FÖRVALTNINGSUTSKOTTETS UTLÅTANDE 3/2007 rd

FvUU 3/2007 rd - U 48/2005 rd

Granskad version 2.0

Statsrådets skrivelse med anledning av ett förslag till rådets rambeslut (tredje pelarens dataskydd)

Till stora utskottet

INLEDNING

Remiss

Stora utskottet sände den 13 april 2007 en kompletterande skrivelse 3. OM 02.04.2007 i ärende U 48/2005 rd till förvaltningsutskottet för eventuella åtgärder. Dessutom har utskottet på förhand haft tillgång till kompletterande skrivelse 4. OM 21.05.2007.

Sakkunniga

Utskottet har hört

regeringssekreterare Leena Rantalankila, justitieministeriet

överinspektör Heikki Huhtiniemi, Dataombudsmannens byrå

professor Tuomas Ojanen

Samband med andra handlingar

Utskottet har tidigare lämnat utlåtande FvUU 5/2006 rd och FvUU 54/2006 rd i ärendet.

UTREDNINGEN

Förslagets huvudsakliga innehåll

Ordförandelandet Tyskland har föreslagit grundläggande ändringar i rambeslutet. Syftet är att de betydande reservationerna ska kunna dras tillbaka och att få till stånd en verklig förbättring av dataskyddet inom tredje pelaren. De största ändringarna är att rambeslutet ska utsträckas till att omfatta hela tredje pelaren och att en enda gemensam tillsynsmyndighet ska inrättas för tredje pelaren. Ordförandeskapet föreslår också den renodlat nationella behandlingen av personuppgifter helt ska ligga utanför rambeslutets räckvidd. Ordförandeskapet har försökt komprimera förslaget och göra det mer principiellt. Samtidigt har ordförandeskapet försökt hålla fast vid redan överenskomna lösningar och vid frågor där samförstånd nästan nåtts.

Det föreslagna rambeslutet innehåller nu en bestämmelse om att den myndighet som översänder uppgifterna informerar mottagaren om de begränsningar för behandlingen av uppgifter som finns i det egna landets lagstiftning och som i den medlemsstaten gäller informationsutbyte mellan behöriga myndigheter. Mottagaren måste iaktta dessa begränsningar.

I ordförandeskapets version av rambeslutet av den 13 mars 2007 krävs det inte längre att ett tillräckligt dataskydd garanteras i en tredje stat när den genom vidaresändning får uppgifter som den sändande staten fått av de behöriga myndigheterna i en annan medlemsstat. Däremot är ett villkor för översändningen att den behöriga myndigheten i den medlemsstat som lämnat ut uppgifterna samtyckt till vidaresändningen i enlighet med den nationella lagstiftningen. I den senaste versionen av den 24 april 2007 har kravet på en tillräckligt hög nivå på dataskyddet ändå återinförts.

Den registrerades rättigheter har förbättrats i flera avseenden, om man jämför med den sista versionen under Finlands ordförandeperiod. Kravet på att den registrerade ska informeras om att uppgifter behandlas har skärpts och den registrerades rätt att kontrollera uppgifter har stärkts. Vidare ska felaktiga uppgifter alltid rättas och lämpliga extra skyddsåtgärder fastställas när känsliga uppgifter behandlas. I likhet med dataskyddsdirektivet för första pelaren innehåller rambeslutet nu en bestämmelse om när det är tillåtet att använda s.k. databehandlade beslut.

Rambeslutet innehåller inte längre den bestämmelse i artikel 4.1 d som fanns där under Finlands ordförandeperiod och som var problematisk för Finland. Den gällde medlemsstaternas möjlighet att anta bestämmelser om grader av felfrihet och tillförlitlighet när det gäller behandlingen av uppgifter.

Den registrerades rättsskydd blir bättre också tack vare den nya bestämmelsen om rådfrågning på förhand. Enligt artikel 23 i det senaste förslaget ska medlemsstaterna se till att den behöriga tillsynsmyndigheten i vissa fall rådfrågas före behandling av personuppgifter. Tillsynsmyndigheterna ska rådfrågas när det gäller känsliga uppgifter eller om behandlingens art, särskilt på grund av nya tekniska behandlingssätt, innebär särskilda risker för den registrerades grundläggande fri- och rättigheter, särskilt rätten till privatliv. Det finns liknande regler om förhandskontroll i dataskyddsdirektivet för första pelaren.

Enligt det tyska ordförandeskapets första version av rambeslutet skulle beslutet inte ha påverkat medlemsstaternas eller Europeiska unionens skyldigheter eller åtaganden enligt bi- eller multilaterala avtal med tredjestater. Enligt den nya versionen av den 24 april 2007 kommer rambeslutet ändå att tillämpas på nya avtal med tredjeländer.

Ordförandeskapet föreslår en ny artikel 14a. Den gäller översändande av uppgifter till privata parter. Också kommissionens ursprungliga förslag innehöll en bestämmelse om samma sak, men innehållet var då ett annat. Den bestämmelsen föll bort under behandlingens gång. Europaparlamentet har emellertid framfört önskemål om att sådana regler ska ingå i beslutet, så att uppgifter inte över huvud taget översänds till privata parter eller så att uppgifter kan översändas bara under strikt reglerade villkor. Vår nationella lagstiftning innehåller inga uttryckliga bestämmelser om översändande av uppgifter till enskilda. Ordförandeskapet har meddelat att det kommer att arbeta vidare med artikeln.

Regeringens ståndpunkt

Finland har lämnat en allmän reservation mot förslaget.

I princip är Finlands inställning till det ändrade förslaget positiv.

Rambeslutets syfte och tillämpningsområde

Finland har redan tidigare stött tanken om att rambeslutets räckvidd ska utsträckas till hela tredje pelaren. Samtidigt får beslutets ikraftträdande inte fördröjas av att Europol, Eurojust, tullinformationssystemet (de delar som ingår i tredje pelaren) och övriga enheter och organ inom tredje pelaren tas med.

Finland anser att rambeslutet också ska gälla den nationella behandlingen och att detta ska framgå klart också av själva artikeldelen. Därför kan Finland inte godta den föreslagna nya artikel 27a, som gäller en utvärdering av tillämpningsområdet efter en viss tid.

I detta skede ser Finland ingen orsak att ändra sin ståndpunkt. Men om det klart framgår under överläggningarna att alla medlemsstater inte kommer att godkänna att beslutet också tillämpas på nationell behandling av uppgifter och att det därmed inte går att uppnå den enhällighet som krävs för att rambeslutet ska kunna antas, kan Finland godta att beslutet bara tillämpas på gränsöverskridande behandling av personuppgifter, men att tillämpningsområdet utvärderas inom angiven tid.

I den senaste versionen har artikel 1.4 skrivits om så, att rambeslutet inte påverkar verksamheter som kännetecknar de nationella underrättelsetjänsterna. Finland kan acceptera den nya formuleringen.

Enligt den föreslagna artikel 1.5 hindrar rambeslutet inte medlemsstaterna från att införa en högre skyddsnivå i fråga om personuppgifter än vad rambeslutet erbjuder. Med andra ord anger rambeslutet bara lägstanivån på reglerna. Medlemsstaterna ska ändå se till att överföringen av personuppgifter till andra medlemsstater eller till institutioner eller organ i gemenskapen inte blir föremål för strängare bestämmelser än motsvarande nationella överföring av personuppgifter.

I den sista versionen av rambeslutet under Finlands ordförandeperiod sades det att en strängare reglering inte fick begränsa eller förhindra att personuppgifter lämnas ut till andra medlemsstaters behöriga myndigheter av orsaker som hänför sig till skyddet av personuppgifter enligt rambeslutet.

Finland kan godta bestämmelserna i den nu föreslagna artikel 1.5, men också den tidigare ordalydelsen.

Allmänna bestämmelser om när personuppgifter lagligen får behandlas

Ordförandeskapet har i stort sett skrivit om hela kapitel II. Det gäller allmänna bestämmelser om när personuppgifter lagligen får behandlas.

I artikel 3.2 finns bestämmelser om när uppgifter får behandlas för andra ändamål än de ursprungligen samlades in för. I artikel 12 i förslaget till rambeslut anges när uppgifter som en annan medlemsstat lämnat ut får behandlas för andra ändamål än de som de ursprungligen överlämnades för.

Finland anser att det är oklart hur artikel 3.2 och artikel 12 förhåller sig till varandra. Detta förhållande måste klarläggas.

Överföring av personuppgifter till behöriga myndigheter i tredjeländer eller till internationella organ (artikel 14)

Finland har ansett det vara eftersträvansvärt att rambeslutet ska omfatta överföring av alla uppgifter till tredjeländer och internationella organ, dvs. också uppgifter som endast behandlas nationellt. Men samtidigt har Finland kunnat acceptera att reglerna bara skulle gälla överföring av uppgifter som man fått av andra medlemsstater.

Vidare har Finland ansett att ett krav för överföring av uppgifter bör vara att det finns ett tillräckligt uppgiftsskydd i det tredjeland eller vid det internationella organ som uppgifterna ska överföras till. Också här har Finland under vissa förutsättningar kunnat godkänna de regler som ingick i den tidigare versionen under Finlands ordförandeperiod, dvs. att uppgifter undantagsvis skulle ha kunnat översändas till behöriga myndigheter i tredjeländer eller till internationella organ där en tillräckligt hög nivå på uppgiftsskyddet inte kan garanteras. Det har varit viktigt för vår del att utlämningen av uppgifter alltid baserar sig på en bedömning av om dataskyddet räcker till eller på andra tillräckliga garantier. (FvUU 54/2006 rd).

Finland kan acceptera artikel 14 i dess lydelse enligt dokument 9732/07, som ordförandeskapet överlämnat till artikel 36-kommittén (CATS).

Ett krav från Finland sida är emellertid att rambeslutet ska innehålla bestämmelser som nu saknas, nämligen om kriterierna och förfarandena för att bedöma om dataskyddsnivån är tillräcklig i tredjeländer och internationella organ. Utan sådana kriterier finns det risk för att medlemsländerna bedömer denna nivå på olika sätt, och då kan det hända att vissa länder anser att det är möjligt att överföra uppgifter till exempelvis Förenta staterna, medan vissa anser att det inte är det.

Dessutom föreslår Finland att man ska överväga om led b i artikel 2 ska ändras så att det motsvarar artikel 2.2 b i tilläggsprotokollet till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. De regler som nu föreslagits skulle leda till att både den som överför och den som tar emot uppgifterna måste ge skyddsgarantier i de medlemsstater som har godkänt protokollet. I övriga medlemsstater kommer det däremot att räcka att mottagaren ger garantierna.

Den registrerades rättigheter

Finland välkomnar att den registrerades rättigheter förbättrats i många avseenden. Det är mycket viktigt att det finns regler för dessa rättigheter, och dessa måste tryggas i tillräcklig utsträckning också inom tredje pelaren.

Förhållande till avtal med tredjestater (artikel 27)

Rambeslutet bör tillämpas på framtida bi- eller multilaterala avtal med tredjestater, anser Finland, som kan godta de föreslagna bestämmelserna.

Men icke desto mindre behövs det ytterligare utredning av huruvida beslutet också ska tillämpas när avtal som redan varit i kraft ändras efter det att rambeslutet har trätt i kraft.

Att inrätta en gemensam tillsynsmyndighet (artikel 26)

Finland förhåller sig preliminärt positivt till en gemensam tillsynsmyndighet (joint supervisory body), om det kan visas att dataskyddet inom tredje pelaren blir bättre på det sättet. Samtidigt måste en sammanslagning av tillsynsmyndigheterna undersökas närmare, och det får under inga omständigheter leda till att den sakkunskap som behövs för tillsynen minskar.

UTSKOTTETS ÖVERVÄGANDEN

Motivering

Syftet med rambeslutet för dataskydd inom EU:s tredje pelare är att slå fast gemensamma krav för behandlingen av personuppgifter inom ramen för polissamarbetet och det straffrättsliga samarbetet. För närvarande finns det inga enhetliga bestämmelser om dataskydd inom tredje pelaren. I stället består regelverket om dataskydd av olika avtal och andra rättsliga instrument.

Det behövs gemensamma bestämmelser om dataskydd inom tredje pelaren, anser utskottet. Vidare anknyter förslaget till principen om informationens tillgänglighet, som i framtiden enligt avsikt ska tillämpas på informationsutbytet när det gäller brottbekämpning. Utskottet hänvisar till sina tidigare ställningstaganden (bl.a. FvUU 54/2006 rdU 48/2005 rd och FvUU 6/2006 rdU 50/2005 rd) och anser fortfarande att man lämpligen kan utgå från att dataskyddsbestämmelserna för tredje pelaren ska vara fastslagna innan principen om tillgänglighet börjar tillämpas.

Förslaget om ett rambeslut har blivit bättre. Den registrerades rättigheter har i många avseenden stärkts i förhållande till föregående version. Exempelvis är kravet på att informera den registrerade om att uppgifterna behandlas nu striktare, och även den registrerades rätt att kontrollera uppgifterna har stärkts. Felaktiga uppgifter ska alltid rättas, och behandling av känsliga uppgifter kräver lämpliga extra skyddsåtgärder.

Den registrerades rättssäkerhet förbättras också bl.a. av bestämmelsen om att tillsynsmyndigheten ska rådfrågas i förväg om man behandlar känsliga uppgifter eller om behandlingens art, särskilt på grund av att nya tekniska behandlingssätt, innebär särskild risk för den registrerades grundläggande fri- och rättigheter, särskilt rätten till privatliv. Det finns liknande regler i dataskyddsdirektivet för första pelaren.

Det är mycket viktigt, menar utskottet, att rambeslutets artikel 14, som gäller överföring av personuppgifter till myndigheter i tredjeländer eller till internationella organ, nu åter kräver att det finns ett tillräckligt uppgiftsskydd i tredjelandet eller det internationella organet. Utskottet har redan tidigare (FvUU 54/2006 rd) accentuerat dataskyddsdirektivets principer och vikten av att utlämningen av uppgifter alltid bygger på en bedömning av dataskyddets tillräcklighet eller på andra tillräckliga garantier. Enligt utskottet bör man också fastställa gemensamma kriterier och förfaranden för att bedöma om dataskyddsnivån är tillräcklig i tredjeländer och internationella organ.

I det senaste förslaget har man försökt skapa klarhet i fråga om rambeslutets tillämpning på nationell behandling av personuppgifter genom ett tillägg i ingressen. Dessutom föreslår ordförandelandet att rambeslutets tillämpningsområde utvärderas om fem år.

Utskottet hänvisar till sitt utlåtande FvUU 54/2006 rd och anser i likhet med regeringen att det fortfarande är motiverat att beslutet utsträcks till att också omfatta den nationella behandlingen och att detta tydligt ska sägas ut i artikeldelen. Således stöder utskottet inte heller ordförandelandets förslag om att utvärdera tilllämpningsområdet om fem år. Utskottet ställer sig bakom regeringen i detta avseende.

Enligt förslaget ska också de nuvarande fyra tillsynsmyndigheterna inom tredje pelaren ersättas med en gemensam myndighet. Utskottet kan instämma i regeringens ståndpunkt att preliminärt ställa sig positiv till en enda gemensam tillsynsmyndighet, om det kan visas att dataskyddet inom tredje pelaren blir bättre på det sättet. Precis som regeringen säger måste en sammanslagning av tillsynsmyndigheterna undersökas närmare och får en eventuell sammanslagning inte leda till att den sakkunskap som behövs för tillsynen minskar. Dessutom anser utskottet att frågan om en sammanslagning inte får fördröja rambeslutets ikraftträdande.

Utlåtande

Förvaltningsutskottet meddelar

att det instämmer i regeringens ståndpunkt, men med synpunkterna ovan.

Helsingfors den 24 maj 2007

I den avgörande behandlingen deltog

  • ordf. Tapani Tölli /cent
  • medl. Thomas Blomqvist /sv
  • Juha Hakola /saml
  • Rakel Hiltunen /sd
  • Oiva Kaltiokumpu /cent
  • Elsi Katainen /cent
  • Timo Korhonen /cent
  • Valto Koski /sd
  • Outi Mäkelä /saml
  • Petri Pihlajaniemi /saml
  • Pirkko Ruohonen-Lerner /saf
  • Unto Valpas /vänst
  • Tuula Väätäinen /sd
  • ers. Johanna Ojala-Niemelä /sd
  • Veijo Puhjo /vänst

Sekreterare var

utskottsråd Minna-Liisa Rinne