Betänkande från lag- och kulturutskottet LKU 14/2018-2019

LSvapen

5x5px

Ålands lagting

BETÄNKANDE nr 14/2018-2019

 

Datum

 

Lag- och kulturutskottet

2019-04-02

 

 

 

 

 

 

 

 

 

 

 

Till Ålands lagting

 

 

 

 

 


Lag- och kulturutskottets betänkande

Blankettlag om dataskydd

·       Landskapsregeringens lagförslag nr 9/2018-2019

 

INNEHÅLL

Landskapsregeringens förslag. 1

Utskottets förslag. 1

Ärendets behandling. 3

Utskottets förslag. 4

 

 

 

Landskapsregeringens förslag

 

Dataskyddsförordningen började tillämpas den 25 maj 2018. I lagförslag nr 14/2017–2018 har landskapsregeringen tidigare föreslagit landskapslagstiftning som kompletterar dataskyddsförordningen och som antogs av lagtinget den 21 november 2018.

     Detta nya lagförslag utgår från att rikets dataskyddslagstiftning ska tillämpas då personuppgifter behandlas inom landskapets resterande behörighet över skyddet av personuppgifter. Den föreslagna blankettlagen syftar till ett enhetligt skydd av personuppgifter inom den privata sektorn och Ålands polismyndighet. Samtidigt ska blankettlagen genomföra det dataskyddsdirektiv som riktar sig till brottsbekämpande myndigheter.

     Blankettlagen innebär att tre centrala riksförfattningar om dataskydd ska tillämpas i samband med sådan behandling av personuppgifter som inte är föremål för den av Ålands lagting den 21 november 2018 antagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen. Samtidigt ska den gällande blankettlagen upphävas. Avsikten är att den föreslagna lagstiftningen träder i kraft så snart som möjligt med tanke på att dataskyddsdirektivet skulle vara genomfört inom medlemsstaterna senast den 6 maj 2018. Landskapsregeringen anser att lagförslaget bör åtföljas av en överföring till riksmyndighet av tillsynen över behandlingen av personuppgifter inom den privata sektorn och Ålands polismyndighet. Förverkligandet av detta förutsätter att det antas en särskild överenskommelseförordning.

 

Utskottets förslag

 

Lagförslaget gäller skyddet av personuppgifter inom de områden inom lagtingets behörighet som inte är föremål för den landskapslag om dataskydd inom landskaps- och kommunalförvaltningen och annan dataskyddslagstiftning som antogs av lagtinget den 21 november 2018.

     Presidenten har den 15 mars 2019 funnit att 28 § 1 mom. 1 och 3 punkten samt 37 § 4 mom. i landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen innebär en överskridning av lagstiftningsbehörigheten. Däremot finner presidenten inte några hinder för att landskapslagarna i övrigt träder i kraft. Enligt 27 § i landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen ska dataskyddsförordningens bestämmelser om administrativa sanktionsavgifter inte tillämpas i förhållande till de myndigheter inom landskaps- och kommunalförvaltningen som lagen riktar sig till.

     Högsta domstolen har i sitt utlåtande av den 5 mars 2019 om de nämnda lagtingsbesluten hänvisat till grundlagsutskottets utlåtande (GrUU 14/2018 rd) med anledning av regeringens proposition (RP 9/2018 rd) till riksdagen med förslag till lagstiftning som kompletterar EU:s allmänna dataskyddsförordning. Grundlagsutskottet ansåg i sitt utlåtande att det i konstitutionellt hänseende var problematiskt om de administrativa sanktionsavgifterna kunde påföras utan en föredragning av en enskild tjänsteman eftersom sanktionsavgifterna kan vara betydande. Högsta domstolen konstaterade att denna konstitutionella problematik inte uppstår i förhållande till landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen eftersom Datainspektionen inte har någon kompetens utanför det i lagen stadgade begränsade tillämpningsområdet, och kompetensen utsträcker sig inte utanför de myndigheter som anges i landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen. Samtliga myndigheter som landskapslagen riktar sig till har undantagits från sanktionsavgifterna enligt artikel 83.7 i dataskyddsförordningen.

     Tillämpningsområdet för den blankettlag som nu är föremål för behandling i lagtinget skulle delvis utsträckas till sådana områden där det inte är möjligt att göra undantag från de administrativa sanktionsavgifterna enligt artikel 83.7 i dataskyddsförordningen. Möjligheten till sådana undantag avgränsas nämligen till ”offentliga myndigheter och organ som är inrättade i medlemsstaten”. Enligt förslaget till 4 § 4 mom. i blankettlagen undantas Ålands polismyndighet från sanktionsavgifterna men de privata organ som blankettlagen kan utsträckas till skulle kunna påföras sanktionsavgifter av behörig tillsynsmyndighet. Även om avsikten är att överlåta uppgiften som tillsynsmyndighet inom blankettlagens tillämpningsområde till rikets tillsynsmyndighet genom en överenskommelseförordning, har lagtinget i samband med att en landskapslag antas enbart behörighet att uppfylla sina EU-rättsliga förpliktelser så att en myndighet inom landskapets behörighet utses till sådan tillsynsmyndighet som avses i dataskyddsförordningen. Det ligger då närmast till hands att Datainspektionen utses till tillsynsmyndighet i blankettlagen.

     I sitt ovan nämnda utlåtande konstaterade högsta domstolen att den konstitutionella problematik som lyftes fram av grundlagsutskottet är relevant om tillsynsmyndigheten får behörighet att påföra sådana sanktionsavgifter som avses i dataskyddsförordningen. Eftersom denna konstitutionella problematik uppstår inom blankettlagens tillämpningsområde måste bestämmelserna utformas så att sättet på vilket Datainspektionen kan påföra privata organ administrativa sanktionsavgifter enligt dataskyddsförordningen inte står i strid med grundlagen. I sitt utlåtande i denna fråga ansåg grundlagsutskottet att ett kollegialt organ bör ges i lagfäst uppdrag att besluta om de administrativa sanktionsavgifterna (GrUU 14/2018). Utskottet ansåg att dataombudsmannen i egenskap av enskild tjänsteman kunde ges i uppdrag att ha hand om utredning, övrig beredning och föredragning innan sanktionsavgiften påfördes i ärendet. Att förfarandet för att påföra sanktionsavgifter är behörigt, oavhängigt och rättvist på det sätt som krävs i 21 § i grundlagen säkerställs genom lagstiftning om att ett kollegialt organ är behörigt att fatta beslut om att påföra påföljdsavgift.

     Grundlagsutskottets synpunkter föranledde sedan ändrade bestämmelser i rikets dataskyddslag om beslutsfattandet vid påförandet av administrativa sanktionsavgifter. Riksdagens förvaltningsutskott introducerade bestämmelser om ett påföljdskollegium. Även dessa bestämmelser om påföljdskollegiet bedömdes av grundlagsutskottet som konstaterade att kollegiet kommer att utöva offentlig makt i en omfattning som kan anses betydande. På grund av rätten att utöva offentlig makt måste de allmänna grunderna för påföljdskollegiet utfärdas genom lag enligt 119 § 2 mom. i grundlagen. Med allmänna grunder avses här framför allt organets namn, verksamhetsområde, huvudsakliga uppgifter och behörighet. Dessa principer ska enligt grundlagsutskottets praxis också följas när enheter av ny typ som utövar offentlig makt inrättas på en myndighet eller något annat organ inom statsförvaltningen. Kriterierna gäller likaså vid organ som har karaktären av nämnd. Där ingår dessutom bestämmelser om hur en nämnd ska tillsättas, vilken sammansättning den ska ha och hur lång mandattiden är (se GrUU 24/2018 rd).

     Grundlagsutskottet hänvisade till att dataombudsmannen skulle ingå i det påföljdsorgan som utfärdar administrativa sanktionsavgifter samtidigt som ombudsmannen utövar de befogenheter att utreda och övervaka som ingår i dataskyddsförordningen. Till denna del konstaterade grundlagsutskottet att det enligt 21 § i grundlagen var befogat att skilja på dataombudsmannens och påföljdsorganets uppgifter och att dataombudsmannen därför inte ska ingå i det organ som beslutar om administrativa sanktionsavgifter. Också de särskilda kraven på rättssäkerhet och beslutsprocesser när det bestäms hur sträng den administrativa sanktionsavgiften enligt dataskyddsförordningen ska vara, talade enligt grundlagsutskottet starkt för att rätten att påföra avgiften och rätten att utreda grunderna för att påföra avgiften separeras. Grundlagsutskottet menade att en sådan organisatorisk separering ger påföljdsorganet en starkare ställning och stärker den försvarsrätt som ingår i parternas rättssäkerhetsgarantier (GrUU 24/2018 rd).

     Trots dessa synpunkter separerades aldrig dataombudsmannens och påföljdsorganets uppgifter. Enligt 24 § i dataskyddslagen (FFS 1050/2018) påförs de administrativa sanktionsavgifterna av ett påföljdskollegium som består av dataombudsmannen och de biträdande dataombudsmännen tillsammans. Dataombudsmannen är ordförande för kollegiet. Kollegiet är beslutfört med tre medlemmar. Kollegiet ska fatta beslut efter föredragning. Som beslut gäller den mening som flertalet har understött. Vid lika röstetal gäller som beslut den mening som är lindrigare för den som påföljden riktas mot. Av 24 § framgår också att påföljdsavgift inte får påföras, om det har förflutit mer än tio år sedan överträdelsen eller försummelsen har skett. Orsaken till att förvaltningsutskottet ändå beslöt att dataombudsmannen ska ingå i påföljdskollegiet torde vara att förordningen ”ger ingen nationell prövningsmarginal för att dela upp dess befogenheter på flera myndigheter. Detta beror på att enligt artikel 58 i förordningen ska varje tillsynsmyndighet ha som utgångspunkt samtliga befogenheter enligt förordningen” (FvUB 3/2018 rd).

     Mot bakgrund av detta bör det ingå bestämmelser i blankettlagen om ett särskilt organ inom Datainspektionen som fattar beslut om att påföra privata organ sådana administrativa sanktionsavgifter som avses i dataskyddsförordningen. Enligt tidigare planer ska tillsynsfunktionen överlåtas till riksmyndighet med stöd av en överenskommelseförordning. I ett sådant fall kommer rikets tillsynsmyndighet att sköta förvaltningsuppgiften i enlighet med de organisatoriska bestämmelserna i rikslagstiftningen.

     Utskottets förslag har tillkommit efter beredning inom landskapsregeringen.

 

Ärendets behandling

 

Lagtinget har den 7 januari 2019 inbegärt lag- och kulturutskottets yttrande i ärendet.

     Utskottet har i ärendet hört lagberedaren Sören Silverström.

     I ärendets avgörande behandling deltog ordföranden Harry Jansson, viceordföranden Roger Eriksson, ledamöterna Johan Ehn, Brage Eklund, Mikael Staffas och Tony Wikström.

 

 

Utskottets förslag

 

Med hänvisning till det anförda föreslår utskottet

 

att lagtinget antar det första lagförslaget i nedanstående lydelse samt

att lagtinget antar de andra och tredje lagförslagen i oförändrad lydelse.

 

 

 

1.

L A N D S K A P S L A G
om
tillämpning på Åland av riksförfattningar om dataskydd

 

     (Ingressen lika som i lagförslaget.)

 

1 - 3 §§

     (Lika som i lagförslaget.)

 

 

4 §

Tillsynsmyndighet

     ( 1 – 2 mom. lika som i lagförslaget.)

     De administrativa sanktionsavgifter som avses i artikel 83 i dataskyddsförordningen och 24 § i dataskyddslagen får endast påföras av påföljdsnämnden vid Datainspektionen i enlighet med 5 §. Vid tillämpningen av denna lag får Ålands polismyndighet inte påföras administrativa sanktionsavgifter.

     Om uppgiften som tillsynsmyndighet enligt denna lag överförs på en riksmyndighet enligt 32 § i självstyrelselagen för Åland ska bestämmelserna i rikslagstiftningen om tillsynsmyndigheten tillämpas.

 

5 § (Ny)

Påföljdsnämnden

      Vid Datainspektionen ska det finnas en särskild påföljdsnämnd som inom denna lags tillämpningsområde påför de administrativa sanktionsavgifter som avses i artikel 83 i dataskyddsförordningen. Landskapsregeringen tillsätter påföljdsnämnden för sex år i sänder.

     Påföljdsnämnden består av myndighetschefen vid Datainspektionen och ytterligare två medlemmar. Även dessa två medlemmar ska uppfylla de behörighetskrav som gäller för myndighetschefen enligt 16 § i landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen. Myndighetschefen är ordförande för påföljdsnämnden.

     Påföljdsnämnden är beslutför då samtliga tre medlemmar är närvarande och som beslut gäller det som flertalet har understött. Nämnden ska fatta beslut efter föredragning. I arbetsordningen för Datainspektionen kan föreskrivas närmare om föredragning och beslutsfattning vid påföljdsnämnden.

     Sanktionsavgift får inte påföras, om det har förflutit mer än tio år sedan överträdelsen eller försummelsen har skett. Om överträdelsen eller försummelsen har varit fortlöpande räknas den tioåriga tidsfristen från det att överträdelsen eller försummelsen har upphört.

     Om påföljdsnämndens uppgifter enligt denna lag överförs på en riksmyndighet enligt 32 § i självstyrelselagen för Åland ska bestämmelserna i rikslagstiftningen om påföljdskollegium tillämpas.

 

 

 

6 § (Lagförslagets 5 §)

Ikraftträdande

     (Lika som lagförslagets 5 §.)

 

__________________

 

 

 

Mariehamn den 2 april 2019

 

 

Ordförande

 

 

Harry Jansson

 

 

Sekreterare

 

 

Susanne Eriksson