2.1.1  Den allmänna dataskyddsförordningen och dataskyddslagen

EU:s allmänna dataskyddsförordning Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). började tillämpas den 25 maj 2018. Förordningen kompletteras nationellt av dataskyddslagen (1050/2018), som trädde i kraft den 1 januari 2019. Dataskyddsförordningen innehåller bestämmelser om bland annat de allmänna principerna för behandling av personuppgifter, de rättsliga grunderna för behandlingen, den personuppgiftsansvariges och personuppgiftsbiträdets ansvar samt den registrerades rättigheter. Dataskyddslagen innehåller allmänt tillämpliga bestämmelser som kompletterar dataskyddsförordningen om bland annat laglig behandling, behandling av särskilda kategorier av personuppgifter, tillsynsmyndighet och dennas uppgifter och befogenheter samt rättssäkerhet och påföljder.  

I artikel 5 i dataskyddsförordningen föreskrivs det om principer för behandling av personuppgifter. Dessa utgörs av kravet på lagenlighet, rimlighet och öppenhet, ändamålsbegränsning, uppgiftsminimering, korrekthet för personuppgifter och lagringsminimering i fråga om behandlingen av personuppgifter. Principen om ändamålsbegränsning baserar sig på artikel 8 i EU:s stadga om de grundläggande rättigheterna. Enligt principen om ändamålsbegränsning i artikel 5.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.  

Närmare bestämmelser om laglig behandling av personuppgifter finns i artikel 6 i dataskyddsförordningen. Behandlingen av personuppgifter i polisens uppgifter enligt passlagen (671/2006) och lagen om identitetskort (663/2016) grundar sig på artikel 6.1 c, enligt vilken behandlingen är laglig när den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. De nationella bestämmelserna om användning av uppgifter i identitetskortsregistret och passregistret har bedömts utgöra nationell lagstiftning som utfärdas inom ramen för det handlingsutrymme som artikel 6.3 och 6.4 i dataskyddsförordningen medger. Medlemsstaternas lagstiftning ska enligt artikel 6.3 uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.  

Om uppgifter behandlas för andra ändamål än det för vilket de samlades in, ska regleringen bedömas utifrån principen om ändamålsbegränsning i enlighet med vad som föreskrivs i artikel 6.4 i dataskyddsförordningen. Bestämmelserna ska vara en nödvändig och proportionell åtgärd för säkerställande av de ändamål som anges i artikel 23.1 i den allmänna dataskyddsförordningen. Dessa mål omfattar bland annat den nationella säkerheten, den allmänna säkerheten samt förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten.  

Enligt definitionen i artikel 4.14 i dataskyddsförordningen avses i förordningen med biometriska uppgifter personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter. Enligt skäl 51 i ingressen till dataskyddsförordningen bör behandling av foton inte systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. 

I artikel 9 i dataskyddsförordningen föreskrivs det om behandling av särskilda kategorier av personuppgifter. Enligt artikel 9.1 är det förbjudet att behandla sådana biometriska uppgifter som hör till särskilda kategorier av personuppgifter för att entydigt identifiera en person. Bestämmelser om grunderna för undantag finns i artikel 9.2 i förordningen. Behandlingen av särskilda kategorier av personuppgifter inom polisens tillståndsförvaltning grundar sig på artikel 9.2 g i förordningen, enligt vilken särskilda kategorier av personuppgifter får behandlas när behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Bestämmelserna ska även stå i proportion till det eftersträvade syftet, vara förenliga med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. 

I kapitel III i den allmänna dataskyddsförordningen föreskrivs det om den registrerades rättigheter. I dataskyddsförordningen är det delvis den rättsliga grunden för behandlingen som avgör vilka rättigheter för en registrerad som ska tillämpas på behandlingen av personuppgifter. Rätten till radering enligt artikel 17 i förordningen tillämpas inte om personuppgifter behandlas för att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. Rätten till dataportabilitet enligt artikel 20 i förordningen tillämpas för sin del endast på behandling som grundar sig på samtycke eller ett avtal. Dessutom omfattar rätten enligt artikel 21 att göra invändningar mot behandling av uppgifter endast sådan behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning eller för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen. Polisen behandlar personuppgifter för att sköta sina lagstadgade uppgifter, så artikel 17, artikel 20 eller artikel 21 tillämpas inte på behandlingen. I polisens personuppgiftslag utesluts dessutom tillämpning av artikel 18 (se avsnitt 2.4.6). Den registrerade kan således i fråga om behandlingsändamål som omfattas av dataskyddsförordningen utöva sin rätt till tillgång till uppgifter (artikel 15) och sin rätt till rättelse av uppgifter (artikel 16). Den personuppgiftsansvarige är skyldig att tillhandahålla klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter (artikel 12). I kapitel III om den registrerades rättigheter föreskrivs dessutom om information som ska tillhandahållas den registrerade om personuppgifterna samlas in från den registrerade (artikel 13), information som ska tillhandahållas den registrerade om personuppgifterna inte har erhållits från den registrerade (artikel 14), anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling (artikel 19) samt automatiserat individuellt beslutsfattande, inbegripet profilering (artikel 22). I propositionen är det fråga om behandling av uppgifter som avses i 2 kap. i polisens personuppgiftslag. Registeransvarig för dessa uppgifter är Polisstyrelsen, som också ansvarar för att den personuppgiftsansvariges skyldigheter fullgörs och för att den registrerades rättigheter tillgodoses i enlighet med den allmänna dataskyddsförordningen och dataskyddslagen (se också avsnitt 2.4.6). 

Dataskyddslagen innehåller också bestämmelser om den registrerades rättigheter, rättssäkerhet och påföljder som kompletterar dataskyddsförordningen. I dataskyddslagen föreskrivs bland annat om begränsningar i den personuppgiftsansvariges skyldighet att tillhandahålla de registrerade information (33 §) samt om begränsningar i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne (34 §). I lagen föreskrivs också om den registrerades rätt att föra ärendet till dataombudsmannens behandling, om den registrerade anser att lagstiftningen överträds i fråga om behandlingen av hans eller hennes personuppgifter (21 §). I lagen ingår dessutom bestämmelser om dataombudsmannens rätt att förelägga vite i fråga om vissa beslut och viss rätt att få uppgifter (22 §). I lagen föreskrivs också om sökande av ändring i dataombudsmannens beslut (25 §). 

Passregistrets och identitetskortsregistrets biometriska uppgifter insamlas för utförande av uppgifter som i passlagen och lagen om identitetskort ålagts polisen, utrikesministeriet och finska beskickningar. I de bestämmelser som föreslås i propositionen är det alltså i huvudsak fråga om användning av uppgifter för något annat ändamål än det ursprungliga ändamålet med behandlingen. På motsvarande sätt avviker också de ändamål för vilka sådana biometriska uppgifter om utlänningar som förts in i polisens Migrationsverkets register föreslås få användas i många avseenden från de ursprungliga ändamålen med behandlingen, som det föreskrivs om i utlänningslagen och migrationsförvaltningens personuppgiftslag.  

Med avseende på dataskyddsförordningen ska ändringar som gäller ändamålet bedömas särskilt i ljuset av principen om ändamålsbegränsning. I propositionen är det fråga om biometriska uppgifter som ursprungligen samlas in för behandlingsändamål som omfattas av dataskyddsförordningens tillämpningsområde. När uppgifterna behandlas inom tillståndsförvaltningen för att identifiera en sökande, verifiera sökandens identitet eller för att framställa en ny handling, har behandlingen bedömts vara förenlig med det ursprungliga ändamålet med uppgifterna. När det gäller andra ändamål ska nationella bestämmelser om undantag från ändamålsbegränsningen vara en nödvändig och proportionell åtgärd för säkerställande av de ändamål som anges i artikel 23.1 i den allmänna dataskyddsförordningen. I propositionen har det inte ansetts nödvändigt att föreslå nya begränsningar av tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och artikel 34 samt artikel 5 i den allmänna dataskyddsförordningen med undantag av begränsningen av principen om ändamålsbegränsning i artikel 5.1 b i dataskyddsförordningen. 

2.1.2  Dataskyddsdirektivet för brottmål och dataskyddslagen avseende brottmål

Den allmänna lagstiftning som tillämpas på behandlingen av personuppgifter bestäms enligt ändamålet med uppgifterna. Dataskyddsförordningen och dataskyddslagen tillämpas inte på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. På behandlingen av personuppgifter för ovannämnda ändamål tillämpas det så kallade dataskyddsdirektivet för brottmål (EU) 2016/680 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. .  

Samtidigt med dataskyddslagen, som kompletterar den allmänna dataskyddsförordningen, trädde den 1 januari 2019 i kraft lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018, dataskyddslagen avseende brottmål ), genom vilken dataskyddsdirektivet för brottmål har genomförts nationellt. Dataskyddslagen avseende brottmål tillämpas enligt lagens 1 § 1 mom. vid sådan behandling av personuppgifter som utförs av behöriga myndigheter när det är fråga om 1) förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, 2) åtalsprövning och annan åklagarverksamhet som har samband med brott, 3) handläggning av brottmål i domstol, 4) verkställighet av straffrättsliga påföljder, eller 5) skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med verksamhet som avses i 1–4 punkten. Som en nationell utvidgning föreskrivs det dessutom i 1 § 2 mom. att dataskyddslagen avseende brottmål ska tillämpas även på Försvarsmaktens, polisens och Gränsbevakningsväsendets behandling av personuppgifter i uppgifter som hänför sig till skyddet av den nationella säkerheten.  

Dataskyddslagen avseende brottmål innehåller bestämmelser om bland annat principer för behandling av personuppgifter, personuppgiftsansvarig och personuppgiftsbiträde, den registrerades rättigheter, informationssäkerhet, dataskyddsombud, överföringar av personuppgifter till tredjeländer och internationella organisationer, tillsynsmyndighet och rättsskydd, skadestånd, straff och tystnadsplikt. Lagen har kompletterats med speciallagstiftning inom olika förvaltningsområden, som innehåller bestämmelser om till exempel vilka personuppgifter som ska registreras, ändamålen med dem, utlämnande av personuppgifter och förvaringstider för uppgifter. 

De principer för behandlingen av personuppgifter som anges i 2 kap. i dataskyddslagen avseende brottmål motsvarar i stor utsträckning principerna i dataskyddsförordningen. Exempelvis enligt 5 § 1 mom. om ändamålsbegränsning får den personuppgiftsansvarige samla in personuppgifter endast för särskilda, uttryckligt angivna och berättigade ändamål och får inte behandla dem på ett sätt som står i strid med dessa ändamål. Enligt 5 § 2 mom. får personuppgifter som har samlats in för ett ändamål som anges i 1 § 1 eller 2 mom. i dataskyddslagen avseende brottmål behandlas för något annat än ett i momentet angivet ändamål endast om det föreskrivs om behandlingen i lag. 

Biometriska uppgifter definieras i 3 § 1 mom. 13 punkten i dataskyddslagen avseende brottmål. Med biometriska uppgifter avses på motsvarande sätt som i den allmänna dataskyddsförordningen personuppgifter som tagits fram genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av personen i fråga. Bestämmelser om behandling av särskilda kategorier av personuppgifter ingår i lagens 11 §, och enligt 2 mom. får särskilda kategorier av personuppgifter behandlas endast om det är nödvändigt. Dessutom förutsätts det att de skyddsåtgärder som krävs för att trygga den registrerades rättigheter har vidtagits och att 1) det föreskrivs om behandlingen i lag, 2) det är fråga om handläggning av brottmål i åklagarverksamhet eller i domstol, 3) det krävs för att skydda ett intresse som är av grundläggande betydelse för den registrerade eller en annan fysisk person, eller 4) behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade. 

Bestämmelser om den registrerades rättigheter ingår i 4 kap. i dataskyddslagen avseende brottmål. Kapitlet innehåller bestämmelser om dataskyddsbeskrivning och skyldighet att informera (22 §), den registrerades rätt till insyn (23 §), inskränkningar i rätten till insyn (24 §), rättelse eller utplåning av personuppgifter eller begränsning av behandlingen (25 §), vägran att godkänna den registrerades yrkande (26 §), den personuppgiftsansvariges skyldighet att informera om rättelse, utplåning eller begränsning av behandlingen (27 §), begränsning av de registrerades rättigheter (28 §), utövande av rättigheter via dataombudsmannen (29 §) samt främjande av de registrerades möjligheter att utöva sina rättigheter samt avgiftsfria åtgärder (30 §). I propositionen är det fråga om behandling av uppgifter som avses i 2 kap. i polisens personuppgiftslag. Personuppgiftsansvarig för dessa uppgifter är Polisstyrelsen, som också ansvarar för att den registrerades rättigheter tillgodoses i enlighet med dataskyddslagen avseende brottmål (se också avsnitt 2.4.6). 

Dataskyddslagen avseende brottmål innehåller också bestämmelser om den registrerades rättssäkerhet och om påföljder. I lagen föreskrivs bland annat om den registrerades rätt att föra ärendet till dataombudsmannens behandling, om den registrerade anser att lagstiftningen överträds i fråga om behandlingen av hans eller hennes personuppgifter (56 §). I lagen ingår dessutom bestämmelser om dataombudsmannens rätt att förelägga vite i fråga om vissa beslut och viss rätt att få uppgifter (52 §). I lagen föreskrivs också om sökande av ändring i dataombudsmannens beslut (59 §). 

Största delen av de bestämmelser om behandling av personuppgifter som föreslås i propositionen omfattas av dataskyddslagen avseende brottmål. Vid den föreslagna behandlingen av personuppgifter ska iakttas förutsättningarna för behandling av biometriska uppgifter enligt dataskyddslagen avseende brottmål. 

2.1.3  EU:s AI-förordning

Europaparlamentets och rådets förordning (EU) 2024/1689 om harmoniserade regler för artificiell intelligens och om ändring av vissa unionslagstiftningsakter ( AI-förordningen ) Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens) antogs den 13 juni 2024. Förordningen trädde i kraft den 1 augusti 2024 och börjar tillämpas i etapper. Förordningen är direkt tillämplig, men i vissa avseenden kräver den också kompletterande nationell lagstiftning. I förordningen föreskrivs bland annat om under vilka förutsättningar de brottsbekämpande myndigheterna får använda biometrisk fjärridentifiering.  

Enligt definitionen i artikel 3.35 i AI-förordningen avses med biometrisk identifiering automatiserad igenkänning av fysiska, fysiologiska, beteendemässiga eller psykologiska mänskliga drag för att fastställa en fysisk persons identitet genom jämförelse av personens biometriska uppgifter med biometriska uppgifter om enskilda personer som lagrats i en databas. Enligt artikel 3.36 avses med biometrisk verifiering automatiserad en-till-en-verifiering, inklusive autentisering, av fysiska personers identitet genom jämförelse av deras biometriska uppgifter med tidigare lämnade biometriska uppgifter. 

Med system för biometrisk fjärridentifiering avses i AI-förordningen ett AI-system vars syfte är att identifiera fysiska personer utan deras aktiva medverkan, vanligtvis på distans, genom jämförelse av en persons biometriska uppgifter med de biometriska uppgifterna i en referensdatabas (artikel 3.41). När det gäller system i realtid sker insamlingen av biometriska uppgifter, jämförelsen och identifieringen omedelbart, näst intill omedelbart eller under alla omständigheter utan betydande dröjsmål. Realtidssystem involverar direktupptagningar eller näst intill direktupptagningar av material, såsom videoupptagningar, genererade med kamera eller annan utrustning med liknande funktion. Efterhandssystem baseras däremot på redan insamlade biometriska uppgifter och jämförelsen och identifieringen sker med en betydande fördröjning. Detta involverar sådant material som bilder eller videoupptagningar som genereras genom övervakningskameror (CCTV) eller privat utrustning och som har genererats före användningen av systemet avseende de berörda fysiska personerna (se skäl 17 i AI-förordningens ingress samt artikel 3). 

Enligt skälen 32 och 33 i AI-förordningen inkräktar användningen av system för biometrisk fjärridentifiering i realtid av fysiska personer på allmänt tillgängliga platser för brottsbekämpande ändamål särskilt på de berörda personernas rättigheter och friheter, i och med att denna användning kan påverka privatlivet för en stor del av befolkningen, kan skapa en känsla av konstant övervakning och indirekt avskräcka från utövande av mötesfrihet och andra grundläggande rättigheter. Tekniska brister i AI-system kan också leda till biaser i resultat och medföra diskriminerande effekter. De omedelbara effekterna och de begränsade möjligheterna till ytterligare kontroll eller korrigering när det gäller användningen av sådana system som fungerar i realtid innebär dessutom ökade risker för rättigheterna och friheterna för berörda personer. Användningen av sådana system för brottsbekämpning bör därför vara förbjuden, utom i de snävt definierade situationer som anges i den uttömmande förteckningen, i de fall då användningen är strikt nödvändig för att uppnå ett väsentligt allmänintresse vars betydelse är större än riskerna. 

Medlemsstaterna har nationellt handlingsutrymme när det gäller att tillåta användning av biometriska system för fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål när förutsättningarna enligt AI-förordningen är uppfyllda. Användning av biometriska system för fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål är enligt artikel 5 i förordningen förbjuden utom i den mån sådan användning är absolut nödvändig för något av följande syften: 1) Målinriktad sökning efter specifika offer för människorov, människohandel eller sexuellt utnyttjande av människor, samt sökning efter försvunna personer. 2) Förhindrande av ett specifikt, betydande och överhängande hot mot fysiska personers liv eller fysiska säkerhet eller ett verkligt och aktuellt eller verkligt och förutsebart hot om en terroristattack. 3) Lokalisering eller identifiering av en person som misstänks ha begått ett brott, i syfte att genomföra en brottsutredning eller lagföring för brott eller verkställande av en straffrättslig påföljd för brott som avses i bilaga II och som i den berörda medlemsstaten kan leda till fängelse eller annan frihetsberövande åtgärd under en längsta tidsperiod på minst fyra år 

När biometriska system för fjärridentifiering används på allmänt tillgängliga platser för brottsbekämpande ändamål ska hänsyn tas till bland annat situationens art och konsekvenserna av användningen av systemet för alla berörda personers rättigheter och friheter. Dessutom ska användningen vara förenlig med nödvändiga och proportionella skyddsåtgärder och villkor i enlighet med nationell rätt, särskilt vad gäller tidsmässiga och geografiska begränsningar samt personbegränsningar. Inget beslut som har negativa rättsliga följder för en person får fattas enbart på grundval av utdata från systemet för biometrisk fjärridentifiering i realtid. 

I regel ska användningen av ett system för biometrisk fjärridentifiering i realtid tillåtas endast om den brottsbekämpande myndigheten har slutfört en konsekvensbedömning avseende grundläggande rättigheter och har registrerat systemet i EU-databasen. Användningen kräver dessutom ett förhandstillstånd från en rättslig myndighet eller en oberoende administrativ myndighet vars beslut är bindande. I brådskande situationer får dock användningen påbörjas utan registrering i EU:s databas eller utan tillstånd.  

I AI-förordningen ställs inte lika stränga villkor för fjärridentifiering i efterhand som för fjärridentifiering i realtid. Även system som används för biometrisk identifiering i efterhand klassificeras dock i AI-förordningen som så kallade AI-system med hög risk, och i artikel 26 föreskrivs om skyldigheter för deras tillhandahållare. För ibruktagande av ett system för fjärridentifiering i efterhand ska bland annat begäras tillstånd av en rättslig myndighet eller en administrativ myndighet vars beslut är bindande och föremål för rättslig prövning. Systemet får dock användas utan tillstånd för den inledande identifieringen av en potentiell misstänkt på grundval av objektiva och verifierbara fakta med direkt anknytning till brottet. Användningen ska begränsas till vad som är absolut nödvändigt för att utreda ett specifikt brott. 

Finlands gällande nationella lagstiftningen möjliggör inte för närvarande biometrisk fjärridentifiering i realtid i polisens brottsbekämpande uppgifter. Polisen använder dock biometrisk fjärridentifiering i efterhand inom ramen för de gällande nationella befogenhetsbestämmelserna. I propositionen föreslås inga ändringar i polisens rätt att använda biometrisk fjärridentifiering för att utföra sina uppgifter. De föreslagna ändringarna gäller endast polisens rätt att behandla biometriska uppgifter i passregistret och identitetskortsregistret samt biometriska uppgifter som samlats in med stöd av utlänningslagen. Uppgifterna kan i fortsättningen användas till exempel som jämförelsematerial vid biometrisk fjärridentifiering enligt specialvillkoren i AI-förordningen och kompletterande nationella bestämmelser. Vid biometrisk fjärridentifiering ska kraven i AI-förordningen och de nationella bestämmelser som i fortsättningen kompletterar den iakttas. Polisen ska således till exempel i enlighet med AI-förordningen begära tillstånd för att ta i bruk ett system som är avsett för fjärridentifiering i efterhand. Behoven av att ändra den nationella lagstiftningen om brottsbekämpande myndigheters biometriska fjärridentifiering i efterhand bedöms som bäst i den arbetsgrupp som arbets- och näringsministeriet tillsatt för nationellt genomförande av EU:s AI-förordning ( TEM044:00/2024 ).  

2.1.4  Offentlighetslagen och informationshanteringslagen

Polisens behandling av personuppgifter påverkas i hög grad av inte bara den allmänna dataskyddslagstiftningen utan också av bland annat lagen om offentlighet i myndigheternas verksamhet (621/1999, offentlighetslagen ) samt lagen om informationshantering inom den offentliga förvaltningen (906/2019, informationshanteringslagen ). I offentlighetslagen föreskrivs det om rätten att ta del av myndigheternas offentliga handlingar, om handlingssekretess samt andra för skyddande av allmänna och enskilda intressen nödvändiga begränsningar av rätten att ta del av en handling. Med tanke på behandlingen av personuppgifter är i synnerhet bestämmelserna om sekretess för uppgifterna i offentlighetslagen av betydelse. Enligt 24 § 1 mom. 4 punkten i offentlighetslagen är sekretessbelagda bland annat fotografier och övriga signalement som erhållits eller tagits av en person för behandlingen av ett förvaltningsärende som gäller konstaterande eller bekräftande av identitet eller reserätt samt särskilda signum givna för en person eller ett personkort eller ett resedokument. Enligt motiveringen till 4 punkten avses punkten bli tillämpad inte endast på polisen, utan också på personkännetecken och särskilda signum för personer eller handlingar som gäller verifiering och bekräftelse av identitet och reserätt som erhållits vid behandling av förvaltningsärenden hos andra myndigheter, såsom signalementsuppgifter som har erhållits vid behandling av passärenden inom utrikesförvaltningen (RP 30/1998 rd, s. 91). I 24 § 1 mom. 24 punkten i offentlighetslagen föreskrivs att sekretessbelagda är handlingar som gäller behovet av internationellt skydd, förutsättningarna för utlänningars inresa och uppehållsrätt i landet eller grunden för dem eller förvärv eller förlust av finskt medborgarskap eller bestämmande av medborgarskapsstatus, om det inte är uppenbart att utlämnandet av uppgifter ur dem inte äventyrar säkerheten för parten eller partens närstående.  

Vid utlämnande av information ur myndigheters personregister ska offentlighetsprincipen och sekretessbestämmelserna beaktas så som det föreskrivs i offentlighetslagen. Med stöd av offentlighetslagen bestäms också en parts rätt till information, som ofta gäller samma uppgifter som den kontrollrätt som personuppgiftslagstiftningen garanterar den registrerade.  

Informationshanteringslagen är en allmän lag, som i stor utsträckning gäller informationshantering i myndigheternas verksamhet. Lagen trädde i kraft den 1 januari 2020 och genom den upphävdes vissa enskilda bestämmelser i offentlighetslagen och andra lagar samt lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011) i dess helhet. Lagen innehåller bestämmelser om hur offentlighetsprincipen och kraven på god förvaltning ska iakttas i myndigheternas informationshantering. Lagen innehåller även bestämmelser om genomförande av interoperabiliteten hos informationssystem. Lagen innehåller bestämmelser som berör hela den offentliga förvaltningen och som gäller organiseringen och beskrivningen av informationshanteringen, informationsresursernas interoperabilitet, upprättandet av tekniska gränssnitt och elektroniska förbindelser samt tillgodoseende av informationssäkerheten. Lagens syfte är att främja en kvalitativ informationshantering och informationssäkerheten hos myndigheterna samt ett informationssäkert och ansvarsfullt utnyttjande av myndigheternas informationsmaterial. Informationshanteringslagens bestämmelser måste beaktas även vid sådan behandling av biometriska uppgifter som föreslås i propositionen. 

2.2.1  EU:s passförordning

Rådets förordning (EG) 2252/2004 om standarder för säkerhetsdetaljer och biometriska kännetecken i pass och resehandlingar som utfärdas av medlemsstaterna ( EU:s passförordning ) innehåller bestämmelser om ibruktagande av biometriska kännetecken i pass och andra resehandlingar. EU:s passförordning har ändrats genom Europaparlamentets och rådets förordning (EG) nr 444/2009. Syftet med EU:s passförordning är att göra EU-pass säkrare genom att anta en rättsligt bindande rättsakt om minimikrav på harmoniserade säkerhetsdetaljer och samtidigt skaps en tillförlitlig koppling mellan den rättmätige innehavaren och resehandlingen genom att integrera biometriska kännetecken i handlingen.  

I EU:s passförordning förutsätts att biometriska data insamlas av den som ansöker om pass och att uppgifterna lagras i handlingens tekniska del, dvs. på ett chipp. Enligt artikel 1.2 i förordningen ska passen och resehandlingarna innefatta ett mycket säkert lagringsmedium, som ska innehålla en ansiktsbild. Medlemsstaterna ska också låta två platta fingeravtryck i interoperabla format ingå. Från kravet på att lämna fingeravtryck ska enligt artikel 1.2a i förordningen undantas barn under 12 år samt personer på vilka det är fysiskt omöjligt att ta fingeravtryck. 

Enligt artikel 4.3 i förordningen får vid tillämpningen av passförordningen de biometriska kännetecknen i pass och resehandlingar endast användas för att kontrollera passets eller resehandlingens autenticitet samt innehavarens identitet genom direkt tillgängliga jämförbara kännetecken, när uppvisande av pass eller resehandling krävs enligt lag.  

I skäl 8 i passförordningens ingress sägs att beträffande vilka personuppgifter som ska behandlas i samband med pass och resehandlingar gäller Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, som har upphävts genom EU:s allmänna dataskyddsförordning. Enligt artikel 94.2 i dataskyddsförordningen ska hänvisningar till det upphävda direktivet anses som hänvisningar till dataskyddsförordningen. Behandlingen av personuppgifter i polisens uppgifter enligt passförordningen och den nationella passlagen omfattas av EU:s allmänna dataskyddsförordning.  

EU:s passförordning innehåller inga bestämmelser om lagring av biometriska uppgifter i ett nationellt register eller annan behandling av dem i enlighet med medlemsstaternas nationella lagstiftning. Enligt ordalydelsen begränsar förordningen inte lagring av biometriska uppgifter som insamlats av den som ansöker om pass i nationella databaser eller behandling av biometriska uppgifter som lagrats i nationella databaser för andra ändamål än de som anges i passförordningen. Enligt skäl 5 i ingressen till Europaparlamentets och rådets förordning om ändring av EU:s passförordning (EG) nr 444/2009 påverkar inte EU:s passförordning någon annan användning eller lagring av biometriska uppgifter som samlas in och lagras i lagringsmediet för pass och resehandlingar i enlighet med medlemsstaternas nationella lagstiftning. Förordningen utgör inte en rättslig grund för att skapa eller upprätthålla databaser för lagring av dessa uppgifter i medlemsstaterna; denna fråga omfattas nämligen helt och hållet av den nationella lagstiftningen. Nationell lagstiftning om skapande och användning av databaser på nationell nivå ska uppfylla dataskyddslagstiftningens krav. 

Europeiska unionens domstol (EU-domstolen) har behandlat tagandet av fingeravtryck för pass i ärendet C-291/12 ( Schwarz mot Stadt Bochum ), där det är fråga om giltigheten av artikel 1.2 i EU:s passförordning. Schwarz från Tyskland har vägrat att lämna sina fingeravtryck i samband med beviljandet av pass. Stadt Bochum avslog hans ansökan. Michael Schwarz överklagade beslutet till den hänskjutande domstolen och yrkade att Stadt Bochum skulle föreläggas att utfärda passet till honom utan att registrera hans fingeravtryck. EU-domstolen erinrar i sitt avgörande om att de rättigheter som följer av artiklarna 7 och 8 i stadgan om de grundläggande rättigheterna inte är några absoluta rättigheter, utan måste bedömas utifrån deras funktion i samhället. Domstolen fastställer att artikel 52 i stadgan tillåter nämligen att utövandet av sådana rättigheter begränsas, under förutsättning att begränsningarna föreskrivs i lag, att de är förenliga med det väsentliga innehållet i dessa rättigheter och, med beaktande av proportionalitetsprincipen, är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller mot behovet av skydd för andra människors rättigheter och friheter. Artikel 1.2 i EU: passförordning har två tydliga syften, nämligen dels att förebygga att pass förfalskas, dels förhindra att de används i bedrägligt syfte. Artikeln eftersträvar alltså ett mål av allmänt samhällsintresse som erkänns av unionen. Enligt domstolen kan det intrång i rätten till respekt för privatlivet och skydd för personuppgifter som artikel 1.2 i passförordningen innebär motiveras för att uppnå syftet att förhindra att pass används i bedrägligt syfte.  

Den hänskjutande domstolen frågade också huruvida artikel 1.2 i EU:s passförordning är proportionerlig, eftersom det finns en risk att fingeravtrycken kan komma att lagras centralt och användas för andra syften än dem som anges i förordningen. Härvid konstaterar EU-domstolen att EU:s passförordning inte kan tolkas så att den utgör rättslig grund för en eventuell centralisering av insamlade uppgifter eller för att dessa uppgifter används i andra syften än att förhindra att personer olagligen inreser till unionen. Riskerna med en sådan eventuell centralisering kan således inte påverka giltigheten av EU:s passförordning och bör i förekommande fall prövas om någon vid behörig domstol invänder mot lagstiftning som föreskriver centraliserad lagring av fingeravtryck. 

2.2.2  Passlagen

Nationellt föreskrivs det om ansökan om samt utfärdande och indragning av pass i passlagen. Det första biometriska kännetecknet som fogades till passen, ansiktsbild, togs i bruk i Finland genom den nya passlagen som trädde i kraft i augusti 2006. Från och med 2006 har passen på motsvarande sätt innehållit en maskinläsbar teknisk del, dvs. ett chipp. Genom den ändring av passlagen (456/2009), som trädde i kraft i juni 2009 fogades till passen ett annat biometriskt kännetecken, fingeravtryck. Förutom för vanligt pass tas fingeravtryck även av den som ansöker om tillfälligt pass och sjömanspass. Dessa handlingar innehåller inget chipp med fingeravtryck, utan uppgifterna lagras endast i passregistret. I passregistret lagras också biometriska uppgifter om den som ansöker om diplomatpass och tjänstepass.  

Bestämmelser om avläsning av fingeravtryck finns i 5 b § i passlagen, enligt vilken fingeravtryck som har lagrats på passets chipp får avläsas endast så som bestäms i EU:s passförordning. Fingeravtryck får avläsas av en passmyndighet som avses i 10 § och av en polis- eller gränskontrollmyndighet. Vid avläsning av fingeravtryck får fingeravtryck tas av passinnehavaren och de får jämföras med de fingeravtryck som lagrats i passets tekniska del för konstaterande av passets äkthet och fastställande av passinnehavarens identitet. Enligt motiveringen till bestämmelsen (RP 234/2008 rd, s. 45) får polisen avläsa fingeravtryck som lagrats på chippet för fastställande av identitet också med stöd av sina befogenheter som avser förundersökning och övrig polisundersökning. Polisens rätt att läsa fingeravtryck som lagrats på chippet begränsas i enlighet med EU:s passförordning till att gälla enbart konstaterande av att ett dokument är äkta och fastställande av identitet. Bestämmelsen möjliggör inte exempelvis utredning av brott med hjälp av fingeravtryck som lagrats på ett chipp. Passlagen innehåller inga särskilda bestämmelser om avläsning av ansiktsbilder. 

Genom 2009 års lagändring föreskrevs det också nationellt om fogande av fingeravtryck till polisens register. Enligt 6 a § 3 mom. i passlagen lagras fingeravtrycken i passets tekniska del och i passregistret. Fingeravtryck som införts i passregistret ska hållas åtskilda från signalementen för personer som är misstänkta för brott. Bestämmelser om passregistret finns i 29 § i passlagen, enligt vars 1 mom. polisen ska föra passregistret för utförande av de uppgifter som enligt passlagen ankommer på polisen, utrikesministeriet och en sådan finsk beskickning som avses i lagens 10 §. Utöver de andra uppgifter som uppräknas i 29 § 1 mom. införs i registret fingeravtryck som tagits av sökanden vid ansökan om pass samt de fotografier av personer och namnteckningsprov som personerna lämnat till polisen, utrikesministeriet eller till en myndighet inom utrikesförvaltningen vid ansökan om pass.  

Det huvudsakliga syftet med lagringen av biometriska uppgifter är att garantera att ansökningsprocessen är säker och att identiteten säkerställs på ett tillförlitligt sätt. Enligt 29 § 2 mom. finns bestämmelser om användning av uppgifterna i passregistret i 11–15 § i polisens personuppgiftslag. Bestämmelser om utlämnande och radering av uppgifterna i passregistret finns i 4 kap. och i 38 § i den lagen. Ändringen av villkoren för att använda biometriska uppgifter som lagrats i passregistret bedöms inte föranleda några behov av ändringar i passlagen. 

2.2.3  EU:s förordning om identitetskort

Europaparlamentets och rådets förordning (EU) 2019/1157 om säkrare identitetskort för unionsmedborgare och uppehållshandlingar som utfärdas till unionsmedborgare och deras familjemedlemmar när de utövar rätten till fri rörlighet ( EU:s förordning om identitetskort) trädde i kraft i början av augusti 2019. Förordningen tillämpas från den 2 augusti 2021. Syftet med EU:s förordning om identitetskort var att förbättra tillförlitligheten och säkerheten i fråga om identitetskort som utfärdas till EU-medborgare och uppehållshandlingar som utfärdas till EU-medborgare och deras familjemedlemmar. Genom att öka tillförlitligheten på identitetskort och uppehållshandlingar främjas utövandet av rätten till fri rörlighet i en trygg miljö.  

EU:s förordning om identitetskort tillämpas på identitetskort med rätt att resa. På motsvarande sätt som i EU:s passförordning förutsätter också EU:s förordning om identitetskort att biometriska uppgifter insamlas av den som ansöker om en handling och att uppgifter lagras i handlingens tekniska del, dvs. på ett chipp. Enligt artikel 3.5 i förordningen ska identitetskort innefatta ett mycket säkert lagringsmedium som innehåller en ansiktsbild av innehavaren och två fingeravtryck i interoperabla digitala format. Enligt artikel 3.7 i förordningen får barn under tolv år undantas från kravet att lämna fingeravtryck. Barn under sex år och personer för vilka upptagning av fingeravtryck är fysiskt omöjlig ska undantas från kravet att lämna fingeravtryck. 

I artikel 10 i förordningen föreskrivs det om insamling av biometriska kännetecken. I artikel 10.3 sägs att utom när de krävs för behandling i enlighet med unionsrätten och nationell rätt ska biometriska kännetecken som lagras för personalisering av identitetskort eller uppehållshandlingar förvaras på ett mycket säkert sätt och endast fram till den dag då handlingen hämtas ut, dock aldrig längre än 90 dagar från den dag då handlingen utfärdats. 

I artikel 11 i förordningen förskrivs det om skydd av personuppgifter och ansvar. Enligt artikel 11.6 får biometriska uppgifter som lagrats på lagringsmedium på identitetskort och uppehållshandlingar bara användas i enlighet med unionsrätten och nationell rätt av vederbörligen bemyndigad personal vid behöriga nationella myndigheter och unionsbyråer i syfte att kontrollera följande: a) Identitetskortet eller upphållshandlingens äkthet. b) Innehavarens identitet genom direkt tillgängliga jämförbara detaljer, när uppvisande av identitetskort eller uppehållshandling krävs enligt lag eller annan författning. 

Europeiska datatillsynsmannen föreslog i sitt utlåtande om förslaget till EU:s förordning om identitetskort att det i förordningen skulle föreskrivas uttryckligen om skyddsåtgärder för att hindra medlemsstaterna från att inrätta nationella fingeravtrycksdatabaser i samband med genomförandet av förordningen. Enligt utlåtandet borde det till förordningen ha fogats en bestämmelse där det uttryckligen konstateras att biometriska uppgifter som behandlas i ett adekvat sammanhang ska raderas genast efter att de lagrats på mikrochippet och att de får inte senare behandlas för andra ändamål än de som uttryckligen föreskrivs i förslaget. Någon sådan bestämmelse togs ändå inte in i den slutliga förordningen. Enligt skäl 21 i EU:s förordning om identitetskort utgör förordningen inte någon rättslig grund för att upprätta eller underhålla databaser på nationell nivå för lagring av biometriska uppgifter i medlemsstaterna, vilket är en fråga för nationell rätt som måste vara förenlig med unionsrätten avseende dataskydd. I enlighet med sin ordalydelse reglerar förordningen om identitetskort endast tillåtna ändamål med biometriska uppgifter som lagrats på lagringsmedium på identitetskort och uppehållshandlingar, dvs. på handlingens chipp (artikel 11). På motsvarande sätt konstateras i förordningen till exempel i fråga om förvaringstiden för uppgifter att utom när de krävs för behandling i enlighet med unionsrätten och nationell rätt ska biometriska kännetecken förvaras endast fram till den dag då handlingen hämtas ut, dock aldrig längre än 90 dagar från den dag då handlingen utfärdats (artikel 10).  

Europeiska unionens domstol meddelade den 21 mars 2024 avgörande i ärendet C-61/22 ( RL mot Landeshauptstadt Wiesbaden ). EU-domstolen fastslår i sitt avgörande att målet att motverka dokumentbedrägeri, vilket bland annat innefattar att motverka tillverkning av falska identitetskort och identitetsstöld, utgör ett av unionen erkänt mål av allmänt samhällsintresse (se också C-291/12, Schwarz mot Stadt Bochum ). Den begränsning av de i artiklarna 7 och 8 i stadgan garanterade rättigheterna som följer av skyldigheten att införa två hela fingeravtryck i lagringsmediet i identitetskort kan enligt EU-domstolen inte anses gå utöver vad som är absolut nödvändigt. EU-domstolen konstaterar dock att EU:s förordning om identitetskort saknar giltighet, eftersom den felaktigt har antagits med stöd av artikel 21.2 FEUF och med tillämpning av det ordinarie lagstiftningsförfarandet. Enligt EU-domstolen ingår EU:s förordning om identitetskort bland de rättsakter som omfattas av det specifika tillämpningsområdet för artikel 77.3 FEUF. Den föreskriver ett särskilt lagstiftningsförfarande och i synnerhet enhällighet i rådet. Verkningarna av förordningen ska bestå till dess att en ny – med stöd av artikel 77.3 FEUF antagen – förordning som ersätter den träder i kraft, vilket ska ske inom skälig tid, dock senast inom två år räknat från den 1 januari året efter det att denna dom meddelades. Den nya förordningen ska således träda i kraft senaste den 1 januari 2027.  

Generaladvokaten hänvisar i sitt förslag till avgörande i ärendet C-61/22 (29.6.2023) till förbehållet i artikel 10.3 i EU:s förordning om identitetskort. I den punkten föreskrivs det att myndigheterna förvarar fingeravtryck temporärt och att de är skyldiga att förvara dessa biometriska kännetecken på ett mycket säkert sätt ”utom när de krävs för behandling i enlighet med unionsrätten och nationell rätt”. Enligt generaladvokaten fastställs i detta förbehåll inte någon rättslig grund för något annat syfte än de som specifikt anges i den förordningen. I förbehållet hänvisas de facto uttryckligen till ytterligare lagstiftning som härrör antingen från Europeiska unionen eller från medlemsstaterna, vilket innebär att varje begränsning av de rättigheter som garanteras i artiklarna 7 och 8 i stadgan ska prövas endast mot bakgrund av denna andra lagstiftning.  

I EU-domstolens avgörande behandlas inte förbehållet i artikel 10.3 i förordningen, som gäller behandling i enlighet med unionsrätten och nationell rätt. EU-domstolen hänvisar över huvud taget inte till förbehållet i punkt 112 i avgörandet, som gäller artikel 10.3 i förordningen, utan konstaterar följande: Vidare föreskrivs i artikel 10.3 i förordningen att dessa ”biometriska kännetecken [ska] förvaras … endast fram till den dag då handlingen hämtas ut, dock aldrig längre än 90 dagar från den dag då handlingen utfärdats” och att ”[e]fter denna tidsperiod ska de biometriska kännetecknen omedelbart raderas eller förstöras”. Enligt EU-domstolen följer av detta bland annat att artikel 10.3 i förordning 2019/1157 utgör hinder för att medlemsstaterna behandlar biometriska uppgifter för andra ändamål än de som föreskrivs i förordningen. Denna bestämmelse utgör även hinder för en centraliserad lagring av fingeravtryck som går utöver den tillfälliga lagringen av fingeravtryck för personalisering av identitetskort (se punkt 113 i avgörandet). I EU-domstolens avgörande behandlas således lagringen av biometriska uppgifter endast med avseende på den rättsliga grund som föreskrivs i EU:s förordning om identitetskort. Behandling enligt nationell rätt har i skäl 21 i förordningen konstaterats vara en fråga för nationell rätt som måste vara förenlig med unionsrätten avseende dataskydd. 

Europeiska kommissionen antog den 23 juli 2024 ett förslag till rådets förordning om säkrare identitetskort för unionsmedborgare och säkrare uppehållshandlingar som utfärdas till unionsmedborgare och deras familjemedlemmar när de utövar rätten till fri rörlighet, som ska ersätta den upphävda förordningen om identitetskort (COM(2024) 316 final). Syftet med förslaget till förordning var att inleda förfarandet för att på lämplig rättslig grund, nämligen artikel 77.3 i EUF-fördraget, anta en ny förordning om säkrare identitetskort för unionsmedborgare och säkrare uppehållshandlingar som utfärdas till unionsmedborgare och deras familjemedlemmar när de utövar rätten till fri rörlighet. Rådets förordning (EU) 2025/1208 antogs den 12 juni 2025 och tillämpas från och med den 10 juli 2025. Inrättandet av nationella biometriska databaser ska enligt förordningen fortfarande omfattas av nationell reglering. Enligt skäl 20 i förordningens ingress utgör förordningen inte någon rättslig grund för att upprätta eller underhålla databaser på nationell nivå för lagring av biometriska uppgifter i medlemsstaterna, vilket är en fråga för nationell rätt som måste vara förenlig med unionens dataskyddslagstiftning, inbegripet nödvändighets- och proportionalitetskraven. Förordningen utgör heller inte någon rättslig grund för att upprätta eller underhålla en centraliserad databas på unionsnivå. Enligt artikel 10.3 i förordningen ska biometriska kännetecken som lagras för personalisering av identitetskort eller uppehållshandlingar förvaras på ett mycket säkert sätt och aldrig längre än 90 dagar från den dag då handlingen utfärdats. Efter denna period ska de biometriska kännetecknen omedelbart raderas eller förstöras. Detta ska inte påverka lagring av dem när detta krävs enligt unionsrätten eller nationell rätt, i enlighet med unionens dataskyddslagstiftning. Enligt skäl 23 i ingressen bör förordningen inte tolkas som ett förbud mot behandling av dessa uppgifter när behandling krävs enligt unionsrätten eller nationell rätt, i enlighet med unionens dataskyddslagstiftning. 

På samma sätt som EU:s passförordning bedöms inte heller EU:s förordning om identitetskort medföra några hinder för lagring av biometriska uppgifter i nationella databaser eller användningen av lagrade uppgifter för andra ändamål än ändamålen enligt förordningen om identitetskort. Den nationella lagstiftningen om inrättande och användning av databaser på nationell nivå ska uppfylla kraven enligt dataskyddslagstiftning. Exempelvis behandling av uppgifterna för något annat ändamål än det ursprungliga ändamålet med behandlingen ska således bedömas mot principen om ändamålsbegränsning med iakttagande av de förutsättningar enligt den allmänna dataskyddsförordningen som beskrivs i avsnitt 2.1.1. 

2.2.4  Lagen om identitetskort

Nationellt föreskrivs det om ansökan om samt utfärdande och indragning av identitetskort i lagen om identitetskort. Genom lagen om identitetskort utfärdas bestämmelser som kompletterar EU:s förordning om identitetskort. Bestämmelser som kompletterar förordningen om identitetskort utfärdades genom den ändring av lagen om identitetskort som trädde i kraft den 2 augusti 2021 (694/2021). Enligt 5 a § i lagen om identitetskort får de fingeravtryck och den ansiktsbild som har lagrats i identitetskortets tekniska del avläsas endast på det sätt som föreskrivs i EU:s förordning om identitetskort. Fingeravtryck får avläsas av en utfärdande myndighet som avses i 18 §, av polisen och av Gränsbevakningsväsendet. Dessutom får fingeravtryck avläsas av Tullen när den är förundersökningsmyndighet eller fullgör uppgifter som gränskontrollmyndighet. Polisen får även med stöd av sina befogenheter vid förundersökning och annan polisutredning avläsa fingeravtryck som är lagrade på chipp för att säkerställa innehavarens identitet, på motsvarande sätt som i fråga om fingeravtryck som är lagrade på passets chipp. I bestämmelsen har beaktats att också Gränsbevakningsväsendet och Tullen, som hör till förundersökningsmyndigheterna, har behov av att avläsa fingeravtryck som är lagrade på chipp för att säkerställa identiteten inom ramen för sina befogenheter. 

För en minderårig sökande får ett identitetskort utfärdas, om vårdnadshavarna ger sitt samtycke till det (16 §). Fingeravtryck tas inte om sökanden är under 12 år (9 a §). För en minderårig sökande får också ett särskilt identitetskort för minderårig utfärdas utan vårdnadshavarnas samtycke. Identitetskort för minderåriga och temporära identitetskort innehåller ingen teknisk del, dvs. inget chipp, så på dem lagras inte heller fingeravtryck eller biometriska ansiktsbilder. 

Förutom för finska medborgare får identitetskort även utfärdas för utlänningar som vistas i Finland. Förutsättningen är enligt 14 § i lagen om identitetskort 1) att sökanden har ett giltigt uppehållstillstånd eller uppehållskort eller att sökandens uppehållsrätt är registrerad, 2) att sökanden har hemkommun i Finland i enlighet med lagen om hemkommun (201/1994), och 3) att uppgifter om sökanden har registrerats i befolkningsdatasystemet. 

Behandlingen av personuppgifter i uppgifter enligt lagen om identitetskort omfattas av EU:s allmänna dataskyddsförordningen. Bestämmelser om det nationella identitetskortsregistret finns i 31 § i lagen om identitetskort. Polisen för identitetskortsregistret för utförande av de uppgifter som enligt lagen om identitetskort ankommer på polisen och finska beskickningar. I identitetskortsregistret införs i huvudsak samma uppgifter som i passregistret, om vilket det föreskrivs i 29 § i passlagen. I registret införs således vid sidan av andra uppgifter de fingeravtryck som tagits av sökanden vid ansökan om identitetskort samt de fotografier av personer och namnteckningsprov som personerna lämnat till polisen, utrikesministeriet eller en myndighet inom utrikesförvaltningen vid ansökan om identitetskort. Den bestämmelse om införande av fingeravtryck i registret som föreslogs av nationella orsaker fogades till lagen om identitetskort i samband med de bestämmelser som kompletterar EU:s förordning om identitetskort. Bestämmelsen om lagring av fingeravtryck har i regeringens proposition konstaterats utgöra lagstiftning som utfärdas inom ramen för det nationella handlingsutrymme som artikel 6.3 och artikel 9.2 g i den allmänna dataskyddsförordningen medger (RP 206/2020 rd, s. 13).  

Enligt 31 § 2 mom. i lagen om identitetskort finns bestämmelser om användning av uppgifterna i identitetskortsregistret i 11–15 § i polisens personuppgiftslag. Bestämmelser om utlämnande och radering av uppgifter finns i 4 kap. och i 38 § i den lagen. Regleringen motsvarar således även till denna del passlagen och det har inte ansetts nödvändigt att föreslå några ändringar i lagen om identitetskort. 

2.3.1  Uppgifter som förs in i polisens register

Enligt 131 § 1 mom. i utlänningslagen får polisen eller gränskontrollmyndigheten ta fingeravtryck, fotografier och andra signalement på en utlänning 1) som har ansökt om asyl eller uppehållstillstånd på grund av alternativt skydd eller tillfälligt skydd, 2) som har ansökt om uppehållstillstånd på grund av familjeband, 3) som har fått uppehållstillstånd i egenskap av en utlänning som tagits till Finland inom flyktingkvoten, 4) som enligt beslut ska avvisas eller utvisas, eller 5) vars identitet är oklar. Signalement får tas för verifiering av identitet, för behandling, beslut och övervakning av utlänningars inresa och utresa samt vistelse och arbete och för tryggande av statens säkerhet.  

De signalement som avses ovan införs enligt 131 § 2 mom. i ett register som polisen för. Uppgifterna ska hållas åtskilda från signalementen för personer som är misstänkta för brott och från de fingeravtryck som registreras i enlighet med 10 § i migrationsförvaltningens personuppgiftslag och som tas för ansökan om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem. I 3 mom. föreskrivs det om jämförelse av fingeravtrycksuppgifter som ingår i signalementsuppgifter med andra register. Fingeravtrycksuppgifter får jämföras med fingeravtrycksuppgifter som behandlas för polisens undersöknings- och övervakningsuppgifter samt med fingeravtrycksuppgifter som registrerats i Migrationsverkets register för ansökningar om främlingspass och resedokument för flykting och med fingeravtrycksuppgifter som registrerats för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem. Dessutom får fingeravtrycksuppgifter för kontroll av inreseförutsättningarna jämföras med fingeravtryck som ingår i signalementsuppgifter enligt tvångsmedelslagen (806/2011) och som avses i polisens personuppgiftslag, till den del de redan registrerade fingeravtrycksuppgifterna har samband med ett brott för vilket det föreskrivna strängaste straffet är fängelse i minst ett år. 

131 § i utlänningslagen innehåller också bestämmelser om utlämnande av signalement som är införda i polisens register till utlandet. Uppgifter kan trots sekretessbestämmelserna, för identifiering av en utlänning, lämnas ut till en utländsk myndighet och till Europeiska gräns- och kustbevakningsbyrån med beaktande av den allmänna dataskyddsförordningen, dataskyddslagen avseende brottmål och polisens personuppgiftslag. Uppgifter får dessutom trots sekretessbestämmelserna och trots vad som föreskrivs i 15 § 4 mom. i polisens personuppgiftslag lämnas ut till det SIS-system som avses i Europaparlamentets och rådets förordning (EU) 2018/1862 om inrättande, drift och användning av Schengens informationssystem (SIS) på området polissamarbete och straffrättsligt samarbete, om ändring och upphävande av rådets beslut 2007/533/RIF och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1986/2006 och kommissionens beslut 2010/261/EU 1) för införande av sådana registreringar om återvändande som avses i artikel 3 i Europaparlamentets och rådets förordning (EU) 2018/1860 om användning av Schengens informationssystem för återvändande av tredjelandsmedborgare som vistas olagligt i medlemsstaterna, 2) för införande av sådana registreringar om nekad inresa och vistelse som avses i artikel 24 i SIS-förordningen om in- och utresekontroller, 3) för införande av sådana registreringar som avses i artikel 32 i SIS-förordningen om polissamarbete.  

I regeringens proposition till riksdagen med förslag till lagstiftning som kompletterar förordningarna om användning av Schengens informationssystem (RP 35/2021 rd) föreslogs inte att biometriska uppgifter ska lämnas ut för införande av registreringar i SIS med undantag för signalementsuppgifter som insamlas på grund av brott. Användning av biometriska uppgifter som insamlats för andra ändamål i SIS-registreringar ansågs under beredningen strida mot principen om ändamålsbegränsning, som grundar sig på dataskyddsbestämmelserna och grundlagsutskottets vedertagna praxis. Enligt artikel 4 i SIS-återvändandeförordningen (EU) 2018/1860 samt artiklarna 20 och 22 i SIS-förordningen om in- och utresekontroller (EU) 2018/1861 och SIS-förordningen om polissamarbete (EU) 2018/1862 ska uppgifterna föras in i SIS, om de är tillgängliga. Förordningarna anger inte närmare vad som avses med tillgängliga uppgifter i detta sammanhang. De nationella personuppgiftslagarna innehåller betydande begränsningar av införandet av registreringar, särskilt när det gäller behandling och utlämnande av information som gäller biometriska uppgifter. I propositionen ansågs det att nationellt insamlade biometriska uppgifter inte var tillgängliga på det sätt som avses i SIS-förordningarna.  

Under riksdagsbehandlingen av propositionen fogades emellertid ett nytt 5 mom. till 131 § i utlänningslagen. Momentet gäller utlämnande av uppgifter för sådana registreringar enligt artikel 32 i SIS-förordningen om polissamarbete som gäller försvunna eller sårbara personer som behöver hindras från att resa. Riksdagen förutsatte dessutom i sitt svar på propositionen (RSv 92/2022 rd) att regeringen noga utreder och bedömer den nationella lagstiftningen och EU-lagstiftningen om behandling av biometriska uppgifter om utlänningar, inklusive förutsättningarna för användning av biometriska uppgifter i nationella informationssystem för registreringar enligt SIS-förordningarna, och vid behov vidtar lämpliga åtgärder för att ändra den nationella lagstiftningen. Också kommissionen tog i samband med Finlands Schengenutvärdering sommaren 2023 upp frågan om utlämnande av nationellt insamlade biometriska uppgifter till SIS. I utvärderingsrapporten enligt rådets förordning (EU) 2022/922 ligger Finlands praxis att inte lämna ut biometriska uppgifter för SIS-registreringar om återvändande och nekad inresa och vistelse inte i linje med den rättsligt bindande regleringen i SIS-återvändandeförordningen och SIS-förordningen om in- och utresekontroller. Kommissionen har i de rekommendationer som antogs genom genomförandebeslutet C(2024) 1960 final den 23 juli 2024 betonat att Finland borde i sin nationella lagstiftning göra det möjligt att lämna ut biometriska uppgifter för SIS-registreringar om återvändande och nekad inresa och vistelse (bilaga 2, rekommendation nr 13).  

131 § 5 mom. i utlänningslagen ändrades genom den lag som trädde i kraft den 1 september 2024 (472/2024) så att till momentet fogades en bestämmelse om rätt att lämna ut biometriska uppgifter som införts i polisens register med stöd av utlänningslagen för införande av registreringar om återvändande och nekad inresa och vistelse i SIS. I den gällande 131 § föreskrivs det dock inte om möjlighet att lämna ut signalementsuppgifter om utlänningar för andra registreringar enligt SIS-förordningen om polissamarbete än sådana registreringar enligt artikel 32 i förordningen som gäller försvunna eller sårbara personer. De biometriska uppgifter som insamlas med stöd av 131 § i utlänningslagen bedöms avsevärt förbättra möjligheterna att lagra biometriska uppgifter som är väsentliga för att tillförlitligt identifiera personer även för vissa andra registreringar enligt SIS-förordningen om polissamarbete, för vilka behövliga biometriska uppgifter ofta inte finns i andra tillgängliga register. Ändringsbehov har bedömts hänföra sig särskilt till registreringar enligt artikel 26 i SIS-förordningen om polissamarbete för gripande, överlämnande och utlämnande på grundval av en europeiska arresteringsorder eller ett utlämningsavtal samt för registreringar enligt artikel 36.3 och 36.4 som gäller diskreta kontroller, undersökningskontroller och särskilda kontroller. Registreringar enligt SIS-förordningarna och förutsättningarna för lagring av dem beskrivs i större utsträckning i regeringens proposition med förslag till lagstiftning som kompletterar förordningarna om användning av Schengens informationssystem (RP 35/2021 rd). 

I övrigt ingår bestämmelser om användning, radering och utlämnande av signalement som avses i 131 § i utlänningslagen i polisens personuppgiftslag, som behandlas i avsnitt 2.4 i denna proposition. I regeringens proposition som gäller polisens personuppgiftslag (RP 242/2018 rd) har man bedömt att fingeravtryck, fotografier och andra signalement som avses i 131 § i utlänningslagen hör till sådana personuppgifter enligt 5 och 6 § i polisens personuppgiftslag som behandlas i samband med undersöknings- och övervakningsuppgifter.  

2.3.2  Uppgifter som förs in i Migrationsverkets register

I 8 kap. i utlänningslagen föreskrivs om resedokument som beviljas utlänningar i Finland; främlingspass och resedokument för flykting. Lagens 133 a § innehåller en hänvisning till passlagens bestämmelser om tagande av fingeravtryck. Bestämmelser om behandling av uppgifter om fingeravtryck som tagits för ansökningar om främlingspass och resedokument för flykting ingår i 9 § i migrationsförvaltningens personuppgiftslag. De ursprungliga ändamålen med fingeravtryck som förs in i ärendehanteringssystemet för utlänningsärenden är verifiering av identiteten och tillverkning av främlingspass eller resedokument för flykting. Polisen får behandla uppgifterna för något annat ändamål än det ursprungliga ändamålet med behandlingen under samma förutsättningar som biometriska uppgifter i pass och identitetskort, dvs. för att identifiera ett offer som annars förblivit oidentifierat. 

I 60 d § i utlänningslagen föreskrivs det om biometriska kännetecken, fingeravtryck och ansiktsbilder, som insamlas för uppehållstillståndskort. Enligt 161 § i utlänningslagen tillämpas 60 d § också på uppehållskort för unionsmedborgares familjemedlemmar. Bestämmelser om behandling av uppgifter om fingeravtryck som tagits för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem finns i 10 § i migrationsförvaltningens personuppgiftslag. De ursprungliga ändamålen med fingeravtryck som förs in i ärendehanteringssystemet för utlänningsärenden är verifiering av autenticiteten av uppehållstillståndskort och identiteten hos innehavaren av ett uppehållstillstånd, behandling av och beslut och övervakning i ärenden som gäller utlänningars inresa och utresa samt vistelse och arbete och skydd av den nationella säkerheten. Dessutom förutsätts i bestämmelsen att fingeravtrycken får endast användas inom ramen för befogenheter i anknytning till de ändamål som anges i 1 § 1 mom. 1 punkten samt inom ramen för befogenheter i anknytning till en säkerhetsutredning enligt lagen om säkerhetsutredningar (726/2014). Ändamålen enligt 1 § 1 mom. 1 punkten i migrationsförvaltningens personuppgiftslag är behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse. Polisens får behandla även fingeravtrycksuppgifter som insamlats med stöd av 60 d § i utlänningslagen för något annat ändamål än det ursprungliga ändamålet med behandlingen under samma förutsättningar som biometriska uppgifter i pass och identitetskort, dvs. för att identifiera ett offer som annars förblivit oidentifierat.  

Med stöd av 10 § i migrationsförvaltningens personuppgiftslag registreras i ärendehanteringssystemet för utlänningsärenden fingeravtryck som tagits av en större grupp utlänningar än vad som förs in i polisens register med stöd av 131 § i utlänningslagen. Delvis är det dock fråga om samma människor vilkas uppgifter redan har förts in i polisens register i enlighet med 131 § i utlänningslagen på grundval av behov av internationellt skydd, tillfälligt skydd eller familjeband, eller vilkas uppgifter senare får registreras för att utreda personens identitet eller med stöd av ett avvisnings- eller utvisningsbeslut, dvs. beslut om återvändande. 

Enligt 8 § i migrationsförvaltningens personuppgiftslag får den personuppgiftsansvarige behandla uppgifter som hör till särskilda kategorier av personuppgifter endast om behandlingen är nödvändig med tanke på behandlingsändamålet. Lagen innehåller inga särskilda bestämmelser om förutsättningar för att behandla fotografier som förs in i ärendehanteringssystemet för utlänningsärenden.  

Enligt 14 § i migrationsförvaltningens personuppgiftslag får Migrationsverket, utrikesministeriet, beskickningar, polisen, Gränsbevakningsväsendet och Tullen, trots sekretessbestämmelserna, till Europeiska unionens gemensamma informationssystem, vilka inrättats genom förordningar som antagits med stöd av avdelning V kapitel 2 i fördraget om Europeiska unionens funktionssätt, lämna ut personuppgifter enligt vad som föreskrivs i de förordningarna. Enligt förvaltningsutskottets betänkande är de uppgifter som ska ingå i registreringar om nekad inresa och registreringar om återvändande sådana uppgifter som Migrationsverket, polisen och Gränsbevakningsväsendet i enlighet med 3 § i migrationsförvaltningens personuppgiftslag behandlar i behandlingssyfte enligt 1 § 1 mom. 1 punkten och som behövs för skötseln av uppgifter enligt 9 kap. i utlänningslagen (FvUB 10/2020 rd, s. 46).  

När det gäller förutsättningarna att behandla biometriska uppgifter i främlingspass och resedokument för flykting enligt 9 § i migrationsförvaltningens personuppgiftslag har inga ändringsbehov iakttagits i anslutning till polisens uppgifter. Även i fortsättningen är det ändamålsenligt att kunna behandla uppgifterna på motsvarande sätt som i nuläget för att identifiera ett offer som annars förblivit oidentifierat.  

De viktigaste ändringsbehoven när det gäller migrationsförvaltningens personuppgiftslag hänför sig till de biometriska uppgifter enligt lagens 10 § som insamlas för ansökan om uppehållstillstånd, ansökan om uppehållstillståndskort och ansökan om uppehållskort för unionsmedborgares familjemedlem. Enligt de gällande bestämmelserna får uppgifterna inte användas för att förhindra, avslöja eller utreda brott och inte för registreringar som förs in i Schengens informationssystem (SIS). Biometriska uppgifter som är nödvändiga för att förhindra, avslöja eller utreda brott som hänför sig till statens säkerhet och andra allvarliga brott eller biometriska uppgifter som ska fogas till SIS-registreringar fås inte i samtliga fall ur polisens register, utan uppgifterna har till vissa delar registrerats endast i ärendehanteringssystemet för utlänningsärenden. 

2.4.1  Behandling av personuppgifter i uppgifter enligt passlagen och lagen om identitetskort

Uppgifterna i passregistret och identitetskortsregistret hör till de uppgifter som polisen enligt 11 § i polisens personuppgiftslag får behandla för uppgifter som anknyter till tillståndsförvaltning samt för sådana övervakningsuppgifter som omfattas av dataskyddsförordningen. Innehållet i de uppgifter som behandlas har preciserats i 12 §, och enligt 1 mom. 5 punkten får polisen för skötseln av ärenden enligt lagen om identitetskort och passlagen behandla biometriska fingeravtrycksuppgifter och den ansiktsbild som tagits av sökanden vid ansökan om identitetskort eller pass. I 1 mom. 4 punkten föreskrivs dessutom om behandling av fotografier i annan än biometrisk form. Enligt 4 punkten får polisen för syften som avses i 11 § behandla de fotografier av en person och namnteckningsprov som personen har lämnat till polisen, utrikesministeriet eller en myndighet inom utrikesförvaltningen vid ansökan om ett tillstånd eller beslut som fotografiet och namnteckningsprovet behövs för. 

Behandlingen av personuppgifter i polisens uppgifter enligt passlagen och lagen om identitetskort grundar sig på det sätt som beskrivs i avsnitt 2.1.1 på artikel 6.1 c i EU:s allmänna dataskyddsförordning, enligt vilken behandlingen är laglig när den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. De nationella bestämmelserna om användning av uppgifterna i identitetskortsregistret och passregistret har ansetts utgöra nationell lagstiftning som utfärdas inom ramen för det handlingsutrymme som artikel 6.3 och 6.4 i den allmänna dataskyddsförordningen medger. Medlemsstaternas lagstiftning ska enligt artikel 6.3 uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.  

Behandlingen av särskilda kategorier av personuppgifter i polisens uppgifter enligt passlagen och lagen om identitetskort grundar sig på artikel 9.2 g i dataskyddsförordningen, enligt vilken särskilda kategorier av personuppgifter får behandlas när behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Bestämmelserna ska även stå i proportion till det eftersträvade syftet, vara förenliga med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Polisen får behandla särskilda kategorier av personuppgifter för att utföra sina uppgifter under de förutsättningar som föreskrivs i polisens personuppgiftslag. Till dessa uppgifter hör exempelvis de biometriska fingeravtrycksuppgifter och den ansiktsbild som avses i 12 § 1 mom. 5 punkten i polisens personuppgiftslag och som tagits av sökanden vid ansökan om identitetskort eller pass för utförande av de uppgifter som föreskrivs i lagen om identitetskort och passlagen. Behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter ska enligt 15 § 1 mom. i polisens personuppgiftslag vara nödvändig för ändamålet med behandlingen.  

Registreringen av fingeravtryck samt identifieringen av sökanden med hjälp av biometriska uppgifter i passregistret och identitetskortsregistret har bedömts skydda personens rätt till sina egna personuppgifter och en korrekt användning av dem. Exempelvis genom att jämföra sökandens fingeravtryck med fingeravtryck i databasen kan man försäkra sig om att personen inte ansöker om pass eller identitetskort med flera identiteter. På så sätt kan man också försäkra sig om att dokument utfärdas med sökandens uppgifter för en enda person. Likaså kan man med fingeravtryck som registrerats i databasen fastställa en persons identitet i situationer där chippet i ett dokument som personen visar upp har gått sönder eller söndrats. Vidare kan identiteten fastställas när en person inte kan visa upp något dokument som styrker identiteten till exempel på grund av att dokumentet förkommit eller av någon annan anledning. Genom tillförlitliga och säkra resedokument förebyggs även hot mot den inre säkerheten, och i synnerhet sådana som hänför sig till gränsöverskridande brottslighet. Registreringen av fingeravtryck och behandlingen av biometriska uppgifter har således ansetts öka både individens och samhällets säkerhet (se t.ex. RP 234/2008 rd och RP 206/2020 rd). Det har inte ansetts nödvändigt att föreslå några ändringar i behandlingen av uppgifter i passregistret och identitetskortsregistret för det ursprungliga ändamålet. 

2.4.2  Behandling av personuppgifter i undersöknings- och övervakningsuppgifter samt för förebyggande och avslöjande av brott

I 5 och 6 § i polisens personuppgiftslag föreskrivs om behandling av personuppgifter för utförandet av en uppgift som anknyter till förundersökning, polisundersökning eller någon annan utredning av brott eller till att föra brott till åtalsprövning, för utförandet av en uppgift som anknyter till upprätthållande av allmän ordning och säkerhet och för utförandet av någon annan övervakningsuppgift som föreskrivits för polisen. I lagens 7 och 8 § föreskrivs om behandling av personuppgifter för förebyggande eller avslöjande av brott. Sådan behandling av personuppgifter som avses i bestämmelserna omfattas av dataskyddslagen avseende brottmål.  

I lagens 5 och 7 § föreskrivs om de kategorier av personer, vilkas uppgifter polisen får behandla för att utföra undersöknings- och övervakningsuppgifter samt för att utföra uppgifter som anknyter till förebyggande eller avslöjande av brott. Innehållet i de uppgifter som behandlas har preciserats i 6 och 8 §. Enligt såväl 6 som 8 § får polisen vid sidan av andra uppgifter behandla signalementsuppgifter för fastställande av identiteten, inklusive biometriska uppgifter. Behandlingen av biometriska uppgifter och andra uppgifter som hör till särskilda kategorier av personuppgifter ska enligt 15 § 1 mom. vara nödvändig för ändamålet med behandlingen. I propositionen har det inte ansetts nödvändigt att föreslå ändringar i behandlingen av personuppgifter i undersöknings- och övervakningsuppgifter eller för förebyggande och avslöjande av brott, eftersom bestämmelserna redan i nuläget möjliggör behandling av biometriska uppgifter. 

2.4.3  Behandling av personuppgifter för något annat ändamål än det ursprungliga ändamålet med behandlingen

I 13 § i polisens personuppgiftslag finns bestämmelser om behandling av personuppgifter för andra ändamål än det ursprungliga. Enligt 13 § 1 mom. får polisen behandla de personuppgifter som avses i 5–9, 11 och 12 § för andra ändamål med behandlingen än det ursprungliga för 1) att förebygga eller avslöja ett brott, 2) att utreda ett brott för vilket det strängaste straffet enligt lag är fängelse, 3) att påträffa en efterlyst, 4) en utredning som stöder det att någon är oskyldig, 5) förhindrande av betydande fara för någons liv, hälsa eller frihet eller betydande miljö-, egendoms- eller förmögenhetsskada, 6) skyddande av den nationella säkerheten, 7) att utreda identiteten i samband med en sådan polisåtgärd som nödvändigt kräver att identiteten styrks, 8) inriktning av polisens verksamhet. Uppgifter får behandlas även för laglighetsövervakning, analys, planering och utveckling, utbildning samt för ett förvaltningstillstånd eller beslut på de villkor som anges i paragrafens 2 och 3 mom. I 14 § föreskrivs om behandling av personuppgifter för andra ändamål än det ursprungliga vid tillståndsprövning och tillsyn över tillstånd. 

Exempelvis fotografier i passregistret och identitetskortsregistret samt fotografier som förts in i polisens register med stöd av 131 § i utlänningslagen får användas för de ändamål som anges i 13 § när det är fråga om behandling av uppgifter i annan form än biometrisk. Bestämmelsen gör det således möjligt att jämföra fotografier med hjälp av ögonen för att förebygga brott eller utreda brott som kan leda till fängelse. Bestämmelsen täcker dock inte till exempel utredning av brott med hjälp av automatisk jämförelse av ansiktsbilder genom att utnyttja biometriska pass- och identitetskortsfoton eller foton som ingår i utlänningars signalement, eftersom behandlingen av biometriska uppgifter berörs av de striktare begränsningarna i 15 §. Behandling av uppgifter om fingeravtryck anses åter i enlighet med den allmänna dataskyddslagstiftningen alltid som behandling av biometriska uppgifter, så bestämmelserna i 13 § är inte tillämpliga på fingeravtrycksjämförelse. 

På behandlingen av biometriska uppgifter tillämpas bestämmelserna i 15 § i polisens personuppgiftslag om behandling av uppgifter som hör till särskilda kategorier av personuppgifter. Enligt paragrafens 1 mom. får polisen behandla uppgifter som hör till särskilda kategorier av personuppgifter endast om det är nödvändigt för ändamålet med behandlingen. För behandling av biometriska uppgifter som förts in i polisens signalementsregister på grund av brott har inte ställts några andra specialvillkor än att behandlingen ska vara nödvändig. 

I 2 mom. föreskrivs om noggrannare begränsning av användningen av biometriska uppgifter som behandlas för utförande av de uppgifter som föreskrivs i lagen om identitetskort och i passlagen. Dessa uppgifter får användas för andra ändamål än det ursprungliga ändamålet med behandlingen av uppgifterna endast om det är nödvändigt för att identifiera ett offer för en naturkatastrof, storolycka eller någon annan katastrof eller ett offer för ett brott eller ett offer som annars förblivit oidentifierat. Enligt 3 mom., som preciserades i samband med kompletterandet av EU:s förordning om identitetskort, får biometriska uppgifter som behandlas för utförande av uppgifter enligt lagen om identitetskort och passlagen dessutom användas om det är nödvändigt för att identifiera en person som ansökt om identitetskort eller pass när han eller hon senare ansöker om en identitetshandling, och får med samtycke av den berörda personen användas också för framställning av en sådan handling. För att identifiera den sökande kan biometriska uppgifter till exempel jämföras automatiskt med uppgifter i passregistret och identitetskortsregistret. Genom att jämföra uppgifterna försöker man förhindra bland annat att någon olagligt uppträder som en annan person samt att någon ansöker om identitetskort under flera olika identiteter. 

I samband med beredningen av passlagen 2009 var möjligheten att använda fingeravtrycksuppgifterna i pass även för att utreda de allvarligaste brotten med ända till remissbehandlingen av propositionen. Förslaget motiverades med att förhindrandet och utredningen av särskilt grova och samhälleligt allvarliga brott skulle effektiveras genom att göra det möjlighet att använda de fingeravtrycksuppgifter som registrerats om dem som ansökt om pass. Enligt förslaget skulle polisen ha kunnat använda fingeravtrycksuppgifter som registrerats om sökande för att förebygga eller utreda brott som avsågs i 5 a § kap. 3 § i den gällande tvångsmedelslagen. I bestämmelsen skulle det ha förutsatts att uppgiften kunde anses vara synnerligen viktig för att utreda brottet. Det skulle ha handlat om bland annat brott för vilka det strängaste föreskrivna straffet är fängelse i minst fyra år. Förslaget ströks i regeringens proposition innan den överlämnades. Regeringens proposition med förslag till reform av passlagen (RP 234/2008 rd) innehöll således inget förslag om att använda fingeravtryck i pass för att bekämpa de allvarligaste brotten. Däremot innehöll propositionen ett förslag om att polisen skulle ha fått använda fingeravtrycksuppgifter i pass för att utreda identiteten i samband med ett sådant enskilt polisuppdrag som nödvändigtvis förutsätter att identitetens säkerställs. 

Grundlagsutskottet ansåg inte att den bestämmelse som föreslogs i polisens personuppgiftslag var ändamålsenlig, särskilt inte med avseende på det krav på exakthet och noga avgränsning som ställs på definitionen av användningsändamål (GrUU 14/2009 rd). På grund av grundlagsutskottets utlåtande godkändes bestämmelsen i ändrad form under riksdagsbehandlingen (FvUB 9/2009 rd). Enligt den ändrade bestämmelsen får polisen använda fingeravtrycksuppgifter i pass för andra ändamål än de som uppgifterna har samlats in och registrerats för endast om det är nödvändigt för att identifiera ett offer för en naturkatastrof, storolycka eller någon annan katastrof eller för ett brott eller ett offer som annars förblivit oidentifierat. I 15 § 2 mom. i polisens nya personuppgiftslag, som trädde i kraft 2019, intogs en bestämmelse med motsvarande innehåll, som utvidgades till att förutom fingeravtrycksuppgifter i pass gälla alla biometriska uppgifter i passregistret och identitetskortsregistret. 

I 3 mom. föreskrivs det om nödvändig användning av biometriska uppgifter i identitetskortsregistret och passregistret för ett annat ändamål än det ursprungliga i samband med ansökan om och framställning av en handling. Enligt momentet, som ändrats genom lag 696/2021, får biometriska uppgifter som behandlas för utförande av uppgifter enligt lagen om identitetskort och passlagen användas om det är nödvändigt för att identifiera en person som ansökt om identitetskort eller pass när han eller hon senare ansöker om en identitetshandling. Genom bestämmelsen har det gjorts möjligt att utnyttja biometriska uppgifter som upptagits i samband med ansökan om identitetskort vid ansökan om pass och att nyttja biometriska uppgifter i passregistret i samband med ansökan om identitetskort (se RP 206/2020 rd, s. 36–37).  

Signalement som avses i 131 § i utlänningslagen får enligt 15 § 4 mom. i polisens personuppgiftslag behandlas för andra ändamål än det ursprungliga ändamålet med behandlingen av uppgifterna i de fall som avses ovan i 2 mom., dvs. för att identifiera ett offer som annars förblivit oidentifierat. Dessutom får uppgifterna användas om det är nödvändigt för att förebygga, avslöja eller utreda ett brott som avses i 11–14 kap., 17 kap. 2–4, 7, 7 c eller 8 a §, 34 kap. 3 eller 5 §, 34 a kap. eller 46 kap. 1 eller 2 § i strafflagen. Dessa brott har ansetts ha ett nära samband med det ursprungliga behandlingsändamålet att skydda statens säkerhet (se FvUB 39/2018 rd, s. 41). Behandlingen av uppgifter för brottsbekämpande ändamål är således tillåten i begränsad utsträckning till skillnad från biometriska uppgifter i passregistret och identitetskortsregistret. 

De ändringsbehov som är viktigast med tanke på propositionens syften hänför sig till de gällande 15 § 2 och 4 mom. i polisens personuppgiftslag. Begränsningarna i 2 mom. av användningen av biometriska uppgifter i passregistret och identitetskortsregistret förhindrar helt och hållet att dessa uppgifter behandlas för att förhindra, avslöja och utreda även de allvarligaste brotten. I 4 mom. ställs åter alla sådana brott, även de allvarligaste, som inte har ansetts ha ett nära samband med skyddandet av statens säkerhet utanför ändamålet med behandlingen av biometriska uppgifter som registrerats med stöd av 131 § i utlänningslagen. Dessutom bedöms det vara nödvändigt att precisera det gällande 15 § 3 mom., så att det föreskrivs uttryckligen i lagen om rätt för polisen att jämföra biometriska uppgifter som upptagits av den som ansöker om identitetskort eller pass med biometriska uppgifter i passregistret och identitetskortsregistret. 

2.4.4  Utlämnande av personuppgifter

I 4 kap. i polisens personuppgiftslag ingår bestämmelser om utlämnande av personuppgifter. I 22 § 2 mom. om övrigt utlämnande av personuppgifter till myndigheter ingår en specialbestämmelse om biometriska uppgifter i passregistret och identitetskortsregister, enligt vilken dessa uppgifter trots sekretessbestämmelserna får lämnas ut endast till Gränsbevakningsväsendet, Tullen, utrikesministeriet och Migrationsverket för styrkande av identiteten och konstaterande av ett dokuments äkthet, om det är nödvändigt för behandling av ärenden som gäller en persons inresa, vistelse i landet eller utresa. I 31 § 3 mom. om övrigt utlämnande av personuppgifter till utlandet finns dessutom en bestämmelse enligt vilken biometriska uppgifter som behandlas för utförande av de uppgifter som föreskrivs i lagen om identitetskort och passlagen får lämnas ut endast för de ändamål som anges i 15 § 2 mom., dvs. för att identifiera ett offer för en naturkatastrof, storolycka eller någon annan katastrof eller ett offer för ett brott eller ett offer som annars förblivit oidentifierat. I 131 § i utlänningslagen ingår på det sätt som beskrivs ovan bestämmelser om utlämnande till utlandet av signalement som förts in i polisens register (se avsnitt 2.3.1). Polisens personuppgiftslag innehåller inga specialbestämmelser om utlämnande av biometriska uppgifter som registrerats med stöd av utlänningslagen.  

När man bedömer förutsättningarna att lämna ut uppgifter måste man beakta bestämmelserna om tillåtna behandlingsändamål i 15 § för biometriska uppgifter i passregistret och identitetskortsregister samt om tillåtna behandlingsändamål för biometriska uppgifter som behandlas för att utföra uppgifter enligt 131 § i utlänningslagen. Enligt de nuvarande bestämmelserna får biometriska uppgifter således inte utlämnas till exempel i enlighet med 21 och 25 § till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål eller till brottsbekämpande myndigheter i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet. Det bör dock påpekas att de begränsningar av behandlingsändamålen som anges i 15 § 2–4 mom. inte gäller behandling av ansiktsbilder i annan än biometrisk form och inte utlämnande av biometriska uppgifter för det ursprungliga ändamålet med behandlingen av dem. När det gäller utlänningars signalement är dessutom tryggande av statens säkerhet ett av de ursprungliga behandlingsändamålen enligt 131 § i utlänningslagen, och begränsningarna i 15 § hindrar inte att uppgifter utlämnas till exempelvis skyddspolisen när det är nödvändigt för att skydda statens säkerhet. 

Bestämmelser om utlämnande av uppgifter i polisens register till Europeiska unionens gemensamma informationssystem, såsom Schengens informationssystem, finns i lagens 27 §. Paragrafen innehåller inga uttryckliga bestämmelser om utlämnande av biometriska uppgifter. Signalementsuppgifter som förts in i polisens register på grund av brott får användas i registreringar för Schengens informationssystem med iakttagande av SIS-förordningarna när det är nödvändigt på det sätt som förutsätts i 15 § 1 mom. Däremot har begränsningarna i 15 § 2 och 4 mom. i polisens personuppgiftslag ansetts förhindra att biometriska uppgifter i passregistret och identitetskortsregistret samt biometriska uppgifter som registrerats med stöd av 131 § i utlänningslagen används för SIS-registreringar (se RP 35/2021 rd, s. 23–24) med undantag för användning av uppgifter om utlänningar i vissa registreringskategorier, för vilka uppgifter får utlämnas enligt 131 § i utlänningslagen utan hinder av 15 § i polisens personuppgiftslag. Användningen av biometriska uppgifter i polisens och Migrationsverkets register för registreringar i Schengens informationssystem har bedömts ingående i förvaltningsutskottets betänkande om nationella bestämmelser som gäller Schengens informationssystem (FvUB 14/2022 rd). 

Bestämmelserna om skyddspolisen har koncentrerats till lagens 7 kap., och skyddspolisen tillämpar inte lagens övriga kapitel i sin verksamhet. Skyddspolisen tillämpar resten av polisens personuppgiftslag endast när det i 7 kap. hänvisas till andra bestämmelser i lagen. En sådan hänvisning finns till exempel i lagens 52 § 1 mom., enligt vilken skyddspolisen har rätt att få sådana uppgifter som behandlas med stöd av 2 kap., om de behövs för att skyddspolisen ska kunna utföra sina uppgifter. 

I propositionen har det ansetts nödvändigt att föreslås sådana ändringar i 15 § 2 och 4 mom. i polisens personuppgiftslag som gör det möjligt att använda biometriska uppgifter i passregistret och identitetskortsregistret samt signalementsuppgifter som avses i 131 § i utlänningslagen för att förhindra, avslöja och utreda vissa allvarliga brott. På grund av de föreslagna ändringarna förändras också förutsättningarna för att lämna ut uppgifter. Med tanke på propositionens syfte har det bedömts vara ändamålsenligt att säkerställa att uppgifterna i fortsättningen kan utlämnas inom ramen för nya behandlingsändamål även till andra behöriga nationella myndigheter samt till Schengens informationssystem. Ändringarna innebär att uppgifterna dessutom i enlighet med principen om tillgänglighet får lämnas ut till brottsbekämpande myndigheter i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet. 

2.4.5  Radering av personuppgifter

Bestämmelser om radering av uppgifter i identitetskortsregistret och passregistret finns i 38 § i polisens personuppgiftslag. Den tillåtna förvaringstiden förlängdes i samband med totalreformen av lagen. Personuppgifter som behandlas för utförande av tillståndsförvaltnings- och tillsynsuppgifter ska raderas senast 20 år från det att beslutet fattades eller förföll eller den i beslutet angivna giltighetstiden gick ut eller personuppgiften infördes. Det är fråga om den maximala förvaringstiden. Uppgifterna ska dock raderas senast ett år efter den registrerades död, om det inte finns särskilda skäl att fortfarande bevara dem. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 

Förvaltningsutskottet har i sitt betänkande FvUB 8/2021 rd ansett att den maximala lagringstiden på tjugo år är nödvändig också i fråga om biometriska kännetecken för att man ska kunna säkerställa en tillförlitlig identifiering av dem som ansöker om identitetskort och pass. Fingeravtrycksuppgifter för identitetskort som utfärdats utan reserätt enligt 17 § 3 mom. i lagen om identitetskort raderas dock senast 30 dygn från det att identitetskortet utfärdades.  

Bestämmelser om radering av signalement som behandlas för utförande av uppgifter som anges i 131 § i utlänningslagen finns i 34 § i polisens personuppgiftslag. Uppgifterna raderas i regel 10 år efter det att den sista anteckningen om den registrerade infördes. Om en registrerad har beviljats finskt medborgarskap ska uppgifterna dock raderas ett år efter det att den personuppgiftsansvarige fått kännedom om medborgarskapet. Dessutom raderas uppgifterna senast ett år efter den registrerades död. Uppgifterna får fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas då minst vart femte år. 

Det har bedömts att den nuvarande förvaringstiden för biometriska uppgifter fortfarande är nödvändigt särskilt för att säkerställa en tillförlitlig identifiering av personer i samband med det ursprungliga ändamålet med behandlingen av uppgifterna. Det anses dock nödvändigt att begränsa användningen av uppgifterna för brottsbekämpande ändamål striktare än användningen för andra behandlingsändamål. En kortare användningstid fungerar som en skyddsåtgärd som säkerställer att uppgifterna behandlas korrekt. 

2.4.6  Den registrerades rättigheter

I 45 § i polisens personuppgiftslag sägs att vad som i artikel 18 i dataskyddsförordningen föreskrivs om den registrerades rätt till begränsning av behandling ska inte tillämpas på sådan behandling av personuppgifter som avses i polisens personuppgiftslag. Till övriga delar innehåller polisens personuppgiftslag inga särskilda bestämmelser om begränsning av den registrerades rättigheter inom den allmänna dataskyddsförordningens tillämpningsområde, utan rättigheterna kan begränsas endast i enskilda fall inom ramen för den allmänna dataskyddsförordningen och dataskyddslagen (se avsnitt 2.1.1). Exempelvis den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne får begränsas, om lämnandet av informationen kan skada den nationella säkerheten, försvaret eller allmän ordning och säkerhet eller försvåra förebyggande eller utredning av brott (34 § i dataskyddslagen). Om endast en del av uppgifterna om den registrerade är sådana att de inte omfattas av rätten enligt artikel 15 i dataskyddsförordningen, har den registrerade rätt att få tillgång till de övriga uppgifter som rör honom eller henne. Den registrerade ska också underrättas om orsakerna till begränsningen, om detta inte äventyrar syftet med begränsningen. Om den registrerade inte har rätt att bekanta sig med uppgifter som samlats in om honom eller henne, ska uppgifterna lämnas till dataombudsmannen på begäran av den registrerade. Undantag från skyldigheten enligt artiklarna 13 och 14 i dataskyddsförordningen att tillhandahålla den registrerade information får göras under de förutsättningar som anges i 33 § i dataskyddslagen, till exempel om det är nödvändigt med hänsyn till statens säkerhet, försvaret eller allmän ordning och säkerhet eller för förebyggande eller utredande av brott eller för tillsynsuppgifter som anknyter till beskattningen eller den offentliga ekonomin. 

Inom tillämpningsområdet för dataskyddsdirektivet för brottmål föreskrivs det nationellt om den registrerades rättigheter i dataskyddslagen avseende brottmål. Dessutom föreskrivs det om inskränkning i den registrerades rätt till insyn inom tillämpningsområdet för dataskyddslagen avseende brottmål i 42 § i polisens personuppgiftslag. Med avvikelse från 23 § i dataskyddslagen avseende brottmål gäller den registrerades rätt till insyn inte 1) uppgifter om informationskällor som avses i 9 §, 2) personuppgifter som gäller diskreta kontroller, undersökningskontroller och särskilda kontroller i det nationella systemet inom Schengens informationssystem, 3) sådana uppgifter om polisens taktiska eller tekniska metoder, observationsuppgifter, uppgifter om informationskällor eller uppgifter som används för teknisk undersökning, som ingår i de personuppgifter som avses i 5–8 §, 4) personuppgifter som erhållits genom de inhämtningsmetoder som avses i 5 kap. i polislagen och 10 kap. i tvångsmedelslagen samt med stöd av 157 § i lagen om tjänster inom elektronisk kommunikation. Även när det gäller dessa uppgifter kan den registrerade emellertid utöva sin rätt till insyn indirekt via dataombudsmannen. Lagen innehåller dessutom en särskild bestämmelse om tillgodoseende av den registrerades rätt till insyn (41 §). I övrigt tillämpas dataskyddslagen avseende brottmål på inskränkning av de registrerades rättigheter i polisen uppgifter (se avsnitt 2.1.2). När uppgifter utlämnas till Schengens informationssystem ska också bestämmelserna om villkoren för utlämnande av uppgifter och skydd av personuppgifter i de direkt tillämpliga SIS-förordningarna iakttas. 

Personuppgiftsansvarig för polisens uppgifter som avses i propositionen är Polisstyrelsen, som också ansvarar för att den personuppgiftsansvariges skyldigheter fullgörs och för att den registrerades rättigheter tillgodoses. Polisstyrelsen har också meddelat en anvisning om de registrerades rättigheter och dataskydd vid polisen (POL-2022-144428), som kompletterar polisstyrelsens föreskrift om polisens informationshantering (POL-2022-59874). https://poliisi.fi/sv/anvisningar-och-foreskrifter I anvisningen beskrivs behandlingen av personuppgifter vid polisen som helhet och principerna för behandlingen samt hur man vid polisen följer principerna och skyldigheterna som gäller dataskydd med tanke på tillgodoseende av den registrerades rättigheter. Enligt anvisningen skapas vid polisen förutsättningar för att tillgodose den registrerades rättigheter enligt lagstiftningen. Heltäckande information ges om polisens register, de personuppgifter som polisen behandlar för olika användningsändamål och den registrerades rättigheter. Den registrerade ges också tillfälle att utöva sin rätt till insyn och kräva att uppgifter rättas, utplånas och att behandlingen begränsas på det sätt som lagstiftningen berättigar till. Samtidigt sörjer polisen också för att de registrerades övriga rättigheter tillgodoses. Polisstyrelsen ansvarar för att det vid polisen har fastställts ansvar, skyldigheter, processer och metoder för genomförande i de ärenden som gäller den registrerades rättigheter. Till Polisstyrelsens ansvar hör också att ge aktuella och innehållsmässigt relevanta anvisningar om hur den registrerades rättigheter ska tillgodoses vid polisen, att ställa omfattande och uppdaterat informationsmaterial till den registrerades förfogande, att ordna utbildning för personalen på det sätt uppgifterna förutsätter och att skapa tillräckliga verksamhetsförutsättningar för uppgifter som gäller den registrerades rättigheter. Polisenheterna ansvarar för att det finns tillräckliga resurser, tillräcklig kompetens och handledning i enheten för uppgifterna som gäller tillgodoseendet av den registrerades rättigheter och att organiseringen, skötseln, ansvaren och tillsynen av uppgifterna följer dataskyddslagstiftningen och Polisstyrelsens styrning.  

4.2.1  Ekonomiska konsekvenser

För att de bestämmelser som ändras ska kunna tillämpas i full utsträckning förutsätts ändringar i polisens och Migrationsverkets informationssystem. I propositionen förutsätts ändå inte att informationssystemen ändras genast när bestämmelserna träder i kraft, utan ändringarna kan genomföras inom ramen för de disponibla resurserna till exempel i samband med andra informationssystemprojekt. Informationssystemkostnaderna av engångsnatur och de årliga tilläggskostnaderna för driften av informationssystemen granskas i fortsättningen vid behov separat i samband med budgetprocessen. 

4.2.2  Konsekvenser för myndigheterna

4.2.3  Konsekvenser för informationshanteringen

I informationshanteringslagen föreskrivs det bland annat om ordnande och beskrivning av informationshanteringen, interoperabilitet mellan informationslager, genomförandet av tekniska gränssnitt och elektroniska förbindelser samt genomförande av informationssäkerheten. Genom informationshanteringslagen säkerställs en enhetlig hantering och informationssäker behandling av myndigheternas informationsmaterial i syfte att genomföra offentlighetsprincipen. 

De föreslagna bestämmelserna orsakar inga betydande ändringar i uppfyllandet av kraven på informationssäkerhet enligt informationshanteringslagen och annan allmän lagstiftning. Ändringarna bedöms inte heller medföra något behov av att föreskriva om informationssäkerhetsåtgärder i större utsträckning än nu i den sektorspecifika speciallagstiftningen om behandling av personuppgifter. Vid bedömningen av propositionens risker för informationssäkerheten bör man beakta att jämfört med nuläget föreslås det inte att några nya uppgifter ska samlas in till polisens och Migrationsverkets register. Förslaget gäller att de uppgifter som förs in i registren med stöd av redan gällande bestämmelser ska användas för nya behandlingsändamål och lämnas ut till andra myndigheter och till SIS. Polisen och andra säkerhetsmyndigheter behandlar biometriska uppgifter för att förhindra, avslöja och utreda brott även inom ramen för de gällande bestämmelserna. Polisen och Migrationsverket samt de myndigheter som tar emot uppgifter från polisen ska även i fortsättningen iaktta samma stränga krav vid behandlingen av biometriska uppgifter som redan nu förutsätts vid behandling av särskilda kategorier av personuppgifter och känsliga uppgifter.  

Bestämmelserna bedöms inte heller ha några betydande konsekvenser för sättet att lämna ut uppgifter jämfört med nuläget. Vid utlämnandet av uppgifter iakttas förutom de myndighetsspecifika personuppgiftslagarna kraven i den allmänna dataskyddslagstiftningen, offentlighetslagen och informationshanteringslagen. När det gäller SIS ska vid utlämnande och annan behandling av uppgifter dessutom iakttas de förutsättningar som anges i de direkt tillämpliga SIS-förordningarna. 

I propositionen föreslås inga ändringar i ansvarsfördelningen i fråga om driften av informationssystemen och registerföringen. Polisen, andra behöriga myndigheter som är informationshanteringsenheter enligt informationshanteringslagen och Migrationsverket ska bedöma konsekvenserna av förändringar i informationshanteringen i enlighet med 5 § 3 mom. i informationshanteringslagen och vid behov uppdatera sin informationshanteringsmodell, beskrivningen av handlingars offentlighet samt annan behövlig dokumentation så att den motsvarar verksamhetsmodellerna enligt de nya bestämmelserna. I propositionen föreslås det inte heller några ändringar i de gällande bestämmelserna om handlingars offentlighet eller sekretess. 

4.2.4  Konsekvenser för skyddet för privatlivet och personuppgifter

I propositionen föreslås det bestämmelser med stöd av vilka biometriska uppgifter som insamlats för polisens och Migrationsverkets register i större utsträckning än nu får behandlas för något annat ändamål än det för vilket uppgifterna ursprungligen har insamlats. Biometriska uppgifter hör till de särskilda kategorier av personuppgifter som avses i den allmänna dataskyddsförordningen och i dataskyddslagen avseende brottmål som är särskilt känsliga med tanke på de grundläggande fri- och rättigheterna. Dataskyddslagstiftningens krav och grundlagsutskottets utlåtandepraxis i anslutning till behandlingen av särskilda kategorier av personuppgifter behandlas mer ingående i samband med bedömningen av nuläget (avsnitt 2.1.1 och 2.1.2) samt i det avsnitt som gäller propositionens förhållande till grundlagen (kapitel 11).  

De föreslagna bestämmelser gör det möjligt att använda nästan alla biometriska uppgifter om finska medborgare och sådana biometriska uppgifter om utlänningar som registrerats i Finland med stöd av utlänningslagen som jämförelsematerial i situationer där förutsättningarna enligt de nya bestämmelserna är uppfyllda. De föreslagna ändringarna gäller för det första finska medborgare för vilka pass eller identitetskort har utfärdats. Identitetskort utfärdas också för utlänningar som har ett giltigt uppehållstillstånd eller uppehållskort eller registrerad uppehållsrätt. Propositionen gäller också utlänningar vilkas biometriska uppgifter insamlas med stöd av utlänningslagen för Migrationsverkets eller polisens register. Detta betyder dem som ansöker om uppehållstillstånd eller uppehållstillståndskort samt dem som ansöker om uppehållskort för unionsmedborgares familjemedlem samt de kategorier av personer som avses i 131 § i utlänningslagen, såsom asylsökande samt utlänningar som det har beslutats att ska avvisas eller utvisas samt utlänningar vilkas identitet är oklar.  

I passregistret och identitetskortsregistret finns sammanlagt cirka fyra miljoner personers fingeravtryck och nästan fem miljoner personers ansiktsbild. Enligt uppgifter från polisen är antalet personer som registrerats med stöd av 131 § i utlänningslagen cirka 79 000 (Polisens informationssystem Polstat). Enligt uppgifter från Migrationsverket har sedan 60 d § i utlänningslagen trädde i kraft i april 2018 med stöd av paragrafen insamlats biometriska kännetecken om cirka 260 000 personer. Från och med 2012, då biometriska uppgifter började samlas in för uppehållstillståndskort, har biometriska uppgifter insamlats om cirka 457 000 personer. År 2024 insamlades biometriska kännetecken om mer än 50 000 personer. I siffrorna ingår personer av vilka något biometriskt kännetecken har insamlats för uppehållstillstånd eller uppehållskort för unionsmedborgares familjemedlem. Kännetecknet kan vara vilken som helst kombination av ansiktsbild, underskrift och fingeravtryck. Alla av vilka biometriska uppgifter har insamlats har i slutändan inte beviljats uppehållstillstånd, och då har uppgifterna inte hamnat på ett uppehållstillstånds- eller uppehållskort. 

Enligt propositionen ska jämförelser med biometriska uppgifter i passregistret och identitetskortsregister samt polisens och Migrationsverkets register kunna göras bland annat för att förhindra, avslöja och utreda vissa allvarliga brott samt för att förhindra betydande fara. Det föreslås inte att registrens nuvarande informationsinnehåll ska utvidgas. Särskilt när det gäller uppgifter om fingeravtryck bör det också beaktas att jämförelser kommer i praktiken på fråga i mycket sällsynta fall. Polisstyrelsen har 2024 i fråga om vissa brottsrubriceringar utrett i hur många ouppklarade fall som oidentifierade fingeravtryck skulle ha funnits tillgängliga (trafiksabotage, mord, mordförsök, våldtäkt, dråpförsök, dråp, äventyrande av andras hälsa, sabotage, grovt narkotikabrott, grov utpressning, grov misshandel, grovt rån, grovt frihetsberövande). Av de 8118 polisanmälningar som hänför sig till dessa brottsrubriceringar har det endast i samband med 70 anmälningar tagits till vara sådana oidentifierade fingeravtryck som skulle kunna identifieras. Detta betyder att jämförelser med fingeravtryck i passregistret och identitetskortsregistret med stöd av de föreslagna bestämmelserna skulle till exempel i samband med de ouppklarade brotten 2024 ha kunnat göras endast 70 gånger i fråga om dessa brottsrubriceringar.  

Antalet anmälda brott som omfattas av propositionen och som antalsmässigt hör till de vanligaste kan kontrolleras i polisens statistik. I följande statistik ingår antalen anmälda brott som tillhör de 25 vanligaste och som omfattas av projektet åren 2020–2025. Enligt statistiken hänför sig de största antalen till grova narkotikabrott, våldtäkter och grov misshandel. (Källa: Polstat 03/2025.) 

Den behandling av biometriska uppgifter för att utreda brott som föreslås i propositionen aktualiseras i fråga om dessa brott främst i fall där man varit tvungen att avbryta utredningen av ett brott som omfattas av lagförslaget. Man kan bli tvungen att avbryta utredningen, om det inte går att få mer information med hjälp av de tillgängliga utredningsåtgärderna. Enligt utredningen i polisens utlåtande fanns det i februari 2025 7372 sådana avbrutna brottsutredningar som omfattas av lagförslaget där man inte hade någon kännedom om de misstänkta. De flesta fallen hänförde sig till utredningar av våldtäkter (2499 st.), grova narkotikabrott (1705 st.) och grov misshandel (1624 st.). Dessa tre brottsrubriceringars andel av det totala antalet var således nästan 80 procent. Den fjärde största gruppen av avbrutna utredningar gällde grova rån (552 st.). Vid granskningstidpunkten fanns det 136 avbrutna utredningar av dråp eller mord och 267 avbrutna utredningar av försök till dråp eller mord. Enligt statistiken korrelerar antalet brott som förblir ouppklarade och antalet dylika brott som anmäls.  

En förutsättning för jämförelse är också i samtliga dessa fall att det finns oidentifierat bildmaterial eller fingeravtryck som lämpar sig för jämförelse. Dessutom måste bilderna eller fingeravtrycken vara av sådan kvalitet att de duger att användas för jämförelse. Enligt centralkriminalpolisens preliminära uppskattning skulle fingeravtryck kunna jämföras i ungefär 250 fall per år. När det gäller ansiktsbilder finns ingen motsvarande statistik att tillgå, men ansiktsbildsjämförelser uppskattas vara användbara i flera fall än fingeravtrycksjämförelser.  

Inom tillståndsförvaltningen behandlas biometriska uppgifter i passregistret och identitetskortsregistret i samband med varje ansökan om en handling. Antalet beviljande pass och identitetskort har under åren 2020–2024 varierat från cirka 700 000 till cirka 1 400 000 handlingar per år. I samband med behandlingen av ansökningarna jämförs sökandens biometriska kännetecken med de ansiktsbilder och fingeravtryck som lagrats tidigare om sökanden. Efter det tekniska utförandet är avsikten att jämföra både sökandens ansiktsbild och fingeravtryck på det sätt som redan den gällande lagstiftningen möjliggör med alla uppgifter som tidigare förts in i passregistret och identitetskortsregistret för att identifiera den som ansöker om en handling. Alla ansiktsbilder och fingeravtryck i passregistret och identitetskortsregistret används således för jämförelser för tillståndsförvaltningens ändamål cirka 700 000–1 400 000 gånger per år. Den föreslagna behandlingen av uppgifterna för att förhindra, avslöja eller utreda brott skulle vara av betydligt mindre omfattning än användningen av uppgifterna inom tillståndsförvaltningen. Jämförelserna för att utreda brott kan således inte anses leda till att någon annan verksamhet än den som är förknippad med det ursprungliga ändamålet blir det huvudsakliga ändamålet eller ens ett viktigt ändamål med registret (se t.ex. GrUU 15/2018 rd).  

I undersökningar har man sett att tekniken för att identifiera fingeravtryck är långt utvecklad och leder till mycket exakta resultat. Den godkännandegrad som beskriver hur ofta systemet identifierar en person korrekt har i fråga om fingeravtryck enligt en undersökning varit 99,4 procent och i fråga om ansiktsbilder 96–99 procent. Resultaten påverkas dock av till exempel i vilket skick huden på fingertopparna är och i fråga om ansiktsbilder av bland annat belysningen. Jain, Anil K. – Nandakumar, Karthik – Ross, Arun, 50 years of biometric research: Accomplishments, challenges, and opportunities. Pattern Recognition Letters, Volume 79, 2016, s. 80–105. I undersökningarna har det också påpekats att tillförlitligheten hos flera ansiktsigenkänningssystem fortfarande är tämligen låg. Regulating facial recognition in the EU. European Parliamentary Research Service (https://www.europarl.europa.eu/RegData/etudes/IDAN/2021/698021/EPRS_IDA(2021)698021_EN.pdf). Även i den utredning som inrikesministeriet lämnade till förvaltningsutskottet 2022 (EÄ 42/2022 rd) påpekades att med hjälp av den teknik som används för automatisk ansiktsigenkänning nås inte samma identifieringsnoggrannhet som med hjälp av fingeravtrycksuppgifter. Med tanke på bedömningen av förutsättningarna att använda teknik är det också av betydelse att användningen av ansiktsidentifieringssystem har konstaterats vara förenad med risker som eventuellt undergräver de grundläggande fri- och rättigheterna med avseende på både privatlivet och kravet på icke-diskriminering. Ansiktsigenkänningssystem kan till exempel systematiskt producera mindre noggranna prognoser för vissa befolkningsgrupper. Å andra sidan är de bästa ansiktsigenkänningsalgoritmerna mycket tillförlitliga och producerar nästan identiska resultat för olika befolkningsgrupper. National Institute of Standards and Technology, Face Recognition Vendor Test (FRVT) Part 3: Demographic Effects (https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8280.pdf) 

Polisen använder redan för närvarande maskinell jämförelse av ansiktsbilder, där man som jämförelsematerial kan använda ansiktsbilder som registrerats på grund av brott samt de uppgifter som avses i 131 § i utlänningslagen inom de gränser som 15 § i personuppgiftslagen tillåter. Maskinell ansiktsigenkänning baserar sig på en biometrisk modell som med hjälp av systemet skapats av en människas ansiktsbild och till vilken man försöker hitta motsvarigheter på den ansiktsbildsjämförelseserver som myndigheterna använder. Vid användningen av polisens system har man beaktat att de resultat som erhållits från systemet, dvs. de kandidater som sållats fram med bildens hjälp, alltid är riktgivande och jämförelseresultatet kan inte som sådant ses som en identifiering som med fullständig säkerhet visar identiteten. En människas ansiktsdrag förändras avsevärt med åren till följd av till exempel åldrande, viktförändringar, kirurgiska ingrepp eller ändrad frisyr, vilket måste beaktas vid identifieringen. 

Algoritmen är bäst på att identifiera ansiktet på en person som tittar rakt in i kameran, och utifrån det hämtar systemet motsvarigheter på ansiktsbildsjämförelseservern. Som svar ger det ansiktsigenkänningssystem som polisen använder den tjänsteman som gör ansiktsidentifieringen en förteckning över de personer som matematiskt sett mest liknar jämförelsebilden. Med hjälp av de riktgivande svaren kan antalet personer begränsas. Därefter jämför den person som gör identifieringen de återstående bilderna med ursprungsbilden och eventuellt andra bilder som finns av den person som ska identifieras i enlighet med sin utbildning om saken. Ett motsvarande förfarande ska också tillämpas på sådan behandling av biometriska uppgifter som föreslås i propositionen.  

De risker som de nya behandlingsändamålen medför för skyddet av personuppgifter reduceras genom att föreskriva exakt och i detalj om förutsättningarna för behandling av uppgifterna och lämpligt behandlingsförfarande. De föreslagna jämförelserna för att förhindra betydande fara för liv, hälsa eller frihet samt för att förhindra, avslöja och utreda brott förutsätter beslut av en anhållningsberättigad tjänsteman. Möjligheterna att använda uppgifterna för brottsbekämpning begränsas till sådana i bestämmelserna specificerade brott som det kan anses vara särskilt viktigt att effektivt förhindra, avslöja och utreda med tanke på såväl individernas som samhällets säkerhet. Innan en jämförelse görs ska man enligt bestämmelserna alltid säkerställa att det inte är möjligt att identifiera personen med hjälp av uppgifter som behandlas för polisens undersöknings- och övervakningsuppgifter eller för förebyggande och avslöjande av brott, såsom så kallade signalementsuppgifter som grundar sig på brott. Jämförelser ska få göras endast av en särskilt utsedd tjänsteman som är anställd vid centralkriminalpolisen och som har fått lämplig utbildning. Andra polisenheter och myndigheter som har rätt att få uppgifter ska inte ha rätt att få tillgång till passregistret, identitetskortsregistret eller biometriska uppgifter som insamlats med stöd av utlänningslagen för att göra automatiska jämförelser med undantag av i syfte att identifiera ett offer som annars förblivit oidentifierat eller jämföra ansiktsbilder för att preliminärt identifiera en person. I lagen föreslås dessutom bestämmelser om förutsättningarna för att polisen ska få behandla resultaten av jämförelsen samt om de ändamål för vilka resultaten av jämförelserna får utlämnas till andra säkerhetsmyndigheter.  

Det ska fortfarande vara möjligt att använda och utlämna biometriska uppgifter som förts in i polisens register med stöd av 131 § i utlänningslagen för att förebygga, avslöja och utreda vissa brott med nära anknytning till statens säkerhet under förutsättningar som motsvarar de gällande bestämmelserna. Det föreslås inte heller några ändringar i användningen av biometriska uppgifter som insamlats med stöd av utlänningslagen i polisens och Migrationsverkets register för att skydda statens säkerhet. I propositionen möjliggörs däremot jämförelser även med passregistret och identitetskortsregistret för att skydda den nationella säkerheten från verksamhet som allvarligt hotar den samt för att skydda landets försvar. När det gäller dessa ändamål ska jämförelser kunna göras av skyddspolisen och militärunderrättelsemyndigheter, för att man ska kunna säkerställa att de biometriska uppgifter som används som jämförelsematerial behandlas på det sätt som deras höga informationssäkerhetsklassificering förutsätter. 

I artikel 35 i den allmänna dataskyddsförordningen och i 20 § i dataskyddslagen avseende brottmål föreskrivs det om skyldighet för den personuppgiftsansvarige att göra en konsekvensbedömning avseende dataskydd om behandlingen av personuppgifter sannolikt leder till en hög, eller när det gäller dataskyddslagen avseende brottmål en betydande, risk för fysiska personers rättigheter och friheter. Innan behandlingen inleds ska polisen göra en konsekvensbedömning i enlighet med förutsättningarna i den allmänna dataskyddslagstiftningen. Den allmänna dataskyddsförordningen och dataskyddslagen innehåller dessutom detaljerade bestämmelser om den personuppgiftsansvariges andra skyldigheter samt om den registrerades rättigheter, informationssäkerhet, tillsyn över behandlingen av personuppgifter och påföljder för olaglig behandling av personuppgifter. På motsvarande sätt föreskrivs det i dataskyddslagen avseende brottmål om bland annat den registrerades rättigheter, informationssäkerhet, tillsynsmyndighet och rättsskydd, skadestånd, straff och tystnadsplikt. I propositionen föreslås inga ändringar i de gällande bestämmelserna om den registrerades rättigheter och rättsmedel, som beskrivs i avsnitt 2 och som tryggar tillgodoseendet av skyddet för privatlivet. När uppgifter utlämnas till Schengens informationssystem måste man också iaktta bestämmelserna om förutsättningarna för utlämnande av uppgifter och skydd av personuppgifter i de direkt tillämpliga SIS-förordningarna.  

Automatisk ansiktsbildjämförelse och jämförelse av fingeravtryck är på det sätt som anges ovan alltid riktgivande, och man får inte vidta åtgärder som påverkar en persons grundläggande rättigheter enbart utifrån automatisk jämförelse. Man måste försöka verifiera resultaten av automatisk jämförelse även med andra till buds stående metoder. Det slutliga beslutet om identifiering av en person fattas alltid av en fysisk person, dvs. en tjänsteman som också fattar beslut om de åtgärder som följer av saken. I propositionen föreslås inga bestämmelser som gör det möjligt att fatta sådana automatiserade individuella beslut som avses i artikel 22 i den allmänna dataskyddsförordningen och 13 § i dataskyddslagen avseende brottmål.  

Polisen kan använda de biometriska uppgifter som avses i propositionen som jämförelsematerial vid biometrisk fjärridentifiering enligt EU:s AI-förordning (se avsnitt 2.1.3). I denna proposition föreslås ändringar endast i ändamålen med behandling av biometriska uppgifter i polisens och Migrationsverkets register. Vid biometrisk fjärridentifiering ska man alltid iaktta de specialvillkor som uppställs för identifiering i den direkt tillämpliga AI-förordningen samt i de nationella bestämmelser som kompletterar AI-förordningen och som bereds i ett separat projekt.  

4.2.5  Övriga samhälleliga konsekvenser

5.1.1  Behandling av biometriska uppgifter i en omfattning som motsvarar EU:s gemensamma informationssystem

Under beredningen av propositionen har man bedömt möjligheten att ge de brottsbekämpande myndigheterna rätt att behandla biometriska uppgifter i passregistret och identitetskortsregistret samt biometriska uppgifter som samlas in i polisens och Migrationsverkets register med stöd av utlänningslagen för att i större utsträckning än förslaget användas för att förhindra, avslöja eller utreda allvarliga brott. I flera rättsakter som gäller Europeiska unionens gemensamma informationssystem tillåts sökningar i systemen i brottsbekämpande syfte att förebygga, förhindra, avslöja och utreda terroristbrott och andra allvarliga brott. Exempelvis enligt artikel 3.1.24 i förordningen om ett in- och utresesystem (EU) 2017/2226 Europaparlamentets och rådets förordning (EU) 2017/2226 av den 30 november 2017 om inrättande av ett in- och utresesystem för registrering av in- och utreseuppgifter och av uppgifter om nekad inresa för tredjelandsmedborgare som passerar medlemsstaternas yttre gränser, om fastställande av villkoren för åtkomst till in- och utresesystemet för brottsbekämpande ändamål och om ändring av konventionen om tillämpning av Schengenavtalet och förordningarna (EG) nr 767/2008 och (EU) nr 1077/2011. avses med terroristbrott ett brott enligt nationell rätt som motsvarar eller är likvärdigt med ett av de brott som avses i Europaparlamentets och rådets direktiv (EU) 2017/541 om bekämpande av terrorism, om ersättande av rådets rambeslut 2002/475/RIF och om ändring av rådets beslut 2005/671/RIF. Med grovt brott avses enligt förordningen om ett in- och utresesystem ett brott som motsvarar eller är likvärdigt med ett av de brott som avses i artikel 2.2 i rådets rambeslut 2002/584/RIF om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna om det enligt nationell rätt kan bestraffas med fängelse eller annan frihetsberövande åtgärd i minst tre år.  

Myndigheterna kan på vissa villkor som anges i förordningen om ett in- och utresesystem få åtkomst till uppgifter i in- och utresesystemet, om det är nödvändigt och proportionellt i vissa enskilda fall och om det finns bevis för eller rimliga skäl att anta att inhämtande av uppgifter i in- och utresesystemet kommer att bidra till att något terroristbrott eller grovt brott förebyggs, förhindras, upptäcks eller utreds. I de bestämmelser i polisens personuppgiftslag som kompletterar förordningen om ett in- och utresesystem hänvisas i fråga om allvarliga brott till sådana i 3 § 2 mom. i lagen om utlämning för brott mellan Finland och de övriga medlemsstaterna i Europeiska unionen (1286/2003) avsedda brott för vilka det strängaste föreskrivna straffet är fängelse i minst tre år. 

Bland annat i den respons som insamlades för inrikesministeriets utredning till förvaltningsutskottet 2022 (EÄ 42/2022 rd) framfördes som ett alternativ att det skulle kunna vara motiverat att begränsa användningen av biometriska uppgifter för brottsbekämpande ändamål till terroristbrott och allvarliga brott på motsvarande sätt som i EU:s gemensamma informationssystem. Förslaget skulle kunna betraktas som motiverat särskilt i fråga om biometriska uppgifter som insamlas med stöd av 131 § i utlänningslagen, eftersom uppgifterna motsvarar i stor utsträckning de uppgifter som insamlas för Eurodac-systemet. Definitioner av terroristbrott och grova brott som motsvarar förordningen om ett in- och utresesystem har också tagits in i den nya Eurodacförordningen (EU) 2024/1358. Europaparlamentets och rådets förordning (EU) 2024/1358 av den 14 maj 2024 om inrättande av Eurodac för jämförelse av biometriska uppgifter för att effektivt tillämpa Europaparlamentets och rådets förordningar (EU) 2024/1351 och (EU) 2024/1350 och rådets direktiv 2001/55/EG, och identifiera tredjelandsmedborgare och statslösa personer som vistas olagligt och om framställningar från medlemsstaternas brottsbekämpande myndigheter och Europol om jämförelse med Eurodacuppgifter för brottsbekämpande ändamål, om ändring av Europaparlamentets och rådets förordningar (EU) 2018/1240 och (EU) 2019/818 och om upphävande av Europaparlamentets och rådets förordning (EU) nr 603/2013. Användning av de biometriska uppgifter som avses i propositionen för bekämpning av alla sådana i lagen om utlämning för brott mellan Finland och de övriga medlemsstaterna i Europeiska unionen avsedda brott som kan leda till fängelse i tre år kan dock enligt den bedömning som gjordes under beredningen inte betraktas som nödvändig och proportionerlig (se också GrUU 51/2018 rd). Däremot föreslås det att användningen av uppgifter för brottsbekämpande ändamål begränsas på det sätt som beskrivs mer ingående i specialmotiveringen till de brott för vilka det föreskrivna strängaste straffet är fängelse i minst sex år. Dessutom föreslås användning tillåtas för vissa lindrigare brott som specificeras i bestämmelserna och vilkas förhindrande, avslöjande och utredande bedöms vara förknippat med ett vägande samhälleligt intresse.  

Den föreslagna inskränkningen har ingen inverkan på förutsättningarna för att uppgifter i EU:s gemensamma informationssystem ska få användas i brottsbekämpande syfte. Till denna del är det fråga om direkt tillämplig EU-rätt som inte kan begränsas genom nationell lagstiftning inom ramen för det nationella handlingsutrymme som gäller EU:s gemensamma informationssystem.  

5.1.2  Beslutsförfarande

I inrikesministeriets utredning (EÄ 42/2022 rd) bedömde man möjliga inskränkningar i anslutning till beslutsnivån och förfarandet, med vilkas hjälp riskerna i anslutning till användningen av biometriska uppgifter för brottsbekämpning skulle kunna reduceras. Ett alternativ som lyftes fram i den respons som insamlats för utredningen var att besluten skulle fattas i en domstol. I utredningen konstaterade man att det skulle kunna vara motiverat att granska besluten om användning av registeruppgifter för brottsbekämpning i förhållande till besluten om användning av hemliga tvångsmedel och hemliga metoder för inhämtande av information. Under beredningen av propositionen har man också behandlat möjligheten att den personuppgiftsansvarige skulle ansvara för besluten om användning av uppgifter för brottsbekämpning, eftersom det uttryckligen är fråga om beslutsfattande i anslutning till behandlingen av personuppgifter. 

Under beredningen har man beslutat att föreslå ett förfarande i två steg, där jämförelser för att identifiera offer, förhindra fara samt förhindra, avslöja och utreda brott ska förutsätta ett skriftligt beslut av en anhållningsberättigad polisman. Jämförelserna ska alltid göras av en särskilt utsedd tjänsteman som är anställd vid centralkriminalpolisen och har fått lämplig utbildning med undantag av identifiering av offer och jämförelse av ansiktsbilder för en preliminär identifiering av en person. Utlämnande av uppgifter till andra brottsbekämpande myndigheter ska förutsätta ett skriftligt beslut om begäran om uppgifter som fattats av en anhållningsberättigad tjänsteman som är anställd vid Gränsbevakningsväsendet eller Tullen och för Försvarsmaktens del av en tjänsteman vid Försvarsmaktens Huvudstab som förordnats till brottsbekämpningsuppdrag och som utövar de befogenheter som har föreskrivits för en anhållningsberättigad tjänsteman, eller av en militärjurist eller annan tjänsteman vid Huvudstaben som är särskilt förtrogen med hemligt inhämtande av information och som har förordnats till brottsbekämpningsuppdrag som gäller brott som anknyter till underrättelseverksamhet som riktar sig mot Finland på det militära försvarets område och till sådan verksamhet som äventyrar syftet med det militära försvaret. Beslut om användning av uppgifter för att skydda den nationella säkerheten mot verksamhet som allvarligt hotar den eller för att skydda försvaret av landet fattas av en polisman som hör till befälet vid skyddspolisen eller av en militärjurist eller annan tjänsteman som är särskilt förtrogen med metoder för inhämtande av information. Skyddspolisen och militärmyndigheten ansvarar i dessa fall också för att jämförelserna görs på det sätt som uppgifterna höga informationssäkerhetsklassificering förutsätter.  

Med det valda förfarandet kan ansvaret för beslutsfattandet anvisas den aktör som de facto bäst kan säkerställa att en jämförelse i brottsbekämpande syfte är nödvändig. Den personuppgiftsansvarige ansvarar dessutom för all behandling av personuppgifter i enlighet med den allmänna dataskyddslagstiftningen. Trots att användningen av motsvarande uppgifter för brottsbekämpning i många stater förutsätter beslut av en domstol eller åklagare, har man till exempel i Sverige i det betänkande som färdigställdes i juni 2023 ( SOU2023:32 , Biometri – för en effektivare brottsbekämpning ) bedömt att det inte är motiverat att förutsätta beslut i en domstol i fråga om jämförelse av uppgifter i passregistret. Vid registerjämförelse är det enligt betänkandet inte fråga om hemliga tvångsmedel, där det ofta har ansetts ändamålsenligt att besluten fattas av en domstol.  

Även i Finland föreskrivs det till stor del att beslutsfattandet om tvångsmedel är en uppgift för domstolarna, trots att även vissa andra tvångsmedel utöver anhållande kan användas genom beslut av en anhållningsberättigad tjänsteman och beslut om vissa tvångsmedel fattas av chefen för centralkriminalpolisen eller polisinrättningen eller av en anhållningsberättigad tjänsteman som är särskilt utbildad i hemligt inhämtade av information och som utsetts till uppdraget. I propositionen är det dock inte fråga om bestämmelser om tvångsmedel med undantag av den ändring som föreslås i 2 kap. 1 § i polislagen, utan de föreslagna bestämmelserna gäller förutsättningar att behandla personuppgifter som är införd i myndigheternas register. Lagstiftningen om behandling av personuppgifter innehåller egna rättsmedel som avviker från tvångsmedelslagens systematik och som beskrivs ovan i avsnitt 2 (Nuläge och bedömning av nuläget) samt nedan i avsnitt 11.5 (Rättsskydd). Under beredningen har inga sådana situationer identifierats där den gällande nationella lagstiftningen skulle förutsätta förhandstillstånd eller tillstånd i efterhand av en domstol för behandling av personuppgifter som finns i ett register. Det har inte ansetts ändamålsenligt att i propositionen avvika från den allmänna systematiken i lagstiftningen om behandling av personuppgifter och föreslå rättsmedel som avviker från annan nationell lagstiftning om behandling av personuppgifter. Inte heller EU-rätten har bedömts förutsätta tillstånd av en domstol för den föreslagna behandlingen av biometriska uppgifter i syfte att identifiera en person eller verifiera identiteten, eftersom det inte går att dra detaljerade slutsatser om en persons privatliv med hjälp av uppgifterna i fråga.  

Med tanke på både domstolarnas och de behöriga myndigheternas resurser är det också av betydelse att om beslutsfattandet skulle anvisas domstolarna skulle det i fråga om biometrisk fjärridentifiering enligt EU:s AI-förordning ofta innebära dubbelt förhandstillståndsförfarande. För användningen av ett system för biometrisk fjärridentifiering i efterhand ska enligt AI-förordningen med vissa undantag begäras tillstånd av av rättslig myndighet eller en administrativ myndighet vars beslut är bindande och föremål för rättslig prövning. Således skulle tillstånd i samma ärende begäras separat för användning av registeruppgifter och för användning av ett system för biometrisk fjärridentifiering (se också avsnitt 11.5 Rättskydd). 

5.2.1  Lagring av biometriska uppgifter i pass och identitetskort samt användning av uppgifterna vid brottsbekämpning

För den utredning som inrikesministeriet lämnade till riksdagens förvaltningsutskott 2022 genomfördes med Polisstyrelsens hjälp en enkät om lagring av biometriska uppgifter i pass och identitetskort samt användning av uppgifterna vid brottsbekämpning i EU:s medlemsstater och vissa andra europeiska stater. Ett jämförbart svar erhölls i fråga om fingeravtryck från 25 stater och i fråga om fotografier från 23 stater. Enligt utredningen varierar förutsättningarna att använda biometriska uppgifter i pass och identitetskort i olika stater när det gäller såväl nationell lagring av uppgifterna som möjligheterna att använda dem för brottsbekämpning. I vissa stater förs alla biometriska uppgifter in i en databas och får användas utan särskilda begränsningar, medan de i en del stater inte förs in någon annanstans än i dokumentets tekniska del eller så är användningen av dem vid brottsbekämpning förbjuden i samtliga fall.  

Det är under vissa förutsättningar tillåtet att använda ansiktsbilder i pass eller identitetskort som förts in i ett register i Bulgarien, Irland, Italien, Österrike, Kroatien, Lettland, Litauen, Norge, Frankrike, Rumänien, Tyskland och Ungern. Det är under vissa förutsättningar tillåtet att använda fingeravtrycksuppgifter i pass eller identitetskort som förts in i ett register vid brottsbekämpning i Österrike, Kroatien, Lettland, Litauen, Frankrike, Ungern och Estland. Av de stater som besvarade enkäten angav Lettland, Litauen och Kroatien i sina svar inga begränsningar i anslutning till användning av uppgifterna för brottsbekämpning. I de andra staterna är användningen av biometriska uppgifter begränsad till exempel på grundval av brottets allvarlighetsgrad eller så att det förutsätts beslut av en domstol eller åklagare. I flera stater är användningen av fingeravtryck striktare begränsad än användningen av ansiktsbilder.  

I enkäten utreddes inte om biometriska uppgifter förs in i det nationella registret i så kallad sökbar form, som möjliggör automatisk jämförelse med fingeravtryck eller ansiktsbilder som är införda i databasen. Exempelvis sökningar med fingeravtrycksuppgifter från en brottsplats eller automatisk ansiktsbildsjämförelse med pass- eller identitetskortsfoton är inte möjliga i alla stater där den nationella lagstiftningen tillåter att fingeravtryck eller ansiktsbilder används för brottsbekämpande ändamål. Utredningen finns på projektets webbplats, kod SM00500/2022 .  

Lagstiftningen i Estland har ändrats efter inrikesministeriets utredning 2022 så att förutom fingeravtrycksuppgifter får även ansiktsbilder som tagits för pass och identitetskort under vissa förutsättningar användas för att utreda brott. Bestämmelser om användningen av uppgifter finns i straffprocesslagen ( kriminaalmenetluse seadustik ). I den estniska lagen om identitetsbevis ( isikut tõendavate dokumentide seadus ) föreskrivs om bland annat pass och identitetskort. I lagens 15–4 och 15–5 § föreskrivs om behandling av personuppgifter i ABIS-databasen. I ABIS-databasen införs biometriska uppgifter, bland annat biometriska uppgifter i pass och identitetskort. Det är tillåtet att använda uppgifterna för att identifiera personer och verifiera identiteten, om det föreskrivs om saken genom lag. Enligt den lagreform som trädde i kraft i slutet av 2023 får man för att säkerställa en brottsteknisk undersökning som förordnats vid straffrättsligt förfarande med stöd av 99–2 § i straffprocesslagen ( kriminaalmenetluse seadustik ) använda bland annat fingeravtrycksuppgifter och ansiktsbilder som har insamlats i ABIS-databasen för andra än straffrättsliga ändamål. En förutsättning för att använda uppgifterna är att det inte är möjligt att samla in bevis med andra metoder eller att det är anmärkningsvärt svårt eller att det sannolikt skadar brottsprocessuella intressen. En ytterligare förutsättning är att det är fråga om ett brott av första graden eller ett uppsåtligt brott av andra graden, för vilket det föreskrivna strängaste straffet är fängelse i minst tre år. För att använda uppgifterna förutsätts tillstånd av en domstol.  

Av de nordiska länderna förs fingeravtrycksuppgifter i pass och identitetskort inte in i något register i Norge. Ansiktsbilder för pass och identitetskort registreras däremot. Bestämmelser om användning av uppgifterna för något annat ändamål än det ursprungliga ändamålet med behandlingen ingår i passlagen ( lov om pass ) och identitetskortslagen ( lov om nasjonalt identitetskort ). Användningen av ansiktsbilder i brottsbekämpning tillåts enligt 11 § i passlagen ( lov om pass ) och 12 § i identitetskortslagen ( lov om nasjonalt identitetskort) till exempel för att identifiera anhållna personer eller förebygga, avslöja och utreda allvarliga brott i fall där brottet kan medföra fängelse i mer än 6 månader. I Danmark förs enligt inrikesministeriets utredning från 2022 biometriska uppgifter i identitetskort och pass inte in i något nationellt register. I Island registreras passfoton och fingeravtrycksuppgifter i pass, men de får inte användas vid brottsbekämpning. Uppgifterna får dock användas för att identifiera ett offer som annars förblivit oidentifierat. I Island registreras inte biometriska uppgifter i identitetskort.  

I Sverige förs fingeravtrycksuppgifter och biometriska ansiktsbilder inte in i passregistret eller identitetskortsregistret enligt den gällande lagstiftningen. Ansiktsbilder får dock föras in i registret utan biometriska uppgifter. Sveriges regering har den 10 oktober 2024 till riksdagen överlämnat en proposition om användning av biometri i brottsbekämpning (Prop. 2024/25:37 , Biometri i brottsbekämpningen ). Propositionen baserar sig på det betänkande som färdigställdes i juni 2023 ( SOU 2023:32 ). Lagändringarna har godkänts och de trädde i kraft den 1 juli 2025.  

I det svenska betänkandet från 2023 föreslogs inga ändringar i förutsättningarna för att använda biometriska uppgifter i identitetskortsregistret, eftersom den lagstiftning som gäller identitetskort utvärderas separat (se SOU 2019:14 , Ett säkert statligt ID-kort –med e-legitimation ). I betänkandet föreslogs däremot att biometriska uppgifter om passfoton ska föras in i passregistret och att polisen ska få begränsad möjlighet att automatiskt jämföra ansiktsbilder med uppgifter om misstänkta som förblivit oidentifierade. För jämförelser skulle enligt betänkandet uppställas strikta krav och möjligheten skulle begränsas till undersökning av endast vissa allvarliga brott. Det skulle inte vara tillåtet att använda uppgifter som registrerade under 15 år vid jämförelser. I den proposition som lämnades till riksdagen den 10 oktober 2024 ingick ändå inte förslaget om att använda biometriska uppgifter i passregistret vid brottsbekämpning. Regeringen fortsätter att bereda ett separat förslag som gäller passregistret (se Prop. 2024/25:37, s. 44).  

I den franska förordningen om behandling av personuppgifter i pass och identitetskort ( décret no 2016-1460 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ) föreskrivs det om ett behandlingssystem för personuppgifter ( titres électroniques sécurisés ), i vilket uppgifter i pass och identitetskort förs in, samt om behandling av uppgifterna. I systemet införs bland annat ansiktsbild och bild av fingeravtryck. I lagen angivna tjänsteman vid polisen och gendarmen får enligt artikel 4 i sina uppdrag använda andra uppgifter i fråga än digital bild av fingeravtryck under de förutsättningar som anges i artikel L222-1 i lagen om den inre säkerheten ( code de la sécurité intèrieure ). I artikeln föreskrivs det om polisens och gendarmens rätt att få information för att förhindra och avslöja angrepp mot nationens grundläggande intressen. Enligt utredningen från 2022 är det av tekniska orsaker inte praktiskt möjligt att använda uppgifterna för att identifiera personer.  

5.2.2  Användning av biometriska uppgifter om utlänningar vid brottsbekämpning och i SIS-registreringar

Det europeiska migrationsnätverket genomförde 2024 en enkät om behandlingen av biometriska uppgifter, och en översikt av resultaten publicerades den 19 december 2024 EMN inform: Processing the biometric data of third-country nationals (https://home-affairs.ec.europa.eu/system/files/2024-12/EMN_INFORM_Biometric-data.pdf) . I enkäten utredde man bland annat om biometriska uppgifter som samlas in i samband med migrationsförvaltningens processer förs in i nationella databaser i migrationsnätverkets medlemsstater och observatörsstater och får uppgifter i nationella databaser användas vid brottsbekämpning eller för att skydda den nationella säkerheten. Det kom svar från 27 stater. I största delen av de stater som svarade får migrationsförvaltningens biometriska uppgifter under vissa förutsättningar användas för brottsbekämpande ändamål och/eller för att skydda den nationella säkerheten (22 stater).  

Exempelvis i Estland får biometriska uppgifter som insamlats i samband med migrationsförvaltningens processer och förts in i det nationella registret användas för att utreda brott liksom uppgifter i pass och identitetskort. Enligt den norska utlänningslagen ( utlendingsloven ) får ansiktsbilder i migrationsförvaltningens register lämnas ut till polisen i begränsad utsträckning till exempel för att identifiera personer som ska anhållas, förhindra förseelser som föreskrivs i utlänningslagen samt förebygga och avslöja allvarliga brott i fall där brottet kan medföra fängelse i mer än sex månader.  

I den svenska regeringens ovannämnda proposition om användning av biometri i brottsbekämpningen (Prop. 2024/25:37) föreslås de brottsbekämpande myndigheterna få rätt att göra automatiska ansiktsbilds- och fingeravtrycksjämförelser med det svenska Migrationsverkets register vid undersökningen av vissa allvarliga brott. Förslaget gäller både ansiktsbilder och fingeravtrycksuppgifter i registret. Enligt det betänkande som föregick propositionen (SOU 2023:32) görs redan nu automatiska jämförelser med stöd av beslut som Migrationsverket fattar i enskilda fall. Regeringen anser dock att det är nödvändigt att precisera förutsättningarna för automatiska jämförelser på lagstiftningsnivå. Lagändringarna har godkänts och de trädde i kraft den 1 juli 2025. 

I Frankrike får polisen och gendarmen med stöd av artikel L222-1 i lagen om den inre säkerheten använda fingeravtryck och ansiktsbilder som lagrats om utlänningar som kommit till landet på vissa grunder för att förhindra och avslöja angrepp mot nationens grundläggande intressen och terroristgärningar. Närmare förutsättningar beträffande de uppgifter som behandlas och de utländska personer som behandlingen berör föreskrivs i artikel L142-1 och -2 i utlänningslagen ( code de l'entrée et du séjour des étrangers et du droit d'asile ).  

I det europeiska migrationsnätverkets enkät utredde man också om medlemsstaterna lämnar ut biometriska uppgifter för registreringar i SIS. Praxisen varierar enligt land och registreringstyp. Av de 27 stater som besvarade enkäten tillåter 14 att migrationsförvaltningens biometriska uppgifter som förts in i ett nationellt register används för SIS-registreringar om förbjuden inresa och 15 att uppgifterna används för SIS-registreringar om återvändande. I vissa stater får uppgifterna dessutom användas för registreringar som avses i SIS-förordningen om polissamarbete. Exempelvis i Estland är det tillåtet att använda uppgifterna för alla SIS-registreringar. För Norges del innehåller enkätresultaten svaret på SIS-registreringar om förbjuden inresa och SIS-registreringar om återvändande, för vilka migrationsförvaltningens biometriska uppgifter får användas. I Sverige tolkar Migrationsverket och polismyndigheterna möjligheten att använda biometriska uppgifter för SIS-registreringar om förbjuden inresa och SIS-registreringar om återvändande på olika sätt. Om registreringen har gjorts och lagrats av en svensk polismyndighet, används de fingeravtryck som lagrats i den nationella databasen för fingeravtryck för registreringar. Om fingeravtrycken har samlats in med stöd av Eurodacförordningen, får de inte användas för registreringar eftersom det saknas nationell lagstiftning. I Sverige får migrationsförvaltningens biometriska uppgifter enligt migrationsnätverkets enkät också användas för registreringar enligt SIS-förordningen om polissamarbete. 

6.2.1  Utredning av identiteten

Justitieministeriet anser att bestämmelsens egentliga syfte och konsekvenserna av de föreslagna ändringarna jämfört med nuläget förblir oklara. Propositionen borde också innehålla innehållsmässiga skäl till att polislagens bestämmelser om utredning av identiteten ändras så att de börjar motsvara gränsbevakningslagens bestämmelser. Det framgår inte direkt av utkastet huruvida bestämmelsen utgör en befogenhetsgrund för att uppta signalement för jämförelse. Av bestämmelsen framgår inte heller att vad som händer med de biometriska uppgifter som upptagits för jämförelse efter jämförelsen. Dessutom förblir bestämmelsens förhållande till bestämmelsen om upptagande av signalement i 9 kap. 3 § i tvångsmedelslagen oklart. 

Kommunikationsministeriet konstaterar att enligt propositionen skulle användningen av uppgifter för att utreda identiteten vara noggrant avgränsad till endast enstaka sökningar för att verifiera identiteten, och bestämmelsen skulle inte möjliggöra mera omfattande jämförelser med uppgifter om andra registrerade. Enligt ministeriets uppfattning utgör dock alla biometriska uppgifter som förts in i polisens och Migrationsverkets register jämförelsematerial. Sålunda förefaller den straffrättsliga nyttan av den föreslagna åtgärden tämligen liten i förhållande till den personuppgiftsmassa som den föreslagna behandlingen i själva verket avser. 

Polisstyrelsen understöder ändringen och konstaterar att det är av största vikt att identiteten på en person av intresse för polisverksamheten kan säkerställas på ett tillförlitligt sätt genast när åtgärder inleds. Sakens betydelse har beaktats även i den gällande lagstiftningen och en polisman har i vissa situationer rätt att utreda identiteten på en person av intresse även med hjälp av tvångsmedel genom att transportera personen till polisens lokaler för upptagande av signalement. Verksamhetsmodellen kan emellertid inte betraktas som förnuftig eller förenlig med principen om minsta olägenhet i situationer där personens identitet skulle kunna utredas redan på platsen till exempel med hjälp av fingeravtrycksläsare.  

Motiveringen till bestämmelsen har kompletterats bland annat med ett omnämnande av att bestämmelsen inte utgör en ny befogenhetsgrund för upptagande av signalement. Användningen av uppgifterna ska vara begränsad till situationer där en polisman enligt polislagen har rätt att utreda identiteten med hjälp av signalement. I motiveringen har det också preciserats att uppgifterna ska raderas efter det att identiteten utretts, om inte det är nödvändigt att behandla dem för undersöknings- och övervakningsuppgifter under de förutsättningar som anges i 5–6 § eller för att förebygga eller avslöja brott under de förutsättningar som anges i 7–8 §. Motiveringen till 2 kap. 1 § i polislagen har preciserats med att det är nödvändigt att säkerställa identiteten hos en person som är föremål för ett tjänsteuppdrag även i polisens uppgifter på samma sätt som i Gränsbevakningsväsendets uppgifter. Bestämmelsen gör det endast möjligt att verifiera identiteten, varmed avses automatiserad en-till-en-verifiering genom att jämföra personens biometriska uppgifter med enskilda biometriska uppgifter som lämnats tidigare. Bestämmelsen möjliggör alltså inte identifiering av en person genom att jämföra personens uppgifter med hela passregistret och identitetskortsregistret eller alla uppgifter som registrerats med stöd av 131 § i utlänningslagen, utan endast betydligt mera begränsad verifiering av identiteten med hjälp av en-till-en-verifiering. 

6.2.2  Identifiering av offer

Domstolsverket konstaterar att det utifrån propositionen förblir oklart vilken slags dokumentation som uppkommer i fråga om jämförelse av biometriska uppgifter, när de uppgifter som tagits för jämförelsen ska raderas omedelbart efter jämförelsen, och utifrån vilket slags material domstolen kan bedöma till exempel om jämförelsen varit korrekt och felfri, om den ifrågasätts i efterhand. Domstolen lyfter också fram eventuellt behov av att föreskriva om särskild rätt för domstolen att behandla de biometriska uppgifterna i fråga. 

Polisstyrelsen anser att förslaget kan understödas och ser inga situationer där det skulle vara skäl att genom lagstiftning begränsa en effektiv utredning av offrets identitet. Genom biometrisk identifiering kan offrets identitet ofta utredas snabbt och på så vis kan polisen också underrätta rätta personer om dödsfallet samt fortsätta med behövlig brottsutredning eller dödsorsaksutredning. 

Under den fortsatta beredningen har motiveringen till bestämmelsen preciserats så att bestämmelsen inte hindrar att uppgifter förvaras och behandlas för ett annat ändamål när de lagstadgade förutsättningarna för behandling av uppgifterna är uppfyllda. Det har inte bedömts nödvändigt att föreslå separat rätt för domstolarna att behandla uppgifter, eftersom bestämmelserna om domstolar bedöms redan nu täcka den behövliga behandlingsrätten. Under den fortsatta beredningen har dessutom bestämmelsen om rätt att använda uppgifter flyttats till de nya 15 g och 15 h §, där det föreskrivs om fattande av beslut om jämförelse av uppgifter och om det förfarande som ska tillämpas vid jämförelsen. 

6.2.3  Förhindrande av betydande fara

Bland andra justitieministeriet, riksdagens justitieombudsman och dataombudsmannens byrå hade anmärkningar till bestämmelsen i sina utlåtanden. I utlåtandena påpekades att den föreslagna bestämmelsen inte är exakt och noggrant avgränsad. I motiveringen beskrivs det inte tillräckligt vad som avses med betydande fara för liv, hälsa eller frihet. Bestämmelsen ger således centralkriminalpolisen betydande prövningsrätt när det gäller att bedöma när det är nödvändigt och således lagligt att behandla biometriska uppgifter. I motiveringen hänvisas det dessutom endast till jämförelse av ansiktsbilder, men paragrafen utesluter ändå inte att uppgifter om fingeravtryck används. Justitieministeriet påpekar också att i paragrafen föreslås inga bestämmelser om behandling av uppgifter i identifieringssyfte eller för att verifiera identiteten, utan jämförelse ska vara möjlig enligt vidare och lösare kriterier. 

Under den fortsatta beredningen har den föreslagna bestämmelsen preciserats så att den möjliggör behandling av uppgifter uttryckligen för att identifiera en person eller för att verifiera identiteten. Dessutom har motiveringen samt propositionens avsnitt om förhållande till grundlagen och lagstiftningsordning kompletterats. Propositionen har bland annat preciserats så att nödvändighetskravet som gäller behandlingen av uppgifter samt de tillämpliga principerna för behandling av personuppgifter och de principer som anges i 1 kap. i polislagen begränsar förutsättningarna att använda ansiktsbilder och fingeravtryck. 

6.2.4  Förebyggande, avslöjande och utredning av brott

I utlåtandena framfördes flera anmärkningar som gällde bland annat de föreslagna bestämmelsernas exakthet och noggranna avgränsning samt behov av att precisera motiveringen. Exempelvis justitieministeriet konstaterar att det inte framgår av paragrafen och motiveringen vad som i bestämmelsen avses med uppgifter som fås i samband med utförandet av ett enskilt uppdrag. Av paragrafen framgår inte i vilken utsträckning avsikten är att paragrafen ska möjliggöra och ge självständig och ny befogenhet att samla in biometriska uppgifter i samband med utförandet av ett enskilt uppdrag. Motiveringen ger inte heller en tillräckligt heltäckande bild av vilka brott som faktiskt omfattas av bestämmelsens tillämpningsområde och möjliggör jämförelse av biometriska uppgifter. Förhållandet mellan den bestämmelse som gäller identifiering av offret eller verifiering av identiteten i brottsbekämpningssyfte till den identifiering av offret som föreslås ovan förblir oklar. Av motiveringen framgår inte klart varför det vore nödvändigt att använda uppgifter om fingeravtryck och ansiktsbild för att hitta en person. När det gäller proportionaliteten hos de begränsningar av de grundläggande fri- och rättigheterna som följer av bestämmelsen påpekar justitieministeriet också att enligt motiveringen varierar möjligheterna att utnyttja fingeravtryck och ansiktsbilder beroende på typen av brott. Det har ändå inte gjorts någon skillnad mellan bestämmelserna enligt vilka brott som ger rätt att behandla ansiktsbilder, vilka som ger rätt att behandla fingeravtryck och vilka som eventuellt ger rätt att behandla båda. 

När det gäller utkastet till paragraf om rätt att behandla utlänningars biometriska uppgifter uppmärksammar justitieministeriet bland annat bestämmelsernas konsekvenser för jämlikheten. Justitieministeriet lyfter också fram att i propositionen används målet att förhindra brott som motivering till en potentiellt omfattande användning av biometriska uppgifter. Enligt underrättelsetillsynsombudsmannen förblir den föreslagna bestämmelsen om behandling av uppgifter om utlänningar för brott som har ett nära samband med det ursprungliga användningsändamålet oklar. 

Finlands Advokater anser att lagförslagets motivering till de brottsrubriceringar som omfattas av jämförelseförfarandet är snäv. I motiveringen borde man noggrannare bedöma när tillräckligt vägande samhälleliga skäl kan anses föreligga för att avvika från den huvudsakliga principen om ändamålsbegränsning. I lagförslaget har det inte heller bedömts tillräckligt vilken mekanism som ska säkerställa att uppgifter som hänför sig till lindrigare brottsmisstankar, och som eventuellt uppdagats i samband med jämförelse av uppgifter som hänför sig till förhindrande eller utredning av brott som hör till de föreslagna bestämmelsernas tillämpningsområde, inte utnyttjas grundlöst till exempel i polisens verksamhet eller i verksamhet som bedrivs av en utländsk myndighet som fått informationen. Även dataombudsmannens byrå anser att motiveringen till de olika brottsrubriceringarna och straffmekanismerna är snäv. 

Polisstyrelsen anser att det är viktigt att i förslaget har beaktats även förhindrande och avslöjande av brott och förhindrande av fara vid sidan av utredning av brott. När det gäller vissa brottsrubriceringar, såsom dråp och mord, är effektivare förhindrande av brott till och med ett viktigare mål än egentlig brottsutredning. Polisstyrelsen påpekar i sitt utlåtande att den föreslagna användningen av uppgifter för brottsbekämpning skulle vara begränsad till endast mycket grova brott för vilka maximistraffet är fängelse i minst 6 år och vissa andra allvarliga brott. Avgränsningen utesluter ett stort antal brott som definierats som grova i den finska strafflagen och för vilka maximistraffet i allmänhet är fängelse i 4 år. Polisstyrelsen konstaterar också att innehav och särskilt spridning av bild som på ett sexuellt sätt visar barn är globalt erkända skadliga brottsfenomen och det vore skäl att tillåta att uppgifterna används för att bekämpa även dessa brott. Polisstyrelsen finner det dessutom problematiskt att förutsättningarna för att använda uppgifter i pass- och identitetskortsregistret, som innehåller uppgifter om finska medborgare, och uppgifter i polisens och Migrationsverkets register, som innehåller uppgifter om utlänningar, i stor utsträckning sammanfaller. Särskilt när man granskar förutsättningarna att använda uppgifter i signalementsregistret enligt 131 § i utlänningslagen bör hänsyn tas till den allmäneuropeiska lagstiftningsramen och att det redan nu är tillåtet att använda bl.a. biometriska uppgifter i Eurodac-systemet för brottsbekämpning i även större utsträckning än enligt förslaget.  

Centralkriminalpolisen ser i sitt utlåtande det som ett problem för i synnerhet polisens EU-samarbete att i EU:s lagstiftning har användningen av biometriska kännetecken för brottsbekämpning möjliggjorts för utredning av allvarliga brott och terroristbrott på ett sätt som avviker från det ursprungliga användningsändamålet med lägre tröskel än vad som föreslås nationellt. Enligt centralkriminalpolisens åsikt har man i bestämmelserna inte heller i tillräckligt stor utsträckning beaktat behovet av att jämföra biometriska uppgifter vid bekämpningen av sexuellt utnyttjande av barn. 

Under den fortsatta beredningen har propositionens motivering preciserats utifrån anmärkningarna i utlåtandena. Bland annat de brottsrubriceringar som omfattas av regleringen samt förutsättningarna för att behandla fingeravtryck och ansiktsbilder har förtydligats i motiveringen. Av orsaker som har att göra med begränsningarnas godtagbarhet och proportionalitet har man i propositionen stannat för att inte föreslå att uppgifterna ska få användas för att förhindra, avslöja och utreda alla sådana brott för vilka det maximala straffet är 3 eller 4 år. Till de föreslagna bestämmelserna har dock fogats vissa försvarsbrott och landsförräderibrott samt innehav av bild som på ett sexuellt sätt visar barn och spridning av bild som på ett sexuellt sätt visar barn.  

6.2.5  Skydd av den nationella säkerheten samt försvar

Justitieministeriet konstaterar att i utkastet till proposition möjliggörs jämförelse av biometriska uppgifter, om det är nödvändigt för att skydda den nationella säkerheten från verksamhet som allvarligt hotar den. Detta kriterium är mycket lös, och till exempel den som är registrerad kan inte utifrån det få en klar bild av i vilka situationer hans eller hennes känsliga uppgifter behandlas. Justitiekanslern i statsrådet påpekar att motiveringen i utkastet till proposition förefaller delvis rikta sig mera mot brottsbekämpning än nationell säkerhet och underrättelsemyndigheternas verksamhet. Skydd av den nationella säkerheten är något annat än förhindrande och undersökning av allvarliga brott. Regleringen är annorlunda, det handlar delvis om olika myndigheter och övervakningen är också ordnad på olika sätt. Riksdagens justitieombudsman konstaterar att hänvisningen till grundlagsutskottets uttalanden om skydd av den nationella säkerheten mot verksamhet som allvarligt hotar dem i samband med ändringen av grundlagen inte räcker till som sådan exakt reglering som krävs av en begränsning av de grundläggande fri- och rättigheterna, utan kravet på exakthet förutsätter noggrannare bestämmelser i lag. 

Skyddspolisen anser att ett tydligare alternativ med tanke på den nuvarande logiken i polisens personuppgiftslagen skulle vara att bestämmelserna om skyddspolisen särskiljs från de övriga bestämmelserna om polisen och att det föreskrivs om behandlingen av uppgifter vid skyddspolisen i 7 kap. i polisens personuppgiftslag. Skyddspolisen anser att det är nödvändigt att den ges möjlighet att även själv utföra jämförelser som hör till dess ansvarsområde. Försvarsmakten lyfter i sitt utlåtande fram behovet att av beakta särdragen hos behandlingen av militär underrättelseinformation för att säkerställa den nationella säkerheten. 

Under den fortsatta beredningen har bestämmelserna om skyddspolisen överförts till 7 kap. i polisens personuppgiftslag, där det också föreskrivs om annan behandling av personuppgifter vid skyddspolisen. På grund av försvarsministeriets utlåtande samt de diskussioner som förts med Försvarsmakten och försvarsministeriet under den fortsatta beredningen föreslås också en separat bestämmelse i polisens personuppgiftslag om utlämnande av biometriska uppgifter som behandlas för utförande av uppgifter enligt identitetskortslagen och passlagen till militärunderrättelsemyndigheterna. Såväl skyddspolisens som militärunderrättelsemyndigheterna ges möjlighet att göra jämförelse själv på det sätt som jämförelseuppgifternas höga informationssäkerhetsklass förutsätter. Dessutom har propositionens motivering kompletterats med bland annat en noggrannare beskrivning av de samhälleliga intressen som hänför sig till skydd av den nationella säkerheten och försvaret. 

6.2.6  Jämförelser, beslutsfattande och rättsskydd

Bland andra social- och hälsovårdsministeriet, justitiekanslern i statsrådet, riksdagens justitieombudsman och domstolsverket fäster i sina utlåtanden uppmärksamhet vid att rättsskyddsmedlen är bristfälliga. I utlåtandena påpekar man att i EU-domstolens och Europadomstolens praxis förutsätter ett sådant undantag från ändamålsbegränsningen som det föreslagna i princip tillstånd av domstolen eller något annat oberoende organ. Propositionen bör utökas med en redogörelse för individens rättigheter och rättsskydd i samband med den föreslagna regleringen.  

Justitiekanslern i statsrådet påpekar att propositionen inte innehåller något förfarande som innebär att begäran om jämförelse och de uppgifter som utlämnas på grund av den ska vara i skriftlig form eller att det upprättas protokoll över jämförelsen, så att grunderna för begäran och besvarandet av den skulle kunna bedömas av utomstående i efterhand. Förslaget innehåller inte något förfarande där begäran om jämförelse skulle bedömas på förhand av en utomstående myndighet, till exempel underrättelsetillsynsombudsmannen eller dataombudsmannen. Det innehåller inte heller något förfarande för att en jämförelse skulle ens i efterhand anmälas till en utomstående myndighet eller domstol. Det innehåller inget förfarande där den person som varit föremål för jämförelse skulle underrättas i efterhand om jämförelsen. I propositionen borde det bedömas i större utsträckning hur det föreslagna förfarandet ska övervakas internt och externt, och hur det ska rapporteras. I propositionen bör det i detalj redovisas för de skyddsåtgärder som gäller den föreslagna behandlingen av personuppgifter och som tryggar den registrerades rättigheter. 

Polisstyrelsen och centralkriminalpolisen fäster i sina utlåtanden uppmärksamhet vid att enligt lagförslaget ska jämförelser i brottsbekämpningssyfte alltid utföras vid centralkriminalpolisen. Förslaget är motiverat särskilt i fråga om fingeravtryck, eftersom manuell jämförelse av fingeravtryck kräver sådan specialkompetens som i Finland är centraliserad till centralkriminalpolisens kriminaltekniska laboratorium. När det gäller ansiktsbilder är det ändå inte ändamålsenligt att begränsa den preliminära identifieringen bara till centralkriminalpolisen, eftersom största delen av även allvarliga brott utreds av lokalpolisen. Jämförelse av bilder till exempel för att inrikta utredningen kan till skillnad från förslaget vara möjlig även vid andra polisenheter. Egentliga jämförelseutlåtanden ska fortfarande begäras av centralkriminalpolisens kriminaltekniska laboratorium. 

Tullen föreslår i sitt utlåtande att bestämmelsen om rätt för polisen att behandla resultaten av en jämförelse när det gäller jämförelser som Tullen begärt ska preciseras så att detta förutsätter förhandstillstånd av Tullen. Utifrån förslagen förblir det också i någon mån oklart hur jämförelse i praktiken kommer i andra hand jämfört med identifiering med hjälp av andra uppgifter när någon annan myndighet än polisen begär jämförelse. 

Försvarsministeriet anser att det är bra att jämförelse alltid utförs vid centralkriminalpolisen, som innan jämförelsen utförs kontrollerar att begäran är lagenlig och att de föreskrivna förutsättningarna för jämförelse är uppfyllda. Genom det förfarande som valts i propositionen kan beslutsansvaret anvisas den aktör som de facto bäst kan säkerställa att jämförelsen är nödvändig. I propositionen måste man dock beakta särdragen hos behandlingen av militär underrättelseinformation som hänför sig till skydd av den nationella säkerheten. 

Under den fortsatt beredningen har propositionen ändrats så att det föreslås ingå bestämmelser om det förfarande och beslutsfattande som ska tillämpas på jämförelse av biometriska uppgifter i separata paragrafer i polisens personuppgiftslag. I bestämmelserna förutsätts bland annat att beslutet om jämförelse ska ha skriftlig form och det föreskrivs om innehållet i beslutet. Bestämmelserna om utförandet av jämförelse har ändrats så att förutom centralkriminalpolisens anställda får också någon annan särskilt utsedd tjänsteman som är anställd vid polisen och som har fått lämplig utbildning utföra jämförelser av ansiktsbilder för preliminär identifiering av en person. I lagen föreslås också en bestämmelse om skyldighet för Polisstyrelsen att föra statistik över den i lagförslaget avsedda behandlingen av biometriska uppgifter och att årligen lämna dataombudsmannen en redogörelse för behandlingen. I motiveringen till propositionen har intagits en mer heltäckande beskrivning av den registrerades rättigheter som är tillämpliga på behandlingen och om tillsynen över behandlingen av personuppgifter. Avsnittet om propositionens förhållande till grundlagen och lagstiftningsordning har kompletterats med ett nytt avsnitt om rättsskydd och till motiveringen har fogats en noggrannare beskriv av bland annat varför man under beredningen har ansett att EU-domstolens rättspraxis inte förutsätter förhandstillstånd av domstol för jämförelse av uppgifter. 

6.2.7  Utlämnande av uppgifter

Enligt justitieministeriet förblir det utifrån utkastet till proposition i någon mån oklar vilka uppgifter som kan utlämnas och i vilken utsträckning. Av paragrafen framgår inte heller uttryckligen att den myndighet som har rätt att lämna ut uppgifter är polisen, vilket dock framgår av motiveringen. Regleringen är svårtolkad också därför att det inte klart framgår att uppgifter får utlämnas bara när den myndighet som får uppgifterna själv har begärt jämförelse. Av motiveringen framgår inte heller tydligt huruvida uppgifter får lämnas ut endast till den myndighet som har begärt jämförelse av uppgifter, eller får uppgifter utlämnas till skyddspolisen på grund av en begäran från till exempel Gränsbevakningsväsendet.  

Dataombudsmannens byrå påpekar att bestämmelsen om utlämnande av uppgifter utvidgar behandlingen av biometriska personuppgifter avsevärt, eftersom fyra andra myndigheter vid sidan av polisen blir behandlare. Underrättelsetillsynsombudsmannen konstaterar att det är motiverat att begränsa uppgifter om brott som lämnas ut till skyddspolisen och militärunderrättelsemyndigheterna till uppgifter om brott som hotar den nationella säkerheten och som hör till dessa myndigheternas uppgiftsfält. 

Under den fortsatta beredningen borde det enligt Migrationsverket preciseras huruvida det är ändamålsenligt att i migrationsförvaltningens personuppgiftslag begränsa rätten att lämna ut uppgifter om unionsmedborgares familjemedlemmar för SIS-registreringar till enbart Migrationsverket. Tullen föreslår att polisen ska ha möjlighet att lämna ut uppgifter till Tullen för att utreda identiteten också i uppgifter som omfattas av dataskyddsförordningen. 

Försvarsministeriet konstaterar att Försvarsmakten har befogenhet att undersöka även brott som betraktas som mycket allvarliga. I utkastet till proposition har det dock föreslagits snävare rätt för Försvarsmakten att få uppgifter än för polisen, Tullen och Gränsbevakningsväsendet. Försvarsmakten konstaterar också att i den nya lagen om militär disciplin och brottsbekämpning inom Försvarsmakten (89/2025) föreskrivs det om motsvarande rätt för Huvudstaben att utreda identiteten som för polisen, Tullen och Gränsbevakningsväsendet. 

Under den fortsatta beredningen har de förslag till bestämmelser kompletterats och preciserats som gäller utlämnande av uppgifter till andra nationella myndigheter samt det beslutsfattande som förutsätts för utlämnande, det förfarande som ska tillämpas på utlämnande och tillsynen över behandlingen av uppgifter. Dessutom föreslås rätt för Gränsbevakningsväsendet och Tullen att få enskilda uppgifter för utredning av identiteten förutom i fråga om brottsmål även när det handlar om uppgifter som omfattas av den allmänna dataskyddsförordningen, och Försvarsmakten föreslås få rätt att få enskilda uppgifter för utredning av identiteten inom tillämpningsområdet för dataskyddslagen avseende brottmål. På grund av de diskussioner som förts med Migrationsverket, Polisstyrelsen och Gränsbevakningsväsendets stab föreslås också rätt för polisen och Gränsbevakningsväsendet i migrationsförvaltningens personuppgiftslag att lämna ut uppgifter om unionsmedborgares familjemedlemmar för SIS-registreringar. Motiveringen till propositionen har också kompletterats. 

6.2.8  Radering av uppgifter

Justitieministeriet anser att under den fortsatta beredningen bör man på ett heltäckande sätt och i fråga om enskilda bestämmelser bedöma lagringen av uppgifter för de nya användningsändamålen och säkerställa att behandlingen av känsliga uppgifter begränsas till vad som är nödvändigt. Justitieministeriet konstaterar att enligt polisens personuppgiftslag förvaras biometriska personuppgifter mycket långa tider. Justitieministeriet förhåller sig reserverat till att känsliga biometriska uppgifter nu ska kunna behandlas lika längre även för nya användningsändamål utan att saken till alla delar har bedömts och motiverats i motiveringen till lagstiftningsordning.  

På grund av utlåtandet har den motivering som gäller radering av uppgifter kompletterats under den fortsatta beredningen. Som en skyddsåtgärd föreslås att rätten att använda uppgifter i passregistret och identitetskortsregistret begränsas till 10 år från det att uppgiften infördes på motsvarande sätt som i det utkast till proposition som var ute på remiss. 

11.2.1  Nödvändigheten av speciallagstiftning om behandling av personuppgifter

Grundlagsutskottet har inom tillämpningsområdet för EU:s dataskyddsförordning justerat sin ståndpunkt i fråga om kraven på lagstiftning om skyddet för personuppgifter. Dataskyddsförordningen föreskriver väsentligt mycket mer detaljerat om skyddet för personuppgifter än dataskyddsdirektivet (95/46/EG) och personuppgiftslagen, som stiftats för att genomföra direktivet (GrUU 14/2018 rd). Enligt utskottet bör skyddet för personuppgifter i fortsättningen i första hand tillgodoses med stöd av den allmänna dataskyddsförordningen och den nationella allmänna lagstiftningen. Även med tanke på tydligheten bör vi förhålla oss restriktivt när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger. Grundlagsutskottet anser det dock vara klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (se t.ex. GrUU 51/2018 rd och GrUU 14/2018 rd).  

Enligt grundlagsutskottet bör bestämmelserna om behandling av personuppgifter fortfarande analyseras utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en regleringskontext där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (t.ex. GrUU 26/2018 rd och GrUU 14/2018 rd). Grundlagsutskottet har särskilt velat lyfta fram behovet av reglering i de fall där personuppgifterna behandlas av en myndighet (GrUU 14/2018 rd). 

Grundlagsutskottet ansåg i anslutning till sin justering av tolkningspraxis i fråga om 10 § i grundlagen att dataskyddsdirektivet för brottmål till skillnad från den direkt tillämpliga dataskyddsförordningen inte innehåller några detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund för skyddet av privatlivet och personuppgifter i 10 § i grundlagen. Regleringen om behandling av personuppgifter ska i sådana här regleringssammanhang där det känsliga sambandet med de grundläggande fri- och rättigheterna accentueras fortfarande bedömas utifrån utskottets tidigare praxis som betonar bestämmelser på lagnivå, exakthet och omfattning. Relevant i detta avseende är att dataskyddslagen avseende brottmål är en lag som blir tillämplig som allmän lag på sitt tillämpningsområde, och som ska kompletteras med speciallagstiftning för olika förvaltningsområden. Det finns dock inget hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän nationell lag utanför dataskyddsförordningens tillämpningsområde (se GrUU 26/2018 rd, GrUU 14/2018 rd, GrUU 51/2018 rd).  

Enligt grundlagsutskottet är det viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se GrUU 25/2005 rd). Utskottet har framhållit att det i regeringens proposition därför finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 26/2017 rd, GrUU 2/2017 rd, GrUU 44/2016 rd). 

I propositionen är det fråga om behandling av personuppgifter som omfattas delvis av den allmänna dataskyddsförordningen och delvis av dataskyddslagen avseende brottmål. Den allmänna lagstiftning som ska iakttas vid behandlingen av personuppgifter bestäms i enlighet med ändamålet med behandlingen av uppgifterna. På behandlingen av personuppgifter tillämpas den allmänna dataskyddsförordningen och den nationella dataskyddslag som kompletterar den i enlighet med bestämmelserna om tillämpningsområdet för dessa allmänna författningar.  

Behandlingen av personuppgifter i uppgifter enligt passlagen och lagen om identitetskort samt i uppgifter med anknytning till migrationsförvaltningen baserar sig på artikel 6.1 c i den allmänna dataskyddsförordningen, enligt vilken behandlingen är laglig när den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (15 a § i lagförslag nr 1). Likaså omfattas det ursprungliga ändamålet med behandlingen av registreringar enligt SIS-förordningen om in- och utresekontroller och SIS-återvändandeförordningen av den allmänna dataskyddsförordningen (de nya 2 och 3 mom. i 14 § i lagförslag nr 2). Den föreslagna användningen av biometriska uppgifter i passregistret och identitetskortsregistret samt sådana biometriska uppgifter om utlänningar som förts in i polisens och Migrationsverkets register för att identifiera offer, förhindra fara och förhindra, avslöja och utreda vissa allvarliga brott omfattas av dataskyddslagen avseende brottmål (15 c, 15 d, 15 e och 15 f § i lagförslag nr 1 samt 9 och 10 § i lagförslag nr 2), liksom användningen av biometriska uppgifter i passregistret och identitetskortsregistret för att skydda försvaret av landet och för att skydda den nationella säkerheten mot verksamhet som allvarligt hotar den (21 a § och 52 a § i lagförslag nr 1) omfattas av dataskyddslagen avseende brottmål. Även när registreringar enligt SIS-förordningen om polissamarbete förs in i SIS är det fråga om sådan behandling av personuppgifter som avses i dataskyddslagen avseende brottmål (27 § 4 mom. i lagförslag nr 1, de nya 4 och 5 mom. i 14 § i lagförslag nr 2 samt den nya 5 mom. 4–6 punkten i 131 § i lagförslag nr 3). Utredning av identiteten enligt 2 kap. 1 § i polislagen och 15 b § i lagförslag nr 1 kan omfattas av antingen den allmänna dataskyddsförordningen eller dataskyddslagen avseende brottmål beroende på vilket polisuppdrag som förutsätter att identiteten utreds. 

De föreslagna bestämmelserna som kompletterar den allmänna dataskyddsförordningen grundar sig på det nationella handlingsutrymmet enligt artiklarna 6 och 9 i förordningen. Den nationella lagstiftningen kan enligt artikel 6.3 innehålla bestämmelser för att anpassa tillämpningen av bestämmelserna i den allmänna dataskyddsförordningen. Bestämmelserna kan gälla till exempel de villkor som ska gälla för laglig behandling, vilken typ av uppgifter som ska behandlas, ändamål och lagringstid samt de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål. Medlemsstatens nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Om personuppgifter behandlas för andra ändamål än det ändamål för vilket uppgifterna samlades in, ska regleringen bedömas utifrån principen om ändamålsbegränsning i enlighet med vad som föreskrivs i artikel 6.4 i dataskyddsförordningen (se avsnitt 11.2.3). Vid behandlingen av biometriska uppgifter ska dessutom iakttas bestämmelserna om behandling av särskilda kategorier av personuppgifter i artikel 9 i den allmänna dataskyddsförordningen, som beskrivs mer ingående nedan (se avsnitt 11.2.2). 

I propositionen har det bedömts nödvändigt att föreslå specialbestämmelser som utfärdas inom det nationella handlingsutrymmet som den allmänna dataskyddsförordningen medger och som kompletterar den nationella genomförandelagstiftningen för dataskyddsdirektivet för brottmål. I propositionen föreslås bestämmelser som kompletterar dataskyddsförordningen om samtliga ovannämnda omständigheter enligt artikel 6.3 i förordningen. Bestämmelserna gäller behandling av personuppgifter för något annat ändamål än det ursprungliga ändamålet med behandlingen, det förfarande som ska tillämpas på behandlingen samt utlämnande av personuppgifter till andra myndigheter. I propositionen föreslås också bestämmelser som kompletterar EU:s SIS-förordningar om utlämnande av biometriska uppgifter för SIS-registreringar. De föreslagna ändringarna gäller biometriska uppgifter som betraktas som särskilt känsliga, och behandlingen av dessa uppgifter förutsätter exakta och noggrant avgränsade bestämmelser på grund av de risker som behandlingen medför. De föreslagna bestämmelserna har bedömts som nödvändiga även på grund av de förutsättningar för bestämmelser om utlämnande av sekretessbelagda uppgifter som behandlas mer ingående nedan (se avsnitt 11.2.4). 

11.2.2  Behandling av uppgifter som hör till särskilda kategorier av personuppgifter

Grundlagsutskottet har bedömt att särskilt tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter, vilket inneburit att inrättandet av register med sådana uppgifter måste bedömas mot villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (se t.ex. GrUU 48/2018 rd och de utlåtanden som det hänvisas till där). 

Grundlagsutskottet har konstaterat att bestämmelserna om behandling av känsliga uppgifter bör analyseras vidare utifrån praxisen för tidigare bestämmelser på lagnivå. Grundlagsutskottet har bedömt att biometriska kännetecken är i många avseende känsliga uppgifter. Fingeravtryck innehåller sådan information om en individ som gör det möjligt att exakt identifiera honom eller henne i många olika sammanhang (GrUU 29/2016 rd, se även Europadomstolens dom S. and Marper mot Förenade kungariket , 4.12.2008).  

Grundlagsutskottet har framhävt vilka hot som behandling av känsliga uppgifter kan medföra. Enligt utskottet medför omfattande databaser med känsliga uppgifter allvarliga risker relaterade till dataskyddet och missbruk av uppgifter som i sista hand kan utgöra ett hot mot personens identitet (GrUU 13/2016 rd, GrUU 14/2009 rd). Även enligt EU:s allmänna dataskyddsförordning bör särskilda personuppgifter, som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter, åtnjuta särskilt skydd eftersom behandlingen av uppgifterna kan innebära betydande risker för de grundläggande rättigheterna och friheterna (se GrUU 3/2021 rd). 

När grundlagsutskottet behandlade förslagen till förordningar om användning av Schengens informationssystem (SIS) och bestämmelser som kompletterar SIS-förordningarna ansåg utskottet att den viktigaste frågan i förslagen till förordningar med avseende på skyddet för privatlivet och för personuppgifter är registreringen av biometriska kännetecken. Relevant är att omfattande register med biometriska kännetecken kan medföra allvarliga risker för informationssäkerheten och för missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet. Grundlagsutskottet har ansett att inrättandet av dessa register måste bedömas i ljuset av villkoren för inskränkningar i de grundläggande fri- och rättigheterna och särskilt med hänsyn till inskränkningarnas acceptabilitet och proportionalitet. Enligt grundlagsutskottet genererar registrering av biometriska kännetecken dessutom ett särskilt behov av att se till att de personuppgifter som registreras i systemet skyddas mot risk för missbruk och varje form av olaglig åtkomst till och användning av uppgifterna. Utskottet påpekade därför särskilt att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om behandlingen är absolut nödvändig. Särskilt när det gäller behandlingen av uppgifter om barn påpekade utskottet att behandlingen av biometriska kännetecken som tas upp från barn ska vara nödvändig med tanke på ett godtagbart ändamål. (se GrUU 40/2021 rd samt GrUU 13/2017 rd och de utlåtanden som det hänvisas till där.) 

Utskottet har också betonat att i synnerhet förvaringstiden för känsliga uppgifter bör begränsas till vad som är nödvändigt för att uppnå det mål som är orsak till att uppgifterna har registrerats i systemet (se t.ex. GrUU 3/2021 rd och de utlåtanden som det hänvisas till där, GrUU 31/2017 rd och GrUU 13/2017 rd). Utskottet har ansett att en fem års förvaringstid för känsliga uppgifter är lång (GrUU 51/ 2018 rd, GrUU 13/2017 rd). Utskottet har också i samband med bedömningen av förvaringstider påpekat att registrering av biometriska kännetecken medför ett särskilt behov av att skydda personuppgifter som sparas i systemet mot risken för missbruk och all slags olaglig åtkomst till och användning av dessa uppgifter (GrUU 13/2017 rd, GrUU 29/2016 rd, se också EU-domstolens avgöranden C-362/14, Schrems samt C-293/12 och C-594/12, Digital Rights Ireland ).  

Registreringen och användningen av fingeravtryck har också bedömts i Europadomstolens domar. Europadomstolen har konstaterat att införande av personuppgifter i en myndighets register innebär en begränsning av skyddet för privatlivet. Fingeravtryck innehåller sådan information om en individ som gör det möjligt att exakt identifiera honom eller henne i många olika sammanhang. Redan det att uppgifter om fingeravtryck förs in i ett register kan ge anledning till oro för skyddet för privatlivet (se t.ex. S. och Marper mot Förenade kungariket , 4.12.2008 och Leander mot Sverige , 26.3.1987).  

I samband med fallet S. och Marper mot Förenade kungariket granskar Europadomstolen omfattande insamling av fingeravtryck i ett centraliserat polisregister. I fallet hade båda kärandena anhållits och åtalats för brott. Polisen tog deras fingeravtryck och DNA-kännetecken i enlighet med de nationella bestämmelserna, men kärandena dömdes aldrig för brotten. Med stöd av den nationella lagstiftningen kunde dock biometriska uppgifter förvaras en obegränsad tid. Europadomstolen konstaterar bland annat att i ett demokratiskt samhälle kan det anses nödvändigt att ingripa i skyddet för privatlivet för att uppnå ett berättigat syfte, om man därigenom svarar på ett tvingande samhälleligt behov och särskilt om det står i rimlig proportion till detta berättigade syfte, samt om de nationella myndigheterna lägger fram relevanta och tillräckliga motiveringar. Europadomstolen konstaterar också att ett berättigat brottsbekämpningsintresse kan vara större än intressena för dem som berörs av fingeravtrycksuppgifterna och samhällets helhetsintresse vid skyddet av personuppgifter, inklusive fingeravtryck och DNA-kännetecken. Europadomstolen anser att det är ställt utom allt rimligt tvivel att kampen mot brott, särskilt organiserad brottslighet och terrorism, som är en av utmaningarna för dagens europeiska samhällen, är i hög grad beroende av användningen av moderna vetenskapliga undersökning- och identifieringsmetoder. Europadomstolen konstaterar dock att trots fördelarna med ett centraliserat register bör utgångspunkten vara att försöka hitta balans mellan den allmänna säkerheten och skyddet för privatlivet. Enligt domstolen försämras skyddet för privatlivet orimligt, om det godkänns att användningen av moderna vetenskapliga brottsundersökningsmetoder till vilket pris som helst går före skyddet för privatlivet. Europadomstolen konstaterar bland annat att lagringen av personuppgifter måste stå i rätt proportion till syftet med insamlingen och att lagringstiderna måste begränsas. En allmän och urskillningslös lagring av personuppgifter utan någon tidsgräns så att personer som konstaterats oskyldiga har endast begränsad möjlighet att begära att deras personuppgifter raderas, utgjorde i detta fall ett oproportionellt ingrepp i kärandenas rätt att åtnjuta respekt för privatlivet och kunde inte anses som nödvändigt i ett demokratiskt samhälle. Domstolen konstaterade att det var fråga om ett brott mot artikel 8 i Europakonventionen.  

Europadomstolen har konstaterat brott mot artikel 8 i Europakonventionen i anslutning till lagringen av uppgifter om fingeravtryck även i målet M.K. mot Frankrike , 18.4.2013. I fallet konstaterar Europadomstolen bland annat att i de nationella bestämmelserna hade det inte gjorts någon skillnad i lagringen av personuppgifter enligt brottens allvarlighetsgrad eller enligt om personen hade dömts för brott eller inte. Det föreskrevs inte heller om tillräckliga skyddsåtgärder i lagen. I målet Gaughran mot Förenade kungariket , 13.2.2020, konstaterade Europadomstolen att det var fråga om ett brott mot artikel 8 i Europakonventionen då kärandens DNA-profil, fotografi och fingeravtryck bevarades en obestämd tid utan hänsyn till brottets allvarlighet eller behovet av att bevara uppgifterna för en obestämd tid och utan faktisk möjlighet att få saken bedömd. Europadomstolen konstaterar i avgörandet av syftet med lagringen av biometriska uppgifter och fotografier är att undersöka brott och sålunda förhindra brottslighet, vilket är ett godtagbart syfte. Vid bedömningen av rätten till liv, som skyddas i artikel 2 i Europakonventionen, och den positiva skyldighet att agera som följer därav har Europadomstolen ansett att det finns ett starkt allmänt intresse av att undersöka och lagföra brott mot liv och gärningsmännen även flera år efter händelserna. Det finns också ett allmänt brottsbekämpningsintresse av att utreda så kallade dolda brott. Polisen måste ända utföra sin uppgift på ett sätt som är förenligt med andra individers rättigheter och friheter (se bl.a. Osman mot Förenade kungadömet , 28.10.1998). Förutom ett godtagbart syfte måste även kravet på proportionalitet beaktas vid bedömningen.  

Europadomstolen har också granskat behandlingen av biometriska uppgifter bland annat i avgörandet Glukhin mot Ryssland , 4.7.2023. I fallet utnyttjade myndigheten övervakningskameror i allmänna utrymmen och ett system för ansiktsigenkänning i realtid för att identifiera, hitta och gripa en eftersökt demonstrant som man misstänkte att gjort sig skyldig till endast en administrativ förseelse. Europadomstolen konstaterar att behandlingen av sökandens personuppgifter med hjälp av ansiktsigenkänningsteknik i ett ärende som gällde en administrativ förseelse innebär en begränsning av skyddet för privatlivet. En begränsning av skyddet för privatlivet kan vara berättigad endast när den är tillåten i lag och nödvändig i ett demokratiskt samhälle för att uppnå de syften som avses i artikel 8.2 i Europakonventionen. Europadomstolen hänvisar till avgörandena i bland annat målen S. och Marper mot Förenade kungariket och Gaughran mot Förenade kungariket och konstaterar att insamling och behandling av personuppgifter förutsätter tydliga och exakta regler som erbjuder tillräckliga garantier mot missbruk och godtycklig behandling av uppgifterna. Europadomstolen anser också i detta sammanhang att det är ställt utom allt rimligt tvivel att kampen mot brott, särskilt organiserad brottslighet och terrorism, som är en av utmaningarna för dagens europeiska samhällen, är i hög grad beroende av användningen av moderna vetenskapliga undersökning- och identifieringsmetoder. I fallet är det enligt Europadomstolen inte fråga om huruvida behandling av biometriska uppgifter med hjälp av ansiktsigenkänningsteknik allmänt kan betraktas som berättiga enligt Europakonventionen. I det fall som granskas i domen anser Europadomstolen att användning av ansiktsigenkänningsteknik för att identifiera, lokalisera och gripa en fredlig demonstrant för ett förfarande som gäller en administrativ förseelse inte kan betraktas som nödvändig i ett demokratiskt samhälle. Domstolen konstaterade att det var fråga om ett brott mot artikel 8 i Europakonventionen.  

EU-domstolen har behandlat betydelsen av fingeravtryck bland annat i avgörandet C-61/22, som gäller giltigheten för EU:s förordning om identitetskort ( RL mot Landeshauptstadt Wiesbaden ). Biometriska uppgifter gör det möjligt att exakt identifiera de berörda fysiska personerna och är särskilt känsliga på grund av de betydande risker för grundläggande fri- och rättigheter som användningen av dem kan innebära. Trots att fingeravtryck gör det möjligt att exakt identifiera en person, gör enligt avgörandet ändå den information som fingeravtrycken innehåller det inte i sig möjligt att få en bild av de berörda personernas privat- och familjeliv. Sålunda fann EU-domstolen att den rättighetsbegränsning som följer av skyldigheten att införa två fingeravtryck i lagringsmediet i identitetskort utfärdade av medlemsstaterna inte strider mot det väsentliga innehållet i de grundläggande rättigheter som slås fast i artiklarna 7 och 8 i stadgan. EU-domstolen har också bedömt de skyldigheter enligt passförordningen som gäller fingeravtryck och konstaterat att det intrång i respekten för privatlivet och skyddet för personuppgifter som är förenat med dem kan motiveras med syftet att säkerställa att pass inte används i bedrägligt syfte (se avgörandet C-291/12, Schwarz mot Stadt Bochum , som behandlas mer ingående i avsnitt 2.2.1).  

EU-domstolen har i målet C-205/21 (Ministerstvo na vatreshnite raboti - Registrering av biometriska och genetiska uppgifter I) hänvisat till principen om uppgiftsminimering i artikel 4 i dataskyddsdirektivet avseende brottmål, enligt vilken personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas. EU-domstolen har också hänvisat till artikel 8, enligt vilken behandling ska vara laglig endast om och i den mån den är nödvändig för att utföra en uppgift som utförs av en behörig myndighet för de ändamål som anges i direktivet. I artikeln krävs dessutom att medlemsstaternas nationella rätt ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. EU-domstolen har konstaterat att ändamålen med behandlingen av biometriska och genetiska uppgifter kan således i detta avseende inte anges i alltför allmänna termer, utan måste definieras på ett tillräckligt precist och konkret sätt för att det ska vara möjligt att bedöma huruvida denna behandling är ”absolut nödvändig” på det sätt som förutsätts i artikel 10 i direktivet. EU-domstolen ansåg i målet att polismyndigheternas behandling av biometriska och genetiska uppgifter i sin utredningsverksamhet, för att bekämpa brott och upprätthålla allmän ordning, är tillåten endast om medlemsstatens nationella rätt innehåller en tillräckligt klar och tydlig rättslig grund för att tillåta denna behandling. Direktivets krav på att behandlingen av känsliga uppgifter ska vara ”absolut nödvändig” innebär enligt EU-domstolen en särskilt strikt kontroll i detta sammanhang av iakttagandet av principen om uppgiftsminimering. EU-domstolen konstaterar också att dataskyddsdirektivet för brottmål och artiklarna 47 och 48 i stadgan om de grundläggande rättigheterna inte utgör något hinder för lagstiftning enligt vilken den behöriga brottmålsdomstolen fastställer att biometriska och genetiska uppgifter ska insamlas med tvång före det nationella målet. Dessutom anser EU-domstolen att dataskyddsdirektivet för brottmål utgör hinder för nationell lagstiftning enligt vilken föreskrivs rätt för den behöriga myndigheten att samla in biometriska och genetiska uppgifter utan att pröva och visa dels att denna insamling är absolut nödvändig för att uppnå de konkreta mål som eftersträvas, dels att dessa mål inte kan uppnås genom åtgärder som utgör ett mindre allvarligt ingrepp i den berörda personens rättigheter och friheter. EU-domstolen anser också att nationell lagstiftning enligt vilken föreskrivs en systematisk insamling av biometriska och genetiska uppgifter från varje person som är misstänkt för uppsåtlig brottslighet som omfattas av allmänt åtal i princip står i strid med artikel 10 i dataskyddsdirektivet avseende brottmål.  

Den hänskjutande domstolen i målet C-205/21 ställde följdfrågor, som EU-domstolen behandlade i målet C-80/23 (Ministerstvo na vatreshnite raboti – Registrering av biometriska och genetiska uppgifter II) . Den hänskjutande domstolen har ställt sina frågor för att få EU-domstolen att närmare precisera kravet på en domstolsprövning av om det är ”absolut nödvändigt” att samla in biometriska och genetiska uppgifter, i den mening som avses i artikel 10 i dataskyddsdirektivet för brottmål. EU-domstolen konstaterar bland annat att det framgår av själva ordalydelsen i artikel 10 att kravet på absolut nödvändighet ska tolkas på så sätt att det innebär att förutsättningarna för laglig behandling av känsliga personuppgifter är strängare än de förutsättningar som följer av artiklarna 4.1 b och c samt 8.1 i direktivet, där det endast talas om att behandling av personuppgifter som allmänt sett omfattas av direktivets tillämpningsområde ska vara ”nödvändig”.  

EU-domstolen konstaterar att den i domen i målet C-205/21 slog fast att att en nationell lagstiftning som föreskriver systematisk insamling av biometriska och genetiska uppgifter om var och en som är misstänkt för uppsåtlig brottslighet för vilken allmänt åtal gäller, utan att det föreskrivs någon skyldighet för den behöriga myndigheten att pröva och visa att insamlingen är ”absolut nödvändig”, i enlighet med den skyldighet som åligger den enligt artikel 10 i direktiv 2016/680, i princip strider mot nämnda artikel 10. En sådan lagstiftning kan leda till insamling av biometriska och genetiska uppgifter om de flesta misstänkta personer utan åtskillnad och generellt. EU-domstolen påpekar att den i målet C-205/21 angav att det ankom på den hänskjutande domstolen att pröva bland annat huruvida nationell rätt kan tolkas på ett sätt som är förenligt med unionsrätten i syfte att säkerställa effektiviteten av artikel 10 i dataskyddsdirektivet för brottmål 2016/680. EU-domstolen uppmanade därför den hänskjutande domstolen att fastställa huruvida det enligt nationell rätt är tillåtet för de behöriga myndigheterna, i den mening som avses i artikel 3 led 7 i dataskyddsdirektivet för brottmål, att bedöma om det är ”absolut nödvändigt” att samla in den berörda personens biometriska och dess genetiska uppgifter, i syfte att registrera dessa uppgifter. EU-domstolen avsåg därmed att påminna den hänskjutande domstolen om att principen om unionsrättens företräde bland annat innebär en skyldighet för den att i möjligaste mån tolka sin nationella rätt på ett sätt som är förenligt med unionsrätten. Enligt EU-domstolen angavs i målet C-205/21 till denna del endast att den hänskjutande domstolen skulle pröva huruvida nationell rätt kunde tolkas så, att de myndigheter som var behöriga att utföra denna behandling av uppgifter kunde göra den bedömning som det ankommer på dem att göra enligt artikel 10. Om den behöriga myndigheten inte enligt nationell rätt är behöriga att bedöma om behandlingen är ”absolut nödvändig”, kan en domstol inte, i stället för denna myndighet, säkerställa att den skyldighet som åligger nämnda myndighet enligt artikel 10 iakttas. Det ankommer på den behöriga myndigheten att göra den bedömning som krävs enligt artikel 10. 

EU-domstolen har bedömt bland annat lagringstider för uppgifter i målet C-118/22 (NG mot Direktor na Glavna direktsia ”Natsionalna politsia” pri Ministerstvo na vatreshnite raboti – Sofia) . Fallet gällde bedömning av en nationell lagstiftning som föreskriver att personuppgifter, inklusive biometriska och genetiska uppgifter, vad gäller personer som genom en lagakraftvunnen brottmålsdom har dömts för ett uppsåtligt brott som faller under allmänt åtal, ska lagras, genom polismyndigheternas försorg, för att förebygga, upptäcka, utreda och lagföra brott, eller att verkställa straffrättsliga påföljder. Uppgifterna ska lagras fram till dess att den registrerade avlider. Lagstiftningen ålägger inte heller den personuppgiftsansvarige skyldigheten att regelbundet kontrollera om sådan lagring fortfarande är nödvändig, och tillerkänner inte den berörda personen rätten enligt dataskyddsdirektivet för brottmål att få uppgifterna raderade eller rätten att få behandlingen av dessa uppgifter begränsad.  

EU-domstolen betonar i sitt avgörande att lagring, i ett polisregister, av uppgifter om personer som har dömts genom en lagakraftvunnen brottmålsdom, kan vara nödvändig för operativa utredningar och närmare bestämt för att jämföras med andra uppgifter som samlats in i samband med utredningar av andra brott, även efter det att den fällande domen har raderats från belastningsregistret. EU-domstolen anser att lagring av biometriska och genetiska uppgifter om personer som redan har varit föremål för en lagakraftvunnen brottmålsdom, inbegripet fram till att dessa personer avlidit, kan visserligen anses vara absolut nödvändig i den mening som avses i artikel 10 i dataskyddsdirektivet för brottmål, bland annat för att göra det möjligt att kontrollera dessa personers eventuella inblandning i andra brott, och således att lagföra och döma gärningsmännen till dessa brott. Man bör beakta den betydelse som denna typ av uppgifter har för brottsutredningar, även många år efter det att gärningarna begicks, särskilt när dessa lagöverträdelser utgör allvarliga brott. Lagring av biometriska och genetiska uppgifter kan emellertid enbart anses uppfylla kravet att lagringen ska vara tillåten endast om det är absolut nödvändigt, i den mening som avses i artikel 10 i dataskyddsdirektivet för brottmål, om den beaktar arten och allvaret av det brott som lett till den slutliga fällande domen, eller andra omständigheter, såsom de särskilda omständigheter under vilka brottet begicks, lagringens eventuella koppling till andra pågående förfaranden eller den dömda personens tidigare bakgrund eller profil. En nationell lagstiftning som föreskriver att de berörda personernas biometriska och genetiska uppgifter som införts i polisregistret ska lagras fram till dessa personers död om de har dömts genom en lagakraftvunnen brottmålsdom, är alltför omfattande i förhållande till de ändamål för vilka uppgifterna behandlas. EU-domstolen ansåg att den nationella regleringen stred mot EU-rätten. Enligt avgörandet utgör dataskyddsdirektivet för brottmål hinder för en nationell lagstiftning som föreskriver att personuppgifter, inklusive biometriska och genetiska uppgifter, vad gäller personer som genom en lagakraftvunnen brottmålsdom har dömts för ett uppsåtligt brott som faller under allmänt åtal, ska lagras, genom polismyndigheternas försorg, för att förebygga, upptäcka, utreda och lagföra brott, eller att verkställa straffrättsliga påföljder, fram till dess att den registrerade avlider, även i fall då den registrerade har rehabiliterats, utan att därvid ålägga den personuppgiftsansvarige skyldigheten att regelbundet kontrollera om sådan lagring fortfarande är nödvändig, och utan att tillerkänna den berörda personen rätten att få uppgifterna raderade på grund av att lagringen av dem inte längre är nödvändig för de ändamål för vilka de har behandlats eller, i förekommande fall, rätten att få behandlingen av dessa uppgifter begränsade. 

Enligt skäl 51 i den allmänna dataskyddsförordningen bör personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Biometriska uppgifter är i artikel 9 i den allmänna dataskyddsförordningen och i 11 § i dataskyddslagen avseende brottmål avsedda uppgifter som hör till särskilda kategorier av personuppgifter när de behandlas för att entydigt identifiera en fysisk person. I artikel 9 i dataskyddsförordningen föreskrivs det om behandlingen av särskilda kategorier av personuppgifter. Enligt artikel 9.1 är det förbjudet att behandla sådana biometriska uppgifter som hör till särskilda kategorier av personuppgifter för att entydigt identifiera en person. Bestämmelser om grunderna för undantag finns i artikel 9.2. När det gäller de ändamål som omfattas av dataskyddsförordningen grundar sig de bestämmelser som föreslås i propositionen på artikel 9.2 g i förordningen (15 a § i lagförslag nr 1, de nya 2 och 3 mom. i 14 § i lagförslag nr 2 samt 15 b § i lagförslag nr 1 när det är fråga om utredning av identiteten i polisuppdrag som omfattas av den allmänna dataskyddsförordningen). Enligt bestämmelsen kan ett undantag göras exempelvis om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.  

Europadomstolens och EU-domstolens avgöranden som beskrivs ovan bedöms inte medföra något hinder för den behandling av personuppgifter som föreslås i propositionen. Med stöd av de föreslagna bestämmelserna inrättas inga nya databaser som innehåller känsliga uppgifter, utan bestämmelserna gäller förutsättningarna att behandla uppgifter som insamlas till polisens och Migrationsverkets register med stöd av den gällande lagstiftningen. I propositionen föreslås inte heller några ändringar i de förutsättningar under vilka polisen får samla in biometriska uppgifter för registrering. Den föreslagna behandlingen av uppgifter är i alla avseenden knuten till nödvändighetskravet, och den behöriga myndigheten ska säkerställa att det är uppfyllt före behandlingen. I propositionen föreslås inte heller några ändringar i polisens möjligheter att använda ansiktsigenkänningsteknik och de föreslagna bestämmelserna gör det inte möjlighet att behandla biometriska uppgifter till exempel för att identifiera fredliga demonstranter. 

Vid den föreslagna lagringen av biometriska uppgifter ska iakttas de lagringstider som anges för uppgifterna i den nationella lagstiftningen. I propositionen föreslås inga ändringar i polisens rätt att förvara biometriska uppgifter i samband med brottmål. Som en skyddsåtgärd föreslås dessutom att användningen av biometriska uppgifter i passregistret och identitetskortsregistret för brottsbekämpande ändamål begränsas till 10 år från det att uppgiften infördes (38 § i lagförslag nr 1). På raderingen av biometriska uppgifter som anknyter till brottmål tillämpas bestämmelserna i 33 § polisens personuppgiftslag om radering av signalementsuppgifter som behandlas för fastställande av identiteten. I bestämmelserna anges en maximal lagringstid för signalementsuppgifter som bestäms enligt brottets allvarlighetsgrad och den brottsmisstänktes ålder. Uppgifterna raderas dessutom tidigare om det vid utredningen har framgått att inget brott har begåtts eller att det inte längre finns skäl att misstänka personen för brott. Om uppgifterna bevaras längre än den maximala lagringstiden med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har, ska behovet av fortsatt bevarande bedömas minst vart femte år. I propositionen föreslås inte möjlighet till allmän och urskillningslös lagring av personuppgifter. Bestämmelserna möjliggör inte lagring och behandling av uppgifterna under en obestämd tid utan hänsyn till brottets allvarlighet eller behovet av att bevara uppgifterna för en obestämd tid och utan faktisk möjlighet att få saken prövad. I propositionen föreslås inte heller begränsningar av de registrerades rätt enligt 25 § i dataskyddslagen avseende brottmål att kräva rättelse, komplettering, utplånande eller begränsning av behandlingen av personuppgifter. 

I propositionen föreslås inga specialbestämmelser om sådana sakkomplex som det redan finns heltäckande och exakta bestämmelser om i den allmänna dataskyddslagstiftningen. I 6 § i dataskyddslagen föreskrivs det om de lämpliga och särskilda skyddsåtgärder som förutsätts vid behandlingen av särskilda kategorier av personuppgifter och som den personuppgiftsansvarige ska vidta när behandling av uppgifter som hör till särskilda kategorier av personuppgifter regleras i lag eller föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag. Den allmänna dataskyddsförordningen och dataskyddslagen innehåller också detaljerade bestämmelser om bland annat den personuppgiftsansvariges skyldigheter och de registrerades rättigheter, informationssäkerhet och tillsyn över behandlingen av personuppgifter samt påföljder av olaglig behandling av personuppgifter. På motsvarande sätt föreskrivs det i dataskyddslagen avseende brottmål om bland annat de registrerades rättigheter, informationssäkerhet, tillsynsmyndighet och rättsskydd, skadestånd, straff och tystnadsplikt. Bestämmelser om behandling av personuppgifter som förts in i SIS, den registrerades rättigheter och rättsmedel samt tillsynsmyndigheter ingår dessutom i EU:s direkt tillämpliga SIS-förordningar.  

Propositionen gäller automatisk identifiering och hittande av personer samt automatiserad verifiering av identiteten med hjälp av biometriska uppgifter. I propositionen är det fråga om behandling av känsliga uppgifter, som berör själva kärnan i skyddet för personuppgifter som gäller privatlivet. I propositionen föreslås exakta och noggrant avgränsade bestämmelser om behandling av biometriska uppgifter som förts in i polisens passregister och identitetskortsregister samt av sådana biometriska uppgifter om utlänningar som förts in i polisens och Migrationsverkets register för något annat ändamål än det ursprungliga ändamålet med behandlingen av uppgifterna. I lagarna föreskrivs det om de ändamål för vilka uppgifter får behandlas, om det förfarande som tillämpas vid behandlingen samt om de förutsättningar under vilka uppgifter får utlämnas. Trots att de jämförelser som avses i propositionen utförs med hjälp av automatisering, fattas det slutliga beslutet om identifiering av en person alltid av en fysisk person, dvs. en tjänsteman. I propositionen föreslås inga bestämmelser som möjliggör sådant automatiserat individuellt beslutsfattande som avses i artikel 22 i den allmänna dataskyddsförordningen och i 13 § i dataskyddslagen avseende brottmål. 

Förutsättningarna för behandling av uppgifter ska vara desamma i fråga om såväl fingeravtryck som ansiktsbilder. Det är dock endast sällan nödvändigt att utföra jämförelse med båda uppgiftskategorierna. Behandlingen ska vara begränsad till endast situationer där den är nödvändig. Om det är möjligt att identifiera en person med hjälp av endast fingeravtryck eller endast ansiktsbilder, är det inte nödvändigt och således inte heller tillåtet att använda båda uppgifterna. Vid all behandling av personuppgifter enligt polisens personuppgiftslag ska dessutom i enlighet med lagens 2 § bestämmelserna i 1 kap. i polislagen om respekt för de grundläggande rättigheterna och de mänskliga rättigheterna, proportionalitetsprincipen, principen om minsta olägenhet och principen om ändamålsbundenhet iakttas. Vid behandlingen ska också iakttas förutsättningarna i den allmänna dataskyddslagstiftningen, såsom principerna för behandling av personuppgifter i 2 kap. i dataskyddslagen avseende brottmål. Till dessa principer hör bland annat relevanskravet (6 § i dataskyddslagen avseende brottmål). De personuppgifter som behandlas ska vara adekvata och behövliga med hänsyn till ändamålet med behandlingen och får inte vara för omfattande i förhållande till de ändamål för vilka de behandlas. Bestämmelserna gör det inte möjligt att behandla uppgifter i större omfattning än vad brottsbekämpningsintresset förutsätter i samtliga situationer. 

Den allmänna dataskyddslagstiftningen ska även i övrigt tillämpas vid behandlingen. I propositionen har det inte bedömts nödvändigt att föreslå nya begränsningar enligt artikel 23 i den allmänna dataskyddsförordningen av tillämpningsområdet för de skyldigheter och rättigheter som anges i artiklarna 12–22 och artikel 34 samt artikel 5 i förordningen med undantag av begränsningen av principen om ändamålsbegränsning i artikel 5.1 b. Bestämmelserna bedöms vara nödvändiga och proportionella på de grunder som beskrivs mera ingående i bland annat följande avsnitt 11.2.3 (Behandling av personuppgifter för något annat ändamål än det ursprungliga ändamålet). Bestämmelserna bedöms uppfylla de villkor som grundlagsutskottet i sin utlåtandepraxis ställt för behandlingen av känsliga uppgifter och uppfylla de krav som följder av de grundläggande och mänskliga rättigheterna. 

11.2.3  Behandling av personuppgifter för något annat ändamål än det ursprungliga ändamålet med behandlingen

Grundlagsutskottet har framhållit kravet på ändamålsbegränsning, särskilt vid behandlingen av känsliga uppgifter. När det gällt omfattande register med biometriska kännetecken har det enligt grundlagsutskottet funnits orsak att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för. I de fallen har bara exakt avgränsade och mycket små undantag kunnat göras från ändamålsbegränsningen. Bestämmelserna får inte leda till att någon annan verksamhet än den som är förknippad med det ursprungliga ändamålet blir det huvudsakliga ändamålet eller ens ett viktigt ändamål (se bl.a. GrUU 15/2018 rd, GrUU 1/2018 rd, GrUU 14/2017 rd samt GrUU 14/2009 rd om ändring av passlagen). 

Grundlagsutskottet har behandlat ändamålen med behandlingen av biometriska uppgifter som förts in i passregistret i samband med den proposition som gällde en reform av passlagen (RP 234/2008 rd). I propositionen föreslogs det att polisen skulle ha fått använda fingeravtrycksuppgifter i pass för utredning av identitet i samband med ett visst uppdrag som hör till polisen och som nödvändigt kräver att identiteten styrks. Grundlagsutskottet ansåg inte att den bestämmelse som föreslogs i polisens personuppgiftslag var ändamålsenligt, särskilt inte med avseende på det krav på exakthet och noga avgränsning som ställs på definitionen av användningsändamål (GrUU 14/2009 rd). 

I sitt utlåtande (GrUU 47/2010 rd) om en ändring av utlänningslagen såg utskottet det som en fråga om lagstiftningsordning att användningen av fingeravtryck som insamlats med stöd av 131 § i utlänningslagen begränsas uteslutande till ändamål som svarar mot det ändamål som de samlats in och registrerats för. Ett sådant ändamål kan enligt utskottet i sig ha samband med att hindra och utreda exakt angivna brott, men bara i den omfattningen som verksamheten har ett nära samband med det ursprungliga insamlings- och registreringsändamålet. Dessutom ansåg utskottet att bestämmelserna var suspekta med beaktande av 6 § i grundlagen i och med att de riktar sig mot vissa grupper av utlänningar. 

Grundlagsutskottet bedömde i sitt utlåtande om det föregående förslaget till Eurodacförordning att den utvidgade användningen av uppgifter om fingeravtryck för bekämpning, avslöjande eller utredning av de terroristbrott eller andra allvarliga brott som avses i förslaget till Eurodacförordning inte kan betraktats som ett mindre undantag. Med allvarliga brott avses i detta sammanhang sådana brott för vilket det maximala straff som föreskrivs som påföljd i den nationella lagstiftningen är fängelse i minst tre år. En dylik utvidgning av användningsändamålet när det handlar om uppgifter om fingeravtryck skulle enligt grundlagsutskottets åsikt åtminstone inte ha varit godtagbar i samband med nationell lagstiftning i konstitutionellt hänseende (GrUU 21/2012 rd).  

Grundlagsutskottet har också fäst särskild uppmärksamhet vid utvidgning av användningsändamålet för uppgifter om fingeravtryck i samband med bedömningen av polisens personuppgiftslag (GrUU 51/2018 rd). Utskottet ansåg att man i vanlig lagstiftningsordning kunde avvika från ändamålsbundenheten utan att väsentligt begränsa regleringen till det ursprungliga insamlings- och registreringsändamålet endast om användningen av fingeravtrycksuppgifter för förebyggande, avslöjande eller utredning av vissa brott som avses i EU:s Eurodacförordning krävs i den förordningen. Grundlagsutskottet bedömde att förslaget skulle ha lett till att användningen av uppgifter för att förhindra, avslöja och utreda brott skulle ha utvidgats till brott som inte ens i sin grova form riktar sig mot statens säkerhet eller mot något annat mål som nämns i 131 § i utlänningslagen. Avvärjandet av dessa brott ansågs därmed inte ha något sådant nära samband med den ursprungliga avsikten med att samla in och registrera information på det sätt som grundlagsutskottet förutsätter. Utskottet ansåg att om bestämmelserna i lagförslaget inte till denna del är utformad på det sätt som Eurodacförordningen kräver måste lagrummet preciseras väsentligt på så sätt att behandlingen ska ha ett nära samband med det ursprungliga insamlings- och registreringssyftet. 

Grundlagsutskottet har nyligen bedömt undantag från ändamålsbundenheten i samband med lagstiftning som kompletterar förordningarna om användning av Schengens informationssystem (GrUU 40/2021 rd och GrUU 23/2022 rd, se också GrUU 18/2024 rd). Grundlagsutskottet har betonat att förhindrande, avslöjande eller utredning av särskilt allvarliga brott kan vara förenade med sådana vägande samhälleliga intressen som går tillbaka till systemet med de grundläggande fri- och rättigheterna och som i tillräcklig mån motiverar ett undantag från ändamålsbundenheten. Grundlagsutskottet anser att det till dessa delar är möjligt i konstitutionellt hänseende att göra begränsade undantag från principen om ändamålsbundenhet, om en omsorgsfullt uppgjord reglering som helhet betraktad uppfyller kraven på de grundläggande fri- och rättigheterna och de mänskliga rättigheterna och är förenlig med kraven i EU-rätten. Enligt grundlagsutskottet finns det skäl att beakta detta i lagberedningen och utredningsarbetet inom statsrådet. Utskottet lyfter i detta sammanhang också fram utredningen om användning av fingeravtryck som förts in i passregistret eller identitetskortsregistret vid brottsbekämpning. Grundlagsutskottet anser dock att det inte finns skäl att avvika från den förhållandevis etablerade tolkningspraxisen som gäller bundenhet till användningsändamålet, särskilt inte i fråga om grunderna för regleringen, utan tillräckliga motiveringar och omsorgsfull prövning. En eventuell reglering som begränsar bundenheten till användningsändamålet ska när godtagbara motiveringar föreligger motiveras och utarbetas omsorgsfullt genom ändamålsenliga konsekvensbedömningar och bedömningar av förenligheten med både de grundläggande fri- och rättigheterna och de mänskliga rättigheterna med beaktande även av konsekvenserna av EU:s dataskyddslagstiftning. 

EU-domstolen har tagit ställning till behandlingen av biometriska uppgifter som förts in i det nationella passregistret i sitt avgörande i de förenade målen C-446/12-C449/12 ( Willems) . I fallet vägrade klagandena att inkomma med biometriska uppgifter med motiveringen att insamlandet och lagrandet av dessa uppgifter utgör en allvarlig kränkning av deras fysiska integritet och deras rätt till skydd för privatlivet. Enligt klagandena uppkommer denna kränkning framför allt genom att dessa uppgifter lagras inte endast i det lagringsmedium som passet och identitetskortet innefattar, utan även i en decentraliserad databas. Dessutom ökar riskerna för dessa uppgifters säkerhet av att de kommunala decentraliserade databaserna på sikt ska sammanföras i en centraliserad databas. Klagandena hade vidare anfört att myndigheterna i framtiden kan komma att använda de biometriska uppgifterna i andra syften än dem för vilka klagandena lämnat dem.  

Enligt domstolen ska EU:s passförordning tolkas så, att medlemsstaterna inte är skyldiga att i sin lagstiftning säkerställa att de biometriska uppgifter som har samlats in och lagrats med stöd av nämnda förordning inte samlas in, behandlas och används för andra ändamål än för utfärdande av pass eller resehandlingar, eftersom denna aspekt inte omfattas av förordningens tillämpningsområden. Passförordningen tillämpas enligt dess ingress utan att det påverkar någon annan användning eller lagring av uppgifter i enlighet med medlemsstaternas nationella lagstiftning och förordningen utgör inte en rättslig grund för att skapa eller upprätthålla databaser för lagring av dessa uppgifter i medlemsstaterna; denna fråga omfattas nämligen helt och hållet av den nationella lagstiftningen. När den nationella lagstiftningen omfattas av unionsrättens tillämpningsområde måste den vara förenlig med kraven i artiklarna 7 och 8 i stadgan om de grundläggande rättigheterna. Passförordningen skiljer sig således från t.ex. PNR-direktivet, som behandlas i avgörandet C-817/19 ( Ligue des droits humains ), där det föreskrivs uttömmande om ändamålen med behandlingen av de PNR-uppgifter som insamlats enligt direktivet. Under beredningen har EU:s passförordningen inte ansetts medföra något hinder för att biometriska uppgifter som förts in i ett nationellt passregister behandlas för något annat ändamål än det ursprungliga ändamålet med behandlingen av dem, när villkoren för inskränkningar i de grundläggande fri- och rättigheterna iakttas. Inrättandet av nationella databaser har överlåtits till den nationella lagstiftningen även i den nya förordningen om identitetskort (EU) 2025/1208, som antagits med anledning av avgörandet C-61/22, (RL mot Landeshauptstadt Wiesbaden), (se avsnitt 2.2.3).  

EU-domstolen har under de senaste åren också meddelat flera avgöranden om tolkning av direktivet om integritet och elektronisk kommunikation, vilka är av betydelse även med tanke på den reglering som föreslås nu. I avgörandena har domstolen bedömt bland annat skyldigheten för leverantörer av elektroniska kommunikationstjänster att lagra trafik- och lokaliseringsuppgifter för att bekämpa brottslighet samt för att garantera allmän och nationell säkerhet (t.ex. C-140/20 G. D. mot Commissioner of An Garda Síochána m.fl. , de förenade målen C-511/18, C-512/18 och C-520/18 La Quadrature du Net m.fl. mot Premier ministre m.fl., C-746/18 Prokuratuur samt de förenade målen C-793/19 och C-794/19 Förbundsrepubliken Tyskland mot SpaceNet AG och Telekom Deutschland GmbH ).  

I ovan nämnda avgöranden konstaterar EU-domstolen att det, i enlighet med proportionalitetsprincipen, endast är bekämpning av grov brottslighet och förebyggande av allvarliga hot mot allmän säkerhet samt skydd av den nationella säkerheten som kan motivera allvarliga ingrepp i de grundläggande rättigheter som anges i artiklarna 7 och 8 i stadgan, såsom de ingrepp som följer av lagring av trafik- och lokaliseringsuppgifter. Betydelsen av målet att skydda nationell säkerhet är mer omfattande än betydelsen av målen att bekämpa grov brottslighet och att skydda allmän säkerhet. Målet att skydda nationell säkerhet kan således motivera åtgärder som innebär mer långtgående ingrepp i de grundläggande rättigheterna än dem som dessa övriga mål skulle kunna motivera. Endast ingrepp i nämnda grundläggande rättigheter vilka inte är av allvarligt slag kan motiveras av målet att förebygga, undersöka, avslöja och lagföra brott i allmänhet. 

Den information som fingeravtrycken innehåller gör det enligt EU-domstolen inte i sig möjligt att få en bild av de berörda personernas privat- och familjeliv (se mål C-61/22, RL mot Landeshauptstadt Wiesbaden ) till skillnad från de trafik- och lokaliseringsuppgifter som lagras av leverantörer av elektroniska kommunikationstjänster (t.ex. C-140/20, G.D. mot Commissioner of the Garda Síochána m.fl.) , de passagerarregisteruppgifter (PNR-uppgifter) som behandlades i domen C-817/19 ( Ligue des droits humains ) eller uppgifter som finns lagrade i en mobiltelefon (se målet C-548/21, C.G. mot Bezirkshauptmannschaft Landeck , som behandlas i avsnitt 11.5). Till denna del kan biometriska uppgifter som behandlas för att identifiera en person anses vara likställda med uppgifter om den fysiska identiteten, för vilkas förvaring EU-domstolen i sin rättspraxis gällande direktivet om integritet och elektronisk kommunikation har satt en lägre tröskel än för trafik- och lokaliseringsuppgifter (se 140/20, G.D. mot Commissioner of the Garda Síochána m.fl.) . Behandling av biometriska uppgifter för att identifiera en person eller verifiera personens identitet kan i ljuset av EU-domstolens rättspraxis inte anses utgöra ett lika allvarligt ingrepp i de grundläggande fri- och rättigheterna som förvaringen av trafik- och lokaliseringsuppgifter, och behandlingen av biometriska uppgifter har inte i EU-domstolens rättspraxis till alla delar kopplats till motsvarande förutsättningar som till exempel behandlingen av trafik- och lokaliseringsuppgifter (se också avsnitt 11.5 om rättsskydd). Biometriska uppgifter är emellertid särskilt känsliga och domstolen anser i sitt avgörande C-61/22 att behandlingen av dem är av sådant slag att den kan ge ytterligare information om de berörda personernas privatliv. Biometriska uppgifter som lagrats på identitetskort och upphållshandlingar som avses i förordningen om identitetskort får således enligt domstolen behandlas endast ske för ändamål som är strikt begränsade till att identifiera den berörda personen och under vissa klart avgränsade förutsättningar i den lag som innehåller kravet på uppvisande av identitetskort eller uppehållshandling. Avgörandet gäller inte uttryckligen biometriska uppgifter som registrerats i en nationell databas, men även behandlingen av uppgifter i ett nationellt register ska begränsas i enlighet med kraven i dataskyddsdirektivet för brottmål till vad som är absolut nödvändigt och i bestämmelserna ska iakttas villkoren för behandling av särskilda kategorier av personuppgifter.  

I denna proposition föreslås det sådana bestämmelser i polisens personuppgiftslag och migrationsförvaltningens personuppgiftslag som utvidgar de tillåtna användningsändamålen för biometriska uppgifter. I bestämmelserna är det fråga om användning av uppgifterna för något annat ändamål än det ursprungliga ändamålet med behandlingen med undantag av utlämnandet av biometriska uppgifter i Migrationsverkets register för registreringar enligt SIS-förordningen om in- och utresekontroller och SIS-återvändandeförordningen som förs in i Schengens informationssystem. Enligt förslaget ska uppgifterna kunna behandlas till exempel när det är nödvändigt för att förhindra, avslöja och utreda vissa allvarliga brott. För brottsbekämpningens del begränsas möjligheten att använda uppgifterna till sådana i bestämmelserna exakt specificerade brott, vilkas förhindrande, avslöjande och utredning bedöms vara av särskild vikt med tanke på individernas och samhällets säkerhet.  

I det föreslagna begränsade undantaget från principen om ändamålsbegränsning är det på det sätt som beskrivs mera ingående i specialmotiveringen till 15 e § fråga om allvarliga landsförräderi- och spioneribrott samt högförräderi- och terroristbrott, allmänfarliga brott, brott som vanligtvis har kopplingar till organiserad brottslighet, brott med anknytning till sexuellt utnyttjande av barn samt brott för vilka det i lag föreskrivna strängaste straffet är fängelse i minst sex år. Under beredningen har man bedömd att förebyggande, avslöjande eller utredning av de nämnda brotten är förenat med sådana vägande samhälleliga intressen som går tillbaka till systemet med de grundläggande fri- och rättigheterna och som enligt grundlagsutskottet i tillräcklig mån motiverar ett undantag från ändamålsbundenheten. Särskilt när det gäller brott med anknytning till sexuellt utnyttjande av barn har de föreslagna bestämmelserna också samband med tryggandet av barns rättigheter (se GrUU 40/2021 rd och GrUU 23/2022 rd). När det gäller utlänningar ska det dessutom vara tillåtet att behandla uppgifter för att förebygga, avslöja och förhindra sådana brott som bedöms ha nära samband med skyddande av statens säkerhet, som hör till de ursprungliga behandlingsändamålen. Uppgifterna ska också kunna behandlas för att förhindra betydande fara. Förhindrandet av en föreliggande betydande fara för liv, hälsa eller frihet är förenat med så pass tungt vägande intressen med anknytning till skyddet av den personliga säkerheten att den föreslagna inskränkningen av skyddet för privatlivet har bedömts som nödvändig.  

I bestämmelserna om förhindrande, avslöjande och utredning av brott särskiljs de grupper av personer för vilkas identifiering eller verifiering av identiteten uppgifter får behandlas i enlighet med respektive behandlingsändamål. Under beredningen har det ändå inte bedömts nödvändigt att differentiera de brottsrubriceringar beträffande vilka det vore tillåtet att använda uppgifterna för att förhindra och avslöja brott eller för att utreda brott. Med förhindrande av brott avses enligt definitionen i 5 kap. 1 § i polislagen åtgärder som syftar till att förhindra brott, försök till brott och förberedelse till brott, när det utifrån iakttagelser av en persons verksamhet eller utifrån annan information om en persons verksamhet finns grundad anledning att anta att personen i fråga kommer att göra sig skyldig till brott, samt åtgärder som syftar till att avbryta ett redan påbörjat brott eller begränsa den direkta skada eller fara som brottet medför. Avslöjande av brott hänvisar på motsvarande sätt i enlighet med 5 kap. 1 § 3 mom. i polislagen till åtgärder som syftar till att klarlägga om det för inledande av förundersökning finns en i 3 kap. 3 § 1 mom. i förundersökningslagen avsedd grund, när det utifrån iakttagelser av en persons verksamhet eller utifrån annan information om en persons verksamhet kan antas att ett brott har begåtts. Det är således alltid fråga om att förhindra eller avslöja en konkret och specificerad gärning, och det ska inte vara tillåtet att behandla uppgifterna i större omfattning i samband med förebyggandet av brott och polisens förebyggande verksamhet.  

Exempelvis de hemliga metoderna för inhämtande av information enligt 5 kap. i polislagen och de hemliga tvångsmedlen enligt 10 kap. i tvångsmedelslagen skiljer sig från varande med avseende på vilka metoderna som är tillåtna för att förhindra, avslöja och utreda vilka brottsrubriceringar. I den allmänna dataskyddslagstiftningen görs inte motsvarande åtskillnad. Enligt artikel 23 i den allmänna dataskyddsförordningen är förebyggande, förhindrande, utredning och avslöjande av brott mål som väger lika tungt, och för att garantera dem får genom lagstiftningsåtgärder tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34 samt artikel 5 begränsas när förutsättningarna enligt artikel 23 är uppfyllda. I dataskyddsdirektivet för brottmål fastställs åter enligt artikel 1 i direktivet bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda och avslöja brott. I direktivet föreskrivs det inte om olika förutsättningar för att behandla uppgifter beroende på om den behöriga myndigheten behandlar personuppgifter för att avslöja, förhindra eller utreda brott.  

I 13 § i polisens personuppgiftslag, som stiftats med grundlagsutskottets medverkan, har det gjorts åtskillnad mellan brott som är förenade med hot om fängelse och andra brott så att polisen får behandla de personuppgifter som avses i 5–9, 11 och 12 § för andra ändamål med behandlingen än det ursprungliga för att förebygga eller avslöja ett brott oberoende av allvarlighetsgrad samt för att att utreda ett brott för vilket det strängaste straffet enligt lag är fängelse. Motsvarande åtskillnad behöver dock inte göras i fråga om de brottsrubriceringar som föreslås i denna proposition, eftersom det i propositionen är fråga om enbart brott som är förenade med hot om fängelse. Såväl förhindrandet och avslöjandet som utredningen av de brott som avses i propositionen bedöms vara förenat med ett vägande samhälleligt intresse.  

Enskilda registeruppgifter ska också få behandlas för att utreda identiteten i situationer där myndigheternas gällande befogenhetsbestämmelser gör det möjligt att utreda identiteten med hjälp av signalement. Användningen av uppgifterna för att utreda identiteten ska vara exakt avgränsad till endast sökningar efter enskilda uppgifter för att verifiera identiteten, och bestämmelsen möjliggör inte mer omfattande jämförelser riktade till uppgifter om andra registrerade för att identifiera en person. De biometriska uppgifter som avses i propositionen ska således inte vara allmänt tillgängliga i polisens operativa uppgifter (se GrUU 47/2010 rd, GrUU 14/2009 rd). En tillförlitlig verifiering av identiteten hos den som är föremål för säkerhetsmyndigheternas åtgärder kan också anses vara av betydelse med tanke på personens rättsskydd. Rätten att använda enskilda registeruppgifter för att verifiera identiteten minskar behovet av att använda metoder som ingriper mera i personens rättigheter, såsom gripande (se också avsnitt 11.1 Rätten till liv, personlig frihet och integritet). 

Det föreslås dessutom att polisens personuppgiftslag ändras så att de myndigheter som ansvarar för den nationella säkerheten, dvs. skyddspolisen och militärunderrättelsemyndigheter, kan få biometriska uppgifter som finns i passregistret och identitetskortsregistret när det är nödvändigt för att skydda den nationella säkerheten mot verksamhet som allvarligt hotar den. Militärunderrättelsemyndigheter ska kunna få uppgifter också för att skydda försvaret av landet. Det verkar som att staterna har en bred prövningsmarginal för hurdan verksamhet som de anser hota den nationella säkerheten och därmed kan berättiga till ett ingripande i de rättigheter som garanteras i artikel 8 i Europakonventionen. Den nationella säkerheten hör av tradition till statssuveräniteten (se Bucur och Toma mot Rumänien , 8.1.2013). Utifrån domstolens avgörandepraxis står det klart att åtminstone militärt försvar, bekämpning av terrorism och avvärjande av olaglig underrättelseverksamhet hör till den nationella säkerheten (bl.a. Klass och övriga mot Tyskland , 6.9.1978 och Weber och Saravia mot Tyskland, 29.6.2006). Med verksamhet som allvarligt hotar den nationella säkerheten avses verksamhet som hotar den demokratiska stats- och samhällsordningen, grundläggande samhällsfunktioner, ett stort antal människors liv eller hälsa eller internationell fred och säkerhet. Det kan röra sig om verksamhet som allvarligt hotar Finlands nationella säkerhet och som hänför sig till terrorism, våldsbejakande radikalisering eller utländska underrättelsetjänsters verksamhet. Dessutom kan det handla om oroligheter i en stat som är central med tanke på Finlands säkerhet. (se GrUB 4/2018 rd). Grundlagsutskottet har ansett att staten ska sträva efter att garantera den nationella säkerheten och den allmänna ordningen under alla förhållanden (GrUU 26/2024 rd, GrUU 16/2022 rd).  

Den användning av personuppgifter som föreslås i propositionen bedöms trygga sådana vägande samhälleliga intressen med stöd av vilka inskränkningar i skyddet för personuppgifter och principen om ändamålsbegränsning kan göras när inskränkningarna är nödvändiga och proportionella i ett demokratiskt samhälle och de grundläggande fri- och rättigheterna iakttas till centrala delar. Vid inskränkningarna ska förutsättningarna enligt dataskyddslagstiftningen, grundlagen och artikel 52 i stadgan iakttas. De föreslagna bestämmelserna bedöms vara påkallade av ett vägande samhälleligt behov bland annat av orsaker som hänför sig till brottslighetens utveckling (se också avsnitt 4.2.5.3 Konsekvenser för säkerheten samt specialmotiveringen till lagförslag nr 1). Biometriska uppgifter är ofta det enda tillförlitliga sättet att identifiera en person och de personer som ska identifieras är sällan registrerade bland de signalement på grund av brott som kan användas i enlighet med de gällande bestämmelserna. 

Den föreslagna regleringen baserar sig på det nationella handlingsutrymme som den allmänna dataskyddsförordningen medger. Det är fråga om uppgifter som ursprungligen har insamlats för ändamål som omfattas av den allmänna dataskyddsförordningen. Om personuppgifter behandlas för andra ändamål än det ändamål för vilket uppgifterna samlades in, ska regleringen bedömas utifrån principen om ändamålsbegränsning i enlighet med vad som föreskrivs i artikel 6.4 i dataskyddsförordningen. Enligt artikeln ska den nationella lagstiftning som utfärdas utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1 i den allmänna dataskyddsförordningen. Dessa mål omfattar bland annat den nationella säkerheten, den allmänna säkerheten samt förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten. De föreslagna ändringarna handlar om behandling av personuppgifter för att skydda den nationella säkerheten och den allmänna säkerheten samt för att förebygga, undersöka och avslöja brott. 

Den föreslagna regleringen bedöms uppfylla EU-rättens krav och de villkor som ställs för undantag från ändamålsbegränsningen i grundlagsutskottets utlåtandepraxis. Regleringen har bedömts utgöra en nödvändig och proportionell åtgärd för att trygga ovannämnda mål enligt artikel 23.1 i den allmänna dataskyddsförordningen. Möjligheten att använda uppgifterna vid brottsbekämpning begränsas till sådana i bestämmelserna specificerade brott, vilkas effektiva förhindrande, avslöjande och utredning kan betraktas som särskilt viktigt med tanke på såväl individers som samhällets säkerhet. Digitalt material blir hela tiden viktigare för brottsbekämpningen. Handelns och kommunikationens digitalisering har satt fart på den organiserade brottslighetens nätverkande och en stor del av brottsligheten finns åtminstone delvis på datanätet och sociala medier. Särskilt allvarliga och planmässiga brott har i och med den allmänna tekniska utvecklingen i samhället nästan undantagslöst en kontaktyta även till nätmiljön och digitalt material. Trots att den största nyttan med propositionen hänför sig till den ökade betydelse som biometriska ansiktsbilder fått i och med den tekniska utvecklingen, kan behandlingen av fingeravtryck i enskilda fall generera avsevärd säkerhetsnytta. När det gäller allvarliga brott är intresset samt den samhälleliga betydelsen av att utreda och förhindra även ett enskilt brott i princip stor. Enligt polisens statistik har de största antalen sådana brott som avses i propositionen under de senaste åren gällt grova narkotikabrott, våldtäkter samt grov misshandel. Nyttan av fingeravtrycksuppgifter accentueras särskilt i fall där man har varit tvungen att avbryta brottsutredningen eftersom det inte går att få ytterligare information med hjälp av de undersökningsåtgärder som används nu.  

Genom ändringarna förbättras dessutom de behöriga myndigheternas möjligheter att skydda försvaret av landet och att skydda den nationella säkerheten mot verksamhet som allvarligt hotar den. Syftet är att säkerställa skyddspolisens och militärunderrättelsemyndigheternas förmåga att svara på en snabb förändring och försämring i säkerhetsmiljön. Allvarliga säkerhetshot av civil karaktär som riktar sig mot staten och som är centrala för skyddspolisen är terrorism, utländska staters spionage eller underrättelseverksamhet mot Finland och dess intressen, försök att sprida massförstörelsevapen och produkter med dubbel användning samt sådan internationell organiserad brottslighet som strävar efter att påverka det samhälleliga beslutsfattandet eller infiltrera sig i de statliga strukturerna. Den militära underrättelseinhämtningen inhämtar och behandlar information om militär verksamhet som riktar sig mot Finland eller som är av betydelse med tanke på Finlands säkerhetsmiljö eller om främmande staters verksamhet eller annan verksamhet som allvarligt hotar det finska försvaret eller som äventyrar samhällets vitala funktioner. 

Genom bestämmelserna tryggas vägande samhälleliga intressen. Behandlingen av uppgifter för de föreslagna nya behandlingsändamålen ska dock vara strikt begränsad, och ingen annan verksamhet än sådan som hänför sig till det ursprungliga ändamålet med behandlingen ska således utgöra det huvudsakliga användningssättet eller ett betydande användningssätt jämfört med användningen inom tillståndsförvaltningen. De bestämmelser som möjliggör nya användningsändamål gör det möjligt att använda biometriska uppgifter endast som den identifieringsmetod som kommer i sista hand i situationer där det är nödvändigt med tanke på ändamålet med behandlingen och personen i fråga inte kan identifieras tillförlitligt med hjälp av andra uppgifter.  

I ljuset av den tillgängliga statistiken har man under beredningen bedömt att den föreslagna behandlingen av uppgifter för brottsbekämpning kommer att vara av mycket liten omfattning jämfört med användningen inom tillståndsförvaltningen (se avsnitt 4.2.4 Konsekvenser för skyddet för privatlivet och personuppgifter). Även för underrättelsemyndigheternas del föreskrivs det att jämförelse kommer i sista hand i förhållande till andra identifieringsmetoder och att förutsättningen för jämförelse är förutom att den är nödvändigt också att personen i fråga inte har identifierats eller personen identitet inte har kunnat verifieras med andra uppgifter som skyddspolisen eller militärunderrättelsemyndigheten innehar. Bedömningen bedöms således även till denna del vara av liten omfattning jämfört med användningen inom tillståndsförvaltningen. Inom tillståndsförvaltningen behandlas biometriska uppgifter i passregistret och identitetskortsregistret i samband med varje ansökan om en handling. Antalet beviljade pass och identitetskort har under åren 2020–2024 varierat från cirka 700 000 till cirka 1 400 000 handlingar per år. Avsikten är således att använda alla ansiktsbilder och fingeravtrycksuppgifter i passregistret och identitetskortsregister för att utföra jämförelser för tillståndsförvaltningsändamål cirka 700 000–1 400 000 gånger per år. Annan verksamhet än sådan som hänför sig till det ursprungliga användningsändamålet blir inte registrets huvudsakliga och inte ens ett kvantitativt betydelse användningssätt jämfört med behandlingen av uppgifterna inom tillståndsförvaltningen. Under beredningen har man bedömt att de föreslagna bestämmelserna tillsammans med den gällande allmänna dataskyddslagstiftningen och andra bestämmelser i myndigheternas personuppgiftslagar innefattar sådana särskilda bestämmelser om bland annat skyddsåtgärder och de registrerades rättigheter som artikel 23.2 i dataskyddsförordningen förutsätter. Den registrerades rättigheter och de inskränkningar av dem som ska tillämpas på polisens behandling av personuppgifter beskrivs ovan i avsnitt 2 (Nuläge och bedömning av nuläget). 

Ändamålen med behandlingen av uppgifter utvidgas också av de bestämmelser i SIS-förordningarna som tillämpas på biometriska uppgifter som utlämnats till SIS-systemet (se 11.2.4). I registreringar enligt SIS-förordningen om polissamarbete är det redan i princip fråga om användning av uppgifterna i syfte att förhindra, avslöja och utreda brott. I registreringar enligt SIS-förordningen och in- och utresekontroller och SIS-återvändandeförordningen motsvarar det ursprungliga ändamålet med uppgifterna de ursprungliga ändamålen med behandlingen av uppgifter som insamlats med stöd av utlänningslagen, men efter utlämnandet är det möjligt att använda biometriska uppgifter som utlämnats till SIS för utredning av terroristbrott och allvarliga brott i större utsträckning med stöd av artikel 33.3 i SIS-förordningen om in- och utresekontroller än vad som i propositionen föreslås bli tillåtet i fråga om nationella register. Till denna del är det dock fråga om direkt tillämplig EU-rätt som inte kan begränsas genom nationell lagstiftning inom ramen för det nationella handlingsutrymme som SIS-förordningarna medger.  

11.2.4  Utlämnande av personuppgifter

Grundlagsutskottet har i sin utlåtandepraxis noterat vad och vem rätten att få uppgifter gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få uppgifter och möjlighet att lämna ut uppgifter har kunnat gälla behövliga uppgifter för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att informationen är nödvändig för ett visst syfte (se t.ex. GrUU 31/2017 rd samt GrUU 17/2016 rd och de utlåtanden som nämns där). Å andra sidan har utskottet ansett att grundlagen inte tillåter en generös och ospecificerad rätt att få uppgifter, inte ens om den är förenad med nödvändighetskriteriet (t.ex. GrUU 71/2014 rd, GrUU 62/2010 rd och GrUU 59/2010 rd). Utskottet har i sin praxis bedömt att även tillåtandet av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter som gäller privatlivet (GrUU 37/2013 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (t.ex. GrUU 38/2016 rd).  

Grundlagsutskottet har i samband med bedömningen av de kompletterande nationella bestämmelser som gäller Schengens informationssystem även tagit ställning till utlämnandet av biometriska uppgifter för vissa registreringar enligt SIS-förordningen om polissamarbete. Förvaltningsutskottet föreslog i sitt utkast till betänkande att regleringen skulle kompletteras med en bestämmelse som skulle ha gjort det möjligt att avvika från ändamålsbegränsningen så att biometriska kännetecken skulle ha fått behandlas för andra ändamål än det ursprungliga ändamålet för att införa en registrering som avses i artikel 26 i SIS-förordningen om polissamarbete, om den som ska registreras har gjort sig skyldig till eller misstänks ha gjort sig skyldig till ett sådant brott mot friheten som avses i 25 kap. i strafflagen och det har gjorts en sådan registrering om offret som av ses i 1 punkten (se FvUB 14/2022 rd). Förvaltningsutskottets förslag till bestämmelse om behandling av biometriska kännetecken för införande av en registrering enligt artikel 26 i SIS-förordningen om polissamarbete kunde enligt förvaltningsutskottets utkast till betänkande och grundlagsutskottets utredning inte härledas ur EU-rättens företräde. Grundlagsutskottet fäste särskild uppmärksamhet vid att enligt en utredning som utskottet fått är syftet med artikel 26 i SIS-förordningen om polissamarbete i enlighet med dess ordalydelse i första hand brottsbekämpning och genomförande av straffansvar. Enligt grundlagsutskottet skulle rätten att lämna ut uppgifter i anslutning till artikel 26 i SIS-förordningen om polissamarbete enligt förvaltningsutskottets utkast till betänkande ha krävt betydande fortsatt arbete för att lagförslaget skulle kunna behandlas i vanlig lagstiftningsordning (GrUU 18/2024 rd, GrUU 23/2022 rd).  

De bestämmelser om utlämnandet av uppgifter som föreslås i propositionen baserar sig på det nationella handlingsutrymme enligt artiklarna 6 och 9 i den allmänna dataskyddsförordningen som beskrivs mer ingående ovan. I den nationella lagstiftningen kan enligt artikel 6.3 utfärdas bestämmelser om bland annat de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål. Eftersom uppgifter enligt propositionen ska utlämnas för något annat ändamål än det ursprungliga ändamålet med behandlingen, ska förutsättningarna för utlämnande bedömas utifrån principen om ändamålsbegränsning i enlighet med vad som föreskrivs i artikel 6.4 i dataskyddsförordningen. Bestämmelsen om utlämnande ska vara nödvändig och i rätt proportion med tanke på tryggandet av de mål som avses i artikel 23.1. Dessa mål omfattar bland annat den nationella säkerheten, den allmänna säkerheten samt förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten. De föreslagna ändamålen med behandlingen av uppgifter bedöms ovan i avsnitt 11.2.3 (Behandling av personuppgifter för något annat ändamål än det ursprungliga ändamålet med behandlingen). I propositionen föreslås dessutom bestämmelser om utlämnande av uppgifter för SIS-registreringar som kompletterar de direkt tillämpliga SIS-förordningarna.  

I 21 och 21 a § i polisens personuppgiftslag föreslås bestämmelser om de förutsättningar under vilka polisen får utlämna biometriska uppgifter i passregistret och identitetskortsregistret samt biometriska uppgifter som avses i 131 § i utlänningslagen till vissa andra behöriga myndigheter som avses i dataskyddslagen avseende brottmål. Till skillnad från nuläget ska det vara möjligt att lämna ut uppgifter till Gränsbevakningsväsendet, Tullen och Försvarsmakten för de behandlingsändamål som anges i förslagen till 15 b–15 f §. Uppgifter ska således få utlämnas till exempel för att förhindra, avslöja och utreda endast sådana brott som det hör till Gränsbevakningsväsendets, Tullens eller Försvarsmaktens uppgifter att förhindra, avslöja eller utreda. Gränsbevakningsväsendet kan begära jämförelse till exempel när det är nödvändigt för att förhindra, avslöja eller utreda grov människohandel (25 kap. 3 a § i strafflagen) eller andra brott som det enligt 4 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet ankommer på Gränsbevakningen att undersöka. Tullen kan begära jämförelse för att förhindra, avslöja eller utreda till exempel ett grovt narkotikabrott (50 kap. 2 § i strafflagen) eller andra tullbrott som anges i 2 § 1 punkten i lagen om brottsbekämpning inom Tullen. Huvudstaben har enligt 89 § i den nya lagen om militär disciplin och brottsbekämpning inom Försvarsmakten till uppgift att förhindra, avslöja och utreda bland annat brott som behandlas som ett militärt rättegångsärende eller i ett militärdisciplinförfarande. Till dessa brott hör enligt 2 § i militära rättegångslagen bland annat allvarliga brott mot liv och hälsa, såsom dråp, mord och dråp under förmildrande omständigheter. Uppgifter får utlämnas till Försvarsmakten för att förhindra, avslöja och utreda även sådana brott. Under beredningen har det bedömts vara nödvändigt att lämna ut uppgifter till andra myndigheter, eftersom bekämpningen av de brott som avses i propositionen är förenad med ett vägande samhälleligt intresse oberoende av vilken myndighet som är behörig i ärendet. På motsvarande sätt kan det anses nödvändigt att identifiera ett offer och förhindra en betydande fara samt verifiera identiteten hos en person av intresse och att hitta en person med hjälp av enskilda jämförelser för alla myndigheter som avses i bestämmelsen när det är fråga om myndighetens lagstadgade uppgift. 

Utlämnandet av uppgifter ska vara kopplat till motsvarande förutsättningar som gäller förfarandet som vid användningen av uppgifterna i polisuppdrag. Således ska utlämnande av uppgifter för att förhindra fara eller för att förhindra, avslöja eller utreda brott alltid förutsätta begäran från en anhållningsberättiga tjänsteman eller en tjänsteman vid Försvarsmakten som utövar motsvarande befogenheter. Uppgifter ska även för dessa behandlingsändamål få utlämnas endast som en del av resultatet av en jämförelse som polisen gjort med undantag av enskilda registeruppgifter som utlämnas för utredning av identiteten under de förutsättningar som anges i befogenhetsbestämmelserna eller för att hitta personer som specificerats i bestämmelserna.  

Det föreslås dessutom att polisens personuppgiftslag ändras så att de myndigheter som ansvarar för skyddet av den nationella säkerheten, dvs. skyddspolisen och militärunderrättelsemyndigheter, kan få biometriska uppgifter som finns i passregistret och identitetskortsregistret för att skydda den nationella säkerheten mot verksamhet som allvarligt hotar den (21 b och 52 a §). Militärunderrättelsemyndigheter ska kunna få uppgifter också för att skydda försvaret av landet. Skyddspolisen och militärunderrättelsemyndigheterna svarar i dessa fall också för att jämförelserna görs på det sätt som uppgifternas höga informationssäkerhetsklassificering förutsätter. Det samhälleliga intresse som hänför sig till skyddet av den nationella säkerheten och försvaret och nödvändigheten av bestämmelserna har bedömts i avsnitt 11.2.3. 

I polisens personuppgiftslag föreslås inga uttryckliga bestämmelser om utlämnande av biometriska uppgifter som förts in i polisens register med stöd av utlänningslagen till skyddspolisen och militärunderrättelsemyndigheter. Uppgifter får redan med stöd av de gällande bestämmelserna lämnas ut till dessa myndigheter för det ursprungliga ändamålet med behandlingen av uppgifterna, såsom för att skydda statens säkerhet. I 15 § i polisens personuppgiftslag har på grund av grundlagsutskottets utlåtande (GrUU 51/2018 rd) intagits en allmän bestämmelse med ett nödvändighetskrav för behandling av känsliga uppgifter. Uppgifter i polisens register som hör till särskilda kategorier av personuppgifter får således även utlämnas endast om det är nödvändigt. På motsvarande sätt får enligt migrationsförvaltningens personuppgiftslag den personuppgiftsansvarige behandla uppgifter som hör till särskilda kategorier av personuppgifter endast om behandlingen är nödvändig för behandlingsändamålet. 

I propositionen föreslås inte heller några ändringar i de bestämmelser som gäller utlämnande av personuppgifter som avses i polisens personuppgiftslag till andra brottsbekämpande myndigheter i medlemsstater i Europeiska unionen och i Europeiska ekonomiska samarbetsområdet. De biometriska uppgifter som avses i propositionen ska dock i enligt med principen om tillgänglighet få utlämnas även till dessa myndigheter i större utsträckning än för närvarande med stöd av den gällande lagstiftningen. Uppgifter i passregistret och identitetskortsregistret samt uppgifter som med stöd av utlänningslagen förts in i polisens register får enligt den gällande 25 § i polisens personuppgiftslag utlämnas till de behöriga myndigheterna i andra medlemsstater i Europeiska unionen och i stater som hör till Europeiska ekonomiska samarbetsområdet för de ändamål som anges i artikel 1.1 i dataskyddsdirektivet för brottmål under samma förutsättningar som polisen själv får behandla personuppgifterna i fråga. 

I propositionen föreslås dessutom bestämmelser som kompletterar SIS-förordningarna om utlämnande av uppgifter till Schengens informationssystem. I 27 § i polisens personuppgiftslag och i 14 § i migrationsförvaltningens personuppgiftslag föreskrivs det om användning av biometriska uppgifter i passregistret och identitetskortsregistret samt av biometriska uppgifter som förts in i Migrationsverkets register i vissa registreringar som införs i SIS och som beskrivs mer ingående i specialmotiveringen. Det föreslås att bestämmelsen om utlämnande till SIS i 131 § i utlänningslagen kompletteras så att uppgifterna i större utsträckning än nu får användas i sådana registreringar som avses i SIS-förordningen om polissamarbete. SIS-förordningarna är direkt tillämpliga, men nationella bestämmelser har bedömts nödvändiga på grund av de villkor som ställts för bestämmelser om bryter sekretessen. Uppgifterna lämnas ut till SIS för de ändamål som anges i SIS-förordningarna, och där är de tillgängliga för anställda vid de behöriga myndigheterna i andra medlemsstater och vid vissa unionsbyråer på de villkor som anges i respektive förordning.  

Enligt artikel 22 i SIS-förordningen om polissamarbete och SIS-förordningen om in- och utresekontroller hör fotografier, ansiktsbilder och fingeravtrycksuppgifter till de uppgifter som ska föras in i SIS, om de finns tillgängliga. Enligt skäl 20 i ingressen till SIS-förordningen om in- och utresekontroller och SIS-förordningen om polissamarbete bör SIS möjliggöra behandling av biometriska uppgifter för att bidra till tillförlitlig identifiering av berörda personer. I skäl 11 i ingressen till SIS-återvändandeförordningen sägs att mot bakgrund av tillförlitligheten vid identifiering av personer med hjälp av fingeravtryck och fotografier eller ansiktsbilder bör de alltid införas i registreringarna om återvändande. Registreringen och användningen av fotografier, ansiktsbilder eller fingeravtrycksuppgifter ska begränsas till vad som är nödvändigt med avseende på de uppställda målen, den ska vara tillåten i unionsrätten, respektera de grundläggande fri- och rättigheterna, även barnets bästa, och vara förenlig med unionens dataskyddslagstiftning, även de dataskyddsbestämmelser som fastställts i SIS-förordningarna.  

I samband med lagstiftningen som kompletterar förordningarna om användning av Schengens informationssystem (RP 35/2021 rd) bedömde man att begränsningar av behandlingen och utlämnandet av biometriska uppgifter i de nationella personuppgiftslagarna förhindrar att uppgifterna utlämnas för registreringar som införs i brottsbekämpningssyfte. I propositionen ansågs det att nationellt insamlade biometriska uppgifter på grund av de ovannämnda behandlingsrestriktioner inte var tillgängliga på det sätt som avses i SIS-förordningarna. I propositionen föreslås det att de tillåtna behandlingsändamålen ändras, så att även förutsättningarna för att lämna ut uppgifter till SIS ändras på motsvarande sätt. Utlämnandet av biometriska uppgifter bedöms vara påkallat av EU-rättens företräde, eftersom uppgifterna kan användas för att förhindra, avslöja och utreda motsvarande brott även nationellt.  

Enligt artikel 43.1 och 43.2 i SIS-förordningen om polissamarbete får fotografier, ansiktsbilder och fingeravtrycksuppgifter som finns i SIS användas för att bekräfta identiteten på en person som har lokaliserats efter en alfanumerisk sökning i SIS. En sökning i fingeravtrycksuppgifter för att identifiera en person får göras i samtliga fall. En sökning i fingeravtrycksuppgifter ska dock göras för att identifiera en person om det inte går att fastställa personens identitet på annat sätt. Enligt artikel 43.3 får en sökning i fingeravtrycksuppgifter i SIS avseende registreringar som förts in i enlighet med artiklarna 26, 32, 36, 37a och 40 också göras med användande av fullständiga eller ofullständiga uppsättningar fingeravtryck eller handavtryck som upptäckts på platsen för ett grovt brott eller terroristbrott som utreds, om det med stor sannolikhet kan fastställas att dessa uppsättningar avtryck tillhör en gärningsman, förutsatt att sökningen görs samtidigt i medlemsstaternas relevanta nationella fingeravtrycksdatabaser. Även i biometriska uppgifter som Finland lämnat ut för SIS-registreringar ska sökningar kunna göras under de förutsättningar som anges i artikel 43 också när det inte är fråga om ett sådant brott som avses i 15 e eller 15 f § i polisens personuppgiftslag. Till denna del är det dock fråga om direkt tillämplig EU-rätt som inte kan begränsas genom nationell lagstiftning inom ramen för det nationella handlingsutrymme som SIS-förordningarna medger.  

På motsvarande sätt ska enligt artikel 33.1 och 33.2 i SIS-förordningen om in- och utresekontroller, om fotografier, ansiktsbilder och fingeravtrycksuppgifter finns tillgängliga i en registrering i SIS sådana fotografier, ansiktsbilder och fingeravtrycksuppgifter användas för att bekräfta identiteten på en person som har lokaliserats efter en alfanumerisk sökning i SIS. En sökning i fingeravtrycksuppgifter för att identifiera en person får göras i samtliga fall. En sökning i fingeravtrycksuppgifter ska dock göras för att identifiera en person om det inte går att fastställa personens identitet på annat sätt. Enligt artikel 19 i SIS-återvändandeförordningen ska artikel 33 i SIS-förordningen om in- och utresekontroller vara tillämplig på uppgifter som förs in i och behandlas i SIS i enlighet med SIS-återvändandeförordningen. Enligt artikel 33.3 i förordningen om in- och utresekontroller får de behöriga nationella myndigheterna i de medlemsstater som tillämpar Schengenregelverket göra sökningar i fingeravtrycksuppgifter som förts in i SIS i samband med registreringar med användande av fullständiga eller ofullständiga uppsättningar fingeravtryck eller handavtryck som upptäckts på platsen för ett grovt brott eller terroristbrott. Även till denna del är det dock fråga om direkt tillämplig EU-rätt som inte kan begränsas genom nationell lagstiftning inom ramen för det nationella handlingsutrymme som SIS-förordningarna medger.  

I samband med att en registrering förs in ska det alltid bedömas om det är nödvändigt att använda ansiktsbilder och fingeravtryck. Det är möjligt att föra in registreringar enligt SIS-förordningen om polissamarbete och SIS-förordningen om in- och utresekontroller endast om det är proportionerligt. Bestämmelser om kravet på proportionalitet finns i artikel 21 i SIS-förordningen om polissamarbete och i SIS-förordningen om in- och utresekontroller. Enligt artikel 21.1 ska medlemsstaterna innan de för in en registrering och när de förlänger en registrerings giltighetstid pröva om ärendet är tillräckligt adekvat, relevant och viktigt för att motivera en registrering i SIS. Regleringens proportionalitet har bedömts i samband med beredningen av SIS-förordningarna.