MOTIVERING
1
Bakgrund och beredning
1.1
Bakgrund
Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (nedan dataskyddsdirektivet) trädde i kraft den 6 maj 2016 och medlemsstaterna skulle införliva direktivet i den nationella lagstiftningen senast den 6 maj 2018. Dataskyddsdirektivet tillämpas på både nationell och gränsöverskridande behandling av personuppgifter som utförs av behöriga myndigheter (artikel 1.1). Dataskyddsdirektivet har genomförts genom lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018, nedan dataskyddslagen avseende brottmål). På annan behandling av personuppgifter tillämpas Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) samt dataskyddslagen (1050/2018).
Den 24 juni 2020 offentliggjorde Europeiska kommissionen meddelandet ”Det fortsatta arbetet med att anpassa regelverket för den tidigare tredje pelaren till dataskyddsreglerna” (nedan meddelandet). I meddelandet presenteras den översyn som kommissionen ålagts enligt artikel 62.6 i dataskyddsdirektivet. Enligt artikel 62.6 ska kommissionen se över rättsakter som antagits av unionen och som reglerar de behöriga myndigheternas behandling för att uppnå de mål som anges i dataskyddsdirektivet i syfte att bedöma om de behöver anpassas till direktivet. I meddelandet identifieras tio författningar som ska anpassas till dataskyddsdirektivet samt fastställs en tidsplan för genomförandet av dem. Till dessa författningar hör rådets rambeslut 2002/465/RIF av den 13 juni 2002 om gemensamma utredningsgrupper (nedan JIT-rambeslutet) och Europaparlamentets och rådets direktiv 2014/41/EU av den 3 april 2014 om en europeisk utredningsorder på det straffrättsliga området (nedan EIO-direktivet).
1.2
Beredning
Beredningen av EU-författningar
Kommissionen lade den 20 januari 2021 fram ett förslag till Europaparlamentets och rådets direktiv om ändring av rådets rambeslut 2002/465/RIF vad gäller dess anpassning till EU:s regler om skydd av personuppgifter (COM(2021) 20 final) samt ett förslag till Europaparlamentets och rådets direktiv om ändring av rådets direktiv 2014/41/EU vad gäller dess anpassning till EU:s regler om skydd av personuppgifter (COM(2021) 21 final). Den 16 februari 2022 antogs Europaparlamentets och rådets direktiv (EU) 2022/211 om ändring av rådets rambeslut 2002/465/RIF vad gäller dess anpassning till unionens regler om skydd av personuppgifter, nedan direktivet om ändring av JIT-rambeslutet, och Europaparlamentets och rådets direktiv (EU) 2022/228 om ändring av direktiv 2014/41/EU vad gäller dess anpassning till unionens regler om skydd av personuppgifter, nedan direktivet om ändring av EIO-direktivet.
Statsrådet lämnade den 4 mars 2021 en skrivelse till riksdagen om direktivförslagen U 16/2021 rd. Förvaltningsutskottet har gett ett utlåtande om U-skrivelsen FvUU 8/2021 rd. Stora utskottet godkände riksdagens ståndpunkt (StoURS 17/2021 rd) och instämmer i statsrådets ståndpunkt i enlighet med specialutskottets utlåtande.
Beredningen av propositionen
Propositionen har beretts som tjänsteuppdrag vid justitieministeriet. Som ett led i beredningen har man hört de behöriga myndigheter som tillämpar den lag som ändras. Eftersom tiden för genomförande av direktiven är kort och ändringarna i direktivet om ändring av JIT-rambeslutet är få, har det ordnats en begränsad remissbehandling av utkastet till regeringsproposition. Direktivet om ändring av EIO-direktivet förutsätter inga nationella lagändringar. Beredningsunderlaget finns på justitieministeriets webbplats och på statsrådets webbplats under numret OM059:00/2022.
2
EU-rättsaktens målsättning och huvudsakliga innehåll
Syftet med direktiven är att anpassa bestämmelserna om dataskydd i JIT-rambeslutet och EIO-direktivet till de principer och regler som fastslagits i dataskyddsdirektivet för att skapa en stark och konsekvent dataskyddsram i unionen.
JIT-rambeslutet
JIT-rambeslutet gäller gemensamma utredningsgrupper (Joint Investigation Team) som de behöriga myndigheterna i två eller flera medlemsstater inrättat för brottsutredningar i en eller flera av de medlemsstater som inrättat gruppen. Syftet med direktivet om ändring av JIT-rambeslutet är att anpassa rambeslutets bestämmelser om användningsändamål för personuppgifter till dataskyddsdirektivet. De ursprungliga bestämmelserna om användningsändamål i rambeslutet uppfyller inte den nivå på dataskydd som förutsätts i dataskyddsdirektivet. Genom ändringen av rambeslutet har bestämmelserna förenhetligats med dataskyddsdirektivet.
Genom direktivet om ändring av JIT-rambeslutet har endast artikel 1.10 i rambeslutet ändrats. I den föreskrivs det om för vilka ändamål de uppgifter som erhållits av en medlem i en gemensam utredningsgrupp får användas. Utöver de ändamål för vilka utredningsgruppen inrättats (punkt a i artikel 1.10) får uppgifterna användas för att upptäcka, utreda och beivra andra brott med förbehåll för föregående medgivande av den medlemsstat där informationen har blivit tillgänglig (punkt b). Dessutom får uppgifterna användas för att förhindra ett överhängande och allvarligt hot mot allmän säkerhet och utan att det påverkar tillämpningen av punkt b om en brottsutredning skulle inledas senare (punkt c) samt för andra ändamål i den mån de medlemsstater som har inrättat gruppen kommer överens om detta (punkt d).
Genom direktivet har det till artikel 1.10 i JIT-rambeslutet fogats ett nytt stycke:
”I den mån de uppgifter som används för ändamål som avses i första stycket b, c och d inbegriper personuppgifter, ska de endast behandlas i enlighet med Europaparlamentets och rådets direktiv (EU) 2016/680, särskilt artiklarna 4.2, 9.1 och 9.3.”
I artikel 1.1 b–d i JIT-rambeslutet är det fråga om behandling av personuppgifter för andra ändamål än de som de har samlats in för. Dataskyddsdirektivet möjliggör inte längre sådan behandling av personuppgifter för andra ändamål som tillåts i artikel 1.10 i rambeslutet enbart med en annan medlemsstats medgivande eller en överenskommelse. Bestämmelser om förutsättningarna för behandling av personuppgifter i sådana här situationer finns i artiklarna 4 och 9 i dataskyddsdirektivet. Enligt artikel 4.2 i dataskyddsdirektivet ska behandling som utförs av samma eller en annan personuppgiftsansvarig för något annat ändamål som anges i artikel 1.1 än det för vilket personuppgifterna samlas in tillåtas om a) den personuppgiftsansvarige i enlighet med unionsrätten eller medlemsstaternas nationella rätt är bemyndigad att behandla sådana personuppgifter för ett sådant ändamål, och b) behandlingen är nödvändig och står i proportion till detta andra ändamål i enlighet med unionsrätten eller medlemsstaternas nationella rätt. Enligt artikel 9.1 i dataskyddsdirektivet ska personuppgifter som samlas in av behöriga myndigheter för de ändamål som anges i artikel 1.1. inte behandlas för andra ändamål än de som anges i artikel 1.1 såvida inte sådan behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt. När personuppgifter behandlas för andra ändamål ska förordning (EU) 2016/679 tillämpas, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten. I artikel 9.3 i dataskyddsdirektivet förutsätts det dessutom att om den unionsrätt eller nationella rätt som är tillämplig på den överförande behöriga myndigheten fastställer särskilda villkor för behandling, ska medlemsstaten föreskriva att den överförande behöriga myndigheten ska informera mottagaren om dessa särskilda villkor och om kravet att respektera dem.
EIO-direktivet
Enligt artikel 3 i EIO-direktivet ska utredningsordern omfatta samtliga utredningsåtgärder som gäller bevisinhämtning, med undantag av inrättandet av en gemensam utredningsgrupp och bevisinhämtning inom en sådan grupp. I artikel 20 i EIO-direktivet föreskrivs det om skydd av personuppgifter. För det första förutsätts det i artikel 20.1 att personuppgifter endast behandlas i enlighet med rådets rambeslut 2008/977/RIF, som gäller skydd av personuppgifter som behandlas inom ramen för polissamarbete i brottmål och straffrättsligt samarbete (nedan dataskyddsrambeslutet). Det rambeslutet har upphävts genom dataskyddsdirektivet. För det andra föreskrivs det i artikel 20.2 att tillgång till uppgifter som behandlats i samarbete som hänför sig till en europeisk utredningsorder ska begränsas, utan att det påverkar den registrerades rättigheter. Enligt artikel 20.2 får endast behöriga personer ha tillgång till sådana uppgifter.
Artikel 1 i direktivet om ändring av EIO-direktivet upphäver artikel 20 i EIO-direktivet, eftersom den innehöll en föråldrad hänvisning till dataskyddsrambeslutet. Beroende på situationen kan antingen dataskyddsdirektivet eller den allmänna dataskyddsförordningen bli tillämpliga inom EIO-direktivets tillämpningsområde i fråga om skydd av personuppgifter. Dessa rättsakter innehåller bestämmelser som motsvarar bestämmelserna om begränsning av tillgången till uppgifter som ingår i den upphävda artikeln. I ingressen till direktivet om ändring av EIO-direktivet ingår hänvisningar till både dataskyddsdirektivet och dataskyddsförordningen. I dataskyddsdirektivet och den allmänna dataskyddsförordningen fastställs en omfattande ram för de registrerades rättigheter och den personuppgiftsansvariges skyldigheter, inklusive ett inbyggt dataskydd och dataskydd som standard samt säkerhet i samband med behandling. Tillämpningen av de nämnda dataskyddsrättsakterna på situationer med behandling av personuppgifter enligt EIO-direktivet bestäms direkt med stöd av rättsakternas tillämpningsbestämmelser.
3
Nuläge och bedömning av nuläget
Direktiven om ändring av JIT-rambeslutet och EIO-direktivet hänför sig till de bestämmelser i dataskyddsdirektivet som har genomförts genom dataskyddslagen avseende brottmål. Bestämmelser om den tillsynsmyndighet som avses dataskyddsdirektivet finns i dataskyddslagen.
JIT-rambeslutet har genomförts nationellt genom lagen om gemensamma utredningsgrupper (1313/2002, nedan JIT-lagen). Lagen gäller i huvudsak förundersökningsmyndigheter och åklagare. Enligt 1 § i lagen kan en behörig förundersökningsmyndighet tillsammans med en behörig myndighet i en främmande stat ingå en överenskommelse om att inrätta en gemensam utredningsgrupp (utredningsgrupp) för förundersökning av brott. Innan en överenskommelse ingås ska förundersökningsmyndigheten underrätta åklagaren eller Finlands nationella medlem i Eurojust om att avsikten är att inrätta en utredningsgrupp. På behöriga myndigheters behandling av personuppgifter tillämpas i Finland dataskyddslagen avseende brottmål.
I 6 § i JIT-lagen föreskrivs det om begränsningar i användningen av uppgifter i enlighet med artikel 1.10 i JIT-rambeslutet. Bestämmelserna gäller uppgifter som erhållits i samband med en utredningsgrupps verksamhet och som de finska myndigheterna inte på annat sätt skulle ha tillgång till. Uppgifterna kan erhållas i en främmande stat eller till exempel av en främmande stats myndigheter när en utredningsgrupp är verksam i Finland. Paragrafens 1 mom. gäller användning av uppgifter för förundersökning och för väckande av åtal. I 2 mom. föreskrivs det om användning av uppgifter i andra situationer. Paragrafens 3 mom. gäller en situation där villkor som avviker från rambeslutet och 1 och 2 mom. tillämpas på begränsningarna i användningen av uppgifter. De uppgifter som avses i paragrafen kan också innehålla personuppgifter. I den gällande paragrafen har man inte uttryckligen beaktat sådana begränsningar i användningsändamålen som hänför sig till behandling av personuppgifter.
EIO-direktivet har genomförts nationellt genom lagen om genomförande av direktivet om en europeisk utredningsorder på det straffrättsliga området (430/2017, nedan lagen om genomförande av EIO-direktivet). Lagen om genomförande av EIO-direktivet innehåller bestämmelser om uppgifter för polis-, gränsbevaknings- och tullmyndigheterna samt åklagare och allmänna domstolar som är sådana behöriga myndigheter som omfattas av dataskyddsdirektivets tillämpningsområde och på vilka dataskyddslagen avseende brottmål tillämpas i uppgifter enligt lagen om genomförande. Enligt 4 § i lagen om genomförande av EIO-direktivet är justitieministeriet den centralmyndighet som avses i artikel 7.3 i direktivet. Justitieministeriet ska bistå de behöriga myndigheterna i kommunikationen för att översända utredningsordern.
Ändringarna i JIT-rambeslutet och EIO-direktivet har inga betydande konsekvenser för de ovannämnda lagarna. Artikel 4.2 i dataskyddsdirektivet har genomförts genom 5 § 2 mom. i dataskyddslagen avseende brottmål och artikel 9.1 genom 5 § 1 och 2 mom. i samma lag. Artikel 9.3 i direktivet har genomförts genom 10 § 1 mom. i lagen. Direktivet om ändring av JIT-rambeslutet förutsätter dock en ändring i 6 § i JIT-lagen, som innehåller bestämmelser om begränsningar i användningen av uppgifter motsvarande det gällande rambeslutet. Den hänvisning till dataskyddsdirektivet som fogats till rambeslutet är en materiell hänvisningsbestämmelse. Även om dataskyddslagen avseende brottmål i Finland skulle tillämpas på de ändamål som avses i artikel 10.1 b–d utan någon särskild bestämmelse om uppgifterna innehåller personuppgifter, innebär de gällande bestämmelserna i 6 § en avvikelse från dataskyddslagen avseende brottmål på det sättet att nivån på dataskyddet inte motsvarar den miniminivå som förutsätts i dataskyddsdirektivet.
Lagen om genomförande av EIO-direktivet innehåller inga hänvisningar till de allmänna lagar om skydd av personuppgifter som ska tillämpas, varför upphävandet av artikel 20 inte har någon direkt inverkan på lagen. I direktivet om ändring av EIO-direktivet preciseras i stället för artikeln i ingressen den författning som ska tillämpas på behandling av personuppgifter, som är antingen dataskyddsdirektivet eller EU:s allmänna dataskyddsförordning beroende på användningsändamålet för uppgifterna. Också i Finland tillämpas till exempel på behandling av personuppgifter som ingår i en utredningsorder utfärdad av en annan medlemsstat antingen dataskyddslagen avseende brottmål eller dataskyddsförordningen beroende på ändamålet för behandlingen av personuppgifterna. Detta bestäms direkt med stöd av tillämpningsbestämmelserna för dessa författningar och dataskyddslagen (1050/2018) som kompletterar dataskyddsförordningen och därför behövs ingen hänvisningsbestämmelse i lagen om genomförande av EIO-direktivet. Upphävandet av artikel 20 i EIO-direktivet medför inte heller några andra lagändringsbehov.
4
Förslagen och deras konsekvenser
4.1
De viktigaste förslagen
I denna proposition föreslås en ändring i 6 § i JIT-lagen, genom vilken artikel 10 i JIT-rambeslutet har genomförts. Till paragrafen fogas ett nytt moment som innehållsmässigt motsvarar ändringarna i artikel 10.
4.2
De huvudsakliga konsekvenserna
Konsekvenser för myndigheterna
I sitt förslag om ändring av JIT-rambeslutet hänvisade Europeiska kommissionen till konsekvensbedömningen av dataskyddsdirektivet (SEC(2012) 72 final, svenskspråkig sammanfattning SEK(2012) 73 final). Ett av de viktigaste målen med dataskyddsdirektivet har varit att förenhetliga bestämmelserna om behandling av personuppgifter som utförs av medlemsstaternas behöriga myndigheter i brottmål. För att detta mål ska kunna nås är det viktigt att också se över de bestämmelser om behandling av personuppgifter som ingår i EU:s speciallagstiftning samt de nationella bestämmelserna för genomförande av dem. De största problemen i anslutning till det upphävda dataskyddsrambeslutet var dess bristfälliga tillämpningsområde, dess oklara förhållande till den tidigare tredje pelaren till speciallagstiftningen samt det att dataskyddsrambeslutet möjliggjorde avvikelse från dess dataskyddsnivå i den nationella lagstiftningen. En avsikt med dataskyddsdirektivet är att avhjälpa dessa brister. I direktivet föreskrivs det om en miniminivå för dataskyddet, från vilken man inte kan avvika nationellt. Medlemsstaterna har rätt att använda sig av handlingsutrymmet endast för att föreskriva om strängare villkor för behandlingen. När bestämmelserna om behandling av personuppgifter i den gamla tredje pelaren till rättsakterna anpassas till den nivå som förutsätts i dataskyddsdirektivet, ökar det rättssäkerheten i de behöriga myndigheternas behandling av personuppgifter.
De behöriga myndigheter som deltar i gemensamma utredningsgrupper omfattas redan fullt ut av de bestämmelser i dataskyddslagen avseende brottmål genom vilka dataskyddsdirektivet har genomförts. Den föreslagna lagändringen medför inga nya skyldigheter. Ändringen av JIT-lagen har dock en förtydligande effekt i fråga om dessa myndigheters tillämpning av lagstiftningen, eftersom 6 § i den gällande lagen kan tolkas friare än dataskyddslagen avseende brottmål när det gäller användningsändamålen för personuppgifter. Lagändringen betonar vad de behöriga myndigheterna ska beakta när de behandlar personuppgifter för andra ändamål än de som uppgifterna ursprungligen samlades in för.
Förslaget kan medföra en aning mer arbete för de behöriga myndigheterna på grund av att de personuppgiftsansvariga eventuellt behöver se över sina anvisningar om de begränsningar som tillämpas på utlämnande av uppgifter och om hur de ska meddelas till uppgiftsmottagarna. Effekten uppstår dock endast i det fall att begränsningarna i användningen av personuppgifter inte har beaktats till denna del i samband med verkställigheten av dataskyddslagen avseende brottmål.
Ekonomiska konsekvenser
Ändringarna i JIT-rambeslutet och EIO-direktivet är små. Dataskyddsdirektivet har medfört olika grader av ekonomiska konsekvenser för medlemsstaternas behöriga myndigheter. Den föreslagna ändringen av JIT-lagen har inga ekonomiska konsekvenser som är oberoende av dem till exempel när det gäller informationssystem eller informationshantering. Eventuella kostnader täcks med anslagen enligt rambesluten för statsfinanserna och anslagen i statsbudgeten.
Konsekvenser för skyddet av personuppgifter
Enligt kommissionens konsekvensbedömning av förslaget till dataskyddsdirektiv hade bristerna i fråga om skyddet av personuppgifter i den tidigare lagstiftningen delvis samband med iakttagandet av principen om ändamålsbegränsning när det gäller personuppgifter. Dessutom har det oklara förhållandet mellan det upphävda dataskyddsrambeslutet och speciallagstiftningen haft en försvagande inverkan på rättssäkerheten för de registrerade.
Den föreslagna lagändringen inverkar positivt på genomförandet av skyddet av personuppgifter och skyddet för privatlivet när det är fråga om användning av personuppgifter för andra ändamål än de som uppgifterna ursprungligen samlades in för och i samband med utlämnande av uppgifter. Bestämmelserna i lagen uppfyller också bättre kravet på transparens i behandlingen av personuppgifter och ökar rättssäkerheten i synnerhet i fråga om iakttagandet av kravet på ändamålsbegränsning också med tanke på de registrerade.
5
Remissvar
Utlåtande om utkastet till regeringsproposition begärdes av inrikesministeriet, finansministeriet, Polisstyrelsen, centralkriminalpolisen, Gränsbevakningsväsendet, Tullen, Åklagarmyndigheten, Domstolsverket och dataombudsmannens byrå. I begäran om utlåtande ombads remissinstanserna särskilt fästa uppmärksamhet vid konsekvenserna av den föreslagna lagändringen. Domstolsverket fäste i sitt utlåtande uppmärksamhet vid tillämpningsområdet för 10 § 1 mom. i dataskyddslagen avseende brottmål. Specialmotiveringen till lagförslaget har kompletterats till denna del och paragrafen har preciserats för att klargöra att lagändringen endast hänför sig till situationer där användningsändamålet för uppgifterna och de personuppgifter som behandlas samtidigt ändras. Remissinstanserna framförde i övrigt inga särskilda synpunkter på propositionsutkastet.
6
Specialmotivering
Lagen om gemensamma utredningsgrupper
6 §.Begränsningar i användningen av uppgifter. Det föreslås att det till paragrafen fogas ett nytt 4 mom. genom vilket den nya punkten i artikel 1.10 i JIT-rambeslutet genomförs. I momentet föreskrivs det att när uppgifter som erhållits i samband med en utredningsgrupps verksamhet används för andra ändamål än det ändamål för vilket utredningsgruppen har inrättats och de uppgifter som används för ändamålen i fråga inbegriper personuppgifter, får personuppgifterna endast behandlas i enlighet med lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018) och särskilt 5 § 1 och 2 mom. och 10 § 1 mom. i den lagen. I och med ändringen överensstämmer paragrafen med kraven i dataskyddslagstiftningen.
Artikel 1.10 i JIT-rambeslutet och den paragraf som föreslås bli ändrad gäller användningsändamålen för uppgifter som erhållits i samband med en utredningsgrupps verksamhet och begränsningar i dem. Ändringen i JIT-rambeslutet och den föreslagna lagändringen gäller endast situationer där uppgifterna används för något annat ändamål än det ursprungliga syftet med inrättandet av utredningsgruppen och där det ursprungliga syftet med användningen av personuppgifterna samtidigt ändras. När personuppgifter behandlas för något annat ändamål än det ursprungliga användningsändamålet ska 5 § 1 och 2 mom. i dataskyddslagen avseende brottmål alltid iakttas. Dessa bestämmelser ska iakttas också när uppgifter lämnas ut eller överförs för andra ändamål än det ursprungliga användningsändamålet, och mottagaren av uppgifterna ska informeras om villkoren för behandling av personuppgifterna och om skyldigheten att iaktta dem i enlighet med 10 § 1 mom. i dataskyddslagen avseende brottmål. Skyldigheten att informera enligt 10 § 1 mom. i dataskyddslagen avseende brottmål tillämpas dock också i andra situationer där behandlingen av personuppgifter som utlämnas är förenad med särskilda lagstadgade begränsningar i användningen eller andra villkor, och inte endast när personuppgifternas användningsändamål ändras. I sådana situationer tillämpas fortfarande bestämmelserna i dataskyddslagen avseende brottmål som sådana.
7
Ikraftträdande
Medlemsstaterna ska sätta i kraft de lagar och andra författningar som är nödvändiga för att följa direktivet om ändring av JIT-rambeslutet senast den 11 mars 2023, och i fråga om direktivet om ändring av EIO-direktivet senast den 14 mars 2023. Den föreslagna lagen avses träda i kraft den 1 mars 2023.
8
Förhållande till grundlagen samt lagstiftningsordning
Den föreslagna lagändringen är av betydelse med avseende på 10 § i grundlagen. Enligt 10 § 1 mom. i grundlagen utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Grundlagsutskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme begränsas både av denna bestämmelse och av att skyddet för personuppgifter delvis ingår i skyddet för privatlivet som tryggas i samma moment. Sammantaget är det fråga om att lagstiftaren ska trygga denna rättighet på ett sätt som kan anses godtagbart med hänsyn till de grundläggande fri- och rättigheterna som en helhet (se t.ex. GrUU 13/2016 rd).
Rätten till skydd av personuppgifter fastställs i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna och i artikel 16 i fördraget om Europeiska unionens funktionssätt (FEUF). Dataskyddet har också ett nära samband med respekten för privatlivet och familjelivet som det föreskrivs om i artikel 7 i stadgan. Enligt artikel 8.2 i Europeiska konventionen om skydd för de mänskliga rättigheterna får offentliga myndigheter inte ingripa i privatlivet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt till exempel med hänsyn till statens säkerhet eller den allmänna säkerheten eller till förebyggande av brott eller till skydd för andra personers fri- och rättigheter.
Grundlagsutskottet har betonat att skyddet för privatlivet och personuppgifter bör stå i proportion till andra grundläggande och mänskliga rättigheter samt till andra vägande samhälleliga intressen, såsom allmän säkerhet, som i extrema fall kan gå tillbaka på den personliga säkerheten som grundläggande rättighet (GrUU 5/1999 rd, s. 2/II). Lagstiftaren ska garantera skyddet för privatlivet och personuppgifter på ett sätt som kan anses vara godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Grundlagsutskottet har ansett att skyddet för privatlivet och personuppgifter inte har företräde framför andra grundläggande fri- och rättigheter. Bedömningen går ut på att samordna och avväga två eller flera bestämmelser om de grundläggande fri- och rättigheterna (se t.ex. GrUU 14/2018 rd, s. 8, GrUU 26/2018 rd, s. 4, GrUU 54/2014 rd, s. 2/II och GrUU 10/2014 rd, s. 4/II).
Grundlagsutskottet har ansett att ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser (GrUU 14/2018 rd, s. 5). Grundlagsutskottet har utöver den risk som är förenad med känsliga uppgifter också hänvisat till att utskottet i den konstitutionella bedömningen av behandlingen av personuppgifter har ansett att det också är av betydelse om syftet med behandlingen är att möjliggöra utövning av offentlig makt mot individer (se GrUU 1/2018 rd, s. 6). I en regleringskontext där det känsliga sambandet med de grundläggande fri- och rättigheterna accentueras tillmäter grundlagsutskottet rättigheterna enligt 10 § i grundlagen särskild betydelse (GrUU 26/2018 rd, s. 3). Även om begreppet känsliga uppgifter för tydlighetens skull ska undvikas i den nationella lagstiftningen eftersom begreppet särskilda kategorier av personuppgifter används i artikel 9 i dataskyddsförordningen (se även GrUU 14/2018 rd), har grundlagsutskottet ansett att det fortfarande är motiverat att i konstitutionellt hänseende beskriva vissa grupper av personuppgifter uttryckligen som känsliga (GrUU 15/2018 rd). Med sådana grupper avses uppsättningar av uppgifter som omfattar mer än enbart de särskilda kategorier av personuppgifter som avses i dataskyddsförordningen (se till denna del också t.ex. GrUU 17/2018 rd). Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter.
Behandling av personuppgifter som hänför sig till brottmål gäller i konstitutionellt hänseende känsliga uppgifter och dessutom är regleringskontexten känslig med avseende på de grundläggande fri- och rättigheterna. Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (se GrUU 15/2018 rd, s. 37, se även GrUU 13/2016 rd, s. 4, GrUU 14/2009 rd, s. 3/I). Dessutom bör i enlighet med skäl 51 i dataskyddsförordningen de särskilda personuppgifter som avses i artikel 9 och som till sin natur är särskilt känsliga med hänsyn till de grundläggande fri- och rättigheterna åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande fri- och rättigheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 15/2018 rd, s. 37 och GrUU 3/2017 rd, s. 5).
Grundlagsutskottet har utöver kravet på att behandlingen av känsliga uppgifter ska vara nödvändig särskilt lyft fram kravet på ändamålsbegränsning och ansett det möjligt att göra bara exakt avgränsade och mycket små undantag från det kravet (GrUU 22/2022 rd, GrUU 40/2021 rd). Bestämmelserna får inte heller leda till att någon annan verksamhet än den som är förknippad med det ursprungliga ändamålet med registret blir den huvudsakliga eller ens ett viktigt ändamål (GrUU 15/2018 rd, s. 45, GrUU 1/2018 rd, s. 4 och GrUU 14/2017 rd).
Grundlagsutskottet har å andra sidan konstaterat att det inte ingår i dess konstitutionella uppdrag att bedöma den nationella genomförandelagstiftningen med avseende på den materiella EU-rätten (se t.ex. GrUU 31/2017 rd, s. 4). Utskottet har emellertid kommenterat förhållandet mellan EU:s lagstiftning och den nationella lagstiftningen. Utskottet har i sin tolkningspraxis ansett det viktigt att det, i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan, tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se GrUU 25/2005 rd). Utskottet har därför framhållit att det i regeringens propositioner finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2, GrUU 44/2016 rd, s. 4).
Arten av sådan behandling av personuppgifter som hänför sig till brottmål har beaktats i dataskyddsdirektivet. Syftet med direktivet om ändring av JIT-rambeslutet är att säkerställa att horisontella principer och regler i EU:s dataskyddslagstiftning tillämpas på allt samarbete enligt JIT-rambeslutet, vilket främjar genomförandet av artikel 8 i stadgan. Det att enhetliga principer och regler i dataskyddslagstiftningen tillämpas också på informationsbehandling enligt ändringarna i rambeslutet och direktivet inverkar positivt också på skyddet för privatlivet och personuppgifter enligt grundlagen och internationella människorättsförpliktelser. Direktivet om ändring av JIT-rambeslutet innehåller inget nationellt handlingsutrymme, utan ska genomföras som sådant. Ändringen av JIT-lagen anpassar dock samtidigt bestämmelserna i 6 § i fråga om behandling av personuppgifter till principen för ändamålsbegränsning som grundlagsutskottet betonat. Ändringen säkerställer också bättre än tidigare det att kraven i dataskyddslagen avseende brottmål beaktas vid tillämpningen av lagen när personuppgifter behandlas för andra ändamål än det ändamål de samlades in för.
På de grunder som anges ovan kan lagförslaget behandlas i vanlig lagstiftningsordning.