Senast publicerat 08-05-2021 13:54

Betänkande FvUB 16/2020 rd RP 30/2020 rd Förvaltningsutskottet Regeringens proposition till riksdagen om godkännande och sättande i kraft av protokollet om ändring av konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter samt med förslag till lagar om ändring av dataskyddslagen och 1 och 54 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten

INLEDNING

Remiss

Regeringens proposition till riksdagen om godkännande och sättande i kraft av protokollet om ändring av konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter samt med förslag till lagar om ändring av dataskyddslagen och 1 och 54 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (RP 30/2020 rd): Ärendet har remitterats till förvaltningsutskottet för betänkande. 

Sakkunniga

Utskottet har hört (distanskontakt) 

  • lagstiftningsråd Virpi Koivu 
    justitieministeriet
  • biträdande dataombudsman Anu Talus 
    Dataombudsmannens byrå.

Skriftligt yttrande har lämnats av 

  • Riksdagens justitieombudsmans kansli
  • utrikesministeriet
  • inrikesministeriet
  • försvarsministeriet
  • justitiekanslersämbetet
  • underrättelsetillsynsombudsmannens byrå
  • skyddspolisen.

Inget yttrande av 

  • Ålands landskapsregering.

PROPOSITIONEN

I propositionen föreslås det att riksdagen godkänner ett protokoll om ändring av konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter till den del det hör till Finlands behörighet. Genom protokollet ändras betydande delar av konventionens bestämmelser så att dess innehåll bättre motsvarar Europeiska unionens dataskyddslagstiftning. I propositionen föreslås det också att riksdagen godkänner en förklaring om tolkningen av begreppet offentlig sektor i artikel 3.1 i den ändrade konventionen. Förklaringen avges i samband med ratificeringen av protokollet. 

I propositionen ingår ett förslag till lag om protokollet om ändring av konventionen. Dessutom föreslås det i propositionen att dataskyddslagen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ändras. 

Protokollet träder i kraft den första dagen i den månad som följer efter utgången av en tid om tre månader efter det att alla parter i konventionen har uttryckt sin vilja att vara bundna av protokollet. Om protokollet inte har trätt i kraft inom fem år från det att det öppnades för undertecknande, är förutsättningen för att protokollet ska träda i kraft att minst 38 parter har ratificerat, godtagit eller godkänt det. Det lagförslag som gäller ikraftsättande av protokollet avses träda i kraft vid en tidpunkt som föreskrivs genom förordning av statsrådet. De övriga lagförslagen avses träda i kraft senast samtidigt som Finland deponerar sitt ratifikationsinstrument hos Europarådets generalsekreterare. 

UTSKOTTETS ÖVERVÄGANDEN

Allmänt

Konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen) upprättades 1981 och trädde i kraft för Finlands del 1992. Konventionen kompletterades 2011 med ett tilläggsprotokoll om tillsynsmyndigheter och gränsöverskridande flöden av personuppgifter. Protokollet godkändes av riksdagen 2012 (FvUB 4/2012 rdRP 149/2011 rd). 

I den aktuella propositionen föreslår regeringen att riksdagen godkänner ett protokoll om ändring av konventionen och antar lagstiftning om sättande i kraft av dess bestämmelser. Finland undertecknade protokollet den 10 oktober 2018. Ändringsprotokollets bilaga är en integrerad del av protokollet, och den har samma rättsverkan som protokollets bestämmelser. 

Revideringen av konventionen ingår i en bredare reform av de internationella dataskyddsbestämmelserna. Ändringen har exempelvis beretts samtidigt som EU:s dataskyddslagstiftning har reviderats. Genom protokollet ändras betydande delar av konventionens bestämmelser så att dess innehåll bättre motsvarar EU:s reviderade dataskyddslagstiftning. 

EU:s dataskyddsförordning (förordning (EU) 2016/679) och dataskyddsdirektiv för brottsbekämpande myndigheter (direktiv (EU) 2016/680) trädde i kraft den 5 maj 2016. Dataskyddsförordningen började tillämpas den 25 maj 2018. Dataskyddslagen (1050/2018, FvUB 13/2018 rdRP 9/2018 rd), som kompletterar dataskyddsförordningen, och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018, lagen om behandling av personuppgifter i brottmål, FvUB 14/2018 rdRP 31/2018 rd), genom vilken dataskyddsdirektivet har genomförts nationellt, trädde i kraft vid ingången av 2019. 

Syftet med ändringsprotokollet är att bättre än tidigare svara på de utmaningar för integritetsskyddet som orsakas av den nya informations- och kommunikationstekniken och den ökade användningen av den, den gränsöverskridande behandlingen av personuppgifter och den allt mer omfattande överföringen av personuppgifter. Med hjälp av den fastställda konventionens bedömnings- och uppföljningsmekanism försöker man säkerställa att parterna iakttar kraven i konventionen. Utskottet anser det vara viktigt att bestämmelserna i ändringsprotokollet så långt som möjligt stämmer överens med EU:s reviderade dataskyddslagstiftning. 

Enligt gällande konventionsbestämmelser kan EU inte vara part i konventionen. Men bestämmelserna i ändringsprotokollet gör det möjligt för EU och andra internationella organisationer att ansluta sig till konventionen efter det att protokollet trätt i kraft. EU har för avsikt att ansluta sig till den ändrade konventionen efter det att alla medlemsstater har ratificerat protokollet. 

Konventionen och dess protokoll hör till EU:s och medlemsstaternas delade befogenhet. Befogenheten i fråga om lagstiftningen om behandling av personuppgifter tillkommer EU:s medlemsstater till den del det är fråga om behandling av personuppgifter som hänför sig till verksamhet utanför unionsrätten, exempelvis personuppgifter som hänför sig till den nationella säkerheten och försvaret. Av propositionsmotiven framgår att avtal där EU inte kan vara part, men där de medlemsstater som är parter i avtalet handlar på unionens vägnar, jämställs med blandade avtal. Rådet har bemyndigat medlemsstaterna att ratificera ändringsprotokollet i unionens intresse i den mån konventionens bestämmelser faller inom unionens exklusiva befogenhet. Riksdagen godkänner ett sådant blandat avtal endast till den del det hör till Finlands behörighet. 

Ändringsprotokollet innehåller bestämmelser som hör till området för landskapet Ålands lagstiftning. Enligt utredning har Ålands lagting den 22 juni 2020 gett sitt samtycke till att de föreslagna lagarna träder i kraft i landskapet Åland till den del protokollet hör till landskapets behörighet. 

Samarbete mellan tillsynsmyndigheterna

Den lagstiftning om behandling av personuppgifter som är tillämplig i Finland motsvarar till stor del kraven i den ändrade konventionen. I propositionen ingår som vanligt ett förslag till lag om sättande i kraft av de bestämmelser i protokollet som hör till området för lagstiftningen. Ikraftträdandelagens 2 § föreskriver att dataombudsmannen i enlighet med dataskyddslagen och Datainspektionen i enlighet med Ålands landskapslagstiftning ska vara de i konventionen avsedda myndigheter som kontrollerar att bestämmelserna i konventionen följs. I gällande lagstiftning finns inga explicita bestämmelser om den tillsynsuppgift som föreskrivs i konventionen. 

I fråga om uppgifter och befogenheter för de myndigheter som kontrollerar att konventionen följs tillämpas vad som föreskrivs särskilt om dem. Detta innebär att tillsynsbefogenheterna är desamma som i nuläget. Utskottet konstaterar för tydlighetens skull att dataombudsmannen inte heller med stöd av konventionen har behörighet att utöva tillsyn över riksdagsarbetet, domstolarna, riksdagens justitieombudsman eller justitiekanslern i statsrådet. 

Dataskyddsförordningen och lagen om behandling av personuppgifter i brottmål innehåller uttryckliga bestämmelser bara om samarbetet mellan tillsynsmyndigheterna i EU:s medlemsstater. Det föreslås att det till dataskyddslagen och lagen om behandling av personuppgifter i brottmål fogas bestämmelser med stöd av vilka dataombudsmannen kan vidta behövliga åtgärder för att säkerställa ett effektivt samarbete också med tillsynsmyndigheter i tredjeländer som är parter i dataskyddskonventionen. Tillsynsmyndigheterna enligt konventionen ska ha rätt att utbyta upplysningar som gäller tillsynen och att genomföra gemensamma operationer. Dataombudsmannen ska enligt de föreslagna bestämmelserna trots sekretessbestämmelserna ha rätt att till dessa tillsynsmyndigheter lämna ut uppgifter för utförande av tillsynsuppdrag, om uppgifterna är nödvändiga för att trygga den registrerades rättigheter eller om den registrerade har gett sitt uttryckliga samtycke till att personuppgifterna lämnas ut. 

Utskottet noterar att dataombudsmannen inte för närvarande, och inte heller enligt de föreslagna nya bestämmelserna, har rätt att lämna ut uppgifter för att utföra tillsynsuppdrag i fråga om personuppgifter som rör nationell säkerhet eller försvar. En sådan rätt har inte heller uttryckligen föreskrivits för underrättelsetillsynsombudsmannen. Detta kan enligt utredning inverka på tillsynen över underrättelsemyndigheternas internationella samarbetsarrangemang och det operativa informationsutbytet. Utskottet ser det som viktigt att följa upp hur lagstiftningen inverkar på tillsynsmyndigheternas arbete i det här avseendet. 

Utskottet understryker att dataombudsmannens byrå måste ha tillräckliga resurser för att kunna utföra sina tillsynsuppgifter. 

Överföring av personuppgifter till tredjeländer och internationella organisationer

EU:s dataskyddslagstiftning tillämpas inte på behandling av personuppgifter i anslutning till den nationella säkerheten och försvaret. Tillämpningsområdet för dataskyddskonventionen är bredare och omfattar även sådan behandling av personuppgifter. 

Lagen om behandling av personuppgifter i brottmål ska nu ändras så att lagens 7 kap. i regel till-lämpas på alla överföringar av personuppgifter till tredjeländer och internationella organisationer, om inget annat föreskrivs i någon annan lag. Däremot föreslås det inga ändringar i lagen om behandling av personuppgifter i polisens verksamhet (616/2019) eller i lagen om behandling av personuppgifter inom Försvarsmakten (332/2019). På utlämnandet av personuppgifter från skyddspolisen och Försvarsmakten i enlighet med dessa lagar tillämpas därmed framöver bestämmelserna i den ändrade dataskyddskonventionen som sådana, med undantag av avvikelserna i fråga om adekvat skyddsnivå, om vilka det vid behov ska utfärdas särskilda bestämmelser. Ändringen säkerställer att den nationella lagstiftningen till alla delar motsvarar kraven i dataskyddskonventionen. 

Sakkunniga har påpekat att 7 kap. i lagen om behandling av personuppgifter i brottmål, speciallagarna om behandling av personuppgifter inom Försvarsmakten och polisen såväl som dataskyddskonventionen härefter tillämpas parallellt på utlämnande av personuppgifter till tredjeländer och internationella organisationer när det gäller Försvarsmaktens och polisens arbete för den nationella säkerheten. Detta ökar inte tydligheten för den som ska tillämpa bestämmelserna. 

När riksdagen antog den gällande personuppgiftslagen för polisen förutsatte den att regeringen följer upp och utvärderar verkställigheten av polisens nya personuppgiftslagstiftning (RSv 318/2018 rdRP 242/2018 rd). Till exempel i det sammanhanget är det också möjligt att bedöma hur bestämmelserna om internationell dataöverföring fungerar. Huruvida bestämmelserna är förenliga med det aktuella protokollet ska också bedömas separat inom den nya bedömnings- och uppföljningsmekanismen för Europarådets dataskyddskonvention. 

Tolkningsförklaringen

Inga reservationer får göras till konventionen. När en stat deponerar sitt ratifikationsinstrument kan den däremot avge en förklaring som närmare anger det eller de områden beträffande vilka konventionen ska tillämpas. Det föreslås i propositionen att det ska avges en förklaring som gäller artikel 3.1 i konventionen, i vilken det preciseras på vilket sätt begreppet den offentliga sektorn ska tolkas i Finland vid tillämpningen av konventionen. Konventionen ska enligt den föreslagna regleringen tillämpas på riksdagens ämbetsverks behandling av personuppgifter på motsvarande sätt som dataskyddsförordningen och dataskyddslagen. Definitionen av begreppet offentlig sektor enligt tolkningsförklaringen motsvarar förteckningen i 24 § 4 mom. i dataskyddslagen över de myndigheter och offentliga samfund som inte får påföras administrativ påföljdsavgift. 

Enligt utredning har EU-domstolen meddelat en dom i mål C-272/19 som gäller begäran om förhandsavgörande och som senare kan ha betydelse för bedömningen av huruvida undantagen från tillämpningsområdet i dataskyddslagen är förenliga med EU:s dataskyddsförordning. Domen har dock inga direkta konsekvenser för behandlingen av den aktuella propositionen, där det inte föreslås några ändringar i lagstiftningen när det gäller dataskyddslagens tillämpningsområde. 

Sammanfattning

Sammantaget sett anser utskottet propositionen vara behövlig och angelägen. Utskottet tillstyrker protokollet om ändring av konventionen enligt propositionen till den del protokollet hör till Finlands behörighet och avgivandet av en förklaring enligt propositionen. Utskottet tillstyrker lagförslag 1 och 2 utan ändringar och lagförslag 3 med vissa små, tekniska ändringar. 

DETALJMOTIVERING

3. Lagen om ändring av 1 och 54 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten

41 §. Allmänna principer för överföring av personuppgifter.

Utifrån en utredning anser utskottet att också 41 § 1 mom. 1 och 2 punkten i lagen om behandling av personuppgifter i brottmål behöver preciseras med en hänvisning till 1 § 2 mom. med anledning av den ändring som görs i 1 § gällande den lagens tillämpningsområde. Även författningens rubrik och ingressen bör justeras. 

FÖRSLAG TILL BESLUT

Förvaltningsutskottets förslag till beslut:

Riksdagen godkänner protokollet om ändring av konventionen i proposition RP 30/2020 rd till den del det hör till Finlands behörighet och att den förklaring som avses i propositionen avgesRiksdagen godkänner lagförslag 1 och 2 i proposition RP 30/2020 rd utan ändringar. Riksdagen godkänner lagförslag 3 i proposition RP 30/2020 rd med ändringar. (Utskottets ändringsförslag) 

Utskottets ändringsförslag

1. Lag om protokollet om ändring av konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter 

I enlighet med riksdagens beslut föreskrivs: 
1 § 
De bestämmelser som hör till området för lagstiftningen i det i Strasbourg den 10 oktober 2018 upprättade protokollet om ändring av konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter ska gälla som lag, sådana som Finland har förbundit sig till dem. 
2 § 
De i artikel 15.1 i konventionen avsedda myndigheter som kontrollerar att bestämmelserna i konventionen följs är dataombudsmannen som avses i dataskyddslagen (1050/2018) och Datainspektionen som avses i Ålands landskapslagstiftning. I fråga om uppgifter och befogenheter för de myndigheter som kontrollerar att konventionen följs tillämpas vad som föreskrivs särskilt om dem. 
3 § 
Genom denna lag upphävs lagen om sättande i kraft av de bestämmelser som hör till området för lagstiftningen i tilläggsprotokollet till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (408/2012). 
4 § 
Bestämmelser om sättande i kraft av de bestämmelser i protokollet som inte hör till området för lagstiftningen utfärdas genom förordning av statsrådet. 
5 § 
Bestämmelser om ikraftträdandet av denna lag utfärdas genom förordning av statsrådet. 
 Slut på lagförslaget 

2. Lag om ändring av dataskyddslagen 

I enlighet med riksdagens beslut 
fogas till dataskyddslagen (1050/2018) en ny 18 a § som följer: 
18 a § 
Samarbete med tillsynsmyndigheter i tredjeländer 
Dataombudsmannen har, utöver vad som i artikel 61 i dataskyddsförordningen föreskrivs om ömsesidigt bistånd mellan tillsynsmyndigheterna i Europeiska unionens medlemsstater, rätt att vidta behövliga åtgärder för att säkerställa ett effektivt samarbete med de tillsynsmyndigheter som kontrollerar att bestämmelserna i konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter följs. Dataombudsmannen har trots sekretessbestämmelserna rätt att till dessa tillsynsmyndigheter lämna ut personuppgifter och andra uppgifter för utförande av tillsynsuppdrag, om uppgifterna är nödvändiga för att trygga den registrerades rättigheter eller om den registrerade har gett sitt uttryckliga samtycke till att personuppgifterna lämnas ut. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

3. Lag om ändring av Utskottet föreslår en strykning 1 och 54 § i  Slut på strykningsförslagetlagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten 

I enlighet med riksdagens beslut 
ändras i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018) 1 § 3 mom. ochUtskottet föreslår en ändring  41 § 1 mom. samt Slut på ändringsförslaget 
fogas till 54 § ett nytt 3 mom. som följer: 
1 § 
Tillämpningsområde 
 En icke ändrad del av lagtexten har utelämnats 
På sådan behandling av personuppgifter som avses i 2 mom. tillämpas dock inte bestämmelserna i 54 § om ömsesidigt bistånd i fråga om andra medlemsstater i Europeiska unionen. 
 En icke ändrad del av lagtexten har utelämnats 
Utskottet föreslår en ändring 41 § (Ny) Slut på ändringsförslaget 
Allmänna principer för överföring av personuppgifter 
En behörig myndighet får överföra personuppgifter till ett tredjeland eller en internationell organisation endast om de övriga bestämmelser som är tillämpliga på behandling av personuppgifter enligt denna lag iakttas och 
1) överföringen behövs för ett ändamål som nämns i 1 § 1 Utskottet föreslår en ändring eller 2 Slut på ändringsförslaget mom., 
2) personuppgifterna överförs till en personuppgiftsansvarig i ett tredjeland eller en internationell organisation som är behörig att behandla personuppgifter för ett ändamål som nämns i 1 § 1 Utskottet föreslår en ändring eller 2 Slut på ändringsförslaget mom., och 
3) det finns ett i artikel 36 i dataskyddsdirektivet avsett giltigt beslut av Europeiska kommissionen (kommissionen) om adekvat skyddsnivå eller, om inget sådant beslut har antagits, lämpliga skyddsåtgärder föreligger i enlighet med 42 § i denna lag eller undantag för särskilda situationer blir tillämpliga i enlighet med 43 §. 
 En icke ändrad del av lagtexten har utelämnats 
54 § 
Ömsesidigt bistånd 
 En icke ändrad del av lagtexten har utelämnats 
Dataombudsmannen har, utöver vad som föreskrivs i 1 mom., rätt att vidta behövliga åtgärder för att säkerställa ett effektivt samarbete med de tillsynsmyndigheter som kontrollerar att bestämmelserna i konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter följs. Dataombudsmannen har trots sekretessbestämmelserna rätt att till dessa tillsynsmyndigheter lämna ut personuppgifter och andra uppgifter för utförande av tillsynsuppdrag, om uppgifterna är nödvändiga för att trygga den registrerades rättigheter eller om den registrerade har gett sitt uttryckliga samtycke till att personuppgifterna lämnas ut. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 
Helsingfors 15.10.2020 

I den avgörande behandlingen deltog

ordförande 
Riikka Purra saf 
 vice ordförande 
Mari-Leena Talvitie saml 
 medlem 
Tiina Elo gröna 
 medlem 
Jussi Halla-aho saf 
 medlem 
Eveliina Heinäluoma sd 
 medlem 
Hanna Holopainen gröna 
 medlem 
Hanna Huttunen cent 
 medlem 
Mats Löfström sv 
 medlem 
Mauri Peltokangas saf 
 medlem 
Juha Pylväs cent 
 medlem 
Piritta Rantanen sd 
 medlem 
Matti Semi vänst 
 medlem 
Ben Zyskowicz saml. 
 

Sekreterare var

plenarråd 
Henri Helo.