3
Nuläge och bedömning av nuläget
3.1
Den allmänt tillämpliga dataskyddslagstiftningen och den andra allmänna lagstiftningen
Dataskyddslagen avseende brottmål är en allmän lag om skyddet för personuppgifter. Den tillämpas i princip på all behandling av personuppgifter av åklagarna vid åtalsprövning och annan åklagarverksamhet som har samband med brott. Lagen innehåller en bred definition av personuppgift och även behandlingen av personuppgifter är ett brett begrepp. I fråga om åklagarna täcker lagen ändamålen med behandlingen och i stor utsträckning olika åtgärder för att behandla personuppgifter, då det handlar om behandling av personuppgifter som är helt eller delvis automatiserad eller där de uppgifter som behandlas utgör eller är avsedda att utgöra ett register eller en del av ett sådant.
Artikel 6.1 e i den allmänna dataskyddsförordningen och 4 § 2 punkten i dataskyddslagen möjliggör därtill att Åklagarmyndigheten behandlar uppgifter då rätten att behandla uppgifter inte direkt kan härledas ur någon bestämmelse om Åklagarmyndighetens uppgifter och befogenheter eller någon annan specialreglering som gäller för åklagare. Eftersom 4 § 2 punkten i dataskyddslagen förutsätter att behandlingen behövs i myndighetens verksamhet, möjliggör den behandling av personuppgifter vilken utifrån sakliga grunder är motiverad för myndighetens uppgifter och befogenhet. Det är väsentligt att bestämmelser om åklagarnas grundläggande uppgifter, som behandlingen gäller, utfärdas annanstans i lag. Dessutom ska behandlingen vara proportionell med tanke på utförandet av åklagarens uppdrag. Bestämmelsen i dataskyddslagen lämpar sig som rättsgrund för behandlingen till exempel i olika planering- och utredningsuppgifter i anknytning till åklagarnas verksamhet, vilka inte handlar om behandlingen av ett enskilt brottmål.
Lagen om offentlighet i myndigheternas verksamhet (621/1999, offentlighetslagen) och lagen om informationshantering inom den offentliga förvaltningen (906/2019, informationshanteringslagen) tillämpas även på åklagarnas informationsbehandling i egenskap av allmänna lagar. Offentlighetslagen innehåller bestämmelser bland annat om sekretessbelagda uppgifter och bestämmelser om utlämnade av information ur en myndighets personregister och utlämnande av sekretessbelagda uppgifter till en annan myndighet, en utländsk myndighet och ett internationellt organ. Bestämmelserna i 29 § i offentlighetslagen täcker dock endast situationer där en sekretessbelagd handling behövs vid behandlingen av ett förhandsbesked, ett förhandsavgörande, sökande av ändring i ett myndighetsbeslut, en klagan med anledning av en åtgärd, ett underställt ärende eller av besvär som anförts hos ett internationellt lagskipnings- eller undersökningsorgan. Således kan bestämmelserna i 29 § bli tillämpliga endast i avgränsade fall för åklagarnas del. Till övriga delar förutsätter utlämnande av sekretessbelagda uppgifter i praktiken att ärendet regleras separat annanstans i lag.
Informationshanteringslagen tillämpas på åklagarnas informationshantering och användning av informationssystem då man i dessa hanterar informationsmaterial, såvida inte annat föreskrivits annanstans i lagen. Lagen innehåller till exempel bestämmelser om de krav som tillämpas på överföring av uppgifter då uppgifter lämnas i ett datanät och om de krav som gäller för tekniska gränssnitt. Däremot innehåller dataskyddslagen avseende brottmål mer detaljerade krav till exempel i fråga om de logguppgifter som samlas in. Informationshanteringslagen innehåller inte bestämmelser om personregister och inte heller om registrering av personuppgifter, men bestämmelserna i lagen om behandling av informationsmaterial och ärendehantering kan påverka även behandlingen av personuppgifter. Dataskyddslagstiftningen gäller för alla register där personuppgifter behandlas. Den personuppgiftsansvarige som avses i dataskyddslagen avseende brottmål är ofta, men inte alltid samma myndighet som den informationshanteringsenhet som avses i informationshanteringslagen.
3.2
Lagen om justitieförvaltningens nationella informationsresurs
Lagen om justitieförvaltningens nationella informationsresurs (955/2020, informationsresurslagen) innehåller bestämmelser bland annat om Åklagarmyndighetens skyldighet att ansluta sig till informationsresursen och överföra information till den (5 och 6 §). Utifrån 6 § 2 mom. i lagen ska Åklagarmyndigheten trots sekretessbestämmelserna föra in sina avgöranden eller uppgifter om dem i registret över avgöranden och meddelanden om avgöranden. I enlighet med lagen gäller samma skyldigheter även för domstolar och rättshjälpsbyråer.
Enligt 7 § 1 mom. i lagen är Rättsregistercentralen personuppgiftsansvarig i fråga om informationsresursen. Personuppgiftsansvar har inte föreskrivits för andra myndigheter i fråga om informationsresursen eller de informationssystem som hör till den. Lagen innehåller dock bestämmelser om justitieministeriets uppgift att utveckla informationsresursen och ordna användningstjänster (7 § 2 mom.) vilka inte längre motsvarar den verkliga situationen. Den uppgift som nämns i denna bestämmelse hör i huvudsak till Rättsregistercentralen. I enlighet med 12 § 6 mom. i lagen hämtar justitieministeriet uppgifter och använder uppgifter som sparats i rapporterings- och statistikföringssystemet för sin verksamhet och planeringen och uppföljningen av verksamheten inom justitieministeriets förvaltningsområde. Justitieministeriet för inte in uppgifter i informationsresursen och deltar inte heller i fastställandet av ändamålen med och metoderna för behandlingen av personuppgifter. Bestämmelsen om tillgång till information handlar i praktiken om att justitieministeriet direkt ur statistikförings- och rapporteringssystemet han hämta uppgifter till exempel för författningsberedning och för att få en allmännare bild av rättsförhållandena. I egenskap av personuppgiftsansvarig för informationsresursen fastställer Rättsregistercentralen å sin sida vilka uppgifter som kan föras in i statistikförings- och rapporteringssystemet och vilka uppgifter justitieministeriet kan hämta ur systemet. I ljuset av det ovan konstaterade jämställs justitieministeriet inte med en personuppgiftsansvarig.
Enligt 7 § 3 mom. ska den myndighet som fört in uppgifter i informationsresursen se till att: 1) de uppgifter myndigheten fört in motsvarar myndighetens avgöranden och egna registeranteckningar, 2) behövliga anteckningar för korrekt förmedling av uppgifterna har gjorts i informationsresursen, och 3) anteckningarna har gjorts i enlighet med de tekniska krav som den personuppgiftsansvarige ställt. Lagens 11 § innehåller bestämmelser om myndighetens rätt att använda de uppgifter som den fört in i informationsresursen och 12 § om rätten att använda uppgifter som förts in av andra. I 13 § i lagen finns det bestämmelser om Rättsregistercentralens rätt att använda information som raderats ur registret över avgöranden och meddelanden om avgöranden eller ur rikssystemet för behandling av diarie- och ärendehanteringsuppgifter och överförts till systemet för rapportering och statistikföring. Rätten att använda uppgifter gäller uppgifter som i ett enskilt fall behövs för att kontrollera riktigheten av uppgifter som ska förmedlas eller registreras eller för avgörande av ärenden som hör till Rättsregistercentralens behörighet, om det föreskrivs i lag att ett avgörande får grundas på sådan information. Inga omfattande bestämmelser om rätten att använda uppgifter har utfärdats för Rättsregistercentralen. Däremot har Rättsregistercentralen i egenskap av personuppgiftsansvarig genom lagen tilldelats ansvaret att göra avgöranden som gäller utlämnande av uppgifter (14–17 § i lagen).
Justitieförvaltningens nationella informationsresurs omfattar de delsystem som nämns i regeringens proposition RP 110/2020 rd, vilka är ett system för avgöranden och meddelanden om avgöranden, ett rikssystem för behandling av diarie- och ärendehanteringsuppgifter samt av ett rapporterings- och statistiksystem. Det finns bestämmelser om användningssyftet för dessa delsystem i 8 § i lagen, medan 9 § i lagen reglerar uppgiftsinnehållet. Exakt vilka informationssystem eller register som hör till dessa delsystem framgår inte närmare av lagen och situationen kan även ändras då informationssystemens livscykel upphör samt i och med utvecklingsprojekt. I fråga om vissa system är det även svårt att entydigt konstatera om uppgifterna i dessa är en del av informationsresursen. Utgångspunkten i 1 § 2 mom. och 7 § 3 mom. i informationsresurslagen verkar dock vara att en myndighets diarium eller ärenderegister har ansetts vara åtskilda från informationsresursen. Samma uppgift kan dock på samma gång ingå i såväl myndighetens egna ärenderegister eller diarium som informationsresursen.
Enligt 8 § 2 mom. i lagen är syftet med rikssystemet för behandling av diarie- och ärendehanteringsuppgifter att förmedla den information till justitieförvaltningsmyndigheterna som behövs för handläggning, utredning och avgörande av ärenden och för tillsyns- och utvecklingsuppgifter samt att förmedla information till allmänheten om ärenden som domstolarna behandlar och om ärenden som de har behandlat. De faktiska informationssystem som hör till rikssystemet för behandling av diarie- och ärendehanteringsuppgifter är för närvarande åtminstone brottsdiarie- och ärendehanteringssystemet Sakari, som är på väg att ersättas med ärende- och dokumenthanteringssystemet för de allmänna domstolarna och Åklagarmyndigheten (AIPA), förvaltnings- och specialdomstolarnas system för verksamhetsstyrning och dokumenthantering (HAIPA), domstolarnas ärendehanteringssystem Tuomas, domstolarnas operativsystem för förfrågningar Kyösti samt Lotus Notes, som används av förvaltnings- och specialdomstolarna.
Enligt 8 § 1 mom. i informationsresurslagen är syftet med registret över avgöranden och meddelanden om avgöranden att förmedla information om justitieförvaltningsmyndigheternas avgöranden för verkställighet av avgöranden, införande i myndighetsregister och utbetalning av arvoden och ersättningar i samband med rättshjälp samt för användning av uppgifter inom Åklagarmyndighetens verksamhet. Informationssystem som ingår i registret över avgöranden och meddelanden om avgöranden är de allmänna domstolarnas brottmålsapplikation RITU, det elektroniska ärendehanteringssystemet för rättshjälpsärenden Romeo och domregistret Tuore. AIPA och HAIPA samt Tuomas, Sakari och Lotus Notes är även en del av systemet för meddelanden om avgörande och beslut. Av dessa håller RITU på att nå slutet av sin livscykel. Även en del av de andra systemen befinner sig i slutet av sin livscykel och de kommer sannolikt att ersättas med separata lagringslösningar. I praktiken registrerar justitieförvaltningsmyndigheterna de ärenden som de behandlar och de sparar deras avgöranden i dessa i de egna registren. Även om Åklagarmyndigheten och de allmänna domstolarna använder samma informationssystem, avgränsas tillgången till de olika registren genom behörighetshantering och användarspecifika roller.
Enligt 8 § 3 mom. i informationsresurslagen är syftet med systemet för rapportering och statistikföring att producera statistik och annat sådant material om rättsförhållandena som justitieministeriet, Domstolsverket och justitieförvaltningsmyndigheterna behöver för planering och uppföljning av sin verksamhet och som de inom förvaltningsområdet verksamma undersöknings- och utredningsenheterna använder i sin verksamhet. I ljuset av förarbetena till lagen har systemet under beredningen av lagen bildats av den programvara som använts av justitieförvaltningsmyndigheterna, men avsikten har dock varit att ersätta den med en helt ny lösning. Enligt förarbetena till lagen fastställs uppgiftsinnehållet i rapporterings- och statistikföringssystemet utifrån planerings-, undersöknings- och statistikföringsbehoven. Även om Rättsregistercentralen har fastställts som personuppgiftsansvarig för hela informationsresursen, är varje myndighet som sparar uppgifter i ett rapporterings- och statistikföringssystem som används gemensamt inom justitieministeriets förvaltningsområde dock enligt förarbetena till lagen själv personuppgiftsansvarig i fråga om det rapporterings- och statistikföringsmaterial som den producerar i systemet utifrån sina egna planerings- och uppföljningsbehov. (RP 110/2020 rd)
Domstolsverkets lagstadgade uppgift är att sköta förvaltningen och utvecklandet av domstolarnas informationssystem (19 a kap. 2 § 2 mom. i domstolslagen (673/2016)). Domstolarna behandlar personuppgifter i sina informationssystem för att fullgöra sina rättskipningsuppgifter, såsom handläggning av ett brottmål i domstol (1 § 1 mom. i dataskyddslagen avseende brottmål) och handläggning av tvistemål och ansökningsärenden samt handläggning av förvaltningsprocessuella ärenden, förvaltningstvistemål och ärenden som gäller sökande av ändring (bland annat artikel 6.1 c i den allmänna dataskyddsförordningen (679/2016)). Domstolarnas handläggningshelhet omfattar även annan behandling av personuppgifter i anknytning till allmän myndighetsverksamhet och administrativ verksamhet. Sådan handläggning omfattar bland annat uppföljning av skyndsamheten i handläggningen av ärendet, tillmötesgåendet av begäranden om uppgifter och tillgodoseendet av den registrerades rättigheter.
Domstolsverket och domstolarna har i samarbete fastställt de ansvarsområden som anknyter till dataskyddsskyldigheterna i fråga om domstolarnas informationssystem. Domstolsverkets ansvar hänför sig till att beakta dataskyddet vid utveckling och genomförande av ett informationssystem, medan domstolarnas personuppgiftsansvar hänför sig till att de registrerades dataskyddsrelaterade rättigheter tillgodoses i fråga om personuppgifter som förs in i ett informationssystem samt till att utbilda användarna av informationssystemen och ge dem vägledning i behandling som är förenlig med dataskyddsbestämmelserna.
Rättstjänstverket har bland annat till uppgift att se till att de tjänster som rättshjälpsbyråerna ska tillhandahålla enligt rättshjälpslagen (257/2002) och annan lag tillhandahålls jämlikt i hela landet (2 § i lagen om Rättstjänstverket 1133/2023). Rättshjälpsbyråerna fattar beslut om rättshjälp enligt rättshjälpslagen, tillhandahåller rättshjälp enligt rättshjälpslagen och sköter advokatuppdrag enligt lagen om advokater. Dessutom tillhandahåller rättshjälpsbyråerna ekonomi- och skuldrådgivningstjänster enligt lagen om ekonomi- och skuldrådgivning (813/2017). För att sköta uppgifter som gäller offentlig rättshjälp behandlas personuppgifter i ärendehanteringssystemet Romeo, vars behörigheter har begränsats enligt byrå. Behandlingen baserar sig på lag (artikel 6.1 c i den allmänna dataskyddsförordningen). Uppgifter används även för att övervaka, utveckla, statistikföra och rapportera skötseln av uppgifter.
Efter att Rättstjänstverket inlett sin verksamhet överfördes de system som används vid rättshjälpsbyråerna till verkets ägo. Behörigheterna till systemen har inte ändrats och varje rättshjälpsbyrå har egna användargränssnitt. Enligt regeringens proposition om grundandet av Rättstjänstverket (RP 30/2023 rd) fungerar det verk som grundas som personuppgiftsansvarig enligt dataskyddslagstiftningen i stället för rättshjälps- och intressebevakningsdistrikten. Även uppgiften som personuppgiftsansvarig har förlagts till Rättstjänstverket.
Justitieförvaltningsmyndigheterna behandlar personuppgifter i huvudsak i egna system eller i system som är i gemensam användning, men även i den nationella informationsresursen till vissa delar redan innan ett ärende avgörs. Detta beror på att systemen på det sätt som beskrivits ovan på samma gång är en del även av informationsresursen. All information som ingår i systemen hör dock inte till uppgiftsinnehållet i justitieförvaltningens nationella informationsresurs, som omfattas av Rättsregistercentralens personuppgiftsansvar. Till den del som det handlar om skötsel av egna lagstadgade uppgifter för de myndigheter som använder informationsresursen, kan Rättsregistercentralen inte heller fastställa ändamålen med behandlingen av personuppgifter, vilka i typfallet baserar sig de lagstadgade uppgifterna för myndigheten. Informationsresurslagen innehåller bestämmelser om medlen för behandling på allmän nivå till den del som det handlar om personuppgifter som införs i den nationella informationsresursen, men det finns inte egentligen någon annan reglering om register eller andra medel för behandling av personuppgifter. Däremot finns det i fråga om myndigheterna reglering om rätten att lämna ut och få uppgifter trots sekretessbestämmelserna. Detta upplägg gör att den nuvarande lösningen i lagstiftningen om personuppgiftsansvaret för informationsresursen är problematisk.
Uppgifterna och ansvaren för de myndigheter som anknyter till de system som hör till justitieförvaltningens nationella informationsresurs fördelar sig de facto redan för närvarande mellan flera myndigheter. I praktiken fastställer Rättsregistercentralen till exempel medlen och ändamålen för behandlingen av personuppgifter i anknytning till informationsresursen tillsammans med de myndigheter som använder informationsresursen till den del som det inte regleras i lag. Sättet för att fastställa medlen och ändamålen för behandlingen varierar dock enligt informationssystem. Till exempel i fråga om systemen AIPA och HAIPA har Domstolsverket med avvikelse från övriga system som är kopplade till informationsresursen utvecklings- och förvaltningsuppgifter och Domstolsverket och domstolarna har delat personuppgiftsansvaren genom inbördes arrangemang. Domstolsverkets uppgift gäller dock i enlighet med domstolslagen endast förvaltning och utvecklande av domstolarnas informationssystem och Åklagarmyndigheten är personuppgiftsansvarig i fråga om de åklagaruppgifter som behandlas i AIPA. Även om de personuppgiftsansvariga kan komma överens om att dela ansvarsområden i anknytning till det gemensamma personuppgiftsansvaret direkt med stöd av artikel 26 i den allmänna dataskyddsförordningen och 16 § i dataskyddslagen avseende brottmål, kan sådana arrangemang vara motstridiga med 7 § i informationsresurslagen till den del som personuppgiftsansvaren anknyter till system som hör till informationsresursen. Å andra sidan kan myndigheternas möjligheter att sinsemellan komma överens om delning av personuppgiftsansvaren begränsas även av den övriga lagstiftningen kring myndigheternas uppgifter och befogenheter.
Det är svårt att precisera personuppgiftsansvaren i lagen på grund av ovan nämnda oklarheter i fråga om de informationssystem som exakt anknyter till informationsresursen och av vilka uppgifter informationsresursen bildas. Helheten gör det svårare att på detaljerat sätt i lagen dela i synnerhet de uppgifter som ankommer på den personuppgiftsansvarige mellan flera myndigheter. Med beaktande av att den personuppgiftsansvarige dock ska vara en sådan myndighet som de facto har möjlighet att påverka fastställandet av ändamålen och medlen för behandlingen av personuppgifter antingen ensam eller tillsammans med en annan myndighet, kan bestämmelserna i gällande 7 § inte anses vara ändamålsenliga.
Rättsregistercentralens medel för att förvissa sig om att i synnerhet personuppgifter som lagras i informationsresursen är riktiga och exakta är begränsade. Rättsregistercentralen har inte heller någon möjlighet att korrigera information som visat sig vara felaktig, utan den måste vara i kontakt med den myndighet som lagrat uppgifterna och framföra en begäran om att korrigera informationen. För att Rättsregistercentralen fullt ut ska kunna fullgöra sina skyldigheter som personuppgiftsansvarig i anknytning till den allmänna dataskyddsförordningen och dataskyddslagen avseende brottmål i fråga om justitieförvaltningens nationella informationsresurs, ska den i praktiken kunna ge föreskrifter till de myndigheter som använder informationsresursen. Detta är problematiskt med tanke på domstolarnas och de andra myndigheternas olikhet och oberoende.
Behovet av att säkerställa uppgifternas riktighet har beaktats i 7 § 3 mom. i den gällande lagen. Enligt momentet ska den myndighet som fört in uppgifter i informationsresursen se till att: 1) de uppgifter myndigheten fört in motsvarar myndighetens avgöranden och egna registeranteckningar, 2) behövliga anteckningar för korrekt förmedling av uppgifterna har gjorts i informationsresursen, och 3) anteckningarna har gjorts i enlighet med de tekniska krav som den personuppgiftsansvarige ställt. Biträdande justitiekanslern har i sitt avgörande som gäller tingsrätterna tagit ställning till vikten av att anteckna domar på behörigt sätt med tanke på korrekt förmedling av uppgifterna. (OKV/1503/70/2022). Informationsresurslagens 7 § 3 mom. befriar dock inte den personuppgiftsansvarige från sitt personuppgiftsansvar enligt dataskyddslagstiftningen att säkerställa att personuppgifterna är exakta och korrekta och det kan även orsaka oklarhet i fråga om vem som ansvarar för skyldigheten (beslut 3396/2023, 8.6.2023 av Helsingfors förvaltningsdomstol). För de myndigheter som lämnar ut uppgifter följer motsvarande skyldigheter i fråga om 1 mom. i praktiken även direkt av dataskyddslagstiftningen, utifrån vilken varje personuppgiftsansvarig för egen del ska se till att de personuppgifter som de behandlar är riktiga och vid behov till exempel underrätta alla mottagare av dessa om upptäckta fel och rättelse av dessa (en viss form av aktsamhetsskyldighet). Med beaktande av detta är de bestämmelser som ingår i momentet överlappande med kraven i dataskyddslagstiftningen och i praktiken onödiga. Momentet behövs inte heller i det fallet att lagen innehåller bestämmelser om ett gemensamt personuppgiftsansvar för myndigheterna.
3.3
De specialbestämmelser som gäller för åklagare och som ska tillämpas på behandling av personuppgifter
Lagen om Åklagarmyndigheten (32/2019) innehåller bestämmelser om Åklagarmyndighetens ställning, uppgifter och förvaltning samt om åklagarnas uppgifter. Åklagarmyndigheten svarar självständigt och oberoende för ordnandet av åklagarväsendet. Åklagaren ska vid behandlingen av de ärenden som han eller hon handlägger sörja för att det straffrättsliga ansvaret realiseras, utan onödigt dröjsmål och på ett jämlikt och ekonomiskt sätt enligt vad parternas rättsskydd och allmänintresset kräver. Åklagaren utövar en självständig och oberoende åtalsprövningsrätt. En åklagare ska i de brottmål som han eller hon handlägger, självständigt och oberoende fatta de avgöranden som omfattas av hans eller hennes beslutanderätt och som gäller förverkligandet av det straffrättsliga ansvaret. Varje åklagare har behörighet för åklagaruppgifter i hela landet. Lagen om Åklagarmyndigheten innehåller inte någon reglering kring behandling av personuppgifter med undantag för 22 §, som reglerar åklagarnas rätt att få information.
Enligt skäl 20 till dataskyddsdirektivet för brottsbekämpning bör direktivet inte hindra medlemsstaterna från att i nationell straffprocesslagstiftning ange vilken behandling och vilka förfaranden för behandling som berörs när det gäller domstolars och andra rättsliga myndigheters behandling av personuppgifter, särskilt när det gäller personuppgifter som ingår i ett domstolsbeslut eller i protokoll avseende straffrättsliga förfaranden. Straffprocessen omfattar flera åtgärder som är förknippade med situationer där personuppgifter behandlas. I Finland innehåller lagstiftningen om straffprocessen dock sällan egentliga bestämmelser om behandling av personuppgifter.
Av bestämmelserna i rättegångsbalken (45/1734) innebär till exempel bestämmelserna om stämningsansökan och delgivning av stämningar samt om mottagande av bevisning på samma gång behandling av personuppgifter. En del av åtgärderna i straffprocessen kan gälla sekretessbelagda eller känsliga uppgifter, som till vissa delar även kan vara personuppgifter som hör till en särskild kategori av personuppgifter enligt 11 § i dataskyddslagen avseende brottmål. Till exempel framställningar om sinnesundersökningar kan innehålla hälsouppgifter.
Lagen om rättegång i brottmål (689/2017) (1 kap.) innehåller bestämmelser om åtgärder i anknytning till utövningen av åtalsrätt och åtalsprövning, vilka är förknippande med behandling av personuppgifter (åtal, beslut om åtalseftergift, handläggning av en åtalsbegäran av en målsägande, domsförslag i en erkännanderättegång och yrkande på förverkande). Lagens 5 kap. innehåller bestämmelser om åtgärder i anknytning till anhängiggörande av ett åtal. I fråga om stämningsansökan innehåller 3 § i kapitlet även bestämmelser om personuppgifter och andra uppgifter, som ska uppges i stämningsansökan.
I 3 kap. i förundersökningslagen (805/2011) finns det bestämmelser om registrering och överföring av en anmälan om brott och avgöranden om begränsning av förundersökning (1, 2, 10 och 10 a §). Det finns bestämmelser om underrättelse till åklagaren och samarbetsskyldigheten i 5 kap. (1 och 3 §). Förundersökningslagen innehåller även bestämmelser om åklagarens befogenheter, då åklagaren fungerar som undersökningsledare. Åklagaren ansvarar för att leda undersökningen då det handlar om undersökningen av ett brott som misstänks ha begåtts av en polisman. Förundersökningsmyndigheten (polisen) sköter dock även då registreringen av anmälan om brott. I praktiken överförs förundersökningsmaterialet så gott som alltid från polisens informationssystem, även då förundersökningsmyndigheten utgörs av Gränsbevakningsväsendet, Tullen eller Försvarsmakten. Det finns bestämmelser om förundersökningsmaterial i 9 kap. i förundersökningslagen (förundersökningsprotokoll, avslutande utsagor m.m.). Förundersökningsmaterialet behandlas i åklagarnas ärendehanteringssystem efter att polisen överfört materialet till Åklagarmyndigheten. I regel registrerar polisen anmälningar om brott även om misstänkta polisbrott. Polisen sköter registreringen även i det fallet att målsäganden anmäler ett brott till åklagaren. Åklagaren registrerar ett beslut om begränsning av förundersökningen, åtalseftergift eller väckande av åtal.
De åtgärder som föreskrivs i tvångsmedelslagen (806/2011) är förknippade med olika situationer där personuppgifter behandlas av åklagarna. Dessa är till exempel handläggning av häktningsyrkanden, reseförbud och kvarstad; öppnande och undersökning av ett slutet brev eller en annan sluten enskild handling som tagits i beslag eller omhändertagits för beslag; och handläggning av anmälningar som gäller överträdelse av en häktningsarrest. Åklagarna behandlar personuppgifter som fåtts med metoder enligt tvångsmedelslagen endast som en del av behandlingen och lagringen av material som fogats till förundersökningsprotokollet. Åklagarna arkiverar inte heller förundersökningsmaterial, utan arkiveringen sköts av polisen, och domstolarna sköter arkiveringen till den del som handlingar åberopats som bevis i en rättegång.
Med stöd av lagen om föreläggande av böter och ordningsbot (754/2010) utfärdas ett bötesyrkande av en polisman (ändrad genom lag 421/2025, lagändringen träder i kraft den 1 januari 2026). Yrkandet kan utfärdas också på begäran av åklagaren. En ordningsbot föreläggs av åklagaren, ett bötesföreläggande utfärdas av åklagaren och ett bötesföreläggande utfärdas av en polisman. Det finns bestämmelser om innehållet i bötesyrkanden, bötesförelägganden och ordningsbotsförelägganden inklusive personuppgifter i 8 § i lagen. Det finns närmare bestämmelser som strafförelägganden och ordningsbotsförelägganden i 4 kap. i lagen, men bestämmelserna innehåller inte bestämmelser som gäller särskilda kategorier av personuppgifter. Det finns bestämmelser om rättelse av fel i 37 § i lagen.
Det finns bestämmelser om förvandlingsstraff i 3 kap. i lagen om verkställighet av böter (672/2002). Med stöd av 30 § 2 mom. i lagen framställs yrkande på förvandlingsstraff av åklagaren. Behandling av personuppgifter anknyter till situationer där åklagaren handlägger handlingar som överlämnats av tingsrätten före ett sammanträde samt utredningar som överlämnats av en utmätningsman. Närmare bestämmelser om överlämnande av de uppgifter som behövs för att förordna ett förvandlingsstraff till åklagaren och vidare från åklagaren till tingsrätten utfärdas genom förordning av statsrådet. Om domstolen anser att det är lämpligt, är det möjligt att använda ett tekniskt informationsförmedlingssätt, där de som deltar i handläggningen ser och hör varandra. Enligt 30 a § 1 mom. i lagen ska åklagaren när skäl yppar sig på eget initiativ eller på begäran av domstolen hos utmätningsmannen inhämta en utredning om den betalningsskyldiges ekonomiska ställning. Denna utredning innehåller ärendehanteringsuppgifter om ett utsökningsärende och de uppgifter om den ekonomiska ställningen för en betalningsskyldig, vilka får lämnas till åklagaren för förordnandet av ett förvandlingsstraff.
Enligt 10 § 1 mom. i lagen om verkställighet av samhällspåföljder (400/2015) ska åklagaren eller domstolen be Brottspåföljdsmyndigheten utarbeta en påföljdsutredning när det brott den misstänkte åtalas för är ett brott för vilket samhällstjänst eller övervakningsstraff eller, för den som hade fyllt 21 år när han eller hon begick brottet, villkorligt fängelse förenat med övervakning sannolikt kommer att dömas ut. Bland annat på begäran av åklagaren är det möjligt att till en påföljdsutredning foga även en plan för strafftiden, vars detaljer kan innebära även behandling av uppgifter som ska anses vara känsliga. Med stöd av lagen behandlar åklagarna även utredningar som utarbetats av Brottspåföljdsmyndigheten om överträdelse av skyldigheterna i anknytning till samhällstjänst. Behandling av personuppgifter omfattar dessutom till exempel situationer där åklagaren med stöd av lag framför ett yrkande på ändring av samhällstjänst till övervakningsstraff eller villkorligt fängelse eller på ändring av övervakningsstraff till villkorligt fängelse samt där åklagaren överför misstänkt överträdelse av skyldigheterna i anknytning till samhällstjänst eller övervakningsstraff för behandling av tingsrätten. Lagen innehåller inte särskilda bestämmelser om utlämnande av uppgifter eller om erhållande av uppgifter, men i fråga om behandlingen av uppgifter i samband med skötsel av verkställighetsåtgärder innehåller lagen om Brottspåföljdsmyndigheten bestämmelser om behandling av personuppgifter. Med stöd av 19 § i lagen får Brottspåföljdsmyndigheten trots sekretessbestämmelserna på begäran och även på eget initiativ lämna ut personuppgifter som avses i 5 § 1 och 2 mom., 6 §, 7 § 2 mom. och 8 § 1 mom. till bland annat åklagare till den del det är nödvändigt för skötseln av myndighetens lagstadgade uppgifter enligt lagen.
Åklagaren gör begäranden om påföljdsutredningar till Brottspåföljdsmyndigheten även då förundersökningsmyndigheten med stöd av lagen om utredning av unga brottsmisstänktas situation (633/2010) meddelat ett brott som misstänks ha begåtts av en ung person till åklagaren. Brottspåföljdsmyndigheten utarbetar utifrån sin bedömning en skriftlig påföljdsutredning, som även innehåller väsentliga uppgifter om den sociala situationen för en ung person som misstänks för brott. Påföljdsutredningen ska också innehålla sådana andra utredningar eller utlåtanden med anledning av brott som åklagaren har begärt för utdömande av en samhällspåföljd. Lagens 9 § innehåller bestämmelser om rätten för Brottspåföljdsmyndigheten och socialmyndigheten att få uppgifter, vilken även täcker hälsouppgifter och konstitutionellt känsliga uppgifter. Bestämmelserna om erhållande av uppgifter täcker inte åklagarna, men bestämmelserna om utlämnande av uppgifter i 19 § i lagen om Brottspåföljdsmyndigheten, vilken gäller behandling av personuppgifter, blir tillämplig även på dessa situationer.
Enligt lagen om näringsförbud (1059/1985) meddelas näringsförbud och tillfälligt näringsförbud på yrkande av åklagaren. Ett näringsförbud kan förlängas på yrkande av åklagaren. Åklagaren hörs även i samband med upphävande av näringsförbud. Åklagaren kan göra en separat begäran om undersökning av förutsättningarna för att påföra näringsförbud till förundersökningsmyndigheten. Näringsförbud är en näringsrättslig säkringsåtgärd och näringsförbudsregistret omfattas av tillämpningsområdet för EU:s allmänna dataskyddsförordning, men tingsrätten meddelar ett näringsförbud i samband med straffprocessen. I handläggning av ett ärende som gäller föreläggande och förlängning av näringsförbud iakttas i tillämpliga delar vad som föreskrivs om behandling av ett brottmål som drivs av åklagaren. Således omfattas behandlingen av personuppgifter hos åklagaren även till denna del av tillämpningsområdet för dataskyddslagen avseende brottmål. Uppgifter om näringsförbud som har upphört har föreskrivits som uppgifter som ska sekretessbeläggas, men de kan lämnas ut ur registret till åklagaren för åtalsprövning och för att driva ett åtal samt för att utreda förutsättningarna för att meddela näringsförbud.
Behandling av personuppgifter förekommer även i begäranden om meddelande av besöksförbud och behandling av sådana i tingsrätten. I enlighet med lagen om besöksförbud (898/1998) kan bland annat åklagarmyndigheten framföra en begäran om besöksförbud (5 §) och åklagarmyndigheten har rätt att vara närvarande i en huvudförhandling om meddelande av besöksförbud i tingsrätten (6 §). I fråga om åklagarna tillämpas bestämmelserna i dataskyddslagen avseende brottmål i oförändrad form på behandling av personuppgifter i anknytning till besöksförbud.
3.4
EU-lagstiftningen och internationella fördrag
Åklagarna behandlar personuppgifter i det internationella straffrättsliga samarbetet. Det internationella straffrättsliga samarbetet täcker bland annat internationell rättshjälp i brottmål, utlämning på grund av ett brott samt samarbete för överföring för att verkställa frihetsstraff och andra straffrättsliga påföljder. Dataskyddsdirektivet för brottmål tillämpas i det juridiska samarbete som ska föras i brottmål i enlighet med fördraget om Europeiska unionen, vilket föreskrivs separat i unionslagstiftningen.
Uppgifter om brottmål inkommer till åklagarna från de andra medlemsstaterna i EU i anknytning till ett enskilt ärende då rättsakterna om internationellt straffrättsligt samarbete tillämpas. Bestämmelserna i dataskyddsdirektivet för brottmål blir tillämpliga till den del som man inom ramen för samarbetet automatiskt behandlar personuppgifter som fåtts från ett annat medlemsland i EU eller då sådana uppgifter sparas i åklagarnas diarier eller i något annat personregister. Tillämpningen av nedan nämnda EU-rättsakter och avtal samt de lagar som genomför dessa är förknippad med informationsutbyte eller annan behandling av personuppgifter, men endast en del av dem innehåller bestämmelser som är av betydelse särskilt för skyddet av personuppgifter. Även då dessa bestämmelser tillämpas tillgodoses skyddet för personuppgifter i huvudsak genom bestämmelserna i dataskyddslagen avseende brottmål.
De behöriga myndigheterna i straffrättsliga ärenden utgörs av justitieministeriet, förundersökningsmyndigheterna, åklagarna och domstolarna. Den ömsesidiga rättshjälpen i fråga om brottmål omfattar bland annat delgivning av handlingar och inhämtning av bevis för en brottsundersökning eller rättegång. Den viktigaste rättsakten som gäller internationell rättshjälp mellan medlemsstaterna i Europeiska unionen är Europaparlamentets och rådets direktiv 2014/41/EU om en europeisk utredningsorder på det straffrättsliga området, nedan direktivet om en europeisk utredningsorder. I Finland har direktivet genomförts genom lagen om genomförande av direktivet om en europeisk utredningsorder på det straffrättsliga området (430/2017), vilken trädde i kraft den 3 juli 2017. Utöver polisen och domstolarna hör även åklagarna till de verkställighetsmyndigheter som avses i 5 § i lagen och i de situationer som föreskrivs i 3 mom. i paragrafen kan de besluta om erkännande och verkställighet av en utredningsorder. I synnerhet de bestämmelser i lagen som gäller sekretess, tystnadsplikt och begränsning av användningen av uppgifter är av betydelse med tanke på skyddet för personuppgifter. Lagen innehåller dessutom en uttrycklig registreringsskyldighet, enligt vilken den verkställande myndigheten ska registrera ett beslut om erkännande och verkställighet.
Den tidigare regleringen tillämpas på de medlemsstater eller på rättshjälp som ges i brottmål, på vilka direktivet om en europeisk undersökningsorder inte tillämpas. De viktigaste multilaterala avtalen om internationell straffrättslig hjälp är Europeiska rådets europeiska konvention om inbördes rättshjälp i brottmål (FördrS 30/1982) och dess andra tilläggsprotokoll (FördrS 34/2014) och konventionen om ömsesidig rättslig hjälp i brottmål mellan Europeiska unionens medlemsstater från år 2000 (FördrS 56–57/2004). Internationell rättshjälp i brottmål regleras i lagen om internationell rättshjälp i straffrättsliga ärenden (4/1994), som dock i regel tillämpas på andra stater än medlemsstaterna i EU. De bestämmelser som är betydelsefulla för skyddet för personuppgifter utgörs i synnerhet av lagens bestämmelser om utlämnande av sekretessbelagda uppgifter, sekretessen för handlingar och andra inspelningar, tystnadsplikten samt begränsningen av användning av uppgifter.
Utlämning med anledning av brott mellan medlemsstaterna i Europeiska unionen baserar sig på rambeslutet om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna (2002/584/RIF), som har genomförts i Finland genom lagen om utlämning för brott mellan Finland och de övriga medlemsstaterna i Europeiska unionen (1286/2003). Lagen innehåller bestämmelser om de behöriga åklagarna och vissa uppgifter som hör till dem. Samarbete enligt lagen förs även med Europeiska åklagarmyndigheten. I fråga om andra stater än EU-medlemsstaterna baserar sig utlämning med anledning av ett brott på internationella avtal. Dessutom finns det tillämpliga bestämmelser i lagen om utlämning för brott mellan Finland och de övriga nordiska länderna (1383/2007).
Personuppgifter som gäller ett brottmål fås från de andra medlemsstaterna i EU även bland annat i samband med verkställighet av beslut som gäller beslut om frysning av egendom och bevismaterial. Inom ramen för Europeiska unionens straffprocessuella samarbete finns det redan för närvarande gällande rambeslut om tillämpning av principen om ömsesidigt erkännande på beslut om frysning och förverkande. Rambeslutet om verkställighet i Europeiska unionen av beslut om frysning av egendom eller bevismaterial (2003/577/RIF, nedan rambeslutet om frysning) gör det för egen del möjligt att verkställa ett beslut om frysning som fattats i en medlemsstat i en annan medlemsstat, där den egendom som ska frysas finns. Rambeslutet om tillämpning av principen om ömsesidigt erkännande på beslut om förverkande (2006/783/RIF, nedan rambeslutet om konfiskation) gäller å sin sida översändning av en förverkandedom för verkställighet i en annan medlemsstat, där den egendom som är föremål för förverkandepåföljden finns.
Ovan nämnda rambeslut har i fråga om samarbetet med andra medlemsstater än Irland och Danmark ersatts med Europaparlamentets och rådets förordning (EU) 2018/1805 av den 14 november 2018 om ömsesidigt erkännande av beslut om frysning och beslut om förverkande, nedan konfiskationsförordningen. I fråga om innehåll motsvarar rambesluten i stor utsträckning innehållet i förordningen. I fråga om besluten om frysning gäller förordningen dock endast för frysning för verkställighet av förverkandepåföljder som döms ut senare och om frysning och konfiskation till stöd för målsägandens ersättningsanspråk. Bestämmelserna om frysning av bevismaterial ingår å sin sida i direktivet om undersökningsorder.
Rambeslutet om frysning har genomförts nationellt genom lagen om verkställighet i Europeiska unionen av frysningsbeslut av egendom eller bevismaterial (540/2005, nedan frysningslagen). De nationella bestämmelser som kompletterar konfiskationsförordningen finns i lagen om tillämpning av förordningen om ömsesidigt erkännande av beslut om frysning och beslut om förverkande i Europeiska unionen (895/2020, nedan tillämpningslagen för konfiskationsförordningen). I enlighet med lagarna verkställs ett frysningsbeslut av en rättsmyndighet i en annan medlemsstat i EU eller så sänds ett frysningsbeslut som fattats av en rättsmyndighet i Finland för att verkställas i en annan medlemsstat i EU. Oberoende av om förfarandet baserar sig på förordningen eller rambeslutet är åklagarens befogenheter de samma. Med stöd av 5 § i frysningslagen och 6 § i tillämpningslagen för konfiskationsförordningen är åklagaren behörig att sköta uppgifter i anknytning till verkställande av ett frysningsbeslut. Ett beslut om att skicka ett frysningsbeslut till en annan medlemsstat fattas i Finland av åklagaren eller på begäran av åklagaren en domstol. I tillämpningslagen för konfiskationsförordningen är i synnerhet bestämmelserna om sekretess, tystnadsplikt och begränsningen av användningen av uppgifter betydelsefulla för dataskyddet.
Även rådets rambeslut 2009/829/RIF om tillämpning mellan Europeiska unionens medlemsstater av principen om ömsesidigt erkännande på beslut om övervakningsåtgärder som ett alternativ till tillfälligt frihetsberövande förutsätter utbyte av personuppgifter mellan medlemsstaterna i EU. Detta rambeslut har genomförts nationellt genom lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rambeslutet om övervakningsåtgärder som ett alternativ till tillfälligt frihetsberövande och om tillämpning av rambeslutet (620/2012). I enlighet med lagen och rambeslutet erkänns och verkställs i Finland ett beslut om övervakningsåtgärder som har utfärdats i en annan medlemsstat i EU och översänds ett beslut om övervakningsåtgärder som har utfärdats i Finland till en annan medlemsstat i EU för att erkännas och verkställas. Målet med rambeslutet är att minska de situationer där en person hamnar i rannsakningsfängelse endast för att han eller hon inte har någon boningsort i den stat där ärendet handläggs. I Finland är reseförbud det alternativ till rannsakningsfängelse som avses i rambeslutet. En sådan distriktsåklagare eller specialiståklagare som avses i lagen fattar beslut om erkännande av ett beslut om tillsynsåtgärder. En domstol som handlägger ett i tvångsmedelslagen avsett häktningsyrkande är behörig att utfärda ett beslut om övervakningsåtgärder och översända det till en annan medlemsstat. Om inget häktningsyrkande framställs, är det den åklagare som är förordnad för brottmålet i fråga som har ovan avsedda behörighet.
Dessutom har åklagaren vissa uppgifter i situationer där överföringen av verkställigheten av frihetsstraff och andra straffrättsliga påföljder överförs. På det straffrättsliga samarbetet mellan medlemsstaterna i EU tillämpas i synnerhet rådets rambeslut 2008/909/RIF om tillämpning av principen om ömsesidigt erkännande på brottmålsdomar avseende fängelse eller andra frihetsberövande åtgärder i syfte att verkställa dessa inom Europeiska unionen, vilket har genomförts genom lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rambeslutet om överföring av dömda personer inom Europeiska unionen och om tillämpning av rambeslutet (1169/2011) och rambeslutet 2008/947/RIF om tillämpning av principen om ömsesidigt erkännande på domar och övervakningsbeslut i syfte att övervaka alternativa påföljder och övervakningsåtgärder, vilket har satts i kraft genom lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rambeslutet om alternativa påföljder och övervakningsåtgärder inom Europeiska unionen och om tillämpning av rambeslutet (1170/2011). I stället för det ovan nämnda rambeslutet tillämpas lagen om samarbete mellan Finland och de övriga nordiska länderna vid verkställighet av domar i brottmål (326/1963) i första hand på överföring av frihetsstraff, samhällstjänst, övervakning av en person som dömts till villkorligt fängelse och övervakningen av en person som dömts till villkorlig frihet mellan de nordiska länder.
I regel är Brottspåföljdsmyndigheten den behöriga myndigheten i bägge ovan nämnda rambeslut om straffrättsligt samarbete, men även åklagarna och domstolarna har vissa anknutna uppgifter. I fråga om överföringar av dömda kan en del av åklagarens uppgifter direkt gälla åklagarens verksamhet i handläggningen av ett brottmål, medan en del av åklagarens uppgifter gäller att föra ett yrkande som gäller anpassning av en dom till tingsrätten. I vissa situationer har Brottspåföljdsmyndigheten och i vissa andra situationer har tingsrätten befogenhet att fatta ett beslut om anpassning i fråga om överföring av övervakningsåtgärder och alternativa påföljder. I fråga om anpassningsärenden som ska föras till tingsrätten gör åklagaren yrkandet till tingsrätten. I bägge instrument kan åklagaren även överklaga tingsrättens avgörande hos hovrätten.
Utbyte av personuppgifter i anknytning till det straffrättsliga samarbetet mellan medlemsstaterna sker även med stöd av rambeslutet om förebyggande och lösning av tvister om utövande av jurisdiktion i straffrättsliga förfaranden (2009/948/RIF). Rambeslutet gäller situationer där två eller flera medlemsstater i EU är behöriga att behandla samma omständigheter som gäller samma person i det skede som föregår rättegången (förundersökningen, åtalsåtgärder) i det straffrättsliga förfarandet. Målet med rambeslutet är att förebygga och avgöra behörighetstvister och således undvika onödiga överlappande straffprocesser. Rambeslutet innehåller bestämmelser om förfarandena för utbyte av information och om hur medlemsstaterna ska förfara för att komma överens om forum som lämpar sig bäst för fallet. Rambeslutet har genomförts genom lagen om förebyggande och lösning av tvister om utövande av jurisdiktion i straffrättsliga förfaranden och om överföring av förundersökning och lagföring mellan Finland och de övriga medlemsstaterna i Europeiska unionen (295/2012). Enligt lagen fattas beslutet om att överföra förundersökningen från en annan medlemsstat till Finland av undersökningsledaren efter att ha fått samtycke av åklagaren. Om det krävs ett åtalsförordnande av riksåklagaren för att brottet ska kunna utredas i Finland, fattas beslutet av åklagaren. Däremot fattas ett beslut om att överföra en förundersökning från Finland till en annan medlemsstat av åklagaren på framställan av undersökningsledaren. Åklagaren fattar beslut om överföring av åtalsåtgärder.
Europaparlamentets och rådets förordning (EU) 3011/2024 om överföring av straffrättsliga förfaranden godkändes den 5 november 2024. Förordningen trädde i kraft den 7 januari 2025 och den tillämpas från och med den 1 februari 2027. I enlighet med artikel 1.2 i förordningen tillämpas förordningen framöver på alla fall som gäller överföring av anhängiga straffrättsliga förfaranden i en medlemsstat. Förordningens tillämpningsområde har således inte avgränsats till att gälla endast för skedet före en rättegång. Dessutom redogör skäl 8 i ingressen till förordningen för att om de behöriga myndigheterna, efter samråd i enlighet med rambeslut 2009/948/RIF, beslutar att koncentrera förfarandena till en medlemsstat genom överföring av straffrättsliga förfaranden, bör sådana överföringar utföras i enlighet med denna förordning.
Begäranden om överföring av straffrättsliga förfaranden omfattar utbyte av personuppgifter och andra uppgifter mellan myndigheterna i medlemsstaterna. Skäl 70 i ingressen till förordningen om överföring av straffrättsliga förfaranden redogör för förordningens förhållande till dataskyddslagstiftningen. Förordningen bildar rättsgrunden för utbyte av personuppgifter i enlighet med artikel 8 och artikel 10 a i dataskyddsdirektivet för brottmål. I enlighet med detta skäl till ingressen tillämpar man även i dessa situationer till övriga delar dataskyddslagen avseende brottmål på behandling av personuppgifter vid Åklagarmyndigheten. Med avvikelse från de andra ovan nämnda rättsakterna preciseras begreppet personuppgiftsansvarig i förordningen. Åklagarmyndigheten betraktas som personuppgiftsansvarig då den är den myndighet som framför en begäran. I det fallet att en begäran om överföring av förfarandet görs eller tas emot via en centralmyndighet, betraktas centralmyndigheten som personuppgiftsbiträde.
Behandlingen av personuppgifter vid Åklagarmyndigheten kan påverkas även av annan unionsrätt, i synnerhet av lagstiftningen kring brottsbekämpning, till exempel om en rättsakt leder till ett behov av att granska tillräckligheten för skyddsåtgärder i anknytning till dataskyddet för parterna i straffprocessen. Direktivet (EU) 2024/1385 om bekämpning av våld mot kvinnor och våld i nära relationer trädde i kraft den 13 juni 2024. Medlemsstaterna ska senast den 14 juni 2027 sätta i kraft de lagar, förordningar och andra administrativa föreskrifter vilka är nödvändiga för att iaktta direktivet. Direktivet innehåller minimiregler på EU-nivå för förebyggande och bekämpning av våld mot kvinnor och familjevåld. Bestämmelserna gäller definition av brott och påföljder, offrens rättigheter, skydd för och stöd till offren, förebyggande samt tidigt ingripande i situationen. Direktivet innehåller vissa bestämmelser som förutom för förundersökningsmyndigheterna kan vara av betydelse även för behandlingen av personuppgifter vid Åklagarmyndigheten. De bestämmelser som är relevanta för skyddet för personuppgifter är till exempel skyldigheterna i anknytning till registrering av ett brottmål och förvaring av bevismaterial samt bedömning av offrets skyddsbehov. Behandlingen av uppgifter enligt direktivet gäller känsliga uppgifter. Direktivet innehåller inte närmare bestämmelser om skyddsåtgärder som gäller dessa och som ska tillämpas på åklagare.
Det finns bestämmelser som är relevanta för behandling av personuppgifter vid Åklagarmyndigheten även i Europaparlamentets och rådets direktiv (2012/29/EU) om fastställande av miniminormer för brottsoffers rättigheter och för stöd till och skydd av dem, nedan brottsofferdirektivet. Brottsofferdirektivet fastställer minimikraven på brottsoffrens rättigheter, stöd och skydd. I det gällande direktivet berörs åklagarna i synnerhet av rättigheterna för ett offer i anknytning till ny handläggning av beslut om åtalseftergift. Direktivet innehåller dock inte egentliga specialbestämmelser om behandling av personuppgifter, vilka tillämpas på behandling av personuppgifter vid Åklagarmyndigheten. Direktivet innehåller dock bestämmelser till exempel om offrets rätt till skydd för privatlivet och om bedömningen av särskilda skyddsbehov, i vilka man beaktar bland annat sårbarheten för sekundär eller upprepad viktimisering, hot eller vedergällning. Även behandling av uppgifter om brottsoffer utifrån brottsofferdirektivet gäller känsliga uppgifter. Europeiska kommissionen gav i juli 2023 ett förslag till ändring av brottsofferdirektivet (COM/2023/424 final). Förslaget innehåller en bestämmelse enligt vilken medlemsstaterna ska säkerställa att en gärningsman inte direkt eller indirekt ges personuppgifter som gäller offret, med vilka gärningsmannen kan fastställa var offret bor eller i övrigt kontakta offret på något sätt. Förhandlingarna om ändringsdirektivet pågår fortfarande.
Europarådets konvention om förebyggande och bekämpning av våld mot kvinnor och av våld i hemmet (Istanbulkonventionen) trädde i kraft den 1 augusti 2015 för Finlands del (lagen om sättande i kraft av de bestämmelser som hör till området för lagstiftningen i Europarådets konvention om förebyggande och bekämpning av våld mot kvinnor och av våld i hemmet (FördrS 52/2015) och förordningen om sättande i kraft av Europarådets konvention om förebyggande och bekämpning av våld mot kvinnor och av våld i hemmet och om ikraftträdande av lagen om sättande i kraft av de bestämmelser i konventionen som hör till området för lagstiftningen (FördrS 53/2015)). Konventionen innehåller bestämmelser om åtalsåtgärder. Istanbulkonventionen har fungerat som referensram även för ovan nämnda direktiv om bekämpning av våld mot kvinnor och våld i nära relationer.
Åklagarna behandlar personuppgifter även i samarbete enligt lagstiftningen om EU:s ämbetsverk, av vilket en del förs inom ramen för det europeiska juridiska nätverket. Europeiska unionens byrå för straffrättsligt samarbete (Eurojust) är ett ämbetsverk i EU som stödjer de nationella undersöknings- och åklagarmyndigheterna i handläggningen av allvarliga gränsöverskridande brottmål. Eurojust sköter det inbördes utbytet av information om undersöknings- och åtalsåtgärder mellan de behöriga myndigheterna i medlemsstaterna. Utbytet av information mellan Eurojust och medlemsstaterna sker via de nationella medlemmarna i medlemsstaterna i EU. Eurojust kan agera på initiativ av en behörig myndighet i en medlemsstat eller Europeiska åklagarmyndigheten (EPPO) eller på eget initiativ. Eurojust utövar dock inte sin befogenhet i fråga om sådana brott där EPPO utövar sin egen befogenhet. EPPO ansvarar för att undersöka brott som skadar unionens ekonomiska intressen och för att åtala och döma dem som begår och är delaktiga i sådana brott. I detta avseende ska EPPO genomföra utredningar samt driva åtal och utöva åklagares uppgifter i medlemsstaternas behöriga domstolar till dess att ärendet har avslutats. EPPO är behörig att utöva den undersöknings- och åtalsbefogenhet som avses i EPPO-förordningen i Finland. Det europeiska rättsliga nätverket används i mål där Eurojust inte är behörigt, det vill säga i andra än allvarliga gränsöverskridande brottmål, till exempel för att utreda den behöriga myndigheten eller den tillämpliga lagstiftningen. I fråga om Åklagarmyndigheten kan förmedling av begäranden om rättshjälp vara förknippade med behandling av personuppgifter, om nätverket utnyttjas för detta ändamål.
Europaparlamentets och rådets förordning (EU) 2018/1727 om Europeiska unionens byrå för straffrättsligt samarbete (Eurojust), och om ersättning och upphävande av rådets beslut 2002/187/RIF (Eurojust-förordningen) innehåller även bestämmelser som ska tillämpas på Åklagarmyndigheten och som är relevanta med tanke på behandlingen av personuppgifter. Enligt Eurojust-förordningen ska nationella medlemmar ha åtkomst till register som används i brottmål eller åtminstone rätt att få uppgifter ur sådana register. Registren ska täcka åtminstone straffregisteruppgifter, förundersökningsuppgifter och DNA-uppgifter, men beroende på det nationella systemet kan även andra register bli aktuella. De nationella medlemmarna har en skyldighet att med stöd av förordningen i stor utsträckning utbyta uppgifter om de grova brott som preciserats i förordningen och som gäller skötseln av Eurojusts uppgifter. Dessa uppgifter kan innehålla även uppgifter som hör till särskilda kategorier av personuppgifter eller som annars är känsliga uppgifter, inklusive ljud- och videoinspelningar. Lagen om Finlands deltagande i verksamheten för Europeiska unionens byrå för straffrättsligt samarbete (Eurojust) (1232/2019) innehåller bestämmelser (7–9 §) om samarbete med de nationella behöriga myndigheterna och rätten för Eurojusts nationella medlem att få information och behandla och lämna ut personuppgifter trots sekretessbestämmelserna till Eurojust samt om beviljande av tillstånd till överföring av personuppgifter till ett tredjeland eller en internationell organisation. I enlighet med 8 § i lagen tillämpas bestämmelserna i 22 § i lagen om Åklagarmyndigheten och straffregisterlagen (770/1993) då det handlar om skötseln av uppgifter enligt Eurojust-förordningen av den nationella medlemmen.
Rådets förordning (EU) 2017/1939 om genomförande av fördjupat samarbete om inrättande av Europeiska åklagarmyndigheten (EPPO-förordningen) innehåller direkt tillämpliga bestämmelser om skyddet för personuppgifter i fråga om behandling av EPPO-personuppgifter. Förordningen innehåller även bestämmelser om samarbetet mellan Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna. Lagen om Finlands deltagande i Europeiska åklagarmyndighetens (EPPO) verksamhet (66/2021) innehåller bestämmelser som i fråga om behandlingen av personuppgifter av åklagarna kompletterar EPPO-förordningen, bland annat i fråga om utlämnande av överskottsinformation och signalement, delgivning av beslut och rätten för den europeiska åklagaren och de europeiska delegerade åklagarna att få information. I enlighet med 14 § i lagen tillämpas vad som i 22 § i lagen om Åklagarmyndigheten föreskrivs om en åklagares rätt att få information också på den europeiska åklagaren och de europeiska delegerade åklagarna när de sköter sina uppgifter enligt EPPO-förordningen. Vad som i lagen om behandling av personuppgifter i polisens verksamhet (616/2019), lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (639/2019), lagen om behandling av personuppgifter inom Tullen (650/2019) och i andra lagar föreskrivs om utlämnande av uppgifter till åklagaren tillämpas också på utlämnande av uppgifter till den europeiska åklagaren och de europeiska delegerade åklagarna när de sköter sina uppgifter enligt EPPO-förordningen. Lagen innehåller även bestämmelser om beviljande av tillgång till ärendehanteringssystemet och beviljande av förhandstillstånd för vidareöverföring av personuppgifter till ett tredjeland eller en internationell organisation.
Dataskyddsdirektivet för brottmål påverkar i princip inte medlemsstaternas eller unionens skyldigheter och åtaganden enligt bilaterala och/eller multilaterala avtal med tredjestater, såvida avtalen inte ändras. I artikel 61 i dataskyddsdirektivet för brottmål föreskrivs att internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer som ingicks av medlemsstaterna före den 6 maj 2016 och som är förenliga med unionsrätten så som den tillämpades före den dagen ska fortsätta att gälla tills de ändras, ersätts eller återkallas. Sådana avtal är till exempel de många avtal om internationell rättshjälp i brottmål i straffprocessen och om utlämning med anledning av brott vilka EU och Finland ingått med tredjeländer.
3.5
Bedömning
Dataskyddslagen avseende brottmål täcker i fråga om åklagarna alla ändamål för behandling av personuppgifter, då det handlar om åtalsprövning och annan åklagarverksamhet i anknytning till ett brott. Det finns inte något behov av att utfärda dubbla bestämmelser om användningsändamålen för personuppgifter. Till den del som det dock är behövligt att använda personuppgifter för ett annat än det ursprungliga insamlingsändamålet, finns det ett behov av att utfärda uttryckliga bestämmelser om detta genom lag.
Dataskyddslagen avseende brottmål möjliggör att man avviker från bestämmelserna i den genom en speciallag, under förutsättning att den dataskyddsnivå som föreskrivs i direktivet bibehålls. Utöver de krav som ställs i de allmänna författningarna ska speciallagstiftning som avviker från bestämmelserna i dataskyddslagen avseende brottmål därtill beakta de krav som följer av grundlagen, EU:s stadga om de grundläggande rättigheterna och de internationella människorättsförpliktelserna. I samband med behandlingen av regeringens propositioner om dataskyddsreformen har grundlagsutskottet sett över sin tolkningspraxis, som gäller den täckning och detaljrikedom som förutsätts av speciallagstiftning som gäller behandling av personuppgifter. Förhållandet mellan de föreslagna bestämmelserna och förpliktelserna i anknytning till de grundläggande fri- och rättigheterna och de mänskliga rättigheterna bedöms i avsnitt 12 i propositionen.
Begränsning av de grundläggande fri- och rättigheterna för parterna i ett brottmål, inklusive skyddet för privatlivet och personuppgifter, äger rum redan då förundersökningsmyndigheten registrerar ett ärende eller anknutna personuppgifter i sitt eget informationssystem. Uppgifter som gäller förundersökning är redan i sig konstitutionellt känsliga, och därtill kan förundersökningsmaterialet innehålla enskilda uppgifter som hör till särskilda kategorier av personuppgifter eller andra känsliga uppgifter. För närvarande registreras inte förundersökningsmaterialet separat av åklagarna, men åklagaren får information om en förundersökning och ärendet överförs till åtalsprövning utifrån bestämmelserna i förundersökningslagen. Längden på processen för åklagarnas del fastställs å andra sidan utifrån den tidpunkt då ett ärende inkommer till åtalsprövning.
På samma sätt som det upphävda personuppgiftsdirektivet är även dataskyddsdirektivet för brottmål avsett att tillämpas såväl på personregister som på all automatiserad behandling av personuppgifter. På samma sätt som dataskyddslagen avseende brottmål tillämpades även personuppgiftslagen (523/1999) på all automatisk behandling av personuppgifter. Personuppgiftslagen har redan tidigare tillämpats på annan än automatiserad behandling av personuppgifter då personuppgifterna bildar eller är avsedda att bilda ett personuppgifter eller en del av det. I syfte att beakta grundlagsutskottets tolkningspraxis har bestämmelser om personregister och det detaljerade uppgiftsinnehållet i dessa i typfallet föreskrivits separat i speciallagstiftning då mer detaljerad reglering har ansetts vara behövlig. Det kan vara befogat att utfärda bestämmelser om personuppgifter med tanke på transparensen och den registrerades rättigheter till exempel i det fallet att åklagarna handlägger personuppgifter som gäller brottmål i flera register. Sådan reglering gäller bland annat för Brottspåföljdsmyndigheten.
Åklagarna behandlar i sig personuppgifter i princip i flera register eller informationssystem. Personuppgifter som anknyter till brottmål ingår dock i huvudsak i samma ärendehanteringssystem som anvisats för brottmål eller i informationsresursen. I fråga om Åklagarmyndighetens behandling av personuppgifter är det därtill inte möjligt att förutse vilka personuppgifter som ingår i ett brottmål eller ett förundersökningsmaterial vilket inkommer för att behandlas av en åklagare. Således är det inte ändamålsenligt att utfärda bestämmelser om ett detaljerat register eller om uppgiftsinnehållet i registret och detta skulle inte ha någon särskild konsekvens som stärker skyddet för personuppgifter på det sätt som dataskyddsdirektivet för brottmål förutsätter.
Dataskyddslagen avseende brottmål leder även till flera krav som gäller informationssäkerheten för till exempel informationssystem, register eller informationsresurser och andra skyddsåtgärder. Dessa skyddsåtgärder är i huvudsak av samma innehåll som i den allmänna dataskyddsförordningen. Dataskyddslagen avseende brottmål innehåller även vissa särskilda krav som beaktar karaktären på ett brottmål, vilka inte ingår i den allmänna dataskyddsförordningen. Dessa är i synnerhet att personuppgifter som gäller olika kategorier av registrerade ska sparas åtskilda från varandra i mån av möjlighet och att detaljerade krav har fastställts för logguppgifter. Utifrån den uppfattning som bildats i regeringens proposition finns det skäl att avhålla sig från specialreglering till den del som särskilda behov inte kan påvisas för sådan, till exempel för att öka transparensen för utövningen av den registrerades rättigheter eller för att utfärda bestämmelser om striktare förutsättningar för behandling.
Med beaktande av det ovan nämnda är det i fråga om Åklagarmyndigheten inte ändamålsenligt att utfärda bestämmelser om det detaljerade uppgiftsinnehållet i ärendehanteringssystemet för brottmål. Utfärdande av bestämmelser om det detaljerade uppgiftsinnehållet i ett informationssystem eller ett register kan dessutom försvåra det tekniska genomförandet av ärendehanteringssystemet för brottmål. En detaljerad beskrivning av uppgiftsinnehållet på lagnivå skulle göra regleringen mer transparent för den registrerade, men utfärdande av täckande och detaljerade bestämmelser om uppgiftsinnehållet stärker inte nödvändigtvis dataskyddet för den registrerade. Med tanke på informationen till den registrerade är det tillräckligt att informera var man registrerat information om ett brottmål och om uppgifternas användningsändamål samt att i dataskyddsbeskrivningen beskriva innehållet i de uppgifter som behandlas. Åklagaruppgifterna är inte heller förknippade med sådana situationer där behandlingen av uppgifter som gäller ett brott kan fortsätta länge utan att parterna och andra personer med anknytning till brottet får information om registreringen av deras personuppgifter. Med tanke på den registrerades rättigheter kan man anse att långt gående begränsningsåtgärder i synnerhet utgörs av sådana situationer, där den registrerades insynsrätt har begränsats, men den registrerade inte är medveten om att ett ärende som gäller honom eller henne har registrerats av den behöriga myndigheten. Av informationshanteringslagen följer en allmän registreringsskyldighet som gäller ärendehanteringen. Beskrivningen av nuläget ovan i fråga om den lagstiftning som tillämpas på åklagaruppgifter, EU-lagstiftningen och de internationella avtalen redogör för att en uttrycklig registreringsskyldighet ingår endast i en enskild rättsakt. Dessa rättsakter leder inte heller till någon noggrannare avgränsad skyldighet för att en registeranteckning ska göras i ett register eller system som uttryckligen anvisats för brottmål.
Behandling av personuppgifter som anknyter till särskilda kategorier av personuppgifter kan förutsätta bestämmelser som är mer detaljerade och mer noggrant avgränsade än i dataskyddslagen avseende brottmål. I fråga om åklagarna är det på grund av ovan nämnda orsaker dock inte heller möjligt att förutse de personuppgifter som hör till särskilda kategorier av personuppgifter och som kan ingå i förundersökningsmaterialet. I speciallagstiftningen för förundersökningsmyndigheterna har man tillåtit behandling av särskilda kategorier av personuppgifter relativt fritt. Således kan det i princip finnas ett behov av att lagra vilka som helst av dessa uppgifter i ärendehanteringssystemet för brottmål. Uppgifter som hör till särskilda kategorier av personuppgifter kan vara till exempel uppgifter om hälsotillståndet hos en person som misstänks för brott eller hos offren. För att beakta behoven av att behandla sådana uppgifter i lag är det ändamålsenligare att utfärda bestämmelser om extra skyddsåtgärder för uppgifter som hör till särskilda kategorier av personuppgifter för att stärka skyddet för uppgifterna. I dataskyddslagen avseende brottmål förutsätts att uppgifterna är nödvändiga, men den innehåller inte närmare bestämmelser om de skyddsåtgärder som ska tillämpas. Inte heller bestämmelserna i informationshanteringslagen om skyldigheterna i anknytning till informationssäkerhet har någon särskild koppling till att det handlar om personuppgifter som hör till särskilda kategorier av personuppgifter eller som i övrigt är känsliga personuppgifter. Det bör även observeras att uppgifter om ett brottmål redan i sig är känsliga uppgifter, utöver att de kan innehålla uppgifter som hör till särskilda kategorier av personuppgifter. Lagen om Åklagarmyndigheten innehåller bestämmelser om åklagarnas tystnadsplikt och tystnadsrätt, men inte andra tillämpliga skyddsåtgärder. Inte heller lagen om justitieförvaltningens nationella informationsresurs innehåller särskilda skyddsåtgärder som ska tillämpas på ärendehanteringssystemet för brottmål.
Under beredningen av propositionen har man därtill bedömt vilka andra situationer än behandling av uppgifter som hör till särskilda kategorier av personuppgifter som i åklagarnas verksamhet kan vara förknippade med högre risker än sedvanligt för skyddet för privatlivet. Man har identifierat att sådana risker anknyter i synnerhet till behandlingen av personuppgifter som gäller vittnen i ett brottmål och polisens informationskällor samt behandlingen av personuppgifter som gäller brottsoffer. Den lagstiftning som berör åklagarna innehåller inte detaljerade bestämmelser om utlämnande av personuppgifter eller andra uppgifter och utlämnande av sådana är inte föremål för särskilda begränsningar. Däremot finns det detaljerade bestämmelser om utlämnande av personuppgifter som behandlas av förundersökningsmyndigheterna utan hinder av sekretessbestämmelserna i de särskilda lagar som gäller för myndigheterna. Dessutom har utlämnandet av kontaktinformation ur allmänoffentliga register ofta begränsats genom lag. Lagen om Åklagarmyndigheten innehåller inte heller särskilda bestämmelser om skyddsåtgärder vilka ska tillämpas på behandling av sådana uppgifter. I synnerhet brottsvittnen och brottsoffer, men ibland även brottsmisstänkta kan vara utsatta för hot och olika former av repressalier, vilka kan vara svåra att förutse. Om kontaktinformationen når en brottsmisstänkt eller utomstående som planerar hot eller våldsdåd kan det omintetgöra målen att skydda dessa personer till exempel genom straffprocessuella metoder. Polisens utredning om verksamhetsmiljön redogör för att hoten mot målsäganden och vittnen i en straffprocess har ökat (Polisen Verksamhetsmiljöanalys, del I/2 (yttre verksamhetsmiljö), på finska, presentationsblad på svenska). Hot kan anknyta till exempelvis våld i nära relationer och organiserad brottslighet.
Direktivet om bekämpning av våld mot kvinnor och våld i nära relationer och det ändrade brottsofferdirektivet som utfärdas inom kort innehåller flera skyddsåtgärder även i fråga om behandlingen av personuppgifter. I synnerhet brottsofferdirektivet kommer att förutsätta att utlämnandet av ett offers kontaktinformation begränsas. Bestämmelserna i direktivet räcker dock inte för att täcka kontaktinformationen för andra parter eller vittnen i brottsprocessen. Även om en part eller ett vittne i en straffprocess har möjlighet att själv begära att egen kontaktinformationen hemlighålls och ställa förbud mot utlämnande av uppgifter i befolkningsdatasystemet, garanterar dessa åtgärder inte något sömlöst skydd. I synnerhet förbud som ställts i befolkningsdatasystemet, med undantag för spärrmarkeringar, förmedlas inte vidare till de andra myndigheternas system.
Med tanke på den registrerades rättigheter innebär medvetenheten om att ett ärende är anhängigt även att den registrerade kan utöva sina rättigheter direkt eller via dataskyddsombudet i enlighet med bestämmelserna i dataskyddslagen avseende brottmål och förvissa sig om att behandlingen av personuppgifter är lagenlig. En registrerad har även tillgång till andra rättsmedel. I det skede då förundersökningsmaterialet färdigställs och överförs till åtalsprövning, är parterna i brottmålet medvetna om ärendet och åklagarens åtgärder i sig leder inte till sådana åtgärder som begränsar de grundläggande fri- och rättigheterna, vilka är av större betydelse än de begränsningar som följer av förundersökningen eller tvångsmedlen. I fråga om behandling av personuppgifter i anknytning till åklagarnas uppgifter har de registrerades rättigheter inte begränsats separat utöver vad som föreskrivs i dataskyddslagen avseende brottmål. Under beredningen av propositionen framkom inte, med undantag för begränsningen av utlämnande av kontaktinformation, behov av att utfärda bestämmelser om extra begränsningar för att trygga intressena i straffprocessen.
I skedet med en preliminär utredning före beredningen av regeringens proposition gjordes en övergripande genomgång av bestämmelserna om åklagarnas rätt att få och lämna ut uppgifter. De gällande bestämmelserna i informationsresurslagen kan orsaka tolkningsoklarheter i fråga om vem som har rätt att lämna ut uppgifter ur systemet, eftersom ärendehanteringssystemet för brottmål är kopplat till justitieförvaltningens nationella informationsresurs, även om det ärendehanteringssystem för brottmål som Åklagarmyndigheten använder tekniskt sett är ett separat system. Det finns ett behov av att förtydliga nuläget. Till övriga delar har inga tydliga brister identifierats i åklagarnas rätt att få och lämna ut uppgifter.
Under beredningen har man därtill bedömt åklagarnas rätt att behandla personuppgifter för andra än de ursprungliga behandlingsändamålen. Dataskyddslagen avseende brottmål skapar en rättsgrund för åklagarnas rätt att behandla personuppgifter i åtalsprövningen och åklagarens övriga brottsrelaterade verksamhet. I enlighet med 11 § i informationsresurslagen får en jusitieförvaltningsmyndighet dessutom utan hinder av sekretessbestämmelserna använda uppgifter som den sparat i informationsresursen i skötseln av dess lagstadgade uppgifter i enlighet med uppgifternas användningsändamål. Bestämmelserna i 4 § i den gällande dataskyddslagen möjliggör att personuppgifter behandlas för att sköta en uppgift som gäller ett allmänt intresse då det handlar om ett annat behov av att behandla personuppgifter än ett behov som omfattas av tillämpningsområdet för dataskyddslagen avseende brottmål. Dessa bestämmelser är i princip tillräckliga för att täcka åklagarnas och även de andra myndigheternas behov av att behandla personuppgifter i skötseln av de egna uppgifterna åtminstone till den del som det handlar om behandling av personuppgifter i ett ändamål som är kompatibelt med det ursprungliga insamlingsändamålet för dessa. Bestämmelserna i synnerhet i dataskyddslagen avseende brottmål och informationsresurslagen, vilka betonar kravet på bundenhet till användningsändamålet, ser dock ut att begränsa rätten för åklagarna och andra justitieförvaltningsmyndigheter att behandla personuppgifter som de lagrat i informationsresursen för ändamål som avviker från det ursprungliga användningsändamålet. Behandlingsbehoven kan anknyta exempelvis till planerings- och utvecklingsuppgifter som gäller en myndighets verksamhet eller tillsynsändamål.
6
Remissvar
Utkastet till regeringsproposition var på remiss mellan den 25 november 2025 och den 13 januari 2026 och myndigheterna på Åland bereddes ett separat tillfälle att avge yttranden om det svenskspråkiga utkastet till regeringsproposition efter att det färdigställts. Ett utlåtande gavs av Föreningen för undersökande journalistik rf, justitiekanslern i statsrådet, Oikeustoimittajat ry, Polisstyrelsen, Suomen Asianajajat (Finlands Advokater), Suomen syyttäjäyhdistys ry, Tullen, riksdagens justitieombudsman, Rättsregistercentralen, och Ålands landskapsregering.
Det gemensamma personuppgiftsansvaret för informationsresursen
I utlåtandena understöddes den föreslagna lösningen som gäller gemensamt personuppgiftsansvar och inga ändringar föreslogs i fråga om det. I sitt utlåtande ansåg justitiekanslern dock att det var motiverat att lagen innehåller bestämmelser även om vilken gemensamt personuppgiftsansvarig som fungerar som kontaktpunkt för de registrerade. Den allmänna dataskyddsförordningen och dataskyddsdirektivet för brottmål möjliggör i sig att kontaktpunkten för de registrerade preciseras på lagnivå. I fråga om den lösning som gäller det föreslagna gemensamma personuppgiftsansvaret är preciseringen dock inte enkel, med beaktande av de väldigt olika situationerna där personuppgiftsansvaret delas. För de registrerade är det viktigaste att de personuppgiftsansvarigas dataskyddsbeskrivningar redogör för vem den registrerade kan kontakta. Vid behov kan en myndighet överföra ärendet för behandling av en annan personuppgiftsansvarig i enlighet med förvaltningslagen. Vid den fortsatta beredningen av propositionen beslöt man sig för att den bestämmelse i dataskyddslagen vilken nämns i justitiekanslerns utlåtande är tillräcklig för att ålägga de personuppgiftsansvariga att utse en kontaktpunkt. Även den allmänna dataskyddsförordningen möjliggör att en kontaktpunkt utses direkt med stöd av förordningen. Detta har förtydligats i specialmotiveringen.
I sitt utlåtande lyfte Rättsregistercentralen fram att den föreslagna rollen som personuppgiftsansvarig för Domstolsverket avviker från rollerna för de andra personuppgiftsansvariga inom justitieförvaltningen. I utlåtanden föreslogs till denna del inte preciseringar av utkastet till proposition, men uppmärksamhet riktades på att den roll som avviker från rollen för de andra personuppgiftsansvariga vid Domstolsverket ska beaktas i de preciserande avtalen mellan de personuppgiftsansvariga. Ett omnämnande om detta har lagts till motiveringarna.
Bestämmelserna skyddsåtgärder
Även bestämmelserna skyddsåtgärder understöddes i utlåtandena (till exempel Finlands Advokater, Suomen syyttäjäyhdistys ry). Suomen syyttäjäyhdistys ry understödde i sitt utlåtande de föreslagna lagändringarna, men ansåg att den föreslagna raderingstiden på fem år delvis var problematisk. De eventuella problemen gäller sådana brottmål, där svarandena har en lång brottshistoria som inte framgår endast ur straffregistret. Enligt utlåtandet ska man dessutom trygga åklagarnas rättsskydd med beaktande av den särskilda preskriptionstiden för tjänstebrott, vilken börjar räknas senare än preskriptionstiden för ett brottmål. På motsvarande sätt kan preskriptionstiden för ett tjänstebrott av en åklagare upphöra senare än fem år efter att ett en dom i ett brottmål vunnit laga kraft. Suomen syyttäjäyhdistys ry ansåg att det var viktigt att alla åtalsprövningsavgöranden av åklagarna förblir tillgängliga för åklagarnas bruk i oförändrad form. Det finns behov av fortsatt reflektion kring i vilken omfattning och till vilka kostnader detta kan tryggas. Enligt utlåtandet finns det inte något behov av att förvara precis allt. Vid den fortsatta bedömningen bedömdes behovet av att komplettera 11 § i informationsresurslagen och propositionen har kompletterats till denna del. Det krav på ändamålsbegränsning som föreskrivits i paragrafen i fråga och som lyftes fram i utlåtandet av Suomen syyttäjäyhdistys ry och det motsvarande kravet i dataskyddslagen avseende brottmål begränsar ändamålen för att kunna använda uppgifter som sparats i informationsresursen. Behandlingsbehov som avviker från det ursprungliga användningsändamålet för personuppgifter kan även förekomma hos andra justitieförvaltningsmyndigheter. Den gällande paragrafen är förknippad med tolkningsoklarhet i fråga om utnyttjande av egna uppgifter som gäller alla myndigheter inom justitieförvaltningen.
I sitt utlåtande riktade Rättsregistercentralen å sin sida uppmärksamhet på en teknisk aspekt som gäller en förvaringstid på fem år. Om en uppgift raderas från Åklagarmyndighetens register efter fem år i enlighet med raderingsregeln, så raderas den de facto på samma gång även från justitieförvaltningens nationella informationsresurs. I utlåtandet bedömdes att detta torde vara problematiskt även för Åklagarmyndigheten med tanke på det framtida gemensamma personuppgiftsansvaret för informationsresursen, eftersom raderingstiden på tio år i informationsresurslagen framöver torde tillämpas även på Åklagarmyndigheten som gemensamt personuppgiftsansvarig.
I sitt utlåtande föreslog Polisstyrelsen å sin sida att bestämmelsen ändras på så sätt att de föreslagna bestämmelserna inte påverkar de uppgifter som ska arkiveras. I utlåtandet framlyfte man till denna del den terminologiska skillnad som gjorts mellan förvaring och arkivering i förarbetena till informationshanteringslagen.
Den föreslagna bestämmelsen om radering av uppgifter ur ärendehanteringssystemet för brottmål har reviderats under den fortsatta beredningen på så sätt att uppgifterna ska raderas senast inom tio år från det att ett ärende avgjorts. Det är möjligt att man på grund av orsaker relaterade till informationssystemet blir tvungen att snabbare radera uppgifterna och spara dem i ett separat system eller i en lagringsdatabas. På grund av detta har raderingsbestämmelsen skrivits i en flexibel form. Detta påverkar dock inte hur länge uppgifterna kan hämtas ur informationsresursen och användas för andra än de ursprungliga användningsändamålen för informationsmaterialet. I motiveringarna har man preciserat förhållandet mellan de föreslagna bestämmelserna och informationsresurslagen och informationshanteringslagen samt arkiveringsskyldigheterna.
Den föreslagna bestämmelsen om sekretessbeläggning av personbeteckningen och kontaktinformationen för parterna i en straffprocess mötte kritik i utlåtandena. Oikeustoimittajat ry och Föreningen för undersökande journalistik rf motsatte sig ändringen och ansåg att förslaget var problematiskt i fråga om personbeteckningen med tanke på tillgodoseendet av offentlighetsprincipen och det journalistiska arbetet. I utlåtanden kritiserades även att bestämmelsen placeras i lagen om Åklagarmyndigheten. Riksdagens justitieombudsman, justitiekanslern och Polisstyrelsen riktade uppmärksamhet på att någon motsvarande sekretessbeläggning inte föreskrivits för andra myndigheter. Dessa remissinstanser ansåg att ärendet snarare ska lösas i samband med totalreformen av offentlighetslagen. Suomen syyttäjäyhdistys ry ansåg dock att den föreslagna bestämmelsen är behövlig.
På grund av de orsaker som lyfts fram i remissvaren har sekretessbestämmelsen slopats under den fortsatta beredningen och ersatts med en bestämmelse om begränsning som gäller kontaktinformation. Personbeteckningen har avlägsnats från förslaget. På ett som motsvarar nuläget tillämpas bestämmelserna i dataskyddslagstiftning på skyddet av den. På samma gång har man förtydligat att begränsningen anknyter till kontaktinformation som sparats separat i ärendehanteringssystemet för brottmål och att det inte påverkar offentligheten för andra uppgifter och handlingar.
Förslaget har delvis ett samband med kommissionens förslag om ändring av brottsofferdirektivet, vilket innehåller ett krav på skydd av ett brottsoffers kontaktinformation. Det var dock inte möjligt att beakta dess slutliga ordalydelse ännu i det utkast till regeringsproposition som var på remiss. I synnerhet genomförandet av brottsofferdirektivet kommer sannolikt att förutsätta att utlämnandet av brottsoffrens kontaktinformation begränsas. I ljuset av kommissionens förslag tillgodoser å andra sidan inte bestämmelserna i brottsofferdirektivet alla skyddsbehov i ärendehanteringssystemet för brottmål. I den förslagna paragrafen har man beaktat behovet av att skydda även hälsan och säkerheten för andra parter i straffprocessen vilka är utsatta för hot. I och med ändringen påverkar de föreslagna bestämmelserna inte heller sekretessen för uppgifterna, och journalisternas möjligheter att få Åklagarmyndighetens handlingar och kombinera uppgifterna till exempel för grävande journalistik.
Behovet av att skydda kontaktinformation för personer med anknytning till ett brottmål kan gälla även andra myndigheter, men den föreslagna bestämmelsen om begränsning av utlämnande av kontaktinformation skulle vara informationssystemspecifik. Det särskilda behovet av en bestämmelse orsakas av aspekter som hänför sig till utlämnande av uppgifter ur befolkningsdatasystemet. Den skulle påverka myndigheternas möjligheter att skydda eller hemlighålla uppgifter med stöd av den övriga lagstiftningen. Eftersom den föreslagna bestämmelsen om begränsning av utlämnande av uppgifterna är en av propositionens mest centrala skyddsåtgärderna för att skydda sårbara grupper av registrerade, med beaktande av i synnerhet utbredningen av hot mot parterna i en straffprocess, har det under den fortsatta beredningen ansetts vara behövligt att inkludera den redan i denna proposition. Enligt remissvaret är det dock ändamålsenligare att beakta de andra myndigheternas behov och eventuella behov av att utvärdera sekretessbestämmelserna i projektet för att genomföra brottsofferdirektivet eller i samband med arbetet med att reformera offentlighetslagen för att säkerställa att regleringen är så enhetlig som möjligt för alla myndigheter med anknytning till straffprocessen.
I Polisstyrelsens utlåtande riktades uppmärksamhet på skyldigheten att registrera förundersökningsmaterial. Polisstyrelsen föreslog att bestämmelsen ändras till den form i vilken förundersökningsmaterial förvaras tekniskt sett på lagringsplattformen eller i databehandlingsmiljön. I utlåtandet nämndes den offentliga förvaltningens säkerhetsnät som exempel på informationsbehandlingsmiljö. Man har strävat efter teknikneutralitet i de föreslagna bestämmelserna. Det mest centrala för den registrerades rättigheter och rättsskyddet utgörs i enlighet med tolkningspraxis för Europeiska människorättskonventionens av skyldigheterna i anknytning till registrering och skyldigheterna att förvara vissa uppgifter åtskilda. Däremot ger en precisering av lagringsplattformen för förundersökningsmaterial i lagen inte mervärde med tanke på tillgodoseendet av dessa rättigheter.
I sitt utlåtande riktade Tullen uppmärksamhet på den föreslagna bestämmelsen som gäller registrering av uppgifter om informationskällor. I utlåtandet anmärkte man att utkastet till proposition i fråga om informationskällor innehöll en hänvisning endast till polisens informationskällor. Tullen föreslog att det övervägs om det i bestämmelsen ska beaktas om även Tyllen i egenskap av förundersökningsmyndighet har informationskällor med stöd av 39 § i lagen om brottsbekämpning inom Tullen (623/2015). Paragrafens har kompletterats med en hänvisning till 39 § i lagen och till 36 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018).
Övriga observationer
I sitt utlåtande riktade Rättregistercentralen uppmärksamhet på skyldigheten enligt 6 § i den gällande informationsresurslagen att lämna uppgifter till informationsresursen. Rättsregistercentralen riktade uppmärksamhet på att skyldigheten att lämna uppgifter gäller endast systemet för avgöranden och meddelanden om avgöranden i egenskap av ett delsystem av informationsresursen. Rättsregistercentralen ansåg att det var motiverat att skyldigheten att lämna uppgifter täcker även systemet för behandling av diarie- och ärendehanteringsuppgifter som ett delsystem. Detta delsystem av informationsresursen har en central ställning med tanke på Rättsregistercentralens funktioner, såsom utlämnande av uppgifter och därmed även skyddet för personuppgifter. Detta ärende har bedömts under den fortsatta beredningen. Den föreslagna ändringen skulle inte nödvändigtvis ha signifikativa konsekvenser för informationssystemen eller kostnadskonsekvenser. Ändringen skulle dock påverka den systematik som tillägnats i informationsresurslagen och således är det inte ändamålsenligt att föreslå en sådan i denna regeringsproposition. Det kan finnas ett behov av att överväga förslaget i ett annat eventuellt projekt som gäller ändring av informationsresurslagen, med beaktande av eventuella problem och andra krav som följer av lagstiftningen. Under beredningen framkom även andra synpunkter som motiverar ett behov av en mer omfattande bedömning av informationsresurslagen. Det var inte möjligt att beakta dessa i denna proposition, med beaktande av avsikten om att fokusera på de bestämmelser som är de mest centrala för personuppgiftsansvaret och den personuppgiftsansvariges uppgift.
Dessutom riktade justitiekanslern uppmärksamhet på vissa behov av att komplettera motiveringarna beträffande informationssystemen. Dessa gäller i synnerhet det tekniska förhållandet mellan de informationssystem som hör till informationsresursen enligt lagen och informationsresursen. Motiveringarna i propositionen har kompletterats till denna del.
I fråga om 14 § 2 mom. i den gällande informationsresurslagen föreslog Rättregistercentralen i sitt utlåtande att man till det fogar ett omnämnande om att Rättsregistercentralen kan överföra en begäran om information till den berörda myndigheten, om den gäller ett ärende som är anhängigt hos rättshjälpsbyrån, Åklagarmyndigheten eller en domstol. Detta är möjligt även med stöd av offentlighetslagen, men genom att foga ett omnämnande om anhängiga ärenden är bestämmelsen mer informativ och den beskriver på ett bättre sätt även informationsinnehållet i informationsresursen. Förslaget har bedömts i ljuset av förarbetena till momentet i fråga och de föreslås att momentet preciseras. Avsikten med bestämmelsen har även varit att täcka anhängiga ärenden och i ljuset av det är den gällande ordalydelsen misslyckad. Den föreslagna ändringen är även motiverad med tanke på målen för de föreslagna bestämmelserna som stärker dataskyddet. Rättsregistercentralen överför i synnerhet begäranden som gäller Åklagarmyndighetens uppgifter för att behandlas av Åklagarmyndigheten, oberoende av om ärendena är pågående eller redan avgjorda.
Justitiekanslern ansåg därtill att det var befogat att man i ståndpunkten till lagstiftningsordningen i slutet av utkastet ännu hänvisar uttryckligen till de punkter på grund av vilka det anses vara önskvärt att grundlagsutskottet avger ett utlåtande om propositionen. I motiveringarna till lagstiftningsordningen har man förtydligat att den reglering som föreslås i propositionen i fråga om detaljrikedom och omfattning avviker från grundlagsutskottets tidigare tolkningspraxis i en regleringskontext där det finns ett känsligt samband med de grundläggande fri- och rättigheterna. Detta gäller i synnerhet lagförslag 1, som väsentligt avviker från de andra lagarna som gäller de behöriga myndigheterna i brottmål och som godkänts med grundlagsutskottets medverkan. På grund av detta finns det ett behov av ett utlåtande av grundlagsutskottet.
7
Specialmotivering
7.1
Lagen om Åklagarmyndigheten
4 kap. Särskilda bestämmelser
22 a §.Registrering av brottmål. Det föreslås att nya22 a § fogas till lagen. Paragrafen innehåller bestämmelser om skyldigheten att registrera brottmål. Paragrafen kompletterar bestämmelserna i dataskyddslagen avseende brottmål till den del som det handlar om det ändamål för behandling av personuppgifter vilket föreskrivits i 1 § 1 mom. 2 punkten i lagen. I enlighet med denna punkt gäller registreringsskyldigheten endast de ärenden som handlar om åklagarens förfarande i anknytning till ett brott.
I paragrafens 1 mom. stipuleras att utöver vad som i 25 och 26 § i lagen om informationshantering inom den offentliga förvaltningen (906/2019) föreskrivs om registrering av ärenden ska Åklagarmyndigheten se till att de ärenden som räknas upp i momentet registreras utan dröjsmål i ärendehanteringssystemet för brottmål. Registreringsskyldigheten enligt momentet gäller underrättelser från förundersökningsmyndigheter om brott som kommit för undersökning samt ärenden som kommit för åtalsprövning (1 punkten), brottmål där Europeiska åklagarmyndigheten kan utöva behörighet (2 punkten) och andra än i 1 och 2 punkten avsedda brottmål som Åklagarmyndigheten ska handlägga (3 punkten). Ärendekategorin enligt 1 punkten i momentet innehåller även förundersökningsmyndighetens anmälningar om ärenden där den som misstänks för brott är en polisman och där åklagaren fungerar som undersökningsledare. Momentets 2 punkt handlar om de brottmål som avses i artikel 24 i EPPO-förordningen, vilka anmäls till Europeiska åklagarmyndigheten. Anmälningen och de uppgifter som ska inkluderas i en anmälan regleras med ingående i artikel 24 i förordningen och i 7 § i lagen om Finlands deltagande i Europeiska åklagarmyndighetens verksamhet. Momentets 3 punkt täcker andra ärenden som handlar om åklagarverksamheten enligt 1 § 2 punkten i dataskyddslagen avseende brottmål. Tillsvidare har man inte gjort någon närmare bedömning av till vilken del de nya skyldigheter som följer av brottsofferdirektivet och som nämnts ovan i beskrivningen av nuläget gäller för åklagarna, men det redan antagna direktivet om bekämpning av våld mot kvinnor innehåller skyldigheter att registrera våldsbrott mot kvinnor. Momentets 3 punkt kan täcka även dessa skyldigheter till den del som de gäller åklagarna.
I fråga om brottmål kompletterar momentet skyldigheten att registrera ärenden enligt informationshanteringslagen, vilken generellt gäller för alla ärenden som inkommer för att behandlas av en myndighet samt bestämmelserna i informationsresurslagen. Momentet gäller inte registrering av andra än brottmål. Förundersökningslagen innehåller bestämmelser om registreringsskyldigheten för en anmälan om brott, som gäller för förundersökningsmyndigheten, men inte för åklagarna. Tidpunkten för registreringen av ett ärende är avgörande för att fastställa längden på straffprocessen i ett brottmål och för tillgodoseendet av det straffprocessuella rättigheterna. Å andra sidan är den tidpunkt då ett ärende inkommit för åtalsprövning avgörande för längden på åtalsprövningen. På grund av detta görs en anteckning även om detta enligt den föreslagna bestämmelsen. Med tanke på en registrerad är det i ljuset av de mänskliga rättigheterna och de grundläggande fri- och rättigheterna betydelsefullt till exempel i vilken situation och i vilket myndighetsregister uppgifter om en registrerad kan införas i ett enskilt ärende. Med beaktande av registreringens konsekvenser för rättigheterna för parterna i en enskild straffprocess, fogas till lagen en allmänt tillämplig skyldighet som är mer detaljerad än registreringsskyldigheten, i vilken det preciseras att ett ärende ska registreras utan dröjsmål i ett system som uttryckligen anvisats för brottmål och som används hos hela Åklagarmyndigheten. I enlighet med artikel 6 i dataskyddsdirektivet för brottmål och 8 § 1 mom. i dataskyddslagen avseende brottmål samt Europadomstolens tolkningspraxis är det även relevant att uppgifter som personer som saknar koppling till ett brottmål inte lagras i samma system.
Momentet avser det nuvarande ärende- och dokumenthanteringssystemet (AIPA) som används av Åklagarmyndigheten och som hösten 2024 ersatt behandlings- och ärendehanteringssystemet för brottmål (Sakari), som tidigare delvis använts för detta ändamål. AIPA infördes fullt ut hösten 2025 hos Åklagarmyndigheten. I Åklagarmyndighetens dataskyddsbeskrivning hänvisar namnet ”registret för brottmål” till detta samma system. Momentet är dock teknikneutralt, och det uttryck som används i det förutsätter inte någon lagändring i det fallet att AIPA senare ersätts med något annat system.
Åklagarmyndighetens brottmål har tidigare registrerats och behandlats genom systemet Sakari. Varje distrikt som lyder under Åklagarmyndigheten och riksåklagarens byrå haft en egen separat Sakari-databas. Polisbrottmål har å sin sida införts i den separata databasen Sakari. Summariska bötesärenden som ska behandlas vid Åklagarmyndigheten har behandlats i systemet AIPA redan före hösten 2025. Ärenden som gäller ändringsprövning, sökande av ändring hos högsta domstolen, åklagarförelägganden och brott mot yttrandefriheten vilka behandlas vid riksåklagarens byrå registreras i det administrativa diariet i riksåklagarens byrå.
AIPA är en del av justitieförvaltningens nationella informationsresurs, som regleras i informationsresurslagen. Bestämmelserna om informationssystem i informationsresurslagen är av allmän karaktär och de innehåller inte tillräckligt detaljerade bestämmelser med tanke på brottmålens känsliga karaktär, till exempel om registrering av, förvaringstider för och användning av personuppgifter, vilka Europadomstolen hänvisat till i sin rättspraxis. Informationsresurslagen innehåller på allmän nivå bestämmelser om användning och utlämnande av uppgifter i informationsresursen. Informationsresurslagen innehåller även en bestämmelse som ska tillämpas allmänt på personuppgifter. Enligt den ska Rättsregistercentralen radera personuppgifter ur registret över avgöranden och meddelanden om avgöranden och ur rikssystemet för behandling av diarie- och ärendehanteringsuppgifter inom tio år från det att ärendet har avgjorts. Lagen om Åklagarmyndigheten innehåller inte bestämmelser om register eller registrering av uppgifter. Eftersom kraven på dataskydd i dataskyddslagen avseende brottmål i stor utsträckning är av samma innehåll som i dataskyddsförordningen, avgränsas specialbestämmelserna om registrering av personuppgifter till de situationer där det är behövligt att stärka den registrerades skydd eller rättsskydd, med hänsyn till de krav som följer av skyldigheterna i anknytning till de grundläggande fri- och rättigheterna och de mänskliga rättigheterna samt kraven i direktivet.
Utöver att åklagarna behandlar ärenden som gäller brott, kan förundersökningsmaterial som behandlas av åklagarna av någon annan orsak innehålla känsliga uppgifter, som i princip fortfarande omfattas av de krav på bestämmelser på lagnivå och detaljrikedom vilka framgår av grundlagsutskottets tolkningspraxis. Åklagarna måste dock behandla det förundersökningsmaterial som polisen överlämnat i oförändrad form och det vore omöjligt att begränsa behandlingen av det i den lagstiftning som gäller åklagarna. Sådan registrering som ingriper i skyddet för privatlivet och som avses av Europadomstolen sker ursprungligen antingen i samband med registreringen av en anmälan om brott eller redan i det tidigaste skedet av förundersökningsmyndighetens åtgärder, under den så kallade preliminära utredningen eller i form av inhämtning av kriminalunderrättelser. Även om åklagarna registrerar brottmål som anhängiggörs hos Åklagarmyndigheten, är det i fråga om åklagarna inte värst ändamålsenligt att utfärda detaljerade bestämmelser om de personuppgifter som ska registreras, eftersom definitionen av personuppgift är bred och det är omöjligt att förutse de enskilda personuppgifter som ingår i förundersökningsmaterialet. En detaljerad förteckning över personuppgifter är typisk registerreglering och en sådan är inte ägnad att stärka dataskyddet för den registrerade utan att man på samma gång utfärdar bestämmelser om förutsättningar för registrering och annan behandling vilka är av samma nivå som i eller striktare än i dataskyddslagen avseende brottmål. I fråga om åklagarna är det ändamålsenligare att utfärda bestämmelser om de uppgiftskategorier som ska registreras och stärka skyddet för personuppgifter i fråga om synnerligen känsliga uppgifter.
Enligt paragrafens 2 mom. ska Åklagarmyndigheten utan dröjsmål också registrera förundersökningsmaterial som förundersökningsmyndigheter har lämnat in för åtalsprövning eller för ett i lagen om föreläggande av böter och ordningsbot (754/2010) avsett föreläggande. Bestämmelsen innehåller inte något ställningstagande till i vilket förundersökningsmaterial registeranteckningarna ska göras och inte heller till på vilken lagringsplattform förundersökningsmaterialet tekniskt sett ska förvaras. Genom registeranteckningarna säkerställs att materialet kan slås samman med det brottmål som det gäller.
I paragrafens 3 mom. beaktas behovet av att trygga förundersökningen i de situationer där det ärende som ska registreras eller förundersökningsmaterialet ska sekretessbeläggas. Om ett ärende eller material som i enlighet med 1 eller 2 mom. ska registreras och som enligt lag är sekretessbelagt, ska det i samband med registreringen ses till att ärendet eller materialet är försett med behövliga anteckningar om sekretess. Bestämmelserna påverkar inte till vilken del ett ärende eller ett material ska sekretessbeläggas, utan detta fastställs utifrån offentlighetslagen eller sekretessbestämmelserna i någon annan lag. Genom bestämmelserna betonas att sekretessanteckningarna ska göras direkt i samband med registreringen. I egenskap av extra skyddsåtgärd kompletterar det föreslagna momentet bestämmelserna i 23 § i lagen om Åklagarmyndigheten om tystnadsplikten och tystnadsrätten för Åklagarmyndighetens personal och bestämmelserna i 32 § i dataskyddslagen avseende brottmål om skydd för personuppgifter i automatisk behandling.
I paragrafens 4 mom. preciseras att Åklagarmyndigheten är personuppgiftsansvarig för personuppgifter i brottmål och förundersökningsmaterial vilka den registrerat på grundval av 1 och 2 mom. Preciseringen påverkar inte förundersökningsmyndigheternas personuppgiftsansvar, utan den preciserar när Åklagarmyndigheten tidsmässigt sett ansvarar för lagenligheten i till exempel behandling av personuppgifter som ingår i förundersökningsmaterial. Enligt momentet tillämpas på personuppgiftsansvar därtill vad som föreskrivs i 7 § i informationsresurslagen. I praktiken handlar det om material som innehas av Åklagarmyndigheten, vilket till exempel överförts från polisen eller i övrigt behandlas av Åklagarmyndigheten automatiskt. Momentet innehåller även en materiell hänvisningsbestämmelse till informationsresurslagen. Bestämmelsen behövs för att tydliggöra att informationsresurslagen därtill i fråga om Åklagarmyndigheten och andra myndigheter som använder informationsresursen innehåller bestämmelser som kompletterar personuppgiftsansvaret, vilka gäller den nationella informationsresursen. Dessutom innehåller 4 mom. en informativ hänvisningsbestämmelse till dataskyddslagen avseende brottmål, vilken innehåller bestämmelser om de krav som till övriga delar ska iakttas i behandlingen av personuppgifter och som gäller den personuppgiftsansvarige. Genom den informativa hänvisningsbestämmelsen genomförs kravet i artikel 8 i dataskyddsdirektivet för brottmål.
22 b §.Skyddsåtgärder för registrerades rättigheter. Det föreslås att nya 22 b § fogas till lagen. Paragrafen innehåller bestämmelser om extra skyddsåtgärder som anknyter till tryggandet av den registrerades rättigheter. I paragrafens 1 mom. föreskrivs att utöver vad som föreskrivs i 8 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ska Åklagarmyndigheten vid registrering av personuppgifter om parterna i ett brottmål se till att uppgifter om en sådan skyddad person som avses i lagen om vittnesskyddsprogram (88/2015) förvaras åtskilda från uppgifter om andra kategorier av registrerade och att uppgifterna i fråga skyddas genom tillbörliga tekniska åtgärder för att säkerställa att endast de personer som behöver behandla uppgifterna för att sköta brottmålet i fråga har åtkomst till dem. Bestämmelsen innehåller dock inte något närmare ställningstagande till var och på vilket sätt uppgifterna tekniskt sett ska förvaras. I 24 § 28 punkten i offentlighetslagen har det föreskrivits att uppgifter som sparats i ett register som gäller program för vittnesskydd och andra uppgifter som gäller ett program för vittnesskydd ska sekretessbeläggas.
Genom punkten görs en avvikelse från 8 § 1 mom. i dataskyddslagen avseende brottmål, vilket förutsätter att den personuppgiftsansvarige vid behov och så långt det är möjligt ska göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. För att skydda de personuppgifter som avses i paragrafen tillämpas i övrigt i synnerhet kraven i 19, 31 och 32 § i dataskyddslagen avseende brottmål. Genom det föreslagna momentet genomförs artikel 6 d i dataskyddsdirektivet för brottmål genom att utfärda bestämmelser om en högre nivå på dataskyddet än i direktivet och dataskyddslagen avseende brottmål i fråga om de ifrågavarande uppgifterna om vittnen.
Paragrafens 2 mom. innehåller en bestämmelse om skydd av informationskällor. Enligt momentet får uppgifter om i 5 kap. 40 § i polislagen (872/2011), 36 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet, 3 kap. 39 § i lagen om brottsbekämpning inom Tullen och i 10 kap. 39 § i tvångsmedelslagen (806/2011) avsedda personer inte registreras i det ärendehanteringssystem för brottmål som avses i 22 a § i denna lag. Dessa bestämmelser avser en person utanför myndigheterna, vilken fungerar som informationskälla för polisen, Gränsbevakningsväsendet eller Tullen. Uppgifter som gäller informationskällor ingår i sådana i 24 § 4 punkten i offentlighetslagen avsedda register som förs av en förundersökningsmyndighet och som är sekretessbelagda. Användning av en informationskälla är förknippad med ett särskilt behov av att säkerställa hans eller hennes säkerhet.
Genom det föreslagna momentet görs en avvikelse från 8 § 1 mom. i dataskyddslagen avseende brottmål, enligt vilken den personuppgiftsansvarige vid behov och så långt det är möjligt ska göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. I motsats till huvudregeln i dataskyddslagen avseende brottmål, lämnar specialbestämmelsen inte något utrymme för prövning för den personuppgiftsansvarige, utan personuppgifter om informationskällor ska alltid förvaras åtskilda från andra personuppgifter i anknytning till brottmålet. Det föreslagna momentet stärker således dataskyddet för personer som används som informationskällor i enlighet med det nationella handlingsutrymmet och stärker på samma gång även deras personliga säkerhet. Även genom denna bestämmelse genomförs artikel 6 d i dataskyddsdirektivet för brottmål i fråga om registrerade som fungerar som informationskällor. Den nivå på dataskyddet vilken är högre än vad som förutsätts i direktivet behövs för den personliga säkerheten för personer som fungerar som informationskällor.
Paragrafens 3 mom. innehåller en bestämmelse av allmän karaktär om de skyddsåtgärder som ska tillämpas på särskilda kategorier av persongrupper. I momentet förutsätts att om det i samband med behandlingen av ett brottmål är nödvändigt att behandla sådana personuppgifter som avses i 11 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten, ska tillbörliga tekniska skyddsåtgärder säkerställas i ärendehanteringssystemet i samband med registreringen av brottmålet.
I princip handlar all behandling av personuppgifter i anknytning till brottmål om känsliga personuppgifter. Med stöd av dataskyddslagen avseende brottmål behandlar åklagarna även personuppgifter som hör till särskilda kategorier av personuppgifter och andra känsliga uppgifter i den omfattning som sådana ingår i förundersökningsmaterialet. Med tanke på åklagarnas behandlingsbehov är det inte möjligt att förutse vilka känsliga personuppgifter som ingår i förundersökningsmaterialet utöver att det handlar om ett brottmål. I fråga om Åklagarmyndigheten baserar sig rätten att behandla personuppgifter som hör till särskilda kategorier av personuppgifter direkt på dataskyddslagen avseende brottmål. I fråga om särskilda kategorier av personuppgifter utgörs grunden för behandlingen av personuppgifter av 11 § 2 mom. 2 punkten i dataskyddslagen avseende brottmål och förutsättningen för behandlingen är att uppgifterna är nödvändiga. Såsom grundlagsutskottet konstaterat är en allmän lag till vissa delar tillräcklig för att garantera ett tillräckligt skydd för personuppgifter inom tillämpningsområdet för dataskyddsdirektivet för brottmål. Bestämmelsen i dataskyddslagen avseende brottmål uppfyller i princip även det krav som följer av tolkningspraxis avseende grundlagen och som gäller att begränsningen avgränsas till vad som är nödvändigt. Den registrerades skydd stärks av att lagen ger möjlighet att närmare specificera de särskilda kategorier av personuppgifter som det är nödvändigt att behandla för skötseln av åklagaruppgifter. Eftersom det inte är möjligt att förutse de uppgifter som ingår i förundersökningsmaterialet, finns det inte något behov av att i lagen om Åklagarmyndigheten på nytt utfärda bestämmelser om rätten att behandla uppgifter i fråga om särskilda kategorier av personuppgifter. Däremot binds behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter i lagen till ett enskilt brottmål utöver att behandlingen med stöd av dataskyddslagen avseende brottmål ska vara nödvändig och dessutom förutsätts extra skyddsåtgärder.
I 11 § 1 mom. i dataskyddslagen avseende brottmål förutsätts även i fråga om särskilda kategorier av personuppgifter att man vidtar skyddsåtgärder som förutsätts för att trygga den registrerades rättigheter. De kan även delvis basera sig på andra bestämmelser i lagen. Det finns inga uttryckliga separata föreskrifter för åklagare i fråga om sådana skyddsåtgärder. Största delen av skyddsåtgärderna följer i praktiken redan av dataskyddslagen avseende brottmål. Dessa är till exempel de tekniska och organisatoriska skyddsåtgärder som förutsätts i 15 § i lagen, de logguppgifter som förutsätts i 19 §, en konsekvensbedömning avseende dataskydd enligt 20 § och kraven på skydd för personuppgifter enligt 31 och 32 § samt utnämningen av ett dataskyddsombud enligt vad som förutsätts i 38 §. Dessutom fungerar till exempel tystnadsplikten och tystnadsrätten enligt 23 § i lagen om Åklagarmyndigheten som extra skyddsåtgärder för skyddet av personuppgifter. Således finns det inte något behov av att på nytt utfärda bestämmelser om dessa skyddsåtgärder. Däremot ger lämpliga tekniska skyddsåtgärder som är förenliga med det föreslagna momentet och som används i ärendehanteringssystem ett konkret mervärde som stärker dataskyddet. Genom avgränsningar i det tekniska systemet är det möjligt att till exempel säkerställa att uppgifter behandlas endast av de personer för vilka behandlingen är nödvändig för att sköta en uppgift som hör till Åklagarmyndigheten. I bestämmelsen betonas att dessa tekniska skyddsåtgärder, såsom avgränsningen av uppgifternas synlighet, ska skötas direkt i samband med registreringen av ett brottmål. I praktiken handlar det om de skyddsåtgärder som det använda ärendehanteringssystemet möjliggör. De gällande bestämmelserna i den allmänna lagen leder inte till särskilda sekretesskrav.
Vid sidan om uppgifternas känsliga karaktär är skyddet för den registrerades rättigheter förknippat med särskilda risker i brottmål i anknytning till lämnande av personuppgifter till andra myndigheter och överföring av personuppgifter till tredjeländer eller internationella organisationer. I 10 § 1 mom. i dataskyddslagen avseende brottmål finns det bestämmelser om skyldigheten att ge mottagarna av uppgifterna information om att särskilda förutsättningar är förknippade med behandlingen. Enligt detta moment ska den behöriga myndigheten i samband med utlämnande eller överföring av personuppgifter informera mottagaren av personuppgifterna om dessa förutsättningar samt om skyldigheten att iaktta dem. Därtill innehåller 9 § i dataskyddslagen avseende brottmål bestämmelser vars syfte är att säkerställa att oriktiga, ofullständiga eller inaktuella personuppgifter inte överförs eller görs tillgängliga. Paragrafen förutsätter att man vid behov ger information om felaktiga personuppgifter och om rättelse eller radering av sådana eller begränsning av behandling av sådana. Dessutom innehåller 19 § i dataskyddslagen avseende brottmål bestämmelser om logguppgifter som hänför sig till uppgifter som lämnas ut. De föreslagna bestämmelserna om registrering och skyddsåtgärder i lagen om Åklagarmyndigheten är relevanta även för utlämnandet av personuppgifter och de stärker dataskyddet i dessa situationer.
22 c §.Radering av uppgifter som gäller brottmål. Det föreslås att nya 22 c § fogas till lagen, vilken innehåller bestämmelser om radering av uppgifter som gäller ett brottmål från ärendehanteringen. Enligt paragrafen raderas uppgifter om ett brottmål från ärendehanteringssystemet för brottmål senast tio år efter att målet avgjorts. Efter förvaringstidens utgång ska uppgifterna arkiveras eller förstöras på ett datasäkert sätt.
Den föreslagna förvaringstiden går i samma riktning som förvaringstiden för den nationella informationsresursen. Med den föreslagna flexibiliteten för lagringstiden beaktas att det tekniskt sett kan finnas ett behov av att förvara uppgifterna i en annan del av systemet eller åtskilda från ärendehanteringssystemet. Detta påverkar dock inte hämtningen av uppgifterna från informationsresursen. Utlämnandet av uppgifter från Åklagarmyndigheten sker på ett sätt som motsvarar nuläget. Genom de föreslagna bestämmelserna påverkas inte heller fram till vilken tidpunkt uppgifterna om domar kan läsas av Rättsregistercentralen.
Den tid som behövs för att behandla förundersökningsmaterialet vid Åklagarmyndigheten är kort jämfört med förundersökningsmyndigheternas förvaringstider för uppgifter. Uppgifter raderas dock inte från ärendehanteringssystemet innan ärendet avgörs eller åtalsrätten preskriberas. Genom de föreslagna bestämmelserna beaktas i enlighet med principen om minering av behandling av personuppgifter att uppgifter om ett brottmål förvaras i hanteringssystemet endast så länge som uppgifterna behövs för det ursprungliga användningsändamålet för informationsmaterialet för skötseln av åklagaruppgifter och de ändamål som föreskrivs i föreskrivna 11 § i informationsresurslagen. Uppgifterna kan tekniskt sett förvaras även åtskilda från ärendehanteringssystemet för brottmål. Eftersom personuppgifter som anknyter till brottmål är känsliga, fungerar bestämmelsen om radering av uppgifter på samma gång som en skyddsåtgärd för att stärka den registrerades rättigheter. Efterlevnaden av bestämmelsen om radering säkerställs genom behövliga tekniska åtgärder, såsom arkivering, på så sätt att uppgifterna inte längre är synliga och tillgängliga i ärendehanteringssystemet för brottmål. Att uppgifterna dock kan hämtas ur den databas som används för förvaring eller arkivdatabasen möjliggör att uppgifterna hämtas vid behov för ett annat än det ursprungliga ändamålet. I vissa fall kan det bli nödvändigt att hämta uppgifter till exempel för ändamål som gäller laglighetsövervakningen eller för att säkerställa åklagarnas rättsskydd. Den föreslagna förvaringstiden är tillräckligt lång för att beakta sådana nödvändiga behov.
I enlighet med 18 § i den gällande informationsresurslagen ska Rättsregistercentralen radera personuppgifter ur registret över avgöranden och meddelanden om avgöranden och ur rikssystemet för behandling av diarie- och ärendehanteringsuppgifter inom tio år från det att ärendet har avgjorts. I dataskyddslagen avseende brottmål föreskrivs ett allmänt tillämpligt krav enligt vilket personuppgifter ska förvaras endast så länge som det är behövligt med tanke på behandlingens syfte. Hur länge de behövs bör bedömas minst vart femte år om det inte föreskrivs något annat om förvaringstiden någon annanstans. Detta gäller i princip alla informationssystem och register, och dataskyddsdirektivet för brottmål innehåller inte handlingsutrymme till den del som det handlar om en sänkning av nivån på dataskyddet. Nationellt är det möjligt att utfärda bestämmelser endast om dataskydd av samma eller högre nivå.
De föreslagna raderingstiderna innebär en avvikelse från bestämmelserna i dataskyddslagen avseende brottmål och de kompletterar bestämmelserna i informationsresurslagen till den del som det handlar om personuppgifter som omfattas av Åklagarmyndighetens personuppgiftsansvar i anknytning till brottmål. Det användningsändamål för personuppgifter som föreskrivits i 1 § 1 mom. 2 punkten i dataskyddslagen avseende brottmål handlar om en annan sak än de i informationsresurslagen föreskrivna behandlingsuppgifterna avseende personuppgifter, vilka omfattas av Rättsregistercentralens ansvar. Utifrån granskningsberättelsen av biträdande dataombudsmannen stödjer den nuvarande tekniska systemlösningen och regleringen inte åtskiljande och hantering av uppgifter som baserar sig på de personuppgiftsansvarigas olika användningsändamål (inklusive åtkomsträttigheter för information och raderingen av information med stöd av de olika livscykelbestämmelserna). En förvaringstid på tio år utan åtskiljande baserat på användningsändamålen kan åtminstone i vissa fall försämra nivån på dataskyddet enligt dataskyddsdirektivet för brottmål och möjliggör till och med en avsevärt lång förvaringstid för uppgifter även efter att ett ärende som behandlas av åklagaren har avgjorts och uppgifterna inte längre behövs för att sköta åklagaruppgifter. Den föreslagna förvaringstiden säkerställer dock att uppgifterna kan hämtas under en tillräckligt lång tid för deras ursprungliga användningsändamål, men även vid behov för behov som gäller Åklagarmyndighetens interna laglighetsövervakning eller tryggandet av åklagarnas rättsskydd. Att lagen innehåller bestämmelser om den tidpunkt då uppgifterna senast ska raderas från ärendehanteringssystemet, beaktar dock bättre än för närvarande den nivå på dataskydd som direktivet förutsätter. Dessutom möjliggör ordalydelsen i den föreslagna bestämmelsen även att uppgifternas direkta synlighet i ärendehanteringssystemet för brottmål avgränsas genom tekniska metoder i ärendehanteringssystemet för brottmål, dock utan att hindra möjligheten att hämta uppgifter.
Uppgifterna raderas dock inte till alla delar från åklagarnas informationssystem efter att de raderats från informationsresursen. De föreslagna bestämmelserna påverkar inte förvaringen av arkiverade uppgifter. Hittills har man inte begränsat förvaringstiden för uppgifter som ingår i de ärendehanteringssystem som Åklagarmyndigheten använder och uppgifter i handlingar som förvaras permanent i ett arkiv i systemen. För närvarande förstörs handlingar som ska förvaras i en bestämd tid, såsom förundersökningsprotokoll, enligt informationshanteringsplanen då den bestämda tiden har uppnåtts. I applikationen för strafförelägganden för böter förvaras uppgifter i två år från det att en bot har bekräftats. Riksarkivet har förordnat att Åklagarmyndighetens beslut ska förvaras permanent, med undantag för stämningsansökningar (Riksarkivets föreskrift KA/194838/07.01.01.03.01/2022, 10.2.2023). Informationshanteringslagen leder till ett krav som gäller för alla informationshanteringsenheter att antingen förstöra datamaterial eller arkivera det på ett datasäkert sätt. Genom den föreslagna särskilda bestämmelsen som gäller för ärendehanteringssystemet för brottmål säkerställs att oklarhet inte uppkommer i tillämpningen av kravet.
22 d §. Utlämnande av kontaktinformation. Det föreslås att nya 22 d § fogas till lagen. Paragrafen innehåller bestämmelser om begränsningen av utlämnande av kontaktinformation som gäller personer med anknytning till ett brottmål. Hemadressen och annan kontaktinformation för en fysisk person som är registrerad i ärendehanteringssystemet för brottmål får lämnas ut ur systemet endast till myndigheter för att åklagaren eller någon annan myndighet ska kunna utföra sina lagstadgade uppgifter.
Under de senaste årtiondena har brottsligheten i Finland ändrats i en all mer komplex och ofta organiserad riktning. Den organiserade brottsligheten är även förknippad med många former av aktörer och även professionella sakkunnigtjänster. Parterna i en straffprocess kan vara föremål för hot och våld i många former av situationer. Till exempel offer för våld i nära relationer och familjevåld kan ha ett behov av att kontaktinformationen skyddas, även om den inte är spärrmarkerad. Organiserad brottslighet och yrkeskriminalitet är å sin sida ofta komplex och kan även omfatta hot om våld mot vittnen eller andra misstänkta. Hot eller andra aktioner kan dock hänföra sig till andra parter i processen, ibland till och med av personer som är misstänkta för relativt lindriga brott utan att tecken på sådana har kunnat urskiljas i förväg. Hot mot parter i ett brott kan även framföras först efter att förundersökningen färdigställts och materialet överförts till åtalsprövning.
Den gällande lagstiftningen möjliggör att vittnen och andra personer som blivit föremål för allvarliga hot skyddas på många sätt under straffprocessen, inklusive förundersökningen, åtalsprövningen och rättegången. Vittnesskyddsåtgärderna delas på vedertaget sätt in i tre grupper: processrättsliga metoder, straffrättsliga metoder samt andra metoder. De processrättsliga skyddsmetoderna anknyter till vittnesskyddet, den konkreta hörande- eller vittnessituation samt rättegångens offentlighet. Till exempel offentligheten för muntlig förhandling eller handlingar eller uppgifter som ingår i dessa kan under vissa förutsättningar begränsas i rättegången. De straffrättsliga metoderna omfattar kriminalisering av hot mot en person som ska höras i en rättegång i strafflagen och möjligheten att förordna besöksförbud för en person som uppträder hotfullt. De som ska höras under straffprocessen kan även skyddas med de metoder som är tillgängliga för polisen. De föreslagna bestämmelserna om begränsning av utlämnande av uppgifter främjar de existerande metoderna som är avsedda för att skydda personer som är eller eventuellt blir föremål för hot, men de begränsar inte tillämpningen av dessa. Till exempel vittnesskydd eller andra kraftigare skyddsmetoder kan behövas i en sådan situation där boningsorten för ett hotat vittne är känd av den misstänkte eller annan person som framför hot. Syftet med den föreslagna bestämmelsen är att stärka skyddet även i de situationer där boningsorten inte sedan tidigare är känd av den som framför hot.
Utöver skyddet för hälsan och säkerheten för parterna i en straffprocess beaktas i bestämmelserna att det trots begränsningarna av att lämna ut kontaktinformation tidvis kan finnas ett behov av att lämna ut kontaktinformation till myndigheterna för skötseln av åklagarnas eller andra myndigheters lagstadgade uppgifter. Sådana behov kan anknyta till exempel till utlämnande av information mellan åklagaren och polisen. I allmänhet är myndigheternas rätt till information dock tillräckliga.
Offentlighetslagens 24 § 1 mom. innehåller vissa bestämmelser som är betydelsefulla i synnerhet för straffprocessen. I momentets 3 punkt föreskrivs att de handlingar som ska sekretessbeläggas omfattar anmälan om brott till polisen eller någon annan förundersökningsmyndighet, en åklagare eller en kontroll- och tillsynsmyndighet, handlingar som har mottagits eller uppgjorts för förundersökning och åtalsprövning samt stämningsansökan, stämning och svaromål på en stämning i brottmål, tills ärendet har tagits upp till behandling vid ett domstolssammanträde eller åklagaren beslutat låta bli att väcka åtal eller ärendet avskrivits, om det inte är uppenbart att utlämnandet av uppgifter ur en sådan handling inte äventyrar brottsutredningen eller undersökningens syfte eller utan vägande skäl vållar den som har del i saken skada eller lidande eller hindrar domstolen från att utöva sin rätt att sekretessbelägga handlingar enligt lagen om offentlighet vid rättegång i allmänna domstolar (370/2007). I 26 punkten i momentet föreskrivs att handlingar ska sekretessbeläggas om de innehåller uppgifter om känsliga omständigheter som gäller privatlivet för någon som misstänks för ett brott, en målsägande eller någon annan som har samband med ett brottmål samt sådana handlingar som innehåller uppgifter om ett brottsoffer, om utlämnandet av uppgifter kränker offrets rättigheter, minnet av offret eller offrets närstående, förutsatt att utlämnandet av uppgifter inte är nödvändigt för utförande av ett myndighetsuppdrag.
I 24 § 1 mom. 31 punkten i offentlighetslagen föreskrivs redan att handlingar ska sekretessbeläggas då de innehåller uppgift som någon har lämnat om sitt hemliga telefonnummer eller uppgift om läget för en mobilteleapparat samt handlingar som innehåller uppgift om en persons hemkommun och bostad där eller tillfälliga bostad samt telefonnummer och annan kontaktinformation, om personen har begärt att de skall hållas hemliga och har grundad anledning att misstänka att hans eller hennes egen eller familjens hälsa eller säkerhet kan komma att hotas.
Den lagstiftning som berör förundersökningsmyndigheterna innehåller detaljerade bestämmelser om för vilka syften myndigheterna har rätt att lämna ut personuppgifter. Däremot innehåller lagen om Åklagarmyndigheten inte motsvarande bestämmelser om utlämnande av personuppgifter eller andra uppgifter. Utlämnande av uppgifter som sparats i ärendehanteringssystemet för brottmål har inte heller begränsats i de bestämmelser som tillämpas på utlämnande av uppgifter som görs av åklagarna. Den föreslagna bestämmelsen baserar sig på ett behov av att skydda parterna i en straffprocess i synnerhet mot risker som gäller liv och säkerhet och som inte kan bedömas i förväg i samtliga fall.
Utlämnandet av kontaktinformation och även slutdelen av personbeteckningen har begränsats i många informationssystem och register, vilka är föremål för en allmän eller omfattande rätt att få information, och utlämnandet kan ske via ett allmänt informationsnät. De bestämmelser som gäller begränsning av utlämnande av uppgifter ingår i de särskilda lagarna. De föreslagna bestämmelserna handlar om en motsvarande systemspecifik begränsningsbestämmelse. Kontaktinformation som sparats i ärendehanteringssystemet för brottmål kan inte skrivas ut på handlingar som skapats i ärendehanteringssystemet för brottmål. Således påverkar förslaget inte utlämnandet av sådana handlingar ur ärendehanteringssystemet för brottmål.
Skyddet för de registrerades uppgifter utsätts för risker av att parterna i en straffprocess trots dataskyddsbeskrivningarna inte är tillräckligt medvetna om utlämnande av uppgifter ur myndigheternas system samt om de tekniska aspekter som anknyter till befolkningsdatasystemet. Uppdateringen av kontaktinformationen för registrerade i ärendehanteringssystemet för brottmål sker automatiskt från befolkningsdatasystemet. Varje person som är införd i befolkningsdatasystemet har möjlighet att själv begränsa utlämnandet av den egna kontaktinformationen ur befolkningsdatasystemet genom att ställa förbud mot utlämnande av uppgifter i webbtjänsten Suomi.fi. Detta hindrar dock inte att kontaktinformation lämnas ut till myndigheter. Med undantag för spärrmarkering fördelas inte heller förbud mot utlämnande av uppgifter vidare till den mottagande myndighetens system.
Bakgrunden till förslaget utgörs därtill av den framtida ändringen av brottsofferdirektivet. De framtida bestämmelserna i brottsofferdirektivet är dock inte tillräckliga med tanke på behoven att skydda kontaktinformation. Målet med den föreslagna bestämmelsen är att i en mer omfattande grad skydda även andra parter i straffprocessen, vilka kan vara föremål för motsvarande hot som offer. I synnerhet offren, men även andra parter, kan ha en sårbar ställning i straffprocessen. Genom den föreslagna bestämmelsen påverkas inte andra myndigheter eller informationssystem, men de skyddar kontaktinformation även i justitieförvaltningens nationella informationsresurs till den del som det handlar om uppgifter som ingår i åklagarnas ärendehanteringssystem.
Även om förslaget inte har någon direkt konsekvens för andra myndigheter som deltar i straffprocessen, är det dock möjligt att skydda kontaktinformationen för parter i straffprocessen och vittnet genom de andra bestämmelserna i lagen. Kontaktinformation för ett vittne eller en annan person som ska höras ska lämnas ut i förundersökningen även med stöd av 11 § 2 mom. 7 punkten och 24 § 1 mom. 31 punkten i offentlighetslagen. Dessutom kan en rättegångshandling och en del i en dom med kontaktinformation som gäller ett vittne eller en annan person som ska höras sekretessbeläggas med stöd av 9 § 1 mom. 5 punkten och 24 § 1 mom. 1 punkten i lagen om offentlighet vid rättegång i allmänna domstolar. Dessa bestämmelser förutsätter dock att det separat förordnas att kontaktinformationen är sekretessbelagd.
Genom den föreslagna bestämmelsen om begränsning av utlämnande av kontaktinformation skyddas parterna i en straffprocess kraftigare än med bestämmelserna i 24 § 1 mom. 31 punkten i offentlighetslagen, där undantagen till utlämnande av kontaktinformation avgränsar sig till situationer där personen själv framfört en begäran om sekretess för denna information på grund av ett hot som baserar sig på hälsan eller säkerheten. Parterna i en straffprocess lyckas dock långt ifrån alltid förutspå trakasserier, hot eller våld. Bestämmelserna i offentlighetslagen skyddar i sådana fall inte sömlöst kontaktinformationen för parterna i ett brott, då den kan ingå i sådana handlingar som är föremål för en allmän rätt att information. Utifrån den föreslagna bestämmelsen är kontaktinformation inte sekretessbelagd, men utlämnandet av den begränsas. De föreslagna bestämmelserna påverkar inte offentligheten och sekretessen för handlingar eller andra uppgifter som gäller brottmål då offentligheten och sekretessen på samma sätt som i nuläget fastställs i enlighet med offentlighetslagen och de påverkar således inte utlämnandet av handlingar i ärendehanteringssystemet för brottmål. Bestämmelserna begränsar inte heller rätten för en brottsmisstänkt att ta del av det material som anknyter till straffprocessen.
7.2
Lagen om justitieförvaltningens nationella informationsresurs
3 §.Definitioner. Paragrafens 2 punkt ändras genom att foga Rättstjänstverket och Domstolsverket till definitionen av en justitieförvaltningsmyndighet. Med beaktande av dessa myndigheters befintliga ansvar i anknytning till informationssystem och det faktum att bestämmelser om personuppgiftsansvar enligt förslaget utfärdas i 7 § i lagen, har de i enlighet med 5 § i lagen en skyldighet ansluta sig till informationsresursen. Rättshjälpsverket och Domstolsverket har dock inte någon skyldighet enligt 6 § i lagen att lämna ut uppgifter till informationsresursen, utan uppgifterna lämnas på ett sätt som motsvarar nuläget ut av domstolarna och rättshjälpsbyråerna.
5 §.Skyldighet att ansluta sig till informationsresursen. I 5 § i den gällande lagen finns det bestämmelser om skyldigheten för justitieförvaltningsmyndigheterna att ansluta sig till informationsresursen och via den förmedla uppgifter och meddelanden till andra myndigheter. Paragrafen ändras på så sätt att de justitieförvaltningsmyndigheter som berörs av skyldigheten nämns uttryckligen. Det handlar om en ändring av teknisk natur, med vilken den utvidgade definitionen i 3 § beaktas. Även om Rättstjänstverket och Domstolsverket föreskrivs som personuppgiftsansvariga, berör skyldigheterna enligt 5 § inte dem, utan på ett sätt som motsvarar nuläget domstolarna, Åklagarmyndigheten och rättshjälpsbyråerna.
7 §.Personuppgiftsansvariga i fråga om informationsresursen. Det föreslås att 7 § i den gällande lagen ersätts med en ny paragraf, som med avvikelse från nuläget innehåller bestämmelser om gemensamt personuppgiftsansvar mellan justitieförvaltningsmyndigheterna. Enligt den gällande lagen är Rättsregistercentralen den enda personuppgiftsansvarige för informationsresursen. De i lagen definierade myndigheterna inom justitieförvaltningen, vilka utgörs av domstolarna, Åklagarmyndigheten och rättshjälpsbyråerna, har enligt den gällande lagen en skyldighet att ansluta sig till informationsresursen och via den förmedla anmälningar och uppgifter till de andra myndigheterna. Det gemensamma personuppgiftsansvaret är motiverat för att beakta att den nationella informationsresursen är kopplad till flera informationssystem som framgår av beskrivningen av nuläget och vars verkliga personuppgiftsansvarige är en eller flera andra myndigheter än Rättsregistercentralen.
Enligt paragrafens 1 mom. är Rättsregistercentralen, Domstolsverket, domstolarna, Åklagarmyndigheten och Rättstjänstverket gemensamt personuppgiftsansvariga i fråga om den nationella informationsresursen. I stället för rättshjälpsbyråerna föreslås Rättstjänstverket som personuppgiftsansvarig. Vidare framgår det av beskrivningen av nuläget att man i samband med att Rättshjälpsverket grundats har haft för avsikt att det nya verket fungerar som personuppgiftsansvarig i stället för statens rättshjälps- och intressebevakningsdistrikt. Personuppgiftsansvaret har även ordnats enligt detta efter att ämbetsverket inlett sin verksamhet.
Unionsdomstolen har bekräftat att begreppet personuppgiftsansvarig är brett. I fråga om myndigheterna regleras personuppgiftsansvaret i Finland ofta genom lag på grund av orsaker som beror på grundlagen. Även när detta inte föreskrivs genom lag, kan en fysisk eller juridisk person som påverkar behandling av personuppgifter för egna ändamål och därför medverkar i fastställandet av ändamålen och medlen för denna behandling betraktas som en personuppgiftsansvarig (C 25/17, Jehovas vittnen, dom 10.7.2018, 68 punkten). Med avvikelse från gällande 7 § deltar i verkligheten flera justitieförvaltningsmyndigheter i fastställandet av ändamålen och medlen för behandlingen av personuppgifter i system med koppling till informationsresursen. Genom det föreslagna gemensamma personuppgiftsansvaret uppdateras bestämmelserna om informationsresursen för att motsvara det verkliga personuppgiftsansvaret.
I paragrafens 2 mom. preciseras på vad justitieförvaltningsmyndigheternas ansvar som personuppgiftsansvarig baserar sig. Enligt momentet ansvarar de myndigheter som nämns i 1 mom. för de skyldigheter som åvilar personuppgiftsansvariga till den del det är fråga om sådan behandling av personuppgifter vars ändamål och medel de är med om att bestämma för att sköta sina egna lagstadgade uppgifter.
Ändamålen med behandling av personuppgifter har ett samband med skötseln av en myndighets lagstadgade uppgifter. Detta framgår uttryckligen av bestämmelserna om tillämpningsområdet för dataskyddslagen avseende brottmål, vilka innehåller detaljerade bestämmelser om ändamålen för de behöriga myndigheternas behandling. Till exempel innehåller 1 § 1 mom. 2 punkten i dataskyddslagen avseende brottmål bestämmelser om de ändamål för vilka åklagarna kan behandla personuppgifter inom dess tillämpningsområde. Lagen om Åklagarmyndigheten, som enligt förslaget ändras genom lagförslag 1, innehåller närmare bestämmelser om de åklagaruppgifter vars skötsel omfattar behandling av personuppgifter inom tillämpningsområdet för dataskyddslagen avseende brottmål. I praktiken behandlar åklagarna personuppgifter i anknytning till brottmål till exempel i samband med åtalsprövning i det informationssystem som reserverats för Åklagarmyndighetens eget bruk. I en situation där ändamålen för behandlingen genom lag är bundna till en myndighets lagstadgade uppgifter är det inte ändamålsenligt att enkom en annan myndighet är personuppgiftsansvarig.
Ändamålen för behandling av personuppgifter fastställs i fråga om myndigheterna i stor utsträckning enligt bestämmelserna om deras lagstadgade uppgifter och befogenheter även då det handlar om behandling av personuppgifter i anknytning till informationsresursen inom den allmänna dataskyddsförordningens tillämpningsområde. Rättsgrunden för behandling av personuppgifter hos myndigheterna är oftast antingen artikel 6.1 c eller artikel 6.1 e. I enlighet med artikel 6.2 och 6.3 i den allmänna dataskyddsförordningen kompletteras dessa rättsgrunder för behandling genom lag. Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska det vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Rättsgrunden för behandlingen av personuppgifter kompletteras därtill av 4 § 2 punkten i dataskyddslagen till den del som behandlingen behövs och är proportionell i en myndighets verksamhet för utförande av en uppgift av allmänt intresse. Denna punkt kan utgöra rättsgrunden för en myndighets behandling av personuppgifter tillsammans med artikel 6.1 e, under förutsättning att myndighetens befogenheter för en uppgift som gäller ett allmänt intresse eller utövning av offentlig makt föreskrivs genom lag.
De uppgifter som anknyter till Rättsregistercentralens och Domstolsverkets personuppgiftsansvar avviker från de övriga föreslagna gemensamma personuppgiftsansvariga i anknytning till informationsresursen på så sätt att de har en lagstadgad uppgift i anknytning till utvecklingen av informationssystem. Rättsregistercentralen fungerar i enlighet med lagen om Rättsregistercentralen (625/2012) som personuppgiftsansvarig för flera informationssystem och register inom justitieministeriets förvaltningsområde, men i vissa situationer sköter den även de facto uppgifter som hör till ett personuppgiftsbiträde för andra myndigheters räkning. Dessutom sköter den förvaltningen och utvecklingen av informationssystemen inom förvaltningsområdet i samarbete med ämbetsverken inom förvaltningsområdet på så sätt som överenskommits i serviceavtalen och den fungerar som upphandlande enhet för IT-upphandlingar inom förvaltningsområdet. Domstolslagen innehåller å sin sida bestämmelser om Domstolsverkets uppgift att sköta förvaltningen och utvecklingen av domstolarnas informationssystem. En uppgift för Domstolsverket vilken avviker från de andra personuppgiftsansvarig ska till behövliga delar beaktas i de preciserade avtalen mellan de personuppgiftsansvariga.
Eftersom de verkliga personuppgiftsansvaren i anknytning till informationsresursen fördelar sig på olika sätt i de system som hör till den, är det inte en fungerande regleringslösning att dela personuppgiftsansvaren enligt informationssystem eller på ett annat detaljerat eller noggrant avgränsat sätt i bestämmelserna i lagen. På grund av denna orsak föreslås att bestämmelser om ett gemensamt personuppgiftsansvar utfärdas på allmän nivå. Det avgörande är vilken myndighet som de facto i det enskilda fallet ansvarar för att fastställa ändamålen och medlen för behandlingen av de aktuella personuppgifterna, antingen ensam eller tillsammans med någon annan myndighet.
Utöver de föreslagna bestämmelserna tillämpas på det gemensamma personuppgiftsansvaret artikel 26 i den allmänna dataskyddsförordningen och 16 § i dataskyddslagen avseende brottmål till den del som det handlar om behandling av personuppgifter som hör till tillämpningsområdet för dataskyddslagen avseende brottmål. Med beaktande av den allmänna karaktären på bestämmelserna i lagen kan det inom tillämpningsområdet för den allmänna dataskyddsförordningen vara behövligt för de personuppgiftsansvariga att från fall till fall genom inbördes arrangemang och på ett transparent sätt fastställa hur den personuppgiftsansvariges ansvarsområden närmare fördelas mellan dem, i synnerhet i fråga om tillgodoseendet av de registrerades rättigheter och deras uppgifter som gäller informationen till en registrerad. Till exempel de inbördes personuppgiftsansvaren i anknytning till dataskyddet mellan Domstolsverket och domstolarna fördelas redan för närvarande närmare utifrån vad som överenskommits mellan dem (se ovan i beskrivningen av nuläget). Bestämmelserna i 16 § i dataskyddslagen avseende brottmål är förpliktande och förutsätter en överenskommelse om ansvarsfördelningen och att en gemensam kontaktpunkt utses. Däremot innehåller artikel 26.1 i den allmänna dataskyddsförordningen handlingsutrymmen i ärendet. Med beaktande av den komplicerade helhet som informationsresursen bildar, finns det dock skäl att de gemensamt personuppgiftsansvariga utser en kontaktpunkt även i fråga om andra behandlingssituationer än de som har anknytning till brottmål. En registrerad kan dock utöva sina rättigheter i förhållande till varje gemensamt personuppgiftsansvarig.
Paragrafens 3 mom. innehåller bestämmelser om justitieförvaltningsmyndigheternas ansvar för att uppgifterna är korrekta då de lämnar ut uppgifter ur de egna systemen eller delar av dessa till informationssystem som hör till informationsresursen. Utöver vad som föreskrivs i 2 mom. ska domstolarna, Åklagarmyndigheten och Rättstjänstverket enligt 3 mom. i egenskap av personuppgiftsansvariga ansvara för att de uppgifter som de för in i den nationella informationsresursen är exakta och om vid behov uppdaterade samt för att rätta upptäckta fel utan dröjsmål. Rättsregistercentralen ansvarar för att dessa uppgifter vidareförmedlas från informationsresursen till andra informationssystem i enlighet med de anteckningar som den myndighet som lämnat ut uppgifterna gjort samt för de övriga skyldigheter som åvilar den personuppgiftsansvarige med avseende på informationsresursen och som inte har fördelats mellan de personuppgiftsansvariga. Med detta avses en fördelning av uppgifterna mellan dem såväl utifrån de föreslagna bestämmelserna i lagen som utifrån överenskommelserna mellan de personuppgiftsansvariga.
I föreslagna 3 mom. beaktas vilken justitieförvaltningsmyndighet som i verkligheten har möjlighet att vid behov rätta fel som upptäckts i uppgifter som lämnats till informationsresursen. Domstolsverket kan inte lämna ut personuppgifter till informationsresursen och det har inte sådana ansvar som avses i momentet. Rättstjänstverket har å sin sida personuppgiftsansvaret för personuppgifter som lämnats av rättshjälpsbyråerna och sköter även rättelse av uppgifter som lämnats av rättshjälpsbyråerna. En förutsättning för att rätta uppgifter kan även vara att den myndighet som lämnat uppgifter underrättar Rättsregistercentralen om de upptäckta felen, så att Rättsregistercentralen vid behov kan meddela dessa vidare till de aktörer till vilka felaktiga uppgifter förmedlats från informationsresursen.
Enligt EU-domstolens vedertagna rättspraxis ska man i behandlingen av personuppgifter å ena sidan iaktta de principer för behandling av personuppgifter vilka nämns i artikel 5 i den allmänna dataskyddsförordningen och å andra sidan, särskilt med beaktande av principen om lagenlig behandling enligt artikel 1 a, ska någon av de förutsättningar för lagenlighet som räknas upp artikel 6 i samma förordning uppfyllas i fråga om den aktuella behandlingen (dom 7.12.2023, Schufa Holding, C-634/21, 67 punkten; dom 20.10.2022, Digi, C 77/21, 49 punkten med hänvisningarna till rättspraxis i den). Den personuppgiftsansvarige ska kunna visa att den iakttar dessa principer i enlighet med bevisningsprincipen enligt artikel 5.2 i denna förordning (se dom 20.10.2022, Digi, C 77/21, 24 punkten).
I praktiken hänvisar den första meningen i 3 mom. till behandlingsåtgärder som vidtas till exempel av personalen vid en domstol manuellt i ett informationssystem. Det är dock möjligt att även andra omständigheter påverkar huruvida uppgifterna är korrekta och uppdaterade, såsom vilka uppgifter de myndigheter som nämns i bestämmelsen har fört in i informationsresursen, såsom automatisk uppdatering av uppgifter från ett annat system, till exempel från befolkningsdatasystemet. I en sådan situation kan rättelsen av uppgifterna i stället för den myndighet som fört in dessa göras av Rättsregistercentralen eller i vissa situationer av Domstolsverket för domstolarnas räkning. Till exempel för att dela ansvaren i anknytning till situationer av sådan typ är det möjligt att tillämpa bestämmelserna om gemensamt personuppgiftsansvar i den allmänna dataskyddsförordningen och dataskyddslagen avseende brottmål. Till den del som det dock handlar om uppgifter som samtidigt är en del av informationsresursen och myndigheternas eget diarium eller ett annat ärendehanteringssystem, är det inte möjligt för Rättsregistercentralen att göra rättelser i uppgifterna i informationsresursen, utan den ska i enlighet med nuvarande praxis kontakta den gemensamt personuppgiftsansvarige som fört in uppgifterna och begära att denne rättar uppgifterna.
I situationer av den typ som konstateras ovan undanröjer förslaget inte helt Rättsregistercentralens ansvar att för egen del fullgöra skyldigheterna i anknytning till riktighet och exakthet. Genom föreslagna 3 mom. delas detta ansvar dock med de myndigheter som använder informationsresursen. Detta förbättrar förutsättningarna för de personuppgiftsansvariga att visa att de iakttar dataskyddsförordningen och på motsvarande sätt dataskyddslagen avseende brottmål. Genom en exaktare delning av ansvaret enligt dataskyddsförordningen och dataskyddslagen avseende brottmål säkerställer man på ett bättre sätt att skyldigheterna fullgörs och att eventuella fel rättas effektivare. Rättsregistercentralens ansvar i anknytning till vidareförmedling av uppgifter innebär bland annat att säkerställa att uppgifterna är intakta. Ansvaret för den personuppgiftsansvarige i anknytning till vidareförmedlingen av uppgifter täcker även att Rättsregistercentralen vid behov ska se till att information om ett fel som upptäckts i personuppgifter meddelas även till mottagarna av uppgifterna till den del som Rättsregistercentralen ansvarat för att vidareförmedla dessa från informationsresursen. En personuppgift kan även ingå i en myndighets handling, till exempel en dom. Föreslagna 3 mom. ändrar nuläget till den del som de personuppgiftsansvarigas ansvar fördelats utifrån en tolkning av den gällande lagen. Skyldigheterna för myndigheter som använder informationsresursen att säkerställa att uppgifterna är korrekta, vilka stryks från lagen, ersätts med personuppgiftsansvar.
Rättsregistercentralen ansvarar därtill i fråga om informationsresursen för de skyldigheter som ankommer på den personuppgiftsansvarige till den del som delningen av dessa inte särskilt överenskommits med de andra justitieförvaltningsmyndigheterna. På ett sätt som motsvarar nuläget ansvarar Rättsregistercentralen i egenskap av servicecentral till exempel för uppgifter som anknyter till informationssäkerheten i enlighet med de serviceavtal som den ingått. Till exempel i fråga om systemet AIPA sköter Domstolsverket redan för närvarande uppgifter som ankommer på den personuppgiftsansvarige med avvikelse från de gällande bestämmelserna i informationsresurslagen.
Justitieförvaltningens nationella informationsresurs och de anknutna informationssystemen är även förknippad med olika tekniska förvaltnings- och utvecklingsuppgifter, som inte endast handlar om personuppgiftsansvar som gäller personuppgifter. Sådana uppgifter föreskrivs inte heller i denna form i dataskyddslagstiftningen. Informationssystemens tekniska funktionaliteter påverkar hur den personuppgiftsansvarige kan ombesörja en informationssäker behandling av personuppgifter. Det är dock inte behövligt att med tanke på kraven i dataskyddslagstiftningen täcka olika tekniska uppgifter genom bestämmelser i lag. Även på grund av praktiska orsaker är det ändamålsenligare att tillåta att de från fall till fall överenskoms genom avtal och arrangemang mellan de personuppgiftsansvariga eller mellan den personuppgiftsansvarige och personuppgiftsbiträdet i enlighet med den allmänna dataskyddsförordningen eller dataskyddslagen avseende brottmål. I det fallet att de personuppgiftsansvariga i vissa fall kommer överens om delningen av uppgifterna genom en överenskommelse mellan två eller fler myndigheter är det väsentligt att arrangemangen dokumenteras för att säkerställa att man i samband med myndigheternas interna kontroll och den externa kontrollen och laglighetsövervakningen av behandlingen av personuppgifter kan visa vilka personuppgiftsansvariga som ansvarar för uppgiften.
En bestämmelse som motsvarar 7 § 2 mom. i den gällande lagen inkluderas inte i den nya paragrafen. I detta moment har justitieministeriet föreskrivits en uppgift som gäller utveckling av informationsresursen och ordnande av användningstjänster. Den uppgift som nämns i denna bestämmelse hör i huvudsak till Rättsregistercentralen och till vissa delar till Domstolsverket. I enlighet med 12 § 6 mom. i lagen har justitieministeriet dock rätt att hämta och använda uppgifter som sparats i rapporterings- och statistikföringssystemet för sin verksamhet och planeringen och uppföljningen av verksamheten inom justitieministeriets förvaltningsområde. Denna rätt är dock mer avgränsad än rätten att hämta uppgifter för domstolarna, Åklagarmyndigheten och rättshjälpsbyråerna. Alternativt är det möjligt att utfärda bestämmelser om ärendet som en rätt att få information för justitieministeriet eller genom lag utfärda bestämmelser om Rättsregistercentralens rätt att lämna ut uppgifter till ministeriet utan hinder av sekretessbestämmelserna. Justitieministeriet för däremot inte in uppgifter i informationsresursen och deltar inte heller i fastställandet av ändamålen med och metoderna för behandlingen av personuppgifter. Eftersom det i fråga om justitieministeriet inte handlar om uppgifter som kan jämställas med uppgifterna för en personuppgiftsansvarig för informationsresursen och den gällande bestämmelsen inte längre motsvarar nuläget, kan bestämmelsen slopas från lagen som en onödig bestämmelse. Ändringen påverkar dock inte justitieministeriets rätt att hämta uppgifter ur informationsresursen för det ändamål som föreskrivits i 12 § 6 mom. i lagen. Ändringen påverkar inte heller det faktum att justitieministeriet kan vara personuppgiftsansvarig då personuppgifter som fåtts ur informationsresursen behandlas på en sådan lagringsplattform, för vilken justitieministeriet föreskrivits personuppgiftsansvar.
11 §.Rätt för den myndighet som fört in uppgifter att använda de införda uppgifterna. Enligt gällande 11 § får en jusitieförvaltningsmyndighet dessutom utan hinder av sekretessbestämmelserna använda uppgifter som den sparat i informationsresursen i skötseln av dess lagstadgade uppgifter i enlighet med uppgifternas användningsändamål. Den allmänna dataskyddsförordningen och dataskyddslagen avseende brottmål möjliggör senare behandling av personuppgifter för ett annat användningsändamål än det ursprungliga ändamålet vid insamlingen, under förutsättning att behandlingen är kompatibel med det ursprungliga behandlingsändamålet. Till denna del är det bland annat av betydelse vilket sambandet är mellan det ursprungliga och det senare avsedda behandlingsändamålet. Därtill skapar artikel 6.1 e i den allmänna dataskyddsförordningen och 4 § 2 punkten i dataskyddslagen en rättsgrund för behandlingen av personuppgifter för att sköta en uppgift som gäller ett allmänt intresse även då behandlingen av personuppgifter inte föreskrivs separat annanstans i lagen, under förutsättningen att skötseln av myndighetens uppgift dock baserar sig på lag. När det handlar om behandling av personuppgifter inom den allmänna dataskyddsförordningens räckvidd, möjliggöra 4 § 2 punkten i den gällande dataskyddslagen att personuppgifter behandlas för ett behandlingsändamål som är kompatibelt med det ursprungliga insamlingsändamålet. Bland annat planerings- och utredningsuppgifter för en myndighet har ansetts vara ett sådant kompatibelt användningsändamål.
I 5 § 2 mom. i dataskyddslagen avseende brottmål finns det ett krav på användningsbegränsning som gäller personuppgifter som samlats för ändamål som omfattas av lagens tillämpningsområde. Enligt kravet får personuppgifter som samlats för ett ändamål som föreskrivs i 1 § 1 eller 2 mom. behandlas för ett annat än ett i detta moment föreskrivet ändamål endast om behandlingen föreskrivs genom lag. Dessutom leder gällande 11 § i informationsresurslagen till kraven på användningsbegränsning och bestämmelser som utfärdats genom lag för användningen av uppgifter. De ursprungliga motiveringarna till lagen (RP 102/2009 rd) redogör för att användningsrätten är bunden till det ursprungliga ändamål för vilket uppgifterna sparades, och bestämmelsen innebär inte någon avvikelse från kravet på användningsbegränsning enligt personuppgiftslagen. Den gällande lagens 12 § möjliggör att uppgifter som myndigheterna förvarat hämtas och används för vissa ändamål som föreskrivits i paragrafen, men den gäller inte uppgifter som myndigheten själv sparat. Genom denna paragraf har man täckt till exempel åklagarnas behov av att använda varandras sekretessbelagda uppgifter för att centralisera ärenden som gäller samma person och de högsta domstolarnas uppgift att övervaka lagskipningen inom deras verksamhetsområde. Även om motsvarande användningsbehov även kan anknyta till uppgifter som en myndighet själv sparat, verkar ovan nämnda bestämmelse i dataskyddslagen avseende brottmål och informationsresurslagen inte möjliggöra att dessa används för ett ändamål som avviker från det ursprungliga användningsändamålet.
I fråga om de behöriga myndigheterna i brottmål möjliggör 19 § 2 mom. i dataskyddslagen avseende brottmål att logguppgifter i ett system som hör till informationsresursen används för kontroll av lagenligheten, den interna övervakningen, säkerställande av personuppgifternas integritet och säkerheteten och straffrättsliga förfaranden. Dessutom möjliggör 17 § i informationshanteringslagen på ett mer allmänt plan att logguppgifter i myndigheternas informationssystem används för att bevaka användningen och utlämnandet av uppgifter i informationssystemen och för att utreda tekniska fel i ett informationssystem. Däremot täcker bestämmelserna om logguppgifter inte utnyttjande av andra uppgifter i informationssystemen till exempel i administrativa tillsynsförfaranden eller tjänstemannarättsliga förfaranden eller i interna tillsynsändamål för en myndighet som fungerar som personuppgiftsansvarig.
Det föreslås att ett nytt 2 mom. fogas till lagen, enligt vilket en justitieförvaltningsmyndighet, med avvikelse från vad som föreskrivs i 1 mom. och trots sekretessbestämmelserna, får använda de uppgifter som myndigheten fört in i informationsresursen för att sköta myndighetens tillsyns-, planerings- eller utvecklingsuppgifter och för att säkerställa tjänsteinnehavares rättsskydd, till den del uppgifterna är nödvändiga för dessa ändamål. Genom bestämmelsen täcks i huvudsak de motsvarande behoven av att behandla uppgifter som de som beaktats i 12 § i lagen i fråga om den hämtnings- och användningsrätt som hänför sig till andra myndigheters uppgifter. Föreslagna 11 § 2 mom. är ett avgränsat undantag till kravet på användningsbegränsning, som gäller i synnerhet personuppgifter som sparats i informationsresursen. Det finns ett behov av att utfärda bestämmelser om avvikelse från kravet på användningsändamålsbundenhet för att beakta behoven för i synnerhet de behöriga myndigheterna i brottmål. Även 11 § i den gällande informationsresurslagen kan orsaka tolkningsoklarheter i fråga om vad som kan anses vara behandling som kompatibel med det ursprungliga insamlingsändamålet för personuppgifter. Med beaktande av den känsliga karaktären för många av de ärendegrupper som behandlas av justitieförvaltningsmyndigheterna avgränsas undantaget till vad som är nödvändigt.
Behoven av att behandla personuppgifter för ett annat än deras ursprungliga insamlingsändamål anknyter i typfallet till de olika uppgifterna för en personuppgiftsansvarig och myndigheternas interna tillsynsuppgifter till exempel till utredningen av åklagarens eller en annan tjänsteinnehavares tjänsteansvar, men tidvis kan de anknyta även till andra situationer som avses i bestämmelsen. Med nödvändighet avses att uppgifter som identifierar en fysisk person till exempel för att sköta en planerings- eller utvecklingsuppgift ska behandlas endast om det inte är möjligt att sköta uppgiften utan dessa.
14 §.Beslut om utlämnande av uppgifter. I enlighet med gällande 14 § 1 mom. beslutar Rättsregistercentralen om utlämnande av uppgifter ur informationsresursen. Enligt paragrafens 2 mom. får Rättsregistercentralen överföra en begäran om information för handläggning till den behöriga myndigheten, om begäran avser ett ärende som varit anhängigt eller som har behandlats hos en rättshjälpsbyrå, hos Åklagarmyndigheten eller hos en domstol, eller om begäran avser anteckningar i fråga om vilka en domstol har bekräftat utlämnande av uppgifter med stöd av 16 § 2 mom.
Det föreslås att 1 mom. i paragrafen ändras så att den inte begränsar rätten för en justitieförvaltningsmyndighet att lämna ut uppgifter som den fört in i informationsresursen med stöd av bestämmelserna i lagen om offentlighet i myndigheternas verksamhet eller bestämmelserna om en rättegångs offentlighet. Genom ändringen beaktas syftet med offentlighetsregleringen noggrannare i den mening som en begäran om uppgifter kan anvisas direkt till en sådan myndighet vars handling det handlar om. Begreppet myndighetshandling i lagen om offentlighet i myndigheternas verksamhet (offentlighetslagen) är dock brett och täcker även handlingar som överlämnats till myndigheten. Med hänsyn till bestämmelserna om hämtning av uppgifter i informationsresurslagen, handlar det i praktiken dock om uppgifter som myndigheten själv fört in i informationsresursen. Den föreslagna ändringen av 14 § 1 mom. kan handla om utlämnande av sådana personuppgifter som i enlighet med 7 § 2 mom. omfattas av en enskild justitieförvaltningsmyndighets eget personuppgiftsansvar.
I det gällande momentet har man inte beaktat situationer där en begäran om uppgift enligt lagen om offentlighet i myndigheternas uppgifter som anvisats till en justitieförvaltningsmyndighet hänför sig till myndighetens egna diarieuppgifter, även om det på samma gång handlar om uppgifter som sparats i informationsresursen. Det gällande momentet kan även vara motstridigt med sådana bestämmelser i den övriga lagstiftningen, vilka handlar om myndighetens rätt att lämna ut uppgifter trots sekretessbestämmelserna. Utgångspunkten i offentlighetslagen är dock att myndigheten behandlar en begäran om uppgift som den tagit emot och som gäller en handling eller uppgifter som är i dess besittning. Myndigheten ska även kunna lämna ut uppgifter direkt till den del de är offentliga eller i fråga om sekretessbelagda uppgifter med stöd av en bestämmelse i en lag vilken ger rätt till detta.
Bestämmelserna i den gällande informationsresurslagen redogör inte närmare för på vilket sätt de informationssystem som används av justitieförvaltningsmyndigheterna eller deras delar anknyter till informationsresursen. Gällande 14 § 1 mom. redogör inte heller för att största delen av dessa myndigheters uppgifter på samma gång är en del av informationsresursen. Det faktum att 16 § i den gällande lagen innehåller bestämmelser endast om Rättsregistercentralens rätt att lämna ut diarieuppgifter för domstolarna utifrån den allmänna rätten att få information kan orsaka tolkningsoklarheter i fråga om rätten att lämna ut uppgifter de andra justitieförvaltningsmyndigheterna (Beslut av Helsingfors förvaltningsdomstol 7.5.2024, 2840/2024).
Det föreslås att paragrafens 2 mom. ändras på så sätt att Rättsregistercentralen får överföra en begäran om information för handläggning till den behöriga myndigheten, om begäran avser ett ärende som är anhängigt eller behandlats hos en rättshjälpsbyrå, hos Åklagarmyndigheten eller hos en domstol. Den gällande lagens 2 mom. har ersatt 14 § 2 mom. I momentets svenska språkdräkt görs dessutom en språklig korrigering. I den upphävda lagen om justitieförvaltningens riksomfattande informationssystem, vars syfte i ljuset av motiveringarna var att täcka även pågående ärenden. Ordalydelsen i 14 § 2 mom. i den gällande informationsresurslagen motsvarar vad som tidigare föreskrivits, men täcker inte entydigt ärenden som fortfarande är anhängiga. För tydlighetens skull föreslås att ordalydelsen preciseras. Utifrån det ändrade momentet kan en begäran om information hänskjutas till den myndighet som svarar för ärendet, oberoende av om det handlar om ett anhängigt eller redan behandlat ärende.
10
Förhållande till grundlagen samt lagstiftningsordning
De bestämmelser som föreslås i propositionen är viktiga med tanke på det i 10 § i grundlagen tryggade skyddet för privatlivet och skyddet för personuppgifter och den offentlighetsprincip som föreskrivs i 12 §. De föreslagna bestämmelserna konkretiserar dessa grundlagsbestämmelser på det egna tillämpningsområdet och tryggar till denna del tillgodoseendet av de grundläggande fri- och rättigheterna och de mänskliga rättigheterna på det sätt som förutsätts i 22 § i grundlagen. Den föreslagna regleringen är relevant även till exempel med tanke på Europeiska unionens stadga om de grundläggande rättigheterna och europeiska människorättskonventionen. I artikel 7 i EU:s stadga om de grundläggande rättigheterna tryggas skyddet för privatlivet och i artikel 8 tryggas vars och ens rätt till skydd för egna personuppgifter. I rättspraxis för Europeiska domstolen för de mänskliga rättigheterna har artikel 8 i den europeiska människorättskonventionen ansetts omfatta även skyddet för personuppgifter.
I propositionen föreslås att specialbestämmelser om behandlingen av personuppgifter i brottmål fogas till lagen om Åklagarmyndigheten, vilka är nödvändiga för att skydda för personuppgifter. På samma gång preciseras myndigheternas personuppgiftsansvar i lagen om Åklagarmyndigheten och i lagen justitieförvaltningens nationella informationsresurs. Genom de föreslagna lagändringarna används det nationella handlingsutrymmet enligt dataskyddsdirektivet för brottmål och den allmänna dataskyddsförordningen.
Användning av det nationella handlingsutrymmet
I samband med behandlingen av dataskyddslagen avseende brottmål har grundlagsutskottet konstaterat att det i princip inte ingår i grundlagsutskottets konstitutionella uppdrag att bedöma nationell genomförandelagstiftning med avseende på den materiella EU-rätten (GrUU 26/2018 rd, s. 4, se även GrUU 31/2017 rd, s. 4). Grundlagsutskottet har dock vidare betonat att till den del som EU-lagstiftningen förutsätter eller möjliggör nationell reglering, ska vid användningen av detta nationella handlingsutrymme kraven som följer av de grundläggande och mänskliga rättigheterna beaktas (se till exempel GrUU 1/2018 rd, GrUU 25/2005 rd). Utskottet har framhållit att det i regeringens propositioner finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 26/2018 rd, s. 4, GrUU 1/2018 rd, s. 3, GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2, GrUU 44/2016 rd, s. 4). Grundlagsutskottet ansåg att det var beklagligt att omfattningen av det nationella handlingsutrymmet inte hade refererats tillräckligt detaljerat i regeringens proposition om dataskyddslagen avseende brottmål.
Dataskyddsdirektivet för brottmål innehåller bestämmelser om miniminivån på skyddet för personuppgifter, vilken ska uppfyllas i all behandling av personuppgifter på dess tillämpningsområde. I princip ska alla bestämmelser i direktivet genomföras. Direktivet hindrar inte medlemsstaterna från att utfärda bestämmelser om skyddsåtgärder som går längre än de skyddsåtgärder som fastställts i direktivet för att skydda den registrerades rättigheter och friheter i de behöriga myndigheternas behandling av personuppgifter. Således har medlemsstaterna i praktiken getts handlingsutrymme att utfärda bestämmelser om en högre dataskyddsnivå än i direktivet.
Dataskyddsdirektivet för brottmål innehåller dock större handlingsutrymme än den allmänna dataskyddsförordningen för medlemsstaterna att bedöma på vilket sätt EU-rätten genomförs nationellt. Direktivet hindrar till exempel inte att det genomförs genom flera nationella lagar, vars bestämmelser kan skrivas på ett sätt som avviker från direktivet, under förutsättning att det juridiska innehållet är det samma och att den skyddsnivå som direktivet förutsätter inte sjunker. Inte heller dataskyddsdirektivet för brottmål ställer några särskilda innehållskrav för andra bestämmelser än de som förutsätter uttryckligt genomförande. Om en medlemsstat utfärdar bestämmelser om till exempel automatiserade ärendehanteringssystem eller andra register som omfattas av direktivets tillämpningsområde, förutsätter direktivet att man i lagstiftningen preciserar åtminstone målen för behandlingen i det aktuella systemet eller registret, de personuppgifter som behandlas och behandlingens ändamål. Med beaktande av enhetligheten mellan bestämmelser i direktivet och den allmänna dataskyddsförordningen, finns det dock skäl att undvika reglering som är överlappande med dataskyddslagen avseende brottmål, till den del som regleringen inte är nödvändig för att stärka dataskyddet.
Inom den allmänna dataskyddsförordningens tillämpningsområde är reglering som kompletterar dataskyddsförordningen möjlig endast till den del som förordningen antingen uttryckligen förutsätter genomförande eller innehåller nationellt handlingsutrymme i fråga om regleringen. Grundlagsutskottet har även ansett att man inom tillämpningsområdet för den allmänna dataskyddsförordningen bör undvika nationell speciallagstiftning, som bör reserveras för situationer då den är dels tillåten enligt dataskyddsförordningen, dels nödvändig för att tillgodose skyddet för personuppgifter (GrUU 14/2018 rd, s. 3, GrUU 2/2018 rd, s. 5). Enligt grundlagsutskottet stod det dock klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i den allmänna dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser (GrUU 14/2018 rd, s. 5). Utöver den risk som känsliga uppgifter bildar hänvisade utskottet uttryckligen till att utskottet ansett att det relevanta i den konstitutionella bedömningen av behandlingen av personuppgifter är även ändamålet med behandlingen som en faktor som möjliggör utövning av offentlig makt mot en individ (se GrUU 1/2018 rd, s. 6).
Den allmänna dataskyddsförordningen möjliggör att nationellt handlingsutrymme utövas och i synnerhet med stöd av artikel 6.2 och 6.3 är det möjligt att utöva det även i hög grad. Med stöd av dessa är det möjligt att utfärda närmare bestämmelser om till exempel de personuppgifter som behandlas och om utlämnande av och förvaringstiderna för dessa eller om lagenligheten i behandling som görs av den personuppgiftsansvarige. Dessutom är det till exempel möjligt att precisera den personuppgiftsansvarige i nationell lag, även om förordningen inte förutsätter detta (artikel 4.7).
Utöver den uttryckliga genomförandeskyldigheten innehåller dataskyddsdirektivet för brottmål på samma sätt som dataskyddsförordningen till vissa delar handlingsutrymme för medlemsstaterna. I samband med genomförandet av direktivet är det möjligt att utfärda bestämmelser till exempel om förvaringstiden för personuppgifter och extra skyddsåtgärder i anknytning till särskilda kategorier av personuppgifter. Även i fråga om direktivet finns det handlingsutrymme till den del som lagen innehåller bestämmelser om den personuppgiftsansvarige eller ansvarsområdet för gemensamt personuppgiftsansvariga och om på vilket sätt dessa ska regleras. Å andra sidan ska all utövning av offentlig makt bygga på lag enligt 2 § 3 mom. i grundlagen. För lagar gäller det allmänna kravet på att en lag ska vara exakt och noga avgränsad. Regleringen av befogenheter är enligt grundlagsutskottets uppfattning vanligen relevant också i förhållande till de i grundlagen inskrivna grundläggande fri- och rättigheterna (GrUU 51/2006 rd, s. 2). Å andra sidan är grundlagsutskottet av den uppfattningen att den detaljerade regleringen i den allmänna dataskyddsförordningen också gör det möjligt att i fråga om myndighetsverksamhet lagstifta betydligt mer generellt om skydd för och behandling av personuppgifter jämfört med vår nuvarande nationella regleringsmodell. (GrUU 14/2018 rd, s. 4). Med beaktande av det ovan nämnda är det befogat att med tillräcklig exakthet utfärda bestämmelser i synnerhet om uppdraget som personuppgiftsansvarig för en myndighet, med beaktande av de synpunkter som gäller utövning av offentlig makt och tjänsteansvar.
I regeringens proposition används det handlingsutrymme som ingår i dataskyddsdirektivet för brottmål och för att öka regleringens transparens föreslås att Åklagarmyndighetens personuppgiftsansvar preciseras i lagen om Åklagarmyndigheten. I propositionen används dessutom handlingsutrymmet i dataskyddsdirektivet för brottmål och den allmänna dataskyddsförordningen på så sätt att lagen om justitieförvaltningens nationella informationsresurs med avvikelse från nuläget innehåller bestämmelser om gemensamt personuppgiftsansvar för informationsresursen. Dessutom föreslås att man till lagen om Åklagarmyndigheten fogar särskilda skyddsåtgärder som är striktare än bestämmelserna i dataskyddslagen avseende brottmål, med vilka man beaktar den känsliga karaktären hos personuppgifter i anknytning till brottmål och behovet av att kraftigare skydda uppgifterna om vissa kategorier av registrerade för att trygga dessa personers säkerhet i samband med straffprocessen. Syftet med dessa bestämmelser är att öka transparensen i personuppgiftsansvaret och stärka dataskyddet för en registrerad i brottmål, med beaktande av behandlingens konsekvenser även för skyddet av de andra grundläggande fri- och rättigheterna.
I fråga om dataskyddsdirektivet för brottmål föreslås att handlingsutrymmet används på annat sätt än i lagstiftningen för flera andra myndigheter med behörighet i brottmål, vilken har utfärdats med samverkan av grundlagsutskottet.
Den känsliga karaktären på personuppgifter som anknyter till ett brottmål och kravet på användningsbegränsning
De föreslagna ändringarna av lagen om Åklagarmyndigheten handlar till vissa delar om att stärka skyddet för känsliga personuppgifter. Med särskilda kategorier av personuppgifter avses de kategorier av personuppgifter som nämns i 11 § 1 mom. i dataskyddslagen avseende brottmål och artikel 9.1 i EU:s allmänna dataskyddsförordning. Till följd av att tillämpningen av EU:s dataskyddsförordning inletts och man i dess artikel 9 använder begreppet särskilda kategorier av personuppgifter, ska den nationella lagstiftningen för tydlighetens skull undvika att använda begreppet känsliga uppgifter (GrUU 14/2018 rd, s. 9). Likväl menar grundlagsutskottet att det fortfarande är motiverat att i konstitutionellt hänseende beskriva vissa grupper av personuppgifter uttryckligen som känsliga. (GrUU 17/2018 rd, s. 6, GrUU 15/2018 rd, s. 39) Till följd av grundlagens rättshierarkiska ställning ansåg grundlagsutskottet även att det i förhållande till den hävda personuppgiftslagen stod klart att de uppgifter som i utskottets praxis bedömts vara känsliga, exempelvis på grundval av de risker och hot som behandlingen medför, till sina områden inte helt motsvarade bestämmelserna i personuppgiftslagen (GrUU 17/2018 rd, s. 7, GrUU 15/2018 rd, s. 41). I tolkningspraxis avseende grundlagen avses med känsliga personuppgifter en bredare grupp av uppgifter än endast de särskilda kategorier av personuppgifter som avses i dataskyddsförordningen och dataskyddsdirektivet för brottmål.
Grundlagsutskottet har betonat de hot som orsakas av behandling av känsliga uppgifter. Enligt utskottet medför omfattande databaser med känsliga uppgifter allvarliga risker relaterade till dataskyddet och missbruk av uppgifter, vilka i sista hand kan utgöra ett hot mot personens identitet (se GrUU 15/2018 rd, s. 4, även GrUU 13/2016 rd, GrUU 14/2009 rd). Kontexten av behandling av känsliga personuppgifter kan orsaka avsevärda risker för de grundläggande fri- och rättigheterna. Grundlagsutskottet har även fäst särskild uppmärksamhet vid att behandlingen av känsliga uppgifter genom exakta och noga avgränsade bestämmelser bör begränsas till det som är absolut nödvändigt (GrUU 15/2018 rd).
Grundlagsutskottet har även sett över sin praxis i anknytning till betydelsen av kärnområdet i skyddet för privatlivet. Grundlagsutskottet har bland annat konstaterat att en kategorisk uppdelning av skyddet i ett kärnområde och ett randområde inte alltid är motiverad, utan man måste på ett allmännare plan fästa vikt också vid hur betydelsefulla begränsningarna är (GrUU 36/2021 rd, s. 3–4, GrUU 48/2018 rd, s. 3–6, GrUU 18/2014 rd, s. 6/II, se även GrUU 36/2018 rd, s. 22). Grundlagsutskottet har ansett att det vid beredningen av nationell lagstiftning som har relevans för skyddet för privatliv och personuppgifter och även grundar sig på EU-rätten finns anledning att fästa särskild uppmärksamhet vid EU-domstolens avgöranden i fallen Digital Rights Ireland (C-293/12 och C-594/12), Schrems (C-362/14) och Tele2 Sverige och Watson (C-698/15 och C-203/15) (GrUU 36/2017 rd, s. 7, GrUU 35/2018 rd, s. 6, GrUU 13/2017 rd 4–5, GrUU 9/2017 rd, s. 5). EU-domstolen har på motsvarande sätt i sin färskare rättspraxis riktat uppmärksamhet på regleringens konsekvenser för den registrerade i samband med sitt ställningstagande till uppgifternas känsliga karaktär (dom 7.12.2023, de förenade målen C 26/22 och C 64/22, Schufa Holding, 94 punkten).
I den hävda personuppgiftslagen har man utöver de uppgifter som nämnts i artikel 9.1 i dataskyddsförordningen och artikel 10 i dataskyddsdirektivet för brottmål betraktat även personuppgifter som gäller straffdomar och brott enligt artikel 10 i dataskyddsförordningen som känsliga personuppgifter. Den allmänna dataskyddsförordningen förutsätter särskilda skyddsåtgärder i fråga om personuppgifter i anknytning till domar i brott och brott. Dessa liksom även personuppgifter som anknyter till förmåner inom socialvården anses även vara känsliga uppgifter i tolkningspraxis avseende grundlagen. Personuppgifter som gäller brott betraktas dessutom som en särskild kategori av personuppgifter (känslig personuppgift) i Europarådets konvention 108, som ändrats genom protokoll CETS 223. Finland har ratificerat protokollet. Behandling av personuppgifter av åklagarna, vilken omfattas av 1 § 1 mom. 2 punkten i dataskyddslagen avseende brottmål, handlar alltid om behandling av personuppgifter i anknytning till brott. I princip motsvarar den nivå på skyddet för personuppgifter vilken föreskrivits i dataskyddsdirektivet för brottmål kraven enligt den allmänna dataskyddsförordningen, med beaktande av det motsvarande innehållet i deras bestämmelser. I dataskyddsdirektivet för brottmål och dataskyddslagen avseende brottmål har man dock beaktat karaktären av den behandling av personuppgifter vilken hör till dess tillämpningsområde och deras tillämpningsområde har uttryckligen bundits till enskilda uppgifter och ändamål för behandlingen. Behandling av särskilda kategorier av personuppgifter är i regel inte förbjuden, till exempel med stöd av den allmänna dataskyddsförordningen, men förutsättningen för behandling av sådana är med avvikelse från dataskyddsförordningen att uppgifterna är nödvändiga. Alla personuppgifter som behandlas inom direktivets tillämpningsområde omfattas av kravet på ändamålsenlighet, från vilket det är möjligt att avvika endast under de förutsättningar som föreskrivs i dataskyddslagen avseende brottmål.
Enligt artikel 5.1 b i den allmänna dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ett motsvarande krav ingår i artikel 4.1 b i dataskyddsdirektivet för brottmål, vilken uttryckligen förutsätter att en medlemsstat utfärdar bestämmelser om detta. Unionsdomstolens rättspraxis redogör för att frågan om kompabiliteten för senare behandling av personuppgifter med det ursprungliga ändamålet med insamlingen av dessa uppgifter blir aktuell endast i det fallet att ändamålen för den nämnda senare behandlingen är samma som ändamålen för den ursprungliga insamlingen. Domstolen har därtill ansett att principen om användningsbegränsning enligt artikel 5.1 b i den allmänna dataskyddsförordningen inte utgör något hinder för senare behandling av uppgifterna i en annan databas, om en sådan senare behandling passar ihop med de särskilda ändamål för vilka personuppgifterna ursprungligen har insamlats. (t.ex. dom 20.10.2022, C-77/21, Digi Távközlési és Szolgáltató Kft., punkterna 34 och 45). Vid sidan om användningsbegränsningen för uppgifterna har domstolen riktat uppmärksamhet på principen om uppgiftsminimering i artikel 5.1 c, enligt vilken personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. I detta sammanhang har domstolen riktat uppmärksamhet på att då endast en del av uppgifterna ser ut vara behövliga, ska tilläggsåtgärder som gäller skyddet av uppgifter övervägas. (dom 2.3.2023, C‑268/21, Norra Stockholm Bygg, punkterna 54 och 56)
Grundlagsutskottet har vid sidan om kravet på att behandling av känsliga uppgifter ska vara nödvändig i synnerhet betonat kravet på ändamålsbundenhet, till exempel då det behandlar lagändringar som gäller behandling av personuppgifter vid Brottspåföljdsmyndigheten. Utskottet har ansett att det är möjligt att göra undantag från ändamålsbegränsningen, endast om de kan karakteriseras som exakta och ringa. Sådan reglering får inte heller leda till att någon annan verksamhet än den som är förknippad med det ursprungliga ändamålet med registret blir den huvudsakliga eller ens ett viktigt ändamål (GrUU 37/2024 rd, 14 punkten, se även GrUU 40/2021 rd, 15 punkten, samt till exempel GrUU 15/2018 rd, s. 45, GrUU 1/2018 rd, s. 4, GrUU 14/2017 rd, s. 5—6). Unionsrätten kan även ställa begränsningar för de tillåtna ändamålen för användning av personuppgifter då det handlar om genomförande av unionsrätten (i brottmål till exempel C-817/19, Ligue des droits humains, dom (stora sektionen) 21.6.2022, 237 punkten). Bestämmelserna i dataskyddslagen avseende brottmål om behandlingen av särskilda personuppgifter uppfyller de krav som följer av tolkningspraxis avseende grundlagen till den del som det handlar om kravet på att känsliga uppgifter är nödvändiga. Dataskyddslagen avseende brottmål innehåller även bestämmelser om kravet på ändamålsbundenheten. En avvikelse från detta förutsätter att det föreskrivs uttryckligen genom lag. Dessutom begränsar 11 § i informationsresurslagen rätten för en justitieförvaltningsmyndighet att använda uppgifter som den fört in i informationsresursen till skötsel av dess lagstadgade uppgifter.
I princip handlar all behandling av personuppgifter i anknytning till brottmål om känsliga personuppgifter och även regleringen kring åklagarnas behandling av personuppgifter ska som helhet vara tillräckligt detaljerad och täckande. Till exempel uppgifter som gäller en förundersökning är redan i sig konstitutionellt känsliga, och därtill kan förundersökningsmaterialet innehålla enskilda uppgifter som hör till en särskild kategori av personuppgifter eller andra känsliga uppgifter. Åklagarna behandlar personuppgifter som hör till särskilda kategorier av personuppgifter och andra grupper av känsliga uppgifter i den omfattning som sådana ingår i förundersökningsmaterialet. Med tanke på åklagarnas behandlingsbehov är det dock inte möjligt att förutse vilka känsliga personuppgifter som ingår i förundersökningsmaterialet utöver att det handlar om ett brottmål. Med avvikelse från de andra behöriga myndigheterna i brottmål innehåller dataskyddslagen avseende brottmål uttryckliga bestämmelser om grunden för att behandla särskilda kategorier av personuppgifter i behandlingen av brottmål hos åklagarna och vid domstolarna. Grunden för behandlingen är 11 § 2 mom. 2 punkten och förutsättningen för behandlingen är att de är nödvändiga. Domstolarna och rättshjälpsbyråerna behandlar utöver uppgifter som hör till särskilda kategorier av personuppgifter även i övrigt känsliga uppgifter som en del av flera ärendegrupper, då behandlingen av personuppgifter från fall till fall hör till tillämpningsområdet för den allmänna dataskyddsförordningen eller dataskyddslagen avseende brottmål.
I regeringens proposition föreslås inte att man tillåter att känsliga personuppgifter behandlas i en mer omfattande grad än för närvarande, liksom inte heller bestämmelser som preciserar ovan nämnda bestämmelse i 11 § om brottmål i fråga om åklagarna. Utgångspunkten i den föreslagna regleringen utgörs däremot av med hurudana bestämmelser det är möjligt att stärka dataskyddet, med beaktande av uppgifternas känslighet som helhet och konsekvenserna av åklagarnas behandling av personuppgifter för de registrerades grundläggande fri- och rättigheter som en del av straffprocessen.
Det föreslås dock att en bestämmelse fogas till 11 § informationsresurslagen, vilken med avvikelse från den gällande paragrafen möjliggörs att en justitieförvaltningsmyndighet utan hinder av sekretessbestämmelserna får använda uppgifter som den fört in i informationsresursen för att sköta sina lagstadgade uppgifter, men därtill även för att sköta myndighetens tillsyns-, planerings- eller utvecklingsuppgift och för att säkerställa tjänsteinnehavarnas rättsskydd. Det ursprungliga behandlingsändamålet för uppgifter som hämtas ur informationsresursen kan höra till tillämpningsområdet för antingen den allmänna dataskyddsförordningen eller dataskyddslagen avseende brottmål. Bestämmelsen behövs för att beakta att de i paragrafen avsedda myndigheter som för in uppgifter i informationsresursen i och med de föreslagna ändringarna av informationsresurslagen är gemensamt personuppgiftsansvariga tillsammans med Rättsregistercentralen och i synnerhet uppgiften som personuppgiftsansvarig kan vara förknippad med tillsynsbehov eller andra nödvändiga behov av att använda uppgifter för ett användningsändamål som avviker från det ursprungliga. I vissa situationer kan det till exempel för att säkerställa åklagarnas rättsskydd förutsättas att uppgifter som förts in i informationsresursen via ärendehanteringssystemet för brottmål hämtas fram. I dessa situationer handlar det inte om behandling av personuppgifter för deras ursprungliga insamlingsändamål, från vilket det är möjligt att avvika det i synnerhet i tillämpningsområdet för kräver att bestämmelser utfärdas genom lag. Dessutom innehåller 11 § i den gällande informationsresurslagen ett strikt krav på användningsbegränsning, som kan leda till tolkningsproblem även inom räckvidden för den allmänna dataskyddsförordningen i fråga om hurudan behandling av personuppgifter som är kompatibel med det ursprungliga användningsändamålet och vad som förutsätter en uttrycklig bestämmelse som möjliggör behandling.
Den föreslagna bestämmelsen är ett avgränsat undantag till kravet på användningsbegränsning i den allmänna dataskyddsförordningen och de föreslagna användningsändamålen för uppgifter blir inte det huvudsakliga användningsändamålet för register innehållande känsliga uppgifter. Uppgifter får användas endast till den del som är nödvändiga för det aktuella ändamålet. Det föreslagna undantaget uppfyller målet om ett allmänt intresse och det är en nödvändig och proportionerlig begränsning av skyddet för privatlivet och personuppgifter.
Detaljerad och noggrant avgränsad reglering
Grundlagsutskottet ansåg som ett led i granskningen av tolkningspraxis för 10 § i grundlagen att till skillnad från den direkt tillämpliga dataskyddsförordningen innehåller dataskyddsdirektivet inte några detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund för skyddet för privatlivet och personuppgifter i 10 § i grundlagen (GrUU 14/2018 rd, s. 7). I samband med behandlingen av dataskyddslagen avseende brottmål såg grundlagsutskottet det också som relevant att till den del lagen tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten handlar det delvis om nationella beslut till följd av det tillämpningsområde för dataskyddsförordningen och polisdirektivet som kopplas till EU-rättens tillämpningsområde, och det kan därför inte i alla avseenden hänvisas till EU-reglering som bakgrund till den föreslagna regleringen. Utskottet ansåg att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en högriskkontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (GrUU 27/2021 rd, s. 2, GrUU 26/2018 rd, s. 3 och 4. Se även GrUU 14/2018 rd, s. 6). Enligt utskottet är det relevanta i detta avseende att lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten blir tillämplig som allmän lag på sitt tillämpningsområde, vilken ska kompletteras med speciallagstiftning för olika förvaltningsområden (GrUU 26/2018 rd, s. 3–4). Grundlagsutskottet har ytterligare preciserat sina riktlinjer inom tillämpningsområdet för dataskyddslagen avseende brottmål och bland annat uppmärksammat behovet av bestämmelser som preciserar den allmänna lagen (GrUU 27/2021 rd, GrUU 51/2018 rd och GrUU 52/2018 rd).
Grundlagsutskottet har å andra sidan på upprepat sätt såväl före reformen av dataskyddslagstiftning som därefter även påpekat att bestämmelserna om behandling av personuppgifter är tungrodda och komplicerade (se till exempel GrUU 40/2021 rd, s. 4, stycke 12, GrUU 27/2021 rd, s. 2, stycke 5, GrUU 51/2018 rd, s. 5, GrUU 26/2018 rd, s. 4, GrUU 31/2017 rd, s. 4 och GrUU 71/2014 rd, s. 3). På grund av detta har utskottet påmint att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet av personuppgifter till vissa delar kan uppfyllas genom en allmän nationell lag utanför dataskyddsförordningens räckvidd (se också GrUU 14/2018 rd, s. 7, GrUU 31/2017 rd, s. 3‒4, GrUU 5/2017 rd, s. 9 och GrUU 38/2016 rd, s. 4).
För att säkerställa att regleringen inte är överlappande med dataskyddslagen avseende brottmål och inte blir tungrodd och komplicerad har utgångspunkten i regeringens proposition med avvikelse från grundlagsutskottets ovan nämnda bedömning varit att en allmän lag i regel är tillräcklig för behandlingen av personuppgifter vid Åklagarmyndigheten. I de bestämmelser som ingår i lagförslag 1 i propositionen har man beaktat att utgångspunkten i EU:s dataskyddsreform har varit en maximalt enhetlig nivå på dataskyddet, oberoende av vilken rättsakts tillämpningsområde det handlar om. Syftet med direktivet har även varit att regleringen om genomförandet av det är enhetlig, oberoende av vilken behörig myndighet det handlar om. Bestämmelserna i direktivet har i huvudsak genomförts i dataskyddslagen avseende brottmål, som på samma sätt gäller för alla behöriga myndigheter som omfattas av dess tillämpningsområde. Även om direktivet är en rättsakt som ska genomföras separat, motsvarar dess innehåll i hög grad dataskyddsförordningen. Detta gäller i synnerhet bestämmelserna i lagen om de allmänna principerna för behandling av personuppgifter, informationssäkerheten i behandlingen, den registrerades rättigheter och tillsynen. Även de krav som gäller överföring av personuppgifter till tredjeländer och internationella organisationer är i huvudsak av motsvarande innehåll. Å andra sidan har man i dataskyddsdirektivet för brottmål beaktat till exempel kravet på ändamålsbundenhet på ett sätt som är noggrannare än i dataskyddsförordningen. I dataskyddsdirektivet för brottmål har man därtill beaktat de behov som anknyter till förundersökningen och straffprocessen för att begränsa en registrerads rättigheter beroende på vilket processkede det handlar om.
Direktivet hindrar inte medlemsstaterna från att utfärda bestämmelser om skyddsåtgärder som går längre än de skyddsåtgärder som fastställts i direktivet i syfte att skydda den registrerades rättigheter och friheter i samband med behandlingen av personuppgifter vid de behöriga myndigheterna. Enligt den bedömning som gjorts i regeringens proposition hänför sig behovet av ett starkare skydd och som en följd av det ett behov av bestämmelser som kompletterar dataskyddslagen avseende brottmål i synnerhet till sådana situationer där behandlingen av personuppgifter om en registrerad orsakar högre risker än sedvanligt i samband med straffprocessen för skyddet för privatlivet eller den registrerades personliga säkerhet.
Till exempel förteckningar som gäller detaljerade personuppgifter som behandlas i ett brottmål, såsom registerbestämmelser, stärker i fråga om Åklagarmyndigheten inte dataskyddet och främjar inte en enhetlig nivå på dataskyddet, utan de kan snarare uppmuntra till behandling som är motstridig med kraven i direktivet. Ett detaljerat uppgiftsinnehåll i registret skulle kunna göra det svårare att iaktta till exempel kravet på uppgiftsminimering i behandlingen av personuppgifter. Den registrerades rättigheter och transparensen i behandlingen kan tryggas tillräckligt genom detaljerade dataskydds- eller registerbeskrivningar. I regeringens proposition anses att bestämmelserna i dataskyddslagen avseende brottmål i huvudsak skyddar personuppgifter tillräckligt. När åklagarna behandlar personuppgifter ska man alltid i enlighet med principerna för behandling av personuppgifter enligt 2 kap. i lagen säkerställa att de personuppgifter som behandlas gäller det aktuella brottmålet och är betydelsefulla för det och att de således även uppfyller kraven på nödvändighet och proportionalitet för behandling av känsliga uppgifter.
Enligt den bedömning som gjorts i regeringens proposition är mer detaljerade bestämmelser motiverade i fråga om registrering och anknutna skyddsåtgärder i enlighet med de mer ingående motiveringarna nedan. Bestämmelserna i dataskyddslagen avseende brottmål och de föreslagna ändringarna i lagen om Åklagarmyndigheten bedöms som helhet vara tillräckligt detaljerade och täckande, med beaktande av behovet av att stärka den registrerades dataskydd. I ljuset av det ovan konstaterade bedöms helheten uppfylla kraven på det skydd för privatlivet som tryggats i 10 § i grundlagen och skyddet för personuppgifter samt kraven på att utövning av offentlig makt ska vara lagbaserad och exakt.
Ett utlåtande av grundlagsutskottet anses dock vara önskvärt på grund av det som grundlagsutskottet tidigare yttrat om detaljrik reglering i en regleringskontext som är känslig i fråga om de grundläggande fri- och rättigheterna. De föreslagna bestämmelserna avviker i fråga om detaljrikedom och omfattning från utskottets tidigare praxis som betonat exakta och heltäckande bestämmelser på lagnivå.
Vägledning av grundlagsutskottet är önskvärd i synnerhet beträffande det att dataskyddslagen avseende brottmål, på ett sätt som motsvarar den allmänna dataskyddsförordningen (GrUU 14/2018 rd, s. 4 och 5), allmänt är en tillräcklig författningsgrund även med tanke på skyddet för privatliv enligt 10 § i grundlagen och skyddet för personuppgifter och att reglering som är mer detaljerad än direktivets genomförandebestämmelser är motiverad främst i de fall där behandlingen orsakar en högre risk än vanligt för en fysisk persons rättigheter och friheter. Med beaktande av den regleringskontext som är känslig i fråga om de grundläggande fri- och rättigheterna ska målet för bestämmelserna, i enlighet med det handlingsutrymme som tilldelats medlemsstaterna, vara en dataskyddsnivå som överskrider kraven i direktivet för att skydda den registrerades rättigheter och friheter.
Registrering av ett brottmål och skyddsåtgärderna i anknytning till registreringen
I regeringens proposition föreslås bestämmelser om registrering och anknutna skyddsåtgärder i vilka man beaktar att bestämmelser som avviker från dataskyddslagen avseende brottmål i praktiken ska omfatta en dataskyddsnivå enligt dataskyddslagen avseende brottmål eller att man vid behov kan utfärda bestämmelser om krav på behandlingen av personuppgifter vilka är striktare än kraven i den allmänna lagen.
Så som konstaterats ovan ska man beakta de krav som följer av de grundläggande fri- och rättigheterna och de mänskliga rättigheterna då handlingsutrymme utövas. Europadomstolen har i sin rättspraxis om skyddet för personuppgifter riktat uppmärksamhet på att redan registrering av uppgifter som gäller en persons privatliv innebär ett ingrepp i skyddet för privatlivet enligt artikel 8, och det senare användningsändamålet för personuppgifter om en registrerad är inte av betydelse för denna bedömning (M.M. mot Förenade kungariket, dom 13.11.2012, § 187; Leander mot Sverige, dom 26.3.1987, § 48; Amann mot Schweiz, stora sektionens dom 16.2.2002, § 69). I bedömningen av om de personuppgifter som en myndighet behandlar är betydelsefulla för skyddet för privatlivet, har domstolen gett vikt åt den särskilda kontext i vilken personuppgifter registrerats och förvarats, registrets natur och användningsändamål och behandlingens följder (till exempel M.M. mot Förenade kungariket, dom 13.11.2012, §§ 187–190; Peck mot Förenade kungariket, dom 28.1.2003, § 59). Till exempel i fråga om straffregisteruppgifter och metoderna för teleavlyssning, spaning och hemlig inhämtning av information har domstolen ansett att det är väsentligt att lagstiftningen är förutsägbar och tillräckligt tydlig och detaljerad i fråga om räckvidd samt att den innehåller lämpliga och tillräckliga skyddsgarantier bland annat i fråga om registrering, förvaringstider, användning, de som är berättigade till informationen och sekretessen (M.M. mot Förenade kungariket, dom 13.11.2012, § 195, S. och Marper mot Förenade kungariket, dom 4.12.2008, §§ 95 och 99, och de domar det hänvisats till i den). I Europadomstolens ovan nämnda rättspraxis jämställs de berörda uppgifterna även med känsliga uppgifter enligt grundlagsutskottets tolkningspraxis (till exempel GrUU 36/2021 rd, s. 3–4).
I 2 § 1 mom. i dataskyddslagen avseende brottmål föreskrivs att ”om det i någon annan lag finns bestämmelser som avviker från denna lag, ska de tillämpas i stället för denna lag”. Dataskyddslagen avseende brottmål ger även möjlighet att annanstans i lagstiftningen utfärda närmare bestämmelser om vissa detaljer. Med beaktande av kraven i direktivet och de synpunkter som framgår av Europadomstolens rättspraxis, är det möjligt att i speciallagstiftning utfärda närmare bestämmelser till exempel om registrering av personuppgifter, utlämnande av uppgifter för ett annat än det ursprungliga användningsändamålet och om behandlingen av särskilda kategorier av personuppgifter eller personuppgifter som i övrigt ska anses vara känsliga. Grundlagsutskottet har tidigare förutsatt att de uppgiftsinnehåll som är tillåtna i fråga om känsliga uppgifter ska framgå på uttömmande sätt av bestämmelsen. (Se GrUU 18/2012 rd, s. 3/II, GrUU 51/2002 rd, s. 2/II)
I bedömningen av nuläget ovan konstateras att personuppgifter i anknytning till brottmål i huvudsak ingår i samma ärendehanteringssystem som anvisats för brottmål eller i informationsresursen. I fråga om Åklagarmyndighetens behandling av personuppgifter är det därtill inte möjligt att förutse vilka personuppgifter som ingår i ett brottmål eller ett förundersökningsmaterial vilket inkommer för att behandlas av en åklagare. Således är det inte ändamålsenligt att utfärda bestämmelser om ett detaljerat register eller uppgiftsinnehållet i ett register, och det skulle inte ha någon särskild konsekvens som stärker skyddet för personuppgifter. Av bedömningen av nuläget framgår det dessutom att flera krav som gäller skyddsåtgärder följer av dataskyddslagen avseende brottmål. Känsligheten och bundenheten till användningsändamålet för personuppgifter som anknyter till brottmål har därtill med avvikelse från dataskyddsförordningen beaktats genom krav som gäller åtskild förvaring av personuppgifter om olika kategorier av registrerade och logguppgifter.
Begränsningen av de grundläggande fri- och rättigheterna för parterna i ett brottmål, inklusive skyddet för privatlivet och personuppgifter, sker redan vid den tidpunkt då förundersökningsmyndigheterna registrerar en part i sitt eget informationssystem. Med tanke på betydelsen av begränsning av de grundläggande fri- och rättigheterna är det av betydelse i vilket skede till exempel en misstänkt för brott får information om en misstanke som riktar sig mot honom eller henne själv. Europadomstolen har på vedertaget sätt ansett att straffprocessen börjar vid den tidpunkt då den som misstänks för brott officiellt eller på annat sätt får information om detta (se ovan nämnda dom M.M. mot Förenade kungariket). I detta skede konkretiseras endast garantierna om en rättvis rättegång. Med tanke på rättigheterna för de registrerade kan långtgående begränsningsåtgärder anses utgöras av i synnerhet sådana situationer där den registrerades insynsrätt har begränsats, men den registrerade inte är medveten om att ett ärende som gäller honom eller henne har registrerats av den behöriga myndigheten. Detta kan utifrån lagstiftningen om förundersökningsmyndigheterna gälla även andra registrerade parter i ett brottmål än de som misstänkts för brott. Till exempel med stöd av lagstiftningen om polisen kan behandlingen av uppgifter om brottslighet fortsätta länge utan att de personer som anknyter till brottet får information om registreringen av deras personuppgifter. Åklagarnas uppgifter är inte förknippade med sådana situationer.
Med beaktande av de konsekvenser för skyddet för privatlivet och skyddet av de andra grundläggande fri- och rättigheterna och de mänskliga rättigheterna vilka registreringen av ett brottmål har för de registrerade, föreslås att man i stället för uppgiftsinnehållet i ett register till lagen om Åklagarmyndigheten fogar krav i anknytning till registreringen, vilka är mer detaljerade än i informationshanteringslagen. I synnerhet förutsätts att brottmålet ska registreras i ett visst ärendehanteringssystem som uttryckligen reserverats för behandling av brottmål. Genom detta säkerställs att ärenden inte eventuellt registreras på olika sätt i olika enheter. Dessutom förutsätts att de behövliga sekretessanteckningarna görs i samband med registreringen. I de situationer där det är nödvändigt för åklagarna att behandla personuppgifter som hör till särskilda kategorier av personuppgifter, ska man dessutom i samband med registreringen vidta lämpliga tekniska skyddsåtgärder.
Det föreslås att man för behandlingen av personuppgifter om vittnen som omfattas av vittnesskyddsprogrammet och informationskällor ställer krav som är striktare än i dataskyddslagen avseende brottmål, vilka gäller att i mån av möjlighet förvara uppgifter som gäller olika kategorier av registrerade åtskilda från varandra. Uppgifter om personer som omfattas av ett vittnesskyddsprogram ska enligt förslaget alltid förvaras åtskilda från uppgifter om andra kategorier av registrerade och skyddas genom lämpliga tekniska åtgärder. I fråga om uppgifter som gäller polisens, Gränsbevakningsväsendets och Tullens informationskällor förutsätts genom en uttrycklig bestämmelse att uppgiften inte får registreras i det ärendehanteringssystem för brottmål där övriga uppgifter om brottmål i regel sparas. Syftet med dessa skyddsåtgärder är att beakta att vittnen och informationskällor kan vara föremål för en högre risk i fråga om den personliga säkerheten, hot och rentav våld.
Grundlagsutskottet har i fråga om behandling av personuppgifter som omfattas av tillämpningsområdet för dataskyddsdirektivet för brottmål bibehållit den tolkning som betonar att reglering ska utfärdas på lagnivå, vara exakt och täckande (i synnerhet ovan nämnda GrUU 14/2018 rd och GrUU 26/2018 rd). I ljuset av det ovan konstaterade bedöms den föreslagna registreringsskyldigheten och de anknutna skyddsåtgärderna uppfylla kraven på det i 10 § i grundlagen tryggade skyddet för privatliv och skyddet för personuppgifter bättre än omfattande bestämmelser om uppgiftsinnehållet i ett register. Ett utlåtande av grundlagsutskottet anses dock vara önskvärt utifrån grundlagsutskottets tidigare yttrande om detaljerad reglering i en regleringskontext som är känslig i fråga om de grundläggande fri- och rättigheterna.
Förvaringstiden för uppgifter i anknytning till ett brottmål
I regeringens proposition föreslås att bestämmelser om radering av personuppgifter som anknyter till ett brottmål från ärendehanteringssystemet för brottmål fogas till lagen om Åklagarmyndigheten. Uppgifter om ett brottmål raderas från ärendehanteringssystemet för brottmål senast tio år efter att målet avgjorts. Dataskyddslagen avseende brottmål innehåller bestämmelser om ett allmänt tillämpligt krav, enligt vilket personuppgifter ska förvaras endast så länge som det är behövligt med tanke på behandlingens syfte. Hur länge de behövs bör bedömas minst vart femte år om det inte föreskrivs något annat om förvaringstiden någon annanstans. I och med de föreslagna raderingstiderna används handlingsutrymmet enligt artikel 5 i dataskyddsdirektivet för brottmål och därtill görs en avvikelse från bestämmelserna i dataskyddslagen avseende brottmål genom att utfärda närmare bestämmelser om förvaringstiden för uppgifter som gäller brottmål.
Grundlagsutskottet har på vedertaget ansett att permanent förvaring av uppgifter inte är förenligt med skyddet för personuppgifter, såvida det inte finns grunder i anknytning till informationssystemets natur eller syfte för det (se till exempel GrUU 27/2021 rd, stycke 20, GrUU 18/2016 rd, s. 2, GrUU 54/2010 rd, GrUU 3/2009 rd). Det har ansetts motiverat att uppgifterna ska bevaras varaktigt till exempel när det är uppgifter som delvis är oförändrade eller ändras långsamt och de uppdateras inte bara för någons höga nöjes skull utan de behövs för att centralen ska kunna göra sitt arbete (GrUU 54/2010 rd). Utskottet har å andra sidan ansett att en fem års förvaringstid för känsliga uppgifter är lång (GrUU 13/2017 rd, s. 6) och betonat att ju längre förvaringstiden blir, desto viktigare är det att sörja för datasäkerheten, övervakningen av användningen av uppgifterna och de registrerades rättssäkerhet (GrUU 28/2016 rd, s.7). Utskottet har även mer generellt betonat att i synnerhet förvaringstiden för känsliga uppgifter ska avgränsas till vad som är nödvändigt för att uppnå det mål på grund av vilket uppgifterna sparats i systemet (se till exempel GrUU 13/2017 rd, s. 6).
Den tid som behövs för att behandla förundersökningsmaterialet vid Åklagarmyndigheten är kort jämfört med förundersökningsmyndigheternas förvaringstider för uppgifter. Den föreslagna förvaringstiden är tillräcklig med tanke på skötseln av Åklagarmyndighetens uppgifter och enhetlig med förvaringstiden för den nationella informationsresursen. I syfte att beakta rättsskyddet för straffprocessens parter raderas uppgifter dock inte från ärendehanteringssystemet innan ärendet avgjorts eller innan åtalsrätten preskriberats. Genom de föreslagna bestämmelserna beaktas i enlighet med principen om minering av behandling av personuppgifter att uppgifter om ett brottmål förvaras i hanteringssystemet endast så länge som uppgifterna behövs för skötseln av åklagaruppgifter. På samma gång säkerställs att uppgifterna vid behov är tillgängliga även för behoven i Åklagarmyndighetens interna laglighetsövervakning eller för att säkerställa åklagarens rättsskydd. Med beaktande av den känsliga karaktären på personuppgifter i anknytning till brottmål, fungerar bestämmelsen om radering av uppgifter på samma gång som en skyddsåtgärd för att förstärka den registrerades rättigheter. En förvaringstid på tio år är å andra sidan lång i förhållande till grundlagsutskottets riktlinjer och utan åtskiljande utifrån användningsändamålen försämras nivån på dataskyddet enligt dataskyddsdirektivet för brottmål och möjliggör till och med en avsevärt lång förvaringstid för uppgifter även efter att ett ärende som behandlas av åklagaren har avgjorts och uppgifterna inte längre behövs för att sköta åklagaruppgifter. Den föreslagna förvaringstiden har dock bedömts vara nödvändig med tanke på ovan nämnda ändamål, även med hänsyn till de preskriptionstider som föreskrivits för tjänstebrott i strafflagen. Dessutom har naturen på justitieförvaltningens nationella informationsresurs och de omfattande användningsändamålen beaktats i förvaringstiden. På samma gång beaktar den föreslagna bestämmelsen om förvaringstiden den dataskyddsnivå som förutsätts i direktivet bättre än skyldigheterna enligt dataskyddslagen avseende brottmål.
I och med den ovan nämnda lagändringen avgränsas förvaringstiden för känsliga uppgifter i ärendehanteringssystemet för brottmål i enlighet med de krav som följer av grundlagen till det som är nödvändigt för att uppnå det mål på grund av vilket uppgifterna har sparats i ärendehanteringssystemet för brottmål.
Begränsningen av utlämnandet av uppgifter och offentlighetsprincipen
Det föreslås att utlämnandet ur ärendehanteringssystemet för brottmål av kontaktinformation som gäller fysiska personer med anknytning till ett brottmål begränsas. Syftet med den föreslagna bestämmelsen är att stärka skyddet och säkerheten för dessa personers privatliv i syfte att beakta att hot och repressalier mot parterna i en straffprocess har blivit vanligare. Den föreslagna bestämmelsen om utlämnande av uppgifter påverkar inte till andra delar offentligheten och sekretessen för handlingar som gäller brottmål, vilka på ett sätt som motsvarar nuläget fastställs enligt bestämmelserna i offentlighetslagen.
Enligt 12 § 2 mom. i grundlagen är handlingar och upptagningar som innehas av myndigheterna offentliga, om inte offentligheten av tvingande skäl särskilt har begränsats genom lag. Var och en har rätt att ta del av offentliga handlingar och upptagningar. Den handlingsoffentlighet som föreskrivs i 12 § 2 mom. i grundlagen innebär att handlingarnas offentlighet med stöd av grundlagen kan begränsas endast genom lag och enbart då det finns nödvändiga orsaker för det. Enligt grundlagsutskottet handlar det dock således inte om att man i grundlagen till exempel låter fastställa innehållet i den nämnda rätten genom lag, utan att lagstiftarens befogenhet omfattar endast att ställa sådana begränsningar för offentligheten vilka kan anses vara nödvändiga på det sätt som avses i grundlagen (GrUU 43/1998 rd, s. 3/I).
I sin praxis har grundlagsutskottet särskilt lyft fram hur handlingars offentlighet enligt 12 § 2 mom. i grundlagen förhåller sig till skyddet för privatlivet och personuppgifter och betonat balansen mellan dessa (se till exempel GrUU 43/1998 rd, s. 2/II, och GrUU 60/2017 rd, s. 3; se även GrUU 22/2008 rd, s. 4/II). Utskottet har ansett att exempelvis sekretess för känsliga uppgifter kan ses som nödvändigt för att skydda privatlivet i enlighet med 10 § 1 mom. i grundlagen (GrUU 39/2009 rd, s. 2/I). Främjande av en annan grundläggande rättighet är ett tvingande skäl som ger möjlighet att separat i lag begränsa myndighetshandlingars offentlighet enligt 12 § 2 mom. i grundlagen (GrUU 2/2008 rd, s. 2, GrUU 40/2005 rd, s. 2/II).
Också Europeiska unionens domstol har i sin rättspraxis tagit ställning till förhållandet mellan den allmänna rätten att få information och skyddet för privatlivet i en brottmålskontext. Domstolen har ansett att behandling av uppgifter som gäller straffdomar och brott eller anknutna säkringsåtgärder, på grund av den synnerligen känsliga karaktären på dessa uppgifter, kan innebära en synnerligen allvarlig inskränkning i de grundläggande fri- och rättigheter som gäller respekten för privatlivet och skyddet för personuppgifter, vilka har tryggats i artiklarna 7 och 8 i stadgan om de grundläggande rättigheterna. Även om offentligheten för officiella handlingar är ett allmänt intresse som kan berättiga att personuppgifter som ingår i handlingar av den nämnda arten lämnas ut, ska den nämnda offentligheten dock samordnas med de grundläggande fri- och rättigheter som gäller respekten för privatlivet och skyddet för personuppgifter. I en kontext som gäller brottmål har domstolen ansett att rättigheterna enligt artiklarna 7 och 8 är viktigare än det intresse som gäller offentligheten för officiella handlingar, med beaktande av bland annat den känsliga karaktären av uppgifter som anknyter till straffdomar och allvaret i inskränkningen av de grundläggande fri- och rättigheter som gäller respekten för privatlivet och skyddet för personuppgifter (dom 7.3.2024, C-740/22, Endemol Shine Finland Oy, 54 och 55 punkten; se på motsvarande sätt domen 22.6.2021, C‑439/19, Latvijas Republikas Saeima (Prickning), 74, 75, 112 och 120 punkten).
Offentlighetsprincipen har ett nära samband med yttrandefriheten. Således kan en inskränkning av offentlighetsprincipen också ha konsekvenser för utövandet av yttrandefriheten. Grundlagsutskottet har förhållit sig reserverat till att lagen om offentlighet i myndigheternas verksamhet och sekretessgrunderna för skyddet för privatlivet i den kompletteras med begränsningar av offentligheten då det inte finns någon nödvändig orsak att påvisa för detta på det sätt som förutsätts i 12 § 2 mom. i grundlagen (till exempel GrUU 101/2022 rd). Även omfattningen av den föreslagna sekretessen är av betydelse för bedömningen av ärendet, även om godtagbara orsakar i sig lagts fram (till exempel GrUU 7/2019 rd, s. 14). Europeiska unionens domstol har dock i fråga om straffdomar ansett att rätten till frihet för dataförmedling enligt artikel 85 i den allmänna dataskyddsförordningen inte kan tolkas på så sätt att den rättfärdigar att personuppgifter som anknyter till straffdomar kan lämnas ut till var och en som framför en sådan begäran (Endemol Shine Finland Oy, 56 punkten, se på motsvarande sätt i Prickning-domen, 121 punkten).
I 24 § 31 punkten i offentlighetslagen föreskrivs redan att handlingar ska sekretessbeläggas då de innehåller uppgift som någon har lämnat om sitt hemliga telefonnummer eller uppgift om läget för en mobilteleapparat samt handlingar som innehåller uppgift om en persons hemkommun och bostad där eller tillfälliga bostad samt telefonnummer och annan kontaktinformation, om personen har begärt att de skall hållas hemliga och har grundad anledning att misstänka att hans eller hennes egen eller familjens hälsa eller säkerhet kan komma att hotas. I propositionen föreslås inte sekretessbestämmelser som kompletterar dessa bestämmelser i offentlighetslagen, utan en bestämmelse om begränsning av utlämnande av uppgifterna, vilken inte inskränker handlingsoffentligheten. Kontaktinformation skrivs inte heller ut på handlingar som skapats i ärendehanteringssystemet för brottmål. De föreslagna bestämmelserna om begränsning av utlämnande av kontaktinformation innebär i praktiken att kontaktinformation i regel inte lämnas ut ur ärendehanteringssystemet för brottmål ens då en person inte själv begärt att den egna kontaktinformationen ska sekretessbeläggas. Trots begränsningen kan kontaktinformation lämnas ut för skötseln av en åklagares eller en annan myndighets lagstadgade uppgifter.
I samband med propositionen med förslag till lag till lag om ett register över bindningar och bisysslor samt till lagar som har samband med den (GrUU 101/2022 rd, punkterna 21 och 22) har grundlagsutskottet tidigare tagit ställning till begränsningar som gäller kontaktinformation och ansett att de föreslagna ytterligare begränsningarna av offentligheten inte varit nödvändiga. I motsats till detta ärende handlar den föreslagna bestämmelsen inte om uppgifter som indirekt redogör för boendeplatsen, utan om uppgifter som uttryckligen redogör för boendeplatsen på ett direkt sätt. Genom bestämmelsen skyddas därtill annan kontaktinformation som ger möjlighet till trakasserier eller hot till exempel i ett datanät. Det primära syftet är att skydda hälsan och säkerheten för parter i en straffprocess vilka eventuellt är eller blir föremål för hot eller trakasserier mot risker som gäller hälsan och säkerheten och som i samtliga fall inte kan bedömas i förväg. Genom bestämmelsen stärks på samma gång skyddet för privatlivet i ett känsligt brottmål. I synnerhet offer för våldsbrott kan ofta ha en sårbar ställning.
Det är relevant att hela uppgiftsinnehållet i ärendehanteringssystemet för brottmål är känsligt i en konstitutionell mening. I vissa fall kan det dessutom innehålla även sådana i dataskyddslagstiftningen avsedda personuppgifter som hör till särskilda kategorier av personuppgifter, vars sekretess fastställs separat med stöd av offentlighetslagen. Bestämmelserna i 24 § 1 mom. 31 punkten i offentlighetslagen skyddar inte kontaktinformationen för parterna i ett brott, om den inte varit föremål för en begäran om sekretessbeläggning. Målet med den föreslagna begränsningen av utlämnande av kontaktinformation är i synnerhet att begränsa riskerna i anknytning till parternas säkerhet i brottmål där de kan bli föremål för hot som det inte varit möjligt att förutspå och där partens boendeplats inte ännu är känd av den som framför hot. Hoten mot parter och vittnen har tilltagit under de senaste åren. Med beaktande av brottslighetens förändrade natur och de ökade hoten är det med tanke på skyddet av intressena i en straffprocess inte tillräckligt att endast brottsoffrets kontaktinformation skyddas, eftersom hot och repressalier kan rikta sig även mot vittnen och brottsmisstänkta. Detta kan å sin sida ha en konsekvens som minskar viljan att vittna.
Den föreslagna bestämmelsen om begränsning av utlämnande av kontaktinformation avgränsas till att gälla de uppgifter som det är nödvändigt att skydda för att säkerställa säkerheten för parterna i en straffprocess. De föreslagna bestämmelserna påverkar inte till andra delar offentligheten och sekretessen för handlingar som gäller brottmål, vilka på ett sätt som motsvarar nuläget fastställs enligt offentlighetslagen. Personbeteckningen skyddas enligt den allmänna dataskyddslagstiftningen. Genom förslaget reduceras inte rätten för straffprocessens parter att få sådana uppgifter som påverkar att kravet på en rättvis rättegång fullgörs. Förslaget har inte heller någon konsekvens som reducerar rätten att få information om ett brottmål eller yttrandefriheten.
Med beaktande av vad som lagts fram ovan uppfyller den föreslagna bestämmelsen om utlämnande av kontaktinformation förutsättningen om ett godtagbart skäl och nödvändighet för inskränkning som gäller 12 § 2 mom. i grundlagen.
Preciseringen av den personuppgiftsansvarige och gemensamt personuppgiftsansvar
I lagförslag 1 i propositionen preciseras Åklagarmyndighetens ansvar som personuppgiftsansvarig till den del som det handlar om behandling av ett brottmål som omfattas av åklagarens ansvar, inklusive åtalsprövningen. I 7 § i lagförslag 2 i propositionen föreslås dessutom att bestämmelser utfärdas om ett gemensamt personuppgiftsansvar mellan flera myndigheter, vilket gäller personuppgifter som registreras i justitieförvaltningens nationella informationsresurs.
Grundlagsutskottet har i synnerhet med hänsyn till sambandet mellan bestämmelserna och de grundläggande fri- och rättigheterna ansett att det är nödvändigt att det entydigt (GrUU 21/2001 rd, s. 4/I) eller annars exakt (GrUU 47/2001 rd, s. 3/II) framgår av lagen vilken myndighet som är behörig (GrUU 45/2001 rd, s. 5/I) och att villkoren för överföring av beslutanderätt formuleras exakt i lagen (GrUU 7/2001 rd, s. 4/II, se även GrUU 11/2002 rd, s. 6, GrUU 52/2001 rd, s. 5, GrUU 47/2002 rd, s. 4–5, GrUU 65/2002 rd, s. 4/II). Dessutom har grundlagsutskottet i fråga om gemensamt personuppgiftsansvar tidigare riktat uppmärksamhet på att förhållandet mellan reglering som gäller gemensamt personuppgiftsansvar till lagenligheten i myndigheternas befogenheter och rätt att få information, ändamålsbundenheten vid behandlingen av personuppgifter och grundlagsutskottets vedertagen praxis i fråga om regleringen kring myndigheternas rätt att få och lämna ut uppgifter trots sekretessplikten ska vara tillräckligt klart med tanke på 10 § i grundlagen (GrUU 7/2019 rd, s. 7). På grund av offentlighetsprincipen enligt 12 § 2 mom. i grundlagen och kravet på lagbundenhet vid utövning av offentlig makt enligt 2 § 3 mom. i grundlagen ska reglering kring gemensamt personuppgiftsansvar tydligt redogöra för vilken myndighet som är behörig att lämna ut uppgifter (se GrUU 7/2019 rd, s. 6).
Föreslagna 7 § i informationsresurslagen, vilken innehåller bestämmelser om gemensamt personuppgiftsansvar, baserar sig i fråga om de behöriga myndigheterna i brottmål på 16 § i dataskyddslagen avseende brottmål. Med beaktande av att bestämmelserna i informationsresurslagen gäller även andra än de behöriga myndigheterna i brottmål, används på samma gång i paragrafen den möjlighet som den allmänna dataskyddsförordningen ger för att precisera de personuppgiftsansvariga i lag. I enlighet med 16 § 1 mom. i dataskyddslagen avseende brottmål och artikel 26.1 i den allmänna dataskyddsförordningen ska de gemensamt personuppgiftsansvariga komma överens om den inbördes ansvarsfördelningen, om ansvarsfördelningen inte föreskrivits genom lag. Även om bestämmelserna lämnar nationellt handlingsutrymme beträffande huruvida ansvarsområdena för gemensamt personuppgiftsansvariga preciseras genom lag, finns det ett behov av att i huvuddrag genom lag fastställa ansvaren och skyldigheterna i anknytning till dataskyddet för de personuppgiftsansvariga för att beakta kravet på att det allmännas maktutövning ska vara lagbaserad. I den föreslagna regleringslösningen för gemensamt personuppgiftsansvar har man beaktat ovan nämnda krav som följer av grundlagen.
Genom förslagen beaktas för det första kravet enligt 2 § 3 mom. i grundlagen om att utövning av offentlig makt ska bygga på lag. De gällande bestämmelserna i informationsresurslagen motsvarar inte heller till alla delar den faktiska situationen i fråga om personuppgiftsansvaret och de leder till att tjänsteansvaret riktas på ett oändamålsenligt sätt. Det föreslås att i synnerhet personuppgiftsansvaret baserar sig på till vilken del myndigheterna deltar i fastställandet av ändamålen och medlen för behandling av personuppgifter för skötseln av deras lagstadgade uppgifter. I och med att alla personuppgiftsansvariga för de system som hör till informationsresursen, på ett sätt som avviker från nuläget, uttryckligen framgår av lag, beaktas kravet på exakthet och noggrann avgränsning bättre i lagen, med beaktande av det särskilda behovet av att säkerställa att regleringen är tydlig och transparent för att skydda de registrerades grundläggande fri- och rättigheter. Trots detta preciseras personuppgiftsansvaren allmänt i lagen och de personuppgiftsansvariga kan sinsemellan komma överens om delningen av uppgifterna i enlighet med dataskyddslagstiftningen. Genom kompletteringen av lagen om Åklagarmyndigheten med bestämmelser om personuppgiftsansvaret beaktas dock dessutom att åklagarna behandlar personuppgifter i en kontext där det finns ett känsligt samband med de grundläggande fri- och rättigheterna. Bestämmelserna i lagförslag 1 i propositionen är därför mer detaljerade än de bestämmelser som föreslagits för informationsresurslagen.
I enlighet med 14 § i den nuvarande informationsresurslagen beslutar Rättsregistercentralen om utlämnande av uppgifter ur den nationella informationsresursen. Detta motsvarar grundlagsutskottets riktlinje om att den myndighet som är behörig att lämna ut information ska framgå tydligt av lagen då bestämmelser utfärdas om gemensamt personuppgiftsansvar. I fråga om utlämnande av uppgifter föreslås inte någon ändring av den behöriga myndigheten i fråga om den nationella informationsresursen. Det föreslås dock att gällande 14 § 1 mom. kompletteras för att beakta i synnerhet de skyldigheter som följer av offentlighetsregleringen. Informationsresurslagen innehåller bestämmelser om centraliserat utlämnande av uppgifter som gäller domstolarnas avgöranden. Bestämmelserna i lagen kan dock orsaka tolkningsoklarheter och i vissa fall försämra tillgodoseendet av offentlighetsprincipen i fråga om de andra myndigheterna. Gällande 14 § 1 mom. är även motstridigt med det att i princip varje myndighet behandlar en begäran om uppgift som gäller uppgifter som den innehar, i synnerhet då det handlar om uppgifter som ingår i ett eget ärendehanteringssystem eller egna avgöranden. Myndigheten ska kunna lämna ut uppgifter till de delar som de är offentliga och även sekretessbelagda uppgifter med stöd av en bestämmelse i lag som berättigar till detta. Det gällande momentet kan således vara motstridigt även med sådana bestämmelser i den övriga lagstiftningen vilka handlar om en myndighets rätt att lämna ut uppgifter trots sekretessbestämmelserna. Den föreslagna kompletteringen av 14 § 1 mom. handlar i praktiken på samma gång om utlämnande av sådana personuppgifter som i enlighet med 7 § 2 mom. omfattas av det egna personuppgiftsansvaret för en enskild justitieförvaltningsmyndighet. Genom den föreslagna preciseringen av momentet förtydligas förhållandet mellan bestämmelserna i informationsresurslagen och offentlighetsregleringen.
De föreslagna lagändringarna som gäller behandlingen av personuppgifter vid Åklagarmyndigheten stärker dataskyddet och de registrerades säkerhet i en regleringskontext där det finns ett känsligt samband med de grundläggande fri- och rättigheterna. De föreslagna bestämmelserna och de bestämmelser i den allmänna dataskyddslagen vilka tillämpas på behandlingen av personuppgifter vid Åklagarmyndigheten anses med beaktande av det ovan nämnda vara tillräckliga och förenliga med grundlagsutskottets utlåtandepraxis samt uppfylla kraven i 10 § i grundlagen. I fråga om detaljer är det tillräckligt att de framgår närmare av den personuppgiftsansvariges dataskyddsbeskrivning. I regeringens proposition föreslås att även kraven på täckande, exakt och noggrant avgränsad reglering i anknytning till skyddet för personuppgifter inom tillämpningsområdet för dataskyddsdirektivet för brottmål i regel kan uppfyllas genom en allmän lag som ingår i den nationella rätten.
Den föreslagna regleringslösningen som gäller det gemensamma personuppgiftsansvaret för justitieförvaltningens nationella informationsresurs bedöms dessutom uppfylla de minimikrav på exakthet och tydlighet som i tolkningspraxis avseende grundlagen har ställts för att beakta kravet på att den offentlighetsprincip som tryggas i 12 § 2 mom. i grundlagen och den utövning av offentlig makt som regleras i 2 § 3 mom. i grundlagen ska basera sig på lag. I synnerhet befogenhetsförhållandena i anknytning till myndigheternas gemensamma personuppgiftsansvar framgår med avvikelse från nuläget av en uttrycklig lag. I fråga om den mer detaljerade fördelningen av uppgifterna mellan de personuppgiftsansvariga räcker det däremot att de personuppgiftsansvariga kommer överens närmare om dessa i enlighet med bestämmelserna om gemensamt personuppgiftsansvar i den allmänna dataskyddsförordningen och dataskyddslagen avseende brottmål.
På de grunder som anges ovan kan lagförslaget behandlas i vanlig lagstiftningsordning. I synnerhet bestämmelserna i lagförslag 1 avviker dock i fråga om detaljrikedom och omfattning från utskottets tidigare praxis som betonat exakta och heltäckande bestämmelser på lagnivå. Regeringen anser att det av denna orsak är önskvärt att grundlagsutskottet avger ett utlåtande i frågan.