Allmänt
Konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen) upprättades 1981 och trädde i kraft för Finlands del 1992. Konventionen kompletterades 2011 med ett tilläggsprotokoll om tillsynsmyndigheter och gränsöverskridande flöden av personuppgifter. Protokollet godkändes av riksdagen 2012 (FvUB 4/2012 rd — RP 149/2011 rd).
I den aktuella propositionen föreslår regeringen att riksdagen godkänner ett protokoll om ändring av konventionen och antar lagstiftning om sättande i kraft av dess bestämmelser. Finland undertecknade protokollet den 10 oktober 2018. Ändringsprotokollets bilaga är en integrerad del av protokollet, och den har samma rättsverkan som protokollets bestämmelser.
Revideringen av konventionen ingår i en bredare reform av de internationella dataskyddsbestämmelserna. Ändringen har exempelvis beretts samtidigt som EU:s dataskyddslagstiftning har reviderats. Genom protokollet ändras betydande delar av konventionens bestämmelser så att dess innehåll bättre motsvarar EU:s reviderade dataskyddslagstiftning.
EU:s dataskyddsförordning (förordning (EU) 2016/679) och dataskyddsdirektiv för brottsbekämpande myndigheter (direktiv (EU) 2016/680) trädde i kraft den 5 maj 2016. Dataskyddsförordningen började tillämpas den 25 maj 2018. Dataskyddslagen (1050/2018, FvUB 13/2018 rd — RP 9/2018 rd), som kompletterar dataskyddsförordningen, och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018, lagen om behandling av personuppgifter i brottmål, FvUB 14/2018 rd — RP 31/2018 rd), genom vilken dataskyddsdirektivet har genomförts nationellt, trädde i kraft vid ingången av 2019.
Syftet med ändringsprotokollet är att bättre än tidigare svara på de utmaningar för integritetsskyddet som orsakas av den nya informations- och kommunikationstekniken och den ökade användningen av den, den gränsöverskridande behandlingen av personuppgifter och den allt mer omfattande överföringen av personuppgifter. Med hjälp av den fastställda konventionens bedömnings- och uppföljningsmekanism försöker man säkerställa att parterna iakttar kraven i konventionen. Utskottet anser det vara viktigt att bestämmelserna i ändringsprotokollet så långt som möjligt stämmer överens med EU:s reviderade dataskyddslagstiftning.
Enligt gällande konventionsbestämmelser kan EU inte vara part i konventionen. Men bestämmelserna i ändringsprotokollet gör det möjligt för EU och andra internationella organisationer att ansluta sig till konventionen efter det att protokollet trätt i kraft. EU har för avsikt att ansluta sig till den ändrade konventionen efter det att alla medlemsstater har ratificerat protokollet.
Konventionen och dess protokoll hör till EU:s och medlemsstaternas delade befogenhet. Befogenheten i fråga om lagstiftningen om behandling av personuppgifter tillkommer EU:s medlemsstater till den del det är fråga om behandling av personuppgifter som hänför sig till verksamhet utanför unionsrätten, exempelvis personuppgifter som hänför sig till den nationella säkerheten och försvaret. Av propositionsmotiven framgår att avtal där EU inte kan vara part, men där de medlemsstater som är parter i avtalet handlar på unionens vägnar, jämställs med blandade avtal. Rådet har bemyndigat medlemsstaterna att ratificera ändringsprotokollet i unionens intresse i den mån konventionens bestämmelser faller inom unionens exklusiva befogenhet. Riksdagen godkänner ett sådant blandat avtal endast till den del det hör till Finlands behörighet.
Ändringsprotokollet innehåller bestämmelser som hör till området för landskapet Ålands lagstiftning. Enligt utredning har Ålands lagting den 22 juni 2020 gett sitt samtycke till att de föreslagna lagarna träder i kraft i landskapet Åland till den del protokollet hör till landskapets behörighet.
Samarbete mellan tillsynsmyndigheterna
Den lagstiftning om behandling av personuppgifter som är tillämplig i Finland motsvarar till stor del kraven i den ändrade konventionen. I propositionen ingår som vanligt ett förslag till lag om sättande i kraft av de bestämmelser i protokollet som hör till området för lagstiftningen. Ikraftträdandelagens 2 § föreskriver att dataombudsmannen i enlighet med dataskyddslagen och Datainspektionen i enlighet med Ålands landskapslagstiftning ska vara de i konventionen avsedda myndigheter som kontrollerar att bestämmelserna i konventionen följs. I gällande lagstiftning finns inga explicita bestämmelser om den tillsynsuppgift som föreskrivs i konventionen.
I fråga om uppgifter och befogenheter för de myndigheter som kontrollerar att konventionen följs tillämpas vad som föreskrivs särskilt om dem. Detta innebär att tillsynsbefogenheterna är desamma som i nuläget. Utskottet konstaterar för tydlighetens skull att dataombudsmannen inte heller med stöd av konventionen har behörighet att utöva tillsyn över riksdagsarbetet, domstolarna, riksdagens justitieombudsman eller justitiekanslern i statsrådet.
Dataskyddsförordningen och lagen om behandling av personuppgifter i brottmål innehåller uttryckliga bestämmelser bara om samarbetet mellan tillsynsmyndigheterna i EU:s medlemsstater. Det föreslås att det till dataskyddslagen och lagen om behandling av personuppgifter i brottmål fogas bestämmelser med stöd av vilka dataombudsmannen kan vidta behövliga åtgärder för att säkerställa ett effektivt samarbete också med tillsynsmyndigheter i tredjeländer som är parter i dataskyddskonventionen. Tillsynsmyndigheterna enligt konventionen ska ha rätt att utbyta upplysningar som gäller tillsynen och att genomföra gemensamma operationer. Dataombudsmannen ska enligt de föreslagna bestämmelserna trots sekretessbestämmelserna ha rätt att till dessa tillsynsmyndigheter lämna ut uppgifter för utförande av tillsynsuppdrag, om uppgifterna är nödvändiga för att trygga den registrerades rättigheter eller om den registrerade har gett sitt uttryckliga samtycke till att personuppgifterna lämnas ut.
Utskottet noterar att dataombudsmannen inte för närvarande, och inte heller enligt de föreslagna nya bestämmelserna, har rätt att lämna ut uppgifter för att utföra tillsynsuppdrag i fråga om personuppgifter som rör nationell säkerhet eller försvar. En sådan rätt har inte heller uttryckligen föreskrivits för underrättelsetillsynsombudsmannen. Detta kan enligt utredning inverka på tillsynen över underrättelsemyndigheternas internationella samarbetsarrangemang och det operativa informationsutbytet. Utskottet ser det som viktigt att följa upp hur lagstiftningen inverkar på tillsynsmyndigheternas arbete i det här avseendet.
Utskottet understryker att dataombudsmannens byrå måste ha tillräckliga resurser för att kunna utföra sina tillsynsuppgifter.
Överföring av personuppgifter till tredjeländer och internationella organisationer
EU:s dataskyddslagstiftning tillämpas inte på behandling av personuppgifter i anslutning till den nationella säkerheten och försvaret. Tillämpningsområdet för dataskyddskonventionen är bredare och omfattar även sådan behandling av personuppgifter.
Lagen om behandling av personuppgifter i brottmål ska nu ändras så att lagens 7 kap. i regel till-lämpas på alla överföringar av personuppgifter till tredjeländer och internationella organisationer, om inget annat föreskrivs i någon annan lag. Däremot föreslås det inga ändringar i lagen om behandling av personuppgifter i polisens verksamhet (616/2019) eller i lagen om behandling av personuppgifter inom Försvarsmakten (332/2019). På utlämnandet av personuppgifter från skyddspolisen och Försvarsmakten i enlighet med dessa lagar tillämpas därmed framöver bestämmelserna i den ändrade dataskyddskonventionen som sådana, med undantag av avvikelserna i fråga om adekvat skyddsnivå, om vilka det vid behov ska utfärdas särskilda bestämmelser. Ändringen säkerställer att den nationella lagstiftningen till alla delar motsvarar kraven i dataskyddskonventionen.
Sakkunniga har påpekat att 7 kap. i lagen om behandling av personuppgifter i brottmål, speciallagarna om behandling av personuppgifter inom Försvarsmakten och polisen såväl som dataskyddskonventionen härefter tillämpas parallellt på utlämnande av personuppgifter till tredjeländer och internationella organisationer när det gäller Försvarsmaktens och polisens arbete för den nationella säkerheten. Detta ökar inte tydligheten för den som ska tillämpa bestämmelserna.
När riksdagen antog den gällande personuppgiftslagen för polisen förutsatte den att regeringen följer upp och utvärderar verkställigheten av polisens nya personuppgiftslagstiftning (RSv 318/2018 rd — RP 242/2018 rd). Till exempel i det sammanhanget är det också möjligt att bedöma hur bestämmelserna om internationell dataöverföring fungerar. Huruvida bestämmelserna är förenliga med det aktuella protokollet ska också bedömas separat inom den nya bedömnings- och uppföljningsmekanismen för Europarådets dataskyddskonvention.
Tolkningsförklaringen
Inga reservationer får göras till konventionen. När en stat deponerar sitt ratifikationsinstrument kan den däremot avge en förklaring som närmare anger det eller de områden beträffande vilka konventionen ska tillämpas. Det föreslås i propositionen att det ska avges en förklaring som gäller artikel 3.1 i konventionen, i vilken det preciseras på vilket sätt begreppet den offentliga sektorn ska tolkas i Finland vid tillämpningen av konventionen. Konventionen ska enligt den föreslagna regleringen tillämpas på riksdagens ämbetsverks behandling av personuppgifter på motsvarande sätt som dataskyddsförordningen och dataskyddslagen. Definitionen av begreppet offentlig sektor enligt tolkningsförklaringen motsvarar förteckningen i 24 § 4 mom. i dataskyddslagen över de myndigheter och offentliga samfund som inte får påföras administrativ påföljdsavgift.
Enligt utredning har EU-domstolen meddelat en dom i mål C-272/19 som gäller begäran om förhandsavgörande och som senare kan ha betydelse för bedömningen av huruvida undantagen från tillämpningsområdet i dataskyddslagen är förenliga med EU:s dataskyddsförordning. Domen har dock inga direkta konsekvenser för behandlingen av den aktuella propositionen, där det inte föreslås några ändringar i lagstiftningen när det gäller dataskyddslagens tillämpningsområde.
Sammanfattning
Sammantaget sett anser utskottet propositionen vara behövlig och angelägen. Utskottet tillstyrker protokollet om ändring av konventionen enligt propositionen till den del protokollet hör till Finlands behörighet och avgivandet av en förklaring enligt propositionen. Utskottet tillstyrker lagförslag 1 och 2 utan ändringar och lagförslag 3 med vissa små, tekniska ändringar.