Motivering
Skydd av personuppgifter
Bedömningsgrunder.
Enligt 10 § 1 mom. grundlagen är vars och
ens privatliv tryggat. I samma grundlagsnorm bestäms vidare
att närmare bestämmelser om skydd för
personuppgifter utfärdas genom lag. Grundlagens hänvisning
till att skyddet för personuppgifter skall ordnas genom lag
förutsätter enligt syftet med revideringen av de
grundläggande fri- och rättigheterna (GrUB 25/1994
rd, s. 6/II) att lagstiftaren bestämmer om
den berörda rättigheten men att detaljerna i regleringen är
beroende av lagstiftarens prövning. En sådan bestämmelse
om de grundläggande fri- och rättigheterna binder
lagstiftarens prövningsrätt visavi innehållet
i mindre grad än en bestämmelse med ett sådant
regleringsförbehåll, där den grundläggande
fri- och rättigheten konstateras föreligga i enlighet
med vad som bestäms i lag.
Enligt grundlagsutskottets tolkningspraxis (se t.ex. GrUU
14/2002 rd, s. 2) begränsas dock lagstiftarens
spelrum av att skyddet för personuppgifter utgör
en del av skyddet för privatlivet i samma moment. Det är
alltså fråga om att lagstiftaren skall trygga
denna rättighet på ett sätt som kan anses
godtagbart med hänsyn till de grundläggande fri-
och rättigheterna. Lagstiftaren är i sin prövning
bunden av att det vid en registrering är viktigt att reglera åtminstone
syfte, innehållet i de registrerade personuppgifterna, tillåtna
användningsändamål, inbegripet uppgifternas
tillförlitlighet och bevaringstiden för uppgifterna
i personregistren samt den registrerades rättsskydd. Regleringen
av dessa faktorer på lagnivå skall dessutom vara
omfattande och detaljerad. Kravet på bestämmelse
om saken i lag omspänner också möjligheten
att överföra uppgifter via en teknisk anslutning.
Dessa synpunkter äger tillämpning även
på en bredare reglering av användningen av personuppgifter.
Registreringens syfte och de registrerades personuppgifter.
Lagförslaget innehåller inga direkta bestämmelser
om syftet med registreringen. Indirekt framgår detta dock
av anknytningen till skötseln av de uppgifter som avses
i 1 § polislagen samt hänvisningarna till informationssystemet
för polisärenden (2 §), informationssystemet
för förvaltningsärenden (3 §)
och informationssystemet för misstänkta (4 §).
En reglering av detta slag blir lät generell och summarisk,
vilket gör det möjligt för myndigheterna
att själva i stor utsträckning bestämma
innehållet i och omfattningen av de registrerade personuppgifterna.
Någon risk för detta fins dock inte i den föreliggande
propositionen, eftersom bestämmelserna i 2 kap. i allmänhet
tillräckligt noggrant anger vilka uppgifter som får
registreras i informationssystemet.
I polisens informationssystem får enligt 2 § 2 mom.
bl.a. införas "sådana uppgifter om" en person
"som påverkar hans eller hennes egen säkerhet
eller polisens säkerhet i arbetet" (se även t.ex.
102 §). Någon motivering för detta ges
inte i propositionen och bestämmelsen är därför
alltför vag. Förslaget måste absolut
preciseras, eftersom det förefaller att sanktionera en
omfattande registrering av hälsouppgifter (se även GrUU
37/2002 rd, s. 4/II).
I motiveringen anges att i informationssystemet för
misstänkta får också uppgifter om potentiella
eller verkliga brottsoffer införas såsom uppgifter
som hänför sig till brottet. Lagförslaget
4 § omfattar dock inte detta syfte.
Bestämmelserna om skyddspolisens funktionella informationssystem
i 5 § är väsentligt mer allmänt
hållna än bestämmelserna i 2—4 §,
vilket på sätt och vis är förståeligt
med tanke på sammanhanget. Uppgifterna som gäller
identiteten hos en person är noggrant specificerade i 3 mom.,
men förslaget anger inte i vilken utsträckning
uppgifter om personer som omfattas av beskrivningen i 2 mom. får
registreras. Med hänsyn till skyddet för personuppgifter är
det önskvärt att regleringen eller åtminstone
motiveringen till den preciseras i den fortsatta behandlingen.
Lagförslagets 12 § gäller behandling
av s.k. tips. Det är skäl att också i
paragrafen nämna föresatsen i motiveringen, nämligen
att en bedömning av tillförlitligheten hos den
som lämnat uppgifter och uppgifternas riktighet skall göras
i anslutning till tipset.
Rätten att få och lämna ut uppgifter.
Bestämmelserna i 13 § om polisens rätt
till uppgifter och i 19 § om utlämnande av uppgifter
till andra myndigheter överensstämmer allmänt
sett med de synpunkter som utskottet ur grundlagens perspektiv har
ansett ofrånkomliga i dessa sammanhang (GrUU 14/2002
rd, s. 2—3). Båda paragraferna saknar
dock en bestämmelse om att den som begär uppgifter
skall lägga fram en utredning om att uppgifterna skyddas
på behörigt sätt innan en teknisk anslutning öppnas.
Utskottet har ansett det nödvändigt att uppställa
detta krav bl.a. för att den registeransvarige kan handla
i enlighet med sina skyldigheter enligt 32 § personuppgiftslagen
(GrUU 14/2002 rd, s. 5—6). Det är
skäl att ta in en sådan bestämmelse i
19 §. När det gäller 13 § bör
den tas in i det fall att regleringen inte redan ingår
i alla de lagar som innehåller reglerade uppgifter som
omfattas av polisens rätt till uppgifter enligt 2 mom.
I 13 § 2 mom. anges att polisens rätt till
uppgifter är beroende av avtal om saken med den registeransvariga.
Detta gäller dels det tekniska förfarandet, dels
enligt utskottets uppfattning eventuella avgifter för uppgifterna
i den mån bestämmelser om saken har utfärdats.
Utskottet har noterat att regeringen i motiveringen förefaller
att säga att 20 § 4 mom. personuppgiftslagen gör
det möjligt för enskilda att lämna ut
kredituppgifter till polisen. Utskottet anser att lagrummet inte
berättigar till detta (jfr RP 96/1998
rd, s. 59/I).
Frågan om utlämnande av uppgifter ur polisens
personregister till utlandet skall avgöras utifrån
samma utgångspunkter som gäller för utlämnande
i hemlandet. Enligt bestämmelserna i 37 och 40 §,
där syftet med utlämnandet av uppgifter endast
anges generellt, är förutsättningen för
utlämnandet att uppgifterna "behövs" för
något ändamål. Enligt utskottets tidigare
tolkningspraxis bör förutsättningen i
en reglering av detta slag dock vara att uppgifterna är
"nödvändiga" (GrUU 14/2002 rd,
s. 2). Om lagförslaget skall behandlas i vanlig lagstiftningsordning måste
lagförslaget ändras i enlighet med detta.
Vad som ovan anförts om öppnande av tekniska
anslutningar gäller också utlämnande
av uppgifter till utlandet.
Lagförslagets 40 § gäller främst
utlämnande av uppgifter till länder utanför
Europeiska unionen och Europeiska ekonomiska samarbetsområdet.
Av denna anledning påpekar utskottet att artikel 25 i dataskyddsdirektivet
föreskriver att personuppgifter endast får överföras
om det i förhållande till direktivet tredje landet
säkerställer en adekvat skyddsnivå. Kravet
på en miniminivå följer också av
10 § 1 mom. grundlagen. Detaljerade nationella bestämmelser
ingår i 5 kap. personuppgiftslagen som med stöd
av 1 § i lagförslaget också iakttas i
polisens verksamhet. På grundval av den föreslagna
bestämmelsen får personuppgifter lämnas
ut till utlandet endast om det sker i enlighet med bestämmelserna
i fråga i personuppgiftslagen (jfr GrUU 14/2002
rd, s. 5/I och ShUB 16/2002
rd, s. 4 /I).
I 9 § 1 mom. grundlagen föreskrivs att en
utlänning inte får utvisas t.ex. om han eller
hon till följd därav riskerar dödsstraff,
tortyr eller någon annan behandling som kränker
mänskovärdet. Denna grundlagsbestämmelse
leder enligt utskottets uppfattning till tolkningen att det inte är
tillåtet att lämna ut uppgifter om de kan leda till
att någon t.ex. döms till dödsstraff
eller till att ett tidigare ådömt straff verkställs.
Bevaringstider.
Bestämmelserna om bevaringstider för personuppgifter
i 22—26 § är i allmänhet sakliga
och exakta. Enligt 22 § 5 mom. och 26 § 2 mom.
utplånas dock inte personuppgifter om det till personuppgifterna
har fogats uppgifter som hänför sig till en persons
egen säkerhet eller polisens säkerhet i arbetet.
Utskottet har redan tidigare kritiserat vagheten i detta uttryck. Utskottet
påpekar att ett uttryck av denna typ i samband med regleringen
av bevaringstider kan leda till att personuppgifter bevaras under
en lång tid, rentav permanent, vilket uppenbart inte ligger
i linje med skyddet för personuppgifter. Oberoende av på vilket
sätt uttrycket preciseras finner utskottet det viktigt
att kriteriet skärps, t.ex. så här: "...
uppgifter som direkt hänför sig till en persons
egen säkerhet."
Utplåningen av uppgifter har i 24 § kopplats samman
med att 10 år skall ha förflutit sedan den sista
uppgiften infördes. Med hänsyn till exaktheten
bör begreppet "den sista uppgiften" klarläggas
i lagen.
Känsliga uppgifter.
Behandlingen av känsliga uppgifter tangerar skyddet
för personuppgifter inom privatlivet och bestämmelser
som tillåter behandling av sådana uppgifter måste
därför vara exakta (GrUU 25/1998
rd, s. 3). Lagförslagets 10 § är
en specialbestämmelse om behandling av känsliga
uppgifter. På behandlingen tilllämpas dessutom
också bestämmelserna i personuppgiftslagen. På grund
av kravet på exakthet i regleringen ger övriga
bestämmelser i lagförslaget, t.ex. 15—19 § som
generellt reglerar användningen och behandlingen av personuppgifter,
inte behörighet att behandla känsliga personuppgifter.
Utskottet har noterat att 10 § endast tillåter
att känsliga uppgifter samlas in och registreras men inte
att de behandlas på något annat sätt.
Dessa funktioner utgör ensamma ingen grund för
registrering av känsliga uppgifter. Exakta bestämmelser
om behörighet att behandla uppgifterna på något
annat sätt måste i detta sammanhang tas in i lagen.
Personuppgiftslagen, som är en allmän lag, ger
inte sådan behörighet.
I 1 och 2 mom.har man försökt gradera villkoren
för att känsliga uppgifter skall få samlas
in och registreras. Detta är i sig positivt. Så här
i regleringssammanhang måste det dock anses vara osannolikt
att man redan då de ömtåliga uppgifterna
samlas in kan veta att de, i enlighet med formuleringen i 2 mom.,
behövs för att ett visst uppdrag som ankommer
på polisen skall kunna fullgöras. Det är
skäl att ytterligare överväga formuleringen.
Övriga omständigheter
Med anledning av motiveringen till 8 § i lagförslaget
föreslår utskottet att skyldigheten att underrätta
dataombudsmannen om inrättande och väsentlig ändring
av tillfälliga och manuella personregister enligt 6 §,
avsedda för polisens riksomfattande bruk skall kvarstå.
Enligt motiveringen till 45 § 2 mom. som gäller
dataombudsmannens rätt att kontrollera uppgifter innebär
kontrollen av lagenligheten i uppgifterna inte kontroll av att det
ursprungliga inhämtandet av uppgifterna varit lagenligt.
Detta är inte riktigt, eftersom 39 § 1 mom. personuppgiftslagen
föreskriver att dataombudsmannen har rätt att
få "all den information som behövs för
att övervaka att behandlingen av personuppgifter sker i
enlighet med lag".
I rubriken till 48 § nämns bestämmelser,
vilket i ljuset av paragrafens innehåll är omotiverat.