1.1
Lag om behandling av personuppgifter i migrationsförvaltningen
1 §.Lagens tillämpningsområde och ändamålet med behandlingen av personuppgifter. Avsikten är att lagen ska tillämpas, om inte annat föreskrivs någon annanstans i lag, på helt eller delvis automatiserad behandling av personuppgifter och på annan behandling av personuppgifter, då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant, och personuppgifterna behandlas för följande ändamål: 1) behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse, 2) behandling av och beslut i ärenden som gäller förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap samt bestämmande av medborgarskapsstatus, 3) mottagande av personer som söker internationellt skydd eller får tillfälligt skydd samt hjälp till offer för människohandel samt verksamhet i anslutning till företrädande av barn utan vårdnadshavare inom mottagningsverksamheten samt styrning, planering och uppföljning av dessa, 4) placering av en utlänning i en förvarsenhet, bemötande av en utlänning i en förvarsenhet samt upprätthållandet av ordningen och säkerheten vid en förvarsenhet, 5) anvisande till kommuner och 6) skyddet av den nationella säkerheten.
Tillämpningsområdet för den föreslagna lagen avses vara knutet till syftet med behandlingen av personuppgifter: den ska tillämpas när sådana uppgifter behandlas i de syften som anges i paragrafen. Tillämpningsområdet ska inte vara knutet till något specifikt register eller datasystem. Även om lagens tillämpningsområde inte är bundet till den tekniska plattformen för behandlingen, innebär inte den principen att man inte kan och bör använda sig av informationssystem för förvaltning av informationsresurser exempelvis på så sätt att personuppgifter som behandlas med stöd av en viss lag lagras i ett visst informationssystem.
Lagen ska tillämpas, om inte annat föreskrivs någon annanstans i lag. Migrationsförvaltningen kännetecknas av att många myndigheter är involverade och att en del av dem inte bara fungerar som migrationsmyndighet utan också har andra roller. En del av myndigheterna kommer också att tillämpa andra personuppgiftslagar när de verkar inom sitt kärnområde och inte med stöd av migrationslagstiftningen. Som exempel kan nämnas att polisen kommer att tillämpa lagen om behandling av personuppgifter i polisens verksamhet , Gränsbevakningsväsendet lagen om behandling av personuppgifter vid Gränsbevakningsväsendet och arbets- och näringsbyrån 13 kap. i lagen om offentlig arbetskrafts- och företagsservice . Regleringen av behandlingen av personuppgifter har så ändamålsenligt som möjligt delats upp mellan olika tillämpningsområden för respektive personuppgiftslag.
Behörigheten att behandla personuppgifter bygger på flera olika lagar. Det rör sig om utlänningslagen, medborgarskapslagen, lagen om säsongsanställning, ICT-lagen, forskar- och studerandelagen, mottagandelagen, förvarslagen och integrationslagen. I stället för att hänvisa till dessa lagar ska den nya lagens tillämpningsområde bestämmas genom föreskrivande av de syften där personuppgifter ska behandlas för utförande av de uppgifter som avses i de lagar som ger behörigheten. Syftet med att personuppgifter används ska bygga direkt på det behov att behandla uppgifterna som kommer av de lagar som skapar behörigheten. Denna regleringsteknik är motiverad eftersom regelverket blir onödigt tungt, detaljerat och svårtolkat om man hänvisar till ett stort antal lagar och enskilda paragrafer i dessa. Dessutom ger detta sätt att reglera frågan möjlighet till att personuppgifter som bygger på eventuella framtida speciallagar och EU-regler behandlas med stöd av den nu föreslagna personuppgiftslagen om personuppgifterna behandlas i syften som hör till den föreslagna personuppgiftlagens tillämpningsområde. Med behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse enligt 1 punkten i det föreslagna 1 mom. avses sådan behandling av personuppgifter som är behövlig enligt utlänningslagen, lagen om säsongsanställning, ICT-lagen och forskar- och studerandelagen, exempelvis inom processen för uppehållstillstånd och asylförfarandet med beaktande av processens hela tidsmässiga utsträckning. Tillämpningsområdet anses också omfatta sådana specialsituationer där det inte klart är fråga om inresa, utresa eller vistelse, såsom exempelvis upphörande av flyktingstatus för någon som befinner sig utomlands eller någon som befinner sig i Finland med permanent tillstånd. Till skillnad från 2 § i den gällande lagen om utlänningsregistret avses punkten inte innehålla ett särskilt omnämnande av arbete, eftersom det anses ingå i begreppet vistelse på samma sätt som exempelvis studier. Det rör sig om en teknisk ändring och avsikten är inte att ändra nuläget i detta avseende.
Med behandling av och beslut i ärenden som gäller förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap samt bestämmande av medborgarskapsstatus enligt 2 punkten avses sådan behandling av personuppgifter vars syfte är att utföra uppgifter som anges i medborgarskapslagen.
I 1 mom. 3 punkten nämns mottagande av personer som söker internationellt skydd eller får tillfälligt skydd samt hjälp till offer för människohandel, verksamhet i anslutning till företrädande av barn utan vårdnadshavare inom mottagningsverksamheten samt styrning, planering och övervakning av dessa verksamheter. Med detta avses tryggande av omsorg, försörjning och ändamålsenligt skydd och lämpliga tjänster samt förordnande av företrädare och företrädarens uppgifter enligt mottagandelagen.
Med placering av en utlänning i en förvarsenhet, bemötande av en utlänning i en förvarsenhet samt upprätthållandet av ordningen och säkerheten vid en förvarsenhet enligt den föreslagna 1 mom. 4 punkten avses behandling av personuppgifter i syfte att vidta de åtgärder enligt förvarslagen som behövs för att de som tagits i förvar ska bemötas rättvist och med aktning för deras människovärde, för att begränsa deras rättigheter och för att tillgodose deras rätt ta emot besök och hålla kontakt och till exempel använda telefon och annan elektronisk kommunikations- och upptagningsutrustning.
Paragrafens 1 mom. 5 punkt gäller anvisande till kommuner. Här avses sådan behandling av personuppgifter som behövs för att anvisa en person till en kommun enligt 2 § 2 och 3 mom. i integrationslagen. Målet när personuppgifter behandlas i syfte att anvisa någon till en kommun är att se till att de skyldigheter som myndigheter har avseende mottagning och främjande av integration fullgörs. Det gäller bland att anvisa en registrerad person till rätt kommun.
Med skyddet av den nationella säkerheten enligt 1 mom. 6 punkten avses dels skyddspolisens skyldighet att skydda rikets säkerhet, dels också mer allmänt myndigheternas skyldighet att som en del av sina lagstadgade uppgifter sörja för den nationella säkerheten. Detta motsvarar till innehållet 2 § 2 mom. i lagen om utlänningsregistret gällande skyddet av statens säkerhet, men ordalydelsen ändras i enlighet med dataskyddsförordningen, dataskyddslagen och dataskyddslagen för brottmål så att uttrycket nationell säkerhet används. I förhållande till den gällande utlänningsregisterlagen är den föreslagna lagens räckvidd större och inbegriper behandling av personuppgifter också med stöd av mottagandelagen, förvarslagen och integrationslagen. Därför utvidgas också de syften där insamlade personuppgifter kan behandlas för att trygga nationell säkerhet.
Med beaktande av ändamålsbegränsningen ska behandlingen av personuppgifter vara sådan som avses inom den berörda punkten för att vara behandling för det ursprungliga ändamålet. Behandling av personuppgifter för något av de syften som nämns i en annan punkt kan i praktiken inte vara behandling för det ursprungliga ändamålet.
Till skillnad från den gällande lagen om utlänningsregistret ska genomförande av säkerhetsutredningar inte höra till den förslagna lagens tillämpningsområde, eftersom det ursprungliga syftet med behandlingen av personuppgifterna inte är att göra sådana utredningar. Eftersom det också i fortsättningen behövs personuppgifter för att säkerhetsutredningar ska kunna göras måste användningen av sådana personuppgifter som samlas in med stöd av den föreslagna lagen i framtiden grundas på att personuppgifterna ska lämnas ut till skyddspolisen.
Enligt dataskyddslagen gäller dataskyddsförordningen i tillämpliga delar också sådan behandling av personuppgifter som inte hör till tillämpningsområdet för EU-lagstiftningen och som medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget. Denna utvidgning av förordningens räckvidd gäller inte situationer där det gäller andra bestämmelser i nationell lag i ett ärende som inte omfattas av unionsrättens tillämpningsområde. I denna proposition föreslås inte bestämmelser med annat innehåll. Det innebär att dataskyddsförordningen kommer att gälla allt behandling av personuppgifter som sker inom den föreslagna lagen. tillämpningsområde också i de fall där det är fråga om ett ärende om inte hör till tillämpningsområdet för EU-lagstiftningen. Det rör sig exempelvis om ärenden som gäller medborgarskap.
Enligt 2 mom. i paragrafen ska lagen tillämpas inte bara på behandlingen av personuppgifter utan även på behandlingen av information och erhållandet av information om juridiska personer, eftersom den lagstiftning som skapar behörighet för migrationsförvaltningen innehåller lagstadgade uppgifter i vilka till exempel behandlingen av ett ärende gällande en fysisk person även förutsätter erhållande och behandling av information om en juridisk person.
Lagen ska enligt förslaget inte tillämpas på diplomatiska representanter i Finland. Den immunitet som avses i det föreslagna 3 mom. framgår av Wienkonventionen om diplomatiska förbindelser (FördrS 4/1970) och Wienkonventionen om konsulära förbindelser (FördrS 50/1980) och i överenskommelser om inrättande av och säte för internationella organisationer. Lagen ska heller inte tillämpas på sådana tjänstemän i internationella organisationer vars ställning det finns bestämmelser om i internationella avtal som är bindande för Finland. Momentet har formulerats i förhållande till 1 § 2 mom. i utlänningsregisterlaget på ett sätt som ska motsvara formuleringarna i internationella avtal. Avsikten är inte att ändra faktiska nuläget.
2 §.Förhållande till övrig lagstiftning. Paragrafen avses innehålla bestämmelser om vilka allmänna bestämmelser om behandling av personuppgifter som ska tillämpas på sådan behandling av personuppgifter som avses i lagförslaget, om inte något annat anges i den föreslagna lagen.
Bestämmelser om behandlingen av personuppgifter finns i dataskyddsförordningen och i den kompletterande nationella dataskyddslagen.
Dataskyddslagen för brottmål ska tillämpas när polisen, åklagare, allmänna domstolar, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter behandlar personuppgifter, om det är fråga om att förebygga, avslöja eller utreda brott eller att föra brott till åtalsprövning, om åklagarverksamhet som har samband med brott, om handläggning av brottmål i domstol, om verkställighet av straffrättsliga påföljder eller om skydd mot eller förhindrande av hot mot den allmänna säkerheten. Lagen ska utifrån nationellt beslut också tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av nationell säkerhet. Syftena för behandling inom tillämpningsområdet för dataskyddslagen för brottmål är kopplade till sådant skyddet av nationell säkerhet som avses i 1 § 1 mom. 6 punkten. Såväl polisenheterna under Polisstyrelsen och skyddspolisen som Gränsbevakningsväsendet utför sådan behandling av personuppgifter på den föreslagna lagens tillämpningsområde som dataskyddslagen för brottmål tillämpas på som allmän lag.
Inom migrationsförvaltningen blir också polisens personuppgiftslag och Gränsbevakningens personuppgiftslag tillämpliga. Tillämpningsområdet för den föreslagna lagen överlappar på samma sätt som i nuläget delvis med dessa speciallagar om behandling av personuppgifter. Bestämmelser om behandling av personuppgifter finns delvis i dessa andra personuppgiftslagar till exempel avseende skyddet av nationell säkerhet, övervakning av utlänningar och avlägsnande ur landet. Bestämmelser om behandlingen av sådana signalement på utlänningar som med stöd av 131 § i utlänningslagen förs in i polisens register finns i lagen om behandling av personuppgifter i polisens verksamhet.
Om inte något annat föreskrivs i den föreslagna lagen, tillämpas bestämmelserna om offentlighet i myndigheternas verksamhet, dvs. offentlighetslagen, på rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister. Utöver vad lagen föreskriver iakttas de internationella förpliktelser som är bindande för Finland.
3 §.Gemensamt personuppgiftsansvariga. De myndigheter ska vara personuppgiftsansvariga som i de användningsändamål som hör till den föreslagna lagens tillämpningsområde för egna självständiga syften behandlar personuppgifter för att fullgöra de uppgifter som anges i den lagstiftning som ger myndigheten behörighet. Dessa myndigheter utövar prövnings- och beslutanderätt när de fullgör sina lagfästa uppgifter. Följande myndigheter ska vara gemensamt personuppgiftsansvariga: Migrationsverket, Polisstyrelsen och skyddspolisen, Gränsbevakningsväsendet, förläggningar och flyktingslussar, förvarsenheter, utrikesförvaltningen, närings-, trafik- och miljöcentralerna och arbets- och näringsbyrån. Dessa personuppgiftsansvariga är sådana gemensamt personuppgiftsansvariga som avses i artikel 26 i dataskyddsförordningen. En enskild gemensamt personuppgiftsansvarig kallas i propositionen personuppgiftsansvarig.
Varje personuppgiftsansvarigs behörighet att behandla personuppgifter grundar sig på bestämmelserna om ifrågavarande myndighets behörighet. Eftersom de syften för vilka de personuppgiftsansvariga behandlar personuppgifter bygger på de ansvarigas lagstadgade uppgifter kommer det materiell rättsliga ansvarsområdet för var och en av de personuppgiftsansvariga att anges direkt i lag. Därmed kommer ansvarsområdena att vara exakt definierade och i detalj avgränsade.
De personuppgiftsansvarigas inbördes ansvarsfördelning och skyldigheter avgränsas med stöd av följande tre villkor: 1) genom att identifiera de uppgifter som följer av den lagstiftning som ger behörighet och genom att utföra uppgifterna behandlar myndigheten i fråga personuppgifter i egenskap av personuppgiftsansvarig; de gemensamt personuppgiftsansvarigas materiell rättsliga arbetsfördelning när det gäller de lagstadgade uppgifter som hör till varje enskild personuppgiftsansvarig ska grunda sig på den lagstiftning som ger behörighet; de personuppgiftsansvarigas inbördes materiell rättsliga ansvarsfördelning har följaktligen fastställts tydligt och exakt på lagnivå, 2) genom att koncentrera en del av det ansvar som hör till en personuppgiftsansvarig till systemoperatörer, dvs. Migrationsverket och utrikesförvaltningen; eftersom det inte är ändamålsenligt att varje personuppgiftsansvarig ska svara för administration och utveckling av informationssystemet, bör detta ansvarsområde lämpligen och med nödvändighet koncentreras på samma sätt som för närvarande; samma myndigheter är också kontaktpunkter för de registrerade; registrerade får dock i enlighet med dataskyddsförordningen utöva sina rättigheter enligt förordningen med avseende på var och en av de personuppgiftsansvariga; dessutom ska vissa metoder för behandling av personuppgifter som är kopplade till informationssystemet överföras till informationssystemets administratörer, såsom utplåning och utlämning av personuppgifter annat än i enskilda fall, och 3) genom att hänföra vissa ansvarsområden bara till de personuppgiftsansvariga som verkligen påverkar innehållet i de personuppgifter som de behandlar. Den som har påverkat innehållet i en uppgift, i praktiken den myndighet som registrerat uppgiften, ska ansvara för att uppgiften är korrekt, för beslut om rättelse av uppgiften, för utlämning av en enskild uppgift samt för att den registrerades rättigheter tillgodoses. Varje enskild gemensamt registeransvarig svarar dock alltid för att all behandling av personuppgifter i den egna verksamheten följer lagen. Regleringen förändrar gällande rättsläge så att de organ som enligt utlänningsregisterlagen är myndigheter som för och använder register inte alla i fortsättningen kommer att vara personuppgiftsansvariga. Framöver kommer en del av dem som nu för och använder register att behandla personuppgifter med stöd av bestämmelserna om utlämning av uppgifter.
Migrationsverket ska vara personuppgiftsansvarig myndighet när det handlägger och avgör ärenden som anges som dess uppgifter i lag eller genom förordning av statsrådet. Det rör sig om att handlägga och avgöra ärenden som gäller inresa, vistelse, flyktingskap och finskt medborgarskap. Dessutom ansvarar Migrationsverket för styrningen, planeringen och övervakningen av den praktiska verksamheten vid mottagande av personer som söker internationellt skydd och mottagande av personer som får tillfälligt skydd; styrningen och övervakningen av förvarsenheternas praktiska verksamhet; driften av de statliga förläggningarna och flyktingslussarna samt statens förvarsenheter; styrningen av verkställigheten av hjälp till offer för människohandel och styrning, planering och uppföljning av verksamheten i anslutning till företrädande av barn utan vårdnadshavare. Dessutom förvaltar Migrationsverket uppgifter som gäller främlingspass och resedokument för flyktingar. I praktiken innebär det att verket beviljar, drar in och ogiltigförklarar sådana pass och dokument och upphäver eller återkallar viseringar (t.ex. avvisning till följd av brott).
Polisstyrelsen ska vara personuppgiftsansvarig när polisenheter under den inom ramen för sin behörighet tar emot och registrerar ansökningar som gäller internationellt skydd, deltar i asylsamtal, delger negativa asylbeslut, fattar, delger och verkställer beslut om avlägsnande ur landet och lägger fram förslag för Migrationsverket om att någon ska avlägsnas ur landet, meddelar inreseförbud, utför övervakning av utlänningar, skyddar nationell säkerhet och yttrar sig om ansökningar om medborgarskap. Dessutom är Polisstyrelsen personuppgiftsansvarig när polisen förlänger, upphäver och återkallar viseringar och när polisen beslutar om givande av betänketid, om förlängning av betänketid och om avbrytande av betänketid för offer för människohandel med stöd av 52 c § i utlänningslagen. Skyddspolisen avses vara personuppgiftsansvarig när den tryggar nationell säkerhet.
Gränsbevakningsväsendet ska vara personuppgiftsansvarig myndighet när det registrerar asylansökningar, fattar beslut om nekad inresa och avvisning, fattar eller verkställer beslut om avlägsnande ur landet inbegripet inreseförbud eller utför övervakning av utlänningar. Det ska också vara personuppgiftsansvarig myndighet när det beviljar, upphäver eller återkallar viseringar och när gränskontrollmyndigheten beslutar om givande av betänketid, om förlängning av betänketid och om avbrytande av betänketid för offer för människohandel med stöd av 52 c § i utlänningslagen
Migrationsverket, polisen och Gränsbevakningsväsendet övervakar att utlänningslagen och de bestämmelser som utfärdats med stöd av den iakttas.
Förläggningarna och flyktingslussarna ska i egenskap av personuppgiftsansvariga ansvara för planering, ordnande, genomförande och uppföljning av mottagningstjänster för dem som söker internationellt skydd eller får tillfälligt skydd och har registrerats som klienter och av hjälpinsatser för offer för människohandel. Till mottagningstjänsterna hör bland annat inkvartering, mottagnings- och brukspenning, socialservice, hälso- och sjukvårdstjänster, tolk- och översättartjänster samt arbets- och studieverksamhet. Förläggningarna ska dessutom som personuppgiftsansvariga ha ansvar för den praktiska administrationen av företrädarverksamheten för barn utan vårdnadshavare och för att ansökningar görs för förordnande av företrädare för dessa barn. Förläggningen i Joutseno svarar för skötseln av hjälpsystemet för offer för människohandel.
Flyktingslussarna ska vara personuppgiftsansvariga när de svarar för registreringen av invandrare i lägen där antalet invandrare är undantagsvis är så pass stort att det inte är möjligt att vid sedvanligt förfarande klarlägga förutsättningarna för inresa och registrera invandrare.
Förvarsenheterna avses vara personuppgiftsansvariga när de behandlar personuppgifter för ordnande, planering, genomförande och uppföljning av tagandet i förvar av personer vid enheten och för att upprätthålla ordningen och säkerheten vid förvarsenheten.
Enligt 2 § 1 mom. i lagen om utrikesförvaltningen (204/2000) omfattar utrikesförvaltningen utrikesministeriet och de beskickningar som hör till utrikesrepresentationen. Utrikesförvaltningen ska vara personuppgiftsansvarig myndighet när det gäller behandlingen av personuppgifter avseende viseringar. Viseringarna beviljas i det nationella informationssystemet för viseringar. Även om uppgiften som personuppgiftsansvarig inte är knuten till det informationssystemet kommer utrikesförvaltningen i praktiken att vara personuppgiftsansvarig för det nationella informationssystemet för viseringar. Vid sidan av beskickningarna beviljar också andra myndigheter, såsom polisen, Gränsbevakningsväsendet och Tullen, viseringar i det systemet. Utrikesförvaltningen ska vara personuppgiftsansvarig myndighet också när den behandlar personuppgifter i samband med sådant anhängiggörande av en ansökan om första uppehållstillstånd som lämnats till en finländsk beskickning, när beskickningar samlar in biometriska kännetecken för att fastställa någons identitet, när de meddelar beslut för kännedom utomlands och beviljar så kallade protokoll- eller laissez-passer-tillstånd. Dessutom avses utrikesförvaltningen vara personuppgiftsansvarig när beskickningarna efter att ha hört Migrationsverket fattar beslut om beviljande av främlingspass till en utlänning utomlands eller beslut om en provisorisk resehandling (Emergency Travel Document, ETD).
Närings-, trafik- och miljöcentralen ska vara personuppgiftsansvarig vid behandling av personuppgifter när den anvisar personer till kommuner och när den fattar ett delbeslut gällande en ansökan om uppehållstillstånd för företagare.
Arbets- och näringsbyrån ska vara personuppgiftsansvarig vid behandling av personuppgifter när den fattar ett delbeslut gällande en ansökan om uppehållstillstånd för arbetstagare och när det fattar beslut om vägran att bevilja uppehållstillstånd för arbetstagare enligt 187 § i utlänningslagen.
I enlighet med principerna i artikel 5 och det inbyggda dataskyddet och dataskyddet som standard enligt artikel 25 i dataskyddsförordningen ska varje gemensamt personuppgiftsansvarig svara för att behandlingen av personuppgifter inom den egna verksamheten följer lagen.
Separata bestämmelser ska utfärdas om Migrationsverkets ansvar när det gäller ärendehanteringssystemet för utlänningsärenden och utrikesförvaltningens ansvar när det gäller det nationella informationssystemet för viseringar. Det är inte ändamålsenligt att varje gemensamt personuppgiftsansvarig svarar för förvaltningen av uppgiftsbehandlingen, och därför ska ansvaret för att upprätthålla och utveckla informationssystemen liksom nu koncentreras till systemförvaltaren. Dessutom ska vissa sätt att behandla personuppgifter som är knutna till informationssystemen koncentreras till systemförvaltarna. Bestämmelser om det ansvar som koncentreras till systemförvaltarna avses finnas separat i de föreslagna 4 och 5 §. Lagens 6 § avses dessutom innehålla särskilda bestämmelser om förvaltarens roll som kontaktpunkt för registrerade.
Det är motiverat att visst ansvar som personuppgiftsansvariga har bara ska gälla de personuppgiftsansvariga som faktiskt påverkar innehållet i de personuppgifter de behandlar. Registrering är bara ett av de sätt att behandla personuppgifter på som nämns i artikel 4 i dataskyddsförordningen, men registrering av personuppgifter kräver först andra åtgärder för behandling, såsom bearbetning, ändring eller radering. Det framgick under beredningen att så gott som samtliga sätt att behandla personuppgifter enligt artikel 4 i dataskyddsförordningen kräver att uppgifter registreras. Läsning och framtagning av personuppgifter utgör undantag, och med dessa kan man jämställa observation av personuppgifter, som inte nämns i artikeln. Varje gemensamt personuppgiftsansvarig ska svara för personuppgifter den registrerar. Ansvaret gäller exempelvis att registrerade uppgifter är felfria och därmed också beslut om myndighetsinitierad rättelse av uppgifter. Dessutom ska de gemensamt personuppgiftsansvariga i fråga om uppgifter de registrerar ansvara för att den registrerades rättigheter tillgodoses. Ansvaret för utlämnande och radering av enstaka uppgifter hör på grundval av behörighet till den personuppgiftsansvariga myndighet som har rätt att behandla personuppgifterna. Det tekniska utförandet av vissa tekniska funktioner koncentreras till systemförvaltaren. Till dessa tekniska åtgärder hör radering och rättelse av personuppgifter och tillgodoseende av den registrerades rätt att få tillgång till egna uppgifter.
Enligt 124 § i grundlagen kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Uppgifter som innebär betydande utövning av offentlig makt får dock ges endast myndigheter. Migrationsverket avtalar med stöd av 10 § i mottagandelagen om inrättande och nedläggning av förläggningar och flyktingslussar och om deras verksamhetsställen med kommuner, samkommuner, andra offentligrättsliga samfund eller privata sammanslutningar eller stiftelser. I sådana fall är det inte en myndighet som kommer att vara personuppgiftsansvarig, utan exempelvis en privat förläggning när den utför lagstadgade uppgifter enligt 124 § i grundlagen. De som i praktiken driver förläggningar utöver stat och kommun är främst Finlands Röda Kors, som har lång erfarenhet av att ta emot flyktingar i Finland. För tydlighets skull används ordet myndighet i propositionen också när någon annan än en myndighet fullgör myndighetsuppgifter. Dessa situationer förekommer relativt sällan.
Till skillnad från 3 § 3 mom. i lagen om utlänningsregistret ska Tullen, fångvårdsmyndigheterna, diskrimineringsombudsmannen, högsta förvaltningsdomstolen och de regionala förvaltningsdomstolarna i framtiden inte längre vara personuppgiftsansvariga myndigheter. Dessa myndigheters rätt att få upplysningar ska i fortsättningen bygga på deras egen rätt att få information och på bestämmelserna om utlämnande av information i 13 § i den föreslagna lagen.
Det är meningen att separat föreskriva om förvaltningsansvaret för ärendehanteringssystemet för utlänningsärenden och det nationella viseringssystemet.
Regleringen om sekretess och utlämnande av information utan hinder av sekretess i lagen om offentlighet i myndigheternas verksamhet, som tillämpas som allmän lag på migrations-förvaltningen, baserar sig på principen om fristående myndigheter. Även om myndigheter i sin verksamhet är gemensamt personuppgiftsansvariga, är de enligt principen om fristående myndigheter självständiga i förhållande till varandra. Det är meningen att föreskriva om det sätt på vilket information rör sig mellan de personuppgiftsansvariga separat. Såsom det har konstaterats i EU-domstolens rättspraxis betyder det att personuppgiftsansvariga enligt 3 § i den föreslagna personuppgiftslagen för migrationsförvaltningen är gemensamt personuppgiftsansvariga i enlighet med artikel 26 i dataskyddsförordningen dock inte att alla personuppgiftsansvariga utan begränsningar kan behandla information som andra personuppgiftsansvariga har samlat in och sparat. Behandlingen av information ska alltid basera sig på lagstiftning som skapar behörighet för myndigheten i fråga. Tillgången till information ska förvaltas med användarrättigheter.
4 §.Ärendehanteringssystemet för utlänningsärenden. Till ärendehanteringssystemet för utlänningsärenden räknas förutom det egentliga datasystemet för utlänningsfrågor (UMA) systemet för identitetskort och pass när det gäller främlingspass och resedokument för flyktingar. Den del av systemet för identitetskort och pass som gäller främlingspass och resedokument för flyktingar är Migrationsverket ensamt personuppgiftsansvarig för. För den delen behövs det därför inte nödvändigtvis särskilda bestämmer om systemförvaltningen. Det system som innefattar främlingspass och resedokument för flyktingar ingår i polisens informationssystem, och därför har det ansetts tydligare att föreskriva om Migrationsverkets ansvar i fråga om hela datasystemet för utlänningsfrågor.
Enligt förslaget ska Migrationsverket ansvara för utvecklingen och förvaltningen av ärendehanteringssystemet för utlänningsärenden. Förvaltningsansvaret för ärendehanteringssystemet är separat från den personuppgiftsansvariges ansvar och skyldigheter enligt 3 § och påverkar därmed inte deras användning. En sådan koncentration av ansvaret för förvaltning och utveckling av informationssystemen är nödvändig i ett läge där det finns flera gemensamt personuppgiftsansvariga för de personuppgifter som behandlas i systemet. Detta utvecklings- och förvaltningsansvar förutsätter att en viss myndighet ansvarar för systemen i stället för att ansvaret skulle fördelas mellan alla gemensamt personuppgiftsansvariga. Migrationsverket äger ärendehanteringssystemet för utlänningsärenden och ska således på samma sätt som nu stå för kostnaderna för att systemet utvecklas och förvaltas och för prioritering och tidsplan när det gäller utvecklingen. Verket ska ansvara för utvecklingen och förvaltningen också när behovet att utveckla och förvalta följer av beslut om lagstiftning eller annat som fattas inom andra förvaltningsområden men som blir betydande genom den föreslagna lagens tillämpningsområde. Migrationsverket ska ansvara för hanteringen av åtkomsträttigheter i systemet och för systemets tekniska konfiguration.
Migrationsverket ska i egenskap av förvaltare av ärendehanteringssystemet för utlänningsärenden i enlighet med nuläget svara för det tekniska genomförandet av vissa åtgärder för behandling av personuppgifter som hör till den personuppgiftsansvarige. Det rör sig exempelvis om att tekniskt genomföra ett tillgodoseende av den registrerades rätt att få tillgång till egna uppgifter och en radering av uppgifter i ett enskilt fall.
Vidare ska Migrationsverket i egenskap av förvaltare av ärendehanteringssystemet för utlänningsärenden ansvara för vissa behandlingsåtgärder som är knutna till systemet. Verket ska i enlighet med informationshanteringslagen ansvara för radering av andra uppgifter än enskilda personuppgifter samt för utlämnande av uppgifter ur systemet och öppnande av elektroniska förbindelser för åtkomst till systemet. Informationshanteringslagen innehåller bestämmelser om utlämnande av personuppgifter genom ett tekniskt gränssnitt och om öppnande av elektroniska förbindelser för åtkomst till systemet. Migrationsverket ska som personuppgiftsansvarig ansvara för radering och utlämnande av enskilda personuppgifter i enlighet med 3 §.
Bestämmelserna om ärendehanteringssystemet för utlänningsärenden kommer inte att påverka lagens tillämpningsområde, som inte är knutet till informationssystemen.
5 §.Nationella informationssystemet för viseringar. Enligt förslaget ska utrikesförvaltningen ansvara för utvecklingen och förvaltningen av det nationella informationssystemet för viseringar. Förvaltningsansvaret för informationssystemet för viseringar är separat från den personuppgiftsansvariges ansvar och skyldigheter enligt 3 § och påverkar därmed inte deras användning. En sådan koncentration av ansvaret är nödvändig i ett läge där det finns flera gemensamt personuppgiftsansvariga som behandlar personuppgifter i systemet. Detta utvecklings- och förvaltningsansvar förutsätter att en enda myndighet ansvarar för systemet i stället för att ansvaret skulle fördelas mellan alla gemensamt personuppgiftsansvariga. Utrikesförvaltningen äger det nationella informationssystemet för viseringar och ska således stå för kostnaderna för att systemet utvecklas och förvaltas och för prioritering och tidsplan när det gäller utvecklingen. Förvaltningen ska ansvara för utvecklingen och förvaltningen också när behovet att utveckla och förvalta följer av beslut om lagstiftning eller annat som fattas inom andra förvaltningsområden men som blir betydande genom den föreslagna lagens tillämpningsområde. Utrikesförvaltningen ska ansvara för hanteringen av åtkomsträttigheter i systemet och för systemets tekniska konfiguration.
Utrikesförvaltningen ska i egenskap av förvaltare av det nationella systemet för viseringar i enlighet med nuläget svara för det tekniska genomförandet av vissa åtgärder för behandling av personuppgifter. Det rör sig exempelvis om att tekniskt genomföra ett tillgodoseende av den registrerades rätt att få tillgång till egna uppgifter, rättelse av uppgifter och radering av uppgifter i ett enskilt fall.
Vidare ska utrikesförvaltningen i egenskap av förvaltare av det nationella systemet för viseringar ansvara för vissa behandlingsåtgärder som är knutna till systemet. Utrikesförvaltningen ska enligt informationshanteringslagen ansvara för radering av andra uppgifter än enskilda personuppgifter samt för utlämnande av uppgifter ur systemet och öppnande av elektroniska förbindelser för åtkomst till systemet. Informationshanteringslagen innehåller bestämmelser om utlämnande av personuppgifter genom ett tekniskt gränssnitt och om öppnande av elektroniska förbindelser för åtkomst till systemet. Utrikesförvaltningen ska som personuppgiftsansvarig ansvara för radering och utlämnande av enskilda personuppgifter i enlighet med 3 §.
Bestämmelserna om det nationella systemet för viseringar ska inte påverka lagens tillämpningsområde, som inte är knuten till informationssystemen.
6 §.Kontaktpunkter för registrerade. I syfte att se till att de registrerades rättigheter respekteras införs särskilda bestämmelser om kontaktpunkter för registrerade. Migrationsverket är kontaktpunkt för dem som registrerats i ärendehanteringssystemet för utlänningsärenden. Utrikesförvaltningen är kontaktpunkt för dem som registrerats i det nationella informationssystemet för viseringar.
Kontaktpunkten ska se till att de registrerades rättigheter tillgodoses, särskilt rätten till åtkomst till personuppgifter. Det sker genom att kontaktpunkten med stöd av rätten att få tillgång till den registrerades egna uppgifter svarar för att begärd information lämnas till den registrerade och för den process som är kopplad till begäran överlag. I en situation där flera gemensamt personuppgiftsansvariga agerar inom sina befogenheter är det motiverat att främja tillgodoseendet av den registrerades rättigheter genom bestämmelser om kontaktpunkter för registrerade. Kontaktpunkten ska vara den registrerades primära kontakt i förhållande till också den personuppgiftsansvariga myndighet som handlägger eller avgör ärendet.
Trots att kontaktpunkter utses hindrar det enligt artikel 26.3 i dataskyddsförordningen inte den registrerade från att utöva sina rättigheter med avseende på och emot var och en av de personuppgiftsansvariga, dvs. från att framföra en begäran avseende rätten att få tillgång till den registrerades egna uppgifter också till andra personuppgiftsansvariga. En begäran om tillgång till egna uppgifter som riktas till personuppgiftsansvariga ska beroende på ärendets art hänvisas till Migrationsverket eller utrikesförvaltningen för behövliga åtgärder. En sådan verksamhetsmodell skulle svara mot en myndighets skyldighet enligt 21 § i förvaltningslagen (434/2003) att utan dröjsmål överföra handlingar i ett ärende i vilket den inte är behörig till den myndighet som den anser vara behörig. Den i ärendet behöriga personuppgiftsansvarige kan om den så önskar själv tillgodose den registrerades rätt att få tillgång till egna uppgifter, men det är systemförvaltaren som ansvarar för det tekniska genomförandet. Målet är att tillräcklig information och kommunikation ska leda till att begärandena om tillgång ska riktas direkt till den registrerades kontaktpunkt i situationer där den registrerade inte medvetet väljer att rikta sin begäran till den behöriga personuppgiftsansvariga myndigheten eller om denne så önskar också till någon annan personuppgiftsansvarig.
Vid behov kommer kontaktpunkten att fråga den myndighet som ansvarar eller ansvarat för handläggningen hur den ser på saken i situationer där det exempelvis är oklart vad den registrerades rätt att få tillgång till egna uppgifter innefattar eller omfattar.
7 §.Personuppgifter som får behandlas. Paragrafen avses innehålla de personuppgifter och grupper av personuppgifter där den ingående personuppgifter får behandlas inom lagens tillämpningsområde. Den bestämmer de yttre ramarna för vilka personuppgifter som kan behandlas. Paragrafen anger inte vilka personuppgifter som kan behandlas i en enskild situation. Med andra ord skapar den inte behörighet att behandla personuppgifter. Behörigheten när det gäller att behandla en viss personuppgift ska alltid bygga på en särskild behörighetsbestämmelse.
Enligt artikel 5.1 c i dataskyddsförordningen ska personuppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). En bedömning av om personuppgifterna behövs ska alltid göras i förhållande till användningsändamålet. En enskild personuppgift som behandlas ska alltid vara behövlig i förhållande till sitt användningsändamål, fullgörande av en lagstadgad uppgift. Behovet av varje enskild uppgift ska bedömas från fall till fall. Enskilda informationshanterares tillgång till de uppgiftsgrupper som behövs för behandlingen ska begränsas genom hanteringen av åtkomsträttigheterna och olika användarprofiler. Logguppgifter kan å sin sida användas efteråt för att kontrollera och verifiera vem som har behandlat personuppgifterna. De som behandlar uppgifterna gör det alltid under tjänsteansvar.
Detta sätt att reglera datainnehållet är allmänt hållet i förhållande till de gällande bestämmelserna i lagen om utlänningsregistret. Enligt det riskbaserade synsätt som man gått in för i dataskyddsförordningen och som också grundlagsutskottet gärna prioriterar, ska regleringen utifrån riskerna gälla de situationer som kräver närmare reglering. Det innebär att detaljerade bestämmelser slopas i de situationer som nu avses, dvs. där en heltäckande och detaljerad reglering inte är nödvändig. En mer generell lösning när det gäller regleringen är lagtekniskt motiverad på grund av datainnehållets stora omfattning och även för att bestämmelserna innehåller överbegrepp för att beskriva personuppgifterna. Innehållet i dessa begrepp kan anses som tämligen etablerat. En regleringsteknik där datainnehållet beskrivs med etablerade kriterier för indelning av personuppgifter är ändamålsenlig också ur det perspektivet att den på vissa villkor utan ständiga lagstiftningsändringar möjliggör sådana enskilda ändringar som behöver göras i innehållet i sådana personuppgifter som behandlas till följd av ändringar som görs i behörighetsgivande lagar. En mer allmänt hållen gruppindelning kommer att medge en mer omfattande behandling av datainnehållet, men bara under den förutsättningen att behandlingen av uppgiften behövs och har en rättslig grund. Bestämmelser om särskilda kategorier av personuppgifter avses finnas särskilt i 8 § i den föreslagna lagen.
Med beaktande av den utvidgning av tillämpningsområdet som den föreslagna lagen innebär i förhållande till nuläget enligt lagen om utlänningsregistret avses den föreslagna paragrafen ha dels datainnehållet i 7 § i den gällande lagen om utlänningsregistret, dels också det datainnehåll som avses i 48 § i den gällande mottagandelagen, 32 d § i den gällande förvarslagen och 60 § 2 mom. i den gällande integrationslagen.
Den föreslagna 7 § avses bestå av fyra moment. Dess 1 mom. innehåller bestämmelser om uppgifter relaterade till den berörda personen, 2 mom. bestämmelser om till ärendet relaterade uppgifter, 3 mom. bestämmelser om uppgifter om iakttagelser och 4 mom. bestämmelser om uppgifter relaterade till andra personer som har anknytning till personen eller ärendet.
Paragrafens 1 mom. avses gälla personers identifieringsuppgifter, uppgifter om familjeförhållandena, uppgifter om företrädande, uppgifter som beskriver kunnande och kontaktuppgifter samt uppgifter om resedokument samt behandlingen av kortet över anhängigt ansökningsärende som avses 96 § i utlänningslagen.
I 2 mom. 1 och 2 punkten föreslås bestämmelser om uppgifter som framgår av en ansökan, framställning, begäran eller anmälan eller av förfrågningar eller höranden som gjorts på grund av dessa och om uppgifter om behandling och utredning av samt beslut i ärenden. I de uppgifter som behandlas under dessa punkter kan även ingå uppgifter om juridiska personer, eftersom personuppgiftsansvariga, även om det är fråga om en personuppgiftslag, måste även kunna behandla uppgifter om juridiska personer inom ramen för lagstiftning som skapar behörighet, när den juridiska persons uppgifter till exempel ansluter sig till behandlingen av ett ärende som gäller en fysisk person. Dylika uppgifter som gäller juridiska personer kan vara till exempel arbetsgivaruppgifter som behövs för avgörande av ett uppehållstillstånds- eller medborgarskapsärende. Med uppgifter om beslut avses också uppgifter om beslut i myndighetsinitierade ärenden. Till skillnad från 7 § 2 mom. 2 punkten i utlänningsregisterlaget nämner 2 mom. inte särskilt handlingar eftersom den föreslagna lagen avses gälla behandlingen av personuppgifter oavsett vilken form uppgifterna behandlas i.
Paragrafens 2 mom. 3 punkt avses gälla uppgifter om mottagningstjänster och annan verksamhet som hör till mottagningen samt uppgifter om företrädare när det gäller mottagningsverksamhet för barn utan vårdnadshavare och uppgifter som behövs vid styrningen, planeringen och övervakningen av företrädarverksamheten. Med uppgifter om företrädare avses uppgifter som beskriver vårdnadshavar-, intressebevaknings-, företrädar-, biträdes- eller ombudsrelationen. I 2 mom. 4 punkten finns bestämmelser om de uppgifter som gäller placering av en utlänning i en förvarsenhet. I 5 punkten i samma moment finns bestämmelser om behandlingen av uppgiften om anvisande till en kommun. Med anvisande till en kommun avses anvisande till en kommun av den sådan person som avses i 2 § 2 och 3 mom. i integrationslagen.
Dessa ändringar är huvudsakligen lagtekniska och kommer i princip inte att ändra det rådande nuläget när det gäller de uppgifter som ska registreras enligt lagen om utlänningsregistret, mottagandelagen, förvarslagen och integrationslagen, dock med vissa undantag som beskrivs i det följande: beskrivningarna i 48 § i mottagandelagen och 32 d § i förvarslagen om de syften i vilka vissa personuppgifter kan behandlas ska ersättas med ett allmänt krav på behövlighet. Det är inte meningen att nuläget när det gäller villkoren för behandling ska ändras, även om ändamålet med behandlingen i fortsättningen inte ska ingå i paragrafen om datainnehåll: uppgiften ska även fortsättningsvis vara behövlig uttryckligen i relation till syftet med behandlingen. Datainnehållet i 2 mom. 4 punkten avseende tagande i förvar ska enligt avsikt utvidgas till att gälla uppgifter som behövs för att trygga ordnandet, planeringen, genomförandet, uppföljningen av tagandet i förvar och ett korrekt bemötande av utlänningar. Enligt 7 § i den gällande lagen om utlänningsregistret täcker datainnehållet i detta avseende bara uppgifter om innehav och användning av telefoner och annan kommunikationsutrustning eller kontroller och begränsningar. Bestämmelserna motsvarar dock inte det faktiska behovet. Det mest ändamålsenliga vore att det datainnehåll som registreras mer utvidgat inbegriper uppgifter som behövs för att trygga ordnandet, planeringen, genomförandet och uppföljningen av tagandet i förvar samt ett korrekt bemötande av utlänningar. En ändring behövs med avseende på de funktionella behov som framgår av förvarslagen. I 11 § i den lagen föreskrivs det om inkvartering, uppehälle och tillgodoseende av andra grundläggande behov, vilket förutsätter en möjlighet att behandla relaterade personuppgifter. Också för brukspenning och tjänster som avser stödjande av funktionsförmågan enligt 12 och 14 § i samma lag krävs det att till dessa relaterade personuppgifter kan behandlas. Överlag behöver uppgifter som kan anses utgöra en klientrapport kunna behandlas. Det gäller exempelvis uppgifter om personens deltagande i aktiviteter, vidtagna klientåtgärder eller särskild diet. Också exempelvis uppgifter om klientens uppförande behöver kunna registreras, eftersom det kan påverka klientens, andra i förvar tagna klienters eller de anställdas säkerhet till exempel vid övergång från ett skifte till ett annat.
Den personuppgiftsansvarige ska till skillnad från nuläget ha rätt att med stöd av 3 mom., i den mån det är behövligt, behandla sådana uppgifter om iakttagelser gjorda av eller anmälda till den personuppgiftsansvarige som på grund av omständigheterna eller personens beteende med fog kan bedömas anknyta till den personuppgiftsansvariges behörighet att övervaka att det finns förutsättningar för en persons inresa och vistelse i landet eller besluta om någons förvärv eller förlust av finskt medborgarskap eller till skyldigheten att sörja för arbetarskyddet för de anställda. Det rör sig om en ny bestämmelse om datainnehållet, och den kommer att medge behandling av personuppgifter, men behörigheten bygger på gällande lagstiftning. När det gäller sådana uppgifter om iakttagelser kan det potentiellt handla om en mycket omfattande datamängd som berör privatlivet. Uppgifter om iakttagelser är dessutom ofta av otillförlitligt slag och förknippade med en risk för att oskyldiga personer stämplas. Därför måste behandlingen av uppgifterna avgränsas på det sätt som grundlagsutskottet förutsätter (GrUU 18/2012 rd, s. 4, och GrUU 71/2014 rd, s. 2—3). Behandlingen av uppgifter om iakttagelser styrs av principen om ändamålsbundenhet i myndigheternas verksamhet. Behandlingen av uppgifter om iakttagelser begränsas för det första till den personuppgiftsansvariges behörighet att övervaka att det finns förutsättningar för en persons inresa och vistelse i landet. Myndigheterna utför med stöd av de gällande 129 a och 212 § i utlänningslagen övervakning av utlänningar och tillsyn över iakttagandet av de bestämmelser som utfärdats med stöd av utlänningslagen. I exempelvis proposition RP 169/2014 rd slås det fast att det alltid i bakgrunden måste finnas någon uppgift eller misstanke som gäller grunden för beviljandet av uppehållstillstånd och som är orsaken till att Migrationsverket på goda grunder i efterhand kontrollerar om villkoren för personens vistelse i landet fortfarande uppfylls. Migrationsverket är med stöd av medborgarskapslagen behörigt att bevilja och förvägra finskt medborgarskap eller besluta om förlust av medborgarskap. Medborgarskapslagens 3 och 4 kap. innehåller bestämmelser om de förutsättningar under vilka en person kan beviljas finskt medborgarskap på ansökan eller efter anmälan. I 33 § i den lagen finns bestämmelser om förlust av medborgarskap på grund av lämnande av oriktiga uppgifter. Således har Migrationsverket grundad anledning att behandla sådana uppgifter om iakttagelser som kan leda till att en person inte beviljas finskt medborgarskap eller till att en person förlorar medborgarskapet. Enligt 8 § i arbetarskyddslagen (738/2002) är arbetsgivaren skyldig att genom nödvändiga åtgärder sörja för arbetstagarnas säkerhet och hälsa i arbetet. I detta syfte ska arbetsgivaren beakta omständigheter som hänför sig till arbetet, arbetsförhållandena och arbetsmiljön i övrigt samt till arbetstagarens personliga förutsättningar. Arbetsgivaren ska planera, välja, dimensionera och genomföra de åtgärder som behövs för att förbättra arbetsförhållandena. Då ska i mån av möjlighet exempelvis principen om att förhindra uppkomsten av risker och olägenheter iakttas. Därmed innehåller bestämmelsen om iakttagelseuppgifter en förutsättning enligt vilken personuppgifter bara får behandlas för att genomföra uttryckliga lagstadgade uppgifter.
I praktiken ska uppgifterna om iakttagelser utgöra grund för inledande av en närmare utredning av de omständigheter som påverkar uppgifterna inom myndigheternas behörighet. Myndigheten ska inom ramen för sina befogenheter kunna registrera uppgifter om iakttagelser även om de inte anknyter till något pågående ärende. Uppgifterna får inte användas som beslutsgrund. Inga begränsningar anges när det gäller uppgifternas natur. Det ska inte finnas en förteckning över uppgifter om iakttagelser, på motsvarande sätt som i 8 § i polisens personuppgiftslag, eftersom de i vilket fall som helst begränsar sig till uppgifter som den personuppgiftsansvarige behandlar på basis av den lagstiftning som ger den behörighet. Uppgifter om iakttagelser kan ansluta sig till Migrationsverkets klienter eller sådana tredje personer som har inverkan på förutsättningarna för inresan eller vistelsen av Migrationsverkets klienter eller på förvärv eller förlust av medborgarskap. Uppgifterna om iakttagelser kan gälla exempelvis sådana omständigheter eller händelser, såsom familjeförhållanden eller försörjning, som kan vara relevanta för tillståndsprövningen eller vid bedömningen av huruvida en persons vistelse i landet fortsatt motsvarar förutsättningarna för uppehållstillstånd. Uppgifterna kan också gälla omständigheter som kan vara relevanta vid beviljande av medborgarskap eller leda till förlust av medborgarskap, såsom uppgifter om identitet eller vistelsen i Finland (RP 235/2002 rd). Uppgifterna om iakttagelser kan vara uppgifter som påverkar arbetarskyddet, såsom uppgifter om en persons beteende, och som kan vara av betydelse exempelvis med avseende på ordnande av asylsamtal eller med tanke på andra åtgärder för att sörja för säkerheten.
Uppgifterna om iakttagelser ska följa principerna för behandling av personuppgifter i artikel 5 i dataskyddsförordningen. De ska med andra ord vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Uppgifter om iakttagelser kan i enskilda fall anses som hörande till särskilda kategorier av personuppgifter och då måste behandlingen också uppfylla de förutsättningar enligt 8 § för behandling av sådana personuppgifter uppfyllas. Behandlingen av uppgifter om iakttagelser som utförs av någon annan än den personuppgiftsansvarig som sparat uppgifterna ska vara möjligt med stöd av 11 §, ifall genomförandet av den personuppgiftsansvariges lagstadgade uppgifter så förutsätter.
Till uppgifterna om iakttagelser ska det om möjligt fogas uppgift om den som lämnat uppgiften eller om uppgiftskällan samt en bedömning av dennes tillförlitlighet och uppgifternas riktighet. Därmed ska registreringen alltid ange varifrån uppgiften om iakttagelsen härstammar, eller om dess källa inte är känd, information om detta. De allmänna begränsningarna enligt 34 § i den föreslagna dataskyddslagen i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne ska gälla för uppgifterna om iakttagelse. Det föreskrivs särskilt om radering av uppgifter om iakttagelser. Förutsättningarna för behandling av uppgifter om iakttagelse ska tolkas restriktivt beroende på uppgifternas natur.
Med stöd av 4 mom. i den föreslagna paragrafen får den personuppgiftsansvarige, i den mån det är behövligt, behandla personuppgifter som avser familjemedlemmar och personer som bor i samma hushåll samt personuppgifter som avser mottagare i Finland och personuppgifter som avser dem som anställer en utländsk arbetstagare.
8 §.Särskilda kategorier av personuppgifter som får behandlas. Den föreslagna 8 § avses innehålla bestämmelser om behandling av personuppgifter inom särskilda kategorier. Separata bestämmelser behövs eftersom personuppgifter som hör till särskilda kategorier av sådana uppgifter är känsliga när man beaktar det riskbaserade synsättet i dataskyddsförordningen, vilket också grundlagsutskottet ger prioritet åt. Enligt artikel 9 i dataskyddsförordningen ska behandling av särskilda kategorier av personuppgifter i princip vara förbjuden. Dataskyddslagens 6 § innebär att förbudet mot behandling av känsliga uppgifter med stöd av det nationella handlingsutrymmet inte ska tillämpas på sådan behandling av personuppgifter som det föreskrivs om i lag eller som direkt följer av den personuppgiftsansvariges lagstadgade uppgifter. Det bör påpekas att lagen om behandling av personuppgifter i migrationsförvaltningen inte avses ge behörighet att behandla personuppgifter och därmed inte heller att behandla personupp-gifter som hör till särskilda kategorier av personuppgifter.
Preciserande bestämmelser om hanteringen av fingeravtryck finns separat i 9 och 10 § i lagförslaget, och de motsvarar nuläget enligt lagen om utlänningsregistret.
Den föreslagna paragrafen ska gälla sådana enligt 24 § i offentlighetslagen sekretessbelagda uppgifter som hör till de särskilda kategorierna av personuppgifter enligt artikel 9 i dataskyddsförordningen, är sådana personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott enligt artikel 10 i den förordningen och som kan behandlas på särskilda villkor eller som fortsatt konstitutionellt sett ska anses vara nationellt känsliga. De sistnämnda uppgifterna är enligt grundlagsutskottets tolkning (se GrUU 14/2018 rd och GrUU 15/2018 rd) konstitutionellt känsliga uppgifter som inte är särskilda kategorier av personuppgifter enligt dataskyddsförordningen, såsom uppgifter om sociala tjänster. I nuläget finns bestämmelser om dessa sekretessbelagda uppgifter delvis i såväl den gällande lagen om utlänningsregistret och mottagandelagen som i den gällande förvarslagen. Regleringen bör vara tydlig och begriplig, och därför bör bestämmelser om de berörda uppgifterna, som på olika grunder anses vara speciella eller känsliga, koncentreras till en och samma paragraf. På detta sätt understryks det också att särskild omsorgsfullhet krävs när de behandlas och att de ska skyddas från obehörig användning. I rubriken till paragrafen används begreppet särskilda kategorier av personuppgifter, som är det uttryck som dataskyddsförordningen använder om dessa uppgifter. Detta trots att paragrafen på det sätt som anges ovan också gäller andra personuppgifter som bara får behandlas på särskilda villkor. I fortsättningen betecknas uppgifterna för tydlighets skull särskilda kategorier av personuppgifter i enlighet med paragrafrubriken.
Varje personuppgiftsansvariga skulle ha rätt att behandla särskilda kategorier av personuppgifter bara inom ramen av sin behörighet. En förutsättning för behandling av personuppgifter som hör till dessa särskilda kategorier av personuppgifter är också att den är nödvändig i något syfte, vilket motsvarar bestämmelserna i lagen om utlänningsregistret och förvarslagen. Dessutom snävas användningsområdet för dessa personuppgifter in – vilket inte är fallet för de personuppgifter som inte hör till de särskilda kategorierna – genom att syftet med behandlingen preciseras av tillämpningsområdet, så att det går att minimera de allvarliga risker för de grundläggande fri- och rättigheterna som är kopplade till informationssäkerheten och missbruk av uppgifter (GrUU 15/2018 rd, s. 37).
När personuppgifter som gör till särskilda kategorier av personuppgifter behandlas berör man kärnan av en persons integritetsskydd, och därmed måste proportionaliteten i användningen av sådana uppgifter bedömas i relation till huruvida ingreppet i integritetsskyddet samtidigt skyddar andra rättigheter som personen i fråga har och om dessa andra rättigheter utgör en så pass tungt vägande grund att integritetsskyddet på grund av dem kan inskränkas. Inom migrationsförvaltningen är det nödvändigt att behandla särskilda kategorier av personuppgifter för att skydda den registrerades identitet, trygga dennes rättssäkerhet eller skydda dennes intressen eller för att den registrerade ska få socialvård eller hälso- och sjukvård. Med andra ord är behandling av särskilda kategorier av personuppgifter en åtgärd som på det sätt som artikel 9.2 g i dataskyddsförordningen kräver står i proportion till det rättsobjekt som eftersträvas med begränsningen.
Utöver begränsningarna av användningsområdet för de särskilda kategorierna av personuppgifter kommer de lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som artikel 9.2 g i förordningen kräver att genomföras genom de skyddsåtgärder som anges i 6 § 2 mom. i dataskyddslagen. Till dessa åtgärder hör bland annat att man sörjer för personalens kompetens och olika övervakningsmetoder och säkerställer att de tekniska systemen fungerar. Också speciallagstiftningen i sig utgör en skyddsåtgärd som dataskyddsförordningen kräver. Dessutom är det meningen att särskilda bestämmelser ska införas om radering av uppgifter som särskilda kategorier av personuppgifter.
Den mångfald av situationer som migrationsförvaltningen hanterar innebär att det inte är möjligt att fullständigt i detalj formulera bestämmelserna för behandling av de särskilda kategorierna av personuppgifter utan att beskriva myndigheternas befogenheter för varje uppgift. Ett sådant sätt att reglera saken kan emellertid inte anses vara ändamålsenligt. Det går att identifiera situationer där man särskilt ofta behöver hantera personuppgifter som hör till de särskilda kategorierna och sådana situationer där det inte finns något sådant behov. Ofta är det däremot fråga om situationer där en viss personuppgift som hör till en särskild kategori ibland nödvändigt behöver hanteras och ibland inte. Fråga om behandlingen av uppgifterna är nödvändig måste alltid bedömas särskilt i den enskilda situationen. En fallspecifik bedömning måste alltid göras för en särskild kategori av personuppgifter.
Det kan vara nödvändigt att behandla personuppgifter som anger en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller sexualliv eller sexuella läggning, i synnerhet när det gäller att bedöma grunderna för en ansökan om internationellt skydd, men också för att vidta praktiska arrangemang för mottagning, tagande i förvar av asylsökande och för anvisande till en kommun. Syftet är då att säkerställa den registrerades säkerhet.
Behandling av uppgifter som gäller medlemskap i en fackförening kan vara nödvändig för att bedöma grunderna för en ansökan om internationellt skydd och för att hjälpa offer för människohandel.
Det kan vara nödvändigt att behandla genetiska personuppgifter för att utreda familjeförbindelser med DNA-analys med stöd av 65 § i utlänningslagen samt för att utföra en rättsmedicinsk undersökning med stöd av 6 a § i utlänningslagen i syfte att utreda åldern av en utlänning som ansöker om uppehållstillstånd i Finland eller en anknytningsperson. Det kan vara nödvändigt att behandla biometriska personuppgifter för att entydigt identifiera en fysisk person när fingeravtryck eller en ansiktsbild, som sökanden har bifogat, tas av sökanden i samband med inlämning av ansökan om uppehållstillstånd eller av ansökan om internationellt skydd, för ett uppehållstillståndskort enligt 60 d § i utlänningslagen. Bestämmelser om behandlingen av sådana signalement på utlänningar som med stöd av 131 § i utlänningslagen förs in i polisens register finns i lagen om behandling av personuppgifter i polisens verksamhet. Preciserande bestämmelser om användning av fingeravtryck som hör till de biometriska kännetecknen finns i 9 och 10 §.
Med genetiska personuppgifter avses alla personuppgifter enligt artikel 4.13 i dataskyddsförordningen som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga. Biometriska uppgifter avser å sin sida sådana personuppgifter enligt artikel 4.14 i den förordningen som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter.
Uppgifter om hälsa kan vara nödvändiga i alla situationer som hör till lagens tillämpningsområde av. Det rör sig bland annat om att bedöma grunderna för en ansökan om internationellt skydd, bedöma förutsättningarna för beviljande av uppehållstillstånd eller vidta praktiska arrangemang för mottagning, tagande i förvar av asylsökande och för anvisande till en kommun i syfte att beakta den registrerades hälsotillstånd.
Enligt artikel 4.15 i dataskyddsförordningen är uppgifter om hälsa personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus.
Det har nationellt föreskrivits om journalhandlingar och de uppgifter som de innehåller. Enligt 2 § 5 punkten i lagen om patientens ställning och rättigheter (785/1992, nedan patientlagen) är journalhandlingar handlingar eller tekniska dokument som används, uppgörs eller inkommer i samband med att en patient får vård eller vården ordnas och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga uppgifter. Bestämmelser om de uppgifter som ska antecknas i journalhandlingar har utfärdats särskilt genom social- och hälsovårdsministeriets förordning om journalhandlingar (298/2009). Enligt 13 § 1 mom. i patientlagen är uppgifter i journalhandlingarna sekretessbelagda. Enligt dess 2 mom. får en yrkesutbildad person inom hälso- och sjukvården eller någon annan som arbetar vid en verksamhetsenhet för hälso- och sjukvård eller utför uppdrag för den inte utan patientens skriftliga samtycke lämna sådana uppgifter som ingår i journalhandlingarna till utomstående. Inom migrationsförvaltningen är det undantagsvis nödvändigt även för andra än yrkesutbildade personer inom hälso- och sjukvården att behandla vissa uppgifter som gäller hälsa.
I princip är det bara yrkesutbildade personer inom hälso- och sjukvården, såsom hälsovårdare exempelvis på förläggningar, inom hjälpsystemet för offer för människohandel eller på förvarsenheter, som får behandla patientuppgifter om personer inom dessa tjänster utan patientens skriftliga samtycke. Riksdagens justitieombudsman har i sitt avgörande EOAK 3101/4/13 slagit fast att ledare vid förvarsenheter som delar ut medicin i sitt uppdrag inte har rätt att få ta del av uppgifter som gäller vård och behandling, exempelvis medicinering, av den som tagits i förvar utan dennes samtycke. Justitieombudsmannen kom fram till samma slutsats i avgörande EOAK 3998/4/07 i fråga om läkemedelsutdelning till fångar. Yrkesutbildade personer inom hälso- och sjukvården, såsom hälsovårdare, exempelvis på förläggningar, inom hjälpsystemet för offer för människohandel eller på förvarsenheter följer patientlagen i fråga om behandlingen av patientuppgifter. Också andra anställda hos den personuppgiftsansvarige måste emellertid i undantagsfall kunna behandla sådana uppgifter om migrationsförvaltningens klienter som gäller risken för våld, självmord eller smitta eller andra motsvarande sjukdomsrelaterade risker eller sjukdomar, när uppgifterna är nödvändiga för att skydda den berörda personens liv, hälsa eller säkerhet eller för att förhindra risk för andra personers liv, hälsa eller säkerhet. Till exempel i en situation där en socialarbetare på en mottagningscentrals stödboendeenhet eller enhet för minderåriga eller en ungdoms egenvårdare följer med ett barn eller en ungdom till läkare, är det nödvändigt för den anställda att veta var och varför barnet eller ungdomen ska medföljas. Därför är det meningen att bestämmelsen ska ge möjlighet till behandling av patientuppgifter då detta är nödvändigt i den personuppgiftsansvariges verksamhet.
Behovet att nödvändigt använda uppgifter om socialtjänster hänger särskilt samman med bedömningen av grunderna för en ansökan om internationellt skydd, men också med vidtagande av praktiska arrangemang för mottagning eller tagande i förvar av asylsökande eller för anvisande till en kommun.
Till personuppgifter som rör domar i brottmål och överträdelser räknas också personuppgifter som avser verkställighet av straff. Dessa personuppgifter kan vara nödvändiga i alla situationer som rör lagens tillämpningsområde. Dessa domar och överträdelser samt uppgifter som gäller straffverkställighet kan vara av betydelse i ärenden som gäller inresa eller utresa, ärenden som gäller medborgarskap, särskilt när medborgarskap beviljas men också när mottagning och tagande i förvar ordnas i praktiken vid anvisande till en kommun.
Alla personuppgifter som hör till särskilda kategorier av personuppgifter som får behandlas kan vara nödvändiga att behandla för att trygga nationell säkerhet.
9 §.Behandling av uppgifter om fingeravtryck som tagits för ansökningar om främlingspass och resedokument för flykting. Paragrafen avses innehålla bestämmelser om behandling av fingeravtryck som tagits av dem som ansöker om främlingspass och resedokument för flyktingar. Till sitt innehåll motsvarar paragrafen 3 a § i den gällande lagen om utlänningsregistret. De behövliga tekniska ändringar som görs beror på en ändring av nuläget som innebär att inga bestämmelser införs om register och delregister till följd av att utgångspunkten blir syftet med behandlingen. Därför sägs det också helt enkelt i paragrafen att tagna fingeravtryck ska registreras. Avsikten är inte att ändra nuläget. Om de myndigheter som har rätt att använda fingeravtryck används i stället för utrikesministeriet och finska beskickningar begreppet utrikesförvaltningen. Det rör sig om en teknisk ändring som motsvarar den terminologi som i övrigt används i denna proposition. Med polis är det meningen att alltjämt även avse skyddspolis, och det är inte meningen att till den här delen ändra nuläget, även om det numera föreskrivs separat om skyddspolisens behandling av personuppgifter i 7 kap. i polisens personuppgiftslag.
10 §.Behandling av uppgifter om fingeravtryck som tagits för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem. I denna paragraf föreslås det bestämmelser om användning av fingeravtryck som tagits för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem. Till sitt innehåll motsvarar den 3 b § i lagen om utlänningsregistret. De behövliga tekniska ändringar som görs beror på en ändring av nuläget som innebär att inga bestämmelser införs om register och delregister till följd av att utgångspunkten blir syftet med behandlingen. Därför sägs det helt enkelt i paragrafen att tagna fingeravtryck ska registreras. Infallsvinkeln blir behandlingsgrundad och därför ersätts hänvisningen till delregistret för an-sökningsärenden med en hänvisning till registrerade uppgifter som avses i paragrafen. Uttrycket statens säkerhet ersätts med uttrycket den nationella säkerheten för att det skulle motsvara det i helheten för underrättelselagstiftning använda uttrycket. Uttrycket statens säkerhet och uttrycket den nationella säkerheten bedöms motsvara varandra. De föreskrivna fingeravtrycksuppgifterna ska i 2 mom. ersättas med ordet fingeravtryck. Avsikten är inte att ändra nuläget.
11 §.Behandling av personuppgifter för det ursprungliga ändamålet. I de föreslagna 1 och 3 § finns bestämmelser om ändamålen med behandling av personuppgifter och de myndigheter som är personuppgiftsansvariga när de fullgör sina uppgifter enligt den lagstiftning som ger dem behörighet. Enligt 29 § i offentlighetslagen kan en myndighet till en annan myndighet lämna ut uppgifter ur sekretessbelagda handlingar, om det i lag särskilt tagits in uttryckliga bestämmelser om rätten att lämna ut eller att få uppgifter. Grundlagsutskottet har uttryckt oro för att uppgifter trots sekretessbestämmelser kan överföras mellan de myndigheter som är gemensamt personuppgiftsansvariga, om registrerade känsliga och sekretessbelagda uppgifter som registreras i ett senare skede behandlas i samma syfte men av en annan gemensamt personuppgiftsansvarig myndighet. Grundlagsutskottet har påmint om att bestämmelserna om sekretess och utlämnande av uppgifter trots sekretess i offentlighetslagen, som tillämpas såsom allmän lag på migrationsförvaltningen, grundar sig på principen om fristående myndigheter. I sin lagtillämpning är myndigheterna självständiga i relation till varandra (GrUU 62/2018 rd).
Principen om fristående myndigheter, som har lyfts fram i grundlagsutskottets utlåtande, kräver särskilda bestämmelser om överföring av känsliga och sekretessbelagda uppgifter mellan personuppgiftsansvariga även när en personuppgiftsansvarig använder personuppgifter i samma syfte i vilket en annan personuppgiftsansvarig ursprungligen samlat in dem. En förutsättning för behandlingen är alltid att myndigheten behöver behandla uppgifterna för att fullgöra en lagstadgad uppgift. De begränsningar som följer av förslaget till 8 § ska alltid tillämpas när uppgifter som hör till särskilda kategorier av personuppgifter behandlas. Formuleringen är också ett uttryck för förbudet mot att använda uppgifter för de olika behandlingsändamålen i 1 § i kors, eftersom detta inte kan anses som behandling för det ursprungliga ändamålet. På det här sättet tar man även på det sätt som grundlagsutskottet förutsätter hänsyn till det att myndigheterna inom migrationsförvaltningen, som fungerar som gemensamt personuppgiftsansvariga, är fristående, vilket för sin del klarlägger användningen av uppgifter för andra ändamål än det ursprungliga i enlighet med 12 §.
Det är viktigt att beakta vissa specifika situationer, såsom myndighetens skyldighet enligt mottagandedirektivet att ta hänsyn till vissa särskilda behov hos sökanden. Uppdateringen av vissa uppgifter som identifierar en person är förenlig också då man rör sig mellan de olika punkterna i tillämpningsområdet för 1 §. Om en persons identifieringsuppgifter därmed uppdateras exempelvis i samband med en tillståndsprocess, bör uppgifterna i praktiken antagligen uppdateras också för mottagande- och förvarsprocessens del.
Enligt artikel 5.1 d i dataskyddsförordningen ska behandlingen av personuppgifter vara korrekt, dvs. personuppgifterna ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.
12 §.Behandling av personuppgifter för andra ändamål än det ursprungliga. Denna paragraf avses innehålla bestämmelser om de situationer där det inom lagens tillämpningsområde trots sekretessbestämmelserna ska vara möjligt att behandla personuppgifter för andra ändamål än det ursprungliga. Detta är möjligt om behandlingen på det sätt som anges i 1 mom. är nödvändig för utförandet av den personuppgiftsansvariges lagstadgade uppgifter eller om den behövs i enlighet med vad som närmare anges i punkterna till 1 mom. Bestämmelser om behandling av sådana personuppgifter som hör till särskilda kategorier av personuppgifter för något annat ändamål än det ursprungliga avses ingå i de föreslagna 2 och 3 mom. Den rättsliga grunden för behandling av personuppgifter för andra ändamål än det ursprungliga inom lagens tillämpningsområde skapar sådana lagstadgade uppgifter för den personuppgiftsansvarige som kräver behandling av personuppgifter för andra ändamål än det ursprungliga.
I artikel 5.1 b i dataskyddsförordningen finns bestämmelser om ändamålsbegränsningen för personuppgifter, dvs. att uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Enligt artikel 6.4 i förordningen får bestämmelser om senare behandling av personuppgifterna införas i den nationella lagstiftningen, när detta utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23. Till de mål som anges i den artikeln hör bland annat viktiga mål av generellt allmänt intresse och skydd av den registrerade eller andras rättigheter och friheter. Dessutom ska det finnas en grund enligt artikel 6.1 för behandlingen och enligt artikel 9.2 när det gäller särskilda kategorier av personuppgifter.
Enligt skäl 50 i ingressen till dataskyddsförordningen bör behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in endast vara tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt dock fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Grundlagsutskottet har påmint om att bestämmelserna om sekretess och utlämnande av uppgifter trots sekretess i offentlighetslagen, som tillämpas såsom allmän lag på migrationsförvaltningen, grundar sig på principen om fristående myndigheter och att myndigheterna i sin lagtillämpning är självständiga i relation till varandra (GrUU 62/2018 rd). I praktiken kommer behandling av personuppgifter för andra ändamål än det ursprungliga ofta att utföras av någon annan personuppgiftsansvarig än den som samlat in uppgifterna och därför måste frågan regleras särskilt.
I skäl 50 i ingressen till dataskyddsförordningen konstateras det att den personuppgiftsansvarige bör, för att fastställa om ett ändamål med den ytterligare behandlingen är förenligt med ändamålet, bland annat beakta alla kopplingar mellan dessa ändamål och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna insamlats, särskilt de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige i fråga om personuppgifternas art, den planerade ytterligare behandlingens konsekvenser för de registrerade samt förekomsten av lämpliga skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen. Också när det gäller omfattande register med biometriska kännetecken finns det enligt grundlagsutskottet orsak att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för. I de fallen kan bara exakt avgränsade och mycket små undantag göras från ändamålsbegränsningen. Bestämmelserna får inte leda till att någon annan verksamhet än den som är förknippad med det ursprungliga användningsändamålet blir det huvudsakliga ändamålet och inte ens ett betydande användningsändamål (GrUU 14/2009 rd, s. 4, GrUU 14/2017 rd och GrUU 1/2018 rd).
Behandling av personuppgifter i 1—6 punkten om syftet med behandlingen inom tillämpningsområdet enligt 1 § 1 mom. i den föreslagna lagen är förenlig med ändamålet inom varje punkt. Med andra ord är användning av uppgifter som samlats in med stöd av respektive punkt för det ändamål som anges i den punkten förenlig med det ursprungliga användningsändamålet. Behandling av uppgifter för ändamål i andra punkter ska inte anses vara förenlig med det ursprungliga ändamålet. Därmed krävs det särskilda bestämmelser om behandling av personuppgifter mellan punkterna inom tillämpningsområdet i 1 §.
Med beaktande av att tillämpningsområdet för den föreslagna lagen innebär en utvidgning i förhållande till nuläget enligt lagen om utlänningsregistret bör det bli möjligt att behandla personuppgifter för andra ändamål än det ursprungliga i de situationer där den gällande lagen om utlänningsregistret, mottagandelagen, förvarslagen och integrationslagen föreskriver om informationsutbyte mellan myndigheter. I detta avseende kan ändringarna i princip på det sättet anses vara tekniska att det inte till denna del är meningen att ändra det rådande rättsläget. En förändring i förhållande till nuläget är ändå den ändrade tröskeln för behandling, dvs. att behandling av uppgifter för andra ändamål än det ursprungliga ska vara möjlig med stöd av behövlighetskriteriet i de syften som anges specifikt i paragrafen och då få utföras av angivna personuppgiftsansvariga. I den gällande lagstiftningen har man främst tillämpat nödvändighetskriteriet som en förutsättning för utlämnande av information på grund av utlämnande av personuppgifter. I integrationslagen har å sin sida kravet på behövlighet gällt för rätten att få uppgifter, men utan någon närmare specificering. Enligt grundlagsutskottets etablerade praxis när det gäller utlämnande av information ska lagstiftningen innehålla ett krav på att informationen är nödvändig för ett visst syfte när lagen inte ger en uttömmande förteckning över innehållet i uppgifterna (se t.ex. GrUU 15/2018 rd, s. 39). Detta synsätt har tillämpats i den föreslagna paragrafen.
Den föreslagna 1 mom. 1 punkten innebär att uppgifter som samlats in inom ramen för lagens tillämpningsområde kan behandlas för andra ändamål än det ursprungliga, om uppgifterna behövs för utredning av någons identitet.
I den föreslagna 1 mom. 2 punkten finns bestämmelser om användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket behöver uppgifter som samlats in med stöd av 1 § 1 mom. 1 punkten för att sköta uppgifter enligt 2 punkten i det momentet. Uppgifter om inresa behövs för bedömning av huruvida förutsättningarna för förvärv av medborgarskap föreligger. Exempelvis när det inte finns tillförlitliga dokument kan man när man utreder identiteten ta hänsyn till alla de uppgifter som personen tidigare lämnat om sin eller sitt barns identitet. Dessa uppgifter kan bygga på tidigare insamlade dokument som gäller personens ankomst till och vistelse i landet (RP 235/2002 rd). De uppgifter som samlats in med stöd av 1 § 1 mom. 1 punkten kan också behöva användas för att bestämma medborgarskapsstatus på det sätt som avses i 36 § i medborgarskapslagen.
I den föreslagna 1 mom. 3 punkten finns bestämmelser om användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket, polisen, Gränsbevakningsväsendet eller utrikesförvaltningen behöver uppgifter som samlats in med stöd av 1 § 1 mom. 2 punkten för att sköta uppgifter enligt 1 punkten i det momentet. Uppgift om bestämmande av medborgarskapsstatus kan behövas i ett ärende som gäller inresa, särskilt i ärenden som gäller internationellt skydd eller visering. Samtidigt kan uppgift om ett pågående medborgarskapsärende vara relevant för en myndighet exempelvis i ett ärende som gäller avlägsnande ur landet och uppgift om beviljat medborgarskap vara relevant exempelvis i situationer där personen också har inlett ett ärende om uppehållstillstånd.
I den föreslagna 1 mom. 4 punkten föreslås bestämmelser om användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket, polisen, Gränsbevakningsväsendet eller närings-, trafik- och miljöcentralen behöver de uppgifter som samlats in med stöd av 1 § 1 mom. 3 punkten för att sköta uppgifter som gäller personer som söker internationellt skydd, personer som får tillfälligt skydd eller offer för människohandel eller för utlänningars vistelse i Finland. Punkten avser situationer där sådana uppgifter som lämnats ut med stöd av 52 § i den gällande mottagandelagen i fortsättningen behandlas för andra ändamål än det ursprungliga. Den gäller också behandling av uppgifter som lämnas ut till Migrationsverket med stöd av 58 § 1 mom. i den lagen. Uppgifter om mottagandet, exempelvis om inkvartering, behövs till exempel för processerna som gäller uppehållstillstånd och avlägsnande ur landet, och därför ska behandling vara möjlig också för att sköta uppgifter som gäller utlänningars vistelse i Finland eller inresa. Det kan exempelvis röra sig om situationer som gäller en familjemedlems inresa i landet. I lägen där någon ska avlägsnas ur landet behövs uppgifterna om inkvartering för att utreda om personen i fråga, till exempel familjemedlemmen till någon som föreslås bli avlägsnad ur landet, fortfarande befinner sig i Finland. I ärenden som gäller familjeåterförening kan de uppgifterna behövas när man utreder om makar bor ihop på förläggningen eller i enskild inkvartering. Information av detta slag behövs oftast när den sökande befinner sig i Finland, men den kan också behövas i lägen där den sökande befinner sig i något annat land. Eftersom de möjliga ändamålen med behandlingen specifikt anges kommer behandlingen med avvikelse från det rådande rättsläget att ske med stöd av behövlighetskriteriet. Punkten kommer att vara delvis överlappande med den rätt att få uppgifter som ingår i 105 a § 1 mom. i utlänningslagen, men bestämmelserna står inte i strid med varandra.
Enligt 1 mom. 5 punkten får uppgifter användas för andra ändamål än det ursprungliga när Migrationsverket, en förläggning eller en flyktingsluss behöver de uppgifter som samlats in med stöd av 1 § 1 mom. 1 punkten för att sköta uppgifter enligt 3 punkten i det momentet. Punkten avser situationer där sådana uppgifter som lämnats ut med stöd av 53 § i den gällande mottagandelagen i fortsättningen behandlas för andra ändamål än det ursprungliga. De myndigheter som samlar in uppgifter med stöd av 1 § 1 mom. 1 punkten är Migrationsverket, polisen och Gränsbevakningsväsendet. Med avvikelse från de gällande bestämmelserna kommer närings-, trafik- och miljöcentralerna enligt den föreslagna nya indelningen av tillämpningsområdet inte att samla in personuppgifter med stöd av 1 § 1 mom. 1 punkten, utan med stöd av 1 § 1 mom. 5 punkten. De situationer där Migrationsverket, en förläggning eller en flyktingsluss behöver information av närings-, trafik- och miljöcentralen hänger i praktiken samman med anvisande till kommuner, och därmed rör det sig om behandling av personuppgifter för det ursprungliga ändamålet eller behandling som är förenlig med det ändamålet.
I 1 mom. 6 punkten föreslås bestämmelser om användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket, en förläggning eller en flyktingsluss, polisen eller Gränsbevakningsväsendet behöver de uppgifter som samlats in med stöd av 1 § 1 mom. 4 punkten för att sköta uppgifter som gäller utlänningars vistelse i Finland eller avlägsnande ur landet, mottagande av personer som söker internationellt skydd eller får tillfälligt skydd eller hjälp till offer för människohandel. Det rör sig om den rätt att få och lämna ut uppgifter som nu ingår i 32 f § i den gällande förvarslagen. Avsikten är inte att ändra det rådande rättsläget i andra avseenden än i fråga om tröskeln för behandling.
Den föreslagna 1 mom. 7 punkten gäller användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket eller en förvarsenhet behöver uppgifter som samlats in med stöd av 1 § 1 mom. 1—3 punkten för att sköta uppgifter enligt 4 punkten i det momentet. Det rör sig om behandling av sådana uppgifter som lämnas ut med stöd av 32 g § i den gällande förvarslagen. Avsikten är inte att ändra det rådande rättsläget i andra avseenden än i fråga om tröskeln för behandling.
I den föreslagna 1 mom. 8 punkten finns bestämmelser om användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket behöver uppgifter som samlats in med stöd av 1 § 1 mom. 5 punkten för att sköta uppgifter som gäller invandring. Det rör sig om bestämmelserna om utlämnande av uppgifter i 61 § i den gällande integrationslagen.
Enligt 1 mom. 9 punkten får uppgifter användas för andra ändamål än det ursprungliga när närings-, trafik- och miljöcentralen behöver uppgifter som samlats in med stöd av 1 § 1 mom. 1—3 punkten för att sköta uppgifter enligt 5 punkten i det momentet. Det rör sig om bestämmelser i enlighet med 87 § i den gällande integrationslagen. Avsikten är inte att ändra det rådande rättsläget i andra avseenden än i fråga om tröskeln för behandling.
Det är inte nödvändigt att föreskriva om behandlingen av personuppgifter för andra ändamål än det ursprungliga för att trygga den nationella säkerheten, eftersom personuppgifter enligt 1 § får behandlas för alla ändamål som överensstämmer med 1 § 1—5 punkten för att trygga nationell säkerhet.
Enligt det föreslagna 2 mom. får uppgifter som hör till särskilda kategorier av personuppgifter trots sekretessbestämmelserna behandlas för andra ändamål än det ursprungliga i de fall som avses i 1 mom. 1—9 punkten endast om det är nödvändigt för att myndigheten i fråga ska kunna utföra sina lagstadgade uppgifter. Nödvändighetskravet understryker att behovet att skydda personuppgifter är högre i fråga om de särskilda kategorierna av personuppgifter. När det gäller omfattande register med biometriska kännetecken finns det enligt grundlagsutskottet orsak att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för. I de fallen kan bara exakt avgränsade och mycket små undantag göras från ändamålsbegränsningen. Bestämmelserna får inte leda till att någon annan verksamhet än den som är förknippad med det ursprungliga användningsändamålet blir det huvudsakliga ändamålet och inte ens ett betydande användningsändamål (GrUU 14/2009 rd, s. 4, GrUU 14/2017 rd och GrUU 1/2018 rd). Enligt 3 mom. gäller det som föreskrivs i paragrafen inte fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort eller av den som ansöker om främlingspass eller resedokument för flykting, om inte annat föreskrivs någon annanstans i lag. Särskilda bestämmelser om hanteringen av fingeravtryck finns i de föreslagna 9 och 10 §.
13 §. Rätt att få uppgifter. Avsikten med paragrafen är att införa en rätt att få uppgifter av myndigheter och andra aktörer som behandlar personuppgifter för andra ändamål än de som avses i 1 §. Det är uttryckligen ändamålet med behandlingen som är relevant, inte vem som lämnar ut uppgifterna. Det kan exempelvis röra sig om behandling av personuppgifter inom en förundersökning, vilket inte omfattas tillämpningsområdet för migrationsförvaltningens personuppgiftslag, trots att polisen är en av de personuppgiftsansvariga enligt lagen. Med andra ord ska paragrafen tillämpas exempelvis när Migrationsverket begär förundersökningsinformation av polisen. Paragrafen ger Migrationsverket, förläggningarna, flyktingslussarna, förvarsenheterna, närings-, trafik- och miljöcentralerna, arbets- och näringsbyråerna och utrikesförvaltningen rätt att få information. Den föreslagna bestämmelsen ger dessa rätten att trots sekretessplikt utan avgift få personuppgifter. Utlämnande av sekretessbelagda uppgifter kräver inte samtycke av den vars intressen den föreskrivna sekretessplikten skyddar. Migrationsverkets, förläggningarnas, flyktingslussarnas, förvarsenheternas, närings-, trafik- och miljöcentralernas, arbets- och näringsbyråernas och utrikesförvaltningens rätt att få uppgifter bygger på den lagstiftning som ger dem behörighet. Rätten att få uppgifter ska utöver personuppgifter gälla uppgifter om juridiska personer. Rätten att få uppgifter ska också kunna gälla uppgifter från utlandet, exempelvis sådana som lämnas med stöd av internationella avtal. Rätten att få uppgifter avses gälla de myndigheter och andra som avses i 4 § i offentlighetslagen.
Grundlagsutskottet har redan i sin tidigare utlåtandepraxis tagit upp frågan om risken med behandlingen av personuppgifter som är kopplade till skyddet av personens privatliv, såsom informationssäkerheten i fråga om insamlade uppgifter och missbruk av uppgifterna, som kan utgöra ett hot mot en persons identitet (GrUU 14/2009 rd, s. 3). Också när det gäller dataskyddsförordningen har ett riskbaserat synsätt tillämpats. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (GrUU 14/2018 rd, s. 5—6, och GrUU 15/2018 rd, s. 36—37). Enligt grundlagsutskottets etablerade ståndpunkt ska lagstiftningen innehålla ett krav på att informationen är nödvändig för ett visst syfte när lagen inte ger en uttömmande förteckning över innehållet i uppgifterna. Samtidigt har utskottet ansett att grundlagen inte tillåter en mycket vag och ospecificerad rätt att få uppgifter, inte ens om den är knuten till nödvändighetskriteriet (se t.ex. GrUU 15/2018 rd, s. 41, GrUU 17/2016 rd, s. 5—6, GrUU 71/2014 rd, s. 3, GrUU 62/2010 rd, s. 4/I, och GrUU 59/2010 rd, s. 4/I). Grundlagsutskottet har understrukit att det vid en särskiljning mellan behövlighet respektive nödvändighet att få eller lämna ut uppgifter är fråga inte bara om omfattningen av innehållet i uppgifterna, utan också om vid rätten till information, som går före sekretessbestämmelserna, åsidosätter den myndighet som är berättigad till informationen i och med sina egna behov de grunder och intressen som är skyddade med hjälp av den sekretess som gäller myndigheten som innehar informationen. Ju mer generella bestämmelserna om rätt till information är, desto större är risken att sådana intressen kan åsidosättas per automatik. Ju fullständigare bestämmelserna kopplar rätten till information till villkor i sak, desto mer sannolikt är det att en begäran om information måste motiveras. Då kan också den som lämnar ut informationen bedöma en begäran med avseende på de lagliga villkoren för att lämna ut den. Genom att verkligen vägra lämna ut informationen kan den som innehar den få till stånd ett läge, där en utomstående myndighet måste undersöka skyldigheten att lämna ut information, det vill säga tolka bestämmelserna. Denna möjlighet är viktig då det gäller att anpassa tillgången till information och sekretessintressena till varandra (GrUU 15/2018 rd, s. 39).
Rätten att få uppgifter ska vara knuten delvis till kravet på nödvändighet och delvis till kravet på behövlighet. De olika bestämmelserna kommer att skilja sig från varandra i fråga om hur detaljerade och exakt avgränsade de är på det sätt som grundlagsutskottet kräver. När rätten till uppgifter är knuten till nödvändighet ska den preciseras ytterligare genom att knyta den till de användningsändamål som anges i 1 §. I sådana fall kommer datainnehållet inte att preciseras i lagförslaget. När rätten att få uppgifter är knuten till behövlighetskravet ska både användningsändamål och även datainnehåll preciseras. Dessutom ska de myndigheter och andra aktörer som det går att få uppgifter av anges noggrannare.
Nödvändig information
Migrationsverket, förläggningarna, flyktingslussarna, förvarsenheterna, närings-, trafik- och miljöcentralerna, arbets- och näringsbyråerna och utrikesförvaltningen handlägger en mångfald av ärenden, och därför är det inte ändamålsenligt att reglera deras rätt att få uppgifter på ett sätt där man ger en uttömmande förteckning på alla de myndigheter och personuppgifter som omfattas av rätten att få uppgifter. Därför avgränsas rätten att få uppgifter i det föreslagna 1 mom. på det sätt som grundlagsutskottet förutsätter till nödvändiga uppgifter. Dessutom ska bestämmelserna preciseras på så sätt att närings-, trafik- och miljöcentralernas, arbets- och näringsbyråernas och utrikesförvaltningens rätt att få uppgifter begränsas till de behandlingsändamål som avses i 1 § 1 mom. 1 punkten i migrationsförvaltningens personuppgiftslag. Rätten att få uppgifter kopplas i den föreslagna lagen till den behörighetsgivande lagstiftningen, som specifikt anger behovet av information, myndighetens uppgifter och gränserna för behörigheten. På det sättet blir regleringen exakt och noga avgränsad. Ett sådant sätt att reglera bringar över lag klarhet i fråga om rätten att få uppgifter inom migrationsförvaltningen.
Sådan information som är av avgörande betydelse för att Migrationsverket, förläggningarna, flyktingslussarna, förvarsenheterna, närings-, trafik- och miljöcentralerna samt arbets- och näringsbyråerna eller utrikesförvaltningen ska kunna utföra sina lagstadgade uppgifter är nödvändig, och sådan information kan exempelvis leda till att uppehållstillstånd inte beviljas. Informationen ska anses vara nödvändig om ett avgörande inte kan träffas utan den. Information ska anses vara nödvändig även då det är möjligt att fatta ett felaktigt beslut om informationen fattas. Ett sätt att reglera som är knutet till nödvändighet bygger på att den som lämnar ut den bedömt att tröskeln för nödvändighet överskrids. På begäran ska det motiveras varför uppgifterna är nödvändiga att få.
Migrationsverket, förläggningarna, flyktingslussarna och förvarsenheterna ska ha rätt att få sådana uppgifter om fysiska eller juridiska personer som är nödvändiga för behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse, för behandling av och beslut i ärenden som gäller förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap samt bestämmande av medborgarskapsstatus, för mottagande av personer som söker internationellt skydd eller får tillfälligt skydd samt hjälp till offer för människohandel och verksamhet i anslutning till företrädande av barn utan vårdnadshavare inom mottagningsverksamheten samt styrning, planering och uppföljning av dessa, för placering av en utlänning i en förvarsenhet, bemötande av en utlänning i en förvarsenhet samt upprätthållandet av ordningen och säkerheten vid en förvarsenhet och för anvisande till kommuner. Dessutom ska närings-, trafik- och miljöcentralerna samt arbets- och näringsbyråerna ha rätt att få t.ex. sådana uppgifter om fysiska eller juridiska personer som är nödvändiga för att fatta ett delbeslut i fråga om en ansökan om uppehållstillstånd för företagare eller arbetstagare. Utrikesförvaltningen föreslås få rätt att få uppgifter som är nödvändiga för behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse. Rätten att få uppgifter ska på det sätt som anges ovan begränsas till uppgifter som är nödvändiga för att Migrationsverket, förläggningarna, flyktingslussarna, förvarsenheterna, närings-, trafik- och miljöcentralerna, arbets- och näringsbyråerna och utrikesförvaltningen ska kunna utföra sina lagstadgade uppgifter. För att lagstiftningen ska vara tydlig räknas de nämnda ändamålen inte upp i paragrafen. I stället ska den hänvisa till de syften som anges i 1 §. Bestämmelsen avses inte gälla Polisstyrelsens, skyddspolisens eller Gränsbevakningsväsendets rätt att få uppgifter av dem som behandlar personuppgifter för andra ändamål än de som avses i 1 § i den föreslagna lagen. Med tanke på helheten är det motiverat att föreskriva också om dessa personuppgiftsansvarigas rätt att få uppgifter, men efter de lagändringar som trädde i kraft vid ingången av 2017 (501—504/2016) har de inte längre några behov av att få uppgifter på migrationsförvaltningens område av andra än de personuppgiftsansvariga enligt den föreslagna lagen, dvs. de som behandlar personuppgifter för de syften som avses i 1 §. I dessa fall överförs uppgifterna på beskrivet sätt mellan de olika personuppgiftsansvariga med stöd av de föreslagna 11 och 12 §.
Exempelvis kommer Migrationsverket därmed att ha rätt att få nödvändiga uppgifter ur Rättsregistercentralens bötesregister. Registret innehåller personuppgifter om den person som är föremål för påföljden och uppgift om påföljdens art och belopp, de verkställighetsåtgärder som vidtagits och tidpunkten för dem, de influtna beloppen och hinder för verkställigheten. Uppgifterna i bötesregistret är nödvändiga för Migrationsverkets lagstadgade uppgifter, exempelvis för att utreda om oförvitlighetsvillkoret för naturalisation är uppfyllt, behandla ansökningar om internationellt skydd, utreda om flyktingstatus och status som alternativt skyddsbehövande ska upphöra eller återkallas, utreda utvisningsgrunderna i fråga om en utlänning, utreda skyldigheterna för en säsongsarbetares arbetsgivare och eventuella försummelser från arbetsgivarens sida och utreda om en utlänning utgör ett hot mot allmän ordning och säkerhet. Ändamålet med behandlingen anges i medborgarskapslagen, utlänningslagen och lagen om säsongsanställning.
Migrationsverket ska exempelvis också ha rätt att av skattemyndigheterna få nödvändiga uppgifter för att utreda om förutsättningar föreligger för förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap och för att bestämma medborgarskapsstatus, för att utreda förutsättningarna för en utlännings uppehållstillstånd, om förutsättningar föreligger för beviljande eller återkallande av uppehållskort eller registrering av uppehållsrätt, för att kontrollera och övervaka om arbetsgivaren fullgjort sina förpliktelser, och nödvändiga uppgifter om den arbetsgivares, som utlänningen uppger, arbetsgivarprestationer och hur de deklarerats samt om betalningsarrangemang i fråga om skatter och om en arbetsgivares faktiska ekonomiska verksamhet. Nödvändiga uppgifter gäller inte undantagslöst den sökande själv, utan de kan också gälla den fysiska eller juridiska person vars verksamhet den sökande eller dennes familjemedlemmar uppger som källan till sin inkomst.
Fullgöranderapport
Med fullgöranderapport avses uppgifter om arbetsgivaren som Skatteförvaltningens enhet för utredning av grå ekonomi har samlat in från olika myndighetsregister och som myndigheten behöver för att utföra sina lagstadgade uppgifter. Bestämmelserna om den finns i lagen om Enheten för utredning av grå ekonomi (1207/2010). Enheten för utredning av grå ekonomi har som uppgift att producera och sprida information om grå ekonomi samt bekämpningen av den och på begäran utarbeta fullgöranderapporter om organisationer och organisationsanknutna personer som stöd för i lagen nämnda myndighetsuppgifter. Syftet med en fullgöranderapport är att ge en helhetsuppfattning, som i huvudsak baserar sig på sekretessbelagda uppgifter, om den organisation eller den organisationsanknuna person som är föremålet för utredningen, stöda uppgifterna av den myndighet som begärt om rapporten genom att underlätta och effektivera informationsanskaffningen i anslutning till uppgiften och stöda bekämpningen av grå ekonomi genom att öka den aktuella myndighetens vetskap om hur organisationen eller den organisationsanknutna personen har skött sina lagstadgade uppgifter. Informationsinnehållet i fullgöranderapporter består i huvudsak av information i myndighetsregister som fastställts som sekretessbelagd. Informationsinnehållet i fullgöranderapporten fastställs enligt 7 § 1 mom. i lagen om Enheten för utredning av grå ekonomi enligt rätten av den myndighet som begär rapporten att få sekretessbelagd information för ändamålet i fråga. Fullgöranderapporten upprättas på basis av den behörighet och rätt att få uppgifter som var och en myndighet har på basis av annan lag. Lagen om Enheten för utredning av grå ekonomi skapar inte behörighet, och verken den eller fullgöranderapporten utvidgar den myndighets rätt att få uppgifter som begärt rapporten. Fullgöranderapporten är ett sätt att i koncentrerad form få sådan information som en viss myndighet inom ramen för sin egen lagstiftning har rätt att få.
Migrationsverkets, TE-byråernas och NTM-centralernas behörighet att behandla uppgifter från olika myndigheter, som sammanställs i fullgöranderapporten, baserar sig på bestämmelserna i utlänningslagen, medborgarskapslagen, lagen om säsongsanställning, ICT-lagen och forskar- och studerandelagen. Fullgöranderapporten utarbetas som stöd för handläggning, beslutsfattande och tillsynsuppgifter i ärenden som gäller utlänningars inresa och utresa samt vistelse och arbete enligt nämnda lagar. Migrationsverkets, TE-byråernas och NTM-centralernas rätt att få information för en fullgöranderapport av myndigheter eller någon som sköter ett offentligt uppdrag avses basera sig på denna bestämmelse. På basis av bestämmelsen om rätten att få uppgifter kan uppgifterna begäras separat av var och en myndighet eller på ett sammanställt sätt i form av en fullgöranderapport.
Tryggad försörjning är en del av prövningen av en ansökan om uppehållstillstånd enligt 39, 47 h, 73, 76 och 77, 114 och 115 § i utlänningslagen samt beslutsprövning gällande registrering av uppehållsrätt eller beviljande av upphållskort enligt 158 a § i utlänningslagen. Utredningen av källan till försörjningen är å sin sida en del av prövningen av beslut om naturalisation enligt 13 § i medborgarskapslagen. Ifall utlänningens arbetsgivare eller en utländsk företagare har försummelser av offentliga förpliktelser, kan detta vara ett bevis på att utlänningens försörjning inte är tryggad med de inkomster som fås från den angivna anställningen eller från företagsverksamheten. Upphållstillståndsprövningen av såväl en anställd enligt 73 § i utlänningslagen som av en företagare enligt 76 § i utlänningslagen består av två delar. Först bedömer TE-byrån de arbetskraftspolitiska förutsättningarna för beviljandet av tillstånd och NTM-centralen förutsättningarna för lönsam företagsverksamhet. TE-byrån och NTM-centralen bedömer i samband med delbeslutet även huruvida förutsättningarna för utlänningens försörjning uppfylls. Försörjningen för en anställd ska vara tryggad med de inkomster som fås från förvärvsarbete under uppehållstillståndets hela giltighet och försörjningen av en utländsk företagare ska vara tryggad genom förvärvsarbete, företagsverksamhet eller på annat sätt under uppehållstillståndets hela giltighet. I det andra skedet bedömer Migrationsverket de allmänna förutsättningarna för beviljandet av ett uppehållstillstånd, och i det här skedet kan verket med stöd av 36 i utlänningslagen låta bli att bevilja ett uppehållstillstånd trots ett positivt delbeslut, dvs. i praktiken för att bestämmelserna om inresa har kringgåtts. Migrationsverket ansvarar för bedömningen av förutsättningarna för försörjning och källan till försörjning enligt medborgarskapslagen och andra bestämmelser i utlänningslagen. För att kunna bedöma om tryggad försörjning, som är förutsättningen för en utlännings inresa, uppfylls med den lön som arbetsgivaren betalar eller med inkomsterna från företagsverksamheten eller om förutsättningen för en pålitlig försörjningskälla, som är förutsättningen för naturalisation, uppfylls, har TE-byrån, NTM-centralen och Migrationsverket rätt att utreda att arbetsgivaren eller den utländska företagaren har tagit hand om sina förpliktelser och att den inte har störningar i sina kreditupplysningar. Vid bedömningen av lönen ska man uppmärksamma inte bara dess storlek utan även arbetsgivarens verkliga förmåga att betala den angivna lönen och klara av de andra skyldigheter som ansluter sig till lönebetalningen. Det samma gäller företagsverksamhet. För att kunna bedöma tryggad försörjning måste TE-byrån, NTM-centralen och Migrationsverket kunna kontrollera uppgifter om beskattningen, pensionsförsäkringen, olycksfallsförsäkringen och arbetslöshetsförsäkringen av utlänningen, hans eller hennes arbetsgivare eller företag, de avgifter som Tullen tar ut samt uppgifter som utsökning.
Förmågan att uppfylla förpliktelserna som arbetsgivare enligt 72 § 1 mom. 3 punkten i utlänningslagen är en förutsättning för beviljande av ett uppehållstillstånd för den anställda, som TE-byrån bedömer i sin prövning inför delbeslutet. Det att arbetsgivaren, dess organisationsanknutna person eller annan organisation har försummelser av registrerings-, försäkrings-, anmälnings- och betalningsskyldigheter i anslutning till skatter, lagstadgade pensions-, olycksfalls- eller arbetslöshetsförsäkringsavgifter eller avgifter som tas ut av Tullen kan vara ett tecken på oförmåga att ta hand om sina förpliktelser som arbetsgivare, om tillståndsmyndigheten av särskild anledning inte betraktar arbetsgivaren som kapabel att ta hand om sina förpliktelser trots enstaka försummelser. Enligt 73 § 1 mom. 4 punkten i utlänningslagen ska det säkerställas att de utredningar, den information och den försäkran arbetsgivaren fogat till ansökan stämmer överens med bestämmelserna i 72 §. Även en utländsk företagares förmåga att klara av sina motsvarande förpliktelser utreds som en del av prövningen av ett uppehållstillstånd för en företagare enligt 76 § i utlänningslagen. I prövningen utreds utöver förutsättningen för försörjning även företagsverksamhetens lönsamhet. Företagsverksamhet har inte ansetts vara lönsam, om inte företaget har visat att det kan ta hand om sina förpliktelser, till exempel på lagen baserade skatter eller lönebikostnader.
Enligt 58 § 5 mom. i utlänningslagen får ett tidsbegränsat uppehållstillstånd återkallas, om de villkor på grundval av vilka uppehållstillståndet beviljades inte längre uppfylls. Ett tidsbegränsat eller permanent uppehållstillstånd kan återkallas med stöd av 58 § 4 mom. i utlänningslagen, om vid ansökan om uppehållstillstånd medvetet har lämnats oriktiga upplysningar om sökandens identitet eller andra oriktiga upplysningar som har påverkat beslutet, eller om något som hade kunnat hindra beviljandet av uppehållstillstånd har hemlighållits. På samma sätt återkallas registrering av uppehållsrätten och ett tidsbegränsat uppehållskort enligt 165 § i utlänningslagen, om de förutsättningar utifrån vilka uppehållsrätten har registrerats eller det tidsbegränsade uppehållskortet har utfärdats inte längre finns eller om uppehållsrätten eller uppehållskortet har förvärvats på så sätt att det medvetet har lämnats oriktiga uppgifter om sökandens identitet eller andra oriktiga uppgifter som har påverkat beslutet eller att sådana uppgifter hemlighållits eller att rättigheter annars missbrukats. I 212 § 1 mom. i utlänningslagen ställs det för Migrationsverket en skyldighet att utöva tillsyn över iakttagandet av bestämmelserna i utlänningslagen. En utlännings gällande tillstånd kan återkallas, om det av fullgöranderapporten eller av tillsyns- eller kontrolluppgifter som erhållits på annat sätt framgår att arbetsgivaren inte har iakttagit de villkor för anställningen som den angett eller försummat sina arbetsgivarförpliktelser enligt lagen eller kollektivavtal eller att en utlännings företag inte längre uppfyller förutsättningar för lönsam verksamhet. Den information som fås genom fullgöranderapporten ska även kunna användas vid bedömningen av behovet att rikta arbetsskydds- eller utlänningskontroll till arbetsgivare som sysselsätter utlänningar.
Ansökan om tillstånd för säsongarbete får enligt 7 § i lagen om villkor för tredjelandsmedborgares inresa och vistelse för säsongsanställning förvägras eller enligt 14 § återkallas bland annat om arbetsgivaren inte har uppfyllt sina skyldigheter enligt lag eller kollektivavtal när det gäller social trygghet, beskattning, arbetstagares rättigheter, arbetsförhållanden eller anställningsvillkor eller om företaget har sökts i konkurs eller om företaget inte bedriver någon ekonomisk verksamhet. Enligt 8 § i samma lag ska arbetsgivaren lämna en försäkra om att anställningsvillkoren överensstämmer med gällande bestämmelser och kollektivavtal.
Migrationsverket kan med stöd av 20 § i nämnda lag besluta att tillstånd för säsongsarbete inte beviljas för anställning hos en arbetsgivare som allvarligt försummar sina skyldigheter enligt lagen om säsongarbete eller utlänningslagen. Tillämpandet av bestämmelsen förutsätter att iakttagandet av de i utlänningslagen föreskriva förpliktelserna kan kontrolleras av Migrationsverket, även om delbeslutet om iakttagandet av arbetsgivarförpliktelser som avses i 73 § i utlänningslagen hade fattats av TE-byrån på basis av en utredning som begärts av arbetsgivaren med stöd av 72 § 1 mom. 3 punkten i utlänningslagen.
En ansökan om ett ICT-uppehållstillstånd som beviljas i samband med företagsinterna förflyttningar kan enligt grunderna i 8 § lagen om villkor för inresa och vistelse för tredjelandsmedborgare inom ramen för företagsintern förflyttning av personal avslås eller ett gällande tillstånd enligt 9 § återkallas eller inte längre förlängas bland annat om arbetsgivaren eller den mottagande enheten inte har uppfyllt sina rättsliga skyldigheter beträffande social trygghet, beskattning, arbetstagares rättigheter eller arbetsförhållanden. Därtill kan tillståndet avslås eller återkallas om företaget har sökts i konkurs eller inte bedriver någon ekonomisk verksamhet. Motsvarande bestämmelser ingår i grunderna för avslag på ansökan om mobilt ICT-uppehållstillstånd enligt lagens 25 §.
Ett uppehållstillstånd enligt lagen om villkoren för tredjelandsmedborgares inresa och vistelse på grund av forskning, studier, praktik och volontärarbete kan enligt grunderna i 11 § avslås eller ett gällande tillstånd enligt 12 § återkallas eller inte förlängas bland annat om den mottagande enheten inte har uppfyllt sina rättsliga skyldigheter beträffande social trygghet, beskattning, arbetstagares rättigheter eller arbetsförhållanden. Därtill kan tillståndet avslås, återkallas eller inte förlängas, om den mottagande enheten har sökts i konkurs eller inte bedriver någon ekonomisk verksamhet.
I samband med en helhetsbedömning gällande avvisning och utvisning enligt 146 § eller 168 b § i utlänningslagen ska man inte bara bedöma ifrågavarande persons ekonomiska situation utan även eventuella band gällande företagsverksamhet eller arbete i Finland.
Det är alltså meningen att använda fullgöranderapporten vid bedömningen av en arbetsgivares förmåga att klara av sina lagstadgade förpliktelser som utländsk arbetsgivare, när påföljder påförs för en utländsk arbetsgivare och vid bedömningen av huruvida en person kan ta hand om sin egen eller en familjemedlems försörjning i Finland. Fullgöranderapporten kunde även användas för att bedöma huruvida förutsättningarna för en utländsk företagares lönsamma företagsverksamhet eller försörjning uppfylls. En ansökan om uppehållstillstånd kan avslås om det finns skäl att tvivla arbetsgivarens förmåga eller villighet att betala den lön till utlänningen som angetts i ansökan eller arbetsgivarens förmåga att klara av andra arbetsgivarförpliktelser eller lönsamheten av en utländsk företagares företagsverksamhet eller försörjningens tillräcklighet. En ansökan om fortsatt tillstånd kan avslås eller ett gällande tillstånd återkallas, om arbetsgivaren eller den utländska företagaren har försummat sina lagstadgade förpliktelser. De uppgifter som framgår av fullgöranderapporten ska även kunna användas som motivering till ett beslut i vilket man avstår från att bevilja tillstånd för anställning hos en arbetsgivare som försummat att sina lagstadgade förpliktelser. Kontrollering av de uppgifter som sökanden gett med en fullgöranderapport är också nödvändigt i situationer i vilka sökanden meddelar att han eller hon med de inkomster som härstammar från lön, företagsverksamhet eller andra källor under vistelsen i Finland uppfyller försörjningsförutsättningarna när det gäller sökanden eller familjen. De uppgifter som fås genom en fullgöranderapport är också nödvändiga när tillsynen över användningen av utländsk arbetskraft effektiveras och när storleken av påföljderna till arbetsgivaren fastställs. Uppgifterna är nödvändiga för att verkställa den beslutsprövning och tillsyn som lagstiftningen som skapar behörighet inom migrationsförvaltningen förutsätter, eftersom ett beslut inte kan fattas eller tillsyn utövas utan dem, och om de fattas kan detta leda till ett felaktigt beslut.
Migrationsverket, TE-byrån eller NTM-centralen ska ha rätt att av en myndighet eller någon annan som sköter ett offentligt uppdrag få nödvändiga uppgifter om sökanden av uppehållstillstånd, hans eller hennes företagsverksamhet och den arbetsgivare som sökanden angett samt en organisationsanknuten person som avses i lagen om Enheten för utredning av grå ekonomi eller en annan organisation om skötseln av registrerings-, anmälnings- och betalningsskyldigheter i anknytning till skatter, lagstadgade pensions-, olycksfalls- eller arbetslöshetsförsäkringsavgifter eller avgifter som tas ut av Tullen och om verksamheten och ekonomiska kopplingar. Det är till exempel nödvändigt att av utsökningsmyndigheten få uppgifter om en utlännings, dennes familjemedlems eller arbetsgivares inkomster, skulder, fordringar och utsökningsuppgifter, beslut samt de handlingar som besluten baserar sig på för att utreda arbetsgivarens soliditet, förutsättningarna för tryggad försörjning, förutsättningarna för en företagares uppehållstillstånd, för att genomföra den helhetsbedömning som utlämning förutsätter och för att utesluta en försummelse av underhållsskyldigheten. Enbart för att avgöra frågan om naturalisation är det nödvändigt för Migrationsverket att av utsökningsmyndigheter få uppgifter om offentligrättsliga avgifter, underhållsbidrag och underhållsstöd som drivs in samt betalningen av dessa, den resterande skulden och betalningsplanen. Dessa uppgifter är nödvändiga när man till exempel bedömer uppfyllandet av de allmänna förutsättningarna för beviljandet av medborgarskap, arbetsgivarens verkliga förmåga att betala den angivna lönen och klara av andra skyldigheter som ansluter sig till betalningen av lön, förutsättningarna för företagets lönsamma verksamhet samt vid effektiveringen av tillsynen över användningen av utländsk arbetskraft.
Enligt 31 § i förvaltningslagen ska en myndighet se till att ett ärende utreds tillräckligt och på behörigt sätt. Myndigheten ska i detta syfte skaffa den information och den utredning som behövs för att ärendet ska kunna avgöras. Enligt förarbetet till förvaltningslagen (RP 72/2002 rd) förstärker man genom bestämmelsen om utredningsskyldighet principen enligt vilken den materiella ledningen av förfarandet och det huvudsakliga ansvaret för att ärendet utreds åvilar myndigheten. Det är fråga om den inom förvaltningsrätten vedertagna officialprincipen. Syftet med förslaget är att framhäva nödvändigheten av att iaktta officialprincipen och strävan att nå materiell sanning genom att ålägga myndigheterna att se till att ärendena utreds tillräckligt och på behörigt sätt. Med tillräcklig utredning avses att myndigheten skaffar sådan utredning som den anser vara av betydelse för att ärendet ska kunna avgöras. Genom att det anges att utredningen ska ske på behörigt sätt framhävs myndighetens ansvar för ledningen av förfarandet, och kravet på omsorgsfullhet vid anskaffning av utredning.
Nuförtiden får myndigheterna uppgifter om skötseln av skyldigheterna i anslutning till skatter och andra offentligrättsliga avgifter samt uppgifter om ekonomin genom att direkt be dem av sökanden eller av den arbetsgivare eller anknytningsperson som denna angett. Anskaffandet av myndighetsintyg ger dock upphov till besvär och kostnader för dessa. Därtill fördröjer begäran om ytterligare uppgifter behandlingen av ansökan, och myndigheterna använder i onödan arbetstid för att förbereda, sända och gå genom begäranden om ytterligare information, och det kan hända att den som behandlar ansökan inte nödvändigtvis kommer på att be alla de uppgifter som är av betydelse för behandlingen av ansökan. I vissa fall har den som ger ytterligare uppgifter möjlighet att påverka deras innehåll och riktighet. Pålitligheten av information som fås av andra myndigheter och flexibiliteten av behandlingen talar för framhävandet av myndighetens utredningsskyldighet genom att göra det möjligt att få uppgifter. Samtidigt minskar sökandens, arbetsgivarens eller anknytningspersonens administrativa börda.
Uppgifter om den ekonomiska situationen och skötseln av offentliga skyldigheter direkt av myndigheter kommer att förbättra tillståndsprövningens kvalitet jämfört med nuläget, eftersom tillståndsprövningen nu huvudsakligen baserar sig på utredningar som sökanden lämnat. I många situationer räcker till exempel bokslutsinformationen inte till för att bedöma den ekonomiska ställningen. Inom tillståndsprövningen förekommer till exempel situationer där den ekonomiska ställningen bedömd på basis av bokslutsuppgifterna är så svag att förutsättningarna för beviljandet av tillståndet inte uppfylls, men det finns dock inte några egentliga grunder att avslå tillståndet. I dessa situationer är erhållandet av en noggrannare och mer omfattande utredning om sökandens helhetssituation nödvändigt för att man ska kunna fatta ett korrekt tillståndsbeslut. För att kunna fatta beslut med rätt innehåll är det nödvändigt att få aktuell information som motsvarar situationen vid den tidpunkt då beslutet fattas.
För närvarandet är det en utmanande uppgift att övervaka tillstånden i efterhand, till exempel återkalla uppehållstillstånd. Den information som myndigheten kan få baserar sig i huvudsak på information som erhållits av tillståndshavaren eller dennes arbetsgivare. I praktiken får myndigheten till exempel inte veta om utlänningens anställningsförhållande har avslutats, om inte arbetsgivaren meddelar detta på eget initiativ, vilket sker mycket sällan. Vanligen får myndigheterna veta om missbruk genom en arbetstagare eller en utomstående part. För närvarande koncentreras efterkontroller därför till det skede då någon ansöker om fortsatt tillstånd. Med stöd av 212 § i utlänningslagen kan Migrationsverket dock vid behov även genomföra efterkontroll på eget initiativ, vilket förutsätter centraliserad och effektiv tillgång till information om ovannämnd missbruk.
Nödvändiga uppgifter
Rätten att få uppgifter ska med avvikelse från nuläget knytas till behövlighetskravet till den del uppgifterna inte är nödvändiga för utförande av lagstadgade uppgifter. Som nödvändiga uppgifter anses information som hjälper Migrationsverket, förläggningar, flyktingslussar eller förvarsenheter att utföra sina lagstadgade uppgifter. En uppgift som behövs kan således utgöra en viktig del av den samlade bedömningen, men avgörandet kan inte bygga enbart på den. Det innebär till exempel att Migrationsverket ska ha rätt att ur exempelvis Rättsregistercentralens bötesregister, när det gäller uppgifter om andra personer än sådana som ansöker om uppehållstillstånd, få personuppgifter och uppgifter om avgöranden, verkställighetsärenden, förvandlingsstraff och händelser när uppgifterna behövs för avgörande av vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd. Om rätten att få uppgifter är knuten till behövlighetskravet har de avsedda datainnehållen räknats upp på ett uttömmande sätt i lagen i linje med grundlagsutskottet etablerade ståndpunkt (GrUU 17/2016 rd, s. 5—6).
Lagen avses också innehålla bestämmelser om rätten att få behövliga uppgifter av socialmyndigheter, skatteförvaltningen, polisen och Brottspåföljdsmyndigheten och ur Rättsregistercentralens bötesregister och justitieförvaltningens riksomfattande informationssystem när det gäller andra än dem som ansöker om uppehållstillstånd, när uppgifterna kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om en annan person för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd. Det handlar om de uppgifter som behövs för prövning enligt artikel 8.2 (underåriga asylsökande) och artikel 16.1 (personer i beroendeställning) i Dublinförordningen (EU-förordning nr 604/2013). Prövningen enligt förordningen ska bygga på om den person som ska ta hand om en underårig eller en person i beroendeställning är kapabel till detta. Kommissionen har inte närmare angett vad villkoren innebär. Genom kommissionens genomförandeförordning (EU) nr 118/2014 utfärdades dock standardformulär för att underlätta identifieringen av sådana personer (bilagorna VII och VIII). Med dessa formulär ska den anmodade medlemsstaten uppge om det finns preliminära bevis bland annat på personens förmåga och materiella beredskap att ta hand om en underårig eller en person i beroendeställning. Det rör sig då om uppgifter om en person som vistas i Finland och som också kan vara finsk medborgare. Förmågan och beredskapen ska bedömas bland annat utifrån uppgifter om brottslighet och om inkomster och förmögenhet. Migrationsverket behöver uppgifter av socialmyndigheter, skatteförvaltningen, polisen och Brottspåföljdsmyndigheten och ur Rättsregistercentralens bötesregister och justitieförvaltningens riksomfattande informationssystem för att pröva denna förmåga att ta hand om någon. Prövningen kan komma att ha betydelse i synnerhet med avseende på barnets bästa. Att ingripa i en persons integritetsskydd är därmed en proportionerlig åtgärd eftersom syftet är att skydda de mer utsatta, dvs. barn och personer i särskild beroendeställning till sina närstående.
Ur Rättsregistercentralens bötesregister kommer Migrationsverket exempelvis att behöva uppgifter om eventuella straff och deras natur för att kunna utreda om den förmåga att ta hand om någon föreligger som Dublinförordningen kräver. Ett ovillkorligt fängelsestraff påverkar nämligen direkt en persons förmåga att ta hand om någon annan. Dessutom behövs det information av Brottspåföljdsmyndigheten om när personen blir frigiven och om villkoren för frigivningen, såsom övervakningen under villkorlig frigivning, som också är av betydelse för en persons förmåga att ta hand om någon annan.
Migrationsverket ska till exempel ha rätt att av utrikesförvaltningen få uppgifter om legalisering av handlingar. Syftet med legalisering är att på en beskickning kontrollera den utfärdande myndighetens behörighet att utfärda handlingen i den främmande staten. En förteckning förs över de notariefunktioner som utförs på beskickningarna. Migrationsverket behöver uppgifter om ett nekande beslut om legalisering av en handling för att kunna bedöma tillförlitligheten av en utländsk handling. Uppgiften om varför en handling inte har legaliserats är nödvändig i synnerhet vid behandlingen av medborgarskapsärenden.
Det behövs inte längre särskilda bestämmelser om rätten att få uppgifter genom teknisk anslutning eftersom grundlagsutskottet inte längre på sistone i sin utlåtandepraxis lyft fram denna fråga som ett viktigt regleringsobjekt när det gäller skyddet av personuppgifter (GrUU 14/2018 rd, GrUU 2/2018 rd och GrUU 31/2017 rd). Också i övrigt bör bestämmelser om de tekniska förutsättningarna för överföring av uppgifter utfärdas bara i fråga om den som lämnar ut uppgifterna, eftersom den själv ansvarar för uppgifter den innehar. Om sättet att lämna ut uppgifter med hjälp av ett tekniskt gränssnitt eller genom att öppna åtkomst till systemet föreskrivs i informationshanteringslagen.
14 §. Utlämnande av personuppgifter. Enligt det föreslagna 1 mom. får, utöver vad som föreskrivs någon annanstans i lag eller i internationella avtal som är bindande för Finland, sådana uppgifter som samlats in och registrerats med stöd av 1 § trots sekretessbestämmelserna lämnas ut i sådan omfattning som den mottagande myndighetens eller aktörens föreskrivna rätt till information för skötseln av lagstadgade uppgifter medger. Paragrafen innebär att personuppgifter kan lämnas ut enbart med stöd av en rätt att få uppgifter som anges i nationell lagstiftning. Bestämmelser om utlämnande av personuppgifter till Europeiska unionens gemensamma informationssystem utfärdas särskilt.
För närvarande gäller överlappande bestämmelser i fråga om utlämnande av personuppgifter. De ger upphov till en tung regleringsstruktur och skapar tolkningsproblem. Nu ska regleringen förenklas, och detta sker genom övergång till en regleringsmodell där utlämnandet ska vara knutet till en sådan rätt att få uppgifter som den mottagande myndigheten har till följd av sina lagstadgade uppgifter. Förslaget innebär att det ändamål som utlämnandet bygger på, datainnehållet och föremålet för utlämnandet ska knytas till sådan rätt att få uppgifter som den som begär informationen har enligt lagstiftningen. Utgångspunkten ska vara att rätten att få uppgifter ger mottagaren specificerad rätt att få uppgifterna. Det behövs dock fortfarande bestämmelser om utlämnande av uppgifter med tanke på de villkor som ställs för bestämmelser som bryter sekretessen i 29 § i offentlighetslagen. Eftersom rätten att få uppgifter avses vara utgångspunkten för att reglera hur informationen sprids är det möjligt att övergå till en mer generell regleringsmodell i fråga om utlämnande av uppgifter. Formuleringen är omarbetad i förhållande till 10 § i den gällande lagen om utlänningsregistret, men avsikten är inte att göra ändringar i mottagarnas rätt att få uppgifter. Bekräftelse på att de som enligt 10 § den gällande utlänningsregisterlagen har rätt att få uppgifter får tillräckliga rättigheter har under beredningen inhämtats genom att mottagarna i sina yttranden ombetts påpeka eventuella brister i rätten att få uppgifter. Den föreslagna formuleringen ger möjlighet att i fortsättningen lämna ut uppgifter också i sådana situationer där det faktum att upplysningar ges bygger på mottagarens rätt att få uppgifter, medan det inte finns särskilda bestämmelser om utlämnande av uppgifter i lagen om utlänningsregistret.
De personuppgiftsansvariga ska självständigt med stöd av det ansvar de har bestämma om de lämnar ut uppgifter. Gemensamt ansvar för personuppgifterna ger inte rätt att lämna ut alla uppgifter inom lagens räckvidd, utan varje personuppgiftsansvarig kan dock lämna ut uppgifter bara till den del som den har befogenhet att behandla och som den ansvarar för i egenskap av personuppgiftsansvarig.
Den som lämnar ut uppgifterna ska bedöma en begäran om att få uppgifter med avseende på de lagliga förutsättningarna för utlämnande. Den personuppgiftsansvariges ansvar inbegriper en skyldighet att avväga vilka uppgifter den lämnar ut i enlighet med den mottagande myndighetens rätt att få uppgifter. Den som begär uppgifter ska i syfte att se till att ändamålsbegränsningen följs i samband med sin begäran om information, uppgifter eller systemåtkomst motivera vad dess rätt att få upplysningarna bygger på samt uppge ändamålet med behandlingen av uppgifterna och vilka uppgifter den behöver. Den personuppgiftsansvarige ska utifrån begäran med beaktande av principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen bedöma datainnehållet i de personuppgifter som begärs bli utlämnade och i vilken form uppgifterna kan utlämnas. Den myndighet som lämnar ut uppgifterna ska i sin bedömning av förutsättningarna för ett utlämnande beakta bland annat behovet av uppgifter, dvs. för vilket ändamål uppgifterna begärs, huruvida de begärda uppgifterna specificerats tillräckligt exakt med avseende på användningsändamålet, om uppgifterna och den begärande myndigheten angetts tillräckligt exakt, huruvida uppgifterna finns att tillgå i någon annan informationskälla eller exempelvis hos den sökande själv och i så fall huruvida exempelvis kravet på uppgifternas tillförlitlighet (beslut som förpliktar en person fattas utifrån uppgifterna) talar för att uppgifterna ska lämnas ut uttryckligen av den myndigheten och om det råder en tillräcklig balans mellan risk och intresse, i synnerhet om det är fråga om åtkomst till ett informationssystem. Bedömningen behöver inte vara strikt fallspecifik i ett läge där uppgifter lämnas ut regelbundet till en viss myndighet för ett visst ändamål.
Avsikten är inte att i lag dela in situationerna i grupper beroende på om det är fråga om utlämnande av uppgifter i ett enskilt fall eller utlämnande av annat än enstaka uppgifter. Lagen innehåller inte längre bestämmelser om utlämnande av uppgifter med hjälp av teknisk anslutning och inte heller om att tekniskt skydda de uppgifter som lämnas ut. Grundlagsutskottet har tidigare förutsatt att det föreskrivs om teknisk anslutning som en del av registerregleringen (GrUU 12/2002 rd, s. 5), men i sin senare utlåtandepraxis har utskottet inte längre lyft fram detta som ett regleringsobjekt som är viktigt för skyddet av personuppgifter (GrUU 14/2018 rd, GrUU 2/2018 rd och GrUU 31/2017 rd). I informationshanteringslagen finns på allmän lagnivå bestämmelser om utlämnande av uppgifter med hjälp av tekniskt gränssnitt eller åtkomst till system. I fråga om datasystemet för utlänningsfrågor ska Migrationsverket och i fråga om det nationella informationssystemet för viseringar utrikesförvaltningen förvalta systemet, dvs. vara den myndighet som beslutar om utlämnande av uppgifter via ett tekniskt gränssnitt eller om att ge åtkomst till systemet. Kravet på tekniskt skydd av uppgifter som ska lämnas ut följer i sin tur direkt av det inbyggda dataskyddet och dataskydd som standard som ingår i artikel 25 i dataskyddsförordningen och säkerhet i samband med behandlingen enligt artikel 32. Dataskyddsförordningen förutsätter en hög nivå på dataskydd och informationssäkerhet.
Personuppgifter som hör till särskilda kategorier av personuppgifter får lämnas ut i enlighet med vad som föreskrivs i det föreslagna 1 mom. endast när det är nödvändigt för att myndigheten i fråga ska kunna utföra sina lagstadgade uppgifter. När förutsättningarna för att lämna ut uppgifter övervägs bör det ges särskild vikt att det är fråga om personuppgifter som hör till särskilda kategorier av personuppgifter. När det gäller omfattande register med biometriska kännetecken finns det enligt grundlagsutskottet orsak att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för. I de fallen kan bara exakt avgränsade och mycket små undantag göras från ändamåls-begränsningen. Bestämmelserna får inte leda till att någon annan verksamhet än den som är förknippad med det ursprungliga användningsändamålet blir det huvudsakliga ändamålet och inte ens ett betydande användningsändamål (GrUU 14/2009 rd, s. 4, GrUU 14/2017 rd och GrUU 1/2018 rd). Detta kräver att bestämmelserna om utlämnande tolkas restriktivt. Personuppgifter ska kunna lämnas ut enbart på basis av rätten att få uppgifter som finns i en nationell bestämmelse.
Bestämmelsen om utlämnande av uppgifter avses inte gälla fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort eller av den som ansöker om främlingspass eller resedokument för flykting, eller uppgifter om iakttagelser, om inte annat föreskrivs någon annanstans i lag. Särskilda bestämmelser om hanteringen av fingeravtryck finns i 9 och 10 §.
15 §.Utlämnande av uppgifter till Europeiska unionens gemensamma informationssystem. Paragrafen avses innehålla bestämmelser om Migrationsverkets rätt att trots sekretessbestämmelserna till Europeiska unionens gemensamma informationssystem vilka inrättats genom förordningar som antagits med stöd av avdelning V kapitel 2 i fördraget om Europeiska unionens funktionssätt lämna ut personuppgifter enligt vad som förskrivs i de förordningarna. Behörigheten att lämna ut uppgifter till sådana gemensamma EU-informationssystem som inrättats genom förordningar följer direkt av de enskilda inrättandeförordningarna.
Europeiska unionen har flera gemensamma informationssystem. Vissa håller först nu på att tas fram. Bland systemen kan nämnas andra generationen av Schengens informationssystem (SIS II), Eurodacsystemet, Informationssystemet för viseringar (VIS), in- och utresesystemet EES, och EU-systemet för reseuppgifter och resetillstånd (ETIAS).
Den rättsliga grunden för dessa informationssystem utgörs av Europaparlamentets och rådets förordning (EU) 2018/1862 avseende andra generationen av Schengens informationssystem (SIS II), dvs. SIS-förordningen om polissamarbete, och av SIS-förordning (EU) 2018/1861 på området in- och utresekontroller och den kompletterande SIS-återvändandeförordningen (EU) 2018/1860 och vidare av Europaparlamentets och rådets förordning (EU) nr 603/2013 om inrättande av Eurodacsystemet, Europaparlamentets och rådets förordning (EG) nr 767/2008 om informationssystemet för viseringar (VIS), Europaparlamentets och rådets förordning (EU) 2017/2226 om inrättande av ett in- och utresesystem (EES) och Europaparlamentets och rådets förordning (EU) 2018/1240 om inrättande av ett EU-system för reseuppgifter och resetillstånd (ETIAS).
När det gäller Schengens informationssystem motsvarar bestämmelsen 36 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet. Det är ändamålsenligt att införa bestämmelsen i den föreslagna lagen, eftersom det är meningen att bestämmelsen i samband med översynen av lagen om behandling av personuppgifter i polisens verksamhet ska bli snävare och bara gälla polisen. Avsikten är att synliggöra Migrationsverkets rätt att lämna ut uppgifter till Schengens informationssystem på samma sätt som i dag. Också Gränsbevakningsväsendet har bedömt att det behövs bestämmelser om utlämnande av information i lagen om behandling av personuppgifter vid gränsbevakningsväsendet. Skyldigheten att lämna ut uppgifter följer av Europaparlamentets och rådets förordning (EG) nr 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), som kommer att upphävas från den dag då förordningen om SIS-gränskontroll (EU) nr 2018/1861 tillämpas i sin helhet. Under beredningen av lagförslaget gjordes den bedömningen att det behövs en separat bestämmelse om utlämnande av uppgifter även om skyldigheten följer direkt av förordningen, eftersom det exempelvis vid utlämnande av biometriska kännetecken såsom fingeravtryck är fråga om utlämnande av uppgifter som hör till särskilda kategorier av personuppgifter enligt artikel 9 i dataskyddsförordningen. Enligt skäl 53 i dataskyddsförordningen bör medlemsstaterna få behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Detta bör emellertid inte hindra det fria flödet av personuppgifter inom unionen, när villkoren tillämpas på gränsöverskridande behandling av sådana uppgifter. Också grundlagsutskottet har i sin tidigare utlåtandepraxis jämställt biometriska uppgifter med känsliga uppgifter där ett adekvat skydd kräver särskilda bestämmelser om deras utlämnande (GrUU 14/2009 rd, s. 3, och GrUU 47/2010 rd, s. 3). Det behövs bestämmelser om utlämnande av uppgifter också med tanke på de villkor som ställs för bestämmelser som bryter sekretessen i 29 § i offentlighetslagen.
16 §.Radering av uppgifter. Artikel 6.3 i dataskyddsförordningen ger möjlighet att införa nationell lagstiftning om uppgifternas lagringstid. I enlighet med den princip som gäller uppgiftsminimering i artikel 5.1 c och lagringsminimering i artikel 5.1 e ska tidsfristerna för radering av uppgifter bygga på att uppgifterna behöver lagras bara den tid som den personuppgiftsansvarige behöver för att utföra sina lagstadgade uppgifter och som behövs för övervakningen av att lagar följs samt som är motiverad med avseende på individens rättssäkerhet.
Grundlagsutskottet har i sin praxis understrukit att behandlingen av känsliga uppgifter ska begränsas till vad som är nödvändigt för att uppnå det mål som är orsaken till att uppgifterna lagrats i systemet (GrUU 13/2017 rd, s. 6), medan det i fråga om andra typer av personuppgifter varit mer tillåtande när det gäller längre lagringstider (GrUU 2/2018 rd, s. 6). En avvägning har gjorts mellan de risker som är förknippade med lagring av personuppgifter, å ena sidan, och den rättssäkerhet och det identitetsskydd som eftersträvas med lagringen, å andra sidan, särskilt i fråga om de särskilda kategorierna av personuppgifter.
Det inledande stycket till bestämmelsen avses innehålla en informativ bestämmelse vars syfte är att beakta avvikande lagringstider som eventuellt kan komma att följa av EU-lagstiftning. Inom EU pågår som bäst arbetet med en procedurförordning och en förordning om vidarebosättning, och de innehåller bestämmelser om radering av ärendeuppgifter som gäller personer som sökt internationellt skydd.
Den tid efter vilken uppgifter raderas kommer att vara längre i vissa fall. Jämfört med gällande lag ändras bestämmelserna om radering av uppgifter enligt 1 punkten på så sätt att av identifikationsuppgifterna för en person förlängs tiden för radering av kundnummer, namn, födelsetid, personbeteckning, utländsk personbeteckning, någon annan utländsk beteckning för identifiering av personen, medborgarskap och uppgifter om personens familjeband till tio år efter det att personen har avlidit eller fått finskt medborgarskap eller uppgifterna om ärenden i anknytning till personen har raderats.
Utmärkande för migrationsförvaltningen är att tidigare behandlade ärenden kan vara av betydelse för senare ärenden, exempelvis när ett nytt uppehållstillstånd söks, i ett senare inlett ärende om en familjemedlems uppehållstillstånd, i ett ärende som gäller beviljande av medborgarskap eller ett ärende som gäller förlust av medborgarskap. För att den registrerades rättigheter ska tryggas är det viktigt att de relevanta basuppgifterna förvaras tillräckligt länge. En tillräckligt lång lagringstid i fråga om dessa uppgifter är också viktig för att missbruk ska kunna förebyggas exempelvis genom att förhindra att flera identiteter skapas för en och samma person. Om lagringstiden inte är tillräckligt lång är det möjligt att skapa dubbla eller fler identiteter i situationer där någon exempelvis först studerar i Finland och senare återvänder till exempel för att arbeta. Situationer med flera identiteter ger upphov till svåra återverkningar också i andra myndigheters register. Det ligger också i den sökandes intresse att undvika sådana överlappningar. En tillräckligt lång tid är motiverad också med tanke på inledande av ärenden som gäller förlust av medborgarskap. Ett beslut om att någon ska förlora sitt medborgarskap kan inte fattas om det har gått mer än fem år sedan en ansökan eller anmälan om medborgarskap avgjorts. Om ett ärende om förlust av medborgarskap inleds innan det förflutit fem år sedan medborgarskap beviljades går det att fatta beslutet också efter den femårsperioden. En föreskriven tid behövs också eftersom det är möjligt att inleda ett ärende om en familjemedlems uppehållstillstånd till exempel långt efter en persons död.
Enligt skäl 27 i ingressen till dataskyddsförordningen gäller förordningen inte behandling av personuppgifter rörande avlidna personer. Däremot går det att införa bestämmelser om detta i nationell lagstiftning. Inom migrationsförvaltningens verksamhetsområde behövs det i enlighet med vad som framförs ovan bestämmelser om lagring av personuppgifter också efter personens död.
Enligt 2 punkten raderas andra personuppgifter senast fem år efter det att uppehållsrätten upphörde eller den sista uppgiften antecknades i det sista anhängiga ärendet. Uppgifter om ärenden som anknyter till en person raderas samtidigt.
Den tid efter vilken uppgifter ska raderas ska i fråga om alla anhängiga ärenden räknas enlig när det senast anhängiga ärendet avslutats, vilket är en förändring i förhållande till nuläget. Detta kommer att förlänga lagringstiden för vissa personuppgifter. Det är emellertid motiverat att radera alla ärenden samtidigt eftersom det då går att undvika att det skulle finnas tidsmässiga luckor i uppgifterna om en person. Med tanke på den registrerades rättssäkerhet är sådana luckor inte motiverade.
Enligt 3 punkten ska uppgifter som hör till särskilda kategorier av personuppgifter i enlighet med grundlagsutskottets ovan presenterade ståndpunkt dock raderas genast när de inte längre behövs. En förutsättning för att personuppgifter som hör till de särskilda kategorierna av personuppgifter är nödvändighet. Det betyder att en personuppgift som hör till dessa kategorier inte längre behövs när den inte längre är nödvändig ur behandlingssynpunkt.
Uppgifter om iakttagelser är av sådan natur att de ska raderas enligt en separat tidsfrist på sex månader efter det att de antecknades. I fråga om dem och också om andra uppgifter bör principen om uppgiftsminimering beaktas. Principen innebär att uppgifterna inte ska vara för omfattande i förhållande till de ändamål för vilka de behandlas.
I enlighet med den princip om ändamålsbegränsning som propositionen antagit ska raderingen av personuppgifter inte vara knuten till ett visst system, utan uppgifterna ska raderas ur de system som de behandlas i. När den lagstadgade lagringstiden gått ut ska personuppgifterna gallras ut antingen genom utplåning eller genom överföring till ett arkiv på det sätt som arkivverket föreskriver om permanent förvaring av handlingar eller uppgifter i dessa. De utgallrade uppgifterna ska således arkiveras på det sätt som föreskrivs eller bestäms särskilt. Särskilda bestämmelser utfärdas om radering av felaktiga uppgifter.
Bestämmelser om vilken myndighet som ska radera uppgifterna avses finns i 4 och 5 §.
17 §.Personuppgift som konstaterats vara felaktig. Trots bestämmelserna i dataskyddsförordningen om radering av en oriktig uppgift ska en personuppgift som konstaterats vara felaktig få bevaras tillsammans med den korrigerade personuppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till den personuppgiftsansvariges personal har. En sådan uppgift får behandlas endast i det syftet.
Enligt artikel 5.1 d i dataskyddsförordningen ska personuppgifter vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas och rättas utan dröjsmål. Enligt artikel 16 i förordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. I artikel 17 finns bestämmelser om rätten att få uppgifter raderade i särskilt angivna fall, men uppgifternas felaktighet nämns inte bland dem. Enligt artikel 23.1 i ska det vara möjligt att i lagstiftningen begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12—22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa skydd av den registrerade eller andras rättigheter och friheter. Införande av sådana begränsningar kräver enligt artikel 23.2 i förordningen specifika bestämmelser om bland annat skyddsåtgärder och lagringstider. Specifika bestämmelser om skyddsåtgärder i fråga om de särskilda kategorierna av personuppgifter finns i 6 § 2 mom. i dataskyddslagen. Bevaring av en personuppgift som konstaterats vara felaktig ska vara nödvändig och proportionerlig i förhållande till skydd av den registrerade eller någon annan part eller en person som hör till den personuppgiftsansvariges personal rättigheter och friheter.
Paragrafen avses inte begränsa rätten att få uppgifter rättade, men uppgifter som konstateras vara felaktiga ska i de situationer som avses i 1 mom. kunna bevaras tillsammans med de korrigerade uppgifterna. Paragrafen avses innehålla bestämmelser om bevaring en personuppgift som konstaterats vara felaktig i sådana fall att det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till den personuppgiftsansvariges personal har. I förhållande till 9 § 2 mom. i utlänningsregisterlagen kommer rättsläget att förändras på så sätt att också tryggande av andra parters rättigheter är relevant exempelvis när det gäller familjemedlemmars uppehållstillstånd.
Det ska fästas särskild uppmärksamhet vid sättet att behandla felaktiga uppgifter med beaktande av deras natur. Felaktiga uppgifter får till exempel inte senare bli föremål för behandling och de ska inte kunna ändras. En uppgift som konstaterats vara felaktig och som bevaras ska utplånas genast när den inte längre behövs för tryggande av rättigheter, dock senast fem år efter det att felet uppdagats. Den föreskrivna tiden på fem år börjar räknas på nytt sätt eftersom tidsfristen räknas från det att felet uppdagas och inte från det att den felaktiga personuppgiften registreras. En lagringstid på fem år är motiverad exempelvis i situationer där det i ärenden som gäller tjänsteansvar är fråga om den tjänstemannens rättssäkerhet som registrerat den felaktiga uppgiften.
18 §.Arkivering av uppgifter. Paragrafen avses innehålla en informativ bestämmelse enligt vilken det i fråga om arkivfunktionens uppgifter och om handlingar som ska arkiveras gäller separata bestämmelser. För närvarande avser formuleringen vad som föreskrivs i den gällande arkivlagen (831/1994) och med stöd av den.
Användning för arkivändamål av allmänt intresse enligt artikel 5.1 e i dataskyddsförordningen betraktas inte som oförenligt med det ursprungliga ändamålet. På den grunden kan data som innehåller personuppgifter arkiveras, om det är förenligt med allmänt intresse.
19 §.Tillgodoseende av den registrerades rättatt få tillgång till egna uppgifter. Paragrafen innehåller bestämmelser om förfarandet för genomförande av rätten enligt artikel 15 i dataskyddsförordningen. Enligt artikel 15 i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna. I dataskyddslagen hänvisar man till den registrerades rätt till tillgång med den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne och i lagen om behandling av personuppgifter i brottmål med den registrerades rätt till insyn. I bestämmelsen ska följas de termer som används i nämnda allmänna lagar.
Vid utnyttjandet av tillgången till de egna uppgifterna ska en persons integritet skyddas genom att försäkra sig om identiteten av den som mottar personuppgifter. De personuppgifter som är föremålet för denna rätt är ofta känsliga eller sekretessbelagda uppgifter. Därför måste det nås visshet om att den som uppgifterna lämnas ut till verkligen är den person som uppgifterna gäller. I syfte att främja att den registrerades rättigheter tillgodoses ska det finnas bestämmelser om kontaktpunkter för registrerade i 6 §. Det är Migrationsverket och utrikesförvaltningen som ska vara kontaktpunkter. Att kontaktpunkterna utses utgör ändå inget hinder för den registrerade att även lämna sin begäran att få tillgång till egna uppgifter till andra personuppgiftsansvariga.
Enligt skäl 63 i ingressen till dataskyddförordningen bör den registrerade ha rätt att få tillgång till personuppgifter som insamlats om denne samt på enkelt sätt och med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna kontrollera att den är laglig. Enligt skäl 64 i ingressen bör personuppgiftsansvariga vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad som begär tillgång, särskilt inom ramen för nättjänster och i fråga om nätidentifierare. Personuppgiftsansvariga bör inte behålla personuppgifter enbart för att kunna agera vid en potentiell begäran.
Enligt artikel 12 i dataskyddsförordningen får den personuppgiftsansvarige, utan att det påverkar tillämpningen av artikel 11, begära att ytterligare information som är nödvändig för att bekräfta den registrerades identitet tillhandahålls, om denne har rimliga skäl att betvivla identiteten hos den fysiska person som lämnar in en begäran enligt artiklarna 15–21.
En registrerad som vill utöva sin rätt att få tillgång till egna uppgifter ska framställa en skriftlig begäran om detta till den personuppgiftsansvarige samt innan personuppgifterna lämnas ut styrka sin identitet antingen med handlingar som anses tillförlitliga eller personligen för den personuppgiftsansvarige eller genom stark autentisering.
Den som vill utöva sin rätt att få tillgång till egna uppgifter måste alltid ansöka om detta skriftligen hos den personuppgiftsansvarige. Detta kan ske exempelvis genom en begäran per e-post eller vanlig post eller med en blankett i samband med ett personligt besök. Begäran ska på den registrerades vägnar också kunna framföras av en annan person, exempelvis en företrädare eller ett biträde.
Visshet om identiteten på en registrerad som utövar sin rätt att få tillgång till egna uppgifter måste nås innan rätten tillgodoses, dvs. senast när personuppgifter om dem som rätten gäller lämnas ut. Den registrerade kan styrka sin identitet med tillförlitliga handlingar hos den personuppgiftsansvarige eller exempelvis på så sätt att de uppgifter som begäran om tillgång avser sänds till den registrerade i ett rekommenderat brev, varvid kontroll av den registrerades identitet kan ske genom normalt förfarande för överlåtelse av rekommenderade brev. Migrationsverket har inget stort servicenät, och därför är det motiverat att inte kräva ett personligt besök på ett av Migrationsverkets serviceställen av den registrerade som vill utöva sin rätt att få tillgång till egna uppgifter, om personen i fråga har tillförlitliga handlingar. Till handlingar som ska anses tillförlitliga räknas åtminstone en giltig identitetshandling och ett giltigt pass. Det bör dock uppmärksammas att alla pass inte betraktas som pålitliga trots deras giltighet. Registrerade personer, särskilt de som kommit som asylsökande, har inte alltid handlingar som kan anses vara tillförlitliga. I sådana fall kan den registrerade identifieras i samband med ett personligt besök hos den personuppgiftsansvarige exempelvis med hjälp av uppgifter i informationssystem, såsom jämförelse med ett fotografi som tagits i samband med asylansökan. Den registrerade ska också kunna använda sig av stark autentisering.
Den i artikel 15 i dataskyddsförordningen föreskrivna rätten av den registrerade att få tillgång till information motsvaras av den registrerades rätt till insyn enligt 23 § i lagen om behandling av personuppgifter i brottmål. I fråga om en sådan begäran om utövande av den registrerades rätt till insyn som riktas till polisen tillämpas 41 § i lagen om behandling av personuppgifter i polisens verksamhet och i fråga om en sådan begäran om utövande av den registrerades rätt till insyn som riktas till Gränsbevakningsväsendet tillämpas 50 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. När den registrerade utövar sin rätt ska han eller hon personligen framföra en begäran om detta till polisen eller till Gränsbevakningsväsendet och styrka sin identitet. Begäran ska också kunna lämnas genom att på ett verifierat sätt använda tillförlitlig elektrisk identifiering, om denna tjänst finns. Det är motiverat att ha ett separat förfarande i fråga om begäranden om insyn riktade till polisen och Gränsbevakningsväsendet när någon vill utöva sin rätt, eftersom det då går att sörja för enhetliga processer i polisens verksamhet. I situationer där den registrerades kontaktpunkt, exempelvis Migrationsverket, tillgodoser den registrerades rätt till insyn med avseende på polisens eller Gränsbevakningsväsendet uppgifter ska kontaktpunkten ansvara för att identiteten kontrolleras i ett annat skede av processen och att uppgifterna lämnas ut till rätt person.
20 §.Den registrerades rätt till begränsning av behandling. Enligt artikel 18 i dataskyddsförordningen ska den registrerade ha rätt att kräva att behandlingen av dennes personuppgifter begränsas. Det som i EU-lagstiftningen eller annanstans i lagen föreskrivs om den registrerades rätt till begränsning av behandling av personuppgifter hos den personuppgiftsansvarige tillämpas dock inte på behandling av personuppgifter som avses i denna lag. Rätten kan begränsas inom ramen för det handlingsutrymme som artikel 23 ger medlemsstaterna. Det är med stöd av artikel 23.1 h och i möjligt att genom nationella lagstiftningsåtgärder begränsa också de rättigheter och skyldigheter som avses i artikel 18, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa myndighets tillsyns-, inspektions- eller regleringsfunktion eller skydd av den registrerade eller andras rättigheter och friheter. Lagstiftningsåtgärden ska då beakta de specifika bestämmelser som avses i artikel 23.2. Specifika bestämmelser om skyddsåtgärder i fråga om de särskilda kategorierna av personuppgifter finns i 6 § 2 mom. i dataskyddslagen.
Inom migrationsförvaltningen kommer en registrerads begäran om begränsning sannolikt alltid att grundas på att uppgifterna inte stämmer. Om behandlingen av personuppgifter alltid automatiskt begränsades på den registrerades begäran till dess att den personuppgiftsansvarige har försäkrat sig om att uppgiften stämmer, skulle det beroende på typen av uppgift vara möjligt att beslutsprocessen stannar upp för den tid det tar att kontrollera uppgifternas riktighet både inom migrationsförvaltningen och hos de myndigheter som använder uppgifter från migrationsförvaltningen för sina beslut. Migrationsförvaltningens beslutsfattande bygger på lag. Det är av avgörande betydelse att bekräftelse fås på att de uppgifter som besluten bygger på är riktiga. Annars går det inte att säkerställa riktiga beslut och att garantera den berörda personens rättssäkerhet. De andra lagfästa kraven på förfarandena inom migrationsförvaltningen samt den registrerades möjligheter att utöva andra rättigheter för att kontrollera att uppgifterna är riktiga uppfyller kraven på nödvändighet och proportionalitet i artikel 23.1 h och i när det gäller fullgörande av den personuppgiftsansvariges lagstadgade uppgifter, vilket för sin del skyddar den registrerade.
21 §.Automatiserat individuellt beslutsfattande. Paragrafen avses innehålla bestämmelser om sådana beslutsprocesser vid Migrationsverket som bygger på automatiserad behandling i ärendehanteringssystemet för utlänningsärenden. Förfarandet innebär att alla handläggnings- och beslutsfaser utförs av systemet utan fysiska personers medverkan.
Enligt artikel 22 i dataskyddsförordningen ska den registrerade ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Ett undantag till denna huvudregel finns i artikelns punkt 2 b enligt vilken punkt 1 inte ska tillämpas, om beslutet tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen.
Enligt 21 § 2 mom. i grundlagen ska offentligheten vid handläggningen, rätten att bli hörd, rätten att få motiverade beslut och rätten att söka ändring samt andra garantier för en rättvis rättegång och god förvaltning tryggas genom lag. Bestämmelser om sådana förfaranderegler för god förvaltning som ska iakttas i förvaltningsförfaranden finns i förvaltningslagen och om rätten att överklaga i förvaltningsprocesslagen. Dessutom innehåller utlänningslagen kompletterande bestämmelser till dessa allmänna lagar. Propositionen innehåller inga förslag till undantag från dessa allmänna förvaltningslagar, vilket innebär att parter också vid automatiserade beslutsprocesser ska ha rätt att få ett motiverat beslut och att överklaga ett beslut i enlighet med förvaltningsprocesslagen och utlänningslagen. De allmänna nationella lagarna bidrar samtidigt till att genomföra de lämpliga skyddsåtgärder som artikel 22 i dataskyddsförordningen kräver, eftersom de dels garanterar öppenhet i behandlingen, dels också rätten att få ett motiverat beslut och att överklaga beslutet.
Ärenden som väljs till den automatiserade beslutsprocessen
Enligt förslaget ska beslut som Migrationsverket fattar i ärendehanteringssystemet för utlänningsärenden kunna fattas genom ett förfarande som endast grundar sig på automatiserad behandling om ärendet med stöd av 34 § 2 mom. 5 punkten i förvaltningslagen får avgöras utan att en part hörs. I 34 § 1 mom. i förvaltningslagen finns huvudregeln för hörande. Enligt den ska en part innan ett ärende avgörs ges tillfälle att framföra sin åsikt om ärendet och avge sin förklaring med anledning av sådana yrkanden och sådan utredning som kan inverka på hur ärendet kommer att avgöras. Automatiserat beslutsfattande ska basera sig på de uppgifter som sökanden tillställt elektroniskt men även på uppgifter som ingår i ärendehanteringssystemet för utlänningsärenden och uppgifter som erhållits av andra myndigheter genom elektroniska gränssnitt. Vanligen kan en ansökan i tillståndsprövning som initieras av sökande avgöras på basis av de uppgifter som sökanden tillställt, men om ärendet avgörs genom att använda uppgifter som ingår i ärendehanteringssystemet för utlänningsärenden som sökande inte angett i sin ansökan, hörs sökanden vid behov i enlighet med 34 § 1 mom. i förvaltningslagen. På samma sätt, om det i de uppgifter som lämnats i ansökan finns brister eller motstridigheter jämfört med de elektroniska uppgifter som Migrationsverket har tillgång till, överförs ärendet till den sedvanliga beslutandeprocessen. En dylik situation kan till exempel uppstå när automatiska registerkontroller producerar information om vilken klienten ska höras. I detta fall hänförs ärendet till helhetsbedömning av en fysisk person.
I 2 mom. finns bestämmelser om undantag från huvudregeln i 34 § 1 mom. i förvaltningslagen. Enligt detaljmotiven till den bakomliggande propositionen (RP 72/2002 rd, s. 100) måste tillämpningsområdet för undantagsbestämmelser skärskådas särskilt i belysning av kraven på god förvaltning. Rätten att bli hörd i egen sak är en av de centrala rättsskyddsprinciper i förvaltningen som är inskrivna i 21 § grundlagen och som ska tryggas genom lag. Rätten att bli hörd gäller primärt alla sådana ärenden där det kan anses ligga i en parts intresse att lägga fram utredning. Enligt 34 § 2 mom. 5 punkten i den lagen får ett ärende avgöras utan att en part hörs, om ett yrkande som inte rör någon annan part godkänns eller om hörandet av någon annan orsak är uppenbart onödigt. Hörande kunde vara uppenbart onödigt till exempel när Migrationsverket fattar ett beslut om upphörande på basis av bestämmelserna i utlänningslagen. I detta fall har beslutet om upphörande antingen föregåtts av ett annat beslut av myndigheten, den utsatta tiden eller det faktum att den sökande inte längre av en anledning som beror på honom eller henne har behov att hålla ansökan anhängig.
Sådana ärendegrupper som enligt 34 § 2 mom. 5 punkten behandlas inom migrationsförvaltningen kan exempelvis vara fall där ärendet avgörs i överensstämmelse med ansökan eller där ansökan eller förslaget förfaller med stöd av utlänningslagen. Som exempel på ärendegrupper enligt utlänningslagen som lämpar sig för automatiserat beslutsfattande kan nämnas beviljande av uppehållstillstånd för studier, arbete eller företagsverksamhet eller på grund av familjeband, ansökan om uppehållstillstånd som förfaller för att sökanden återtagit ansökan, avlidit eller fått finskt medborgarskap eller för att ansökningsavgiften inte betalats inom skälig tid, uppehållstillstånd eller EU-registrering som förfaller för att vederbörande har avlidit eller fått finskt medborgarskap, beviljande av permanent uppehållstillstånd, registrering av EU-medborgares eller med dem jämförbara personers uppehållstillstånd, beviljande av uppehållskort för EU-medborgares familjemedlem som är medborgare i tredjeland, förnyande av uppehållskort eller uppehållstillståndskort, godkännande av anmälan om rörlighet inom EU, beviljande av säsongsarbetsintyg, förvärv av finskt medborgarskap på ansökan eller efter anmälan och beslut om att framställning om utvisning förfallit på grund av att en utlänning fått uppehållstillstånd. Om bestämmelsen knyts till 34 § 2 mom. 5 punkten i förvaltningslagen uppkommer det en noga avgränsad och klar gräns för vilka typer av ärenden som lämpar sig för automatiserat beslutsfattande. Även om det går att bestämma vissa ärendegrupper inom Migrationsverket där ärendena i regel kan behandlas i automatiserade beslutsprocesser, är det i slutändan ändå omständigheterna i det enskilda fallet som avgör om det går att ta fram ett beslut i ärendet helt på automatisk väg. I praktiken går ärenden där parter i princip inte behöver höras från en kontrollpunkt till en annan i Migrationsverkets automatiserade system, och om omständigheterna i det enskilda fallet exempelvis inte uppfyller kraven i den behörighetsgivande lagstiftningen, om det finns brister i handlingarna i ärendet eller om ärendet kräver en helhetsbedömning, kommer ärendet alltid att föras över till en fysisk person för handläggning. Detta innebär att det inte ska vara möjligt att genom automatiserat beslutsfattande avgöra ett ärende där det förutsätts helhetsbedömning gällande till exempel tillräcklig försörjning eller den risk som sökanden orsakar för allmän ordning eller säkerhet, utan då ska ärendet alltid avgöras av en fysisk person i en sedvanlig beslutandeprocess.
I utredningsprojektet Algoritm som beslutsfattare? (2019:44, s. 67), som publicerats i statsrådets publikationsserie för utrednings- och forskningsverksamhet, har medborgarskapasansökans gång i den automatiserade beslutsprocessen beskrivits på följande sätt: Migrationsverket fattar sitt beslut på ett automatiserat sätt, dvs. ingen enskild tjänsteman behandlar ärendet. I beslutsfattandesystemet används regelbaserad systemrobotik, som kontrollerar förutsättningarna för uppfyllandet av medborgarskapet med s.k. binära alternativ. Om de uppgifter och bilagor som sökanden lämnat in uppfyller lagens krav på erhållande av medborgarskap, godkänner systemet ansökan om medborgarskap automatiskt. Om villkoren för medborgarskap inte uppfylls, överförs ärendet till en fysisk person för kontroll.
Möjligheten till automatiserat beslutsfattande inom vissa av Migrationsverkets ärendegrupper som avgränsas på ovan beskrivet sätt uppfyller också för sin del kravet i 21 § 1 mom. i grundlagen på myndighetsverksamhet som sker på behörigt sätt och utan ogrundat dröjsmål, eftersom de ärenden kommer att behandlas snabbare där det inte finns något intresse för parter att bli hörda. De uppräknade ärendegrupperna utgör en stor del av de beslut Migrationsverket fattar och därför skulle verkets beslutsprocesser effektiviseras om det blir möjligt med helt automatiserat beslutsfattandet inom de grupperna, utan att man för den skull gör avkall på de krav som förfarandereglerna för god förvaltning och rättssäkerheten ställer på behandlingen. Ur den registrerades synvinkel påskyndar automatiseringen ärendehanteringen samtidigt som den också skapar ramar för en enhetlig och likvärdig behandling. Automatisering främjar därför också principerna om likabehandling och skydd för berättigade förväntningar.
Migrationsverkets beslutsprocesser bör effektiviseras på så sätt att personella resurser kan användas till att avgöra ärenden som kräver prövning. De algoritmer som används vid automatiserat beslutsfattande och de bakomliggande lagbaserade reglerna ska omsorgsfullt tas fram på Migrationsverket, och deras funktionsduglighet ska testas där innan de börjar användas och även regelbundet efter detta. Migrationsverket ska dessutom godkänna de algoritmer som används genom ett separat förvaltningsbeslut. På detta sätt kommer avgörandepraxis att bli enhetlig i dessa enklare ärendegrupper och därmed förbättras förutsebarheten och rättstryggheten. Grundlagsutskottet har inte haft något att anmärka mot effektiviseringsmålet med automatiserat beslutsfattande vid Migrationsverket (GrUU 62/2018 rd, s. 7).
Dataskyddsarbetsgruppen har i sina riktlinjer (WP 251/17, s. 33—34) lagt fram några praktiska råd som personuppgiftsansvariga kan överväga när de fattar beslut som enbart grundas på automatisk behandling, inbegripet profilering (enligt definitionen i artikel 22.1). De kan exempelvis genomföra regelbundna kvalitetssäkringskontroller av sina system för att säkerställa att enskilda personer behandlas rättvist och inte diskrimineras, oavsett om detta sker på grund av särskilda kategorier av uppgifter eller av andra orsaker. De kan också göra en algoritmgranskning – test av de algoritmer som används och utvecklas av maskininlärningssystem för att visa att de verkligen fungerar på avsett sätt, och inte ger diskriminerande, felaktiga eller omotiverade resultat. Med hjälp av en oberoende ”tredjepartsgranskning” (om beslutsfattande som grundas på profilering får stora konsekvenser för enskilda personer) kan den personuppgiftsansvarige ge granskaren all nödvändig information om hur algoritmen eller maskininlärningssystemet fungerar. Personuppgiftsansvariga kan inhämta avtalsmässiga försäkringar för tredjepartsalgoritmer som har granskats och testats och där algoritmen har befunnits uppfylla avtalade standarder. Vidare kan särskilda åtgärder för uppgiftsminimering vidtas för att införliva tydliga lagringsperioder för profiler och för personuppgifter som används för att skapa eller tillämpa profilerna. Personuppgiftsansvariga bör också möjliggöra användning av anonymiserings- eller pseudonymiseringsteknik vid profilering. De kan göra det möjligt för den registrerade att framföra sina synpunkter och överklaga beslutet och även införa en mekanism för mänskligt ingripande i vissa bestämda fall, t.ex. tillhandahålla en länk till en överklagandeprocess när det automatiserade beslutet meddelas den registrerade, med avtalade tidsfrister för överprövningen och namngivna kontaktpunkter för eventuella frågor. Personuppgiftsansvariga kan även undersöka alternativ som certifieringsmekanismer för behandlingar, uppförandekoder för granskningsprocesser som inbegriper maskininlärning, etikprövningsnämnder för att bedöma vilka potentiella för- och nackdelar för samhället vissa bestämda profileringstillämpningar har. Migrationsverket bör i tillämpliga delar tillämpa dessa rekommendationer om god praxis från dataskyddsarbetsgruppen i sin process för automatiserade beslutsförfaranden.
Enligt skäl 71 i ingressen till dataskyddsförordningen bör dock alltid den form av uppgiftsbehandling som medger undantag enligt artikel 22.2 under alla omständigheter omgärdas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet. Också enligt dataskyddsarbetsgruppens riktlinjer (WP 251/17, s. 28) gäller skyddsåtgärderna för alla undantag enligt artikel 22.2 även om de lämpliga skyddsåtgärderna inte specifikt anges i själva artikeln i fråga om punkt 2 b. Dataskyddsarbetsgruppen har i sina riktlinjer (WP 251/17, s. 33–34) lagt fram ovan presenterade praktiska råd som personuppgiftsansvariga kan överväga när de fattar beslut som enbart grundas på automatisk behandling, inbegripet profilering (enligt definitionen i artikel 22.1). Enligt en rekommendation bör den personuppgiftsansvarige införa en mekanism för mänskligt ingripande i vissa bestämda fall, t.ex. tillhandahålla en länk till en överklagandeprocess när det automatiserade beslutet meddelas den registrerade, med avtalade tidsfrister för överprövningen och namngivna kontaktpunkter för eventuella frågor.
Skyldigheten enligt grundlagens 21 § att genom lag föreskriva om garantierna för rättssäkerhet och god förvaltning fullgörs genom allmänna nationella lagar om förvaltningsförfaranden och administrativa processer. Bestämmelserna i de lagarna uppfyller redan nu de flesta kraven på lämpliga skyddsåtgärder som anges i artikel 22 i dataskyddsförordningen. Samtidigt skyddas rätten att kräva att en fysisk person behandlar uppgifterna, såsom framgår av dataskyddsarbetsgruppens rekommendation, i tillräcklig utsträckning av att det finns möjlighet att överklaga och kontaktpunkter för de registrerade. På detta sätt garanteras även denna rättighet genom bestämmelserna om sökande av ändring i förvaltningsprocesslagen och utlänningslagen. I 6 § i lagförslag 1 finns dessutom bestämmelser om kontaktpunkter för de registrerade.
Behandlingen av personuppgifter som hör till särskilda kategorier av personuppgifter vid automatiserat beslutsfattande
Enligt artikel 22.4 i dataskyddsförordningen får beslut enligt artikel 22.2 inte grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9.1, såvida inte artikel 9.2 a eller g gäller och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits. Uppgifter som hör till de särskilda kategorierna av personuppgifter får således behandlas helt och hållet i en automatiserad beslutsprocess bara om ett undantag enligt artikel 22.2 i dataskyddsförordningen föreligger och artikel 9.2 a eller g i den förordningen gäller. Enligt artikel 9.2 a i dataskyddsförordningen får undantag från det principiella förbudet mot behandling av särskilda kategorier av personuppgifter göras, då den registrerade uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål. Enligt skäl 43 i ingressen till dataskyddsförordningen ska samtycket inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet. Det här innebär att behandlingen av personuppgifter som hör till särskilda kategorier av personuppgifter på basis av automatiserat beslutsfattande inte kan basera sig på den registrerades samtycke. Enligt artikel 9.2 g får undantag från det principiella förbudet mot behandling av särskilda kategorier av personuppgifter göras, om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Enligt skäl 52 i ingressen till dataskyddsförordningen bör undantag från förbudet att behandla särskilda kategorier av personuppgifter även tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta. Som skäl gällande allmänt intresse nämns behandling av personuppgifter inom ramen för arbetsrätt och sociallagstiftning. Även myndighetens förutsägbara beslutsfattandesystem som baserar sig på korrekta uppgifter och fungerar effektivt står inte bara i individens utan också i samhällets intresse och motiveras därför av allmänintresset. Det har till exempel ansetts överensstämma med vägande allmänt intresse att en tillräckligt bred informationsgrund tryggas för myndigheternas beslutsfattande (RP 20/2005 rd, s. 13). Migrationsverkets automatiserade beslutsfattande baserar sig på lagstiftning som skapar behörighet för migrationsförvaltningen. Behandlingen av personuppgifter som hör till särskilda kategorier av personuppgifter är en väsentlig del i behandlingen av Migrationsverkets lagstadgade ärendegrupper. För att till exempel en ansökan ska kunna avgöras, är det nödvändigt att kontrollera att vissa lagstadgade förutsättningar uppfylls och i samband med detta behandla uppgifter som hör till särskilda kategorier av personuppgifter. Detta innebär att behandlingen även står i rätt proportion till målet. Därtill ska personuppgiftsansvariga med stöd av båda dessa bestämmelser i dataskyddsförordningen vidta lämpliga åtgärder för att skydda den registrerades fri- och rättigheter och berättigade intressen.
De skyddsåtgärder som enligt 6 § i dataskyddslagen gäller uppgifter som hör till särskilda kategorier av personuppgifter gäller i tillämpliga delar också skyddet av uppgifter som hör till särskilda kategorier av personuppgifter enligt den nu föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen. Utöver skyddsåtgärderna enligt den allmänna lagen ska de villkor uppfyllas som nämns i 8 § i migrationsförvaltningens personuppgiftslag och som gäller behandling av uppgifter som hör till särskilda kategorier av personuppgifter när automatiserat beslutsfattande tillämpas. Enligt 6 § 1 mom. i dataskyddslagen ska artikel 9.1 i dataskyddsförordningen, dvs. förbudet mot behandling av särskilda kategorier av personuppgifter, inte tillämpas på sådan behandlingen av uppgifter som regleras i lag eller som föranleds av ett uppdrag som ålagts den personuppgiftsansvarige i lag. Enligt 6 § 2 mom. i dataskyddslagen ska en personuppgiftsansvarig och ett personuppgiftsbiträde som behandlar personuppgifter i en situation som avses i 1 mom. vidta lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter. Sådana åtgärder är åtgärder för att det i efterhand ska kunna säkerställas och bevisas vem som har registrerat, ändrat eller överfört personuppgifter, åtgärder för att höja kompetensen hos den personal som behandlar personuppgifter, utnämning av ett dataskyddsombud och den personuppgiftsansvariges och personuppgiftsbiträdets interna åtgärder för att förhindra tillträde till personuppgifter samt pseudonymisering av personuppgifter och kryptering av personuppgifter. Vidare rör det sig om åtgärder för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och tjänsterna i anknytning till behandlingen av personuppgifterna, inbegripet förmåga att återställa tillgängligheten och tillgången till uppgifterna i rimlig tid vid en fysisk eller teknisk incident, ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet, särskilda förfaranderegler för att säkerställa att dataskyddsförordningen och denna lag iakttas när personuppgifter överförs eller behandlas för något annat ändamål, utförande av en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen och andra tekniska, förfarandemässiga och organisatoriska åtgärder. Dessa skyddsåtgärder i fråga om behandlingen av personuppgifter som hör till särskilda kategorier av personuppgifter enligt 6 § 2 mom. i dataskyddslagen motsvarar i stor utsträckning de skyddsåtgärder som dataskyddsarbetsgruppen rekommenderar i sina riktlinjer (WP 251/17).
I artikel 5.1 a i dataskyddsförordningen finns bestämmelser om skyldigheten att behandla personuppgifter på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Dessa principer för behandling av uppgifter kompletteras genom de allmänna bestämmelserna i artikel 12 i förordningen om klar och tydlig information och utövandet av den registrerades rättigheter. I artiklarna 13 och 14 finns uttryckliga bestämmelser den personuppgiftsansvariges skyldighet att informera den registrerade för att säkerställa en korrekt och öppen behandling.
Både i artikel 13.2 f och i artikel 14.2 g krävs det att den personuppgiftsansvarige ska lämna den registrerade följande information för att säkerställa rättvis och öppen behandling: förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade. De personuppgiftsansvariga ska således lämna meningsfull och lättillgänglig information om beslut som enbart grundas på automatisk behandling, inbegripet profilering, och som har rättsliga eller på liknande sätt betydande följder. Enligt skäl 60 i ingressen till dataskyddsförordningen bör den personuppgiftsansvarige till den registrerade lämna all ytterligare information som krävs för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika omständigheter och sammanhang. Dessutom bör den registrerade informeras om förekomsten av profilering samt om konsekvenserna av sådan profilering.
Dessutom har den registrerade särskild rätt att få information om beslutsfattande som enbart grundas på automatiserad behandling. Enligt artikel 15.1 h i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information: förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den.
Dataskyddsarbetsgruppen slår i sina riktlinjer (WP 251/17, s. 26) fast att om den personuppgiftsansvarige fattar automatiserade beslut med stöd av artikel 22.1, måste denne berätta för den registrerade att de tillämpar denna metod, lämna meningsfull information om den bakomliggande logiken, och förklara betydelsen och de förutsedda följderna av behandlingen. Tillhandahållandet av denna information hjälper även personuppgiftsansvariga att säkerställa att de uppfyller några av de obligatoriska skyddsåtgärder som anges i artikel 22.3 och skäl 71, menar arbetsgruppen. Maskininlärningens snabba tillväxttakt och komplexitet kan göra det svårt ett förstå hur en automatiserad beslutsprocess eller profilering fungerar, för arbetsgruppen vidare fram i sina riktlinjer. Komplexitet är ändå ingen ursäkt för att inte tillhandahålla information till den registrerade. Den personuppgiftsansvarige bör enligt arbetsgruppen försöka att på ett enkelt sätt förklara logiken bakom eller kriterierna för att komma fram till beslutet. Enligt arbetsgruppen kräver den personuppgiftsansvariges skyldighet enligt dataskyddsförordningen att lämna meningsfull information om logiken bakom behandlingen inte nödvändigtvis en komplex förklaring av de algoritmer som används eller att lämna ut den fullständiga algoritmen. Den information som tillhandahålls bör emellertid vara tillräckligt heltäckande för att den registrerade ska förstå skälen till beslutet.
Därför föreslår dataskyddsarbetsgruppen i sina riktlinjer (WP 251/17, s. 32—33) att den personuppgiftsansvarige i stället för en komplex matematisk förklaring av hur algoritmer eller maskininlärning fungerar bör försöka att på ett klart och tydligt sätt ge den registrerade information om t.ex. de kategorier av uppgifter som har använts eller kommer att användas i profilerings- eller beslutsprocessen, varför dessa kategorier anses relevanta, hur en profil som använts i det automatiserade beslutsfattandet är uppbyggd, inbegripet eventuell statistik som använts i analysen, varför denna profil är relevant för det automatiserade beslutsfattandet, och hur den används för att fatta ett beslut om den registrerade. Sådan information är enligt arbetsgruppen i regel mer relevant för den registrerade och bidrar till insyn i processen. Personuppgiftsansvariga skulle dessutom förslagsvis kunna överväga att använda sig av visualisering och interaktiv teknik för att göra algoritmerna lättare att förstå.
Enligt skäl 58 i ingressen till dataskyddsförordningen kräver öppenhetsprincipen att all information som riktar sig till allmänheten eller till registrerade är kortfattad, lättåtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk samt att man vid behov använder visualisering. Denna information kan ges elektroniskt, exempelvis på en webbplats, när den riktas till allmänheten. Detta är särskilt relevant i situationer där mängden olika aktörer och den tekniska komplexiteten gör det svårt för den registrerade att veta och förstå om personuppgifter som rör honom eller henne samlas in, vem som gör det och för vilket syfte.
Bestämmelser om Migrationsverkets behörighet att fatta förvaltningsbeslut som påverkar parters rättsliga ställning finns i utlänningslagen, medborgarskapslagen, lagen om säsongsanställning, ICT-lagen och forskar- och studerandelagen. Automatiserade beslut som verket fattar ska bygga på tekniska regler för processning av data i ärendehanteringssystemet för utlänningsärenden. I dessa regler ska normerna i den lagstiftning som ger Migrationsverket behörighet omvandlas till numerala operationer som kan behandlas maskinellt. Dessa operationer ligger till grund för processningen av data med hjälp av logiska kriterier. I de tekniska reglerna har öppenheten beaktats. Gränssnittet i ärendehanteringssystemet för utlänningsärenden presenterar reglerna och de tillhörande uppgifterna på ett för användaren begripligt sätt. Automatiserat beslutsfattande innebär i Migrationsverkets fall att en s.k. beslutsmaskin måste skapas. När villkor enligt algoritmen är uppfyllda kommer ett ärende då att styras i riktning mot ett automatiserat beslut inom beslutssystemet, medan ärendet går till en fysisk person för handläggning om villkoren inte är uppfyllda. Det är således inte fråga om artificiell intelligens som utifrån en stor mängd inmatad data lär sig att utarbeta beslut eller använder självständig prövningsrätt.
Det är anställda vid Migrationsverket som ska ta fram reglerna för automatiserad behandling, och de algoritmer som bygger på reglerna ska godkännas av Migrationsverket genom ett särskilt förvaltningsbeslut. Migrationsverket ska införa de lämpliga skyddsåtgärder som dataskyddsarbetsgruppen (WP 251/17, s. 33—34) rekommenderar, såsom att genomföra regelbundna kvalitetssäkringskontroller av deras system för att säkerställa att enskilda personer behandlas rättvist och inte diskrimineras, oavsett om detta sker på grund av särskilda kategorier av uppgifter eller av andra orsaker. Verket bör granska och testa algoritmerna för att bevisa de verkligen fungerar på avsett sätt, och inte ger diskriminerande, felaktiga eller omotiverade resultat. Vid en oberoende ”tredjepartsgranskning” ska verket ge granskaren all nödvändig information om hur algoritmen fungerar. Migrationsverket kan inhämta avtalsmässiga försäkringar för tredjepartsalgoritmer som har granskats och testats och där algoritmen har befunnits uppfylla avtalade standarder. Vidare kan särskilda åtgärder för uppgiftsminimering vidtas för att införliva tydliga lagringsperioder för profiler och för personuppgifter som används för att skapa eller tillämpa profilerna.
Algoritmens offentlighet
Grundlagsutskottet har vid bedömningen av det s.k. försöket med basinkomst förutsatt att särskilda bestämmelser utfärdas om offentliggörandet och offentligheten av programkoden som ansluter sig till urvalsförfarandet (GrUU 51/2016 rd, s. 5). Vid bedömningen av lagförslaget om användning av flygpassageraruppgifter ansåg utskottet att det av skäl som föranleds av 12 § 2 mom. och 21 § i grundlagen noga ska granskas hur de föreslagna kriterierna och algoritmerna i de automatiserade metoder som eventuellt tillämpar dem förhåller sig till lagen om offentlighet i myndigheternas verksamhet och vid behov precisera regleringen (GrUU 29/2018 rd, s. 5). Vid bedömningen av förslaget till migrationsförvaltningens personuppgiftslag, konstaterade grundlagsutskottet att de ovannämnda faktorerna även ska uppmärksammas i migrationsförvaltningens personuppgiftslag (GrUU 62/2018 rd, s. 8).
I 12 § 2 mom. i grundlagen föreskrivs om offentlighetsprincipen enligt vilken handlingar som innehas av myndigheterna är offentliga. Handlingarnas offentlighet är även en förutsättning för offentligheten av handläggningen och god förvaltning, som tryggas i grundlagens 21 § 2 mom. Offentlighetslagen innehåller inte särskilda bestämmelser om beslutsalgoritmens offentlighet, men begreppet myndighetshandling enligt lagens 5 § är brett, och i rättspraxis har till exempel logguppgifter om myndighetshandlingar ansetts vara myndighetshandlingar (Kuopion HAO 11.11.2011 11/0424/2, HFD:2014:69 och HFD 27.5.2015/1419). Därmed är utgångspunkten att också algoritmen för automatiserat beslutsfattande ska betraktas som offentlig, ifall inte någon av grunderna för sekretess i 24 § 1 mom. i offentlighetslagen tillämpas på dess sekretess.
Den lagstiftning som skapar behörighet för migrationsförvaltningen utgör ramarna för algoritmen i Migrationsförvaltningens automatiserade beslutsfattande. Algoritmen ska innehålla den logik med vilken till exempel förutsättningarna för beviljandet av ett uppehållstillstånd med sina gränsvärden har utretts och med vilken tillståndets typ, art, begynnelsedatum och slutdatum har bedömts. En algoritm som leder till ett slutligt beslut är i princip offentlig enligt offentlighetsprincipen i 12 § 2 mom. i grundlagen. Den personuppgiftsansvariges skyldighet att offentliggöra de behandlingsalgoritmer som används vid automatiserat beslutsfattande på ett begripligt sätt följer direkt av artiklarna 13.2 f och 14.2 g i dataskyddsförordningen. Med beaktande av förutsättningarna för god förvaltning, offentlighetsprincipen och grundlagsutskottets ovan presenterade utlåtandepraxis ska det dock ännu separat i det föreslagna 2 mom. föreskrivas om genomförandet av algoritmernas offentlighet genom att ålägga Migrationsverket att offentliggöra den algoritm som lett till det slutliga beslutet vid automatiserat beslutsfattande. I bestämmelsen ska inte separat hänvisas till källkoden bakom algoritmen. Den offentliggjorda algoritmen ska vara i sådant format som är begripligt för den registrerade. Enligt dataskyddsarbetsgruppen uppfyller en sådant allmänt hållen skyldighet kraven enligt artikel 15.1 h i dataskyddsförordningen (WP 251/2017, s. 28). Skyldigheten kan fullgöras exempelvis genom att den algoritm som lett till det slutliga beslutet offentliggörs på Migrationsverkets webbplats. De delar av algoritmen som ska styra ett ärende från automatiskt beslutsfattande till behandling av en fysisk person ska inte vara offentliga. Detta är också nödvändigt för att Migrationsverkets arbetsmöjligheter inte ska äventyras, vilket kunde bli fallet om man offentliggjorde enskilda algoritmer som hänför sig till allmänna förutsättningar såsom oförvitlighet, allmän ordning och säkerhet eller till försök att kringgå inresebestämmelser. Inte heller bestämmelserna i dataskyddsförordningen ålägger att offentliggöra alla algoritmer som används vid behandlingen.
Dessutom utgör den rätt som den registrerade har enligt andra meningen i 2 mom. att få en separat redogörelse för algoritmen för ett individuellt beslut vid automatisk behandling en kompletterande skyddsåtgärd enligt skäl 71 i ingressen till dataskyddsförordningen. Där ska Migrationsverket på ett för den registrerade begripligt sätt presentera hur den algoritm som lett till det slutliga beslutet i den registrerades sak fungerar. Skyldigheten att redogöra för vilken betydelse de algoritmer har som lett till det slutliga beslutet i det enskilda fallet ersätter inte skyldigheten att motivera beslut enligt 45 § i förvaltningslagen, utan det är i enlighet med beskrivning ovan fråga om en sådan skyddsåtgärd enligt riktlinjerna för tolkningen av artikel 22 i dataskyddsförordningen som kompletterar skyddet enligt de allmänna nationella lagarna.
Tjänsteansvar
Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag och lag noggrant iakttas i all offentlig verksamhet. Denna bestämmelse kompletteras av bestämmelserna om tjänsteansvar i 118 § i grundlagen. Enligt 1 mom. i den paragrafen svarar en tjänsteman för att hans eller hennes tjänsteåtgärder är lagliga. Tjänstemannen svarar också för sådana beslut i ett kollegialt organ som tjänstemannen i egenskap av medlem av organet har biträtt. Enligt 2 mom. svarar en föredragande som inte har reserverat sig mot ett beslut för det som har beslutats på föredragningen. Enligt första meningen i 3 mom. har var och en som har lidit rättskränkning eller skada till följd av en lagstridig åtgärd eller försummelse av en tjänsteman eller någon som sköter ett offentligt uppdrag, enligt vad som bestäms genom lag, rätt att yrka att denne döms till straff samt kräva skadestånd av det offentliga samfundet eller av tjänstemannen eller den som sköter det offentliga uppdraget. Det innebär att myndigheten svarar för ett eventuellt felaktigt beslut gentemot parten och i egenskap av personuppgiftsansvarig för eventuell felaktig behandling av personuppgifter i enlighet med straff-, skadestånds- och data-skyddslagstiftningen.
Grundlagsutskottet slår i utlåtande GrUU 62/2018 rd, s. 8 fast att indirekt tjänsteansvar för ett beslut inte uppfyller kraven på tjänsteansvar i 118 § i grundlagen. Vid automatiserat beslutsfattande riktas tjänsteansvaret inte direkt mot ett beslut som fattats genom automatiserat förfarande och därför måste ansvaret bindas till en viss tjänsteställning inom organisationen. Enligt 1 § i statsrådets förordning om Migrationsverket (193/2002) leds, övervakas och utvecklas Migrationsverkets verksamhet av en överdirektör. Överdirektören ansvarar för verksamhetens resultat och för att målen uppnås samt rapporterar om dessa till inrikesministeriet. Det hör till överdirektörens ansvarsområde att se till att Migrationsverket använder klara verksamhetsmodeller för omsorgsfullt ibruktagande samt effektiv uppföljning och övervakning av förfarandet och att dessa verksamhetsmodeller i praktiken iakttas och verkställs. Enligt 2 § i förordningen avgör överdirektören de ärenden som ankommer på Migrationsverket. Överdirektören kan i ett enskilt fall förbehålla sig avgörandet av ett ärende som annars ankommer på någon annan tjänsteman att avgöra.
Det bör emellertid observeras att de ärenden som kan behandlas i automatiserat beslutsfattande föreslås bli begränsade enligt 34 § 2 mom. 5 punkten, varvid merparten av ärendena gäller positiva beslut eller är sådana som förfaller. I sådana fall är det osannolikt att avgörandet skulle äventyra den registrerades rättssäkerhet. Det går ändå inte att utesluta att ett felaktiga förfaranden kan ha begränsade samhälleliga konsekvenser i form av felaktiga beslut om bifall. Det är som tidigare sagt så att automatiserat beslutsfattande kräver vissa skyddsåtgärder. Exempelvis måste Migrationsverket regelbundet se över de tekniska reglerna för behandlingsalgoritmerna inom automatiserat beslutsfattande och även i övrigt följa dataskyddsarbetsgruppens rekommendationer i WP 251/17-riktlinjerna i fråga om lämpliga skyddsåtgärder.
Med beaktande av grundlagsutskottets utlåtande och vikten av att säkerställa en korrekt behandling föreslås det att Migrationsverket överdirektör i enlighet med 3 mom. svarar för förfarandet vid automatiserat beslutsfattande och för automatiserade individuella beslut inom förfarandet.
22 §.Dataskyddsbrott. Enligt förslaget ska paragrafen hänvisa till det straff som föreskrivs i 38 kap. 9 § i strafflagen. Enligt 1 mom. 4 punkten i bestämmelsen om dataskyddsbrott i 8 kap. 9 § i strafflagen är i den närmare specificerad verksamhet i strid med någon annan lag som gäller behandling av personuppgifter straffbar. Också bestämmelsens 2 mom. gäller verksamhet i strid med någon annan lag om behandling av personuppgifter. Bestämmelsen om dataskyddsbrott är en straffbestämmelse in blanco. Av orsaker som hänför sig till legalitetsprincipen bör man förhålla sig avvaktande till sådana (t.ex. GrUU 10/2016 rd, s. 8, GrUU 31/2002 rd, s. 3, GrUU 15/1996 rd, s. 2/II, och GrUU 20/1997 rd, s. 3/II). Grundlagsutskottet underströk i samband med reformen av de grundläggande fri- och rättigheterna att målet bör vara att de kedjor av bemyndiganden som bestämmelserna in blanco kräver är exakt angivna och att de materiella bestämmelser som utgör ett villkor för straffbarhet avfattas med den exakthet som krävs av straffbestämmelser och att det av det normkomplex som bestämmelserna ingår i framgår att brott mot dem är straffbart. Också i den bestämmelse som inbegriper själva kriminaliseringen bör det finnas en saklig beskrivning av den gärning som avses bli kriminaliserad (GrUB 25/1994 rd). I nyare praxis har utskottet ansett att en precisering i bestämmelserna in blanco är ett villkor för att lagförslaget ska kunna behandlas i vanlig lagstiftningsordning (GrUU 10/2016 rd, s. 8—9). Också när bestämmelsen räknar upp de gärningsformer som kan vara straffbara har utskottet i sin praxis ansett att det behövs preciseringar genom mer exakta hänvisningar och rekvisitelement (GrUU 14/2018 rd, s. 21). Lagen om behandling av personuppgifter i migrationsförvaltningen är en sådan annan lag som gäller behandling av personuppgifter som avses i 38 kap. 9 § 1 mom. 4 punkten i strafflagen (GrUU 62/2018 rd). Därför måste det finnas en hänvisning till strafflagens bestämmelse om dataskyddsbrott.
Enligt 38 kap. 9 § i strafflagen kan den personuppgiftsansvarige eller personuppgiftsbiträdet inte göra sig skyldiga till dataskyddsbrott. Den personuppgiftsansvarige och personuppgiftsbiträdet är i stället för straffrättsligt ansvar föremål för en administrativ påföljdsavgift. Enligt 24 § 4 mom. i dataskyddslagen får påföljdsavgiften inte påföras till exempel statliga myndigheter, statliga affärsverk, kommunala myndigheter eller självständiga offentligrättsliga institutioner. I 40 kap. 5 § i strafflagen föreskrivs separat om brott mot tjänstehemlighet.
23 §.Ikraftträdande. Paragrafen innehåller bestämmelser om lagens ikraftträdande. Lagen avses träda i kraft så snart som möjligt. Genom den nya lagen upphävs lagen av den 1 januari 1998 om utlänningsregistret (1270/1997).
24 §.Övergångsbestämmelse. Paragrafen avses innehålla en övergångsbestämmelse till den föreslagna 16 §. Avsikten är att se till att de tekniska bestämmelserna för radering hinner införas i fråga om ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar. Enligt övergångsbestämmelsen ska informationssystemen anpassas så att de stämmer överens med 16 § inom ett år från lagens ikraftträdande. Under övergångstiden tillämpas de bestämmelser om radering av personuppgifter som gällde vid ikraftträdandet av den föreslagna lagen. Sådana är bestämmelserna i 9 § i utlänningsregisterlagen, 54 § 1 mom. i mottagandelagen, 32 h § 1 mom. i förvarslagen och 62 § 1 mom. i integrationslagen.