Motivering

Allmänt.

Enligt artikel 3 och 4 i utkastet till rambeslut ska varje medlemsstat vidta nödvändiga åtgärder för att se till att bevarade uppgifter som har behandlats och lagrats av leverantörer av ett allmänt kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster, dvs. identifieringsuppgifter för kommunikation som ska bevaras enligt rambeslutet, bevaras under minst 12 och högst 36 månader efter det att de har genererats.

Bestämmelserna bör bedömas framför allt med tanke på skyddet för personuppgifter i 10 § 1 mom. i grundlagen. De kan beroende på detaljerna också ha betydelse för hemligheten i fråga om förtroliga meddelanden i 10 § 2 mom, yttrandefriheten i 12 § 1 mom. och egendomsskyddet i 15 § grundlagen.

Enligt 10 § 1 mom. i grundlagen utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Grundlagshänvisningen innebär att det ska lagstiftas om denna rättighet (GrUB 25/1994 rd, s. 6) men att detaljerna lämnas åt lagstiftarens prövning. En sådan bestämmelse om de grundläggande fri- och rätttigheterna binder lagstiftarens prövningsrätt visavi innehållet i mindre grad än en bestämmelse med ett sådant regleringsförbehåll där den grundläggande fri- och rättigheten konstateras föreligga i enlighet med vad som bestäms i lag (t.ex. GrUU 51/2002 rd, s. 2).

Enligt grundlagsutskottets praxis (t.ex. GrUU 14/2002 rd, s. 2) begränsas dock lagstiftarens spelrum av att skyddet för personuppgifter utgör en del av skyddet för privatlivet i samma moment. Det är alltså fråga om att lagstiftaren ska trygga denna rättighet på ett sätt som kan anses godtagbart med hänsyn till de grundläggande fri- och rättigheterna. Lagstiftaren är i sin prövning bunden av att det vid en registrering är viktigt att reglera åtminstone syftet, innehållet i de registrerade personuppgifterna, tillåtna användningsändamål, inbegripet uppgifternas tillförlitlighet och bevaringstiden för uppgifterna i personregistren samt den registrerades rättsskydd. Regleringen av dessa faktorer på lagnivå ska dessutom vara omfattande och detaljerad (t.ex. GrUU 51/2002 rd, s. 2).

Skyddet av personuppgifter behandlas också i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Artikel 8 i Europarådets konvention om de mänskliga rättigheterna innehåller också bestämmelser om envars rätt till skydd för sitt privatliv och sin korrespondens.

Syfte med bevarande av uppgifter.

Syftet med rambeslutet är att underlätta straffrättsligt samarbete genom tillnärmning av medlemsstaternas lagstiftning om bevarande av identifieringsuppgifter för kommunikationer för förebyggande, utredning, upptäckt och lagföring av brott eller straffbara gärningar, inklusive terrorism. Dessa syften kan godkännas med tanke på de grundläggande fri- och rättigheterna och utskottet har ingenting att anmärka mot regleringens mål.

Uppgifter som ska bevaras.

Skyldigheten att bevara uppgifter förelås gälla uppgifter som har behandlats och lagrats av leverantörer av kommunikationstjänster eller kommunikationsnät. Enligt artikel 2.1 omfattar de trafik-, lokaliserings-, användar- och abonnentuppgifter. Uppgifter som avses i rambeslutet är enligt artikel 2.2 bl.a. uppgifter som är nödvändiga för att spåra källan till en kommunikation liksom uppgifter som är nödvändiga för att identifiera källan eller fastställa kommunikationsanordningen eller uppgifter som är nödvändiga för att fastställa tidpunkt och dag och varaktighet för en kommunikation samt för att fastställa kommunikation och platsen för en kommunikation. Bestämmelserna tillämpas enligt artikel 1.2 inte på innehållet i utväxlad kommunikation så är föreskrivet i nationell lagstiftning.

Förpliktelsen att bevara identifieringsuppgifterna ser ut att gälla i mycket vidsträckt omfattning, i synnerhet som den enligt artikel 2.3 och 2.4 utöver telefoni avses gälla vissa nuvarande och framtida telefon- och datanättjänster. Å andra sidan kan en medlemsstat göra undantag från regleringen — eller åtminstone bevarandetiderna enligt rambeslutet — för uppgiftstyper som avses i artikel 4.2 och kommunikationsmetoder under samma punkt.

Enligt promemorian i bilagan till statsrådets skrivelse omfattar förpliktelsen att bevara uppgifterna endast sådana uppgifter som redan är i teleföretags besittning och som har inhämtats på grund av lagliga affärsintressen. Den föreslagna artikeltexten gör det svårt att bedöma en sådan avgränsning. Det kan dock anses att det hänvisas till en avgränsning av uttrycken ("uppgifter som har behandlats och lagrats") som i artikel 1.4 om att rambeslutet inte påverkar nationella regler om bevarande av uppgiftstyper som leverantörer av kommunikationstjänster inte bevarar i affärssyfte. Bestämmelsen står dock strid med stycke 6 i ingressen om att rambeslutet rör "bevarande" av uppgifter på förhand, inte "säkrande" av uppgifter i efterhand.

Utskottet anser att det är viktigt att rambeslutet preciseras till denna del. Med tanke på en minimiförpliktelse att bevara uppgifter är det viktigt vilka uppgifter eller uppgiftstyper förpliktelsen omfattar. Detta slag av viktiga frågor och avgränsningar visavi regleringen bör framgå tydligare av bestämmelserna .

Det kan bli problem också med bestämmelsernas rätta proportioner om förpliktelsen att bevara uppgifter utsträcks så att de omfattar inte bara de uppgifter som företagen för närvarande lagrar utan också nya uppgiftstyper och kommunikationsmetoder. Därför omfattar utskottet att förpliktelsen att bevara identifieringsuppgifter ska gälla sådana identifieringsuppgifter hos teleföretagen som redan bevaras i flera månader som en del av den lagliga nät- och kommunikationstjänsten.

De som är skyldiga att bevara uppgifter.

Den föreslagna regleringen gäller leverantörer av ett allmänt kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster. Därmed verkar regleringen omfatta en mycket bred grupp av aktörer.

Grundlagsutskottet har tidigare (GrUB 14/2002 rd, s. 3) ansett att särskilt kommunikation på nätet skiljer sig från mera traditionella former av kommunikation, bl.a. att elektroniska nät används exceptionellt mycket också av privatpersoner, liksom av frivilligorganisationer och motsvarande. Därför har utskottet inte ansett det befogat, åtminstone i alla hänseenden, att privatpersoner och medieföretag berörs av samma skyldigheter. En sådan reglering kan i praktiken undergräva privatpersoners möjligheter att utöva sin yttrandefrihet på nätet. Att olika aktörer får en omfattande skyldighet att bevara identifieringsuppgifter för kommunikation kan enligt utskottets tidigare bedömning bli ett problem t.ex. för privatpersoner och frivilligorganisationer. Därför kan skyddet för personuppgifter hamna i riskzonen (GrUB 14/2002 rd, s. 6).

Den föreslagna förpliktelsen att bevara uppgifter gäller enligt promemorian i statsrådets skrivelse utöver teleföretag inte några andra tjänstetillhandahållare eller samfund som använder kommunikationstjänster tillhandahållna av teleföretag (samfundsabonnenter). Detta framgår inte klart av artikeltexten i rambeslutet. Med hänvisning till det ovan sagda anser grundlagsutskottet att det är viktigt att tillräckligt exakta bestämmelser om en sådan avgränsning av objektet för regleringen intas i rambeslutet.

Tider för bevarande av identifieringsuppgifter.

Tiden för bevarande av identifieringsuppgifter är enligt artikel 4.1 12—36 månader efter det att uppgifterna har genererats. En medlemsstat kan dock på nationella grunder också införa längre bevaringstider eller besluta att göra undantag från kraven i punkt 1 för uppgiftstyper i punkt 2 när det gäller kommunikationsmetoder enligt samma punkt.

Bevarandet av identifieringsuppgifter är alltid förknippat med risker såväl i fråga om skyddet för tillförlitlig kommunikation som i fråga om skyddet för personuppgifter. Risken ökar ju längre uppgifterna bevaras. Därför har utskottet tidigare ansett att t.ex. identifieringsuppgifter som behövs vid debitering bör utplånas rätt snart efter det att räkningen har betalats och ansett att en betalningstid på tre år bör anses vara exceptionellt lång med tanke på den allmänna personuppgiftslagstiftningen (GrUU 26/1998 rd, s. 3).

Utifrån förslaget till rambeslut är inte en medlemsstat skyldig att införa en längre bevaringstid än ett år och dessutom har medlemsstaten möjlighet att i vissa delar göra undantag i bevaringstiderna enligt rambeslutet. Regleringen blir inte till denna del problematisk med tanke på grundlagen, i synnerhet om utskottets anmärkningar ovan om minimiskyldigheten att bevara uppgifter och precisering av bestämmelserna om bevaringsskyldiga beaktas på behörigt sätt i den fortsatta beredningen. Ju större antalet uppgifter och uppgiftsyper som ska bevaras och ju bredare kretsen av bevaringsskyldiga är, desto mera problematiska kan också längre bevaringstider för uppgifter bli ur proportionalitetssynvinkel. Då kan regleringen bli föremål för bedömning också med tanke på egendomsskyddet i grundlagen.

Lämnande av uppgifter som ska bevars.

En framställning från en medlemsstat till en annan medlemsstat om tillgång till identifieringsuppgifter ska enligt artikel 5 lämnas och bevaras i enlighet med instrument för straffrättsligt samarbete. Den anmodande staten får ge sitt medgivande till en sådan framställning på de villkor som skulle gälla i ett liknande nationellt fall.

Villkoren för lämnande av identifieringsuppgifter ska på basis av förslaget regleras i en medlemsstats nationella lagstiftning. Utskottet har ingenting att anmärka med tanke på hemligheten i fråga om förtroliga meddelanden i 10 § i grundlagen.