Senast publicerat 24-02-2022 10:12

Utlåtande GrUU 8/2022 rd RP 109/2021 rd Grundlagsutskottet Regeringens proposition till riksdagen med förslag till lagar om ändring av kreditupplysningslagen, 86 § i betaltjänstlagen och 4 a § i straffregisterlagen

Till lagutskottet

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lagar om ändring av kreditupplysningslagen, 86 § i betaltjänstlagen och 4 a § i straffregisterlagen (RP 109/2021 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till lagutskottet. 

Sakkunniga

Utskottet har hört 

  • lagstiftningsråd Virpi Koivu 
    justitieministeriet
  • dataombudsman Anu Talus 
    Dataombudsmannens byrå
  • överinspektör Silja Kantonen 
    Dataombudsmannens byrå
  • riksdagens justitieombudsman Petri Jääskeläinen 
    riksdagens justitieombudsmans kansli
  • professor Olli Mäenpää 
  • professor (emeritus) Teuvo Pohjolainen 
  • professor Kaarlo Tuori 
  • professor Veli-Pekka Viljanen. 

Skriftligt yttrande har lämnats av 

  • professor Susanna Lindroos-Hovinheimo. 

PROPOSITIONEN

Regeringen föreslår att kreditupplysningslagen, betaltjänstlagen och straffregisterlagen ändras. 

Lagarna avses träda i kraft så snart som möjligt, med undantag för 18 och 28 § i kreditupplysningslagen, som avses träda i kraft sex månader senare än de andra bestämmelserna i den lagen. 

I motiven till lagstiftningsordningen granskas lagförslagen med avseende på grundlagens 10 § om skydd för privatlivet och skydd för personuppgifter och 124 § om överföring av förvaltningsuppgifter på andra än myndigheter. Uppmärksamhet fästs också vid skyddet för privatlivet enligt artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) samt vid skyddet för privatlivet enligt artikel 7, skyddet för personuppgifter enligt artikel 8 och bestämmelserna i artikel 52 i Europeiska unionens stadga om de grundläggande rättigheterna. 

Regeringen anser att lagförslagen kan behandlas i vanlig lagstiftningsordning. Regeringen anser det dock önskvärt att grundlagsutskottet lämnar utlåtande i ärendet. 

UTSKOTTETS ÖVERVÄGANDEN

Utgångspunkter för bedömningen

(1)I propositionen föreslås det att kreditupplysningslagen, betaltjänstlagen och straffregisterlagen ändras. Syftet med propositionen är att i dessa lagar göra nödvändiga ändringar som följer av Europeiska unionens dataskyddslagstiftning. Dessutom föreslås det att vissa lagringstider för uppgifter om betalningsstörningar förkortas. Regleringen grundar sig till denna del på ett uttalande av riksdagen (RSv 69/2020 rd), där riksdagen förutsätter att statsrådet påskyndar lagstiftningen om registret över betalningsstörningar så att personer som har betalat de avgifter som ligger till grund för anteckningen om betalningsstörning på behörigt sätt ska avföras ur registret 1 månad efter att avgiften har betalats. 

(2)Förslaget är betydelsefullt med avseende på skyddet för privatlivet och personuppgifter i 10 § i grundlagen. Bestämmelserna är av betydelse också med avseende på EU:s stadga om de grundläggande rättigheterna. I artikel 7 i stadgan tryggas respekten för privatlivet och i artikel 8 vars och ens rätt till skydd av de personuppgifter som rör honom eller henne. 

(3)Grundlagsutskottet har tidigare bedömt ett lagförslag om arbetsgivarens rätt att behandla personkreditupplysningar (GrUU 12/2008 rd). I och med att dataskyddsförordningen började tillämpas såg utskottet det som motiverat att justera sin tidigare ståndpunkt till vissa bestämmelser som är viktiga med tanke på skyddet för personuppgifter (GrUU 14/2018 rd, s. 4). 

(4)Med avseende på 10 § 1 mom. i grundlagen räcker det enligt grundlagsutskottet i princip med att bestämmelserna uppfyller kraven i EU:s allmänna dataskyddsförordning. Enligt utskottet bör skyddet för personuppgifter i första hand tillgodoses utifrån den allmänna dataskyddsförordningen och den allmänna lagstiftningen på nationell nivå. Lagstiftaren bör alltså vara restriktiv när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (se GrUU 14/2018 rd, s. 5). 

(5)Grundlagsutskottet ser det dock som klart att behovet av speciallagstiftning måste bedömas utifrån det riskbaserade förhållningssätt som också dataskyddsförordningen kräver, vilket innebär att avseende måste fästas vid de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (se GrUU 14/2018 rd, s. 5). 

(6)Regeringen föreslår också att straffregisterlagen, som hör till tillämpningsområdet för dataskyddslagen avseende brottmål, ändras. Dataskyddsdirektivet har genomförts nationellt genom den lagen (se GrUU 26/2018 rd). Till skillnad från den direkt tillämpliga dataskyddsförordningen innehåller direktivet inte några sådana detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund när det gäller skyddet för privatlivet och för personuppgifter i 10 § i grundlagen (GrUU 14/2018 rd, s. 6, se också GrUU 26/2018 rd, s. 3). 

(7)Med kreditupplysning avses enligt 3 § 1 punkten i kreditupplysningslagen uppgifter som gäller en fysisk persons eller ett företags betalningsförmåga eller betalningsvilja eller som på något annat sätt anger en persons eller ett företags förmåga att uppfylla sina åtaganden och som används i samband med kreditgivning och kreditbevakning. Kreditupplysningar kan enligt grundlagsutskottets uppfattning inte som sådana betraktas som sådana särskilda personuppgifter som avses i artikel 9 i dataskyddsförordningen och som det i princip är förbjudet att behandla på grund av att de är särskilt känsliga. Utskottet anser att kreditupplysningar i princip inte heller bör betraktas som konstitutionellt känsliga uppgifter. Vissa kreditupplysningar kan dock innehålla sekretessbelagda uppgifter, exempelvis uppgifter om en persons verksamhet i privatlivet och ekonomiska ställning, som kan jämställas med känsliga uppgifter. Behandlingen av kreditupplysningar kan således vara förenad med särskilda risker. Utskottet anser därför att det inom ramen för dataskyddsförordningen är nödvändigt med detaljerade bestämmelser på lagnivå om behandlingen av kreditupplysningar. 

(8)Grundlagsutskottet anser att behovet av reglering och det nationella handlingsutrymmet beskrivs på behörigt sätt i propositionen, och utskottet har inget att anmärka på dessa omständigheter. Propositionen är ett exempel på god lagberedning. Grundlagsutskottet anser dock att lagutskottet bör försäkra sig om att regleringen till sitt innehåll är förenlig med EU:s allmänna dataskyddsförordning och fästa särskild uppmärksamhet vid bestämmelserna om automatiserat beslutsfattande och behandling av personuppgifter som rör fällande domar i brottmål och överträdelser. Lagutskottet bör också försäkra sig om att de föreslagna skyddsåtgärderna är tillräckliga och att begränsningarna av den registrerades rättigheter är motiverade. 

Överföring av förvaltningsuppgifter på andra än myndigheter

(9)I propositionens motiv till lagstiftningsordningen (s. 77—78) har lagförslaget bedömts med avseende på 124 § i grundlagen. Enligt 124 § i grundlagen kan offentliga förvaltningsuppgifter endast genom lag eller med stöd av lag anförtros andra än myndigheter, om det behövs för en ändamålsenlig skötsel av uppgifterna och om det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Uppgifter som innebär betydande utövning av offentlig makt kan bara anförtros myndigheter. 

(10)Syftet med 124 § i grundlagen är enligt förarbetena till grundlagen att inskränka möjligheterna att lägga ut offentliga förvaltningsuppgifter på aktörer utanför den egentliga myndighetsapparaten. Ordalydelsen i bestämmelsen betonar att skötseln av offentliga förvaltningsuppgifter i regel ska höra till myndigheterna och att dessa uppgifter endast i begränsad utsträckning kan anförtros andra än myndigheter (RP 1/1998 rd, s. 178/I). Begreppet offentliga förvaltningsuppgifter används i detta sammanhang i en relativt vidsträckt bemärkelse. Det omfattar uppgifter som hänför sig till bland annat verkställigheten av lagar samt beslut om enskilda personers och sammanslutningars rättigheter, skyldigheter och förmåner. Paragrafen inbegriper både överföring av uppgifter som ankommer på myndigheterna och överföring av nya till förvaltningen hänförliga uppgifter på andra än myndigheter (RP 1/1998 rd, s. 179). 

(11)Grundlagsutskottet har tidigare ansett att till exempel sjöräddningstjänsten sammantaget sett (GrUU 24/2001 rd, s. 4/I) och helheten av operativa avfallshanteringsuppgifter (GrUU 58/2010 rd, s. 4/II) är offentliga förvaltningsuppgifter. Beviljandet av statliga exportgarantier är trots sina starka privaträttsliga drag en offentlig förvaltningsuppgift (GrUU 2/2001 rd, s. 2/I). När det gäller inköpscentralen Hansel Ab ansåg utskottet att även om upphandlingen också har starka privaträttsliga drag, är dragen av offentlig förvaltningsuppgift framträdande i Hansels uppgift som inköpscentral (GrUU 15/2019 rd, s. 3). Uppgifterna kring rättshjälp och intressebevakning utgör, med hänsyn till det sätt uppgifterna ordnas på, ett komplex med drag av offentlig förvaltningsuppgift trots att de aspekter som anknyter till privata intressen och näringsverksamhet är framträdande. Utskottet har här lagt vikt vid att det handlar om en lagstadgad serviceuppgift som ska ordnas av myndigheterna och som enligt utskottet kan karakteriseras som faktisk förvaltningsverksamhet (GrUU 16/2016 rd, s. 2). Även uppgifter som går ut på att bistå en myndighet har betraktats som offentliga förvaltningsuppgifter (se t.ex. GrUU 55/2010 rd, s. 2/I). 

(12)Som offentliga förvaltningsuppgifter har utskottet inte sett sådan opartisk provning eller certifiering i kraft av teknisk expertis som inte påverkar myndighetens befogenhet att bestämma om metoder och personal som används vid de återkommande besiktningarna av mekaniska anordningar och konstruktioner (GrUU 4/2012 rd, s. 2/II) eller certifikatverksamhet vars karaktär har distanserat sig från de karakteristika som gäller för offentliga myndighetsuppdrag (GrUU 16/2009 rd, s. 2). 

(13)Regeringen bedömer att kreditupplysningsverksamhet inte är en sådan offentlig förvaltningsuppgift som avses i 124 § i grundlagen. I motiven till lagstiftningsordningen står det att kreditupplysningsverksamheten har betydelse både med tanke på ett samhälleligt intresse och med tanke på fysiska personers rättigheter och intressen. Det primära syftet med kreditupplysningsverksamheten är att garantera tillgången till kreditupplysningar för kreditgivning. De som bedriver kreditupplysningsverksamhet sköter dock enligt propositionsmotiven inte lagstadgade serviceuppgifter, som myndigheter har organiseringsansvar för. Däremot är det enligt motiven fråga om en uppgift som kräver särskild sakkunskap och som i Finland med stöd av lag utöver av dem som bedriver kreditupplysningsverksamhet även sköts av vissa aktörer som bedriver indrivningsverksamhet och av kreditgivare. I Finland har det tills vidare inte föreskrivits i lag att en myndighet ska sköta uppgifter i anslutning till behandlingen av positiva eller negativa kreditupplysningar. Dessutom konstateras det i motiveringen att kreditupplysningsverksamheten inte är förenad med utövning av offentlig makt. 

(14)Grundlagsutskottet konstaterar att en offentlig förvaltningsuppgift enligt 124 § i grundlagen avser offentliga förvaltningsuppgifter i vidare bemärkelse än enbart utövning av offentlig makt. Enligt propositionsmotiven behövs den behandling av personuppgifter som det föreskrivs om i kreditupplysningslagen för att utföra en uppgift av allmänt intresse, vilket är förenat med särskilda regleringsbehov. Bedrivandet av kreditupplysningsverksamhet är en viktig uppgift som betjänar olika samhällsaktörer, och kreditupplysningsverksamheten och de förfaranden som iakttas i den kan ha en direkt inverkan på människors och företags verksamhetsmöjligheter. Kreditupplysningsverksamheten är därmed enligt motiveringen (s. 78) förknippad med drag som är typiska för en offentlig uppgift. 

(15)Vid bedömningen av förslaget till lag om ursprungsgarantier för energi ansåg grundlagsutskottet att de lagstadgade uppgifterna i anknytning till upprätthållandet av register över ursprungsgarantier för el, gas och väte är en sådana offentlig förvaltningsuppgifter som avses i 124 § i grundlagen (GrUU 33/2021 rd, s. 2—4). De som bedriver kreditupplysningsverksamhet sköter dock inte lagstadgade serviceuppgifter, som myndigheter har organiseringsansvar för. Det är således inte fråga om att en uppgift som för närvarande hör till en myndighet överförs på privata aktörer. Enligt 3 § 7 punkten i den gällande kreditupplysningslagen avses med bedrivande av kreditupplysningsverksamhet insamling, produktion, registrering, utlämnande och annan behandling av information som självständig näringsverksamhet i kreditupplysningssyfte. Kreditupplysningsverksamhet som regleras i kreditupplysningslagen är till sin karaktär privat näringsverksamhet, och för bedrivande av sådan verksamhet krävs enligt 38 § en anmälan till dataombudsmannen. I kreditupplysningslagen fastställs förutsättningarna för att bedriva kreditupplysning som näringsverksamhet. 

(16)Grundlagens 124 § inbegriper både överföring av uppgifter som för närvarande ankommer på myndigheterna och överföring av nya till förvaltningen hänförliga uppgifter på andra än myndigheter (RP 1/1998 rd, s. 179). Att uppgiften tidigare skötts av en privat aktör hindrar inte att uppgiften bedöms som en sådan offentlig förvaltningsuppgift som avses i 124 § i grundlagen (se t.ex. GrUU 17/2012 rd och GrUU 57/2010 rd). Utskottet anser dock att det inte helt saknar betydelse hur verksamheten regleras för närvarande, även om uppgiftens kommersiella eller företagsekonomiska karaktär inte nödvändigtvis utgör ett ovillkorligt hinder för tillämpning av 124 § i grundlagen. Utskottet ansåg vid bedömningen av den reform av social- och hälsovården som föreslogs 2017 att det var motiverat att anse de tjänster som privata tjänsteproducenter erbjöd inom ramen för reformen som sådana offentliga förvaltningsuppgifter som avses i 124 § i grundlagen (GrUU 26/2017 rd och GrUU 15/2018 rd). 

(17)Av särskild betydelse vid bedömningen av regleringen är att det också i motiveringen (s. 50) sägs att i synnerhet behandlingen av uppgifter om fysiska personers betalningsstörningar för de ändamål som anges i lagen, inklusive utlämnande av personuppgifter, har avsevärda konsekvenser för skyddet för privatlivet och för fysiska personers möjligheter att verka i samhället, och de omfattande ändamålen för de uppgifter som behandlas är förenade med särskilda risker med tanke på dataskyddet för fysiska personer. Sådana faktiska konsekvenser av kreditupplysningsverksamhet kan enligt grundlagsutskottet dock inte anses vara drag som karaktäristiska enbart för offentliga förvaltningsuppgifter. Med hänvisning till avtalsfriheten kan man av hävd träffa avgöranden om privaträttsliga rättshandlingar som gäller exempelvis finansiering, investeringar och frivilliga försäkringar och som har betydande faktiska konsekvenser för fysiska personers och företags rättsliga ställning. 

(18)Grundlagsutskottet anser att bedrivande av kreditupplysningsverksamhet på det sätt som avses i propositionen inte kan anses vara en offentlig förvaltningsuppgift. Utifrån dessa utgångspunkter anser utskottet att det i ljuset av det som sägs ovan inte heller att den föreslagna lagen medför något omedelbart behov av att med avvikelse från de etablerade principerna bedöma kreditupplysningsverksamhet som en offentlig uppgift. På grund av kreditupplysningsverksamhetens samhälleliga betydelse, riskerna i den behandling som hör till verksamheten och dess konsekvenser för privatpersoners ställning är det dock nödvändigt att reglera behandlingen av kreditupplysningar på lagnivå, vilket nu föreslås. Utskottet anser att detta också understryker betydelsen av bestämmelserna om automatiserad behandling och skyddsåtgärder i EU:s dataskyddsförordning. 

(19)Grundlagsutskottet fäster avslutningsvis uppmärksamhet vid den i propositionen nämnda avsikten att inrätta ett så kallat positivt kreditupplysningsregister (s. 78) och betonar att den nu aktuella konstitutionella bedömningen endast gäller den föreslagna regleringslösningen. 

FÖRSLAG TILL BESLUT

Grundlagsutskottet anför

att lagförslagen kan behandlas i vanlig lagstiftningsordning.  
Helsingfors 23.2.2022 

I den avgörande behandlingen deltog

ordförande 
Johanna Ojala-Niemelä sd 
 
vice ordförande 
Antti Häkkänen saml 
 
medlem 
Maria Guzenina sd 
 
medlem 
Petri Honkonen cent 
 
medlem 
Olli Immonen saf 
 
medlem 
Hilkka Kemppi cent 
 
medlem 
Mikko Kinnunen cent 
 
medlem 
Anna Kontula vänst 
 
medlem 
Mats Löfström sv 
 
medlem 
Jukka Mäkynen saf 
 
medlem 
Sakari Puisto saf 
 
medlem 
Wille Rydman saml 
 
medlem 
Heikki Vestman saml 
 
medlem 
Tuula Väätäinen sd 
 
ersättare 
Johannes Koskinen sd. 
 

Sekreterare var

utskottsråd 
Mikael Koillinen.