Senast publicerat 18-02-2021 09:22

Utlåtande GrUU 3/2021 rd RP 206/2020 rd  Regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om identitetskort, passlagen, 15 och 38 § i lagen om behandling av personuppgifter i polisens verksamhet samt 33 a och 159 § i utlänningslagen

Grundlagsutskottet

Till förvaltningsutskottet

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om identitetskort, passlagen, 15 och 38 § i lagen om behandling av personuppgifter i polisens verksamhet samt 33 a och 159 § i utlänningslagen (RP 206/2020 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till förvaltningsutskottet. 

Sakkunniga

Utskottet har hört 

  • specialsakkunnigMarja-LeenaHärkönen
    inrikesministeriet
  • professorSusannaLindroos-Hovinheimo.

Skriftligt yttrande har lämnats av 

  • biträdande dataombudsmanJariRåman
    Dataombudsmannens byrå
  • professorJanneSalminen
  • professorTomiVoutilainen.

PROPOSITIONEN

Regeringen föreslår att lagen om identitetskort, passlagen, lagen om behandling av personuppgifter i polisens verksamhet och utlänningslagen ändras. 

Lagarna avses träda i kraft den 2 augusti 2021. 

I motiveringen till lagstiftningsordningen bedöms lagförslaget med avseende på grundlagens 7 § om rätten till liv, personlig frihet och integritet, 10 § om den straffrättsliga legalitetsprincipen och 80 § om skydd för privatlivet. 

Regeringen anser att lagförslagen kan behandlas i vanlig lagstiftningsordning. Det är enligt regeringen dock motiverat att inhämta utlåtande från grundlagsutskottet om ärendet. 

UTSKOTTETS ÖVERVÄGANDEN

Utgångspunkter för bedömningen

De föreslagna ändringarna i lagen om identitetskort och i utlänningslagen kompletterar Europaparlamentets och rådets förordning om säkrare identitetskort för unionsmedborgare och uppehållshandlingar som utfärdas till unionsmedborgare och deras familjemedlemmar när de utövar rätten till fri rörlighet (förordningen om identitetskort). Lagen om identitetskort får bestämmelser som kompletterar EU-förordningen när det gäller bland annat tagande av fingeravtryck, identitetskortets tekniska del och dess informationssäkerhet samt avläsning av fingeravtryck och ansiktsbilder. I utlänningslagen föreslås smärre tekniska ändringar och förtydliganden. Förordningen om identitetskort är ingen rättslig grund för att upprätta eller underhålla databaser på nationell nivå för lagring av biometriska uppgifter i medlemsstaterna. Det är alltså en fråga för nationell rätt som måste vara förenlig med unionsrätten avseende dataskydd (skäl 21). 

Till lagen om identitetskort fogas en bestämmelse om införande av fingeravtryck i identitetskortsregistret. De föreslagna ändringarna i passlagen och i lagen om behandling av personuppgifter i polisens verksamhet har samband med bestämmelsen om införande av fingeravtryck i identitetskortsregistret, eftersom fingeravtryck som tagits för identitetskort och förts in i registret kan utnyttjas vid ansökan om pass. Fingeravtryck som förts in i passregistret vid ansökan om pass kan i sin tur utnyttjas vid ansökan om identitetskort. 

Redan tidigare har ansiktsbild lagrats på identitetskort. I och med det aktuella förslaget, som grundar sig på unionsrätten, lagras också uppgifter om fingeravtryck på identitetskortet. Samtidigt utvidgas datainnehållet i identitetskortsregistret. Ansiktsbild och fingeravtryck är sådana biometriska uppgifter som avses i artikel 9 i EU:s allmänna dataskyddsförordning och de hör således till särskilda kategorier av personuppgifter. Den föreslagna ändringen innebär att pass och identitetskort som används som identitetsbevis och resedokument måste innehålla samma biometriska uppgifter. 

Regleringen är betydelsefull med avseende på skyddet för privatlivet och personuppgifter i 10 § i grundlagen. Med avseende på 10 § 1 mom. i grundlagen räcker det enligt grundlagsutskottet i princip med att bestämmelserna uppfyller kraven i EU:s allmänna dataskyddsförordning. Enligt utskottet bör skyddet för personuppgifter i första hand tillgodoses utifrån den allmänna dataskyddsförordningen och den allmänna lagstiftningen på nationell nivå. Lagstiftaren bör alltså vara restriktiv när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (se GrUU 14/2018 rd, s. 5). 

Grundlagsutskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av uppgifterna orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (se GrUU 14/2018 rd, s. 5). 

Grundlagsutskottet har redan tidigare lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och för missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd, s. 4, GrUU 14/2009 rd, s. 3). Även enligt EU:s allmänna dataskyddsförordning bör särskilda kategorier av personuppgifter, som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter, åtnjuta särskilt skydd eftersom behandlingen av uppgifterna kan innebära betydande risker för de grundläggande rättigheterna och friheterna. 

Grundlagsutskottet har bedömt att biometriska identifieringsuppgifter är känsliga uppgifter i flera hänseenden. Fingeravtryck innehåller sådan information om personer som gör det möjligt att exakt identifiera dem i mycket olika sammanhang (GrUU 29/2016 rd, se också punkt 84 i domen i målet S. and Marper mot Förenade kungariket, 4.12.2008). Att tillåta behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter som ingår i privatlivet (GrUU 37/2013 rd, s. 2). Att uppgifter om fingeravtryck över huvud taget förs in i ett sådant register kan redan i sig ge anledning till oro med tanke på skyddet av privatlivet (se också punkt 85 i domen i målet S. and Marper mot Förenade kungariket, 4.12.2008). Också EU-domstolen har ansett att tagande och lagring av fingeravtryck ingriper i skyddet för privatlivet och personuppgifter enligt artiklarna 7 och 8 i stadgan om de grundläggande rättigheterna (Schwarz mot Stadt Bochum C-291/12, punkt 30). Utskottet har dock inget att invända mot grunderna för den nu föreslagna regleringen. 

Redan i samband med behandlingen av förslagen till passlag och utlänningslag gjorde grundlagsutskottet bedömning av förutsättningarna för att behandla fingeravtrycksuppgifter särskilt med tanke på ändamålsbegränsning (GrUU 14/2009 rd, GrUU 47/2010 rd). De behandlingsändamål och restriktioner som nu föreslås är enligt utskottet inte problematiska i konstitutionellt hänseende. 

Grundlagsutskottet har inte inom ramen för sitt konstitutionella uppdrag gjort någon detaljerad bedömning av lagförslagens förhållande till EU:s allmänna dataskyddsförordning. Förvaltningsutskottet måste således vara noga med att se till att regleringen motsvarar kraven i dataskyddsförordningen. Extra viktigt är det att se till att bestämmelserna om status som personuppgiftsansvarig är heltäckande. 

Nödvändighet behandling

Grundlagsutskottet noterar att personuppgifter som behandlas för tillstånds- och tillsynsuppgifter enligt 38 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet ska raderas senast 20 år från det att beslutet fattades eller förföll eller den i beslutet angivna giltighetstiden gick ut eller personuppgiften infördes. I den föreslagna 38 § 2 mom. 7 punkten föreskrivs det dessutom att fingeravtrycksuppgifter ska raderas ur identitetskortsregistret senast 30 dygn från det att ett identitetskort utan rätt att resa beviljades, om den som ansökt om identitetskort inte beviljas identitetskort med rätt att resa av de orsaker som nämns i 17 § i lagen om identitetskort. I övrigt ska de gällande bestämmelserna i lagen om behandling av personuppgifter i polisens verksamhet tillämpas på behandlingen av fingeravtryck som registrerats i identitetskortsregistret. I propositionen (s. 15) bedömer regeringen att motsvarande maximala lagringstid på 20 år för fingeravtrycksuppgifter i passregistret är nödvändig för att man ska kunna säkerställa att de som ansöker om identitetskort och pass kan identifieras på ett tillförlitligt sätt med hjälp av registerjämförelser. 

Enligt uppgifter till grundlagsutskottet kräver inte förordningen om identitetskort så här lång lagringstid. Lagringstiden enligt 38 § i lagen om behandling av personuppgifter i polisens verksamhet har i och för sig kommit till med grundlagsutskottets medverkan (GrUU 51/2018 rd). Utskottet har emellertid understrukit att framför allt lagringstiden för känsliga uppgifter ska vara begränsad på så sätt att uppgifterna bara får finnas lagrade så länge det är nödvändigt för att fullfölja det syfte för vilket uppgifterna har registrerats (se t.ex. GrUU 31/2017 rd, s. 5, GrUU 13/2017 rd, s. 6). Utskottet har ansett att en lagringstiden fem år för känsliga uppgifter är lång (GrUU 51/2018 rd, s. 16, GrUU 13/2017 rd, s. 6). Enligt utskottet genererar registrering av biometriska kännetecken dessutom ett särskilt behov av att se till att de personuppgifter som registreras i systemet skyddas mot risk för missbruk och varje form av olaglig åtkomst till och användning av uppgifterna (GrUU 13/2017 rd, s. 6, GrUU 29/2016 rd, s. 5, se även Schrems C-362/14, punkt 91, Digital Rights Ireland C-293/12 och C-594/12, punkterna 54 och 55). Förvaltningsutskottet bör ta ställning till den föreslagna lagringstiden också med avseende på förordningen om identitetskort och i förekommande fall begränsa lagringstiden. 

FÖRSLAG TILL BESLUT

Grundlagsutskottet anför

att lagförslagen kan behandlas i vanlig lagstiftningsordning. 
Helsingfors 17.2.2021 

I den avgörande behandlingen deltog

ordförande
AnttiRinnesd
vice ordförande
AnttiHäkkänensaml
medlem
OutiAlanko-Kahiluotogröna
medlem
BellaForsgréngröna
medlem
MariaGuzeninasd
medlem
PetriHonkonencent
medlem
OlliImmonensaf
medlem
AnnaKontulavänst
medlem
MatsLöfströmsv
medlem
JukkaMäkynensaf
medlem
WilleRydmansaml
medlem
AriTorniainencent
medlem
HeikkiVestmansaml
medlem
TuulaVäätäinensd.

Sekreterare var

utskottsråd
MikaelKoillinen.