Motivering

Skydd av personuppgifter

Bedömningsgrunder.

Enligt 10 § 1 mom. grundlagen är vars och ens privatliv tryggat. I samma grundlagsnorm bestäms vidare att närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Grundlagens hänvisning till att skyddet för personuppgifter skall ordnas genom lag förutsätter enligt syftet med revideringen av de grundläggande fri- och rättigheterna (GrUB 25/1994 rd, s. 6/II) att lagstiftaren bestämmer om den berörda rättigheten men att detaljerna i regleringen är beroende av lagstiftarens prövning. En sådan bestämmelse om de grundläggande fri- och rättigheterna binder lagstiftarens prövningsrätt visavi innehållet i mindre grad än en bestämmelse med ett sådant regleringsförbehåll, där den grundläggande fri- och rättigheten konstateras föreligga i enlighet med vad som bestäms i lag.

Enligt grundlagsutskottets tolkningspraxis (se t.ex. GrUU 14/2002 rd, s. 2) begränsas dock lagstiftarens spelrum av att skyddet för personuppgifter utgör en del av skyddet för privatlivet i samma moment. Det är alltså fråga om att lagstiftaren skall trygga denna rättighet på ett sätt som kan anses godtagbart med hänsyn till de grundläggande fri- och rättigheterna. Lagstiftaren är i sin prövning bunden av att det vid en registrering är viktigt att reglera åtminstone syfte, innehållet i de registrerade personuppgifterna, tillåtna användningsändamål, inbegripet uppgifternas tillförlitlighet och bevaringstiden för uppgifterna i personregistren samt den registrerades rättsskydd. Regleringen av dessa faktorer på lagnivå skall dessutom vara omfattande och detaljerad. Kravet på bestämmelse om saken i lag omspänner också möjligheten att överföra uppgifter via en teknisk anslutning. Dessa synpunkter äger tillämpning även på en bredare reglering av användningen av personuppgifter.

Registreringens syfte och de registrerades personuppgifter.

Lagförslaget innehåller inga direkta bestämmelser om syftet med registreringen. Indirekt framgår detta dock av anknytningen till skötseln av de uppgifter som avses i 1 § polislagen samt hänvisningarna till informationssystemet för polisärenden (2 §), informationssystemet för förvaltningsärenden (3 §) och informationssystemet för misstänkta (4 §). En reglering av detta slag blir lät generell och summarisk, vilket gör det möjligt för myndigheterna att själva i stor utsträckning bestämma innehållet i och omfattningen av de registrerade personuppgifterna. Någon risk för detta fins dock inte i den föreliggande propositionen, eftersom bestämmelserna i 2 kap. i allmänhet tillräckligt noggrant anger vilka uppgifter som får registreras i informationssystemet.

I polisens informationssystem får enligt 2 § 2 mom. bl.a. införas "sådana uppgifter om" en person "som påverkar hans eller hennes egen säkerhet eller polisens säkerhet i arbetet" (se även t.ex. 102 §). Någon motivering för detta ges inte i propositionen och bestämmelsen är därför alltför vag. Förslaget måste absolut preciseras, eftersom det förefaller att sanktionera en omfattande registrering av hälsouppgifter (se även GrUU 37/2002 rd, s. 4/II).

I motiveringen anges att i informationssystemet för misstänkta får också uppgifter om potentiella eller verkliga brottsoffer införas såsom uppgifter som hänför sig till brottet. Lagförslaget 4 § omfattar dock inte detta syfte.

Bestämmelserna om skyddspolisens funktionella informationssystem i 5 § är väsentligt mer allmänt hållna än bestämmelserna i 2—4 §, vilket på sätt och vis är förståeligt med tanke på sammanhanget. Uppgifterna som gäller identiteten hos en person är noggrant specificerade i 3 mom., men förslaget anger inte i vilken utsträckning uppgifter om personer som omfattas av beskrivningen i 2 mom. får registreras. Med hänsyn till skyddet för personuppgifter är det önskvärt att regleringen eller åtminstone motiveringen till den preciseras i den fortsatta behandlingen.

Lagförslagets 12 § gäller behandling av s.k. tips. Det är skäl att också i paragrafen nämna föresatsen i motiveringen, nämligen att en bedömning av tillförlitligheten hos den som lämnat uppgifter och uppgifternas riktighet skall göras i anslutning till tipset.

Rätten att få och lämna ut uppgifter.

Bestämmelserna i 13 § om polisens rätt till uppgifter och i 19 § om utlämnande av uppgifter till andra myndigheter överensstämmer allmänt sett med de synpunkter som utskottet ur grundlagens perspektiv har ansett ofrånkomliga i dessa sammanhang (GrUU 14/2002 rd, s. 2—3). Båda paragraferna saknar dock en bestämmelse om att den som begär uppgifter skall lägga fram en utredning om att uppgifterna skyddas på behörigt sätt innan en teknisk anslutning öppnas. Utskottet har ansett det nödvändigt att uppställa detta krav bl.a. för att den registeransvarige kan handla i enlighet med sina skyldigheter enligt 32 § personuppgiftslagen (GrUU 14/2002 rd, s. 5—6). Det är skäl att ta in en sådan bestämmelse i 19 §. När det gäller 13 § bör den tas in i det fall att regleringen inte redan ingår i alla de lagar som innehåller reglerade uppgifter som omfattas av polisens rätt till uppgifter enligt 2 mom.

I 13 § 2 mom. anges att polisens rätt till uppgifter är beroende av avtal om saken med den registeransvariga. Detta gäller dels det tekniska förfarandet, dels enligt utskottets uppfattning eventuella avgifter för uppgifterna i den mån bestämmelser om saken har utfärdats.

Utskottet har noterat att regeringen i motiveringen förefaller att säga att 20 § 4 mom. personuppgiftslagen gör det möjligt för enskilda att lämna ut kredituppgifter till polisen. Utskottet anser att lagrummet inte berättigar till detta (jfr RP 96/1998 rd, s. 59/I).

Frågan om utlämnande av uppgifter ur polisens personregister till utlandet skall avgöras utifrån samma utgångspunkter som gäller för utlämnande i hemlandet. Enligt bestämmelserna i 37 och 40 §, där syftet med utlämnandet av uppgifter endast anges generellt, är förutsättningen för utlämnandet att uppgifterna "behövs" för något ändamål. Enligt utskottets tidigare tolkningspraxis bör förutsättningen i en reglering av detta slag dock vara att uppgifterna är "nödvändiga" (GrUU 14/2002 rd, s. 2). Om lagförslaget skall behandlas i vanlig lagstiftningsordning måste lagförslaget ändras i enlighet med detta.

Vad som ovan anförts om öppnande av tekniska anslutningar gäller också utlämnande av uppgifter till utlandet.

Lagförslagets 40 § gäller främst utlämnande av uppgifter till länder utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet. Av denna anledning påpekar utskottet att artikel 25 i dataskyddsdirektivet föreskriver att personuppgifter endast får överföras om det i förhållande till direktivet tredje landet säkerställer en adekvat skyddsnivå. Kravet på en miniminivå följer också av 10 § 1 mom. grundlagen. Detaljerade nationella bestämmelser ingår i 5 kap. personuppgiftslagen som med stöd av 1 § i lagförslaget också iakttas i polisens verksamhet. På grundval av den föreslagna bestämmelsen får personuppgifter lämnas ut till utlandet endast om det sker i enlighet med bestämmelserna i fråga i personuppgiftslagen (jfr GrUU 14/2002 rd, s. 5/I och ShUB 16/2002 rd, s. 4 /I).

I 9 § 1 mom. grundlagen föreskrivs att en utlänning inte får utvisas t.ex. om han eller hon till följd därav riskerar dödsstraff, tortyr eller någon annan behandling som kränker mänskovärdet. Denna grundlagsbestämmelse leder enligt utskottets uppfattning till tolkningen att det inte är tillåtet att lämna ut uppgifter om de kan leda till att någon t.ex. döms till dödsstraff eller till att ett tidigare ådömt straff verkställs.

Bevaringstider.

Bestämmelserna om bevaringstider för personuppgifter i 22—26 § är i allmänhet sakliga och exakta. Enligt 22 § 5 mom. och 26 § 2 mom. utplånas dock inte personuppgifter om det till personuppgifterna har fogats uppgifter som hänför sig till en persons egen säkerhet eller polisens säkerhet i arbetet. Utskottet har redan tidigare kritiserat vagheten i detta uttryck. Utskottet påpekar att ett uttryck av denna typ i samband med regleringen av bevaringstider kan leda till att personuppgifter bevaras under en lång tid, rentav permanent, vilket uppenbart inte ligger i linje med skyddet för personuppgifter. Oberoende av på vilket sätt uttrycket preciseras finner utskottet det viktigt att kriteriet skärps, t.ex. så här: "... uppgifter som direkt hänför sig till en persons egen säkerhet."

Utplåningen av uppgifter har i 24 § kopplats samman med att 10 år skall ha förflutit sedan den sista uppgiften infördes. Med hänsyn till exaktheten bör begreppet "den sista uppgiften" klarläggas i lagen.

Känsliga uppgifter.

Behandlingen av känsliga uppgifter tangerar skyddet för personuppgifter inom privatlivet och bestämmelser som tillåter behandling av sådana uppgifter måste därför vara exakta (GrUU 25/1998 rd, s. 3). Lagförslagets 10 § är en specialbestämmelse om behandling av känsliga uppgifter. På behandlingen tilllämpas dessutom också bestämmelserna i personuppgiftslagen. På grund av kravet på exakthet i regleringen ger övriga bestämmelser i lagförslaget, t.ex. 15—19 § som generellt reglerar användningen och behandlingen av personuppgifter, inte behörighet att behandla känsliga personuppgifter.

Utskottet har noterat att 10 § endast tillåter att känsliga uppgifter samlas in och registreras men inte att de behandlas på något annat sätt. Dessa funktioner utgör ensamma ingen grund för registrering av känsliga uppgifter. Exakta bestämmelser om behörighet att behandla uppgifterna på något annat sätt måste i detta sammanhang tas in i lagen. Personuppgiftslagen, som är en allmän lag, ger inte sådan behörighet.

I 1 och 2 mom.har man försökt gradera villkoren för att känsliga uppgifter skall få samlas in och registreras. Detta är i sig positivt. Så här i regleringssammanhang måste det dock anses vara osannolikt att man redan då de ömtåliga uppgifterna samlas in kan veta att de, i enlighet med formuleringen i 2 mom., behövs för att ett visst uppdrag som ankommer på polisen skall kunna fullgöras. Det är skäl att ytterligare överväga formuleringen.

Övriga omständigheter

Med anledning av motiveringen till 8 § i lagförslaget föreslår utskottet att skyldigheten att underrätta dataombudsmannen om inrättande och väsentlig ändring av tillfälliga och manuella personregister enligt 6 §, avsedda för polisens riksomfattande bruk skall kvarstå.

Enligt motiveringen till 45 § 2 mom. som gäller dataombudsmannens rätt att kontrollera uppgifter innebär kontrollen av lagenligheten i uppgifterna inte kontroll av att det ursprungliga inhämtandet av uppgifterna varit lagenligt. Detta är inte riktigt, eftersom 39 § 1 mom. personuppgiftslagen föreskriver att dataombudsmannen har rätt att få "all den information som behövs för att övervaka att behandlingen av personuppgifter sker i enlighet med lag".

I rubriken till 48 § nämns bestämmelser, vilket i ljuset av paragrafens innehåll är omotiverat.