PROMEMORIAJUSTITIEMINISTERIET23.2.2021EU/2021/0065EU/2021/0072KOMMISSIONENS FÖRSLAG TILL ÄNDRING AV RÅDETS RAMBESLUT 2002/465/RIF OCH DIREKTIV 2014/41/EU VAD GÄLLER DERAS ANPASSNING TILL EU:S REGLER OM SKYDD AV PERSONUPPGIFTER
1
Bakgrund
Den 20 januari 2021 lade kommissionen fram ett förslag till Europaparlamentets och rådets direktiv om ändring av rådets rambeslut 2002/465/RIF vad gäller dess anpassning till EU:s regler om skydd av personuppgifter (COM(2021) 20 final, (nedan förslag till ändring avJIT-rambeslutet) samt ett förslag till Europaparlamentets och rådets direktiv om ändring av rådets direktiv 2014/41/EU vad gäller dess anpassning till EU:s regler om skydd av personuppgifter (COM(2021) 21 final, nedan förslag till ändring avEIO-direktivet).
Direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (nedan dataskyddsdirektivet för brottsbekämpning) trädde i kraft den 6 maj 2016, och medlemsstaterna hade till och med den 6 maj 2018 på sig att införliva direktivet i sin nationella lagstiftning. Dataskyddsdirektivet för brottsbekämpning tillämpas på både nationell och gränsöverskridande behandling av personuppgifter som utförs av behöriga myndigheter (artikel 1.1).
Bakgrunden till ändringsförslagen är kommissionens meddelande den 24 juni 2020 , ”Det fortsatta arbetet med att anpassa regelverket för den tidigare tredje pelaren till dataskyddsreglerna” (nedan meddelandet). I meddelandet behandlas den översyn som kommissionen skulle göra i enlighet med artikel 62.6 i dataskyddsdirektivet för brottsbekämpning. I denna punkt förutsätts att kommissionen ska se över EU-rättsakter som reglerar behöriga myndigheters behandling av personuppgifter för de ändamål som anges i dataskyddsdirektivet, i syfte att bedöma om de behöver anpassas till direktivet. I meddelandet anges tio rättsakter om bör anpassas till dataskyddsdirektivet och en tidsfrist för genomförandet. I förteckningen ingår ändring av rambeslutet och direktivet.
2
Förslagens syfte
Förslagen syftar till att anpassa dataskyddsreglerna i rambeslutet och direktivet till de principer och regler som fastställs i dataskyddsdirektivet för brottsbekämpning, i syfte att tillhandahålla en stark och enhetlig dataskyddsram i unionen.
3
Förslagets huvudsakliga innehåll
3.1
Förslag till ändring av rambeslutet
Rådets rambeslut av den 13 juni 2002 om gemensamma utredningsgrupper (2002/465/RIF, nedan JIT-rambeslutet) gäller gemensamma utredningsgrupper som består av de behöriga myndigheterna i två eller flera medlemsstater och som inrättats för brottsutredning i en eller flera av de medlemsländer som inrättat gruppen.
Förslaget att ändra JIT-rambeslutet syftar till att anpassa bestämmelserna om personuppgifters användningsändamål med dataskyddsdirektivet för brottsbekämpning. De ändamål för behandling av personuppgifter som anges i rambeslutet är mer långtgående än i dataskyddsdirektivet för brottsbekämpning och detta förutsätter en ändring för att förenhetliga regelverket. Ändringen gäller en artikel i rambeslutet.
Kommissionen föreslår en ändring av artikel 1.10 i JIT-rambeslutet. Där föreskrivs om för vilka ändamål de medlemmar som ingår i gruppen får använda de uppgifter de fått. Utom att uppgifter får användas för de ändamål för vilka utredningsgruppen inrättats (artikel 1.10 led a), kan uppgifterna användas för att upptäcka, utreda och beivra andra brott med förbehåll för att den stat där informationen har blivit tillgänglig på förhand gett sitt medgivande (led b).
Dessutom kan enligt JIT-rambeslutet uppgifterna användas för att förhindra ett överhängande och allvarligt hot mot allmän säkerhet, och utan att det påverkar tillämpningen av punkt b om en brottsutredning skulle inledas senare (led c) samt för andra ändamål i den mån de medlemsstater som har inrättat gruppen kommer överens om detta (led d). Kommissionen föreslår att led b ersätts med en hänvisning till de ändamål som anges i artikel 4.2 i dataskyddsdirektivet för brottsbekämpning. Dessutom föreslås att led c och d ska strykas.
Kommissionen motiverar ändringen med bestämmelserna i artiklarna 4.2 och 9.1 i dataskyddsdirektivet för brottsbekämpning. I dem föreskrivs om användning av personuppgifter för andra ändamål än för dem för vilka de samlats in och dataskyddsdirektivet för brottsbekämpning möjliggör inte längre behandling för andra ändamål enligt artikel 1.10 i rambeslutet endast på basis av en annan medlemsstats medgivande eller avtal. Enligt dataskyddsdirektivet för brottsbekämpning får samma eller en annan personuppgiftsansvarigs behandling för annat ändamål som anges i artikel 1.1 än det för vilket personuppgifterna insamlats tillåtas endast ifall a) den personuppgiftsansvariga har tillstånd att behandla sådana personuppgifter för detta ändamål enligt unionsrätten eller medlemsstatens lagstiftning och b) behandlingen för detta andra ändamål är nödvändigt och proportionerligt enligt unionsrätten eller medlemsstatens lagstiftning.
Enligt kommissionens förslag ska medlemsstaterna senast ett år efter antagandet av förslaget sätta i kraft ändringarna.
3.2
Förslaget om ändring av RIF-direktivet
Europaparlamentets och rådets direktiv 2014/41/EU av den 3 april 2014 om en europeisk utredningsorder på det straffrättsliga området (nedan EIO-direktivet) tillämpas på alla utredningsåtgärder som gäller inhämtande av bevismaterial, med undantag för inrättande av en gemensam utredningsgrupp och bevisinhämtning i en sådan grupp. I artikel 20 i EIO-direktivet föreskrivs om skydd av personuppgifter. I artikeln förutsätts för det första att medlemsstaterna vid behandlingen av personuppgifter följer rådets rambeslut 2008/977/RIF, som gäller skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete. Detta rambeslut har upphävts genom dataskyddsdirektivet för brottsbekämpning. För det andra föreskrivs i artikeln om skyldigheten att begränsa tillgången till sådana uppgifter som behandlas i samarbetet vid en europeisk utredningsorder, dock utan att det påverkar den registrerades rättigheter. Enligt denna punkt får endast behöriga personer ha tillgång till sådana uppgifter. Kommissionen föreslår att artikel 20 stryks.
Inom EIO-direktivets tillämpningsområde kan när det gäller skydd av personuppgifter beroende på situationen tillämpas antingen dataskyddsdirektivet för brottsbekämpning eller EU:s allmänna dataskyddsförordning. Kommissionen anser att det faktum att det i artikel 20 i EIO-direktivet hänvisas till rambeslutet kan leda till förvirring gällande tillämpningen av dataskyddsdirektivet för brottsbekämpning och den allmänna dataskyddsförordningen. Därför föreslår kommissionen att artikel 20 stryks. Dataskyddsdirektivet för brottsbekämpning tillämpas fortfarande vid behandling av personuppgifter i enlighet med EIO-direktivet inom dess tillämpningsområde och på övrig behandling av personuppgifter tillämpas den allmänna dataskyddsförordningen. I detta avseende förändras inte nuläget.
I dataskyddsdirektivet för brottsbekämpning och den allmänna dataskyddsförordningen fastställs en övergripande ram för registrerades rättigheter och den personuppgiftsansvariges skyldigheter, bland annat när det gäller inbyggt dataskydd och dataskydd som standard samt säkerhet vid behandling. Kommissionen anser därför att artikel 20 andra stycket i EIO-direktivet är överflödigt.
Enligt kommissionens förslag ska medlemsstaterna sätta i kraft ändringarna senast ett år efter att förslaget antagits.
4
Förslagens rättsliga grund och förhållande till subsidiaritets- och proportionalitetsprinciperna
Kommissionens förslag bygger på artikel 16.2 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Beslutet fattas i vanlig lagstiftningsordning.
Det ursprungliga JIT-rambeslutet och EIO-direktivet grundade sig på f.d. artikel 34.2 b i det tidigare fördraget om Europeiska unionen, som närmast motsvarar artikel 82.1 i EUF-fördraget. Både syftet med och innehållet i den föreslagna ändringen är dock tydligt begränsade till skydd av personuppgifter.
Statsrådet anser i enlighet med kommissionens förslag att artikel 16.2 i EUF-fördraget är den lämpligaste rättsliga grunden. Den gör det möjligt att anta bestämmelser om skydd för enskilda personer med avseende på medlemsstaternas behandling av personuppgifter när de utövar verksamhet som omfattas av unionsrättens tillämpningsområde och bestämmelser om den fria rörligheten för personuppgifter.
I kommissionens förslag anses att det lämpligaste instrumentet för att ändra JIT-rambeslutet och EIO-direktivet är ett direktiv. Statsrådet fäster samtidigt uppmärksamhet vid att JIT-rambeslutet tillsvidare inte ändrats för att överensstämma med de ändringar i EUF-fördraget som gjordes genom Lissabonavtalet. Statsrådet anser att den valda rättsakten är lämplig. Endast unionen kan utfärda en rättsakt genom vilken ett rambeslut eller ett direktiv ändras.
Kommissionens förslag begränsar sig till vad som är nödvändigt för att anpassa JIT-rambeslutet och EIO-direktivet till unionens lagstiftning om skydd av personuppgifter utan att ändra medlemsstaternas samarbetsmekanismer vid inrättandet av en gemensam utredningsgrupp och utan att ändra EIO-direktivets tillämpningsområde. I enlighet med fördraget om Europeiska unionen artikel 5.4 går inte förslagen utöver vad som är nödvändigt för att nå målen i fördragen. Statsrådet anser att förslagen är förenliga med proportionalitets- och subsidiaritetsprinciperna.
5
Förslagens konsekvenser
5.1
Kommissionens konsekvensbedömning
I sin översyn tog kommissionen hänsyn till en studie som genomfördes som en del av pilotprojektet om en översyn av instrument och program för insamling av uppgifter i unionen med hänsyn till de grundläggande rättigheterna. I studien kartlades unionsakter som omfattas av artikel 62.6 i dataskyddsdirektivet för brottsbekämpning och bestämmelser identifierades som eventuellt skulle behöva anpassas till dataskyddsfrågor.
Konsekvenserna av förslagen begränsar sig till de behöriga myndigheternas behandling av personuppgifter inom JIT-rambeslutets och EIO-direktivets tillämpningsområde. Konsekvenserna har bedömts i samband med beredningen av dataskyddsdirektivet för brottsbekämpning och därför anser kommissionen att det inte behövs någon särskild konsekvensbedömning för dessa förslag.
5.2
Konsekvenser för EU:s budget
Förslagen har inga konsekvenser för EU:s budget.
5.3
Nationell konsekvensbedömning
5.3.1
Konsekvenser för den nationella lagstiftningen
Ändringsförslagen ansluter sig till bestämmelserna i dataskyddsdirektivet för brottsbekämpning, vilka satts i kraft genom lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018). Om den tillsynsmyndighet som avses i direktivet föreskrivs i dataskyddslagen (1050/2018).
JIT-rambeslutet har satts i kraft genom lagen om gemensamma utredningsgrupper (1313/2002). Lagen gäller förundersökningsmyndigheter och åklagare. EIO-direktivet har satts i kraft genom lagen om genomförande av direktivet om en europeisk utredningsorder på det straffrättsliga området (430/2017, nedan EIO-direktivets genomförandelag). I lagen om genomförandet av EIO-direktivet föreskrivs om uppgifter för polis-, gränsbevaknings- och tullmyndigheter samt åklagare och tingsrätter, som är behöriga myndigheter inom tillämpningsområdet för dataskyddsdirektivet för brottsbekämpning. På dem tillämpas i uppgifter som utförs enligt genomförandelagen lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Justitieministeriet är enligt genomförandelagen den centralmyndighet som avses i artikel 7.3 i EIO-direktivet. Justitieministeriet ska bistå de behöriga myndigheterna i kommunikationen för att översända utredningsordern.
Kommissionens förslag har inte några betydande konsekvenser för ovannämnda lagar. Förslaget om ändring av JIT-rambeslutet förutsätter dock en ändring av 6 § i lagen om gemensamma utredningsgrupper, som innehåller bestämmelser om användningsändamål som motsvarar gällande rambeslut. I EIO-direktivets genomförandelag föreskrivs också om skyldighet att iaktta en annan medlemsstats myndighets begränsningar för användning av uppgifter. Enligt en preliminär bedömning finns det inte något omedelbart behov att ändra lagens 25 §. Det vore dock skäl att bedöma paragrafen i förhållande till dataskyddsdirektivet för brottsbekämpning mera noggrant i samband med genomförandet av direktivet.
5.3.2
Konsekvenser för myndigheternas verksamhet
De behöriga myndigheter som deltar i gemensamma utredningsgrupper och de myndigheter som deltar i samarbete gällande en europeisk utredningsorder omfattas redan till fullo av bestämmelserna i lagen om behandling av personuppgifter i brottmål, genom vilka dataskyddsdirektivet för brottsbekämpning satts i kraft. Förslagen medför inga nya skyldigheter. Enligt statsrådets bedömning har de ändringar som kommissionen föreslår en förtydligande inverkan på tillämpningen av lagstiftningen för dessa myndigheter.
Statsrådet bedömer dock att särskilt ändringen av JIT-rambeslutet i samband med genomförandet kan ha konsekvenser som i någon mån ökar den administrativa bördan, till följd av att personuppgiftsansvariga eventuellt behöver revidera sina anvisningar om de begränsningar som tillämpas vid överlåtande av uppgifter. Det är dock möjligt att ändringar genomförts redan tidigare på grund av tillämpningen av lagen om behandling av personuppgifter i brottsmål.
5.3.3
Ekonomiska konsekvenser
De ändringar om ingår i kommissionens förslag är i huvudsak av teknisk natur. Dataskyddsdirektivet för brottsbekämpning har medfört ekonomiska konsekvenser av olika grad för de behöriga myndigheterna i medlemsstaterna. Förslagen har inte några separata ekonomiska konsekvenser frånsett en eventuell administrativ börda.
6
Förslagets förhållande till grundlagen samt de grundläggande och mänskliga rättigheterna
Kommissionens förslag är av betydelse med tanke på grundlagens 10 §. Enligt paragrafens 1 mom. utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Enligt grundlagsutskottets etablerade praxis begränsas lagstiftarens spelrum utom av denna bestämmelse också av att skydd för personuppgifter delvis också ingår i skyddet av privatlivet som ingår i samma moment. Det är alltsomallt fråga om att lagstiftaren bör trygga denna rätt på ett sätt som kan anses godtagbart med hänsyn till systemet med grundläggande rättigheter som helhet (se t.ex. GrUU 13/2016 rd, sid. 3―4).
Rätten till skydd av personuppgifter fastställs i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna och i artikel 16 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Dataskyddet ansluter sig också nära till respekt för privatlivet och familjelivet om vilket föreskrivs i artikel 7 i stadgan om de grundläggande rättigheterna. Enligt artikel 8.2 i Europeiska konventionen om skydd för de mänskliga rättigheterna får offentliga myndigheter inte ingripa i denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt exempelvis med hänsyn till den nationella säkerheten, den allmänna säkerheten, förebyggande av brott eller för att skydda andra personers fri- och rättigheter.
Grundlagsutskottet har betonat att skydd för privatlivet och personuppgifter bör ställas i relation till andra grundläggande och mänskliga rättigheter samt till andra vägande samhälleliga intressen, såsom intressen som gäller allmän säkerhet, som i extrema fall kan handla om att trygga den personliga säkerheten (GrUU 5/1999 rd, sid. 2/II). Lagstiftaren bör trygga skyddet av privatlivet och av personuppgifter på ett sätt som kan anses godtagbart med hänsyn till systemet med grundläggande rättigheter som helhet. Utskottet har ansett att skyddet av privatlivet och personuppgifter inte har företräde i förhållande till andra grundläggande rättigheter. Vid bedömningen är det fråga om att samordna och överväga två eller flera bestämmelser om grundläggande rättigheter (se t.ex. GrUU 14/2018 rd sid. 8, GrUU 26/2018 rd, sid. 4, GrUU 54/2014 rd, sid. 2/II och GrUU 10/2014 rd, sid. 4/II).
Grundlagsutskottet har ansett att ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser (GrUU 14/2018 rd, sid 5). Utöver risker med känsliga uppgifter hänvisade utskottet uttryckligen till att utskottet i konstitutionella analyser av behandlingen av personuppgifter har sett syftet med behandlingen som relevant, eftersom behandlingen möjliggör utövning av offentlig makt gällande individer (se GrUU 1/2018 rd, sid. 6). I en regleringskontext där det känsliga sambandet med de grundläggande fri- och rättigheterna accentueras tillmäter utskottet rättigheterna enligt 10 § i grundlagen särskild betydelse (GrUU 26/2018 rd, sid. 3)
Behandlingen av personuppgifter i anslutning till brott omfattar konstitutionellt känsliga uppgifter, och dessutom är regleringskontexten känslig med avseende på de grundläggande rättigheterna. I dataskyddsdirektivet för brottsbekämpning har beaktats av vilken natur behandlingen av personuppgifter i samband med brottsärenden är. Syftet med förslagen är att säkerställa att principerna och bestämmelserna i EU:s horisontella dataskyddslagstiftning tillämpas i allt samarbete i anslutning till JIT-rambeslutet och EIO-direktivet, vilket främjar verkställandet av artikel 8 i stadgan om de grundläggande rättigheterna. Det faktum att de enhetliga principerna och bestämmelserna i dataskyddslagstiftningen tillämpas också i behandlingen av uppgifter i det rambeslut och direktiv som ska ändras påverkar positivt också skyddet av personuppgifter och personuppgifter enligt grundlagen och de internationella förpliktelserna gällande mänskliga rättigheter.
7
Ålands behörighet
Enligt 27 § 23 punkten i självstyrelselagen för Åland (1144/1991) har riket lagstiftningsbefogenhet i frågor som gäller rättsskipning.
Enligt 18 § i självstyrelselagen för Åland har landskapet lagstiftningsbefogenheter i frågor som gäller landskapsregeringen och under denna lydande myndigheter och inrättningar. Skyddet av personuppgifter som behandlas av Ålands landskap och kommunala myndigheter har vid lagstiftningskontrollen enligt 19 § i självstyrelselagen med stöd av 18 § 1 och 4 punkten i självstyrelselagen ansetts höra till landskapets lagstiftningsbefogenheter.
8
Behandling av förslaget i Europeiska unionens organ och övriga medlemsstaters ståndpunkter
För behandlingen av förslaget i rådet svarar arbetsgruppen för samarbete i brottsbekämpning. Förslaget behandlas i arbetsgruppen första gången den 23 februari 2021.
De övriga medlemsstaternas officiella ståndpunkter är ännu inte kända.
Behandlingen i Europaparlamentet har inte ännu inletts. Ansvarigt utskott för båda förslagen är utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE). Någon rapportör har ännu inte utsetts.
9
Behandling av förslagen i Finland
Statsrådets skrivelse har beretts vid justitieministeriet.
Kommissionens förslag har behandlats i sektionen för rättsliga och inrikes frågor (EU7) 18-22.2.2021 genom skriftligt förfarande.
10
Statsrådets ståndpunkt
Statsrådet anser att det är viktigt att alla rättsakter som specificeras i kommissionens meddelande uppdateras för att det ska kunna säkerställas att de är harmoniserade med dataskyddsdirektivet för brottsbekämpning. Statsrådet förenar sig med kommissionens bedömning av att de föreslagna ändringarna påverkar verkställandet av artikel 8 i stadgan om grundläggande rättigheter positivt.
Statsrådet anser att de ändringar som ingår i förslagen till ändring av JIT-rambeslutet och EIO-direktivet är nödvändiga. De bestämmelser i dessa rättsakter som gäller behandling av personuppgifter bör uppdateras så att de svarar mot dataskyddsdirektivet för brottsbekämpning.
När det gäller förslaget till ändring av JIT-rambeslutet anser statsrådet att ändringarna behövs för att bestämmelserna i rambeslutet ska överensstämma med dataskyddsdirektivet för brottsbekämpning. De lagändringar som behövs på grund av dem bör dock ännu bedömas noggrannare.
När det gäller förslaget till ändring av EIO-direktivet är strykningen av hänvisningsbestämmelsen i första stycket i artikel 20 enligt statsrådets bedömning en ändring av teknisk natur. Lagen om behandling av personuppgifter i brottmål, genom vilken dataskyddsdirektivet för brottsbekämpning verkställs, tillämpas som sådan på all behandling av personuppgifter vid de behöriga myndigheterna som ingår i lagens tillämpningsområde. På annan behandling av personuppgifter tillämpas däremot EU:s allmänna dataskyddsförordning.
Statsrådet förenar sig med kommissionens bedömning att bestämmelserna i andra stycket i artikel 20 i EIO-direktivet bör strykas såsom överflödiga. Motsvarande bestämmelser ingår i dataskyddsdirektivet för brottsbekämpning och den nationella genomförandelagen. De bestämmelser som utfärdats med stöd av artikel 29 i dataskyddsdirektivet för brottsbekämpning och som gäller tillsyn över tillgången till uppgifter och andra krav som gäller datasäkerhet samt inbyggt dataskydd och dataskydd som standard säkerställer i praktiken en begränsning av tillgången till uppgifter såsom avsetts i artikel 20, som ska strykas.