Motivering
Allmänt.
Enligt artikel 3 och 4 i utkastet till rambeslut ska varje medlemsstat
vidta nödvändiga åtgärder för
att se till att bevarade uppgifter som har behandlats och lagrats
av leverantörer av ett allmänt kommunikationsnät
eller allmänt tillgängliga elektroniska kommunikationstjänster, dvs.
identifieringsuppgifter för kommunikation som ska bevaras
enligt rambeslutet, bevaras under minst 12 och högst 36
månader efter det att de har genererats.
Bestämmelserna bör bedömas framför
allt med tanke på skyddet för personuppgifter
i 10 § 1 mom. i grundlagen. De kan beroende på detaljerna
också ha betydelse för hemligheten i fråga om
förtroliga meddelanden i 10 § 2 mom, yttrandefriheten
i 12 § 1 mom. och egendomsskyddet i 15 § grundlagen.
Enligt 10 § 1 mom. i grundlagen utfärdas närmare
bestämmelser om skydd för personuppgifter genom
lag. Grundlagshänvisningen innebär att det ska
lagstiftas om denna rättighet (GrUB 25/1994
rd, s. 6) men att detaljerna lämnas åt lagstiftarens
prövning. En sådan bestämmelse om de
grundläggande fri- och rätttigheterna binder lagstiftarens
prövningsrätt visavi innehållet i mindre
grad än en bestämmelse med ett sådant regleringsförbehåll
där den grundläggande fri- och rättigheten
konstateras föreligga i enlighet med vad som bestäms
i lag (t.ex. GrUU 51/2002 rd, s. 2).
Enligt grundlagsutskottets praxis (t.ex. GrUU 14/2002
rd, s. 2) begränsas dock lagstiftarens spelrum
av att skyddet för personuppgifter utgör en del
av skyddet för privatlivet i samma moment. Det är
alltså fråga om att lagstiftaren ska trygga denna
rättighet på ett sätt som kan anses godtagbart
med hänsyn till de grundläggande fri- och rättigheterna.
Lagstiftaren är i sin prövning bunden av att det
vid en registrering är viktigt att reglera åtminstone
syftet, innehållet i de registrerade personuppgifterna,
tillåtna användningsändamål,
inbegripet uppgifternas tillförlitlighet och bevaringstiden
för uppgifterna i personregistren samt den registrerades
rättsskydd. Regleringen av dessa faktorer på lagnivå ska
dessutom vara omfattande och detaljerad (t.ex. GrUU 51/2002
rd, s. 2).
Skyddet av personuppgifter behandlas också i artikel
8 i Europeiska unionens stadga om de grundläggande rättigheterna.
Artikel 8 i Europarådets konvention om de mänskliga
rättigheterna innehåller också bestämmelser
om envars rätt till skydd för sitt privatliv och
sin korrespondens.
Syfte med bevarande av uppgifter.
Syftet med rambeslutet är att underlätta straffrättsligt
samarbete genom tillnärmning av medlemsstaternas lagstiftning
om bevarande av identifieringsuppgifter för kommunikationer
för förebyggande, utredning, upptäckt
och lagföring av brott eller straffbara gärningar,
inklusive terrorism. Dessa syften kan godkännas med tanke
på de grundläggande fri- och rättigheterna
och utskottet har ingenting att anmärka mot regleringens
mål.
Uppgifter som ska bevaras.
Skyldigheten att bevara uppgifter förelås
gälla uppgifter som har behandlats och lagrats av leverantörer
av kommunikationstjänster eller kommunikationsnät. Enligt
artikel 2.1 omfattar de trafik-, lokaliserings-, användar-
och abonnentuppgifter. Uppgifter som avses i rambeslutet är
enligt artikel 2.2 bl.a. uppgifter som är nödvändiga
för att spåra källan till en kommunikation
liksom uppgifter som är nödvändiga för
att identifiera källan eller fastställa kommunikationsanordningen
eller uppgifter som är nödvändiga för
att fastställa tidpunkt och dag och varaktighet för
en kommunikation samt för att fastställa kommunikation och
platsen för en kommunikation. Bestämmelserna tillämpas
enligt artikel 1.2 inte på innehållet i utväxlad
kommunikation så är föreskrivet i nationell
lagstiftning.
Förpliktelsen att bevara identifieringsuppgifterna
ser ut att gälla i mycket vidsträckt omfattning,
i synnerhet som den enligt artikel 2.3 och 2.4 utöver telefoni
avses gälla vissa nuvarande och framtida telefon- och datanättjänster. Å andra
sidan kan en medlemsstat göra undantag från regleringen — eller åtminstone
bevarandetiderna enligt rambeslutet — för uppgiftstyper
som avses i artikel 4.2 och kommunikationsmetoder under samma punkt.
Enligt promemorian i bilagan till statsrådets skrivelse
omfattar förpliktelsen att bevara uppgifterna endast sådana
uppgifter som redan är i teleföretags besittning
och som har inhämtats på grund av lagliga affärsintressen.
Den föreslagna artikeltexten gör det svårt
att bedöma en sådan avgränsning. Det
kan dock anses att det hänvisas till en avgränsning
av uttrycken ("uppgifter som har behandlats och lagrats") som i
artikel 1.4 om att rambeslutet inte påverkar nationella regler
om bevarande av uppgiftstyper som leverantörer av kommunikationstjänster
inte bevarar i affärssyfte. Bestämmelsen står
dock strid med stycke 6 i ingressen om att rambeslutet rör
"bevarande" av uppgifter på förhand, inte "säkrande"
av uppgifter i efterhand.
Utskottet anser att det är viktigt att rambeslutet
preciseras till denna del. Med tanke på en minimiförpliktelse
att bevara uppgifter är det viktigt vilka uppgifter eller
uppgiftstyper förpliktelsen omfattar. Detta slag av viktiga
frågor och avgränsningar visavi regleringen bör
framgå tydligare av bestämmelserna .
Det kan bli problem också med bestämmelsernas
rätta proportioner om förpliktelsen att bevara
uppgifter utsträcks så att de omfattar inte bara de
uppgifter som företagen för närvarande
lagrar utan också nya uppgiftstyper och kommunikationsmetoder.
Därför omfattar utskottet att förpliktelsen
att bevara identifieringsuppgifter ska gälla sådana
identifieringsuppgifter hos teleföretagen som redan bevaras
i flera månader som en del av den lagliga nät-
och kommunikationstjänsten.
De som är skyldiga att bevara
uppgifter.
Den föreslagna regleringen gäller leverantörer
av ett allmänt kommunikationsnät och allmänt
tillgängliga elektroniska kommunikationstjänster. Därmed
verkar regleringen omfatta en mycket bred grupp av aktörer.
Grundlagsutskottet har tidigare (GrUB 14/2002
rd, s. 3) ansett att särskilt kommunikation på nätet
skiljer sig från mera traditionella former av kommunikation,
bl.a. att elektroniska nät används exceptionellt
mycket också av privatpersoner, liksom av frivilligorganisationer och
motsvarande. Därför har utskottet inte ansett
det befogat, åtminstone i alla hänseenden, att
privatpersoner och medieföretag berörs av samma
skyldigheter. En sådan reglering kan i praktiken undergräva
privatpersoners möjligheter att utöva sin yttrandefrihet
på nätet. Att olika aktörer får
en omfattande skyldighet att bevara identifieringsuppgifter för
kommunikation kan enligt utskottets tidigare bedömning
bli ett problem t.ex. för privatpersoner och frivilligorganisationer.
Därför kan skyddet för personuppgifter
hamna i riskzonen (GrUB 14/2002 rd,
s. 6).
Den föreslagna förpliktelsen att bevara uppgifter
gäller enligt promemorian i statsrådets skrivelse
utöver teleföretag inte några andra tjänstetillhandahållare
eller samfund som använder kommunikationstjänster
tillhandahållna av teleföretag (samfundsabonnenter).
Detta framgår inte klart av artikeltexten i rambeslutet.
Med hänvisning till det ovan sagda anser grundlagsutskottet
att det är viktigt att tillräckligt exakta bestämmelser
om en sådan avgränsning av objektet för
regleringen intas i rambeslutet.
Tider för bevarande av identifieringsuppgifter.
Tiden för bevarande av identifieringsuppgifter är
enligt artikel 4.1 12—36 månader efter det att uppgifterna
har genererats. En medlemsstat kan dock på nationella grunder
också införa längre bevaringstider eller
besluta att göra undantag från kraven i punkt
1 för uppgiftstyper i punkt 2 när det gäller
kommunikationsmetoder enligt samma punkt.
Bevarandet av identifieringsuppgifter är alltid förknippat
med risker såväl i fråga om skyddet för
tillförlitlig kommunikation som i fråga om skyddet
för personuppgifter. Risken ökar ju längre
uppgifterna bevaras. Därför har utskottet tidigare
ansett att t.ex. identifieringsuppgifter som behövs vid
debitering bör utplånas rätt snart efter
det att räkningen har betalats och ansett att en betalningstid
på tre år bör anses vara exceptionellt
lång med tanke på den allmänna personuppgiftslagstiftningen
(GrUU 26/1998 rd, s. 3).
Utifrån förslaget till rambeslut är
inte en medlemsstat skyldig att införa en längre
bevaringstid än ett år och dessutom har medlemsstaten möjlighet
att i vissa delar göra undantag i bevaringstiderna enligt
rambeslutet. Regleringen blir inte till denna del problematisk med
tanke på grundlagen, i synnerhet om utskottets anmärkningar
ovan om minimiskyldigheten att bevara uppgifter och precisering
av bestämmelserna om bevaringsskyldiga beaktas på behörigt
sätt i den fortsatta beredningen. Ju större antalet
uppgifter och uppgiftsyper som ska bevaras och ju bredare kretsen
av bevaringsskyldiga är, desto mera problematiska kan också längre
bevaringstider för uppgifter bli ur proportionalitetssynvinkel. Då kan
regleringen bli föremål för bedömning också med
tanke på egendomsskyddet i grundlagen.
Lämnande av uppgifter som ska bevars.
En framställning från en medlemsstat till
en annan medlemsstat om tillgång till identifieringsuppgifter
ska enligt artikel 5 lämnas och bevaras i enlighet med
instrument för straffrättsligt samarbete. Den
anmodande staten får ge sitt medgivande till en sådan
framställning på de villkor som skulle gälla
i ett liknande nationellt fall.
Villkoren för lämnande av identifieringsuppgifter
ska på basis av förslaget regleras i en medlemsstats
nationella lagstiftning. Utskottet har ingenting att anmärka
med tanke på hemligheten i fråga om förtroliga
meddelanden i 10 § i grundlagen.