Senast publicerat 02-07-2025 20:15

Utlåtande GrUU 48/2022 rd RP 173/2021 rd Grundlagsutskottet Regeringens proposition till riksdagen med förslag till kompletterande lagstiftning om EU:s in- och utresesystem och EU-systemet för reseuppgifter och resetillstånd

Till förvaltningsutskottet

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till kompletterande lagstiftning om EU:s in- och utresesystem och EU-systemet för reseuppgifter och resetillstånd (RP 173/2021 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till förvaltningsutskottet. 

Sakkunniga

Utskottet har hört 

  • lagstiftningsråd Anne Ihanus 
    inrikesministeriet
  • specialsakkunnig Amanda Mäkelä 
    justitieministeriet
  • överinspektör Heikki Huhtiniemi 
    Dataombudsmannens byrå
  • professor Sakari Melander 
  • professor Tuomas Ojanen. 

Skriftligt yttrande har lämnats av 

  • professor Tomi Voutilainen. 

PROPOSITIONEN

I propositionen föreslås ändringar i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet, gränsbevakningslagen, utlänningslagen, lagen om behandling av personuppgifter i polisens verksamhet, lagen om behandling av personuppgifter inom Tullen, lagen om verkställighet av böter och lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet. 

Avsikten var att de föreslagna lagarna om ändring av lagen om verkställighet av böter och lagen om ändring av lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet samt den lagtekniska översynen av utlänningslagen och bestämmelserna om preskription av rätten att påföra och verkställa påföljdsavgift för transportör skulle träda i kraft den 1 januari 2022. De andra ändringarna av utlänningslagen och de övriga föreslagna lagarna avses träda i kraft vid en tidpunkt som föreskrivs genom förordning av statsrådet, samtidigt som informationssystemen tas i bruk genom beslut av kommissionen. 

I motiven till lagstiftningsordningen bedömer regeringen lagförslagen mot grundlagens 10 § om skydd för privatlivet, 21 § om rättsskydd och 81 § om skatter och avgifter. 

Enligt regeringens uppfattning kan lagförslaget behandlas i vanlig lagstiftningsordning. Regeringen anser det emellertid vara önskvärt att grundlagsutskottets utlåtande om propositionen inhämtas. 

UTSKOTTETS ÖVERVÄGANDEN

Utgångspunkter för bedömningen

(1) Syftet med propositionen är att i den nationella lagstiftningen göra de ändringar som krävs av EES-förordningen och Etias-förordningenEuropaparlamentets och rådets förordning (EU) 2017/2226 om inrättande av ett in- och utresesystem för registrering av in- och utreseuppgifter och av uppgifter om nekad inresa för tredjelandsmedborgare som passerar medlemsstaternas yttre gränser, om fastställande av villkoren för åtkomst till in- och utresesystemet för brottsbekämpande ändamål och om ändring av konventionen om tillämpning av Schengenavtalet och förordningarna (EG) nr 767/2008 och (EU) nr 1077/2011 samt Europaparlamentets och rådets förordning (EU) 2018/1240 om inrättande av ett EU-system för reseuppgifter och resetillstånd (Etias) och om ändring av förordningarna (EU) nr 1077/2011, (EU) nr 515/2014, (EU) 2016/399, (EU) 2016/1624 och (EU) 2017/2226.. I lagen anges vissa behöriga myndigheter och preciseras bestämmelserna om behandling av personuppgifter och transportörers skyldigheter. 

(2) Regeringen föreslår också bestämmelser om preskription av rätten att påföra och verkställa påföljdsavgift för transportör och preciseringar av de situationer där påföljdsavgift inte ska påföras. Dessutom föreslås tekniska ändringar i utlänningslagen på grund av översynen av Schengenkonventionen och kodexen om Schengengränserna. 

(3) Förslaget innebär framför allt ett ingrepp i skyddet för privatlivet och skyddet för personuppgifter. I sin bedömning av bestämmelser av det här slaget har grundlagsutskottet brukat anse att bestämmelserna måste granskas mot 10 § i grundlagen. Enligt paragrafens 1 mom. utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Utskottet har tidigare analyserat vilken betydelse tillämpningen av EU:s allmänna dataskyddsförordning får för skyddet för personuppgifter. Enligt utskottet utgör dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, överlag en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och för personuppgifter i 10 § i grundlagen (GrUU 14/2018 rd, s. 4). 

(4) Även i artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna tryggas respekten för privatlivet, och i artikel 8 i stadgan tryggas skyddet för personuppgifter. EU-domstolens domar på dessa punkter är utslagsgivande för det viktigaste innehållet i respekten för privatlivet och skyddet av personuppgifter (se t.ex. GrUU 14/2018 rd, s. 3—4). Likaså har artikel 8 om skydd för privatlivet i Europakonventionen i Europadomstolens rättspraxis ansetts omfatta även skyddet för personuppgifter. 

(5) Den viktigaste frågan i propositionen med avseende på skyddet för privatlivet och för personuppgifter är enligt grundlagsutskottet behandlingen av biometriska kännetecken (se även GrUU 40/2016 rd, stycke 8, GrUU 33/2016 rd och GrUU 29/2016 rd). Exempelvis innehåller fingeravtryck sådan information om personer som gör det möjligt att exakt identifiera dem i mycket olika sammanhang (se t.ex. punkt 84 i Europadomstolens dom i målet S. and Marper mot Förenade kungariket, 4.12.2008). Enligt utskottet kan sådana biometriska identifieringsuppgifter på många sätt jämställas med känsliga uppgifter (se t.ex. GrUU 40/2021 rd). Att tillåta behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter som ingår i privatlivet (GrUU 37/2013 rd, s. 2). Att uppgifter om fingeravtryck över huvud taget förs in i ett register kan därför redan i sig ge anledning till oro med tanke på skyddet för privatlivet (se också punkt 85 i domen i målet S. and Marper mot Förenade kungariket, 4.12.2008). Också EU-domstolen har ansett att tagande och lagring av fingeravtryck ingriper i respekten för privatlivet och skyddet av personuppgifter enligt artiklarna 7 och 8 i stadgan om de grundläggande rättigheterna (Schwarz mot Stadt Bochum C-291/12, punkt 30). 

(6) Relevant är att omfattande register med biometriska kännetecken kan medföra allvarliga risker för informationssäkerheten och för missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd, GrUU 14/2009 rd, s. 3/I). Grundlagsutskottet har ansett att inrättandet av sådana register måste bedömas i ljuset av villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt med hänsyn till inskränkningarnas acceptabilitet och proportionalitet (GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). Enligt grundlagsutskottets etablerade praxis handlar det på det hela taget om att lagstiftaren måste tillgodose rätten till skydd för privatlivet på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna överlag (se t.ex. GrUU 13/2016 rd). 

(7) Enligt grundlagsutskottet genererar registrering av biometriska kännetecken dessutom ett särskilt behov av att se till att de personuppgifter som registreras i systemet skyddas mot risk för missbruk och varje form av olaglig åtkomst till och användning av uppgifterna (GrUU 29/2016 rd, s. 5, se även Schrems C-362/14, punkt 91, Digital Rights Ireland C-293/12 och C-594/12, punkterna 54 och 55). Utskottet har med anledning av detta särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (GrUU 13/2017 rd och GrUU 3/2017 rd). 

(8) Grundlagsutskottet anser med anledning av det som sagts ovan att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån en praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en regleringskontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (se även GrUU 14/2018 rd, s. 6). Utskottet har sett det som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också dataskyddsförordningen kräver måste bedömas utifrån de hot och risker som behandlingen av uppgifterna orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser (GrUU 14/2018 rd, s. 5). 

(9) EES- och Etias-förordningarna är direkt tillämplig rätt, och i dem definieras innehållet i de uppgifter som sparas i systemen exakt. I propositionen föreslås bestämmelser om Gränsbevakningsväsendets, polisens och Tullens rätt att utlämna uppgifter till in- och utresesystemet samt Etias-systemet. 

(10) Grundlagsutskottet har sett det som viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se GrUU 25/2005 rd). Det ingår dock inte i grundlagsutskottets konstitutionella uppdrag att bedöma nationell genomförandelagstiftning med avseende på den materiella EU-rätten (se t.ex. GrUU 12/2019 rd, GrUU 31/2017 rd). Enligt utskottet har det dock stått klart att unionslagstiftningen enligt EU-domstolens etablerade rättspraxis har företräde framför nationell rätt i överensstämmelse med de villkor som lagts fast i denna rättspraxis (se t.ex. GrUU 14/2018 rd, s. 12—13 och GrUU 20/2017 rd, s. 6) och att man i vår nationella lagstiftning inte bör gå in för lösningar som strider mot unionsrätten (GrUU 15/2018 rd, s. 42—43, GrUU 14/2018 rd, s. 13, GrUU 26/2017 rd, s. 42—43). Förvaltningsutskottet bör försäkra sig om att regleringen är förenlig med EU-rätten. 

(11) I avsnittet om propositionens förhållande till grundlagen granskas förslaget mot bestämmelserna om skyddet för privatlivet och personuppgifter i 10 § i grundlagen med beaktande av grundlagsutskottets utlåtandepraxis. I avsnittet behandlas också det nationella handlingsutrymmet. Grundlagsutskottet kan i huvudsak hålla med om analysen. 

Skyddspolisens rätt att få information

(12) Utskottet lyfter fram 52 § 3 mom. i lagförslag 4 om rätt att få uppgifter. Enligt ordalydelsen i bestämmelsen ska skyddspolisen ha rätt att få sådana biometriska uppgifter som samlats in i samband med gränskontroll samt upprätthållande av gränssäkerhet och gränsordning och som är nödvändiga för att skydda den nationella säkerheten. Uppgifterna ska lagras åtskilda från andra uppgifter som skyddspolisen behandlar. 

(13) Behörigheten att samla in dessa uppgifter bygger i och för sig på EES-förordningen. För skyddspolisens del är det fråga om uppgifter som hör till särskilda kategorier av personuppgifter som avses i 11 § i dataskyddslagen för brottmål (biometriska uppgifter för att unikt identifiera en fysisk person). Grundlagsutskottet anser att det är relevant att det i den föreslagna regleringen är fråga om behandling av personuppgifter för andra ändamål än de som anges i EES-förordningen. Uppgifterna behandlas för den nationella säkerhetens skull. Det är således fråga om ett nytt syfte som på nationell nivå ansetts vara behövligt. Grundlagsutskottet anser att rätten att få uppgifter enligt bestämmelsens ordalydelse utgör en betydande förändring jämfört med det gällande rättsläget. 

(14) Utskottet menar att skyddet av den nationella säkerheten i sig kan vara förenat med synnerligen vägande skäl att begränsa de grundläggande fri- och rättigheterna i fråga om skyddet för personuppgifter och skyddet för privatlivet. Den nationella säkerheten kan också EU-rättsligt motivera åtgärder som ingriper i de grundläggande fri- och rättigheterna på ett allvarligare sätt än åtgärder som motiveras utifrån något annat syfte (se även t.ex. domen av den 6 oktober 2020, La Quadrature du Net m.fl., C-511/18, C-512/18 och C520/18, punkt 136). I motiven till lagstiftningsordning och även i andra delar av propositionen läggs det fram synnerligen vägande skäl för de föreslagna bestämmelserna om skyddspolisens rätt att behandla biometriska uppgifter med anknytning till skyddet av den nationella säkerheten. 

(15) Grundlagsutskottet anser dock att den nationella säkerheten inte kan ligga till grund för en rätt att behandla biometriska uppgifter som är hur omfattande som helst. Enligt grundlagsutskottets vedertagna praxis måste det finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla biometriska kännetecken som kan jämställas med känsliga uppgifter bara om det är absolut nödvändigt. På motsvarande sätt har EU-domstolen också i rättspraxis som gäller den nationella säkerheten betonat att undantag från och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är strängt nödvändigt, och att räckvidden av begränsningen i utövandet av den aktuella rättigheten ska vara definierad i den lag som tillåter ingrepp i de här rättigheterna (se sammanfattning i domen av den 6 oktober 2020, La Quadrature du Net m.fl., C-511/18, C-512/18 och C520/18, särskilt punkterna 65—68, se även C-623/17 Privacy International). 

(16) Enligt grundlagsutskottets uppfattning leder ordalydelsen i den föreslagna bestämmelsen till att grunden för rätten att få uppgifter endast är att det ska röra sig om biometriska uppgifter som samlats in i samband med gränskontroll samt upprätthållande av gränssäkerhet och gränsordning och som är nödvändiga för att skydda den nationella säkerheten. Skyddspolisen har i praktiken alltså möjlighet att få biometriska uppgifter i den omfattning som skyddspolisen anser är nödvändig för att skydda den nationella säkerheten. 

(17) Grundlagsutskottet har bedömt frågan om rätten att få uppgifter trots sekretessbestämmelserna och då påpekat att denna rätt ytterst handlar om att behoven hos den myndighet som har rätt att få uppgifterna åsidosätter de grunder och intressen som är skyddade genom den sekretess som gäller den myndighet som innehar informationen. Ju mer generella bestämmelserna om rätten till information är, desto större är risken för att sådana intressen kan åsidosättas per automatik. Ju fullständigare bestämmelserna kopplar rätten till information till villkor i sak, desto mer sannolikt är det att en begäran om uppgifter måste motiveras. Det har också ansetts vara av betydelse att även den som lämnar ut uppgifterna då kan bedöma begäran med avseende på de lagliga villkoren för att lämna ut dem (se t.ex. GrUU 48/2018 rd). Genom att de facto vägra lämna ut uppgifterna kan den som innehar dem skapa en situation där en utomstående myndighet måste undersöka skyldigheten att lämna ut uppgifter, det vill säga tolka bestämmelserna. Denna möjlighet är viktig när det gäller att anpassa tillgången till information och sekretessintressena till varandra (se t.ex. GrUU 17/2016 rd och de utlåtanden som nämns där). 

(18) Enligt utredning till grundlagsutskottet är syftet med bestämmelsen dock inte att ge skyddspolisen behörighet att behandla nämnda uppgifter endast med stöd av bestämmelsen och den nödvändighetsbedömning som ska göras inom ramen för den. Enligt propositionen (s. 79) ska rätten att använda biometriska uppgifter som lagrats på detta sätt alltid vara bunden till enskilda tjänsteuppdrag där det är nödvändigt att behandla dessa uppgifter. I 48 § i lagen, som stiftats med grundlagsutskottets medverkan (GrUU 51/2018 rd), föreskrivs det om skyddspolisens rätt att behandla personuppgifter för att skydda den nationella säkerheten, förhindra, avslöja och utreda förehavanden som äventyrar rätts- och samhällsordningen eller statens säkerhet samt förhindra och avslöja brott som hotar rätts- och samhällsordningen eller statens säkerhet. Enligt 49 § 2 mom. i lagen får skyddspolisen behandla uppgifter som hör till särskilda kategorier av personuppgifter för att utföra sina uppgifter. 

(19) På behandling av personuppgifter vid skyddspolisen i syfte att skydda den nationella säkerheten tillämpas som allmän lag lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (dataskyddslagen för brottmål), som stiftats med grundlagsutskottets medverkan (GrUU 26/2018 rd). När det gäller behandlingssyftet baserar sig behandlingen av personuppgifter enligt propositionen på 1 § 2 mom. 2 punkten i dataskyddslagen för brottmål och behandlingen av biometriska uppgifter på 11 § i lagen. I 2 kap. i den lagen ingår i konstitutionellt hänseende adekvata bestämmelser om principerna för behandling av personuppgifter (GrUU 26/2018 rd, s. 4). 

(20) Grundlagsutskottet anser att 52 § 3 mom. måste preciseras så att den begränsning som nämns i motiveringen framgår tydligare, nämligen att biometriska uppgifter som erhållits med stöd av bestämmelsen får behandlas endast i samband med enskilda tjänsteuppdrag under de förutsättningar för behandling av uppgifter vid skyddspolisen som redan föreskrivs någon annanstans i lag. Det är ett villkor för att lagförslag 4 ska kunna behandlas i vanlig lagstiftningsordning. 

FÖRSLAG TILL BESLUT

Grundlagsutskottet anför

att lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 4 bara om utskottets konstitutionella anmärkning till dess 52 § 3 mom. beaktas på behörigt sätt. 
Helsingfors 6.10.2022 

I den avgörande behandlingen deltog

ordförande 
Johanna Ojala-Niemelä sd 
 vice ordförande 
Heikki Vestman saml 
 medlem 
Outi Alanko-Kahiluoto gröna 
 medlem 
Bella Forsgrén gröna 
 medlem 
Hannu Hoskonen cent 
 medlem 
Olli Immonen saf 
 medlem 
Mikko Kinnunen cent 
 medlem 
Anna Kontula vänst 
 medlem 
Jukka Mäkynen saf 
 medlem 
Sakari Puisto saf 
 medlem 
Ville Valkonen saml 
 medlem 
Tuula Väätäinen sd 
 ersättare 
Johannes Koskinen sd 
 ersättare 
Wille Rydman wr. 
 

Sekreterare var

utskottsråd 
Mikael Koillinen.