Senast publicerat 03-11-2021 14:32

Regeringens proposition RP 18/2019 rd Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i migrationsförvaltningen och till vissa lagar som har samband med den

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

I denna proposition föreslås att det stiftas en lag om behandling av personuppgifter i migrationsförvaltningen. Lagen ska tillämpas på behandlingen av personuppgifter på migrationsförvaltningens område. Avsikten är att lagen ska ersätta lagen om utlänningsregistret, som föreslås bli upphävd. I den föreslagna lagen samlas dessutom de bestämmelser om behandling av personuppgifter som nu finns i andra lagar inom migrationsförvaltnings område. I propositionen ingår också förslag till lagar om ändring av lagen om mottagande av personer som söker internationellt skydd och om identifiering av och hjälp till offer för människohandel, lagen om bemötande av utlänningar som tagits i förvar och om förvarsenheter, lagen om främjande av integration, medborgarskapslagen, utlänningslagen, lagen om Migrationsverket, lagen om offentlighet i myndigheternas verksamhet, säkerhetsutredningslagen och lagen om Enheten för utredning av grå ekonomi. Propositionen innefattar också förslag till tekniska ändringar i lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten, lagen om identitetskort, lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet, lagen om behandling av personuppgifter inom Försvarsmakten, lagen om beskattningsförfarande, lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster och lagen om nationella studie- och examensregister.  

Målet är att bestämmelserna om behandling av personuppgifter i migrationsförvaltningen i fortsättningen ska finnas i en enda lag som uppfyller kraven på en modern personuppgiftslag och som kompletterar Europeiska unionens dataskyddsförordning, dataskyddslagen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten.  

Lagen om offentlighet i myndigheternas verksamhet ska enligt förslaget ändras på så sätt att de bestämmelserna som gäller handlingssekretess inom migrationsförvaltningen samlas i den lagen.  

De föreslagna lagarna avses träda i kraft så snart som möjligt. Lagen om ändring av lagen om Enheten för utredning av grå ekonomi avses träda i kraft den 1 juni 2020. 

ALLMÄN MOTIVERING

Inledning

I denna proposition föreslås en lag om behandling av personuppgifter i migrationsförvaltningen. Lagen ska tillämpas på behandlingen av personuppgifter på migrationsförvaltningens område. Till lagen koncentreras bestämmelser i migrationsförvaltningens lagar om behandling av personuppgifter i migrationsförvaltningen. Målet är att bestämmelserna om behandling av personuppgifter i migrationsförvaltningen i fortsättningen ska finnas i en lag som uppfyller kraven enligt en modern personuppgiftslag och som säkerställer enhetligheten i behandlingen av personuppgifter i alla de fall då personuppgifter behandlas i migrationsförvaltningen. Målet är att säkerställa att skyddet för privatlivet enligt 10 § 1 mom. i grundlagen samt kravet om att bestämmelser om skydd för personuppgifter ska utfärdas genom lag uppfylls i laga ordning i migrationsförvaltningen. Med tanke på att de personuppgifter som behandlas inom migrationsförvaltningen är känsliga är den föreslagna personuppgiftslagen nödvändig på grund av de risker och hot som behandlingen orsakar.  

Lagen ska ersätta lagen om utlänningsregistret (1270/1997), nedan utlänningsregisterlagen. Även registerbestämmelser i annan lagstiftning på migrationsförvaltningens område ska koncentreras till den föreslagna lagen, dvs. bestämmelserna i lagen om mottagande av personer som söker internationellt skydd och om identifiering av och hjälp till offer för människohandel (746/2011), nedan mottagandelagen, och i lagen om bemötande av utlänningar som tagits i förvar och om förvarsenheter (116/2002), nedan förvarslagen. Dessutom föreslås det att till lagen fogas registerbestämmelserna i lagen om främjande av integration (1386/2010), nedan integrationslagen, som hör till arbets- och näringsministeriets förvaltningsområde. Det registerbaserade regleringssättet ersätts genom bestämmelser om behandling av personuppgifter. I propositionen ingår också förslag om ändring av medborgarskapslagen (359/2003), utlänningslagen (301/2004), lagen om Migrationsverket (156/1995), lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen, säkerhetsutredningslagen (726/2014) och lagen om Enheten för utredning av grå ekonomi (1207/2010). Propositionen innefattar också tekniska ändringsförslag som främst gäller laghänvisningar och begrepp. Dessa gäller lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten (1069/2015), lagen om identitetskort (663/2016), lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet (657/2019), lagen om behandling av personuppgifter inom Försvarsmakten (332/2019), lagen om beskattningsförfarande (1558/1995), lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) och lagen om nationella studie- och examensregister (884/2017). 

Propositionen ingår i totalrevideringen av Finlands dataskyddslagstiftning. Revideringen grundar sig på Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, nedan dataskyddsförordningen, samt Europarlamentets och rådet direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan dataskyddsdirektivet för brottsbekämpande myndigheter. Dataskyddsförordningen började tillämpas den 25 maj 2018. På det nationella planet preciseras och kompletteras dataskyddsförordningen av dataskyddslagen (1050/2018), som trädde i kraft den 1 januari 2019. Dataskyddslagen ersatte lagen om behandling av personuppgifter (523/1999), nedan personuppgiftslagen, som sedan 1999 hade tillämpats på behandlingen av personuppgifter i Finland. Dataskyddsdirektivet för brottsbekämpande myndigheter har genomförs genom lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018), nedan dataskyddslagen för brottmål. Dataskyddsförordningen och lagstiftningen som kompletterar den tillämpas när det är fråga om behandling av personuppgifter i annat syfte än inom tillämpningsområdet för dataskyddsdirektivet för brottsbekämpande myndigheter och dataskyddslagen för brottmål, som genomför direktivet.  

Dataskyddsförordningen och dataskyddslagen kommer som regel att tillämpas vid migrationsförvaltningen. Lagen om behandling av personuppgifter i migrationsförvaltningen ska komplettera och precisera dataskyddsförordningen och dataskyddslagen i den mån det är tillåtet inom ramen för det nationella handlingsutrymme som medges medlemsstaternas lagstiftare och nödvändigt med beaktande av behoven vid migrationsförvaltningen för att skyddet för personuppgifter ska kunna genomföras. Dataskyddsförordningen, dataskyddslagen och den speciallagstiftning som kompletterar den ska tolkas som en helhet. Vid migrationsförvaltningen ska dataskyddslagen för brottmål tillämpas när personuppgifter behandlas i syfte att skydda den nationella säkerheten.  

Såväl i migrationsförvaltningens omvärld som i sättet att reglera skyddet av personuppgifter har det skett betydande förändringar, vilket har lett till att utlänningsregisterlagen i viss mån är föråldrad och inte i alla avseenden motsvarar sitt syfte. Särskilda registerbestämmelser som införts i vissa av migrationsförvaltningens lagar gör att helheten blir splittrad. Behandlingen av personuppgifter har fått större betydelse i takt med digitaliseringen av tjänster och information. Övergången till en digital tidsålder ställer krav också på behandlingen av personuppgifter i situationer då man inom tjänsteproduktionen har övergått från en dokumentbaserad informat-ionshantering till ett faktabaserat sätt att hantera information. I centrum står inte längre att föreskriva om register, informationssystem eller dokument, utan om på vilka grunder och hur personuppgifter behandlas så att nödvändig information blir tillgänglig, med respekt för integritetsskyddet och genom att säkerställa genomförandet. Regleringen bedöms inte bara med tanke på de grundläggande fri- och rättigheterna, såsom skyddet av personuppgifter och för privatlivet, utan myndigheternas flexibla samordning av information och grundläggande fri- och rättigheter är en central del av god förvaltning, fungerande samarbete mellan myndigheter och avveckling av normer. Genom att dela information kan man generera och förädla ny information, vilket ökar dess värde. Utnyttjandet av information kräver högkvalitativ informationshantering som bygger på modern lagstiftning. 

Nuläge

2.1  Lagstiftning och praxis

2.1.1  2.1.1 Behandling av personuppgifter

Grundlag 

Enligt 2 § i grundlagen ska all utövning av offentlig makt bygga på lag. I all offentlig verksamhet ska lag noggrant iakttas. I 10 § i grundlagen ingår bestämmelser om skydd för privatlivet. Enligt dess 1 mom. är vars och ens privatliv, heder och hemfrid tryggade. Närmare bestämmelser om skydd av personuppgifter utfärdas genom lag. Skyddet för privatlivet har av tradition medfört en skyldighet för staten att såväl själv avhålla sig från att kränka medborgarnas privatliv som att också aktivt agera mot kränkningar av privatlivet. Utgångspunkten för skyddet för privatlivet är individens rätt att leva sitt eget liv utan att myndigheter och andra utomstående godtyckligt eller grundlöst ingriper i hans eller hennes privatliv. 

I grundlag avser laghänvisningarna dels att förbehålla en reglering genom lag, dels att framhäva att regleringen i detalj föreskrivs utifrån det komplex som grundlagen och en vanlig lag utgör. Enligt grundlagsutskottets etablerade praxis begränsas lagstiftarens handlingsutrymme förutom av denna bestämmelse också av att skyddet av personuppgifter delvis omfattas av det skydd för privatlivet som tryggas i samma moment. Lagstiftaren ska trygga dessa rättigheter på ett sätt som kan anses godtagbart med tanke på det samlade systemet med grundläggande fri- och rättigheter. Enligt grundlagsutskottets etablerade praxis är viktiga regleringsobjekt när det gäller skyddet av personuppgifter åtminstone regleringens syfte, innehållet i de registrerade personuppgifterna, tillåtna användningsändamål liksom möjligheterna att lämna ut upp-gifterna samt lagringstiden för dem i personregistret och den registrerades rättssäkerhet. Dessutom ska regleringen av dessa faktorer på lagnivå vara heltäckande, exakt och noggrant avgränsad (GrUU 14/2018 rd s. 2, och GrUU 25/1998 rd s. 2). Grundlagsutskottet har också enligt tidigare praxis ansett att användningen av teknisk anslutning när det gäller skyddet av personuppgifter hör till de faktorer som ska regleras på lagnivå (GrUU 12/2002 rd, s. 5). Enligt grundlagsutskottets utlåtandepraxis lämpar sig dessa synpunkter för reglering av användningen av personuppgifter också i vidare bemärkelse.  

Grundlagsutskottet har dock nyligen sett över sin praxis beträffande regleringen av skyddet av personuppgifter (GrUU 14/2018 rd). Enligt grundlagsutskottets nyare praxis kan kraven på att regleringen när det gäller skyddet av personuppgifter ska vara heltäckande, exakt och noggrant avgränsad i viss mån uppfyllas också genom en förordning utfärdad av Europeiska unionen eller en allmän lag som ingår i den nationella lagstiftningen. I princip är det tillräckligt om bestämmelserna om skyddet och behandlingen av personuppgifter är förenliga med dataskyddsförordningen. Enligt grundlagsutskottet ska skyddet av personuppgifter i fortsättningen i första hand tillgodoses med stöd av dataskyddsförordningen och den nya nationella allmänna lagstiftningen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter. Den nationella speciallagstiftningen bör reserveras bara för situationer då den dels är tillåten enligt dataskyddsförordningen, dels är nödvändig för skyddet av personuppgifter (GrUU 14/2018 rd s. 3—4, och GrUU 2/2018 rd s. 4—8). 

Allmän lagstiftning 

Enligt grundlagsutskottet är det samtidigt uppenbart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju högre risk behandlingen innebär för en fysisk persons rättigheter och friheter, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter. Följaktligen menar utskottet att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter det. Där har behandlingen av känsliga uppgifter avgränsats genom exakta och noga avgränsade bestämmelser om att det är det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (GrUU 14/2018 rd).  

På behandlingen av personuppgifter i migrationsförvaltningen tillämpas i egenskap av allmän lag dataskyddslagen, som preciserar och kompletterar dataskyddsförordningen. I 1 kap. i dataskyddslagen ingår allmänna bestämmelser om lagens tillämpningsområde. Enligt det ska lagen tillämpas i enlighet med tillämpningsområdet för artikel 2 i dataskyddsförordningen och dessutom med vissa undantag också på sådan behandling av personuppgifter som inte hör till tillämpningsområdet för unionsrätten, om inte något annat föreskrivs någon annanstans i lag. I 2 kap. i dataskyddslagen föreskrivs det om den rättsliga grunden för behandling av personuppgifter i vissa fall, såsom laglig behandling av personuppgifter och behandling av särskilda kategorier av personuppgifter. I dess 3 kap. ingår bestämmelser om tillsynsmyndigheter, dvs. dataombudsmannen och dennes uppgifter och befogenheter samt sakkunnignämnden. I 4 kap. föreskrivs det om rättssäkerhet och påföljder, såsom rätten att föra ärenden till dataombudsmannen, vite och administrativa påföljdsavgifter. Dataskyddslagens 5 kap. innehåller bestämmelser om särskilda behandlingssituationer, såsom behandlingen av personuppgifter för journalistiska, akademiska, konstnärliga eller litterära ändamål, behandlingen av personbeteckningar samt undantag och skyddsåtgärder som avser behandlingen av personuppgifter för vetenskapliga och historiska forskningsändamål samt statistiska ändamål. I lagens 6 kap. ingår särskilda bestämmelser samt ikraftträdande- och övergångsbestämmelser. 

Dataskyddsförordningen tillämpas när det är fråga om behandlingen av personuppgifter på något annat område än tillämpningsområdet för dataskyddslagen för brottmål, som genomför dataskyddsdirektivet för brottsbekämpande myndigheter. Beträffande den i denna proposition föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen ska dataskyddslagen för brottmål tillämpas när personuppgifter behandlas i syfte att skydda den nationella säkerheten. I dataskyddslagen för brottmål innehåller 1 kap. allmänna bestämmelser, 2 kap. principerna för behandling av personuppgifter, 3 kap. bestämmelser om personuppgiftsansvarig och personuppgiftsbiträde, 4 kap. bestämmelser om de registrerades rättigheter, 5 kap. bestämmelser om informationssäkerhet, 6 kap. bestämmelser om dataskyddsombud, 7 kap. bestämmelser om överföringar av personuppgifter till tredjeländer och internationella organisationer, 8 kap. bestämmelser om tillsynsmyndighet, 9 kap. bestämmelser om rättsskydd, 10 kap. särskilda bestämmelser och 11 kap. ikraftträdande- och övergångsbestämmelser.  

Enligt förarbetet till dataskyddslagen för brottmål ska lagen tillämpas av myndigheter vars behörighet omfattar förebyggande, utredning och avslöjande av brott eller åklagarverksamhet som har samband med brott, dömande till straffrättsliga påföljder eller verkställande av straffrättsliga påföljder. Sådana myndigheter är bland annat polisen, Gränsbevakningsväsendet, Tullen, åklagarna, domstolarna och Brottspåföljdsmyndigheten. Dessa myndigheter ska dock tillämpa den föreslagna lagen bara när de behandlar personuppgifter i ovannämnda syfte, dvs. till exempel i samband med utredning av brott eller vid handläggning av brottmål i domstol. Lagen ska dessutom tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter vid upprätthållandet av den nationella säkerheten. Behöriga myndigheter är till denna del Försvarsmakten, Gränsbevakningsväsendet och polisen, i synnerhet skyddspolisen. Till denna del grundar sig den föreslagna lagens tillämpningsområde inte på genomförandet av direktivet, utan det är fråga om en nationell lösning. I propositionen klassificeras Migrationsverket inte som en myndighet som skyddar den nationella säkerheten, och därför ska sådan behandling av personuppgifter som dataskyddslagen för brottmål tillämpas på gälla polisen och Gränsbevakningsväsendet, när behandlingen sker i syfte att skydda den nationella säkerheten och inom ramen för tillämpningsområdet för den lag som föreslås genom denna proposition.  

Vid sidan av de allmänna lagarna finns många speciallagar som reglerar behandlingen av personuppgifter.  

Lagstiftning som ger behörighet 

Behörigheten hos myndigheterna vid migrationsförvaltningen grundar sig på flera lagar. På utlänningars inresa, utresa samt vistelse och arbete i Finland tillämpas utlänningslagen (301/2004) och de bestämmelser som utfärdats med stöd av den. I medborgarskapslagen (359/2003) föreskrivs om villkoren för att förvärva, behålla eller förlora finskt medborgarskap samt om förfarandet vid behandlingen av ett sådant ärende. I lagen om villkor för tredjelandsmedborgares inresa och vistelse för säsongsanställning (907/2017), nedan lagen omsäsongsanställning ingår bestämmelser om villkoren för tredjelandsmedborgares inresa och vistelse för säsongsanställning, om tillstånd som beviljas säsongsanställda och säsongsanställdas rättigheter under vistelsen i landet. I lagen om villkor för inresa och vistelse för tredjelandsmedborgare inom ramen för företagsintern förflyttning av personal (908/2017), nedan ICT-lagen innehåller bestämmelser om villkoren för inresa för tredjelandsmedborgare som förflyttas till Europeiska unionens territorium, om tillstånd som beviljas personer som är föremål för företagsintern förflyttning och om deras rättigheter under vistelsen i landet. I lagen om villkoren för tredjelandsmedborgares inresa och vistelse på grund av forskning, studier, praktik och volontärarbete (719/2018), nedan forskar- och studerandelagen innehåller bestämmelser om villkoren för tredjelandsmedborgares inresa och vistelse på grund av forskning, studier, praktik och volontärarbete. I utlänningsregisterlagen ingår bestämmelser om de personregister som förs för att de befogenheter och uppgifter som följer av lagarna ovan ska kunna fullföljas.  

Mottagandelagen tillämpas på mottagandet av personer som söker internationellt skydd och som får tillfälligt skydd samt på hjälpen till offer för människohandel. I förvarslagen ingår bestämmelser om hur bemötandet av utlänningar som tagits i förvar med stöd av 121 och 122 § i utlänningslagen ska ordnas i förvarsenheter som särskilt reserverats för detta ändamål. Syftet med integrationslagen, som hör till arbets- och näringsministeriets förvaltningsområde, är att stödja och främja integration och invandrares möjligheter att aktivt delta i det finländska samhället. Lagen innehåller registerbestämmelser om anvisande av kommun. Behandlingen av personuppgifter för anvisande av kommun kommer att koncentreras till ett informationssystem som administreras av Migrationsverket. De personregister som förs på tillämpningsområdet för lagarna ovan regleras i respektive lag i särskilda kapitel. I det avseendet har registerregleringen inte koncentrerats.  

Vid migrationsförvaltningen finns många myndigheter, vilket är ett att migrationsförvaltningens särdrag. Centrala aktörer på migrationsförvaltningens område är bland annat Migrationsverket, polisen, Gränsbevakningsväsendet, förläggningar och flyktingslussar, förvarsenheter, utrikesförvaltningen, närings-, trafik- och miljöcentraler (NTM-centraler) samt arbets- och näringsbyråer (TE-byråer). Det bör noteras att många av de myndigheter, som verkar inom migrationsförvaltningen, till exempel polisen och Gränsbevakningsväsendet och TE-byråer, agerar förutom som migrationsmyndighet också i sina egna så kallade kärnuppgifter, dvs. i rollen som polis-, gränsbevaknings- eller arbetskraftsmyndighet. I detta fall grundar sig dessa myndigheters uppgifter och behörighet på polislagen (872/2011), gränsbevakningslagen (578/2005) eller lagen om offentlig arbetskrafts- och företagsservice (916/2012). Dessa myndigheter behandlar i sin verksamhet personuppgifter huvudsakligen med stöd av lagen om behandling av personuppgifter i polisens verksamhet (616/2019), nedan polisens personuppgiftslag, lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (639/2019), nedan Gränsbevakningsväsendets personuppgiftslag, och 13 kap. i lagen om offentlig arbetskrafts- och företagsservice.  

Registerbestämmelser 

Insamling och registrering av personuppgifter i utlänningsregistret samt användning och utlämnande av de registrerade uppgifterna regleras i utlänningsregisterlagen. Den lagen innehåller dessutom bestämmelser om sekretess när det gäller uppgifter och handlingar som erhållits för skötseln av uppgifter enligt lagens tillämpningsområde. Utlänningsregisterlagen är en speciallag i förhållande till dataskyddslagen och offentlighetslagen. I utlänningsregisterlagen ingår sjutton paragrafer.  

Utlänningsregisterlagens 1 kap. innehåller allmänna bestämmelser. I 1 § i lagen föreskrivs det om lagens tillämpningsområde. Enligt paragrafen föreskrivs det i lagen om inhämtande och införande av personuppgifter i utlänningsregistret samt om användning och utlämnande av uppgifter som finns i registret. Paragrafen innehåller en hänvisning till den allmänna lagen om skyddet av personuppgifter och till internationella avtal som är bindande för Finland. I 2 § i utlänningsregisterlagen föreskrivs det om registerföring och ändamålet med registret. Enligt bestämmelsen är utlänningsregistret ett personregister som förs med hjälp av automatisk databehandling. Utlänningsregistret förs och används som underlag för behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse och arbete i Finland, för tryggande av statens säkerhet och för genomförande av sådana säkerhetsutredningar som avses i säkerhetsutredningslagen (726/2014). Utlänningsregistret förs dessutom som underlag för behandling av och beslut i ärenden som gäller förvärv, behållande och förlust av finskt medborgarskap samt bestämmande av medborgarskapsstatus. Utlänningsregistrets uppgifter kan an-vändas för att ta fram statistik enligt nationella och internationella behov med beaktande av personuppgiftslagens bestämmelser om behandling av personuppgifter.  

I lagens 3 § finns bestämmelser om registeransvariga. Enligt paragrafen bär Migrationsverket och utrikesministeriet som registeransvariga det huvudsakliga ansvaret för utlänningsregistret. Det huvudsakliga ansvaret för registret har uppdelats mellan parterna på basis av utlänningsregistrets åtta delregister så att utrikesministeriet bär ansvaret för delregistret för visumärenden och delregistret för inresevillkor. Migrationsverket ansvarar för övriga delregister. Dessutom förs och används utlänningsregistret också av polisen, Gränsbevakningsväsendet, Tullen, närings-, trafik- och miljöcentralerna, arbets- och näringsbyråerna, arbetarskyddsmyndigheterna, fångvårdsmyndigheterna, diskrimineringsombudsmannen samt högsta förvaltningsdom-stolen och de regionala förvaltningsdomstolarna. Anställda hos de myndigheter som för och använder registret har rätt att med hjälp av en teknisk anslutning se och behandla uppgifter som förts in i utlänningsregistret bara inom ramen för sina befogenheter. 

I 3 a § i utlänningsregisterlagen föreskrivs det om användning av fingeravtrycksuppgifter i delregistret för främlingspass och resedokument för flykting. De fingeravtryck som tagits för ansökningar om främlingspass och resedokument för flykting ska registreras i delregistret för främlingspass och resedokument för flykting. Fingeravtrycken får användas av Migrationsverket, polisen, Gränsbevakningsväsendet och Tullen, när myndigheten fullgör uppgifter som hör till gränskontrollmyndigheten, och av utrikesministeriet och finska beskickningar. Fingeravtryck får användas bara för fastställande av identitet och tillverkning av främlingspass eller resedokument för flykting. Polisen har dessutom rätt att med iakttagande av 15 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet använda de fingeravtrycksuppgifter som registrerats i delregistret för ansökningsärenden. 

I 3 b § föreskrivs det om användning och jämförelse av fingeravtrycksuppgifter i delregistret för ansökningsärenden. Fingeravtryck som tas för ansökan om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem ska införas i delregistret för ansökningsärenden. Fingeravtrycken får användas av Migrationsverket, polisen, gränskontrollmyndigheten och finska beskickningar. Fingeravtryck som införs i registret får bara användas för att inom ramen för befogenheter i anknytning till de ändamål som anges i 2 § 2 mom. verifiera autenticiteten av ett uppehållstillståndskort och identiteten hos innehavaren av ett uppehållstillstånd, för behandling och övervakning av och beslut i ärenden som gäller ut-länningars inresa och utresa samt vistelse och arbete och för skyddet av statens säkerhet. En myndighet som har rätt att använda uppgifterna har rätt att jämföra dem med tidigare registrerade fingeravtryck i delregistret för ansökningsärenden och med fingeravtrycksuppgifter i delregistret för främlingspass och resedokument för flykting och med fingeravtryck som med stöd av 131 § i utlänningslagen (301/2004) registrerats i polisens register. Dessutom får uppgifter för kontroll av inreseförutsättningarna jämföras med fingeravtryck som ingår i sådana signalementsuppgifter enligt tvångsmedelslagen (806/2011) som avses i 6 § i lagen om behandling av personuppgifter i polisens verksamhet, när de redan registrerade fingeravtrycksuppgifterna har samband med ett brott för vilket det föreskrivna strängaste straffet är fängelse i minst ett år. Polisen har dessutom rätt att med iakttagande av 15 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet använda de fingeravtrycksuppgifter som registrerats i delregistret för ansökningsärenden.  

Enligt 4 § i utlänningsregisterlagen ansvarar en registeransvarig som för in uppgifter i utlänningsregistret vid skötseln av sina egna åligganden för att de uppgifter som den registeransvarige själv har fört in i registret är korrekta samt för att registreringen och användningen har laga grund.  

Enligt 4 a § gäller i fråga om den registrerades rätt till uppgifter som polisen förvarar i utlänningsregistret vad som föreskrivs i lagen om behandling av personuppgifter i polisens verksamhet (761/2003).  

I 4 b § i utlänningsregisterlagen föreskrivs om dataskyddet vid registrering och annan behandling av identifieringsuppgifter som grundar sig på fysiska egenskaper.  

Utlänningsregisterlagens 2 kap. innehåller bestämmelser om utlänningsregistrets datainnehåll och källor. I 5 § i lagen föreskrivs om de personer som omfattas av de uppgifter som får inhämtas för och föras in i utlänningsregistret. Uppgifter får inhämtas och föras in om dem som ansökt om visum, uppehållstillstånd, internationellt skydd, främlingspass eller resedokument för flykting och dessutom uppgifter som gäller medborgarskap, om dem som av lagt språkexamen, om personer vars uppehållsrätt registrerats och som beviljats betänketid enligt 52 b § i utlänningslagen, om fysiska och juridiska personer som anställer en utländsk arbetstagare samt om personer som har ansökt om finskt medborgarskap eller behållande av finskt medborgarskap eller befrielse från finskt medborgarskap eller som lämnat in en anmälan för förvärv av finskt medborgarskap, förlorat sitt finska medborgarskap eller vars medborgarskapsstatus man har bestämt eller försökt bestämma. Dessutom får uppgifter föras in om familjemedlemmar till personer som avses ovan, om personer som bor i samma hushåll som de och om mottagare i Finland i sådana fall då uppgifterna behövs när ett ärende ska avgöras.  

I 6 § föreskrivs det om registrering av känsliga uppgifter. Paragrafen gäller i praktiken så kallade brottsuppgifter, och de personer som omfattas av registret har avgränsats noggrannare än i 5 §. Känsliga personuppgifter enligt 11 § i personuppgiftslagen, som upphävts genom dataskyddslagen, är uppgifter om en brottslig gärning eller ett straff eller någon annan påföljd för ett brott. Enligt 6 § 2 mom. i utlänningsregisterlagen får andra känsliga personuppgifter som avses i den lagstiftning som gäller datasekretess för personuppgifter föras in bara om den registrerade samtyckt eller om det för behandlingen av ett ärende är absolut nödvändigt att registrera uppgiften. 

I 7 § specificeras de uppgifter som får föras in i registret. I paragrafen räknas det upp alla de uppgifter om personer som avses i 5 och 6 § och som i den mån det är behövligt får föras in i utlänningsregistret. I praktiken har uppgifterna indelats enligt en persons identifieringsuppgifter och klientskap, behandling av ärenden och åtgärder som gäller dem samt person- och kontaktuppgifter för familjemedlemmar, personer som bor i samma hushåll samt för mottagare.  

Lagens 8 § innehåller bestämmelser om externa datakällor. Enligt paragrafen har den registeransvarige trots sekretessbestämmelserna rätt att för utlänningsregistret få sådan information som är nödvändig för utförande av de uppgifter som föreskrivs för den i lag i de fall som anges i paragrafen. Rätten att få information gäller i praktiken vissa angivna myndigheter och andra organisationer och avser vissa specificerade uppgifter. Uppgifterna kan, i enlighet med vad som avtalas med den registeransvarige, lämnas ut även i maskinläsbar form eller med hjälp av teknisk anslutning.  

I 9 § föreskrivs det om uppgifternas bevaringstid och avförande av dem ur registret. Uppgifterna om en person i utlänningsregistret avförs i sin helhet ett år efter det att denne har förvärvat finskt medborgarskap eller avlidit. Uppgifter om ett ärende avförs med vissa undantag fem år efter det att uppgiften senast införts, om visumet, uppehållstillståndet, uppehållsrätten eller dokumentet har upphört att gälla. Avförda uppgifter arkiveras. En uppgift som har konstaterats vara felaktig får under vissa förutsättningar bevaras i fem år efter att den införts. 

I 3 kap. finns bestämmelser om sedvanlig utlämning och hemlighållande av uppgifter. I 10 § ingår bestämmelser om de fall som noggrant definieras i paragrafen då information som är införd i utlänningsregistret trots sekretessbestämmelserna får utlämnas till andra myndigheter eller organisationer i den mån det är nödvändigt för att den mottagande myndigheten ska kunna utföra sina i lag bestämda uppgifter. Informationen kan lämnas ut även i maskinläsbar form eller med hjälp av teknisk anslutning. Bestämmelserna om utlämning gäller dock inte fingeravtryck som tagits på en person som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort eller om främlingspass eller resedokument för flykting, om inte något annat föreskrivs någon annanstans i lag. Enligt propositionen (RP 206/1997 rd) ska de registeransvariga ha rätt att använda de registrerade uppgifterna vid skötseln av åligganden som specificeras i lagförslaget. Därför behövs ingen särskild bestämmelse om hur uppgifter får lämnas ut mellan registeransvariga.  

Enligt 11 § ska information och handlingar som erhållits för skötseln av angivna uppgifter hemlighållas, om så bestäms genom lag eller med stöd av lag eller om det inte är uppenbart att utlämnandet av uppgifter inte medför skada eller olägenhet för Finlands internationella relationer, det internationella samarbetet eller sökanden eller någon annan part eller dennes närstående. Enligt 24 § 1 mom. 24 punkten i offentlighetslagen är handlingar som gäller flyktingar eller personer som ansöker om asyl, uppehållstillstånd eller visum sekretessbelagda, om inte något annat föreskrivs särskilt. 

I 6 kap. i mottagandelagen föreskrivs det om registret över mottagna klienter och företrädarregistret. Registret över mottagna klienter är ett personregister som förs med hjälp av automatisk databehandling och är ett personregister över personer som söker internationellt skydd, får tillfälligt skydd eller är offer för människohandel. I verkligheten sker en del av behandlingen med hjälp av automatisk databehandling och en del manuellt. I registret över mottagna klienter ingår ett riksomfattande delregister och delregister som förs av förläggningarna och flyktingslussarna. Det riksomfattande delregistret används för styrning, planering och uppföljning av mottagandet av personer som söker internationellt skydd eller får tillfälligt skydd och av hjälpen till offer för människohandel. De delregister som förs av förläggningar och flyktingslussar används för planering, ordnande, genomförande och uppföljning av mottagningstjänsterna för personer som söker internationellt skydd eller får tillfälligt skydd och av hjälpinsatserna till offer för människohandel. Migrationsverket svarar för administrationen av de riksomfattande delregistren. Förläggningarna och flyktingslussarna administrerar sina egna delregister. I registret får man förutom uppgifter som identifierar en person föra in uppgifter som gäller exempelvis den registrerades inkvartering, mottagnings- eller brukspenning eller hälsotillstånd eller uppgifter som är behövliga med tanke på planering, ordnande, genomförande och uppföljning av mottagningstjänsterna eller hjälpinsatserna.  

Företrädarregistret är ett personregister som definieras i 45 § 2 mom. i mottagandelagen, som förs med hjälp av automatisk databehandling och som består av företrädare som med stöd av 39 § förordnats för barn utan vårdnadshavare. I företrädarregistret ingår ett riksomfattande delregister och de delregister som förs av förläggningarna och flyktingslussarna. Det riksomfattande delregistret används för styrning, planering och uppföljning av verksamheten i anslutning till företrädande av barn utan vårdnadshavare. Men det bör noteras att denna behörighet inte anges särskilt i bestämmelserna i mottagandelagen där myndighetens behörighet beskrivs. De delregister som förs av förläggningarna och flyktingslussarna är avsedda för den praktiska administrationen av verksamheten i anslutning till företrädande av barn utan vårdnadshavare. Migrationsverket svarar för administrationen av de riksomfattande delregistren. För-läggningarna och flyktingslussarna administrerar sina egna delregister. I företrädarregistret får man föra in uppgifter som identifierar en företrädare samt uppgifter som gäller en företrädares förordnande. Bestämmelser om rätten att få uppgifter finns i mottagandelagens 8 kap. och särskilda bestämmelser om rätten att få uppgifter ur registret i 6 kap. 53 §. Dessutom föreskrivs om utlämning av uppgifter ur registret och om utplåning och lagring av uppgifter. 

I 5 a kap. i förvarslagen ingår bestämmelser om klientregistret över utlänningar som tagits i förvar och förvarsenhetens besökarregister. Klientregistret över utlänningar som tagits i förvar är ett personregister som förs över utlänningar som tagits i förvar och som består av ett riksomfattande delregister och förvarsenheternas delregister. Det riksomfattande delregister som ingår i klientregistret över utlänningar som tagits i förvar förs för styrning, planering och uppföljning av den praktiska verksamheten vid förvarsenheterna. Förvarsenheternas delregister förs för utarbetande av handlingar som används vid ordnande, planering, genomförande och uppföljning av tagandet i förvar av utlänningar som tagits i förvar samt för förvaring av dessa handlingar och annat material som gäller tagande i förvar och för statistikföring. Det datainnehåll som 32 d § i förvarslagen tillåter räcker dock inte till för att tillgodose dessa behov av behandling. Migrationsverket är registeransvarig för det riksomfattande delregister som ingår i klientregistret över utlänningar som tagits i förvar. Förvarsenheten är registeransvarig för sitt eget delregister och för förvarsenhetens besökarregister.  

Förvarsenhetens besökarregister är ett personregister som förs över personer som besöker utlänningar som tagits i förvar och över andra personer som besöker förvarsenheten. Förvarsenhetens besökarregister förs för att upprätthålla ordningen och säkerheten vid förvarsenheten. Förvarsenheten är registeransvarig för förvarsenhetens besökarregister. I registren får man föra in uppgifter som identifierar en person samt vissa andra nödvändiga uppgifter av betydelse som närmare anges i lagen. Bestämmelser om rätten att få uppgifter finns i 6 kap. och om rätten att få uppgifter ur registret i 32 g §. Dessutom föreskrivs det om utlämning av uppgifter ur registret och om utplåning och lagring av uppgifter.  

I 8 kap. i integrationslagen ingår bestämmelser om register. I 60 § i lagen föreskrivs om kommunanvisningsregistret som är ett personregister som används vid anvisande av personer till kommuner. I registret för man in information om till vilken kommun personen har anvisats samt personens identifieringsuppgifter. Kommunanvisningsregistret förs av närings-, trafik- och miljöcentralen. Enligt 61 § i lagen får närings-, trafik- och miljöcentralerna lämna ut sådana uppgifter ur kommunanvisningsregistret till Migrationsverket, Folkpensionsanstalten, kommunala myndigheter, utvecklings- och förvaltningscentret och arbets- och näringsbyrån som behövs för skötseln av deras uppgifter i anslutning till invandring enligt denna lag, utlän-ningslagen eller någon annan lag. Uppgifterna kan även lämnas ut i maskinläsbar form eller med hjälp av en teknisk anslutning. Enligt 62 § i lagen ska uppgifterna om en registrerad i kommunanvisningsregistret avföras när de inte längre behövs och senast fem år efter att den sista uppgiften om den registrerade har förts in. Arkivverket bestämmer om varaktig lagring av kommunanvisningsregistret och de uppgifter som ingår i registret i enlighet med vad som bestäms i arkivlagen (831/1994).  

Informationssystem 

I migrationsförvaltningens registerbestämmelser som beskrivs ovan tillämpas begreppet av ett logiskt register enligt 3 § i personuppgiftslagen. Med register avses då en datamängd som innehåller personuppgifter och som består av anteckningar som hör samman på grund av sitt användningsändamål, och som helt eller delvis behandlas med automatisk databehandling. I ett register kan således ingå såväl uppgifter som registrerats i ett informationssystem som uppgifter som förs manuellt, bara de har ett samstämmigt syfte.  

De uppgifter som ingår i utlänningsregistrets datainnehåll behandlas med hjälp av automatisk databehandling i tre informationssystem: i ärendehanteringssystemet för utlänningsärenden (UMA), i identitetskorts- och passinformationssystemet (Heko-Passi) i fråga om främlingspass och resedokument för flykting samt i det nationella informationssystemet för viseringar. 

Migrationsverket administrerar ärendehanteringssystemet för utlänningsärenden samt identitetskorts- och passinformationssystemet i fråga om främlingspass och resedokument för flykting. Polisen svarar i övrigt för administrationen av identitetskorts- och passinformationssystemet. Utrikesförvaltningen sköter det nationella informationssystemet för viseringar.  

Systemet UMA och den del av identitetskorts- och passinformationssystemet som gäller främlingspass och resedokument för flykting är i tekniskt avseende sammankopplade så att datainnehållet i identitetskorts- och passinformationssystemet i fråga om främlingspass och resedokument för flykting kan läsas via systemet UMA. Dessutom kan de uppgifter som gäller främlingspass och resedokument för flykting i identitetskorts- och passinformationssystemet behandlas också via identitetskorts- och passinformationssystemets användargränssnitt. Systemet UMA och det nationella informationssystemet för viseringar är särskilda system som inte är kopplade till varandra.  

Datainnehållet i UMA består av olika kategorier av uppgifter, och för användningen av dem har det skapats flera olika kategorier med beaktande av användarnas behov. Användarrättigheterna bildas av användarroller, och rättigheterna är mer omfattande ju fler användarroller användaren har tilldelats. Användarna beviljas rättigheter efter ansökan enligt behov och på grundval av arbetsuppgifter. I egenskap av administratör för systemet svarar Migrationsverket för hanteringen av behörigheterna för, utvecklingen av och kostnaderna för systemet UMA. 

I UMA behandlas förutom uppgifter som hör till utlänningsregistret också uppgifter som ingår i klientregistret över mottagna asylsökande och i företrädarregistret. Personuppgiftsansvariga myndigheter är Migrationsverket, förläggningar och flyktingslussar. Dessa behandlar såväl klientuppgifter som gäller mottagningstjänster och hjälpinsatser till offer för människohandel som uppgifter om företrädare för asylsökande barn utan vårdnadshavare. Förläggningarna och flyktingslussarna behandlar uppgifter i registret över mottagna klienter samt uppgifter om företrädare också i andra informationssystem och filer. Förläggningarna har dessutom ett särskilt informationssystem för behandling av patientuppgifter i patientregistret för asylsökande.  

I UMA behandlar Migrationsverket och förvarsenheterna uppgifter som ingår i klientregistret över utlänningar som tagits i förvar. Förvarsenheterna för dessutom ett besökarregister. 

Kommunanvisningsregistret förs av närings-, trafik- och miljöcentralerna. En koncentration av uppgifterna i kommunanvisningsregistret till systemet UMA är under beredning.  

Det nationella visuminformationssystemet innehåller information om Schengen-visum. 

2.1.2  2.1.2 Handlingars offentlighet

Såsom i annan myndighetsverksamhet är utgångspunkten handlingarnas offentlighet även inom migrationsförvaltningen. Enligt 1 § i offentlighetslagen är myndighetshandlingar offentliga, om inte något annat föreskrivs. I 9 § i den lagen sägs det att var och en har rätt att ta del av en offentlig myndighetshandling. Naturen av de handlingar som behandlas inom migrationsförvaltningen förutsätter emellertid att deras offentlighet har inskränkt för att skydda vissa andra intressen. Om hemlighållande av personuppgifter inom migrationsförvaltningen föreskrivs både i offentlighetslagen, som allmän lag, och till vissa delar även genom en specialbestämmelse i lagen om utlänningsregistret. Syftet har varit att genom sekretessbestämmelser skydda intressen som kräver särskilt skydd i anslutning till migrationsförvaltningens kundgrupper 

Offentlighetslagen  

I offentlighetslagen finns utöver andra sekretessgrunder som tillämpas på personuppgifter en särskild sekretessbestämmelse som riktar sig till migrationsförvaltningens kundgrupper. Enligt 24 § 1 mom. 24 punkten i offentlighetslagen är, om inte något annat föreskrivs särskilt, handlingar som gäller flyktingar eller personer som ansöker om asyl, uppehållstillstånd eller visum sekretessbelagda, om det inte är uppenbart att utlämnandet av uppgifter ur dessa inte äventyrar säkerheten för flyktingen eller sökanden eller en närstående. I rättsliteraturen har det om 24 § 1 mom. 24 punkten i offentlighetslagen konstaterats att det är fråga om en sekretessbestämmelse vars primära syfte är att trygga personernas säkerhet samt ge skydd mot hämndakter och motsvarande (Wallin–Konstari, Julkisuus- ja salassapitolainsäädäntö 2000, s.162).  

Sekretessgrunderna i offentlighetslagen är allmänna till sitt tillämpningsområde. Sekretessen bestäms på grundval av handlingens innehåll och gäller alla de myndigheter som har handlingen (RP 30/1998 rd, s. 86—87). Tillämpningsområdet av 24 § 1 mom. 24 punkten i offentlighetslagen är däremot inskränkt när det gäller personkretsen. Sekretessbelagda med stöd av den kan bara bli handlingar som gäller flyktingar eller personer som ansöker om asyl, uppehållstillstånd eller visum. 

Klausulen om skaderekvisit i 24 § 1 mom. 24 punkten i offentlighetslagen är bunden till en presumtion om sekretess. Enligt offentlighetsprincipen kan det ges uppgifter om handlingen på basis av rätten att få information endast om det med beaktande av alla omständigheter i anslutning till ärendet kan anses vara mycket osannolikt att utlämnandet av information kan ha en sådan skadlig effekt som avses i punkten. I förarbetet till offentlighetslagen har det ansetts att absolut sekretess kunde medföra onödig sekretess i ärenden där den offentliga maktutövningen bör kunna övervakas, och då förutsätter bestämmelserna att myndigheten från fall till fall prövar om utlämnande av en viss handling skulle medföra olägenhet (skaderekvisit). (RP 30/1998 rd, s. 88).  

Även i rättspraxis har i ett avgörande (HFD 2013:121) ansetts att klausulen om förutsättande av skada i 24 § 1 mom. 24 punkten i offentlighetslagen förutsätter en bedömning som gäller den enskilda handlingen om huruvida utgivande av uppgifterna orsakar de följder som avses i bestämmelsen. Bedömningen ska beakta vad handlingen gäller, hurdana uppgifter den innehåller och hur lång tid som gått sedan ärendet var anhängigt. Både högsta förvaltningsdomstolen och justitieombudsmannens (EOA 380/4/04) har i sina avgöranden ansett att uppgiftssekretessen gäller oberoende av hur ansökan om internationellt skydd avgörs och att den inte är begränsad till ansökningsfasen. Sekretessens tidsmässiga utsträckning måste bedömas från fall till fall. Tiden sedan en ansökan om internationellt skydd lämnats kan påverka bedömningen av skaderekvisitet så att sekretessen inte längre än nödvändig för att skydda personen och de närstående, åtminstone inte i samma grad som tidigare.  

24 § 1 mom. 24 punkten i offentlighetalagen innehåller därtill flera andra sekretessgrunder som ska tillämpas inom migrationsförvaltningen. Exempelvis enligt 23 och 32 punkten gäller absolut sekretess i fråga om uppgifter om en persons ekonomiska ställning och om en persons privata omständigheter och familjeliv. Även lämnandet av migrationsförvaltningens handlingar till berörda parter bedöms utifrån offentlighetslagen. 

Utlänningsregisterlagen  

Inom migrationsförvaltningen tillämpas inte bara sekretessbestämmelserna i offentlighetslagen utan även 11 § i utlänningsregisterlagen, enligt vilken information och handlingar som erhållits för skötseln av uppgifter som anges i 2 § ska hemlighållas, om så föreskrivs genom lag eller med stöd av lag eller om det inte är uppenbart att utlämnandet av uppgifter inte medför skada eller olägenhet för Finlands internationella relationer, det internationella samarbetet eller sökanden eller någon annan part eller dennes närstående.  

I 2 § i utlänningsregisterlagen finns bestämmelser om registerföring och användning av utlänningsregistret som underlag för behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse och arbete i Finland, för skyddet av statens säkerhet och för genomförande av sådana säkerhetsutredningar som avses i säkerhetsutredningslagen (726/2014) samt som underlag för behandling av och beslut i ärenden som gäller förvärv, behållande och förlust av finskt medborgarskap samt bestämmande av medborgarskapsstatus. Bestämmelser om behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse och arbete i Finland finns i utlänningslagen och dessutom i lagen om säsongsanställning, ICT-lagen och forskar- och studerandelagen. Bestämmelser om förvärv, behållande och förlust av samt befrielse från finskt medborgarskap och om bestämmande av medborgarskapsstatus finns å sin sida i medborgarskapslagen. Bestämmelsen i utlänningsregisterlagen gäller registeransvariga enlig 3 § i utlänningsregisterlagen, dvs. Migrationsförvaltningen, utrikesministeriet, polisen, Gränsbevakningsväsendet, Tullen, närings-, trafik- och miljöcentralerna, arbets- och näringsbyråerna, fångvårdsmyndigheterna, diskrimineringsombudsmannen samt högsta förvaltningsdomstolen och de regionala förvaltningsdomstolarna.  

Sekretessbestämmelsen i 11 § i utlänningsregisterlagen är en specialbestämmelse i förhållande till 24 § 1 mom. 24 punkten i offentlighetslagen (FvUB 31/1998 rd, s. 18). Högsta förvaltningsdomstolen har i sin avgörandepraxis (HFD 2013:121) understrukit att sekretessbestämmelsen i den lagen ska tolkas strikt och avse enbart sådana uppgifter och handlingar som myndigheten mottagit för att kunna sköta sitt uppdrag enligt 2 §. Uppgifter och handlingar för skötseln av uppdrag kan erhållas av såväl privatpersoner som myndigheter. Eftersom bestämmelsen begränsas till uppgifter och handlingar för skötseln av uppdrag, står uppgifter och handlingar som myndigheten själv producerat, till exempel utlåtande-, utrednings- och kompletteringsbegäranden till den berörda parten samt förvaltningsbeslut utanför dess tillämpningsområde. På deras sekretess tillämpas offentlighetslagen. Sekretessbestämmelsen i utlänningsregisterlagen gäller rätten för någon som inte är part att få information om en handling (RP 206/1997 rd, s. 18).  

Skaderekvisitet i den sekretessbestämmelse som ingår i utlänningsregisterlagen är bundet till presumtionen om sekretess. Klausulen om skaderekvisit i utlänningsregisterlagens sekretessbestämmelse avviker dock från det som föreskrivs i 24 § 1 mom. 24 punkten i offentlighetslagen. Skaderekvisitet i utlänningsregisterlagen lyder: ”om det inte är uppenbart att utlämnandet av uppgifter inte medför skada eller olägenhet för sökanden eller någon annan part eller dennes närstående” medan skaderekvisitet i 24 § 1 mom. 24 punkten i offentlighetslagen är bundet till äventyrandet av säkerheten för flyktingar eller sökande eller närstående. Det intresse som skyddas i utlänningsregisterlagen är utöver personens säkerhet, som var och en har rätt till enligt 7 § i grundlagen, även skyddet för privatliv enligt 10 § 1 mom. i grundlagen.  

På Migrationsverket har högsta förvaltningsdomstolens ovan beskrivna avgörandepraxis tolkats på så sätt att man avser sekretessen av handlingar om anhängiggörande, utredning, beslutsfattande, tillkännagivande och eventuellt ändringssökande som redan arkiverats eller i ärenden vars behandling redan avslutats vid den tidpunkt som sekretessen bedöms i ljuset av personens dåvarande situation. Det är alltså fråga om huruvida utlämnandet av uppgifter från gamla handlingar äventyrar säkerheten av den berörda personen eller hans eller hennes närstående vid den tidpunkt då handlingarna begärs. Med sekretess som inte beror på hur ärendet avgörs har enligt den tolkning som Migrationsverket antagit avsetts att även om personen i fråga inte i beslutet om asyl har ansetts vara i behov av internationellt skydd, tillämpas 24 § 1 mom. i offentlighetslagen eller 11 § i utlänningsregisterlagen ändå på handlingar gällande nämnda ärenden, och därmed även myndigheternas skyldighet att bedöma hur utlämnandet av handlingar påverkar den berörda personen eller hans eller hennes närstående i ljuset av den aktuella informationen. 

2.2  Den internationella utvecklingen samt lagstiftningen i utlandet och i EU

2.2.1  2.2.1 EU:s dataskyddsreform

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan personuppgiftsdirektivet, hade två huvudsyften: att trygga skyddet av personuppgifter som en grundläggande fri- och rättighet och säkerställa fri rörlighet för personuppgifter på den inre marknaden. Personuppgiftsdirektivet tillämpades på såväl myndigheters som företags behandling av personuppgifter. Direktivet har kompletterats med flera särskilda bestämmelser, inklusive det så kallade dataskyddsdirektivet för elektronisk kommunikation, datalagringsdirektivet och rådets rambeslut 2008/977/RIF som tillämpades inom polis-samarbete och straffrättsligt samarbete, nedan dataskyddsrambeslutet

Europeiska kommissionen lade den 25 januari 2012 fram ett förslag till ny dataskyddslagstiftning i Europeiska unionen. Kommissionen lade fram ett förslag till dataskyddsförordning, COM(2012) 11 final, som en del av ett paket som också inbegrep ett förslag till dataskyddsdirektiv för brottsbekämpande myndigheter, COM(2012) 10 final. Genom dataskyddsförordningen stärktes Europeiska unionens allmänna ram för uppgiftsskyddet och genom dataskyddsdirektivet för brottsbekämpande myndigheter skyddet av personuppgifter i sådana fall då dessa behandlas för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Rättsakterna antogs den 27 april 2016. Dataskyddsförordningen offentliggjordes den 4 maj 2016 och trädde i kraft den 24 maj 2016. Den började tillämpas två år efter ikraftträdandet, dvs. den 25 maj 2018. Enligt bestämmelserna i dataskyddsdirektivet för brottsbekämpande myndigheter ska medlemsstaterna senast den 6 maj 2018 anta och offentliggöra de lagar och andra författningar som är nödvändiga för att följa detta direktiv. De ska tillämpa dessa bestämmelser från och med den 6 maj 2018. Dataskyddspaketet ersatte personuppgiftsdirektivet samt dataskyddsrambeslutet.  

Europeiska unionens nya dataskyddslagstiftning grundar sig på artikel 16.2 i fördraget om Europeiska unionens funktionssätt, som är en ny rättslig grund för lagstiftningen om behandlingen av personuppgifter som infördes genom Lissabonfördraget. Enligt den kan unionen utfärda lagstiftning om behandling av personuppgifter på områden som omfattas av unionsrättens tillämpningsområde. Syftet med lagstiftningsreformen är att skapa en modern, stark, sammanhängande och övergripande ram för uppgiftsskyddet inom Europeiska unionen, stärka individens rättigheter, främja den inre marknaden på dataskyddsområdet, se över dataskyddsbestämmelser som gäller polisiärt och rättsligt samarbete i brottmål, ge akt på dataskyddets globala räckvidd i synnerhet när det gäller digitala tjänster samt effektivisera tillsynen över genomförandet av dataskyddsbestämmelserna. 

Rätten till skydd av personuppgifter är en grundläggande rättighet som fastställs i artikel 16.1 i fördraget om Europeiska unionens funktionssätt och i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna, nedan stadgan, enligt vilken var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler iakttas. I artikel 7 i stadgan tryggas skyddet för privatlivet. Enligt artikeln har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Enligt artikel 11 har var och en rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan en offentlig myndighets inblandning och oberoende av territoriella gränser. Mediernas frihet och mångfald ska respekteras. Enligt artikel 52.1 i stadgan ska varje begränsning i utövandet av de rättigheter och friheter som erkänns i denna stadga vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter. 

Enligt rättspraxis vid Europeiska unionens domstol är skyddet av personuppgifter inte en ovillkorlig rätt utan måste betraktas i ljuset av sin samhällsfunktion. Rätten kan begränsas om den står i rätt proportion till målet i fråga. EU-domstolens rättspraxis har spelat en stor roll vid tolkning och tillämpning av det nu redan upphävda personuppgiftsdirektivet. EU:s arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter WP 29 (dataskyddsarbetsgrupp) var å sin sida en oberoende arbetsgrupp inom EU som behandlade frågor om skyddet av individen vid behandlingen av personuppgifter fram till det att dataskyddsförordningen började tillämpas. Dataskyddsstyrelsen fortsätter arbetsgruppens verksamhet.  

Dataskyddsförordningen innehåller 11 kapitel. Kapitlen tar upp allmänna bestämmelser, principer, den registrerades rättigheter, personuppgiftsansvarig och personuppgiftsbiträde, överföring av personuppgifter till tredjeländer eller internationella organisationer, oberoende tillsynsmyndigheter, samarbete och enhetlighet, rättsmedel, ansvar och sanktioner, särskilda behandlingssituationer, delegerade akter och genomförandeakter samt slutbestämmelser. Dataskyddsförordningen är direkt tillämplig rätt och som sådan förpliktande lagstiftning i medlemsstaterna. Den kräver inget särskilt verkställande. Förordningen ska tillämpas inom såväl offentlig som privat sektor. Även om syftet med förordningen är att skapa en enhetligare europeisk personuppgiftslagstiftning, förbättra enskilda personers rättssäkerhet och effektivisera verkställandet av lagstiftningen, har det dock ansetts vara nödvändigt att förordningen ger nationella lagstiftare tillräckligt med utrymme för att anpassa de gemensamma bestämmelserna till förhållandena i landet i fråga. Nationell lagstiftning är dock möjlig bara om förordningen uttryckligen tillåter det. I samband med genomförandet av förordningen har kommissionen upprepade gånger betonat att det nationella handlingsutrymmet bör användas i mycket begränsad utsträckning, eftersom det är fråga om en förordning och inte ett direktiv. Bestämmelserna på ministeriernas förvaltningsområden ska ändras så att de är förenliga med dataskyddsdirektivet, även om det står klart att motstridigheter ur normhierarkisk synvinkel bör avgöras till förordningens fördel. I den första fasen bör man försäkra sig om att en särskild nationell lagstiftning är möjlig inom ramen för det nationella handlingsutrymmet. I denna bedömning bör särskild vikt fästas vid den rättsliga grunden för behandlingen av personuppgifter. I den andra fasen bör man bedöma om det är nödvändigt med särskild nationell lagstiftning som komplement till bestämmelserna i förordningen. Om det visar sig vara nödvändigt, bör man i den tredje fasen ytterligare försäkra sig om att den nationella lagstiftningen också i övrigt överensstämmer med förordningen.  

Dataskyddsdirektivet för brottsbekämpande myndigheter innehåller nio kapitel. Kapitlen tar upp allmänna bestämmelser, principer, personuppgiftsansvarig och personuppgiftsbiträde, överföringar av personuppgifter till tredjeländer eller internationella organisationer, oberoende tillsynsmyndigheter, samarbete, rättsmedel, ansvar och sanktioner, genomförandeakter samt slutbestämmelser. Enligt direktivet ska medlemsstaterna anta och offentliggöra de lagstiftningsåtgärder som är nödvändiga för att följa direktivet. Lagen om verkställighet av det direktivet, dvs. dataskyddslagen för brottmål, är i fråga om dataskydd till sin karaktär en lag som ska tillämpas som allmän lag vid behandlingen av brottmål. Lagen ska tillämpas av myndigheter vars behörighet omfattar förebyggande, utredning och avslöjande av brott eller åklagarverksamhet som har samband med brott, dömande till straffrättsliga påföljder eller verkställande av straffrättsliga påföljder. Sådana myndigheter är bland annat polisen, Gränsbevak-ningsväsendet, Tullen, åklagarna, domstolarna och Brottspåföljdsverket. Dessa myndigheter ska dock tillämpa den föreslagna lagen bara när de behandlar personuppgifter i ovannämnda syfte, dvs. till exempel i samband med utredning av brott eller vid handläggning av brottmål i domstol. Lagen ska dessutom tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter vid upprätthållandet av den nationella säkerheten. Behöriga myndigheter är till denna del Försvarsmakten, Gränsbevakningsväsendet och polisen, i synnerhet skyddspolisen. Till denna del grundar sig den föreslagna lagens tillämpningsområde inte på genomförandet av direktivet, utan det är fråga om en nationell lösning. 

Till förordningens tillämpningsområde hör i princip all behandling av personuppgifter som utförs av myndigheter, om den inte hör till direktivets tillämpningsområde. De bestämmelser i förordningen och direktivet som gäller allmänna principer för behandlingen av personuppgifter, personuppgiftsansvarig och personuppgiftsbiträde samt dataskyddsmyndigheter, överensstämmer i huvudsak med varandra. På detta sätt vill man försäkra sig om att de allmänna kraven på behandlingen av personuppgifter är så enhetliga som möjligt oberoende av medlemsstat eller personuppgiftsansvarig. De viktigaste skillnaderna mellan bestämmelserna har att göra med särdragen i myndigheternas behandling av personuppgifter i brottmål inom ramen för direktivets tillämpningsområde, i synnerhet när det är fråga om möjligheterna att begränsa registrerades rättigheter i fall som hör till direktivets tillämpningsområde.  

2.2.2  2.2.2 Europeiska unionens lagstiftning om invandring

Behandlingen av personuppgifter, behörigheten som ligger till grund för den och den reglering som medför åtaganden för myndigheterna bygger på nationell lagstiftning och dessutom på lagstiftningen i Europeiska unionen. Oftast är det fråga om direkt tillämplig rätt, som är primär i förhållande till den nationella lagstiftningen. Behovet av att behandla personuppgifter kan således följa direkt av unionens lagstiftning och behandlingen kan också ske direkt med stöd av unionens lagstiftning. Alternativt kan den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen bli tillämplig.  

Bestämmelser av betydelse ingår exempelvis i följande instrument: Europaparlamentets och rådets förordning (EU) nr 604/2013 av den 26 juni 2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat (nedan förordningen om bestämmandet av den ansvariga staten), Europaparlamentets och rådets förordning (EU) 2018/1862 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området polissamarbete och straffrättsligt samarbete, om ändring och upphävande av rådets beslut 2007/533/RIF och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1986/2006 och kommissionens beslut 2010/261/EU (nedan förordningen om SIS-polissamarbete), Europaparlamentets och rådets förordning (EU) 2018/1861 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området in- och utresekontroller, om ändring av konventionen om tillämpning av Schengenavtalet och om ändring och upphävande av förordning (EG) nr 1987/2006 (nedan förordningen om SIS-gränskontroll), Europaparlamentets och rådets förordning (EU) 2018/1860 av den 28 november 2018 om användning av Schengens informationssystem för återvändande av tredjelandsmedborgare som vistas olagligt i medlemsstaterna (nedan förordningen om SIS-återvändande), Europaparlamentets och rådets förordning (EG) nr 1987/2006 av den 20 december 2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), som upphävs genom förordningen av SIS-gränskontroll från dess fulla tillämpande, Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är an-svarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 (omarbetning) om inrättande av en Europeisk byrå för den operativa förvaltningen av stora IT-system inom området frihet, säkerhet och rättvisa (nedan Eurodac-förordningen), samt Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (nedan VIS-förordningen). 

Kommissionen lade under våren och sommaren 2016 fram totalt sju förslag i syfte att förnya EU:s gemensamma asylpolitik (Common European Asylum System, nedan CEAS). Orsaken till förslagen är att bemöta den flyktingsituation som tillspetsades 2015 samt behovet av att förbättra kontrollen över invandringen till unionens territorium. Gällande reglering har inte varit tillräcklig med tanke på den påfrestning som den stora mängden sökande orsakat. Alla sju förslag behandlas fortfarande av organ inom EU. När CEAS genomförs kommer det att ha en betydande inverkan också på den samlade regleringen av behandlingen av personuppgifter.  

Vid behandlingen av personuppgifter ska unionens bestämmelser om behandlingen av personuppgifter iakttas i sådana fall då unionsbestämmelserna på grund av normhierarkin får företräde. Det är möjligt att till exempel syftet med behandlingen eller utlämningen av uppgifter begränsas mer i unionslagstiftningen än i den lag om behandlingen av personuppgifter i migrationsförvaltningen som nu är under beredning. Till exempel artikel 34.7 i förordningen om bestämmandet av den ansvariga staten förbjuds uttryckligen utlämningen av utväxlade uppgifter till myndigheter utanför en viss myndighetskrets. I 12 § i migrationsförvaltningens personuppgiftslag ska det enligt förslaget föreskrivas om behandlingen av personuppgifter som samlats in och registrerats med stöd av den föreslagna lagen för andra ändamål än det ursprungliga, varvid kretsen av behöriga myndigheter kan vara större än i artikel 34. Dessutom har det nu föreslagits att bestämmelser om utplåningen av uppgifter som gäller exempelvis personer som söker internationellt skydd ska införas i förslaget till procedurförordning och i förslaget till förordning om vidarebosättning på annat sätt än i migrationsförvaltningens personuppgiftslag. I dessa fall är det ändå fråga om mycket begränsade undantag. I den föreslagna lagen ska inte i informativ mening skrivas in undantag eller begränsningar som via unionslagstiftningen förs in i migrationsförvaltningens personuppgiftslag. Valet kan motiveras med att lagstiftningen ska vara tydlig och begriplig. I praktiken är saken beroende av yrkesfärdigheten hos den myndighet som behandlar ärendet och av att det finns tillräckligt med handledning och att alla relevanta bestämmelser iakttas vid behandlingen av personuppgifter. I de fall då behandlingen av personuppgifter inte regleras i unionslagstiftningen, ska den nationella rättsliga grund som grundar sig på unionens dataskyddspaket och som reglerar behandlingen tillämpas.  

2.2.3  2.2.3 Europarådets konventioner

Enligt artikel 8 i Europarådets konvention om skydd för de mänskliga rättigheterna och de grundläggande friheterna (FördrS 18—19/1990), nedan Europakonventionen), har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Offentlig myndighet får inte ingripa i denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten eller landets ekonomiska välstånd, till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter. 

Även om skyddet av personuppgifter inte nämns särskilt i artikel 8 i Europakonventionen, har Europadomstolen i sin rättspraxis sett skyddet av personuppgifter som en väsentlig del av skyddet för privat- och familjelivet i artikel 8, och å andra sidan har skyddet av personuppgifter konsekvenser för utövandet av yttrandefriheten som avses i artikel 10 i Europakonventionen. I Europadomstolens avgöranden har det framhållits bland annat att lagstiftningen måste innehålla adekvata garantier för att personuppgifter inte behandlas i strid med artikel 8. De uppgifter som behandlas ska vara nödvändiga samt avgränsade till såväl innehåll som förvaringstid i relation till registreringens syfte. Likaså ska regleringen innehålla tillräckliga garantier som förhindrar att personuppgifterna används i strid med lag. Domstolen har fastställt att konventionen har åsidosatts bland annat när nationell lagstiftning har saknat bestämmelser om innehållet i registrerade uppgifter, om den tid under vilken uppgifterna får lagras och om vilka befolkningsgrupper uppgifter får samlas in (se t.ex. punkterna 45–63 i domstolens dom i mål Rotaru v. Rumänien 4.5.2000). Europadomstolen har vid flera tillfällen konstaterat att enbart det faktum att personuppgifter införs i ett myndighetsregister innebär en inskränkning av integritetsskyddet (se t.ex. S. och Marper mot Förenade kungariket, 4.12.2008, punkt 67 i domen, Leander mot Sverige, 26.3.1987, punkt 48 i domen). 

I skäl 68 i ingressen till dataskyddsdirektivet för brottsbekämpande myndigheter hänvisas det till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (ETS nr 108, FördrS 36/1992), nedan dataskyddskonventionen, som ingicks 1981. I situationer som uppstår mellan Europeiska unionens medlemsstater tillämpas i första hand Europeiska unionens dataskyddslagstiftning, men alla unionens medlemsstater har ratificerat dataskyddskonventionen. I dagens läge har totalt 50 stater ratificerat konventionen. Dataskyddskonventionen har kompletterats med ett tilläggsprotokoll (ETS nr 181) om gränsöverskridande flöden av personuppgifter. När det gäller behandlingen av personuppgifter erbjuder bestämmelserna i dataskyddskonventionen ett minimiskydd för alla dem som vistas på de staters territorier som har ratificerat konventionen samt vid gränsöverskridande överföring av personuppgifter. Dataskyddskonventionen kunde utöver de bestämmelser i dataskyddsförordningen och dataskyddsdirektivet för brottsbekämpande myndigheter som gäller tredjeländer till exempel tillämpas när en behörig myndighet överför personuppgifter till ett tredjeland. Men det kan också bli aktuellt att tillämpa ett bilateralt avtal som ingåtts med landet i fråga och som innehåller bestämmelser om dataskydd eller bestämmelser som hänvisar till den nationella lagstiftningen. Dataskyddskonventionen revideras för närvarande och den nya konventionen kommer att ersätta den nuvarande, när tillräckligt många av Europarådets medlemsstater har ratificerat den. Det är möjligt att begränsa tillämpningen av dataskyddskonventionens bestämmelser till förmån för ett överordnat allmänt intresse, till exempel den nationella säkerheten och försvaret. Europarådet har också en del andra konventioner som innehåller bestämmelser om behandlingen av personuppgifter. 

2.2.4  2.2.4 Lagstiftningen i utlandet

Med anledning av det nationella genomförandet av Europeiska unionens dataskyddsreform håller lagstiftningen om behandlingen av personuppgifter i unionens medlemsstater på att förändras eller har förändrats. En betydande del av den nationella speciallagstiftningen är bunden till de ingående och detaljerade villkor som ställs i dataskyddsförordningen. När det gäller tillämpningen av det nationella handlingsutrymme som dataskyddsförordningen möjliggör är det viktigt att välja regleringsformer som anknyter till nationella särdrag. I denna proposition ingår mycket kortfattade beskrivningar av och jämförelser med bestämmelserna om behandling av personuppgifter på migrationsförvaltningens område i vissa andra medlemsstater i Europeiska unionen. Av jämförelseländerna är det bara Sverige och Österrike som har en separat lag om behandlingen av personuppgifter i migrationsförvaltningen. I övriga jämförelseländer regleras behandlingen av personuppgifter inom ramen för den lagstiftning som ger behörighet, vanligen i den så kallade utlänningslagen, i vissa fall i ett särskilt kapitel. Allmänt taget är det på plats med ett försiktigt antagande att dataskyddsförordningen inte har lett eller kommer att leda till några större förändringar i lagstiftningens utgångspunkter. I fråga om registreringen av uppgifter finns det inget som tyder på en lagenlig regleringsmodell. Av jämförelseländerna är det bara Estland som har en reglering som möjliggör automatiserade beslut. Där används automatiserade beslut endast vid beviljande av intyg och handlingar över förvaltningsbeslut som har fattats. 

Sverige har en särskild lag om behandling av personuppgifter i migrationsförvaltningen (Utlänningsdatalag [2016:27]). I lagen föreskrivs om det lokala migrationsverkets (Migrationsverket) och övriga utlänningsmyndigheters och polismyndigheternas behandling av personuppgifter med stöd av utlännings- och medborgarskapslagen. Enligt bedömningar motsvarade lagen till sitt innehåll tämligen väl dataskyddsförordningen, men det föreslagits att lagen ändras så att den i behövlig utsträckning bara kompletterar dataskyddsförordningen. Ändringarna i lagstiftningen trädde i kraft den 1 december 2018. Vid migrationsförvaltningen behandlas personuppgifter i flera informationssystem och register. Personuppgiftsansvariga är det lokala migrationsverket, utlänningsmyndigheterna och polismyndigheterna i den mån de behandlar personuppgifter. Migrationsverket svarar för utlänningsmyndigheternas automatiserade behandling av personuppgifter.  

I Norge har migrationsförvaltningen ingen sammanhållen personuppgiftslag, men bestämmelser om behandlingen av personuppgifter finns som en separat bestämmelse i den lagstiftning som ger behörighet (Utlendingsloven, The Immigration Act, 83 a §). Därutöver kan behandlingen grunda sig på samtycke från den utlänning som ska registreras. Bestämmelserna har nyligen ändrats för att behandlingen av personuppgifter ska uppfylla dataskyddsförordningens krav, särskilt kravet på att behandlingen är nödvändig ut behörighetslagstiftningens synvinkel och för en minimering av uppgifterna. Den norska migrationsförvaltningen har många register och varje organisation svarar för de register de använder för sina egna användningsändamål.  

I Estland finns bestämmelser om villkoren för behandling av personuppgifter i en allmän lag (Personal Data Protection Act) som reglerar behandlingen. Vid migrationsförvaltningen finns således inte någon sammanhållen personuppgiftslag, utan regleringen ingår i flera lagar (Aliens Act [AA], Obligation to Leave and Prohibition on Entry Act [OLPEA], Act on Granting International Protection to Aliens [AGIPA] och Identity Documents Act [IDA]). Personuppgifter behandlas i flera register. Migrationsförvaltningen har en personuppgiftsansvarig myndighet (Police and Border Guard Board) och flera personuppgiftsbiträden vars ansvar fördelas utifrån behörighet. Estland tillämpar inte något system för automatiserade beslut i ärenden som gäller utövandet av prövningsrätt. Däremot kan intyg i vissa fall beviljas med hjälp av automatiserat beslutsfattande när det har fattats ett förvaltningsbeslut som gäller personen. Dataskyddsförordningen förväntas inte i någon större utsträckning ändra lagstiftningens utgångspunkter, men den skapar större tydlighet i den rättsliga grunden för behandlingen samt skyddar information och den registrerades rättigheter. De ändringar i lagstiftningen som dataskyddsförordningen medförde i den allmänna lagen (Personal Data Protection Act) trädde i kraft den 15 januari 2019 och övriga ändringar (AA, OLPEA, AGIPA och IDA) den 15 mars 2019. 

Österrike har en särskild lag om behandling av personuppgifter i migrationsförvaltningen (Federal Act Laying Down General Stipulations Concerning Procedures Before the Federal Office for Immigration and Asylum in Relation to the Granting of International Protection, Residence Permits on Grounds Deserving of Consideration and Temporary Leave to Remain, the Imposition of Deportation Orders and Measures to Terminate Residence, and the Issuance of Austrian Documents to Aliens, so called BFA Procedures Act [BFA–VG]. Personuppgifter behandlas i ett enda register. Dataskyddsreformen medförde inte några större förändringar i lagstiftningen. Flera myndigheter är personuppgiftsansvariga, medan inrikesministeriet fungerar som personuppgiftsbiträde. Österrike har inte och planerar inte att införa något system för automatiserade beslut. 

Nederländerna har ingen särskild lag om behandling av personuppgifter i migrationsförvaltningen, utan behandlingen grundar sig på lagstiftning som ger behörighet och en allmän personuppgiftslag. Personuppgiftslagen revideras för närvarande, men dataskyddsförordningen medför inte några större ändringar av lagstiftningen. Personuppgifter behandlas i flera register och personuppgiftsansvariga är justitie- och säkerhetsministern (Minister of Justice and Security) samt ledarna för organisationerna i migrationssektorn inom ramen för deras ansvarsområden. Landet har inte och planerar inte att införa något system för automatiserade beslut. 

Belgien har inte någon särskild personuppgiftslag för migrationssektorn, utan regleringen ingår i den lagstiftning som ger behörighet (Aliens Act 15/12/1980). Till följd av dataskyddsförordningen kommer lagen att ändras och utökas med ett separat kapitel om behandlingen av personuppgifter i migrationsförvaltningen. Tidsschemat för lagstiftningsprojektet är ännu inte känt. Personuppgifter behandlas i många register som en personuppgiftsansvarig ansvarar för. Belgien har inte och planerar inte att införa något system för automatiserade beslut. 

Bedömning av nuläget

3.1  Splittrad lagstiftning och riskbaserat synsätt vid behandlingen av personuppgifter

Dataskyddsförordningen är som sådan direkt tillämplig och kräver inte något särskilt verkställande förutom kompletterande reglering i den mån förordningen till följd av möjligheten till nationellt spelrum uttryckligen medger det. Texten i förordningen kan i princip inte upprepas i den nationella lagstiftningen och förordningen kan inte heller förklaras eller tolkas. Den nationella speciallagstiftningen ska läsas jämsides med dataskyddsförordningen och dataskyddslagen. På grund av förändringar i författningsmiljön och för att säkerställa ett klart rättsläge måste speciallagstiftningen ses över och ändras så att den överensstämmer med dataskyddsförordningen och dataskyddslagen, även om det står klart att motstridigheter ur normhierarkisk synvinkel bör avgöras till förordningens fördel.  

I dataskyddsförordningen föreskrivs om behandling av personuppgifter. Regleringstekniken i utlänningsregisterlagen utgår från register, eftersom där föreskrivs om register. Ett registerbaserat regleringssätt tillämpas också i migrationsförvaltningens övriga lagstiftning. Regleringssättet har varit motiverat och brukligt särskilt innan registren blev elektroniska. Utvecklingen av informationssystemen under de senaste årtiondena har dock gjort det möjligt att frångå den reglering som gäller register som används som underlag för behandlingen av personuppgifter samt inrikta sig på att föreskriva om behandlingen av personuppgifter, kärnan i integritetsskyddet. Denna utgångspunkt antogs redan i den personuppgiftslag som trädde i kraft 1999 och dataskyddslagen har samma utgångspunkt. Den registerbaserade reglering som migrat-ionsförvaltningen hittills har tillämpat är otidsenlig och svår att samordna med såväl nationell allmän lagstiftning och speciallagstiftning som dataskyddsförordningen. Splittringen vid migrationsförvaltningen mellan å ena sidan utlänningsregisterlagen, å andra sidan övrig lagstiftning måste också ses som en oändamålsenlig totallösning. Med tanke på rättigheterna för såväl den myndighet som tillämpar lagen som den registrerade är det ändamålsenligt att behandla personuppgifter som behandlas för vissa syften med stöd av i princip samma bestämmelser oberoende av vilket förvaltningsområdes många lagar myndighetens behörighet grundar sig på eller i vilket informationssystem uppgifterna de facto administreras. Regleringsmodellen som utgår från syftet med behandlingen är förenlig med såväl EU:s dataskyddsbestämmelser som den allmänna nationella dataskyddslagstiftningen.  

Utlänningsregisterlagen innehåller bestämmelser som ingår i dataskyddsförordningen och dataskyddslagen, men som inte längre ska ingå i speciallagstiftningen. Sådana samlade helheter är till exempel registrerades rättigheter, datasäkerheten när det gäller de identifieringsuppgifter som grundar sig på en persons fysiska egenskaper och behandlingen av personuppgifter för statistiska ändamål. Dataskyddsförordningens definition för personuppgiftsansvariga avviker från gällande utlänningsregisterlag. Av dataskyddsförordningen följer även vissa möjligheter vars genomförande kräver en översyn av migrationsförvaltningens registerlagstiftning. Förordningen kräver att det i den nationella lagstiftningen föreskrivs exempelvis om automatiserade beslut, om man vill tillämpa ett sådant förfarande. 

Grundlagsutskottet har påpekat att regleringen av behandlingen av personuppgifter är tungrodd och komplicerad (se t.ex. GrUU 2/2018 rd, s. 4—8, 11, GrUU 49/2017 rd, s. 3, GrUU 31/2017 rd, s. 4 och GrUU 71/2014 rd, s. 3). Med anledning av den förestående tillämpningen av dataskyddsförordningen ser utskottet det som motiverat att justera sin tidigare ståndpunkt till lagstiftningen om skyddet för personuppgifter på vissa punkter (GrUU 14/2018 rd). Utskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade överensstämmer bestämmelserna i förordningen enligt utskottets uppfattning också med den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter. I stället bör skyddet för personuppgifter härefter i första hand tillgodoses med stöd av den allmänna dataskyddsförordningen och den nya nationella allmänna lagstiftningen. I princip räcker det med att bestämmelserna om skydd för och behandling av personuppgifter är harmoniserade med dataskyddsförordningen. Enligt utskottets uppfattning gör de detaljerade bestämmelserna i dataskyddsförordningen det också möjligt att i fråga om myndighetsverksamhet lagstifta betydligt mer generellt om skydd för och behandling av personuppgifter jämfört med vår nuvarande nationella regleringsmodell. Utskottet har menat att den gällande lagstiftningen om personuppgifter är mycket tungrodd och komplicerad och hänvisat till att det enligt utskottets praxis är särskilt viktigt med en tydlig reglering i fråga om denna typ av bestämmelser som har kopplingar till de grundläggande fri- och rättigheterna och som gäller fysiska personers normala dagliga aktiviteter (se GrUU 14/2018 rd, s. 4—5, GrUU 31/2017 rd, s. 4, GrUU 45/2016 rd, s. 3, och GrUU 41/2006 rd, s. 4/II). Även med tanke på tydligheten bör vi förhålla oss restriktivt när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (GrUU 14/2018 rd, s. 5).  

Grundlagsutskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju högre risk behandlingen innebär för en fysisk persons rättigheter och friheter, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter. Utskottet har särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd, s. 5). Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt GrUU 14/2018 rd, s. 5—6). De uppgifter som behandlas i migrationsförvaltningen är ofta känsliga personuppgifter. I gällande lagstiftning har man inte i tillräcklig utsträckning beaktat det behov av tillräckligt detaljerade bestämmelser om behandlingen av känsliga personuppgifter som följer av den särskilda karaktären hos dessa uppgifter. För att tillgodose individens rättigheter och ur rättssäkerhetsperspektiv är det nödvändigt att föreskriva om behandlingen av person-uppgifter i migrationsförvaltningen på ett sätt som kompletterar dataskyddsförordningen och dataskyddslagen. Med tanke på att de personuppgifter som behandlas inom migrationsförvaltningen är känsliga är den föreslagna personuppgiftslagen nödvändig på grund av de risker och hot som behandlingen orsakar.  

Grundlagsutskottet har i sitt utlåtande (GrUU 14/2018 rd, s. 4) särskilt uppmärksammat behovet av reglering när en myndighet behandlar personuppgifter. Enligt artikel 6.1 c i dataskyddsförordningen är behandlingen laglig om den är nödvändig för den personuppgiftsansvariges lagstadgade åtaganden. I slutbetänkandet från en arbetsgrupp som justitieministeriet tillsatte i februari 2016 (OM006:00/2016, arbetsgruppen TATTI) hänvisas till att behandlingen enligt skäl 45 i ingressen till dataskyddsförordningen i vart fall bör grunda sig på unionsrätten eller medlemsstatens lagstiftning. Det innebär att myndighetens uppdrag och behörighet ska beskrivas i lagstiftningen på ett sådant sätt att rättsgrunden och ändamålet med behandlingen av personuppgifter på ett motiverats sätt kan härledas från lagstiftningen med hänsyn till verksamhetens mål. Arbetsgruppen hänvisar dock också till att det i skälet klarläggs att förordningen inte kräver att det ska finnas en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den person-uppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning (arbetsgruppens betänkande, s. 33). Grundlagsutskottet har ingenting att invända mot den här principen.  

I artikel 5 i dataskyddsförordningen föreskrivs det om principerna för behandling av personuppgifter. Dessa är krav på laglighet, korrekthet, öppenhet och ändamålsbegränsning när det gäller behandlingen av personuppgifter samt uppgifternas minimering, korrekthet och lagringsminimering. Eftersom förordningen inte kräver separat genomförande, ska enligt artikel 6.2 i förordningen principerna preciseras i den mån man med dessa särskilda krav säkerställer en laglig och korrekt uppgiftsbehandling. 

3.2  Lagens struktur och tillämpningsområde

I utlänningsregisterlagen ingår sammanlagt 17 paragrafer, men till följd av ett flertal ändringar har den fått en i någon mån ologisk struktur. En omvärdering av lagens struktur är en förutsättning för en sådan tydlig reglering som grundlagsutskottet avser.  

I en registerbaserad reglering är lagens tillämpningsområde knutet till insamling och införande av personuppgifter i personregister samt användning och utlämning av de införda uppgifterna. En ändamålsbegränsad reglering förutsätter däremot att tillämpningsområdet för lagen fastställs med stöd av det syfte för vilket personuppgifter behandlas. Således bör lagens tillämpningsområde hållas åtskilt från register och informationssystem. Eftersom det är lämpligt att koncentrera behandlingen av personuppgifter i migrationsförvaltningen till en enda lag, behöver lagens tillämpningsområde breddas så att det täcker förutom det registreringssyfte som avses i 2 § i gällande utlänningsregisterlag också de syften för vilka man för de register med stöd av mottagandelagen, förvarslagen och integrationslagen som beskrivs tidigare i propositionen i avsnitt 2.1.2. Med tanke på den som tillämpar lagen och för tydlighetens skull är det motiverat att tillämpningsområdet inte överlappar tillämpningsområdena för andra personuppgiftslagar.  

Utlänningsregisterlagen har vissa drag av överreglering på grund av att den innehåller detaljerade bestämmelser i sådana fall då det inte är nödvändigt, såsom i fråga om faktainnehåll eller tillämplig personkrets. Detaljerad reglering medför också ett fortlöpande behov av lagändringar. I utlänningsregisterlagen föreskrivs dessutom om rätten att få information och utlämningen av uppgifter också då detta redan regleras i annan lag. Med tanke på den som tillämpar lagen är regleringssättet problematiskt, eftersom det förutsätter en kontroll av om utbytet av information är lagligt i två speciallagar som gäller olika myndigheter. Lagtekniskt har detta dubbla regleringssätt dock antagits allmänt i det finska rättssystemet. 

3.3  Registerföring

Utlänningsregistret har ett stort antal personuppgiftsansvariga. Också registren över mottagna klienter och företrädarregistret samt klientregistren över utlänningar som tagits i förvar och förvarsenhetens besökarregister har flera personuppgiftsansvariga.  

Enligt artikel 4.7 i dataskyddsförordningen avses med personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ "som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter". Vidare konstateras det att om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Enligt artikel 4.8 i dataskyddsförordningen avses det med personuppgiftsbiträde en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ ”som behandlar personuppgifter för den personuppgiftsansvariges räkning”. Dataskyddsförordningen fastställer inga andra roller för aktörer. 

Rollen av personuppgiftsansvarig enligt den gällande lagstiftningen ska bedömas i förhållande till de förutsättningar som ställs av dataskyddsförordningen, och det finns inget nationellt handlingsutrymme. Det har uppskattats att en del av personuppgiftsansvariga enligt den gällande lagstiftningen kommer att vara personuppgiftsansvariga även framöver från dataskyddsförordningens synvinkel, men att en del myndigheter inte i fortsättningen har en roll som personuppgiftsansvarig eller personuppgiftsbiträde inom området för den föreslagna personuppgiftslagen för migrationsförvaltningen. I detta fall ska man föreskriva separat om dessa aktörers rätt att erhålla information. Vid definitionen av personuppgiftsansvarig i den gällande lagstiftningen har det bland annat fästs vikt vid möjligheten att spara uppgifter i utlänningsregistret. Denna rätt har då förutsatt att myndigheten i fråga fastställs som personuppgiftsansvarig. Vid beredningen av lagförslaget har definitionen av personuppgiftsansvarig i dataskyddsförordningen tolkats på så sätt att en myndighet är personuppgiftsansvarig, om den behandlar personuppgifter för sina egna självständiga ändamål och har prövningsrätt i ärendet. 

"Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen" är de enligt artikel 26 i dataskyddsförordningen gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska genom inbördes arrangemang och under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, såvida inte och i den mån de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. I arrangemangen ska särskilt definieras ansvaret för utövandet av den registrerades rättigheter och respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses. Arrangemangen ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade. Skäl 79 i ingressen till dataskyddsförordningen fastställer vidare att de personuppgiftsansvarigas skyldigheter och ansvar även i förhållande till tillsynsmyndigheternas övervakning och åtgärder kräver ett tydligt fastställande av vem som bär ansvaret enligt förordningen även när det är fråga om gemensamt personuppgiftsansvariga. De myndigheter som är verksamma inom migrationsförvaltningen och är enligt dataskyddsförordningen personuppgiftsansvariga är i verkligheten också gemensamt personuppgiftsansvariga, om vars roller och förhållande det ska föreskrivas.  

3.4  Registrerades rättigheter

Kapitel 6 i personuppgiftslagen, som sedermera ersatts med dataskyddslagen, innehöll bestämmelser om registrerades rättigheter. I utlänningsregisterlagen föreskrivs inte särskilt om registrerades rättigheter förutom i 4 a § i fråga om uppgifter som polisen för i utlänningsregistret. I 51 § i mottagandelagen hänvisas vad gäller registrerades rättigheter till 6 kap. i personuppgiftslagen. Numera tryggas de registrerades rättigheter i dataskyddsförordningen. I kapitel III i dataskyddsförordningen föreskrivs om registrerades rättigheter. I kapitlet ingår bestämmelser om bland annat information till registrerade (artikel 12—14), registrerades rätt att få tillgång till uppgifter (artikel 15), rätt till rättelse av uppgifter (artikel 16), rätt till radering av uppgifter (artikel 17), rätt till begränsning av behandling (artikel 18), anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling (artikel 19), rätt till dataportabilitet (artikel 20) och rätt att göra invändningar (artikel 21) samt automatiserat individuellt beslutsfattande (artikel 22). De registrerades rättigheter tillgodoses i princip direkt med stöd av dataskyddsförordningen.  

Enligt artikel 23 i dataskyddsförordningen ska det vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12—22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12—22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa a) den nationella säkerheten, b) försvaret, c) den allmänna säkerheten, d) förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten, e) andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet, f) skydd av rättsväsendets oberoende och rättsliga åtgärder, g) förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken, h) en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som nämns i a—e och g, i) skydd av den registrerade eller andras rättigheter och friheter och j) verkställighet av civilrättsliga krav. Framför allt ska lagstiftningsåtgärderna innehålla specifika bestämmelser åtminstone, när så är relevant, avseende a) ändamålen med behandlingen eller kategorierna av behandling, b) kategorierna av personuppgifter, c) omfattningen av de införda begränsningarna, d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, e) specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga, f) lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling, g) riskerna för de registrerades rättigheter och friheter, och h) de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen. 

I dataskyddslagen ingår några bestämmelser om de begränsningar i de registrerades rättigheter som dataskyddsförordningen möjliggör. I vissa noggrant avgränsade situationer blir det dock nödvändigt att i fortsättningen i speciallagstiftningen begränsa de registrerades rättigheter för att skydda deras privatliv. Behovet av begränsningar har att göra med situationer då individens privatliv skyddas genom bestämmelser om specificerade tider för avförande av uppgifter eller bevarande av felaktiga uppgifter. Trots dessa enskilda begränsningar blir den registrerades rättigheter tryggade på ett heltäckande sätt med stöd av de rättigheter som den registrerade har enligt dataskyddsförordningen.  

3.5  Särskilda kategorier av personuppgifter

I artikel 9 i dataskyddsförordningen föreskrivs det om behandlingen av särskilda kategorier av personuppgifter. I princip är behandlingen av personuppgifter som hör till särskilda kategorier av uppgifter förbjuden. Till sådana särskilda kategorier av personuppgifter hör enligt artikel 9.1 personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Dessutom är behandlingen av genetiska eller biometriska personuppgifter eller uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning förbjuden. I artikel 9.2 föreskrivs om situationer då dessa uppgifter får behandlas. Enligt artikel 9.2 g får uppgifter behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.  

I artikel 10 föreskrivs om behandlingen av personuppgifter som rör fällande domar i brottmål samt överträdelser. Enligt artikeln får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.  

Grundlagsutskottet har uppmärksammat att de känsliga uppgifter som avses i 11 § i personuppgiftslagen inte direkt kan jämställas med de särskilda kategorier av personuppgifter som avses i artikel 9 i dataskyddsförordningen. Till följd av grundlagens normhierarkiska ställning är det i sig klart att de uppgifter som i utskottets praxis bedömts vara känsliga, exempelvis på grundval av de risker och hot som behandlingen medför, beträffande sitt gebit inte helt och hållet motsvarar bestämmelserna i personuppgiftslagen. Utskottet har följdriktigt ansett att till exempel biometriska identifieringsuppgifter kan jämställas med känsliga uppgifter (se t.ex. GrUU 13/2016 rd, s. 4). Dataskyddsförordningens riskbaserade infallsvinkel innebär enligt grundlagsutskottet att det är möjligt att införa detaljerad och exakt nationell lagstiftning också när behandlingen av uppgifterna utgör en särskild risk på andra grunder än de som anges i artikel 9 och 10 i förordningen. Den nationella lagstiftningen ska också då vara förenlig med artikel 6 i förordningen. Enligt utskottets uppfattning är det tillåtet också inom ramen för dataskyddsförordningen att föreskriva detaljerat om behandlingen av personuppgifter som är känsliga i konstitutionellt hänseende. Grundlagsutskottet har särskilt lyft fram behovet av reglering i de fall då personuppgifterna behandlas av en myndighet. Enligt artikel 6.1 c i den allmänna dataskyddsförordningen är behandling av personuppgifter tillåten om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (GrUU 15/2018 rd, s. 38—39). Grundlagsutskottet har konstaterat att det, trots att det fortfarande är motiverat att i konstitutionellt hänseende beskriva vissa kategorier av personuppgifter som uttryckligt känsliga, till följd av att tillämpningen av EU:s dataskyddsförordning inletts och man i dess artikel 9 använder begreppet särskilda kategorier av personuppgifter, i den nationella lagstiftningen för tydlighetens skull ska undvika att använda begreppet känsliga uppgifter (se även GrUU 14/2018 rd, s. 9).  

Dataskyddsförordningen gör det möjligt att i nationell rätt föreskriva om behandlingen av personuppgifter som hör till särskilda kategorier av uppgifter förutsatt att de särskilda villkor som anges i förordningen uppfylls. I 6 § 1 mom. 2 punkten i dataskyddslagen preciseras särskilt att artikel 9.1 i dataskyddsförordningen inte tillämpas på sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag. I 6 § 2 mom. i dataskyddslagen konstateras det att den personuppgiftsansvarige och personuppgiftsbiträdet när de behandlar personuppgifter i sådana situationer som avses i 1 mom. ska vidta lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter. Momentet innehåller en lista med elva punkter över åtgärder med hjälp av vilka man till exempel i efterskott kan säkerställa och bevisa vem som har lagrat, ändrat eller överfört personuppgifterna, åtgärder för att höja kompetensen hos den personal som behandlar personuppgifter samt den personuppgiftsansvariges och personuppgiftsbiträdets interna åtgärder för att för-hindra tillträde till personuppgifter.  

Utskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju högre risk behandlingen innebär för en fysisk persons rättigheter och friheter, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter. Följaktligen menar grundlagsutskottet att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter. Där har behandlingen av känsliga uppgifter avgränsats genom exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (GrUU 14/2018 rd). 

Regleringen som gäller de personuppgifter som i dataskyddsförordningen definieras som särskilda kategorier av personuppgifter i gällande utlänningsregisterlag, mottagandelag och förvarslag motsvarar inte fullt ut regleringen i dataskyddsförordningen. Regleringen av de personuppgifter som i dataskyddsförordningens definieras som särskilda kategorier av personuppgifter förutsätter dessutom samordning på det nationella planet med uppgifter som i konstitutionellt hänseende fortfarande ses som känsliga. På det hela taget är regleringen tillika komplicerad och stöder inte ett riskbaserat synsätt som betonar vikten av särskild noggrannhet, vilket förutsätts vid behandlingen av särskilda kategorier av personuppgifter. För att skapa tydligare reglering och genomföra ett riskbaserat synsätt behöver bestämmelserna enhetligas och i vissa avseenden avsevärt preciseras när det gäller de uppgifter som enligt artikel 9 i dataskyddsförordningen hör till särskilda kategorier av personuppgifter, personuppgifter som rör fällande domar i brottmål och överträdelser enligt artikel 10 vilkas behandling kräver särskilda omständigheter samt uppgifter som nationellt i konstitutionellt hänseende fortfarande ses om känsliga.  

3.6  Automatiserat individuellt beslutsfattande

Enligt artikel 22.1 i dataskyddsförordningen ska den registrerade ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling. Punkt 2 i den artikeln anger de tillåtna undantagen från denna princip. Enligt den punkten får beslut fattas genom automatiserad behandling, om beslutet tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen.  

I dagsläget innehåller varken utlänningsregisterlagen eller annan nationell lagstiftning avseende migrationsförvaltningen inga bestämmelser om beslutsprocesser som enbart grundas på automatiserad behandling, dvs. beslut som enbart grundas på automatiserad databehandling utan fysiska personers medverkan. Också i personuppgiftsdirektivet, som upphävdes genom dataskyddsförordningen, fanns det på samma sätt som i artikel 22 i förordningen en bestämmelse om automatiserat individuellt beslutsfattande. Den bestämmelsen genomfördes i Finland genom att i 31 § i den upphävda personuppgiftslagen (523/1999) införa en bestämmelse om att sådana beslut som enbart grundas på automatiserad behandling av uppgifter är tillåtna endast om detta har reglerats i lag. Tidigare har det inte funnits något behov av en nationell bestämmelse i speciallagstiftningen för migrationsförvaltningen, eftersom Migrationsverket inte tidigare haft behövlig beredskap eller tillämplig teknik som möjliggör beslutsfattande som enbart grundas på automatiserad behandling. Däremot används automatiserad behandling av uppgifter, såsom automatiserade registerkontroller, redan nu i stor omfattning på Migrationsverket. Allt eftersom tekniken utvecklats har Migrationsverket, också som en del av utvecklingen av ärendehanteringssystemet för utlänningsärenden, förbättrat sina förutsättningar för att införa även helt automatiserade beslutsprocesser.  

Det har blivit aktuellt att möjliggöra automatiserat individuellt beslutsfattande särskilt till följd av att antalet ärenden som inleds vid Migrationsverket ökar. I decennieskiftet inleddes årligen mindre än 40 000 ärenden vid Migrationsverket, men toppåret 2015 kom det in mer än 120 000 ansökningar. Efter det har antalet ansökningar som årligen kommer in stabiliserat sig kring mer än 100 000. Detta beror delvis exempelvis på att uppehållstillstånd förlängs och på att de ärenden som gäller EU-medborgares vistelse i landet fördes över från polisen till Migrationsverket vis ingången av 2017.  

När antalet ärenden ökat betydligt har det krävt att Migrationsverket ser över och effektiviserar sina processer, eftersom kraven i 21 § 1 mom. i grundlagen på att myndigheternas verksamhet ska ske utan dröjsmål och på behörigt sätt innebär att varje sökande ska få ett beslut inom skälig tid även om det inte kan finnas obegränsat med resurserna för behandling av ärenden. Beslutsprocesser baserade på automatiserad behandling inom vissa begränsade ärendegrupper gör det möjligt att nå sådana mål. Det är exempelvis möjligt att etappvis övergå till ett automatiserat beslutssystem i fråga om största delen av medborgarskapsansökningarna och medborgarskapsanmälningarna samt ansökningarna om fortsatt uppehållstillstånd och permanent uppehållstillstånd.  

Migrationsverkets beslutsprocesser måste effektiviseras på så sätt att personella resurser kan användas till att avgöra ärenden som kräver prövning. Grundlagsutskottet har inte haft något att anmärka mot effektiviseringsmålet med automatiserat beslutsfattande vid Migrationsverket (GrUU 62/2018 rd, s. 7). Också kraven på rättsskydd och god förvaltning förutsätter att förfarandena för automatiserade beslutsprocesser enligt artikel 22 i dataskyddsförordningen regleras särskilt genom lag. 

Grundlagsutskottet påpekade i sitt utlåtande GrUU 62/2018 rd, s. 9 att automatiserat beslutsfattande förefaller inkludera ett flertal frågor som inte har reglerats i de allmänna lagarna för förvaltningen och förutsatte att justitieministeriet utreder frågan och regleringsbehovet inom den allmänna lagstiftningen. I utredningsprojektet Algoritm som beslutsfattare? (2019:44, s. 136–138), som publicerats i statsrådets publikationsserie för utrednings- och forskningsverksamhet, föreslogs föreskrivande om förutsättningarna för algoritmiskt beslutsfattande genom lag, även om en kombination av allmän lag och speciallagstiftning ansågs vara att rekommendera. Av ovan presenterade skäl måste möjliggörandet av automatiskt beslutsfattande på Migrationsverket dock genomföras. 

3.7  Handlingars offentlighet

Splittrad lagstiftning 

I dagens läge finns bestämmelserna om sekretess för uppgifter som behandlas inom migrationsförvaltningen utspridda på både allmän och speciallagstiftning. Utlänningsregisterlagen trädde i kraft 1998 och offentlighetslagen året efter det, 1999. Enligt förarbetet till offentlighetslagen (RP 30/1998 rd, s. 85) har målet varit att minska behovet av specialbestämmelser i andra lagar.  

Sekretessbestämmelsen i utlänningsregisterlagen ändrades inte i samband med totalreformen av offentlighetslagstiftningen (RP 30/1998 rd). I samband med reformen upphävdes 65 § i utlänningslagen (378/1991), som innehöll en sekretessbestämmelse som gällde asylsökande och baserade sig på presumtionen om offentlighet. Samtidigt lades det till 24 § 1 mom. 24 punkten i offentlighetslagen en sekretessbestämmelse på basis av presumtionen om sekretess, i vilken sekretessen utvidgades att även gälla uppgifter om flyktingar samt sökande av uppehållstillstånd och visum (RP 30/1998 rd, s. 97). Förvaltningsutskottet konstaterade i sitt betänkande (FvUB 31/1998 rd, s. 18–19) att man genom ändringen slopade inkonsekvensen mellan utlänningslagen och 11 § i utlänningsregisterlagen. Utskottet ansåg att den punkt som lagts till offentlighetalagen behövdes för att skydda bland annat uppgifter om asylsökande och flyktingar som innehas av andra myndigheter.  

I förarbetet till offentlighetslagen föreslogs det att man genom att styra lagberedningen skulle se till att sekretessgrunderna enhetligas på så sätt att när ny lagstiftning bereds, ska det undvikas att inkludera nya sekretessbestämmelser i speciallagar utan i första hand ska den allmänna lagen kompletteras enligt behov (RP 30/1998 rd, s. 87). Även riksdagen påpekade i samband med den totala översynen av offentlighetslagstiftningen att man bör vara restriktiv när det gäller att ta in sekretessbestämmelser om uppgifter som innehas av myndigheterna i speciallagar (RSv 303/1998 rd, FvUB 31/1998 rd, s. 7/II, se även GrUU 2/2008 rd, s. 2). Grundlagsutskottet påminde migrationsförvaltningen i sitt utlåtande (GrUU 62/2018 rd, s. 9) om riksdagens restriktiva ställning till sekretessbestämmelser i speciallagar, som den antagit i samband med offentlighetlagens totalreform.  

Sekretessbestämmelsen i utlänningsregisterlagen har i tiderna införts med tanke på migrationsförvaltningens specialbehov. I samband med offentlighetslagens totalreform konstaterade förvaltningsutskottet att innehållet i och nödvändigheten att ha kvar 11 § i utlänningsregisterlagen kan bedömas separat när offentlighetslagen har stiftats (FvUB 31/1998 rd, s. 19). Sekretessbestämmelsen i 11 § i utlänningsregisterlagen har dock inte reviderats efter att offentlighetslagen trädde i kraft, och inte heller dess förhållande till 24 § 1 mom. 24 punkten i offentlighetslagen har bedömts, utan offentligheten av migrationsförvaltningens handlingar har i 20 års tid reglerats med en kombination av offentlighetslagen och utlänningsregisterlagen. Grundlagsutskottet konstaterade i sitt utlåtande GrUU 62/2018 rd att det är nödvändigt att klarlägga innehållet i bestämmelsen som motsvarar 11 § i utlänningsregisterlagen och dess förhållande till offentlighetslagen. Den nuvarande regleringshelheten kan också anses vara svårförståelig och delvis bristfällig. Det att bestämmelserna delvis är överlappande och inkonsekventa samt behovet att klarlägga dem och enhetliga tillämpningspraxis talar för att regleringen ska koncentreras i allmän lag.  

Tillämpningsområde  

Både i offentlighetslagen och i utlänningsregisterlagen finns en sekretessgrund som i synnerhet hänför sig till personuppgifter av klienter inom migrationsförvaltningen. Bestämmelserna avviker dock från varandra när det gäller de personer och handlingar som hör till tillämpningsområdet, innehållet i klausulen om skaderekvisit samt de myndigheter som tillämpar bestämmelsen.  

Tillämpningsområdet per handling av sekretessgrunden i 24 § 1 mom. 24 punkten i offentlighetslagen är bredare än i utlänningsregisterlagens bestämmelse. Bestämmelsen tillämpas inte bara på uppgifter och handlingar som tillställts myndigheterna utan också på förvaltningsbeslut och handlingar som producerats av myndigheten, till exempel utlåtande-, utrednings- och kompletteringsbegäranden som sänds till den berörda parten. När registeransvariga enligt 3 § i utlänningsregisterlagen behandlar handlingar och uppgifter med stöd av utlänningslagen, medborgarskapslagen, ICT-lagen, lagen om säsongsanställning eller forskar- och studerandelagen, tillämpas 11 § utlänningsregisterlagen på sekretessen av de uppgifter som lämnats till dem i ärenden som initierats av såväl sökanden som myndigheten. 11 § i utlänningsregisterlagen är dock tillämplig bara om det är fråga om uppgifter eller handlingar som den registeransvariga för utlänningsregistret fått i ett syfte som överensstämmer med registrets användningssyfte. Högsta förvaltningsdomstolen har i sin avgörandepraxis (HFD 2013:120–121) understrukit att sekretessbestämmelsen i utlänningsregisterlagen ska som undantagsbestämmelse tolkas strikt och avse enbart sådana uppgifter och handlingar som myndigheten mottagit för att kunna sköta sitt uppdrag enligt 2 §. I förvaltningsbeslut som fattats av myndigheterna är det inte fråga om uppgifter och handlingar som erhållits för skötseln av uppgifter enligt 11 § i utlänningsregisterlagen utan offentlighetslagen ska tillämpas på dem. Då kompletterar sekretessen enligt 24 § 1 mom. 24 punkten i offentlighetslagen sekretessen i fråga om förvaltningsbeslut och handlingar som producerats av myndigheterna själva enligt 11 § i utlänningsregisterlagen.  

Det personliga tillämpningsområdet av sekretessbestämmelsen i offentlighetalagen är dock snävare än i utlänningsregisterlagen. Till tillämpningsområdet för utlänningsregisterlagen hör uppgifter om unionsmedborgares och därmed jämförbara personers och deras familjemedlemmars vistelse (nedan de som utnyttjat rätten till fri rörlighet). Eftersom bestämmelsen i offentlighetslagen bara gäller flyktingar, sökande av asyl, uppehållstillstånd eller visum, hör handlingar om personer som utnyttjat rätten till fri rörlighet inte till tillämpningsområdet. En unionsmedborgare som vistas i Finland över tre månader ska registrera sin vistelse genom att lämna in en registreringsansökan till Migrationsverket och samtidig lämna utredning om att han eller hon uppfyller kraven för registreringen. På basis av registreringen utfärdas ett bevis på registrering. För en unionsmedborgares familjemedlem som inte är unionsmedborgare utfärdas på ansökan ett uppehållskort för unionsmedborgares familjemedlem, om anknytningspersonen uppfyller villkoren i utlänningslagen. Ett uppehållskort beviljas om familjemedlemmen avser att uppehålla sig i Finland mer än tre månader.  

Vid tillämpningspraxis har det även antagits en tolkning enligt vilken handlingar som gäller medborgarskapsfrågor inte omfattas av sekretessen enligt 24 § 1 mom. 24 punkten i offentlighetslagen. I offentlighetslagen har beslutet om medborgarskap inte nämnts som en handling som ska hållas hemlig (HFD 3.7.2015/1905). Förvaltningsbeslut om medborgarskap och andra handlingar som har upprättats av myndigheter har därmed i nuvarande tillämpningspraxis lämnats utanför den sekretess som bildas av bestämmelserna i offentlighetalagen och utlänningsregisterlagen. Sekretessbestämmelsen i 11 § i utlänningsregisterlagen har emellertid ansetts lämpa sig till en medborgarskapsansökan och de handlingar och uppgifter som tillställts myndigheten i anslutning till den. Så här även i avgörandet HFD 8.6.2017/2759, i vilket högsta förvaltningsdomstolen ansåg att det i medborgarskapsansökningar, handlingar som ansluter sig till förutsättningarna för erhållandet av medborgarskap och till andra handlingar som samlats i samband med behandlingen av ärenden ingick uppgifter som med stöd av 24 § 1 mom., närmast 32 punkten, i offentlighetslagen är sekretessbelagda eller som med stöd av lagen om offentlighet och sekretess i fråga om beskattningsuppgifter och lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster inte kan överlämnas. Därtill var handlingarna på basis av 11 § i utlänningsregisterlagen sekretessbelagda, eftersom högsta förvaltningsdomstolen inte ansåg det vara uppenbart att lämnandet av uppgifter om handlingarna inte orsakar skada eller olägenhet för den berörda parten eller en närstående.  

Beslut om medborgarskap gäller oftast en person som tidigare varit en flykting eller sökande av asyl, uppehållstillstånd eller visum som avses i 24 § 1 mom. 24 punkten i offentlighetslagen. Skyddandet av säkerheten för den som ansöker om medborgarskap kan i vissa situationer alltjämt vara lika nödvändigt som skyddandet av den som ansöker om internationellt skydd. Möjligheten av fara får till exempel inte uteslutas i sådana situationer där det finns skäl att misstänka att uppgifterna i medborgarskapsbeslutet intresserar myndigheter i andra länder på ett sätt som kan äventyra säkerheten av den part vars uppgifter behandlas eller en närstående. I dessa situationer kan riskerna i synnerhet rikta sig till närstående som vistas i andra länder än i Finland.  

Bestämmelserna avviker från varandra också i och med att bestämmelsen i offentlighetslagen gäller alla myndigheter som avses i 4 § i offentlighetslagen, medan bestämmelsen i utlänningsregisterlagen har begränsats till uppgifter och handlingar som vissa myndigheter får för att sköta vissa uppgifter. När handlingar i anknytning till en flykting eller en sökande av asyl, uppehållstillstånd eller visum behandlas av någon annan än en myndighet enligt 3 § i utlänningsregisterlagen, följs beträffande handlingarnas sekretess 24 § 1 mom. 24 punkten i offentlighetslagen.  

När det gäller vissa grupper av personer kan den gällande lagstiftningen i sin helhet anses innehålla luckor. De som vistas i landet olagligt står utanför tillämpningsområdet för sekretessbestämmelserna i både 24 § 1 mom. 24 punkten i offentlighetslagen och 11 § i utlänningsregisterlagen. Det finns inte likadana möjligheter att hemlighålla deras uppgifter till exempel på säkerhetsgrunder som till exempel att hemlighålla uppgifter om andra utlänningar, eftersom de som vistas i landet olagligt hör inte nödvändigtvis till någon av persongrupperna som nämns i 24 § 1 mom. 24 punkten i offentlighetslagen men inte heller till tillämpningsområdet för sekretessbestämmelsen i utlänningsregisterlagen. Till de personer som vistas olagligt i landet kan riktas motsvarande åtgärder enligt utlänningslagen och medborgarskapslagen som till andra utlänningar. När det gäller en person som vistas olagligt i landet, måste myndigheten vanligen inleda en lämplig process, till exempel en process för avlägsnande ur landet, men det kan också gälla att till exempel fastställa en sådan persons medborgarskap. Handlingarna i anslutning till dessa processer står utanför de gällande sekretessbestämmelserna om utlänningar, även om man beträffande offentligheten av uppgifter om dem inte kunde utesluta möjligheten av risker för dem och deras närstående. Det har inte presenterats någon särskild grund till varför detta anses vara motiverat.  

I praktiken har det också till vissa delar ansetts vara en tolkningsfråga huruvida bestämmelsen i offentlighetlagen kan tillämpas på handlingar på myndighetens eget initiativ. I ärenden som initierats av myndigheter är det fråga om situationer i vilka myndigheten, i praktiken Migrationsverket, polisen eller Gränsbevakningsväsendet, inleder ett förfarande, till exempel avvisning, utvisning, förlust av medborgarskap eller återtagande av ställningen som flykting. Oklarheten om huruvida bestämmelsen kan tillämpas har orsakats av ordalydelsen i offentlighetslagen, enligt vilken sekretessen dels än bunden till konsekvenserna till den sökande eller dennes närstående. Genom en lagändring som trädde i kraft den 1 maj 2019 har myndighetsinitierade ärenden omfattas av sekretessen enligt 11 § i utlänningsregisterlagen. Även ärenden som initierats av myndigheter kan omfatta en risk för den berörda parten eller en närstående. Risken kan till exempel orsakas i en situation där en person med asylsökandebakgrund vill returnera frivilligt trots ett beslut om avvisande eventuellt innehåller mycket negativa uppgifter om honom eller henne, exempelvis uppgifter om förvärvande av inkomst oärligt, försäljning av sextjänster, äventyrade av allmän ordning och säkerhet eller lämnade av falska uppgifter. Då förundersökning inleds i ärendet, bestäms sekretessen med stöd av 24 § 1 mom. 3 punkten i offentlighetslagen.  

Sekretessbestämmelser som ingår i två olika lagar och som delvis är överlappande men delvis osymmetriska till sitt tillämpningsområde bildar en helhet som är svår att gestalta. På grund av skillnaderna i tillämpningsområdena avviker även bestämmelsernas klausuler om skaderekvisit från varandra.  

Sekretessgrunderna i den gällande lagen skyddar i synnerhet för äventyrandet av säkerheten eller skada eller olägenhet som orsakas klienterna inom migrationsförvaltningen om uppgifterna offentliggörs. Däremot finns det inga särskilda sekretessgrunder för att skydda Migrationsverkets undersökningsmetoder, även om effektiviteten av nämnda metoder och samtidigt Migrationsverkets verksamhetsförutsättningar baserar sig på det att detaljerna i metoderna inte är allmänt kända och på basis av begäranden om handlingar tillgängliga utan begränsningar. 

Målsättning och de viktigaste förslagen

4.1  Målsättning

Propositionen har som mål att stifta en ny lag om behandlingen av personuppgifter i migrationsförvaltningen. Till den föreslagna lagen koncentreras dessutom bestämmelserna om behandling av personuppgifter i lagstiftningen för förvaltningsområdet migration. Det är motiverat att koncentrera behandlingen av personuppgifterna inom migrationsförvaltningen eftersom de olika behoven att behandla sådana uppgifter hör synnerligen nära ihop med varandra och bildar en samlad helhet. Genom koncentreringen främjas målet med behandling av personuppgifter, i synnerhet tillgodoseende av den registrerades intressen och rättigheter, eftersom de registrerade får bättre möjligheter att uppfatta ändamålen för behandlingen av hans eller hennes personuppgifter och att identifiera den personuppgiftsansvarige. På detta sätt har den registrerade bättre möjligheter att utöva sina rättigheter. En koncentration av behandlingen är också till gagn för migrationsförvaltningens verksamhet när bestämmelserna om behandlingen av personuppgifter blir enhetliga. Lagen ska ersätta utlänningsregisterlagen samt registerbestämmelserna i mottagandelagen, förvarslagen och integrationslagen. Målet är en personuppgiftslag som bemöter förändringarna i omvärlden och kraven på ett modernt skydd av personuppgifter och även ger möjlighet till moderna rutiner.  

Målet är att säkerställa att kravet i grundlagens 10 § 1 mom. om att bestämmelser om skydd för personuppgifter ska utfärdas genom lag uppfylls i migrationsförvaltningen. Samtidigt är propositionens främsta mål att den nya personuppgiftslagen uppfyller kraven i EU:s dataskyddslagstiftning. Dataskyddsförordningen är den primära författningen om behandling av personuppgifter. Dataskyddsförordningen kompletteras av den nationella dataskyddslagen, som är en allmän lag som ska tillämpas på behandling av personuppgifter. Dataskyddslagen för brottmål ska som allmän lag tillämpas när personuppgifter behandlas av polisen eller Gränsbevakningsväsendet i syfte att skydda den nationella säkerheten. Den nya lag som gäller behandling av personuppgifter inom migrationsförvaltningen, som kompletterar och preciserar dataskyddsförordningen och dataskyddslagen, utgör ingen självständig och samlad lagstiftningshelhet, utan den ska tillämpas parallellt med nämnda författningar.  

Genom den föreslagna lagen säkerställs att migrationsförvaltningens bestämmelser är förenliga med dataskyddsförordningen så att myndigheterna i sin verksamhet kan uppfylla de villkor för behandlingen av personuppgifter som preciseras i förordningen. Dataskyddsförordningen och den nationella dataskyddslagen kompletteras genom den nu föreslagna speciallagstiftningen bara till den del det är nödvändigt. På motsvarande sätt ska bestämmelserna i dataskyddslagen för brottmål beaktas i den mån den föreslagna lagen innehåller bestämmelser som omfattas av dess tillämpningsområde. I regleringen beaktas också grundlagsutskottets krav på detaljnivån på regleringen och på tydlig reglering (GrUU 14/2018 rd). Målet är att bestämmelserna om behandling av personuppgifter i migrationsförvaltningen i fortsättningen ska finnas samlade i en enda lag som uppfyller kraven på en modern personuppgiftslag och som kompletterar dataskyddsförordningen, dataskyddslagen och, i fråga om den nationella säkerheten, lagen om behandling av personuppgifter i brottmål. 

Unionens dataskyddslagstiftning och de nationella allmänna lagarna och speciallagarna utgör ett mångbottnat och tämligen komplicerat regelverk. Det genomgripande syftet med den föreslagna personuppgiftslagen för migrationsförvaltningen är – med beaktande av rådande strukturer – att förtydliga regelverket om personuppgifter såväl från lagtillämparens synpunkt som med tanke på den registrerades rättigheter. För att nå detta mål föreslås det att de bestämmelserna om behandling av personuppgifter som är viktiga inom migrationsförvaltningen koncentreras till en enda personuppgiftslag, som ska vara så lättfattlig, överskådlig och begriplig som möjligt. En kontrollerad invandring är ett viktigt samhälleligt mål, och genomförandet påverkas genom en fungerande och modern reglering av behandlingen av personuppgifter. Propositionen är nödvändig eftersom behandlingen av personuppgifter inom ramen för lagens tillämpningsområde är en förutsättning för att myndigheterna ska kunna utföra de lagstadgade uppgifter som ålagts dem. Dessutom är propositionen nödvändig på grund av att målet är att skydda registrerades privatliv. Skyddet för privatlivet enligt 10 § i grundlagen förutsätter att skyddet av de personuppgifter som behandlas i migrationsförvaltningen uttryckligen regleras i lag.  

Migrationsförvaltningens personuppgiftslag kommer att tillämpas på en mycket bred grupp av i huvudsak utlänningar för vilkas del det i stor utsträckning kommer att behandlas uppgifter som hör till människors privatliv och som ofta också är känsliga. Det riskbaserade synsättet i dataskyddsförordningen talar för den valda regleringen som beaktar skyddet av såväl statens som enskilda registrerades intressen. En lagstiftning som genomför dessa mål ökar också förtroendet för de finländska myndigheternas verksamhet.  

En central utgångspunkt för propositionen är att lagen om behandling av personuppgifter i migrationsförvaltningen ska grunda sig på bestämmelserna om ifrågavarande myndighets behörighet. Den föreslagna lagen kommer i princip inte att tillföra myndigheterna behörighet, utan myndigheternas behörighet grundar sig på annan lagstiftning på förvaltningsområdet. Behörighet kan inte regleras bara genom bestämmelser om behandling av personuppgifter. I lagen om behandling av personuppgifter i migrationsförvaltningen ska inte föreskrivas om samma sak som det i de bestämmelser som ger behörighet redan har föreskrivits.  

4.2  Alternativ

4.2.1  4.2.1 Reglering baserad på register, ändamål eller informationssystem

I fråga om behandling som är bunden till specifika ändamål har man i samband med beredningen identifierat vissa problem med anknytning till rentav exceptionellt många myndigheter vid migrationsförvaltningen som behandlar personuppgifter i flera olika roller för synnerligen olika ändamål. Vid beredningen har man också identifierat problem med anknytning till den samlade helheten av flera informationssystem i användning samt i viss mån överlappande tillämpningsområdena för ett flertal personuppgiftslagar. När tillämpningsområdena för personuppgiftslagar inte är bundna till lätt identifierbara informationssystem eller register, utan till ändamålen med behandlingen av personuppgifter, kan identifieringen av vilken personuppgiftslag som ska tillämpas i enskilda fall lämna rum för tolkning, om det är fråga om ett ändamål med behandlingen som omfattas av tillämpningsområdet för flera myndigheters personupp-giftslag. En sådan situation är till exempel behandlingen av personuppgifter i syfte att skydda den nationella säkerheten.  

Vid beredningen har man med hänsyn till de ovan presenterade synpunkterna bedömt möjligheten att hålla sig till register- eller informations-systembaserad reglering i stället för en reglering baserad på det specifika ändamålet med behandlingen. Utgångspunkten i både dataskyddsförordningen och dataskyddslagen och som regel i annan nationell speciallagstiftning har dock talat för en reglering baserad på ändamålet med behandlingen, i synnerhet på inrikesministeriets förvaltningsområde. Det är inte meningen att man i en personuppgiftslag annars heller ska föreskriva om tekniska lösningar, utan om bestämmelser och principer som gäller behandlingen av personuppgifter och som styr de tekniska lösningar som möjliggör och stöder behandlingen. 

Eftersom utgångspunkten för dataskyddsförordningen är att personuppgifter ska samlas in för ett visst uttalat och lagligt syfte och att de inte senare får behandlas på ett sätt som är oförenligt med dessa syften, kommer kravet på ändamålsbundenhet inte nödvändigtvis att tillgodoses genom att man binder behandlingen till ett visst register eller delregister. Eftersom kravet på ändamålsbundenhet är dataskyddsförordningens utgångspunkt, är tillämpningen av det i varje fall förpliktande, och då saknar det med tanke på behandlingen av uppgifter betydelse om behandlingen binds till en viss plattform.  

Det bör dock noteras att en registerbaserad reglering och en reglering baserad på ändamålet med behandlingen i praktiken inte nödvändigtvis skiljer sig i någon större utsträckning från varandra, utan det är närmast fråga om olika sätt att formulera bestämmelser.  

4.2.2  4.2.2 Centraliserad eller decentraliserad reglering av personuppgifter

Migrationsförvaltningen har ingen samlad personuppgiftslag, utan regleringen av behandlingen av personuppgifter är fördelad på olika lagar. Vissa bestämmelser har koncentrerats till utlänningsregisterlagen, men i viss mån ingår regleringen i andra lagar. Inom projektet har man bedömt möjligheten att hålla kvar en uppdelning enligt vilken behandlingen av personuppgifter regleras på nuvarande sätt i dels den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen, dels i annan lagstiftning. I sådana fall kommer tillämpningsområdet för migrationsförvaltningens nya personuppgiftslag att vara mer begränsad än vad som anges i denna proposition. De bestämmelser som kvarstår i annan lagstiftning måste dock i vart fall revideras på grund av såväl nationella behov som EU:s dataskyddsreform. Dessutom har det ansetts att gällande indelning i praktiken i högre grad grundar sig på den historiska utvecklingen än på ett underbyggt avgörande. Det har ansetts vara motiverat att personuppgifter på migrationsförvaltningens område i fortsättningen behandlas med stöd av samma bestämmelser oavsett för vilket berättigat ändamål uppgifterna behandlas. För en centraliserad reglering talar också det faktum att personuppgifter i praktiken till stor del behandlas inom systemet UMA som administreras av Migrationsverket. Det är ändamålsenligt men dock inte nödvändigt att personuppgifter i samma informationssystem behandlas med stöd av samma bestämmelser, dock genom att man i tillräcklig omfattning beaktar nödvändiga särdrag som utmärker behandlingen. 

4.2.3  4.2.3 Lagens tillämpningsområde

Under beredningen har man undersökt ett alternativ där behandlingen av personuppgifter som utförs för att skydda den nationella säkerheten ställs utanför tillämpningsområdet för lagen om behandling av personuppgifter i migrationsförvaltningen, när personuppgifter inte behandlas som en del av migrationsprocessen. I sådana fall behandlas personuppgifterna med stöd av respektive myndighets, till exempel polisens, personuppgiftslag. Då ska personuppgifter som samlats in med stöd av lagen om behandling av personuppgifter i migrationsförvaltningen användas för att skydda den nationella säkerheten antingen enligt bestämmelsen om utlämning av uppgifter eller genom att det föreskrivs om behandling av personuppgifter för annat än det ursprungliga ändamålet. Detta alternativ eliminerar också möjligheten att tillämpningsområdet knyts till dataskyddslagen för brottmål, vilket kan ses som ändamålsenligt med tanke på lagens tydlighet.  

I propositionen föreslås dock att tillämpningsområdet för migrationsförvaltningen dataskyddslag även ska täcka behandlingen av personuppgifter som utförs för att skydda den nationella säkerheten, eftersom behandlingen av personuppgifter i migrationsförvaltningen är en central del av den inre säkerheten. Därför är det alltjämt nödvändigt att trygga behandlingen av de personuppgifter som migrationsförvaltningen samlat in i syfte att skydda den nationella säkerheten på samma sätt som nu är fallet.  

4.2.4  4.2.4 Personuppgiftsansvariga

Som alternativ har bedömts en modell där bara Migrationsverket är personuppgiftsansvarig i ärendehanteringssystemet för utlänningsärenden och bara utrikesministerier i informationssystemet för viseringar. Då skulle andar myndigheter vara antingen personuppgiftsbiträden, eller ärendet skulle lösas genom att föreskriva om utlämnande av information mellan myndigheter. Under beredningen har som motivering för dessa lösningsalternativ presenterats tydlighet samt det att vissa andra myndigheters andel av de personuppgifter som behandlas inom migrationsförvaltningen är ganska liten och uppgifter behandlas även som en del av andra myndigheters processer. 

Vissa myndigheter som behandlare av personuppgifter 

Koncentrering av bestämmelserna om behandlingen av personuppgifter inom migrationsförvaltningen har utifrån nationella behov nästa utan undantag ansetts vara ändamålsenligt från såväl den registrerades som lagtillämparens synvinkel. Koncentrering leder oundvikligen till att den föreslagna lagens tillämpningsområde omfattar ett stort antal myndigheter, eftersom det på migrationsförvaltningens område finns ett exceptionellt stort antal myndigheter i uppdrag som innebär behandling av personuppgifter som omfattas av tillämpningsområdet för den föreslagna personuppgiftslagen. Dessutom sköter till exempel även privata förläggningar ofta offentliga förvaltningsuppdrag. Vid beredningen har rollen av dessa aktörer som är av betydelse för migrationsförvaltningens personuppgiftslag bedömts ur dataskyddsförordningens synvinkel. Ur dataskyddsförordningens synvinkel är aktörerna alltid antingen personuppgiftsansvariga (artikel 4.7), i vissa situationer gemensamt personuppgiftsansvariga (artikel 26), eller personuppgiftsbiträden (artikel 4.8). 

Tolkningen av begreppet personuppgiftsansvarig är generellt sett i viss mån ospecificerad i såväl den nationella lagstiftningen som i unionslagstiftningen. Den personuppgiftsansvarige definierades redan i artikel 2 d i dataskyddsdirektivet (95/46/EG), och definitionen antogs i artikel 4.7 i dataskyddsförordningen. Dataskyddsförordningen erbjuder i sig inga särskilt klara kriterier för fastställande av personuppgiftsansvariga i situationer där deras uppgifter och behörighet baserar sig på lagstiftning. I artikel 24 i dataskyddsförordningen föreskrivs om den personuppgiftsansvariges ansvar att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med förordningen. För de tekniska åtgärderna ansvarar i praktiken upprätthållaren av informationssystemet, men genomförandet av organisatoriska åtgärder kan anses vara en delfaktor som definierar den personuppgiftsansvarige. Dataskyddsarbetsgruppen har tagit ställning till definitionerna av personuppgiftsansvarig, personuppgiftsbiträde och gemensamt personuppgiftsansvarig i sitt utlåtande 1/2010. I sitt utlåtande har dataskyddsarbetsgruppen angett faktorer som definierar en personuppgiftsansvarig, bland annat frågor om varför personuppgifter behandlas, för vems syften de behandlas, vem som har inlett behandlingen, om uppdraget kan skötas utan behandling av personuppgifter och vem som har prövnings- och beslutanderätt i ärendet. Trots att utlåtandet är förhållandevis gammalt, godtas dess grundläggande riktlinjer fortfarande av EU-rätten. I sitt utlåtande har dataskyddsarbetsgruppen betonat att ansvaret ska förläggas till det plan där den faktiska påverkningen sker.  

När det gäller myndigheter som är verksamma inom tillämpningsområdet för den föreslagna personuppgiftslagen för migrationsförvaltningen ska det föreskrivas att de utöver personuppgiftsansvariga även är gemensamt personuppgiftsansvariga, eftersom de gemensamt fastställer ändamålen och medlen för behandlingen. Enligt dataskyddsarbetsgruppens utlåtande 1/2010 omfattar möjligheten av pluralistiskt ansvar alltjämt flera situationer där olika parter fungerar som personuppgiftsansvariga. Vid bedömningen av detta gemensamma ansvar ska man ta hänsyn till fastställandet av ”enkelt” ansvar genom att tillämpa ett materiellt och funktionellt synsätt och koncentrera sig på huruvida det har funnits flera parter som definierat de väsentliga delarna av ändamålet och medlen. Parternas deltagande i definitionen av ändamålet och medlen när det gäller gemensamt ansvar kan ske i olika former och det behöver inte vara jämlikt. Om det finns flera aktörer, kan dessa i själva verket ha nära förhållanden (alla ändamål och medel för informationsbehandlingen kan till exempel vara de samma) eller mindre nära förhållanden (de kan till exempel ha gemensamma ändamål och medel, eller bara en del av dessa kan vara gemensamma). Därför bör den stora variationen i typologin inom det gemensamma ansvaret beaktas, och de juridiska konsekvenser som föranleds av den bedömas. Man bör även godkänna viss flexibilitet för att kunna täcka databehandlingens komplicerade nuläge.  

EU-domstolen konstaterade i samband med fallet Google att syftet med artikel 2 d gällande personuppgiftsansvariga i dataskyddsdirektivet 95/46/EG är att trygga effektivt och omfattande skydd för de registrerade genom att fastställa begreppet personuppgiftsansvarig på ett heltäckande sätt. (C-131/12, Google, 13.5.2014, punkt 34). Enligt EU-domstolen hänvisar man med begreppet personuppgiftsansvarig inte nödvändigtvis bara till ett organ och det kan gälla flera aktörer som deltar i den nämnda behandlingen, i vilket fall de bestämmelser som tillämpas inom området för dataskydd tillämpas på vart och ett av dem. (C-210/16, Wirtschaftsakademie Schleswig-Holstein (Facebook), 5.6.2018, punkt 29 och C-25/17, Jehovasvittnen, 10.7.2018, punkt 65). Eftersom syftet med bestämmelsen i fråga är att trygga effektivt och omfattande skydd för de registrerade genom att fastställa begreppet personuppgiftsansvarig på ett heltäckande sätt, innebär gemensamt ansvar inte nödvändigtvis att de olika aktörer som deltar i behandlingen av personuppgifter har likadant ansvar. Dessa aktörer kan tvärtom delta i behandlingen av personuppgifter i olika skeden och i olika grader, vilket gör att nivån på deras ansvar ska bedömas med hänsyn till alla omständigheter som är av betydelse i fallet i fråga (C-210/16, Wirtschaftsakademie Schleswig-Holstein (Facebook), 5.6.2018, punkt 28 och 43 samt C-25/17, Jehovasvittnen, 10.7.2018, punkt 66). Bestämmelsen förutsätter inte heller att alla aktörer har tillgång till personuppgifterna i fråga i sådana fall där flera aktörer gemensamt ansvarar för samma behandling av personuppgifter. (C-210/16, Wirtschaftsakademie Schleswig-Holstein (Facebook), 5.6.2018, punkt 38). 

Vid beredningen har betraktats de lagstadgade uppgifterna av myndigheter som är verksamma inom migrationsförvaltningen. Med beaktande av den definition av personuppgiftsansvarig och gemensamt personuppgiftsansvarig som fastställts i dataskyddsförordningen, dataskyddsarbetsgruppens utlåtande och av EU-domstolen, ska de myndigheter som agerar med stöd av sådan lagstiftning som ger behörighet inom tillämpningsområdet för den föreslagna personuppgiftslagen för migrationsförvaltningen vara personuppgiftsansvariga och därmed även gemensamt personuppgiftsansvariga. Migrationsverket och utrikesförvaltningen kan inte fastställas som de enda personuppgiftsansvariga inom tillämpningsområdet för migrationsförvaltningens personuppgiftslag, eftersom de övriga myndigheter som behandlar personuppgifter inom migrationsförvaltningen i detta fall agerar som personuppgiftsbiträden, som de med tanke på deras lagstadgade uppgifter och den ansvarsställning som anknyter till dem inte är. Modellen med två personuppgiftsansvariga överensstämmer inte med förordningen, även om den har vissa fördelar som ansluter sig till tydlighet. När myndigheter fastställs som gemensamt personuppgiftsansvariga, är det inte fråga om ändamålsenlighetsprövning utan uppfyllandet av de förutsättningar som ingår i dataskyddsförordningen.  

Vissa myndigheter som utlämnare och mottagare av information  

Vid beredningen har man bedömt som alternativ till flera personuppgiftsansvariga även en lösning där bara Migrationsverket är personuppgiftsansvarig i ärendehanteringssystemet för utlänningsärenden och bara utrikesministerier i informationssystemet för viseringar, men de övriga myndigheterna av betydelse är inte personuppgiftsbiträden utan det ska gällande dem föreskrivas om mottagande och utlämnande av information. Detta tillvägagångssätt har använts till exempel i polisens personuppgiftslag i synnerhet när det gäller Tullen och Gränsbevakningsväsendet i situationer där myndigheter enligt gällande lag och praxis lämnar information till polisen direkt genom att spara den i polisens system. Under beredningen har dock identifierats att när det gäller polisen är det fråga om verksamhet som finns mellan olika personuppgiftsbestämmelser, i vilket fall informationen rör sig på ett naturligt sätt på basis av bestämmelser om utlämnande av information: en myndighet behandlar personuppgifter på basis av sin egen personuppgiftslagstiftning och lämnar dem till en annan myndighet för behandling med stöd av den personuppgiftslag som gäller den. I detta fall är ingendera myndigheten personuppgiftsansvarig (eller personuppgiftsbiträde) med stöd av den andra myndighetens personuppgiftslag. I den aktuella situationen är det emellertid fråga om behandling av personuppgifter med stöd av en personuppgiftslag, dvs. inom tillämpningsområdet för migrationsförvaltningens personuppgiftslag. När man agerar inom ramen för denna lag kan ingen myndighet behandla personuppgifter utan att med stöd av den aktuella lagen vara antingen personuppgiftsansvarig eller personuppgiftsbiträde. En del av de myndigheter som i detta förslag föreslås som personuppgiftsansvariga har en gällande personuppgiftslag, men majoriteten har inte. Därmed ska en lösning som baserar sig på utlämnande av information förutsätta stadgande av separata personuppgiftslagar för alla myndigheter, vilket inte kan betraktas som en ändamålsenlig lösning. Den motsvarar inte heller den regleringsmodell som nästan utan undantag har valts vid beredningen och i vilken regleringen om behandlingen av personuppgifter hos myndigheter som är verksamma inom migrationsförvaltningen ska koncentreras till en lag.  

4.2.5  4.2.5 Bestämmelser om rätten till personuppgifter

Rätten till uppgifter är en rätt som tillför myndigheten behörighet. Att införa rätten till uppgifter i lagstiftning som ger myndigheterna behörighet är därför såväl motiverat som en lösning som är förenlig med den samlade propositionen. Vid migrationsförvaltningen finns det dock ett stort antal lagar som ger myndigheterna behörighet. Det förefaller som om antalet sådana lagar i framtiden sannolikt snarare kommer att öka än minska. Att införa rätten till uppgifter i lagstiftning som ger behörighet innebär att tämligen samma typ av bestämmelser mångfaldigas i flera lagar. Därför har man i propositionen gått in för att föreslå att rätten till uppgifter som omfattas av tillämpningsområdet för lagen om Migrationsverket, förläggningar, flyktingslussar och förvarsenheter koncentreras till den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen. Vidare föreslås det bestämmelser närings-, trafik- och miljöcentralernas, arbets- och näringsbyråernas och utrikesförvaltningens rätt till uppgifter. För att skapa en tydlig helhet är valet motiverat. Övriga aktörers rätt till uppgifter har fått kvarstå i de lagar som ger behörighet.  

4.2.6  4.2.6 Automatiserade enskilda beslut

Enligt artikel 22 i dataskyddsförordningen ska den registrerade ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Ett undantag till denna huvudregel finns i artikelns punkt 2 b enligt vilken punkt 1 inte ska tillämpas, om beslutet tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen. Därför måste förutsättningarna för automatiserade beslutsprocesser enligt artikel 22 i dataskyddsförordningen anges särskilt i nationell lag. 

När det gäller automatiserat individuellt beslutsfattande har man i beredningen granskat olika sätt att avgränsa de frågor som gäller automatiserade beslutsprocesser på en tillräckligt detaljerad nivå och på ett sätt där regleringen beaktar kraven på rättssäkerhet och god förvaltning i grundlagens 21 § på det sätt som grundlagsutskottet (GrUU 62/2018 rd, s. 7—8) förutsätter. 

Med beaktande av det krav på god förvaltning, särskilt på att parter ska höras, bestämdes det att automatiserat beslutsfattande ska begränsas till de situationer där hörande av en part enligt 34 § i förvaltningslagen (434/2003) inte behövs med beaktande av ärendets natur. Strävan har varit att under beredningen identifiera sådana ärendegrupper inom Migrationsverket där en part med stöd av 34 § 2 mom. 5 punkten inte behöver höras. Det kan exempelvis röra sig om fall där ärendet avgörs i överensstämmelse med ansökan eller där ansökan förfaller med stöd av utlänningslagen. Om villkoren knyts till 34 § 2 mom. 5 punkten i förvaltningslagen uppkommer det en noga avgränsad och klar gräns för vilka typer av ärenden som lämpar sig för automatiserat beslutsfattande. Dessa ärendegrupper utgör en stor del av de beslut Migrationsverket fattar och därför skulle verkets beslutsprocesser effektiviseras om det blir möjligt med helt automatiserat beslutsfattandet inom den gruppen. Möjligheten till automatiserat beslutsfattande inom sådana ärendegrupper där hörande av en part i enlighet med huvudregeln i 34 § i förvaltningslagen inte behövs på grund av ärendets natur innebär emellertid inte att övriga förfarandebestämmelser i förvaltningslagen och förvaltningsprocesslagens (568/1996) bestämmelser om rättssäkerhet inte skulle tillämpas på normalt sätt på automatiserade beslut på det sätt som 21 § i grundlagen kräver. En part skulle således exempelvis ha rätt att få ett motiverat beslut om individuellt beslut fattat genom en automatiserad beslutsprocess och att överklaga beslutet på det sätt som föreskrivs särskilt.  

I samband med beredningen har det också övervägts om dataskyddsförordningen ger registrerade rätten att kräva att en fysisk person deltar i behandlingen av uppgifterna. Enligt artikel 22.2 b i dataskyddsförordningen tillåts automatiserade individuella beslut, om beslutet tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen. Enligt skäl 71 i ingressen till dataskyddsförordningen bör denna form av uppgiftsbehandling under alla omständigheter omgärdas av lämpliga skyddsåtgärder, som inkluderar rätten för en fysisk person att delta i behandlingen av uppgifter.  

Dataskyddsarbetsgruppen slår i sina riktlinjer (WP 251/17, s. 36—37) fast att artikel 22 i dataskyddsförordningen inte innebär en rätt att göra invändningar på samma sätt som artikel 21, utan att den ska tolkas som ett förbud mot automatiserad behandling av uppgifter, utom i de undantagsfall som gäller enligt artikel 22.2. Det är fråga om ett passivt skydd för de registrerade inte om att denne aktivt utövar sina rättigheter. Artikel 22 i dataskyddsförordningen innehåller ändå inom skyddsåtgärderna enligt dess punkt 2 a–c en aktiv rätt att kräva en fysisk persons deltagande, att kunna utrycka sin åsikt och att bestrida beslutet. Därför har det i samband med beredningen bedömts huruvida kraven på adekvata skyddsåtgärder enligt artikel 22.2 b i förordningen uppfylls redan i den gällande nationella regleringen. 

Enligt skäl 71 i ingressen till dataskyddsförordningen bör dock alltid den form av uppgiftsbehandling som medger undantag enligt artikel 22.2 under alla omständigheter omgärdas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet. Också enligt dataskyddsarbetsgruppens riktlinjer (WP 251/17, s. 28) gäller skyddsåtgärderna för alla undantag enligt artikel 22.2 även om de lämpliga skyddsåtgärderna inte specifikt anges i själva artikeln i fråga om punkt 2 b. Enligt arbetsgruppens rekommendationer avseende god praxis kan den personuppgiftsansvarige införa en mekanism för mänskligt ingripande i vissa bestämda fall, t.ex. tillhandahålla en länk till en överklagandeprocess när det automatiserade beslutet meddelas den registrerade, med avtalade tidsfrister för överprövningen och namngivna kontaktpunkter för eventuella frågor (WP 251/17, s. 33—34).  

Skyldigheten enligt grundlagens 21 § att genom lag föreskriva om garantierna för rättssäkerhet och god förvaltning fullgörs genom allmänna nationella lagar om förvaltningsförfaranden och administrativa processer. Bestämmelserna i de lagarna uppfyller redan nu de flesta kraven på lämpliga skyddsåtgärder som anges i artikel 22 i dataskyddsförordningen. Ett skenbart undantag utgörs av den uttryckliga rätten att kräva att en fysisk person deltar i behandlingen av uppgifterna, eftersom de nationella förvaltningsrättsliga bestämmelserna inte beaktar möjligheten till automatiserade beslutsprocesser, utan utgångspunkten har varit att reglera fysiska personers administrativa åtgärder. Samtidigt skyddas rätten att kräva att en fysisk person behandlar uppgifterna, såsom framgår av dataskyddsarbetsgruppens rekommendation, i tillräcklig utsträckning av att det finns möjlighet att överklaga och kontaktpunkter för de registrerade. På detta sätt garanteras även denna rättighet genom bestämmelserna om sökande av ändring i förvaltningsprocesslagen och utlänningslagen. I 6 § i lagförslag 1 finns dessutom bestämmelser om kontaktpunkter för de registrerade.  

Vidare bedömdes det i samband med beredningen huruvida rätten enligt artikel 22 i data-skyddsförordningen behöver begränsas på det sätt som artikel 23 kräver. Den artikeln medger begränsningar av tillämpningsområdet för skyldigheterna och rättigheterna enligt artikel 22 genom nationell lagstiftning förutsatt att begränsningarna sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa unionens eller en medlemsstats viktiga mål av generellt allmänt intresse. Arbetsgruppen TATTI har gjort den bedömningen att kravet på entydig och noga avgränsad reglering innebär att det inte går att föreskriva om en allmän begränsning av artikel 22 genom allmän lag, trots att artikel 23 ger möjlighet till begränsningar av de registrerades rättigheter genom nationell lag. Det är meningen att automatiserat beslutsfattande ska bli möjligt i Migrationsverkets verksamhet bara i ärenden där det inte föreligger något intresse för en part att bli hörd, och därför kommer en registrerad person inte i dessa fall att ha något behov av att en fysisk person deltar i behandlingen av uppgifterna. Men även denna skyddsåtgärd kommer i enlighet med vad som sägs ovan att tillgodoses genom rätten att söka ändring, och därmed kommer den registrerades rättigheter at skyddas genom lämpliga åtgärder också vid automatiserat beslutsfattande. Därmed finns det inget behov av att särskilt begränsa den registrerades rätt att kräva att en fysisk person deltar i behandlingen. Migrationsverkets system för automatiserade beslutsprocesser ska skapas på så sätt att beslutet alltid ska gå till en fysisk person för handläggning, om parter behöver höras i ärendet exempelvis på grund av den behörighetsgivande lagstiftningen eller bristfälligt ifyllda eller motstridiga uppgifter eller om ärendet förutsätter helhetsbedömning.  

Under beredningen granskades också frågan om det går att fatta beslut avseende barn genom automatiserat beslutsfattande. Enligt skäl 71 i ingressen till dataskyddsförordningen bör åtgärder som bygger på automatiserat beslutsfattande inte gälla barn. Men dataskyddsarbetsgruppen konstaterar i sina riktlinjer om automatiserat beslutsfattande (WP 251/17, s. 29) att tolkningsanvisningen i ingressen inte utgör ett absolut förbud mot denna typ av behandling av barns personuppgifter eftersom formuleringen inte används i själva artikeln, dvs. artikel 22. Mot bakgrund av tolkningsanvisningen rekommenderar dataskyddsarbetsgruppen dock att personuppgiftsansvariga som huvudregel inte ska tillämpa undantagen i artikel 22.2 för att motivera en sådan behandling. Samtidigt påpekar dataskyddsarbetsgruppen att det dock kan finnas situationer där det är nödvändigt för personuppgiftsansvariga att använda sig av enbart automatiserat beslutsfattande, inbegripet profilering, som har rättsliga eller på liknande sätt betydande följder för barn, t.ex. för att skydda deras välbefinnande. I så fall får behandlingen i förekommande fall utföras med stöd av undantagen i artikel 22.2 förutsatt att det finns lämpliga skyddsåtgärder i enlighet med artikel 22.2 b och att åtgärderna är anpassade för barn. Dataskyddsarbetsgruppen understryker särskilt att den personuppgiftsansvarige måste se till att dessa skyddsåtgärder på ett effektivt sätt skyddar de rättigheter, friheter och berättigade intressen som de barn har vars uppgifter den personuppgiftsansvarige behandlar. 

Att kategoriskt följa tolkningsanvisningen för skäl 71 skulle inte alltid på bästa möjliga sätt se till barnets bästa i ärenden inom migrationsförvaltningen. Exempelvis i fall där det är fråga om beviljande av fortsatt tillstånd när förutsättningarna för att få tillstånd inte förändrats ligger det i barnets intresse att ärendet behandlas i ett system för automatiserat beslutsfattande. Om ett automatiserat beslut inte ens i sådana fall får gälla barn blir exempelvis alla som hör till en barnfamilj tvungna att vänta på att en fysisk person behandlar deras ansökningar om fortsatt tillstånd, eftersom föräldrarnas ansökningar behandlas ihop med barnets ansökan. I migrationsförvaltningens praktiska verksamhet har barn och barnfamiljer visserligen företräde, men en fysisk person kan ändå inte behandla ärendet lika snabbt som ett automatiserat system för beslutsfattande. Detta skulle systematiskt försätta barn och deras familjemedlemmar i en sämre ställning än andra, och därför är det nödvändigt att möjliggöra enbart automatiserade beslut som även riktar sig till barn då detta står i barnets bästa intresse. Också exempelvis i situationer där barnet enligt lag har rätt att med sin förmyndares samtycke få finskt medborgarskap efter det att föräldern fått det accentueras det att den snabba handläggningen inom en automatiserad beslutprocess är något som ligger i linje med barnets bästa. Därför uteslöts inte automatiserade beslut som gäller barn från bestämmelsens räckvidd.  

4.2.7  4.2.7 Nationell reglering till följd av Europeiska unionens förordning om skyldigheten att lagra personuppgifter i unionens gemensamma informationssystem

Vid beredningen har man övervägt behovet av nationell reglering till följd av Europeiska unionens förordning om skyldigheten att lagra personuppgifter i unionens gemensamma informationssystem med beaktande av kravet i artikel 6.3 i dataskyddsförordningen enligt vilket den grund för behandlingen som är nödvändig för att fullgöra en rättslig förpliktelse ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. I 36 § i lagen om behandling av personuppgifter i polisens verksamhet (761/2003), som numera upphävts, föreskrevs om rätten för Migrationsverket, polisen och Gränsbevakningsväsendet att trots sekretessbestämmelserna till Schengens informationssystem lämna ut personuppgifter som avses i Europaparlamentets och rådets förordning (EG) 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II). I samband med revideringen av polisens personuppgiftslag inskränktes bestämmelsen så att den gäller bara polisen. Gränsbevakningsväsendet ansåg i samband med revideringen av personuppgiftslagen gällande den att det är nödvändigt att i fortsättningen reglera utlämningen av uppgifter till Schengens informationssystem i Gränsbevakningens personuppgiftslag. Vid beredningen har man också beaktat att det med stöd av såväl Schengens informationssystem som avdelning V kapitel 2 i fördraget om Europeiska unionens funktionssätt har inrättats flera informationssystem som är gemensamma för Europeiska unionen. Sådana är Eurodac-systemet, informationssystemet för viseringar (VIS), EU:s system för in- och utresa (EES) och EU:s reseinformations- och auktorisationssystem (ETIAS). Författningsgrunden för dessa informationssystem bildas av Europaparlamentets och rådets förordning (EU) nr 603/2013 som gäller Eurodac-systemet, Europaparlamentets och rådets förordning (EG) nr 767/2008 om informationssystemet för viseringar (VIS), Europaparlamentets och rådets förordning (EU) 2017/2226 om ett system för in- och utresor (EES) samt Europaparlamentets och rådets förordning (EU) 2018/1240 om ett EU-system för reseuppgifter och resetillstånd (ETIAS). 

Vid beredningen har man bedömt att alla dessa förordningar kommer att leda till noggrant specificerade skyldigheter för de nationella myndigheterna när det gäller behandlingen av personuppgifter. Det kan vara fråga om att vissa personuppgifter som anges i den förordningen, också känsliga uppgifter såsom fingeravtryck, ska registreras eller uppdateras i ett gemensamt europeiskt informationssystem eller att personuppgifter som samlats i ett gemensamt informationssystem ska användas i en nationell myndighets egen verksamhet. Vid beredningen har det konstaterats att det inte är nödvändigt att särskilt föreskriva om den typen av skyldighet att behandla personuppgifter som följer direkt av en förordning, eftersom förordningen är direkt tillämplig och innehållet i de personuppgifter som ska behandlas anges utförligt i förordningarna. I förordningarna anges inte vilken myndighet som har rätt att behandla personuppgifter, men förordningen ålägger medlemsstaten att särskilt notifiera sådana myndigheter för kom-missionen, och således har kretsen av myndigheter som har rätt att behandla personuppgifter i detta avseende begränsats. De personuppgifter som behandlas med stöd av dessa förordningar är dock i regel sekretessbelagda, vilket gör att man i regleringslösningen även måste ta hänsyn till förutsättningen i 29 § i lagen om offentlighet i myndigheternas verksamhet när det gäller förutsättningen för utlämnande av uppgifter. För att uppnå en lösning som överensstämmer med lagen om offentlighet i myndigheternas verksamhet och de övriga myndigheterna på förvaltningsområdet samt med tanke på tydligheten har man dock stannat för att föreskriva om utlämning av personuppgifter till Europeiska unionens gemensamma informationssystem. 

4.3  De viktigaste förslagen

4.3.1  4.3.1 Koncentrerad och tydligare reglering av de personuppgifter som behandlas i migrationsförvaltningen

I denna proposition föreslås att det stiftas en lag om behandling av personuppgifter i migrationsförvaltningen. Lagen ska tillämpas på behandlingen av personuppgifter på migrationsförvaltningens område. Lagen föreslås ersätta lagen om utlänningsregistret, som föreslås bli upphävd. Till den föreslagna lagen koncentreras dessutom bestämmelserna om behandling av personuppgifter i andra migrationslagar på förvaltningsområdet. I propositionen ingår således förslag till lagar om ändring av lagen om mottagande av personer som söker internationellt skydd och om identifiering av och hjälp till offer för människohandel, lagen om bemötande av utlänningar som tagits i förvar och om förvarsenheter och lagen om främjande av integration. Koncentreringen av behandlingen av personuppgifter inom migrationsförvaltningen till en personuppgiftslag har, med tanke på myndigheternas mångfald, i de utlåtanden som getts om propositionen i princip ansetts ha vara önskvärt och basera sig på korrekta mål. Det har till exempel konstaterats att koncentrering främjar de registrerades möjligheter att förstå ändamålen med behandlingen av deras personuppgifter och identifiera de personuppgiftsansvariga bättre än i den nuvarande modellen, i vilken bestämmelser om behandlingen av personuppgifter finns i flera olika lagar så att en del av bestämmelserna finns i personuppgiftslagar och en del i sektorinriktade specialbestämmelser som skapar behörighet. Valet överensstämmer även målet att tydliggöra lagstiftningen genom att enhetliga bestämmelserna om behandlingen. 

Unionens dataskyddslagstiftning och de nationella allmänna lagarna och speciallagarna utgör ett mångbottnat och tämligen komplicerat regelverk. Det genomgripande syftet med den föreslagna personuppgiftslagen för migrationsförvaltningen är – med beaktande av rådande strukturer – att förtydliga regelverket om personuppgifter såväl från lagtillämparens synpunkt som med tanke på den registrerades rättigheter. För att nå detta mål föreslås det att de bestämmelserna om behandling av personuppgifter som är viktiga inom migrationsförvaltningen koncentreras till en enda personuppgiftslag, som ska vara så lättfattlig, överskådlig och begriplig som möjligt. Strävan efter klarare reglering ska enligt avsikt genomföras med ett riskbaserat synsätt som både dataskyddsförordningen och grundlagsutskottet kräver. Regleringen föreslås då utifrån hot och risker inriktas på situationer som kräver närmare reglering. Med sådana situationer avses exempelvis samband med uppgifter som hör till särskilda kategorier av personuppgifter. Samtidigt föreslås det att reglering ska upphävas alltid när det inte nödvändigtvis finns behov av detaljerade bestämmelser för att garantera skyddet för personuppgifter. Också i sådana fall ska bestämmelserna uppfylla förutsättningarna för inskränkning av de grundläggande fri- och rättigheterna, såsom kravet på begränsningarnas proportionalitet och exakt och noggrann avgränsning.  

4.3.2  4.3.2 Rättslig grund för behandlingen av personuppgifter

Lagstiftning som kompletterar eller preciserar dataskyddsförordningen är möjlig bar om det uttryckligen tillåts i dataskyddsförordningen. Det nationella handlingsutrymmet grundar sig på artikel 6.1 c och e i dataskyddsförordningen samt i fråga om särskilda kategorier av personuppgifter på artikel 9.2 b, g, h, i och j. Dessutom innehåller förordningen flera artikelspecifika preciseringar av det nationella handlingsutrymmet. 

Enligt artikel 6.1 c i dataskyddsförordningen är behandlingen laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Den personuppgiftsansvarige ska då inom ramen för sin behörighet ha lagstadgade uppdrag som förutsätter behandling av personuppgifter för att kunna genomföras. Personuppgifter får inte behandlas på basis av bara en bestämmelse om behandling av uppgifter och de får inte behandlas i vidare bemärkelse än vad som är motiverat utifrån uppgifts- och behörighetsbestämmelsen. Eftersom myndigheternas behandling av personuppgifter i migrationsförvaltningen är lagstadgad, är artikel 6.1 c i dataskyddsförordningen den rättsliga grund som ska tillämpas. Dataskyddsförordningen kräver kompletterande reglering när behandlingen av personuppgifter grundar sig på den personuppgiftsansvariges lagstadgade åtagande. Behandlingen av personuppgifter i migrationsförvaltningen kan inte genomföras på ett ändamålsenligt sätt utan preciserande reglering inom ramen för det nationella handlingsutrymmet så som det anges i artikel 6.2 och 3 i dataskyddsförordningen. Den rättsliga grunden för behandlingen av personuppgifter i denna proposition är således förenlig med dataskyddsförordningen. 

När det föreskrivs om behandling av personuppgifter i nationell rätt inom ramen för det handlingsutrymme som förordningen medger, kan den rättsliga grunden för behandlingen enligt artikel 6.2 och 3 innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning. Den nationella lagstiftningen kan handla om till exempel de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Lagstiftningen ska uppfylla ett mål av allmänt intresse och vara proport-ionell mot det legitima mål som eftersträvas. 

4.3.3  4.3.3 Mål för behandlingen av personuppgifter

Lagen om behandling av personuppgifter i migrationsförvaltningen har som mål att på bästa möjliga sätt skydda de registrerades privatliv, vilket tryggas i grundlagen. Avsikten är att säkerställa lagligheten i behandlingen av personuppgifter samt den allmänna ordningen och säkerheten genom att möjliggöra skötseln av de lagstadgade uppdrag som hör till myndigheternas behörighet.  

Lagstiftningen om behandlingen av personuppgifter i migrationsförvaltningen beskrivs ovan i avsnitt 2.1.1. De åtaganden som åläggs myndigheterna i dessa lagar kan inte fullgöras utan behandling av personuppgifter, eftersom åtagandena har att göra med människors rättigheter, tjänster och skyldigheter. Det är nödvändigt att identifiera personerna och det ligger dessutom i deras eget intresse.  

Utgångspunkt för behandlingen är principerna för behandling av personuppgifter i dataskyddsförordningen. Enligt dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. 

4.3.4  4.3.4 Behandling av personuppgifter baserad på ändamålet med behandlingen och lagens tillämpningsområde

Europeiska unionens dataskyddslagstiftning leder inte till några begränsningar oavsett om regleringen i den nationella lagstiftningen är registerbaserad är baserad på ändamålet med behandlingen. Det föreslås att den registerbaserade regleringen i utlänningsregisterlagen ersätts med bestämmelser som är baserade på ändamålet med behandlingen av personuppgifter. Tillämpningsområdet ska inte vara knutet till något specifikt register eller datasystem, utan till de ändamål för vilka personuppgifterna behandlas. Regleringen skulle då vara förenlig med utgångspunkterna i dataskyddsförordningen, dataskyddslagen, dataskyddslagen för brottmål och annan speciallagstiftning på inrikesministeriets förvaltningsområde. Enligt dataskyddsförord-ningen ska ändamålet med behandlingen framgå tillräckligt detaljerat i bestämmelserna om ändamålet. I propositionen föreslås bestämmelser om ändamålen med behandlingen av personuppgifter så att de i princip överensstämmer med innehållet i nuvarande utlänningsregisterlag, men med en utvidgning av ändamålen med behandlingen så de inbegriper också ändamålen enligt registerbestämmelserna i nuvarande mottagandelag, förvarslag samt integrationslag. Behandlingen av personuppgifter kommer då att grunda sig på behörighet som tilldelas varje enskild personuppgiftsansvarige enligt lagstiftning.  

I lagförslaget bildar ändamålen med behandlingen av personuppgifter den föreslagna lagens tillämpningsområde. Migrationsförvaltningens personuppgiftslag tillämpas när personuppgifter behandlas för de ändamål som föreslås i 1 §.  

Enligt dataskyddslagen ska dataskyddsförordningen tillämpas i tillämpliga delar också på sådan behandling av personuppgifter som inte omfattas av unionsrättens tillämpningsområde och som medlemsstaterna utför när de bedriver sådan verksamhet som hör till tillämpningsområdet för avdelning 5 kapitel 2 i fördraget om Europeiska unionen. Denna utvidgning av förordningens räckvidd gäller inte situationer där det gäller andra bestämmelser i nationell lag i ett ärende som inte omfattas av unionsrättens tillämpningsområde. I denna proposition föreslås inte bestämmelser med annat innehåll. 

Med regleringsteknik baserad på ändamålet med behandlingen avses att man frångår nuvarande reglering av personuppgifter som är kopplad till angivna register och informationssystem. Informationssystemen fungerar som tekniska plattformar för behandlingen av personuppgifter, men det är inte längre nödvändigt att föreskriva särskilt om dem. I fortsättningen ska tillämpningsområdet för lagen vara knutet till syftet med behandlingen oberoende av i vilket specifikt informationssystem personuppgifterna behandlas. För att den valda regleringstekniken ska fungera förutsätts det att man går in för att minimera överlappningar av ändamålen med behandlingen och därmed tillämpningsområdena för migrationsförvaltningens personuppgiftslag och andra personuppgiftslagar.  

Även om lagens tillämpningsområde vid en regleringsteknik baserad på ändamålet inte är bundet till den tekniska plattformen för behandlingen, innebär inte den principen att man inte kan och bör använda sig av informationssystem för förvaltning av informationsresurser exempelvis på så sätt att personuppgifter som behandlas med stöd av en viss lag lagras i ett visst informationssystem. Koncentrationen av behandlingen av personuppgifter som samlats in med stöd av en enskild personuppgiftslag till ett visst eller vissa informationssystem kan i praktiken skapa klarhet i helheten. Dessutom bör det särskilt föreskrivas om Migrationsverkets och utrikesförvaltningens behörighet att administrera och utveckla sina informationssystem. Ansvaret när det gäller informationssystemens administration och utveckling kommer dock inte att påverka valet av lag som tillämpas på behandlingen av personuppgifter. 

I den föreslagna lagen föreskrivs om personuppgifter som ska behandlas, villkor för och förfarande vid behandlingen samt de registrerades rättssäkerhet, när personuppgifter behandlas för de ändamål som den föreslagna lagens tillämpningsområde är bundet till.  

4.3.5  4.3.5 Förhållande till annan lagstiftning

Bestämmelser om behandlingen av personuppgifter finns i dataskyddsförordningen och dataskyddslagen vilka kompletteras och preciseras av den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen, som är en speciallag.  

Dataskyddslagen för brottmål ska i stället för dataskyddsförordningen och dataskyddslagen tillämpas på behandling av personuppgifter som utförs av polisen, åklagarna, de allmänna domstolarna, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter, när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åklagarverksamhet i samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av brott mot den allmänna säkerheten. Lagen ska också med stöd av en nationell lösning tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten. Av de specifika ändamål för behandlingen av personuppgifter som omfattas av tillämpningsområdet för migrationsförvaltningens personuppgiftslag ska skyddet av den nationella säkerheten höra till tillämpningsområdet för dataskyddslagen för brottmål. Eftersom tillämpningsområdet för den lag som föreslås i propositionen utvidgas, blir också de ändamål för vilka insamlade uppgifter får behandlas för att trygga den nationella säkerheten mer omfattande.  

På migrationsförvaltningens område tillämpas också polisens personuppgiftslag samt Gränsbevakningsväsendets personuppgiftslag. Förhållandet mellan tillämpningsområdet för den föreslagna lagen och de speciallagar ovan som gäller behandlingen av personuppgifter är, på samma sätt som nu, att de i viss mån överlappar varandra till exempel i fråga om skyddet av den nationella säkerheten, övervakningen av utlänningar samt utvisningar.  

Om inte något annat föreskrivs i den föreslagna lagen, tillämpas offentlighetslagen på rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister.  

4.3.6  4.3.6 Gemensamt personuppgiftsansvariga

Personuppgiftsansvariga är Migrationsverket, Polisstyrelsen och skyddspolisen, Gränsbevakningsväsendet, förläggningar och flyktingslussar, förvarsenheter, utrikesförvaltningen, närings-, trafik- och miljöcentralerna samt arbets- och näringsbyrån. Utgångspunkten för dataskyddsförordningen är att trygga fysiska personers grundläggande fri- och rättigheter och framför allt deras rätt till skydd av personuppgifter. Utgångspunkten är att ansvaret för behandling av personuppgifter förläggs på den myndighet som har det verkliga ansvaret för saken. Personuppgiftsansvarig är den myndighet som behandlar personuppgifter för ett ändamål som hör till den föreslagna lagens tillämpningsområde och utför detta för att kunna sköta de uppgifter som ålagts den i lag för egna oberoende syften. Eftersom många myndigheter behandlar personuppgifter i egenskap av personuppgiftsansvariga inom lagens tillämpningsområde, är de med stöd av artikel 26 i dataskyddsförordningen alla gemensamt personuppgiftsansvariga. För enskilda gemensamt personuppgiftsansvariga används i propositionen benämningen personuppgiftsansvarig. Regleringen om sekretess och utlämnande av information utan hinder av sekretess i lagen om offentlighet i myndigheternas verksamhet, som tillämpas som allmän lag på migrationsförvaltningen, baserar sig på principen om fristående myndigheter. Även om myndigheter i sin verksamhet är gemensamt personuppgiftsansvariga, är de enligt principen om fristående myndigheter självständiga i förhållande till varandra. Om det sätt på vilket information rör sig mellan personuppgiftsansvariga ska föreskrivas separat. Såsom det har konstaterats i EU-domstolens rättspraxis betyder det att personuppgiftsansvariga enligt 3 § i den föreslagna personuppgiftslagen för migrationsförvaltningen är gemensamt personuppgiftsansvariga enligt artikel 26 i dataskyddsförordningen dock inte att alla personuppgiftsansvariga utan begränsningar kan behandla information som andra personuppgiftsansvariga har samlat in och sparat. Behandlingen av information ska alltid basera sig på lagstiftning som skapar behörighet för myndigheten i fråga. Tillgången till information ska förvaltas med användarrättigheter. 

Enligt skäl 79 i ingressen till dataskyddsförordningen kräver skyddet av de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och personuppgiftsbiträdenas ansvar, till exempel i förhållande till tillsynsmyndigheternas övervakning och åtgärder, ett tydligt fastställande av vem som bär ansvaret enligt förordningen, även när personuppgiftsansvariga gemensamt fastställer ändamål och medel för en behandling tillsammans med andra personuppgiftsansvariga eller när en behandling utförs på en personuppgiftsansvarigs vägnar. Därför är specificeringen av den personuppgiftsansvarige i lagstiftningen viktigt, eftersom dataskyddsförordningen ålägger personuppgiftsansvariga med flera skyldigheter. Följaktligen ska det beträffande specialbestämmelser som gäller behandlingen av personuppgifter vara klart vilken part som ansvarar för den personuppgiftsansvariges skyldigheter. 

Enligt artikel 26 i dataskyddsförordningen, oavsett formerna för arrangemanget mellan gemensamt personuppgiftsansvariga, får den registrerade utöva sina rättigheter enligt dataskyddsförordningen med avseende på och emot var och en av de personuppgiftsansvariga. Gemensamt personuppgiftsansvariga kan alltså inte genom inbördes arrangemang effektivt styra den registrerade att bara vara i kontakt med en viss gemensamt personuppgiftsansvarig.  

På migrationsförvaltningens område finns ett exceptionellt stort antal myndigheter som utför uppdrag som innebär att de behandlar personuppgifter på tillämpningsområdet för den föreslagna nya lagen om behandling av personuppgifter i migrationsförvaltningen. I enlighet med 124 § i grundlagen sköter dessutom till exempel privata förläggningar offentliga förvaltningsuppdrag med stöd av ett sådant avtal som anges i 10 § i mottagandelagen. För tydlighetens skull används i propositionen termen myndighet också när myndighetsuppdrag utförs av något annat organ än en myndighet. 

Dessutom behandlar många tjänsteleverantörer vid förläggningar, förvarsenheter, hjälpsystemet för offer för människohandel samt Migrationsverket i sin tur personuppgifter i rollen av personuppgiftsansvarig enligt artikel 28 och artikel 4.8 i dataskyddsförordningen. 

4.3.7  4.3.7 Behandlingen av personuppgifter

Enligt dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Denna ändamålsbegränsning utgör hörnstenen för behandlingen av personuppgifter. Bestämmelser om syftet med behandlingen av personuppgifter finns i 1 § i den föreslagna lagen. Behandling av personuppgifter enligt var och en av punkterna i 1 mom. är behandling av personuppgifter för det ursprungliga ändamålet. Behandling av uppgifter för något annat ändamål än det som nämns i någon av punkterna och som uppgifterna samlats in för kan i praktiken inte utgöra behandling för det ursprungliga ändamålet med behandlingen.  

I den föreslagna 3 § finns bestämmelser om de myndigheter som är personuppgiftsansvariga när de fullgör sina uppgifter enligt den lagstiftning som ger dem behörighet. Med beaktande av principen om fristående myndigheter måste det finnas separata bestämmelser för de fall där en personuppgiftsansvarig använder sådana känsliga och sekretessbelagda uppgifter för deras ursprungliga ändamål som en annan personuppgiftsansvarig samlat in (11 §). I formuleringen av 11 § ingår samtidigt ett förbud mot att använda uppgifter för olika behandlingsändamål i kors, eftersom detta inte kan anses som behandling enligt det ursprungliga ändamålet.  

Särskilda bestämmelser om behandling av personuppgifter för andra ändamål än det ursprungliga avses ingå i 12 §. Med detta avses användning av uppgifter som samlats in med stöd av någon av punkterna i 1 § för ändamålet enligt någon annan punkt än det för vilket personuppgifterna samlats in. Regleringsmodellen är ny i förhållande till den gällande utlänningsregisterlagen. Det är nödvändigt att föreskriva om behandling av personuppgifter för andra ändamål än det ursprungliga, eftersom tillämpningsområdet för den föreslagna lagen utvidgas till att omfatta uppgifter som samlats in för ändamål av olika slag och som kommer att behöva behandlas också för något annat ändamål än det ursprungliga. Regleringen grundar sig på det som i gällande utlänningsregisterlag, mottagandelag och förvarslag föreskrivs om utlämning av uppgifter för sådana ändamål som enligt förslaget i denna proposition ska införas i lagen om behandling av personuppgifter i migrationsförvaltningen. I fortsättningen är det inte längre fråga om utlämning av uppgifter, utan om behandling av personuppgifter för andra ändamål än det ursprungliga.  

När det gäller omfattande register med biometriska kännetecken finns det enligt grundlagsutskottet orsak att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för. I de fallen kan bara exakt avgränsade och mycket små undantag göras från ändamålsbegränsningen. Bestämmelserna får inte leda till att någon annan verksamhet än den som är förknippad med det ursprungliga användningsändamålet blir det huvudsakliga ändamålet och inte ens ett betydande användningsändamål (GrUU 14/2009 rd s. 4, GrUU 14/2017 rd och GrUU 1/2018 rd). 

4.3.8  4.3.8 Uppgifter som ska behandlas

Enligt artikel 4.1 i dataskyddsförordningen avses med personuppgifter varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.  

Enligt artikel 5.1 c ska personuppgifter vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). Bestämmelserna om de uppgifter som ska behandlas och särskilda kategorier av personuppgifter täcker alla de personuppgifter som är möjliga att behandla med beaktande av tillämpningsområdet för den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen. Liksom för närvarande är fallet ska dock en enskild personuppgift vara nödvändig för att det ska vara möjligt att fullgöra ett enskilt lagstadgat åtagande.  

Detta sätt att reglera datainnehållet är allmänt hållet i förhållande till de gällande bestämmelserna. Paragrafen avses ange de personuppgifter och kategorier av personuppgifter där den ingående informationen får behandlas inom lagens tillämpningsområde. Den bestämmer de yttre ramarna för vilka personuppgifter som kan behandlas. Paragrafen anger inte vilka personuppgifter som kan behandlas i en enskild situation. Med andra ord ger den inte behörighet att behandla personuppgifter. Behörigheten för att behandla en viss personuppgift för ett visst ändamål ska alltid bygga på en särskild behörighetsbestämmelse. 

Innehållsparagrafen kommer att bli mer omfattande och innehålla sakinnehållet i registerbestämmelserna i gällande mottagande-, förvars- och integrationslagar. I detta avseende är ändringarna tekniska och avsikten är inte att förändra nuläget. När det gäller bestämmelserna om uppgifter som ska registreras i gällande mottagande-, förvars- och integrationslag ska beskrivningarna av de ändamål för vilka vissa personuppgifter får behandlas i den föreslagna bestämmelsen dock ersättas med ett allmänt nödvändighetskrav. Eftersom behandlingen av personuppgifter alltid kommer att vara nödvändig för att man ska kunna fullgöra ett visst lagstadgat åtagande, är avsikten verkligen inte att i detta avseende förändra det aktuella läget.  

Till skillnad från tidigare gör propositionen det möjligt att behandla uppgifter om iakttagelser. Den personuppgiftsansvarige ska ha rätt att registrera uppgifter om sådana av den personuppgiftsansvarige gjorda eller till den personuppgiftsansvarige anmälda iakttagelser som utifrån omständigheterna eller en persons beteende med fog kan bedömas höra till den personuppgiftsansvariges behörighet att behandla och övervaka att förutsättningarna för personens inresa och vistelse i landet eller för personens finska medborgarskap är uppfyllda eller ha samband med skyldigheten att sörja för arbetarskyddet för de anställda. Den rättsliga ställningen för uppgifter om iakttagelser har varit oklar, eftersom det inte har funnits några bestämmelser om dessa uppgifter. Det finns redan en faktisk behörighet att behandla de observationer som nu klassificeras som uppgifter om iakttagelser. Myndigheterna behöver kunna behandla uppgifter om iakttagelser och därför bör de ha rätt att göra det utifrån klara spelregler. På grund av sin karaktär förutsätter uppgifter om iakttagelser att det ska om möjligt fogas till dem information om uppgiftslämnaren eller informationskällan samt en bedömning av dennes tillförlitlighet och uppgifternas riktighet. Dessutom bör behandlingen av uppgifter on iakttagelser begränsas på det sätt som grundlagsutskottet anger (GrUU 18/2012 rd s. 4). 

Närmare bestämmelser om radering av uppgifter utfärdas inom ramen för det handlingsutrymme som medges i dataskyddsförordningen. Tidsfristerna för radering av personuppgifter fastställs utifrån den personuppgiftsansvariges behov av att sköta sina åtaganden och den registrerades rättigheter. Personuppgifter ska lagras så länge de behövs för att definiera och genomföra den personuppgiftsansvariges eller den registrerades intressen, rättigheter eller skyldigheter. Vid migrationsförvaltningen är det normalt att tidigare anhängiga ärenden kan vara av betydelse i samband med senare processer. Tidsfristerna för raderingen av personuppgifter grundar sig på myndighetens behov av att behandla uppgifter om en person och dennes ärende även efter att ett enskilt ärende är färdigt behandlat, till exempel när ett nytt uppehållstillstånd söks, i ett senare inlett ärende om en familjemedlems uppehållstillstånd, i ett ärende som gäller beviljande av medborgarskap eller ett ärende som gäller förlust av medborgarskap.  

Jämfört med gällande lag ändras bestämmelserna om radering av uppgifter så att tidsfristen för vissa grunduppgifter om en person förlängs från ett år till tio år från det att personen har beviljats medborgarskap, avlidit eller uppgifterna om ärenden som gäller personen har raderats. Till skillnad från nuläget kommer uppgifterna om en person att raderas samtidigt och inte en i taget, eftersom uppgifterna om ett tidigare ärende kan påverka behandlingen av ett senare ärende. Således förlängs tidsfristerna för radering av ärenden. Enligt bestämmelsen om radering av personuppgifter ska dessutom andra personuppgifter och särskilda kategorier av personuppgifter hållas åtskilda. De uppgifter som hör till särskilda kategorier av personuppgifter ska raderas genast när de inte längre behövs.  

Också för observerade uppgifter kommer det att föreskrivas en betydligt kortare lagringstid. Särskilda bestämmelser utfärdas om radering av felaktiga uppgifter. I fråga om arkivfunktionens uppgifter och om handlingar som ska arkiveras gäller separata bestämmelser och föreskrifter. 

4.3.9  4.3.9 Behandling av särskilda kategorier av personuppgifter

I propositionen föreslås separata bestämmelser om särskilda kategorier av personuppgifter. Sådana personuppgifter är uppgifter som hör till särskilda kategorierna av personuppgifter enligt artikel 9 i dataskyddsförordningen, personuppgifter som rör fällande domar i brottmål och överträdelser och som behandlas under vissa villkor samt uppgifter som nationellt i konstitutionellt hänseende fortfarande ses som känsliga. Till uppgifter av det senare slaget hör enligt grundlagsutskottet (se GrUU 14/2018 rd och GrUU 15/2018 rd) uppgifter som ses som känsliga och som enligt den nationella konstitutionella traditionen står utanför dataskyddsförordningens särskilda kategorier av personuppgifter, såsom uppgifter om social service. Detta betonar vikten av särskild noggrannhet vid behandlingen av uppgifterna. Paragrafen i den föreslagna personuppgiftslagen benämns enligt dataskyddsförordningens benämning på dessa uppgifter, även om den enligt vad som sägs ovan också omfattar andra personuppgifter som ska behandlas under särskilda villkor. 

En reglering är nödvändig, eftersom behandlingen av sådana kategorier av personuppgifter är förbjuden enligt artikel 9 i dataskyddsförordningen. Behandling är dock tillåten enligt artikel 9.2 g, om den är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstatens lagstiftning, förutsatt att den står i rätt proportion till målet, i väsentligt avseende tillgodoser rätten till skydd av personuppgifter och innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Enligt 6 § i förslaget till dataskyddslag ska artikel 9.1 i dataskyddsförordningen inte tillämpas på behandlingen av uppgifter om vilken föreskrivs i lag eller som direkt följer av uppdrag som ålagts den personuppgiftsansvarige i lag.  

De är meningen att separat föreskriva om användning av särskilda kategorier av personuppgifter för andra ändamål än det ursprungliga samt utlämnande och radering av sådana uppgifter. I enlighet med nuläget föreslås det särskilda bestämmelser om behandlingen av fingeravtryck. Avsikten är att framhäva att risken med de särskilda kategorierna av personuppgifter både genom bestämmelser om deras datainnehåll koncentrerade till en egen paragraf där också ändamålet för deras behandling avgränsas och genom separata närmare bestämmelser om datainnehåll, om behandling, om användning för andra ändamål än det ursprungliga och om utlämning och radering genom noggrannare avgränsning av villkoren för behandling, utlämning och radering än när det gäller andra personuppgifter. Om behandlingen av fingeravtryck föreskrivs det också särskilt på samma sätt som i den gällande utlänningsregisterlagen. De allmänna bestämmelserna om behandling av personuppgifter för andra ändamål än det ursprungliga samt om utlämnande av personuppgifter gäller inte uppgifter om fingeravtryck. Bestämmelserna om fingeravtryck överensstämmer i det avseendet med nuläget. Det föreskrivs särskilt om utlämnande av personuppgifter, inklusive uppgifter om fingeravtryck, till Europeiska unionens gemensamma informationssystem.  

4.3.10  4.3.10 Bestämmelser om utlämning av personuppgifter och tillgång till information

Bestämmelserna om utlämning av personuppgifter och tillgång till information gäller uppgifter som är sekretessbelagda enligt offentlighetslagen eller speciallagstiftning. Enligt 29 § i offentlighetslagen kan en myndighet till en annan myndighet lämna ut uppgifter ur sekretessbelagda handlingar, om det i lag särskilt tagits in uttryckliga bestämmelser om rätten att lämna ut eller att få uppgifter.  

I den nationella lagstiftningen om behandling av personuppgifter har det traditionellt ingått bestämmelser om såväl utlämning av personuppgifter som tillgång till information. Trots att regleringstekniken inte har betraktats som problematisk i konstitutionellt hänseende, är regleringssättet problematisk för den som tillämpar lagen, eftersom det förutsätter en kontroll av om utbytet av information är lagligt i två speciallagar som gäller olika myndigheter, och dessa lagar motsvarar ofta inte varandra. För att undvika dubbel reglering är det lämpligt att föreskriva om saken bara i den ena myndighetens lagstiftning. I propositionen har man utgått från att föreskriva om rätten till information i mottagarens lagstiftning eftersom det är fråga om den partens rätt till personuppgifter. Den i förslaget valda utgångspunkten är kopplad till rätten till information, och för denna talar dessutom det faktum att den valts som utgångspunkt också på allmän lagnivå, eftersom bestämmelserna om det tekniska gränssnittet och beviljande av rätt till påseende i lagen om informationshantering inom den offentliga förvaltningen (906/2019), nedan informationshanteringslagen, grundar sig på mottagarens lagstadgade rätt till information. En mer omfattande avveckling av den dubbla regleringen av utlämning av uppgifter förutsätter att statsförvaltningen tillämpar en genomgående enhetlig linje när det gäller huruvida det är ändamålsenligt att föreskriva om utlämningen av uppgifter i lagstiftningen för den som lämnar ut uppgifter eller i mottagarens lagstiftning. 

Rätten för Migrationsverket, förläggningar, flyktingslussar, förvarsenheter, närings-, trafik- och miljöcentralerna, arbets- och näringsbyrån och utrikesförvaltningen att få information av aktörer utanför lagens tillämpningsområde ska vara kopplad till att dessa har ett lagstadgat åtagande med stöd av den lagstiftning som ger behörighet, vilket förutsätter att personuppgiften behandlas för att åtagandet ska kunna fullgöras. Förutsättningen för behandlingen av personuppgifter är således rätten till information enligt 29 § i offentlighetslagen. Bestämmelserna om rätten till uppgifter är knutna till dels nödvändighetskravet, dels relevanskravet, och i fråga om exakthet och noga avgränsning skiljer sig regleringen i bestämmelserna från varandra på det sätt som grundlagsutskottet förutsätter.  

Skatteförvaltningens enhet för utredning av grå ekonomi har i sin utredning 15/2014 bedömt ändringsbehoven i lagstiftningen gällande uppehållstillstånd. Enligt utredningen betjänar fullgöranderapporten migrationsförvaltningens beslutandeprocesser och skötseln av tillsynsuppgifter, men dess ibruktagande förutsätter ändringar i lagstiftningen. Propositionen möjliggör ibruktagandet av fullgöranderapporten genom att föreskriva om rätten till information som är bunden vid nödvändighet. I propositionen föreslås en ett nytt syfte med fullgöranderapporter så att rapporterna i fortsättningen också upprättas som stöd för behandling av ärenden, beslutsfattande och skötseln av övervakningsuppdrag som gäller utlänningars inresa och utresa och deras vistelse och arbete samt medborgarskap i landet enligt utlänningslagen, medborgarskapslagen, lagen om villkor för tredjelandsmedborgares inresa och vistelse för säsongsanställning, lagen om villkor för inresa och vistelse för tredjelandsmedborgare inom ramen för företagsintern förflyttning av personal och lagen om villkoren för tredjelandsmedborgares inresa och vistelse på grund av forskning, studier, praktik och volontärarbete.  

Den föreslagna bestämmelsen om utlämning av uppgifter i propositionen är allmän, eftersom informationsmottagarens rätt till information är beroende av vad som särskilt föreskrivs om personens rätt till information. I samband med begäran om en eller flera uppgifter eller om åtkomst till systemet ska mottagaren ange syftet med användningen av uppgiften samt vilken lag rätten att få uppgiften i fråga grundar sig på.  

Om utlämningen av uppgifter som hör till särskilda kategorier av personuppgifter föreskrivs särskilt. Likaså föreskrivs särskilt om utlämning av personuppgifter till Europeiska unionens gemensamma informationssystem.  

Till skillnad från nuläget ska det i fortsättningen inte längre föreskrivas om utlämning av uppgifter via en teknisk anslutning, och inte heller om tekniskt skydd av de uppgifter som lämnas ut. Grundlagsutskottet har tidigare förutsatt att det föreskrivs om teknisk anslutning som en del av registerregleringen (GrUU 12/2002 rd, s. 5), men i sin senare utlåtandepraxis har utskottet inte längre lyft fram detta som ett regleringsobjekt som är viktigt för skyddet av personuppgifter (GrUU 14/2018 rd, GrUU 2/2018 rd och GrUU 31/2017 rd). I informationshanteringslagen föreskrivs på allmän lagnivå om utlämning av uppgifter via ett tekniskt gränssnitt eller genom åtkomsträtt till systemet. Kravet på tekniskt skydd av uppgifter som ska lämnas ut följer i sin tur direkt av det inbyggda dataskyddet och dataskydd som standard som ingår i artikel 25 i dataskyddsförordningen och säkerhet i samband med behandlingen enligt artikel 32. Dataskyddsförordningen förutsätter en hög nivå på dataskydd och informationssäkerhet.  

4.3.11  4.3.11 Den registrerades rättigheter och begränsning av dem

I propositionen ingår reglering som begränsar den registrerades rättigheter gällandeden registrerades rätt enligt artikel 18 i dataskyddsförordningen att begränsa behandlingen. Dessutom har den registrerades rättigheter begränsats på det sätt som dataskyddsförordningen medger genom särskilda bestämmelser om tidsfrister för radering av uppgifter och lagring av felaktiga uppgifter efter att de rättats.  

4.3.12  4.3.12 Automatiserat individuellt beslutsfattande

Enligt förslaget ska det bli möjligt att införa automatiserade beslutsprocesser enligt artikel 22 i dataskyddsförordningen i fråga om vissa beslut som Migrationsverket fattar i ärendehanteringssystemet för utlänningsärenden. Bestämmelsen avses innehålla kriterier för när ett ärende kan föras över till en automatiserad beslutsprocess och villkor som gäller offentlighet för algoritmer och vem som har tjänsteansvaret.  

De ärenden som kan omfattas av automatiserat beslutsfattande begränsas i bestämmelsen till sådana beslut som avses i 34 § 2 mom. 5 punkten. Det här betyder att ett beslut kan fattas helt och hållet i ett automatiserat förfarande endast när ärendet enligt förvaltningslagen kan avgöras utan att en part ges tillfälle att bli hörd. Ett automatiserat förfarande kan i regel tillgripas exempelvis när ett ärende avgörs i enlighet med vad den sökande yrkar eller när en ansökan förfaller med stöd av utlänningslagen. 

Möjligheten till automatiserat beslutsfattande inom sådana ärendegrupper där hörande av en part inte ligger i partens intresse innebär emellertid inte att övriga förfarandebestämmelser i förvaltningslagen och förvaltningsprocesslagens bestämmelser om rättssäkerhet inte skulle tillämpas på normalt sätt på automatiserade beslut på det sätt som 21 § i grundlagen kräver. En part skulle således exempelvis ha rätt att få ett motiverat beslut om individuellt beslut fattat genom en automatiserad beslutsprocess och att överklaga beslutet på det sätt som föreskrivs särskilt. 

Enligt den föreslagna bestämmelsen ska Migrationsverket vid automatiserat beslutsfattande offentliggöra den algoritm som har legat till grund för det slutliga beslutet i en form som den registrerade kan förstå. Ett skydd enligt skäl 71 i ingressen till dataskyddsförordningen som kompletterar skyddet enligt de allmänna nationella lagarna ingår i det föreslagna 20 § 2 mom., där den registrerade ges rätt att få en redogörelse om den behandlingsalgoritm som lett till ett slutligt individuellt beslut i hans eller hennes ärende genom automatisk behandling. Med andra ord måste Migrationsverket på den registrerades begäran på ett begripligt sätt förklara den algoritm som lett till det slutliga avgörandet i ärendet.  

Tjänsteansvaret ska enligt den föreslagna bestämmelsen fördelas på så sätt att Migrationsverkets överdirektör ansvarar för förfarandet vid automatiserat beslutsfattande och för automatiserade individuella beslut inom förfarandet. 

4.3.13  4.3.13 Handlingars offentlighet

Enligt förslaget ska 24 § 1 mom. i offentlighetslagen ändras så att de särskilda sekretessgrunder som riktas till migrationen ska samlas i offentlighetslagen. Även bestämmelserna innehåll ska preciseras. Samtidig är det avsikten att upphäva sekretessbestämmelserna i utlänningsregisterlagen. 

Propositionens konsekvenser

I detta kapitel granskas konsekvenserna av propositionen jämsides med de direkta följderna av dataskyddsförordningen. Lösningen är motiverad, eftersom propositionen måste läsas parallellt med dataskyddsförordningen liksom också med den nationella dataskyddslagen och dataskyddslagen för brottmål. En begränsning av konsekvensbedömningen till bara propositionen skulle ge en inexakt bild av konsekvenserna av dataskyddsreformen, då bara en del av konsekvenserna är en direkt följd av denna proposition. 

5.1  Ekonomiska konsekvenser

Konsekvenserna av lagen om behandling av personuppgifter i migrationsförvaltningen och den allmänna lagstiftning som följer av EU:s dataskyddsreform är i huvudsak inriktade på privatpersoner med beaktande av att behandlingen av personuppgifter i väsentlig grad är kopplad till bestämmelserna om de grundläggande fri- och rättigheterna och särskilt till skyddet för privatlivet.  

De ekonomiska konsekvenserna av lagförslaget drabbar dock i första hand myndigheterna, dvs. utöver personuppgiftsansvariga också alla myndigheter som behandlar personuppgifter med stöd av bestämmelserna om utlämning av uppgifter och eventuella andra aktörer som behandlar personuppgifter. Europeiska kommissionens ursprungliga bedömning av konsekvenserna och bedömningarna från de arbetsgrupper som berett genomförandet av dataskyddslagstiftningen skiljer sig från varandra. Till exempel i betänkandet (s. 133) från arbetsgruppen TATTI, som bereder genomförandet av dataskyddsförordningen, konstateras det att bestämmelserna i förordningen ger upphov till kostnader av många olika slag för såväl övervakningsmyndigheterna som de personuppgiftsansvariga och dem som behandlar personuppgifter i både privat och offentlig sektor. I Europeiska kommissionens bedömning av konsekvenserna av Europeiska unionens dataskyddslagstiftning konstateras det från början att den nya och mer enhetliga regleringen inte kommer att ha några betydande ekonomiska konsekvenser, och att det inte finns något som tyder på att regleringen skulle kräva tilläggsresurser. Trots problemen med bedömningen av de ekonomiska konsekvenserna av dataskyddsförordningen kan man dock utgå från att propositionen åtminstone inte kommer att ha några betydande ekonomiska konsekvenser. Förmodligen kan den statliga finansiering som reformen kräver ordnas inom ramarna för statsfinanserna, vid behov genom en omallokering av anslagen. 

De ändringar som lagstiftningen kräver kommer att orsaka vissa kostnader i form av ändringar i informationssystem och personalutbildning samt fortlöpande kostnader för den dataskyddsansvarigas lön. Som indirekta ekonomiska konsekvenser kan betraktas behoven av att utveckla övervakningen och informationssystemen också i övrigt så att nivån på dataskyddet och informationssäkerheten förbättras. 

Det befintliga ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar är så utformade att de redan nu i stor utsträckning uppfyller kraven på inbyggt dataskydd och dataskydd som standard enligt dataskyddsförordningen samt säker behandling. Konsekvenser för informationssystemen föranleds dock exempelvis av förändringar i rätten att använda informationssystem och hanteringen av behörighet till systemen till följd av förändringar i personuppgiftsansvarigas situation. Dessutom leder införandet av nya ändamål med behandlingen och utökat faktainnehåll till konsekvenser för informationssystemen, till exempel möjligheten att i fortsättningen registrera så kallade uppgifter om iakttagelser och skapa nya funktioner, såsom utlämning av uppgifter till Europeiska unionens informationssystem och införandet av en fullgöranderapportservice.  

Vissa direkta ekonomiska konsekvenser följer också av bestämmelserna om att Migrationsverket blir kontaktpunkt för dem som registrerats i ärendehanteringssystemet för utlänningsärenden och utrikesförvaltningen för dem som registrerats i det nationella informationssystemet för viseringar. Konsekvenserna orsakas av att antalet kontakter förväntas öka till följd av den nya rollen och i viss mån också av behovet att man vill ge flera tillgång till information i ett ärende genom att styra kontakterna till rätt myndighet.  

En reglering som möjliggör ett smidigare informationsflöde när det gäller utlämning av personuppgifter och mottagande av information samt möjligheten till automatiserade beslut främjar för sin del målen att effektivisera regeringens myndighetsverksamhet och avveckla normer. Det bedömas att regleringen ger positiva ekonomiska konsekvenser. 

Den reglering som ingår i propositionen är till sin natur i hög grad en möjliggörare i den bemärkelsen att den bidrar exempelvis till en mer omfattande användning av systemet UMA på grund av att den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen har ett bredare tillämpningsområde eller i form av automatiserade beslut, men utan att den direkt förpliktar till det.  

5.2  Konsekvenser för myndigheterna

Propositionen har konsekvenser för olika myndigheter. Konsekvenserna orsakas dels indirekt av kraven i dataskyddsförordningen, dels av de nationella regleringsmodellerna. 

Genom att samla migrationsförvaltningens personuppgiftsbestämmelser i en enda lag vill man i första hand förenhetliga regleringen och skapa en tydlig helhet som är lätt att tillämpa. Ambitionen enligt propositionen är att underlätta informationsutbytet mellan myndigheterna. Dessutom vill man försäkra sig om att migrationsförvaltningen har tillräckliga rättigheter för att vid behov kunna behandla personuppgifter också för andra ändamål än de som den ursprungliga insamlingen och lagringen av uppgifter hade som syfte. Så förebyggs behovet av att upprepade gånger fråga efter samma uppgifter och avhjälps onödiga lagstiftningsmässiga hinder för utbyte av information. Detta innebär dock inte att alla personuppgiftsansvariga enligt 3 § i den föreslagna personuppgiftslagen för migrationsförvaltningen utan begränsningar kan behandla uppgifter som samlats in och sparats av de övriga personuppgiftsansvariga. Behandlingen av uppgifter ska alltid basera sig på lagstiftning som skapar behörighet för myndigheten i fråga. Tillgången till information förvaltas med användarrättigheter. Alla förändringarna ovan kan förväntas göra tillämpningen av lagstiftningen smidigare och förbättra migrationsförvaltningens möjligheter till behandling av uppgifter som är nödvändiga för dess verksamhet. 

Som utgångspunkt för propositionen har man valt ändamålsbundenhet, vilket innebär att den lag som ska tillämpas inte är bunden till ett visst register eller informationssystem. Detta kräver särskilt att den personuppgiftsansvariges anvisningar och övervakning räcker till. Tillämpning av en lag på behandlingen av personuppgifter och å andra sidan sett ur behandlingssynvinkel förutsätter identifieringen av rätt informationssystem tillräckligt med anvisningar och utbildning. Det bör noteras att anvisningar dock inte får komplettera regleringen utan bara precisera hur bestämmelserna ska tolkas.  

Automatiserade individuella beslut gör det möjligt att koncentrera myndighetsverksamheten framför allt till sådana åtaganden inom vilka myndighetsaktörerna spelar en viktig roll.  

När Migrationsverket behandlar personuppgifter i de ändamål som anges i 1 § i den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen är dess skyldighet att sörja för adekvata tekniska och organisatoriska åtgärder för tillsynen över behandlingen. När arbetstagarna ges introduktion och utbildning läggs det vikt vid att personuppgifter får behandlas endast för skötseln av tjänsteåligganden. Samtidigt framhävs att de personuppgifter som behandlas är av känslig natur och i princip sekretessbelagda. Cheferna sköter rådgivningen till och handledningen och övervakningen av sina underlydande i frågor som gäller behandling av personuppgifter. I ärendehanteringssystemet för utlänningsärenden styrs behandlingen av personuppgifter genom åtkomsträttigheter. Personuppgiftsbiträdet beviljas endast så omfattande användarrättigheter i systemet som han eller hon behöver för att sköta sina tjänsteåligganden. Migrationsverket samlar övergripande logguppgifter om den behandling av personuppgifter som sker i ärendehanteringssystemet för utlänningsärenden. Med hjälp av dem kan frågan huruvida behandlingen varit korrekt på användarnivå utredas i efterskott. Migrationsverket genomför regelbundet intern laglighetskontroll, som också gäller behandlingen av personuppgifter. Den behandling av kunders personuppgifter som görs av tjänstemän som bereder och avgör beslut om medborgarskap, uppehållstillstånd och asyl kontrolleras genom stickprov. Att behandlingen av personuppgifter är korrekt övervakas därmed utöver genom ovannämnda loggkontroller och riktad laglighetskontroll på eget initiativ även i samband med begäran om utredning och som ett led i prövningen av klagomål. 

5.3  Samhälleliga konsekvenser

Om all reglering samlas i en lag leder det till att registrerade lättare än för närvarande kan bilda sig en samlad uppfattning om de ändamål för vilka migrationsförvaltningen behandlar deras uppgifter, till vem uppgifterna lämnas ut och hur länge de lagras. Bestämmelserna om kontaktpunkter för de registrerade främjar också de registrerades utövande av sina rättigheter. 

Beslut som automatiseras i tillämpliga delar förkortar förutom behandlingstiderna för de automatiserade besluten också behandlingstiderna för andra beslut som myndigheterna då kan koncentrera sig på. Detta visar sig sannolikt i lägre priser på tillståndsansökningar för alla kunder och som enhetligare beslutspraxis. Å andra sidan förutsätter automatiserade beslut i praktiken att sökanden fyller i ansökan korrekt och bifogar alla bilagor som hör till, och i de fall automatiserad behandling inte är möjlig kommer behandlingstiderna att variera kraftigt jämfört med de automatiserade besluten.  

Propositionen kan inte anses ha några direkta konsekvenser för jämlikheten, barnen eller jämställdheten mellan könen.  

Beredningen av propositionen

6.1  Beredningsskeden och beredningsmaterial

Propositionen har beretts som tjänsteuppdrag vid inrikesministeriet. För beredningen startades ett projekt, SMDno-2016-1584 (Revidering av lagstiftningen om utlänningsregistret samt anpassning av den till EU:s allmänna dataskyddsförordning). Till stöd för projektet inrättades en arbetsgrupp med företrädare från inrikesministeriets migrationsavdelning, polisavdelning och gränsbevakningsavdelning, utrikesministeriet, arbets- och näringsministeriet, Migrationsverket och Polisstyrelsen. Under arbetets gång hörde arbetsgruppen skyddspolisen. Arbetsgruppens mandattid var 24.10.2016—31.12.2018. Arbetsgruppen sammanträdde officiellt 24 gånger. Det ordnades också flera inofficiella beredningssammanträden. Under beredningen har gruppen haft ett särskilt nära samarbete med inrikesministeriets polisavdelning och staben vid Gränsbevakningsväsendet samt Migrationsverket. Under höstsessionen 2018 lämnade regeringen riksdagen en proposition (RP 224/2018 rd) med förslag till lag om behandling av personuppgifter i migrationsförvaltningen och till vissa lagar som har samband med den. Propositionen förföll den 16 april 2019 i enlighet med riksdagens skrivelse (RSk 56/2018 rd) med anledning av att riksmötet avslutades och av att riksdagsval skulle förrättas.  

För fortsatt beredning startades ett nytt projekt, SMDno-2019-816 (Revidering av lagstiftningen om utlänningsregistret samt anpassning av den till EU:s allmänna dataskyddsförordning). Projektet ledde till regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i migrationsförvaltningen och till vissa lagar som har samband med den. Propositionen togs fram på grundval av den proposition (RP 224/2018 rd) som hade förfallit. Den skrevs om utifrån grundlagsutskottets utlåtande om regeringens proposition 224/2018 rd (GrUU 62/2018 rd) genom komplettering av bestämmelserna om automatiserat individuellt beslutsfattande och precisering av principen om fristående myndigheter i fråga om de personuppgiftsansvariga. Dessutom ändrades propositionen genom att koncentrera bestämmelserna om sekretess inom migrationsförvaltningen till offentlighetslagen. I propositionen gjordes även andra smärre preciseringar. 

6.2  Remissyttranden och hur de har beaktats

I ett brev daterat den 16 maj 2018 begärde inrikesministeriet in utlåtanden om den regeringsproposition som ministeriet hade berett med förslag till lag om behandling av personuppgifter i migrationsförvaltningen och till vissa lagar som har samband med den. Propositionen sändes på remiss till totalt 53 myndigheter, organisationer och medborgarorganisationer. Remisstiden gick ut den 15 juni 2018. Inrikesministeriets migrationsavdelning fick totalt 32 remissvar om utkastet till regeringsproposition. Enstaka remissvar fanns i statsrådets projektregister (HARE) med ärendenummer SM055:00/2016. I projektregistret finns också ett sammandrag av remissyttrandena.  

Remissvar inlämnades av justitieministeriet, utrikesministeriet, arbets- och näringsministeriet, finansministeriet, undervisnings- och kulturministeriet, social- och hälsovårdsministeriet, inrikesministeriets polisavdelning och förvaltnings- och utvecklingsavdelning, Riksdagens justitieombudsmans kansli, Statsrådets justitiekanslersämbete, Dataskyddsombudsmannens byrå, Migrationsverket, Polisstyrelsen, skyddspolisen, Gränsbevakningsväsendet, Nylands närings-, trafik- och miljöcentral, Regionförvaltningsverket i Södra Finland, Helsingfors förvaltningsdomstol, Folkpensionsanstalten, högsta förvaltningsdomstolen, Nylands magistrat, Rättsregistercentralen, Utbildningsstyrelsen, Brottspåföljdsverket, Tillstånds- och tillsynsverket för social- och hälsovården, Tullen, Skatteförvaltningen, Skatteförvaltningens enhet för utredning av grå ekonomi, Befolkningsregistercentralen, Pensionsskyddscentralen, Finlands Advokatförbund och Finlands Röda Kors. 

Många av dem som lämnade remissvar ansåg centraliseringen av migrationsförvaltningens lagstiftning om personuppgifter vara en funktionell lösning för att uppnå en tydlig reglering och tillgodose de registrerades rättssäkerhet. Också det valda ändamålsbaserade regleringssättet ansågs vara ändamålsenligt. Enligt yttrandena beaktar lagutkastet väl de eftersträvade målen att förtydliga och förenkla samt uppdatera migrationsförvaltningens bestämmelser. Flera remissvar innehöll förslag till ändringar och preciseringar av detaljer samt önskemål om frågor som behövde beaktas i samband med den fortsatta beredningen. Det var främst fråga om tillämpningsområden, gemensamt personuppgiftsansvariga och behörighetsfördelningen mellan dem, behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter och beho-ven av att precisera rätten till uppgifter. De flesta remissinstanser inriktade sig dock i sina remissvar på någon enskild fråga i propositionen.  

Remissinstanserna ombads i sina svar särskilt uppmärksamma ändringar som följer av den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen gällande rätten till information när rätten tidigare grundat sig på den personuppgiftsansvariges rätt, men rätten upphör på grund av de förslag till ändringar som rör den personuppgiftsansvarige. De myndigheter som enligt den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen inte längre kommer att vara personuppgiftsansvariga, Tullen, Brottspåföljdsverket och Helsingfors förvaltningsdomstol, bedömer i sina yttranden att deras rätt till uppgifter kommer att ändras till följd av deras ställning. Dessa myndigheter ansåg att deras rätt till uppgifter också i fortsättningen kommer att vara i huvudsak tillräcklig.  

Dessutom ombads remissinstanserna att uppmärksamma det behov som följer av den allmänna regleringen av utlämningen av uppgifter i den föreslagna lagen av att hos migrationsförvaltningen kontrollera hur omfattande remissinstansernas egna rättigheter till uppgifter är. Också i detta avseende ansåg de som lämnat yttrande att deras rättigheter var tillräckliga. Den föreslagna regleringen ansågs inte begränsa nuvarande rättigheter till uppgifter, utan snarare ansågs ändringen bidra till större tydlighet i deras rätt att få uppgifter från migrationsförvaltningen.  

I samband med den fortsatta beredningen preciserades förhållandet mellan migrationsförvaltningens personuppgiftslag och dataskyddslagen för brottmål. Behörighetsfördelningen mellan olika gemensamt personuppgiftsansvariga preciserades dessutom i lagtexten och uttrycktes mer heltäckande i motiveringen. I paragrafernas formuleringar som gällde system beaktades följderna för regleringen av informationshanteringslagen. Av de personuppgifter som ska behandlas överfördes biometriska uppgifter och brottsuppgifter till en separat paragraf som gällde särskilda kategorier av personuppgifter. Också innehållet av uppgifter om iakttagelser preciserades och såväl behandlingen av dem som deras förvaringstid begränsades.  

De största innehållsmässiga och strukturella ändringarna gjordes i 8 § med avseende på behandlingen av särskilda kategorier av personuppgifter. Paragrafens sakinnehåll preciserades och användningen av informationen begränsades och knöts till såväl ett krav på nödvändighet som till specifika ändamål för behandlingen som omfattas av lagens tillämpningsområde. Dessutom inskränktes förvaringstiden för uppgifter som hör till dessa särskilda kategorier av personuppgifter samtidigt som även andra bestämmelser om utplåning av uppgifter preciserades och förvaringstiderna förkortades jämfört med tidigare förslag. Nödvändighet ställdes som krav också för behandlingen av uppgifter som hör till särskilda kategorierna av personuppgifter för andra syften än det ursprungliga. I fråga om särskilda kategorier av personuppgifter ställdes som krav för utlämningen av uppgifter att mottagaren hade nödvändig rätt till uppgifterna. I motiveringen tydliggjordes sambandet med dataskyddsförordningen och grundlagsut-skottets praxis samt utökades antalet exempel på olika situationer där särskilda kategorier av personuppgifter användes.  

Bestämmelsen om rätten till uppgifter preciserades genom man begränsade antalet myndigheter som hade rätt till uppgifter, specificerade sakinnehållet i de nödvändiga uppgifterna och ändamålet med användningen samt uttryckte kontexten kring de nödvändiga uppgifterna mer omfattande i motiveringen. Vid den fortsatta beredningen preciserades formuleringarna i enskilda paragrafer och motiveringen till dem. 

Propositionen kompletterades i fråga om den behandling av personuppgifter som hänför sig till uppgifter i samband med uppehållstillstånd vid närings-, trafik- och miljöcentralerna och arbets- och näringsbyråerna.  

Efter remissbehandlingen fogades till förslaget till lag om behandling av personuppgifter i migrationsförvaltningen ytterligare nya paragrafer om utlämning av uppgifter till Europeiska unionens gemensamma informationssystem och om inskränkningar i de registrerades rättigheter enligt artikel 18 i dataskyddsförordningen att begränsa behandlingen av sina personuppgifter. Till lagförslaget fogades också en övergångsbestämmelse.  

I ett brev daterat den 17 maj 2019 begärde inrikesministeriet in utlåtanden om den regeringsproposition som ministeriet hade berett med förslag till lag om behandling av personuppgifter i migrationsförvaltningen och till vissa lagar som har samband med den. Remissen var inte särskilt omfattande eftersom så många aktörer hördes när den underliggande propositionen RP 224/2018 rd bereddes. Propositionen sändes på remiss till totalt 14 myndigheter, organisationer och frivilligorganisationer. Remisstiden var tre veckor och yttrandena skulle komma in den 7 juni 2019. Inrikesministeriets migrationsavdelning fick totalt 15 remissvar om utkastet till regeringsproposition. Enstaka remissvar fanns i statsrådets projektregister (HARE) med ärendenummer SM010:00/2019. I projektregistret finns också ett sammandrag av remissyttrandena.  

Remissvar inlämnades av justitieministeriet, utrikesministeriet, finansministeriet, undervisnings- och kulturministeriet, social- och hälsovårdsministeriet, försvarsministeriet, Riksdagens justitieombudsmans kansli, Statsrådets justitiekanslersämbete, Dataskyddsombudsmannens byrå, Migrationsverket, Polisstyrelsen, högsta förvaltningsdomstolen, Finlands Advokatförbund, Finlands Röda Kors och Flyktingrådgivningen rf. 

Remissinstanserna i andra rundan ombads att i utkastet till regeringsproposition i synnerhet uppmärksamma de delar som hade förändrats i förhållande till regeringspropositionen av den 8 november 2018 (224/2018 rd). De ändringar som har gjorts i regeringspropositionen gäller i synnerhet koncentreringen av regleringen gällande sekretess till offentlighetslagen, preciserad reglering av ärenden som väljs till automatiskt beslutsfattande samt allokeringen av tjänsteansvar och algoritmernas offentlighet i det automatiska beslutsfattandet, preciserad reglering av principen om fristående myndigheter när det gäller gemensamt personuppgiftsansvariga, en ändring av tillämpningsområde för uppgifter om iakttagelser att även omfatta medborgarskapsärenden, den nya bestämmelsen om dataskyddsbrott samt andra lagar som innehåller tekniska ändringar och som fogats till propositionen.  

De flesta remissinstanserna koncentrerade sig i sina remissvar till någon eller några av de ovannämnda ändringarna, men i en del remissvar togs det på nytt ställning till de bestämmelser som redan tidigare föreslagits i regeringspropositionen. När det gäller bestämmelserna om sekretess och automatiskt beslutsfattande hade remissinstanserna splittrade meningar: en del var för och en del emot de föreslagna ändringarna. Beträffande gemensamt personuppgiftsansvariga och uppgifter om iakttagelser föreslogs det att propositionen ytterligare skulle preciseras. 

Efter remissförfarandet utvidgades lagens tillämpningsområde att även omfatta uppgifter om juridiska personer. Bestämmelser och motiveringar gällande sekretess preciserades i samarbete med justitieministeriet. Även kriterierna för ärenden som väljs till automatiskt beslutsfattande preciserades jämfört med det tidigare förslaget. Bestämmelserna om gemensamt personuppgiftsansvariga öppnades på ett mer omfattande sätt i motiveringarna och till bestämmelsen om uppgifter om iakttagelser lades en förutsättning att uppgiftslämnarnas uppgifter ska sparas. Därtill gjordes det ytterligare några terminologiska preciseringar i bestämmelserna. 

Samband med andra propositioner

Propositionen anknyter också till regeringens proposition om ändring av lagar som gäller Myndigheten för digitalisering och befolkningsdatas ansvarsområde (RP 10/2019 rd). Båda propositionerna innehåller en ändring av 10 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster. Det finns ingen konflikt mellan ändringsförslagen.  

DETALJMOTIVERING

Lagförslag

1.1  Lag om behandling av personuppgifter i migrationsförvaltningen

1 §.Lagens tillämpningsområde och ändamålet med behandlingen av personuppgifter. Avsikten är att lagen ska tillämpas, om inte annat föreskrivs någon annanstans i lag, på helt eller delvis automatiserad behandling av personuppgifter och på annan behandling av personuppgifter, då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant, och personuppgifterna behandlas för följande ändamål: 1) behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse, 2) behandling av och beslut i ärenden som gäller förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap samt bestämmande av medborgarskapsstatus, 3) mottagande av personer som söker internationellt skydd eller får tillfälligt skydd samt hjälp till offer för människohandel samt verksamhet i anslutning till företrädande av barn utan vårdnadshavare inom mottagningsverksamheten samt styrning, planering och uppföljning av dessa, 4) placering av en utlänning i en förvarsenhet, bemötande av en utlänning i en förvarsenhet samt upprätthållandet av ordningen och säkerheten vid en förvarsenhet, 5) anvisande till kommuner och 6) skyddet av den nationella säkerheten.  

Tillämpningsområdet för den föreslagna lagen avses vara knutet till syftet med behandlingen av personuppgifter: den ska tillämpas när sådana uppgifter behandlas i de syften som anges i paragrafen. Tillämpningsområdet ska inte vara knutet till något specifikt register eller datasystem. Även om lagens tillämpningsområde inte är bundet till den tekniska plattformen för behandlingen, innebär inte den principen att man inte kan och bör använda sig av informationssystem för förvaltning av informationsresurser exempelvis på så sätt att personuppgifter som behandlas med stöd av en viss lag lagras i ett visst informationssystem. 

Lagen ska tillämpas, om inte annat föreskrivs någon annanstans i lag. Migrationsförvaltningen kännetecknas av att många myndigheter är involverade och att en del av dem inte bara fungerar som migrationsmyndighet utan också har andra roller. En del av myndigheterna kommer också att tillämpa andra personuppgiftslagar när de verkar inom sitt kärnområde och inte med stöd av migrationslagstiftningen. Som exempel kan nämnas att polisen kommer att tillämpa lagen om behandling av personuppgifter i polisens verksamhet , Gränsbevakningsväsendet lagen om behandling av personuppgifter vid Gränsbevakningsväsendet och arbets- och näringsbyrån 13 kap. i lagen om offentlig arbetskrafts- och företagsservice . Regleringen av behandlingen av personuppgifter har så ändamålsenligt som möjligt delats upp mellan olika tillämpningsområden för respektive personuppgiftslag. 

Behörigheten att behandla personuppgifter bygger på flera olika lagar. Det rör sig om utlänningslagen, medborgarskapslagen, lagen om säsongsanställning, ICT-lagen, forskar- och studerandelagen, mottagandelagen, förvarslagen och integrationslagen. I stället för att hänvisa till dessa lagar ska den nya lagens tillämpningsområde bestämmas genom föreskrivande av de syften där personuppgifter ska behandlas för utförande av de uppgifter som avses i de lagar som ger behörigheten. Syftet med att personuppgifter används ska bygga direkt på det behov att behandla uppgifterna som kommer av de lagar som skapar behörigheten. Denna regleringsteknik är motiverad eftersom regelverket blir onödigt tungt, detaljerat och svårtolkat om man hänvisar till ett stort antal lagar och enskilda paragrafer i dessa. Dessutom ger detta sätt att reglera frågan möjlighet till att personuppgifter som bygger på eventuella framtida speciallagar och EU-regler behandlas med stöd av den nu föreslagna personuppgiftslagen om personuppgifterna behandlas i syften som hör till den föreslagna personuppgiftlagens tillämpningsområde. Med behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse enligt 1 punkten i det föreslagna 1 mom. avses sådan behandling av personuppgifter som är behövlig enligt utlänningslagen, lagen om säsongsanställning, ICT-lagen och forskar- och studerandelagen, exempelvis inom processen för uppehållstillstånd och asylförfarandet med beaktande av processens hela tidsmässiga utsträckning. Tillämpningsområdet anses också omfatta sådana specialsituationer där det inte klart är fråga om inresa, utresa eller vistelse, såsom exempelvis upphörande av flyktingstatus för någon som befinner sig utomlands eller någon som befinner sig i Finland med permanent tillstånd. Till skillnad från 2 § i den gällande lagen om utlänningsregistret avses punkten inte innehålla ett särskilt omnämnande av arbete, eftersom det anses ingå i begreppet vistelse på samma sätt som exempelvis studier. Det rör sig om en teknisk ändring och avsikten är inte att ändra nuläget i detta avseende.  

Med behandling av och beslut i ärenden som gäller förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap samt bestämmande av medborgarskapsstatus enligt 2 punkten avses sådan behandling av personuppgifter vars syfte är att utföra uppgifter som anges i medborgarskapslagen.  

I 1 mom. 3 punkten nämns mottagande av personer som söker internationellt skydd eller får tillfälligt skydd samt hjälp till offer för människohandel, verksamhet i anslutning till företrädande av barn utan vårdnadshavare inom mottagningsverksamheten samt styrning, planering och övervakning av dessa verksamheter. Med detta avses tryggande av omsorg, försörjning och ändamålsenligt skydd och lämpliga tjänster samt förordnande av företrädare och företrädarens uppgifter enligt mottagandelagen. 

Med placering av en utlänning i en förvarsenhet, bemötande av en utlänning i en förvarsenhet samt upprätthållandet av ordningen och säkerheten vid en förvarsenhet enligt den föreslagna 1 mom. 4 punkten avses behandling av personuppgifter i syfte att vidta de åtgärder enligt förvarslagen som behövs för att de som tagits i förvar ska bemötas rättvist och med aktning för deras människovärde, för att begränsa deras rättigheter och för att tillgodose deras rätt ta emot besök och hålla kontakt och till exempel använda telefon och annan elektronisk kommunikations- och upptagningsutrustning. 

Paragrafens 1 mom. 5 punkt gäller anvisande till kommuner. Här avses sådan behandling av personuppgifter som behövs för att anvisa en person till en kommun enligt 2 § 2 och 3 mom. i integrationslagen. Målet när personuppgifter behandlas i syfte att anvisa någon till en kommun är att se till att de skyldigheter som myndigheter har avseende mottagning och främjande av integration fullgörs. Det gäller bland att anvisa en registrerad person till rätt kommun.  

Med skyddet av den nationella säkerheten enligt 1 mom. 6 punkten avses dels skyddspolisens skyldighet att skydda rikets säkerhet, dels också mer allmänt myndigheternas skyldighet att som en del av sina lagstadgade uppgifter sörja för den nationella säkerheten. Detta motsvarar till innehållet 2 § 2 mom. i lagen om utlänningsregistret gällande skyddet av statens säkerhet, men ordalydelsen ändras i enlighet med dataskyddsförordningen, dataskyddslagen och dataskyddslagen för brottmål så att uttrycket nationell säkerhet används. I förhållande till den gällande utlänningsregisterlagen är den föreslagna lagens räckvidd större och inbegriper behandling av personuppgifter också med stöd av mottagandelagen, förvarslagen och integrationslagen. Därför utvidgas också de syften där insamlade personuppgifter kan behandlas för att trygga nationell säkerhet.  

Med beaktande av ändamålsbegränsningen ska behandlingen av personuppgifter vara sådan som avses inom den berörda punkten för att vara behandling för det ursprungliga ändamålet. Behandling av personuppgifter för något av de syften som nämns i en annan punkt kan i praktiken inte vara behandling för det ursprungliga ändamålet. 

Till skillnad från den gällande lagen om utlänningsregistret ska genomförande av säkerhetsutredningar inte höra till den förslagna lagens tillämpningsområde, eftersom det ursprungliga syftet med behandlingen av personuppgifterna inte är att göra sådana utredningar. Eftersom det också i fortsättningen behövs personuppgifter för att säkerhetsutredningar ska kunna göras måste användningen av sådana personuppgifter som samlas in med stöd av den föreslagna lagen i framtiden grundas på att personuppgifterna ska lämnas ut till skyddspolisen.  

Enligt dataskyddslagen gäller dataskyddsförordningen i tillämpliga delar också sådan behandling av personuppgifter som inte hör till tillämpningsområdet för EU-lagstiftningen och som medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget. Denna utvidgning av förordningens räckvidd gäller inte situationer där det gäller andra bestämmelser i nationell lag i ett ärende som inte omfattas av unionsrättens tillämpningsområde. I denna proposition föreslås inte bestämmelser med annat innehåll. Det innebär att dataskyddsförordningen kommer att gälla allt behandling av personuppgifter som sker inom den föreslagna lagen. tillämpningsområde också i de fall där det är fråga om ett ärende om inte hör till tillämpningsområdet för EU-lagstiftningen. Det rör sig exempelvis om ärenden som gäller medborgarskap.  

Enligt 2 mom. i paragrafen ska lagen tillämpas inte bara på behandlingen av personuppgifter utan även på behandlingen av information och erhållandet av information om juridiska personer, eftersom den lagstiftning som skapar behörighet för migrationsförvaltningen innehåller lagstadgade uppgifter i vilka till exempel behandlingen av ett ärende gällande en fysisk person även förutsätter erhållande och behandling av information om en juridisk person. 

Lagen ska enligt förslaget inte tillämpas på diplomatiska representanter i Finland. Den immunitet som avses i det föreslagna 3 mom. framgår av Wienkonventionen om diplomatiska förbindelser (FördrS 4/1970) och Wienkonventionen om konsulära förbindelser (FördrS 50/1980) och i överenskommelser om inrättande av och säte för internationella organisationer. Lagen ska heller inte tillämpas på sådana tjänstemän i internationella organisationer vars ställning det finns bestämmelser om i internationella avtal som är bindande för Finland. Momentet har formulerats i förhållande till 1 § 2 mom. i utlänningsregisterlaget på ett sätt som ska motsvara formuleringarna i internationella avtal. Avsikten är inte att ändra faktiska nuläget.  

2 §.Förhållande till övrig lagstiftning. Paragrafen avses innehålla bestämmelser om vilka allmänna bestämmelser om behandling av personuppgifter som ska tillämpas på sådan behandling av personuppgifter som avses i lagförslaget, om inte något annat anges i den föreslagna lagen.  

Bestämmelser om behandlingen av personuppgifter finns i dataskyddsförordningen och i den kompletterande nationella dataskyddslagen.  

Dataskyddslagen för brottmål ska tillämpas när polisen, åklagare, allmänna domstolar, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter behandlar personuppgifter, om det är fråga om att förebygga, avslöja eller utreda brott eller att föra brott till åtalsprövning, om åklagarverksamhet som har samband med brott, om handläggning av brottmål i domstol, om verkställighet av straffrättsliga påföljder eller om skydd mot eller förhindrande av hot mot den allmänna säkerheten. Lagen ska utifrån nationellt beslut också tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av nationell säkerhet. Syftena för behandling inom tillämpningsområdet för dataskyddslagen för brottmål är kopplade till sådant skyddet av nationell säkerhet som avses i 1 § 1 mom. 6 punkten. Såväl polisenheterna under Polisstyrelsen och skyddspolisen som Gränsbevakningsväsendet utför sådan behandling av personuppgifter på den föreslagna lagens tillämpningsområde som dataskyddslagen för brottmål tillämpas på som allmän lag. 

Inom migrationsförvaltningen blir också polisens personuppgiftslag och Gränsbevakningens personuppgiftslag tillämpliga. Tillämpningsområdet för den föreslagna lagen överlappar på samma sätt som i nuläget delvis med dessa speciallagar om behandling av personuppgifter. Bestämmelser om behandling av personuppgifter finns delvis i dessa andra personuppgiftslagar till exempel avseende skyddet av nationell säkerhet, övervakning av utlänningar och avlägsnande ur landet. Bestämmelser om behandlingen av sådana signalement på utlänningar som med stöd av 131 § i utlänningslagen förs in i polisens register finns i lagen om behandling av personuppgifter i polisens verksamhet.  

Om inte något annat föreskrivs i den föreslagna lagen, tillämpas bestämmelserna om offentlighet i myndigheternas verksamhet, dvs. offentlighetslagen, på rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister. Utöver vad lagen föreskriver iakttas de internationella förpliktelser som är bindande för Finland. 

3 §.Gemensamt personuppgiftsansvariga. De myndigheter ska vara personuppgiftsansvariga som i de användningsändamål som hör till den föreslagna lagens tillämpningsområde för egna självständiga syften behandlar personuppgifter för att fullgöra de uppgifter som anges i den lagstiftning som ger myndigheten behörighet. Dessa myndigheter utövar prövnings- och beslutanderätt när de fullgör sina lagfästa uppgifter. Följande myndigheter ska vara gemensamt personuppgiftsansvariga: Migrationsverket, Polisstyrelsen och skyddspolisen, Gränsbevakningsväsendet, förläggningar och flyktingslussar, förvarsenheter, utrikesförvaltningen, närings-, trafik- och miljöcentralerna och arbets- och näringsbyrån. Dessa personuppgiftsansvariga är sådana gemensamt personuppgiftsansvariga som avses i artikel 26 i dataskyddsförordningen. En enskild gemensamt personuppgiftsansvarig kallas i propositionen personuppgiftsansvarig.  

Varje personuppgiftsansvarigs behörighet att behandla personuppgifter grundar sig på bestämmelserna om ifrågavarande myndighets behörighet. Eftersom de syften för vilka de personuppgiftsansvariga behandlar personuppgifter bygger på de ansvarigas lagstadgade uppgifter kommer det materiell rättsliga ansvarsområdet för var och en av de personuppgiftsansvariga att anges direkt i lag. Därmed kommer ansvarsområdena att vara exakt definierade och i detalj avgränsade.  

De personuppgiftsansvarigas inbördes ansvarsfördelning och skyldigheter avgränsas med stöd av följande tre villkor: 1) genom att identifiera de uppgifter som följer av den lagstiftning som ger behörighet och genom att utföra uppgifterna behandlar myndigheten i fråga personuppgifter i egenskap av personuppgiftsansvarig; de gemensamt personuppgiftsansvarigas materiell rättsliga arbetsfördelning när det gäller de lagstadgade uppgifter som hör till varje enskild personuppgiftsansvarig ska grunda sig på den lagstiftning som ger behörighet; de personuppgiftsansvarigas inbördes materiell rättsliga ansvarsfördelning har följaktligen fastställts tydligt och exakt på lagnivå, 2) genom att koncentrera en del av det ansvar som hör till en personuppgiftsansvarig till systemoperatörer, dvs. Migrationsverket och utrikesförvaltningen; eftersom det inte är ändamålsenligt att varje personuppgiftsansvarig ska svara för administration och utveckling av informationssystemet, bör detta ansvarsområde lämpligen och med nödvändighet koncentreras på samma sätt som för närvarande; samma myndigheter är också kontaktpunkter för de registrerade; registrerade får dock i enlighet med dataskyddsförordningen utöva sina rättigheter enligt förordningen med avseende på var och en av de personuppgiftsansvariga; dessutom ska vissa metoder för behandling av personuppgifter som är kopplade till informationssystemet överföras till informationssystemets administratörer, såsom utplåning och utlämning av personuppgifter annat än i enskilda fall, och 3) genom att hänföra vissa ansvarsområden bara till de personuppgiftsansvariga som verkligen påverkar innehållet i de personuppgifter som de behandlar. Den som har påverkat innehållet i en uppgift, i praktiken den myndighet som registrerat uppgiften, ska ansvara för att uppgiften är korrekt, för beslut om rättelse av uppgiften, för utlämning av en enskild uppgift samt för att den registrerades rättigheter tillgodoses. Varje enskild gemensamt registeransvarig svarar dock alltid för att all behandling av personuppgifter i den egna verksamheten följer lagen. Regleringen förändrar gällande rättsläge så att de organ som enligt utlänningsregisterlagen är myndigheter som för och använder register inte alla i fortsättningen kommer att vara personuppgiftsansvariga. Framöver kommer en del av dem som nu för och använder register att behandla personuppgifter med stöd av bestämmelserna om utlämning av uppgifter. 

Migrationsverket ska vara personuppgiftsansvarig myndighet när det handlägger och avgör ärenden som anges som dess uppgifter i lag eller genom förordning av statsrådet. Det rör sig om att handlägga och avgöra ärenden som gäller inresa, vistelse, flyktingskap och finskt medborgarskap. Dessutom ansvarar Migrationsverket för styrningen, planeringen och övervakningen av den praktiska verksamheten vid mottagande av personer som söker internationellt skydd och mottagande av personer som får tillfälligt skydd; styrningen och övervakningen av förvarsenheternas praktiska verksamhet; driften av de statliga förläggningarna och flyktingslussarna samt statens förvarsenheter; styrningen av verkställigheten av hjälp till offer för människohandel och styrning, planering och uppföljning av verksamheten i anslutning till företrädande av barn utan vårdnadshavare. Dessutom förvaltar Migrationsverket uppgifter som gäller främlingspass och resedokument för flyktingar. I praktiken innebär det att verket beviljar, drar in och ogiltigförklarar sådana pass och dokument och upphäver eller återkallar viseringar (t.ex. avvisning till följd av brott).  

Polisstyrelsen ska vara personuppgiftsansvarig när polisenheter under den inom ramen för sin behörighet tar emot och registrerar ansökningar som gäller internationellt skydd, deltar i asylsamtal, delger negativa asylbeslut, fattar, delger och verkställer beslut om avlägsnande ur landet och lägger fram förslag för Migrationsverket om att någon ska avlägsnas ur landet, meddelar inreseförbud, utför övervakning av utlänningar, skyddar nationell säkerhet och yttrar sig om ansökningar om medborgarskap. Dessutom är Polisstyrelsen personuppgiftsansvarig när polisen förlänger, upphäver och återkallar viseringar och när polisen beslutar om givande av betänketid, om förlängning av betänketid och om avbrytande av betänketid för offer för människohandel med stöd av 52 c § i utlänningslagen. Skyddspolisen avses vara personuppgiftsansvarig när den tryggar nationell säkerhet.  

Gränsbevakningsväsendet ska vara personuppgiftsansvarig myndighet när det registrerar asylansökningar, fattar beslut om nekad inresa och avvisning, fattar eller verkställer beslut om avlägsnande ur landet inbegripet inreseförbud eller utför övervakning av utlänningar. Det ska också vara personuppgiftsansvarig myndighet när det beviljar, upphäver eller återkallar viseringar och när gränskontrollmyndigheten beslutar om givande av betänketid, om förlängning av betänketid och om avbrytande av betänketid för offer för människohandel med stöd av 52 c § i utlänningslagen 

Migrationsverket, polisen och Gränsbevakningsväsendet övervakar att utlänningslagen och de bestämmelser som utfärdats med stöd av den iakttas.  

Förläggningarna och flyktingslussarna ska i egenskap av personuppgiftsansvariga ansvara för planering, ordnande, genomförande och uppföljning av mottagningstjänster för dem som söker internationellt skydd eller får tillfälligt skydd och har registrerats som klienter och av hjälpinsatser för offer för människohandel. Till mottagningstjänsterna hör bland annat inkvartering, mottagnings- och brukspenning, socialservice, hälso- och sjukvårdstjänster, tolk- och översättartjänster samt arbets- och studieverksamhet. Förläggningarna ska dessutom som personuppgiftsansvariga ha ansvar för den praktiska administrationen av företrädarverksamheten för barn utan vårdnadshavare och för att ansökningar görs för förordnande av företrädare för dessa barn. Förläggningen i Joutseno svarar för skötseln av hjälpsystemet för offer för människohandel. 

Flyktingslussarna ska vara personuppgiftsansvariga när de svarar för registreringen av invandrare i lägen där antalet invandrare är undantagsvis är så pass stort att det inte är möjligt att vid sedvanligt förfarande klarlägga förutsättningarna för inresa och registrera invandrare.  

Förvarsenheterna avses vara personuppgiftsansvariga när de behandlar personuppgifter för ordnande, planering, genomförande och uppföljning av tagandet i förvar av personer vid enheten och för att upprätthålla ordningen och säkerheten vid förvarsenheten.  

Enligt 2 § 1 mom. i lagen om utrikesförvaltningen (204/2000) omfattar utrikesförvaltningen utrikesministeriet och de beskickningar som hör till utrikesrepresentationen. Utrikesförvaltningen ska vara personuppgiftsansvarig myndighet när det gäller behandlingen av personuppgifter avseende viseringar. Viseringarna beviljas i det nationella informationssystemet för viseringar. Även om uppgiften som personuppgiftsansvarig inte är knuten till det informationssystemet kommer utrikesförvaltningen i praktiken att vara personuppgiftsansvarig för det nationella informationssystemet för viseringar. Vid sidan av beskickningarna beviljar också andra myndigheter, såsom polisen, Gränsbevakningsväsendet och Tullen, viseringar i det systemet. Utrikesförvaltningen ska vara personuppgiftsansvarig myndighet också när den behandlar personuppgifter i samband med sådant anhängiggörande av en ansökan om första uppehållstillstånd som lämnats till en finländsk beskickning, när beskickningar samlar in biometriska kännetecken för att fastställa någons identitet, när de meddelar beslut för kännedom utomlands och beviljar så kallade protokoll- eller laissez-passer-tillstånd. Dessutom avses utrikesförvaltningen vara personuppgiftsansvarig när beskickningarna efter att ha hört Migrationsverket fattar beslut om beviljande av främlingspass till en utlänning utomlands eller beslut om en provisorisk resehandling (Emergency Travel Document, ETD).  

Närings-, trafik- och miljöcentralen ska vara personuppgiftsansvarig vid behandling av personuppgifter när den anvisar personer till kommuner och när den fattar ett delbeslut gällande en ansökan om uppehållstillstånd för företagare. 

Arbets- och näringsbyrån ska vara personuppgiftsansvarig vid behandling av personuppgifter när den fattar ett delbeslut gällande en ansökan om uppehållstillstånd för arbetstagare och när det fattar beslut om vägran att bevilja uppehållstillstånd för arbetstagare enligt 187 § i utlänningslagen. 

I enlighet med principerna i artikel 5 och det inbyggda dataskyddet och dataskyddet som standard enligt artikel 25 i dataskyddsförordningen ska varje gemensamt personuppgiftsansvarig svara för att behandlingen av personuppgifter inom den egna verksamheten följer lagen.  

Separata bestämmelser ska utfärdas om Migrationsverkets ansvar när det gäller ärendehanteringssystemet för utlänningsärenden och utrikesförvaltningens ansvar när det gäller det nationella informationssystemet för viseringar. Det är inte ändamålsenligt att varje gemensamt personuppgiftsansvarig svarar för förvaltningen av uppgiftsbehandlingen, och därför ska ansvaret för att upprätthålla och utveckla informationssystemen liksom nu koncentreras till systemförvaltaren. Dessutom ska vissa sätt att behandla personuppgifter som är knutna till informationssystemen koncentreras till systemförvaltarna. Bestämmelser om det ansvar som koncentreras till systemförvaltarna avses finnas separat i de föreslagna 4 och 5 §. Lagens 6 § avses dessutom innehålla särskilda bestämmelser om förvaltarens roll som kontaktpunkt för registrerade. 

Det är motiverat att visst ansvar som personuppgiftsansvariga har bara ska gälla de personuppgiftsansvariga som faktiskt påverkar innehållet i de personuppgifter de behandlar. Registrering är bara ett av de sätt att behandla personuppgifter på som nämns i artikel 4 i dataskyddsförordningen, men registrering av personuppgifter kräver först andra åtgärder för behandling, såsom bearbetning, ändring eller radering. Det framgick under beredningen att så gott som samtliga sätt att behandla personuppgifter enligt artikel 4 i dataskyddsförordningen kräver att uppgifter registreras. Läsning och framtagning av personuppgifter utgör undantag, och med dessa kan man jämställa observation av personuppgifter, som inte nämns i artikeln. Varje gemensamt personuppgiftsansvarig ska svara för personuppgifter den registrerar. Ansvaret gäller exempelvis att registrerade uppgifter är felfria och därmed också beslut om myndighetsinitierad rättelse av uppgifter. Dessutom ska de gemensamt personuppgiftsansvariga i fråga om uppgifter de registrerar ansvara för att den registrerades rättigheter tillgodoses. Ansvaret för utlämnande och radering av enstaka uppgifter hör på grundval av behörighet till den personuppgiftsansvariga myndighet som har rätt att behandla personuppgifterna. Det tekniska utförandet av vissa tekniska funktioner koncentreras till systemförvaltaren. Till dessa tekniska åtgärder hör radering och rättelse av personuppgifter och tillgodoseende av den registrerades rätt att få tillgång till egna uppgifter. 

Enligt 124 § i grundlagen kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Uppgifter som innebär betydande utövning av offentlig makt får dock ges endast myndigheter. Migrationsverket avtalar med stöd av 10 § i mottagandelagen om inrättande och nedläggning av förläggningar och flyktingslussar och om deras verksamhetsställen med kommuner, samkommuner, andra offentligrättsliga samfund eller privata sammanslutningar eller stiftelser. I sådana fall är det inte en myndighet som kommer att vara personuppgiftsansvarig, utan exempelvis en privat förläggning när den utför lagstadgade uppgifter enligt 124 § i grundlagen. De som i praktiken driver förläggningar utöver stat och kommun är främst Finlands Röda Kors, som har lång erfarenhet av att ta emot flyktingar i Finland. För tydlighets skull används ordet myndighet i propositionen också när någon annan än en myndighet fullgör myndighetsuppgifter. Dessa situationer förekommer relativt sällan.  

Till skillnad från 3 § 3 mom. i lagen om utlänningsregistret ska Tullen, fångvårdsmyndigheterna, diskrimineringsombudsmannen, högsta förvaltningsdomstolen och de regionala förvaltningsdomstolarna i framtiden inte längre vara personuppgiftsansvariga myndigheter. Dessa myndigheters rätt att få upplysningar ska i fortsättningen bygga på deras egen rätt att få information och på bestämmelserna om utlämnande av information i 13 § i den föreslagna lagen.  

Det är meningen att separat föreskriva om förvaltningsansvaret för ärendehanteringssystemet för utlänningsärenden och det nationella viseringssystemet. 

Regleringen om sekretess och utlämnande av information utan hinder av sekretess i lagen om offentlighet i myndigheternas verksamhet, som tillämpas som allmän lag på migrations-förvaltningen, baserar sig på principen om fristående myndigheter. Även om myndigheter i sin verksamhet är gemensamt personuppgiftsansvariga, är de enligt principen om fristående myndigheter självständiga i förhållande till varandra. Det är meningen att föreskriva om det sätt på vilket information rör sig mellan de personuppgiftsansvariga separat. Såsom det har konstaterats i EU-domstolens rättspraxis betyder det att personuppgiftsansvariga enligt 3 § i den föreslagna personuppgiftslagen för migrationsförvaltningen är gemensamt personuppgiftsansvariga i enlighet med artikel 26 i dataskyddsförordningen dock inte att alla personuppgiftsansvariga utan begränsningar kan behandla information som andra personuppgiftsansvariga har samlat in och sparat. Behandlingen av information ska alltid basera sig på lagstiftning som skapar behörighet för myndigheten i fråga. Tillgången till information ska förvaltas med användarrättigheter. 

4 §.Ärendehanteringssystemet för utlänningsärenden. Till ärendehanteringssystemet för utlänningsärenden räknas förutom det egentliga datasystemet för utlänningsfrågor (UMA) systemet för identitetskort och pass när det gäller främlingspass och resedokument för flyktingar. Den del av systemet för identitetskort och pass som gäller främlingspass och resedokument för flyktingar är Migrationsverket ensamt personuppgiftsansvarig för. För den delen behövs det därför inte nödvändigtvis särskilda bestämmer om systemförvaltningen. Det system som innefattar främlingspass och resedokument för flyktingar ingår i polisens informationssystem, och därför har det ansetts tydligare att föreskriva om Migrationsverkets ansvar i fråga om hela datasystemet för utlänningsfrågor.  

Enligt förslaget ska Migrationsverket ansvara för utvecklingen och förvaltningen av ärendehanteringssystemet för utlänningsärenden. Förvaltningsansvaret för ärendehanteringssystemet är separat från den personuppgiftsansvariges ansvar och skyldigheter enligt 3 § och påverkar därmed inte deras användning. En sådan koncentration av ansvaret för förvaltning och utveckling av informationssystemen är nödvändig i ett läge där det finns flera gemensamt personuppgiftsansvariga för de personuppgifter som behandlas i systemet. Detta utvecklings- och förvaltningsansvar förutsätter att en viss myndighet ansvarar för systemen i stället för att ansvaret skulle fördelas mellan alla gemensamt personuppgiftsansvariga. Migrationsverket äger ärendehanteringssystemet för utlänningsärenden och ska således på samma sätt som nu stå för kostnaderna för att systemet utvecklas och förvaltas och för prioritering och tidsplan när det gäller utvecklingen. Verket ska ansvara för utvecklingen och förvaltningen också när behovet att utveckla och förvalta följer av beslut om lagstiftning eller annat som fattas inom andra förvaltningsområden men som blir betydande genom den föreslagna lagens tillämpningsområde. Migrationsverket ska ansvara för hanteringen av åtkomsträttigheter i systemet och för systemets tekniska konfiguration. 

Migrationsverket ska i egenskap av förvaltare av ärendehanteringssystemet för utlänningsärenden i enlighet med nuläget svara för det tekniska genomförandet av vissa åtgärder för behandling av personuppgifter som hör till den personuppgiftsansvarige. Det rör sig exempelvis om att tekniskt genomföra ett tillgodoseende av den registrerades rätt att få tillgång till egna uppgifter och en radering av uppgifter i ett enskilt fall.  

Vidare ska Migrationsverket i egenskap av förvaltare av ärendehanteringssystemet för utlänningsärenden ansvara för vissa behandlingsåtgärder som är knutna till systemet. Verket ska i enlighet med informationshanteringslagen ansvara för radering av andra uppgifter än enskilda personuppgifter samt för utlämnande av uppgifter ur systemet och öppnande av elektroniska förbindelser för åtkomst till systemet. Informationshanteringslagen innehåller bestämmelser om utlämnande av personuppgifter genom ett tekniskt gränssnitt och om öppnande av elektroniska förbindelser för åtkomst till systemet. Migrationsverket ska som personuppgiftsansvarig ansvara för radering och utlämnande av enskilda personuppgifter i enlighet med 3 §.  

Bestämmelserna om ärendehanteringssystemet för utlänningsärenden kommer inte att påverka lagens tillämpningsområde, som inte är knutet till informationssystemen.  

5 §.Nationella informationssystemet för viseringar. Enligt förslaget ska utrikesförvaltningen ansvara för utvecklingen och förvaltningen av det nationella informationssystemet för viseringar. Förvaltningsansvaret för informationssystemet för viseringar är separat från den personuppgiftsansvariges ansvar och skyldigheter enligt 3 § och påverkar därmed inte deras användning. En sådan koncentration av ansvaret är nödvändig i ett läge där det finns flera gemensamt personuppgiftsansvariga som behandlar personuppgifter i systemet. Detta utvecklings- och förvaltningsansvar förutsätter att en enda myndighet ansvarar för systemet i stället för att ansvaret skulle fördelas mellan alla gemensamt personuppgiftsansvariga. Utrikesförvaltningen äger det nationella informationssystemet för viseringar och ska således stå för kostnaderna för att systemet utvecklas och förvaltas och för prioritering och tidsplan när det gäller utvecklingen. Förvaltningen ska ansvara för utvecklingen och förvaltningen också när behovet att utveckla och förvalta följer av beslut om lagstiftning eller annat som fattas inom andra förvaltningsområden men som blir betydande genom den föreslagna lagens tillämpningsområde. Utrikesförvaltningen ska ansvara för hanteringen av åtkomsträttigheter i systemet och för systemets tekniska konfiguration. 

Utrikesförvaltningen ska i egenskap av förvaltare av det nationella systemet för viseringar i enlighet med nuläget svara för det tekniska genomförandet av vissa åtgärder för behandling av personuppgifter. Det rör sig exempelvis om att tekniskt genomföra ett tillgodoseende av den registrerades rätt att få tillgång till egna uppgifter, rättelse av uppgifter och radering av uppgifter i ett enskilt fall. 

Vidare ska utrikesförvaltningen i egenskap av förvaltare av det nationella systemet för viseringar ansvara för vissa behandlingsåtgärder som är knutna till systemet. Utrikesförvaltningen ska enligt informationshanteringslagen ansvara för radering av andra uppgifter än enskilda personuppgifter samt för utlämnande av uppgifter ur systemet och öppnande av elektroniska förbindelser för åtkomst till systemet. Informationshanteringslagen innehåller bestämmelser om utlämnande av personuppgifter genom ett tekniskt gränssnitt och om öppnande av elektroniska förbindelser för åtkomst till systemet. Utrikesförvaltningen ska som personuppgiftsansvarig ansvara för radering och utlämnande av enskilda personuppgifter i enlighet med 3 §. 

Bestämmelserna om det nationella systemet för viseringar ska inte påverka lagens tillämpningsområde, som inte är knuten till informationssystemen.  

6 §.Kontaktpunkter för registrerade. I syfte att se till att de registrerades rättigheter respekteras införs särskilda bestämmelser om kontaktpunkter för registrerade. Migrationsverket är kontaktpunkt för dem som registrerats i ärendehanteringssystemet för utlänningsärenden. Utrikesförvaltningen är kontaktpunkt för dem som registrerats i det nationella informationssystemet för viseringar.  

Kontaktpunkten ska se till att de registrerades rättigheter tillgodoses, särskilt rätten till åtkomst till personuppgifter. Det sker genom att kontaktpunkten med stöd av rätten att få tillgång till den registrerades egna uppgifter svarar för att begärd information lämnas till den registrerade och för den process som är kopplad till begäran överlag. I en situation där flera gemensamt personuppgiftsansvariga agerar inom sina befogenheter är det motiverat att främja tillgodoseendet av den registrerades rättigheter genom bestämmelser om kontaktpunkter för registrerade. Kontaktpunkten ska vara den registrerades primära kontakt i förhållande till också den personuppgiftsansvariga myndighet som handlägger eller avgör ärendet.  

Trots att kontaktpunkter utses hindrar det enligt artikel 26.3 i dataskyddsförordningen inte den registrerade från att utöva sina rättigheter med avseende på och emot var och en av de personuppgiftsansvariga, dvs. från att framföra en begäran avseende rätten att få tillgång till den registrerades egna uppgifter också till andra personuppgiftsansvariga. En begäran om tillgång till egna uppgifter som riktas till personuppgiftsansvariga ska beroende på ärendets art hänvisas till Migrationsverket eller utrikesförvaltningen för behövliga åtgärder. En sådan verksamhetsmodell skulle svara mot en myndighets skyldighet enligt 21 § i förvaltningslagen (434/2003) att utan dröjsmål överföra handlingar i ett ärende i vilket den inte är behörig till den myndighet som den anser vara behörig. Den i ärendet behöriga personuppgiftsansvarige kan om den så önskar själv tillgodose den registrerades rätt att få tillgång till egna uppgifter, men det är systemförvaltaren som ansvarar för det tekniska genomförandet. Målet är att tillräcklig information och kommunikation ska leda till att begärandena om tillgång ska riktas direkt till den registrerades kontaktpunkt i situationer där den registrerade inte medvetet väljer att rikta sin begäran till den behöriga personuppgiftsansvariga myndigheten eller om denne så önskar också till någon annan personuppgiftsansvarig.  

Vid behov kommer kontaktpunkten att fråga den myndighet som ansvarar eller ansvarat för handläggningen hur den ser på saken i situationer där det exempelvis är oklart vad den registrerades rätt att få tillgång till egna uppgifter innefattar eller omfattar.  

7 §.Personuppgifter som får behandlas. Paragrafen avses innehålla de personuppgifter och grupper av personuppgifter där den ingående personuppgifter får behandlas inom lagens tillämpningsområde. Den bestämmer de yttre ramarna för vilka personuppgifter som kan behandlas. Paragrafen anger inte vilka personuppgifter som kan behandlas i en enskild situation. Med andra ord skapar den inte behörighet att behandla personuppgifter. Behörigheten när det gäller att behandla en viss personuppgift ska alltid bygga på en särskild behörighetsbestämmelse.  

Enligt artikel 5.1 c i dataskyddsförordningen ska personuppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). En bedömning av om personuppgifterna behövs ska alltid göras i förhållande till användningsändamålet. En enskild personuppgift som behandlas ska alltid vara behövlig i förhållande till sitt användningsändamål, fullgörande av en lagstadgad uppgift. Behovet av varje enskild uppgift ska bedömas från fall till fall. Enskilda informationshanterares tillgång till de uppgiftsgrupper som behövs för behandlingen ska begränsas genom hanteringen av åtkomsträttigheterna och olika användarprofiler. Logguppgifter kan å sin sida användas efteråt för att kontrollera och verifiera vem som har behandlat personuppgifterna. De som behandlar uppgifterna gör det alltid under tjänsteansvar.  

Detta sätt att reglera datainnehållet är allmänt hållet i förhållande till de gällande bestämmelserna i lagen om utlänningsregistret. Enligt det riskbaserade synsätt som man gått in för i dataskyddsförordningen och som också grundlagsutskottet gärna prioriterar, ska regleringen utifrån riskerna gälla de situationer som kräver närmare reglering. Det innebär att detaljerade bestämmelser slopas i de situationer som nu avses, dvs. där en heltäckande och detaljerad reglering inte är nödvändig. En mer generell lösning när det gäller regleringen är lagtekniskt motiverad på grund av datainnehållets stora omfattning och även för att bestämmelserna innehåller överbegrepp för att beskriva personuppgifterna. Innehållet i dessa begrepp kan anses som tämligen etablerat. En regleringsteknik där datainnehållet beskrivs med etablerade kriterier för indelning av personuppgifter är ändamålsenlig också ur det perspektivet att den på vissa villkor utan ständiga lagstiftningsändringar möjliggör sådana enskilda ändringar som behöver göras i innehållet i sådana personuppgifter som behandlas till följd av ändringar som görs i behörighetsgivande lagar. En mer allmänt hållen gruppindelning kommer att medge en mer omfattande behandling av datainnehållet, men bara under den förutsättningen att behandlingen av uppgiften behövs och har en rättslig grund. Bestämmelser om särskilda kategorier av personuppgifter avses finnas särskilt i 8 § i den föreslagna lagen. 

Med beaktande av den utvidgning av tillämpningsområdet som den föreslagna lagen innebär i förhållande till nuläget enligt lagen om utlänningsregistret avses den föreslagna paragrafen ha dels datainnehållet i 7 § i den gällande lagen om utlänningsregistret, dels också det datainnehåll som avses i 48 § i den gällande mottagandelagen, 32 d § i den gällande förvarslagen och 60 § 2 mom. i den gällande integrationslagen.  

Den föreslagna 7 § avses bestå av fyra moment. Dess 1 mom. innehåller bestämmelser om uppgifter relaterade till den berörda personen, 2 mom. bestämmelser om till ärendet relaterade uppgifter, 3 mom. bestämmelser om uppgifter om iakttagelser och 4 mom. bestämmelser om uppgifter relaterade till andra personer som har anknytning till personen eller ärendet.  

Paragrafens 1 mom. avses gälla personers identifieringsuppgifter, uppgifter om familjeförhållandena, uppgifter om företrädande, uppgifter som beskriver kunnande och kontaktuppgifter samt uppgifter om resedokument samt behandlingen av kortet över anhängigt ansökningsärende som avses 96 § i utlänningslagen.  

I 2 mom. 1 och 2 punkten föreslås bestämmelser om uppgifter som framgår av en ansökan, framställning, begäran eller anmälan eller av förfrågningar eller höranden som gjorts på grund av dessa och om uppgifter om behandling och utredning av samt beslut i ärenden. I de uppgifter som behandlas under dessa punkter kan även ingå uppgifter om juridiska personer, eftersom personuppgiftsansvariga, även om det är fråga om en personuppgiftslag, måste även kunna behandla uppgifter om juridiska personer inom ramen för lagstiftning som skapar behörighet, när den juridiska persons uppgifter till exempel ansluter sig till behandlingen av ett ärende som gäller en fysisk person. Dylika uppgifter som gäller juridiska personer kan vara till exempel arbetsgivaruppgifter som behövs för avgörande av ett uppehållstillstånds- eller medborgarskapsärende. Med uppgifter om beslut avses också uppgifter om beslut i myndighetsinitierade ärenden. Till skillnad från 7 § 2 mom. 2 punkten i utlänningsregisterlaget nämner 2 mom. inte särskilt handlingar eftersom den föreslagna lagen avses gälla behandlingen av personuppgifter oavsett vilken form uppgifterna behandlas i.  

Paragrafens 2 mom. 3 punkt avses gälla uppgifter om mottagningstjänster och annan verksamhet som hör till mottagningen samt uppgifter om företrädare när det gäller mottagningsverksamhet för barn utan vårdnadshavare och uppgifter som behövs vid styrningen, planeringen och övervakningen av företrädarverksamheten. Med uppgifter om företrädare avses uppgifter som beskriver vårdnadshavar-, intressebevaknings-, företrädar-, biträdes- eller ombudsrelationen. I 2 mom. 4 punkten finns bestämmelser om de uppgifter som gäller placering av en utlänning i en förvarsenhet. I 5 punkten i samma moment finns bestämmelser om behandlingen av uppgiften om anvisande till en kommun. Med anvisande till en kommun avses anvisande till en kommun av den sådan person som avses i 2 § 2 och 3 mom. i integrationslagen.  

Dessa ändringar är huvudsakligen lagtekniska och kommer i princip inte att ändra det rådande nuläget när det gäller de uppgifter som ska registreras enligt lagen om utlänningsregistret, mottagandelagen, förvarslagen och integrationslagen, dock med vissa undantag som beskrivs i det följande: beskrivningarna i 48 § i mottagandelagen och 32 d § i förvarslagen om de syften i vilka vissa personuppgifter kan behandlas ska ersättas med ett allmänt krav på behövlighet. Det är inte meningen att nuläget när det gäller villkoren för behandling ska ändras, även om ändamålet med behandlingen i fortsättningen inte ska ingå i paragrafen om datainnehåll: uppgiften ska även fortsättningsvis vara behövlig uttryckligen i relation till syftet med behandlingen. Datainnehållet i 2 mom. 4 punkten avseende tagande i förvar ska enligt avsikt utvidgas till att gälla uppgifter som behövs för att trygga ordnandet, planeringen, genomförandet, uppföljningen av tagandet i förvar och ett korrekt bemötande av utlänningar. Enligt 7 § i den gällande lagen om utlänningsregistret täcker datainnehållet i detta avseende bara uppgifter om innehav och användning av telefoner och annan kommunikationsutrustning eller kontroller och begränsningar. Bestämmelserna motsvarar dock inte det faktiska behovet. Det mest ändamålsenliga vore att det datainnehåll som registreras mer utvidgat inbegriper uppgifter som behövs för att trygga ordnandet, planeringen, genomförandet och uppföljningen av tagandet i förvar samt ett korrekt bemötande av utlänningar. En ändring behövs med avseende på de funktionella behov som framgår av förvarslagen. I 11 § i den lagen föreskrivs det om inkvartering, uppehälle och tillgodoseende av andra grundläggande behov, vilket förutsätter en möjlighet att behandla relaterade personuppgifter. Också för brukspenning och tjänster som avser stödjande av funktionsförmågan enligt 12 och 14 § i samma lag krävs det att till dessa relaterade personuppgifter kan behandlas. Överlag behöver uppgifter som kan anses utgöra en klientrapport kunna behandlas. Det gäller exempelvis uppgifter om personens deltagande i aktiviteter, vidtagna klientåtgärder eller särskild diet. Också exempelvis uppgifter om klientens uppförande behöver kunna registreras, eftersom det kan påverka klientens, andra i förvar tagna klienters eller de anställdas säkerhet till exempel vid övergång från ett skifte till ett annat.  

Den personuppgiftsansvarige ska till skillnad från nuläget ha rätt att med stöd av 3 mom., i den mån det är behövligt, behandla sådana uppgifter om iakttagelser gjorda av eller anmälda till den personuppgiftsansvarige som på grund av omständigheterna eller personens beteende med fog kan bedömas anknyta till den personuppgiftsansvariges behörighet att övervaka att det finns förutsättningar för en persons inresa och vistelse i landet eller besluta om någons förvärv eller förlust av finskt medborgarskap eller till skyldigheten att sörja för arbetarskyddet för de anställda. Det rör sig om en ny bestämmelse om datainnehållet, och den kommer att medge behandling av personuppgifter, men behörigheten bygger på gällande lagstiftning. När det gäller sådana uppgifter om iakttagelser kan det potentiellt handla om en mycket omfattande datamängd som berör privatlivet. Uppgifter om iakttagelser är dessutom ofta av otillförlitligt slag och förknippade med en risk för att oskyldiga personer stämplas. Därför måste behandlingen av uppgifterna avgränsas på det sätt som grundlagsutskottet förutsätter (GrUU 18/2012 rd, s. 4, och GrUU 71/2014 rd, s. 2—3). Behandlingen av uppgifter om iakttagelser styrs av principen om ändamålsbundenhet i myndigheternas verksamhet. Behandlingen av uppgifter om iakttagelser begränsas för det första till den personuppgiftsansvariges behörighet att övervaka att det finns förutsättningar för en persons inresa och vistelse i landet. Myndigheterna utför med stöd av de gällande 129 a och 212 § i utlänningslagen övervakning av utlänningar och tillsyn över iakttagandet av de bestämmelser som utfärdats med stöd av utlänningslagen. I exempelvis proposition RP 169/2014 rd slås det fast att det alltid i bakgrunden måste finnas någon uppgift eller misstanke som gäller grunden för beviljandet av uppehållstillstånd och som är orsaken till att Migrationsverket på goda grunder i efterhand kontrollerar om villkoren för personens vistelse i landet fortfarande uppfylls. Migrationsverket är med stöd av medborgarskapslagen behörigt att bevilja och förvägra finskt medborgarskap eller besluta om förlust av medborgarskap. Medborgarskapslagens 3 och 4 kap. innehåller bestämmelser om de förutsättningar under vilka en person kan beviljas finskt medborgarskap på ansökan eller efter anmälan. I 33 § i den lagen finns bestämmelser om förlust av medborgarskap på grund av lämnande av oriktiga uppgifter. Således har Migrationsverket grundad anledning att behandla sådana uppgifter om iakttagelser som kan leda till att en person inte beviljas finskt medborgarskap eller till att en person förlorar medborgarskapet. Enligt 8 § i arbetarskyddslagen (738/2002) är arbetsgivaren skyldig att genom nödvändiga åtgärder sörja för arbetstagarnas säkerhet och hälsa i arbetet. I detta syfte ska arbetsgivaren beakta omständigheter som hänför sig till arbetet, arbetsförhållandena och arbetsmiljön i övrigt samt till arbetstagarens personliga förutsättningar. Arbetsgivaren ska planera, välja, dimensionera och genomföra de åtgärder som behövs för att förbättra arbetsförhållandena. Då ska i mån av möjlighet exempelvis principen om att förhindra uppkomsten av risker och olägenheter iakttas. Därmed innehåller bestämmelsen om iakttagelseuppgifter en förutsättning enligt vilken personuppgifter bara får behandlas för att genomföra uttryckliga lagstadgade uppgifter. 

I praktiken ska uppgifterna om iakttagelser utgöra grund för inledande av en närmare utredning av de omständigheter som påverkar uppgifterna inom myndigheternas behörighet. Myndigheten ska inom ramen för sina befogenheter kunna registrera uppgifter om iakttagelser även om de inte anknyter till något pågående ärende. Uppgifterna får inte användas som beslutsgrund. Inga begränsningar anges när det gäller uppgifternas natur. Det ska inte finnas en förteckning över uppgifter om iakttagelser, på motsvarande sätt som i 8 § i polisens personuppgiftslag, eftersom de i vilket fall som helst begränsar sig till uppgifter som den personuppgiftsansvarige behandlar på basis av den lagstiftning som ger den behörighet. Uppgifter om iakttagelser kan ansluta sig till Migrationsverkets klienter eller sådana tredje personer som har inverkan på förutsättningarna för inresan eller vistelsen av Migrationsverkets klienter eller på förvärv eller förlust av medborgarskap. Uppgifterna om iakttagelser kan gälla exempelvis sådana omständigheter eller händelser, såsom familjeförhållanden eller försörjning, som kan vara relevanta för tillståndsprövningen eller vid bedömningen av huruvida en persons vistelse i landet fortsatt motsvarar förutsättningarna för uppehållstillstånd. Uppgifterna kan också gälla omständigheter som kan vara relevanta vid beviljande av medborgarskap eller leda till förlust av medborgarskap, såsom uppgifter om identitet eller vistelsen i Finland (RP 235/2002 rd). Uppgifterna om iakttagelser kan vara uppgifter som påverkar arbetarskyddet, såsom uppgifter om en persons beteende, och som kan vara av betydelse exempelvis med avseende på ordnande av asylsamtal eller med tanke på andra åtgärder för att sörja för säkerheten.  

Uppgifterna om iakttagelser ska följa principerna för behandling av personuppgifter i artikel 5 i dataskyddsförordningen. De ska med andra ord vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Uppgifter om iakttagelser kan i enskilda fall anses som hörande till särskilda kategorier av personuppgifter och då måste behandlingen också uppfylla de förutsättningar enligt 8 § för behandling av sådana personuppgifter uppfyllas. Behandlingen av uppgifter om iakttagelser som utförs av någon annan än den personuppgiftsansvarig som sparat uppgifterna ska vara möjligt med stöd av 11 §, ifall genomförandet av den personuppgiftsansvariges lagstadgade uppgifter så förutsätter. 

Till uppgifterna om iakttagelser ska det om möjligt fogas uppgift om den som lämnat uppgiften eller om uppgiftskällan samt en bedömning av dennes tillförlitlighet och uppgifternas riktighet. Därmed ska registreringen alltid ange varifrån uppgiften om iakttagelsen härstammar, eller om dess källa inte är känd, information om detta. De allmänna begränsningarna enligt 34 § i den föreslagna dataskyddslagen i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne ska gälla för uppgifterna om iakttagelse. Det föreskrivs särskilt om radering av uppgifter om iakttagelser. Förutsättningarna för behandling av uppgifter om iakttagelse ska tolkas restriktivt beroende på uppgifternas natur.  

Med stöd av 4 mom. i den föreslagna paragrafen får den personuppgiftsansvarige, i den mån det är behövligt, behandla personuppgifter som avser familjemedlemmar och personer som bor i samma hushåll samt personuppgifter som avser mottagare i Finland och personuppgifter som avser dem som anställer en utländsk arbetstagare. 

8 §.Särskilda kategorier av personuppgifter som får behandlas. Den föreslagna 8 § avses innehålla bestämmelser om behandling av personuppgifter inom särskilda kategorier. Separata bestämmelser behövs eftersom personuppgifter som hör till särskilda kategorier av sådana uppgifter är känsliga när man beaktar det riskbaserade synsättet i dataskyddsförordningen, vilket också grundlagsutskottet ger prioritet åt. Enligt artikel 9 i dataskyddsförordningen ska behandling av särskilda kategorier av personuppgifter i princip vara förbjuden. Dataskyddslagens 6 § innebär att förbudet mot behandling av känsliga uppgifter med stöd av det nationella handlingsutrymmet inte ska tillämpas på sådan behandling av personuppgifter som det föreskrivs om i lag eller som direkt följer av den personuppgiftsansvariges lagstadgade uppgifter. Det bör påpekas att lagen om behandling av personuppgifter i migrationsförvaltningen inte avses ge behörighet att behandla personuppgifter och därmed inte heller att behandla personupp-gifter som hör till särskilda kategorier av personuppgifter.  

Preciserande bestämmelser om hanteringen av fingeravtryck finns separat i 9 och 10 § i lagförslaget, och de motsvarar nuläget enligt lagen om utlänningsregistret.  

Den föreslagna paragrafen ska gälla sådana enligt 24 § i offentlighetslagen sekretessbelagda uppgifter som hör till de särskilda kategorierna av personuppgifter enligt artikel 9 i dataskyddsförordningen, är sådana personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott enligt artikel 10 i den förordningen och som kan behandlas på särskilda villkor eller som fortsatt konstitutionellt sett ska anses vara nationellt känsliga. De sistnämnda uppgifterna är enligt grundlagsutskottets tolkning (se GrUU 14/2018 rd och GrUU 15/2018 rd) konstitutionellt känsliga uppgifter som inte är särskilda kategorier av personuppgifter enligt dataskyddsförordningen, såsom uppgifter om sociala tjänster. I nuläget finns bestämmelser om dessa sekretessbelagda uppgifter delvis i såväl den gällande lagen om utlänningsregistret och mottagandelagen som i den gällande förvarslagen. Regleringen bör vara tydlig och begriplig, och därför bör bestämmelser om de berörda uppgifterna, som på olika grunder anses vara speciella eller känsliga, koncentreras till en och samma paragraf. På detta sätt understryks det också att särskild omsorgsfullhet krävs när de behandlas och att de ska skyddas från obehörig användning. I rubriken till paragrafen används begreppet särskilda kategorier av personuppgifter, som är det uttryck som dataskyddsförordningen använder om dessa uppgifter. Detta trots att paragrafen på det sätt som anges ovan också gäller andra personuppgifter som bara får behandlas på särskilda villkor. I fortsättningen betecknas uppgifterna för tydlighets skull särskilda kategorier av personuppgifter i enlighet med paragrafrubriken.  

Varje personuppgiftsansvariga skulle ha rätt att behandla särskilda kategorier av personuppgifter bara inom ramen av sin behörighet. En förutsättning för behandling av personuppgifter som hör till dessa särskilda kategorier av personuppgifter är också att den är nödvändig i något syfte, vilket motsvarar bestämmelserna i lagen om utlänningsregistret och förvarslagen. Dessutom snävas användningsområdet för dessa personuppgifter in – vilket inte är fallet för de personuppgifter som inte hör till de särskilda kategorierna – genom att syftet med behandlingen preciseras av tillämpningsområdet, så att det går att minimera de allvarliga risker för de grundläggande fri- och rättigheterna som är kopplade till informationssäkerheten och missbruk av uppgifter (GrUU 15/2018 rd, s. 37).  

När personuppgifter som gör till särskilda kategorier av personuppgifter behandlas berör man kärnan av en persons integritetsskydd, och därmed måste proportionaliteten i användningen av sådana uppgifter bedömas i relation till huruvida ingreppet i integritetsskyddet samtidigt skyddar andra rättigheter som personen i fråga har och om dessa andra rättigheter utgör en så pass tungt vägande grund att integritetsskyddet på grund av dem kan inskränkas. Inom migrationsförvaltningen är det nödvändigt att behandla särskilda kategorier av personuppgifter för att skydda den registrerades identitet, trygga dennes rättssäkerhet eller skydda dennes intressen eller för att den registrerade ska få socialvård eller hälso- och sjukvård. Med andra ord är behandling av särskilda kategorier av personuppgifter en åtgärd som på det sätt som artikel 9.2 g i dataskyddsförordningen kräver står i proportion till det rättsobjekt som eftersträvas med begränsningen. 

Utöver begränsningarna av användningsområdet för de särskilda kategorierna av personuppgifter kommer de lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som artikel 9.2 g i förordningen kräver att genomföras genom de skyddsåtgärder som anges i 6 § 2 mom. i dataskyddslagen. Till dessa åtgärder hör bland annat att man sörjer för personalens kompetens och olika övervakningsmetoder och säkerställer att de tekniska systemen fungerar. Också speciallagstiftningen i sig utgör en skyddsåtgärd som dataskyddsförordningen kräver. Dessutom är det meningen att särskilda bestämmelser ska införas om radering av uppgifter som särskilda kategorier av personuppgifter.  

Den mångfald av situationer som migrationsförvaltningen hanterar innebär att det inte är möjligt att fullständigt i detalj formulera bestämmelserna för behandling av de särskilda kategorierna av personuppgifter utan att beskriva myndigheternas befogenheter för varje uppgift. Ett sådant sätt att reglera saken kan emellertid inte anses vara ändamålsenligt. Det går att identifiera situationer där man särskilt ofta behöver hantera personuppgifter som hör till de särskilda kategorierna och sådana situationer där det inte finns något sådant behov. Ofta är det däremot fråga om situationer där en viss personuppgift som hör till en särskild kategori ibland nödvändigt behöver hanteras och ibland inte. Fråga om behandlingen av uppgifterna är nödvändig måste alltid bedömas särskilt i den enskilda situationen. En fallspecifik bedömning måste alltid göras för en särskild kategori av personuppgifter.  

Det kan vara nödvändigt att behandla personuppgifter som anger en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller sexualliv eller sexuella läggning, i synnerhet när det gäller att bedöma grunderna för en ansökan om internationellt skydd, men också för att vidta praktiska arrangemang för mottagning, tagande i förvar av asylsökande och för anvisande till en kommun. Syftet är då att säkerställa den registrerades säkerhet.  

Behandling av uppgifter som gäller medlemskap i en fackförening kan vara nödvändig för att bedöma grunderna för en ansökan om internationellt skydd och för att hjälpa offer för människohandel. 

Det kan vara nödvändigt att behandla genetiska personuppgifter för att utreda familjeförbindelser med DNA-analys med stöd av 65 § i utlänningslagen samt för att utföra en rättsmedicinsk undersökning med stöd av 6 a § i utlänningslagen i syfte att utreda åldern av en utlänning som ansöker om uppehållstillstånd i Finland eller en anknytningsperson. Det kan vara nödvändigt att behandla biometriska personuppgifter för att entydigt identifiera en fysisk person när fingeravtryck eller en ansiktsbild, som sökanden har bifogat, tas av sökanden i samband med inlämning av ansökan om uppehållstillstånd eller av ansökan om internationellt skydd, för ett uppehållstillståndskort enligt 60 d § i utlänningslagen. Bestämmelser om behandlingen av sådana signalement på utlänningar som med stöd av 131 § i utlänningslagen förs in i polisens register finns i lagen om behandling av personuppgifter i polisens verksamhet. Preciserande bestämmelser om användning av fingeravtryck som hör till de biometriska kännetecknen finns i 9 och 10 §.  

Med genetiska personuppgifter avses alla personuppgifter enligt artikel 4.13 i dataskyddsförordningen som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga. Biometriska uppgifter avser å sin sida sådana personuppgifter enligt artikel 4.14 i den förordningen som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter. 

Uppgifter om hälsa kan vara nödvändiga i alla situationer som hör till lagens tillämpningsområde av. Det rör sig bland annat om att bedöma grunderna för en ansökan om internationellt skydd, bedöma förutsättningarna för beviljande av uppehållstillstånd eller vidta praktiska arrangemang för mottagning, tagande i förvar av asylsökande och för anvisande till en kommun i syfte att beakta den registrerades hälsotillstånd.  

Enligt artikel 4.15 i dataskyddsförordningen är uppgifter om hälsa personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus. 

Det har nationellt föreskrivits om journalhandlingar och de uppgifter som de innehåller. Enligt 2 § 5 punkten i lagen om patientens ställning och rättigheter (785/1992, nedan patientlagen) är journalhandlingar handlingar eller tekniska dokument som används, uppgörs eller inkommer i samband med att en patient får vård eller vården ordnas och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga uppgifter. Bestämmelser om de uppgifter som ska antecknas i journalhandlingar har utfärdats särskilt genom social- och hälsovårdsministeriets förordning om journalhandlingar (298/2009). Enligt 13 § 1 mom. i patientlagen är uppgifter i journalhandlingarna sekretessbelagda. Enligt dess 2 mom. får en yrkesutbildad person inom hälso- och sjukvården eller någon annan som arbetar vid en verksamhetsenhet för hälso- och sjukvård eller utför uppdrag för den inte utan patientens skriftliga samtycke lämna sådana uppgifter som ingår i journalhandlingarna till utomstående. Inom migrationsförvaltningen är det undantagsvis nödvändigt även för andra än yrkesutbildade personer inom hälso- och sjukvården att behandla vissa uppgifter som gäller hälsa. 

I princip är det bara yrkesutbildade personer inom hälso- och sjukvården, såsom hälsovårdare exempelvis på förläggningar, inom hjälpsystemet för offer för människohandel eller på förvarsenheter, som får behandla patientuppgifter om personer inom dessa tjänster utan patientens skriftliga samtycke. Riksdagens justitieombudsman har i sitt avgörande EOAK 3101/4/13 slagit fast att ledare vid förvarsenheter som delar ut medicin i sitt uppdrag inte har rätt att få ta del av uppgifter som gäller vård och behandling, exempelvis medicinering, av den som tagits i förvar utan dennes samtycke. Justitieombudsmannen kom fram till samma slutsats i avgörande EOAK 3998/4/07 i fråga om läkemedelsutdelning till fångar. Yrkesutbildade personer inom hälso- och sjukvården, såsom hälsovårdare, exempelvis på förläggningar, inom hjälpsystemet för offer för människohandel eller på förvarsenheter följer patientlagen i fråga om behandlingen av patientuppgifter. Också andra anställda hos den personuppgiftsansvarige måste emellertid i undantagsfall kunna behandla sådana uppgifter om migrationsförvaltningens klienter som gäller risken för våld, självmord eller smitta eller andra motsvarande sjukdomsrelaterade risker eller sjukdomar, när uppgifterna är nödvändiga för att skydda den berörda personens liv, hälsa eller säkerhet eller för att förhindra risk för andra personers liv, hälsa eller säkerhet. Till exempel i en situation där en socialarbetare på en mottagningscentrals stödboendeenhet eller enhet för minderåriga eller en ungdoms egenvårdare följer med ett barn eller en ungdom till läkare, är det nödvändigt för den anställda att veta var och varför barnet eller ungdomen ska medföljas. Därför är det meningen att bestämmelsen ska ge möjlighet till behandling av patientuppgifter då detta är nödvändigt i den personuppgiftsansvariges verksamhet.  

Behovet att nödvändigt använda uppgifter om socialtjänster hänger särskilt samman med bedömningen av grunderna för en ansökan om internationellt skydd, men också med vidtagande av praktiska arrangemang för mottagning eller tagande i förvar av asylsökande eller för anvisande till en kommun.  

Till personuppgifter som rör domar i brottmål och överträdelser räknas också personuppgifter som avser verkställighet av straff. Dessa personuppgifter kan vara nödvändiga i alla situationer som rör lagens tillämpningsområde. Dessa domar och överträdelser samt uppgifter som gäller straffverkställighet kan vara av betydelse i ärenden som gäller inresa eller utresa, ärenden som gäller medborgarskap, särskilt när medborgarskap beviljas men också när mottagning och tagande i förvar ordnas i praktiken vid anvisande till en kommun.  

Alla personuppgifter som hör till särskilda kategorier av personuppgifter som får behandlas kan vara nödvändiga att behandla för att trygga nationell säkerhet.  

9 §.Behandling av uppgifter om fingeravtryck som tagits för ansökningar om främlingspass och resedokument för flykting. Paragrafen avses innehålla bestämmelser om behandling av fingeravtryck som tagits av dem som ansöker om främlingspass och resedokument för flyktingar. Till sitt innehåll motsvarar paragrafen 3 a § i den gällande lagen om utlänningsregistret. De behövliga tekniska ändringar som görs beror på en ändring av nuläget som innebär att inga bestämmelser införs om register och delregister till följd av att utgångspunkten blir syftet med behandlingen. Därför sägs det också helt enkelt i paragrafen att tagna fingeravtryck ska registreras. Avsikten är inte att ändra nuläget. Om de myndigheter som har rätt att använda fingeravtryck används i stället för utrikesministeriet och finska beskickningar begreppet utrikesförvaltningen. Det rör sig om en teknisk ändring som motsvarar den terminologi som i övrigt används i denna proposition. Med polis är det meningen att alltjämt även avse skyddspolis, och det är inte meningen att till den här delen ändra nuläget, även om det numera föreskrivs separat om skyddspolisens behandling av personuppgifter i 7 kap. i polisens personuppgiftslag. 

10 §.Behandling av uppgifter om fingeravtryck som tagits för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem. I denna paragraf föreslås det bestämmelser om användning av fingeravtryck som tagits för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem. Till sitt innehåll motsvarar den 3 b § i lagen om utlänningsregistret. De behövliga tekniska ändringar som görs beror på en ändring av nuläget som innebär att inga bestämmelser införs om register och delregister till följd av att utgångspunkten blir syftet med behandlingen. Därför sägs det helt enkelt i paragrafen att tagna fingeravtryck ska registreras. Infallsvinkeln blir behandlingsgrundad och därför ersätts hänvisningen till delregistret för an-sökningsärenden med en hänvisning till registrerade uppgifter som avses i paragrafen. Uttrycket statens säkerhet ersätts med uttrycket den nationella säkerheten för att det skulle motsvara det i helheten för underrättelselagstiftning använda uttrycket. Uttrycket statens säkerhet och uttrycket den nationella säkerheten bedöms motsvara varandra. De föreskrivna fingeravtrycksuppgifterna ska i 2 mom. ersättas med ordet fingeravtryck. Avsikten är inte att ändra nuläget.  

11 §.Behandling av personuppgifter för det ursprungliga ändamålet. I de föreslagna 1 och 3 § finns bestämmelser om ändamålen med behandling av personuppgifter och de myndigheter som är personuppgiftsansvariga när de fullgör sina uppgifter enligt den lagstiftning som ger dem behörighet. Enligt 29 § i offentlighetslagen kan en myndighet till en annan myndighet lämna ut uppgifter ur sekretessbelagda handlingar, om det i lag särskilt tagits in uttryckliga bestämmelser om rätten att lämna ut eller att få uppgifter. Grundlagsutskottet har uttryckt oro för att uppgifter trots sekretessbestämmelser kan överföras mellan de myndigheter som är gemensamt personuppgiftsansvariga, om registrerade känsliga och sekretessbelagda uppgifter som registreras i ett senare skede behandlas i samma syfte men av en annan gemensamt personuppgiftsansvarig myndighet. Grundlagsutskottet har påmint om att bestämmelserna om sekretess och utlämnande av uppgifter trots sekretess i offentlighetslagen, som tillämpas såsom allmän lag på migrationsförvaltningen, grundar sig på principen om fristående myndigheter. I sin lagtillämpning är myndigheterna självständiga i relation till varandra (GrUU 62/2018 rd).  

Principen om fristående myndigheter, som har lyfts fram i grundlagsutskottets utlåtande, kräver särskilda bestämmelser om överföring av känsliga och sekretessbelagda uppgifter mellan personuppgiftsansvariga även när en personuppgiftsansvarig använder personuppgifter i samma syfte i vilket en annan personuppgiftsansvarig ursprungligen samlat in dem. En förutsättning för behandlingen är alltid att myndigheten behöver behandla uppgifterna för att fullgöra en lagstadgad uppgift. De begränsningar som följer av förslaget till 8 § ska alltid tillämpas när uppgifter som hör till särskilda kategorier av personuppgifter behandlas. Formuleringen är också ett uttryck för förbudet mot att använda uppgifter för de olika behandlingsändamålen i 1 § i kors, eftersom detta inte kan anses som behandling för det ursprungliga ändamålet. På det här sättet tar man även på det sätt som grundlagsutskottet förutsätter hänsyn till det att myndigheterna inom migrationsförvaltningen, som fungerar som gemensamt personuppgiftsansvariga, är fristående, vilket för sin del klarlägger användningen av uppgifter för andra ändamål än det ursprungliga i enlighet med 12 §.  

Det är viktigt att beakta vissa specifika situationer, såsom myndighetens skyldighet enligt mottagandedirektivet att ta hänsyn till vissa särskilda behov hos sökanden. Uppdateringen av vissa uppgifter som identifierar en person är förenlig också då man rör sig mellan de olika punkterna i tillämpningsområdet för 1 §. Om en persons identifieringsuppgifter därmed uppdateras exempelvis i samband med en tillståndsprocess, bör uppgifterna i praktiken antagligen uppdateras också för mottagande- och förvarsprocessens del.  

Enligt artikel 5.1 d i dataskyddsförordningen ska behandlingen av personuppgifter vara korrekt, dvs. personuppgifterna ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.  

12 §.Behandling av personuppgifter för andra ändamål än det ursprungliga. Denna paragraf avses innehålla bestämmelser om de situationer där det inom lagens tillämpningsområde trots sekretessbestämmelserna ska vara möjligt att behandla personuppgifter för andra ändamål än det ursprungliga. Detta är möjligt om behandlingen på det sätt som anges i 1 mom. är nödvändig för utförandet av den personuppgiftsansvariges lagstadgade uppgifter eller om den behövs i enlighet med vad som närmare anges i punkterna till 1 mom. Bestämmelser om behandling av sådana personuppgifter som hör till särskilda kategorier av personuppgifter för något annat ändamål än det ursprungliga avses ingå i de föreslagna 2 och 3 mom. Den rättsliga grunden för behandling av personuppgifter för andra ändamål än det ursprungliga inom lagens tillämpningsområde skapar sådana lagstadgade uppgifter för den personuppgiftsansvarige som kräver behandling av personuppgifter för andra ändamål än det ursprungliga.  

I artikel 5.1 b i dataskyddsförordningen finns bestämmelser om ändamålsbegränsningen för personuppgifter, dvs. att uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Enligt artikel 6.4 i förordningen får bestämmelser om senare behandling av personuppgifterna införas i den nationella lagstiftningen, när detta utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23. Till de mål som anges i den artikeln hör bland annat viktiga mål av generellt allmänt intresse och skydd av den registrerade eller andras rättigheter och friheter. Dessutom ska det finnas en grund enligt artikel 6.1 för behandlingen och enligt artikel 9.2 när det gäller särskilda kategorier av personuppgifter. 

Enligt skäl 50 i ingressen till dataskyddsförordningen bör behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in endast vara tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt dock fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Grundlagsutskottet har påmint om att bestämmelserna om sekretess och utlämnande av uppgifter trots sekretess i offentlighetslagen, som tillämpas såsom allmän lag på migrationsförvaltningen, grundar sig på principen om fristående myndigheter och att myndigheterna i sin lagtillämpning är självständiga i relation till varandra (GrUU 62/2018 rd). I praktiken kommer behandling av personuppgifter för andra ändamål än det ursprungliga ofta att utföras av någon annan personuppgiftsansvarig än den som samlat in uppgifterna och därför måste frågan regleras särskilt.  

I skäl 50 i ingressen till dataskyddsförordningen konstateras det att den personuppgiftsansvarige bör, för att fastställa om ett ändamål med den ytterligare behandlingen är förenligt med ändamålet, bland annat beakta alla kopplingar mellan dessa ändamål och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna insamlats, särskilt de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige i fråga om personuppgifternas art, den planerade ytterligare behandlingens konsekvenser för de registrerade samt förekomsten av lämpliga skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen. Också när det gäller omfattande register med biometriska kännetecken finns det enligt grundlagsutskottet orsak att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för. I de fallen kan bara exakt avgränsade och mycket små undantag göras från ändamålsbegränsningen. Bestämmelserna får inte leda till att någon annan verksamhet än den som är förknippad med det ursprungliga användningsändamålet blir det huvudsakliga ändamålet och inte ens ett betydande användningsändamål (GrUU 14/2009 rd, s. 4, GrUU 14/2017 rd och GrUU 1/2018 rd).  

Behandling av personuppgifter i 1—6 punkten om syftet med behandlingen inom tillämpningsområdet enligt 1 § 1 mom. i den föreslagna lagen är förenlig med ändamålet inom varje punkt. Med andra ord är användning av uppgifter som samlats in med stöd av respektive punkt för det ändamål som anges i den punkten förenlig med det ursprungliga användningsändamålet. Behandling av uppgifter för ändamål i andra punkter ska inte anses vara förenlig med det ursprungliga ändamålet. Därmed krävs det särskilda bestämmelser om behandling av personuppgifter mellan punkterna inom tillämpningsområdet i 1 §.  

Med beaktande av att tillämpningsområdet för den föreslagna lagen innebär en utvidgning i förhållande till nuläget enligt lagen om utlänningsregistret bör det bli möjligt att behandla personuppgifter för andra ändamål än det ursprungliga i de situationer där den gällande lagen om utlänningsregistret, mottagandelagen, förvarslagen och integrationslagen föreskriver om informationsutbyte mellan myndigheter. I detta avseende kan ändringarna i princip på det sättet anses vara tekniska att det inte till denna del är meningen att ändra det rådande rättsläget. En förändring i förhållande till nuläget är ändå den ändrade tröskeln för behandling, dvs. att behandling av uppgifter för andra ändamål än det ursprungliga ska vara möjlig med stöd av behövlighetskriteriet i de syften som anges specifikt i paragrafen och då få utföras av angivna personuppgiftsansvariga. I den gällande lagstiftningen har man främst tillämpat nödvändighetskriteriet som en förutsättning för utlämnande av information på grund av utlämnande av personuppgifter. I integrationslagen har å sin sida kravet på behövlighet gällt för rätten att få uppgifter, men utan någon närmare specificering. Enligt grundlagsutskottets etablerade praxis när det gäller utlämnande av information ska lagstiftningen innehålla ett krav på att informationen är nödvändig för ett visst syfte när lagen inte ger en uttömmande förteckning över innehållet i uppgifterna (se t.ex. GrUU 15/2018 rd, s. 39). Detta synsätt har tillämpats i den föreslagna paragrafen. 

Den föreslagna 1 mom. 1 punkten innebär att uppgifter som samlats in inom ramen för lagens tillämpningsområde kan behandlas för andra ändamål än det ursprungliga, om uppgifterna behövs för utredning av någons identitet.  

I den föreslagna 1 mom. 2 punkten finns bestämmelser om användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket behöver uppgifter som samlats in med stöd av 1 § 1 mom. 1 punkten för att sköta uppgifter enligt 2 punkten i det momentet. Uppgifter om inresa behövs för bedömning av huruvida förutsättningarna för förvärv av medborgarskap föreligger. Exempelvis när det inte finns tillförlitliga dokument kan man när man utreder identiteten ta hänsyn till alla de uppgifter som personen tidigare lämnat om sin eller sitt barns identitet. Dessa uppgifter kan bygga på tidigare insamlade dokument som gäller personens ankomst till och vistelse i landet (RP 235/2002 rd). De uppgifter som samlats in med stöd av 1 § 1 mom. 1 punkten kan också behöva användas för att bestämma medborgarskapsstatus på det sätt som avses i 36 § i medborgarskapslagen. 

I den föreslagna 1 mom. 3 punkten finns bestämmelser om användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket, polisen, Gränsbevakningsväsendet eller utrikesförvaltningen behöver uppgifter som samlats in med stöd av 1 § 1 mom. 2 punkten för att sköta uppgifter enligt 1 punkten i det momentet. Uppgift om bestämmande av medborgarskapsstatus kan behövas i ett ärende som gäller inresa, särskilt i ärenden som gäller internationellt skydd eller visering. Samtidigt kan uppgift om ett pågående medborgarskapsärende vara relevant för en myndighet exempelvis i ett ärende som gäller avlägsnande ur landet och uppgift om beviljat medborgarskap vara relevant exempelvis i situationer där personen också har inlett ett ärende om uppehållstillstånd. 

I den föreslagna 1 mom. 4 punkten föreslås bestämmelser om användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket, polisen, Gränsbevakningsväsendet eller närings-, trafik- och miljöcentralen behöver de uppgifter som samlats in med stöd av 1 § 1 mom. 3 punkten för att sköta uppgifter som gäller personer som söker internationellt skydd, personer som får tillfälligt skydd eller offer för människohandel eller för utlänningars vistelse i Finland. Punkten avser situationer där sådana uppgifter som lämnats ut med stöd av 52 § i den gällande mottagandelagen i fortsättningen behandlas för andra ändamål än det ursprungliga. Den gäller också behandling av uppgifter som lämnas ut till Migrationsverket med stöd av 58 § 1 mom. i den lagen. Uppgifter om mottagandet, exempelvis om inkvartering, behövs till exempel för processerna som gäller uppehållstillstånd och avlägsnande ur landet, och därför ska behandling vara möjlig också för att sköta uppgifter som gäller utlänningars vistelse i Finland eller inresa. Det kan exempelvis röra sig om situationer som gäller en familjemedlems inresa i landet. I lägen där någon ska avlägsnas ur landet behövs uppgifterna om inkvartering för att utreda om personen i fråga, till exempel familjemedlemmen till någon som föreslås bli avlägsnad ur landet, fortfarande befinner sig i Finland. I ärenden som gäller familjeåterförening kan de uppgifterna behövas när man utreder om makar bor ihop på förläggningen eller i enskild inkvartering. Information av detta slag behövs oftast när den sökande befinner sig i Finland, men den kan också behövas i lägen där den sökande befinner sig i något annat land. Eftersom de möjliga ändamålen med behandlingen specifikt anges kommer behandlingen med avvikelse från det rådande rättsläget att ske med stöd av behövlighetskriteriet. Punkten kommer att vara delvis överlappande med den rätt att få uppgifter som ingår i 105 a § 1 mom. i utlänningslagen, men bestämmelserna står inte i strid med varandra.  

Enligt 1 mom. 5 punkten får uppgifter användas för andra ändamål än det ursprungliga när Migrationsverket, en förläggning eller en flyktingsluss behöver de uppgifter som samlats in med stöd av 1 § 1 mom. 1 punkten för att sköta uppgifter enligt 3 punkten i det momentet. Punkten avser situationer där sådana uppgifter som lämnats ut med stöd av 53 § i den gällande mottagandelagen i fortsättningen behandlas för andra ändamål än det ursprungliga. De myndigheter som samlar in uppgifter med stöd av 1 § 1 mom. 1 punkten är Migrationsverket, polisen och Gränsbevakningsväsendet. Med avvikelse från de gällande bestämmelserna kommer närings-, trafik- och miljöcentralerna enligt den föreslagna nya indelningen av tillämpningsområdet inte att samla in personuppgifter med stöd av 1 § 1 mom. 1 punkten, utan med stöd av 1 § 1 mom. 5 punkten. De situationer där Migrationsverket, en förläggning eller en flyktingsluss behöver information av närings-, trafik- och miljöcentralen hänger i praktiken samman med anvisande till kommuner, och därmed rör det sig om behandling av personuppgifter för det ursprungliga ändamålet eller behandling som är förenlig med det ändamålet.  

I 1 mom. 6 punkten föreslås bestämmelser om användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket, en förläggning eller en flyktingsluss, polisen eller Gränsbevakningsväsendet behöver de uppgifter som samlats in med stöd av 1 § 1 mom. 4 punkten för att sköta uppgifter som gäller utlänningars vistelse i Finland eller avlägsnande ur landet, mottagande av personer som söker internationellt skydd eller får tillfälligt skydd eller hjälp till offer för människohandel. Det rör sig om den rätt att få och lämna ut uppgifter som nu ingår i 32 f § i den gällande förvarslagen. Avsikten är inte att ändra det rådande rättsläget i andra avseenden än i fråga om tröskeln för behandling.  

Den föreslagna 1 mom. 7 punkten gäller användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket eller en förvarsenhet behöver uppgifter som samlats in med stöd av 1 § 1 mom. 1—3 punkten för att sköta uppgifter enligt 4 punkten i det momentet. Det rör sig om behandling av sådana uppgifter som lämnas ut med stöd av 32 g § i den gällande förvarslagen. Avsikten är inte att ändra det rådande rättsläget i andra avseenden än i fråga om tröskeln för behandling.  

I den föreslagna 1 mom. 8 punkten finns bestämmelser om användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket behöver uppgifter som samlats in med stöd av 1 § 1 mom. 5 punkten för att sköta uppgifter som gäller invandring. Det rör sig om bestämmelserna om utlämnande av uppgifter i 61 § i den gällande integrationslagen.  

Enligt 1 mom. 9 punkten får uppgifter användas för andra ändamål än det ursprungliga när närings-, trafik- och miljöcentralen behöver uppgifter som samlats in med stöd av 1 § 1 mom. 1—3 punkten för att sköta uppgifter enligt 5 punkten i det momentet. Det rör sig om bestämmelser i enlighet med 87 § i den gällande integrationslagen. Avsikten är inte att ändra det rådande rättsläget i andra avseenden än i fråga om tröskeln för behandling.  

Det är inte nödvändigt att föreskriva om behandlingen av personuppgifter för andra ändamål än det ursprungliga för att trygga den nationella säkerheten, eftersom personuppgifter enligt 1 § får behandlas för alla ändamål som överensstämmer med 1 § 1—5 punkten för att trygga nationell säkerhet. 

Enligt det föreslagna 2 mom. får uppgifter som hör till särskilda kategorier av personuppgifter trots sekretessbestämmelserna behandlas för andra ändamål än det ursprungliga i de fall som avses i 1 mom. 1—9 punkten endast om det är nödvändigt för att myndigheten i fråga ska kunna utföra sina lagstadgade uppgifter. Nödvändighetskravet understryker att behovet att skydda personuppgifter är högre i fråga om de särskilda kategorierna av personuppgifter. När det gäller omfattande register med biometriska kännetecken finns det enligt grundlagsutskottet orsak att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för. I de fallen kan bara exakt avgränsade och mycket små undantag göras från ändamålsbegränsningen. Bestämmelserna får inte leda till att någon annan verksamhet än den som är förknippad med det ursprungliga användningsändamålet blir det huvudsakliga ändamålet och inte ens ett betydande användningsändamål (GrUU 14/2009 rd, s. 4, GrUU 14/2017 rd och GrUU 1/2018 rd). Enligt 3 mom. gäller det som föreskrivs i paragrafen inte fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort eller av den som ansöker om främlingspass eller resedokument för flykting, om inte annat föreskrivs någon annanstans i lag. Särskilda bestämmelser om hanteringen av fingeravtryck finns i de föreslagna 9 och 10 §. 

13 §. Rätt att få uppgifter. Avsikten med paragrafen är att införa en rätt att få uppgifter av myndigheter och andra aktörer som behandlar personuppgifter för andra ändamål än de som avses i 1 §. Det är uttryckligen ändamålet med behandlingen som är relevant, inte vem som lämnar ut uppgifterna. Det kan exempelvis röra sig om behandling av personuppgifter inom en förundersökning, vilket inte omfattas tillämpningsområdet för migrationsförvaltningens personuppgiftslag, trots att polisen är en av de personuppgiftsansvariga enligt lagen. Med andra ord ska paragrafen tillämpas exempelvis när Migrationsverket begär förundersökningsinformation av polisen. Paragrafen ger Migrationsverket, förläggningarna, flyktingslussarna, förvarsenheterna, närings-, trafik- och miljöcentralerna, arbets- och näringsbyråerna och utrikesförvaltningen rätt att få information. Den föreslagna bestämmelsen ger dessa rätten att trots sekretessplikt utan avgift få personuppgifter. Utlämnande av sekretessbelagda uppgifter kräver inte samtycke av den vars intressen den föreskrivna sekretessplikten skyddar. Migrationsverkets, förläggningarnas, flyktingslussarnas, förvarsenheternas, närings-, trafik- och miljöcentralernas, arbets- och näringsbyråernas och utrikesförvaltningens rätt att få uppgifter bygger på den lagstiftning som ger dem behörighet. Rätten att få uppgifter ska utöver personuppgifter gälla uppgifter om juridiska personer. Rätten att få uppgifter ska också kunna gälla uppgifter från utlandet, exempelvis sådana som lämnas med stöd av internationella avtal. Rätten att få uppgifter avses gälla de myndigheter och andra som avses i 4 § i offentlighetslagen. 

Grundlagsutskottet har redan i sin tidigare utlåtandepraxis tagit upp frågan om risken med behandlingen av personuppgifter som är kopplade till skyddet av personens privatliv, såsom informationssäkerheten i fråga om insamlade uppgifter och missbruk av uppgifterna, som kan utgöra ett hot mot en persons identitet (GrUU 14/2009 rd, s. 3). Också när det gäller dataskyddsförordningen har ett riskbaserat synsätt tillämpats. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (GrUU 14/2018 rd, s. 5—6, och GrUU 15/2018 rd, s. 36—37). Enligt grundlagsutskottets etablerade ståndpunkt ska lagstiftningen innehålla ett krav på att informationen är nödvändig för ett visst syfte när lagen inte ger en uttömmande förteckning över innehållet i uppgifterna. Samtidigt har utskottet ansett att grundlagen inte tillåter en mycket vag och ospecificerad rätt att få uppgifter, inte ens om den är knuten till nödvändighetskriteriet (se t.ex. GrUU 15/2018 rd, s. 41, GrUU 17/2016 rd, s. 5—6, GrUU 71/2014 rd, s. 3, GrUU 62/2010 rd, s. 4/I, och GrUU 59/2010 rd, s. 4/I). Grundlagsutskottet har understrukit att det vid en särskiljning mellan behövlighet respektive nödvändighet att få eller lämna ut uppgifter är fråga inte bara om omfattningen av innehållet i uppgifterna, utan också om vid rätten till information, som går före sekretessbestämmelserna, åsidosätter den myndighet som är berättigad till informationen i och med sina egna behov de grunder och intressen som är skyddade med hjälp av den sekretess som gäller myndigheten som innehar informationen. Ju mer generella bestämmelserna om rätt till information är, desto större är risken att sådana intressen kan åsidosättas per automatik. Ju fullständigare bestämmelserna kopplar rätten till information till villkor i sak, desto mer sannolikt är det att en begäran om information måste motiveras. Då kan också den som lämnar ut informationen bedöma en begäran med avseende på de lagliga villkoren för att lämna ut den. Genom att verkligen vägra lämna ut informationen kan den som innehar den få till stånd ett läge, där en utomstående myndighet måste undersöka skyldigheten att lämna ut information, det vill säga tolka bestämmelserna. Denna möjlighet är viktig då det gäller att anpassa tillgången till information och sekretessintressena till varandra (GrUU 15/2018 rd, s. 39).  

Rätten att få uppgifter ska vara knuten delvis till kravet på nödvändighet och delvis till kravet på behövlighet. De olika bestämmelserna kommer att skilja sig från varandra i fråga om hur detaljerade och exakt avgränsade de är på det sätt som grundlagsutskottet kräver. När rätten till uppgifter är knuten till nödvändighet ska den preciseras ytterligare genom att knyta den till de användningsändamål som anges i 1 §. I sådana fall kommer datainnehållet inte att preciseras i lagförslaget. När rätten att få uppgifter är knuten till behövlighetskravet ska både användningsändamål och även datainnehåll preciseras. Dessutom ska de myndigheter och andra aktörer som det går att få uppgifter av anges noggrannare. 

Nödvändig information 

Migrationsverket, förläggningarna, flyktingslussarna, förvarsenheterna, närings-, trafik- och miljöcentralerna, arbets- och näringsbyråerna och utrikesförvaltningen handlägger en mångfald av ärenden, och därför är det inte ändamålsenligt att reglera deras rätt att få uppgifter på ett sätt där man ger en uttömmande förteckning på alla de myndigheter och personuppgifter som omfattas av rätten att få uppgifter. Därför avgränsas rätten att få uppgifter i det föreslagna 1 mom. på det sätt som grundlagsutskottet förutsätter till nödvändiga uppgifter. Dessutom ska bestämmelserna preciseras på så sätt att närings-, trafik- och miljöcentralernas, arbets- och näringsbyråernas och utrikesförvaltningens rätt att få uppgifter begränsas till de behandlingsändamål som avses i 1 § 1 mom. 1 punkten i migrationsförvaltningens personuppgiftslag. Rätten att få uppgifter kopplas i den föreslagna lagen till den behörighetsgivande lagstiftningen, som specifikt anger behovet av information, myndighetens uppgifter och gränserna för behörigheten. På det sättet blir regleringen exakt och noga avgränsad. Ett sådant sätt att reglera bringar över lag klarhet i fråga om rätten att få uppgifter inom migrationsförvaltningen.  

Sådan information som är av avgörande betydelse för att Migrationsverket, förläggningarna, flyktingslussarna, förvarsenheterna, närings-, trafik- och miljöcentralerna samt arbets- och näringsbyråerna eller utrikesförvaltningen ska kunna utföra sina lagstadgade uppgifter är nödvändig, och sådan information kan exempelvis leda till att uppehållstillstånd inte beviljas. Informationen ska anses vara nödvändig om ett avgörande inte kan träffas utan den. Information ska anses vara nödvändig även då det är möjligt att fatta ett felaktigt beslut om informationen fattas. Ett sätt att reglera som är knutet till nödvändighet bygger på att den som lämnar ut den bedömt att tröskeln för nödvändighet överskrids. På begäran ska det motiveras varför uppgifterna är nödvändiga att få. 

Migrationsverket, förläggningarna, flyktingslussarna och förvarsenheterna ska ha rätt att få sådana uppgifter om fysiska eller juridiska personer som är nödvändiga för behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse, för behandling av och beslut i ärenden som gäller förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap samt bestämmande av medborgarskapsstatus, för mottagande av personer som söker internationellt skydd eller får tillfälligt skydd samt hjälp till offer för människohandel och verksamhet i anslutning till företrädande av barn utan vårdnadshavare inom mottagningsverksamheten samt styrning, planering och uppföljning av dessa, för placering av en utlänning i en förvarsenhet, bemötande av en utlänning i en förvarsenhet samt upprätthållandet av ordningen och säkerheten vid en förvarsenhet och för anvisande till kommuner. Dessutom ska närings-, trafik- och miljöcentralerna samt arbets- och näringsbyråerna ha rätt att få t.ex. sådana uppgifter om fysiska eller juridiska personer som är nödvändiga för att fatta ett delbeslut i fråga om en ansökan om uppehållstillstånd för företagare eller arbetstagare. Utrikesförvaltningen föreslås få rätt att få uppgifter som är nödvändiga för behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse. Rätten att få uppgifter ska på det sätt som anges ovan begränsas till uppgifter som är nödvändiga för att Migrationsverket, förläggningarna, flyktingslussarna, förvarsenheterna, närings-, trafik- och miljöcentralerna, arbets- och näringsbyråerna och utrikesförvaltningen ska kunna utföra sina lagstadgade uppgifter. För att lagstiftningen ska vara tydlig räknas de nämnda ändamålen inte upp i paragrafen. I stället ska den hänvisa till de syften som anges i 1 §. Bestämmelsen avses inte gälla Polisstyrelsens, skyddspolisens eller Gränsbevakningsväsendets rätt att få uppgifter av dem som behandlar personuppgifter för andra ändamål än de som avses i 1 § i den föreslagna lagen. Med tanke på helheten är det motiverat att föreskriva också om dessa personuppgiftsansvarigas rätt att få uppgifter, men efter de lagändringar som trädde i kraft vid ingången av 2017 (501—504/2016) har de inte längre några behov av att få uppgifter på migrationsförvaltningens område av andra än de personuppgiftsansvariga enligt den föreslagna lagen, dvs. de som behandlar personuppgifter för de syften som avses i 1 §. I dessa fall överförs uppgifterna på beskrivet sätt mellan de olika personuppgiftsansvariga med stöd av de föreslagna 11 och 12 §.  

Exempelvis kommer Migrationsverket därmed att ha rätt att få nödvändiga uppgifter ur Rättsregistercentralens bötesregister. Registret innehåller personuppgifter om den person som är föremål för påföljden och uppgift om påföljdens art och belopp, de verkställighetsåtgärder som vidtagits och tidpunkten för dem, de influtna beloppen och hinder för verkställigheten. Uppgifterna i bötesregistret är nödvändiga för Migrationsverkets lagstadgade uppgifter, exempelvis för att utreda om oförvitlighetsvillkoret för naturalisation är uppfyllt, behandla ansökningar om internationellt skydd, utreda om flyktingstatus och status som alternativt skyddsbehövande ska upphöra eller återkallas, utreda utvisningsgrunderna i fråga om en utlänning, utreda skyldigheterna för en säsongsarbetares arbetsgivare och eventuella försummelser från arbetsgivarens sida och utreda om en utlänning utgör ett hot mot allmän ordning och säkerhet. Ändamålet med behandlingen anges i medborgarskapslagen, utlänningslagen och lagen om säsongsanställning.  

Migrationsverket ska exempelvis också ha rätt att av skattemyndigheterna få nödvändiga uppgifter för att utreda om förutsättningar föreligger för förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap och för att bestämma medborgarskapsstatus, för att utreda förutsättningarna för en utlännings uppehållstillstånd, om förutsättningar föreligger för beviljande eller återkallande av uppehållskort eller registrering av uppehållsrätt, för att kontrollera och övervaka om arbetsgivaren fullgjort sina förpliktelser, och nödvändiga uppgifter om den arbetsgivares, som utlänningen uppger, arbetsgivarprestationer och hur de deklarerats samt om betalningsarrangemang i fråga om skatter och om en arbetsgivares faktiska ekonomiska verksamhet. Nödvändiga uppgifter gäller inte undantagslöst den sökande själv, utan de kan också gälla den fysiska eller juridiska person vars verksamhet den sökande eller dennes familjemedlemmar uppger som källan till sin inkomst.  

Fullgöranderapport 

Med fullgöranderapport avses uppgifter om arbetsgivaren som Skatteförvaltningens enhet för utredning av grå ekonomi har samlat in från olika myndighetsregister och som myndigheten behöver för att utföra sina lagstadgade uppgifter. Bestämmelserna om den finns i lagen om Enheten för utredning av grå ekonomi (1207/2010). Enheten för utredning av grå ekonomi har som uppgift att producera och sprida information om grå ekonomi samt bekämpningen av den och på begäran utarbeta fullgöranderapporter om organisationer och organisationsanknutna personer som stöd för i lagen nämnda myndighetsuppgifter. Syftet med en fullgöranderapport är att ge en helhetsuppfattning, som i huvudsak baserar sig på sekretessbelagda uppgifter, om den organisation eller den organisationsanknuna person som är föremålet för utredningen, stöda uppgifterna av den myndighet som begärt om rapporten genom att underlätta och effektivera informationsanskaffningen i anslutning till uppgiften och stöda bekämpningen av grå ekonomi genom att öka den aktuella myndighetens vetskap om hur organisationen eller den organisationsanknutna personen har skött sina lagstadgade uppgifter. Informationsinnehållet i fullgöranderapporter består i huvudsak av information i myndighetsregister som fastställts som sekretessbelagd. Informationsinnehållet i fullgöranderapporten fastställs enligt 7 § 1 mom. i lagen om Enheten för utredning av grå ekonomi enligt rätten av den myndighet som begär rapporten att få sekretessbelagd information för ändamålet i fråga. Fullgöranderapporten upprättas på basis av den behörighet och rätt att få uppgifter som var och en myndighet har på basis av annan lag. Lagen om Enheten för utredning av grå ekonomi skapar inte behörighet, och verken den eller fullgöranderapporten utvidgar den myndighets rätt att få uppgifter som begärt rapporten. Fullgöranderapporten är ett sätt att i koncentrerad form få sådan information som en viss myndighet inom ramen för sin egen lagstiftning har rätt att få. 

Migrationsverkets, TE-byråernas och NTM-centralernas behörighet att behandla uppgifter från olika myndigheter, som sammanställs i fullgöranderapporten, baserar sig på bestämmelserna i utlänningslagen, medborgarskapslagen, lagen om säsongsanställning, ICT-lagen och forskar- och studerandelagen. Fullgöranderapporten utarbetas som stöd för handläggning, beslutsfattande och tillsynsuppgifter i ärenden som gäller utlänningars inresa och utresa samt vistelse och arbete enligt nämnda lagar. Migrationsverkets, TE-byråernas och NTM-centralernas rätt att få information för en fullgöranderapport av myndigheter eller någon som sköter ett offentligt uppdrag avses basera sig på denna bestämmelse. På basis av bestämmelsen om rätten att få uppgifter kan uppgifterna begäras separat av var och en myndighet eller på ett sammanställt sätt i form av en fullgöranderapport. 

Tryggad försörjning är en del av prövningen av en ansökan om uppehållstillstånd enligt 39, 47 h, 73, 76 och 77, 114 och 115 § i utlänningslagen samt beslutsprövning gällande registrering av uppehållsrätt eller beviljande av upphållskort enligt 158 a § i utlänningslagen. Utredningen av källan till försörjningen är å sin sida en del av prövningen av beslut om naturalisation enligt 13 § i medborgarskapslagen. Ifall utlänningens arbetsgivare eller en utländsk företagare har försummelser av offentliga förpliktelser, kan detta vara ett bevis på att utlänningens försörjning inte är tryggad med de inkomster som fås från den angivna anställningen eller från företagsverksamheten. Upphållstillståndsprövningen av såväl en anställd enligt 73 § i utlänningslagen som av en företagare enligt 76 § i utlänningslagen består av två delar. Först bedömer TE-byrån de arbetskraftspolitiska förutsättningarna för beviljandet av tillstånd och NTM-centralen förutsättningarna för lönsam företagsverksamhet. TE-byrån och NTM-centralen bedömer i samband med delbeslutet även huruvida förutsättningarna för utlänningens försörjning uppfylls. Försörjningen för en anställd ska vara tryggad med de inkomster som fås från förvärvsarbete under uppehållstillståndets hela giltighet och försörjningen av en utländsk företagare ska vara tryggad genom förvärvsarbete, företagsverksamhet eller på annat sätt under uppehållstillståndets hela giltighet. I det andra skedet bedömer Migrationsverket de allmänna förutsättningarna för beviljandet av ett uppehållstillstånd, och i det här skedet kan verket med stöd av 36 i utlänningslagen låta bli att bevilja ett uppehållstillstånd trots ett positivt delbeslut, dvs. i praktiken för att bestämmelserna om inresa har kringgåtts. Migrationsverket ansvarar för bedömningen av förutsättningarna för försörjning och källan till försörjning enligt medborgarskapslagen och andra bestämmelser i utlänningslagen. För att kunna bedöma om tryggad försörjning, som är förutsättningen för en utlännings inresa, uppfylls med den lön som arbetsgivaren betalar eller med inkomsterna från företagsverksamheten eller om förutsättningen för en pålitlig försörjningskälla, som är förutsättningen för naturalisation, uppfylls, har TE-byrån, NTM-centralen och Migrationsverket rätt att utreda att arbetsgivaren eller den utländska företagaren har tagit hand om sina förpliktelser och att den inte har störningar i sina kreditupplysningar. Vid bedömningen av lönen ska man uppmärksamma inte bara dess storlek utan även arbetsgivarens verkliga förmåga att betala den angivna lönen och klara av de andra skyldigheter som ansluter sig till lönebetalningen. Det samma gäller företagsverksamhet. För att kunna bedöma tryggad försörjning måste TE-byrån, NTM-centralen och Migrationsverket kunna kontrollera uppgifter om beskattningen, pensionsförsäkringen, olycksfallsförsäkringen och arbetslöshetsförsäkringen av utlänningen, hans eller hennes arbetsgivare eller företag, de avgifter som Tullen tar ut samt uppgifter som utsökning. 

Förmågan att uppfylla förpliktelserna som arbetsgivare enligt 72 § 1 mom. 3 punkten i utlänningslagen är en förutsättning för beviljande av ett uppehållstillstånd för den anställda, som TE-byrån bedömer i sin prövning inför delbeslutet. Det att arbetsgivaren, dess organisationsanknutna person eller annan organisation har försummelser av registrerings-, försäkrings-, anmälnings- och betalningsskyldigheter i anslutning till skatter, lagstadgade pensions-, olycksfalls- eller arbetslöshetsförsäkringsavgifter eller avgifter som tas ut av Tullen kan vara ett tecken på oförmåga att ta hand om sina förpliktelser som arbetsgivare, om tillståndsmyndigheten av särskild anledning inte betraktar arbetsgivaren som kapabel att ta hand om sina förpliktelser trots enstaka försummelser. Enligt 73 § 1 mom. 4 punkten i utlänningslagen ska det säkerställas att de utredningar, den information och den försäkran arbetsgivaren fogat till ansökan stämmer överens med bestämmelserna i 72 §. Även en utländsk företagares förmåga att klara av sina motsvarande förpliktelser utreds som en del av prövningen av ett uppehållstillstånd för en företagare enligt 76 § i utlänningslagen. I prövningen utreds utöver förutsättningen för försörjning även företagsverksamhetens lönsamhet. Företagsverksamhet har inte ansetts vara lönsam, om inte företaget har visat att det kan ta hand om sina förpliktelser, till exempel på lagen baserade skatter eller lönebikostnader. 

Enligt 58 § 5 mom. i utlänningslagen får ett tidsbegränsat uppehållstillstånd återkallas, om de villkor på grundval av vilka uppehållstillståndet beviljades inte längre uppfylls. Ett tidsbegränsat eller permanent uppehållstillstånd kan återkallas med stöd av 58 § 4 mom. i utlänningslagen, om vid ansökan om uppehållstillstånd medvetet har lämnats oriktiga upplysningar om sökandens identitet eller andra oriktiga upplysningar som har påverkat beslutet, eller om något som hade kunnat hindra beviljandet av uppehållstillstånd har hemlighållits. På samma sätt återkallas registrering av uppehållsrätten och ett tidsbegränsat uppehållskort enligt 165 § i utlänningslagen, om de förutsättningar utifrån vilka uppehållsrätten har registrerats eller det tidsbegränsade uppehållskortet har utfärdats inte längre finns eller om uppehållsrätten eller uppehållskortet har förvärvats på så sätt att det medvetet har lämnats oriktiga uppgifter om sökandens identitet eller andra oriktiga uppgifter som har påverkat beslutet eller att sådana uppgifter hemlighållits eller att rättigheter annars missbrukats. I 212 § 1 mom. i utlänningslagen ställs det för Migrationsverket en skyldighet att utöva tillsyn över iakttagandet av bestämmelserna i utlänningslagen. En utlännings gällande tillstånd kan återkallas, om det av fullgöranderapporten eller av tillsyns- eller kontrolluppgifter som erhållits på annat sätt framgår att arbetsgivaren inte har iakttagit de villkor för anställningen som den angett eller försummat sina arbetsgivarförpliktelser enligt lagen eller kollektivavtal eller att en utlännings företag inte längre uppfyller förutsättningar för lönsam verksamhet. Den information som fås genom fullgöranderapporten ska även kunna användas vid bedömningen av behovet att rikta arbetsskydds- eller utlänningskontroll till arbetsgivare som sysselsätter utlänningar. 

Ansökan om tillstånd för säsongarbete får enligt 7 § i lagen om villkor för tredjelandsmedborgares inresa och vistelse för säsongsanställning förvägras eller enligt 14 § återkallas bland annat om arbetsgivaren inte har uppfyllt sina skyldigheter enligt lag eller kollektivavtal när det gäller social trygghet, beskattning, arbetstagares rättigheter, arbetsförhållanden eller anställningsvillkor eller om företaget har sökts i konkurs eller om företaget inte bedriver någon ekonomisk verksamhet. Enligt 8 § i samma lag ska arbetsgivaren lämna en försäkra om att anställningsvillkoren överensstämmer med gällande bestämmelser och kollektivavtal.  

Migrationsverket kan med stöd av 20 § i nämnda lag besluta att tillstånd för säsongsarbete inte beviljas för anställning hos en arbetsgivare som allvarligt försummar sina skyldigheter enligt lagen om säsongarbete eller utlänningslagen. Tillämpandet av bestämmelsen förutsätter att iakttagandet av de i utlänningslagen föreskriva förpliktelserna kan kontrolleras av Migrationsverket, även om delbeslutet om iakttagandet av arbetsgivarförpliktelser som avses i 73 § i utlänningslagen hade fattats av TE-byrån på basis av en utredning som begärts av arbetsgivaren med stöd av 72 § 1 mom. 3 punkten i utlänningslagen.  

En ansökan om ett ICT-uppehållstillstånd som beviljas i samband med företagsinterna förflyttningar kan enligt grunderna i 8 § lagen om villkor för inresa och vistelse för tredjelandsmedborgare inom ramen för företagsintern förflyttning av personal avslås eller ett gällande tillstånd enligt 9 § återkallas eller inte längre förlängas bland annat om arbetsgivaren eller den mottagande enheten inte har uppfyllt sina rättsliga skyldigheter beträffande social trygghet, beskattning, arbetstagares rättigheter eller arbetsförhållanden. Därtill kan tillståndet avslås eller återkallas om företaget har sökts i konkurs eller inte bedriver någon ekonomisk verksamhet. Motsvarande bestämmelser ingår i grunderna för avslag på ansökan om mobilt ICT-uppehållstillstånd enligt lagens 25 §. 

Ett uppehållstillstånd enligt lagen om villkoren för tredjelandsmedborgares inresa och vistelse på grund av forskning, studier, praktik och volontärarbete kan enligt grunderna i 11 § avslås eller ett gällande tillstånd enligt 12 § återkallas eller inte förlängas bland annat om den mottagande enheten inte har uppfyllt sina rättsliga skyldigheter beträffande social trygghet, beskattning, arbetstagares rättigheter eller arbetsförhållanden. Därtill kan tillståndet avslås, återkallas eller inte förlängas, om den mottagande enheten har sökts i konkurs eller inte bedriver någon ekonomisk verksamhet. 

I samband med en helhetsbedömning gällande avvisning och utvisning enligt 146 § eller 168 b § i utlänningslagen ska man inte bara bedöma ifrågavarande persons ekonomiska situation utan även eventuella band gällande företagsverksamhet eller arbete i Finland. 

Det är alltså meningen att använda fullgöranderapporten vid bedömningen av en arbetsgivares förmåga att klara av sina lagstadgade förpliktelser som utländsk arbetsgivare, när påföljder påförs för en utländsk arbetsgivare och vid bedömningen av huruvida en person kan ta hand om sin egen eller en familjemedlems försörjning i Finland. Fullgöranderapporten kunde även användas för att bedöma huruvida förutsättningarna för en utländsk företagares lönsamma företagsverksamhet eller försörjning uppfylls. En ansökan om uppehållstillstånd kan avslås om det finns skäl att tvivla arbetsgivarens förmåga eller villighet att betala den lön till utlänningen som angetts i ansökan eller arbetsgivarens förmåga att klara av andra arbetsgivarförpliktelser eller lönsamheten av en utländsk företagares företagsverksamhet eller försörjningens tillräcklighet. En ansökan om fortsatt tillstånd kan avslås eller ett gällande tillstånd återkallas, om arbetsgivaren eller den utländska företagaren har försummat sina lagstadgade förpliktelser. De uppgifter som framgår av fullgöranderapporten ska även kunna användas som motivering till ett beslut i vilket man avstår från att bevilja tillstånd för anställning hos en arbetsgivare som försummat att sina lagstadgade förpliktelser. Kontrollering av de uppgifter som sökanden gett med en fullgöranderapport är också nödvändigt i situationer i vilka sökanden meddelar att han eller hon med de inkomster som härstammar från lön, företagsverksamhet eller andra källor under vistelsen i Finland uppfyller försörjningsförutsättningarna när det gäller sökanden eller familjen. De uppgifter som fås genom en fullgöranderapport är också nödvändiga när tillsynen över användningen av utländsk arbetskraft effektiveras och när storleken av påföljderna till arbetsgivaren fastställs. Uppgifterna är nödvändiga för att verkställa den beslutsprövning och tillsyn som lagstiftningen som skapar behörighet inom migrationsförvaltningen förutsätter, eftersom ett beslut inte kan fattas eller tillsyn utövas utan dem, och om de fattas kan detta leda till ett felaktigt beslut.  

Migrationsverket, TE-byrån eller NTM-centralen ska ha rätt att av en myndighet eller någon annan som sköter ett offentligt uppdrag få nödvändiga uppgifter om sökanden av uppehållstillstånd, hans eller hennes företagsverksamhet och den arbetsgivare som sökanden angett samt en organisationsanknuten person som avses i lagen om Enheten för utredning av grå ekonomi eller en annan organisation om skötseln av registrerings-, anmälnings- och betalningsskyldigheter i anknytning till skatter, lagstadgade pensions-, olycksfalls- eller arbetslöshetsförsäkringsavgifter eller avgifter som tas ut av Tullen och om verksamheten och ekonomiska kopplingar. Det är till exempel nödvändigt att av utsökningsmyndigheten få uppgifter om en utlännings, dennes familjemedlems eller arbetsgivares inkomster, skulder, fordringar och utsökningsuppgifter, beslut samt de handlingar som besluten baserar sig på för att utreda arbetsgivarens soliditet, förutsättningarna för tryggad försörjning, förutsättningarna för en företagares uppehållstillstånd, för att genomföra den helhetsbedömning som utlämning förutsätter och för att utesluta en försummelse av underhållsskyldigheten. Enbart för att avgöra frågan om naturalisation är det nödvändigt för Migrationsverket att av utsökningsmyndigheter få uppgifter om offentligrättsliga avgifter, underhållsbidrag och underhållsstöd som drivs in samt betalningen av dessa, den resterande skulden och betalningsplanen. Dessa uppgifter är nödvändiga när man till exempel bedömer uppfyllandet av de allmänna förutsättningarna för beviljandet av medborgarskap, arbetsgivarens verkliga förmåga att betala den angivna lönen och klara av andra skyldigheter som ansluter sig till betalningen av lön, förutsättningarna för företagets lönsamma verksamhet samt vid effektiveringen av tillsynen över användningen av utländsk arbetskraft.  

Enligt 31 § i förvaltningslagen ska en myndighet se till att ett ärende utreds tillräckligt och på behörigt sätt. Myndigheten ska i detta syfte skaffa den information och den utredning som behövs för att ärendet ska kunna avgöras. Enligt förarbetet till förvaltningslagen (RP 72/2002 rd) förstärker man genom bestämmelsen om utredningsskyldighet principen enligt vilken den materiella ledningen av förfarandet och det huvudsakliga ansvaret för att ärendet utreds åvilar myndigheten. Det är fråga om den inom förvaltningsrätten vedertagna officialprincipen. Syftet med förslaget är att framhäva nödvändigheten av att iaktta officialprincipen och strävan att nå materiell sanning genom att ålägga myndigheterna att se till att ärendena utreds tillräckligt och på behörigt sätt. Med tillräcklig utredning avses att myndigheten skaffar sådan utredning som den anser vara av betydelse för att ärendet ska kunna avgöras. Genom att det anges att utredningen ska ske på behörigt sätt framhävs myndighetens ansvar för ledningen av förfarandet, och kravet på omsorgsfullhet vid anskaffning av utredning.  

Nuförtiden får myndigheterna uppgifter om skötseln av skyldigheterna i anslutning till skatter och andra offentligrättsliga avgifter samt uppgifter om ekonomin genom att direkt be dem av sökanden eller av den arbetsgivare eller anknytningsperson som denna angett. Anskaffandet av myndighetsintyg ger dock upphov till besvär och kostnader för dessa. Därtill fördröjer begäran om ytterligare uppgifter behandlingen av ansökan, och myndigheterna använder i onödan arbetstid för att förbereda, sända och gå genom begäranden om ytterligare information, och det kan hända att den som behandlar ansökan inte nödvändigtvis kommer på att be alla de uppgifter som är av betydelse för behandlingen av ansökan. I vissa fall har den som ger ytterligare uppgifter möjlighet att påverka deras innehåll och riktighet. Pålitligheten av information som fås av andra myndigheter och flexibiliteten av behandlingen talar för framhävandet av myndighetens utredningsskyldighet genom att göra det möjligt att få uppgifter. Samtidigt minskar sökandens, arbetsgivarens eller anknytningspersonens administrativa börda.  

Uppgifter om den ekonomiska situationen och skötseln av offentliga skyldigheter direkt av myndigheter kommer att förbättra tillståndsprövningens kvalitet jämfört med nuläget, eftersom tillståndsprövningen nu huvudsakligen baserar sig på utredningar som sökanden lämnat. I många situationer räcker till exempel bokslutsinformationen inte till för att bedöma den ekonomiska ställningen. Inom tillståndsprövningen förekommer till exempel situationer där den ekonomiska ställningen bedömd på basis av bokslutsuppgifterna är så svag att förutsättningarna för beviljandet av tillståndet inte uppfylls, men det finns dock inte några egentliga grunder att avslå tillståndet. I dessa situationer är erhållandet av en noggrannare och mer omfattande utredning om sökandens helhetssituation nödvändigt för att man ska kunna fatta ett korrekt tillståndsbeslut. För att kunna fatta beslut med rätt innehåll är det nödvändigt att få aktuell information som motsvarar situationen vid den tidpunkt då beslutet fattas. 

För närvarandet är det en utmanande uppgift att övervaka tillstånden i efterhand, till exempel återkalla uppehållstillstånd. Den information som myndigheten kan få baserar sig i huvudsak på information som erhållits av tillståndshavaren eller dennes arbetsgivare. I praktiken får myndigheten till exempel inte veta om utlänningens anställningsförhållande har avslutats, om inte arbetsgivaren meddelar detta på eget initiativ, vilket sker mycket sällan. Vanligen får myndigheterna veta om missbruk genom en arbetstagare eller en utomstående part. För närvarande koncentreras efterkontroller därför till det skede då någon ansöker om fortsatt tillstånd. Med stöd av 212 § i utlänningslagen kan Migrationsverket dock vid behov även genomföra efterkontroll på eget initiativ, vilket förutsätter centraliserad och effektiv tillgång till information om ovannämnd missbruk. 

Nödvändiga uppgifter 

Rätten att få uppgifter ska med avvikelse från nuläget knytas till behövlighetskravet till den del uppgifterna inte är nödvändiga för utförande av lagstadgade uppgifter. Som nödvändiga uppgifter anses information som hjälper Migrationsverket, förläggningar, flyktingslussar eller förvarsenheter att utföra sina lagstadgade uppgifter. En uppgift som behövs kan således utgöra en viktig del av den samlade bedömningen, men avgörandet kan inte bygga enbart på den. Det innebär till exempel att Migrationsverket ska ha rätt att ur exempelvis Rättsregistercentralens bötesregister, när det gäller uppgifter om andra personer än sådana som ansöker om uppehållstillstånd, få personuppgifter och uppgifter om avgöranden, verkställighetsärenden, förvandlingsstraff och händelser när uppgifterna behövs för avgörande av vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd. Om rätten att få uppgifter är knuten till behövlighetskravet har de avsedda datainnehållen räknats upp på ett uttömmande sätt i lagen i linje med grundlagsutskottet etablerade ståndpunkt (GrUU 17/2016 rd, s. 5—6). 

Lagen avses också innehålla bestämmelser om rätten att få behövliga uppgifter av socialmyndigheter, skatteförvaltningen, polisen och Brottspåföljdsmyndigheten och ur Rättsregistercentralens bötesregister och justitieförvaltningens riksomfattande informationssystem när det gäller andra än dem som ansöker om uppehållstillstånd, när uppgifterna kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om en annan person för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd. Det handlar om de uppgifter som behövs för prövning enligt artikel 8.2 (underåriga asylsökande) och artikel 16.1 (personer i beroendeställning) i Dublinförordningen (EU-förordning nr 604/2013). Prövningen enligt förordningen ska bygga på om den person som ska ta hand om en underårig eller en person i beroendeställning är kapabel till detta. Kommissionen har inte närmare angett vad villkoren innebär. Genom kommissionens genomförandeförordning (EU) nr 118/2014 utfärdades dock standardformulär för att underlätta identifieringen av sådana personer (bilagorna VII och VIII). Med dessa formulär ska den anmodade medlemsstaten uppge om det finns preliminära bevis bland annat på personens förmåga och materiella beredskap att ta hand om en underårig eller en person i beroendeställning. Det rör sig då om uppgifter om en person som vistas i Finland och som också kan vara finsk medborgare. Förmågan och beredskapen ska bedömas bland annat utifrån uppgifter om brottslighet och om inkomster och förmögenhet. Migrationsverket behöver uppgifter av socialmyndigheter, skatteförvaltningen, polisen och Brottspåföljdsmyndigheten och ur Rättsregistercentralens bötesregister och justitieförvaltningens riksomfattande informationssystem för att pröva denna förmåga att ta hand om någon. Prövningen kan komma att ha betydelse i synnerhet med avseende på barnets bästa. Att ingripa i en persons integritetsskydd är därmed en proportionerlig åtgärd eftersom syftet är att skydda de mer utsatta, dvs. barn och personer i särskild beroendeställning till sina närstående. 

Ur Rättsregistercentralens bötesregister kommer Migrationsverket exempelvis att behöva uppgifter om eventuella straff och deras natur för att kunna utreda om den förmåga att ta hand om någon föreligger som Dublinförordningen kräver. Ett ovillkorligt fängelsestraff påverkar nämligen direkt en persons förmåga att ta hand om någon annan. Dessutom behövs det information av Brottspåföljdsmyndigheten om när personen blir frigiven och om villkoren för frigivningen, såsom övervakningen under villkorlig frigivning, som också är av betydelse för en persons förmåga att ta hand om någon annan.  

Migrationsverket ska till exempel ha rätt att av utrikesförvaltningen få uppgifter om legalisering av handlingar. Syftet med legalisering är att på en beskickning kontrollera den utfärdande myndighetens behörighet att utfärda handlingen i den främmande staten. En förteckning förs över de notariefunktioner som utförs på beskickningarna. Migrationsverket behöver uppgifter om ett nekande beslut om legalisering av en handling för att kunna bedöma tillförlitligheten av en utländsk handling. Uppgiften om varför en handling inte har legaliserats är nödvändig i synnerhet vid behandlingen av medborgarskapsärenden. 

Det behövs inte längre särskilda bestämmelser om rätten att få uppgifter genom teknisk anslutning eftersom grundlagsutskottet inte längre på sistone i sin utlåtandepraxis lyft fram denna fråga som ett viktigt regleringsobjekt när det gäller skyddet av personuppgifter (GrUU 14/2018 rd, GrUU 2/2018 rd och GrUU 31/2017 rd). Också i övrigt bör bestämmelser om de tekniska förutsättningarna för överföring av uppgifter utfärdas bara i fråga om den som lämnar ut uppgifterna, eftersom den själv ansvarar för uppgifter den innehar. Om sättet att lämna ut uppgifter med hjälp av ett tekniskt gränssnitt eller genom att öppna åtkomst till systemet föreskrivs i informationshanteringslagen.  

14 §. Utlämnande av personuppgifter. Enligt det föreslagna 1 mom. får, utöver vad som föreskrivs någon annanstans i lag eller i internationella avtal som är bindande för Finland, sådana uppgifter som samlats in och registrerats med stöd av 1 § trots sekretessbestämmelserna lämnas ut i sådan omfattning som den mottagande myndighetens eller aktörens föreskrivna rätt till information för skötseln av lagstadgade uppgifter medger. Paragrafen innebär att personuppgifter kan lämnas ut enbart med stöd av en rätt att få uppgifter som anges i nationell lagstiftning. Bestämmelser om utlämnande av personuppgifter till Europeiska unionens gemensamma informationssystem utfärdas särskilt. 

För närvarande gäller överlappande bestämmelser i fråga om utlämnande av personuppgifter. De ger upphov till en tung regleringsstruktur och skapar tolkningsproblem. Nu ska regleringen förenklas, och detta sker genom övergång till en regleringsmodell där utlämnandet ska vara knutet till en sådan rätt att få uppgifter som den mottagande myndigheten har till följd av sina lagstadgade uppgifter. Förslaget innebär att det ändamål som utlämnandet bygger på, datainnehållet och föremålet för utlämnandet ska knytas till sådan rätt att få uppgifter som den som begär informationen har enligt lagstiftningen. Utgångspunkten ska vara att rätten att få uppgifter ger mottagaren specificerad rätt att få uppgifterna. Det behövs dock fortfarande bestämmelser om utlämnande av uppgifter med tanke på de villkor som ställs för bestämmelser som bryter sekretessen i 29 § i offentlighetslagen. Eftersom rätten att få uppgifter avses vara utgångspunkten för att reglera hur informationen sprids är det möjligt att övergå till en mer generell regleringsmodell i fråga om utlämnande av uppgifter. Formuleringen är omarbetad i förhållande till 10 § i den gällande lagen om utlänningsregistret, men avsikten är inte att göra ändringar i mottagarnas rätt att få uppgifter. Bekräftelse på att de som enligt 10 § den gällande utlänningsregisterlagen har rätt att få uppgifter får tillräckliga rättigheter har under beredningen inhämtats genom att mottagarna i sina yttranden ombetts påpeka eventuella brister i rätten att få uppgifter. Den föreslagna formuleringen ger möjlighet att i fortsättningen lämna ut uppgifter också i sådana situationer där det faktum att upplysningar ges bygger på mottagarens rätt att få uppgifter, medan det inte finns särskilda bestämmelser om utlämnande av uppgifter i lagen om utlänningsregistret.  

De personuppgiftsansvariga ska självständigt med stöd av det ansvar de har bestämma om de lämnar ut uppgifter. Gemensamt ansvar för personuppgifterna ger inte rätt att lämna ut alla uppgifter inom lagens räckvidd, utan varje personuppgiftsansvarig kan dock lämna ut uppgifter bara till den del som den har befogenhet att behandla och som den ansvarar för i egenskap av personuppgiftsansvarig.  

Den som lämnar ut uppgifterna ska bedöma en begäran om att få uppgifter med avseende på de lagliga förutsättningarna för utlämnande. Den personuppgiftsansvariges ansvar inbegriper en skyldighet att avväga vilka uppgifter den lämnar ut i enlighet med den mottagande myndighetens rätt att få uppgifter. Den som begär uppgifter ska i syfte att se till att ändamålsbegränsningen följs i samband med sin begäran om information, uppgifter eller systemåtkomst motivera vad dess rätt att få upplysningarna bygger på samt uppge ändamålet med behandlingen av uppgifterna och vilka uppgifter den behöver. Den personuppgiftsansvarige ska utifrån begäran med beaktande av principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen bedöma datainnehållet i de personuppgifter som begärs bli utlämnade och i vilken form uppgifterna kan utlämnas. Den myndighet som lämnar ut uppgifterna ska i sin bedömning av förutsättningarna för ett utlämnande beakta bland annat behovet av uppgifter, dvs. för vilket ändamål uppgifterna begärs, huruvida de begärda uppgifterna specificerats tillräckligt exakt med avseende på användningsändamålet, om uppgifterna och den begärande myndigheten angetts tillräckligt exakt, huruvida uppgifterna finns att tillgå i någon annan informationskälla eller exempelvis hos den sökande själv och i så fall huruvida exempelvis kravet på uppgifternas tillförlitlighet (beslut som förpliktar en person fattas utifrån uppgifterna) talar för att uppgifterna ska lämnas ut uttryckligen av den myndigheten och om det råder en tillräcklig balans mellan risk och intresse, i synnerhet om det är fråga om åtkomst till ett informationssystem. Bedömningen behöver inte vara strikt fallspecifik i ett läge där uppgifter lämnas ut regelbundet till en viss myndighet för ett visst ändamål. 

Avsikten är inte att i lag dela in situationerna i grupper beroende på om det är fråga om utlämnande av uppgifter i ett enskilt fall eller utlämnande av annat än enstaka uppgifter. Lagen innehåller inte längre bestämmelser om utlämnande av uppgifter med hjälp av teknisk anslutning och inte heller om att tekniskt skydda de uppgifter som lämnas ut. Grundlagsutskottet har tidigare förutsatt att det föreskrivs om teknisk anslutning som en del av registerregleringen (GrUU 12/2002 rd, s. 5), men i sin senare utlåtandepraxis har utskottet inte längre lyft fram detta som ett regleringsobjekt som är viktigt för skyddet av personuppgifter (GrUU 14/2018 rd, GrUU 2/2018 rd och GrUU 31/2017 rd). I informationshanteringslagen finns på allmän lagnivå bestämmelser om utlämnande av uppgifter med hjälp av tekniskt gränssnitt eller åtkomst till system. I fråga om datasystemet för utlänningsfrågor ska Migrationsverket och i fråga om det nationella informationssystemet för viseringar utrikesförvaltningen förvalta systemet, dvs. vara den myndighet som beslutar om utlämnande av uppgifter via ett tekniskt gränssnitt eller om att ge åtkomst till systemet. Kravet på tekniskt skydd av uppgifter som ska lämnas ut följer i sin tur direkt av det inbyggda dataskyddet och dataskydd som standard som ingår i artikel 25 i dataskyddsförordningen och säkerhet i samband med behandlingen enligt artikel 32. Dataskyddsförordningen förutsätter en hög nivå på dataskydd och informationssäkerhet.  

Personuppgifter som hör till särskilda kategorier av personuppgifter får lämnas ut i enlighet med vad som föreskrivs i det föreslagna 1 mom. endast när det är nödvändigt för att myndigheten i fråga ska kunna utföra sina lagstadgade uppgifter. När förutsättningarna för att lämna ut uppgifter övervägs bör det ges särskild vikt att det är fråga om personuppgifter som hör till särskilda kategorier av personuppgifter. När det gäller omfattande register med biometriska kännetecken finns det enligt grundlagsutskottet orsak att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för. I de fallen kan bara exakt avgränsade och mycket små undantag göras från ändamåls-begränsningen. Bestämmelserna får inte leda till att någon annan verksamhet än den som är förknippad med det ursprungliga användningsändamålet blir det huvudsakliga ändamålet och inte ens ett betydande användningsändamål (GrUU 14/2009 rd, s. 4, GrUU 14/2017 rd och GrUU 1/2018 rd). Detta kräver att bestämmelserna om utlämnande tolkas restriktivt. Personuppgifter ska kunna lämnas ut enbart på basis av rätten att få uppgifter som finns i en nationell bestämmelse. 

Bestämmelsen om utlämnande av uppgifter avses inte gälla fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort eller av den som ansöker om främlingspass eller resedokument för flykting, eller uppgifter om iakttagelser, om inte annat föreskrivs någon annanstans i lag. Särskilda bestämmelser om hanteringen av fingeravtryck finns i 9 och 10 §. 

15 §.Utlämnande av uppgifter till Europeiska unionens gemensamma informationssystem. Paragrafen avses innehålla bestämmelser om Migrationsverkets rätt att trots sekretessbestämmelserna till Europeiska unionens gemensamma informationssystem vilka inrättats genom förordningar som antagits med stöd av avdelning V kapitel 2 i fördraget om Europeiska unionens funktionssätt lämna ut personuppgifter enligt vad som förskrivs i de förordningarna. Behörigheten att lämna ut uppgifter till sådana gemensamma EU-informationssystem som inrättats genom förordningar följer direkt av de enskilda inrättandeförordningarna.  

Europeiska unionen har flera gemensamma informationssystem. Vissa håller först nu på att tas fram. Bland systemen kan nämnas andra generationen av Schengens informationssystem (SIS II), Eurodacsystemet, Informationssystemet för viseringar (VIS), in- och utresesystemet EES, och EU-systemet för reseuppgifter och resetillstånd (ETIAS). 

Den rättsliga grunden för dessa informationssystem utgörs av Europaparlamentets och rådets förordning (EU) 2018/1862 avseende andra generationen av Schengens informationssystem (SIS II), dvs. SIS-förordningen om polissamarbete, och av SIS-förordning (EU) 2018/1861 på området in- och utresekontroller och den kompletterande SIS-återvändandeförordningen (EU) 2018/1860 och vidare av Europaparlamentets och rådets förordning (EU) nr 603/2013 om inrättande av Eurodacsystemet, Europaparlamentets och rådets förordning (EG) nr 767/2008 om informationssystemet för viseringar (VIS), Europaparlamentets och rådets förordning (EU) 2017/2226 om inrättande av ett in- och utresesystem (EES) och Europaparlamentets och rådets förordning (EU) 2018/1240 om inrättande av ett EU-system för reseuppgifter och resetillstånd (ETIAS).  

När det gäller Schengens informationssystem motsvarar bestämmelsen 36 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet. Det är ändamålsenligt att införa bestämmelsen i den föreslagna lagen, eftersom det är meningen att bestämmelsen i samband med översynen av lagen om behandling av personuppgifter i polisens verksamhet ska bli snävare och bara gälla polisen. Avsikten är att synliggöra Migrationsverkets rätt att lämna ut uppgifter till Schengens informationssystem på samma sätt som i dag. Också Gränsbevakningsväsendet har bedömt att det behövs bestämmelser om utlämnande av information i lagen om behandling av personuppgifter vid gränsbevakningsväsendet. Skyldigheten att lämna ut uppgifter följer av Europaparlamentets och rådets förordning (EG) nr 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), som kommer att upphävas från den dag då förordningen om SIS-gränskontroll (EU) nr 2018/1861 tillämpas i sin helhet. Under beredningen av lagförslaget gjordes den bedömningen att det behövs en separat bestämmelse om utlämnande av uppgifter även om skyldigheten följer direkt av förordningen, eftersom det exempelvis vid utlämnande av biometriska kännetecken såsom fingeravtryck är fråga om utlämnande av uppgifter som hör till särskilda kategorier av personuppgifter enligt artikel 9 i dataskyddsförordningen. Enligt skäl 53 i dataskyddsförordningen bör medlemsstaterna få behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Detta bör emellertid inte hindra det fria flödet av personuppgifter inom unionen, när villkoren tillämpas på gränsöverskridande behandling av sådana uppgifter. Också grundlagsutskottet har i sin tidigare utlåtandepraxis jämställt biometriska uppgifter med känsliga uppgifter där ett adekvat skydd kräver särskilda bestämmelser om deras utlämnande (GrUU 14/2009 rd, s. 3, och GrUU 47/2010 rd, s. 3). Det behövs bestämmelser om utlämnande av uppgifter också med tanke på de villkor som ställs för bestämmelser som bryter sekretessen i 29 § i offentlighetslagen. 

16 §.Radering av uppgifter. Artikel 6.3 i dataskyddsförordningen ger möjlighet att införa nationell lagstiftning om uppgifternas lagringstid. I enlighet med den princip som gäller uppgiftsminimering i artikel 5.1 c och lagringsminimering i artikel 5.1 e ska tidsfristerna för radering av uppgifter bygga på att uppgifterna behöver lagras bara den tid som den personuppgiftsansvarige behöver för att utföra sina lagstadgade uppgifter och som behövs för övervakningen av att lagar följs samt som är motiverad med avseende på individens rättssäkerhet.  

Grundlagsutskottet har i sin praxis understrukit att behandlingen av känsliga uppgifter ska begränsas till vad som är nödvändigt för att uppnå det mål som är orsaken till att uppgifterna lagrats i systemet (GrUU 13/2017 rd, s. 6), medan det i fråga om andra typer av personuppgifter varit mer tillåtande när det gäller längre lagringstider (GrUU 2/2018 rd, s. 6). En avvägning har gjorts mellan de risker som är förknippade med lagring av personuppgifter, å ena sidan, och den rättssäkerhet och det identitetsskydd som eftersträvas med lagringen, å andra sidan, särskilt i fråga om de särskilda kategorierna av personuppgifter.  

Det inledande stycket till bestämmelsen avses innehålla en informativ bestämmelse vars syfte är att beakta avvikande lagringstider som eventuellt kan komma att följa av EU-lagstiftning. Inom EU pågår som bäst arbetet med en procedurförordning och en förordning om vidarebosättning, och de innehåller bestämmelser om radering av ärendeuppgifter som gäller personer som sökt internationellt skydd.  

Den tid efter vilken uppgifter raderas kommer att vara längre i vissa fall. Jämfört med gällande lag ändras bestämmelserna om radering av uppgifter enligt 1 punkten på så sätt att av identifikationsuppgifterna för en person förlängs tiden för radering av kundnummer, namn, födelsetid, personbeteckning, utländsk personbeteckning, någon annan utländsk beteckning för identifiering av personen, medborgarskap och uppgifter om personens familjeband till tio år efter det att personen har avlidit eller fått finskt medborgarskap eller uppgifterna om ärenden i anknytning till personen har raderats.  

Utmärkande för migrationsförvaltningen är att tidigare behandlade ärenden kan vara av betydelse för senare ärenden, exempelvis när ett nytt uppehållstillstånd söks, i ett senare inlett ärende om en familjemedlems uppehållstillstånd, i ett ärende som gäller beviljande av medborgarskap eller ett ärende som gäller förlust av medborgarskap. För att den registrerades rättigheter ska tryggas är det viktigt att de relevanta basuppgifterna förvaras tillräckligt länge. En tillräckligt lång lagringstid i fråga om dessa uppgifter är också viktig för att missbruk ska kunna förebyggas exempelvis genom att förhindra att flera identiteter skapas för en och samma person. Om lagringstiden inte är tillräckligt lång är det möjligt att skapa dubbla eller fler identiteter i situationer där någon exempelvis först studerar i Finland och senare återvänder till exempel för att arbeta. Situationer med flera identiteter ger upphov till svåra återverkningar också i andra myndigheters register. Det ligger också i den sökandes intresse att undvika sådana överlappningar. En tillräckligt lång tid är motiverad också med tanke på inledande av ärenden som gäller förlust av medborgarskap. Ett beslut om att någon ska förlora sitt medborgarskap kan inte fattas om det har gått mer än fem år sedan en ansökan eller anmälan om medborgarskap avgjorts. Om ett ärende om förlust av medborgarskap inleds innan det förflutit fem år sedan medborgarskap beviljades går det att fatta beslutet också efter den femårsperioden. En föreskriven tid behövs också eftersom det är möjligt att inleda ett ärende om en familjemedlems uppehållstillstånd till exempel långt efter en persons död.  

Enligt skäl 27 i ingressen till dataskyddsförordningen gäller förordningen inte behandling av personuppgifter rörande avlidna personer. Däremot går det att införa bestämmelser om detta i nationell lagstiftning. Inom migrationsförvaltningens verksamhetsområde behövs det i enlighet med vad som framförs ovan bestämmelser om lagring av personuppgifter också efter personens död. 

Enligt 2 punkten raderas andra personuppgifter senast fem år efter det att uppehållsrätten upphörde eller den sista uppgiften antecknades i det sista anhängiga ärendet. Uppgifter om ärenden som anknyter till en person raderas samtidigt.  

Den tid efter vilken uppgifter ska raderas ska i fråga om alla anhängiga ärenden räknas enlig när det senast anhängiga ärendet avslutats, vilket är en förändring i förhållande till nuläget. Detta kommer att förlänga lagringstiden för vissa personuppgifter. Det är emellertid motiverat att radera alla ärenden samtidigt eftersom det då går att undvika att det skulle finnas tidsmässiga luckor i uppgifterna om en person. Med tanke på den registrerades rättssäkerhet är sådana luckor inte motiverade.  

Enligt 3 punkten ska uppgifter som hör till särskilda kategorier av personuppgifter i enlighet med grundlagsutskottets ovan presenterade ståndpunkt dock raderas genast när de inte längre behövs. En förutsättning för att personuppgifter som hör till de särskilda kategorierna av personuppgifter är nödvändighet. Det betyder att en personuppgift som hör till dessa kategorier inte längre behövs när den inte längre är nödvändig ur behandlingssynpunkt.  

Uppgifter om iakttagelser är av sådan natur att de ska raderas enligt en separat tidsfrist på sex månader efter det att de antecknades. I fråga om dem och också om andra uppgifter bör principen om uppgiftsminimering beaktas. Principen innebär att uppgifterna inte ska vara för omfattande i förhållande till de ändamål för vilka de behandlas.  

I enlighet med den princip om ändamålsbegränsning som propositionen antagit ska raderingen av personuppgifter inte vara knuten till ett visst system, utan uppgifterna ska raderas ur de system som de behandlas i. När den lagstadgade lagringstiden gått ut ska personuppgifterna gallras ut antingen genom utplåning eller genom överföring till ett arkiv på det sätt som arkivverket föreskriver om permanent förvaring av handlingar eller uppgifter i dessa. De utgallrade uppgifterna ska således arkiveras på det sätt som föreskrivs eller bestäms särskilt. Särskilda bestämmelser utfärdas om radering av felaktiga uppgifter. 

Bestämmelser om vilken myndighet som ska radera uppgifterna avses finns i 4 och 5 §.  

17 §.Personuppgift som konstaterats vara felaktig. Trots bestämmelserna i dataskyddsförordningen om radering av en oriktig uppgift ska en personuppgift som konstaterats vara felaktig få bevaras tillsammans med den korrigerade personuppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till den personuppgiftsansvariges personal har. En sådan uppgift får behandlas endast i det syftet.  

Enligt artikel 5.1 d i dataskyddsförordningen ska personuppgifter vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas och rättas utan dröjsmål. Enligt artikel 16 i förordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. I artikel 17 finns bestämmelser om rätten att få uppgifter raderade i särskilt angivna fall, men uppgifternas felaktighet nämns inte bland dem. Enligt artikel 23.1 i ska det vara möjligt att i lagstiftningen begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12—22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa skydd av den registrerade eller andras rättigheter och friheter. Införande av sådana begränsningar kräver enligt artikel 23.2 i förordningen specifika bestämmelser om bland annat skyddsåtgärder och lagringstider. Specifika bestämmelser om skyddsåtgärder i fråga om de särskilda kategorierna av personuppgifter finns i 6 § 2 mom. i dataskyddslagen. Bevaring av en personuppgift som konstaterats vara felaktig ska vara nödvändig och proportionerlig i förhållande till skydd av den registrerade eller någon annan part eller en person som hör till den personuppgiftsansvariges personal rättigheter och friheter. 

Paragrafen avses inte begränsa rätten att få uppgifter rättade, men uppgifter som konstateras vara felaktiga ska i de situationer som avses i 1 mom. kunna bevaras tillsammans med de korrigerade uppgifterna. Paragrafen avses innehålla bestämmelser om bevaring en personuppgift som konstaterats vara felaktig i sådana fall att det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till den personuppgiftsansvariges personal har. I förhållande till 9 § 2 mom. i utlänningsregisterlagen kommer rättsläget att förändras på så sätt att också tryggande av andra parters rättigheter är relevant exempelvis när det gäller familjemedlemmars uppehållstillstånd. 

Det ska fästas särskild uppmärksamhet vid sättet att behandla felaktiga uppgifter med beaktande av deras natur. Felaktiga uppgifter får till exempel inte senare bli föremål för behandling och de ska inte kunna ändras. En uppgift som konstaterats vara felaktig och som bevaras ska utplånas genast när den inte längre behövs för tryggande av rättigheter, dock senast fem år efter det att felet uppdagats. Den föreskrivna tiden på fem år börjar räknas på nytt sätt eftersom tidsfristen räknas från det att felet uppdagas och inte från det att den felaktiga personuppgiften registreras. En lagringstid på fem år är motiverad exempelvis i situationer där det i ärenden som gäller tjänsteansvar är fråga om den tjänstemannens rättssäkerhet som registrerat den felaktiga uppgiften.  

18 §.Arkivering av uppgifter. Paragrafen avses innehålla en informativ bestämmelse enligt vilken det i fråga om arkivfunktionens uppgifter och om handlingar som ska arkiveras gäller separata bestämmelser. För närvarande avser formuleringen vad som föreskrivs i den gällande arkivlagen (831/1994) och med stöd av den.  

Användning för arkivändamål av allmänt intresse enligt artikel 5.1 e i dataskyddsförordningen betraktas inte som oförenligt med det ursprungliga ändamålet. På den grunden kan data som innehåller personuppgifter arkiveras, om det är förenligt med allmänt intresse. 

19 §.Tillgodoseende av den registrerades rättatt få tillgång till egna uppgifter. Paragrafen innehåller bestämmelser om förfarandet för genomförande av rätten enligt artikel 15 i dataskyddsförordningen. Enligt artikel 15 i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna. I dataskyddslagen hänvisar man till den registrerades rätt till tillgång med den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne och i lagen om behandling av personuppgifter i brottmål med den registrerades rätt till insyn. I bestämmelsen ska följas de termer som används i nämnda allmänna lagar.  

Vid utnyttjandet av tillgången till de egna uppgifterna ska en persons integritet skyddas genom att försäkra sig om identiteten av den som mottar personuppgifter. De personuppgifter som är föremålet för denna rätt är ofta känsliga eller sekretessbelagda uppgifter. Därför måste det nås visshet om att den som uppgifterna lämnas ut till verkligen är den person som uppgifterna gäller. I syfte att främja att den registrerades rättigheter tillgodoses ska det finnas bestämmelser om kontaktpunkter för registrerade i 6 §. Det är Migrationsverket och utrikesförvaltningen som ska vara kontaktpunkter. Att kontaktpunkterna utses utgör ändå inget hinder för den registrerade att även lämna sin begäran att få tillgång till egna uppgifter till andra personuppgiftsansvariga. 

Enligt skäl 63 i ingressen till dataskyddförordningen bör den registrerade ha rätt att få tillgång till personuppgifter som insamlats om denne samt på enkelt sätt och med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna kontrollera att den är laglig. Enligt skäl 64 i ingressen bör personuppgiftsansvariga vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad som begär tillgång, särskilt inom ramen för nättjänster och i fråga om nätidentifierare. Personuppgiftsansvariga bör inte behålla personuppgifter enbart för att kunna agera vid en potentiell begäran. 

Enligt artikel 12 i dataskyddsförordningen får den personuppgiftsansvarige, utan att det påverkar tillämpningen av artikel 11, begära att ytterligare information som är nödvändig för att bekräfta den registrerades identitet tillhandahålls, om denne har rimliga skäl att betvivla identiteten hos den fysiska person som lämnar in en begäran enligt artiklarna 15–21. 

En registrerad som vill utöva sin rätt att få tillgång till egna uppgifter ska framställa en skriftlig begäran om detta till den personuppgiftsansvarige samt innan personuppgifterna lämnas ut styrka sin identitet antingen med handlingar som anses tillförlitliga eller personligen för den personuppgiftsansvarige eller genom stark autentisering. 

Den som vill utöva sin rätt att få tillgång till egna uppgifter måste alltid ansöka om detta skriftligen hos den personuppgiftsansvarige. Detta kan ske exempelvis genom en begäran per e-post eller vanlig post eller med en blankett i samband med ett personligt besök. Begäran ska på den registrerades vägnar också kunna framföras av en annan person, exempelvis en företrädare eller ett biträde.  

Visshet om identiteten på en registrerad som utövar sin rätt att få tillgång till egna uppgifter måste nås innan rätten tillgodoses, dvs. senast när personuppgifter om dem som rätten gäller lämnas ut. Den registrerade kan styrka sin identitet med tillförlitliga handlingar hos den personuppgiftsansvarige eller exempelvis på så sätt att de uppgifter som begäran om tillgång avser sänds till den registrerade i ett rekommenderat brev, varvid kontroll av den registrerades identitet kan ske genom normalt förfarande för överlåtelse av rekommenderade brev. Migrationsverket har inget stort servicenät, och därför är det motiverat att inte kräva ett personligt besök på ett av Migrationsverkets serviceställen av den registrerade som vill utöva sin rätt att få tillgång till egna uppgifter, om personen i fråga har tillförlitliga handlingar. Till handlingar som ska anses tillförlitliga räknas åtminstone en giltig identitetshandling och ett giltigt pass. Det bör dock uppmärksammas att alla pass inte betraktas som pålitliga trots deras giltighet. Registrerade personer, särskilt de som kommit som asylsökande, har inte alltid handlingar som kan anses vara tillförlitliga. I sådana fall kan den registrerade identifieras i samband med ett personligt besök hos den personuppgiftsansvarige exempelvis med hjälp av uppgifter i informationssystem, såsom jämförelse med ett fotografi som tagits i samband med asylansökan. Den registrerade ska också kunna använda sig av stark autentisering. 

Den i artikel 15 i dataskyddsförordningen föreskrivna rätten av den registrerade att få tillgång till information motsvaras av den registrerades rätt till insyn enligt 23 § i lagen om behandling av personuppgifter i brottmål. I fråga om en sådan begäran om utövande av den registrerades rätt till insyn som riktas till polisen tillämpas 41 § i lagen om behandling av personuppgifter i polisens verksamhet och i fråga om en sådan begäran om utövande av den registrerades rätt till insyn som riktas till Gränsbevakningsväsendet tillämpas 50 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. När den registrerade utövar sin rätt ska han eller hon personligen framföra en begäran om detta till polisen eller till Gränsbevakningsväsendet och styrka sin identitet. Begäran ska också kunna lämnas genom att på ett verifierat sätt använda tillförlitlig elektrisk identifiering, om denna tjänst finns. Det är motiverat att ha ett separat förfarande i fråga om begäranden om insyn riktade till polisen och Gränsbevakningsväsendet när någon vill utöva sin rätt, eftersom det då går att sörja för enhetliga processer i polisens verksamhet. I situationer där den registrerades kontaktpunkt, exempelvis Migrationsverket, tillgodoser den registrerades rätt till insyn med avseende på polisens eller Gränsbevakningsväsendet uppgifter ska kontaktpunkten ansvara för att identiteten kontrolleras i ett annat skede av processen och att uppgifterna lämnas ut till rätt person. 

20 §.Den registrerades rätt till begränsning av behandling. Enligt artikel 18 i dataskyddsförordningen ska den registrerade ha rätt att kräva att behandlingen av dennes personuppgifter begränsas. Det som i EU-lagstiftningen eller annanstans i lagen föreskrivs om den registrerades rätt till begränsning av behandling av personuppgifter hos den personuppgiftsansvarige tillämpas dock inte på behandling av personuppgifter som avses i denna lag. Rätten kan begränsas inom ramen för det handlingsutrymme som artikel 23 ger medlemsstaterna. Det är med stöd av artikel 23.1 h och i möjligt att genom nationella lagstiftningsåtgärder begränsa också de rättigheter och skyldigheter som avses i artikel 18, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa myndighets tillsyns-, inspektions- eller regleringsfunktion eller skydd av den registrerade eller andras rättigheter och friheter. Lagstiftningsåtgärden ska då beakta de specifika bestämmelser som avses i artikel 23.2. Specifika bestämmelser om skyddsåtgärder i fråga om de särskilda kategorierna av personuppgifter finns i 6 § 2 mom. i dataskyddslagen. 

Inom migrationsförvaltningen kommer en registrerads begäran om begränsning sannolikt alltid att grundas på att uppgifterna inte stämmer. Om behandlingen av personuppgifter alltid automatiskt begränsades på den registrerades begäran till dess att den personuppgiftsansvarige har försäkrat sig om att uppgiften stämmer, skulle det beroende på typen av uppgift vara möjligt att beslutsprocessen stannar upp för den tid det tar att kontrollera uppgifternas riktighet både inom migrationsförvaltningen och hos de myndigheter som använder uppgifter från migrationsförvaltningen för sina beslut. Migrationsförvaltningens beslutsfattande bygger på lag. Det är av avgörande betydelse att bekräftelse fås på att de uppgifter som besluten bygger på är riktiga. Annars går det inte att säkerställa riktiga beslut och att garantera den berörda personens rättssäkerhet. De andra lagfästa kraven på förfarandena inom migrationsförvaltningen samt den registrerades möjligheter att utöva andra rättigheter för att kontrollera att uppgifterna är riktiga uppfyller kraven på nödvändighet och proportionalitet i artikel 23.1 h och i när det gäller fullgörande av den personuppgiftsansvariges lagstadgade uppgifter, vilket för sin del skyddar den registrerade.  

21 §.Automatiserat individuellt beslutsfattande. Paragrafen avses innehålla bestämmelser om sådana beslutsprocesser vid Migrationsverket som bygger på automatiserad behandling i ärendehanteringssystemet för utlänningsärenden. Förfarandet innebär att alla handläggnings- och beslutsfaser utförs av systemet utan fysiska personers medverkan.  

Enligt artikel 22 i dataskyddsförordningen ska den registrerade ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Ett undantag till denna huvudregel finns i artikelns punkt 2 b enligt vilken punkt 1 inte ska tillämpas, om beslutet tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen.  

Enligt 21 § 2 mom. i grundlagen ska offentligheten vid handläggningen, rätten att bli hörd, rätten att få motiverade beslut och rätten att söka ändring samt andra garantier för en rättvis rättegång och god förvaltning tryggas genom lag. Bestämmelser om sådana förfaranderegler för god förvaltning som ska iakttas i förvaltningsförfaranden finns i förvaltningslagen och om rätten att överklaga i förvaltningsprocesslagen. Dessutom innehåller utlänningslagen kompletterande bestämmelser till dessa allmänna lagar. Propositionen innehåller inga förslag till undantag från dessa allmänna förvaltningslagar, vilket innebär att parter också vid automatiserade beslutsprocesser ska ha rätt att få ett motiverat beslut och att överklaga ett beslut i enlighet med förvaltningsprocesslagen och utlänningslagen. De allmänna nationella lagarna bidrar samtidigt till att genomföra de lämpliga skyddsåtgärder som artikel 22 i dataskyddsförordningen kräver, eftersom de dels garanterar öppenhet i behandlingen, dels också rätten att få ett motiverat beslut och att överklaga beslutet.  

Ärenden som väljs till den automatiserade beslutsprocessen  

Enligt förslaget ska beslut som Migrationsverket fattar i ärendehanteringssystemet för utlänningsärenden kunna fattas genom ett förfarande som endast grundar sig på automatiserad behandling om ärendet med stöd av 34 § 2 mom. 5 punkten i förvaltningslagen får avgöras utan att en part hörs. I 34 § 1 mom. i förvaltningslagen finns huvudregeln för hörande. Enligt den ska en part innan ett ärende avgörs ges tillfälle att framföra sin åsikt om ärendet och avge sin förklaring med anledning av sådana yrkanden och sådan utredning som kan inverka på hur ärendet kommer att avgöras. Automatiserat beslutsfattande ska basera sig på de uppgifter som sökanden tillställt elektroniskt men även på uppgifter som ingår i ärendehanteringssystemet för utlänningsärenden och uppgifter som erhållits av andra myndigheter genom elektroniska gränssnitt. Vanligen kan en ansökan i tillståndsprövning som initieras av sökande avgöras på basis av de uppgifter som sökanden tillställt, men om ärendet avgörs genom att använda uppgifter som ingår i ärendehanteringssystemet för utlänningsärenden som sökande inte angett i sin ansökan, hörs sökanden vid behov i enlighet med 34 § 1 mom. i förvaltningslagen. På samma sätt, om det i de uppgifter som lämnats i ansökan finns brister eller motstridigheter jämfört med de elektroniska uppgifter som Migrationsverket har tillgång till, överförs ärendet till den sedvanliga beslutandeprocessen. En dylik situation kan till exempel uppstå när automatiska registerkontroller producerar information om vilken klienten ska höras. I detta fall hänförs ärendet till helhetsbedömning av en fysisk person.  

I 2 mom. finns bestämmelser om undantag från huvudregeln i 34 § 1 mom. i förvaltningslagen. Enligt detaljmotiven till den bakomliggande propositionen (RP 72/2002 rd, s. 100) måste tillämpningsområdet för undantagsbestämmelser skärskådas särskilt i belysning av kraven på god förvaltning. Rätten att bli hörd i egen sak är en av de centrala rättsskyddsprinciper i förvaltningen som är inskrivna i 21 § grundlagen och som ska tryggas genom lag. Rätten att bli hörd gäller primärt alla sådana ärenden där det kan anses ligga i en parts intresse att lägga fram utredning. Enligt 34 § 2 mom. 5 punkten i den lagen får ett ärende avgöras utan att en part hörs, om ett yrkande som inte rör någon annan part godkänns eller om hörandet av någon annan orsak är uppenbart onödigt. Hörande kunde vara uppenbart onödigt till exempel när Migrationsverket fattar ett beslut om upphörande på basis av bestämmelserna i utlänningslagen. I detta fall har beslutet om upphörande antingen föregåtts av ett annat beslut av myndigheten, den utsatta tiden eller det faktum att den sökande inte längre av en anledning som beror på honom eller henne har behov att hålla ansökan anhängig. 

Sådana ärendegrupper som enligt 34 § 2 mom. 5 punkten behandlas inom migrationsförvaltningen kan exempelvis vara fall där ärendet avgörs i överensstämmelse med ansökan eller där ansökan eller förslaget förfaller med stöd av utlänningslagen. Som exempel på ärendegrupper enligt utlänningslagen som lämpar sig för automatiserat beslutsfattande kan nämnas beviljande av uppehållstillstånd för studier, arbete eller företagsverksamhet eller på grund av familjeband, ansökan om uppehållstillstånd som förfaller för att sökanden återtagit ansökan, avlidit eller fått finskt medborgarskap eller för att ansökningsavgiften inte betalats inom skälig tid, uppehållstillstånd eller EU-registrering som förfaller för att vederbörande har avlidit eller fått finskt medborgarskap, beviljande av permanent uppehållstillstånd, registrering av EU-medborgares eller med dem jämförbara personers uppehållstillstånd, beviljande av uppehållskort för EU-medborgares familjemedlem som är medborgare i tredjeland, förnyande av uppehållskort eller uppehållstillståndskort, godkännande av anmälan om rörlighet inom EU, beviljande av säsongsarbetsintyg, förvärv av finskt medborgarskap på ansökan eller efter anmälan och beslut om att framställning om utvisning förfallit på grund av att en utlänning fått uppehållstillstånd. Om bestämmelsen knyts till 34 § 2 mom. 5 punkten i förvaltningslagen uppkommer det en noga avgränsad och klar gräns för vilka typer av ärenden som lämpar sig för automatiserat beslutsfattande. Även om det går att bestämma vissa ärendegrupper inom Migrationsverket där ärendena i regel kan behandlas i automatiserade beslutsprocesser, är det i slutändan ändå omständigheterna i det enskilda fallet som avgör om det går att ta fram ett beslut i ärendet helt på automatisk väg. I praktiken går ärenden där parter i princip inte behöver höras från en kontrollpunkt till en annan i Migrationsverkets automatiserade system, och om omständigheterna i det enskilda fallet exempelvis inte uppfyller kraven i den behörighetsgivande lagstiftningen, om det finns brister i handlingarna i ärendet eller om ärendet kräver en helhetsbedömning, kommer ärendet alltid att föras över till en fysisk person för handläggning. Detta innebär att det inte ska vara möjligt att genom automatiserat beslutsfattande avgöra ett ärende där det förutsätts helhetsbedömning gällande till exempel tillräcklig försörjning eller den risk som sökanden orsakar för allmän ordning eller säkerhet, utan då ska ärendet alltid avgöras av en fysisk person i en sedvanlig beslutandeprocess. 

I utredningsprojektet Algoritm som beslutsfattare? (2019:44, s. 67), som publicerats i statsrådets publikationsserie för utrednings- och forskningsverksamhet, har medborgarskapasansökans gång i den automatiserade beslutsprocessen beskrivits på följande sätt: Migrationsverket fattar sitt beslut på ett automatiserat sätt, dvs. ingen enskild tjänsteman behandlar ärendet. I beslutsfattandesystemet används regelbaserad systemrobotik, som kontrollerar förutsättningarna för uppfyllandet av medborgarskapet med s.k. binära alternativ. Om de uppgifter och bilagor som sökanden lämnat in uppfyller lagens krav på erhållande av medborgarskap, godkänner systemet ansökan om medborgarskap automatiskt. Om villkoren för medborgarskap inte uppfylls, överförs ärendet till en fysisk person för kontroll. 

Möjligheten till automatiserat beslutsfattande inom vissa av Migrationsverkets ärendegrupper som avgränsas på ovan beskrivet sätt uppfyller också för sin del kravet i 21 § 1 mom. i grundlagen på myndighetsverksamhet som sker på behörigt sätt och utan ogrundat dröjsmål, eftersom de ärenden kommer att behandlas snabbare där det inte finns något intresse för parter att bli hörda. De uppräknade ärendegrupperna utgör en stor del av de beslut Migrationsverket fattar och därför skulle verkets beslutsprocesser effektiviseras om det blir möjligt med helt automatiserat beslutsfattandet inom de grupperna, utan att man för den skull gör avkall på de krav som förfarandereglerna för god förvaltning och rättssäkerheten ställer på behandlingen. Ur den registrerades synvinkel påskyndar automatiseringen ärendehanteringen samtidigt som den också skapar ramar för en enhetlig och likvärdig behandling. Automatisering främjar därför också principerna om likabehandling och skydd för berättigade förväntningar.  

Migrationsverkets beslutsprocesser bör effektiviseras på så sätt att personella resurser kan användas till att avgöra ärenden som kräver prövning. De algoritmer som används vid automatiserat beslutsfattande och de bakomliggande lagbaserade reglerna ska omsorgsfullt tas fram på Migrationsverket, och deras funktionsduglighet ska testas där innan de börjar användas och även regelbundet efter detta. Migrationsverket ska dessutom godkänna de algoritmer som används genom ett separat förvaltningsbeslut. På detta sätt kommer avgörandepraxis att bli enhetlig i dessa enklare ärendegrupper och därmed förbättras förutsebarheten och rättstryggheten. Grundlagsutskottet har inte haft något att anmärka mot effektiviseringsmålet med automatiserat beslutsfattande vid Migrationsverket (GrUU 62/2018 rd, s. 7).  

Dataskyddsarbetsgruppen har i sina riktlinjer (WP 251/17, s. 33—34) lagt fram några praktiska råd som personuppgiftsansvariga kan överväga när de fattar beslut som enbart grundas på automatisk behandling, inbegripet profilering (enligt definitionen i artikel 22.1). De kan exempelvis genomföra regelbundna kvalitetssäkringskontroller av sina system för att säkerställa att enskilda personer behandlas rättvist och inte diskrimineras, oavsett om detta sker på grund av särskilda kategorier av uppgifter eller av andra orsaker. De kan också göra en algoritmgranskning – test av de algoritmer som används och utvecklas av maskininlärningssystem för att visa att de verkligen fungerar på avsett sätt, och inte ger diskriminerande, felaktiga eller omotiverade resultat. Med hjälp av en oberoende ”tredjepartsgranskning” (om beslutsfattande som grundas på profilering får stora konsekvenser för enskilda personer) kan den personuppgiftsansvarige ge granskaren all nödvändig information om hur algoritmen eller maskininlärningssystemet fungerar. Personuppgiftsansvariga kan inhämta avtalsmässiga försäkringar för tredjepartsalgoritmer som har granskats och testats och där algoritmen har befunnits uppfylla avtalade standarder. Vidare kan särskilda åtgärder för uppgiftsminimering vidtas för att införliva tydliga lagringsperioder för profiler och för personuppgifter som används för att skapa eller tillämpa profilerna. Personuppgiftsansvariga bör också möjliggöra användning av anonymiserings- eller pseudonymiseringsteknik vid profilering. De kan göra det möjligt för den registrerade att framföra sina synpunkter och överklaga beslutet och även införa en mekanism för mänskligt ingripande i vissa bestämda fall, t.ex. tillhandahålla en länk till en överklagandeprocess när det automatiserade beslutet meddelas den registrerade, med avtalade tidsfrister för överprövningen och namngivna kontaktpunkter för eventuella frågor. Personuppgiftsansvariga kan även undersöka alternativ som certifieringsmekanismer för behandlingar, uppförandekoder för granskningsprocesser som inbegriper maskininlärning, etikprövningsnämnder för att bedöma vilka potentiella för- och nackdelar för samhället vissa bestämda profileringstillämpningar har. Migrationsverket bör i tillämpliga delar tillämpa dessa rekommendationer om god praxis från dataskyddsarbetsgruppen i sin process för automatiserade beslutsförfaranden. 

Enligt skäl 71 i ingressen till dataskyddsförordningen bör dock alltid den form av uppgiftsbehandling som medger undantag enligt artikel 22.2 under alla omständigheter omgärdas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet. Också enligt dataskyddsarbetsgruppens riktlinjer (WP 251/17, s. 28) gäller skyddsåtgärderna för alla undantag enligt artikel 22.2 även om de lämpliga skyddsåtgärderna inte specifikt anges i själva artikeln i fråga om punkt 2 b. Dataskyddsarbetsgruppen har i sina riktlinjer (WP 251/17, s. 33–34) lagt fram ovan presenterade praktiska råd som personuppgiftsansvariga kan överväga när de fattar beslut som enbart grundas på automatisk behandling, inbegripet profilering (enligt definitionen i artikel 22.1). Enligt en rekommendation bör den personuppgiftsansvarige införa en mekanism för mänskligt ingripande i vissa bestämda fall, t.ex. tillhandahålla en länk till en överklagandeprocess när det automatiserade beslutet meddelas den registrerade, med avtalade tidsfrister för överprövningen och namngivna kontaktpunkter för eventuella frågor.  

Skyldigheten enligt grundlagens 21 § att genom lag föreskriva om garantierna för rättssäkerhet och god förvaltning fullgörs genom allmänna nationella lagar om förvaltningsförfaranden och administrativa processer. Bestämmelserna i de lagarna uppfyller redan nu de flesta kraven på lämpliga skyddsåtgärder som anges i artikel 22 i dataskyddsförordningen. Samtidigt skyddas rätten att kräva att en fysisk person behandlar uppgifterna, såsom framgår av dataskyddsarbetsgruppens rekommendation, i tillräcklig utsträckning av att det finns möjlighet att överklaga och kontaktpunkter för de registrerade. På detta sätt garanteras även denna rättighet genom bestämmelserna om sökande av ändring i förvaltningsprocesslagen och utlänningslagen. I 6 § i lagförslag 1 finns dessutom bestämmelser om kontaktpunkter för de registrerade. 

Behandlingen av personuppgifter som hör till särskilda kategorier av personuppgifter vid automatiserat beslutsfattande  

Enligt artikel 22.4 i dataskyddsförordningen får beslut enligt artikel 22.2 inte grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9.1, såvida inte artikel 9.2 a eller g gäller och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits. Uppgifter som hör till de särskilda kategorierna av personuppgifter får således behandlas helt och hållet i en automatiserad beslutsprocess bara om ett undantag enligt artikel 22.2 i dataskyddsförordningen föreligger och artikel 9.2 a eller g i den förordningen gäller. Enligt artikel 9.2 a i dataskyddsförordningen får undantag från det principiella förbudet mot behandling av särskilda kategorier av personuppgifter göras, då den registrerade uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål. Enligt skäl 43 i ingressen till dataskyddsförordningen ska samtycket inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet. Det här innebär att behandlingen av personuppgifter som hör till särskilda kategorier av personuppgifter på basis av automatiserat beslutsfattande inte kan basera sig på den registrerades samtycke. Enligt artikel 9.2 g får undantag från det principiella förbudet mot behandling av särskilda kategorier av personuppgifter göras, om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Enligt skäl 52 i ingressen till dataskyddsförordningen bör undantag från förbudet att behandla särskilda kategorier av personuppgifter även tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta. Som skäl gällande allmänt intresse nämns behandling av personuppgifter inom ramen för arbetsrätt och sociallagstiftning. Även myndighetens förutsägbara beslutsfattandesystem som baserar sig på korrekta uppgifter och fungerar effektivt står inte bara i individens utan också i samhällets intresse och motiveras därför av allmänintresset. Det har till exempel ansetts överensstämma med vägande allmänt intresse att en tillräckligt bred informationsgrund tryggas för myndigheternas beslutsfattande (RP 20/2005 rd, s. 13). Migrationsverkets automatiserade beslutsfattande baserar sig på lagstiftning som skapar behörighet för migrationsförvaltningen. Behandlingen av personuppgifter som hör till särskilda kategorier av personuppgifter är en väsentlig del i behandlingen av Migrationsverkets lagstadgade ärendegrupper. För att till exempel en ansökan ska kunna avgöras, är det nödvändigt att kontrollera att vissa lagstadgade förutsättningar uppfylls och i samband med detta behandla uppgifter som hör till särskilda kategorier av personuppgifter. Detta innebär att behandlingen även står i rätt proportion till målet. Därtill ska personuppgiftsansvariga med stöd av båda dessa bestämmelser i dataskyddsförordningen vidta lämpliga åtgärder för att skydda den registrerades fri- och rättigheter och berättigade intressen. 

De skyddsåtgärder som enligt 6 § i dataskyddslagen gäller uppgifter som hör till särskilda kategorier av personuppgifter gäller i tillämpliga delar också skyddet av uppgifter som hör till särskilda kategorier av personuppgifter enligt den nu föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen. Utöver skyddsåtgärderna enligt den allmänna lagen ska de villkor uppfyllas som nämns i 8 § i migrationsförvaltningens personuppgiftslag och som gäller behandling av uppgifter som hör till särskilda kategorier av personuppgifter när automatiserat beslutsfattande tillämpas. Enligt 6 § 1 mom. i dataskyddslagen ska artikel 9.1 i dataskyddsförordningen, dvs. förbudet mot behandling av särskilda kategorier av personuppgifter, inte tillämpas på sådan behandlingen av uppgifter som regleras i lag eller som föranleds av ett uppdrag som ålagts den personuppgiftsansvarige i lag. Enligt 6 § 2 mom. i dataskyddslagen ska en personuppgiftsansvarig och ett personuppgiftsbiträde som behandlar personuppgifter i en situation som avses i 1 mom. vidta lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter. Sådana åtgärder är åtgärder för att det i efterhand ska kunna säkerställas och bevisas vem som har registrerat, ändrat eller överfört personuppgifter, åtgärder för att höja kompetensen hos den personal som behandlar personuppgifter, utnämning av ett dataskyddsombud och den personuppgiftsansvariges och personuppgiftsbiträdets interna åtgärder för att förhindra tillträde till personuppgifter samt pseudonymisering av personuppgifter och kryptering av personuppgifter. Vidare rör det sig om åtgärder för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och tjänsterna i anknytning till behandlingen av personuppgifterna, inbegripet förmåga att återställa tillgängligheten och tillgången till uppgifterna i rimlig tid vid en fysisk eller teknisk incident, ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet, särskilda förfaranderegler för att säkerställa att dataskyddsförordningen och denna lag iakttas när personuppgifter överförs eller behandlas för något annat ändamål, utförande av en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen och andra tekniska, förfarandemässiga och organisatoriska åtgärder. Dessa skyddsåtgärder i fråga om behandlingen av personuppgifter som hör till särskilda kategorier av personuppgifter enligt 6 § 2 mom. i dataskyddslagen motsvarar i stor utsträckning de skyddsåtgärder som dataskyddsarbetsgruppen rekommenderar i sina riktlinjer (WP 251/17).  

I artikel 5.1 a i dataskyddsförordningen finns bestämmelser om skyldigheten att behandla personuppgifter på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Dessa principer för behandling av uppgifter kompletteras genom de allmänna bestämmelserna i artikel 12 i förordningen om klar och tydlig information och utövandet av den registrerades rättigheter. I artiklarna 13 och 14 finns uttryckliga bestämmelser den personuppgiftsansvariges skyldighet att informera den registrerade för att säkerställa en korrekt och öppen behandling.  

Både i artikel 13.2 f och i artikel 14.2 g krävs det att den personuppgiftsansvarige ska lämna den registrerade följande information för att säkerställa rättvis och öppen behandling: förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade. De personuppgiftsansvariga ska således lämna meningsfull och lättillgänglig information om beslut som enbart grundas på automatisk behandling, inbegripet profilering, och som har rättsliga eller på liknande sätt betydande följder. Enligt skäl 60 i ingressen till dataskyddsförordningen bör den personuppgiftsansvarige till den registrerade lämna all ytterligare information som krävs för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika omständigheter och sammanhang. Dessutom bör den registrerade informeras om förekomsten av profilering samt om konsekvenserna av sådan profilering.  

Dessutom har den registrerade särskild rätt att få information om beslutsfattande som enbart grundas på automatiserad behandling. Enligt artikel 15.1 h i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information: förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den. 

Dataskyddsarbetsgruppen slår i sina riktlinjer (WP 251/17, s. 26) fast att om den personuppgiftsansvarige fattar automatiserade beslut med stöd av artikel 22.1, måste denne berätta för den registrerade att de tillämpar denna metod, lämna meningsfull information om den bakomliggande logiken, och förklara betydelsen och de förutsedda följderna av behandlingen. Tillhandahållandet av denna information hjälper även personuppgiftsansvariga att säkerställa att de uppfyller några av de obligatoriska skyddsåtgärder som anges i artikel 22.3 och skäl 71, menar arbetsgruppen. Maskininlärningens snabba tillväxttakt och komplexitet kan göra det svårt ett förstå hur en automatiserad beslutsprocess eller profilering fungerar, för arbetsgruppen vidare fram i sina riktlinjer. Komplexitet är ändå ingen ursäkt för att inte tillhandahålla information till den registrerade. Den personuppgiftsansvarige bör enligt arbetsgruppen försöka att på ett enkelt sätt förklara logiken bakom eller kriterierna för att komma fram till beslutet. Enligt arbetsgruppen kräver den personuppgiftsansvariges skyldighet enligt dataskyddsförordningen att lämna meningsfull information om logiken bakom behandlingen inte nödvändigtvis en komplex förklaring av de algoritmer som används eller att lämna ut den fullständiga algoritmen. Den information som tillhandahålls bör emellertid vara tillräckligt heltäckande för att den registrerade ska förstå skälen till beslutet.  

Därför föreslår dataskyddsarbetsgruppen i sina riktlinjer (WP 251/17, s. 32—33) att den personuppgiftsansvarige i stället för en komplex matematisk förklaring av hur algoritmer eller maskininlärning fungerar bör försöka att på ett klart och tydligt sätt ge den registrerade information om t.ex. de kategorier av uppgifter som har använts eller kommer att användas i profilerings- eller beslutsprocessen, varför dessa kategorier anses relevanta, hur en profil som använts i det automatiserade beslutsfattandet är uppbyggd, inbegripet eventuell statistik som använts i analysen, varför denna profil är relevant för det automatiserade beslutsfattandet, och hur den används för att fatta ett beslut om den registrerade. Sådan information är enligt arbetsgruppen i regel mer relevant för den registrerade och bidrar till insyn i processen. Personuppgiftsansvariga skulle dessutom förslagsvis kunna överväga att använda sig av visualisering och interaktiv teknik för att göra algoritmerna lättare att förstå.  

Enligt skäl 58 i ingressen till dataskyddsförordningen kräver öppenhetsprincipen att all information som riktar sig till allmänheten eller till registrerade är kortfattad, lättåtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk samt att man vid behov använder visualisering. Denna information kan ges elektroniskt, exempelvis på en webbplats, när den riktas till allmänheten. Detta är särskilt relevant i situationer där mängden olika aktörer och den tekniska komplexiteten gör det svårt för den registrerade att veta och förstå om personuppgifter som rör honom eller henne samlas in, vem som gör det och för vilket syfte.  

Bestämmelser om Migrationsverkets behörighet att fatta förvaltningsbeslut som påverkar parters rättsliga ställning finns i utlänningslagen, medborgarskapslagen, lagen om säsongsanställning, ICT-lagen och forskar- och studerandelagen. Automatiserade beslut som verket fattar ska bygga på tekniska regler för processning av data i ärendehanteringssystemet för utlänningsärenden. I dessa regler ska normerna i den lagstiftning som ger Migrationsverket behörighet omvandlas till numerala operationer som kan behandlas maskinellt. Dessa operationer ligger till grund för processningen av data med hjälp av logiska kriterier. I de tekniska reglerna har öppenheten beaktats. Gränssnittet i ärendehanteringssystemet för utlänningsärenden presenterar reglerna och de tillhörande uppgifterna på ett för användaren begripligt sätt. Automatiserat beslutsfattande innebär i Migrationsverkets fall att en s.k. beslutsmaskin måste skapas. När villkor enligt algoritmen är uppfyllda kommer ett ärende då att styras i riktning mot ett automatiserat beslut inom beslutssystemet, medan ärendet går till en fysisk person för handläggning om villkoren inte är uppfyllda. Det är således inte fråga om artificiell intelligens som utifrån en stor mängd inmatad data lär sig att utarbeta beslut eller använder självständig prövningsrätt.  

Det är anställda vid Migrationsverket som ska ta fram reglerna för automatiserad behandling, och de algoritmer som bygger på reglerna ska godkännas av Migrationsverket genom ett särskilt förvaltningsbeslut. Migrationsverket ska införa de lämpliga skyddsåtgärder som dataskyddsarbetsgruppen (WP 251/17, s. 33—34) rekommenderar, såsom att genomföra regelbundna kvalitetssäkringskontroller av deras system för att säkerställa att enskilda personer behandlas rättvist och inte diskrimineras, oavsett om detta sker på grund av särskilda kategorier av uppgifter eller av andra orsaker. Verket bör granska och testa algoritmerna för att bevisa de verkligen fungerar på avsett sätt, och inte ger diskriminerande, felaktiga eller omotiverade resultat. Vid en oberoende ”tredjepartsgranskning” ska verket ge granskaren all nödvändig information om hur algoritmen fungerar. Migrationsverket kan inhämta avtalsmässiga försäkringar för tredjepartsalgoritmer som har granskats och testats och där algoritmen har befunnits uppfylla avtalade standarder. Vidare kan särskilda åtgärder för uppgiftsminimering vidtas för att införliva tydliga lagringsperioder för profiler och för personuppgifter som används för att skapa eller tillämpa profilerna.  

Algoritmens offentlighet 

Grundlagsutskottet har vid bedömningen av det s.k. försöket med basinkomst förutsatt att särskilda bestämmelser utfärdas om offentliggörandet och offentligheten av programkoden som ansluter sig till urvalsförfarandet (GrUU 51/2016 rd, s. 5). Vid bedömningen av lagförslaget om användning av flygpassageraruppgifter ansåg utskottet att det av skäl som föranleds av 12 § 2 mom. och 21 § i grundlagen noga ska granskas hur de föreslagna kriterierna och algoritmerna i de automatiserade metoder som eventuellt tillämpar dem förhåller sig till lagen om offentlighet i myndigheternas verksamhet och vid behov precisera regleringen (GrUU 29/2018 rd, s. 5). Vid bedömningen av förslaget till migrationsförvaltningens personuppgiftslag, konstaterade grundlagsutskottet att de ovannämnda faktorerna även ska uppmärksammas i migrationsförvaltningens personuppgiftslag (GrUU 62/2018 rd, s. 8).  

I 12 § 2 mom. i grundlagen föreskrivs om offentlighetsprincipen enligt vilken handlingar som innehas av myndigheterna är offentliga. Handlingarnas offentlighet är även en förutsättning för offentligheten av handläggningen och god förvaltning, som tryggas i grundlagens 21 § 2 mom. Offentlighetslagen innehåller inte särskilda bestämmelser om beslutsalgoritmens offentlighet, men begreppet myndighetshandling enligt lagens 5 § är brett, och i rättspraxis har till exempel logguppgifter om myndighetshandlingar ansetts vara myndighetshandlingar (Kuopion HAO 11.11.2011 11/0424/2, HFD:2014:69 och HFD 27.5.2015/1419). Därmed är utgångspunkten att också algoritmen för automatiserat beslutsfattande ska betraktas som offentlig, ifall inte någon av grunderna för sekretess i 24 § 1 mom. i offentlighetslagen tillämpas på dess sekretess.  

Den lagstiftning som skapar behörighet för migrationsförvaltningen utgör ramarna för algoritmen i Migrationsförvaltningens automatiserade beslutsfattande. Algoritmen ska innehålla den logik med vilken till exempel förutsättningarna för beviljandet av ett uppehållstillstånd med sina gränsvärden har utretts och med vilken tillståndets typ, art, begynnelsedatum och slutdatum har bedömts. En algoritm som leder till ett slutligt beslut är i princip offentlig enligt offentlighetsprincipen i 12 § 2 mom. i grundlagen. Den personuppgiftsansvariges skyldighet att offentliggöra de behandlingsalgoritmer som används vid automatiserat beslutsfattande på ett begripligt sätt följer direkt av artiklarna 13.2 f och 14.2 g i dataskyddsförordningen. Med beaktande av förutsättningarna för god förvaltning, offentlighetsprincipen och grundlagsutskottets ovan presenterade utlåtandepraxis ska det dock ännu separat i det föreslagna 2 mom. föreskrivas om genomförandet av algoritmernas offentlighet genom att ålägga Migrationsverket att offentliggöra den algoritm som lett till det slutliga beslutet vid automatiserat beslutsfattande. I bestämmelsen ska inte separat hänvisas till källkoden bakom algoritmen. Den offentliggjorda algoritmen ska vara i sådant format som är begripligt för den registrerade. Enligt dataskyddsarbetsgruppen uppfyller en sådant allmänt hållen skyldighet kraven enligt artikel 15.1 h i dataskyddsförordningen (WP 251/2017, s. 28). Skyldigheten kan fullgöras exempelvis genom att den algoritm som lett till det slutliga beslutet offentliggörs på Migrationsverkets webbplats. De delar av algoritmen som ska styra ett ärende från automatiskt beslutsfattande till behandling av en fysisk person ska inte vara offentliga. Detta är också nödvändigt för att Migrationsverkets arbetsmöjligheter inte ska äventyras, vilket kunde bli fallet om man offentliggjorde enskilda algoritmer som hänför sig till allmänna förutsättningar såsom oförvitlighet, allmän ordning och säkerhet eller till försök att kringgå inresebestämmelser. Inte heller bestämmelserna i dataskyddsförordningen ålägger att offentliggöra alla algoritmer som används vid behandlingen.  

Dessutom utgör den rätt som den registrerade har enligt andra meningen i 2 mom. att få en separat redogörelse för algoritmen för ett individuellt beslut vid automatisk behandling en kompletterande skyddsåtgärd enligt skäl 71 i ingressen till dataskyddsförordningen. Där ska Migrationsverket på ett för den registrerade begripligt sätt presentera hur den algoritm som lett till det slutliga beslutet i den registrerades sak fungerar. Skyldigheten att redogöra för vilken betydelse de algoritmer har som lett till det slutliga beslutet i det enskilda fallet ersätter inte skyldigheten att motivera beslut enligt 45 § i förvaltningslagen, utan det är i enlighet med beskrivning ovan fråga om en sådan skyddsåtgärd enligt riktlinjerna för tolkningen av artikel 22 i dataskyddsförordningen som kompletterar skyddet enligt de allmänna nationella lagarna.  

Tjänsteansvar 

Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag och lag noggrant iakttas i all offentlig verksamhet. Denna bestämmelse kompletteras av bestämmelserna om tjänsteansvar i 118 § i grundlagen. Enligt 1 mom. i den paragrafen svarar en tjänsteman för att hans eller hennes tjänsteåtgärder är lagliga. Tjänstemannen svarar också för sådana beslut i ett kollegialt organ som tjänstemannen i egenskap av medlem av organet har biträtt. Enligt 2 mom. svarar en föredragande som inte har reserverat sig mot ett beslut för det som har beslutats på föredragningen. Enligt första meningen i 3 mom. har var och en som har lidit rättskränkning eller skada till följd av en lagstridig åtgärd eller försummelse av en tjänsteman eller någon som sköter ett offentligt uppdrag, enligt vad som bestäms genom lag, rätt att yrka att denne döms till straff samt kräva skadestånd av det offentliga samfundet eller av tjänstemannen eller den som sköter det offentliga uppdraget. Det innebär att myndigheten svarar för ett eventuellt felaktigt beslut gentemot parten och i egenskap av personuppgiftsansvarig för eventuell felaktig behandling av personuppgifter i enlighet med straff-, skadestånds- och data-skyddslagstiftningen. 

Grundlagsutskottet slår i utlåtande GrUU 62/2018 rd, s. 8 fast att indirekt tjänsteansvar för ett beslut inte uppfyller kraven på tjänsteansvar i 118 § i grundlagen. Vid automatiserat beslutsfattande riktas tjänsteansvaret inte direkt mot ett beslut som fattats genom automatiserat förfarande och därför måste ansvaret bindas till en viss tjänsteställning inom organisationen. Enligt 1 § i statsrådets förordning om Migrationsverket (193/2002) leds, övervakas och utvecklas Migrationsverkets verksamhet av en överdirektör. Överdirektören ansvarar för verksamhetens resultat och för att målen uppnås samt rapporterar om dessa till inrikesministeriet. Det hör till överdirektörens ansvarsområde att se till att Migrationsverket använder klara verksamhetsmodeller för omsorgsfullt ibruktagande samt effektiv uppföljning och övervakning av förfarandet och att dessa verksamhetsmodeller i praktiken iakttas och verkställs. Enligt 2 § i förordningen avgör överdirektören de ärenden som ankommer på Migrationsverket. Överdirektören kan i ett enskilt fall förbehålla sig avgörandet av ett ärende som annars ankommer på någon annan tjänsteman att avgöra.  

Det bör emellertid observeras att de ärenden som kan behandlas i automatiserat beslutsfattande föreslås bli begränsade enligt 34 § 2 mom. 5 punkten, varvid merparten av ärendena gäller positiva beslut eller är sådana som förfaller. I sådana fall är det osannolikt att avgörandet skulle äventyra den registrerades rättssäkerhet. Det går ändå inte att utesluta att ett felaktiga förfaranden kan ha begränsade samhälleliga konsekvenser i form av felaktiga beslut om bifall. Det är som tidigare sagt så att automatiserat beslutsfattande kräver vissa skyddsåtgärder. Exempelvis måste Migrationsverket regelbundet se över de tekniska reglerna för behandlingsalgoritmerna inom automatiserat beslutsfattande och även i övrigt följa dataskyddsarbetsgruppens rekommendationer i WP 251/17-riktlinjerna i fråga om lämpliga skyddsåtgärder.  

Med beaktande av grundlagsutskottets utlåtande och vikten av att säkerställa en korrekt behandling föreslås det att Migrationsverket överdirektör i enlighet med 3 mom. svarar för förfarandet vid automatiserat beslutsfattande och för automatiserade individuella beslut inom förfarandet. 

22 §.Dataskyddsbrott. Enligt förslaget ska paragrafen hänvisa till det straff som föreskrivs i 38 kap. 9 § i strafflagen. Enligt 1 mom. 4 punkten i bestämmelsen om dataskyddsbrott i 8 kap. 9 § i strafflagen är i den närmare specificerad verksamhet i strid med någon annan lag som gäller behandling av personuppgifter straffbar. Också bestämmelsens 2 mom. gäller verksamhet i strid med någon annan lag om behandling av personuppgifter. Bestämmelsen om dataskyddsbrott är en straffbestämmelse in blanco. Av orsaker som hänför sig till legalitetsprincipen bör man förhålla sig avvaktande till sådana (t.ex. GrUU 10/2016 rd, s. 8, GrUU 31/2002 rd, s. 3, GrUU 15/1996 rd, s. 2/II, och GrUU 20/1997 rd, s. 3/II). Grundlagsutskottet underströk i samband med reformen av de grundläggande fri- och rättigheterna att målet bör vara att de kedjor av bemyndiganden som bestämmelserna in blanco kräver är exakt angivna och att de materiella bestämmelser som utgör ett villkor för straffbarhet avfattas med den exakthet som krävs av straffbestämmelser och att det av det normkomplex som bestämmelserna ingår i framgår att brott mot dem är straffbart. Också i den bestämmelse som inbegriper själva kriminaliseringen bör det finnas en saklig beskrivning av den gärning som avses bli kriminaliserad (GrUB 25/1994 rd). I nyare praxis har utskottet ansett att en precisering i bestämmelserna in blanco är ett villkor för att lagförslaget ska kunna behandlas i vanlig lagstiftningsordning (GrUU 10/2016 rd, s. 8—9). Också när bestämmelsen räknar upp de gärningsformer som kan vara straffbara har utskottet i sin praxis ansett att det behövs preciseringar genom mer exakta hänvisningar och rekvisitelement (GrUU 14/2018 rd, s. 21). Lagen om behandling av personuppgifter i migrationsförvaltningen är en sådan annan lag som gäller behandling av personuppgifter som avses i 38 kap. 9 § 1 mom. 4 punkten i strafflagen (GrUU 62/2018 rd). Därför måste det finnas en hänvisning till strafflagens bestämmelse om dataskyddsbrott. 

Enligt 38 kap. 9 § i strafflagen kan den personuppgiftsansvarige eller personuppgiftsbiträdet inte göra sig skyldiga till dataskyddsbrott. Den personuppgiftsansvarige och personuppgiftsbiträdet är i stället för straffrättsligt ansvar föremål för en administrativ påföljdsavgift. Enligt 24 § 4 mom. i dataskyddslagen får påföljdsavgiften inte påföras till exempel statliga myndigheter, statliga affärsverk, kommunala myndigheter eller självständiga offentligrättsliga institutioner. I 40 kap. 5 § i strafflagen föreskrivs separat om brott mot tjänstehemlighet.  

23 §.Ikraftträdande. Paragrafen innehåller bestämmelser om lagens ikraftträdande. Lagen avses träda i kraft så snart som möjligt. Genom den nya lagen upphävs lagen av den 1 januari 1998 om utlänningsregistret (1270/1997).  

24 §.Övergångsbestämmelse. Paragrafen avses innehålla en övergångsbestämmelse till den föreslagna 16 §. Avsikten är att se till att de tekniska bestämmelserna för radering hinner införas i fråga om ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar. Enligt övergångsbestämmelsen ska informationssystemen anpassas så att de stämmer överens med 16 § inom ett år från lagens ikraftträdande. Under övergångstiden tillämpas de bestämmelser om radering av personuppgifter som gällde vid ikraftträdandet av den föreslagna lagen. Sådana är bestämmelserna i 9 § i utlänningsregisterlagen, 54 § 1 mom. i mottagandelagen, 32 h § 1 mom. i förvarslagen och 62 § 1 mom. i integrationslagen.  

1.2  Lagen om mottagande av personer som söker internationellt skydd och om identifiering och hjälp till offer för människohandel

6 kap. Register. Det föreslås att kapitlet upphävs, eftersom bestämmelser om de saker som det föreskrivs om i kapitlet tas in i lagförslag 1 i denna proposition, dit regleringen om behandlingen av personuppgifter i migrationsförvaltningen koncentreras.  

39 §.Förordnande av företrädare. Det föreslås att ett nytt 4 mom. fogas till paragrafen. I momentet föreskrivs att styrningen, planeringen och övervakningen av verksamheten i anslutning till företrädande hör till Migrationsverkets uppgifter och att den förläggning eller flyktingsluss där barnet har registrerats som kund svarar för den praktiska administrationen av verksamheten i anslutning till företrädande. Tillägget följer av behovet av att även i fortsättningen säkerställa tillräckliga bestämmelser om myndigheternas behörighet. För närvarande föreskrivs det om saken endast i registerföringssyfte i 46 § 2 mom. i den gällande mottagandelagen. Det momentet föreslås bli upphävt som en del av 6 kap., som föreslås bli upphävt och det ska inte längre stiftas om registren i lagförslag 1 i propositionen eftersom registerbestämmelserna stryks som ett led i ändamålsbegränsningen. För tydlighets skull bör behörighetsbestämmelser tas in i den lagstiftning som ger myndigheterna behörighet. I praktiken är syftet med ändringen att behålla det gällande nuläget. Ordalydelsen ändras dock så att ordet uppföljning ersätts med ordet övervakning. Detta gör det till exempel möjligt att pröva klagomål.  

58 §.Rätt att få uppgifter. I 1 mom. föreslås de ändringar i rätten att få uppgifter som behövs på grund av regleringen i lagförslag 1 i denna proposition. Bestämmelser om rätt för Migrationsverket samt förläggningar och flyktingslussar att få uppgifter ingår i fortsättningen i 13 § i lagförslag 1 i denna proposition som en del av den systematik som gäller rätten att få uppgifter för personuppgiftsansvariga som avses i lagförslag 1. Bestämmelser om Migrationsverkets rätt att använda de uppgifter som anges i 1 mom. ingår i fortsättningen i 12 § 1 mom. 4 punkten i lagförslag 1. Förläggningarnas och flyktingslussarnas rätt att använda de uppgifter som föreskrivs i momentet utgör behandling av uppgifter i insamlingssyfte. Det föreslås att 3 mom. ändras genom att Folkpensionsanstalten tillfogas som myndighet som lämnar ut uppgifter, för att företrädare för barn utan vårdnadshavare ska ha rätt att direkt med stöd av lagstiftningen få sekretessbelagd information om minderårigas inkomster för att kunna sköta sina uppgifter  

1.3  Lagen om bemötande av utlänningar som tagits i förvar och om försvarsenheter

5 a kap. Register. Det föreslås att kapitlet upphävs, eftersom bestämmelser om de saker som det föreskrivs om i kapitlet ingår i fortsättningen i lagförslag 1 i denna proposition, dit regleringen om behandlingen av personuppgifter inom migrationsförvaltningen koncentreras.  

34 §.Sekretess. Paragrafens 1 mom. stryks som onödigt, eftersom bestämmelser om de saker som det föreskrivs om i momentet ingår i fortsättningen i 13 § i lagförslag 1 i denna proposition. Ordalydelsen i 2 mom. ändras, men det är fråga om en teknisk ändring. Paragrafens rubrik ändras för att motsvara paragrafens ändrade innehåll. 

1.4  Lagen om främjande av integration

8 kap.Registerbestämmelser. Det föreslås att kapitlet upphävs, eftersom bestämmelser om de saker som det föreskrivs om i kapitlet ingår i fortsättningen i lagförslag 1 i denna proposition, där regleringen om behandlingen av personuppgifter i syfte att anvisa personer till kommuner intas. 

87 §.Rätt att få uppgifter. Det föreslås att 3 mom. ändras genom att Folkpensionsanstalten tillfogas som myndighet som lämnar ut uppgifter, för att företrädare för barn utan vårdnadshavare ska ha rätt att direkt med stöd av lagstiftningen få sekretessbelagd information om minderårigas inkomster för att kunna sköta sina uppgifter 

1.5  Medborgarskapslagen

48 §.Rätt att få uppgifter ur register. Det föreslås att paragrafen upphävs, eftersom paragrafens bestämmelser om rätt att få uppgifter ingår i fortsättningen i 13 § i lagförslag 1 i denna proposition. 

1.6  Utlänningslagen

59 §.När uppehållstillstånd upphör att gälla. Det krävs smärre tekniska ändringar i 59 § när den registerbaserade regleringen frångås. I 2 mom. ersätts utlänningsregistret med ärendehanteringssystemet för utlänningsärenden. 

60 f §.När ett uppehållstillståndskort upphör att gälla. Det krävs smärre tekniska ändringar i bestämmelsen när den registerbaserade regleringen frångås. I 2 mom. ersätts utlänningsregistret med ärendehanteringssystemet för utlänningsärenden.  

131 §.Upptagande av signalement. När utlänningsregisterlagen upphävs ersätts 3 a och 3 b § i den lagen med 9 och 10 § i lagförslag 1 i denna proposition. Hänvisningen i 2 mom. till 3 b § i lagen om utlänningsregistret ska ersättas med en hänvisning till 10 § i lagförslag 1. Hänvisningen i 3 mom. till 3 a och 3 b § i lagen om utlänningsregistret ska ersättas med en hänvisning till 9 och 10 § i lagförslag 1. I 2 och 3 mom. görs dessutom vid behov en språklig ändring, dvs. föra in ändras till registrera. 

171 §.Behöriga myndigheter. Det krävs smärre tekniska ändringar i bestämmelsen när den registerbaserade regleringen frångås. I 1 mom. ersätts utlänningsregistret med ärendehanteringssystemet för utlänningsärenden.  

1.7  Lagen om Migrationsverket

1 §.Migrationsverket. I paragrafen föreskrivs att Migrationsverket finns inom inrikesministeriets förvaltningsområde. Det är fråga om en teknisk ändring av den finska språkdräkten eftersom ministeriets finska namn ändrades den 1 januari 2014. Avsikten är inte att ändra nuläget heller i andra avseenden, utan ge en tydligare beskrivning av Migrationsverkets ställning.  

2 §.Uppgifter. Ordalydelsen i paragrafens 2 mom. ska preciseras. I 3 momentet upphävs den första meningen, enligt vilken Migrationsverket ska föra utlänningsregistret, registret över mottagna klienter och företrädarregistret. Orsaken till detta är lagförslag 1 i denna proposition, där det föreskrivs om Migrationsverkets ansvar för förvaltningen och utvecklingen av ärendehanteringssystemet för utlänningsärenden. Det föreskrivs inte särskilt om registren. I 3 mom. föreskrivs det att Migrationsverket ansvarar för förvaltningen och utvecklingen av ärendehanteringssystemet för utlänningsärenden och att Migrationsverket ska tillhandahålla ministerierna och övriga myndigheter samt internationella organisationer information som gäller frågor inom dess verksamhetsområde. Ändringen förändrar inte nuläget i praktiken. 

3 §.Sökande av ändring. I paragrafen föreskrivs det att separata bestämmelser gäller för sökande av ändring i Migrationsverkets beslut. I paragrafen beskrivs till skillnad från nuläget inte desto närmare de lagar där det föreskrivs om sökande av ändring. För närvarande ingår bestämmelser om sökande av ändring i utlänningslagen, medborgarskapslagen, lagen om villkor för tredjelandsmedborgares inresa och vistelse för säsongsanställning, lagen om villkor för inresa och vistelse för tredjelandsmedborgare inom ramen för företagsintern förflyttning av personal samt lagen om villkoren för tredjelandsmedborgares inresa och vistelse på grund av forskning, studier, praktik och volontärarbete. 

1.8  Lagen om offentlighet i myndigheternas verksamhet

24 §.Sekretessbelagda myndighetshandlingar. Paragrafens 1 mom. ska enligt förslaget ändras på så sätt de särskilda sekretessgrunder som hänför sig till migrationen samlas i offentlighetslagen. Även innehållet i bestämmelserna ska preciseras.  

Det föreslås att tillämpningsområdet för 5 punkten ska utvidgas att gälla handlingar som innehåller uppgifter om inte bara polisens, Gränsbevakningsväsendets, Tullens och fångvårdsmyndigheternas utan även Migrationsverkets taktiska och tekniska metoder och planer. På samma sått som nu ska handlingar som innehåller uppgifter om polisens, Gränsbevakningsväsendets, Tullens och fångvårdsmyndigheternas taktiska och tekniska metoder och planer vara sekretessbelagda, om utlämnandet av uppgifter ur en sådan handling äventyrar förebyggande och utredning av brott eller upprätthållandet av allmän ordning och säkerhet eller ordningen vid en straffanstalt. Dessutom ska de handlingar som nämns i bestämmelsen vara sekretessbelagda även när utlämnandet av uppgifter ur en sådan handling äventyrar tillförlitligheten av Migrationsverkets utredning om en utlänning. Klausulen om skaderekvisit betyder en presumtion om handlingarnas offentlighet. Med utlänning avses på motsvarande sätt som i 3 § i utlänningslagen en person som inte är finsk medborgare. 

Migrationsverket har på basis av utlänningslagen, medborgarskapslagen, ICT-lagen, lagen om säsongsanställning samt forskar- och studerandelagen en skyldighet att utreda den berörda personens lagenliga förutsättningar för till exempel erhållande eller behållande av ett visst tillstånd, skydd eller annan förmån eller rättighet. Som allmänna förutsättningar enligt bestämmelserna ska verket utreda oförvitlighet, risken för allmän ordning och säkerhet eller försök att kringgå inresebestämmelser. Som en del av sina lagstadgade uppgifter ska Migrationsverket bland annat utreda den berörda partens identitet, nationalitet och hemland samt eventuellt frågor i anslutning till barnets intresse eller huruvida ett äktenskap eller familjeförhållande är äkta. Därtill gör Migrationsförvaltningen kontroller i olika myndighetsregister och handlingar, bland vilka det även finns uppgifter som på olika grunder är sekretessbelagda. Genom att reda ut huruvida de givna uppgifterna stämmer förebygger Migrationsverket missbruk av olika slag, exempelvis människohandel. 

Syftet med bestämmelsen är att hindra sådant missbruk som den absoluta offentligheten av taktiska och tekniska metoder och planer möjliggör och som också äventyrar tillförlitligheten av de utredningar som görs av Migrationsverket och samtidig verkets verksamhetsbetingelser. Metodernas effektivitet och genomslag förutsätter ofta att de hålls hemliga. Absolut offentlighet av detaljerna i taktiska och tekniska utredningsmetoder möjliggör till exempel skräddarsydda ansökningar som försöker kringgå migrationsbestämmelser och baserar sig på falska uppgifter. Om handlingar som beskriver metoder blir offentliga, är det mycket svårt att utreda om de är falska eller inte. De som ordnar olaglig migration kunde använda de uppgifter som de fått om bedömningsgrunderna eller utredningsmetoderna för att ordna inträde i landet för sådana personer som i verkligheten inte har grunder att få rätt till inresa och vistelse i landet. I yttersta fall kunde detta leda till att en person som utgör en risk för allmän ordning och säkerhet släpps in i landet. För att kunna utföra sina lagstadgade uppgifter måste Migrationsverket ha metoder för att identifiera falska uppgifter, och effektiviteten av dessa medel kan förutsätta att de är sekretessbelagda.  

I myndighetsförteckningen i 5 punkten föreslås en teknisk namnändring i och med att tullverket ersätts med Tullen. 

Enligt förslaget ska 24 punkten i momentet förnyas helt. För närvarande föreskrivs det i denna punkt om sekretessen av handlingar som gäller flyktingar eller personer som ansöker om asyl, uppehållstillstånd eller visum. Enligt gällande lag är nämnda handlingar sekretessbelagda om det inte är uppenbart att utlämnandet av uppgifter ur dessa inte äventyrar säkerheten för flyktingen eller sökanden eller en närstående. Enligt förslaget ska det under denna punkt även i fortsättningen föreskrivas om särskilda sekretessgrunder som riktar sig till migrationsförvaltningens klienter.  

Enligt den föreslagna bestämmelsen är handlingar av separat nämnda myndigheter som innehåller uppgifter om en utlännings inresa, vistelse, utresa eller förvärv, behållande, förlust av eller befrielse från finskt medborgarskap eller bestämmande av medborgarskapsstatus sekretessbelagda. Med vistelse i landet avses vistelse i som baserar sig på utlänningslagen, ICT-lagen, lagen om säsongsanställning samt forskar- och studerandelagen. 

Inom migrationsförvaltningen inleds behandlingen av ett ärende typiskt på sökandens initiativ enligt 20 § i förvaltningslagen, när de handlingar som behövs för ändamålet har kommit in till en behörig myndighet. Inom migrationsförvaltningen är sådana ärenden som initierats av sökande enligt utlänningslagen, medborgarskapslagen, ICT-lagen, lagen om säsongsanställning samt forskar- och studerandelagen till exempel ansökan om asyl eller uppehållstillstånd, ansökan av registrering av en EU-medborgares uppehållsrätt, ansökan om förvärv av eller befrielse från finskt medborgarskap eller ansökan om främlingspass. När en myndighet inleder behandlingen av ärendet, är de fråga om ärenden som inleds på myndighetens initiativ. Inom migrationsförvaltningen är sådana här ärenden som initierats av myndigheten och som baserar sig på ovannämnda lagar till exempel ärenden som gäller avlägsnande, avvisning och utvisning från landet samt återtagande av ställningar, tillstånd och handlingar av olika slag, exempelvis förlust av medborgarskap eller återtagande och fråntagande av uppehållstillstånd. 

I ett ärende som gäller inresa, utresa, uppehållstillstånd eller medborgarskap ansöker den berörda parten om någon förmån av en myndighet eller försöker bevara en förmån, och ger i detta syfte myndigheten mycket omfattande uppgifter som berör hans eller hennes privatliv och som han eller hon inte väntar sig bli offentliga eller kända av alla människor. I migrationsförvaltningen är det typiskt fråga om uppgifter som gäller en persons privatliv och personliga förhållanden och som personen överlämnar för att få eller bevara den förmån som han eller hon ansökt om. För att avgöra ärenden används det vid behov även uppgifter som har erhållits av andra myndigheter och som ofta gäller personernas privatliv och i hög grad innehåller känsliga uppgifter. Det är alltjämt nödvändigt att med en separat sekretessbestämmelse trygga den berörda partens tillit till att uppgifterna hemlighålls. Verksamhetsförutsättningarna för migrationsförvaltningens myndigheter och de berörda parternas rättsskydd äventyras, ifall de berörda parterna inte vill eller vågar ange omständigheter som är nödvändiga med tanke på avgörandet på grund av rädslan för att de blir allmänt kända, vilket kunde leda till negativa konsekvenser för dem eller deras närstående. Då får myndigheten inte korrekta uppgifter för avgörandet av ärendet. Tillförliten accentueras när det är fråga om barnets intresse eller en person som blivit föremål för missbruk eller människohandel. Om handlingarna var offentliga, kunde vem som helst, även en underrättelseorganisation i ett främmande land, få tag på handlingarna och uppgifterna i fråga. Offentligheten av de uppgifter som erhållits för att utreda ärendet kunde leda till oväntade och skadliga konsekvenser för individen, eftersom bara det att personen är i Finland och orsaken till detta kunde väcka negativ uppmärksamhet i hemlandet Detta kan leda till negativa konsekvenser för en utlänning som återvänder till sitt hemland men även för hans eller hennes familjemedlemmar och egendom. Även representanter för andra länder kan vara intresserade om uppgifterna. Därför kan begränsandet av uppgifter och handlingar som behandlas i de syften som avses i 1 § 1 mom. 1 eller 2 punkten i lagförslag 1 även framöver anses vara motiverat med tanke på skyddet för privatliv och personuppgifter. 

Den lagstiftning som ger behörighet åt migrationsförvaltningen har ändrats sedan slutet av 90-talet, då utlänningsregisterlagen och offentlighetslagen stiftades. Det har införts nya klientgrupper, till exempel registreringen av EU-medborgare. Även ärenden som gäller personer som vistas i ladet olagligt är framme på annat sätt än för några decennier sedan. I dessa nya klientgrupper är det dock, då det gäller sekretessen, fråga om en motsvarande situation som i de ärenden om migration som omfattas av den gällande 24 punkten i offentlighetslagen. 

För att trygga tilliten av klienterna inom migrationsförvaltningen och därmed även verksamhetsförutsättningarna för migrationsförvaltningens myndigheter är en sekretessbestämmelse gällande uppgifter och handlingar som behandlas för de syften som anges i 1 § 1 mom. 1 eller 2 punkten i migrationsförvaltningens personuppgiftslag alltjämt nödvändig för att skydda privatlivet och personuppgifterna för den berörda parten eller en närstående mot sådan skada eller olägenhet som handlingarnas offentlighet kunde orsaka. Begränsandet av offentligheten avses inte vara absolut utan på samma sätt som nu bundet till presumtionen om sekretess. Skaderekvisitet i den gällande 24 punkten har varit bundet till äventyrandet av den berörda partens eller en närståendes säkerhet, medan det på basis av utlänningsregisterlagen har räckt som grund för sekretessen att skada eller olägenhet kan orsakas för den vars uppgifter behandlas eller en närstående. 

Det föreslås att sekretessen av handlingar om inresa, utresa och vistelse sam medborgarskapsärenden ska reglerar med två skaderekvisitsklausuler med olika innehåll. Sekretessen av uppgifter och handlingar som lämnats till myndigheten beror på huruvida utlämnandet av en sådan uppgift kan orsaka den berörda parten eller en närstående skada eller olägenhet. För att begränsningen av offentligheten inte ska försämra möjligheterna att övervaka utnyttjandet av offentlig makt, avses den skaderekvisitsklausul som är bunden till orsakandet av olägenhet och skada dock inte gälla förvaltningsbeslut. Det är meningen att även i fortsättningen tillämpa på begränsandet av förvaltningsbeslutens offentlighet en klausul om skaderekvisit som motsvarar skaderekvisitet i 24 § 1 mom. 24 punkten i den gällande offentlighetslagen, där grunden för sekretessen är äventyrandet av säkerheten för den berörda personen eller en närstående. Däremot ska andra handlingar som upprättats av myndigheter än beslut, avvikande från nuläget, omfattas av en lägre sekretesströskel. Syftet med ändringen är att tydliggöra tolkningen av bestämmelsen. 

Avvikande från 11 § i den gällande utlänningsregisteragen, blir det inte nödvändigt att med stöd av den nya 24 punkten skydda Finlands internationella förhållanden och internationella samarbete, eftersom även 24 § 1 mom. 2 punkten kan tillämpas på dessa situationer. Till exempel den absoluta sekretessen som förutsätts i UNHCR:s (Förenta nationernas flyktingkommissariat) konventioner om kvotflyktingar påverkar framför allt Migrationsverkets verksamhet. I sina samarbetsavtal har flyktingorganisationen förutsatt att handlingar som upprättats av den, såsom förföljelseberättelsen och flyktingorganisationens bedömning om berättelsens trovärdighet och behovet av omplacering eller information om identiteten av organisations anställda, inte som sådana överlämnas till den person om vilken flyktingorganisationen i sin handling har gjort en bedömning. Syftet med begränsningen är att skydda säkerheten av de anställda inom flyktingorganisationen och organisationens verksamhetsförutsättningar. Även i rättspraxis (HFD 2012:124) har sekretessen av handlingar som gäller Finlands internationella förhållanden och internationellt samarbete motiverats med stöd av 24 § 1 mom. 2 punkten i offentlighetslagen. 

Tryggande av statens säkerhet är ett ändamål med utlänningsregistret enligt 2 § i utlänningsregisterlagen. Det är dock inte nödvändigt att i 24 § 1 mom. 24 punkten i offentlighetslagen hänvisa till den nationella säkerheten, eftersom redan andra sekretessgrunder enligt offentlighetslagen omfattar den, exempelvis 9 punkten, enligt vilken sekretessbelagda myndighetshandlingar, om inte något annat föreskrivs särskilt, är skyddspolisens och andra myndigheters handlingar som gäller upprätthållande av statens säkerhet, om det inte är uppenbart att utlämnandet av uppgifter ur dessa inte äventyrar statens säkerhet. Även i rättspraxis har sekretessen av handlingar om statens säkerhet motiverats med 24 § 1 mom. 9 punkten i offentlighetslagen. 

Även sekretessen av uppgifter som behövs för att upprätta en säkerhetsutredning bedöms med stöd av andra sekretessgrunder enligt offentlighetslagen. 

Sekretessbestämmelsen i 11 § i utlänningsregisterlagen har gällt uppgifter och handlingar som har erhållits för skötseln av uppgifter enligt 2 § i den lagen. I nämnda 2 § föreskrivs om registerföring och de ändamål för vilka utlänningsregistret förs och används. I utlänningsregistret är de personuppgiftsansvariga och de myndigheter som använder det Migrationsverket, utrikesministeriet, polisen, Gränsbevakningsväsendet, Tullen, närings-, trafik- och miljöcentralerna, arbets- och näringsbyråerna, arbetarskyddsmyndigheterna, fångvårdsmyndigheterna och diskrimineringsombudsmannen samt högsta förvaltningsdomstolen och de regionala förvaltningsdomstolarna. Enligt lagförslaget ska bestämmelsen dock bara gälla handlingar som behandlas av Migrationsverket, polisen, Gränsbevakningsväsendet, utrikesförvaltningen samt statens regionförvaltningsmyndigheter, dvs. NTM-centraler och TE-byråer, som behandlar en arbetstagares och företagares ansökningar om uppehållstillstånd på basis av lagstiftning som ger dem behörighet i de situationer som nämns i ifrågavarande punkter. På TE-byråer eller NTM-centraler ska den föreslagna 24 punkten tillämpas då de enligt utlänningslagen behandlar handlingar om en arbetstagares eller företagares uppehållstillstånd i fråga om utlänningars inresa och utresa, som avses i 1 § 1 mom. 1 punkten i lagförslag 1. 

Eftersom utrikesministeriet ska ersättas med utrikesförvaltningen i 3 § i lagförslag 1, gäller den föreslagna sekretessbestämmelsen uppgifter och handlingar som inte bara utrikesministeriet utan även representationer behandlar i anslutning till en utlännings inresa. Avvikande från utlänningsregisterlagen ska bestämmelsen i fortsättningen inte längre tillämpas på sekretessen av handlingar av Tullen, arbetarskyddsmyndigheterna, fångvårdsmyndigheterna, diskrimineringsombudsmannen eller högsta förvaltningsdomstolen och de regionala förvaltningsdomstolarna. Handlingar av de myndigheter som nämns i 24 punkten i momentet ska dock med stöd av 24 punkten hemlighållas när de överlämnas till en annan myndighet som hör till offentlighetslagens tillämpningsområde för skötseln av dess uppgifter. Detta innebär att antalet myndigheter som i praktiken tillämpar bestämmelsen är bredare än det som nämns i bestämmelsen. Till andra delar ska det på handlingar av myndigheter som tidigare hörde till tillämpningsområdet av 11 § i utlänningsregisterlagen tillämpas sekretessgrunderna enligt 24 § 1 mom. i offentlighetslagen, exempelvis den nya 31 c punkten. 

Till paragrafens 1 mom. föreslås en ny punkt 31 c, som avses komplettera andra sekretessgrunder som ansluter sig till personens säkerhet. I fråga om syfte motsvarar den nya bestämmelsen mycket långt det som har föreskrivits i den gällande 24 punkten, men personkretsen inom dess tillämpningsområde ska utvidgas från det nuvarande. Meningen är att tillämpa bestämmelsen på en utlänning, som även här betyder en person som inte är finsk medborgare. Därmed ska bestämmelsen inte bara, på samma sätt som den nuvarande 24 punkten, tillämpas på flyktingar eller personer som ansöker om asyl, uppehållstillstånd eller visum, utan även på sökande av registrering för en EU-medborgare eller ett uppehållskort för en EU-medborgares familjemedlem, sökande av medborgarskap eller en person som vistas olagligt i Finland. Syftet med ändringen är att på ett omfattande sätt sträcka den sekretessgrund som skyddar en persons eller de närståendes säkerhet till alla utlänningar som vistas i landet och samtidigt slopa oklarheten gällande tolkningen den nuvarande 24 punkten om huruvida sekretessgrunden kan användas efter att beslutet om internationellt skydd har fattats. Med tanke på tillämpningen av bestämmelsen ska inte heller det vara av någon betydelse varför myndigheten behandlar ärendet eller vem som har initierat ärendet. 

Bestämmelsen gör det till exempel möjligt att hemlighålla identiteten av en person som ansöker om internationellt skydd på grund av att säkerheten av sökanden eller en närstående person äventyras i situationer där hans eller hennes personuppgifter behandlas av andra myndigheter än migrationsförvaltningen. På de utlänningar som vistas i landet ska på sedvanligt sätt även tillämpas andra sekretessgrunder, dvs. till exempel uppgifter om en persons hälsotillstånd, ekonomiska ställning eller privatliv ska på basis av andra sekretessgrunder omfattas av absolut sekretess. 

Klausulen om skaderekvisit i bestämmelsen ska ändras. Skaderekvisitet i den gällande 24 punkten är en presumtion om sekretess, men i den föreslagna 31 c punkten ska presumtionen vara att handlingar är offentliga. Eftersom bestämmelsen ska gälla alla utlänningar som vistas i landet, leder en skaderekvisitsklausul som baserar sig på sekretess, i och med utvidgandet av den personkrets som hör till bestämmelsens tillämpningsområde, till ogrundad sekretess. Skaderekvisitet motsvarar tröskeln för hemlighållandet av en persons kontaktuppgifter enligt 31 punkten. Sekretessen ska ändå inte förutsätta att den berörda personen ber att hans eller hennes uppgifter ska hemlighållas. 

Handlingar som behandlas av migrationsförvaltningen som underlag för behandling av och beslut i ärenden som gäller inresa, vistelse och utresa eller förvärv, behållande, förlust av eller befrielse från finskt medborgarskap och för bestämmande av medborgarskapsstatus avses vara sekretessbelagda med stöd av den föreslagna 24 punkten, och även när de behandlas av andra myndigheter ska en skaderekvisitsklausul som baserar sig på en presumtion om sekretess enligt 24 punkten tillämpas. 

Även om sekretessgrunden också när det gäller den som ansöker om internationellt skydd förutsätter grundad anledning att misstänka äventyrandet av säkerheten för den vars uppgifter behandlas eller en närstående, är beslutet att hemlighålla handlingar eller uppgifter i dem inte knutet till det egentliga bedömandet av behovet av internationellt skydd. 

1.9  Säkerhetsutredningslagen

25 §.Informationskällor vid normal säkerhetsutredning av person. Hänvisningen i 1 mom. 10 punkten till det gällande utlänningsregistret och visumregistret ersätts med en hänvisning i enlighet med lagförslag 1 i denna proposition till ärendehanteringssystemet för utlänningsärenden eller till det nationella informationssystemet för viseringar. Säkerhetsutredningen av person ska enligt förslaget kunna basera sig på sådana registeruppgifter om vilka det föreskrivs i 7 § 1 mom., 2 mom. 1 eller 2 punkten eller i 4 mom. i lagförslag 1 i denna proposition till den del det är fråga om personuppgifter för familjemedlemmar, personer som bor i samma hushåll och mottagare i Finland i anknytning till 1 mom. eller 2 mom. 1 eller 2 punkten i nämnda paragraf eller i 8 §. Utredningen av bindningar till utlandet enligt 25 § 3 och 4 mom. i säkerhetsutredningslagen även som en del av en normal säkerhetsutredning förutsätter att registeruppgifterna för föremålet för utredningen även kontrolleras gällande släktingarnas nationaliteter så att de uppgifter som ifrågavarande person själv angett på ett pålitligt sätt kan kontrolleras i myndighetsregister. Till den här delen ska det alltså inte egentligen vara fråga om utsträckningen av utredningen till närstående. I sak motsvarar punkten den gällande lagen. I gällande 6 eller 7 § i utlänningsregisterlagen har det dock inte separat föreskrivits om alla uppgifter som hör till särskilda kategorier av personuppgifter och vilka som uppgifter om behandlingen av ärendet har bildat en del av det datainnehåll som står till förfogande.  

37 §.Informationskällor vid säkerhetsutredning av företag. Hänvisningen i 1 mom. 7 punkten till det gällande utlänningsregistret ersätts med en hänvisning till 7 § 1 mom. eller 2 mom. 1 eller 2 punkten i lagförslag 1 i denna proposition. Enligt 37 § 2 mom. i säkerhetsutredningslagen iakttas när det gäller informationskällor för säkerhetsutredningar som görs av ett företags ansvarspersoner bestämmelserna om säkerhetsutredning av person i 4 kap. Vid en säkerhetsutredning av företag får enligt 37 § 1 mom. 1 punkten användas uppgifter också om företagets ägare och deras nationalitet, om sådana uppgifter finns tillgängliga. För en säkerhetsutredning av företag kan det krävas behandling av personuppgifter som gäller också andra personer. I sak motsvarar punkten den gällande lagen.  

1.10  Lagen om Enheten för utredning av grå ekonomi

6 §.Syftet med fullgöranderapporter. I 1 mom. 25 punkten företas en teknisk ändring därför att det föreslås att en ny 26 punkt fogas till momentet.  

Enligt förslaget till 26 punkten utarbetas fullgöranderapporter till stöd för handläggning av och beslutsfattande och tillsynsuppgifter i ärenden som gäller utlänningars inresa, utresa, vistelse, arbete och medborgarskap. 

Utredning av tillräcklig försörjning är förutsättningen för beviljandet av ett uppehållstillstånd enligt utlänningslagen och utredning av en pålitlig källa för försörjning är förutsättningen för beviljandet av medborgarskap enligt medborgarskapslagen, och den ska bedömas av myndigheten i beslutsprövningen. Enligt 39 § i utlänningslagen anses utlänningens försörjning vara tryggad vid beviljande av första uppehållstillstånd om hans eller hennes vistelse i landet bekostas med inkomster från förvärvsarbete, verksamhet som företagare, pensioner, tillgångar eller andra källor som anses sedvanliga så att han eller hon inte kan antas bli beroende av utkomststöd enligt lagen om utkomststöd (1412/1997) eller av någon annan därmed jämförbar ekonomisk förmån som tryggar hans eller hennes försörjning. Enligt paragrafens 4 mom. ska sökanden för myndigheten förete en utredning om hur hans eller hennes försörjning tryggas i Finland. Enligt 73 § 3 mom. och 77 § 3 mom. i utlänningslagen ska det vid prövningen av en arbetstagares uppehållstillstånd uppmärksammas att utlänningens försörjning ska vara tryggad genom inkomster från förvärvsarbete under den tid som uppehållstillståndet gäller. Vidare står det i 76 § 2 mom. i utlänningslagen gällande uppehållstillstånd för företagare att en utlännings försörjning ska vara tryggad genom förvärvsarbete, företagsverksamhet eller på något annat sätt under den tid som uppehållstillståndet gäller. Vid prövning som gäller beslut om uppehållstillstånd för tillväxtföretagare enligt 47 h § i utlänningslagen ska uppfyllandet av försörjningsförutsättningen enligt 39 § i den lagen bedömas. Enligt 114 § 4 mom. och 115 § 2 mom. i utlänningslagen förutsätter beviljandet av uppehållstillstånd åt en familjemedlem eller annan anhörig som fått internationellt skydd eller tillfälligt skydd att utlänningens försörjning är tryggad. Även vid beviljandet av uppehållskort och vid bedömningen av förutsättningarna för registreringen av vistelserätten för en unions-medborgare ska man uppmärksamma förutsättningen om tryggad försörjning enligt 158 a § i utlänningslagen.  

I 13 § i medborgarskapslagen föreskrivs om de allmänna förutsättningarna för naturalisation, som ska uppfyllas när ansökan avgörs för att utlänningen ska kunna beviljas medborgarskap. Som en del av beslutsprövningen är det nödvändigt att bedöma förutsättningen enligt 13 § 1 mom. 4 och 5 punkten i medborgarskapslagen om huruvida utlänningen väsentligt har försummat sin underhållsskyldighet eller sina offentligrättsliga betalningsförpliktelser och tillförlitligt kan redogöra för sin försörjning.  

Enligt 72 § 3 punkten i utlänningslagen ska arbetsgivaren om arbets- och näringsbyrån kräver det, till en ansökan om uppehållstillstånd för arbetstagare foga en utredning om att arbetsgivaren har uppfyllt och i fortsättningen förmår uppfylla sina förpliktelser som arbetsgivare. Enligt 73 § 1 mom. 4 punkten i lagen baserar sig beviljandet av uppehållstillstånd för arbetstagare på en prövning där man ska säkerställa att de utredningar, den information och den försäkran arbetsgivaren fogat till ansökan stämmer överens med vad som föreskrivs i 72 §. 

Vid en företagares uppehållstillståndsprövning enligt 76 § i utlänningslagen ska man utöver försörjningsförutsättningen bedöma företagsverksamhetens lönsamhet. Vid bedömningen av lönsamheten är utgångspunkten huruvida företagets vinst är tillräcklig. Företagsverksamheten har inte ansetts vara lönsam om företaget inte har kunnat visa att det kan ta hand om sina förpliktelser, till exempel lagstadgade skatter eller lönebikostnader. Försummandet av förpliktelser kan också vara ett bevis på att utlänningens försörjning inte är tryggad med inkomsterna från företagsverksamheten.  

Vid behandlingen av ärenden och beslutsfattandet är det enligt förslaget meningen att använda fullgöranderapporten inte bara när arbetsgivarens förmåga att ta hand om sina förpliktelser som utländsk arbetsgivare utreds utan även vid utredning av en utländsk företagares förmåga att klara av sina förpliktelser. Ansökan kan avslås eller ett fortsatt tillstånd vägras om det på basis av de uppgifter som framkommer av fullgöranderapporten finns skäl att tvivla arbetsgivarens förmåga eller villighet att betala den lön till utlänningen som angetts i ansökan eller klara av andra arbetsgivarförpliktelser eller lönsamheten av en utländsk företagares företagsverksamhet eller hans eller hennes förmåga att försörja sig med sin företagsverksamhet. 

Enligt 58 § 5 mom. i utlänningslagen får ett tidsbegränsat uppehållstillstånd återkallas, om de villkor på grundval av vilka uppehållstillståndet beviljades inte längre uppfylls. Ett tidsbegränsat eller permanent uppehållstillstånd kan med stöd av 58 § 4 mom. i utlänningslagen återkallas, om vid ansökan om uppehållstillstånd medvetet har lämnats oriktiga upplysningar om sökandens identitet eller andra oriktiga upplysningar som har påverkat beslutet, eller om något som hade kunnat hindra beviljandet av uppehållstillstånd har hemlighållits. På samma sätt återkallas registrering av uppehållsrätten och ett tidsbegränsat uppehållskort enligt 165 § i utlänningslagen, om de förutsättningar utifrån vilka uppehållsrätten har registrerats eller det tidsbegränsade uppehållskortet har utfärdats inte längre finns eller om uppehållsrätten eller uppehållskortet har förvärvats på så sätt att det medvetet har lämnats oriktiga uppgifter om sökandens identitet eller andra oriktiga uppgifter som har påverkat beslutet eller att sådana uppgifter hemlighållits eller att rättigheter annars missbrukats. I 212 § 1 mom. i utlänningslagen ställs det för Migrationsverket en skyldighet att utöva tillsyn över iakttagandet av bestämmelserna i utlänningslagen. En utlännings gällande tillstånd kan återkallas, om det av fullgöranderapporten eller av tillsyns- eller kontrolluppgifter som erhållits på annat sätt framgår att arbetsgivaren inte har iakttagit de villkor för anställningen som den angett eller försummat sina arbetsgivarförpliktelser enligt lagen eller kollektivavtal eller att en utlännings företag inte längre uppfyller förutsättningarna för lönsam verksamhet. Den information som fås genom fullgöranderapporten ska även kunna användas vid bedömningen av behovet att rikta arbetsskydds- eller utlänningskontroll till arbetsgivare som sysselsätter utlänningar. 

Ansökan om tillstånd till säsongarbete kan avslås enligt 7 § och tillstånd återkallas enligt 14 § i lagen om villkor för tredjelandsmedborgares inresa och vistelse för säsongsanställning bland annat om arbetsgivaren inte har uppfyllt sina skyldigheter enligt lag eller kollektivavtal när det gäller social trygghet, beskattning, arbetstagares rättigheter, arbetsförhållanden eller anställningsvillkor eller om företaget har sökts i konkurs eller inte bedriver någon ekonomisk verksamhet. Enligt 8 § ska arbetsgivaren lämna en försäkran om att anställningsvillkoren överensstämmer med gällande bestämmelser och kollektivavtal.  

Migrationsverket kan med stöd av 20 § besluta att tillstånd för säsongsarbete inte beviljas för anställning hos en arbetsgivare som allvarligt försummar sina skyldigheter enligt lagen om säsonganställning eller utlänningslagen. Tillämpningen av bestämmelsen förutsätter att man vid Migrationsverket kan kontrollera att de förpliktelser som föreskrivs i utlänningslagen uppfylls, trots att delbeslutet enligt 73 § i utlänningslagen om uppfyllande av förpliktelserna som arbetsgivare när det gäller utlänningar skulle ha fattats av arbets- och näringsbyrån utifrån en utredning som begärts av arbetsgivaren med stöd av 72 § 1 mom. 3 punkten i utlänningslagen.  

Ansökan om ICT-uppehållstillstånd som beviljas i samband med en företagsintern förflyttning kan på de grunder som anges i 8 § i lagen om villkor för inresa och vistelse för tredjelandsmedborgare inom ramen för företagsintern förflyttning av personal avslås eller så kan ett gällande tillstånd i enlighet med 9 § i den lagen återkallas eller inte förlängas bland annat om arbetsgivaren eller värdföretaget inte har uppfyllt sina rättsliga skyldigheter beträffande social trygghet, beskattning, arbetstagares rättigheter eller arbetsförhållanden. Dessutom kan tillståndet avslås eller återkallas om företagets har sökts i konkurs eller inte bedriver någon ekonomisk verksamhet. Motsvarande bestämmelser gäller för grunderna för avslag på ansökan om mobilt ICT-uppehållstillstånd i lagens 25 §. 

Ett uppehållstillstånd enligt lagen om villkoren för tredjelandsmedborgares inresa och vistelse på grund av forskning, studier, praktik och volontärarbete kan enligt grunderna i 11 § avslås eller ett gällande tillstånd enligt 12 § återkallas eller inte förlängas bland annat om den mottagande enheten inte har uppfyllt sina rättsliga skyldigheter beträffande social trygghet, beskattning, arbetstagares rättigheter eller arbetsförhållanden. Därtill kan tillståndet avslås, återkallas eller inte förlängas, om den mottagande enheten har sökts i konkurs eller inte bedriver någon ekonomisk verksamhet. 

I samband med en helhetsbedömning gällande avvisning och utvisning enligt 146 § eller 168 b § i utlänningslagen ska man inte bara bedöma ifrågavarande persons ekonomiska situation utan även eventuella band gällande företagsverksamhet eller arbete i Finland. 

För att kunna ta i bruk fullgöranderapportservicen i rapporteringsdatasystemet och i ärendehanteringssystemet för utlänningsärenden måste man genomföra de nödvändiga gränssnitten och ha tekniskt beredskap. Därför föreslås lagen träda i kraft den 1 juni 2020.  

1.11  Lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten

28 §.Rätt att få uppgifter av andra myndigheter och uppgiftsskyldiga. Det krävs en smärre teknisk ändring i bestämmelsen när den registerbaserade regleringen frångås. I 1 mom. 6 punkten ersätts utlänningsregistret med ärendehanteringssystemet för utlänningsärenden. 

1.12  Lagen om identitetskort

13 §.Kontroll av personuppgifter och krav på motsvarighet. Det krävs smärre tekniska ändringar i bestämmelsen när utlänningsregisterlagen upphävs och den registerbaserade regleringen frångås. I 1 mom. ändras hänvisningen till utlänningsregisterlagen till en hänvisning till lagförslag 1. Dessutom ersätts utlänningsregistret med ärendehanteringssystemet för utlänningsärenden i 1 och 2 mom.  

1.13  Lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet

7 §.Behandling av PNR-uppgifter. Upphävandet av lagen om utlänningsregistret och avstående från ett registerbaserat regleringssätt ger anledning till smärre tekniska ändringsbehov i bestämmelsen. Hänvisningen i paragrafens 3 mom. 6 punkten till lagen om utlänningsregistret ska ersättas med en hänvisning till uppgifter som registrerats för de ändamål som anges i 1 § 1 mom. 1, 2 och 6 punkten i lagförslag 1, som kan anses motsvara tillämpningsområdet för 1 § i utlänningsregisterlagen, som avses i bestämmelsen. 

1.14  Lagen om behandling av personuppgifter inom Försvarsmakten

37 §.Rätt att få personuppgifter för skötseln av militärunderrättelseuppdrag och uppdrag för förebyggande och avslöjande av brott. Det krävs smärre tekniska ändringar i bestämmelsen när utlänningsregisterlagen upphävs och den registerbaserade regleringen frångås. I 1 mom. 3 punkten ändras hänvisningen till utlänningsregisterlagen till en hänvisning till lagförslag 1. Dessutom ändras utlänningsregistret till det nationella informationssystemet för viseringar i samma punkt. I 1 mom. 12 punkten i paragrafen ska hänvisningen till Migrationsverkets informationssystem ersättas med en hänvisning till ärendehanteringssystemet för utlänningsärenden. I punkten ska hänvisningen till det nationella informationssystemet för viseringar inte längre upprepas, eftersom de uppgifter som ingår i det redan har beaktats i paragrafens 1 mom. 3 punkten. 

1.15  Lagen om beskattningsförfarande

18 §.Myndigheternas allmänna skyldighet att lämna uppgifter. Det krävs en smärre teknisk ändring i bestämmelsen när utlänningsregisterlagen upphävs. I 7 mom. ändras hänvisningen till utlänningsregisterlagen till en hänvisning till lagförslag 1. 

1.16  Lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster

10 §.Kontroll av tillförlitligheten hos uppgifter som gäller utländska medborgare. Det krävs smärre tekniska ändringar i bestämmelsen när utlänningsregisterlagen upphävs och den registerbaserade regleringen frångås. I 1 mom. ändras hänvisningen till utlänningsregisterlagen till en hänvisning till lagförslag 1. Dessutom ersätts utlänningsregistret med ärendehanteringssystemet för utlänningsärenden i 1 och 2 mom.  

1.17  Lagen om nationella studie- och examensregister

21 §.Utlämnande av uppgifter ur antagningsregistret. Bestämmelsen behöver ändras i tekniskt hänseende när lagen om utlänningsregistret föreslås bli upphävd och till följd av de ändringar i utlänningslagen och medborgarskapslagen som trädde i kraft vid ingången av 2017, dvs. lagarna 501/2016 och 502/2016. Genom lagändringarna överfördes vissa av migrationsförvaltningens uppgifter från polisen till Migrationsverket. Lagändringarna innebar att Migrationsverket i praktiken blev enda tillståndsmyndighet för utlänningsärenden både för ärenden som gäller utlänningars uppehållsrätt och resedokument som beviljas utlänningar i Finland och i medborgarskapsärenden. Hänvisningen i 1 mom. 6 punkten till personuppgiftsansvariga enligt 3 § i lagen om utlänningsregistret ersätts med en hänvisning till Migrationsverket. Det beror på att verket till följd av de ändringar som trädde i kraft i början av 2017 är den enda myndigheten inom migrationsförvaltningen enligt 3 § i lagförslag 1 som har förutsättningar att få uppgifter ur antagningsregistret för att fullgöra uppgifterna enligt utlänningslagen och medborgarskapslagen. 

Ikraftträdande

Lagarna föreslås träda i kraft så snart som möjligt. Lagen om ändring av lagen om Enheten för utredning av grå ekonomi föreslås träda i kraft den 1 juni 2020. Dataskyddsförordningen tillämpas från och med den 25 maj 2018. 

Förhållande till grundlagen samt lagstiftningsordning

Regeringens proposition är av statsförfattningsrättslig betydelse särskilt med tanke på skyddet för personuppgifter som tryggas i 10 § i grundlagen. Enligt 10 § 1 mom. i grundlagen utfärdas bestämmelser om skydd för personuppgifter genom lag. Grundlagsutskottets praxis har varit att lagstiftarens handlingsutrymme dessutom begränsas av att skyddet för personuppgifter delvis ingår i samma moment som skyddet för privatlivet (t.ex. GrUU 71/2014 rd, s. 2). Grundlagsutskottet har ansett att lagstiftaren måste tillgodose skyddet för personuppgifter på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna över lag (t.ex. GrUU 18/2012 rd, s.2 och GrUU 71/2012, s. 2). Grundlagsutskottet har också ansett det viktigt att reglera i synnerhet registreringens syfte, innehållet i de registrerade personuppgifterna, tillåtna användningsändamål, möjligheterna att lämna ut uppgifterna och i synnerhet med hjälp av teknisk anslutning, förvaringstiden för uppgifterna samt den registrerades rättsskydd omfattande och detaljerat på lagnivå (t.ex. GrUU 12/2002 rd, s. 5, 19/2012 rd, s. 2 och GrUU 71/2014 rd, s. 2). Dessa synpunkter är tillämpliga på regleringen om användning av personuppgifter även i vidare bemärkelse (se t.ex. GrUU 29/2016 rd, GrUU 13/2016 rd, s. 3—4, GrUU 14/2009 rd, s. 2, GrUU 11/2008 rd, s. 3/I och GrUU 51/2002 rd, s. 1—2). 

Grundlagsutskottet har nyligen sett över sin praxis beträffande bestämmelser om skydd för personuppgifter. I sin nyare praxis har grundlagsutskottet ansett att det i princip räcker med avseende på 10 § 1 mom. i grundlagen att bestämmelserna uppfyller kraven i dataskyddsförordningen (se GrUU 14/2018 rd, s. 3—5, GrUU 15/2018 rd och GrUU 2/2018 rd). Grundlagsutskottet har konstaterat att skyddet för personuppgifter härefter i första hand bör tillgodoses med stöd av den allmänna dataskyddsförordningen och den nya nationella allmänna lagstiftningen. I det sammanhanget bör man undvika nationell speciallagstiftning, som bör reserveras för situationer då den är dels tillåten enligt dataskyddsförordningen, dels nödvändig för att tillgodose skyddet för personuppgifter (GrUU 2/2018 rd, s. 5). Enligt grundlagsutskottet räcker det i princip med att bestämmelserna om skydd för och behandling av personuppgifter är harmoniserade med dataskyddsförordningen. Enligt utskottets uppfattning gör de detaljerade bestämmelserna i dataskyddsförordningen det också möjligt att i fråga om myndighetsverksamhet lagstifta betydligt mer generellt om skydd för och behandling av personuppgifter jämfört med vår nuvarande nationella regleringsmodell. Utskottet har menat att den gällande lag-stiftningen om personuppgifter är mycket tungrodd och komplicerad och hänvisat till att det enligt utskottets praxis är särskilt viktigt med en tydlig reglering i fråga om denna typ av bestämmelser som har kopplingar till de grundläggande fri- och rättigheterna och som gäller fysiska personers normala dagliga aktiviteter (se GrUU 31/2017 rd, GrUU 45/2016 rd, s. 3 och GrUU 41/2006 rd, s. 4/II). Även med tanke på tydligheten bör vi förhålla oss restriktivt när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (GrUU 14/2018 rd, s. 3—5). 

Grundlagsutskottet har emellertid konstaterat att det är klart att behovet av speciallagstiftning ska bedömas även i enlighet med det riskbaserade synsätt som dataskyddsförordningen förutsätter genom att fästa uppmärksamhet vid de hot och risker som behandlingen orsakar. Ju högre risk behandlingen innebär för en fysisk persons rättigheter och friheter, desto mer motiverat är det med mer detaljerade bestämmelser. Enligt grundlagsutskottet är denna omständighet av särskild betydelse vid behandlingen av känsliga uppgifter. Enligt utskottet förknippas det allvarliga risker som gäller informationssäkerhet och missbruk av uppgifter med exceptionellt omfattande databaser som innehåller känsliga uppgifter och i sista hand kan det vara en persons identitet som är hotad (GrUU 13/2018 rd, s. 4, och GrUU 14/2009 rd, s. 3/I). Även i skäl 51 i ingressen till dataskyddsförordningen står det utskrivet att särskilda personuppgifter som avses i artikel 9 och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd, s. 5). Följaktligen menar grundlagsutskottet att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter. Behovet av lagbestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt GrUU 14/2018 rd, s. 5—6).  

Syftet med den förslagna lagen om behandling av personuppgifter i migrationsförvaltningen (lagförslag 1) är att kravet enligt 10 § 1 mom. i grundlagen på att bestämmelser om skydd för personuppgifter utfärdas genom lag ska uppfyllas inom migrationsförvaltningen. Med tanke på att de personuppgifter som behandlas inom migrationsförvaltningen är känsliga är den föreslagna personuppgiftslagen nödvändig på grund av de risker och hot som behandlingen orsakar. I den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen avvecklas den detaljerade regleringen när heltäckande och detaljerade bestämmelser inte längre är nödvändiga med tanke på skyddet för privatlivet. Samtidigt riktas mera detaljerade bestämmelser på basis av riskerna mot regleringsobjekt som kräver sådana. Eftersom en stor del av de personuppgifter som behandlas inom migrationsförvaltningen är känsliga, är det i fråga om dem skäl att fortfarande iaktta grundlagsutskottet praxis för tidigare bestämmelser på lagnivå. 

I 1 § i lagförslag 1 i propositionen föreskrivs om de syften för vilka personuppgifter får behandlas. Behandlingen av personuppgifter bygger på den lagstiftning som ger respektive personuppgiftsansvarig behörighet och där det föreskrivs uttömmande om respektive användningsändamål. Kravet på klar och förståelig lagstiftning stödjer valet att inte upprepa det som redan föreskrivs separat på något annat ställe i lagstiftningen. Syftet med behandlingen av personuppgifter är att göra det möjligt att fullgöra de lagstadgade uppgifter som föreskrivs för den personuppgiftsansvarige i den lag som skapar behörighet. I lagförslaget bildar ändamålen med behandlingen av personuppgifter den föreslagna lagens tillämpningsområde.  

I 3 § i lagförslag 1 föreskrivs det om gemensamt personuppgiftsansvariga. Grundlagsutskottet har framhävt hur bestämmelserna om gemensamt personuppgiftsansvar relaterar till bestämmelserna om utlämnande av uppgifter, den lagliga grunden för myndigheternas rätt att få information, ändamålsbundenheten i behandlingen av personuppgifter och grundlagsutskottets vedertagna praxis i fråga om regleringen av rätten att få och utlämna myndighetsuppgifter trots sekretessbestämmelserna (GrUU 62/2018 rd, s 4–6). Det finns inget nationellt handlingsutrymme när det gäller gemensamt personuppgiftsansvariga, vilket beror på det exceptionellt stora antalet aktörer inom migrationsförvaltningen samt på centraliseringen av bestämmelserna om behandlingen av personuppgifter. Denna utgångspunkt, som förutsätts av dataskyddsförordningen, är dock förening med den nationella principen om fristående myndigheter. Principen om fristående myndigheter kräver bestämmelser på lagnivå om överföring av uppgifter mellan personuppgiftsansvariga också när det är fråga om att behandla personuppgifter som en annan personuppgiftsansvarig har samlat in för det ursprungliga ändamålet. Begränsningsförutsättningarna enligt 8 § i den föreslagna lagen ska alltid tillämpas när personuppgifter som hör till särskilda kategorier av personuppgifter behandlas. 

I 7 § i lagförslag 1 föreskrivs om de behandlade personuppgifternas datainnehåll. Datainnehållet baserar sig på den lagstiftning som ger myndigheten behörighet. Det föreskrivs i huvudsak inte om datainnehåll på nivån för enskilda personuppgifter, utan i lagen föreskrivs om uppgiftskategorier på högre nivå där de personuppgifter som ingår får behandlas. Ett mera allmänt regleringssätt än tidigare är motiverat med hänsyn till grundlagsutskottets ståndpunkt att nationell speciallagstiftning ska reserveras för att tillgodose skyddet av personuppgifter endast när det är nödvändigt. En ny personuppgiftskategori som det föreskrivs om är behandling av så kallade uppgifter om iakttagelser. Även uppgifterna om iakttagelser ska uppfylla principerna enligt artikel 5 i dataskyddsförordningen för behandlingen av personuppgifter, dvs. de ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Eftersom det handlar om en potentiellt mycket omfattande datamängd som berör privatlivet och uppgifter om iakttagelser dessutom ofta av är otillförlitligt slag och det finns risk för att oskyldiga personer stämplas, är det nödvändigt att behandlingen av uppgifterna begränsas på det sätt som grundlagsutskottet förutsätter (GrUU 18/2012 rd s. 4 och GrUU 71/2014 rd, s. 2–3). Till uppgifterna om iakttagelser ska det om möjligt fogas uppgift om den som lämnat uppgiften eller om uppgiftskällan samt en bedömning av dennes tillförlitlighet och uppgifternas riktighet. Det föreskrivs särskilt om radering av uppgifter om iakttagelser. Förutsättningarna för behandling av uppgifter om iakttagelse ska tolkas restriktivt beroende på uppgifternas natur.  

I 8 § i lagförslag 1 föreskrivs det om behandling av särskilda kategorier av personuppgifter. För att skapa en klar och förståelig lagstiftnings används uttrycket "särskilda kategorier av personuppgifter" så att det täcker personuppgifter som på olika grunder bedöms vara särskilt riskkänsliga. De bestämmelser på lagnivå som grundlagsutskottet förutsätter på grund av sitt riskbaserade synsätt är nödvändiga för att skydda särskilda kategorier av personuppgifter. Eftersom behandling av dessa uppgifter kan medföra betydande risker för de grundläggande fri- och rättigheterna, måste de skyddas särskilt noga. Därför finns det skäl att begränsa behandlingen av dem genom exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla dem bara om det är absolut nödvändigt och för vissa användningsändamål enligt 1 § i den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen. Det föreskrivs särskilt om datainnehållet i uppgifter som tillhör särskilda kategorier av personuppgifter, behandling av uppgifterna samt användning av dem för andra ändamål än det ursprungliga samt om utlämnande och radering av dem genom att förutsättningarna för att behandla, utlämna och radera dem begränsas noggrannare än i fråga om andra personuppgifter. Dessutom föreskrivs det särskilt om behandling av fingeravtryck på ett sätt som motsvarar den gällande lagen om utlänningsregistret i 9 och 10 § i den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen. De allmänna bestämmelserna om behandling av personuppgifter för andra ändamål än det ursprungliga samt om utlämnande av personuppgifter gäller inte uppgifter om fingeravtryck. Bestämmelserna om fingeravtryck överensstämmer i det avseendet med nuläget. Det föreskrivs särskilt om utlämnande av personuppgifter, inklusive uppgifter om fingeravtryck, till Europeiska unionens gemensamma informationssystem.  

Den nationella speciallagstiftningen om behandling av personuppgifter har traditionellt innehållit bestämmelser om både utlämnande av personuppgifter och erhållande av uppgifter. Även om regleringstekniken inte har betraktats som författningsrättsligt problematisk, är regleringssättet problematiskt för den som ska tillämpa lagen. För att undvika dubbel reglering är det ändamålsenligt att föreskriva om samma sak endast i den ena myndighetens lagstiftning. I propositionen har man utgått från att det föreskrivs om rätten att få uppgifter i mottagarens ända, eftersom det är fråga om dennes rätt att få personuppgifter. Det föreskrivs särskilt om Migrationsverkets, förläggningarnas och flyktingslussarnas, förvarsenheternas samt närings-, trafik- och miljöcentralernas, arbets- och näringscentralernas och utrikesförvaltningens rätt att få uppgifter i 13 § i lagförslag 1 i propositionen. De personuppgiftsansvarigas rätt att få uppgifter baserar sig på utförandet av lagstadgade uppgifter. Det föreskrivs således om rätten att få uppgifter i lag. 

Enligt grundlagsutskottets etablerade ståndpunkt ska lagstiftningen innehålla ett krav på att informationen är nödvändig för ett visst syfte när lagen inte ger en uttömmande förteckning över innehållet i uppgifterna. Å andra sidan har utskottet ansett att grundlagen inte tillåter en generös och ospecificerad rätt att få uppgifter, inte ens om den är förenad med nödvändighetskriteriet (se t.ex. GrUU 15/2018 rd, s.41, GrUU 17/2016 rd, s. 5—6, GrUU 71/2014 rd, s. 3, GrUU 62/2010 rd, s. 4/I och GrUU 59/2010 rd, s. 4/I). I propositionen specificeras de personuppgiftsansvariga vilkas rätt att få uppgifter det handlar om. Rätten att få uppgifter ska vara knuten delvis till kravet på nödvändighet och delvis till kravet på behövlighet. De olika bestämmelserna kommer att skilja sig från varandra i fråga om hur detaljerade och exakt avgränsade de är på det sätt som grundlagsutskottet kräver. När rätten till uppgifter är knuten till nödvändighet ska den preciseras ytterligare genom att knyta den till de användningsändamål som anges i 1 §. I sådana fall kommer datainnehållet inte att preciseras i lagförslaget. När rätten att få upp-gifter är knuten till behövlighetskravet ska både användningsändamål och även datainnehåll preciseras. Dessutom föreskrivs det om de myndigheter och andra aktörer av vilka uppgifter kan fås. 

Därutöver förutsätter grundlagsutskottets ståndpunkt om utlämnande av uppgifter att det ska föreskrivas om utlämnande av uppgifter mellan gemensamt personuppgiftsansvariga. I 11 § i lagförslag 1 finns bestämmelser om personuppgiftsansvarigas behandling av personuppgifter för det ursprungliga ändamålet med behandlingen inom lagens tillämpningsområde. I de föreslagna 1 och 3 § finns bestämmelser om syftena med behandling av personuppgifter och de myndigheter som är personuppgiftsansvariga när de fullgör sina uppgifter enligt den lagstiftning som ger dem behörighet. Enligt 29 § i offentlighetslagen kan en myndighet till en annan myndighet lämna ut uppgifter ur sekretessbelagda handlingar, om det i lag särskilt tagits in uttryckliga bestämmelser om rätten att lämna ut eller att få uppgifter. Grundlagsutskottet har uttryckt oro för att uppgifter trots sekretessbestämmelser kan överföras mellan de myndigheter som är gemensamt personuppgiftsansvariga, om registrerade känsliga och sekretessbelagda uppgifter som registreras i ett senare skede behandlas i samma syfte men av en annan gemensamt personuppgiftsansvarig myndighet. Grundlagsutskottet påminde om att bestämmelserna om sekretess och utlämnande av uppgifter trots sekretess i lagen om offentlighet i myndigheternas verksamhet, som tillämpas såsom allmän lag på migrationsförvaltningen, grundar sig på principen om att myndigheternas verksamhet ska hållas åtskild från varandra. I sin lagtillämpning är myndigheterna självständiga i relation till varandra. GrUU 62/2018 rd).  

Högsta förvaltningsdomstolen har i sina avgöranden (HFD 2013:120–121) beskrivit hur informationen i dagens läge i praktiken rör sig mellan olika myndigheter. Enligt förvaltningsdomstolen är den huvudsakliga avsikten med utlänningsregistret, som Migrationsverket upprätthåller, att i syfte att säkerställa flexibelt beslutsfattande kombinera flera olika myndighetsaktörer, som antingen fattar beslut i utlänningsärenden eller utför utredningar åt andra myndigheter som underlag för dylika beslut. Med hjälp av ett register som är tillgänglig för flera myndigheter kan uppgifter fås på ett snabbare och med tanke på dataskydd mer säkert sätt än genom utredningsbegäranden och svar på dem. De uppgifter som fås av myndigheter gäller ofta personernas privatliv och innehåller till en stor del känsliga uppgifter. Med anledning av detta är det nödvändigt för migrationsförvaltningens myndigheter att, i enlighet med den lagstiftningen som ger dem behörighet, behandla uppgifter i ärendehanteringssystemet för utlänningsärenden, även om man i regleringen avstod från bestämmelser om kasuistiskt utlämnande och erhållande av uppgifter i utlänningsregisterlagen. Regleringssättet avviker något från grundlagsutskottets utlåtandepraxis gällande utlämnande av uppgifter på så sätt att bestämmelsen definierar mer allmänt datainnehållet och det hur uppgifter rör sig mellan personuppgiftsansvariga enligt 3 § i lagen, men dock så att den lagstiftning som ger var och en myndighet behörighet alltid begränsar datainnehållet till de uppgifter som behandlas.  

Syftet med den föreslagna 11 § är att ordna överlämnandet av sekretessbelagda uppgifter mellan personuppgiftsansvariga enligt 3 § då de i enlighet med den lagstiftning som ger dem behörighet behandlar en persons uppgifter i ett behandlingssyfte som överensstämmer med 1 § i lagen. För att trygga verksamhetsförutsättningarna för myndigheterna inom migrationsförvaltningen, kräver grundlagsutskottets utlåtandepraxis och principen om fristående myndigheter enligt offentlighetslagen bestämmelser på lagnivå om överföring av uppgifter mellan personuppgiftsansvariga också när det är fråga om att behandla personuppgifter som en annan personuppgiftsansvarig har samlat in för det ursprungliga ändamålet. 

I 12 § i lagförslag 1 i propositionen föreskrivs om behandling av personuppgifter för andra ändamål än det ursprungliga. När det gäller omfattande register med biometriska kännetecken finns det enligt grundlagsutskottet orsak att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för. I de fallen kan bara exakt avgränsade och mycket små undantag göras från ändamålsbegränsningen. Bestämmelserna får inte leda till att någon annan verksamhet än den som är förknippad med det ursprungliga användningsändamålet blir det huvudsakliga ändamålet och inte ens ett betydande användningsändamål (GrUU 14/2009 rd, s. 4, GrUU 14/2017 rd och GrUU 1/2018 rd).  

I 14 § i lagförslag 1 i propositionen föreskrivs om utlämnande av uppgifter. I bestämmelsen om utlämnande av uppgifter hänvisas till uppgiftsmottagarens lagstadgade rätt till information. Det behövs dock fortfarande bestämmelser om utlämnande av uppgifter med tanke på de villkor som ställs för bestämmelser som bryter sekretessen i 29 § i offentlighetslagen. Det föreskrivs särskilt om begränsningar av utlämnandet av särskilda kategorier av personuppgifter och fingeravtryck. Personuppgifter som hör till särskilda kategorier av personuppgifter får lämnas ut i enlighet med vad som föreskrivs i det föreslagna 1 mom. endast när det är nödvändigt för att myndigheten i fråga ska kunna utföra sina lagstadgade uppgifter. Bestämmelserna om fingeravtryck återfinns i 9 och 10 § i lagförslag 1.  

I 15 § i lagförslag 1 i propositionen föreskrivs därtill om rätt för Migrationsverket att trots sekretessbestämmelserna lämna ut uppgifter till Europeiska unionens gemensamma informationssystem. En del av de uppgifter som lämnas ut med stöd av denna bestämmelse är biometriska uppgifter som ska jämställas med känsliga uppgifter, såsom fingeravtryck, och för att skydda dem på behörigt sätt måste det föreskrivas om utlämnande av dem, så att den berörda personens integritet kan skyddas. Dessutom ska man genom att föreskriva om utlämnande av uppgifter ta hänsyn till de förutsättningar som i 29 § i offentlighetslagen har ställts för reglering som bryter sekretessen. 

I den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen förskrivs inte längre om utlämnande av uppgifter via en teknisk anslutning, och inte om tekniskt skydd av utlämnande uppgifter. Grundlagsutskottet har tidigare förutsatt att det föreskrivs om teknisk anslutning som en del av registerregleringen (GrUU 12/2002 rd, s. 5), men i sin senare utlåtandepraxis har utskottet inte längre lyft fram detta som ett regleringsobjekt som är viktigt för skyddet av personuppgifter (GrUU 14/2018 rd, GrUU 2/2018 rd och GrUU 31/2017 rd). I informationshanteringslagen föreskrivs på allmän lagnivå om utlämning av uppgifter via ett tekniskt gränssnitt eller genom åtkomsträtt till systemet. 

I 16 och 17 § i lagförslag 1 i propositionen föreskrivs det om radering av personuppgifter. Grundlagsutskottet har av hävd ansett det viktigt att förvaringstiden för uppgifter i personregister regleras i lag på grund av laghänvisningen avseende skydd för personuppgifter i 10 § i grundlagen. Dessutom har grundlagsutskottet förutsatt att regleringen av förvaringstiden på lagnivå är omfattande och detaljerad. Därför bör bestämmelser om förvaringstid innehålla en tidsangivelse (GrUU 20/2006 rd, s. 3). Tidsfristerna för radering av personuppgifter baserar sig på myndighetens behov av att behandla uppgifter i anslutning till personen och dennes ärende även efter att behandlingen av ett enskilt ärende avslutats, till exempel i samband med att ett annat ärende som gäller sökanden har inletts. Härigenom eftersträvas såväl att sökandens rättsskydd tillgodoses som skydd för privatlivet och tillsyn över att inresebestämmelserna iakttas. Tidsfristerna som gäller radering av personuppgifter fördelas så att vissa grundläggande uppgifter om personer ska förvaras längre än andra. Det föreskrivs särskilt om radering av uppgifter som hör till särskilda kategorier av personuppgifter, uppgifter om iakttagelser samt uppgifter som konstaterats vara felaktigt med stöd av det riskbaserade synsättet.  

Bestämmelser om automatiserat individuellt beslutsfattande enligt artikel 22 i dataskyddsförordningen finns i 21 § i lagförslag 1. Den föreslagna bestämmelsen har en koppling till flera bestämmelser i grundlagen, såsom förvaltningens lagbundenhet, offentlighetsprincipen, rättssäkerheten, god förvaltning och tjänsteansvar.  

Grundlagsutskottet har med hänsyn till 21 § och kravet på att offentlig maktutövning ska grunda sig på lag noterat att man inte ens i en masshantering får äventyra kraven på god förvaltning eller parternas rättssäkerhet (GrUU 62/2018 rd, s. 7, GrUU 49/2017 rd, s. 5, och GrUU 35/2005 rd, s. 3). I den föreslagna bestämmelsen begränsas automatiserat beslutsfattande till ärenden som Migrationsverket behandlar och där en part enligt 34 § 2 mom. 1 eller 5 punkten i förvaltningslagen inte har ett intresse av att höras. Det rör sig i huvudsak om ärenden där personen får ett positivt beslut eller som förfaller med stöd av utlänningslagen. Vid automatiserat beslutsfattande tillämpas både procedurreglerna i förvaltningslagen och förvaltningsprocesslagens eller utlänningslagens bestämmelser om ändringssökande. En part har således rätt till ett motiverat beslut. Ett beslut som fattats genom automatiserat förfarande ger dessutom en part rätt att på begäran få en redogörelse i begriplig form om de algoritmer som påverkat avgörandet i ärendet. En part får överklaga ett beslut som fattats genom automatiserat förfarande på samma sätt som andra beslut av Migrationsverket. Dessutom preciserar bestämmelsen den skyldighet att lämna information som dataskyddsförordningen kräver, och i 6 § i lagförslag 1 finns bestämmelser om kontaktpunkter för registrerade, vilket bidrar till att förbättra parternas rättssäkerhet på det sätt som dataskyddsförordningen förutsätter.  

Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag och lag noggrant iakttas i all offentlig verksamhet. I 118 § i grundlagen föreskrivs det om ansvar för ämbetsåtgärder. Grundlagsutskottet anser att det för att kraven på rättssäkerhet och god förvaltning ska anses vara uppfyllda krävs bland annat att ärendena behandlas i enlighet med de allmänna förvaltningslagarna och att de som behandlar ärendena handlar under tjänsteansvar (GrUU 62/2018 rd, s. 8, GrUU 26/2017 rd, s. 50, GrUU 33/2004 rd, s. 7/II, och GrUU 46/2002 rd, s. 9). Vid automatiserat beslutsfattande riktas tjänsteansvaret inte direkt mot ett beslut som fattats genom automatiserat förfarande och därför är ansvaret bundet till en viss tjänsteställning inom organisationen. Därför föreslås det en bestämmelse om att Migrationsverkets överdirektör ansvarar för förfarandet vid automatiserat beslutsfattande och beslut inom förfarandet. 

I utredningsprojektet Algoritm som beslutsfattare? (2019:44), som publicerats i juni 2019 i statsrådets publikationsserie för utrednings- och forskningsverksamhet, konstaterades det att fastställandet och utnämnandet av den ansvariga parten ska vara en förutsättning för ibruktagandet av algoritmiskt beslutsfattande för att man ska kunna försäkra sig om att de grundläggande fri- och rättigheter av framför allt förvaltningens klienter skyddas på ett tillräckligt sätt. När det gäller algoritmiskt beslutsfattande förutsätter uppståendet av ansvar ett samband mellan en tjänsteman och beslutandeprocessen. När systemet producerar ett beslut på ett helt eller delvis automatiserat sätt, särskiljs beslutsfattande delvis från den verksamhet av en enskild tjänsteman till vilken tjänsteansvaret vanligen binds. Det skadeståndsansvar enligt 118 § 3 mom. i grundlagen som är centralt från klientens synvinkel kan i och för sig även riktas till ett offentligt samfund i stället för en enskild tjänsteman, vilket betyder att man åtminstone i princip kan anse att en del av de rättsskyddsgarantier som verkställs genom tjänsteansvar som sådana även lämpar sig till algoritmiskt beslutsfattande. Däremot har det straffrättsliga ansvaret bundits till en enskild tjänstemans verksamhet, vilket gör att kriminaliseringar enligt 40 kap. i strafflagen inte som sådana lämpar sig för algoritmiskt beslutsfattande. 

I en sådan här ny situation där ett algoritmiskt system direkt skapar ett förvaltningsbeslut är en tjänsteman inte längre klart föredragande eller beslutsfattare. Enligt utredningen kan det klaraste sättet att garantera att beslutsfattandet överensstämmer med grundlagen vara reglering på lagnivå, i vilken det tas ställning till fördelningen och lokaliseringen av ansvaret, när tillämpningar för algoritmiskt beslutsfattande utnyttjas. För att man ska kunna fastställa den ansvariga parten har tjänsteansvaret i den föreslagna bestämmelsen bundits till Migrationsverkets överdirektör. I så fall riktas det skadeståndsansvar som är centralt för förvaltningens klienter i praktiken ofta till Migrationsverket, eftersom det sällan kan anses att ett vållande som kan realisera skadeståndsansvaret sker i överdirektörens verksamhet. Enligt 3 kap. 1 § i skadeståndslagen (412/1974) skadeståndsansvaret kan riktas till en myndighet i stället för en enskild tjänsteman. Enligt 1 § statsrådets förordning om Migrationsverket leds, övervakas och utvecklas Migrationsverkets verksamhet av en överdirektör. Överdirektören ansvarar för verksamhetens resultat och för att målen uppnås samt rapporterar om dessa till inrikesministeriet. Migrationsförvaltningens överdirektör har i sista hand ansvaret för det att verkets verksamhet överensstämmer med lagen och att man i det automatiserade beslutsfattandet följer utöver den tillämpliga lagstiftningen för migrationsförvaltningen även de nationella allmänna lagarna för förvaltningen samt de skyddsåtgärder som dataskyddsarbetsgruppen förutsätter. Detta innebär att även om ansvaret när det gäller skadestånd även kan riktas enbart till Migrationsverket, måste bestämmelsen bindas till en person, när det gäller straffrättsligt ansvar.  

Den föreslagna bestämmelsen avviker från grundlagsutskottets etablerade utlåtandepraxis när det gäller tjänsteansvar, eftersom det automatiserade beslutsfattandet lösgör sig från en ansvarskonstruktion som bygger på en tjänstemans mänskliga verksamhetsroll. För att trygga beslutsfattandets grundlagsenlighet ska det dock föreskrivas om tjänsteansvar på lagnivå på så sätt att man med tanke på en persons rättsskydd tryggar det att den ansvariga parten kan fastställas även i situationer i vilka det inte är uppenbart. Grundlagsutskottet påpekade i sitt utlåtande GrUU 62/2018 rd, s. 9 att automatiserat beslutsfattande förefaller inkludera ett flertal frågor som inte har reglerats i de allmänna lagarna för förvaltningen och förutsatte att justitieministeriet utreder frågan och regleringsbehovet inom den allmänna lagstiftningen. Migrationsverkets beslutandeprocesser måste effektiviseras så att personalresurser kan riktas till sådana avgöranden som kräver prövning. Grundlagsutskottet har inte haft någonting att anmärka mot effektiviseringsmålet med automatiserat beslutsfattande vid Migrationsverket (GrUU 62/2018 rd, s. 7). Också kraven på rättsskydd och god förvaltning förutsätter att förfarandena för automatiserade beslutsprocesser enligt artikel 22 i dataskyddsförordningen regleras särskilt genom lag. Med anledning av det som konstaterats ovan är det nödvändigt att föreskriva om den automatiserade beslutsprocessen innan justitieministeriets utredning blir färdig. 

I 12 § 2 mom. i grundlagen föreskrivs det om offentlighetsprincipen. Närmare bestämmelser om offentligheten i myndigheternas verksamhet finns i offentlighetslagen. Handlingarnas offentlighet är även en förutsättning för offentligheten av handläggningen och god förvaltning, som tryggas i grundlagens 21 § 2 mom. Grundlagsutskottet har vid bedömningen av det s.k. försöket med basinkomst förutsatt att särskilda bestämmelser utfärdas om offentliggörandet och offentligheten av programkoden som ansluter sig till urvalsförfarandet (GrUU 51/2016 rd, s. 5). Vid bedömningen av lagförslaget om användning av flygpassageraruppgifter ansåg utskottet att det av skäl som föranleds av 12 § 2 mom. och 21 § i grundlagen noga ska granskas hur de föreslagna kriterierna och algoritmerna i de automatiserade metoder som eventuellt tillämpar dem förhåller sig till lagen om offentlighet i myndigheternas verksamhet och vid behov precisera regleringen (GrUU 29/2018 rd, s. 5). Vid bedömningen av förslaget till migrationsförvaltningens personuppgiftslag, konstaterade grundlagsutskottet att de ovannämnda faktorerna även ska uppmärksammas i migrationsförvaltningens personuppgiftslag (GrUU 62/2018 rd, s. 8).  

Den lagstiftning som skapar behörighet för migrationsförvaltningen utgör ramarna för algoritmen i Migrationsförvaltningens automatiserade beslutsfattande. Algoritmen ska innehålla den logik med vilken till exempel förutsättningarna för beviljandet av ett uppehållstillstånd med sina gränsvärden har utretts och med vilken tillståndets typ, art, begynnelsedatum och slutdatum har bedömts. En algoritm som leder till ett slutligt beslut är i princip offentlig enligt offentlighetsprincipen i 12 § 2 mom. i grundlagen. Även enligt artikel 13 och 14 i dataskyddsförordningen ska personuppgiftsansvariga offentliggöra meningsfull information om logiken bakom behandlingen, dvs. de använda behandlingsalgoritmerna. Med beaktande av förutsättningarna för god förvaltning, offentlighetsprincipen och grundlagsutskottets ovan presenterade utlåtandepraxis ska det dock ännu separat i det föreslagna 21 § 2 mom. i lagförslag 1 föreskrivas om Migrationsverkets skyldighet att offentliggöra den algoritm som lett till det slutliga beslutet vid automatiserat beslutsfattande. 

Dessutom innebär den föreslagna bestämmelsen att parter som så önskar av Migrationsverket begära en begriplig redogörelse om algoritmen för ett slutliga beslutet som fattats genom automatiserat förfarande. Trots detta ska också beslut som fattas genom ett automatiserat beslutsförfarande motiveras på normalt sätt i enlighet med 45 § i förvaltningslagen, och sådana går att överklaga i enlighet med förvaltningslagen eller utlänningslagen. Bestämmelsen om automatiserat beslutsfattande begränsar inte regleringen i förvaltningslagen eller förvaltningsprocesslagen.  

Regleringen om automatiserat beslutsfattande motsvarar kraven i dataskyddsförordningen och sörjer för såväl god förvaltning och rättssäkerhet som offentlighetsprincipen i Migrationsverkets automatiserade beslutsprocesser. 

I förslaget föreslås det att bestämmelserna om sekretess i offentlighetslagen ska ändras. Enligt förslaget ska innehållet i bestämmelserna i huvudsak förbli oförändrat, men vissa av förslaget framgående ändringar ska göras i dem. På basis av det som grundlagsutskottet påpekat i sitt utlåtande GrUU 62/2018 rd (s. 9) föreslås det emellertid att de sekretessgrunder som särskild gäller migrationsförvaltningens verksamhet och som tidigare ingått i speciallagen och allmän lag ska koncentreras till offentlighetslagen.  

När det gäller den nya 31 c punkten i 24 § i offentlighetslagen samt de i 24 punkten avsedda förvaltningsbeslut ska sekretessgrunden vara den personlig integritet som var och en har rätt till enligt 7 § i grundlagen. Främjande av den andra annan grundläggande rättighet har i grundlagsutskottets utlåtandepraxis (GrUU 39/2009 rd, GrUU 2/2008 rd, s. 2 och GrUU 40/2005 rd) ansetts vara ett sådant tvingande skäl som ger möjlighet att separat i lag begränsa handlingars offentlighet enligt 12 § 2 mom. i grundlagen. Till andra delar ska sekretessgrunden i den föreslagna 24 punkten basera sig på skydd för privatliv och personuppgifter enligt 10 § i grundlagen samt artiklarna 7 och 8 i Europakonventionen. Utskottet har ansett att exempelvis sekretess för känsliga uppgifter kan ses som nödvändigt för att skydda privatlivet i enlighet med 10 § 1 mom. i grundlagen (GrUU 14/2018 rd, GrUU 39/2009 rd, s. 2/I, I). Även om andra än känsliga personuppgifter kommer att skyddas på basis av bestämmelsen, kan begränsandet av offentligheten alltjämt anses vara nödvändigt i migrationsförvaltningens verksamhet, som förutsätter behandling av personuppgifter som i betydande grad berör en persons privatliv. Begränsandet av offentligheten tryggar för sin del även myndigheternas verksamhetsbetingelser och en individs personliga säkerhet. Man har tagit hand om begränsningens proportionsenlighet samt balansen mellan handlingars offentlighet och skyddet för personuppgifter inte bara genom att i fråga om förvaltningsbeslut använda en annan klausul om skaderekvisit utan också genom att begränsa sekretessgrunden att undantagsvis bara gälla handlingar av vissa myndigheter (se GrUU 14/2018 rd, GrUU 22/2008 rd, s. 4/I). Utvidgningen av den sekretess som föreslås i 5 punkten i paragrafen även till sekretessen av Migrationsverkets taktiska och tekniska utredningsmetoder och planer är å sin sida nödvändig för att bevara pålitligheten av verkets utredningar om utlänningar och samtidigt även verksamhetsförutsättningar som riktar sig till verkets kärnfunktioner. 

Det föreslås att sekretessens omfattning ska från fall till fall begränsas med klausuler om skaderekvisit som förutsätter tolkning till det som i varje enskild situation, på det sättet som grundlagen förutsätter, ska anses vara nödvändigt med tanke på de intressen som skyddas (se GrUU 43/1998 rd, s. 4). 

På ovan anförda grunder kan lagförslagen behandlas i vanlig lagstiftningsordning. Trots detta rekommenderas det att man inhämtar grundlagsutskottets utlåtande om regeringens proposition.  

Kläm 

Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag:  

Lagförslag

1. Lag om behandling av personuppgifter i migrationsförvaltningen 

I enlighet med riksdagens beslut föreskrivs:  
1 §  
Lagens tillämpningsområde och ändamålet med behandlingen av personuppgifter 
Denna lag tillämpas, om inte annat föreskrivs någon annanstans i lag, på helt eller delvis automatiserad behandling av personuppgifter och på annan behandling av personuppgifter, om personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant, och personuppgifterna behandlas för följande ändamål 
1) behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse, 
2) behandling av och beslut i ärenden som gäller förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap samt bestämmande av medborgarskapsstatus,  
3) mottagande av personer som söker internationellt skydd eller får tillfälligt skydd, hjälp till offer för människohandel, verksamhet i anslutning till företrädande av barn utan vårdnadshavare inom mottagningsverksamheten samt styrning, planering och övervakning av dessa verksamheter, 
4) placering av en utlänning i en förvarsenhet, bemötande av en utlänning i en förvarsenhet samt upprätthållandet av ordningen och säkerheten vid en förvarsenhet,  
5) anvisande till kommuner,  
6) skyddet av den nationella säkerheten. 
Denna lag tillämpas därtill på rätten att behandla och få uppgifter om juridiska personer i syften som avses i 1 mom. 
Denna lag tillämpas inte på diplomatiska representanter i Finland eller på sådana tjänstemän i internationella organisationer vilkas ställning det finns bestämmelser om i internationella avtal som är bindande för Finland. 
2 §  Förhållande till övrig lagstiftning 
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och i dataskyddslagen (1050/2018).  
Om inte något annat föreskrivs i denna lag, tillämpas 
1) på behandling av personuppgifter i avsikt att skydda den nationella säkerheten lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018),  
2) på rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister vad som föreskrivs om offentlighet i myndigheternas verksamhet.  
3 §  Gemensamt personuppgiftsansvariga 
Vid behandlingen av personuppgifter med stöd av denna lag är de gemensamt personuppgiftsansvariga  
1) Migrationsverket,  
2) Polisstyrelsen och skyddspolisen,  
3) Gränsbevakningsväsendet,  
4) förläggningarna och flyktingslussarna,  
5) förvarsenheterna,  
6) utrikesförvaltningen,  
7) närings-, trafik- och miljöcentralerna,  
8) arbets- och näringscentralerna. 
Varje personuppgiftsansvarigs behörighet att behandla personuppgifter grundar sig på bestämmelserna om ifrågavarande myndighets behörighet.  
Varje personuppgiftsansvarig svarar för att personuppgifter behandlas lagenligt i dess verksamhet. Varje personuppgiftsansvarig svarar för de personuppgifter som den registrerat.  
4 §  Ärendehanteringssystemet för utlänningsärenden 
Migrationsverket ansvarar för utvecklingen och förvaltningen av ett ärendehanterings-systemför utlänningsärenden. 
Migrationsverket svarar för radering av andra uppgifter än enskilda personuppgifter och för utlämnande av sådana uppgifter ur ärendehanteringssystemet för utlänningsärenden samt för öppnande av elektroniska förbindelser för åtkomst till ärendehanteringssystemet för utlänningsärenden.  
5 §  Nationella informationssystemet för viseringar 
Utrikesförvaltningen ansvarar för utvecklingen och förvaltningen av ett nationellt informationssystem för viseringar.  
Utrikesförvaltningen svarar för radering av andra uppgifter än enskilda personuppgifter och för utlämnande av sådana uppgifter ur det nationella informationssystemet för viseringar samt öppnande av elektroniska förbindelser för åtkomst till det nationella informationssystemet för viseringar. 
6 §  Kontaktpunkter för registrerade 
Migrationsverket är kontaktpunkt för dem som registrerats i ärendehanteringssystemet för utlänningsärenden. 
Utrikesförvaltningen är kontaktpunkt för dem som registrerats i det nationella informationssystemet för viseringar.  
7 §  Personuppgifter som får behandlas 
Den personuppgiftsansvarige får för de ändamål som anges i 1 §, i den mån det är behövligt, behandla personers identifieringsuppgifter, uppgifter om familjeförhållandena, uppgifter om företrädande, uppgifter som beskriver kunnande, kontaktuppgifter samt uppgifter om resedokument och det kort över ett anhängigt ansökningsärende som avses 96 § i utlänningslagen (301/2004).  
Den personuppgiftsansvarige får dessutom, i den mån det är behövligt, behandla 
1) uppgifter som framgår av en ansökan, framställning, begäran eller anmälan eller av förfrågningar eller höranden som gjorts på grund av dessa,  
2) uppgifter om behandling och utredning av samt beslut i ärenden,  
3) uppgifter som gäller mottagningstjänster och annan verksamhet som hör till mottagningen, företrädares identifierings- och kontaktuppgifter, uppgifter som gäller förordnande av företrädare, befriande av företrädare från sitt uppdrag och upphörande av företrädaruppdraget samt uppgifter som behövs vid styrning, planering och övervakning av företrädarverksamheten,  
4) uppgifter om när en utlänning har placerats i en förvarsenhet och när han eller hon har lämnat den, uppgifter som behövs för ordnande, planering, genomförande, uppföljning av tagandet i förvar och för tryggande av ett korrekt bemötande av utlänningar som tagits i förvar samt uppgifter om personer som besöker utlänningar som tagits i förvar och om andra personer som besöker förvarsenheten och övriga uppgifter som gäller besöket,  
5) uppgifter om till vilken kommun en person har anvisats. 
Den personuppgiftsansvarige får dessutom, i den mån det är behövligt, behandla sådana uppgifter om iakttagelser gjorda av eller anmälda till den personuppgiftsansvarige som utifrån omständigheterna eller en persons beteende med fog kan bedömas anknyta till den personuppgiftsansvariges behörighet att övervaka att förutsättningarna för personens inresa och vistelse i landet uppfylls eller behörighet att besluta om förvärv eller förlust av finskt medborgarskap, eller som med fog kan bedömas anknyta till den personuppgiftsansvariges skyldighet att sörja för arbetarskyddet för sina anställda. Till uppgifterna om iakttagelser ska det fogas uppgift om vem som lämnat uppgifterna eller on informationskällan samt en bedömning av uppgiftslämnarens eller informationskällans tillförlitlighet och uppgifternas riktighet, om detta är möjligt. 
Den personuppgiftsansvarige får dessutom, i den mån det är behövligt, behandla personuppgifter som avser familjemedlemmar och personer som bor i samma hushåll samt personuppgifter som avser mottagare i Finland och personuppgifter som avser dem som anställer en utländsk arbetstagare. 
8 §  Särskilda kategorier av personuppgifter som får behandlas 
Den personuppgiftsansvarige får, i den mån det är nödvändigt, för de ändamål som avses i 1 § 1 mom. 
1) 1 och 3—6 punkten behandla personuppgifter som avslöjar ras eller etniskt ursprung,  
2) 1 och 3—6 punkten behandla personuppgifter som avslöjar politiska åsikter eller religiös eller filosofisk övertygelse,  
3) 1, 3 och 6 punkten behandla personuppgifter som avslöjar medlemskap i fackförening,  
4) 1 och 6 punkten genetiska personuppgifter eller biometriska personuppgifter för att entydigt identifiera en fysisk person,  
5) 1—6 punkten behandla uppgifter om hälsa,  
6) 1 och 3—6 punkten behandla uppgifter om socialservice,  
7) 1 och 3—6 punkten behandla uppgifter om en fysisk persons sexualliv eller sexuella läggning,  
8) 1—6 punkten behandla personuppgifter som rör domar i brottmål och överträdelser. 
9 §  Behandling av uppgifter om fingeravtryck som tagits för ansökningar om främlingspass och resedokument för flykting 
De fingeravtryck som tagits för ansökningar om främlingspass och resedokument för flykting ska registreras. Fingeravtrycken får användas av Migrationsverket, polisen och Gränsbevakningsväsendet och av Tullen när den fullgör uppgifter som ankommer på gränskontrollmyndigheter samt av utrikesförvaltningen. 
Rätt att använda fingeravtrycksuppgifter har bara de personer vars arbetsuppgifter nödvändigtvis kräver det. Fingeravtryck får användas endast för fastställande av identitet och tillverkning av främlingspass eller resedokument för flykting. Polisen har dessutom rätt att använda fingeravtrycksuppgifter med iakttagande av 15 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet (616/2019). Den som har rätt att använda uppgifterna har rätt att ta fingeravtryck av en registrerad och jämföra dessa med registrerade fingeravtryck.  
Uppgifter som tagits för jämförelsen får användas endast när jämförelsen görs och ska därefter förstöras omedelbart.  
10 §  Behandling av uppgifter om fingeravtryck som tagits för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem  
De fingeravtryck som tagits för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem ska registreras. Fingeravtrycken får användas av Migrationsverket, polisen, gränskontrollmyndigheter och finska beskickningar. 
Fingeravtrycken får endast användas för att, inom ramen för befogenheter i anknytning till de ändamål som anges i 1 § 1 mom. 1 och 6 punkten samt inom ramen för befogenheter i anknytning till en säkerhetsutredning enligt lagen om säkerhetsutredningar (726/2014) verifiera autenticiteten av ett uppehållstillståndskort och identiteten hos innehavaren av ett uppehållstillstånd, för behandling av och för beslut och övervakning i ärenden som gäller utlänningars inresa och utresa samt vistelse och arbete och för skyddet av den nationella säkerheten. En myndighet som har rätt att använda uppgifterna har rätt att jämföra dem med i denna paragraf avsedda tidigare registrerade fingeravtryck och med fingeravtryck som tagits för ansökningar om främlingspass och resedokument för flykting samt med fingeravtryck som med stöd av 131 § i utlänningslagen registrerats i polisens register. Dessutom får uppgifter för kontroll av inreseförutsättningarna jämföras med sådana fingeravtryck som ingår i de signalementsuppgifter enligt tvångsmedelslagen (806/2011) som avses i 6 § i lagen om behandling av personuppgifter i polisens verksamhet, när de redan registrerade fingeravtrycksuppgifterna har samband med ett brott för vilket det föreskrivna strängaste straffet är fängelse i minst ett år. 
Polisen har dessutom rätt att använda i denna paragraf avsedda tidigare registrerade fingeravtryck med iakttagande av 15 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet.  
Uppgifter som tagits för jämförelse får användas endast när jämförelsen görs, varefter de ska förstöras omedelbart. 
Migrationsverket har dessutom rätt att med den aktuella personens samtycke använda i denna paragraf avsedda tidigare registrerade fingeravtryck för tillverkning av uppehållstillståndskort och av uppehållskort för unionsmedborgares familjemedlem. 
11 §  Behandling av personuppgifter för det ursprungliga ändamålet  
En personregisteransvarig får trots sekretessbestämmelserna, i enlighet med sin egen behörighet, inom ramen för vart och ett av de ändamål som anges i 1 § 1 mom. 1—6 punkten för det ursprungliga ändamålet behandla personuppgifter som samlats in av en annan personuppgiftsansvarig. 
12 §  Behandling av personuppgifter för andra ändamål än det ursprungliga.  
De personuppgiftsansvariga får, trots sekretessbestämmelserna, för andra ändamål än det ursprungliga behandla andra personuppgifter som samlats in och registrerats med stöd av denna lag än personuppgifter som hör till särskilda kategorier av personuppgifter, om det är nödvändigt för utförandet av den personuppgiftsansvariges lagstadgade uppgifter eller om 
1) uppgifterna behövs för utredning av identitet, 
2) Migrationsverket behöver uppgifter som samlats in med stöd av 1 § 1 mom. 1 punkten för att sköta uppgifter enligt 2 punkten i det momentet, 
3) Migrationsverket, polisen, Gränsbevakningsväsendet eller utrikesförvaltningen behöver uppgifter som samlats in med stöd av 1 § 1 mom. 2 punkten för att sköta uppgifter enligt 1 punkten i det momentet, 
4) Migrationsverket, polisen, Gränsbevakningsväsendet eller närings-, trafik- och miljöcentralen behöver uppgifter som samlats in med stöd av 1 § 1 mom. 3 punkten för att sköta uppgifter som gäller personer som söker internationellt skydd, personer som får tillfälligt skydd eller offer för människohandel eller för att sköta uppgifter som gäller utlänningars vistelse i Finland eller inresa,  
5) Migrationsverket, en förläggning eller en flyktingsluss behöver uppgifter som samlats in med stöd av 1 § 1 mom. 1 punkten för att sköta uppgifter enligt 3 punkten i det momentet,  
6) Migrationsverket, en förläggning, en flyktingsluss, polisen eller Gränsbevakningsväsendet behöver uppgifter som samlats in med stöd av 1 § 1 mom. 4 punkten för att sköta uppgifter som gäller utlänningars vistelse i Finland eller avlägsnande ur landet, mottagande av personer som söker internationellt skydd eller får tillfälligt skydd eller hjälp till offer för människohandel,  
7) Migrationsverket eller en förvarsenhet behöver uppgifter som samlats in med stöd av 1 § 1 mom. 1—3 punkten för att sköta uppgifter 4 punkten i det momentet,  
8) Migrationsverket behöver uppgifter som samlats in med stöd av 1 § 1 mom. 5 punkten för att sköta uppgifter som gäller invandring,  
9) närings-, trafik- och miljöcentralen behöver uppgifter som samlats in med stöd av 1 § 1 mom. 1—3 punkten för att sköta uppgifter enligt 5 punkten i det momentet. 
Personuppgiftsansvariga får trots sekretessbestämmelserna behandla personuppgifter som hör till särskilda kategorier av personuppgifter för andra ändamål än det ursprungliga i de fall som avses i 1 mom. 1—9 punkten endast om det är nödvändigt för att myndigheten i fråga ska kunna utföra sina lagstadgade uppgifter. 
Vad som föreskrivs i denna paragraf gäller inte fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort eller av den som ansöker om främlingspass eller resedokument för flykting, om inte annat föreskrivs någon annanstans i lag.  
13 §  Rätt att få uppgifter  
Migrationsverket samt förläggningar, flyktingslussar och förvarsenheter har, för utförande av uppgifter enligt de ändamål som anges i 1 § 1 mom. 1—5 punkten, och närings-, trafik- och miljöcentralerna, arbets- och näringscentralerna och utrikesförvaltningen har, för utförande av uppgifter enligt de ändamål som anges i 1 § 1 mom. 1 punkten, rätt att trots sekretessbestämmelserna och avgiftsfritt få nödvändiga uppgifter om fysiska och juridiska personer av de aktörer som anges i 4 § i lagen om offentlighet i myndigheternas verksamhet (621/1999).  
Migrationsverket samt förläggningar, flyktingslussar och förvarsenheter har dessutom rätt att trots sekretessbestämmelserna och avgiftsfritt för utförandet av sina uppgifter få följande behövliga uppgifter 
1) av Rättsregistercentralen ur bötesregistret, när det gäller uppgifter om andra personer än sådana som ansöker om uppehållstillstånd, sådana personuppgifter, uppgifter om avgöranden, verkställighetsärenden, förvandlingsstraff och händelser som, när det ska fastställas vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd, kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om den som står i beroendeställning till personen, 
2) av Rättsregistercentralen ur justitieförvaltningens riksomfattande informationssystem och dess delsystem uppgifter om
a) brott som en anknytningsperson misstänks ha begått och som är eller har varit anhängiga vid åklagarmyndigheter eller domstolar, för bedömning av ett barns bästa, möjligheterna till ett gemensamt liv eller försörjningsförutsättningen vid en helhetsbedömning av förutsättningarna för uppehållstillstånd och uppehållsrätt,
b) försörjningsplikt för utredning av om förutsättningarna för uppehållstillstånd på grund av familjeband, för uppehållskort eller för registrering av uppehållsrätt uppfylls,
c) försörjningsplikt för utredning av försörjningsförutsättningen,
d) anhängiga domstolsärenden och avgöranden som gäller Migrationsverkets beslut eller behörighet eller som är av betydelse med tanke på behandlingen av ett ärende som är anhängigt vid Migrationsverket,
e) handlingar som gäller inledande av, handlingar som ligger till grund för ett avgörande av och handlingar som gäller behandlingen av ett ärende för bedömning av ett barns bästa och de allmänna förutsättningarna för beviljande av uppehållstillstånd samt,
f) andra personer än sådana som ansöker om uppehållstillstånd, när det ska fastställas vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd, om uppgifterna kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om den som står i beroendeställning till personen,
 
3) av förundersökningsmyndigheterna, vid en helhetsbedömning av förutsättningarna för uppehållstillstånd och uppehållsrätt, uppgifter om brottsmisstankar mot en anknytningsperson för bedömning av ett barns bästa, möjligheterna till ett gemensamt liv eller försörjningsförutsättningarna samt, vid beslutsprövning av huruvida en person ska tas med i hjälpsystemet för offer för människohandel, uppgifter om förundersökning av brott och polisanmälningar som är eller har varit anhängiga, 
4) av polisen uppgifter om andra personer än sådana som ansöker om uppehållstillstånd när det ska fastställas vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd, om uppgifterna kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om den som står i beroendeställning till personen,  
5) av Folkpensionsanstalten uppgifter om inkomster, förmåner och familjeband för utredning av misstänkt motstridiga uppgifter eller äktheten i fråga om arbetsförhållanden och familjeband,  
6) av kommunens socialmyndigheter uppgifter som, när det ska fastställas vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om den som står i beroendeställning till personen, samt, för utredning av behovet av hjälpåtgärder, uppgifter om bakgrund och situation för en person som föreslås ingå i hjälpsystemet för offer för människohandel och de social- och hälsovårdstjänster som personen får samt uppgifter om utredning av behovet av barnskydd och klientrelationen inom barnskyddet, 
7) av Skatteförvaltningen sådana uppgifter om förmögenhet och inkomster i fråga om andra personer än sådana som ansöker om uppehållstillstånd som, när det ska fastställas vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om en annan person, samt uppgifter om förmögenhet och inkomster för utredning av misstänkt motstridiga uppgifter eller äktheten i fråga om arbetsförhållanden och familjeband, 
8) av Utbildningsstyrelsen eller av utbildningsanordnaren, vid en helhetsbedömning av förutsättningarna för uppehållstillstånd, uppehållsrätt eller medborgarskap, i fråga om utlänningar uppgifter om inledande av studierätten, tillfälligt avbrytande av studierätten, annat tillfälligt avbrott i studier, studierättens och studiernas upphörande samt terminsavgiftens storlek och betalning av den, om sådana stipendier, bostadsförmåner och måltidsförmåner som beviljas av utbildningsanordnaren samt om studieprestationer, vitsord och examina,  
9) av Brottspåföljdsmyndigheten kontaktuppgifter till och uppgift om vistelseort och frigivningsdag i fråga om andra personer än sådana som ansöker om uppehållstillstånd, om uppgifterna, när det ska fastställas vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd, kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om den som står i beroendeställning till personen, 
10) av utrikesförvaltningen uppgifter om avslagsbeslut som gäller legalisering av en handling för bedömning av utländska handlingars tillförlitlighet,  
11) av Transport- och kommunikationsverket och av Tillstånds- och tillsynsverket för social- och hälsovården uppgifter om rätt att utöva ett visst yrke när det gäller en utlänning och dennes familjemedlemmar, för utredning av försörjningsförutsättningen eller förutsättningarna för beviljande av uppehållstillstånd, uppehållstillstånd för säsongarbete eller uppehållskort eller registrering av uppehållsrätt. 
14 §  Utlämnande av personuppgifter  
Utöver vad som föreskrivs någon annanstans i lag eller i internationella avtal som är bindande för Finland, får sådana uppgifter som samlats in och registrerats med stöd av 1 § trots sekretessbestämmelserna lämnas ut i sådan omfattning som den mottagande myndighetens eller aktörens föreskrivna rätt till information för skötseln av lagstadgade uppgifter medger.  
Personuppgifter som hör till särskilda kategorier av personuppgifter får lämnas ut i enlighet med vad som föreskrivs i 1 mom. endast när det är nödvändigt för att myndigheten i fråga ska kunna utföra sina lagstadgade uppgifter. 
Vad som föreskrivs i denna paragraf gäller inte fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort eller av den som ansöker om främlingspass eller resedokument för flykting eller uppgifter om iakttagelser, om inte annat föreskrivs någon annanstans i lag.  
15 §  Utlämnande av uppgifter till Europeiska unionens gemensamma informationssystem  
Migrationsverket får, trots sekretessbestämmelserna, till Europeiska unionens gemensamma informationssystem, vilka inrättats genom förordningar som antagits med stöd av avdelning V kapitel 2 i fördraget om Europeiska unionens funktionssätt, lämna ut personuppgifter enligt vad som förskrivs i de förordningarna.  
16 §  Radering av uppgifter  
Om inte något annat följer av internationella förpliktelser eller av lag, raderas personuppgifter som behandlats med stöd av denna lag enligt följande:  
1) av identifikationsuppgifterna för en person ska kundnummer, namn, födelsetid, personbeteckning, utländsk personbeteckning, någon annan utländsk beteckning för identifiering av personen, medborgarskap och uppgifter om personens familjeband raderas tio år efter att personen har avlidit eller fått finskt medborgarskap eller uppgifterna om ärenden i anknytning till personen har raderats,  
2) andra personuppgifter än de som avses i 1 punkten och uppgifter om ärenden som anknyter till en person ska raderas senast fem år efter att uppehållsrätten upphörde eller den sista uppgiften antecknades i det sista anhängiga ärendet, 
3) personuppgifter som hör till särskilda kategorier av personuppgifter ska raderas genast när de inte längre behövs,  
4) uppgifter om iakttagelser ska raderas sex månader efter att de antecknades.  
17 §  Personuppgift som konstaterats vara felaktig 
En personuppgift som konstaterats vara felaktig får bevaras tillsammans med den korrigerade personuppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till den personuppgiftsansvariges personal har. En sådan uppgift får behandlas endast i detta syfte.  
En personuppgift som konstaterats vara felaktig ska utplånas genast när den inte längre behövs för tryggande av rättigheter, dock senast fem år efter att felet uppdagats. 
18 §  Arkivering av uppgifter 
Separata bestämmelser gäller för arkivfunktionens uppgifter och för handlingar som ska arkiveras. 
19 §  Tillgodoseende av den registrerades rätt att få tillgång till egna uppgifter 
En registrerad som vill utöva sin rätt att få tillgång till egna uppgifter ska framställa en skriftlig begäran om detta till den personuppgiftsansvarige samt styrka sin identitet antingen med handlingar som anses tillförlitliga eller personligen för den personuppgiftsansvarige eller genom stark autentisering.  
I fråga om riktande av en begäran om utövande av den registrerades rätt till insyn till polisen tillämpas 41 § i lagen om behandling av personuppgifter i polisens verksamhet och i fråga om riktande av en begäran om utövande av den registrerades rätt till insyn till Gränsbevakningsväsendet tillämpas 50 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (639/2019).  
20 § Den registrerades rätt till begränsning av behandling  
Bestämmelserna i artikel 18 i dataskyddsförordningen om den registrerades rätt till begränsning av behandling tillämpas inte på behandling av personuppgifter som avses i denna lag.  
21 §  Automatiserat individuellt beslutsfattande 
Beslut som Migrationsverket fattar i ärendehanteringssystemet för utlänningsärenden får fattas genom ett förfarande som grundar sig endast på automatiserad behandling, om ärendet med stöd av 34 § 2 mom. 5 punkten i förvaltningslagen (434/2003) får avgöras utan att en part hörs. 
Migrationsverket ska offentliggöra den algoritm som lett till det slutliga beslutet i ett automatiserat beslutsförfarande. Dessutom har den registrerade rätt att få en separat redogörelse för den algoritm som använts för ett sådant slutligt individuellt beslut i hans eller hennes sak som fattats genom automatiserad behandling. 
Migrationsverket överdirektör svarar för förfarandet vid automatiserat beslutsfattande och för automatiserade individuella beslut. 
22 § Dataskyddsbrott 
Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen (39/1889). 
23 §  Ikraftträdande 
Denna lag träder i kraft den 20 .  
Genom denna lag upphävs lagen om utlänningsregistret (1270/1997). 
24 §  Övergångsbestämmelse 
Ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar ska anpassas så att de stämmer överens med 16 § inom ett år från ikraftträdandet av denna lag. Under övergångstiden tillämpas de bestämmelser om radering av uppgifter som gällde vid ikraftträdandet av denna lag. 
 Slut på lagförslaget 

2. Lag om ändring av lagen om mottagande av personer som söker internationellt skydd och om identifiering av och hjälp till offer för människohandel 

I enlighet med riksdagens beslut  
upphävs i lagen om mottagande av personer som söker internationellt skydd och om identifiering av och hjälp till offer för människohandel (746/2011) 6 kap.,  
ändras 58 §, sådan den lyder i lag 388/2015, och  
fogas till 39 § ett nytt 4 mom. som följer:  
39 §  Förordnande av företrädare  
Kläm 
Styrningen, planeringen och övervakningen av verksamheten i anslutning till företrädande hör till Migrationsverkets uppgifter. Den förläggning eller flyktingsluss där barnet har registrerats som kund svarar för den praktiska administrationen av verksamheten i anslutning till företrädande. 
58 §  Rätt att få uppgifter  
Inrikesministeriet, förundersökningsmyndigheter och kommunala myndigheter har rätt att trots sekretessbestämmelserna avgiftsfritt få de upplysningar som är nödvändiga för att utföra uppgifterna enligt 3 och 4 kap. av varandra, av Migrationsverket, av förläggningar och flyktingslussar, av offentliga eller privata serviceproducenter som tillhandahåller tjänster enligt 3 och 4 kap. och av företrädare för barn utan vårdnadshavare. 
En offentlig eller privat serviceproducent som tillhandahåller tjänster enligt 3 och 4 kap. och vars klient är asylsökande, en person som får tillfälligt skydd eller offer för människohandel har rätt att trots sekretessbestämmelserna avgiftsfritt få de upplysningar som är nödvändiga för att tillhandahålla tjänsterna av Migrationsverket, förläggningar och flyktingslussar. 
Företrädare för barn utan vårdnadshavare har rätt att trots sekretessbestämmelserna avgiftsfritt få de upplysningar som är nödvändiga för att utföra uppgifterna enligt 41 § av Migrationsverket, förläggningar, flyktingslussar, kommunala myndigheter, Folkpensionsanstalten och sådana offentliga eller privata serviceproducenter som tillhandahåller tjänster enligt 3 och 4 kap. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

3. Lag om ändring av lagen om bemötande av utlänningar som tagits i förvar och om förvarsenheter 

I enlighet med riksdagens beslut  
upphävs i lagen om bemötande av utlänningar som tagits i förvar och om förvarsenheter (116/2002) 5 a kap., sådant det lyder i lag 814/2015, och 
ändras 34 §, sådan den lyder i lag 748/2011, som följer: 
34 §  Sekretess 
Bestämmelser om sekretess finns i lagen om offentlighet i myndigheternas verksamhet (621/1999). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

4. Lag om ändring av lagen om främjande av integration 

I enlighet med riksdagens beslut 
upphävs i lagen om främjande av integration (1386/2010) 8 kap. och 
ändras 87 § 3 mom. som följer: 
87 §  Rätt att få uppgifter 
Kläm 
En företrädare som förordnats för ett barn utan vårdnadshavare har trots sekretessbestämmelserna rätt att av arbets- och näringsbyråer, kommunala myndigheter, Folkpensionsanstalten, Migrationsverket och förläggningar och flyktingslussar avgiftsfritt få den information som är nödvändig för att sköta uppgifterna enligt 57 §. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

5. Lag om upphävande av 48 § i medborgarskapslagen 

I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs i medborgarskapslagen (359/2003) 48 §, sådan den lyder i lag 974/2007.  
2 § 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

6. Lag om ändring av utlänningslagen 

I enlighet med riksdagens beslut 
ändras i utlänningslagen (301/2004) 59 § 2 mom., 60 f § 2 mom., 131 § 2 och 3 mom. samt 171 § 1 mom.,  
sådana de lyder, 59 § 2 mom. i lag 668/2013, 60 f § 2 mom. i lag 631/2011, 131 § 2 och 3 mom. i lag 635/2019 och 171 § 1 mom. i lag 501/2016,som följer: 
59 §  När uppehållstillstånd upphör att gälla 
Kläm 
En anteckning om att uppehållstillståndet upphört att gälla ska göras i ärendehanteringssystemet för utlänningsärenden. 
60 f §  När ett uppehållstillståndskort upphör att gälla 
Kläm 
När uppehållstillståndskortet har upphört att gälla tar Migrationsverket, den lokala polisen, gränskontrollmyndigheten eller en finsk beskickning hand om uppehållstillståndskortet och gör en anteckning i ärendehanteringssystemet för utlänningsärenden om att kortet har upphört att gälla. Ett kort som omhändertagits av myndigheten ska förstöras. 
131 §  Upptagande av signalement 
Kläm 
De i 1 mom. avsedda signalementen införs i ett register som polisen för. Uppgifterna ska hållas åtskilda från signalementen för personer som är misstänkta för brott och från de fingeravtryck som registreras i enlighet med 10 § i lagen om behandling av personuppgifter i migrationsförvaltningen ( / ) och som tas för ansökan om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlemmar. Uppgifterna raderas med iakttagande av 34 § i lagen om behandling av personuppgifter i polisens verksamhet (616/2019). 
Fingeravtrycksuppgifter som avses i 1 mom. får jämföras med fingeravtrycksuppgifter som för de ändamål med behandlingen som föreskrivs i 5 § i lagen om behandling av personuppgifter i polisens verksamhet har registrerats med stöd av denna paragraf samt med fingeravtrycksuppgifter enligt 9 § i lagen om behandling av personuppgifter i migrationsförvaltningen som registrerats för ansökningar om främlingspass och resedokument för flykting och med fingeravtrycksuppgifter enligt 10 § i den lagen som registrerats för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem. Dessutom får fingeravtrycksuppgifter som registreras, för kontroll av inreseförutsättningarna, jämföras med fingeravtryck som ingår i signalementsuppgifter enligt tvångsmedelslagen (806/2011) och som avses i 6 § i lagen om behandling av personuppgifter i polisens verksamhet, till den del de redan registrerade fingeravtrycksuppgifterna har samband med ett brott för vilket det föreskrivna strängaste straffet är fängelse i minst ett år.  
Kläm 
171 §  Behöriga myndigheter 
Migrationsverket registrerar sökandens uppehållsrätt i ärendehanteringssystemet för utlänningsärenden samt utfärdar tidsbegränsade och permanenta uppehållskort. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

7. Lag om ändring av lagen om Migrationsverket  

I enlighet med riksdagens beslut 
ändras i lagen om Migrationsverket (156/1995) 1—3 §, 
sådana de lyder, 1 och 3 § i lag 975/2007 samt 2 § i lag 1160/2016, som följer: 
1 § Migrationsverket 
Migrationsverket finns inom inrikesministeriets förvaltningsområde. 
2 §  Uppgifter 
Migrationsverket handlägger och avgör de ärenden i fråga om utlänningar och finskt medborgarskap som hör till verkets uppgifter enligt lag eller med stöd av lag. 
Migrationsverket svarar för 
1) styrningen, planeringen och övervakningen av den praktiska verksamheten vid mottagande av personer som söker internationellt skydd och mottagande av personer som får tillfälligt skydd, 
2) styrningen och övervakningen av förvarsenheternas praktiska verksamhet, 
3) driften av de statliga förläggningarna och flyktingslussarna samt statens förvarsenheter,  
4) styrningen av verkställigheten av hjälp till offer för människohandel. 
Migrationsverket ansvarar för förvaltningen och utvecklingen av ärendehanteringssystemet för utlänningsärenden. Migrationsverket ska tillhandahålla inrikesministeriet och övriga myndigheter samt internationella organisationer information som gäller frågor inom dess verksamhetsområde.  
3 §  Sökande av ändring 
Separata bestämmelser gäller för sökande av ändring i Migrationsverkets beslut.  
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

8. Lag om ändring av 24 § i lagen om offentlighet i myndigheternas verksamhet 

I enlighet med riksdagens beslut 
ändras i lagen om offentlighet i myndigheternas verksamhet (621/1999) 24 § 1 mom. 5 och 24 punkten och 
fogas till 24 § 1 mom., sådant det lyder delvis ändrat i lagarna 1151/2001, 1060/2002, 281/2004, 713/2007, 274/2009, 458/2011, 528/2011, 91/2015, 756/2015, 19/2016, 808/2017, och 604/2018, en ny 31 c-punkt som följer: 
24 §  Sekretessbelagda myndighetshandlingar 
Om inte något annat föreskrivs särskilt, är följande myndighetshandlingar sekretessbelagda 
 En icke ändrad del av lagtexten har utelämnats 
5) handlingar som innehåller uppgifter om polisens, Gränsbevakningsväsendets, Tullens, fångvårdsmyndigheternas och Migrationsverkets taktiska och tekniska metoder och planer, om utlämnandet av uppgifter ur handlingarna skulle äventyra förebyggande och utredning av brott, upprätthållandet av allmän ordning och säkerhet eller av ordningen vid en straffanstalt eller tillförlitligheten av Migrationsverkets utredning om en utlänning, 
 En icke ändrad del av lagtexten har utelämnats 
24) handlingar som innehas av Migrationsverket, av polisen, av Gränsbevakningsväsendet, av statliga regionförvaltningsmyndigheter som handlägger arbetstagares och företagares ansökningar om uppehållstillstånd och av utrikesförvaltningen, och som gäller handläggning av och beslutsfattande och tillsyn i ärenden som gäller en utlännings inresa och utresa eller vistelse i landet eller förvärv, behållande, förlust av eller befrielse från finskt medborgarskap eller bestämmande av medborgarskapsstatus, om det inte är uppenbart att utlämnandet av uppgifter ur handlingarna inte orsakar skada eller olägenhet för parten eller partens närstående; förvaltningsbeslut om dessa ärenden är dock sekretessbelagda endast om det inte är uppenbart att utlämnandet av uppgifter ur dem inte äventyrar säkerheten för parten eller partens närstående, 
 En icke ändrad del av lagtexten har utelämnats 
31 c) handlingar som gäller en utlänning som vistas i Finland, om det finns grundad anledning att misstänka att utlämnandet av uppgifter ur handlingarna äventyrar säkerheten för parten eller partens närstående, 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

9. Lag om ändring av 25 och 37 § i säkerhetsutredningslagen 

I enlighet med riksdagens beslut  
ändras i säkerhetsutredningslagen (726/2014) 25 § 1 mom. 10 punkten och 37 § 1 mom. 7 punkten som följer:  
25 §  Informationskällor vid normal säkerhetsutredning av person 
En säkerhetsutredning av person får bygga enbart på registeruppgifter som finns i 
 En icke ändrad del av lagtexten har utelämnats 
10) ärendehanteringssystemet för utlänningsärenden eller det nationella informationssystemet för viseringar och om vilka uppgifter det föreskrivs i 7 § 1 mom. eller 2 mom. 1 eller 2 punkten i lagen om behandling av personuppgifter i migrationsförvaltningen ( / ), eller i 4 mom. i den paragrafen till den del det är fråga om till 1 mom. eller 2 mom. 1 eller 2 punkten i den paragrafen anknytande personuppgifter om familjemedlemmar, personer som bor i samma hushåll och mottagare i Finland, eller i 8 § i den lagen, 
 En icke ändrad del av lagtexten har utelämnats 
37 §  Informationskällor vid säkerhetsutredning av företag 
Vid en säkerhetsutredning av företag får följande uppgifter användas 
 En icke ändrad del av lagtexten har utelämnats 
7) sådana uppgifter ur ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar om vilka det föreskrivs i 7 § 1 mom. eller 2 mom. 1 eller 2 punkten i lagen om behandling av personuppgifter i migrationsförvaltningen, 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

10. Lag om ändring av 6 § i lagen om Enheten för utredning av grå ekonomi 

I enlighet med riksdagens beslut 
ändras i lagen om Enheten för utredning av grå ekonomi (1207/2010) 6 § 1 mom. 25 punkten, sådan den lyder i lag 722/2019, och 
fogas till 6 § 1 mom., sådant det lyder i lagarna 308/2016, 858/2016, 1159/2016, 1413/2016, 1419/2016, 324/2017, 454/2017, 1112/2017, 404/2018, 414/2018 och 722/2019, en ny 26 punkt som följer: 
6 § Syftet med fullgöranderapporter 
Fullgöranderapporter utarbetas till stöd för 
 En icke ändrad del av lagtexten har utelämnats 
25) Konkurrens- och konsumentverkets uppgifter vid tillsynen över iakttagandet av i 2 kap. i konkurrenslagen (948/2011) föreskrivna förbud mot konkurrensbegränsningar, 
26) handläggning av och beslutsfattande och tillsynsuppgifter i ärenden som gäller utlänningars inresa, utresa, vistelse och arbete samt medborgarskap enligt utlänningslagen (301/2004), medborgarskapslagen (359/2003), lagen om villkor för tredjelandsmedborgares inresa och vistelse för säsongsanställning (907/2017), lagen om villkor för inresa och vistelse för tredjelandsmedborgare inom ramen för företagsintern förflyttning av personal (908/2017) och lagen om villkoren för tredjelandsmedborgares inresa och vistelse på grund av forskning, studier, praktik och volontärarbete (719/2018). 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

11. Lag om ändring av 28 § lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten  

I enlighet med riksdagens beslut 
ändras i lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten (1069/2015) 28 § 1 mom. 6 punkten som följer: 
28 § Rätt att få uppgifter av andra myndigheter och uppgiftsskyldiga  
Utöver vad som föreskrivs någon annanstans i lag har Brottspåföljdsmyndigheten trots sekretessbestämmelserna rätt att av andra myndigheter få uppgifter som gäller en brottsmisstänkt, en dömd, en fånge, en intagen i en enhet vid Brottspåföljdsmyndigheten och en person som avtjänar samhällspåföljd och som behövs för verkställigheten av straff eller häktning eller för skötseln av någon annan uppgift som hör till Brottspåföljdsmyndigheten enligt följande 
 En icke ändrad del av lagtexten har utelämnats 
6) av polisen, Gränsbevakningsväsendet och Migrationsverket uppgifter om ärenden som gäller vistelse i eller avlägsnande ur landet och verkställighet av beslut om avlägsnande ur landet samt inreseförbud och förbudets längd i fråga om utlänningar som är antecknade i ärendehanteringssystemet för utlänningsärenden och är eller har varit intagna i en enhet vid Brottspåföljdsmyndigheten, 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

12. Lag om ändring av 13 § i lagen om identitetskort 

I enlighet med riksdagens beslut 
ändras i lagen om identitetskort (663/2016) 13 § 1 och 2 mom. som följer: 
13 § Kontroll av personuppgifter och krav på motsvarighet  
Innan ett identitetskort utfärdas ska den myndighet som behandlar ansökan om identitetskort kontrollera sökandens personuppgifter i befolkningsdatasystemet. Vid ansökan om identitetskort för utlänningar ska personuppgifterna dessutom kontrolleras i det ärendehanteringssystem för utlänningsärenden som avses i lagen om behandling av personuppgifter i migrationsförvaltningen ( / ). 
De personuppgifter som uppges i ansökan ska motsvara uppgifterna i befolkningsdatasystemet och dessutom i fråga om ansökan om identitetskort för utlänningar uppgifterna i ärendehanteringssystemet för utlänningsärenden. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

13. Lag om ändring av 7 § i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet  

I enlighet med riksdagens beslut 
ändras i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet (657/2019) 7 § 3 mom. 6 punkten som följer: 
7 § Behandling av PNR-uppgifter  
Kläm 
Enheten för passagerarinformation får genom automatiserade metoder jämföra PNR-uppgifter med följande uppgifter, datasystem och register: 
 En icke ändrad del av lagtexten har utelämnats 
6) uppgifter som registrerats för de ändamål som anges i 1 § 1 mom. 1, 2 och 6 punkten i lagen om behandling av personuppgifter i migrationsförvaltningen ( / ), 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

14. Lag om ändring av 37 § i lagen om behandling av personuppgifter inom Försvarsmakten  

I enlighet med riksdagens beslut 
ändras i lagen om behandling av personuppgifter inom Försvarsmakten (332/2019) 37 § 1 mom. 3 och 12 punkten som följer: 
37 § Rätt att få personuppgifter för skötseln av militärunderrättelseuppdrag och uppdrag för förebyggande och avslöjande av brott 
Utöver vad som föreskrivs någon annanstans i lag, har Försvarsmakten för fullgörande av uppdrag inom militär underrättelseinhämtning samt uppdrag för förebyggande och avslöjande av brott som avses i 86 § 1 mom. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten, trots sekretessbestämmelserna rätt att få behövliga uppgifter enligt följande  
 En icke ändrad del av lagtexten har utelämnats 
3) ur utrikesministeriets informationssystem uppgifter om dem som hör till personalen vid diplomatiska beskickningar och konsulat som representerar den utsändande staten i Finland och dem som hör till personalen vid internationella organisationers organ i Finland och andra internationella organ i samma ställning och uppgifter om dessa personers familjemedlemmar och om dem som är i privat tjänst hos dessa personer, samt uppgifter om visumansökningar och visumbeslut ur det nationella informationssystemet för viseringar enligt lagen om behandling av personuppgifter i migrationsförvaltningen ( / ), 
 En icke ändrad del av lagtexten har utelämnats 
12) ur ärendehanteringssystemet för utlänningsärenden uppgifter om resedokument, vistelse, internationellt skydd, avlägsnande ur landet, inreseförbud och medborgarskap,  
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

15. Lag om ändring av 18 § i lagen om beskattningsförfarande 

I enlighet med riksdagens beslut 
ändras i lagen om beskattningsförfarande (1558/1995) 18 § 7 mom., sådant det lyder i lag 71/2010, som följer:  
18 § Myndigheternas allmänna skyldighet att lämna uppgifter 
Kläm 
Den som är personuppgiftsansvarig enligt lagen om behandling av personuppgifter i migrationsförvaltningen ( / ) ska för beskattningen lämna Skatteförvaltningen behövliga uppgifter om utlänningars vistelse i Finland och om utlänningars arbetsgivare, anställningsförhållanden och näringsverksamhet. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

16. Lag om ändring av 10 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster  

I enlighet med riksdagens beslut 
ändras i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) 10 § 1 och 2 mom. som följer:  
10 § Kontroll av tillförlitligheten hos uppgifter som gäller utländska medborgare 
Innan magistraten beslutar att i befolkningsdatasystemet göra en registeranteckning om tillägg, ändring eller rättelse av uppgifter om en utländsk medborgare ska den kontrollera vilka uppgifter om denne som registrerats i det ärendehanteringssystem för utlänningsärenden som avses i lagen om behandling av personuppgifter i migrationsförvaltningen ( / ). Närmare bestämmelser om uppgifter som ska kontrolleras och om omfattningen av kontrollskyldigheten får utfärdas genom förordning av statsrådet. 
Om de uppgifter som en utländsk medborgare lämnat till magistraten inte registrerats i ärendehanteringssystemet för utlänningsärenden, eller om de avviker från uppgifterna i det systemet, ska magistraten innan den gör en registeranteckning begära att Migrationsverket ger ett utlåtande i ärendet. Migrationsverket ska behandla ärendet utan onödigt dröjsmål. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

17. Lag om ändring av 21 § i lagen om nationella studie- och examensregister 

I enlighet med riksdagens beslut 
ändras i lagen om nationella studie- och examensregister (884/2017) 21 § 1 mom. 6 punkten, sådan den lyder i lag 568/2019, som följer: 
21 § Utlämnande av uppgifter ur antagningsregistret 
Trots sekretessbestämmelserna får uppgifter som avses i 19 § 1 och 5 mom., i den utsträckning de uppgifter som avses i 1 mom. behövs och de uppgifter som avses i 5 mom. är nödvändiga för skötseln av mottagarens uppgifter, lämnas ut ur antagningsregistret 
 En icke ändrad del av lagtexten har utelämnats 
6) till Migrationsverket för skötseln av de uppgifter som det har enligt utlänningslagen (301/2004) och medborgarskapslagen (359/2003).  
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 
Helsingfors den 12 september 2019 
Statsminister Antti Rinne 
Inrikesminister Maria Ohisalo 
Förordningsutkast

Statsrådets förordning  om ändring av 29 § i statsrådets förordning om befolkningsdatasystemet 

I enlighet med statsrådets beslut 
ändras i statsrådets förordning om befolkningsdatasystemet (128/2010) 29 §, dess 2 mom. sådan den lyder delvis ändrat i förordning 142/2019, som följer:  
Den kontroll av uppgifter i ärendehanteringssystemet för utlänningsärenden som gäller utländska medborgare och som avses i 10 § 1 mom. i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster behöver inte göras om den utländska medborgaren för magistraten visat upp 
1) ett giltigt resedokument som utfärdats av en myndighet i den stat där han eller hon är medborgare och med vilket en tillförlitlig identifiering kan göras, 
2) ett giltigt uppehållstillstånd eller visum som utfärdats av en finsk myndighet, om den utländska medborgaren ska ha ett sådant enligt utlänningslagen (301/2004), och 
3) handlingar vars tillförlitlighet har kontrollerats i enlighet med 19 § 1 mom. i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster och vilka gäller uppgifter som den utländska medborgaren har lämnat till magistraten om civilstånd, äktenskap eller registrerat partnerskap samt make och barn. 
Kontrollen av uppgifter i ärendehanteringssystemet för utlänningsärenden behöver inte heller göras, om uppgifterna registreras på initiativ av en myndighet och utan medverkan från den utländska medborgaren själv. 
I andra fall än de som avses i 1 och 2 mom. ska magistraten i det ärendehanteringssystemet för utlänningsärenden som avses i lagen om behandling av personuppgifter i migrationsförvaltningen ( / ) kontrollera åtminstone följande uppgifter som en utländsk medborgare lämnat till magistraten 
1) namn, 
2) födelsetid, 
3) kön, 
4) födelsestat och födelseort, 
5) medborgarskap, 
6) civilstånd, äktenskap eller registrerat partnerskap, 
7) make och barn samt en minderårigs föräldrar. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna förordning träder i kraft den XX XXX 20XX.