FÖRVALTNINGSUTSKOTTETS UTLÅTANDE 54/2006 rd

FvUU 54/2006 rd - U 48/2005 rd

Granskad version 2.1

Statsrådets skrivelse med anledning av ett förslag till rådets rambeslut (tredje pelarens dataskydd)

Till stora utskottet

INLEDNING

Remiss

Stora utskottet sände den 29 november 2006 en kompletterande skrivelse 1. OM 24.11.2006 i saken U 48/2005 rd till förvaltningsutskottet för eventuella åtgärder.

Dessutom sände stora utskottet den 19 januari 2007 en kompletterande skrivelse 2. OM 19.01.2007 i saken U 48/2005 rd till förvaltningsutskottet för eventuella åtgärder.

Sakkunniga

Utskottet har hört

regeringssekreterare Leena Rantalankila, justitieministeriet

Dessutom har skriftliga utlåtanden lämnats av

  • inrikesministeriet
  • dataombudsmannens byrå.

Samband med andra handlingar

Utskottet har tidigare lämnat utlåtande FvUU 5/2006 rd i ärendet.

UTREDNINGEN

Förslagets huvudsakliga innehåll

Europeiska gemenskapernas kommission har den 4 oktober 2005 lagt fram ett förslag till rådets rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (KOM (2005) 475 slutlig).

I det föreslagna rambeslutet fastställs gemensamma standarder för behandlingen av personuppgifter i anslutning till polissamarbete och straffrättsligt samarbete. Syftet är att säkerställa att skillnaderna mellan medlemsstaterna i nivån på dataskyddet inte försvårar utbytet av uppgifter mellan medlemsstaterna och att de grundläggande fri- och rättigheterna, särskilt rätten till integritet och rätten till skydd av personuppgifter respekteras, i synnerhet vid tillämpningen av tillgångsprincipen.

Tillgångsprincipen innebär att om en brottsbekämpande myndighet behöver vissa uppgifter för att fullgöra sina åligganden enligt lag, bör den kunna få tillgång till dessa från en annan medlemsstat och den medlemsstat som innehar uppgifterna är skyldig att lämna ut dem för det angivna ändamålet. Tillgångsprincipen kommer att i väsentlig grad öka informationen mellan brottsbekämpande myndigheter. Rambeslutet om tredje pelarens dataskydd bör godkännas och verkställas före tillgångsprincipen tillämpas.

Målet för förslaget till rambeslut har varit att så långt som möjligt respektera andan och strukturen i första pelarens dataskyddsdirektiv med beaktande av de särskilda behoven i anslutning till polissamarbete och straffrättsligt samarbete samt proportionalitetsprincipen. De grundläggande principerna i Europarådets ministerkommittés rekommendation R(87) 15 om användningen av personuppgifter inom polisväsendet har också beaktats med siktet inställt på att de ska göras juridiskt förpliktande på EU-nivån.

Kapitel I i kommissionens förslag till rambeslut innehåller bestämmelser om mål, definitioner och tillämpningsområde.

I kapitel II ingår bestämmelser om allmänna villkor för behandlingen av personuppgifter. Bestämmelserna har utsträckts till att också gälla behandling av personuppgifter enbart för nationella syften.

I kapitel III ingår bestämmelser om överföring av personuppgifter till och ställande till förfogande av personuppgifter för behöriga myndigheter i andra medlemsstater. Vidare ingår i kapitlet bestämmelser om fortsatt behandling av uppgifter som fåtts av behöriga myndigheter i andra medlemsstater och i synnerhet vidarebefordran av dylika uppgifter till andra behöriga myndigheter i andra medlemsstater och till behöriga myndigheter i ett tredje land eller till ett internationellt organ. Däremot innehåller kommissionens förslag inte bestämmelser om vidarebefordran av medlemsstaternas egna, nationellt insamlade uppgifter till ett tredje land eller till ett internationellt organ.

I förslaget ingår dessutom bestämmelser om den registrerades rättigheter, om sekretess och säkerhet vid behandling, om rättslig prövning och ansvar samt om tillsynsmyndighet och en arbetsgrupp för dataskydd.

I statsrådets andra kompletterande skrivelse ingår ståndpunkter som gäller det senaste förslaget till rambeslut.

Regeringens ståndpunkt

Rambeslutets tillämpningsområde

Beslut har inte fattats huruvida rambeslutets tilllämpningsområde endast ska omfatta gränsöverskridande informationsutbyte eller om det ska utvidgas till att även täcka strikt nationell behandling av personuppgifter. Enligt kommissionens ursprungliga förslag ska de allmänna villkoren för behandlingen av personuppgifter också tillämpas på strikt nationell behandling.

Regeringen understöder förslaget att rambeslutet även ska täcka den strikt nationella behandlingen av personuppgifter. Ifall rambeslutet endast täcker gränsöverskridande informationsutbyte leder det till att två olika dataskyddssystem ska tillämpas på uppgifter i samma dokument eller uppgifter som används i en och samma utredning. I praktiken skulle det vara besvärligt att tillämpa två olika dataskyddssystem. Regeringen anser dessutom att det stärker medlemsstaternas förtroende för att uppgifter som lämnats av en annan medlemsstat har behandlats korrekt och också för att uppgifter som överlämnas till en annan medlemsstat behandlas enligt adekvata dataskyddsprinciper om rambeslutet tillämpas på nationell behandling.

Regeringen konstaterar att en utvidgning av rambeslutet till att täcka nationell behandling inte borde föranleda ett betydande behov att lindra regleringen i rambeslutet, eftersom man redan nu tillämpar Europarådets datasekretesskonvention inom tredje pelaren och i stor utsträckning också principerna i det mera detaljerade första pelarens dataskyddsdirektiv. De undantag som medlemsstaterna gjort från tredje pelarens dataskyddsdirektiv avviker emellertid från varandra.

Regeringen ser det inte som problematiskt att tillämpningsområdet för rambeslutet utvidgas till att också täcka verkställandet av straffrättsliga sanktioner.

Allmänna bestämmelser om när personuppgifter får behandlas

Enligt artikel 4.1.d i rambeslutet får medlemsstaterna föreskriva att behandlingen av uppgifter kan ske utifrån olika krav med avseende på graden av uppgifternas exakthet och tillförlitlighet. Enligt det ursprungliga förslaget måste medlemsstaterna då se till att uppgifterna kategoriseras efter hur exakta och tillförlitliga de är, och särskilt att sådana uppgifter som grundar sig på fakta skiljs från uppgifter som baserar sig på åsikter eller personliga bedömningar. Enligt den nya versionen kan medlemsstaterna föreskriva att uppgifterna ska skiljas i den mån det är möjligt (as far as practicable) och den sista meningen har strukits. Regeringen anser att bestämmelserna bör ha den ursprungliga formuleringen.

Regeringen förhåller sig reserverad till att enbart den registrerades samtycke kan berättiga till att uppgifter behandlas inom tredje pelarens tilllämpningsområde.

Ur det ursprungliga förslaget har ur artikel 4.4 strukits de bestämmelser enligt vilka medlemsstaterna ska föreskriva att behandling av personuppgifter endast är nödvändig om— det på grundval av fastställda fakta finns skälig grund att anta att personuppgifterna i fråga skulle möjliggöra, underlätta eller påskynda förebyggandet, utredningen, avslöjandet eller lagföringen av ett brott, och— det inte finns något annat alternativ som är mindre ingripande för den registrerade, och— behandlingen av uppgifterna inte är oproportionell i förhållande till det brott som begåtts.

Regeringen anför att innehållet i bestämmelserna bör återinföras i förslaget till rambeslut.

Överföring av personuppgifter till behöriga myndigheter i tredjeländer eller till internationella organ

Bestämmelser om överföring av personuppgifter till behöriga myndigheter i tredjeländer eller till internationella organ bör ingå i rambeslutet och inte strykas, såsom en del medlemsstater har föreslagit, menar regeringen. Regeringen finner det eftersträvansvärt att rambeslutet täcker överföringen av alla uppgifter till tredjeländer eller till internationella organ, också sådana uppgifter som endast behandlas nationellt.

Regeringen kan dock även godkänna kommissionens ursprungliga förslag och det nya förslaget om att rambeslutet endast ska reglera överföring av uppgifter från andra medlemsstater.

Regeringen påpekar att förutsättningen för överföring av uppgifter bör vara att det finns ett tillräckligt uppgiftsskydd i det tredjeland eller vid det internationella organ som uppgifterna skall överföras till. Regeringen kan emellertid godkänna att personuppgifter som mottagits från den behöriga myndigheten i en annan medlemsstat undantagsvis i enlighet med artikel 15.4 får överföras vidare till behöriga myndigheter i tredjeländer eller till internationella organ som saknar uppgiftsskydd på en tillräcklig nivå. Det bör emellertid tydligt framgå av rambeslutet att överföringen i detta fall bör uppfylla alla andra krav som nämns i artikel 15.1.

Den registrerades rättigheter

Ur rambeslutets nuvarande artikel 21.1 har man strukit de registrerades rätt att begära att den registeransvarige lämnar besked om ändamålen med behandlingen, de berörda uppgiftskategorierna, den rättsliga grunden för behandlingen samt tillgänglig information om varifrån dessa uppgifter kommer. Regeringen anser att bestämmelsen om de registrerades rätt att få besked om ändamålen med behandlingen, de berörda uppgiftskategorierna samt tillgänglig information om varifrån dessa uppgifter kommer bör återinföras i rambeslutet.

Ur förslaget till rambeslut har man strukit den sista meningen i artikel 21.2 i det ursprungliga förslaget enligt vilken åtgärder som den registrerade är berättigad till kan vägras, utom i fall då sådana överväganden måste stå åt sidan för behovet av att skydda den registrerades intressen eller grundläggande rättigheter. Regeringen konstaterar att den strukna bestämmelsen bör återinföras i rambeslutet.

Formulering av artikel 21.2 gör det möjligt att den registeransvarige i de fall som avses i stycket också kan vägra att rätta uppgifter som inte behandlats i enlighet med bestämmelserna i detta rambeslut och som är ofullständiga eller felaktiga. Enligt regeringen bör formuleringen i stycket ändras så att den registeransvarige inte har rätt att vägra rätta uppgifter som med hänsyn till ändamålen med behandlingen är ofullständiga eller felaktiga.

Enligt artikel 21.2.a i förslaget till rambeslut kan den registeransvarige vägra varje åtgärd som den registrerade är berättigad till, om det är nödvändigt "för att den registeransvarige skall kunna fullgöra sina åligganden enligt lag på ett korrekt sätt". Regeringen finner regleringen alltför generell och menar att punkt a bör strykas. Det samma gäller artikel 19.2.a i rambeslutet som reglerar den registeransvariges rätt att neka den information som anges i punkt 1.b. Däremot anser regeringen att rättten att neka information i ovan nämnda fall är motiverad om det är nödvändigt för att bekämpa brott. I enlighet med grundlagsutskottets ställningstagande (GrUU 27/2006 rd) anser regeringen att de undantagsbestämmelser som gäller artikel 19 och artikel 21 bör kompletteras med en hänvisning till att medlemsstaterna kan bestämma om den registeransvariges rätt att vägra, varvid verkställigheten av de begränsningar som gäller den registrerades rättigheter och deras omfattning bestäms i medlemsstatens nationella lagstiftning.

Regeringen har ingenting att anmärka mot det nya stycket i artikel 34.3 enligt vilket rambeslutet inte ska påverka medlemsstaternas eller Europeiska unionens redan existerande skyldigheter och åtaganden enligt bilaterala och/eller multilaterala avtal med tredjestater.

UTSKOTTETS ÖVERVÄGANDEN

Motivering

Målet för tredje pelarens rambeslut i EU är att fastställa gemensamma standarder för behandlingen av personuppgifter i anslutning till polissamarbete och straffrättsligt samarbete. Syftet är att säkerställa att skillnaderna mellan dataskyddsnivån i medlemsstaterna inte försvårar utbytet av uppgifter dem emellan och att de grundläggande fri- och rättigheterna, särskilt rätten till integritet och rätten till skydd av personuppgifter respekteras, i synnerhet när tillgångsprincipen tillämpas. Målet har varit att tillgångsprincipen ska tillämpas från början av 2008 och tredje pelarens dataskyddsbestämmelser bör fastställas före det. Rambeslutet kan också bedömas ha mera allmän betydelse till exempel med tanke på att reglera användningen av personuppgifter och utvecklandet av datasystem som VIS och SIS II samt avtal om utbyte av uppgifter med tredjeländer. Ramavtalet är också viktigt med hänsyn till Prûmavtalet eftersom syftet är att dataskyddsbestämmelserna i rambeslutet ska ersätta motsvarande bestämmelser i Prûmavtalet. Förvaltningsutskottet hänvisar till sitt tidigare utlåtande om rambeslutet FvUU 5/2006 rd, och understryker behovet att inom den tredje pelaren få till stånd gemensamma dataskyddsbestämmelser för att garantera en tillräcklig skyddsnivå.

Förslaget till rambeslut har behandlats intensivt inom EU under Finlands ordförandeskap och behandlingen fortsätter under Tysklands ordförandeskap. Godkännandet av rambeslutet förutsätter enighet. Det har visat sig svårare än väntat att nå enighet och därför har bestämmelserna i förslaget luckrats upp. I praktiken har det inneburit att bestämmelserna har gjorts smidigare och verkställandet av förslaget förutsätter inte en lika omfattande granskning av den nationella lagstiftningen som den version utskottet tidigare har behandlat skulle ha gjort. Å andra sidan har man strukit sådana bestämmelser som utgör en väsentlig del av den registrerades rättigheter och som grundlagsutskottet också har noterat i sitt utlåtande. Många frågor är dessutom ännu oavgjorda, till exempel rambeslutets tillämpningsområde, fastställandet av ändamålet för användningen av personuppgifter och överföring av uppgifter till tredjeländer. Rambeslutets förhållande till andra EU-normer med dataskyddsbestämmelser är också oavgjort. Utskottet finner det motiverat att rambeslutet utöver gränsöverskridande informationsutbyte också ska täcka den nationella behandlingen av personuppgifter, vilket också är Finlands ståndpunkt. Det var också kommissionens ursprungliga förslag. Ifall rambeslutet endast täcker gränsöverskridande informationsutbyte leder det till att två olika dataskyddssystem ska tillämpas på uppgifter i samma dokument eller uppgifter som används i en och samma utredning. I praktiken skulle det vara besvärligt. Med hänsyn till rättslig säkerhet och jämställdhet mellan de registrerade är det viktigt att man inte skapar två olika system för behandlingen av personuppgifter. Två olika system är också besvärliga med tanke på kontrollen. För ett smidigt samarbete och informationsutbyte är det viktigt att parterna har förtroende för skyddsnivån på de uppgifter de får från en annan medlemsstat och de uppgifter de eventuellt överlämnar till en annan medlemsstat.

Dataskyddsdirektivet inom första pelaren (95/46/EG) har varit utgångspunkten för rambeslutet och de flesta medlemsstaterna har följt principerna i dataskyddsdirektivet även på områden som hör till tillämpningsområdet för rambeslutet. Utskottet anser att principerna i dataskyddsdirektivet fortfarande bör vara utgångspunkten för beredningen. Samtidigt bör polissamarbetets och det straffrättsliga samarbetets särskilda behov beaktas. Beträffande fastställandet av ändamålet för användningen av personuppgifter, till exempel, framhåller utskottet att principen om ändamålsbundenhet bör beaktas vid informationsutbyte och utlämning av uppgifter.

I regeringens ställningstagande ingår också överföring av personuppgifter till behöriga myndigheter i tredjeländer eller till internationella organ. Frågan är oavgjord på EU-nivå. Utskottet anser att regeringens ståndpunkt och målsättningar är motiverade. Utskottet understöder principen att rambeslutet ska täcka överföringen av alla uppgifter till behöriga myndigheter i tredjeländer eller till internationella organ. Utskottet finner det viktigt att utlämningen av uppgifter baserar sig på en bedömning av dataskyddets nivå eller andra godtagbara garantier.

Enligt artikel 4 i rambeslutet kan medlemsstaterna föreskriva att behandlingen av uppgifter kan ske utifrån olika krav med avseende på graden av uppgifternas exakthet och tillförlitlighet. Enligt det ursprungliga förslaget måste medlemsstaterna då se till att uppgifterna kategoriseras efter hur exakta och tillförlitliga de är, och särskilt att sådana uppgifter som grundar sig på fakta skiljs från uppgifter som baserar sig på åsikter eller personliga bedömningar. Enligt den nya versionen ska medlemsstaterna bedöma om det behövs föreskrifter om att uppgifterna ska skiljas och meningen som gäller att skilja fakta har strukits. I likhet med regeringen anser förvaltningsutskottet att bestämmelserna bör ha den ursprungliga formuleringen. Utskottet anför dessutom att i Europarådets rekommendation REC nr R(87) 15 av den 17 september 1987 om användningen av personuppgifter inom polisväsendet ingår kravet att olika klasser av uppgifter i mån av möjlighet ska registreras separat, beroende på hur noggranna eller tillförlitliga de är. Enligt rekommendationen ska särskilt faktabaserade personregister föras skilt från uppgifter som bygger på åsikter eller personliga bedömningar.

I artikel 21 i förslaget till rambeslut ingår bestämmelser om den registrerades rätt att få uppgifter som gäller honom eller henne korrigerade, utplånade eller blockerade. Flera ändringar har gjorts i artikeln som har ett nära samband med den registrerades rättigheter. Bestämmelser om den registrerades rättigheter ingår också i artikel 19. Regeringens ställningstaganden är motiverade. Grundlagsutskottet har i sitt utlåtande också fäst uppmärksamheten vid den registrerades rätttigheter. Förvaltningsutskottet omfattar regeringens ståndpunkt att bestämmelsen om den registrerades rätt att få besked om ändamålen med behandlingen, de berörda uppgiftskategorierna samt tillgänglig information om varifrån dessa uppgifter kommer bör återinföras i rambeslutet. I artikel 21 i förslaget ingår också en bestämmelse om grunderna för när åtgärder som den registrerade är berättigad till kan vägras. I likhet med regeringen anser förvaltningsutskottet, att bestämmelsen om att sådana överväganden måste stå åt sidan för behovet av att skydda den registrerades intressen eller grundläggande rättigheter bör återinföras i rambeslutet.

Rätten att få uppgifter korrigerade har också ett nära samband med den registerardes rättigheter. Enligt artikel 21 i förslaget kan den registeransvarige fortfarande vägra att korrigera sådana uppgifter som är bristfälliga eller inkorrekta och står i strid med rambeslutet. Enligt grundlagsutskottet är bestämmelsen synnerligen problematisk med tanke på den registrerades skydd för privatlivet och rättsskydd. Bestämmelsen harmonierar inte heller med principen om felfria och uppdaterade uppgifter. Förvaltningsutskottet anser att det är motiverat att formuleringen av artikeln ändras så att den registeransvarige inte har rätt att vägra att korrigera sådana uppgifter som med tanke på ändamålet för användningen är bristfälliga eller inkorrekta.

Utlåtande

Förvaltningsutskottet meddelar

att utskottet omfattar regeringens ståndpunkt.

Helsingfors den 23 januari 2007

I den avgörande behandlingen deltog

  • ordf. Matti Väistö /cent
  • vordf. Veijo Puhjo /vänst
  • medl. Janina Andersson /gröna
  • Nils-Anders Granvik /sv
  • Lasse Hautala /cent
  • Hannu Hoskonen /cent
  • Lauri Kähkönen /sd
  • Kari Kärkkäinen /kd
  • Heli Paasio /sd
  • Mauri Salo /cent
  • Satu Taiveaho /sd
  • Tapani Tölli /cent
  • Ahti Vielma /saml

Sekreterare var

utskottsråd Minna-Liisa Rinne