Propositionens utgångspunkter
Syftet med denna proposition är att nationellt genomföra Europaparlamentets och rådets direktiv om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (nedan dataskyddsdirektivet för brottsbekämpande myndigheter, polisdirektivet eller direktivet).
För att genomföra direktivet föreslås en lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (lagförslag1, nedan också dataskyddslagen avseende brottmål). Det är en allmän lag som ska tillämpas om inte annat föreskrivs någon annanstans i lag. Det finns också särskilda bestämmelser enligt förvaltningsområde för de behöriga myndigheter som tillämpar lagen.
Dataskyddslagen avseende brottmål ska tillämpas på behandling av personuppgifter som utförs av polisen, åklagarna, de allmänna domstolarna, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter, när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åklagarverksamhet i samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av brott mot den allmänna säkerheten.
Dataskyddslagen avseende brottmål ska också tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten. Direktivet kräver inte detta, och det är till denna del fråga om en nationell lösning.
Den föreslagna lagen innehåller bestämmelser om de allmänna principerna för behandling av personuppgifter på lagens tillämpningsområde. Till dessa principer hör bland annat kravet på laglig behandling, principen om ändamålsbegränsning, kravet på relevans och kravet på felfrihet. I lagen ingår också särskilda bestämmelser om behandling av uppgifter som hör till särskilda kategorier av personuppgifter och behandling av personbeteckningar. I lagen föreskrivs också om den personuppgiftsansvariges och personuppgiftsbiträdets ansvar, rätten till insyn och andra rättigheter för den registrerade, krav på informationssäkerhet, utnämning av ett dataskyddsombud och dataskyddsombudets uppgifter, krav när personuppgifter överförs till tredjeländer, tillsynen över att lagen efterlevs samt rättsmedel och påföljder. Dataombudsmannen är den specialmyndighet som ska utöva tillsyn över efterlevnaden av lagen.
Samtidigt med direktivet antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (nedan dataskyddsförordningen). Bestämmelserna utgör kärnan i reformeringen av EU:s dataskyddslagstiftning, som ska modernisera och förenhetliga regleringen om skyddet för personuppgifter inom unionen.
Dataskyddsförordningen gäller a priori så gott som all behandling av personuppgifter inom den privata och offentliga sektorn, med undantag av behandlingen av personuppgifter i brottmål enligt det nu aktuella direktivet. Regeringen har lämnat en proposition (RP 9/2018 rd) med förslag till nationell lagstiftning som kompletterar och preciserar förordningen. Förvaltningsutskottet har lämnat betänkande FvUB 13/2018 rd om den propositionen. De myndigheter som omfattas av dataskyddslagen avseende brottmål tillämpar således dataskyddsförordningen och den kompletterande dataskyddslagen när det gäller behandling av personuppgifter utanför direktivets tillämpningsområde.
Behandlingen i förvaltningsutskottet har aktualiserat flera frågor som också aktualiserades när propositionen om dataskyddslagen (RP 9/2018 rd) behandlades. Sådana är exempelvis frågan om den registrerades rättsmedel, dröjsmålsbesvär, utredning av lagenligheten i kommissionens beslut om dataskydd och påföljder. Förvaltningsutskottet anser det med avseende på lagstiftningens tydlighet och konsekvens befogat att de nationella lagstiftningslösningarna i dessa frågor är så enhetliga som möjligt. Det finns också befogade skillnader mellan lagarna. Det är bland annat relevant att den föreslagna dataskyddslagen avseende brottmål, till skillnad från dataskyddsförordningen och dataskyddslagen som tillämpas på både offentlig och privat sektor, a priori begränsar sig till myndigheter i fråga om organisatoriskt tillämpningsområde.
Grundlagsutskottet har lämnat utlåtande (GrUU 26/2018 rd) om propositionen. Utskottet har inte haft något att anmärka mot de grundläggande lösningarna i lagförslagen. Att lagens tillämpningsområde utvidgas till upprätthållande av den nationella säkerheten uppfyller enligt grundlagsutskottet den konstitutionella förpliktelsen om tryggande av personuppgifter också i detta avseende. Utskottet anser att lagförslaget i propositionen innehåller relevanta och detaljerade bestämmelser om de allmänna förutsättningarna och principerna för behandling av personuppgifter, den registrerades rättigheter, tillsynen och exempelvis informationssäkerheten. Utskottet har ändå fäst uppmärksamhet vid vissa av de föreslagna bestämmelserna.
Enligt grundlagsutskottet kan lagförslagen behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar till dess 48 och 61 § beaktas på behörigt sätt.
I lagutskottets utlåtande (LaUU 10/2018 rd) behandlas utöver frågor i anslutning till rättssäkerhet och påföljder särskilt regleringens tillämplighet på domstolarnas verksamhet.
Sammantaget tillstyrker förvaltningsutskottet lagförslagen i propositionen, men med följande anmärkningar och ändringsförslag.
Förhållande till dataskyddslagen
Grundlagsutskottet påpekar i sitt utlåtande om dataskyddslagen (GrUU 14/2018 rd) att dataskyddslagen inte ska tillämpas på sådan behandling av personuppgifter som regleras i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Utskottet anser att personuppgiftslagen inte kan upphävas innan den sistnämnda lagen trätt i kraft i sin helhet, eftersom 10 § i grundlagen föreskriver att närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Det står klart att lagförbehållet i 10 § 1 mom. i grundlagen utöver kravet på bestämmelser i lag uttrycker principen att den grundläggande rättigheten gällande skydd av personuppgifter måste få stöd i form av vanlig lagstiftning (se också GrUB 25/1994 rd, s. 6). Grundlagsutskottets förutsätter att förvaltningsutskottet med hjälp av övergångsbestämmelser ser till att tillämpningsområdet för den allmänna lagstiftningen om skydd av personuppgifter är heltäckande också innan lagen om genomförandet av polisdirektivet träder i kraft, om förslaget till dataskyddslag godkänns först. Ändringen är en förutsättning för att förslaget till dataskyddslag ska kunna behandlas i vanlig lagstiftningsordning.
I den aktuella propositionen avses de föreslagna lagarna träda i kraft den 6 maj 2018. Men lagförslagen har lagtekniskt utarbetats utifrån att de ska träda i kraft samtidigt med de lagar som föreslås i proposition RP 9/2018 rd om dataskyddslagen. Förvaltningsutskottet har lämnat betänkandet FvUB 13/2018 rd om proposition RP 9/2018 rd. Förvaltningsutskottet konstaterar att den planerade marschordningen i nuläget är möjlig, varvid det problem som grundlagsutskottet nämner inte uppstår. I betänkandet FvUB 13/2018 rd föreslås därför inga övergångsbestämmelser. Förvaltningsutskottet konstaterar att lagarna ska sättas i kraft samtidigt, och då behövs inga övergångsbestämmelser.
Viktiga regleringsobjekt med avseende på skyddet av personuppgifter
Grundlagsutskottet har analyserat vilken betydelse tillämpningen av EU:s dataskyddsförordning får för skyddet av personuppgifter i sitt utlåtande GrUU 14/2018 rd. Med anledning av den förestående tillämpningen av dataskyddsförordningen såg utskottet det som motiverat att justera sin tidigare ståndpunkt till lagstiftningen om skyddet av personuppgifter på vissa punkter. Utskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen.
Grundlagsutskottet såg det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers fri- och rättigheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser (GrUU 14/2018 rd, s. 5). Utöver risker med känsliga uppgifter hänvisade utskottet uttryckligen till att utskottet i konstitutionella analyser av behandlingen av personuppgifter har sett syftet med behandlingen som relevant, eftersom behandlingen möjliggör utövning av offentlig makt gentemot individer (se GrUU 1/2018 rd).
I en regleringskontext där det känsliga sambandet med de grundläggande fri- och rättigheterna accentueras tillmäter utskottet rättigheterna enligt 10 § i grundlagen särskild betydelse. Före reformen av de grundläggande fri- och rättigheterna kom utskottet med en karakterisering som senare blivit vedertagen, nämligen att ”polislagen är typexemplet på en lag som lätt kan råka i konflikt med medborgarnas grundläggande rättigheter, i synnerhet de klassiska friheterna” (GrUU 15/1994 rd och GrUU 67/2010 rd).
Grundlagsutskottet ansåg som ett led i granskningen av tolkningspraxis för 10 § i grundlagen att till skillnad från den direkt tillämpliga dataskyddsförordningen innehåller polisdirektivet inte några detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund för skyddet för privatlivet och personuppgifter i 10 § i grundlagen (GrUU 14/2018 rd, s. 6). Relevant är också att det i den nu aktuella propositionen sägs att till den del lagen tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten, handlar det delvis om en nationell lösning till följd av det tillämpningsområde som är kopplat till tillämpningsområdet för EU-rätten i dataskyddsförordningen och polisdirektivet, och det kan därför inte i alla avseenden hänvisas till EU-reglering som bakgrund till den föreslagna regleringen.
Följaktligen menar grundlagsutskottet att bestämmelserna om behandling av personuppgifter fortfarande bör granskas utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en regleringskontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (se även GrUU 14/2018 rd, s. 6). Relevant i detta avseende är att det förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten som ingår i den aktuella propositionen är en lag som blir till-lämplig som allmän lag på sitt tillämpningsområde och som ska kompletteras med speciallagstiftning för olika förvaltningsområden.
Grundlagsutskottet har också påpekat att bestämmelserna om behandling av personuppgifter är tungrodda och komplicerade (se t.ex. GrUU 31/2017 rd och GrUU 71/2014 rd). Grundlagsutskottet vill därför påminna om att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän nationell lag utanför dataskyddsförordningens tillämpningsområde (se även GrUU 14/2018 rd, GrUU 31/2017 rd, GrUU 5/2017 rd och GrUU 38/2016 rd).
Nationellt spelrum och skydd för hemfriden
Grundlagsutskottet anser i sitt utlåtande att propositionen inte i alla avseenden tillräckligt detaljerat redogör för det nationella spelrummets omfattning. Utskottet anser att det i synnerhet förblir oklart huruvida det i artikel 47.1 och 47.4 i dataskyddsdirektivet för brottsbekämpande myndigheter föreskrivs om att den myndighet som utövar tillsyn över iakttagandet av den föreslagna lagen ska ha obegränsade inspektionsbefogenheter på hemfridsskyddade platser.
Bestämmelser om dataombudsmannens rätt att utöva tillsyn ingår i 48 § i dataskyddslagen avseende brottmål. Enligt grundlagsutskottets utlåtande är befogenheten på behörigt sätt knuten till krav på nödvändighet. Men grundlagsutskottet har ändå fäst uppmärksamhet vid att det i 60 § i lagförslaget också hänvisas till brott med endast böter som påföljd. Förvaltningsutskottet bör enligt utlåtandet noggrant utreda behovet av åtgärder som sträcker sig till hemfridsskyddade platser. Om inspektionsbefogenhet på hemfridsskyddade platser inte i alla avseenden förutsätts av direktivet, måste användningen av befogenheten bindas endast till bestämmelser med fängelsepåföljd i strafflagen. Den här ändringen är i så fall en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning.
Förvaltningsutskottet konstaterar att principerna för direktivets nationella genomförande och det nationella spelrummet till sina väsentliga delar beskrivs på allmän nivå i propositionsmotiven. I propositionen konstateras det att dataskyddsdirektivet för brottsbekämpande myndigheter föreskriver att det nationella genomförandet inte får leda till försämringar i personuppgiftsskyddet. Direktivet hindrar inte heller medlemsstaterna från att föreskriva om en högre skyddsnivå för skyddet av den registrerades rättigheter än vad som fastställts i direktivet. I den aktuella propositionen beaktas mycket riktigt regleringen i den gällande personuppgiftslagen (523/1999), och till vissa delar har man gått in för att trygga den registrerades rättigheter bättre än miniminivån enligt direktivet, bland annat genom att i lagen ta in bestämmelser om behandling av personbeteckningar trots att direktivet inte har några bestämmelser om det.
Enligt de allmänna principerna för genomförande ska bestämmelserna i direktivet genomföras effektivt och enligt principen om lojalt samarbete. I förhållande till det resultat som eftersträvas är direktivet förpliktande för varje medlemsstat det riktar sig till, men överlåter åt de nationella myndigheterna att välja form och medel.
Enligt artikel 47.1 i direktivet ska varje medlemsstat i lag säkerställa att varje tillsynsmyndighet har effektiva undersökningsbefogenheter. Dessa befogenheter ska minst inbegripa rätten att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter som behandlas och all information som tillsynsmyndigheten behöver för att kunna fullgöra sina uppgifter. I skäl 82 till direktivet sägs det att undersökningsbefogenheten när det gäller tillträde till lokaler bör utövas i enlighet med särskilda krav i medlemsstaternas nationella rätt, såsom kravet på att inhämta förhandstillstånd från rättsliga myndigheter. Även om punkten hänvisar till att ”utöva” befogenheter (”exercise” på engelska) och inte att föreskriva om dem, kan hänvisningen i punkten till medlemsstatens lagstiftning anses betyda att det finns åtminstone någon mån av nationellt spelrum i att föreskriva om befogenheterna.
Dataskyddsdirektivet för brottsbekämpande myndigheter möjliggör att personuppgiftsbiträdet – och under vissa förutsättningar till och med den personuppgiftsansvarige – är en privat aktör. Därför ser förvaltningsutskottet det som befogat att dataombudsmannens rätt att utföra inspektioner också utsträcks till hemfridsskyddade lokaler. Med beaktande av det som konstateras i skäl 82 utgör direktivet ändå inte enligt förvaltningsutskottets uppfattning något hinder för att användningen av denna befogenhet enligt grundlagsutskottets förslag begränsas endast till bestämmelser med fängelsepåföljd i strafflagen. Förvaltningsutskottet föreslår således att 48 § ändras på det sätt som närmare framgår av detaljmotiven i betänkandet.
Tystnadsplikt och förhållande till offentlighetslagen
I 61 § i den föreslagna dataskyddslagen avseende brottmål sägs det att den som har deltagit i behandlingen av personuppgifter inte obehörigen för utomstående får röja de uppgifter som han eller hon erhållit på detta sätt eller använda uppgifterna för sin egen eller någon annans vinning eller för att skada någon annan. På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister ska enligt 2 § 2 mom. i lagförslaget tillämpas vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen). Grundlagsutskottet konstaterar i sitt utlåtande att på grund av regleringen i den föreslagna 61 § omfattas alla personuppgifter och all information som hanteras inom lagens tillämpningsområde av tystnadsplikt, trots 2 § 2 mom. Det är enligt propositionsmotiven inte avsikten.
Grundlagsutskottet anser att regleringen måste preciseras i överensstämmelse med dess uttalade syfte så att tystnadspliktens förhållande till regleringen som genomför offentlighetsprincipen, som det hänvisas till i 2 §, framgår tydligt. Denna precisering är förutsättningen för att lagförslaget ska kunna behandlas i vanlig lagstiftningsordning.
I 23 § 1 mom. i offentlighetslagen sägs det att den som är anställd hos en myndighet eller innehar ett förtroendeuppdrag inte får röja en handlings sekretessbelagda innehåll eller en uppgift som vore sekretessbelagd om den ingick i en handling och inte heller någon annan omständighet som han har fått kännedom om i samband med sin verksamhet hos myndigheten och för vilken tystnadsplikt föreskrivs genom lag. I paragrafens 2 mom. utsträcks tystnadsplikten också till den som verkar på uppdrag av en myndighet och deras anställda. Förvaltningsutskottet anser att med beaktande av grundlagsutskottets ställningstagande är regleringen om tystnadsplikt i offentlighetslagen tillräcklig och att det inte behövs annan materiell lagstiftning om detta. Därför föreslår förvaltningsutskottet att den föreslagna 61 § ska ändras till en informativ hänvisning till offentlighetslagen på det sätt som framgår närmare av detaljmotiven. I utskottets lagförslag är bestämmelsen lagens 62 §.
Förvaltningsutskottet vill i sammanhanget också mer allmänt betona det som konstateras i propositionen, att avsikten inte är att genom den föreslagna dataskyddslagen avseende brottmål ändra det nuvarande inbördes förhållandet mellan offentlighetslagstiftningen och lagstiftningen om skydd för personuppgifter.
Den registrerades rättigheter
Rätt för den registrerade att föra ärenden till dataombudsmannen samt sökande av ändring
Enligt artikel 52 i direktivet ska alla registrerade personer som anser att behandling som avser dem står i strid med de bestämmelser som antas i enlighet med direktivet ha rätt att lämna in ett klagomål till en enda tillsynsmyndighet. Den registrerade ska underrättas av den behöriga tillsynsmyndigheten om klagomålets handläggning och dess resultat. Enligt artikel 53 i direktivet ska en fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut som avser dem och som meddelats av en tillsynsmyndighet, utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol. Varje registrerad person ska ha rätt till ett effektivt rättsmedel om tillsynsmyndigheten underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur arbetet med klagomålet fortskrider. Enligt artikel 54 ska medlemsstaterna dessutom föreskriva en rätt till effektiva rättsmedel för registrerade som anser att deras rättigheter har kränkts som en följd av att deras personuppgifter har behandlats på ett sätt som inte är förenligt med lag.
För att genomföra de ovannämnda bestämmelserna i direktivet föreslås det i 56 § i dataskyddslagen avseende brottmål att en registrerad ska ha rätt att föra ett ärende till dataombudsmannen för behandling (begäran om åtgärder), om den registrerade anser att någon vid behandlingen av hans eller hennes personuppgifter bryter mot denna lag eller någon annan lag som gäller behandling av personuppgifter. Enligt 58 § får dataombudsmannens beslut överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996). Över förvaltningsdomstolens beslut får besvär anföras endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Även dataombudsmannen får söka ändring i förvaltningsdomstolens beslut.
De föreslagna bestämmelserna motsvarar bestämmelserna i den föreslagna dataskyddslagen. Lagutskottet har hänvisat till sitt utlåtande om dataskyddslagen (LaUU 5/2018 rd) där det bedömer regleringen i dataskyddslagen bland annat med avseende på huruvida det är godtagbart att det inte föreslås någon möjlighet att begära omprövning. Utskottet har också bedömt kravet på besvärstillstånd vid sökande av ändring i förvaltningsdomstolens beslut samt myndigheternas besvärsrätt. Lagutskottet gick in för att till dessa delar anse att regleringen i propositionen om dataskyddslagen är relevant, och har ansett att detsamma också gäller det aktuella lagförslaget. Inte heller förvaltningsutskottet har något att anmärka mot regleringen.
Den registrerades rätt att föra ett ärende till någon annan än dataombudsmannen för behandling
I artikel 54 i direktivet föreskrivs det om den registrerades rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde. Denna rätt får ändå inte påverka bland annat rätten att lämna in klagomål till en tillsynsmyndighet enligt artikel 52. I den föreslagna dataskyddslagen avseende brottmål ingår inte särskilda bestämmelser om den registrerades rätt att omedelbart anföra besvär hos domstol när den personuppgiftsansvarige begränsar den registrerades rätt till insyn eller inte godkänner den registrerades yrkande om rättelse, komplettering eller utplåning av personuppgifter eller begränsning av behandlingen av dem. Den registrerade kan föra ett sådant ärende till dataombudsmannen för behandling, och det beslutet kan överklagas hos förvaltningsdomstolen.
Enligt 26 § i dataskyddslagen avseende brottmål ska den personuppgiftsansvarige i fallen ovan genom ett skriftligt intyg informera den registrerade om vägran och grunderna för vägran. Grundlagsutskottet konstaterar som sin uppfattning att en myndighets intyg över avslag av en parts krav ska anses vara ett förvaltningsbeslut som avses i förvaltningslagen. Grundlagsutskottet konstaterar vidare att förvaltningsutskottet bör precisera regleringen om syftet är att ett överklagbart förvaltningsbeslut inte ska lämnas i ärendet.
Lagutskottet har till väsentliga delar behandlat samma fråga i sitt utlåtande (LaUU 10/2018 rd). Lagutskottet hänvisar till sitt utlåtande om dataskyddslagen (LaUU 5/2018 rd) och anser att också i det aktuella sammanhanget är det ett naturligare rättsmedel för en registrerad att vända sig till dataombudsmannen än till domstolen. Dataombudsmannens beslut får också överklagas hos förvaltningsdomstolen och vidare hos högsta förvaltningsdomstolen, om besvärstillstånd beviljas. Den registrerade har alltså också i det här fallet tillgång till domstolsbehandling om han eller hon inte nöjer sig med dataombudsmannens beslut. Det finns å andra sidan enligt lagutskottet inget hinder för att den registrerade hos förvaltningsdomstolen överklagar ett förvaltningsbeslut som en myndighet har fattat i egenskap av personuppgiftsansvarig utan att först vända sig till dataombudsmannen. Enligt utskottets uppfattning kan ett förvaltningsbeslut av en myndighet också avse behandling av personuppgifter, och den registrerade får vid behov begära ett förvaltningsbeslut, som får överklagas. Enligt lagutskottets uppfattning kräver direktivet inte särskilda nationella bestämmelser till dessa delar.
I 28 § i den gällande personuppgiftslagen finns bestämmelser motsvarande den föreslagna regleringen om att den registrerade ska ges ett intyg om den personuppgiftsansvarige avslår ett krav från den registrerade. Enligt erhållen utredning har de myndigheter som fungerar som personuppgiftsansvariga, såsom polisen, i regel inte ansett att lämnande av ett sådant intyg är ett överklagbart förvaltningsbeslut. Vissa myndigheter har ändå ibland fattat beslut om avslag som är överklagbara och innehåller besvärsanvisning.
För tydlighetens skull konstaterar förvaltningsutskottet att myndigheten på den registrerades begäran kan meddela ett förvaltningsbeslut i ett ovan avsett avslagsärendet. Överklagbarheten hos ett sådant beslut bestäms med stöd av allmän lagstiftning och det behövs ingen uttrycklig reglering i frågan. Syftet med intyget i lagförslaget är framför allt att fungera som en behövlig informations- och dokumentbas för att inleda dataombudsmannens tillsynsåtgärder. Förvaltningsutskottet anser liksom lagutskottet att det faller sig naturligare för en registrerad att i första hand vända sig till dataombudsmannen än till domstolen.
Sammankopplade förfaranden
Enligt första meningen i 57 § 1 mom. i dataskyddslagen avseende brottmål prövar dataombudsmannen det ärende som avses i begäran om åtgärder, om inte ärendet är anhängigt i domstol. Enligt uppgift gäller bestämmelsen situationer där förseelser som rör behandling av personuppgifter är anhängiga vid tillsynsmyndigheten och domstolen samtidigt. Det kan exempelvis handla om att den registrerade kräver skadestånd genom talan vid domstol eftersom tillsynsmyndigheten inte har behörighet att bestämma om sådan ersättning. Det handlar då om samma registrerade, samma personuppgiftsansvarige eller personuppgiftsbiträde och samma förseelse.
En motsvarande situation har varit aktuell också i samband med behandlingen av dataskyddslagen. Förvaltningsutskottet har i sitt betänkande om dataskyddslagen med hänvisning till lagutskottets utlåtande LaUU 5/2018 rd föreslagit att det ska föreskrivas om en möjlighet för dataombudsmannen att avbryta behandlingen av ett ärende som är anhängigt vid domstol (FvUB 13/2018 rd). Att ärendet avbryts betyder inte att behandlingen av det upphör, utan dataombudsmannen kan fortsätta behandlingen senare.
I sitt utlåtande om dataskyddslagen avseende brottmål fäster lagutskottet uppmärksamhet vid att man av bestämmelsen i 57 § får den uppfattningen att dataombudsmannen inte tar upp eller behandlar en begäran om åtgärder om ärendet samtidigt är anhängigt i domstol. Lagutskottet menar att det är befogat att bestämmelsen utformas på samma sätt som i den föreslagna dataskyddslagen, och föreslår därför för förvaltningsutskottet att bestämmelsen ska ändras. Förvaltningsutskottet konstaterar att bestämmelsen behöver förtydligas, och anser det motiverat att regleringen i detta avseende är enhetlig med dataskyddslagen. Förvaltningsutskottet föreslår i detaljmotiven att bestämmelsen ska ändras.
Dröjsmålsbesvär
Enligt artikel 53.2 i direktivet ska varje registrerad person ha rätt till ett effektivt rättsmedel om tillsynsmyndigheten underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur arbetet med klagomålet fortskrider eller om dess resultat. Enligt 57 § 1 mom. i dataskyddslagen avseende brottmål ska dataombudsmannen inom rimlig tid informera den som inlett ärendet om hur behandlingen fortskrider, om behandlingen av ärendet fördröjs. Den föreslagna lagen innehåller ändå inte några uttryckliga bestämmelser om de rättsmedel som en registrerad ska ha rätt till enligt direktivet.
En bestämmelse som motsvarar direktivet ingår också i dataskyddsförordningen, men inte heller den föreslagna dataskyddslagen som kompletterar förordningen innehåller några särskilda bestämmelser om rättsmedel (RP 9/2018 rd). Vid behandlingen av den förslagna dataskyddslagen granskades behovet av att utfärda särskilda bestämmelser om dröjsmålsbesvär. Lagutskottet ansåg då att tillsynen över en självständig tillsynsmyndighets verksamhet på det sätt som avses i förordningen inte lämpar sig naturligt för domstolar. Lagutskottet ansåg det inte heller vara ändamålsenligt att införa särskilda dröjsmålsbesvär enbart för de ärenden som avses i dataskyddsförordningen. Dessutom menade utskottet att redan den nuvarande möjligheten att anföra klagomål hos de högsta laglighetsövervakarna är ett effektivt rättsmedel och räcker i detta sammanhang. Lagutskottet tillstyrkte därför utifrån inkommen utredning den lösning som föreslogs i propositionen, dvs. att bestämmelser om dröjsmålsbesvär inte tas in i den nationella lagstiftningen (LaUU 5/2018 rd). Förvaltningsutskottet bedömde de aktualiserade aspekterna på samma sätt och ansåg den föreslagna lösningen vara motiverad (FvUB 13/2018 rd).
Förvaltningsutskottet anser i likhet med lagutskottet att det som konstaterades i samband med dataskyddslagen också lämpar sig på det nationella genomförandet av dataskyddsdirektivet för brottsbekämpande myndigheter. Förvaltningsutskottet föreslår således inte heller i detta sammanhang dröjsmålsbesvär.
Kommissionens beslut om adekvat skyddsnivå
I 57 § 2 mom. i den föreslagna dataskyddslagen avseende brottmål sägs det att om dataombudsmannen i ett ärende som inletts hos dataombudsmannen anser att det behöver utredas om ett i 41 § 1 mom. 3 punkten avsett beslut av kommissionen om adekvat skyddsnivå är förenligt med dataskyddsdirektivet, får dataombudsmannen genom en ansökan föra ärendet till Helsingfors förvaltningsdomstol för avgörande. Den paragraf som det hänvisas till möjliggör överföring av personuppgifter till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå.
Bakgrunden till det föreslagna 57 § 2 mom. är EU-domstolens avgörande i målet Schrems (C-362/14). I avgörandet konstaterar domstolen att det ankommer på den nationella lagstiftaren att föreskriva om rättsmedel som gör det möjligt för den nationella tillsynsmyndigheten att vid nationella domstolar göra gällande de invändningar som den anser att det finns fog för, så att nationella domstolar, för det fall att de delar myndighetens tvivel angående kommissionsbeslutets giltighet, kan hänskjuta en begäran om förhandsavgörande till EU-domstolen för att pröva detta besluts giltighet. Syftet är således nu att göra det möjligt för den nationella tillsynsmyndigheten att till Helsingfors förvaltningsdomstol hänskjuta frågan om ett förhandsavgörande behöver begäras av EU-domstolen för att utreda om ett beslut som kommissionen fattat är förenligt med direktivet. Att ansökan bifalls betyder då i praktiken att en begäran om förhandsavgörande ska framställas, och att ansökan avslås betyder att inget förhandsavgörande begärs.
En motsvarande bestämmelse finns också i förslaget till den dataskyddslag som ska komplettera dataskyddsförordningen (RP 9/2018 rd). I sitt betänkande om den propositionen föreslår förvaltningsutskottet att ordalydelsen i bestämmelsen i dataskyddslagen ska bli preciserad (FvUB 13/2018 rd).
På samma sätt som i dataskyddslagen finns det inte heller i den föreslagna dataskyddslagen avseende brottmål några särskilda bestämmelser om förfarandet vid behandlingen i förvaltningsdomstolen av de ansökningsärenden som avses här. För tydlighetens skull bör det konstateras att 72 § i förvaltningsprocesslagen är tillämplig på ett sådant förfarande. Den paragrafen gäller ”andra förvaltningsprocessärenden än besvär, extraordinärt ändringssökande eller förvaltningstvistemål”. Ärendena anhängiggörs genom att en handling om anhängiggörande ges in till den myndighet som är behörig att avgöra ärendet. Också 73 § i förvaltningsprocesslagen blir tillämplig. Enligt den paragrafen gäller i fråga om förfarandet i övrigt i tillämpliga delar vad den lagen föreskriver om besvär. Bestämmelserna om behandling av besvär i förvaltningsprocesslagen är flexibla, och enligt förvaltningsutskottets uppfattning är det därför möjligt att beakta särdragen i de nu aktuella ansökningsärendena vid behandlingen av ärendena.
I 57 § 2 mom. i dataskyddslagen avseende brottmål finns ingen särskild bestämmelse om sökande av ändring i beslut som fattats av Helsingfors förvaltningsdomstol. Syftet har enligt utredning varit att 58 § 2 mom. om ändringssökande ska bli tillämpligt. Lagutskottet har ändå föreslagit att lagen i fråga om de beslut av kommissionen som avses i 57 § 2 mom. ska kompletteras med en särskild bestämmelse om sökande av ändring i Helsingfors förvaltningsdomstols beslut, på samma sätt som gjorts i fråga om dataskyddslagen. Det kan enligt förvaltningsutskottets åsikt anses befogat på grund av att det a priori är en myndighet, rättare sagt dataombudsmannen, som har rätt att överklaga Helsingfors förvaltningsdomstols i 57 § 2 mom. avsedda beslut. medan det i fråga om 58 § 2 mom. i regel är den registrerade som har denna rätt och det därför föreskrivs särskilt i det momentet att ”även dataombudsmannen får söka ändring i förvaltningsdomstolens beslut”. Förvaltningsutskottet föreslår att bestämmelsen ändras och att en ny paragraf ska införas på det sätt som närmare framgår av detaljmotiven.
Förvaltningsutskottet konstaterar att de iakttagelser i anslutning till besvärsrätt som framställts i samband med dataskyddslagen också gäller den nu föreslagna lagstiftningen. Exempelvis krävs det för avgörande av frågan om den registrerade vars ärende det gäller har rätt att överklaga ett beslut av Helsingfors förvaltningsdomstol — när det i samband med ärendet uppstår oklarhet huruvida kommissionens beslut är förenligt med direktivet — att det görs en bedömning av om förvaltningsdomstolens beslut på det sätt som avses i 6 § 1 mom. i förvaltningsprocesslagen ska anses ”direkt” påverka den registrerades rätt, skyldighet eller fördel. Lagutskottet har i sitt utlåtande om dataskyddslagen bedömt relaterade synpunkter (LaUU 5/2018 rd). Enligt lagutskottet är det i princip möjligt att anse att förvaltningsdomstolens beslut om att begära förhandsavgörande inte gäller den registrerade ”direkt” och att den registrerade således inte har besvärsrätt. Å andra sidan är det möjligt att förvaltningsdomstolen i vissa fall anser att beslutet ”direkt” påverkar den registrerades rätt på det sätt som avses i förvaltningsprocesslagen så att den registrerade har besvärsrätt.
Skydd mot självinkriminering
Skyddet mot självinkriminering handlar fundamentalt om rätten att i brottmål vägra vittna mot sig själv och rätten att inte medverka till utredningen av sin egen skuld. Detta skydd är en av garantierna för en rättvis rättegång enligt 21 § i grundlagen (se GrUU 39/2014 rd, s. 4/I, och RP 309/1993 rd, s. 79/I). Även Europadomstolen har i sin praxis ansett att självinkrimineringsskyddet hänför sig till kärnområdet för en rättvis rättegång enligt artikel 6.1 i Europakonventionen (t.ex. i fallet Saunders mot Förenade kungariket, 17.12.1996). I rättspraxis har skyddet främst tillämpats vid förundersökning av brott och i brottmålsrättegångar, men i vissa fall har det ansetts utsträcka sig också till situationer där det inte är fråga om straffrättsliga påföljder. Självinkrimineringsskyddet har också behandlats i samband med dataskyddslagen (FvUB 13/2018 rd och LaUU 5/2018 rd).
Lagutskottet har i sitt utlåtande om dataskyddslagen avseende brottmål ägnat uppmärksamhet åt de föreslagna lagens bestämmelser om skyldigheten att anmäla personuppgiftsincidenter (33 och 34 §). Enligt utskottets uppfattning ska påföljdsbestämmelser som tillämpas på anmälningsskyldigheten i dessa fall tolkas i överensstämmelse med skyddet mot självinkriminering och med beaktande av bland annat Europadomstolens rättspraxis. I sista hand avgörs ärendet av domstol.
Lagutskottet har också tittat på den föreslagna 52 §, som innehåller bestämmelser om vite. Enligt dess 1 mom. får dataombudsmannen förena vissa beslut samt rätten att få information enligt 47 § med vite. I paragrafens 2 mom. sägs det att ett i 1 mom. avsett föreläggande att lämna ut uppgifter inte får förenas med ett vitesföreläggande riktat till en fysisk person, om det finns anledning att misstänka personen för brott och uppgifterna gäller en omständighet som har samband med brottsmisstanken. I det senare momentet är det fråga om skydd mot självinkriminering.
Tröskeln för att inte förelägga vite har i 52 § 2 mom. kopplats till uttrycket ”finns anledning att misstänka” (”on syytä epäillä”). I dataskyddslagen är tröskeln också ”finns anledning att misstänka”, på finska uttryckt som ”on aihetta epäillä” (RP 9/2018 rd, 22 § i lagförslag 1). Lagutskottet konstaterar i sitt utlåtande att det inte har utformats någon enhetlig linje om tröskeln för att inte förelägga vite utan lagstiftningen om saken varierar. Vid valet av ordalydelse kan man lägga vikt vid vilken myndighet som ska bedöma frågan samt vid om skyddet mot självinkriminering endast kopplas till situationer där förundersökningsmyndigheten redan har fattat beslut om att inleda förundersökning ("on syytä epäillä") eller om skyddet också borde gälla situationer där tillsynsmyndigheten bedömer att fallet senare kan komma att leda till straffrättsliga påföljder (”on aihetta epäillä”).
Lagutskottet ansåg i sitt utlåtande om förslaget till dataskyddslag (LaUU 5/2018 rd) att för uttrycket ”on aihetta epäillä” talar det att det ger en fysisk person som är skyldig att lämna uppgifter ett mer omfattande skydd och därmed bättre står i samklang med skyddet mot självinkriminering. Om skyddet kopplas till uttrycket ”on syytä epäillä”, kan det uppstå en alltför strikt anknytning till kravet på inledande av en formell förundersökning. Lagutskottet såg ändå inte något hinder för att man i bestämmelsen också kan använda uttrycket ”on syytä epäillä”. Utskottet påpekade ändå att om man gör det, blir regleringen av innebörden av skyddet mot självinkriminering inte heltäckande i bestämmelsen, utan skyddet kan i vissa fall vara mer omfattande.
Lagutskottet har inte tagit ställning till vilketdera uttrycket som borde stå i bestämmelsen, utan har lämnat avgörandet till förvaltningsutskottet. Det viktiga är ändå enligt lagutskottet att man använder enhetliga begrepp i dataskyddslagen och det nu aktuella lagförslaget. Förvaltningsutskottet har i fråga om dataskyddslagen gått in för att ställa sig bakom uttrycket ”on aihetta epäillä” (FvUB 13/2018 rd). Förvaltningsutskottet konstaterar att det uttrycket bättre harmonierar med skyddet mot självinkriminering, och därför föreslår utskottet att det ska användas också i 52 § 2 mom. i den aktuella lagen om behandling av personuppgifter i brottmål. På så sätt är också uttrycken i lagarna i detta avseende enhetliga.
Påföljder
Enligt artikel 57 i direktivet ska medlemsstaterna föreskriva effektiva, proportionella och avskräckande sanktioner för överträdelser av dataskyddsbestämmelserna.
Direktivet innehåller inte några bestämmelser om administrativ påföljdsavgift. Det ger medlemsstaterna ett större handlingsutrymme än dataskyddsförordningen när det gäller påföljdssystemet. Regeringen föreslår inte någon administrativ påföljdsavgift inom tillämpningsområdet för den föreslagna dataskyddslagen avseende brottmål för genomförandet av direktivet. Dataombudsmannen kan ändå i fall av ett lagstridigt förfarande till exempel meddela en anmärkning eller uppställa ett tillfälligt eller bestående förbud eller någon annan tillfällig eller bestående begränsning av behandlingen av personuppgifter. Dataombudsmannen kan förena ett rättsligt förpliktande beslut med vite. I propositionen föreslås det också mer omfattande befogenheter för dataombudsmannen än minimikravet i direktivet, vilket för sin del möjliggör ett brett urval metoder för att ingripa i lagstridig behandling av personuppgifter. För den personuppgiftsansvarige gäller dessutom ett strikt ersättningsansvar för skador som tillfogats någon av att personuppgifter har behandlats i strid med lagen (59 § i lagförslag 1). Lagutskottet hade ingenting att anmärka mot det föreslagna regleringssättet (LaUU 10/2018 rd).
I 60 § i den föreslagna dataskyddslagen avseende brottmål finns det hänvisningar till de bestämmelser i strafflagen som är av betydelse med tanke på den samlade regleringen. Enligt en hänvisning finns bestämmelser om straff för dataskyddsbrott i 38 kap. 9 § i strafflagen. Straffbestämmelsen är ny och ingår i regeringens proposition med förslag till lagstiftning som kompletterar den allmänna dataskyddsförordningen (RP 9/2018 rd). I den propositionen föreslår regeringen en ny straffbestämmelse om dataskyddsbrott som ersätter den tidigare bestämmelsen om personregisterbrott i 38 kap. 9 § i strafflagen. Straffregleringen har bedömts i förvaltningsutskottets betänkande om den propositionen (FvUB 13/2018 rd).
I den tredje meningen i 60 § hänvisas det till strafflagens bestämmelser om brott mot tystnadsplikten enligt 61 § i den föreslagna lagen. Lagutskottet har i sitt utlåtande ansett att hänvisningen även bör gälla hemlighållande av en rapportörs identitet enligt 55 §. Dessutom är det motiverat att i lagförslag 2—5 ta in en informativ hänvisning till strafflagens 38 kap. 9 § om dataskyddsbrott. Överträdelse av bestämmelserna om exempelvis ändamålsbegränsning, utlämnande och överföring i fråga om personuppgifter och om säkerhet vid behandling av uppgifterna i de lagarna kan vara straffbart enligt den nya bestämmelsen om dataskyddsbrott. En sådan informativ hänvisning till 38 kap. 9 § i strafflagen ingår i 37 § 2 mom. i lagförslag 6. Till den delen har lagutskottet föreslagit att bestämmelsen ska justeras. Förvaltningsutskottet anser att lagutskottets förslag är befogade och föreslår att lagförslagen preciseras på det sätt som närmare framgår av detaljmotiven. I utskottets lagförslag är de ovan nämnda 60 och 61 § lagens 61 och 62 §.
Överföringar av personuppgifter till tredjeländer och internationella organisationer
I 7 kap. i den föreslagna dataskyddslagen avseende brottmål tas det in bestämmelser i enlighet med direktivet om de allmänna förutsättningar under vilka den behöriga myndigheten får överföra personuppgifter till tredjeländer. De föreslagna bestämmelserna motsvarar det som föreskrivs i kapitel V i dataskyddsdirektivet för brottsbekämpande myndigheter.
Överföringen ska för det första vara behövas för något av de ändamål som räknas upp i den föreslagna bestämmelsen om lagens tillämpningsområde, exempelvis för utredning av ett brott eller för verkställighet av straff. Kommissionen ska dessutom ha konstaterat att skyddsnivån i landet i fråga är adekvat. Om kommissionen inte har fattat beslut om en adekvat nivå på dataskyddet för landet i fråga, kan personuppgifter överföras till det landet under förutsättning att skyddet för personuppgifter i övrigt har ombesörjts på lämpligt sätt. Undantagsvis kan personuppgifter med stöd av 43 § i den föreslagna lagen överföras till ett tredjeland trots att det inte råder tillräcklig säkerhet om skyddet för personuppgifter i landet, om överföringen är nödvändig exempelvis för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten, såsom ett terrordåd. Eftersom villkoren i paragrafen handlar om undantag från villkoren för överföring av personuppgifter, påminner förvaltningsutskottet om att villkoren ska tolkas på ett inskränkande sätt. Förvaltningsutskottet vill också påminna om den utgångspunkt som också finns inskriven i lagens 41 § 1 mom., dvs. att personuppgifter får överföras till ett tredjeland eller en internationell organisation endast om de övriga bestämmelser som är tillämpliga på behandling av personuppgifter enligt den föreslagna lagen iakttas. Sådana bestämmelser gäller bland annat ändamålsbegränsning.
Enligt artikel 61 i direktivet ska internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer, som ingicks av medlemsstaterna innan direktivet trädde i kraft och som är förenliga med unionsrätten så som den tillämpades före den dagen fortsätta att gälla tills de ändras, ersätts eller återkallas. Enligt förvaltningsutskottets uppfattning har det ändå inte varit meningen att helt och hållet lämna bestämmelserna i direktivet och lagen om dess nationella genomförande obeaktade vid överföring av personuppgifter till tredjeländer, särskilt då man beaktar betydelsen av personuppgifter som en grundläggande fri- och rättighet. Enligt förvaltningsutskottets uppfattning ska artikel 61 i direktivet tolkas så att gällande avtal fortfarande kan tillämpas, men att bestämmelserna i lagen om genomförandet av direktivet bland annat om överföring av personuppgifter till tredjeländer samtidigt ska tillämpas som ett komplement.