samtidigt hänvisningen till de särskilda polisbefogenheter som avses i 8 § i den upphävda polislagen (493/1995), eftersom det inte föreskrivs om dem i den gällande polislagen.  

1.3  Lagen om verkställighet av böter

1 §.Lagens tillämpningsområde. Till 1 mom. fogas en ny 12 punkt i vilken konstateras att i den ordning som föreskrivs i lagen om verkställighet av böter verkställs också den påföljdsavgift för lufttrafikföretag som avses i 14 § i lagförslag 1. 

3.1  Skyddet för privatlivet

De föreslagna bestämmelserna anknyter till det skydd för personuppgifter och det integritetsskydd som garanteras i 10 § i grundlagen. Enligt 10 § 1 mom. i grundlagen ska närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Grundlagsutskottet har ansett det viktigt att det föreskrivs åtminstone om registreringens syfte, innehållet i de registrerade personuppgifterna, tillåtna användningsändamål för uppgifterna inklusive rätten att lämna ut uppgifterna, bevaringstiden för uppgifterna i personregister och de registrerades rättssäkerhet (GrUU 25/1998 rd). Regleringen av dessa faktorer på lagnivå ska dessutom vara heltäckande och detaljerad. Konsekvenserna av att föreskriva i lag sträcker sig enligt utskottet också till möjligheten att lämna ut personuppgifter via en teknisk anslutning (t.ex. GrUU 12/2002 rd och GrUU 14/2008 rd). 

Skyddet enligt 10 § i grundlagen kompletteras av skyddet för privatlivet enligt artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) och skyddet för privatlivet enligt artikel 7 och skyddet för personuppgifter enligt artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Enligt artikel 52.1 i stadgan om de grundläggande rättigheterna ska varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Med beaktande av proportionalitetsprincipen får begränsningar endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter. I den mån som denna stadga omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska rättigheterna, i enlighet med artikel 52.3 i stadgan, ha samma innebörd och räckvidd som i konventionen. I EU-domstolens domar fastställs till denna del det centrala innehållet i respekten för privatlivet och skyddet för personuppgifter. Artikel 8 i Europakonventionen har i Europadomstolens rättspraxis ansetts omfatta även skyddet för personuppgifter.  

Europeiska domstolen för de mänskliga rättigheterna (Europadomstolen) har vid flera tillfällen konstaterat att enbart det att personuppgifter lagras i myndigheters register innebär en inskränkning av integritetsskyddet (se t.ex. S. och Marper mot Förenade kungariket, 4.12.2008, punkt 67 i domen, Leander mot Sverige, 26.3.1987, punkt 48 i domen). Det som personuppgifterna senare används för är till denna del inte av betydelse. (Amann mot Schweiz, 16.2.2000, punkt 69 i domen). För att bedöma om de uppgifter som myndigheterna har samlat in hänför sig till privatlivets delområden har domstolen särskilt beaktat den kontext som personuppgifterna samlats in i och behandlats i samt de konsekvenser som kontexten kan få (S. och Marper mot Förenade kungariket, 4.12.2008, punkt 67 i domen, och Peck mot Förenade kungariket, 28.1.2003, punkt 59 i domen). För att en begränsning av integritetsskyddet ska vara tillåten, måste den grunda sig på lag, vara nödvändig i ett demokratiskt samhälle och stå i rätt proportion till det eftersträvade syftet. I rättspraxisen har t.ex. ordningsstörningar, be-kämpning av brottslighet och upprätthållande av den nationella säkerheten i allmänhet ansetts vara en godtagbar grund för t.o.m. långtgående begränsningar av integritetsskyddet. Staten har också i vissa situationer en bred prövningsmarginal när det gäller vad som är nödvändigt, t.ex. i fråga om upptagning av personuppgifter om personer som misstänks för terroristbrott (Segerstedt-Wiberg m.fl. mot Sverige, 6.6.2006, punkterna 87 och 88 i domen). Domstolen har också beaktat innehållet och förutsebarheten i lagstiftningen. För att en begränsande åtgärd ska vara förenlig med lagen förutsätts inte enbart att åtgärden grundar sig på lagen, utan den ska också vara tillgänglig för de registrerade personerna och dess konsekvenser ska vara förutsebara. (Segerstedt-Wiberg m.fl. mot Sverige, 6.6.2006, punkt 76 i domen). Domstolen har konstaterat att artikel 8 har kränkts bl.a. för att det i den nationella lagstiftningen inte funnits bestämmelser om uppgifternas innehåll, bevaringstiden för uppgifterna och de persongrupper som det kunde samlas in uppgifter om (se t.ex. Europadomstolens dom i målet Rotaru mot Rumänien 4.5.2000, punkterna 45—63 i domen). 

Den behandling av PNR-uppgifter som avses i lagförslag 1 innebär en begränsning av skyddet för privatlivet och skyddet för personuppgifter. Genom lagförslaget genomförs EU:s PNR-direktiv. Grundlagsutskottet har konstaterat att det inte ingår i dess konstitutionella uppgifter att bedöma regleringen av den nationella verkställigheten med avseende på den materiella EU-rätten (GrUU 51/2014 rd). Enligt grundlagsutskottet är det ändå viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se även GrUU 44/2016 rd, s. 4, GrUU 51/2014 rd, s. 2/II och de utlåtanden som det hänvisas till i dem). Enligt grundlagsutskottet förutsätter detta att statsrådets uppfattning om ramarna för det nationella handlingsutrymmet på behörigt sätt klargörs i regeringens proposition (se även GrUU 44/2016 rd, s. 4). 

I artikel 1.1 a i PNR-direktivet åläggs medlemsstaterna skyldigheten att tillämpa direktivet på överföring av PNR-uppgifter vid flygningar utanför EU. I artikel 1.2 begränsas användningen av uppgifter som samlats in i enlighet med direktivet till att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Av artikel 2 framgår det att en medlemsstat kan tillämpa PNR-direktivet på flygningar inom EU, antingen på alla eller endast valda flygningar inom EU, och därmed överlåta tillämpningen i fråga om flygningar inom EU till nationellt övervägande. Direktivets tillämpningsområde är begränsat endast till lufttrafikföretag. Enligt de lagbestämmelser om PTG-myndigheternas behandling av personuppgifter som beskrivs i 2.1 har PTG-myndigheterna redan nu rätt att till stöd för sin brottsbekämpning få uppgifter av samfund och sammanslutningar ur register som gäller passagerare och fordons personal. Till skillnad från direktivet omfattar den gällande lagstiftningen alla transportörer och gör det redan för närvarande möjligt att lämna ut uppgifter genom teknisk anslutning eller som en datamängd.  

Enligt lagförslag 1 ska ett lufttrafikföretag överföra de uppgifter som avses i den föreslagna paragrafens 1 mom. för alla ankommande och avgående flygningar utanför eller inom Europeiska unionen. Den föreslagna enheten för passagerarinformation får behandla PNR-uppgifter för identifiering av personer som kan vara delaktiga i terroristbrott eller grov brottslighet. I praktiken innebär genomförandet av direktivet att passageraruppgifter behandlas i stor skala och när personuppgifter lämnas ut till enheten begränsas de inte enbart till personer som misstänks vara delaktiga i brottslig verksamhet, utan gäller de personuppgifter som alla passagerare uppgett till flygbolaget i samband med biljettbokningen. I lagförslaget preciseras de personuppgifter som lufttrafikföretagen ska lämna ut till enheten för passagerarinformation om ankommande och avgående flygningar utanför eller inom Europeiska unionen. PNR-uppgifter ska få lagras i fem år i det personregister som förs av polisen, men uppgifterna måste maskeras när sex månader har förflutit sedan de mottogs. I lagförslaget höjs integritetsskyddet i en-lighet med direktivet dessutom genom det att jämförelse av personuppgifter med andra personregister och databaser begränsas till att gälla förebyggande, avslöjande och utredande av terroristbrott och annan grov brottslighet. Lagförslaget ska också innehålla en begränsning som gäller behandlingen av känsliga personuppgifter och en skyldighet att utplåna uppgifterna om det upptäcks att uppgifterna har lämnats till enheten för passagerarinformation. 

Tillämpningsområdet för bestämmelserna om behandlingen av de personuppgifter som PTG-myndigheterna handhar är mer omfattande än tillämpningsområdet för PNR-direktivet. PNR-direktivet påverkar inte medlemsstaternas möjligheter att i enlighet med nationell rätt tillhandahålla ett system för insamling och behandling av PNR-uppgifter från ekonomiska aktörer som inte är transportörer, t.ex. resebyråer och researrangörer som tillhandahåller reserelaterade tjänster, inklusive bokning av flygningar, för vilka de samlar in och behandlar PNR-uppgifter, eller från andra transportföretag än de som anges i direktivet, förutsatt att sådan nationell rätt är förenlig med unionsrätten. Det föreslås ingen ändring i de gällande bestämmelserna som godkänts med grundlagsutskottets medverkan. Däremot preciseras bestämmelserna enligt lagförslag 1 i och med genomförandet av direktivet, i synnerhet när det gäller de uppgifter som lufttrafikföretagen ska överföra. Grundlagsutskottet påpekade i samband med behand-lingen av 13 § 16 punkten i den gällande lagen om behandling av personuppgifter i polisens verksamhet att den bestämmelse som redan då föreslogs var vag till följd av paragrafens inledande stycke och ansåg att det är motiverat att precisera början på den föreslagna 16 punkten så att den gäller uppgifter som behövs "för att förhindra, avslöja, utreda och till åtalsprövning överlämna terroristbrott och allvarlig gränsöverskridande brottslighet". Bestämmelsens tillämpningsområde är dock i någon mån bredare och polisen har rätt att ta emot information om passagerare och personal ur register för att förhindra, avslöja och utreda brott och föra brott till åtalsprövning samt för att nå efterlysta personer. Däremot har grundlagsutskottet uppmärksammat att den rätt som fogats till den gällande lagen i sig är relativt begränsad, och den gäller bara polisens rätt att få vissa uppgifter genom en teknisk anslutning. Behandlingen av uppgifterna regleras av andra bestämmelser i lagen om behandling av personuppgifter i polisens verksamhet. Grundlagsutskottet ansåg det också viktigt med avseende på skyddet för personuppgifter enligt 10 § 1 mom. i grundlagen att uppgifterna inte ska bilda ett eget personregister och att bara en särskild enhet för passageraruppgifter kommer att ha åtkomsträtten till de mottagna uppgifterna. (GrUU 42/2014 rd). 

För det andra innebär lagförslag 1 en inskränkning av skyddet för privatlivet jämfört med nuläget i lagstiftningen. Till skillnad från de gällande bestämmelserna innebär genomförandet av direktivet att ett nytt personregister ska inrättas. I direktivet förutsätts dock att ett nytt register inrättas för lagring av passageraruppgifterna, och till denna del ger inte direktivet medlemsstaterna något handlingsutrymme. I lagförslaget finns detaljerade bestämmelser om behandlingen av PNR-uppgifter och utlämnandet av dem till behöriga myndigheter, enheter för passagerarinformation i andra EU-länder, Europol och tredjeländer i syfte att förebygga, avslöja eller utreda brott. Direktivet verkar inte heller ge lagstiftaren handlingsutrymme i fråga om vilken form av brottsbekämpning lagstiftningen ska gälla och därför avgränsas lagförslaget till att gälla terroristbrott och andra grova brott. Direktivet ger dock den nationella lagstiftaren handlingsutrymme i fråga om vilka nationella register som i direktiven avses som väsentliga databaser för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och som passageraruppgifterna ska jämföras med. Det föreslås att enheten för passage-rarinformation ska få omfattande rätt att genom automatiserade metoder jämföra PNR-uppgifter som den tagit emot med uppgifter i väsentliga databaser för att förebygga, avslöja, utreda och lagföra terroristbrott och grov brottslighet. Med tanke på begränsningen av skyddet för privatlivet är det också av betydelse vilket datainnehåll de här databaserna har. En omfattande rätt att få uppgifter innebär långtgående inskränkningar i integritetsskyddet. Inskränkningarna ska stå i rätt proportion till det eftersträvade målet, dvs. till de särskilda säkerhetsmålen. I Europadomstolens rättspraxis (Segerstedt-Wiberg m.fl. mot Sverige , 6.6.2006, punkterna 87 och 88 i domen) har det godkänts att bekämpning av terrorism och annan allvarlig brottslighet kan kräva aktiva, t.o.m. långtgående statliga åtgärder som är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse eller behovet av skydd för andra människors rättigheter och friheter. Gränsöverskridande brottslighet, t.ex. människohandel och narkotikabrott, är ett växande fenomen inom Europeiska unionen. De olika formerna av gränsöverskridande brottslighet utgör ett allvarligt hot mot samhället och de ekonomiska strukturerna, och de medför kostnader för staten även med beaktande av de åtgärder som krävs för brotts-bekämpningen. Brotten orsakar också skada och lidande för offren. 

Det föreslås att begränsningarna i direktivet ska genomföras till alla delar inklusive lagring och maskering av personuppgifter och begränsningar i användningen av dem, och att även de synpunkter som kommit fram i EU-domstolens yttrande i mål C-1/15 (Yttrande av Europeiska unionens domstol (stora avdelningen) 26.7.2017 – Europaparlamentet) ska beaktas. Enligt förslaget ska enheten för passagerarinformation få behandla PNR-uppgifter före passagerarnas beräknade ankomst eller avkomst i enlighet med på förhand fastställda kriterier för bedömning och analys eller för att uppdatera kriterierna eller fastställa nya kriterier. En begränsning som innebär att enheten ska fastställa kriterierna för bedömning och analys och se över dem regelbundet tillsammans med de behöriga myndigheterna ska enligt förslaget öka proportionaliteten i behandlingen av uppgifter och ge ett ökat integritetsskydd. Bedömningskriterierna ska dessutom vara riktade, proportionella och tydliga. De får inte grunda sig på uppgifter om en persons ras, etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, medlemskap i fackförbund, hälsotillstånd, sexualliv eller sexuella läggning. Integritetsskyddet ökas också av direktivets system enligt vilket enheten för passagerarinformation enbart har till uppgift att analysera PNR-uppgifter. Enheten fattar inte beslut som påverkar en persons rättigheter. Endast behöriga myndigheter kan fatta sådana beslut efter att i enskilda fall ha fått uppgifter om personer identifierade av enheten eller på motiverad begäran av behöriga myndigheter. Avsikten är att genomförandet av dessa skyddsåtgärder enligt direktivet ska säkerställa att begräns-ningarna av integritetsskyddet kraftigast drabbar sådana personer för vilka jämförelsen av uppgifter leder till en närmare utredning.  

I lagförslag 1föreslås det dock att lagstiftningen ska utvidgas till att gälla också flygningar inom EU, på det sätt som tillåts i direktivet. Med beaktande av komplexiteten hos och effekterna av grov brottslighet och behoven av att effektivt avvärja gränsöverskridande terroristbrott och annan grov brottslighet anses utvidgningarna nödvändiga och proportionerliga för att uppnå målen med brottsbekämpningen. Av de finländska PTG-myndigheterna har Tullen i sin brottsbekämpning allt sedan 1970-talet utnyttjat PNR-uppgifter för olika trafikformer, både när det gäller trafik mellan Finland och EU:s nuvarande medlemsländer och mellan Finland och tredjestater, utifrån den rättsgrund som kommer fram i avsnitt 2.1 Lagstiftning. Nyttan för brottsbekämpningen av passageraruppgifter om trafiken mellan Finland och exempelvis Sverige eller de baltiska länderna har inte minskat sedan länderna anslöt sig till EU. Den s.k. rörliga brottsligheten är en form av brottslighet där gärningsmännen förflyttar sig till ett annat land, utför brottslig verksamhet där och, för att dölja sina spår, återvänder till utgångslandet med hjälp av en annan transportform. Typiskt för verksamheten är att en del av gärningsmännen observerar föremål för brott, t.ex. bostäder, i mållandet. En annan grupp av gärningsmän kommer till landet för att utföra det egentliga brottet, och en tredje grupp transporterar den egendom som man erhållit genom brottet tillbaka till utgångslandet. Typiskt för verksamheten är också brådskan att förflytta sig från ett land till ett annat för att undvika att bli gripen. I brådskande situationer är det som känt snabbast att flyga, och därför är möjligheten att utnyttja uppgifter om flygresor vid identifieringen av dylik brottslig verksamhet av stor vikt vid sidan om sådana passageraruppgifter som gäller andra transportformer och som redan kan utnyttjas. Den rörliga brottsligheten kommer oftast till Finland från någon annan EU-medlemsstat, inte från en tredjestat. För att uppnå målen med brottsbekämpningen är det därför nödvändigt att inbegripa flygning i EU i direktivets tillämpningsområde.  

Kommissionen har i sin konsekvensbedömning motiverat direktivförslaget med att gränsöverskridande brottslighet är ett växande fenomen i Europeiska unionen och den övriga världen. Som exempel lyfter kommissionen fram i synnerhet människohandel och narkotikabrottslighet, som också Europol tar upp i sin hotbedömning av gränsöverskridande brottslighet (2007). Under årens 2015 ökad mängd av asylsökande i olika städer av Europeiska unionen medför en risk av uppväxande fenomen av dessa former av brottslighet inom Europeiska unionen. För att avvärja människohandel och narkotikabrottslighet är det väsentlig att inkludera också flygning inom Europeiska unionen.  

I fråga om lagförslag 1 ska bestämmelserna om utlämnande av personuppgifter vara detaljerade. I synnerhet utlämnandet av personuppgifter från lufttrafikföretagen till enheten för passagerarinformation innebär att personuppgifter behandlas i stor skala och utlämnandet sker genom en teknisk anslutning. Dessutom ska enheten för passagerarinformation få lämna ut och överföra personuppgifter till behöriga myndigheter, enheter för passagerarinformation i EU:s medlemsstater, Europol och tredjeländer. Det föreslås inte någon reglering för utlämnande av personuppgifter som går längre än den nivå som krävs i direktivet. Det anses därmed att utlämnandet av personuppgifter uppfyller det krav på proportionalitet som ställs i direktivet. 

I lagförslag 1 föreslås det att den registrerades rätt till insyn ska begränsas till den del som rätten gäller uppgifter om resultaten av behandlingen av PNR-uppgifter (jämförelseuppgifter). Däremot har den registrerade rätt till insyn i de personuppgifter som lufttrafikföretagen lämnat till enheten för passageraruppgifter. Med beaktande av att det handlar om samma personuppgifter som lagrats i lufttrafikföretagens passagerarregister finns det inga skäl att begränsa rätten till insyn i fråga om de här uppgifterna. Till den del som det handlar om personuppgifter som lämnats ut exempelvis för inhämtning av kriminalunderrättelser bestäms begränsningen av rätten till insyn enligt bestämmelserna i de personuppgiftslagar som gäller PTG-myndigheterna. Dataombudsmannen ska kunna kontrollera om behandlingen av personuppgifterna är lagenlig när det gäller jämförelseuppgifterna. På så sätt begränsas den registrerades rätt till insyn inte mer än nödvändigt för att förebygga, avslöja eller utreda brott. 

3.2  Jämklighet

I 6 § i grundlagen finns en allmän klausul om jämlikhet och enligt den är alla lika inför lagen. Ingen får utan godtagbart skäl särbehandlas på grund av kön, ålder, ursprung, språk, religion, övertygelse, åsikt, hälsotillstånd eller handikapp eller av någon annan orsak som gäller hans eller hennes person. Den allmänna jämlikhetsklausulen kompletteras av förbudet mot diskriminering. 

I 7 § 2 mom. i lagförslag 1 finns ett uttryckligt förbud enligt vilket de bedömningskriterier som tillämpas på jämförelsen av PNR-uppgifter inte får grunda sig på uppgifter om en persons ras, etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, medlemskap i fackförbund, hälsotillstånd, sexualliv eller sexuella läggning. Dessutom konstateras det i 12 § 3 mom. om utplåning av PNR-uppgifter att om de PNR-uppgifter som ett lufttrafikföretag har överfört till enheten för passagerarinformation innehåller andra uppgifter än de som avses i 4 § 2 mom. nämnda PNR-uppgifter, eller uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförbund, hälsotillstånd, sexualliv eller sexuell läggning, ska uppgifterna utplånas omedelbart efter att de tagits emot. 

I lagförslag 1 har således förbudet mot diskriminering i enlighet med 6 § i grundlagen beaktats. Genom bestämmelsen genomförs samtidigt ett motsvarande förbud i dataskyddsdirektivet mot sådan etnisk profilering som kan leda till diskriminering. 

3.3  Administrativa påföljder och ändringssökande

Skyddet av de grundläggande fri- och rättigheterna gäller i regel fysiska personer. De grundläggande fri- och rättigheterna kan dock skydda en juridisk person indirekt, när avsaknaden av en ställning som juridisk person kan innebära att man gör intrång i rättigheter som tillkommer en individ bakom den juridiska personen (RP 309/1993 rd, s. 21—25). Med tanke på juridiska personers ställning är lagförslag 1 i propositionen betydelsefullt, i synnerhet till de delar som gäller påföljderna vid försummelse av en lagstadgad skyldighet i samband med lufttrafikföretagens verksamhet och möjligheten att söka ändring i en myndighets förvaltningsbeslut. En enskild person kan också stå bakom försummelsen, även om påföljden påförs den juridiska personen. I lagförslag 1 har lufttrafikföretagen ålagts en skyldighet att till enheten för passagerarinformation avgiftsfritt överföra PNR-uppgifter för de ankommande och avgående flygningar utanför eller inom Europeiska unionen som de utför, till den del uppgifterna har samlats in som en del av den normala affärsverksamheten samt eventuell förhandsinformation om passagerare om sådan samlats in. I lagen ska det också föreskrivas på vilket sätt de här uppgifterna i regel ska överföras. Utöver att uppgifterna ska överföras elektroniskt ska det också förutsättas att lufttrafikföretagen ska använda en särskild teknisk anslutning och överföra uppgifterna systematiskt för varje flygning över EU:s gränser. Hittills har lufttrafikföretagen överfört passageraruppgifter till polisen endast på basis av en enskild begäran. Lufttrafikföretag som bryter mot den föreskrivna skyldigheten att överföra passageraruppgifter ska kunna påföras en påföljdsavgift (påföljdsavgift för lufttrafikföretag). Påföljdsavgiften ska kunna påföras för varje sådan flygning för vilken passageraruppgifter inte har överförts eller för vilken uppenbart bristfälliga uppgifter överförts. 

Enligt grundlagsutskottets vedertagna tolkningspraxis är en påföljdsavgift som påförs för en lagstridig gärning inte en skatt eller avgift enligt grundlagens 81 § utan en ekonomisk påföljd av straffnatur. I sak har utskottet jämställt en penningmässig påföljd av straffnatur med en straffrättslig påföljd (GrUU 4/2001 rd, s. 7, GrUU 32/2005 rd, s. 2, GrUU 55/2005 rd, s. 2, GrUU 17/2012 rd s. 5). De allmänna grunderna för en administrativ påföljd ska enligt 2 § 3 mom. i grundlagen föreskrivas genom lag, eftersom påförandet av den inbegriper utövande av offentlig makt. Enligt grundlagsutskottet ska det i lagen finnas klara och specifika bestämmelser om grunderna för påföljden och dess belopp och om rättsskyddet liksom om grunderna för lagens verkställighet (GrUU 32/2005 rd, s. 2—3, GrUU 55/2005 rd, s. 2, GrUU 57/2010 rd, s. 2, GrUU 17/2012 rd s. 5). Grundlagsutskottet har konstaterat att även om kravet på exakthet enligt den straffrättsliga legalitetsprincipen i grundlagens 8 § inte direkt gäller bestämmelser om administrativa påföljder kan det allmänna kravet på exakthet ändå inte förbigås i ett sam-manhang som detta (GrUU 9/2012 rd, s. 2, GrUU 57/2010 rd, s. 2 och GrUU 74/2002 rd, s. 5). I lagförslag 1 föreskrivs det detaljerat om de grunder enligt vilka påföljdsavgift får påföras, dess belopp samt om verkställigheten av påföljdsavgiften och ändringssökande. 

Bestämmelser om påföljder ska enligt grundlagsutskottets tolkningspraxis också vara proportionerliga (GrUU 58/2010 rd, s. 5, GrUU 11/2009 rd, s. 7—8, GrUU 12/2006 rd, s. 3, GrUU 74/2002 rd, s. 5). Proportionaliteten är förenad med frågan om påföljder vid ringa försummelser (GrUU 58/2010 rd, s. 6, GrUU 12/2006 rd, s. 2—3). I PNR-direktivet förutsätts att påföljderna ska vara effektiva, proportionella och avskräckande. I lagförslag 1 föreslås att polisen ska få rätt att påföra en påföljdsavgift vars maximilopp uppgår till 3 000 euro per flygning. I den föreslagna bestämmelsen är det inte fråga om en påföljd som är betydande till sitt belopp, fastän den påförs för varje sådan flygning för vilken passageraruppgifter inte har överförts. Påföljdsavgift för lufttrafikföretag påförs inte om ett fel har inträffat vid överföringen av passageraruppgifterna till följd av ouppmärksamhet som med beaktande av omständigheterna är ursäktlig eller om det i övrigt med hänsyn till omständigheterna skulle vara oskäligt att påföra en avgift. Påföljdsavgift får inte heller påföras den som är misstänkt för samma gärning i en för-undersökning eller åtalsprövning eller i ett brottmål som är anhängigt vid en domstol eller den som genom en lagakraftvunnen dom har dömts till straff för samma gärning eller som för brott mot 20 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005) har påförts påföljdsavgift för transportör enligt 179 § i utlänningslagen (301/2004). Avgiften ska påföras senast inom två år efter lufttrafikföretagets förseelse och den preskriberas fem år från det att det lagakraftvunna beslutet fattades. Den föreslagna påföljdsavgiften kan således anses vara proportionerlig på det sätt som grundlagsutskottet förutsätter. 

Det ska gå att söka ändring i ett beslut om påförande av en administrativ påföljd. Möjligheten att söka ändring i en myndighets beslut kan vara behövlig för att säkerställa att myndigheterna beter sig på ett behörigt och i övrigt opartiskt sätt (GrUU 32/2012 rd, s. 4—5, GrUU10/2009 rd, s. 4, GrUU 55/2002 rd, s. 4, GrUU 47/2002 rd, s. 4, GrUU 46/2002 rd, s. 9) liksom för att säkerställa en enhetlig tillämpningspraxis (GrUU 30/2005 rd, s. 5, GrUU 13/2005 rd, s. 3—4, GrUU 33/2000 rd, s. 3), även om det inte handlar om ett ärende som gäller individens rättigheter eller skyldigheter. När föremålet för sökandet av ändring är ett beslut om påförande av en administrativ påföljd som grundar sig på utövning av offentlig makt, ska ändringssökandet i regel ordnas i enlighet med förvaltningsprocesslagen (586/1996) (GrUU 4/2005 rd, s. 3/II). Vid bedömningen av om rättsskyddet är ändamålsenligt har man också beaktat om en administrativ påföljd kan verkställas oberoende av ändringssökandet (GrUU 4/2004 rd, s. 7). Enligt 21 § i grundlagen har var och en rätt att på behörigt sätt och utan ogrundat dröjsmål få sin sak behandlad av en domstol eller någon annan myndighet som är behörig enligt lag samt att få ett beslut som gäller hans eller hennes rättigheter och skyldigheter behandlat vid domstol eller något annat oavhängigt rättskipningsorgan. Offentligheten vid handläggningen, rätten att bli hörd, rätten att få motiverade beslut och rätten att söka ändring samt andra garantier för en rättvis rättegång och god förvaltning ska tryggas genom lag. 

Enligt förslaget har lufttrafikföretaget rätt att bli hört innan påföljdsavgiften för transportör påförs. I lagen föreskrivs också om ändringssökande. En påföljdsavgift som påförts med stöd av lagen ska verkställas i den ordning som föreskrivs i lagen om verkställighet av böter. Ett beslut om påföljdsavgift får överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996). Över förvaltningsdomstolens beslut får besvär anföras endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Med beaktande av de rättsskyddsgarantier som det föreskrivs om för lufttrafikföretag ska förslaget inte betraktas som problematiskt med tanke på rättsskyddet i enlighet med grundlagen. 

3.4  Ålands ställning

Enligt 27 § 22 punkten i självstyrelselagen för Åland (1144/1991) har Åland lagstiftningsbehörighet i fråga om straffrätt med undantag av vad som stadgas i 18 § 25 punkten. Enligt den senare punkten har landskapet lagstiftningsbehörighet i fråga om beläggande med straff och storleken av straff inom rättsområden som hör till landskapets lagstiftningsbehörighet. Lagförslaget hör inte enligt de övriga punkterna i 18 § till landskapets lagstiftningsbehörighet. I enlighet med 27 § 23 punkten i självstyrelselagen för Åland har landskapet lagstiftningsbehörighet i fråga om rättskipning och förundersökning med vissa undantag som inte berörs av direktivet. I lagförslaget ingår därmed inte bestämmelser som hör till landskapets lagstiftningsbehö-righet. 

På de grunder som anförts ovan kan lagförslaget behandlas i vanlig lagstiftningsordning. Regeringen avses ändå att riksdagen begär utlåtande om propositionen av grundlagsutskottet.