Bakgrunden till förslaget
Syftet med den föreslagna dataskyddslagen jämte relaterade lagförslag är att utfärda de nationella bestämmelserna för att komplettera Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (nedan dataskyddsförordningen). Dataskyddsförordningen trädde i kraft den 24 maj 2016 och tillämpas från den 25 maj 2018. Dataskyddsförordningen är direkt tillämplig lagstiftning.
Dataskyddsförordningen är en del av Europeiska unionens stora reform av dataskyddslagstiftningen. Reformen är behövlig med tanke på informationsteknikens snabba utveckling och medlemsstaternas splittrade lagstiftning om skyddet av personuppgifter och den oenhetliga tillämpningen av denna lagstiftning. Syftet är att förbättra individens rättigheter vid behandling av personuppgifter och att förbättra verksamhetsförutsättningarna för den digitala inre marknaden i EU genom att harmonisera medlemsstaternas bestämmelser om skyddet av personuppgifter.
Trots förändringar i omvärlden har de allmänna principerna om hantering av personuppgifter i persondirektivet (95/46/EG) varit hållbara och motsvarande principer ingår också i dataskyddsförordningen. Centrala principer är således fortfarande ändamålsbegränsning, lagenlighet, skälighet och öppenhet, uppgiftsminimering, korrekthet, lagringsminimering, integritet och konfidentialitet. En ny princip i dataskyddsförordningen är i förhållande till personuppgiftsdirektivet och personuppgiftslagen (523/1999) ansvarsskyldighet enligt vilken den personuppgiftsansvarige ska kunna visa att behandlingen av personuppgifter överensstämmer med den allmänna dataskyddsförordningen. Principerna för behandling av personuppgifter gäller all behandling av personuppgifter.
Till EU:s dataskyddsreform hör också bland annat direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (nedan dataskyddsdirektivet för brottsbekämpande myndigheter), som genomförs nationellt genom proposition RP 31/2018 rd. Dataskyddsförordningen gäller EU:s organ och antogs den 11 oktober 2018. Under beredning är också ett förslag till förordning om dataskydd vid elektronisk kommunikation.
Dataskyddsförordningen är exceptionell som förordning såtillvida att den i vissa frågor ger medlemsstaterna nationellt handlingsutrymme av direktivkaraktär. Den nationella lagstiftaren får i många fall avgöra om det nationella handlingsutrymmet ska utnyttjas. I den föreslagna dataskyddslagen föreslås det att handlingsutrymmet ska utnyttjas i en situation där upphävandet av personuppgiftslagen (523/1999) medför behov av nationell lagstiftning, t.ex. för att den rättsliga grunden för behandling av personuppgifter i vissa situationer eller förutsättningarna för vetenskaplig forskning i så stor utsträckning som möjligt ska bibehållas så som de är nu. Det nationella handlingsutrymmet kan också utnyttjas senare t.ex. vid utfärdande av speciallagstiftning.
Dataskyddsförordningen innehåller också skyldigheter för medlemsstaterna, såsom skyldigheten att föreskriva om vissa frågor som gäller den nationella tillsynsmyndigheten. Dessutom ska medlemsstaterna förena skyddet av personuppgifter enligt dataskyddsförordningen med vissa andra rättigheter, t.ex. yttrandefriheten och offentlighetsprincipen. Det finns förslag också om bland annat detta i förslaget till dataskyddslag.
I propositionen föreslås det dessutom att dataskyddsförordningen, med stöd av dataskyddslagen, med vissa avgränsningar ska bli tillämplig också när behandlingen av personuppgifter inte omfattas av tillämpningsområdet för dataskyddsförordningen eller direktivet om dataskydd i brottmål.
Grundlagsutskottet har lämnat utlåtandet GrUU 14/2018 rd om propositionen. I utlåtandet sägs att lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar till tillämpningsområdet gällande riksdagsarbetet, tillsynsmyndighetens behörighet att övervaka de högsta laglighetsövervakarna, förfarandet för att påföra administrativa påföljder och upphävandet av personuppgiftslagen beaktas på behörigt sätt.
Förvaltningsutskottet begärde den 6 juni 2018 i överensstämmelse med 38 § 2 mom. i riksdagens arbetsordning ytterligare utlåtande av grundlagsutskottet om regelverket för påförande av administrativa påföljdsavgifter. Grundlagsutskottet gav utlåtandet GrUU 24/2018 rd, enligt vilket de förslag till paragrafer som bifogats förvaltningsutskottets begäran om utlåtande kan behandlas i vanlig lagstiftningsordning. Grundlagsutskottet förutsatte också beaktande av andra anmärkningar i betänkandet, särskilt i anslutning till rättssäkerhet.
Med hänvisning till propositionen och annan utredning tillstyrker förvaltningsutskottet lagförslagen i propositionen, men med följande kommentarer och ändringsförslag. Dessutom föreslår utskottet att ett nytt lagförslag och ett uttalande godkänns.
Nationell allmän och särskild lagstiftning som kompletterar dataskyddsförordningen
Som kompletterande nationell bestämmelse till dataskyddsförordningen utgör dataskyddslagen inget självständigt och heltäckande regelverk, utan den tillämpas parallellt med dataskyddsförordningen. Grundlagsutskottet har vid bedömningen av propositionens utgångspunkter hänvisat till sin nyare utlåtandepraxis enligt vilken det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet av personuppgifter till vissa delar kan uppfyllas genom en allmän unionsförordning eller genom en allmän nationell lag. Utskottet anser att propositionen som kompletterar förordningen i grunden är godtagbar. (GrUU 14/2018 rd).
Förvaltningsutskottet ser det som ändamålsenligt att den föreslagna dataskyddslagens struktur följer dataskyddsförordningens struktur. Regleringen blir ändå rätt komplicerad, vilket framhävs av att dataskyddsförordningen i sig ställvis är svårtydbar. Av unionsrätten följer att begreppen i förordningen inte kan tolkas utifrån nationell lag. Därför följer dataskyddslagen terminologin i dataskyddsförordningen. Man har försökt öppna upp innehållet i begreppen genom att i propositionsmotiven beskriva den rättspraxis som inom unionen hänför sig till begreppen.
Dessutom innehåller den nationella speciallagstiftningen en hel del dataskyddsreglering som ministeriet i skrivande stund arbetar på att justera på grund av dataskyddsförordningen. Det finns flera hundra specialförfattningar som berör behandling av personuppgifter.
Grundlagsutskottet har bedömt att den gällande lagstiftningen om personuppgifter är mycket tungrodd och komplicerad och har även hänvisat till sin tidigare utlåtandepraxis enligt vilken det är särskilt viktigt med en tydlig reglering i fråga om denna typ av bestämmelser som har kopplingar till de grundläggande fri- och rättigheterna och som gäller fysiska personers normala dagliga aktiviteter (se GrUU 31/2017 rd, GrUU 45/2016 rd, och GrUU 41/2006 rd).
Också förvaltningsutskottet poängterar betydelsen av en tydlig reglering och betonar att det dessutom måste erbjudas tydlig och begriplig handledning och rådgivning som underlättar tillämpningen av regleringen. Regleringen kan förtydligas också exempelvis genom en uppförandekod i överensstämmelse med dataskyddsförordningen. Uppförandekoden kan utarbetas så att särskilda behov hos den aktuella sektorn beaktas på behörigt sätt. Utskottet påpekar också att den finska förordningstexten innehåller fel, exempelvis artikel 9.1 där bestämningen ”henkilön yksiselitteistä tunnistamista varten” bör referera enbart till behandling av biometriska uppgifter. I den svenska texten tydliggörs detta genom adekvat kommatering. Omedelbara åtgärder bör vidtas för att korrigera språkfelen.
Med anledning av den förestående tillämpningen av dataskyddsförordningen ser utskottet det som motiverat att justera sin tidigare ståndpunkt till lagstiftningen om skyddet för personuppgifter på vissa punkter. Utskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, allmänt taget utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade motsvarar bestämmelserna i förordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter.
I stället bör skyddet för personuppgifter härefter i första hand tillgodoses med stöd av den allmänna dataskyddsförordningen och den nya nationella allmänna lagstiftningen. I princip räcker det att bestämmelserna om skydd för och behandling av personuppgifter är harmoniserade med dataskyddsförordningen, anser utskottet. De detaljerade bestämmelserna i förordningen gör det också möjligt att i fråga om myndighetsverksamhet lagstifta betydligt mer generellt om skydd för och behandling av personuppgifter jämfört med vår nuvarande nationella regleringsmodell. Även med tanke på tydligheten bör vi förhålla oss restriktivt när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger.
Utskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (se GrUU 14/2018 rd). I överensstämmelse med grundlagsutskottets riktlinje kommer begreppet känsliga uppgifter, sådant det definieras i personuppgiftslagen, också framöver att vara relevant i den konstitutionella bedömningen.
Förvaltningsutskottet hänvisar i sammanhanget dessutom till de övriga ställningstaganden om den nationella lagberedningen som framgår av grundlagsutskottets utlåtande.
Dataskyddslagens tillämpningsområde
Enligt 2 § i den föreslagna dataskyddslagen tillämpas lagen i enlighet med tillämpningsområdet i artikel 2 i dataskyddsförordningen. Dataskyddslagen tillämpas brett inom olika sektorer som allmän lag som kompletterar dataskyddsförordningen. I linje med dataskyddsförordningen tillämpas dataskyddslagen dock inte på sådan behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll eller behandling av personuppgifter som omfattas av dataskyddsdirektivet för brottsbekämpande myndigheter.
I 2 § i dataskyddslagen föreslås att dataskyddsförordningen på grundval av dataskyddslagen och med vissa begränsningar ska tillämpas också på sådan behandling av personuppgifter som inte omfattas av tillämpningsområdet för unionsrätten samt på behandling av personuppgifter som utförs i samband med den gemensamma utrikes- och säkerhetspolitik som avses i avdelning V kapitel 2 i fördraget om Europeiska unionens funktionssätt. Utanför denna nationella utvidgning av förordningens tillämpningsområde faller dock kap. VI och VII till den del det är fråga om den så kallade mekanismen för en lucka och mekanismen för enhetlighet, som gäller situationer där den personuppgiftsansvarige behandlar personuppgifter inom flera medlemsländer.
Grundlagsutskottet har i detta avseende tagit upp aspekter som gäller unionens behörighet. Utskottet anser ändå att det i princip är motiverat att utvidga förordningens tillämpningsområde genom nationella lagstiftningsåtgärder. Lagreservationen i 10 § i grundlagen kräver att bestämmelser om skydd för personuppgifter utfärdas genom lag. Tillämpningsområdet för den allmänna lagstiftningen om skydd för personuppgifter måste därför vara heltäckande. Eftersom det inte alltid går att tydligt och entydigt bestämma räckvidden för unionsrätten är den valda modellen för utvidgning av förordningens tillämpningsområde motiverad också i konstitutionellt hänseende.
Grundlagsutskottet noterar i sitt utlåtande också tillämpningen av dataskyddslagen i riksdagens verksamhet. Riksdagens verksamhet kan delas in i riksdagsarbete, som regleras i grundlagen och riksdagens arbetsordning, och förvaltningsverksamhet som bedrivs av riksdagens ämbetsverk.
Utskottet ser i princip inget hinder för att de allmänna lagarna om förvaltningen också gäller riksdagens ämbetsverk (se GrUU 30/1998 rd). I grundlagsutskottets utlåtande konstateras att riksdagens ämbetsverk liksom andra myndigheter på tillbörligt sätt är undantagna från bestämmelserna om påföljdsavgift i lagförslaget. Till övriga delar innehåller propositionen däremot ingen reglering eller motivering när det gäller hur riksdagsarbetet och de medverkande riksdagsorganen såsom utskotten, talmanskonferensen eller riksdagsledamöterna förhåller sig till de föreslagna bestämmelserna eller dataskyddsförordningen. Grundlagsutskottets uppfattning är att riksdagsarbetet inte hör till unionsrättens tillämpningsområde. Men bestämmelserna i 2 § 1 mom. i förslaget till dataskyddslag leder till att dataskyddsförordningen också måste iakttas i riksdagsarbetet. Dessutom kommer bestämmelserna om påföljdsavgift att tillämpas också på de organ som deltar i riksdagsarbetet.
Bestämmelser om behandlingen av uppgifter i riksdagsarbetet finns i 50 § i grundlagen och i riksdagens arbetsordning. Grundlagens 50 § innehåller vissa lagreservationer i fråga om arbetsordningen. De gäller publikation, offentlighet och sekretess för uppgifter. Enligt 52 § i grundlagen ska närmare bestämmelser om förfarandet under riksmötena samt om riksdagens organ och riksdagsarbetet utfärdas i riksdagens arbetsordning. Grundlagsutskottet anser att riksdagens ställning som högsta statsorgan och unionsrättens avgränsade tillämpningsområde innebär att lagförslag 1 i propositionen måste ändras på så sätt att riksdagsarbetet utesluts från dataskyddslagens tillämpningsområde. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning.
För att utesluta riksdagsarbetet från lagens tillämpningsområde föreslår förvaltningsutskottet att 2 § i dataskyddslagen ändras på det sätt som närmare framgår av detaljmotiven.
Förhållandet mellan skyddet för personuppgifter och offentlighetsprincipen
Offentlighetsprincipen är en central princip inom förvaltningen i Finland. Enligt 12 § 2 mom. i grundlagen är handlingar och upptagningar som innehas av myndigheterna offentliga, om inte offentligheten av tvingande skäl särskilt har begränsats genom lag. Var och en har rätt att ta del av offentliga handlingar och upptagningar.
Den allmänna lag som reglerar handlingarnas offentlighet är lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen. Offentlighetslagen och den nuvarande personuppgiftslagen bildar en helhet som reglerar villkoren för hantering av personuppgifter samt offentligheten och sekretessen för personregister och andra handlingar som upprätthålls av myndigheterna och för uppgifter som ingår i dem.
I flera av sina utlåtanden om förslaget till dataskyddsförordning har förvaltningsutskottet ansett det viktigt att det i dataskyddsförordningen inskrivs en bestämmelse om att beakta handlingars offentlighet vid tillämpningen av dataskyddsförordningen (t.ex. FvUU 11/2012 rd, FvUU 30/2014 rd, FvUU 2/2015 rd, FvUU 25/2015 rd). Kommissionens förslag till förordning innehöll ingen bestämmelse om att samordna dataskyddslagstiftningen och principen om handlingars offentlighet. Frågan var ändå relevant eftersom dataskyddsförordningen samtidigt innebär att personuppgiftsdirektivet, som ligger till grund till personuppgiftslagen, upphävs. Förvaltningsutskottet ser det som viktigt att det har förhandlats fram en artikel i förordningen som möjliggör en samordning av den nationella offentlighetslagen och dataskyddsförordningen.
Också grundlagsutskottet ansåg att en explicit bestämmelse om handlingars offentlighet kan ses som ett minimikrav för att offentligheten ska vara tryggad på tillbörligt sätt (GrUU 12/2012 rd, GrUU 60/2017 rd, GrUU 15/2017 rd). Det väsentliga är enligt utskottets mening att artikel 86 i dataskyddsförordningen, som kompletteras genom förslaget till dataskyddslag, innehåller en explicit bestämmelse om offentlighet för allmänna handlingar.
I 28 § i propositionens förslag till dataskyddslag föreskrivs det om hänsyn till offentlighetsprincipen. På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister ska tillämpas vad som föreskrivs om offentlighet i myndigheternas verksamhet. Bestämmelsen motsvarar 8 § 4 mom. i den gällande personuppgiftslagen, som stiftats med grundlagsutskottets medverkan (GrUU 25/1998 rd). I förarbetena till personuppgiftslagen anser regeringen att den lag som bestämmelsen hänvisar till föreskriver om de avgränsningar av rätten att lämna ut personuppgifter som behövs med tanke på integritetsskyddet (RP 96/1998 rd, s. 42—43). Inga ändringar föreslås nu i offentlighetslagen, som stiftats med grundlagsutskottets medverkan (GrUU 43/1998 rd). Enligt grundlagsutskottets uppfattning finns det inget omedelbart behov av ändringar i offentlighetslagen trots att dataskyddsförordningen börjar tillämpas (GrUU 14/2018 rd).
Grundlagsutskottet ser den valda lösningen som motiverad med avseende på 12 § 2 mom. i grundlagen. Det nödvändighetskrav som i den bestämmelsen ställs på begränsningar av offentligheten gäller inte enbart sekretessbestämmelser. Utskottet har ansett att om till exempel utlämnandet av personuppgifter i stor utsträckning knyts till ett användningsändamål innebär det att offentlighetsprincipen begränsas på ett sätt som dock kan anses ha godtagbara grunder enligt 10 § i grundlagen (GrUU 3/2009 rd, s. 2, GrUU 2/2008 rd, s. 2, och GrUU 40/2005 rd, s. 2).
Offentlighetslagens 17 § 1 mom. föreskriver att när en myndighet fattar beslut i enlighet med lagen och även i övrigt utför sina uppgifter ska den bland annat se till att möjligheterna att få information om dess verksamhet inte med hänsyn till offentlighetsprincipen och syftet med den begränsas mer än vad som är nödvändigt för det intresse som ska skyddas. Bestämmelsen är till denna del formulerad i förvaltningsutskottets betänkande (FvUB 31/1998 rd, s. 10—11). Förvaltningsutskottet kompletterade föreslagna 17 § i offentlighetslagen, eftersom grundlagsutskottet i sitt utlåtande hade villkorat lagstiftningsordningen med att sekretessbestämmelserna kompletteras så att det framgår att sekretessen är ett undantag från huvudregeln att handlingar ska vara offentliga på så sätt att det i lagtexten poängteras att sekretessbestämmelserna ska tolkas restriktivt (GrUU 43/1998 rd, s. 3/II).
I sitt utlåtande om offentlighetslagen hänvisar grundlagsutskottet också till att de allmänna förvaltningsrättsliga principerna hör till de faktorer som begränsar prövningsrätten. Ändamålsbundenhet, proportionalitet, objektivitet och jämlikhet hör till dessa principer. Utskottet ser det som viktigt med tanke på bestämmelsen om grundläggande fri- och rättigheter gällande handlingars offentlighet att begränsningar i myndighetens prövningsrätt anges i själva lagtexten (GrUU 43/1998 rd, s. 3/I). Bestämmelser om de allmänna förvaltningsrättsliga principerna finns numera i 6 § i förvaltningslagen (434/2003). Utskottet har även i ett bredare perspektiv påpekat att de lagtillämpande myndigheternas prövning framför allt är bunden vid kraven på ändamålsbundenhet och proportionalitet enligt 6 § i förvaltningslagen (GrUU 17/2014 rd, s. 4—5, GrUU 17/2016 rd, s. 3). Grundlagsutskottet understryker fortfarande att de här faktorerna, som också framgår av 17 § i offentlighetslagen, har betydelse vid tolkningen och tillämpningen av offentlighetslagen även då denna tillämpas på rätt att få information och på övrigt utlämnande av personuppgifter ur myndigheternas personregister (GrUU 14/2018 rd).
Yttrandefrihet
Artikel 85 i dataskyddsförordningen föreskriver att medlemsstaterna i lag ska förena rätten till integritet i enlighet med förordningen med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. I 27 § i dataskyddslagen föreslås bestämmelser om befrielser och undantag från den allmänna dataskyddsförordningen för att rätten som gäller skydd av personuppgifter ska samordnas med yttrandefriheten. Enligt grundlagsutskottets uppfattning går de föreslagna bestämmelserna till denna del ut på att yttrandefriheten begränsas i syfte att skydda personuppgifter och att skyddet av personuppgifter begränsas i syfte att trygga yttrandefriheten på motsvarande sätt. Det är nödvändigt med en balans av denna typ i konstitutionellt hänseende (GrUU 14/2018 rd).
Men de föreslagna bestämmelserna i 27 § i förslaget till dataskyddslag är till viss del flertydiga. Inskränkningar av de grundläggande fri- och rättigheterna ska vara noga avgränsade och tillräckligt exakt definierade. Deras innehåll ska till väsentliga delar framgå av lagen (GrUB 25/1994 rd, s. 5/I). Den föreslagna dataskyddslagens 27 § uppfyller inte det här kravet till alla delar. Som exempel lyfter grundlagsutskottet fram 2 mom. där det står att artiklarna 44—50 i dataskyddsförordningen inte ska tillämpas, om tillämpningen ”skulle kränka rätten till yttrandefrihet eller informationsfrihet”. I 3 mom. föreskrivs det att vissa bestämmelser i förordningen endast ska tillämpas i tillämpliga delar på behandling av personuppgifter som sker för enbart journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Enligt grundlagsutskottets utlåtande måste förvaltningsutskottet på grund av 10 och 12 § i grundlagen göra väsentliga ändringar i bestämmelserna (GrUU 14/2018 rd).
Förvaltningsutskottet konstaterar att uttrycket ”i tillämpliga delar”, som i princip bör undvikas i författningsspråk, används i paragrafen. Till exempel enligt lagberedningshandboken Lainkirjoittajan opas ska en hänvisning till tillämpning eller iakttagande av en annan lag helst åskådliggöras på annat sätt och med exakthet. Den föreslagna paragrafen hänvisar till tillämpningen av vissa artiklar i dataskyddsförordningen. I propositionsmotiven utreds i detalj till vilka delar artiklarna som nämns i paragrafen ska tillämpas.
Exempelvis i artikel 5 i dataskyddsförordningen föreskrivs om allmänna principer som gäller hantering av personuppgifter. De allmänna principerna kan tillämpas endast när en egentlig skyldighet för den personuppgiftsansvarige eller den registrerades rätt blir tillämplig. Allmänna principer kan inte tillämpas självständigt lösryckta från andra skyldigheter och rättigheter. De allmänna principernas tillämplighet till tillämpliga delar beskrivs och klargörs i detalj i propositionsmotiven.
Enligt propositionen tillämpas också exempelvis artikel 24 om den personuppgiftsansvariges ansvar endast i tillämpliga delar. I artikel 24 om den personuppgiftsansvariges ansvar föreskrivs på allmän nivå om den personuppgiftsansvariges ansvar. Artikeln om den personuppgiftsansvariges ansvar ska tolkas tillsammans med andra bestämmelser om den personuppgiftsansvariges skyldigheter. Artikel 24 i dataskyddsförordningen kan inte tillämpas självständigt som en skyldighet för den personuppgiftsansvarige som är lösryckt från andra skyldigheter. Artikel 24 i förordningen ska enligt propositionen tillämpas i situationer där någon skyldighet för den personuppgiftsansvarige enligt dataskyddsförordningen ska tillämpas. Det konstateras i propositionsmotiven.
Utöver dessa två exempel gäller motsvarande upplägg också de övriga artiklar i dataskyddsförordningen som räknas upp i 27 § 3 mom. De artiklar som nämns i paragrafen kan inte tillämpas självständigt lösryckta från andra skyldigheter eller rättigheter. I propositionsmotiven klargörs för varje artikelhänvisning i 27 § i detalj hur artikelen ska tillämpas på hantering av de personuppgifter som avses i paragrafen.
Förvaltningsutskottet konstaterar att även om uttrycket ”i tillämpliga delar” används i den föreslagna 27 §, lämnar lagförslaget inte öppet för den personuppgiftsansvariges eller tillsynsmyndighetens prövning till vilka delar artiklarna i 3 mom. blir tillämpliga. Det framgår som ovan beskrivs av propositionsmotiven.
Grundlagsutskottets utlåtande (GrUU 14/2018 rd) fäster också uppmärksamhet vid en mening i paragrafens 2 mom. I propositionsmotiven utreds att artiklarna 44—50 om överföring av uppgifter tillämpas när skyldigheterna gäller skydd av personuppgifter och informationssäkerhet. Uttrycket ”skulle kränka rätten till yttrandefrihet eller informationsfrihet” är för sin del härlett ur artikel 86 i dataskyddsförordningen, enligt vilken medlemsstaterna ska fastställa undantag från vissa artiklar i dataskyddsförordningen om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten.
Enligt förvaltningsutskottets uppfattning är det centralt att regleringen täcker ett så brett fält som möjligt. Det går inte heller att på regleringsnivå uttömmande specificera olika situationer där man borde avvika från regleringen i förordningen för att samordna de här avsedda rättigheterna. Därför måste regleringen vara baserad på allmänna uttryck. Vidare konstaterar utskottet att det i EU-domstolens rättspraxis har betonats att yttrandefriheten ska ges en vid tolkning. Utskottet betonar ytterligare att syftet med den föreslagna regleringen är att bevara nuläget. Därför kan tolkningen vara baserad på nuvarande praxis. I detaljmotiven till den föreslagna bestämmelsen ingår också en ytterst detaljerad utredning av bestämmelsernas innehåll. Utskottet anser att det i sammanhanget saknas förutsättningar för att precisera regleringen ytterligare. Anmärkningsvärt är enligt utskottets mening också att på grundval av yttranden från medie- och journalistbranschen har man i förslaget rätt väl förmått bevara den nuvarande balansen mellan rättigheterna, trots paragrafens många led med åtföljande svårtydbarhet.
Påföljdsreglering
Påföljdssystemet och tillsynsmyndighetens behörighet
I dataskyddsförordningen betonas att ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks, samt att det finns likvärdiga befogenheter för övervakning och att det säkerställs att reglerna för skyddet av personuppgifter efterlevs och att sanktionerna för överträdelser är likvärdiga i medlemsstaterna. Förordningen innehåller därför heltäckande och detaljerade bestämmelser om påföljdssystemet och tillsynsmyndigheternas befogenheter.
När det talas om påföljder har uppmärksamheten i hög grad riktats mot administrativa sanktionsavgifter påförda av tillsynsmyndigheten. Förvaltningsutskottet konstaterar i sammanhanget att tillsynsmyndigheten också förfogar över andra medel. I artikel 58.2 i dataskyddsförordningen föreskrivs det om tillsynsmyndighetens korrigerande befogenheter. Tillsynsmyndigheterna får bland annat utfärda varningar till en personuppgiftsansvarig eller personuppgiftsbiträdet om att planerade behandlingar kommer att bryta mot bestämmelserna i förordningen (led a och b) och införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling (led f). Bestämmelser om administrativa sanktionsavgifter finns i punkt 2 led i. Enligt det kan tillsynsmyndigheten påföra administrativa sanktionsavgifter utöver eller i stället för de åtgärder som nämns i punkt 2.
Bestämmelser om allmänna villkor för påförande av administrativa sanktionsavgifter finns i artikel 83 i förordningen. De administrativa sanktionsavgifter som ska påföras vid överträdelse av de bestämmelser som anges i artikel 83.4 i förordningen kan uppgå till högst 10 000 000 euro eller, om det gäller ett företag, två procent av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. Det gäller bland annat överträdelse av bestämmelserna om den i artikel 31 nämnda skyldigheten att samarbeta med tillsynsmyndigheten eller om den i artikel 33 och 34 nämnda skyldigheten att göra en anmälan av en personuppgiftsincident till tillsynsmyndigheten och att ge information till den registrerade om en personuppgiftsincident. I de fall som avses i artikel 83.5 kan det påföras administrativa sanktionsavgifter på högst 20 000 000 euro eller, om det gäller företag, fyra procent av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. Punkten gäller överträdelser av bland annat registrerades rättigheter enligt artiklarna 12—22.
Därför kan det konstateras att den nationella tillsynsmyndighetens befogenheter utvidgas betydligt direkt med stöd av förordningen. Det innebär en betydande förändring av nuläget i Finland. Samtidigt bör det observeras att Europeiska dataskyddsstyrelsen utformar för tillsynsmyndigheterna riktlinjer som gäller tillämpning av korrigerande åtgärder och påförande av administrativa påföljdsavgifter (artikel 70.1.k i dataskyddsförordningen). På så sätt vill man bidra till att dataskyddsförordningen tillämpas enhetligt i medlemsstaterna.
Lagutskottet har i sitt utlåtande bland annat gjort iakttagelser om påförandet av administrativ påföljdsavgift. Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och vid bedömning av beloppet för avgifterna ska man enligt artikel 83.2 i förordningen ta hänsyn till bland annat överträdelsens karaktär, svårighetsgrad och varaktighet samt dess skadlighet och tidigare överträdelser och till huruvida överträdelsen skett med uppsåt eller genom oaktsamhet. Regleringen bygger således inte på strikt ansvar eller omvänd bevisbörda, vilket är motiverat när man beaktar rätten till en rättvis rättegång och god förvaltning enligt Europakonventionen och 21 § i grundlagen. Lagutskottet konstaterar att det är viktigt att respektera dessa garantier vid påförandet av administrativa sanktioner, eftersom de administrativa sanktionsavgifterna i sak är ekonomiska sanktioner av straffkaraktär, som enligt Europadomstolen och grundlagsutskottet kan jämställas med en straffrättslig påföljd. Som grundlagsutskottet konstaterar i sitt utlåtande om propositionen (GrUU 14/2018 rd) är prövningsrätten å andra sidan betydande när det gäller hur dessa omständigheter förhåller sig till varandra. Det finns också prövningsrätt när det gäller den administrativa sanktionsavgiftens storlek, eftersom förordningen endast anger en maximinivå.
Också lagutskottet betonar att kraven på god förvaltning och rättssäkerhet ska beaktas vid påförandet av administrativa sanktionsavgifter. Det är en viktig sak att förordningen har fått uttryckliga bestämmelser om att tillsynsmyndighetens utövande av sina befogenheter omfattas av lämpliga rättssäkerhetsgarantier i enlighet med unionsrätten och medlemsstaternas nationella rätt, inbegripet effektiva rättsmedel och rättssäkerhet (artikel 83.8 och 58.4).
Trots att regleringen om påföljder i förordningen är mycket detaljerad, behöver den nationella lagstiftningen kompletteras med bestämmelser om bland annat påförande av administrativa sanktionsavgifter enligt artikel 83 i dataskyddsförordningen. Det bör också i anslutning till artikel 84 i förordningen utfärdas nationella bestämmelser om de fall när administrativa sanktionsavgifter enligt förordningen inte ska tillämpas och anges om sanktionerna är straffrättsliga eller administrativa. Dessutom bör det bedömas om det behövs sådana nationella bestämmelser med tanke på allvarliga överträdelser av förordningen.
Förfarandet vid påförande av administrativ påföljdsavgift
Enligt 8 § i förslaget till dataskyddslag är dataombudsmannen den nationella tillsynsmyndighet som avses i dataskyddsförordningen. Bestämmelser om tillsynsmyndighetens uppgifter och befogenheter finns i artiklarna 55—59 i dataskyddsförordningen. Enligt artikel 58.2 i är det tillsynsmyndigheten i medlemsstaten som är behörig att påföra administrativa sanktionsavgifter. Det innebär att enligt lagförslaget ingår det i dataombudsmannens behörighet att påföra den administrativa påföljdsavgift som avses i förordningen.
Också vid gränsöverskridande behandling av personuppgifter ska den materiellträttsliga frågan avgöras på EU-nivå i ett samarbetsförfarande mellan tillsynsmyndigheterna, vilket betyder behandling i kollegial sammansättning. Det är då den nationella tillsynsmyndigheten som ska besluta om påföljdsavgiftens storlek.
En administrativ påföljdsavgift enligt dataskyddsförordningen bli en mycket sträng påföljd med karaktär av straff. Därför är det särskilt viktigt att beakta aspekter som gäller rättssäkerhet och garantier för behörigt förfarande. Förvaltningsutskottet noterar att påförandet av administrativ påföljdsavgift i propositionen anförtros en enskild tjänsteman som skulle kunna påföra den självständigt. Enligt 15 § i den föreslagna dataskyddslagen ska dataombudsmannen avgöra ärenden efter föredragning, om inte han eller hon i ett enskilt fall beslutar något annat. Bestämmelsen skulle i princip också göra det möjligt att påföra administrativ påföljdsavgift utan föredragning. Under utskottets utfrågning av sakkunniga har det framförts kritiska anmärkningar om regleringen.
Finlands lagstiftning innehåller administrativa påföljdsavgifter som påförs av en förvaltningsmyndighet. De mycket stora administrativa påföljdsavgifter som dataskyddsförordningen tillåter kan enligt grundlagsutskottet ändå inte jämställas med de administrativa påföljder som myndigheterna i nuläget påför. Å andra sidan ska beslut om att påföra administrativa påföljdsavgifter exempelvis inom tillsynen över finansmarknaden med dess ibland mycket stränga påföljdsavgifter i vissa situationer fattas av ett kollegialt organ, Finansinspektionens direktion. Dessutom finns det administrativa påföljdsavgifter som domstolen ska fatta beslut om. Det gäller till exempel de påföljdsavgifter som marknadsdomstolen påför med stöd av konkurrenslagen (948/2011).
I artikel 83.1 i dataskyddsförordningen sägs att om det i medlemsstatens rättssystem inte finns några föreskrifter om administrativa sanktionsavgifter får den här artikeln tillämpas så att förfarandet inleds av den behöriga tillsynsmyndigheten och sanktionsavgifterna sedan utdöms av behörig nationell domstol, varvid det säkerställs att rättsmedlen är effektiva och har motsvarande verkan som de administrativa sanktionsavgifter som påförs av tillsynsmyndigheter. De sanktionsavgifter som påförs ska i alla händelser vara effektiva, proportionella och avskräckande. Som ovan konstateras är administrativa påföljdsavgifter ändå möjliga i den finländska rättsordningen, och det finns bestämmelser om dem. Enligt utredning till utskottet gäller den möjlighet som avses i artikelns punkt 9 endast Danmark och Estland, vilket framgår av skäl 151 i ingressen till förordningen. Där sägs att ”Danmarks och Estlands rättssystem tillåter inte administrativa sanktionsavgifter i enlighet med denna förordning. Bestämmelserna om administrativa sanktionsavgifter kan tillämpas så att sanktionsavgiften i Danmark utdöms som en straffrättslig påföljd av en behörig nationell domstol och att den i Estland utdöms av tillsynsmyndigheten inom ramen för ett förseelseförfarande, under förutsättning att en sådan tillämpning av bestämmelserna i dessa medlemsstater har en effekt som är likvärdig med administrativa sanktionsavgifter som utdöms av tillsynsmyndigheter”. Enligt erhållen utredning har Finland således inte nationell prövningsmarginal så att man skulle kunna föreskriva om ett förfarande där den administrativa påföljdsavgiften skulle påföras av domstol i stället för av tillsynsmyndigheten.
Grundlagsutskottet anser att ett beslutsförfarande för administrativ påföljdsavgift likt det som nu föreslås strider mot 21 § i grundlagen och menar att ett kollegialt organ bör ges i lagfäst uppdrag att besluta om administrativa påföljdsavgifter. Dataombudsmannen kan ges i uppdrag att ha hand om utredning, övrig beredning och föredragning innan påföljdsavgiften påförs i ärendet. Att förfarandet för att påföra påföljdsavgifter är behörigt, oavhängigt och rättvist på det sätt som krävs i 21 § i grundlagen säkerställs genom lagstiftning om att ett kollegialt organ är behörigt att fatta beslut om att påföra påföljdsavgift. Den här ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. (GrUU 14/2018 rd).
Även lagutskottet anser att det är befogat att de administrativa sanktionsavgifterna som avses i förordningen nationellt ska påföras av ett kollegialt organ, med beaktande av att avgifterna enligt förordningen kan bli mycket höga. Det handlar alltså om en betydande befogenhet. För den som påförs avgiften är det således ur rättsskyddssynpunkt av ytterst stor betydelse vilket slags organ som fattar beslutet och hur beslutsförfarandet ser ut. En annan sak som talar för att beslutet ska fattas av ett kollegialt organ är att man i de fall där en administrativ sanktionsavgift utgör påföljd för en överträdelse av förordningen i huvudsak avstår från att använda straffrättsliga påföljder. Det betyder att inte ens de mest allvarliga överträdelserna av förordningen då blir föremål för domstolsprövning. Lagutskottet föreslår ändringar i 9, 23 ja 25 § i dataskyddslagen och anser att åtminstone de ändringarna bör göras i lagförslaget.
Av artikel 8.3 i Europeiska unionens stadga om de grundläggande rättigheterna och artikel 51 och 52 i dataskyddsförordningen följer att kompetensen, oavhängigheten och opartiskheten hos det kollegiala organ som ska besluta om administrativa påföljdsavgifter måste säkerställas. Av dataskyddsförordningen följer också vissa förbehåll för organiseringen av tillsynsmyndigheten. Trots att medlemsstaterna enligt artikel 51 kan organisera tillsynsmyndigheten så att medlemsstaten har fler än en tillsynsmyndighet, ger förordningen ingen nationell prövningsmarginal för att dela upp dess befogenheter på flera myndigheter. Detta beror på att enligt artikel 58 i förordningen ska varje tillsynsmyndighet ha som utgångspunkt samtliga befogenheter enligt förordningen.
Med anledning av grundlagsutskottets utlåtanden föreslår förvaltningsutskottet som närmare framgår av detaljmotiven att beloppet av den administrativa sanktionsavgiften (administrativ påföljdsavgift) enligt artikel 83 i dataskyddsförordningen ska påföras av ett påföljdskollegium som dataombudsmannen och de biträdande dataombudsmännen bildar tillsammans. Dataombudsmannen ska vara ordförande i kollegiet. Förslaget innehåller bestämmelser om beslutsförfarandet. Beslutet ska fattas efter föredragning.
Enligt grundlagsutskottets utlåtande GrUU 24/2018 rd uppfyller förvaltningsutskottets regleringslösning angående beslutsfattande om påförande av sanktionsavgift i huvudsak minimikraven enligt 21 § i grundlagen, och det finns inga konstitutionella hinder för den. Men grundlagsutskottet anser att förvaltningsutskottet ändå ytterligare bör kontrollera om bindandet av beslutsfattandet till föredragning också kan utsträckas till de övriga befogenheterna i artikel 58 i dataskyddsförordningen.
Artikel 58.2 i dataskyddsförordningen innehåller totalt 10 olika så kallade korrigerande befogenheter av vilka de kanske mest betydande är påförande av sanktionsavgift och att införa en tillfällig eller definitiv begränsning av behandling (punkt f). Behovet av denna befogenhet kan aktualiseras om man med snabbt beslutsfattande måste förhindra kränkningar som omedelbart hotar de registrerades rättigheter. Ett liknande läge kan vara att flödet av uppgifter till en mottagare i tredje land eller en internationell organisation ska avbrytas (punkt j). Att binda beslutsfattandet till föredragning av en föredragande i det befullmäktigade kontoret kan i praktiken bli svårt och försvaga de registrerades rättssäkerhet. Därför anser förvaltningsutskottet att det inte är befogat att utvidga området för beslutsfattande som kräver föredragningsförfarande.
Grundlagsutskottet har noterat att det inte i förslaget ingår bestämmelser om beslutförhet i kollegiet. Dessutom har grundlagsutskottet ansett att det inte är konstitutionellt relevant att en ställföreträdare för den biträdande dataombudsmannen lämnas beroende av arbetsordningen för dataombudsmannens byrå, om avsikten är att sådana ställföreträdare också ska ingå i påföljdskollegiet. Enligt förslaget kommer påföljdskollegiet att utöva betydande offentlig makt. Följaktligen måste sammansättningen framgå direkt av lagen på grund av 2 § 3 mom. och 119 § 2 mom. i grundlagen. Lagen måste dessutom få bestämmelser om kollegiets beslutförhet. Förvaltningsutskottet föreslår de relevanta preciseringarna i detaljmotiven.
Utveckling av tillsynsmyndighetens organisation
Även om förvaltningsutskottets förslag till bestämmelser om påföljdskollegiet kan behandlas i vanlig lagstiftningsordning, har grundlagsutskottet i sitt utlåtande GrUU 24/2018 rd fäst uppmärksamhet vid att det vore mindre problematiskt med avseende på grundlagen om den nationella tillsynsmyndigheten får en mer självständig ställning, exempelvis är ett verk. Dataskyddsförordningen tillåter att tillsynsmyndigheten har ett flertal ledamöter. Då kan myndigheten inom sig på riktigt delegera uppgiften att påföra påföljdsavgift och eventuellt en del andra befogenheter till ett kollegialt beslutsorgan. Grundlagsutskottet har i sitt utlåtande fört en mer utförlig diskussion om organisationsmodellen i ämbetsverksform.
Också lagutskottet har ansett att det är viktigt att i framtiden utreda om det går att utveckla och stärka förfarandet vid bestämmande av administrativa påföljdsavgifter och sammansättningen vid beslutsfattandet ytterligare. Det skulle till exempel vara befogat att utreda det alternativ som var aktuellt redan under beredningen av propositionen, det vill säga en tillsynsmyndighet vars organisation har formen av ett dataskyddsverk med både en dataombudsman och en påföljdsnämnd. I det sammanhanget bör man också beakta de övriga särskilda ombudsmännens ställning och organisation. (LaUU 5/2018 rd)
Ämbetsverksformen kan enligt förvaltningsutskottets åsikt anses vara en naturligare lösning än en personmyndighet för den nationella tillsynsmyndigheten också med avseende på personaltillskottet för dataombudsmannens byrå. Ett villkor för ämbetsverksmodellen är att det kollegiala organet till sin sammansättning blir sådant att dataskyddsförordningens krav på självständighet och oberoende uppfylls. Frågan om hur ombudsmannens roll i en sådan organisation borde utformas bör ändå med fördel baseras på en separat utredning.
Förvaltningsutskottet förutsätter att regeringen utreder huruvida organisationen för tillsynsmyndigheten för dataskyddet bör utvecklas som ett verk och vid behov bereder relevanta lagändringar i ärendet. Frågor som bör beaktas när organisationen utvecklas är bland annat bestämningen av administrativa påföljdsavgifter i verkets kollegiala organ och kraven i EU:s dataskyddsförordning om tillsynsmyndighetens självständighet och oberoende. (Utskottets förslag till uttalande)
Utredning av andra rättssäkerhetsgarantier
Förfaranden vid påförande av påföljdsavgift
Utskottet påpekar i sitt utlåtande att betydelsen av hur rättssäkerheten är ordnad framhävs av att förordningen inte närmare anger hur stor påföljdsavgift som ska påföras i de enskilda situationerna. I förordningen anges bara mycket höga övre gränser för avgiften och olika faktorer som ska vägas in när administrativa sanktioner påförs (artikel 83.2). Enligt grundlagsutskottet måste förvaltningsutskottet därför noga reda ut också vilka ändringar som krävs i regleringen av förfarandet för att rättssäkerheten ska bli bättre när det kollegiala organ som ska besluta om den administrativa påföljdsavgiften inrättas. (GrUU 14/2018 rd, GrUU 24/2018 rd).
Grundlagsutskottet konstaterar att grunderna för påförande av administrativa sanktionsavgifter och de faktorer som ska beaktas vid påförandet och den prövningsrätt som ingår definieras ganska detaljerat i artikel 83 i förordningen. Dessutom utarbetar Europeiska dataskyddsstyrelsen för tillsynsmyndigheterna riktlinjer för att påföra påföljdsavgift. Riktlinjerna ska främja en enhetlig tillämpning av dataskyddsförordningen i medlemsländerna.
Förfarandet vid påförandet av administrativ sanktionsavgift regleras däremot inte i dataskyddsförordningen, eftersom det på grundval av medlemsstaternas processuella autonomi är medlemsstaten som genom lag ska definiera de behöriga myndigheterna och deras förfaranden. Den föreslagna dataskyddslagen innehåller bestämmelser om beslutsfattande vid påförande av påföljdsavgift inklusive röstningsförfarande. I förslaget ingår inga särskilda procedurbestämmelser. Således tillämpas förvaltningslagen (434/2003) och övrig allmän förvaltningsrättslig lagstiftning.
De allmänna bestämmelserna om rättssäkerhetsgarantier i förvaltningslagen är ganska omfattande. Förvaltningslagen föreskriver bland annat om rådgivning, rätt att anlita ombud och biträde, utredningsskyldighet för myndigheten, begäran om utredning och komplettering av handlingar, hörande med tillhörande procedur, muntliga utredningar och muntlig bevisning, syn och inspektion, tolkning och översättning samt om beslutets form, innehåll, motivering och besvärsanvisning. I förvaltningsförfarande iakttas officialprincipen.
Beslut om påföljdsavgift ska gå att överklaga. I propositionen sägs att dataombudsmannens beslut utifrån 23 § i dataskyddslagen får överklagas genom besvär hos förvaltningsdomstolen på det sätt som föreskrivs i förvaltningsprocesslagen. I förvaltningsdomstolens beslut får ändring sökas genom besvär endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Ett beslut om påföljdsavgift ska endast vara verkställbart som lagakraftvunnet. Förvaltningsutskottet menar att regleringen i grunden är ändamålsenlig. Men förfarandet för att påföra den föreslagna administrativa påföljdsavgiften bör ändå beaktas i bestämmelserna om sökande av ändring. Dessutom behöver regleringen förtydligas tekniskt. Utskottet går närmare in på detta i detaljmotiveringen.
Förslaget innehåller bestämmelser om preskription av påföljdsavgift. Påföljdsavgift får inte påföras, om det har förflutit mer än tio år sedan överträdelsen eller försummelsen har skett. Lagutskottet har i sitt utlåtande påpekat att preskriptionstiden är lång, men detta kan anses motiverat för att säkerställa ett effektivt genomförande av förordningen. Förslaget motsvarar också författningarna om tillsyn över finansmarknaden och förhindrande av penningtvätt och terrorism, som även möjliggör stränga administrativa påföljdsavgifter. Man bör dessutom beakta att överträdelserna av förordningen kan vara omfattande, allvarliga och rättsligt komplicerade och att det kan dröja en lång tid innan tillsynsmyndigheten får kännedom om dem. Det är således viktigt att det finns tillräckligt med tid för att reda ut saken och påföra påföljdsavgifterna. I dataskyddsfrågor kan överträdelserna och försummelserna vara av engångsnatur men också fortlöpande, vilket inte har beaktats i bestämmelsen. Förvaltningsutskottet föreslår att bestämmelsen i detta avseende ska kompletteras enligt vad som framställs i detaljmotiven.
Dataskyddslagen innehåller inga bestämmelser om verkställbarheten av administrativa påföljdsavgifter. Det betyder att frågan bestäms i enlighet med förvaltningsprocesslagen (586/1996). Tillsynsmyndighetens beslut om administrativ påföljdsavgift är således verkställbar när beslutet har vunnit laga kraft. Lagutskottet har ansett att detta är en bra lösning när man beaktar dessa avgifters karaktär av sanktioner samt deras stränghet. På grundval av förvaltningsprocesslagen kan förvaltningsdomstolens beslut däremot verkställas utan laga kraft om inte högsta förvaltningsdomstolen förbjuder det.
Det föreskrivs i 23 § 3 mom. i dataskyddslagen att det i ett annat beslut av tillsynsmyndigheten än ett beslut som gäller en administrativ påföljdsavgift kan bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat. Enligt propositionsmotiven är syftet med detta att säkerställa att tillsynsmyndigheten har möjlighet att effektivt ingripa i lagstridig behandling av personuppgifter. Utskottet anser att det är motiverat.
I propositionen sägs det att bestämmelser om verkställighet av påföljdsavgifter finns i lagen om verkställighet av böter (672/2002). Lagutskottet har bedömt att förfarandet enligt den lagen i princip oförändrat lämpar sig för verkställighet av de administrativa påföljdsavgifter som avses i artikel 83 i förordningen. Lagen i fråga gäller också verkställighet av motsvarande administrativa påföljdsavgifter som påförts utifrån andra lagar. Likaså kan det ses som motiverat att även lagen om verkställighet av böter på det sätt som regeringen föreslår i propositionen (lagförslag 3) får en bestämmelse om att administrativa påföljdsavgifter enligt artikel 83 i förordningen verkställs i den ordning som föreskrivs i den lagen.
Propositionen innehåller inga bestämmelser om preskription av verkställigheten av administrativa påföljdsavgifter. För närvarande finns det inte några allmänna bestämmelser om saken. Det finns emellertid bestämmelser i speciallagstiftning, och enligt dem är den normala preskriptionstiden fem år. Förvaltningsutskottet anser i likhet med lagutskottet att en motsvarande specialbestämmelse i förslaget till dataskyddslag är motiverad och hänvisar till det som framställs i detaljmotiven.
Bedömning av relationen mellan ett administrativt och ett straffrättsligt påföljdssystem
Påföljdssystemet i dataskyddsförordningen innebär en stor nationell förändring också på så sätt att det i förordningen i hög grad är fråga om administrativa påföljder som bestäms av den nationella tillsynsmyndigheten. Vårt nuvarande system grundar sig däremot på straffrättsliga påföljder som ska bestämmas av domstol.
Eftersom påföljdssystemet i fortsättningen som utgångspunkt ska grunda sig direkt på de administrativa sanktionsavgifter som avses i artikel 83 i förordningen och artikeln i hög grad täcker de förfaranden som strider mot förordningen, anser regeringen att den mycket omfattande kriminaliseringen i 38 kap. 9 § i strafflagen inte längre är befogad. Regeringen föreslår därför i propositionen att den nuvarande kriminaliseringen upphävs och ersätts med en straffbestämmelse enligt vilken straffrättsligt ansvar blir aktuellt bara i situationer där lagstridig behandling av personuppgifter inte med stöd av förordningen omfattas av administrativa påföljdsavgifter. Enligt propositionen blir straffrättsligt ansvar aktuellt endast i situationer där en person inte kan anses ha handlat i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde.
Lagutskottet noterar att man av motiveringen till regeringens proposition får uppfattningen att det straffrättsliga ansvaret i fortsättningen endast gäller situationer där ett lagstridigt förfarande inte hör till tillämpningsområdet för de administrativa sanktionsavgifter som det föreskrivs om i förordningen och där en person inte kan anses ha handlat i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde. Med andra ord skulle straffrätten inte alls tillämpas i de fall när det handlar om en personuppgiftsansvarig eller ett personuppgiftsbiträde enligt förordningen vars lagstridiga förfarande omfattas av de administrativa sanktionsavgifter som avses i förordningen. De administrativa sanktionsavgifter som avses i förordningen och det straffrättsliga systemet skulle alltså inte till någon del överlappa varandra. Utskottet anser ändå att detta stämmer bara delvis. Det beror på att de personuppgiftsansvariga och personuppgiftsbiträden som avses i förordningen inte omfattas av tillämpningsområdet för den föreslagna bestämmelsen om att skaffa, lämna ut och överföra personuppgifter i 38 kap. 9 § 1 mom. i strafflagen, men däremot nog av dess 2 mom. om personuppgiftsincidenter. I den senare straffbestämmelsen är tillämpningsområdet allmänt i fråga om gärningsmannakretsen.
Sammantaget har lagutskottet ändå kommit till att det är motiverat att inom tillämpningsområdet för den nu aktuella EU-förordningen i så stor utsträckning som möjligt använda endast de administrativa sanktioner som avses i förordningen, eftersom en betydande del av regleringen — också av påföljdssystemet — kommer direkt från förordningen och denna förutsätter att administrativa sanktioner påförs i de fall som regleras i den. Med beaktande av att förordningen möjliggör mycket kännbara administrativa sanktionsavgifter är det i det här sammanhanget inte vare sig nödvändigt eller behövligt att föreskriva att överträdelser av förordningen ska omfattas av det straffrättsliga systemet, inte ens om de är allvarliga. Lagutskottet understryker att avkriminaliseringen i detta fall inte betyder att man skulle se lindrigare på straffbara gärningar eller att inga påföljder i framtiden skulle dömas ut för dem. Man bör dessutom beakta att en reglering där det administrativa och det straffrättsliga påföljdssystemet inte överlappar varandra är klar och tydlig med avseende på både lagstiftning och praxis och är den bästa garantin för att man inte bryter mot förbudet mot dubbel bestraffning (ne bis in idem).
Det har ändå inte varit möjligt att tillämpa denna utgångspunkt i propositionen på ett enhetligt sätt. Lagutskottet menar att när de gärningar som kränker säkerheten för personuppgifter omfattas både av de administrativa sanktionsavgifter som avses i förordningen och av de straffrättsliga påföljderna blir regleringen komplicerad och bestämmelserna svåra att tillämpa. I ljuset av erhållen utredning och med beaktande av att överlappningen är snäv anser lagutskottet ändå att den föreslagna regleringen är godtagbar.
Självinkrimineringsskyddet
Övergången från straffrättsliga till administrativa påföljder innebär inte att garantierna för en rättvis rättegång och minimirättigheterna för åtalade enligt Europakonventionen och grundlagen skulle vara betydelselösa i förfarandet med att påföra administrativa påföljder. Skyddet mot självinkriminering handlar fundamentalt om rätten att i brottmål vägra vittna mot sig själv samt rätten att inte medverka till utredningen av sin egen skuld. Detta skydd är en av garantierna för en rättvis rättegång enligt 21 § i grundlagen (se GrUU 39/2014 rd, s. 4/I och RP 309/1993 rd, s. 79/I). Även Europadomstolen har i sin praxis ansett att självinkrimineringsskyddet hänför sig till kärnområdet för en rättvis rättegång enligt artikel 6.1 i Europakonventionen (t.ex. i fallet Saunders mot Förenade kungariket, 17.12.1996). I rättspraxis har skyddet främst tillämpats vid förundersökning av brott och i brottmålsrättegångar, men i vissa fall har det ansetts utsträcka sig också till situationer där det inte är fråga om straffrättsliga påföljder.
Enligt lagutskottet hindrar skyddet mot självinkriminering inte i sig lagstiftaren från att utfärda bestämmelser om administrativ anmälningsskyldighet, men skydd mot självinkriminering kan i vissa fall vara relevant vid bedömningen av iakttagandet av anmälningsskyldigheten. Utskottet noterar bland annat artikel 33 i dataskyddsförordningen enligt vilken den personuppgiftsansvarige ska anmäla en personuppgiftsincident till tillsynsmyndigheten. Försummelse av anmälningsskyldigheten kan enligt förordningen leda till påförande av administrativ påföljdsavgift eller exempelvis en anmärkning. Enligt lagutskottets uppfattning ska påföljdsbestämmelser som tillämpas på anmälningsskyldigheten i så fall tolkas i överensstämmelse med skydd mot självinkriminering med beaktande av bland annat Europadomstolens rättspraxis. I sista hand avgörs ärendet av domstol.
Lagutskottet fäste också uppmärksamhet vid 22 § i dataskyddslagen, som innehåller bestämmelser om vite. De till regleringen relaterade aspekterna på skydd mot självinkriminering behandlas mer detaljerat nedan i paragrafens detaljmotiv.
Rätt för den registrerade att föra ärenden till dataombudsmannen samt sökande av ändring
I 21 § i den föreslagna dataskyddslagen sägs att en registrerad har rätt att föra ett ärende till dataombudsmannen för behandling, om den registrerade anser att någon vid behandlingen av hans eller hennes personuppgifter bryter mot den gällande lagstiftningen. Dataombudsmannens beslut får enligt 23 § i dataskyddslagen överklagas genom besvär hos förvaltningsdomstolen på det sätt som föreskrivs i förvaltningsprocesslagen. I förvaltningsdomstolens beslut får ändring sökas genom besvär endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Även dataombudsmannen får söka ändring i förvaltningsdomstolens beslut.
Syftet med de föreslagna bestämmelserna är att utfärda nationella bestämmelser som kompletterar rättsmedlen i dataskyddsförordningen. I artikel 77 i förordningen föreskrivs det om den registrerades rätt att lämna in klagomål till en tillsynsmyndighet, i artikel 78 om den registrerades rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut och i artikel 79 om den registrerades rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde.
Propositionen föreslår inte möjlighet att begära omprövning i tillsynsmyndighetens beslut, utan det första rättsmedlet utgörs av egentligt sökande av ändring hos förvaltningsdomstolen. Lagutskottet har ansett att detta är motiverat, eftersom omprövningsförfarandet inte är tänkt att vara en obligatorisk fas i alla förvaltningsärenden och inte heller lämpar sig för alla förvaltningsärenden. De beslut av tillsynsmyndigheten som avses här är till sin karaktär förvaltningsbeslut som en särskild myndighet för laglighetskontroll har fattat i ett enskilt tillsynsärende. Myndigheten har meddelat sitt beslut efter att noggrant ha utrett ärendet och efter att ha gjort en rättslig prövning utifrån sin särskilda sakkunskap. Dessa beslut är vanligtvis varken enkla eller av sådan vardaglig karaktär att det skulle vara motiverat eller lämpligt att granska dem närmare hos samma myndighet i ett omprövningsförfarande.
Lagutskottet har inte heller något att anmärka mot att det förutsätts besvärstillstånd i samband med överklagande hos högsta förvaltningsdomstolen. Den föreslagna bestämmelsen motsvarar de allmänna riktlinjerna för utvecklande av högsta förvaltningsdomstolens ställning. Vidare sägs det i utlåtandet att för tillsynsmyndighetens rätt att söka ändring talar myndighetens uppgift att övervaka att den allmänna dataskyddsförordningen iakttas samt behovet att garantera en enhetlig rättspraxis. Dessa omständigheter talar enligt lagutskottet också för att myndighetens rätt att söka ändring ska vara öppen. Detta trots att tillsynsmyndighetens intresse att överklaga förvaltningsdomstolens beslut i praktiken förmodligen kommer att gälla de fall när förvaltningsdomstolen ändrar eller upphäver tillsynsmyndighetens beslut.
På grundval av erhållen utredning anser förvaltningsutskottet att den föreslagna regleringen av ändringssökande är adekvat. Förslagen om ett kollegialt organ som påför påföljdsavgifter medför ändå behov av ändringar i bestämmelserna om sökande av ändring. Dessutom behöver regleringen förtydligas lagtekniskt.
Den registrerades rätt att föra ett ärende till någon annan än dataombudsmannen för behandling
I artikel 79 i dataskyddsförordningen föreskrivs om de registrerades rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde utan att denna rätt dock begränsar rätten enligt bland annat artikel 77 att anföra besvär hos tillsynsmyndigheten. I punkt 2 i artikeln sägs att talan mot en personuppgiftsansvarig eller ett personuppgiftsbiträde ska väckas vid domstolarna i den medlemsstat där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad. I den föreslagna dataskyddslagen ingår inga separata bestämmelser om dessa faktorer.
Artikel 79 i förordningen är en direkt tillämplig bestämmelse. Den registrerade kan således åberopa bestämmelsen direkt till stöd för sina rättigheter. Lagutskottet konstaterar i sitt utlåtande att bestämmelsen i förordningen inte heller verkar lämna någon möjlighet att nationellt begränsa den registrerades möjligheter att vända sig till någon annan än dataombudsmannen, även om det i praktiken är naturligare att vända sig till dataombudsmannen.
Finlands rättssystem innehåller redan nu metoder som kan anses uppfylla de registrerades rätt till effektiva rättsmedel i enlighet med artikel 79. Exempelvis när den personuppgiftsansvarige eller personuppgiftsbiträdet är någon annan än en myndighet, finns det inget hinder för att den registrerade för ett ärende som gäller behandling av personuppgifter till tingsrätten som ett tvistemål. Det kan handla om fullgörelsetalan eller fastställelsetalan. Den registrerade kan genom fullgörelsetalan kräva att den personuppgiftsansvarige tillmötesgår rättigheter enligt dataskyddsförordningen såsom den registrerades rätt till information. En domstolsdom som utfärdats med anledning av en fullgörelsetalan får verkställas genom utsökningsförfarande. Den registrerade kan i ett ärende som gäller behandling av personuppgifter också väcka fastställelsetalan som kan gälla exempelvis giltigheten av ett avtalsvillkor. Den registrerade kan också anhängiggöra ett krav enligt artikel 82 om rätt till skadestånd vid tingsrätten.
Om den personuppgiftsansvarige är en myndighet, kan den registrerade hos förvaltningsdomstolen överklaga ett förvaltningsbeslut som myndigheten fattat i egenskap av personuppgiftsansvarig. Enligt lagutskottets uppfattning kan ett förvaltningsbeslut av en myndighet också gälla hantering av personuppgifter och vid behov kan den registrerade i ärendet begära ett förvaltningsbeslut som kan överklagas.
Förvaltningsutskottet omfattar lagutskottets ståndpunkter.
Sammankopplade förfaranden
Det är i praktiken möjligt att överträdelser av förordningen är anhängiga vid tillsynsmyndigheten och domstolen samtidigt. Det kan exempelvis handla om att den registrerade kräver skadestånd genom talan vid domstol eftersom tillsynsmyndigheten inte har behörighet att fastställa en sådan ersättning. Det handlar då om samma registrerad, samma personuppgiftsansvarig eller personuppgiftsbiträde och samma påstådda brott mot dataskyddsförordningen eller dataskyddslagen.
I ljuset av den föreslagna regleringen är det enligt utskottets mening inte klart hur sådana till varandra kopplade parallella förfaranden ska hanteras. Lagutskottet anser att det kan föreskrivas om en möjlighet för dataombudsmannen att avbryta behandlingen av ett ärende som samtidigt är anhängigt vid domstol. Att ärendet avbryts betyder inte att behandlingen av det upphör, utan dataombudsmannen kan fortsätta behandlingen senare. En motsvarande bestämmelse ingår i propositionen om nationellt genomförande av det nya dataskyddsdirektivet (RP 31/2018 rd, 57 § i lagförslag 1).
På grundval av erhållen utredning anser förvaltningsutskottet att 21 § i dataskyddslagen för tydlighetens skull bör kompletteras med en sådan bestämmelse om avbrott och hänvisar dill det som föreslås i detaljmotiven.
Dröjsmålsbesvär
Enligt artikel 78.2 i dataskyddsförordningen ska varje registrerad person ha rätt till ett effektivt rättsmedel om tillsynsmyndigheten underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur det fortskrider med det klagomål som ingetts med stöd av artikel 77 eller vilket beslut som har fattats med anledning av det. Dataskyddslagen innehåller inga uttryckliga bestämmelser om ett sådant rättsmedel.
Lagutskottet granskar i sitt utlåtande huruvida det finns behov av att föreskriva om ett särskilt dröjsmålsbesvär som anförs hos domstol. Utskottet anser att tillsynen över en till sin ställning självständig tillsynsmyndighets verksamhet på det sätt som avses i förordningen inte lämpar sig naturligt för domstolar. Det är inte heller ändamålsenligt att ta i bruk ett särskilt dröjsmålsbesvär bara för de ärenden som avses i dataskyddsförordningen. Utskottet anser också att redan den nuvarande möjligheten att anföra klagomål hos de högsta laglighetsövervakarna är ett effektivt rättsmedel eftersom deras uppgift är att vidta nödvändiga åtgärder med anledning av klagomålet. De kan också väcka åtal eller förordna om förundersökning. De kan också rikta en framställning till en myndighet om att ett fel ska rättas eller ett missförhållande avhjälpas eller gottgöras. I ljuset av detta tillstyrker lagutskottet den lösning som regeringen föreslår. Förvaltningsutskottet gör samma bedömning av de aktualiserade aspekterna och anser att den föreslagna lösningen är motiverad.
Sammanfattning
Grundlagsutskottet förutsätter i sitt utlåtande att förvaltningsutskottet ska reda ut vilka andra rättssäkerhetsgarantier som krävs för att rättssäkerheten ska bli bättre när det kollegiala organ som ska besluta om den administrativa påföljdsavgiften inrättas. Med beaktande av propositionen, lagutskottets utlåtande och övriga relevanta utredningar anser förvaltningsutskottet att det aktuella förslaget förbättrar rättssäkerheten också till övriga delar. Som de mest centrala av dessa kan nämnas bland annat regleringen av röstningsförfarandet, rätt till ändringssökande i beslut om påföljdsavgift, preskription av påföljdsavgift och verkställande av den, att ett lagakraftvunnet beslut kan verkställas, tillämpning av förvaltningens allmänna lagar på förfarandet, myndighetens utredningsansvar och bevisskyldighet, proportionerlighet för påföljdsavgift baserad på dataskyddsförordningen och iakttagande av oskyldighetspresumtionen, förbud mot dubbel bestraffning och skydd mot självinkriminering. I betänkandet föreslås också förtydliganden i regleringen och precisering av terminologin. Viktiga ur ett rättssäkerhetsperspektiv är också preciseringarna i straffbestämmelserna.
Den högsta laglighetskontrollens ställning i förhållande till tillsynsmyndigheten
Grundlagsutskottet noterar den högsta laglighetskontrollens ställning vid tillsynen över tillämpningen av dataskyddsförordningen. Justitiekanslern i statsrådet och riksdagens justitieombudsman är enligt grundlagen likställda laglighetsövervakare med avseende på uppgifter och behörighet. I förarbetena till grundlagen omtalas justitiekanslern och justitieombudsmannen uttryckligen som de högsta laglighetsövervakarna (RP 1/1998 rd, s. 165—166). Enligt grundlagen har båda laglighetsövervakarna till uppgift att övervaka att domstolarna och andra myndigheter samt tjänstemännen, offentligt anställda arbetstagare och också andra, när de sköter offentliga uppdrag, följer lag och fullgör sina skyldigheter. Vid utövningen av sitt ämbete ska laglighetsövervakarna enligt grundlagen övervaka att de grundläggande fri- och rättigheterna samt de mänskliga rättigheterna tillgodoses. Dataskyddsförordningen och den föreslagna dataskyddslagen kommer härefter att vara en del av den rättsordning som ska övervakas av de högsta laglighetsövervakarna. I laglighetsövervakarnas konstitutionella uppgifter ingår också att övervaka att de grundläggande och mänskliga rättigheterna fullföljs i fråga om skyddet för privatliv och personuppgifter. I utlåtandet står också att riksdagen och dess grundlagsutskott alltså har som direkt grundlagsfäst uppgift att undersöka lagligheten av de högsta laglighetsövervakarnas ämbetsåtgärder och att övervaka deras verksamhet.
De högsta laglighetsövervakarnas konstitutionella roll och uppgifter och den samlade konstitutionella laglighetskontrollen gör det omöjligt att dataombudsmannen, som är lägre i instansordningen, skulle utöva tillsyn över de högsta laglighetsövervakarna. Den här avgränsningen måste också explicit framgå av dataskyddslagen.
Enligt grundlagsutskottet är det i och för sig klart att unionslagstiftningen enligt EU-domstolens etablerade rättspraxis har företräde framför nationell rätt i överensstämmelse med de villkor som lagts fast i denna rättspraxis (se GrUU 20/2017 rd och GrUU 51/2014 rd, s. 2) och att det inte finns skäl att i vår nationella lagstiftning gå in för lösningar som strider mot EU-lagstiftningen (GrUU 26/2017 rd, s. 42—43). Det står också klart att bestämmelserna i dataskyddsförordningen inte med tanke på ordalydelsen verkar möjliggöra en avgränsning av denna typ.
Artikel 4.2 i fördraget om Europeiska unionen föreskriver att unionen ska respektera medlemsstaternas likhet inför fördragen samt deras nationella identitet, som kommer till uttryck i deras politiska och konstitutionella grundstrukturer, inbegripet det lokala och regionala självstyret. Bestämmelsen uttrycker enligt grundlagsutskottets uppfattning principen att den materiella EU-rätten inte kan anses ifrågasätta den konstitutionella och institutionella strukturen hos den offentliga maktutövningen i medlemsstaterna. Utskottet ser det emellertid som klart att en fördragsbestämmelse om nationell identitet med förankring i den konstitutionella strukturen bara kan utgöra en snävt tillämplig proportionerlig grund för att avvika från fullständig tillämpning av EU-rätten.
Enligt grundlagsutskottets uppfattning är det väsentligt i analysen av proportionaliteten att det nu inte rör sig om en materiell konflikt mellan EU-rätten och innehållet i grundlagen. Däremot handlar det om att EU-rätten leder till en sådan konflikt med de institutionella lösningarna i Finlands grundlag som dataskyddsförordningen inte uttryckligen syftar till. Utskottet ser det som väsentligt att avgränsningarna av tillämpningsområdet i fråga om de högsta laglighetsövervakarna inte riskerar målen för rättsligt skydd och effektiv övervakning enligt ingressen i förordningen eller de grundläggande syftena med datasekretessmyndigheternas verksamhet utifrån EU-domstolens rättspraxis.
I sista hand är det EU-domstolen som är behörig att tolka artikel 4.2 i EU-fördraget, dataskyddsförordningen och relationen mellan dessa. Men eftersom tolkningen fortfarande är oklar på den här punkten menar grundlagsutskottet att regeringen i propositionen inte kommer med en tillräcklig EU-rättslig motivering till förslaget att låta dataombudsmannens tillsynsbehörighet omfatta de högsta laglighetsövervakarna. Följaktligen måste förslaget till dataskyddslag ändras på så sätt att den tillsynsmyndighet som avses i dataskyddslagen inte är behörig att övervaka den laglighetskontroll som utförs av de högsta laglighetsövervakarna. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning.
Förvaltningsutskottet föreslår med hänvisning till det som står i grundlagsutskottets utlåtande att dataombudsmannens behörighet ska avgränsas mer exakt på det sätt som framgår av utskottets detaljmotiv nedan.
Att påföra en myndighet administrativ påföljdsavgift
Enligt artikel 83.7 i dataskyddsförordningen får varje medlemsstat fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga myndigheter och organ. I propositionen används detta nationella handlingsutrymme genom att det i 25 § 2 mom. i dataskyddslagen föreslås att den administrativa påföljdsavgift som avses i artikel 83 inte får påföras statliga myndigheter, statliga affärsverk, kommunala myndigheter, självständiga offentligrättsliga institutioner, riksdagens ämbetsverk eller republikens presidents kansli.
I propositionen motiveras bestämmelsen med att en administrativ påföljdsavgift som påförs en myndighet är ett främmande förfarande utifrån vårt allmänna rättssystem. Rättsordningen ställer andra specialkrav på den offentliga förvaltningen vilka för sin del motiverar denna lagstiftningslösning. Myndigheterna är bundna av laglighetsprincipen i förvaltningen och måste också iaktta de allmänna förvaltningslagarna. Den lagenliga behandling av personuppgifter som sker vid myndigheter hör till tjänsteplikten för dem som arbetar hos myndigheterna. Ställningen som tjänsteman för med sig ett större ansvar för fel som begås i arbetet än för andra. För det första kan tjänsteansvaret vara ett straffrättsligt tjänsteansvar, disciplinärt tjänsteansvar och skadeståndsansvar. Över en myndighets verksamhet kan också förvaltningsklagan anföras hos en högre myndighet. Myndigheternas verksamhet är budgetbunden och effekterna av en påföljd som avser ett penningbelopp är inte desamma som inom den privata sektorn. En myndighet ska i alla situationer sköta sina lagstadgade uppgifter.
Förvaltningsutskottet anser att det finns motiveringar både för och emot den föreslagna regleringen, som det också framgår av lagutskottets utlåtande. Också i förvaltningsutskottet utfrågningar av sakkunniga har bland annat skillnaden i ställning mellan offentliga och privata sektorns aktörer i fråga om sanktionsrisken varit föremål för uppmärksamhet. Det nationella genomförandet av dataskyddsförordningen är fortfarande oavslutad i en del EU-medlemsstater, men enligt färska uppgifter ser det ut som att medlemsstaterna är i färd med att i användningen av marginalen gå in för olika slutresultat och att påföljdssystemen sammantaget kommer att bottna i olika nationella lösningar.
Grundlagsutskottet har ingenting att invända mot propositionsmotiven. Utskottet påpekar ändå att administrativa påföljdsavgifter som påförs myndigheter blir problematiska inte bara med tanke på de fakta som nämns ovan utan också i systemet med grundläggande fri- och rättigheter över lag. Så som utskottet framhåller i sitt utlåtande bör lagstiftaren tillgodose rättigheterna enligt 10 § i grundlagen på ett sätt som kan anses vara godtagbart i systemet med grundläggande fri- och rättigheter över lag genom att sätta skyddet av privatlivet och personuppgifter i proportion till övriga grundläggande och mänskliga rättigheter. Enligt utskottets uppfattning är det uppenbart att hotet om en mycket hög påföljdsavgift som påförs för försummelse att tillgodose en enda grundläggande rättighet kan äventyra jämvikten när de olika grundläggande fri- och rättigheterna ska vägas mot varandra i myndighetsverksamheten och kan leda till att framför allt offentlighetsprincipen efterlevs i snävare omfattning i myndighetsverksamheten. Därför menar utskottet att det inte är konstitutionellt problemfritt att låta bestämmelserna om påföljdsavgift gälla myndighetsverksamhet.
Lagutskottet anser i sitt utlåtande att det i propositionen anförs flera godtagbara grunder för att myndigheterna ska undantas från de administrativa påföljdsavgifterna. Därför har utskottet beslutat sig för att stödja den föreslagna lösningen. Man bör ändå följa hur den fungerar.
På grundval av erhållen utredning tillstyrker förvaltningsutskottet avgränsningen i propositionen med vissa preciseringar som föreslås i detaljmotiven. Förvaltningsutskottet vill med hänvisning till grundlagsutskottets utlåtande betona att det handlar om att ställa myndighetsverksamhet utanför den administrativa påföljdsavgiften. Den offentlig sektorns omvärld utvecklas på många sätt och förvaltningsutskottet ser det därför som viktigt att den föreslagna lösningen följs upp med beaktande av bland annat gränsdragningen mellan myndighetsarbete och övrig verksamhet.
Rättslig grund för behandling av personuppgifter
Behandlingens laglighet
På den rättsliga grunden för behandling av personuppgifter tillämpas från och med den 25 maj 2018 dataskyddsförordningen. Enligt artikel 6 i dataskyddsförordningen är behandling endast laglig om och i den mån som åtminstone ett av villkoren i artikelns 1 punkt är uppfylld.
Men artikel 6 i dataskyddsförordningen ger ändå medlemsstaterna nationellt handlingsutrymme till vissa delar. Den rättsliga grunden för behandling av personuppgifter får fastställas närmare i medlemsstatens lagstiftning när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c) eller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e).
Till övriga delar kan det inte utfärdas närmare bestämmelser i den nationella lagstiftningen och inte heller annan nationell reglering om den rättsliga grunden för behandling av personuppgifter, utan när personuppgifter behandlas på grundval av samtycke (artikel 6.1 a) eller den personuppgiftsansvariges berättigade intresse (artikel 6.1 f), följer den rättsliga grunden för behandling av personuppgifter direkt av den allmänna dataskyddsförordningen.
Eftersom den gällande personuppgiftslagen föreskriver om rättsliga grunder för behandling av personuppgifter delvis mer detaljerat än dataskyddsförordningen, är det enligt förvaltningsutskottets mening befogat att de rättsliga grunderna kompletteras inom ramen för det nationella spelrum som möjliggörs av den nationella dataskyddsförordningen. Förslag till bestämmelser om dessa finns i 4 § i dataskyddslagen.
Det nationella handlingsutrymme som avses i artikel 6 i förordningen kan användas också vid utfärdande av särskilda nationella bestämmelser. Enligt artikelns 1 punkt är behandling ”endast laglig om och i den mån som åtminstone ett av villkoren i artikelns 1 punkt är uppfylld.” Enligt erhållen utredning finns det för närvarande inga förutsättningar för att tolka artikeln på annat sätt än enligt dess ordalydelse. Att döma av artikelns ordalydelse kan hantering av personuppgifter således vara baserad på flera av de rättsliga grunder som avses i artikel 6. Utskottet påpekar att punkt 1 c och e delvis kan vara överlappande. Utskottet vill betona att användning av flera än en rättslig grund för hantering av personuppgifter ändå inte kan leda till att det blir oklart vilka rättigheter den registrerade enligt lagen ska ha. Det ska alltid framgå tydligt ur den föreslagna lagstiftningen.
Kulturarvsmaterial
Enligt 4 § 4 punkten i den föreslagna dataskyddslagen får personuppgifter behandlas om behandling av forskningsmaterial och kulturarvsmaterial som innehåller personuppgifter samt av personuppgifter som hänför sig till innehålls- och referensinformation som gäller sådant material behövs för arkivändamål och behandlingen står i proportion till det mål av allmänt intresse som eftersträvas och den registrerades rättigheter. Regleringens syfte är att rättsläget inte förändras genom förslaget. Arkiveringssyftet kan anses omfatta även annan behandling av material än förvaring. I paragrafens detaljmotiv sägs att den föreslagna grunden för behandling av personuppgifter inbegriper också en möjlighet att behandla kulturarvsmaterial i syfte att göra materialen tillgängliga. Den personuppgiftsansvarige ska dock även för detta ändamål bedöma om behandlingen är behövlig och står i proportion till det eftersträvade målet. Utskottet konstaterar att det förhåller sig så redan nu. Den personuppgiftsansvarige ska vid bedömningen av om behandlingen är proportionell beakta den registrerades rättigheter, ändamålsbegränsning och de övriga allmänna principerna för behandling av personuppgifter. Om det har gjorts undantag från den registrerades rättigheter med stöd av 33 § i lagen, ska den personuppgiftsansvarige särskilt notera detta vid bedömningen av om behandlingen är proportionell.
Vid utfrågningen av sakkunniga har förvaltningsutskottet gjorts uppmärksamt på att dataskyddslagen bör innehålla en uttrycklig bestämmelse med stöd av vilken en kulturarvsorganisation ska ha rätt att göra kulturarvsmaterial eller innehålls- och referensinformationen som gäller sådant material och som innehåller personuppgifter tillgängligt för allmänheten. Utskottet hänvisar till sitt föregående stycke och konstaterar ytterligare att det varken i den gällande personuppgiftslagen eller enligt utskottets uppfattning någon annan bestämmelse i nuläget ingår en sådan uttrycklig bestämmelse. Det väsentliga är enligt utskottets åsikt att rättsläget inte ändras genom den nu föreslagna regleringen. Utskottet betonar ändå digitaliseringens växande betydelse och anser det vara viktigt att svara på det moderna samhällets utmaningar genom att utveckla webbtjänsterna och främja geografisk jämlikhet, möjligheter att få tag på och utnyttja information och att ta i bruk olika slags partnerskapsmodeller och bedriva samarbete. Lagstiftningens funktion i detta avseende bör därför bedömas med samtidigt beaktande av kraven på skydd för personuppgifter.
Förvaltningsutskottet konstaterar att de bestämmelser om arkivering och behandling av kulturarvsmaterial som föreslås i dataskyddslagen i ett brett perspektiv handlar om också annat material som innehåller personuppgifter än exempelvis gamla fotografier. Bestämmelserna täcker också behandling av information som hänför sig till särskilda personuppgiftsgrupper. Det kan exempelvis gälla privatpersoners brev eller fångars klagomål. Riksarkivet förvarar till exempel i hög grad olika slags material som innehåller personuppgifter. I Finland fungerar också ett flertal privata och offentliga aktörer som behandlar personuppgifter i det syfte som avses i 4 § 4 punkten i den föreslagna dataskyddslagen.
Det finns ett brett spektrum av kulturarvsmaterial, och begreppet kulturarvsmaterial är ännu inte särskilt specifikt. I propositionsmotiven konstateras att kulturarvsmaterial förutom material som samlats i människors verksamhet och berättar om verksamhetens historia och betydelse dessutom kan innehålla bland annat information om naturarv och konst. Kulturarvsmaterial kan t.ex. vara dokument, föremål, trycksaker, konstverk, naturvetenskapligt material, bilder och audiovisuellt material samt dokumentmaterial och enkätmaterial.
Den behandling i arkiveringssyfte som avses i 4 § 4 punkten och 6 § 8 punkten i den föreslagna dataskyddslagen sker i Finland framförallt i bibliotek, arkiv och museer, och detta verksamhetsfält är mycket omfattande och heterogent, vilket har blivit klarlagt vid utfrågningen av sakkunniga. Förvaltningsutskottet konstaterar vidare att om syftet med den ovan nämnda uttryckliga bestämmelsen om att göra materialet tillgängligt för allmänheten skulle vara att allt som hör till samlingarna ska läggas ut offentligt på nätet, bör också detta beaktas i samband med regleringen. Regleringen borde således visa vilka personer och vilket material rätten att tillhandahålla uppgifter kunde gälla.
Det föreslås att 31 § i dataskyddslagen ska föreskriva om omfattande undantag i rättigheterna för den som är registrerad, när personuppgifter behandlas i sådant arkiveringssyfte som avses i den föreslagna 4 § 4 punkten. De föreslagna begränsningarna i den registrerades rättigheter kan anses motiverade på de grunder som framgår av propositionen. Vid övervägande av en uttrycklig bestämmelse om att tillhandahålla uppgifter bör det dock bland annat utredas hur dessa föreslagna begränsningar i den registrerades rättigheter ska beaktas i bestämmelsen och hur det ska säkerställas att den registrerades rättigheter och friheter ska skyddas på behörigt sätt så som dataskyddsförordningen förutsätter.
Förvaltningsutskottet konstaterar att utskottet inte har möjligheter att utföra ett sådant grundligt utredningsarbete som detta slag av tekniskt krävande ärendekomplex kräver. Utskottet förutsätter att bedömningen av regleringen av kulturarvsmaterial med avseende på utvecklingen av digitaliseringen och kraven på skydd för personuppgifter därför bör göras separat, och eventuella lagstiftningsåtgärder vidtas på grundval av det.
Undantag och skyddsåtgärder med anknytning till vetenskapliga eller historiska forskningsändamål eller statistiska ändamål
I artikel 89.2 i dataskyddsförordningen sägs att om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, får det i nationell lagstiftning föreskrivas undantag från de rättigheter för den registrerades rättigheter som avses i artiklarna 15, 16, 18 och 21, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. I den nämnda artikel 15 föreskrivs det om den registrerades rätt till tillgång, i artikel 16 om rätt till rättelse, i artikel 18 om rätt till begränsning av behandling och i artikel 21 om rätt att göra invändningar.
Dataskyddsförordningen innehåller redan i sig betydande skyddsåtgärder för att trygga den registrerades rättigheter. Den registrerade kan exempelvis föra ärendet till tillsynsmyndigheten för behandling, om han eller hon misstänker att personuppgifter behandlas för ett vetenskapligt forskningsändamål i strid med dataskyddsförordningen. Enligt dataskyddsförordningen ska det dock föreskrivas i nationell lag om särskilda skyddsåtgärder i situationer där det nationellt anses behövligt att avvika från den registrerades rättigheter.
De föreslagna undantagen i dataskyddslagen kan anses motiverade för att inte vetenskapliga och historiska forskningsändamål ska äventyras i onödan. Detta motsvarar i stor utsträckning även nuläget, eftersom den registrerade med stöd av 27 § i den gällande personuppgiftslagen inte har rätt till insyn om personuppgifter används uteslutande för historisk eller vetenskaplig forskning eller statistikföring. Enligt propositionsmotiven kan undantag från den registrerades rättigheter dock göras endast i den mån sådana rättigheter sannolikt förhindrar uppnåendet av dessa särskilda ändamål eller försvårar det i hög grad och sådana undantag behövs för att uppfylla dessa ändamål.
Föreskrifter om undantag från rättigheter för den registrerade och anknytande skyddsåtgärder i samband med vetenskaplig och historisk forskning föreslås i dataskyddslagens 31 § 1 mom. och om statistisk forskning i 2 mom.
Enligt paragrafens 3 mom. kan ett undantag från rättigheterna enligt artiklarna 15, 16, 18 och 21 i dataskyddsförordningen göras även när uppgifter som hör till särskilda kategorier av personuppgifter behandlas för vetenskaplig eller historisk forskning eller för statistikföring. Det samma gäller personuppgifter som rör fällande domar i brottmål samt överträdelser enligt artikel 10 i dataskyddsförordningen. Särskilda kategorier av personuppgifter enligt artikel 9 i dataskyddsförordningen är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Hantering av särskilda kategorier av personuppgifter är också behandling av genetiska uppgifter, hantering av biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. De särskilda kategorierna av personuppgifter gäller främst uppgifter som i dataskyddsdirektivet kallades känsliga uppgifter. Vid hantering av uppgifter som avses i 3 mom. krävs enligt propositionen undantag från den registrerades rättigheter utöver det som föreskrivs i 1 och 2 mom. utarbetande av en konsekvensbedömning avseende dataskydd i överensstämmelse med artikel 35 i dataskyddsförordningen.
Den konsekvensbedömning som föreslås i 31 § 3 mom. i dataskyddslagen har under förvaltningsutskottets utfrågning av sakkunniga å ena sidan ansetts öka den administrativa bördan, och i vissa situationer har man ansett att den kan inverka också på konkurrenskraften. Å andra sidan har man också uttryckt misstankar mot dess funktion som tilläggsskyddsåtgärd. Grundlagsutskottet påpekar för sin den att det i till exempel historieforskning regelmässigt kan ingå behandling av personuppgifter där personuppgifterna avslöjar politiska åsikter eller religiös övertygelse enligt artikel 9 i förordningen. Att det till exempel för forskning av den här typen krävs en konsekvensbedömning som ska delges dataombudsmannen innebär att det görs ett intrång i vetenskapsfriheten enligt 16 § 3 mom. i grundlagen på ett sätt som enligt grundlagsutskottet inte till alla delar är förenligt med proportionalitetskravet. Grundlagsutskottet säger i sitt utlåtande att förvaltningsutskottet måste ändra bestämmelserna inom de gränser som dataskyddsförordningen tillåter på så sätt att vetenskapsfriheten bättre blir tillgodosedd.
Förvaltningsutskottet konstaterar att konsekvensbedömning kan aktualiseras redan direkt med stöd av dataskyddsförordningen. En konsekvensbedömning ska enligt dataskyddsförordningen alltid göras när uppgiftsbehandlingen inbegriper en hög risk. Förvaltningsutskottet anser att skyddsåtgärder enligt paragrafens 1 mom. ändå inte enbart kan anses som tillräckliga åtgärder rent allmänt för att i fråga om behandling av uppgifter som hör till särskilda kategorier av personuppgifter berättiga till omfattande undantag från den registrerades rättigheter. Enligt skäl 51 i dataskyddsförordningens inledande stycke bör särskilda personuppgifter som avses i artikel 9 och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Också grundlagsutskottet har på annat håll i sitt utlåtande lyft fram riskerna med behandling av känsliga uppgifter.
Men dataskyddslagen kan utöver konsekvensbedömningen innehålla också andra skyddsåtgärder med vars stöd undantag kan göras från den registrerades rättigheter. Exempelvis en uppförandekod som godkänts av datasekretessmyndigheten enligt artikel 40 i dataskyddsförordningen kan under vissa förutsättningar vara en sådan skyddsåtgärd. Enligt förvaltningsutskottets uppfattning kan inkludering av en uppförandekod i 31 § 3 mom. som valfri skyddsåtgärd göra regleringen smidigare och ge den personuppgiftsansvarige alternativ i fråga om skyddsåtgärder på ett sätt som tryggar den registrerades ställning. Uppförandekoden skulle också lindra den personuppgiftsansvariges och tillsynsmyndighetens administrativa börda. Uppförandekoden kan också utarbetas så att särskilda behov hos den aktuella sektorn beaktas på behörigt sätt.
Uppförandekoden kan gälla också sådan hantering av personuppgifter som sker på flera medlemsstaters territorier. När hanteringen sker på flera medlemsstaters territorier ger Europeiska dataskyddsstyrelsen yttrande om uppförandekoden. Enligt utredning har det i den europeiska debatten uttryckts oro över att regleringen om vetenskaplig forskning blir splittrad och vad det innebär för gränsöverskridande vetenskaplig forskning. Utskottets uppfattning är att man delvis kunde tillmötesgå dessa farhågor genom en uppförandekod.
Därför anser förvaltningsutskottet att det är befogat att komplettera 31 § 3 mom. med en bestämmelse om uppförandekoder på det sätt som närmare framgår av detaljmotiven.
Förvaltningsutskottet fäster ytterligare särskild uppmärksamhet vid att när det föreskrivs om undantag för den registrerades rättigheter måste bestämmelserna granskas som en helhet. I Finland ger den omfattande användningen av personbeteckning möjligheter till en sådan registerbaserad forskning som inte är möjlig i flera av unionens medlemsstater. Exempelvis Tyskland har ingen motsvarande personbeteckning med vars hjälp en omfattande kombination av uppgifter om registrerade ur olika register vore möjlig. Den registerbaserade forskningen är till sin karaktär ett typexempel på forskning där det behövs undantag från den registrerades rättigheter.
Mellan olika medlemsstater kan det finnas också andra skillnader i regleringen som inte märks bara genom att kontrollera hur det har föreslagits undantag från den registrerades rättigheter i lagstiftningen. Det kan exempelvis tänkas att det med stöd av artikel 9.4 i dataskyddsförordningen genom nationell lag har föreskrivits om en mer omfattande begränsning av hantering av personuppgifter som gäller behandling av genetiska uppgifter, biometriska uppgifter eller uppgifter om hälsa.
Förvaltningsutskottet konstaterar slutligen att de skyddsåtgärder som förutsätts i 13 § i dataskyddslagen givetvis inte behövs, om det inte görs något undantag från den registrerades rättigheter vid behandling av personuppgifter. Dessutom är det skäl att observera att den registrerades rättigheter begränsas i artikel 14.5 b, artikel 17.3 d och artikel 21.6 i dataskyddsförordningen. I överensstämmelse med dessa bestämmelser kan undantag från den registrerades rättigheter göras direkt med stöd av förordningen. Dataskyddsförordningen innehåller till dessa delar också de skyddsklausuler som behövs.
Om undantag från den registrerades rättigheter inte behövs, såsom ofta är fallet då uppgifter samlas in direkt av de som är föremål för forskning och då forskningsmaterialet är litet, kan uppgifter som hör till särskilda kategorier av personuppgifter behandlas också med stöd av något annat led i artikel 9.2. i den allmänna dataskyddsförordningen, t.ex. med stöd av uttryckligt samtycke.
Åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn
Ett viktigt mål med dataskyddsförordningen är att förbättra skyddet för barn vid behandling av personuppgifter. Barnens rättigheter betonas i artikel 8 i dataskyddsförordningen, där det föreskrivs om villkor som gäller barns samtycke avseende informationssamhällets tjänster, och dessutom i flera skäl i ingressen till dataskyddsförordningen (t.ex. skäl 38, 58, 65 och 71) och i andra artiklar (t.ex. artikel 12, 17 och 40). Dessutom är dataskyddsförordningen i flera avseenden baserad på ett så kallat riskbaserat betraktelsesätt, där det vid sidan av andra faktorer kan vara relevant om uppgifter som gäller barn behandlas. Förvaltningsutskottet anser att det med tanke på sakens relevans hade varit önskvärt att konsekvenserna för barn av dataskyddsförordningen och den föreslagna dataskyddslagen skulle fått en bredare analys i samband med propositionen.
I artikel 8.1 i dataskyddsförordningen sägs att när personuppgifter behandlas med samtycke enligt den allmänna dataskyddsförordningen och informationssamhällets tjänster erbjuds direkt till ett barn, är behandlingen av ett barns personuppgifter lagenlig, om barnet är minst 16 år. Medlemsstaterna får föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder inte är under 13 år. I propositionen föreslås 13 år som åldersgräns (5 § i dataskyddslagen). I fråga om yngre barn ska den personuppgiftsansvarige kontrollera att barnet har föräldrarnas samtycke exempelvis till att använda sociala medier.
På grundval av propositionsmotiven och erhållen utredning tillstyrker förvaltningsutskottet den föreslagna åldersgränsen på 13 år. Enligt utredning motsvarar den föreslagna åldersgränsen också i hög grad åtminstone den linje som håller på att utformas i de nordiska länderna. Utskottet konstaterar att det principiellt i sig är relativt krävande att fastställa åldersgränser, inte minst med avseende på barns och ungdomars individuella utveckling. Men barns och ungas rätt att utnyttja informationssamhällets tjänster och medverka i den digitala kulturen ska ändå inte begränsas i onödan. Samtidigt vill utskottet ytterligare inskärpa betydelsen av andra åtgärder för att inverka på att barn och ungdomar kan agera tryggt i den virtuella världen. Utskottet betonar bland annat betydelsen av mediekompetens och att villkoren för webbtjänsterna är begripliga.
Verkställandet av dataskyddsförordningen och lagstiftningen är ett slags balansgång mellan skydd av barn och rätt att delta. Förvaltningsutskottet hänvisar till FN:s konvention om barnets rättigheter och ser det som angeläget att dataskyddslagstiftningen verkställs med tillräcklig hänsyn till barnens rättigheter och att det tryggas att de genomförs på bred front. Utöver barnen och de unga själva behöver yrkesutbildade personer som jobbar med barn och ungdomar som stöd tillräckligt med information och utförlig handledning i anslutning till dataskyddslagstiftningen. Också vid resurstilldelningen för dataombudsmannen bör specialkännedom om dataskyddsfrågor för barn och unga tas i betraktande.
Att verkställa dataskyddsregleringen
Ikraftträdande och kopplingar till regeringens proposition (RP 31/2018 rd).
Det föreslås i propositionen att dataskyddslagen jämte anknytande lagar ska träda i kraft den 25 maj 2018, alltså samtidigt som tillämpningen av dataskyddsförordningen inleds. Eftersom det inte är möjligt att de föreslagna lagarna träder i kraft vid den föreslagna tidpunkten, föreslår förvaltningsutskottet att ikraftträdandebestämmelserna lämnas öppna på det sätt som framgår av detaljmotiven.
Enligt 37 § 2 mom. i den föreslagna dataskyddslagen upphävs genom den lagen personuppgiftslagen (523/1999) och lagen om datasekretessnämnden och dataombudsmannen (389/1994). Personuppgiftslagen är en allmän lag som bland annat föreskriver om villkoren för lagenlig behandling, tillsynsmyndighetens uppgifter och behörighet och den registrerades rättigheter och rättssäkerhet.
Grundlagsutskottet påpekar i sitt utlåtande GrUU 14/2018 rd att dataskyddslagen inte ska tillämpas på sådan behandling av personuppgifter som regleras i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Utskottet anser att personuppgiftslagen inte kan upphävas i sin helhet innan den sistnämnda lagen träder i kraft, eftersom 10 § i grundlagen föreskriver att närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Det står klart att lagförbehållet i 10 § 1 mom. i grundlagen utöver kravet på bestämmelser i lag uttrycker principen att den grundläggande rättigheten gällande skydd av personuppgifter måste få stöd i form av vanlig lagstiftning (se också GrUB 25/1994 rd, s. 5—6).
Enligt grundlagsutskottet måste förvaltningsutskottet med hjälp av övergångsbestämmelser se till att tillämpningsområdet för den allmänna lagstiftningen om skydd av personuppgifter är heltäckande också innan lagen om genomförandet av polisdirektivet träder i kraft, om förslaget till dataskyddslag godkänns först. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning.
De lagar som föreslås i den av grundlagsutskottet åsyftade propositionen om att genomföra direktivet om behandling av personuppgifter i brottmål (RP 31/2018 rd) är ursprungligen avsedda att träda i kraft den 6 maj 2018. Men lagförslagen har lagtekniskt utarbetats utifrån att de ska träda i kraft samtidigt med de lagar som föreslås i den nu aktuella propositionen. Regeringens proposition RP 31/2018 är samtidigt under behandling i förvaltningsutskottet. Förvaltningsutskottet konstaterar att den planerade marschordningen i nuläget är möjlig varvid det problem som grundlagsutskottet nämner inte uppstår. Därför föreslås ingen övergångsreglering i betänkandet. Förvaltningsutskottet konstaterar att lagarna ska sättas i kraft samtidigt varvid inga övergångsbestämmelser behövs.
Anvisningar, rådgivning och utbildning
Behovet av anvisningar, rådgivning och utbildning i fråga om dataskyddslagen och dataskyddsförordningen gäller både lagberedningen och tillämpningen av dataskyddslagen och dataskyddsförordningen mer allmänt. Den justering av speciallagstiftningen som föranleds av dataskyddsförordningen är i många avseenden fortfarande på gång i ministerierna. På grundval av utfrågningen av sakkunniga finns det inte full säkerhet hos myndigheterna, förvaltningens kunder, företagen och konsumenterna om hur bestämmelserna om hantering av personuppgifter ska tillämpas. Också vid övergången, innan speciallagstiftningen har uppdaterats, krävs det anvisningar om tillämpningen av lagstiftningen och rådgivning för eventuella uppkommande normkonflikter. Utskottet fäster dessutom speciell uppmärksamhet vid situationen för de myndigheter på vars verksamhet delvis tillämpas dataskyddsförordningen och delvis dataskyddsdirektivet för brottsbekämpande myndigheter.
Dataskyddsförordningen har medfört nya skyldigheter för företag och i många avseenden också ökat den administrativa bördan. I dataskyddsförordningen föreskrivs om nya administrativa påföljder såsom administrativ påföljdsavgift som i vissa situationer kan vara mycket stor. Det är viktigt med rådgivning och utbildning för att hjälpa företag att anpassa sin verksamhet till kraven från dataskyddsförordningen och dataskyddslagen. Förvaltningsutskottet betonar i synnerhet utarbetandet av redskap och anvisningar som är lätta att använda för små och medelstora företag, föreningar och andra små aktörer. Det behövs också sektorsspecifika anvisningar för olika branscher i anslutning till exempelvis arbetsliv, hälso- och sjukvård och direktmarknadsföring. Information behövs också om dataskyddsregleringen som gäller exempelvis barn.
Utskottet konstaterar att ett mål med dataskyddsförordningen är att stärka konsumenternas förtroende för digitala tjänster och därigenom på längre sikt främja affärsmöjligheterna särskilt för små och medelstora företag. Därför är det viktigt att också den allmänna vetskapen om dataskyddslagstiftningen ökas.
Resurser
Av artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna framgår att oberoende datasekretessmyndigheters tillsyn över genomförandet av skyddet för personuppgifter är en del av en effektiv rätt till skydd för personuppgifter. Att dataskyddslagstiftningen har ett mycket brett tillämpningsområde i det digitaliserade samhället och att den är svårgripbar ökar betydelsen av datasekretessmyndighetens handledning och rådgivning. I och med dataskyddsförordningen betonas också EU-dimensionen mer i dataombudsmannens uppgifter. Artikel 52.4 i dataskyddsförordningen ålägger medlemsstaterna att säkerställa att varje tillsynsmyndighet förfogar över de personella, tekniska och finansiella resurser samt de lokaler och den infrastruktur som behövs för att myndigheten effektivt ska kunna utföra sina uppgifter och utöva sina befogenheter. Förvaltningsutskottet konstaterar att resursbehov förorsakas inte bara av dataskyddsförordningen utan också av bland annat direktivet om dataskydd i brottmål. Inom EU bereds flera andra bestämmelser som leder till skyldigheter för de nationella datasekretessmyndigheterna. I det avseendet kan nämnas exempelvis förordningen om dataskydd vid elektronisk kommunikation och förslag till bestämmelser om olika områden inom rättsliga och inrikes frågor.
I sina utlåtanden om planen för de offentliga finanserna och statsbudgeten och i sina utlåtanden om EU:s informationssystem och översynen av dataskyddslagstiftningen i EU har utskottet upprepade gånger pekat på behovet att stärka dataombudsmannens resurser. I budgeten för 2018 anvisas dataombudsmannens byrå 525 000 euro i tilläggsfinansiering. Enligt propositionsmotiven behövs dessutom från och med 2019 ett årligt tillägg på 675 000 euro för genomförandet av dataskyddsförordningen. Enligt en bedömning i motiven föranleder den allmänna dataskyddsförordningen ett behov av 16 årsverken från och med 2019 i tillsynsmyndighetens resurser, och i detta behov ingår en ökning på 8 årsverken jämfört med 2018. I 2019 års budgetproposition föreslås anslagen för dataombudsmannens byrå bli utökade. Enligt budgetpropositionen beräknas det för dataombudsmannens verksamhet användas 3,244 miljoner euro (25.01.03). Förvaltningsutskottet anser att resursernas tillräcklighet för att genomföra dataskyddsförordningen bör följas aktivt och justeras vid behov. Dessutom bör ramplaneringen ta hänsyn till den ovan konstaterade omständigheten att dataombudsmannens uppgifter väntas fortsätta att öka. Med avseende på skyddet för personuppgifter och tillsynens effektivitet är det nödvändigt att dataombudsmannens byrå tillförsäkras tillräckliga resurser.
Reformen har konsekvenser också för exempelvis förvaltningsdomstolarna. Som en följd av tillämpningen av dataskyddsförordningen får förvaltningsdomstolarna helt nya ärendegrupper för behandling, såsom administrativa påföljdsavgifter och vissa andra beslut som gäller tillsynsmyndighetens befogenheter. Eftersom det handlar om ny EU-reglering som det ännu inte finns rättspraxis för kan ärendena beräknas vara svårare än i genomsnitt och förknippade med svåra tolkningsfrågor. Antagligen får unionens domstol också ta emot begäran om förhandsavgörande från nationella domstolar i frågor med koppling till dataskyddsförordningen. De ekonomiska konsekvenserna är dock i detta skede svåra att förutse. Men det är uppenbart att det med avseende på förvaltningsdomstolarna handlar om en reform som kräver utbildning, och att arbetsmängden kommer att öka något. Utskottet ser det som viktigt att de ekonomiska konsekvenserna med avseende på domstolarna följs och åtgärdas i tid med adekvata resurser.