Senast publicerat 10-06-2022 14:48

Utlåtande GrUU 33/2022 rd RP 134/2021 rd Grundlagsutskottet Regeringens proposition till riksdagen med förslag till lag om interoperabilitet mellan Europeiska unionens informationssystem

Till förvaltningsutskottet

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lag om interoperabilitet mellan Europeiska unionens informationssystem (RP 134/2021 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till förvaltningsutskottet. 

Sakkunniga

Utskottet har hört 

  • chef för enheten för internationellt samarbete Matti Pitkäniitty 
    inrikesministeriet
  • polisdirektör Hannele Taavila 
    inrikesministeriet
  • specialsakkunnig Amanda Mäkelä 
    justitieministeriet
  • överinspektör Heikki Huhtiniemi 
    Dataombudsmannens byrå
  • professor Sakari Melander 
  • professor Tuomas Ojanen. 

Skriftligt yttrande har lämnats av 

  • professor Tomi Voutilainen. 

PROPOSITIONEN

I propositionen föreslås det att det stiftas en lag om interoperabilitet mellan Europeiska unionens informationssystem. 

Den föreslagna lagen avses träda i kraft 1.9.2022. 

I motiven till lagstiftningsordningen i propositionen granskas lagförslagen med avseende på skyddet för privatlivet enligt 10 § i grundlagen. 

Enligt regeringens uppfattning kan lagförslaget behandlas i vanlig lagstiftningsordning. 

UTSKOTTETS ÖVERVÄGANDEN

Utgångspunkter för bedömningen

(1)I propositionen föreslås det att det stiftas en lag om interoperabilitet mellan Europeiska unionens informationssystem. I lagen föreslås sådana bestämmelser om behöriga myndigheter och deras åtkomst till den gemensamma databasen för identitetsuppgifter som kompletterar två förordningar av Europaparlamentet och rådet, det vill säga en förordning om interoperabilitet mellan EU-informationssystem på området polissamarbete och straffrättsligt samarbete och en förordning om interoperabilitet mellan EU-informationssystem på området gränser och viseringar. 

(2)I avsnittet om propositionens förhållande till grundlagen granskas förslaget i förhållande till skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen med beaktande av grundlagsutskottets utlåtandepraxis. I avsnittet redogörs också för grundlagsutskottets utlåtandepraxis i fråga om den unionslagstiftning som i beredningsfasen låg till grund för den föreslagna regleringen. Grundlagsutskottet kan i huvudsak hålla med om analysen. 

(3)Förslaget innebär ett ingrepp i skyddet för privatlivet och skyddet för personuppgifter. I sin bedömning av bestämmelser av det här slaget har grundlagsutskottet i allmänhet brukat anse att bestämmelserna måste granskas mot 10 § i grundlagen. Enligt paragrafens 1 mom. utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Utskottet har tidigare analyserat vilken betydelse tillämpningen av EU:s allmänna dataskyddsförordning får för skyddet för personuppgifter. Enligt utskottet utgör dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, överlag en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och för personuppgifter i 10 § i grundlagen (GrUU 14/2018 rd, s. 4). 

(4)Även i artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna tryggas respekten för privatlivet, och i artikel 8 i stadgan tryggas skyddet för personuppgifter. EU-domstolens domar på dessa punkter är utslagsgivande för det viktigaste innehållet i respekten för privatlivet och skyddet av personuppgifter (se t.ex. GrUU 14/2018 rd, s. 3—4). Likaså har artikel 8 om skydd för privatlivet i Europakonventionen i Europadomstolens rättspraxis ansetts omfatta även skyddet för personuppgifter. 

(5)Bestämmelser om behandling av personuppgifter enligt lagförslaget finns enligt 4 § 2 mom. i lagförslaget i EU:s allmänna dataskyddsförordning, i dataskyddslagen och i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten när behandlingen av personuppgifter utförs av de behöriga myndigheterna i interoperabilitetssyfte i syfte att förebygga, förhindra, upptäcka eller utreda terroristbrott eller andra grova brott. Till skillnad från den direkt tillämpliga dataskyddsförordningen innehåller polisdirektivet som genomförts genom den sistnämnda lagen inte några sådana detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund när det gäller skyddet för privatlivet och för personuppgifter enligt 10 § i grundlagen (GrUU 14/2018 rd, s. 6, se också GrUU 26/2018 rd, s. 3). 

(6)Det relevanta är att man genom interoperabilitetsförordningarna inrättar en gemensam biometrisk matchningstjänst som skapar en matematisk modell utifrån de biometriska kännetecken som har förts in i informationssystemen på EU-nivå och lagrar modellen i den gemensamma databasen. Genom förordningarna inrättas också en gemensam databas för identitetsuppgifter och en detektor för multipla identiteter, vilka behöver den ovannämnda biometriska matchningstjänsten för att fungera. 

(7)Den viktigaste frågan i propositionen med avseende på skyddet för privatlivet och för personuppgifter är enligt grundlagsutskottet behandlingen av biometriska kännetecken (se även GrUU 40/2016 rd, stycke 8, GrUU 33/2016 rd och GrUU 29/2016 rd). Exempelvis innehåller fingeravtrycken sådan information om personer som gör det möjligt att exakt identifiera dem i mycket olika sammanhang (se t.ex. punkt 84 i Europadomstolens dom i målet S. and Marper mot Förenade kungariket, 4.12.2008). Enligt utskottet kan sådana biometriska identifieringsuppgifter på många sätt jämställas med känsliga uppgifter (se t.ex. GrUU 40/2021 rd). Att tillåta behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter som ingår i privatlivet (GrUU 37/2013 rd, s. 2). Att uppgifter om fingeravtryck över huvud taget förs in i ett register kan därför redan i sig ge anledning till oro med tanke på skyddet för privatlivet (se också punkt 85 i domen i målet S. and Marper mot Förenade kungariket, 4.12.2008). Också EU-domstolen har ansett att tagande och lagring av fingeravtryck ingriper i respekten för privatlivet och skyddet av personuppgifter enligt artiklarna 7 och 8 i stadgan om de grundläggande rättigheterna (Schwarz mot Stadt Bochum C-291/12, punkt 30). 

(8)Omfattande register med biometriska kännetecken kan medföra allvarliga risker för informationssäkerheten och för missbruk av uppgifter som i sista hand kan utgöra ett hot mot personers identitet (GrUU 13/2016 rd, GrUU 14/2009 rd, s. 3/I). Grundlagsutskottet har ansett att inrättandet av sådana register måste bedömas i ljuset av villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt med hänsyn till inskränkningarnas acceptabilitet och proportionalitet (GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). Enligt grundlagsutskottets etablerade praxis handlar det på det hela taget om att lagstiftaren måste tillgodose rätten till skydd för privatlivet på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna överlag (se t.ex. GrUU 13/2016 rd). 

(9)Enligt grundlagsutskottet genererar registrering av biometriska kännetecken dessutom ett särskilt behov av att se till att de personuppgifter som registreras i systemet skyddas mot risk för missbruk och varje form av olaglig åtkomst till och användning av uppgifterna (GrUU 29/2016 rd, s. 5, se även Schrems C-362/14, punkt 91, Digital Rights Ireland C-293/12 och C-594/12, punkterna 54 och 55). Utskottet har med anledning av detta särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (GrUU 13/2017 rd och GrUU 3/2017 rd). 

(10)Grundlagsutskottet anser med anledning av det som sagts ovan att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån en praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en regleringskontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (se även GrUU 14/2018 rd, s. 6). Utskottet har sett det som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också dataskyddsförordningen kräver måste bedömas utifrån de hot och risker som behandlingen av uppgifterna orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser (GrUU 14/2018 rd, s. 5). 

(11)De EU-förordningar som nu ska kompletteras är direkt tillämpliga. Enligt propositionsmotiven ska den nationella regleringen därmed ändras till den del förordningarna förutsätter att det utfärdas nationell lagstiftning eller den gällande nationella lagstiftningen står i strid med förordningarna. De behöriga myndigheternas åtkomst till databasen för identitetsuppgifter för att identifiera en person omfattas i förordningarna av det nationella handlingsutrymmet. 

(12)Grundlagsutskottet har sett det som viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se GrUU 25/2005 rd). Det ingår dock inte i grundlagsutskottets konstitutionella uppdrag att bedöma nationell genomförandelagstiftning med avseende på den materiella EU-rätten (se t.ex. GrUU 12/2019 rd, GrUU 31/2017 rd). Enligt utskottet har det dock stått klart att unionslagstiftningen enligt EU-domstolens etablerade rättspraxis har företräde framför nationell rätt i överensstämmelse med de villkor som lagts fast i denna rättspraxis (se t.ex. GrUU 14/2018 rd, s. 12—13 och GrUU 20/2017 rd, s. 6) och att man i vår nationella lagstiftning inte bör gå in för lösningar som strider mot unionsrätten (GrUU 15/2018 rd, s. 42—43, GrUU 14/2018 rd, s. 13, GrUU 26/2017 rd, s. 42—43). Förvaltningsutskottet bör försäkra sig om att regleringen är förenlig med EU-rätten. 

(13)Grundlagsutskottet har också påpekat att bestämmelserna om behandling av personuppgifter är tungrodda och komplicerade (se t.ex. GrUU 31/2017 rd, s. 4, och GrUU 71/2014 rd, s. 3). Att regleringen är tydlig är av betydelse också med tanke på rättsskyddet för de tjänstemän som tillämpar den (se även GrUU 4/2021 rd, stycke 14). Det komplex som den tillämpliga lagstiftningen utgör kan inte anses vara klart och begripligt. Förhållandet mellan unionsrätten och den nationella lagstiftningen är delvis överlappande och delvis avskiljande. Enligt grundlagsutskottet är det klart att den svårtydda unionsrätten och även det begränsade och specifika tillämpningsområdet för unionens dataskyddslagstiftning är en synnerligen starkt bidragande orsak till den komplicerade regleringen. Grundlagsutskottet anser trots det att förvaltningsutskottet bör undersöka om det finns något sätt att förtydliga regleringen. 

Åtkomst till den gemensamma databasen för identitetsuppgifter

(14)I 3 § i lagförslaget föreslås det att det nationella handlingsutrymmet för interoperabilitetsförordningarna ska utnyttjas så att regleringen gör det möjligt för de behöriga myndigheterna att få tillgång till den gemensamma databasen för identitetsuppgifter. Grundlagsutskottet anser därför att det är av betydelse att de föreslagna bestämmelserna gäller biometriska uppgifter som ska betraktas som känsliga. 

(15)På de grunder som beskrivs i specialmotiveringen föreslås det att de behöriga myndigheterna avgränsas till polisen, Gränsbevakningsväsendet och Tullen. Grundlagsutskottet har ingenting att invända mot grunderna för regleringen till denna del. Dessa myndigheters tillgång till den gemensamma databasen för identitetsuppgifter har genom bestämmelser i lag begränsats till sådana situationer där det är nödvändigt för att utföra sådana uppgifter som har definierats tillräckligt exakt och noggrant avgränsat i den föreslagna bestämmelsen, särskilt med beaktande av de bestämmelser som blir tillämpliga i direkt tillämpliga EU-förordningar och de EU-förordningar som nu kompletteras. 

(16)Grundlagsutskottet påminner dock om bestämmelserna om Tullens och Gränsbevakningsväsendets rätt i 3 § 2 mom. i lagförslaget. Tullen och Gränsbevakningsväsendet har rätt att använda den gemensamma databasen för identitetsuppgifter för att identifiera en person, om de förutsättningar som anges i artikel 20.1 i gränsinteroperabilitetsförordningen och i artikel 20.1 i polisinteroperabilitetsförordningen uppfylls och om det är nödvändigt för att avslöja och förhindra olaglig införsel, utförsel eller transitering av sådana varor eller ämnen som är till fara för människor eller miljön. Rätten att använda den gemensamma databasen för identitetsuppgifter är i och för sig bunden till nödvändighetskravet på behörigt sätt. 

(17)Enligt propositionsmotiven (s. 29) kan det till exempel vara fråga om import av vapen, kemikalier som medför fara eller radioaktivt avfall, men också om en situation där en person misstänks föra in olagliga ämnen i kroppen över gränsen och vägrar låta sin identitet utredas. Enligt utredning till grundlagsutskottet kan det vara fråga om olaglig införsel av till exempel narkotika, läkemedel eller snus. 

(18)Enligt grundlagsutskottets uppfattning verkar regleringen således göra det möjligt att använda databasen för identitetsuppgifter och även att använda biometriska fingeravtryck och ansiktsbilder i detta syfte också i rätt ringa fall av lagstridig import, export eller transitering, trots att rätten att använda databasen för identitetsuppgifter i ordalydelsen har begränsats till situationer som medför fara för människor eller miljön. Förvaltningsutskottet bör ändra regleringen så att tröskeln för att använda känsliga biometriska kännetecken höjs. 

(19)Grundlagsutskottet noterar dessutom att en behörig myndighet enligt 3 § 3 mom. i lagförslaget ska utföra sökningarna i den gemensamma databasen för identitetsuppgifter med iakttagande av artikel 20.2 och 20.3 i gränsinteroperabilitetsförordningen och artikel 20.2 och 20.3 i polisinteroperabilitetsförordningen. I förordningarnas artiklar som det hänvisas till finns det relativt lite reglering av de förfaranden som ska iakttas när sökningar utförs. Enligt artikel 20.5 i förordningarna ska medlemsstaterna däremot fastställa förfaranden, villkor och kriterier för identifiering. Förvaltningsutskottet bör bedöma om det nationellt bör föreskrivas mer exakt om det förfarande som ska iakttas vid sökningar som gäller också känsliga biometriska kännetecken. 

(20)Enligt artikel 20.1 i båda förordningarna får sådana sökningar som avses i denna punkt inte göras om minderåriga under 12 år, såvida det inte sker för barnets bästa. Bestämmelserna är relevanta också med tanke på konventionen om barnets rättigheter till den del det är fråga om behandling av biometriska uppgifter om barn (se även GrUU 40/2021 rd, stycke 14). Särskilt behandlingen av biometriska uppgifter om barn ska enligt grundlagsutskottet vara nödvändigt med avseende på ett godtagbart syfte (GrUU 40/2021 rd, stycke 19, och GrUU 29/2016 vp). Bestämmelserna i förordningen är i och för sig direkt tillämpliga i medlemsstaterna. Med tanke på tillgodoseendet av barnets rättigheter är det dock motiverat att komplettera lagförslagets 3 § med en informativ hänvisning till bestämmelserna i artikel 20.1 i förordningarna. 

(21)Enligt en uttrycklig bestämmelse i 15 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet, som stiftats med grundlagsutskottets medverkan, har endast den rätt att använda biometriska personuppgifter vars arbetsuppgifter nödvändigtvis kräver användning av uppgifterna. Utskottet menar att även den nu föreslagna 3 § bör kompletteras med en motsvarande bestämmelse (se även GrUU 6/2010 rd, s. 4 och 5). 

FÖRSLAG TILL BESLUT

Grundlagsutskottet anför

att lagförslaget kan behandlas i vanlig lagstiftningsordning. 
Helsingfors 8.6.2022 

I den avgörande behandlingen deltog

ordförande 
Johanna Ojala-Niemelä sd 
 
medlem 
Outi Alanko-Kahiluoto gröna 
 
medlem 
Bella Forsgrén gröna 
 
medlem 
Jukka Gustafsson sd 
 
medlem 
Maria Guzenina sd 
 
medlem 
Hannu Hoskonen cent 
 
medlem 
Olli Immonen saf 
 
medlem 
Hilkka Kemppi cent 
 
medlem 
Anna Kontula vänst 
 
medlem 
Jukka Mäkynen saf 
 
medlem 
Wille Rydman saml 
 
medlem 
Tuula Väätäinen sd. 
 

Sekreterare var

utskottsråd 
Mikael Koillinen.