Senast publicerat 10-07-2025 17:59

Utlåtande GrUU 40/2021 rd RP 35/2021 rd Grundlagsutskottet Regeringens proposition till riksdagen med förslag till lagstiftning som kompletterar förordningarna om användning av Schengens informationssystem

Till förvaltningsutskottet

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lagstiftning som kompletterar förordningarna om användning av Schengens informationssystem (RP 35/2021 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till förvaltningsutskottet. 

Sakkunniga

Utskottet har hört 

  • specialsakkunnig Suvi Pato-Oja 
    inrikesministeriet
  • lagstiftningsråd Liisa Leppävirta 
    justitieministeriet
  • biträdande dataombudsman Jari Råman 
    Dataombudsmannens byrå
  • polisinspektör Tony Everhall 
    Polisstyrelsen
  • professor Tuomas Ojanen 
  • forskardoktor Milka Sormunen 
  • professor Tomi Voutilainen. 

Skriftligt yttrande har lämnats av 

  • centralkriminalpolisen.

PROPOSITIONEN

Regeringen föreslår ändringar i lagen om behandling av personuppgifter i polisens verksamhet, lagen om behandling av personuppgifter vid Gränsbevakningsväsendet och lagen om behandling av personuppgifter inom Tullen. 

De föreslagna lagarna avses träda i kraft vid en tidpunkt som föreskrivs genom förordning av statsrådet samtidigt som det informationssystem som avses i Europaparlamentets och rådets förordningar om användning av Schengens informationssystem tas i drift genom beslut av kommissionen. 

I motiven till lagstiftningsordning i propositionen granskas lagförslagen med avseende på skyddet för privatlivet, så som det garanteras i 10 § i grundlagen. 

Enligt regeringens uppfattning kan lagförslagen behandlas i vanlig lagstiftningsordning. Regeringen anser dock att det är önskvärt att utlåtande om förslaget begärs av grundlagsutskottet. 

UTSKOTTETS ÖVERVÄGANDEN

Utgångspunkter för bedömningen

(1)Regeringen föreslår ändringar i lagen om behandling av personuppgifter i polisens verksamhet, lagen om behandling av personuppgifter vid Gränsbevakningsväsendet och lagen om behandling av personuppgifter inom Tullen. Till lagarna fogas de nationella bestämmelser som behövs för att komplettera Europaparlamentets och rådets förordningar om användning av Schengens informationssystem inom polisens, Gränsbevakningsväsendets och Tullens verksamhetsområden. Dessutom föreslås det ändringar i vissa andra bestämmelser om internationellt informationsutbyte i vilka det föreskrivs om rätt att få uppgifter ur Europeiska unionens gemensamma informationssystem för att förebygga, avslöja och utreda terroristbrott och allvarliga brott samt om utlämnande av personuppgifter till Europeiska unionens gemensamma informationssystem. 

(2)Europaparlamentets och rådets förordningar om användning av Schengens informationssystem (nedan även SIS-förordningarna), som ska kompletteras nationellt, har beretts nationellt som EU-ärenden med grundlagsutskottets medverkan (GrUU 13/2017 rd). Också de lagar som ska ändras genom den föreslagna regleringen har stiftats med grundlagsutskottets medverkan (GrUU 60/2018 rd, GrUU 58/2018 rd, GrUU 51/2018 rd). Med grundlagsutskottets medverkan har även den allmänna dataskyddsförordningen kompletterats och preciserats nationellt (GrUU 14/2018 rd) och direktivet om dataskydd i brottmål (nedan även polisdirektivet, GrUU 26/2018 rd) genomförts. 

(3)De SIS-förordningar som nu ska kompletteras är direkt tillämplig rätt. Behovet av nationell reglering som kompletterar förordningarna hänför sig i huvudsak till behovet av att utse vissa i förordningarna avsedda myndigheter för att förtydliga ansvarsfördelningen och till behovet av att föreskriva om utlämnande av personuppgifter i enlighet med dataskyddslagstiftningens och offentlighetslagens krav. 

(4)Förslaget innebär ett ingrepp i skyddet för privatlivet och skyddet för personuppgifter. I sin bedömning av bestämmelser av det här slaget har grundlagsutskottet brukat anse att bestämmelserna måste granskas mot 10 § i grundlagen. Enligt den paragrafens 1 mom. utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Utskottet har tidigare analyserat vilken betydelse tillämpningen av EU:s allmänna dataskyddsförordning får för skyddet för personuppgifter. Enligt utskottet utgör dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, överlag en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och för personuppgifter i 10 § i grundlagen (GrUU 14/2018 rd, s. 4). 

(5)I artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna tryggas respekten för privatlivet, och i artikel 8 i stadgan tryggas skyddet av personuppgifter. EU-domstolens domar på dessa punkter är utslagsgivande för det viktigaste innehållet i respekten för privatlivet och skyddet av personuppgifter (se t.ex. GrUU 14/2018 rd, s. 3—4). Likaså har artikel 8 om skydd för privatlivet i Europakonventionen i Europadomstolens rättspraxis ansetts omfatta även skyddet för personuppgifter. 

(6)När man tittar på de EU-förordningar som nu ska kompletteras är det i SIS-förordningen om polissamarbete fråga om sådan behandling av personuppgifter som avses i polisdirektivet och i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (dataskyddslagen avseende brottmål). Den behandling av personuppgifter som avses i SIS-förordningen om in- och utresekontroller och SIS-återvändandeförordningen ingår för sin del i den allmänna dataskyddsförordningens tillämpningsområde, med undantag för sådana sökningar för brottsbekämpande ändamål som avses i artikel 33 i SIS-förordningen om in- och utresekontroller. Uppgifterna i informationssystemet för viseringar och Eurodacsystemet behandlas inom den allmänna dataskyddsförordningens tillämpningsområde, med undantag för sökningar för brottsbekämpande ändamål. 

(7)Till skillnad från den direkt tillämpliga dataskyddsförordningen innehåller polisdirektivet, som är av huvudsaklig betydelse med avseende på den reglering som nu ska tillämpas, inte några sådana detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund när det gäller skyddet för privatlivet och för personuppgifter i 10 § i grundlagen (GrUU 14/2018 rd, s. 6, se också GrUU 26/2018 rd, s. 3). 

(8)Den viktigaste frågan i propositionen med avseende på skyddet för privatlivet och för personuppgifter är registreringen av biometriska kännetecken (se även GrUU 33/2016 rd, GrUU 29/2016 rd). Exempelvis innehåller fingeravtrycken sådan information om personer som gör det möjligt att exakt identifiera dem i mycket olika sammanhang (se t.ex. punkt 84 i Europadomstolens dom i målet S. and Marper mot Förenade kungariket, 4.12.2008). Enligt grundlagsutskottet kan denna typ av biometriska identifieringsuppgifter på många sätt jämställas med känsliga uppgifter. Att tillåta behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter som ingår i privatlivet (GrUU 37/2013 rd, s. 2). Att uppgifter om fingeravtryck över huvud taget förs in i ett register kan därför redan i sig ge anledning till oro med tanke på skyddet för privatlivet (se också punkt 85 i domen i målet S. and Marper mot Förenade kungariket, 4.12.2008). Också EU-domstolen har ansett att tagande och lagring av fingeravtryck ingriper i respekten för privatlivet och skyddet av personuppgifter enligt artiklarna 7 och 8 i stadgan om de grundläggande rättigheterna (Schwarz mot Stadt Bochum C-291/12, punkt 30). 

(9)Relevant är att omfattande register med biometriska kännetecken kan medföra allvarliga risker för informationssäkerheten och för missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd, GrUU 14/2009 rd, s. 3/I). Grundlagsutskottet har ansett att inrättandet av dessa register måste bedömas i ljuset av villkoren för inskränkningar i de grundläggande fri- och rättigheterna och särskilt med hänsyn till inskränkningarnas acceptabilitet och proportionalitet (GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). Enligt grundlagsutskottets etablerade praxis handlar det på det hela taget om att lagstiftaren måste tillgodose rätten till skydd för privatlivet på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna överlag (se t.ex. GrUU 13/2016 rd). 

(10)Enligt grundlagsutskottet genererar registrering av biometriska kännetecken dessutom ett särskilt behov av att se till att de personuppgifter som registreras i systemet skyddas mot risk för missbruk och varje form av olaglig åtkomst till och användning av uppgifterna (GrUU 29/2016 rd, s. 5, se även Schrems C-362/14, punkt 91, Digital Rights Ireland C-293/12 och C-594/12, punkterna 54 och 55). När utskottet bedömde den EU-reglering som nu ska kompletteras nationellt påpekade det därför särskilt att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om behandlingen är absolut nödvändig för SIS (GrUU 13/2017 rd, se också GrUU 3/2017 rd). Särskilt när det gäller behandlingen av uppgifter om barn påpekade utskottet att behandlingen av biometriska kännetecken som tas upp från barn ska vara nödvändig med tanke på ett godtagbart ändamål (se GrUU 33/2016 rd, GrUU 29/2016 rd). 

(11)Grundlagsutskottet anser med anledning av det som sagts ovan att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån en praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en regleringskontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (se även GrUU 14/2018 rd, s. 6). Utskottet har sett det som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också dataskyddsförordningen kräver måste bedömas utifrån de hot och risker som behandlingen av uppgifterna orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser (GrUU 14/2018 rd, s. 5). 

(12)Grundlagsutskottet har dock också påpekat att bestämmelserna om behandling av personuppgifter är tungrodda och komplicerade (se t.ex. GrUU 31/2017 rd, s. 4, och GrUU 71/2014 rd, s. 3). Utskottet har därför, också när polisdirektivet genomfördes, påmint om att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän nationell lag utanför tillämpningsområdet för dataskyddsförordningen (GrUU 26/2018 rd, s. 4, se även GrUU 14/2018 rd, s. 6—7, GrUU 31/2017 rd, s. 3—4, GrUU 5/2017 rd, s. 9, GrUU 38/2016 rd, s. 4). 

(13)Enligt grundlagsutskottet är propositionen allmänt taget ett prov på god lagberedning. Det komplex som den tillämpliga lagstiftningen utgör kan dock inte anses klart och begripligt. Förhållandet mellan unionsrätten och den nationella lagstiftningen är delvis överlappande och delvis avskiljande. Trots att utskottet anser det klart att den svårtydda unionsrätten och även det begränsade och specifika tillämpningsområdet för dess dataskyddsbestämmelser är en synnerligen starkt bidragande orsak till den komplicerade regleringen, bör förvaltningsutskottet undersöka om det finns några sätt att förtydliga bestämmelserna. 

(14)Bestämmelserna är av betydelse också med avseende på konventionen om barnets rättigheter till den del det är fråga om behandling av barns biometriska uppgifter och andra personuppgifter om barn (se även den allmänna kommentaren från kommittén för barnets rättigheter om barns rättigheter i den digitala miljön, General Comment No 25 (2021) Children's rights in relation to the digital environment, CRC/CGC/25 och, i samband med internationell migration, Joint General Comment No. 4 of the CMW and No. 23 of the CRC in the context of International Migration: States parties' obligations in particular with respect to countries of transit and destination). 

Behandling av biometriska uppgifter

(15)Utöver kravet på att behandlingen av känsliga uppgifter ska vara nödvändig har grundlagsutskottet särskilt lyft fram kravet på ändamålsbegränsning. Utskottet har ansett det möjIigt att göra bara exakt avgränsade och mycket små undantag från det kravet. Bestämmelserna får inte heller leda till att någon annan verksamhet än den som är förknippad med det ursprungliga ändamålet blir det huvudsakliga ändamålet eller ens ett viktigt ändamål (GrUU 15/2018 rd, s. 45, GrUU 1/2018 rd, s. 4, GrUU 14/2017 rd). I sitt utlåtande (GrUU 47/2010 rd, s. 4) om en ändring av utlänningslagen ansåg utskottet att den föreslagna lagen kunde behandlas i vanlig lagstiftningsordning bara om den ändrades så att det föreskrivs att användningen av fingeravtryck som samlats in enligt 131 § i utlänningslagen begränsas uteslutande till ändamål som svarar mot det ändamål som de samlats in och registrerats för. Ett sådant ändamål kan i sig ha samband med att hindra och utreda exakt angivna brott, men bara i den omfattningen som verksamheten har ett nära samband med det ursprungliga insamlings- och registreringsändamålet. 

(16)Grundlagsutskottet fäste också nyligen särskild uppmärksamhet vid utvidgningen av användningsändamålet för fingeravtrycksuppgifter när utskottet bedömde bestämmelserna i lagen om behandling av personuppgifter i polisens verksamhet (GrUU 51/2018 rd, s. 14). Utskottet ansåg att man i vanlig lagstiftningsordning kunde avvika från bestämmelserna om ändamålsbegränsning utan att väsentligt begränsa regleringen till det ursprungliga insamlings- och registreringsändamålet endast om användningen av fingeravtrycksuppgifter för förebyggande, avslöjande eller utredning av vissa brott som avses i EU:s Eurodacförordning krävs i den förordningen. 

(17)Grundlagsutskottet har sett det som viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se GrUU 25/2005 rd). Utskottet anser att den föreslagna regleringen till denna del motsvarar utskottets praxis i fråga om behandlingen av biometriska kännetecken. Utskottet noterar dock att det i propositionen (s. 15) hänvisas särskilt till bestämmelserna om förebyggande registreringar i EU-förordningen i fråga. Enligt bestämmelserna kan det i SIS föras in registreringar om det föreligger en konkret och uppenbar risk att ett barn olagligt kan avlägsnas från en medlemsstat. Förebyggande registreringar gäller utöver bortförande som en förälder, familjemedlem eller vårdnadshavare gör sig skyldig till också situationer där ett barn riskerar att bli offer för människohandel, tvångsäktenskap, kvinnlig könsstympning eller andra former av könsrelaterat våld, att bli offer för eller involveras i terroristbrott eller att bli inkallade eller värvas till väpnade grupper eller tvingas delta aktivt i fientligheter. 

(18)För denna typ av reglering kan det enligt grundlagsutskottet påvisas synnerligen vägande skäl som har ett direkt samband med de grundläggande fri- och rättigheterna. I motiveringen till lagstiftningsordningen (s. 51) i propositionen sägs det dock att biometriska uppgifter som med stöd av utlänningslagen förts in i ett nationellt register inte på grund av ändamålsbegränsningen bedöms finnas tillgängliga på det sätt som avses i artikel 22 i SIS-förordningen om polissamarbete för att göra registreringar om försvunna eller sårbara personer. Enligt utskottets uppfattning begränsar den föreslagna regleringen användningen av biometriska kännetecken för de ändamålen på ett sätt som äventyrar syftet med regleringen. 

(19)Grundlagsutskottet har tidigare i samband med beredningen av Eurodacförordningen bedömt behandlingen av fingeravtrycksuppgifter om barn (GrUU 33/2016 rd). Bedömningen gällde då förslaget att sänka åldersgränsen för tagande av fingeravtryck från 14 år till 6 år. Enligt utskottet hade det lagts fram sådana grunder för sänkningen som var godtagbara med avseende på grundlagen och konventionen om barnets rättigheter, till den del motiveringen är att skapa förutsättningar för att identifiera barn som blivit av med sin familj. Utskottet ansåg dock att det kunde finnas andra outtalade syften bakom registreringen och betonade därför behovet av att säkerställa att principen om ändamålsbegränsning iakttas vid behandlingen av personuppgifter (GrUU 20/2016 rd, GrUU 13/2016 rd, GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 25/2009 rd). Särskilt behandlingen av biometriska uppgifter om barn ska vara nödvändig med avseende på ett godtagbart syfte (se även GrUU 29/2016 rd). 

(20)Grundlagsutskottet noterar dessutom att enligt en inkommen utredning kan SIS-förordningarna, som nu kompletteras nationellt, eller syftena med dem kräva en mer omfattande behandling av biometriska kännetecken än vad som nu föreslås. Det gäller både den ovannämnda regleringen som tryggar barns rättigheter och vissa andra situationer som exempelvis kan hänföra sig till registreringar i samband med brottsbekämpning. Med biometriska uppgifter avses enligt definitionen i artikel 3.12 i SIS-förordningen om polissamarbete utöver fotografier, ansiktsbilder och fingeravtrycksuppgifter också DNA-profiler. 

(21)Det ingår dock inte i grundlagsutskottets konstitutionella uppdrag att bedöma nationell genomförandelagstiftning med avseende på den materiella EU-rätten (se t.ex. GrUU 12/2019 rd, GrUU 31/2017 rd). Enligt utskottet har det dock stått klart att unionslagstiftningen enligt EU-domstolens etablerade rättspraxis har företräde framför nationell rätt i överensstämmelse med de villkor som lagts fast i denna rättspraxis (se t.ex. GrUU 14/2018 rd, s. 12—13 och GrUU 20/2017 rd, s. 6) och att man inte i vår nationella lagstiftning bör gå in för lösningar som strider mot unionsrätten (GrUU 15/2018 rd, s. 42—43, GrUU 14/2018 rd, s. 13, GrUU 26/2017 rd, s. 42—43). 

(22)Grundlagsutskottet anser att det inte finns något konstitutionellt hinder för att i högre grad än vad som nu föreslås använda biometriska kännetecken för att trygga rättigheterna för personer i en sårbar ställning, till exempel barn, på det sätt som anges ovan eller i någon annan situation eller för något annat ändamål när det krävs på grund av att SIS-förordningarna har företräde i egenskap av EU-rätt. Förvaltningsutskottet bör noggrant utreda innehållet i den gällande EU-rätten och försäkra sig om att regleringen är förenlig med denna. Regleringen bör också kompletteras vid behov. 

(23)Enligt grundlagsutskottets uppfattning skulle en ändring av lagförslaget på detta sätt dock ingripa i de grundläggande lösningarna i lagförslaget. Utskottet har ansett att det är nödvändigt och hör till god lagstiftningssed att beredningen av ett ärende åläggs statsrådet, i synnerhet om det i en regeringsproposition föreslås mycket avgörande ändringar som i väsentlig grad påverkar de grundläggande lösningarna i propositionen (GrUU 9/2020 rd, s. 3, GrUU 26/2017 rd, s. 76, se även GrUU 75/2014 rd, s. 8/II). 

(24)Grundlagsutskottet anser dock att regleringen i det nu aktuella lagförslaget inte är särskilt omfattande (se även GrUU 12/2021 rd, stycke 76). Regleringens betydelse med avseende på de grundläggande fri- och rättigheterna talar dock för att beredningen ska åläggas statsrådet. Utskottet anser att förvaltningsutskottet, om det anser det motiverat att komplettera lagförslagen på det sätt som beskrivs ovan, noggrant bör överväga om det är möjligt att ändra lagförslaget i riksdagen. Grundlagsutskottet har i fråga om bestämmelser som är känsliga med avseende på de grundläggande fri- och rättigheterna förutsatt att avgörande ändringar som i väsentlig grad påverkar de grundläggande lösningarna i en proposition ska föreläggas grundlagsutskottet för ny bedömning (se t.ex. GrUU 4/2021 rd, stycke 41). Om förvaltningsutskottet på ovannämnt sätt utvidgar möjligheten att behandla biometriska kännetecken genom reglering som ingriper i kärnan av skyddet för privatlivet och som ännu inte har bedömts skilt för respektive bestämmelse på det sätt som 74 § i grundlagen förutsätter, bör förvaltningsutskottets utkast till betänkande föreläggas grundlagsutskottet för behandling. Det är i så fall ett villkor för att lagförslaget i propositionen ska kunna behandlas i vanlig lagstiftningsordning. 

De nationella myndigheternas rätt att få uppgifter

(25)I den gällande lagen föreskrivs det om polisens rätt att lämna ut uppgifter ur Schengens informationssystem till de behöriga Schengenmyndigheterna. Bestämmelserna föreslås bli ändrade så att de behöriga nationella myndigheterna trots sekretessbestämmelserna har rätt att få åtkomst till Schengens informationssystem. Enligt grundlagsutskottets uppfattning följer de nationella myndigheternas rätt att få uppgifter i sig delvis direkt av SIS-förordningarna. I dem föreskrivs det att de nationella behöriga myndigheterna ska ha åtkomst till uppgifter som registrerats i SIS för vissa ändamål som anges i förordningen. 

(26)Enligt motiveringen till den ändrade regleringen ges behöriga myndigheter i enlighet med SIS-förordningarna åtkomst till uppgifter endast inom ramen för sin behörighet, och då endast för vederbörligen bemyndigad personal. Förordningen medför således vissa begränsningar av rätten att få uppgifter. Grundlagsutskottet noterar dock att det i lagförslagen föreskrivs om rätt för behöriga myndigheter att få åtkomst till uppgifterna i informationssystemet i stället för att det skulle utfärdas nationella bestämmelser om att polisen lämnar ut uppgifter till de behöriga myndigheterna med iakttagande av vad som föreskrivs i SIS-förordningarna. Grundlagsutskottet anser att det valda regleringssättet inte är utan betydelse med avseende på skyddet för privatlivet och för personuppgifter. 

(27)Grundlagsutskottet har bedömt frågan om rätt till uppgifter och då påpekat att rätten till information, som går före sekretessbestämmelserna, i sista hand går ut på att den myndighet som är berättigad till informationen i och med sina behov åsidosätter de grunder och intressen som är skyddade genom den sekretess som gäller den myndighet som innehar informationen. Ju mer generella bestämmelserna om rätt till information är, desto större är risken för att sådana intressen kan åsidosättas per automatik. Ju fullständigare bestämmelserna kopplar rätten till information till villkor i sak, desto mer sannolikt är det att en begäran om information måste motiveras. Det har också ansetts vara av betydelse att även den som lämnar ut informationen då kan bedöma begäran med avseende på de lagliga villkoren för utlämnandet (se t.ex. GrUU 48/2018 rd). Genom att de facto vägra lämna ut informationen kan den som innehar den skapa en situation där en utomstående myndighet måste undersöka skyldigheten att lämna ut uppgifter, det vill säga tolka bestämmelserna. Denna möjlighet är viktig när det gäller att anpassa tillgången till information och sekretessintressena till varandra (se t.ex. GrUU 17/2016 rd, s. 6, och de utlåtanden som nämns där). 

(28)Förvaltningsutskottet bör noggrant utreda om bestämmelserna i SIS-förordningen kräver en sådan ändring. Enligt grundlagsutskottet tryggar den gällande regleringen skyddet för privatlivet och för personuppgifter bättre än den föreslagna regleringen. 

Utlämnande av personuppgifter till tredjeländer

(29)Enligt 9 § 4 mom. i grundlagen får en utlänning inte utvisas, utlämnas eller återsändas, om han eller hon till följd av detta riskerar dödsstraff, tortyr eller någon annan behandling som kränker människovärdet. Denna bestämmelse om de grundläggande fri- och rättigheterna leder enligt utskottets uppfattning till tolkningen att det inte är tillåtet att lämna ut uppgifter om de kan leda till att någon till exempel döms till dödsstraff eller till att ett tidigare ådömt straff verkställs (GrUU 51/2002 rd, s. 3). 

(30)Grundlagsutskottet har i samband med stiftandet av de så kallade underrättelselagarna ansett att det är ett villkor för vanlig lagstiftningsordning att regleringen kompletteras så att information inte får lämnas ut till en stat som kan anses göra sig skyldig till systematiska människorättskränkningar eller där metoderna för underrättelseinhämtning inte följer de standarder som fastställts i de internationella människorättskonventionerna. Avgränsningen kunde enligt utskottets uppfattning göras exempelvis så att det i bestämmelsen införs en hänvisning till att internationella avtal som är bindande för Finland ska följas vid utlämnande och mottagande av information och genom att uttryckligen förbjuda internationellt samarbete och utbyte av information, om det finns grundad anledning att misstänka att någon på grund av samarbetet eller utlämnandet av information riskerar dödsstraff, tortyr, någon annan behandling som kränker människovärdet, förföljelse, godtyckligt frihetsberövande eller orättvis rättegång (GrUU 35/2018 rd, s. 26—27, GrUU 36/2018 rd, s. 29, se även GrUU 5/2007 rd, s. 10/I, GrUU 51/2002 rd, s. 3/II). 

(31)SIS-återvändandeförordningen, som nu kompletteras nationellt, gör det i sig möjligt för den stat som utfärdat en registrering att vägra lämna ut uppgifter. Utlämnande av uppgifter ska vägras, om utlämnandet kan leda till brott mot förbudet mot återvändande. Grundlagsutskottet betonar behovet av att tillämpa artikel 15 i SIS-återvändandeförordningen så att man vid överföring av personuppgifter till tredjeländer i återvändandesyfte systematiskt ska beakta bestämmelserna i de internationella människorättskonventioner som är förpliktande för Finland. Det betyder att uppgifter inte får lämnas ut till stater som kan anses göra sig skyldiga till systematiska människorättskränkningar eller där metoderna för underrättelseinhämtning inte följer de standarder som fastställts i de internationella människorättskonventionerna. Personuppgifter får inte överföras till tredjeländer i återvändandesyfte om det finns grundad anledning att misstänka att en person på grund av detta samarbete eller utlämnandet av uppgifter riskerar dödsstraff, tortyr, någon annan behandling som kränker människovärdet, förföljelse, godtyckligt frihetsberövande eller orättvis rättegång. 

(32)I sin bedömning av den förordning som nu ska kompletteras nationellt fäste grundlagsutskottet bland annat särskild uppmärksamhet vid att uppgifter som med stöd av SIS-återvändandeförordningen förts in i SIS får ges till ett tredjeland under vissa förutsättningar när det är fråga om att identifiera en tredjelandsmedborgare som vistas olagligt i landet och utfärda identitetshandlingar eller resedokument för hans eller hennes återvändande (GrUU 13/2017 rd). Grundlagsutskottet konstaterade att det i sin etablerade praxis har förhållit sig avvisande till att sådana uppgifter lämnas ut till tredjeländer (se också till exempel GrUU 28/2016 rd och de utlåtanden som nämns där). Utskottet ansåg dock i sitt utlåtande om förordningen att det fanns godtagbara grunder för den föreslagna tämligen begränsade möjligheten till utlämnande av uppgifter till tredjeländer. Utskottet fäste trots detta uppmärksamhet vid att bestämmelserna om förutsättningarna för utlämnande av uppgifter i förordningen närmast innehåller en hänvisning till kapitel V i EU:s allmänna dataskyddsförordning. Det kapitlet gäller allmänt överföring av personuppgifter till länder utanför EU. Med beaktande av innehållet i de uppgifter som ska registreras i SIS uppmanade utskottet statsrådet att vid den fortsatta beredningen säkerställa att den allmänna regleringen i dataskyddsförordningen tryggar dataskyddets nivå tillräckligt också i fråga om de nu aktuella uppgifterna och utlämnandet av dem. 

(33)Artikel 50 i SIS-förordningen om in- och utresekontroller gäller överföring av personuppgifter till tredje man. Enligt artikeln får uppgifter som behandlats i SIS och motsvarande tilläggsinformation som utbyts i enlighet med förordningen inte överföras till eller göras tillgängliga för tredjeländer eller för internationella organisationer. Artikel 15 i SIS-återvändandeförordningen utgör dock ett undantag från denna huvudregel. Den möjliggör överföring av personuppgifter till tredjeländer i återvändandesyfte. Uppgifterna får överföras till eller göras tillgängliga för ett tredjeland efter överenskommelse med den registrerande medlemsstaten. 

(34)Enligt grundlagsutskottets uppfattning tillämpas på utlämnande av uppgifter till tredjeländer dock inte huvudregeln i EU:s dataskyddsförordning, dvs. att personuppgifter får överföras till ett tredjeland eller en internationell organisation endast om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella organisationen i fråga, säkerställer en adekvat skyddsnivå. Med merparten av tredjeländerna finns det inte heller några sådana gällande återtagandeavtal med lämpliga skyddsåtgärder för att överföra personuppgifter till tredjeländer som avses i artikel 46 i dataskyddsförordningen. Enligt utskottets uppfattning kommer regleringen att leda till att det blir möjligt att lämna ut personuppgifter också till sådana tredjeländer där skyddsnivån inte kan säkerställas. Förvaltningsutskottet bör granska regleringen som helhet. 

Offentlighet och sekretess

(35)I motiveringen till propositionen (s. 12—13) sägs det att enligt SIS-förordningarna ska varje medlemsstat i enlighet med sin nationella rätt tillämpa sina regler avseende tystnadsplikt eller motsvarande konfidentialitetskrav på alla personer och organ som arbetar med SIS-uppgifter och tilläggsinformation. Tillämpliga i Finland blir till denna del utöver dataskyddslagstiftningen och offentlighetslagen också bestämmelserna om tystnadsplikt och sekretess i de myndighetsspecifika speciallagarna, vilka enligt bedömningen i propositionen inte behöver ändras. 

(36)Enligt 12 § 2 mom. i grundlagen är handlingar och upptagningar som innehas av myndigheterna offentliga, om inte offentligheten av tvingande skäl särskilt har begränsats genom lag. Var och en har rätt att ta del av offentliga handlingar och upptagningar. 

(37)Grundlagsutskottet påpekar att det saknas heltäckande och uttryckliga lagbestämmelser om sekretess för biometriska uppgifter. Utskottet anser att det i detta sammanhang i sig kunde anses finnas sådana tvingande skäl som avses i 12 § 2 mom. i grundlagen för att begränsa utlämnandet av biometriska uppgifter, eftersom det handlar om känsliga uppgifter. Förvaltningsutskottet bör undersöka om det finns skäl att komplettera regleringen. 

(38)Det bör också observeras att riksdagen i samband med totalöversynen av offentlighetslagstiftningen påpekade att man bör vara restriktiv när det gäller att ta in sekretessbestämmelser i speciallagar (RSv 303/1998 rd, FvUB 31/1998 rd, s. 7/I, se även GrUU 62/2018 rd, s. 9, GrUU 2/2008 rd , s. 2/I). 

Övrigt

(39)Grundlagsutskottet fäster uppmärksamhet vid de uppgifter som i lagförslaget anvisas dataombudsmannen. Utskottet har redan tidigare fäst statsrådets uppmärksamhet vid den centrala betydelse som en oberoende myndighet enligt artikel 8.3 i stadgan om de grundläggande rättigheterna har för den grundläggande rätten till dataskydd. Utskottet anser det fortfarande viktigt att tillsynsmyndigheten ges tillräckliga resurser för att kunna sköta uppgifterna på behörigt sätt (se även GrUU 4/2021 rd, stycke 52, GrUU 11/2018 rd, GrUU 3/2017 rd). 

FÖRSLAG TILL BESLUT

Grundlagsutskottet anför

att lagförslagen kan behandlas i vanlig lagstiftningsordning, men bara om utskottets konstitutionella anmärkning om att förvaltningsutskottets utkast till betänkande bör föreläggas grundlagsutskottet för behandling beaktas på behörigt sätt. 
Helsingfors 17.11.2021 

I den avgörande behandlingen deltog

ordförande 
Johanna Ojala-Niemelä sd 
 vice ordförande 
Antti Häkkänen saml 
 medlem 
Bella Forsgrén gröna 
 medlem 
Jukka Gustafsson sd 
 medlem 
Olli Immonen saf 
 medlem 
Mikko Kinnunen cent 
 medlem 
Anna Kontula vänst 
 medlem 
Mats Löfström sv 
 medlem 
Jukka Mäkynen saf 
 medlem 
Wille Rydman saml 
 medlem 
Heikki Vestman saml 
 medlem 
Tuula Väätäinen sd. 
 

Sekreterare var

utskottsråd 
Mikael Koillinen.