Senast publicerat 09-05-2021 20:44

Utlåtande GrUU 73/2018 rd RP 284/2018 rd Grundlagsutskottet Regeringens proposition till riksdagen med förslag till lag om informationshantering inom den offentliga förvaltningen och till vissa lagar som har samband med den

Till förvaltningsutskottet

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lag om informationshantering inom den offentliga förvaltningen och till vissa lagar som har samband med den (RP 284/2018 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till förvaltningsutskottet. 

Sakkunniga

Utskottet har hört 

  • lagstiftningsråd, enhetschef Sami Kivivasara 
    finansministeriet
  • informationsförvaltningsråd Tommi Oikarinen 
    finansministeriet
  • lagstiftningsråd Virpi Korhonen 
    justitieministeriet
  • professor Olli Mäenpää 
  • juris kandidat Anna-Riitta Wallin. 

Skriftligt yttrande har lämnats av 

  • professor (emeritus) Teuvo Pohjolainen. 

PROPOSITIONEN

Regeringen föreslår en ny lag om informationshantering inom den offentliga förvaltningen. Det är fråga om en allmän lag som ska reglera informationshanteringen inom den offentliga sektorn. Propositionen innehåller dessutom förslag till ändring av vissa andra lagar. 

Lagarna avses träda i kraft den 1 september 2019. 

I motiven till lagstiftningsordningen bedömer regeringen lagförslagen med avseende på grundlagens 2 § 3 mom. om förvaltningens lagbundenhet, 10 § om skydd för privatlivet, 76 § om kyrkolagen och 118 § om tjänsteansvar. Avseende fästs också vid EU:s allmänna dataskyddsförordning. 

Regeringen anser att lagförslagen kan stiftas i vanlig lagstiftningsordning. 

UTSKOTTETS ÖVERVÄGANDEN

Utgångspunkter för bedömningen

Regeringen föreslår en ny lag om informationshantering inom den offentliga förvaltningen. Det är fråga om en allmän lag om informationshantering. Lagen avses gälla all informationshantering som sker inom myndigheternas verksamhet. Den föreslagna lagen ska ersätta bestämmelserna i den gällande lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen, som tillkommit med grundlagsutskottets medverkan (GrUU 46/2010 rd). Det föreslås att den lagen upphävs. 

Syftet med lagen är enligt dess 1 § att säkerställa en enhetlig och kvalitativ hantering samt informationssäker behandling av myndigheternas informationsmaterial så att offentlighetsprincipen förverkligas. Enligt propositionens motiv till lagstiftningsordning (s. 156) är syftet att inom informationshanteringen främja framför allt handlingsoffentligheten enligt grundlagens 12 § 2 mom. samt genomförandet av de krav i fråga om god förvaltning och rättsskydd som föreskrivs i grundlagens 21 §. Propositionen innehåller ett flertal förslag till bestämmelser med konsekvenser för rätten att i enlighet med offentlighetsprincipen få information och för skyddet för personuppgifter. 

Enligt 12 § 2 mom. i grundlagen är handlingar och upptagningar som innehas av myndigheterna offentliga, om inte offentligheten av tvingande skäl särskilt har begränsats genom lag. Var och en har rätt att ta del av offentliga handlingar och upptagningar. 

Förslaget är relevant också med avseende på skyddet för privatlivet och för personuppgifter i 10 § i grundlagen. Enligt den bestämmelsen är vars och ens privatliv, heder och hemfrid tryggade. Närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Grundlagsutskottet har inom tillämpningsområdet för EU:s dataskyddsförordning justerat sin ståndpunkt om skyddet för personuppgifter särskilt i fråga om kraven på föreskrivande genom lag. Utskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, allmänt taget utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade motsvarar bestämmelserna i förordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter (GrUU 14/2018 rd, s. 4). 

Vid en konstitutionell bedömning av skyddet för personuppgifter ska tyngdpunkten enligt grundlagsutskottet därför ligga på en innehållslig analys av bestämmelserna om skyddet och behandlingen av personuppgifter. Det relevanta i en konstitutionell analys av användningen av det nationella handlingsutrymmet är dels de innehållsliga kraven i fråga om skyddet för privatlivet och personuppgifter, dels relationen mellan skyddet för övriga informationsrelaterade grundläggande fri- och rättigheter och skyddet för privatlivet och personuppgifter. Ett konstitutionellt perspektiv kan dessutom anläggas exempelvis på sådana garantier för rättsskydd och god förvaltning som kräver nationell lagstiftning (GrUU 14/2018 rd, s. 7, se även GrUU 26/2018 rd, s. 4). 

Skyddet för privatlivet och personuppgifter bör stå i proportion till andra grundläggande och mänskliga rättigheter samt till andra vägande samhälleliga intressen som allmän säkerhet, som i extrema fall kan gå tillbaka på den personliga säkerheten som grundläggande rättighet (GrUU 5/1999 rd, s. 2/II). Lagstiftaren ska garantera skyddet för privatlivet och personuppgifter på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. 

I sin praxis har grundlagsutskottet därför särskilt lyft fram hur handlingars offentlighet enligt 12 § 2 mom. i grundlagen förhåller sig till skyddet för privatlivet och personuppgifter (se t.ex. GrUU 43/1998 rd, s. 2/II och GrUU 60/2017 rd). Utskottet har ansett att exempelvis sekretess för känsliga uppgifter kan ses som nödvändigt för att skydda privatlivet i enlighet med 10 § 1 mom. i grundlagen (GrUU 39/2009 rd, s. 3/I). Främjande av en annan grundläggande rättighet är ett tvingande skäl som ger möjlighet att separat i lag begränsa myndighetshandlingars offentlighet enligt 12 § 2 mom. i grundlagen (GrUU 2/2008 rd, s. 2, GrUU 40/2005 rd, s. 2). 

Utskottet understryker att skyddet för privatlivet och personuppgifter inte har företräde framför andra grundläggande fri- och rättigheter (GrUU 14/2018 rd, s. 8). Analysen går ut på att samordna och avväga två eller flera bestämmelser om de grundläggande fri- och rättigheterna (se t.ex. GrUU 54/2014 rd, s. 2, GrUU 10/2014 rd, s. 4). Utskottet har särskilt lyft fram balansen mellan handlingars offentlighet och skyddet för personuppgifter (GrUU 22/2008 rd, s. 3/II). Exempelvis har utskottet ansett att uppgifter om lönerna i den offentliga förvaltningen inte är förankrade i ett så starkt intresse av att skydda den personliga integriteten att det berättigar till omfattande sekretess för uppgifterna i ljuset av den grundläggande rättigheten gällande handlingars offentlighet. Utskottet ansåg att en sådan ändring i bestämmelsen var ett villkor för att lagförslaget skulle kunna behandlas i vanlig lagstiftningsordning (GrUU 43/1998 rd, s. 7/II–8/I). 

Lagen om offentlighet i myndigheternas verksamhet (offentlighetslagen) är väsentlig med hänsyn till den offentlighetsprincip som tryggas genom 12 § 2 mom. i grundlagen. Lagen stiftades i tiden med grundlagsutskottets medverkan (GrUU 43/1998 rd). Enligt grundlagsutskottet kunde förslaget till offentlighetslag behandlas i vanlig lagstiftningsordning endast om den kompletterades så att det av sekretessbestämmelserna framgick att sekretessen är ett undantag från huvudregeln att handlingar ska vara offentliga på så sätt att det i lagtexten poängteras att sekretessbestämmelserna ska tolkas restriktivt (GrUU 43/1998 rd, s. 3/II). Nödvändighetskravet på begränsningar av offentligheten enligt 12 § 2 mom. i grundlagen gäller enligt utskottet inte enbart sekretessbestämmelser (GrUU 14/2018 rd, s. 15). 

I utlåtandet om offentlighetslagen hänvisade grundlagsutskottet också till att de allmänna förvaltningsrättsliga principerna hör till de faktorer som begränsar prövningsrätten. Ändamålsbundenhet, proportionalitet, objektivitet och jämlikhet hör till dessa principer. Utskottet såg det som viktigt med tanke på bestämmelsen om grundläggande fri- och rättigheter gällande handlingars offentlighet att begränsningar i myndighetens prövningsrätt anges i själva lagtexten (GrUU 43/1998 rd, s. 3/I). Bestämmelser om de allmänna förvaltningsrättsliga principerna finns numera i 6 § i förvaltningslagen. Utskottet har även i ett bredare perspektiv påpekat att de lagtillämpande myndigheternas prövning framför allt är bunden vid kraven på ändamålsbundenhet och proportionalitet enligt 6 § i förvaltningslagen (GrUU 17/2004 rd, s. 4—5, GrUU 17/2016 rd, s. 3). Utskottet understryker fortfarande att de här faktorerna, som också framgår av 17 § i offentlighetslagen, har betydelse vid tolkningen och tillämpningen av offentlighetslagen även då denna tillämpas på rätten att få information och på övrigt utlämnande av personuppgifter ur myndigheternas personregister. 

Lagens tillämpningsområde

Enligt bestämmelsen om tillämpningsområde i 3 § i förslaget till informationshanteringslag ska lagen tillämpas på användning av informationssystem, då myndigheter behandlar informationsmaterial, om inte något annat föreskrivs någon annanstans i lag. Med myndighet avses de myndigheter som avses i 4 § 1 mom. i lagen om offentlighet i myndigheternas verksamhet. De lagfästa skyldigheterna anvisas i respektive bestämmelse antingen myndigheten eller en informationshanteringsenhet, som utgör en ny aktör som införs genom lagen. I 4 § föreskrivs om informationshanteringsenheter, och enligt paragrafen ska en myndighet höra till en informationshanteringsenhet. I paragrafen ges en uttömmande förteckning över informationshanteringsenheterna. 

Enligt hänvisningen till offentlighetslagen i 2 § 1 punkten är också domstolarna informationshanteringsenheter. Enligt 3 § 3 mom. i grundlagen utövas den dömande makten av oberoende domstolar. Grundlagsutskottet noterar att myndighetsbegreppet i den form som innefattar också domstolarna i lagen om offentlighet i myndigheternas verksamhet, vilken har stiftats med utskottets medverkan (se GrUU 43/1998 rd), är avsevärt vidare än det myndighetsbegrepp som brukas i allmänspråket och i det juridiska språkbruket över lag. Orsaken till detta var strävan att så väl som möjligt säkerställa offentligheten i fråga om myndighetshandlingar som avses i grundlagens 12 § 2 mom. i alla de fall där det rör sig om utövande av offentlig makt (se även GrUU 46/2010 rd, s. 3/I, GrUU 38/2010 rd, s. 3/II). 

Det följer enligt grundlagsutskottet av 3 § i grundlagen att domstolarna inte hör till den offentliga förvaltningen. Enligt 3 § 3 mom. i lagförslaget ska bestämmelserna i lagens 3 kap. om allmän styrning av informationshanteringen inom den offentliga förvaltningen inte tillämpas på domstolarna. Grundlagsutskottet menar att avgränsningen är motiverad med hänsyn till det som sagts ovan (se också GrUU 46/2010 rd, s. 3). Det är enligt utskottet likväl oklart om avsikten i förslaget till informationshanteringslag är att domstolarna, i egenskap av myndighet enligt lagförslaget, ska höra till de statliga ämbetsverken och inrättningar när de är sådana informationshanteringsenheter som avses i 4 §. Om det är avsikten, och domstolarna hör till en statlig informationshanteringsenhet, hänför sig också den styrning som avses i 4 § 3 mom. till domstolarnas förvaltningsuppgifter och, enligt motiven (s. 72—73) till rättskipningen. Likaså ska den offentliga förvaltningens informationshanteringsnämnd enligt 10 § bedöma hur statliga ämbetsverk och inrättningar iakttar bestämmelserna i lagen. Grundlagsutskottet anser att regleringen bör preciseras. Om avsikten är att styrningen och bedömningen ska omfatta också domstolarna, är förutsättningen för att lagen ska kunna behandlas i vanlig lagstiftningsordning att det i lagen införs en uttrycklig avgränsning enligt vilken bestämmelserna till denna del gäller endast domstolarnas förvaltningsverksamhet och justitieförvaltningsärenden (se även GrUU 46/2010 rd). 

Enligt den första meningen i lagförslagets 3 § 4 mom. ska lagens 4 kap. och 22—25 § tillämpas på privatpersoner eller sammanslutningar till den del som de handlar på uppdrag av en myndighet eller för en myndighets räkning. Enligt momentets andra mening ska lagens 4 §, 4 kap. samt 22—25 och 28 § tillämpas på privatpersoner eller sammanslutningar till den del offentlighetslagen tillämpas på dem. Utöver den besvärliga bestämmelsen om tillämpningsområde vill grundlagsutskottet uppmärksamma att enligt offentlighetslagens bestämmelse om det organisatoriska tillämpningsområdet är offentlighetslagens tillämpningsområde i fråga om en privat aktör som sköter en offentlig förvaltningsuppgift begränsad till utövandet av offentlig makt. Det innebär att exempelvis lagfästa serviceuppgifter som lagts ut på entreprenad kan falla utanför lagförslagets tillämpningsområde. 

I 124 § i grundlagen sägs det att offentliga förvaltningsuppgifter kan anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Uppgifter som innebär betydande utövning av offentlig makt får dock ges endast myndigheter. 

I sin tolkningspraxis har grundlagsutskottet ansett att det för att kraven på rättssäkerhet och god förvaltning ska anses vara uppfyllda i den bemärkelse som avses i 124 § i grundlagen krävs att ärendena behandlas i enlighet med de allmänna förvaltningslagarna och att de som behandlar ärendena handlar under tjänsteansvar (t.ex. GrUU 3/2009 rd, s. 4/II, GrUU 20/2006 rd, s. 2/I). Grundlagens 124 § kräver dock inte att det i lag alltid hänvisas till de allmänna förvaltningslagarna, eftersom dessa med stöd av de i dem ingående bestämmelserna om tillämpningsområde, definition på myndighet eller enskildas skyldighet att ge språklig service också tillämpas på enskilda när de utför ett offentligt förvaltningsuppdrag (GrUU 42/2005 rd, s. 3/II). Grundlagsutskottet anser att förvaltningsutskottet har anledning att utreda om tillämpningsområdet för förslaget till informationshanteringslag kan kopplas, vid behov skilt för varje relevant bestämmelse, till begreppet offentlig förvaltningsuppgift, som rimmar bättre med 124 § i grundlagen, i stället för till det utövande av offentlig makt som avses i 4 § 2 mom. i offentlighetslagen. Grundlagsutskottet fäster uppmärksamhet exempelvis vid lagförslagets 26 § om uppgifter som ska registreras i ärenderegister. Utskottet ser det som motiverat att exempelvis dessa bestämmelser faller inom tillämpningsområdet för grundlagens 124 §. 

Bestämmelser om införande och genomförande av en god informationshantering finns numera i offentlighetslagens 18 §. Avsikten är att dessa bestämmelser ska flyttas över till informationshanteringslagen. Därför föreslår regeringen också att det till offentlighetslagens 3 § om lagens syfte fogas ett nytt 2 mom. med en informativ hänvisning till informationshanteringslagen. Grundlagsutskottet anser att en sådan hänvisning inte bestämmer offentlighetslagen syfte, utan endast dess tillämpningsområde. Förvaltningsutskottet bör överväga att placera den föreslagna hänvisningsbestämmelsen i anslutning till offentlighetslagens 2 § om tillämpningsområde. 

Informationshanteringsenheternas ställning och befogenheter

Ordnandet av informationshanteringen grundar sig enligt lagförslagets 2 kap. på informationshanteringsenheter. Informationshanteringsenheterna räknas upp i 4 § 1 mom. Enligt bestämmelsen utgör bland andra kommuner, samkommuner, riksdagens ämbetsverk, universitet och högskolor informationshanteringsenheter. Enligt 4  § 1 mom. i lagförslaget ska en myndighet höra till en informationshanteringsenhet. Grundlagsutskottet anser att bestämmelsen förefaller antyda att en informationshanteringsenhet utgörs av flera myndigheter. Enligt detta ska till exempel de statliga myndigheter, ämbetsverk och inrättningar därmed tillsammans bilda en statlig informationshanteringsenhet, till vilken de hör. I propositionsmotiven (s. 75) sägs dock att en informationshanteringsenhet avser ett statligt ämbetsverk eller en statlig inrättning. Med anledning av 2 § 3 mom. och 119 § i grundlagen måste förvaltningsutskottet förtydliga bestämmelserna. 

I 4 och 5 § i förslaget till informationshanteringslag ges informationshanteringsenheten befogenheter som måste anses vara betydande. De hänför sig till den offentliga förvaltningens informationsmaterial, informationssystem och informationslager. Enligt propositionsmotiven motsvarar informationshanteringsenhetens ansvar i praktiken de gällande förfarandena som innebär att organiseringen av informationshanteringen hör till en organisation, även om flera myndigheter är verksamma inom organisationen. Grundlagsutskottet menar att förhållandet mellan informationshanteringsenheten och myndigheten inte framgår klart av bestämmelserna. Varken informationshanteringsenhetens ställning, struktur och ledning eller vem som utövar beslutsmakten framgår desto närmare av lagen. Det förefaller utifrån 4 och 5 § som om informationshanteringsenheten bildar en ny form av förvaltningsorganisation som inte definieras närmare i lagen, och dess informationshantering och befogenheter i fråga om hanteringen av offentlig information kan inte anses vara ringa eller enbart teknisk. På grund av 3 och 119 § i grundlagen måste förvaltningsutskottet göra väsentliga preciseringar i bestämmelserna om informationshanteringsenheter. Det är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 

Begränsning av åtkomsten till informationsmaterial

I 15 § i förslaget till informationshanteringslag föreskrivs det om tryggande av säkerheten i fråga om informationsmaterial. Enligt paragrafens 1 mom. 5 punkt ska myndigheterna genom adekvata säkerhetsåtgärder ombesörja att tillgängligheten till dess informationsmaterial begränsas vid behov. I motiven till bestämmelsen (s. 101) sägs att tillgängligheten i praktiken begränsas genom användarlicenser och beroende på vilken typ av informationsmaterial som ska hanteras. I fråga om offentliga informationsmaterial begränsas tillgängligheten inte, medan det i fråga om personuppgifter och i synnerhet när det gäller sekretessbelagd information måste vidtas åtgärder för att säkerställa att informationshanteringen sker på ett behörigt sätt. 

Enligt den kvalificerade lagreservationen i grundlagens 12 § 2 mom. kan tillgängligheten till information i myndigheternas handlingar och andra upptagningar begränsas endast av tvingande skäl och genom lag. Grundlagsutskottet anser att behövlighetskravet i lagförslagets 15 § 1 mom. 5 punkt inte uppfyller kravet i lagreservationen. Förvaltningsutskottet måste stryka bestämmelsen eller precisera den så att den uppfyller de krav som grundlagen ställer. Det är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Grundlagsutskottet anser att preciseringen kan göras exempelvis genom att, på det sätt som avses i motiven, hänvisa till de begränsningar av offentligheten som föreskrivs i offentlighetslagen. 

Fastställande av grunderna för sökning av information

Enligt 28 § i lagförslag 1 ska en informationshanteringsenhet för genomförande av offentlighetsprincipen upprätthålla en beskrivning av de informationslager och ärenderegister som den förvaltar. Enligt paragrafens 1 mom. 4 punkt ska av beskrivningen framgå grunderna för sökning av offentliga handlingar eller annan information i informationslager och ärenderegister. 

Grundlagsutskottet anser att det av den rätt att få tillgång till offentliga handlingar och upptagningar som tryggas genom 12 § 2 mom. i grundlagen följer att var och en har rätt att själv avgöra vilken offentlig information han eller hon vill ha ur myndigheternas upptagningar och informationsmaterial. Myndigheterna kan därför inte genom lag ges en allmän rätt att, med rättsverkningar som inskränker handlingsoffentligheten, bestämma på vilka grunder information får sökas i myndighetens upptagningar. Den föreslagna bestämmelsen måste därför strykas eller preciseras så att det av den beskrivning som ska uppgöras med stöd av paragrafen uttryckligen ska framgå att de grunder för sökning av information som inkluderas i beskrivningen utgör exempel och är informativa. Det är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 

Anteckningar som ska göras i handlingar

I 18 § i förslaget till informationshanteringslag föreskrivs det om handlingar som ska säkerhetsklassificeras inom statsförvaltningen. Enligt propositionsmotiven (s. 131) är avsikten att helt slopa säkerhetsklassificeringen, som i princip ska tillämpas på alla sekretessbelagda handlingar. 

I lagförslag 2 om ändring av offentlighetslagen föreslås det att lagens 15 § 3 mom. ska ändras så att det i fråga om skyldigheten att göra en anteckning om säkerhetsklassificering ska hänvisas direkt och enbart till informationshanteringslagen. Grundlagsutskottet understryker att dessa anteckningar har en informativ karaktär, och avsikten är inte att utifrån offentlighetslagen påföra dem sekretess vid behandling av en i offentlighetslagen avsedd begäran om information. Klassificeringen av en handling i syfte att uppnå informationssäkerhet är i första hand avsedd som ett förfarande som avser förvaltningens interna skyldigheter. Utskottet anser att hänvisningsbestämmelsen, sådan den lyder, kan leda till felaktiga tolkningar om anteckningarnas rättsverkningar. Med anledning av 12 § 2 mom. i grundlagen måste förvaltningsutskottet precisera och förtydliga bestämmelserna. 

I lagförslag 2 om ändring av offentlighetslagen föreslår regeringen att det till lagens 25 § fogas en bestämmelse om en anteckning om att en handling kan utlämnas enligt prövning. Den föreslagna bestämmelsen finns i lagens 6 kap., som i enlighet med kapitelrubriken gäller skyldighet att iaktta sekretess. Grundlagsutskottet understryker att offentlighet enligt prövning inte innefattar skyldighet att iaktta sekretess. Eftersom sekretess kan anses vara den mest långtgående inskränkning av den offentlighet som avses i 12 § 2 mom., måste förvaltningsutskottet förtydliga bestämmelserna så att begreppet sekretess inte lagsystematiskt utvidgas till att omfatta offentlighet enligt prövning. 

Grundlagsutskottet framhåller att offentlighet enligt prövning är av vikt med avseende på beredningens öppenhet (se också GrUU 43/1998 rd, s. 3/I). Utskottet anser att framhävandet av offentlighet enligt prövning genom en särskild anteckning i praktiken kan inskränka offentligheten i synnerhet för beredningen av beslut. Det föreslagna 3 mom. innehåller inte samma slag av skyldighet som 2 mom. om sekretessanteckning, enligt vilket en anteckning ska avlägsnas eller ändras, när det inte längre finns grund för den. Offentlighet enligt prövning hänför sig enligt 9 § 2 mom. i offentlighetslagen i huvudsak till beredningshandlingar, som enligt lagen inte kan vara permanent offentliga enligt prövning. Grundlagsutskottet anför att det till lagen måste fogas en bestämmelse om skyldighet att avlägsna en anteckning. Alternativt måste bestämmelserna ändras så att det av anteckningen till denna del tydligt framgår att den är begränsad i tiden. Det är ett villkor för att lagförslag 2 ska kunna behandlas i vanlig lagstiftningsordning. 

Tekniska gränssnitt och elektroniska förbindelser

I 22—24 § i lagförslag 1 föreskrivs det om olika sätt att överföra information via tekniska gränssnitt och elektroniska förbindelser. I propositionens motiv till lagstiftningsordning sägs det att överföringen av information ska vara behovsbaserad så att utlämning av information och grunderna för utlämningen kan kontrolleras även i efterhand. 

Avsikten är att regleringen ska ersätta bestämmelserna om teknisk anslutning i offentlighetslagen och i speciallagar. Enligt 29 § 3 mom. i den gällande offentlighetslagen kan en myndighet för en annan myndighet öppna en teknisk anslutning till sådana uppgifter i sitt personregister som den andra myndigheten enligt en i lag särskilt bestämd skyldighet ska beakta när den fattar beslut. Om personuppgifterna är sekretessbelagda, får man med hjälp av en teknisk anslutning söka information endast om personer som givit sitt samtycke, om det inte uttryckligen föreskrivs något annat om utlämnande av sekretessbelagd information. Det finns också bestämmelser om tekniska anslutningar i ett stort antal speciallagar. Grundlagsutskottet har i sin tidigare praxis i fråga om behandling av personuppgifter understrukit den allmänna lagbundenheten och framhållit att kravet på lagbestämmelser gäller också möjligheten att ge ut uppgifter via en teknisk anslutning (GrUU 71/2014 rd, s. 2/II, GrUU 12/2002 rd, s. 5/I). 

Enligt propositionsmotiven (s. 112 och 115) syftar de föreslagna bestämmelserna inte till någon ändring av rätten att få information av myndigheterna, utan bestämmelser om detta ges också i fortsättningen separat, antingen i offentlighetslagen eller, i fråga om sekretessbelagd information, i speciallagar. Information kan lämnas ut via ett tekniskt gränssnitt eller en elektronisk förbindelse endast när det föreligger behörig rätt att ta del av den aktuella informationen. 

Av betydelse är enligt grundlagsutskottet att bestämmelserna om öppnande av tekniskt gränssnitt och elektronisk förbindelse berör inte bara offentlig information utan också sekretessbelagd information och information som hör till särskilda kategorier av personuppgifter eller annars är av känslig art. I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har grundlagsutskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 15/2018 rd, GrUU 38/2016 rd). Utskottet har analyserat bestämmelser om myndigheternas rätt att få och skyldighet att lämna ut information med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen, och då fäst uppmärksamhet bland annat vid vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet. 

Grundlagsutskottet understryker också att det vid en särskiljning mellan behövlighet respektive nödvändighet att få eller lämna ut uppgifter inte bara är fråga om omfattningen av innehållet i uppgifterna utan också om att rätten till information, som går före sekretessbestämmelserna, i sista hand går ut på att den myndighet som har rätt att få informationen i och med sina egna behov åsidosätter de grunder och intressen som är skyddade med hjälp av den sekretess som gäller den myndighet som innehar informationen. Ju mer generella bestämmelserna om rätt till information är, desto större är risken att sådana intressen kan åsidosättas per automatik. Ju fullständigare bestämmelserna kopplar rätten till information till villkor i sak, desto mer sannolikt är det att en begäran om information måste motiveras. Då kan också den som lämnar ut informationen bedöma en begäran med avseende på de lagliga villkoren för att lämna ut den. Genom att verkligen vägra lämna ut informationen kan den som innehar den få till stånd ett läge, där en utomstående myndighet måste undersöka skyldigheten att lämna ut information, det vill säga tolka bestämmelserna. Denna möjlighet är viktig då det gäller att anpassa tillgången till information och sekretessintressena till varandra (se t.ex. GrUU 62/2018 rd, s. 6, och där nämnda utlåtanden). 

Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd, GrUU 14/2009 rd, s. 3/I). Även enligt EU:s allmänna dataskyddsförordning bör särskilda personuppgifter, som till sin natur är särskilt känsliga med hänsyn till de grundläggande fri- och rättigheterna, åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för dessa rättigheter. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd). Denna avgränsning har i utskottets senare praxis ansetts vara en fråga som har betydelse för lagstiftningsordningen (se t.ex. GrUU 15/2018 rd, s. 40). 

Grundlagsutskottet har i utlåtandet GrUU 48/2018 rd nyligen bedömt frågor om elektronisk överföring av sekretessbelagda och känsliga personuppgifter mellan olika aktörer. Föremål för bedömningen var då ett övervakningssystem för bank- och betalkonton, i vilket kontouppgifter som hör till kärnområdet för skyddet för privatlivet genom en teknisk anslutning skulle överföras via ett datasöksystem från en penninginrättning till en i den aktuella lagen nämnd behörig myndighet. Enligt utskottets uppfattning var avsikten att inrätta ett system genom vilket personuppgifter som omfattas av banksekretessen kunde lämnas ut till flera olika myndigheter utan tillräcklig förhandskontroll. Förslaget motiverades främst med att det genomför EU:s direktiv om penningtvätt. Grundlagsutskottet ansåg att propositionen inte innehåller godtagbart motiverade, konstitutionellt korrekta, exakta eller noggrant avgränsade bestämmelser om det föreslagna systemet. En förutsättning för att lagförslaget skulle kunna behandlas i vanlig lagstiftningsordning var att bestämmelserna avgränsades så att de gäller endast det som är nödvändigt för att genomföra direktivet (GrUU 48/2018 rd, s. 8). 

Enligt grundlagsutskottet är ett tekniskt gränssnitt i sig ett informationssäkert sätt att överföra digital information. I fråga om personuppgifter och sekretessbelagda uppgifter måste man tekniskt säkerställa informationsmaterialens behövlighet och nödvändighet i det enskilda fallet med tanke på skötseln av den mottagande myndighetens uppgifter. I 22 § i förslaget till informationshanteringslag har skyldigheten att överföra information mellan informationssystem via tekniska gränssnitt begränsats till regelbundet återkommande och standardiserad elektronisk överföring av information. Enligt paragrafens 2 mom. ska överföring av information mellan informationssystem via tekniska gränssnitt genomföras så att det tekniskt säkerställs att den information som ska överföras behövs i det enskilda fallet eller är nödvändig för att den mottagande myndigheten ska kunna sköta sina uppgifter, ifall överföringen avser personuppgifter eller sekretessbelagd information. I 24 § i förslaget till informationshanteringslag föreskrivs det om överföring av informationsmaterial via tekniska gränssnitt till andra än myndigheter under de förutsättningar som anges i 22 §. Öppnande av elektronisk förbindelse förutsätter enligt 23 § att förbindelsen begränsas till endast sådana behövliga eller nödvändiga uppgifter som är förenliga med informationsrätten och att informationens användningsändamål utreds i samband med sökningen. Grundlagsutskottet framhåller betydelsen av det som föreslås i propositionen. 

Enligt grundlagsutskottets uppfattning innebär avgränsningen att den föreslagna regleringen inte lämpar sig för sådan överlåtelse av information där myndigheten i det enskilda fallet måste bedöma om överföringen är nödvändig. Utskottet anser att bestämmelserna, med dessa avgränsningar, innefattar tillräckliga skyddsåtgärder. Utskottet noterar dock att användningen av elektronisk förbindelse enligt motiven (s. 116) begränsas till enskilda sökningar, och att det med hjälp av elektronisk förbindelse inte ska vara möjligt att utan begränsning hämta mängder av information från en annan myndighets informationslager. Bestämmelserna i 23 § i förslaget till informationshanteringslag måste preciseras så att denna avgränsning framgår klarare av ordalydelsen. 

Bemyndiganden att utfärda förordning

Enligt 4 § 2 mom. i förslaget till informationshanteringslag kan det genom förordning av statsrådet föreskrivas närmare om skötseln av uppgifter mellan statliga informationshanteringsenheter. Grundlagsutskottet noterade ovan att lagens definitioner av myndighet och informationshanteringsenhet var oklara. 

Med hänsyn till också de avsevärda befogenheter informationshanteringsenheterna får i fråga om information som har kopplingar till de grundläggande fri- och rättigheterna och de konsekvenser befogenheterna medför för myndighetsorganisationen, måste bemyndigandet att utfärda förordning i 4 § 2 mom. anses vara problematiskt öppet. Bemyndigandet och den reglering det grundar sig på måste preciseras. 

Enligt 18 § 4 mom. i förslaget till informationshanteringslag ska det genom förordning av statsrådet föreskrivas närmare om säkerhetsklassificering samt om anteckningar i och behandling av säkerhetsklassificerade handlingar. Utskottet påpekar att begreppet behandling av uppgifter är problematiskt vidsträckt. Enligt exempelvis artikel 4 i EU:s dataskyddsförordning avses med behandling en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. Bemyndigandet att utfärda förordning måste preciseras. 

Övrigt

Grundlagsutskottet för i det ovanstående fram flera anmärkningar som påverkar behandlingsordningen för lagförslagen. Vissa anmärkningar gäller också de grundläggande lösningarna avseende lagförslagets struktur. Det bör därför allvarligt övervägas om det är möjligt att sköta den fortsatta beredningen i betänkandeutskottet, i synnerhet med tanke på den tid som återstår av riksmötet 2018 efter att grundlagsutskottet har lämnat sitt utlåtande. Utskottet understryker vikten av en omsorgsfull beredning och behandling av allmän lagstiftning som är av betydelse med avseende på de grundläggande fri- och rättigheterna. 

Propositionens lagförslag har också kopplingar till de landskap som föreslås i en annan proposition (RP 15/2017 rd). Om lagstiftningen om inrättande av landskap inte hinner behandlas under riksmötet 2018 måste bestämmelserna ändras till den delen. 

FÖRSLAG TILL BESLUT

Grundlagsutskottet anför

att lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar om precisering av bestämmelserna om informationshanteringsenheter och till dess 3, 15 och 28 § beaktas på behörigt sätt, och lagförslag 2 bara om utskottets konstitutionella anmärkning till dess 25 § beaktas på behörigt sätt. 
Helsingfors 27.2.2019 

I den avgörande behandlingen deltog

ordförande 
Annika Lapintie vänst 
 vice ordförande 
Tapani Tölli cent 
 medlem 
Maria Guzenina sd 
 medlem 
Hannu Hoskonen cent 
 medlem 
Ilkka Kantola sd 
 medlem 
Kimmo Kivelä blå 
 medlem 
Mia Laiho saml 
 medlem 
Markus Lohi cent 
 medlem 
Juha Rehula cent 
 medlem 
Wille Rydman saml 
 medlem 
Matti Torvinen blå 
 medlem 
Kaj Turunen saml 
 ersättare 
Mats Löfström sv. 
 

Sekreterare var

utskottsråd Mikael Koillinen.