Allmänt
I propositionen är det fråga om sådana ändringar i lagstiftningen inom justitieministeriets förvaltningsområde som följer av Europeiska unionens dataskyddslagstiftning.
EU:s dataskyddsbestämmelser har reviderats, vilket har krävt nationella genomförandeåtgärder. Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (nedan dataskyddsdirektivet) trädde i kraft den 5 maj 2016. Dataskyddsförordningen började tillämpas den 25 maj 2018. Dataskyddslagen (1050/2018), som kompletterar dataskyddsförordningen, och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018, nedan dataskyddslagen avseende brottmål), som utfärdades för att genomföra dataskyddsdirektivet, trädde i kraft den 1 januari 2019.
Utöver de ovannämnda allmänna lagarna kräver genomförandet av EU:s dataskyddslagstiftning att de nationella särskilda bestämmelserna om behandling av personuppgifter ändras i överensstämmelse med EU:s nya dataskyddslagstiftning. Inom justitieministeriets förvaltningsområde finns det mycket speciallagstiftning som innehåller bestämmelser om behandling av personuppgifter. I propositionen föreslås det att en del onödiga bestämmelser som överlappar den allmänna lagstiftningen ska strykas. Samtidigt är målet att förenhetliga de kvarstående särskilda bestämmelserna i anslutning till behandlingen av personuppgifter och att förtydliga deras förhållande till tillämpliga allmänna bestämmelser.
Propositionen innehåller förslag till ändring av 21 lagar som enligt uppgift från justitieministeriet omedelbart behöver ändras. Flest ändringar finns det i lagförslagen om ändring av utsökningsbalken (705/2007, lagförslag 11) och säkerhetsutredningslagen (726/2014, lagförslag 18).
Enligt förslaget ska det i utsökningsbalken uttryckligen vara tillåtet att föra in vissa känsliga personuppgifter i utsökningsregistret, till den del uppgifterna måste behandlas redan utifrån utsökningsbalken och de anses nödvändiga för att sköta uppgifter i anslutning till utsökning (1 kap. 26 § i lagförslag 11). De kategorier av uppgifter som får behandlas och deras användningsändamål begränsas dock i de föreslagna nya bestämmelserna så att uppgifternas nödvändighet inte är det enda kriteriet för att få föra in uppgifterna i registret. Enligt propositionen (RP, s. 36) har man i lagförslaget samtidigt preciserat utsökningsbalkens bestämmelser om utlämnande av personuppgifter så att de uppfyller de krav som följer av grundlagens tolkning. Dessutom säkerställs i propositionen genom en uttrycklig bestämmelse att personuppgifter även i fortsättningen kan lämnas ut till skyddspolisen för att förebygga brott som hänför sig till dess ansvarsområde, med beaktande av att skyddspolisen inte längre är en förundersökningsmyndighet (3 kap. 70 §).
I propositionen preciseras också den allmänna lag som tillämpas på säkerhetsutredningar, och med anledning av det ändras också bestämmelsen om tillämpningsområde i dataskyddslagen avseende brottmål (1 § i lagförslag 21). Enligt propositionen (RP, s. 11) anses den behandling av personuppgifter som avses i säkerhetsutredningslagen till följd av en nationell utvidgning av tillämpningsområdet omfattas av dataskyddslagen avseende brottmål till den del det är fråga om behöriga myndigheter enligt den lagen. Den tillämpliga allmänna lagen framgår emellertid inte tydligt av den gällande lagen, och därför behövs det en ändring.
En annan av de viktigaste ändringarna gäller den föreslagna paragrafen om att skyddspolisen och Huvudstaben ska vara gemensamt personuppgiftsansvariga (48 a § i lagförslag 18). Strävan här har dock varit att bevara det faktiska nuläget. Vid skyddspolisen och Huvudstaben är syftet med behandlingen av personuppgifter i samband med säkerhetsutredningar detsamma. Enligt vad utskottet erfar är det gemensamma personuppgiftsansvaret därför en möjlig och lämplig lösning. Det större ansvar för behandlingen av personuppgifter i anslutning till registret över säkerhetsutredningar som föreslås för skyddspolisen motsvarar nuläget, men bestämmelserna görs tydligare genom att samma terminologi som i dataskyddslagen avseende brottmål används i lagen och genom att uppgiftsfördelningen mellan de personuppgiftsansvariga tydligare framgår av lagen (se RP, s. 48). I överensstämmelse med dataskyddslagen avseende brottmål ska det gemensamma personuppgiftsansvaret emellertid innebära att den registrerade får utöva sina rättigheter i förhållande till båda personuppgiftsansvariga (RP, s. 48).
Enligt propositionen (RP, s. 15) har det vid beredningen fästs särskild vikt vid bestämmelserna om behandling av uppgifter som hör till särskilda kategorier av personuppgifter och om behandling av andra personuppgifter som ska betraktas som känsliga. I vissa lagförslag i propositionen (beredskapslagen, lagen om registrering av vissa kreditgivare och kreditförmedlare, utsökningsbalken) har det gjorts preciseringar till den del de gällande bestämmelserna inte har ansett vara tillräckliga.
Sammantaget sett anser lagutskottet att propositionen behövs och fyller sitt syfte. Utskottet tillstyrker lagförslagen, men med följande kommentarer och ändringsförslag.
Föreningslagen
Regeringen föreslår preciseringar i föreningslagen (503/1989, lagförslag 7). Enligt 11 § 1 mom. i föreningslagen ska det föras en förteckning över medlemmarna i en förening. I förteckningen ska varje medlems fullständiga namn och hemort införas. Enligt 2 mom. ska föreningens medlemmar på begäran ges tillfälle att ta del av de uppgifter som nämns i 1 mom. I 2 mom. föreslås en begränsning i rätten att ta del av uppgifter i fråga om andra uppgifter än de som avses i 1 mom. I förslaget föreskrivs det att om föreningen samlar in andra uppgifter än sådana som nämns i 1 mom., får de lämnas ut till en föreningsmedlem endast av särskilda skäl.
Enligt uppgifter från justitieministeriet grundar sig de föreslagna ändringarna i 11 § 2 mom. i föreningslagen på förarbetena till den lagen. Enligt den ursprungliga motiveringen till 11 § 1 mom. (RP 64/1988 rd) är de uppgifter som anges i bestämmelsen ett minimiinnehåll i medlemsförteckningen. Det finns till exempel inget hinder för att i stadgarna bestämma att också andra uppgifter ska antecknas, såsom uppgifter som har betydelse för en medlems rösträtt eller för förutsättningarna för medlemskap. När lagen stiftades tog man utifrån en jämförelse med bestämmelserna om aktiebolag och andelslag in en bestämmelse om begränsad offentlighet för medlemsförteckningen i 11 § 2 mom. som inte fanns i den tidigare föreningslagen. Föreningslagens 11 § 2 mom. har motiverats med att det med beaktande av demokratiprincipen inom föreningsverksamheten inte finns skäl att hindra medlemmarna i en ideell förening från att ta del av uppgifter om den egna föreningens medlemmar. En obegränsad offentlighet för medlemsuppgifterna kan dock i vissa fall kränka medlemmarnas integritetsskydd. Därför föreskrivs det om begränsad offentlighet för medlemsförteckningen, så att en förenings medlemmar på begäran ska ges tillfälle att ta del av de uppgifter som avses i 1 mom. Enligt motiven till 11 § 2 mom. i föreningslagen är meningen att rätten endast ska avse de minimiuppgifter som ska antecknas i förteckningen. Man behöver alltså inte ge en medlem eventuella andra uppgifter i registret som kan vara känsliga i något avseende. Enligt motiven till bestämmelsen har en förening inte heller varit skyldig att utifrån den lämna ut utdrag ur eller kopior av medlemsförteckningen.
Enligt uppgifter från justitieministeriet har det föreslagits att det genom propositionen ska tas in bestämmelser på lagnivå om de principer som framgår av den ovannämnda motiveringen till 11 § 2 mom. i föreningslagen.
Lagutskottet anser att förslaget i propositionen, enligt vilket begränsad offentlighet för medlemsförteckningen ska tillämpas i enlighet med den gällande föreningslagen, är motiverat, särskilt av de dataskyddsskäl som nämns i propositionen (RP, s. 29—30). Utskottet håller också med om det som framgår av ordalydelsen i den föreslagna 11 § 2 mom., dvs. att en föreningsmedlem av särskilda skäl kan behöva få också andra uppgifter än de som nämns i 1 mom. Men utskottet menar att det föreslagna uttrycket ”endast av särskilda skäl” i 2 mom. är något vagt med tanke på de praktiska tillämpningssituationerna och behöver preciseras. Det är klart att det finns ett stort antal föreningar i Finland och att syftet med en förenings verksamhet samt dess karaktär påverkar vilka andra uppgifter än namn och hemort som samlas in om föreningens medlemmar. Det är därför svårt att på ett heltäckande sätt fastställa de särskilda skäl utifrån vilka dessa övriga uppgifter får lämnas ut. För jämförelsens skull fäster utskottet uppmärksamhet vid uttrycket i 4 kap. 16 § 1 mom. i lagen om andelslag (421/2013),”andra som visar att deras fördel kräver det har rätt att se också andra uppgifter som antecknats i förteckningarna”
Utskottet anser efter att ha tagit ställning till de uppgifter det fått att det är skäl att begränsa rätten att ta del av andra uppgifter än de som avses i 1 mom. på liknande sätt som i 4 kap. 16 § 1 mom. i lagen om andelslag till medlemmar vars fördel kräver det. Väsentligt är att med fördel avses fördel uttryckligen i rollen som föreningsmedlem. Utskottet anser att bestämmelsen för tydlighetens skull bör preciseras i enlighet med detta. Utskottet understryker att en medlem måste kunna motivera på vilket sätt de begärda uppgifterna har samband med hans eller hennes fördel som föreningsmedlem.
På basis av det som sägs ovan föreslår lagutskottet att den andra meningen i 11 § 2 mom. i lagförslag 7 ändras såsom anges i detaljmotiveringen så att en medlem som visar att hans eller hennes fördel som föreningsmedlem kräver det har rätt att se också andra uppgifter som antecknats i förteckningen.
Den formulering som utskottet föreslår (rätt att se) står också i högre grad i samklang med den princip som framgår av motiveringen till föreningslagen, dvs. att en förening inte är skyldig att ge ut utdrag ur eller kopior av sin medlemsförteckning.
Det kan ligga i en föreningsmedlems intresse att få ta del av särskilt sådana uppgifter som har betydelse med tanke på en medlems rösträtt eller förutsättningar för medlemskap. En sådan annan uppgift som avses i momentet kan vara till exempel en uppgift om någon har betalat eller försummat att betala medlemsavgiften eller någon annan medlemsförpliktelse i en förening enligt vars stadgar en försummelse leder till att man förlorar sin rösträtt eller rätten att delta i föreningens verksamhet, eller utgör en grund för uteslutning ur föreningen. Rätten att få dessa uppgifter är viktig för att de övriga medlemmarna ska kunna kontrollera att föreningens medlemmar behandlas lika i verksamheten och vid tillämpningen av grunder som gäller uteslutning och begränsningar i rätten att delta i verksamheten. Uppgifterna kan också behövas vid bedömningen av om styrelsen följer lagen och stadgarna samt föreningsmötets beslut. I en förening kan det vara väsentligt med tanke på de övriga medlemmarnas rösträtt och möjligheter att delta i verksamheten att medlemmarna kan kontrollera att mötena hålls och att styrelsen och de anställda handlar i enlighet med stadgarna till dessa delar.
Lagutskottet konstaterar dessutom för tydlighetens skull att bestämmelsen i 11 § 2 mom. är fristående från den i artikel 15 i dataskyddsförordningen föreskrivna rätten för en registrerad att ta del av uppgifter som gäller honom eller henne själv. På den registrerades rättigheter tillämpas bestämmelserna i dataskyddsförordningen direkt.
Bestämmelserna om utlämnande av uppgifter i utsökningsbalken
Regeringen föreslår ett stort antal ändringar i utsökningsbalken (lagförslag 11). Vid beredningen av lagändringarna har man enligt propositionsmotiven (RP, s. 56) också fäst vikt vid utsökningsbalkens bestämmelser om utlämnande av personuppgifter. Bestämmelserna i utsökningsbalken preciseras så att personuppgifterna ska vara nödvändiga för det ändamål som anges i lagen. Särskild vikt har i fråga om den lagts vid bestämmelser som bedömts vara vaga samt vid sådant utlämnande av personuppgifter ut som kan vara förenat med personuppgifter som hör till särskilda kategorier av personuppgifter eller andra personuppgifter som ska anses vara känsliga.
De föreslagna ändringarna grundar sig på grundlagsutskottets praxis i fråga om myndigheternas rätt att få och skyldighet att lämna ut uppgifter. I motiveringen till propositionen (RP, s. 56) sägs det att grundlagsutskottet har bedömt bestämmelserna om myndigheternas rätt att få och skyldighet att lämna ut uppgifter trots sekretess utifrån skyddet för privatliv och personuppgifter enligt 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få uppgifter gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och möjlighet att lämna ut uppgifter kan gälla ”behövliga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "uppgifterna är nödvändiga" för ett visst syfte (se t.ex. GrUU 17/2016 rd, s. 5—6, och de utlåtanden som nämns där). Å andra sidan har utskottet ansett att grundlagen inte tillåter en generös och ospecificerad rätt att få uppgifter, inte ens om den är förenad med nödvändighetskriteriet (t.ex. GrUU 19/2012 rd).
Sådana bestämmelser om utlämnande av uppgifter i utsökningsbalken som avses i propositionen är bland annat 3 kap. 70 och 71 § samt 3 kap. 72 §, som gäller utlämnande av uppgifter på eget initiativ. Sammantaget anser lagutskottet att det är motiverat att tillämpa nödvändighetskriteriet på det sätt som föreslås i propositionen. Lagutskottet betonar att det huruvida kriteriet är att uppgifterna behövs eller att de är nödvändiga inte har någon betydelse för att myndigheten ska bedöma förutsättningarna för att lämna ut uppgifter. Också kriteriet att uppgifterna behövs förutsätter en bedömning av på vilket sätt de uppgifter som lämnas ut har anknytning till en annan myndighets uppgifter. När det gäller en begäran om uppgifter som framställs av en annan myndighet understryker utskottet att begäran rent generellt ska vara tillräckligt motiverad och hänföra sig till ett enskilt ärende, och nödvändighetskriteriet betonar skyldigheten att motivera begäran.
I 3 kap. 70 § i lagförslaget ingår det bestämmelser om utlämnande av uppgifter till förundersökningsmyndigheter och vissa andra myndigheter samt domstolar. I 1 mom. 1 punkten görs det en precisering för att beakta att skyddspolisen efter det att lagstiftningen om civil underrättelseinhämtning trätt i kraft inte längre är en förundersökningsmyndighet (se RP, s. 39—40 och 57). Momentets 1 punkt ändras så att en utsökningsmyndighet har rätt att lämna ut nödvändiga uppgifter till skyddspolisen för förebyggande av brott som hotar stats- och samhällsordningen eller statens säkerhet. Enligt den gällande punkten får uppgifter lämnas ut till en åklagar- och förundersökningsmyndighet för utredning, förundersökning, åtalsprövning och domstolsbehandling av brott samt för förebyggande av grova brott. Punkten har även innefattat skyddspolisen som förundersökningsmyndighet. Som det sägs ovan är skyddspolisen inte längre en förundersökningsmyndighet sedan lagstiftningen om civil underrättelseinhämtning trädde i kraft. Enligt den ändrade 10 § i polisförvaltningslagen (110/1992) har skyddspolisen dock fortfarande till uppgift att förhindra brott som kan hota statsskicket och samhällsordningen eller rikets inre eller yttre säkerhet. Genom ändringen av bestämmelsen försäkrar man sig om att en utsökningsmyndighet fortfarande får lämna ut nödvändiga uppgifter till skyddspolisen för att förebygga brott som omfattas av dess befogenheter. Sammantaget anser lagutskottet att ändringen behövs.
Under utskottsbehandlingen av propositionen aktualiserades frågan om det för att säkerställa skyddspolisens verksamhetsförutsättningar borde göras en större ändring av 3 kap. 70 § 1 mom. i utsökningsbalken än den föreslagna, så att utsökningsmyndigheternas rätt att lämna ut uppgifter till skyddspolisen skulle utvidgas till att omfatta verksamhet som hotar den nationella säkerheten.
Enligt uppgifter som utskottet fått från justitieministeriet har ministeriet, med beaktande av att det i propositionen föreslås sådana nödvändiga ändringar som följer av Europeiska unionens dataskyddslagstiftning och i samband med det en del ändringar som följer av konstitutionen, inte ansett det ändamålsenligt att göra någon ovannämnd materiell utvidgning i lagförslaget om ändring av utsökningsbalken. En sådan ändring har preliminärt också uppskattats ha mer långtgående konsekvenser för skyddet för privatlivet och personuppgifter, och en ändring kräver en grundlig konsekvensbedömning. Också eventuella konsekvenser för informationssystemen bör bedömas. Enligt uppgift har justitieministeriet ansett att behovet av en sådan lagändring bör bedömas särskilt, så att man bland annat kan inhämta de remissyttranden som behövs.
Sammantaget anser lagutskottet att förslaget i propositionen om de uppgifter som får lämnas ut till skyddspolisen är lämpligt. Utskottet ser det som motiverat och viktigt att justitieministeriet särskilt bedömer behovet av en lagändring när det gäller den ovannämnda utvidgningen i fråga om uppgifter som får lämnas ut till skyddspolisen.
Grunden för behandling av personuppgifter vid Institutet för kriminologi och rättspolitik
I propositionen föreslås det (lagförslag 15) ändringar i 1 § om administrativ ställning och uppgifter och 4 b § om behandling av och sekretess för uppgifter i lagen om Institutet för kriminologi och rättspolitik (1139/2007). Lagutskottet har ingenting att anmärka på innehållet i de föreslagna ändringarna.
I propositionsmotiven (RP, s. 43) sägs det att den rättsliga grunden för behandlingen av personuppgifter vid Institutet för kriminologi och rättspolitik är artikel 6.1 e i dataskyddsförordningen (utförande av en uppgift av allmänt intresse). För tydlighetens skull konstaterar utskottet utifrån de uppgifter det fått att det är motiverat att den primära rättsliga grunden för behandling av personuppgifter i enlighet med propositionen är artikel 6.1 e, utifrån vilken också den registrerades rättigheter bestäms. Detta hindrar dock inte att särskilt artikel 6.1 c (fullgörande av en rättslig förpliktelse) samtidigt tillämpas som en rättslig grund i vissa situationer.