Hoppa till huvudnavigeringen

Direkt till innehållet

RP 19/2018 rd

Senast publicerat 15-03-2018 14:16

Regeringens proposition RP 19/2018 rd Regeringens proposition till riksdagen med förslag till lag om ändring av lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

I denna proposition föreslås det att lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster ändras. Syftet med propositionen är att göra de ändringar som föranleds av Europaparlamentets och rådets förordning om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Ändringar görs särskilt i de bestämmelser i gällande lag som hänvisar till den personuppgiftslag som ska upphävas. Dessutom förtydligas fördelningen mellan Befolkningsregistercentralen och magistraten av de skyldigheter som hör till den personuppgiftsansvarige. Det tas också in bestämmelser om ett undantag när det gäller den registrerades rätt att begränsa behandlingen av sina personuppgifter. I den svenska lagtexten byts termen registeransvarig genomgående ut mot den i dataskyddsförordningen använda termen personuppgiftsansvarig

Genom propositionen ändras också vissa bestämmelser som gäller registrering och utlämnande av befolkningsdata. De största ändringarna gäller registreringen av utlänningar i befolkningsdatasystemet samt den elektroniska kommunikationskoden. Det föreslås att Migrationsverket ska få registrera uppgifter om utländska medborgare utan särskild begäran av den berörda personen, när personen beviljas i utlänningslagen avsett uppehållstillstånd eller uppehållskort eller när hans eller hennes uppehållsrätt registreras. Dessutom förtydligas förutsättningarna för ändring av elektroniska kommunikationskoder. 

Lagen avses träda i kraft den 25 maj 2018. 

ALLMÄN MOTIVERING

1. Nuläget

1.1  1.1 Lagstiftning och praxis

Befolkningsdatasystemet är ett centralt system för det finländska samhället med syftet att möjliggöra, fullgöra och trygga samhällets funktioner och informationsförsörjning samt de rättigheter och skyldigheter som hör till dess medborgare. Lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009), nedan befolkningsdatalagen, trädde i kraft den 1 mars 2010. Lagen innehåller bestämmelser bl.a. om Befolkningsregistercentralens och magistraternas uppgifter som personuppgiftsansvariga inom befolkningsdatasystemet, om datainnehållet i befolkningsdatasystemet och uppdateringen av uppgifterna i detta, om behörigheten för uppdateringen av uppgifter samt om utlämnandet av uppgifter. Befolkningsdatalagen innehåller bestämmelser om personbeteckningen och om tilldelande och ändring av personbeteckningar. I lagen föreskrivs det också om Befolkningsregistercentralens certifierade elektroniska kommunikation, närmare om de certifikat som Befolkningsregistercentralen producerar, om de tjänster som gäller certifierad elektronisk kommunikation, om beviljande av medborgarcertifikat samt om den elektroniska kommunikationskoden. När lagen trädde i kraft ersatte den speciallagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster.  

Befolkningsdatalagen har ändrats flera gånger. Genom ändringarna har man bland annat förtydligat förfarandet för registrering av uppgifter i befolkningsdatasystemet, ändrat bestämmelserna om behörighet och erhållande av uppgifter samt spärrmarkeringens omfattning, specificerat datainnehållet i befolkningsdatasystemet och bedömningen av tillförlitligheten hos sådana uppgifter som baserar sig på utländska händelser samt gett Migrationsverket rätt att på den berörda personens begäran registrera basuppgifter om en utländsk medborgare i befolkningsdatasystemet. Dessutom föreskrivs det tydligare om rättelse av fel och om begäran om omprövning samt om ändringssökande på basis av ett beslut av en registerförvaltningsmyndighet. Närmare bestämmelser om datainnehållet i befolkningsdatasystemet och om utlämnande och behandling av uppgifter finns i statsrådets förordning om befolkningsdatasystemet (128/2010), nedan förordningen om befolkningsdatasystemet.  

Den allmänna lagstiftning som ska tillämpas vid behandling av uppgifter i befolkningsdatasystemet och vid certifierad elektronisk kommunikation innefattar särskilt personuppgiftslagen (523/1999), lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003), nedan kommunikationslagen, lagen om stark autentisering och betrodda elektroniska tjänster (617/2009), nedan autentiseringslagen, förvaltningslagen (434/2003), förvaltningsprocesslagen (586/1996) och lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen. Av dessa nämns offentlighetslagen, personuppgiftslagen, kommunikationslagen och autentiseringslagen i lagens 2 §.  

1.2  1.2 Nuläge

1.2.1  Direkta konsekvenser av dataskyddsförordningen

Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, nedan dataskyddsförordningen, trädde i kraft den 24 maj 2016. Dataskyddsförordningen blir direkt tillämplig i medlemsstaterna den 25 maj 2018. Genom den upphävs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, som har genomförts i Finland genom personuppgiftslagen.  

Justitieministeriet tillsatte i februari 2016 en arbetsgrupp för beredningen av ett lagförslag om användningen av dataskyddsförordningens handlingsutrymme och om en eventuell nationell allmän personuppgiftslag (nedan TATTI-arbetsgruppen). I sitt betänkande föreslog arbetsgruppen att personuppgiftslagen ska upphävas och att det ska föreskrivas en ny allmän lag om skyddet av personuppgifter (nedan dataskyddslagen). Den nya dataskyddslagen ska precisera och komplettera dataskyddsförordningen inom ramarna för det nationella handlingsutrymmet.  

Dataskyddsförordningen och dataskyddslagen lämpar sig väl även för behandlingen av uppgifterna i befolkningsdatasystemet och på den certifikatverksamhet i Befolkningsregistercentralen som beskrivs i befolkningsdatalagen. Den förändrade författningsmiljön, inklusive upphävandet av personuppgiftslagen, förutsätter en revidering även av befolkningsdatalagen.  

Personuppgiftslagen innehåller bestämmelser om de allmänna principerna för behandling av personuppgifter och om de allmänna och särskilda förutsättningarna för behandling. Den gällande befolkningsdatalagen har utformats så att den ska motsvara förutsättningarna och strukturen i personuppgiftslagen. Lagen innehåller ett flertal hänvisningar till personuppgiftslagen, vilka bör strykas eller ersättas med hänvisningar till dataskyddsförordningen eller dataskyddslagen.  

Personuppgiftslagen innehåller också bestämmelser som fungerar som en grund för de paragrafer i befolkningsdatalagen som gäller utlämnande av uppgifter. Till den del det föreskrivs särskilt i personuppgiftslagen om den rättsliga grunden för behandlingen, ska man även bedöma hur upphävandet av den särskilda rättsliga grunden inverkar på de paragrafer som gäller utlämnande av uppgifter. Till exempel i 14—16 § i personuppgiftslagen föreskrivs det om att man under vissa förutsättningar får behandla personuppgifter för historisk eller vetenskaplig forskning, statistiska syften och myndigheters planerings- och utredningsuppgifter. I 17 och 18 § i personuppgiftslagen föreskrivs det om behandling av personuppgifter för personmatriklar eller släktforskning. I 30 och 33 § i befolkningsdatalagen hänvisas det å andra sidan till personuppgiftslagen, och enligt dem får uppgifter som behövs för dessa ändamål lämnas ut. Dessa paragrafer måste ändras så att de motsvarar bestämmelserna i dataskyddsförordningen och dataskyddslagen.  

Enligt artikel 87 i dataskyddsförordningen kan medlemsstaterna bestämma närmare om de särskilda villkor som ska gälla för behandlingen av de nationella personnumren eller av andra vedertagna sätt för identifiering. TATTI-arbetsgruppen har föreslagit att det även i dataskyddslagen liksom i 13 § i personuppgiftslagen ska föreskrivas om förutsättningarna för behandling av personbeteckningar. En annan arbetsgrupp som justitieministeriet har tillsatt föreslår att det ska föreskrivas om behandling av personuppgifter även i en lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Bestämmelserna i 43 § i befolkningsdatalagen som gäller utlämnandet av personbeteckningar behöver ses över i förhållande till de nya författningarna.  

En person har rätt att förbjuda att hans eller hennes uppgifter i befolkningsdatasystemet lämnas ut för vissa ändamål. Om denna rätt föreskrivs det i 30 § i personuppgiftslagen och i 35 § i befolkningsdatalagen. Denna rätt konkretiseras i och med de förbud mot utlämnande av personuppgifter som registreras i befolkningsdatasystemet, om vilka det föreskrivs i 13 § i befolkningsdatalagen och närmare i 18 § i förordningen om befolkningsdatasystemet. I befolkningsdatasystemet kan man anteckna förbud mot direktmarknadsföring, förbud mot utlämnande av kontaktuppgifter, förbud mot uppdatering av kundregister, förbud mot personmatrikel, förbud mot släktforskning samt spärrmarkeringar. Bestämmelserna om dessa förbud ska ses över till de delar grunderna för dem ingår i personuppgiftslagen. 

1.2.2  Dataskyddsförordningen och gemensamt personuppgiftsansvar

Enligt personuppgiftslagen avses med registeransvarig en eller flera personer, sammanslutningar, inrättningar eller stiftelser för vilkas bruk ett personregister inrättas och vilka har rätt att förfoga över registret eller vilka enligt lag ålagts skyldighet att föra register. Enligt personuppgiftslagen och det gamla dataskyddsdirektivet kan det få finnas flera registeransvariga, men det fastställs inga särskilda förutsättningar för fördelningen av ansvaret mellan dem eller för den gemensamma verksamheten.  

Dataskyddsförordningen förtydligar de gällande bestämmelserna om personuppgiftsansvariga och deras skyldigheter. I artikel 26 i dataskyddsförordningen föreskrivs det om gemensamt personuppgiftsansvar då två eller flera personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen. Gemensamt personuppgiftsansvariga ska under öppna former och genom ett inbördes arrangemang fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt dataskyddsförordningen, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Särskilt vad gäller arrangemangen bör man fastställa ansvaren i fråga om de registrerades utövande av sina rättigheter samt de skyldigheter som gäller utlämnande av de uppgifter som avses i artiklarna 13 och 14 i dataskyddsförordningen.  

Enligt artikel 26.2 i dataskyddsförordningen ska det inbördes arrangemanget på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot de registrerade. De centrala delarna av arrangemanget ska finnas tillgängliga för de registrerade. I artikel 26.3 föreskrivs det att den registrerade, oavsett formerna för de gemensamt personuppgiftsansvarigas inbördes arrangemang, får utöva sina rättigheter enligt dataskyddsförordningen med avseende på och emot var och en av de personuppgiftsansvariga. De gemensamt personuppgiftsansvariga kan således genom sina inbördes arrangemang inte effektivt styra den registrerade endast till en viss personuppgiftsansvarig.  

I skäl 79 i dataskyddsförordningen specificeras dessutom att skyddet av de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och personuppgiftsbiträdenas ansvar, till exempel i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt förordningen, även när det är fråga om gemensamt personuppgiftsansvariga.  

Enligt 4 § i befolkningsdatalagen bär magistraterna och Befolkningsregistercentralen det huvudsakliga ansvaret för befolkningsdatasystemet. Ansvaret för registerföringen fördelas mellan dessa aktörer i enlighet med det som föreskrivs i befolkningsdatalagen eller någon annan lag eller med stöd av lag. Befolkningsregistercentralen ansvarar för den allmänna funktionsdugligheten, datatekniken, dataadministrationen och registerfunktionernas enhetlighet i fråga om det riksomfattande befolkningsdatasystem som drivs med hjälp av automatisk databehandling. I befolkningsdatalagen och förordningen om befolkningsdatasystemet föreskrivs det om uppgifterna med registerföringen i praktiken och till vem de olika uppgifterna hör. I lagens 21 § föreskrivs det om fördelningen av de uppgifter som gäller registerföringen och i 47 § om fördelningen av de uppgifter som gäller utlämnandet av uppgifter. När det inte föreskrivs om uppgifterna särskilt och det är fråga om ett register som drivs med hjälp av automatisk databehandling, är det Befolkningsregistercentralen som bär ansvaret.  

I befolkningsdatalagen föreskrivs inte om de skyldigheter som hör till den personuppgiftsansvarige, t.ex. om tillgodoseendet av den rätt att få information som avses i 24 § i personuppgiftslagen. I praktiken har myndigheterna dock följt den lagstadgade uppgiftsfördelningen och i sin verksamhet burit ansvar även för tillgodoseendet av den registrerades rättigheter till de delar skyldigheterna och rättigheterna inte har konkretiserats genom en uppgift som har hört till en annan myndighet.  

Befolkningsregistercentralen sörjer för den allmänna efterlevnaden av personuppgiftslagen i fråga om det befolkningsdatasystem som drivs med hjälp av automatisk databehandling, och till exempel för att systemet skyddas på behörigt sätt enligt 32 § i personuppgiftslagen och för att det görs upp en registerbeskrivning över personregistret i enlighet med 10 § i personuppgiftslagen. Magistraterna har å andra sidan burit ansvar för efterlevnaden av personuppgiftslagen genom att ge utdrag ur befolkningsdatasystemet med stöd av 47 § i den lagen. Befolkningsregistercentralen producerar elektroniska tjänster som gör det möjligt för en person att kontrollera vissa registrerade uppgifter om honom eller henne. I sista hand har det dock varit magistraten som har burit ansvaret för att rätten att kontrollera uppgifter verkställs i befolkningsdatasystemet. Ansvarsfördelningen i fråga om registerföringen har varit klar för aktörerna själva, men ur den registrerades perspektiv är den svår att förstå.  

I dataskyddsförordningen preciseras den personuppgiftsansvariges skyldigheter bättre än tidigare. De skyldigheter som preciseras gäller till exempel samarbetet med tillsynsmyndigheten (artikel 31), personuppgiftsincidenter (artikel 33), utövandet av den registrerades rättigheter samt förfaranden gällande detta (artiklarna 12—22) och skyldigheten att visa att skyldigheterna enligt dataskyddsförordningen iakttas (artikel 24.1). Alla dessa skyldigheter kan inte entydigt spåras till den uppgiftsfördelning i befolkningsdatalagen där formuleringarna gäller förfarandena och åtgärderna inom registerföringen. Det bör särskilt noteras att dataskyddsförordningen betonar en tydlig uppgiftsfördelning i förhållande till de registrerades rättigheter; en tydlig och transparent fördelning av ansvarsområdena främjar tillgodoseendet av rättigheterna. På grund av artikel 26 i dataskyddsförordningen krävs det att ansvaren i fråga om de gemensamma personuppgiftsansvaren preciseras ytterligare.  

1.2.3  Dataskyddsförordningen och de registrerades rättigheter

I dataskyddsförordningen preciseras delvis även de registrerades rättigheter samt de förfaranden som tillämpas för att tillgodose dessa. De registrerades rättigheter, till de delar de redan ingår i personuppgiftslagen, tillgodoses även i befolkningsdatasystemet. Till de delar rättigheterna är nya och ska utövas inom befolkningsdatasystemet är man tvungen att göra vissa ändringar i befolkningsdatalagen.  

De rättigheter som anges i artiklarna 13—15 i dataskyddsförordningen kan i samband med den verksamhet som avses i befolkningsdatalagen tillgodoses med stöd av dataskyddsförordningen utan särskild reglering. I de bestämmelser i artiklarna 13 och 14 i dataskyddsförordningen som gäller de uppgifter som ska utlämnas preciseras datainnehållet och förfarandet, men befolkningsdatalagen innehåller inga särskilda bestämmelser om informationsrätten. I artikel 15 i dataskyddsförordningen föreskrivs det on den registrerades rätt att få tillgång till uppgifter. Artikeln är direkt tillämplig vad gäller befolkningsdatasystemet, och i befolkningsdatalagen föreskrivs därmed inte särskilt om förfarandet.  

I artikel 16 i dataskyddsförordningen föreskrivs det om rätten att få uppgifter rättade. Den registrerade har rätt att kräva att den personuppgiftsansvarige utan onödigt dröjsmål rättar ofullständiga och felaktiga personuppgifter som rör honom eller henne. Den registrerade har också rätt att få ofullständiga personuppgifter kompletterade. I artikel 12.4 i dataskyddsförordningen föreskrivs det om förfarandet för utövandet av rättigheterna. Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till en tillsynsmyndighet och begära rättslig prövning. 

På motsvarande sätt föreskrivs det i 76 § i befolkningsdatalagen om rättelse av uppgifter och om avslagsbeslut i fråga om rättelse av uppgifter. Dessa bestämmelser överlappar delvis bestämmelserna i dataskyddsförordningen. Eftersom dataskyddsförordningen är direkt tillämplig lagstiftning i medlemsstaterna, finns det inget behov att föreskriva särskilt om rättelse av uppgifter och förfarandena gällande detta. Även en bestämmelse om raderande av uppgifter är onödig, eftersom det föreskrivs om rätten att få uppgifter raderade i artikel 17 i dataskyddsförordningen. I princip ska denna rätt med stöd av artikel 17.3 b) inte tillämpas på sådana uppgifter i befolkningsdatasystemet som förvaras permanent med stöd av befolkningsdatalagen. Å andra sidan är den rätt som avses i dataskyddsförordningen direkt tillämplig i fråga om de uppgifter som ska avföras med stöd av 20 § i befolkningsdatalagen. Man behöver därmed inte föreskriva särskilt om denna rätt.  

I 76 § i befolkningsdatalagen föreskrivs det även om det administrativa förfarandet vid rättelse av uppgifter. Om den personuppgiftsansvarige på eget initiativ rättar en uppgift i registret, ska den personuppgiftsansvarige innan uppgiften rättas vid behov ge den vars rättigheter, intressen eller skyldigheter anteckningen gäller tillfälle att inom utsatt tid lämna en redogörelse. Den personuppgiftsansvarige kan dock rätta ett uppenbart fel i registret utan att ge sådant tillfälle att lämna redogörelse. Om rättelsen av en uppgift gäller en sådan registeranteckning om en utländsk medborgare som avses i 10 §, ska magistraten innan ärendet avgörs begära ett utlåtande om ärendet av Migrationsverket. Detta är behövlig reglering som hänför sig till det nationella förvaltningsförfarandet och till myndigheternas bemyndiganden. Bestämmelserna behövs således fortfarande och står inte i strid med dataskyddsförordningen.  

I artikel 18 i dataskyddsförordningen föreskrivs det om de registrerades rätt att kräva att den personuppgiftsansvarige begränsar behandlingen av uppgifterna. Det finns fyra skäl för att begränsa behandlingen, men i regel ska endast artikel 18.1 a) tillämpas på befolkningsdatasystem och Befolkningsregistercentralens certifikatverksamhet, och enligt den ska behandlingen begränsas när den registrerade bestrider personuppgifternas korrekthet. Enligt skäl 67 i förordningen kan behandlingen begränsas genom att flytta uppgifterna till ett annat databehandlingssystem, göra de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsna offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Att behandlingen har begränsats bör klart anges i systemet. 

Om rätten till begränsning ska tillämpas på befolkningsdatasystemet och på register för Befolkningsregistercentralens certifikatverksamhet, krävs det betydande systemändringar. I de nuvarande registren finns ingen sådan funktion som gör det möjligt att avbryta behandlingen av uppgifter. Enligt befolkningsdatalagen är det inte heller möjligt att flytta uppgifter från befolkningsdatasystemet. Rätten att begränsa behandlingen kan dessutom medföra en risk för att basregistrens driftsäkerhet minskar. Enligt Befolkningsregistercentralens bedömning kan även tillfälliga frysningar av personuppgifter få skadliga verkningar både för personen själv och för myndighetens verksamhet. År 2016 utlämnade man för myndigheters, företags och sammanslutningars behov sammanlagt nästan 300 miljoner dataenheter ur befolkningsdatasystemet.  

I artikel 23 i dataskyddsförordningen föreskrivs det om det nationella handlingsutrymmet som ger medlemsstaterna möjligheten att avvika från de registrerades rättigheter genom att införa en lagstiftningsåtgärd. Den 22 september 2017 framförde Befolkningsregistercentralen för finansministeriet ett förslag om möjligheten att avvika från rätten att begränsa behandlingen av uppgifter.  

I artikel 21 i dataskyddsförordningen föreskrivs det om att en person har rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne. Med stöd av artikel 21.2 har en person alltid rätt att göra invändningar mot behandling av personuppgifter för direktmarknadsföring. Innehållet i denna rätt beskrivs även i skäl 70 i förordningen. I befolkningsdatasystemet kan man med stöd av personuppgiftslagen anteckna ett s.k. förbud mot direktmarknadsföring, som utgör ett hinder för att lämna ut uppgifter för direktmarknadsföring. I fortsättningen ska rätten att förbjuda behandling av personuppgifter för direktmarknadsföring härledas direkt ur artikel 21.2 i dataskyddsförordningen. Det behöver inte föreskrivas särskilt i lag om detta, utan en person kan vad gäller utlämnandet av uppgifter ur befolkningsdatasystemet göra sin rätt att göra invändningar gällande genom att anmäla förbudet om direktmarknadsföring direkt i befolkningsdatasystemet. Eftersom förbudet mot direktmarknadsföring ingår i befolkningsdatasystemets datainnehåll, behöver det dock i befolkningsdatalagen finnas en hänvisning till artikel 21 i dataskyddsförordningen.  

I fråga om befolkningsdatasystemets förbud mot utlämnande av uppgifter bör det dock noteras att förbuden de facto även gäller sådana ändamål som inte omfattas av artikel 21.2 i dataskyddsförordningen. Förbuden ska tillämpas på allt sådant utlämnande av uppgifter som sker med stöd av 32 § och 34 § 1 mom. i lagen. I en del fall kan det vara fråga om det direktmarknadsföringsändamål som avses i artikel 21.2 i dataskyddsförordningen, och i en del fall kan man anse att den registrerade använder den rätt som avses i artikel 21.1 i dataskyddsförordningen. Utöver dessa finns det dock också situationer där personens rätt att med stöd av dataskyddsförordningen förbjuda behandling av uppgifterna är villkorlig. 

När det gäller detta bör man bedöma huruvida det är möjligt att på basis av dataskyddsförordningen använda de förbud som antecknas i befolkningsdatasystemet. Att förbudet har antecknats i befolkningsdatasystemet betyder i princip inte att det är olagligt att behandla uppgiften om personen i fråga för ett ändamål som omfattas av förbudet. Det betyder endast att befolkningsdatasystemet inte får utnyttjas som källa. Inte heller till de delar förbudet överskrider den rätt att göra invändningar som avses i artikel 21 i dataskyddsförordningen kan det anses att förbudet strider mot dataskyddsförordningen. Till vilka instanser och för vilka ändamål uppgifterna får lämnas ut beror enligt artikel 6.3 i dataskyddsförordningen på det nationella handlingsutrymmet när det finns en lagbaserad rättslig grund för behandlingen. För att ett centraliserat befolkningsdatasystem ska kunna accepteras av medborgarna förutsätts det att utlämnandet av uppgifter kan begränsas när det inte finns ett betydande samhälleligt eller personligt intresse som grund. 

I artikel 20 i dataskyddsförordningen föreskrivs det om den registrerades rätt att flytta uppgifterna från ett system till ett annat. Artikeln tillämpas inte på sådan lagstadgad behandling som baserar sig på artikel 6.1 c) i dataskyddsförordningen. Således tillämpas rätten inte heller på befolkningsdatasystemets uppgifter. Att en person har möjlighet att hantera sina egna uppgifter är på en allmän nivå ett viktigt syfte. Detta främjar både den registrerades rättigheter och digitaliseringen. I samband med beredningen av propositionen ansåg man dock inte att det finns skäl att utvidga den personuppgiftsansvariges skyldigheter i fråga om befolkningsdatasystemet jämfört med det som föreskrivs i dataskyddsförordningen. 

De registrerades rättigheter och tillämpningen av dem vid behandlingen av uppgifterna i befolkningsdatasystemet bygger i övrigt direkt på dataskyddsförordningen, och därför behövs det inga ändringar i fråga om tillgodoseendet av rättigheterna eller prioriteringen av förordningen.  

Bestämmelserna om behandlingen av uppgifter vad gäller Befolkningsregistercentralens certifikatutfärdare finns i autentiseringslagen. Bestämmelserna gäller Befolkningsregistercentralen när den i egenskap av certifikatutfärdare tillhandahåller autentiseringstjänster och betrodda elektroniska tjänster. Det finns ingen separat reglering om den registrerades rättigheter, utan rättigheterna ska i fortsättningen härledas direkt ur dataskyddsförordningen. 

1.2.4  Dataskyddsförordningen och grunderna för behandlingen av personuppgifter

Registerförvaltningsmyndigheternas behandling av uppgifter i befolkningsdatasystemet bygger på lag; behandlingen föreskrivs i befolkningsdatalagen. I lagens 13 § föreskrivs det i detalj om personuppgifterna i befolkningsdatasystemet. I lagens 17 § föreskrivs det om de övriga uppgifter som ska registreras i systemet och som kan innehålla personuppgifter. Behandlingens rättsliga grund finns dock i 8 § 1 mom. 4 punkten i personuppgiftslagen. I 5 § 2 mom. i befolkningsdatalagen föreskrivs särskilt att Befolkningsregistercentralen och magistraterna får använda uppgifterna i befolkningsdatasystemet för att fullgöra sina uppgifter enligt befolkningsdatalagen eller någon annan lag.  

I fortsättningen ska de rättsliga grunderna för behandling av uppgifter härledas ur dataskyddsförordningen. Den rättsliga grunden för befolkningsdatasystemet ska vara artikel 6.1 c) i dataskyddsförordningen till de delar det i befolkningsdatalagen föreskrivs direkt om behandlingen eller det i befolkningsdatalagen finns en bestämmelse om en sådan uppgift vid en registerförvaltningsmyndighet som inbegriper behandling av personuppgifter. Verksamheten vid registerförvaltningsmyndigheterna är dock i praktiken mer mångsidig än vad ordalydelserna i befolkningsdatalagen låter förstå. Till exempel den behandling av personuppgifter som sker i samband med informationstjänster kan inte alltid härledas direkt ur paragrafen om utlämnande av uppgifter eller lagbestämmelserna om den konkreta uppgiften. Detsamma gäller t.ex. när Befolkningsregistercentralen i stället för att lämna ut personuppgifter till kunderna producerar personuppgifter för kundens informationsbehov genom att tillhandahålla statistiska sammandrag.  

De bestämmelser i befolkningsdatalagen som gäller de informationstjänster som myndigheterna producerar behöver preciseras så att grunderna för behandlingen av personuppgifter blir så tydliga som möjligt. I befolkningsdatalagen föreskrivs det om förutsättningarna för utlämnandet av uppgifter, om fördelningen av behörigheten mellan magistraterna och Befolkningsregistercentralen samt om de metoder med vilka uppgifter får lämnas ut. Lagen innehåller dock ingen bestämmelse som gäller produktionen av informationstjänster i allmänhet.  

Dataskyddsförordningen identifierar det samhälleliga behovet av informationstjänstverksamheten. Behovet av de informationstjänster som myndigheterna och den offentliga förvaltningen producerar identifieras i skäl 158 i förordningen. I skälen tar man i huvudsak upp behandling för arkivändamål, men man konstaterar att en aktör inom den offentliga förvaltningen i enlighet med medlemsstatens lagstiftning kan tillhandahålla sådana lagstadgade tjänster som omfattas av en skyldighet att förvärva, bevara och ge tillgång till uppgifter av bestående värde för allmänintresset. Om sådan behandling inom informationstjänstverksamheten får det föreskrivas nationellt, varvid den rättsliga grunden för behandlingen är artikel 6.1 c) i dataskyddsförordningen. 

Det bör också noteras att dataskyddsförordningen innehåller exaktare förutsättningar för behandling av särskilda personuppgifter och av personuppgifter i samband med brottsdomar och förseelser. Enligt artikel 9.1 i dataskyddsförordningen ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden. Artikel 9.2 innehåller dock ett undantag från denna huvudregel: enligt g) i artikeln är behandling tillåten om den är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. 

Till de delar befolkningsdatasystemet innehåller särskilda personuppgifter är även behandlingen av dem lagstadgad. I 13 § i befolkningsdatalagen föreskrivs det i detalj om befolkningsdatasystemets datainnehåll. Uppdaterandet och utlämnandet av uppgifterna i befolkningsdatasystemet i enlighet med befolkningsdatalagen är en lagstadgad uppgift för registerförvaltningsmyndigheterna. I dataskyddslagen har man föreslagit en bestämmelse enligt vilken artikel 9.1 i dataskyddsförordningen inte ska tillämpas på sådan behandling av uppgifter som är lagstadgad eller som kan härledas direkt ur en uppgift som den personuppgiftsansvarige påförs i lag. Om en sådan bestämmelse tas in i lagen, möjliggör den även behandling av de särskilda personuppgifter som finns i befolkningsdatasystemet. Om en sådan bestämmelse inte tas in i dataskyddslagen, kan dock artikel 9.1 g) i dataskyddsförordningen anses möjliggöra behandling av de särskilda uppgifterna i befolkningsdatasystemet. Syftet med befolkningsdatalagen är att möjliggöra användning av uppgifterna i befolkningsdatasystemet som stöd för samhällets funktioner och informationsförsörjning. Befolkningsdatasystemet är ett centralt system för informationsförsörjningen och för myndigheternas verksamhet i det finländska samhället. Behandlingen av uppgifterna är således viktig på grund av ett allmänt intresse. I befolkningsdatalagen föreskrivs i detalj även om säkerställandet av riktigheten hos uppgifterna samt om administrering och utlämnande av uppgifter. Lagen kan anses innehålla åtgärder för ett ändamålsenligt skydd för den registrerades grundläggande fri- och rättigheter samt intressen. Utlämnandet av vissa uppgifter som kan anses vara känsliga begränsas i lagen särskilt. Till exempel uppgifter om fastställandet av könstillhörigheten och uppgifter om medlemskap i religiösa gemenskaper kan anses vara sådana särskilda kategorier av personuppgifter som avses i dataskyddsförordningen. Bestämmelser om begränsning av utlämnandet av dessa uppgifter finns i 40 och 42 § i lagen. 

Lagen innehåller bestämmelser som begränsar utlämnandet av vissa uppgifter i befolkningsdatasystemet. Sådana uppgiftsspecifika begränsningar finns i lagens 37—42 §. Delvis omfattar bestämmelserna sådana uppgifter som kan anses tillhöra de kategorier av särskilda uppgifter som avses i artikel 9 i dataskyddsförordningen. Dessa är till exempel ovannämnda uppgifter om fastställande av könstillhörighet och om medlemskap i religiösa gemenskaper. Till de delar uppgifterna är särskilda personuppgifter enligt dataskyddsförordningen omfattas de av de bestämmelser i dataskyddsförordningen och dataskyddslagen som gäller särskilda personuppgifter. Enligt 28 § i lagen får uppgifterna inte lämnas ut, om utlämnandet av grundad anledning kan misstänkas kränka skyddet för en persons privatliv eller skyddet för hans eller hennes personuppgifter. Särskilt då uppgifter som är särskilda personuppgifter lämnas ut finns det risk för att skyddet av personuppgifter äventyras, om mottagaren inte har en sådan särskild grund enligt dataskyddsförordningen eller dataskyddslagen för att behandla dessa uppgifter. Om denna särskilda grund enligt dataskyddsförordningen och dataskyddslagen saknas, kan detta således utgöra ett hinder för att lämna ut en uppgift med stöd av 28 §, trots att uppgiften i övrigt skulle kunna lämnas ut med stöd av de särskilda bestämmelserna i 37—42 §. På grund av uppgifternas känsliga natur bör saken dock framgå tydligt av lagen. 

Trots att mottagaren med stöd av dataskyddsförordningen eller dataskyddslagen har en grund för att behandla särskilda personuppgifter, är det i vissa situationer således möjligt att bestämmelserna i 37—42 § i befolkningsdatalagen utgör ett hinder för detta. Syftet med bestämmelserna är att främja skyddet av personuppgifter, men det finns också sådana syften med bestämmelserna som inte gäller skyddet av personuppgifter, som till exempel att säkerställa skyddet av individens personliga säkerhet (37 §), att skydda privatlivet (38—42 §), att sätta barnets bästa främst (38 §) samt att uppfylla syftet med omhändertagande av barn (39 §). Enligt artikel 6.3 i dataskyddsförordningen kan det i den nationella lagstiftningen om den rättsliga grunden för behandlingen av uppgifter enligt artikel 6.1 c) ingå allmänna förutsättningar för de instanser och ändamål för vilka uppgifterna får lämnas ut. Enligt dataskyddsförordningen finns det ett separat handlingsutrymme som gör det möjligt att i den nationella lagstiftningen föreskriva om begränsningar av utlämnandet av uppgifter då det är fråga om lagstadgad behandling av uppgifter. Vad gäller detta strider bestämmelserna inte mot dataskyddsförordningen. 

Om den behandling av personuppgifter som gäller Befolkningsregistercentralens certifikatutfärdare föreskrivs det i autentiseringslagen. Bestämmelserna i den gäller när Befolkningsregistercentralen i egenskap av certifikatutfärdare tillhandahåller autentiseringstjänster och betrodda elektroniska tjänster. Behandlingen av personuppgifter inom certifikatverksamheten är lagstadgad: den bygger på en uppgift som föreskrivs i befolkningsdatalagen och på de närmare bestämmelser om behandlingen av uppgifterna som finns i autentiseringslagen. Den rättsliga grunden för behandlingen av uppgifter är 8 § 1 mom. 4 punkten i personuppgiftslagen samt i framtiden artikel 6.1 c) i dataskyddsförordningen. Befolkningsdatalagen behöver inte ändras vad gäller detta. 

Registerförvaltningsmyndigheterna behandlar utöver uppgifterna i befolkningsdatasystemet även andra sådana personuppgifter som de behöver behandla för att kunna fullgöra sina lagstadgade uppgifter och skyldigheter. Inom befolkningsdatalagens tillämpningsområde gäller detta till exempel namn och kontaktuppgifter i fråga om kunder och kunders representanter som använder registerförvaltningsmyndigheternas informationstjänster och Befolkningsregistercentralens certifikattjänster. Man anser dock att uppgiften i fråga om Befolkningsregistercentralens och magistraternas informationstjänster inte beskrivs tillräckligt tydligt i den gällande lagen. Därför behöver registerförvaltningsmyndigheternas uppgifter preciseras så att det blir klart att artikel 6.1 c) i dataskyddsförordningen även ska tillämpas när personuppgifter som inte ingår i befolkningsdatasystemet behandlas i syfte att tillhandahålla informationstjänster. När det gäller certifikatverksamheten beskrivs uppgiften tydligt i lagen: Befolkningsregistercentralens uppgift som tillhandahållare av tjänster som gäller certifierad elektronisk kommunikation föreskrivs i 61 § i befolkningsdatalagen. Behandling av personuppgifter i samband med Befolkningsregistercentralens certifierade elektroniska kommunikation och tjänster, även när det inte är fråga om uppgifter i befolkningsdatasystemet, är lagstadgad och bygger i fortsättningen på artikel 6.1 c) i dataskyddsförordningen. Denna grund för behandling av uppgifter gäller naturligtvis endast sådana personuppgifter som är nödvändiga för skötseln av dessa lagstadgade uppgifter. 

1.2.5  Utlämnande av uppgifter i befolkningsdatasystemet

Befolkningsregistercentralen och magistraten beslutar om utlämnande av uppgifter i befolkningsdatasystemet med stöd av befolkningsdatalagen. Befolkningsregistercentralen fattar besluten om att uppgifter ska lämnas ut via en teknisk anslutning och om utlämnandet av enskilda uppgifter till utlandet. Magistraten beslutar om utlämnandet av intyg, utdrag eller kopior ur befolkningsdatasystemet samt om sådant utlämnande av uppgifter som inte hör till Befolkningsregistercentralen. Generellt kan man säga att det är magistraten som sköter utlämnandet av uppgifter till privatpersoner eller när det är fråga om begränsade lokala behov samt i de fall det krävs fysisk behandling av handlingar. Befolkningsregistercentralen sköter utlämnandet av massinformation till myndigheter, företag och sammanslutningar samt det utlämnande som sker via tekniska anslutningar för enkäter och via olika gränssnitt.  

Bestämmelser om utlämnande av uppgifter i befolkningsdatasystemet finns i 4 kap. i lagen. I lagens 28 § i föreskrivs det om de allmänna förutsättningarna för utlämnande av uppgifter, som alltid ska uppfyllas när uppgifter lämnas ut. I lagens 29—33 § finns specialbestämmelser om utlämnande av uppgifter för olika ändamål. I 34 § i lagen föreskrivs det om utlämnande av uppgifter i kontakt- och adresstjänster för vanliga privata syften. Lagens 34 § 3 mom. innehåller en allmän bestämmelse om utlämnande enligt vilken uppgifter ur befolkningsdatasystemet i övrigt får lämnas ut endast om sökanden har rätt att behandla dem med stöd av personuppgiftslagen eller någon annan lag. Dessutom innehåller 4 kap. i befolkningsdatalagen särskilda bestämmelser om specialfall vid utlämnande av uppgifter och bestämmelser om begränsningar av utlämnande av uppgifter.  

I högsta förvaltningsdomstolens praxis har man betonat att när Befolkningsregistercentralen överväger att lämna ut uppgifter måste den beakta att den inte får begränsa rätten att få information om det inte finns ett sakligt skäl som kan härledas ur befolkningsdatalagen (HFD:2009:11). Även om bestämmelser inte får vara alltför detaljerade, bör man ur Befolkningsregistercentralens perspektiv säkerställa att den har medel för att ingripa i sådant utlämnande av uppgifter som inte är önskvärt med tanke på det rättsgoda som tryggas genom lag. 

Befolkningsdatalagens bestämmelser om utlämnande av uppgifter måste även bedömas i ljuset av dataskyddsförordningen. Eftersom behandlingen av personuppgifter bygger på artikel 6.1 c) kan det om de instanser till vilka uppgifter får utlämnas och om de ändamål för vilka uppgifter får utlämnas föreskrivas i enlighet med artikel 6.3 i dataskyddsförordningen och inom ramen för det nationella handlingsutrymmet. På en allmän nivå följer bestämmelserna om utlämnandet av uppgifter således dataskyddsförordningen. 

Även den princip om ändamålsbundenhet som är central i dataskyddsförordningen bör bedömas. Denna princip är viktig även i personuppgiftslagen och tas upp i 7 § i den lagen. På grund av detta är principen om ändamålsbundenheten även viktig i befolkningsdatalagen. Principen betonas speciellt i 51 §, enligt vilken uppgifterna får användas endast för de ändamål för vilket de har lämnats ut. Vid den allmänna bedömningen av ändamålsbundenheten och utlämnandet av uppgifterna i befolkningsdatasystemet bör man beakta syftet med befolkningsdatasystemet. Enligt 5 § i lagen är syftet med befolkningsdatasystemet att möjliggöra, fullgöra och trygga samhällets funktioner och informationsförsörjning samt de rättigheter och skyldigheter som hör till dess medborgare. Personuppgifter samlas i befolkningssystemet för att stöda samhällets informationsförsörjning. Hur uppgifter utlämnas och för vilka ändamål uppgifter utlämnas, föreskrivs närmare i kapitel 4 i befolkningsdatalagen. På basis av det ovannämnda kan det konstateras att kravet om ändamålsbundenheten uppfylls vid utlämnande av uppgifter ut befolkningsdatasystemet, förutsatt att bestämmelserna i befolkningsdatalagen iakttas vid utlämnandet. 

I lagens 28 § föreskrivs det att uppgifterna i befolkningsdatasystemet inte får lämnas ut, om utlämnandet av grundad anledning kan misstänkas kränka skyddet för en persons privatliv eller skyddet för hans eller hennes personuppgifter, kränka hans eller hennes intressen eller rättigheter eller äventyra statens säkerhet. I den praktiska verksamheten har det funnits ett behov av att kunna neka utlämnande av uppgifter även när utlämnandet av uppgiften ur befolkningsdatasystemet inte äventyrar det rättsgoda men den sökandes verksamhet har sådana brister som med fog kan anses äventyra till exempel skyddet av personuppgifterna.  

Dessutom har förhållandet mellan lagens 34 § 3 mom. och de allmänna förutsättningarna i 28 § ansetts kunna tolkas alltför brett vid den praktiska tillämpningen. På basis av befolkningsdatalagen är det klart att de allmänna förutsättningarna i 28 § alltid ska uppfyllas. De allmänna förutsättningarnas tillämplighet i de fall som avses i 34 § 3 mom. har fastställts även i högsta förvaltningsdomstolens avgörande 27.3.2015/863. För att undvika missförstånd behövs det trots detta en bestämmelse om att de allmänna förutsättningarna i 28 § ska uppfyllas även då uppgifter lämnas ut med stöd av 34 § 3 mom. 

I 32 § 2 mom. i befolkningsdatalagen föreskrivs det om utlämnande av uppgifter för direktmarknadsföring och för opinions- och marknadsundersökningar. Med stöd av den paragrafen kan endast namn och kontaktuppgifter utlämnas. De personuppgifter som räknas upp i paragrafen kan användas som grund för behandling av uppgifter, men uppgifterna får inte lämnas ut. Detta fastställde man under förarbetet till lagen (RP 89/2009 rd, s. 97). Om bestämmelsen tillämpas på en opinionsundersökning ska man tillämpa samma bestämmelser som tillämpas till exempel på reklampost som skickas i marknadsföringssyfte. Detta har inte ansetts vara ändamålsenligt i praktiken. Vid brist på bakgrundsuppgifter minskar möjligheterna att på ett jämlikt sätt få ett undersökningsurval som består av olika persongrupper, särskilt när det gäller språk- och åldersgrupper. Om man vid en opinionsundersökning behöver undersöka hur en särskild språkgrupp eller någon annan särskild grupp förhåller sig till en samhällelig fråga, innebär det med det nuvarande förfarandet större urval och högre kostnader. Vid inledandet av en undersökning har man att göra med en obegränsad grupp, och under undersökningens gång måste man utreda huruvida personerna hör till målgruppen. Genom att i befolkningsdatalagen föreskriva om utlämnandet av vissa bakgrundsuppgifter kan man underlätta utförandet av sådana opinionsundersökningar som är representativa med tanke på samhället.  

I den praktiska verksamheten har man dessutom sett ett behov av att precisera de undantag som får göras i fråga om förbud att lämna ut uppgifter samt förfarandet för anmälan om förbud. I praktiken har det kommit fram att det vid de undantag som avses i 35 § 1 mom. även borde hänvisas till 34 § 1 mom. i lagen, med stöd av vilket magistraterna får lämna ut uppgifter till exempel för boupptäckningar eller för inledande av skuldfordringsmål. Dessa ändamål har även i förarbetet till lagen (RP 89/2009 rd, s. 99) nämnts som exempel i situationer där uppgifter får lämnas ut i syfte att tillgodose rättigheter eller fullgöra skyldigheter. Paragrafens ordalydelse möjliggör dock inte utlämnandet av uppgifter. Detta har sannolikt inte varit lagstiftarens avsikt.  

I 44 § i befolkningsdatalagen föreskrivs det om redogörelsen för hur de utlämnade uppgifterna kommer att användas och skyddas. I vissa fall är registerförvaltningsmyndigheten skyldig att kräva en redogörelse, men i övrigt ankommer detta på myndigheten. Enligt paragrafen ska redogörelse alltid krävas om utlämnandet gäller personbeteckningar och om det sker med hjälp av en teknisk anslutning eller om det gäller en omfattande mängd data. Registerförvaltningsmyndigheten kan lämna ut en personbeteckning eller en elektronisk kommunikationskod i enlighet med 43 § i lagen endast i de situationer som anges i lagen. Utlämnandet av personbeteckningar är dessutom beroende av personuppgiftslagen eller någon annan behandlingsgrund i lagen, och i regel lämnas beteckningar ut endast till aktörer inom den offentliga sektorn, vars rätt att behandla uppgifterna grundar sig på lag. Med stöd av 31 § i lagen lämnas beteckningarna i regel ut även för finansierings-, försäkrings-, kreditupplysnings- och indrivningsverksamhet. Befolkningsregistercentralen har önskat att förfarandet för redogörelsen av skyddet ska förenklas då när det är fråga om att lämna ut uppgifter till en annan myndighet. I dessa situationer kan man anta att skyddet av uppgifterna fullgörs på behörigt sätt.  

Bestämmelser om förfarandet för utlämnande av uppgifter i befolkningsdatasystemet finns i 50 § i befolkningsdatalagen. Ansökan om utlämnande av uppgifter ska i regel lämnas in skriftligen, och även beslutet med anledning av en ansökan ska ges skriftligen. En del av de tillstånd till uppgifter som beviljas av registerförvaltningsmyndigheterna gäller engångsfall av utlämnande av uppgifter. Befolkningsregistercentralen fattar dock också beslut om kontinuerligt utlämnande av uppgifter, särskilt inom de tjänster som tillhandahålls med hjälp av en teknisk anslutning. En organisation kan exempelvis få tillstånd att utnyttja uppgifterna i befolkningsdatasystemet via en direkt enkät-anslutning. I sådana fall gäller det beviljade tillståndet för viss tid eller tillsvidare.  

I 28 § i befolkningsdatalagen föreskrivs det om de allmänna förutsättningarna för utlämnande av uppgifter. Dessa ska alltid uppfyllas när uppgifter ur befolkningsdatasystemet lämnas ut. I myndighetsverksamheten har det varit klart att man kan upphöra med att lämna ut uppgifter med stöd av 28 §, om utlämnandet inte längre uppfyller dessa förutsättningar. I praktiken kan detta till exempel ske om den som tar emot uppgifterna behandlar dem på ett sätt som strider mot befolkningsdatalagen och dataskyddslagstiftningen. Med tanke på mottagaren av uppgifterna skulle det dock behövas särskilda bestämmelser om hur detta ska lösas. När det bestäms om upphörande med utlämnande av uppgifter genom ett förvaltningsbeslut, garanteras även sökandens rättsskydd.  

1.2.6  Registrering av utlänningar

I 7 § i befolkningsdatalagen föreskrivs det om föremålen för registrering. Utöver uppgifter om finska medborgare registreras i befolkningsdatasystemet även uppgifter om utländska medborgare, förutsatt att lagens förutsättningar för registrering uppfylls. I samband med registreringen tilldelas personen även en personbeteckning.  

I 9 § i befolkningsdatalagen föreskrivs det om förutsättningarna för att uppgifter om utländska medborgare ska kunna registreras i befolkningsdatasystemet. Registrering förutsätter att personen har hemkommun i Finland och bostad där enligt lagen om hemkommun (201/1994), att personen har en sådan tillfällig bostad i Finland som avses i lagen om hemkommun, att registreringen behövs för att personen ska kunna göra sina rättigheter gällande och fullgöra sina skyldigheter när det gäller arbete, studier eller andra motsvarande omständigheter, att fullgörandet av skyldigheter enligt ett internationellt avtal som är bindande för Finland kräver det eller att registreringen behövs för att personen ska kunna göra sina rättigheter gällande och fullgöra sina skyldigheter eller av andra motsvarande särskilda och motiverade skäl. En utländsk medborgare ska alltid lägga fram en motiverad begäran om registrering hos den behöriga myndigheten.  

I ärenden som gäller registrering av utländska medborgare är det i regel alltid magistraten som är behörig. Skatteförvaltningen, finska beskickningar och Migrationsverket är med stöd av 22 § behöriga att ta emot begäranden om registrering av uppgifter. Skatteförvaltningen och Migrationsverket är under vissa förutsättningar behöriga att i befolkningsdatasystemet även registrera begränsade uppgifter om utländska medborgare. En finsk beskickning är inte behörig att registrera uppgifter, utan ska lämna utländska medborgares begäranden och handlingarna om dessa till Migrationsverket. Magistratens uppgift är att alltid registrera samtliga uppgifter även om någon annan myndighet har tillämpat en begränsad första registrering.  

I samband med de förfaranden som har gällt uppehållsrätt har man upptäckt att en person som beviljats uppehållsrätt och som i princip uppfyller de förutsättningar för registrering av uppgifter som anges i 9 § sällan begär att få sina uppgifter registrerade hos Migrationsverket. Ur personens synvinkel betyder detta att han eller hon inte heller får en personbeteckning i samband med förfarandet för uppehållsrätten. För att få sina uppgifter registrerade och för att få en personbeteckning måste personen besöka magistraten.  

Det krav i den gällande lagstiftningen som gäller att personen särskilt ska begära att få sina uppgifter registrerade hos Migrationsverket kan leda till att personer får ett positivt beslut i fråga om uppehållsrätten, men ingen personbeteckning. Situationen förändras inte förrän personen hänvisas till magistraten och lämnar in de handlingar som behövs för detta. Det finns inga exakta siffror på hur många sökande som blir utan en personbeteckning i onödan genom det nuvarande förfarandet. Av de som beviljades uppehållstillstånd på basis av någon annan ansökan än ansökan om internationellt skydd var det under åren 2015 och 2016 enligt Migrationsverkets uppskattning lite mer än hälften som begärde att få sina uppgifter registrerade i samband med detta förfarande. Vissa sökanden låter dock bli att lämna en begäran därför att de redan har en personbeteckning.  

I det finländska samhället är personbeteckningen en central kod för att kunna identifiera människor, och om den saknas försvåras kommunikationen både hos myndigheterna och i tjänsterna inom den privata sektorn. Detta leder till extra arbete för myndigheterna, eftersom de måste utreda situationen och betjäna personen trots att personbeteckningen saknas. Avsaknaden av personbeteckningen leder dessutom lätt till att det uppkommer flera och överlappande registeridentiteter. Befolkningsdatalagen ska ändras så att beviljandet av en identifieringskod i samband med uppehållsrätten inte är beroende av att det görs en formell begäran.  

1.2.7  Elektronisk kommunikationskod

Förutom personbeteckningar innehåller Befolkningsdatasystemet elektroniska kommunikationskoder. Den elektroniska kommunikationskoden fungerar i medborgarcertifikatet som en individuell kod för innehavaren av certifikatet. När en persons uppgifter registreras första gången i befolkningsdatasystemet, ska han eller hon ges en sådan individuell teknisk identifieringsuppgift som behövs vid beviljandet av den elektroniska kommunikationskoden. Den tekniska identifieringsuppgiften omvandlas till en elektronisk kommunikationskod när personen första gången beviljas ett medborgarcertifikat eller när koden behövs för något annat inom certifikatverksamheten.  

Liksom personbeteckningen, kan även en elektronisk kommunikationskod rättas med stöd av 64 § i lagen. Om den elektroniska kommunikationskoden är oriktig eller om det har skett ett fel när koden skapades, ska Befolkningsregistercentralen utan dröjsmål rätta felet och vid behov ge personen en ny kommunikationskod. Bestämmelsen har inte tillämpats i Befolkningsregistercentralen, och den antas inte heller bli tillämplig i fortsättningen. De elektroniska kommunikationskoder och de tekniska identifieringsuppgifter som ges före den är nummerserier som skapas i befolkningsdatasystemet och som består av åtta slumpmässigt valda numror samt en kontrollbeteckning. Koden får inte innehålla några uppgifter som identifierar personen. Felaktiga koder är därmed endast möjliga i teorin. Bestämmelsen anses vara onödig.  

En elektronisk kommunikationskod kan ändras med stöd av 64 § på följande två villkor: för att skydda personen från en annan människa eller ett varaktigt hot eller på grund av upprepat missbruk av koden. Fastställande av könstillhörigheten är enligt den gällande lagen inget skäl för att ändra den elektroniska kommunikationskoden. Ändring ska alltid ansökas separat hos Befolkningsregistercentralen.  

Tekniskt sett är personbeteckningen och den elektroniska kommunikationskoden alltid ett par i befolkningsdatasystemet. Den tekniska identifieringsuppgift som är förstadiet till den elektroniska kommunikationskoden uppstår automatiskt i samband med den personbeteckning som skapas. När personbeteckningen ändras utan att den elektroniska kommunikationskoden ändras, bevarar kommunikationskoden förbindelsen till den gamla personbeteckningen. Förbindelsen medför en datasekretessrisk särskilt i de fall då könstillhörighet fastställs, eftersom uppgiften om den gamla könstillhörigheten ingår i den gamla personbeteckningen. I och med att de gamla kodparen existerar kan de också missbrukas. Olika fysiska och elektroniska verktyg för identifiering och signerande bör alltid kunna makuleras.  

Innehavaren av en kod kan inte själv bedöma huruvida även den elektroniska kommunikationskoden behöver ändras, eftersom medborgarna inte vet om att det finns en teknisk förbindelse mellan koderna. I praktiken har Befolkningsregistercentralen därför utrett behovet att alltid också ändra den elektroniska kommunikationskoden när en personbeteckning ändras. Befolkningsregistercentralen har uppmanat personer att även ansöka om en ändring av den elektroniska kommunikationskoden så att ärendena kan behandlas samtidigt. Förfarandet är inte till dessa delar ändamålsenligt, och bestämmelserna i befolkningsdatalagen behöver ändras. 

2. Målsättning och de viktigaste förslagen

2.1  2.1 Direkta konsekvenser av dataskyddsförordningen

Syftet med propositionen är att säkerställa att bestämmelserna i befolkningsdatalagen är förenliga med dataskyddsförordningen och den nya dataskyddslagen samt att säkerställa att de i dataskyddsförordningen preciserade villkoren för behandling av uppgifter kan uppfyllas i registerförvaltningsmyndigheternas verksamhet. Ett annat syfte är att säkerställa att upphävandet av personuppgiftslagen inte leder till att det uppstår luckor i bestämmelserna om behandling och utlämnande av uppgifter i befolkningsdatasystemet. 

Många hänvisningar till personuppgiftslagen gäller på en allmän nivå de förutsättningar för behandling som anges i befolkningsdatalagen eller någon av de allmänna principerna för dataskydd eller någon enskild rätt som de registrerade har. I befolkningsdatalagen föreslås det att det i fortsättningen ska hänvisas till dataskyddsförordningen då när det är fråga om en sådan princip, rätt eller skyldighet som direkt kan härledas ur dataskyddsförordningen. I de bestämmelser där det på en mer allmän nivå hänvisas till förutsättningarna för behandling av personuppgifter, föreslås det att det ska hänvisas både till dataskyddsförordningen och till dataskyddslagen där de förutsättningar som kan härledas ur dataskyddsförordningen preciseras. Sådana allmänna hänvisningar till dataskyddslagstiftningen föreslås i 2 § om lagens tillämpningsområde och i 6 kap. om den certifierade elektroniska kommunikationen.  

I gällande 30, 33 och 34 § om utlämnande av uppgifter i befolkningsdatasystemet hänvisas det till personuppgiftslagen; uppgifter får lämnas ut till en sådan mottagare som har rätt att behandla uppgifterna med stöd av personuppgiftslagen. Det föreslås att 30 § fortfarande ska innehålla bestämmelserna om utlämnande av uppgifter för historisk och vetenskaplig forskning, för sammanställning av statistik och för myndigheternas planerings- och utredningsuppdrag. Hänvisningen till personuppgiftslagen ska strykas, eftersom behandlingens rättsliga grund i personuppgiftslagen inte längre fungerar som grund för utlämnandet av uppgifter. Utlämnandet av uppgifter i befolkningsdatasystemet ska även i fortsättningen förutsätta att mottagaren har en saklig rättslig grund för att behandla uppgifterna, men grunden ska härledas ur dataskyddsförordningen eller dataskyddslagen. Sannolikt är att behandlingsgrunden oftast kommer att härledas ur artikel 6.1 e) i dataskyddsförordningen.  

Lagens 33 § stryks såsom onödig. Dataskyddslagstiftningen kommer inte längre att innehålla en separat behandlingsgrund för personmatriklar eller släktforskning, utan behandlingen ska grunda sig på den allmänna rättsliga grunden enligt dataskyddsförordningen eller dataskyddslagen. Utlämnandet av uppgifter för dessa ändamål, till de delar det finns en behandlingsgrund, får således ske med stöd av den allmänna bestämmelsen i 34 § 3 mom. i befolkningsdatalagen. Eftersom det inte är fråga om sådant omfattande utlämnande av uppgifter som är jämförbart med en vetenskaplig forskning, är det motiverat att verksamheten omfattas av den allmänna bestämmelsen. Det föreslås att 34 § 3 mom. i befolkningsdatalagen ändras så att hänvisningarna till personuppgiftslagen stryks. I bestämmelsen ska finnas en allmän hänvisning till dataskyddsförordningen och dataskyddslagen.  

I befolkningsdatalagen hänvisas det till personuppgiftslagen även i bestämmelsen om utlämnande av personbeteckningar. Förutsättningarna för behandling av personbeteckningar hör med stöd av artikel 87 i dataskyddsförordningen till medlemsstatens behörighet, och därför ska det i fortsättningen föreskrivas i dataskyddslagen om dessa. TATTI-arbetsgruppen har föreslagit en bestämmelse som till väsentliga delar motsvarar 13 § i personuppgiftslagen. De förutsättningar som anges i den föreslagna bestämmelsen ska dock alltid uppfyllas, även då när det föreskrivs något annat om behandlingen i någon annan lag. Det ska föreskrivas uttömmande om behandlingen av personbeteckningar också i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Med stöd av 13 § är det till exempel möjligt att behandla en personbeteckning när det är viktigt för att myndigheten ska kunna sköta en lagstadgad uppgift. Om det föreskrivs på detta sätt måste det i befolkningsdatalagen således hänvisas till bägge allmänna lagars bestämmelser om förutsättningarna för behandling av personbeteckningar, och utlämnandet kan ske endast om förutsättningarna i dessa uppfylls. 

I befolkningsdatalagens 43 § 1 mom. föreskrivs det att en personbeteckning eller ett utländskt personnummer kan antecknas i ett intyg eller utdrag som utfärdas ur befolkningsdatasystemet endast om intyget eller utdraget utfärdas för en specifik uppgift eller åtgärd som föreskrivs i lag eller i en förordning som utfärdats med stöd av lag. Det föreslås att denna bestämmelse stryks. Om det finns uttömmande bestämmelser om förutsättningarna för behandling i dataskyddslagen och i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten, och den som tar emot en identifieringskod alltid har rätt att behandla personbeteckningar med stöd av dessa lagar, kan det inte föreskrivas separat i befolkningsdatalagen om antecknande av identifieringskoder i utdrag. Till exempel de föreslagna bestämmelserna i både dataskyddslagen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten förutsätter att behandlingen av identifieringskoden är viktig för skötseln av en lagstadgad uppgift. Detta strider mot den gällande bestämmelse som förutsätter att antecknandet i utdraget sker i syfte att fullgöra en lagstadgad uppgift.  

I anknytning till förutsättningarna för behandling av personbeteckningar ska det dock både i dataskyddslagen och i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten föreskrivas att personbeteckningar inte får antecknas i onödan i de handlingar som skrivs ut eller upprättas på basis av ett personregister. Denna bestämmelse tillsammans med förutsättningarna för behandling av personbeteckningar säkerställer att personbeteckningar inte heller i fortsättningen antecknas i onödan i intyg eller utdrag. 

2.2  2.2 Dataskyddsförordningen och gemensamt personuppgiftsansvar

Artikel 26 i dataskyddsförordningen medför exaktare krav än tidigare för de gemensamt personuppgiftsansvariga. Särskilt de personuppgiftsansvarigas ansvar i förhållande till de registrerades rättigheter bör fastställas på ett tydligt och transparent sätt. I föreslagna 4 § 3 mom. föreskrivs det på lagnivå om hur de skyldigheter för personuppgiftsansvariga som anges i dataskyddsförordningen ska fördelas mellan registerförvaltningsmyndigheterna. I bestämmelsen görs skillnad mellan de rättigheter för registrerade om vilka det ska föreskrivas särskilt och de mera allmänna skyldigheter som kan härledas ur dataskyddsförordningen.  

När det gäller de registrerades rättigheter behövs skyldigheterna fördelas tydligt, så att ansvarsfördelningen främjar tillgodoseendet av rättigheterna. Tillgodoseendet av de registrerades rättigheter får inte vara en tolkningsfråga eller vara svårt för medborgarna att utreda, utan det ska framgå av lagen vilken myndighet som är ansvarig.  

Att föreskriva i lag om den ansvariga myndigheten är nödvändigt också för att registerförvaltningsmyndigheterna ska kunna ordna sin verksamhet effektivt och inte behöva använda överlappande resurser vid olika förfaranden. Särskilt när myndigheter är gemensamt personuppgiftsansvariga är det önskvärt att dessa kan förutse hur de registrerades rättigheter kan tillgodoses i verkligheten genom det ömsesidiga samarbetet. I artikel 26.3 i dataskyddsförordningen föreskrivs det att den registrerade får utöva sina rättigheter med avseende på och emot var och en av de personuppgiftsansvariga, oberoende av hur de har ordnat fastställandet av ansvaren dem emellan. Enligt artikel 26.1 ska dock den registrerades subjektiva rätt tillämpas endast till den del det inte föreskrivs om uppgiftsfördelningen i lag. Om skyldigheterna mellan registerförvaltningsmyndigheterna ska kunna fördelas på ett effektivt sätt, behöver det föreskrivas om detta i lag.  

I föreslagna 4 § 3 mom. ska det hänvisas till tre av de rättigheter hos registrerade som anges i dataskyddsförordningen: rätten att få tillgång till uppgifter (artikel 15), rätten att få uppgifter rättade (artikel 16) och rätten att göra invändningar (artikel 21). I praktiken tillhandahåller Befolkningsregistercentralen elektroniska tjänster genom vilka de registrerade kan tillgodose sina rättigheter själva. Dessa kommer även i fortsättningen att vara den primära kanalen för de flesta registrerade. Det är dock inte möjligt att till fullo tillgodose rättigheterna i sådana tjänster, utan den registrerade måste kunna kommunicera direkt med registerförvaltningsmyndigheten till exempel för att kontrollera alla sina uppgifter. I momentet föreskrivs uttryckligen att det är magistraten som ansvarar för att dessa rättigheter tillgodoses i förhållande till den registrerade. Bestämmelsen garanterar att ansvarsfördelningen är effektiv även i förhållande till den registrerade.  

Föreslagna 4 § 3 mom. ska dessutom innehålla en allmän bestämmelse som ska tillämpas på de förpliktelser enligt dataskyddsförordningen som inte hör till magistraten enligt specialbestämmelsen. Bestämmelsen omfattar även de skyldigheter som hänför sig till de registrerades rättigheter. De personuppgiftsansvarigas skyldigheter ska fördelas på motsvarande sätt som det föreskrivs om ansvaren vid registerföring i befolkningsdatalagen eller någon annan lag eller med stöd av lag. Syftet med den allmänna bestämmelsen är att varje registerförvaltningsmyndighet ansvarar för de förpliktelser enligt dataskyddsförordningen som gäller den uppgift som denna har förordnats. Till exempel Befolkningsregistercentralen ansvarar enligt 4 § 2 mom. i befolkningsdatalagen för den allmänna funktionsdugligheten, datatekniken och dataadministrationen i fråga om det riksomfattande befolkningsdatasystem som drivs med hjälp av automatisk databehandling. Således ska Befolkningsregistercentralen även ansvara för att det inbyggda dataskydd och det dataskydd som standard, som avses i dataskyddsförordningen (artikel 25), verkställs i befolkningsdatasystemet.  

Man behöver inte föreskriva särskilt om de övriga rättigheter hos registrerade som anges i kapitel III i dataskyddsförordningen, utan endast om ovannämnda rättigheter enligt artiklarna 15, 16 och 21. Dessa iakttas nämligen genom den allmänna bestämmelsen i 4 § 3 mom. och uppdelas i enlighet med vad som föreskrivs om ansvaren för registerföringen i praktiken. 

Den rätt att radera uppgifter som avses i artikel 17 i dataskyddsförordningen tillämpas med stöd av artikel 17.3 b) endast på sådana uppgifter som ska raderas ur befolkningsdatasystemet enligt 20 § 1 mom. i befolkningsdatalagen. Med stöd av 20 § är det Befolkningsregistercentralen som ansvarar för detta. Den i artikel 22 i dataskyddsförordningen avsedda rätten att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling hör till Befolkningsregistercentralens ansvar med stöd av 4 § 2 mom. 

För den informationsrätt som avses i artikel 13 och 14 i dataskyddsförordningen ansvarar enligt den fastställda uppgiftsfördelningen den registerförvaltningsmyndighet som sköter den registrerades ärende. Exempelvis magistraten ansvarar med stöd av 21 § 1 mom. för enskilda personers registeranteckningar. I den mån uppgifterna fås av den registrerade när denna sköter sitt ärende, ansvarar magistraten även för att tillhandahålla den registrerade information i samband med detta. Befolkningsregistercentralen ansvarar å sin sida för den allmänna dokumenteringen i befolkningsdatasystemet, som till exempel dataskyddsbeskrivningar och den allmänna kommunikation som gäller systemets dataskydd. Detta kan härledas ur den skyldighet i 4 § 2 mom. enligt vilken centralen ska ansvara för den allmänna funktionsdugligheten, datatekniken och dataadministrationen i fråga om det riksomfattande befolkningsdatasystem som drivs med hjälp av automatisk databehandling samt för registerfunktionernas enhetlighet. 

På basis av det ovannämnda är det ändamålsenligt att föreskriva separat om de olika registerförvaltningsmyndigheternas ansvar endast när det gäller tillgodoseendet av de rättigheter hos den registrerade som anges i artiklarna 15, 16 och 21 i dataskyddsförordningen. Till övriga delar kan de personuppgiftsansvarigas skyldigheter uppdelas i enlighet med den allmänna bestämmelsen. Den nuvarande uppgiftsfördelningen mellan registerförvaltningsmyndigheterna ändras inte, men de skyldigheter för den personuppgiftsansvarige som kan härledas ur dataskyddsförordningen ska för tydlighetens skull bindas till den nuvarande uppgiftsfördelningen. Till de delar dataskyddsförordningen innehåller nya eller preciserade skyldigheter, gäller förslaget även de nya uppgifterna.  

2.3  2.3 Dataskyddsförordningen och de registrerades rättigheter

I 76 § i befolkningsdatalagen föreslås det att bestämmelserna om den registrerades rätt att få sina uppgifter rättade, avförda eller kompletterade eller den personuppgiftsansvariges skyldighet att tillgodose dessa rättigheter ska strykas. Dessutom stryks den bestämmelse som motsvarar artikel 12.4 i dataskyddsförordningen och som gäller förfarandet i sådana situationer där den personuppgiftsansvarige avgör ett ärende om rättelse av uppgifter så att det strider mot den registrerades begäran. I fortsättningen ska rättigheterna och förfarandena för att tillgodose dem härledas direkt ur dataskyddsförordningen. Överlappande reglering är onödig och kan leda till motstridiga tolkningar. I fortsättningen ska paragrafen innehålla bestämmelser om de administrativa förfaranden för rättelse av uppgifter som gäller speciellt befolkningsdatasystemet. Dessa bestämmelser och dataskyddsförordningen överlappar inte varandra. 

I propositionen föreslås det att den rätt att begränsa behandlingen av sina personuppgifter som hör till den registrerade med stöd av artikel 18 i dataskyddsförordningen ska begränsas. I regel ska endast artikel 18.1 a) tillämpas på befolkningsdatasystemet och Befolkningsregistercentralens certifikatverksamhet, och enligt den ska behandlingen begränsas när den registrerade bestrider personuppgifternas korrekthet. Det undantag från detta som föreslås ska ingå i nya 74 a §. Detta undantag kan göras inom ramarna för det handlingsutrymme för medlemsstaterna som ges i artikel 23 i dataskyddsförordningen.  

Eftersom förfarandet för tillämpningen av rätten att begränsa behandlingen inte ännu har utformats, finns det en möjlighet att bara en anmälan från den registrerade om att denna misstänker att uppgifterna är oriktiga kan förutsätta att behandlingen av uppgifterna begränsas tills saken har utretts av myndigheten. Begränsningen bör säkerställas med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras.  

Inom befolkningsdatasystemet förutsätter en tillämpning av begränsningsrätten att de uppgifter som begäran gäller inte heller finns tillgängliga för kunder som använder Befolkningsregistercentralens informationstjänster. De myndighetsbeslut som gäller fysiska personer grundar sig ofta på sådana uppgifter som fås ur befolkningsdatasystemet, t.ex. personens boningsort, familjeförhållanden, födelsetid eller civilstånd. När det gäller vissa uppgifter kan myndigheten också själv bedöma saken, men det finns också sådana uppgifter i befolkningsdatasystemet som är primära. Ett exempel på en sådan uppgift är uppgiften om civilståndet vid hindersprövning. När myndigheterna meddelar beslut kan de även kontrollera medborgarens personuppgifter i befolkningsdatasystemet. De officiella personuppgifterna är också väsentliga under ansöknings- och registreringsprocessen, vid hanteringen av certifikatbeställningar, vid identifieringen av personer samt vid tillhandahållandet av betrodda elektroniska tjänster. Stark elektronisk autentisering och elektroniskt signerande kan inte ske utan att lämna ut personuppgifter ur befolkningsdatasystemet. 

Om behandlingen av personuppgifter automatiskt begränsas tills Befolkningsregistercentralen har kunnat kontrollera att uppgiften är korrekt, finns det en risk för att myndigheternas beslutsfattande för personens del upphör. Hur korrektheten hos uppgifterna i befolkningsdatasystemet ska kontrolleras i sådana situationer varierar beroende på uppgiftsgruppen. Troligtvis kräver kontrollen att händelserna i loggregistret kontrolleras och att man kontaktar magistraten eller andra berörda myndigheter för att kunna säkerställa korrektheten hos officiella handlingar, domar eller andra motsvarande källor. I vissa fall kan säkerställandet av korrektheten hos uppgifterna kräva att den registrerade besöker magistraten och visar upp behöriga handlingar som stöd för rättelsen. Om användningen av uppgifterna begränsas under tiden för utredningen av ett eventuellt fel, kan det få betydande konsekvenser som personen inte själv kan förutse.  

I certifikatverksamheten vid Befolkningsregistercentralen kräver tillämpningen av begränsningsrätten på motsvarande sätt att de uppgifter som begäran gäller inte finns tillgängliga under den tid korrektheten hos dem utreds. Detta leder till att den registrerade kan fortsätta använda sitt certifikat, emedan Befolkningsregistercentralen i egenskap av certifikatansvarig myndighet kan följa upp certifikatets korrekthet eller giltigheten hos grunderna för beviljandet av certifikatet endast på basis av de grunder som anges i artikel 18.2. Även stängningar av certifikat kan komma att skjutas upp, om den begäran om att begränsa behandlingen som innehavaren av certifikatet har lämnat in är vilseledande.  

Uppgifternas tillförlitlighet i befolkningsdatasystemet är i regel på en hög nivå och de personuppgifter som är registrerade i befolkningsdatasystemet är, med undantag av adress, kontaktuppgifter och yrke som anmäls av personerna själva, offentligt tillförlitliga uppgifter. För att säkerställa korrektheten hos personuppgifterna föreskrivs det om detta i lag. Tillförlitligheten hos de uppgifter som ska antecknas i befolkningsdatasystemet ska antingen kontrolleras av den myndighet som har verifierat dem eller genom officiella, behöriga handlingar. Bestämmelser om uppdatering av uppgifter och kontroll av tillförlitligheten hos uppgifter finns bland annat i 18, 19, 21—22 och 25—27 § i befolkningsdatalagen. De uppgifter om fysiska personer som behövs ur de register som hänför sig till Befolkningsregistercentralens certifikatverksamhet ska enligt autentiseringslagen sökas ur och uppdateras i befolkningsdatasystemet.  

I princip ska den registrerade således inte behöva utöva den begränsningsrätt som avses i artikel 18 i dataskyddsförordningen när det gäller befolkningsdatasystemet eller de system som hänför sig till Befolkningsregistercentralens certifikatverksamhet. Kontrollen av uppgifternas korrekthet föreskrivs i lag. Dessutom garanterar de övriga rättigheterna enligt dataskyddsförordningen att personen kan övervaka att hans eller hennes uppgifter behandlas korrekt och att eventuella fel kommer till den personuppgiftsansvariges kännedom.  

Med beaktande av att tillförlitligheten hos uppgifterna är god och att det finns lagstadgade ramvillkor för behandlingen, får undantaget från artikel 18 inte någon större betydelse för den registrerades rättsliga ställning. Befolkningsdatasystemet och Befolkningsregistercentralens certifikatregister är centrala med tanke på det finländska samhället, och för myndigheternas verksamhet är det viktigt att dessa kritiska register kan användas utan avbrott. Tider utan tillgång till uppgifterna skulle medföra onödiga kostnader och öka den administrativa bördan både för den berörda personen och för myndigheterna. Dessutom skulle det sannolikt kräva ändringar både i befolkningsdatasystemet och i de system som används av Befolkningsregistercentralens kunder eftersom gränssnittet skulle ändras. Dessa kostnader skulle bli betydande för samhället med beaktande av att befolkningsdatasystemet är en viktig informationskälla för myndigheter och för till exempel bank- och försäkringsbranschen. På dessa grunder kan man anse att det är fråga om ett sådant syfte som är viktigt med tanke på medlemsstatens offentliga intressen, som gör det möjligt att med stöd av artikel 23.1 e) i dataskyddsförordningen göra undantag från tillämpningen av artikel 18.  

I artikel 23.2 i dataskyddsförordningen förutsätts det att de lagstiftningsåtgärder som innefattar ett undantag vid behov ska innehålla specifika bestämmelser åtminstone om ändamålen med behandlingen eller kategorierna av behandling, kategorierna av personuppgifter, omfattningen av de införda begränsningarna, skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga, tiden för lagringen av uppgifterna, tillämpliga skyddsåtgärder, riskerna för de registrerades rättigheter och friheter samt de registrerades rätt att bli informerade om begränsningen. Undantagets tillämpningsområde ska vara noggrant avgränsat till befolkningsdatasystemet och Befolkningsregistercentralens certifikatregister, som förs av Befolkningsregistercentralen och magistraterna. Begränsningarna av de registrerades rättigheter ska framgå direkt av lagen, och därför behöver det inte föreskrivas särskilt om erhållandet av information. De övriga särskilda bestämmelserna om befolkningsdatasystemet finns i befolkningsdatalagen. De särskilda bestämmelser som gäller de system som hänför sig till certifikatutfärdarens verksamhet finns i befolkningsdatalagen och autentiseringslagen.  

Vad gäller den rätt att göra invändningar som ingår i artikel 21 i dataskyddsförordningen föreslås det en ändring i bestämmelsen i 35 § om antecknande av förbud i befolkningsdatasystemet. Bestämmelsen motsvarar den gällande lagen till övriga delar, men hänvisningen i personuppgiftslagen ändras till en hänvisning till dataskyddsförordningen. Det bör noteras att på befolkningsdatasystemet ska endast artikel 21.2 tillämpas: rätten att invända mot behandling av uppgifter för direktmarknadsföring.  

2.4  2.4 Dataskyddsförordningen och grunderna för behandling av personuppgifter

I propositionen föreslås det ett nytt 4 mom. i 47 § där det ska föreskrivas om registerförvaltningens uppgift för produktion av allmänt nödvändiga informationstjänster. Syftet är att den registerförvaltningsmyndighet som enligt befolkningsdatalagen ska bestämma om utlämnande av uppgifter även ska vara skyldig att producera sådana tjänster genom vilka uppgifterna i befolkningsdatasystemet kan utnyttjas i enlighet med befolkningsdatalagen. Den nya bestämmelsen förtydligar detta. Bestämmelsen utgör den rättsliga grund enligt artikel 6.1 c) i dataskyddsförordningen som ska tillämpas när registerförvaltningsmyndigheten behandlar uppgifter i samband med informationstjänster. Den föreslagna bestämmelsen klargör bättre än tidigare att producerandet av informationstjänster hör till registerförvaltningsmyndigheternas uppgifter.  

Informationstjänstverksamheten, särskilt Befolkningsregistercentralens informationstjänst som innehåller massinformation, förutsätter även sådan behandling som inte direkt kan härledas ur de bestämmelser som gäller utlämnande av befolkningsdata. Detta gäller till exempel då den aktör som producerar informationstjänsten behöver kontrollera eller förvara sådana uppgiftsfiler som skapats för en viss person. På samma sätt är en tydligare rättslig grund behövlig för de informationstjänster där Befolkningsregistercentralen utför jämförelser mellan kundens olika register med hjälp av befolkningsdatasystemet och till exempel raderar sådant i registren som är överlappande. Dessa tjänster motsvarar ändamålet med befolkningsdatasystemet och stöder samhällets informationsförsörjning. Den nya bestämmelsen ger en gedigen och heltäckande grund för behandlingen av uppgifter i informationstjänstverksamheten även då när det inte uttryckligen är fråga om att befolkningsdatasystemets uppgifter behandlas i syfte att lämnas ut.  

Av den gällande lagstiftningen framgår inte heller tillräckligt klart att registerförvaltningsmyndigheten kan ta fram egna statistiska sammandrag av befolkningsdata, och endast lämna ut sammandraget till mottagaren. Detta behövs när mottagaren inte uttryckligen behöver behandla personuppgifter, utan behöver mer allmän information om till exempel åldersfördelningen i en viss kommun. I artikel 5.1 c) i dataskyddsförordningen föreskrivs det om principen om uppgiftsminimering: personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Enligt principen om uppgiftsminimering ska det alltid lämnas ut enbart ett statistiskt sammandrag när detta är tillräckligt för att tillgodose informationsbehovet.  

2.5  2.5 Utlämnande av uppgifter i befolkningsdatasystemet

I befolkningsdatalagen föreslås 28 § bli ändrad så att registerförvaltningsmyndigheten ska få neka att lämna ut uppgifter, om mottagarens verksamhet av grundad anledning kan misstänkas kränka skyddet för en persons privatliv eller skyddet för hans eller hennes personuppgifter, kränka hans eller hennes intressen eller rättigheter eller äventyra statens säkerhet. Den gällande ordalydelsen kan tolkas så att detta förutsätter att risken gäller uttryckligen befolkningsdata. Avsikten är att garantera att registerförvaltningsmyndigheten kan neka utlämnande av uppgifter i sådana fall då det finns brister i mottagarens verksamhet men myndigheten har svårt att bevisa att missbruket uttryckligen gäller uppgifterna i befolkningsdatasystemet. Det kan till exempel handla om att man har konstaterat att man i sökandens verksamhet gjort sig skyldig till intrång i personuppgifter utan att intrånget har något samband med ett register som innehåller befolkningsdata. Bestämmelsen förtydligar detta, eftersom den gällande ordalydelsen kan tolkas så att den möjliggör nekande i sådana fall. Med tanke på högsta förvaltningsdomstolens avgörandepraxis (HFD 2009:11) är det dock önskvärt att föreskriva särskilt om grunden för nekandet. För tydlighetens skull föreslås det i 34 § 3 mom. dessutom en hänvisning till de allmänna förutsättningarna i 28 §.  

Propositionen möjliggör utlämnande av vissa bakgrundsuppgifter för samhälleliga opinionsundersökningar. Ändringen underlättar utförandet av sådana undersökningar som är samhälleligt representativa, eftersom det blir möjligt att få ett urval till exempel av språk- och åldersgrupper. De uppgifter som får lämnas ut avgränsas till kön, åldersgrupp och modersmål. I regel är det inte fråga om känsliga uppgifter, och utlämnandet av uppgifterna ska i vilket fall som helst alltid uppfylla de allmänna förutsättningarna enligt 28 §. Det är således inte möjligt att lämna ut uppgifter, om detta av en grundad anledning kan misstänkas kränka till exempel skyddet för privatlivet.  

Det föreslås ingen ändring av den registrerades möjlighet att förbjuda utlämnande av sina uppgifter för personmatriklar eller släktforskning. I och med att personuppgiftslagen och förbudet i den upphävs föreslås det i lagens 35 § en separat bestämmelse om förbudet i fråga om personmatriklar och släktforskning. Dataskyddsförordningen innehåller ingen särskild grund för sådan behandling, utan i fortsättningen bör behandlingsgrunden för personmatriklar och släktforskning härledas ur artikel 6 i dataskyddsförordningen. I den mån behandlingen grundar sig på artikel 6.1 e) eller f) har den registrerade även rätt att av skäl som hänför sig till hans eller hennes specifika situation göra invändningar mot behandling av personuppgifter i enlighet med artikel 21 i dataskyddsförordningen. I fortsättningen innehåller lagstiftningen således varken en separat rättslig grund för personmatriklar och släktforskning eller en ovillkorlig rätt att förbjuda utlämnande av uppgifter.  

Med stöd av artikel 21 i dataskyddsförordningen ska den registrerade i förhållande till uppgiftsanvändarna i vissa situationer kunna förbjuda behandlingen av uppgifterna. Från den registrerades synvinkel är det dock effektivare om denna kan anmäla sitt förbud direkt i befolkningsdatasystemet: genom att anmäla förbudet till befolkningsdatasystemet kan den registrerade använda sin rätt att göra invändningar i förhållande till samtliga sådana uppgiftsanvändare som får uppgifter för ändamålen i fråga. Till den del den rätt att göra invändningar som avses i artikel 21 i dataskyddsförordningen inte täcker alla de fall i vilka uppgifter lämnas ut ur befolkningsdatasystemet för personmatriklar eller släktforskning ska det även bedömas huruvida det är möjligt att tillämpa detta förbud med beaktande av dataskyddsförordningen. Att förbudet antecknas i befolkningssystemet betyder inte att det alltid är olagligt att behandla den berörda personens uppgifter för personmatriklar eller släktforskning. Det betyder endast att befolkningsdatasystemet inte kan utnyttjas som källa. Därmed strider förbudet gällande personmatriklar och släktforskning inte heller mot dataskyddsförordningen till de delar förbudet överskrider den rätt att göra invändningar som avses i artikel 21 i dataskyddsförordningen. Till vilka instanser och för vilka ändamål uppgifter får lämnas ut får enligt artikel 6.3 i dataskyddsförordningen även bestämmas inom det nationella handlingsutrymmet. För att det centrala befolkningsdatasystemet ska accepteras av medborgarna förutsätts det att utlämnandet av uppgifter kan begränsas i de fall när det inte finns betydande samhälleliga eller personliga intressen. 

Genom de andra ändringarna gällande 35 § säkerställer man att en persons uppgifter kan lämnas ut med beaktande av personens rättigheter eller skyldigheter trots ett förbud som antecknats i befolkningsdatasystemet. Till paragrafen fogas en bestämmelse enligt vilken Befolkningsregistercentralen med stöd av 32 § 2 mom. kan lämna ut uppgifter som omfattas av förbud, om det är fråga om en utredning eller undersökning som hänför sig till ett allmänt intresse eller till personers rättigheter eller intressen. Bestämmelsen gäller främst sådana opinions- och enkätundersökningar som har en stark koppling till mottagarnas personliga intressen eller rättigheter. Detta kan till exempel gälla en enkätundersökning om bullerkonsekvenserna i ett bostadsområde. Förutsättningarna ska tolkas strikt. Bestämmelsen möjliggör inga sådana enkäter där det verkliga syftet kan anses vara direktmarknadsföring. Därmed innebär undantaget från förbudet mot direktmarknadsföring egentligen inte heller ett undantag från den i dataskyddsförordningen avsedda rätten hos den registrerade att göra invändningar mot att hans eller hennes uppgifter används för direktmarknadsföring. Då undantagets tillämpningsområde inte omfattar direktmarknadsföring, strider bestämmelsen inte mot dataskyddsförordningen. 

I 44 § i befolkningsdatalagen föreslås det att en redogörelse för skyddet av uppgifter inte ska vara obligatorisk när uppgifter lämnas ut med hjälp av en teknisk anslutning eller gäller en omfattande mängd data och utlämnandet inbegriper en personbeteckning. Förslaget minskar de administrativa förfarandena för överlämnande av uppgifter myndigheterna emellan. Avsikten är att registerförvaltningsmyndigheten ska ställa minimikrav som användaren ska förbinda sig till, och därmed inte behöva lämna in en redogörelse för användningen. Kraven ska vara rimliga. Det är således inte meningen att kraven ska bli för höga i verkligheten i förhållande till de förutsättningar som övervakas genom redogörelsen för skyddet.  

I propositionen föreslås dessutom en ny 50 a § där det föreskrivs om upphörande med att lämna ut uppgifter. Bestämmelsen ska i första hand tillämpas på Befolkningsregistercentralens permanenta tillstånd till uppgifter i de fall då de allmänna eller särskilda förutsättningarna för utlämnande inte längre uppfylls. En separat bestämmelse om avslutandet av tillståndet säkerställer Befolkningsregistercentralens behörighet och garanterar rättsskyddet för den som använder uppgifterna.  

2.6  2.6 Registrering av utlänningar

Enligt 22 § i den gällande lagen får Migrationsverket registrera uppgifter om utländska medborgare i befolkningsdatasystemet då när registreringen behövs för att han eller hon ska kunna göra sina rättigheter gällande och fullgöra sina skyldigheter eller av andra motsvarande särskilda skäl. En ytterligare förutsättning är att personen har begärt att få sina uppgifter registrerade och att han eller hon beviljas uppehållstillstånd eller uppehållskort eller hans eller hennes uppehållsrätt registreras. I propositionen föreslås det att Migrationsverket alltid ska få registrera uppgifter utan begäran när Migrationsverket fattar ett positivt beslut gällande personens uppehållsrätt. Avsikten är att försnabba beviljandet av personbeteckningen i sådana fall då det är mycket sannolikt att personen förr eller senare kommer att registreras i befolkningsdatasystemet. Om personbeteckningen beviljas automatiskt kan ärenden hos myndigheterna skötas smidigt och utländska medborgares rättigheter tillgodoses bättre. Ändringen förenklar dessutom förfarandena inom förvaltningen, eftersom risken för överlappande registeridentiteter minskar.  

I föreslagna 9 § föreskrivs om den grund på vilken Migrationsverket direkt får registrera uppgifterna då det fattats ett positivt beslut i ett uppehållsärende. Den nya grunden för registrering föreslås främst för att magistraten i en sådan situation ska kunna registrera uppgifterna ifall Migrationsverket inte redan har gjort det. Även Skatteförvaltningen kan med stöd av 22 § registrera uppgifterna efter att den utländska medborgaren har lämnat denna en begäran om registrering. I fråga om detta förenklar ändringen behandlingen även i magistraten och Skatteförvaltningen, eftersom de inte behöver göra en bedömning av uppfyllandet av förutsättningarna. I föreslagna 22 § föreskrivs inte längre om de regler för behörighet och förfaranden för Migrationsverket och finska beskickningar som gäller begäranden om registrering av uppgifter. I den ska endast föreskrivas om Migrationsverkets behörighet att registrera uppgifter om utländska medborgare i befolkningsdatasystemet i de fall enligt 9 § då beslutet om uppehållsrätten är positivt. Dessutom föreskrivs det om förfarandet genom vilket en finsk beskickning kan ta emot registrerade uppgifter och förmedla dem vidare till Migrationsverket.  

Om Migrationsverkets skyldighet att försäkra sig om den utländska medborgarens identitet föreskrivs det i fortsättningen i 9 § 3 mom. i stället för i 22 § där det föreskrivs om ansvaret hos den som tar emot begäran om registrering. I Migrationsverkets förfarande kräver beviljandet av uppehållstillstånd i regel att den sökandes resedokument är giltigt på det sätt som föreskrivs i 35 § i utlänningslagen. Enligt samma bestämmelse kan man dock avvika från detta krav i de situationer som specificeras i bestämmelsen, av vilka den viktigaste är beviljandet av uppehållstillstånd med grund i behovet av internationellt skydd. För att befolkningsdatalagen och utlänningslagen ska överensstämma i dessa situationer förutsätts det en tolkning enligt vilken Migrationsverket har tillämpat 19 § 2 mom. i befolkningsdatalagen då det har beviljat uppehållstillstånd trots att den sökande inte har haft ett giltigt resedokument. 

Om det i fortsättningen blir så att Migrationsverket antecknar en person i befolkningsdatasystemet oftare än tidigare, kan det leda till att antecknandet av kompletterande uppgifter i befolkningsdatasystemet fördröjs eller blir ogjort om den utländska medborgaren inte besöker magistraten. I praktiken är hemkommunen eller en tillfällig adress en såpass viktig registeranteckning med tanke på personens boende och ärenden att personen förr eller senare väntas besöka även magistraten. Saken måste dock beaktas när lagen sätts i kraft. Det är viktigt att myndigheterna samarbetar för att utarbeta tydliga förfaranden och anvisningar så att en utländsk medborgare i praktiken alltid uppmanas att komplettera sina uppgifter hos magistraten. 

Även om den ändring som beskrivs ovan är ett steg i rätt riktning, omfattar den inte alla situationer i Migrationsverkets förfaranden. I vissa fall försvårar de automatiska kontrollerna i befolkningsdatasystemet registreringen. En persons identifieringsuppgifter kan exempelvis vara alltför nära uppgifterna om en annan person som redan finns i befolkningsdatasystemet, varvid det krävs ett besök hos magistraten för att kontrollera handlingarna. Det bör också noteras att propositionen inte innehåller någon separat ikraftträdandebestämmelse, utan Migrationsverket ska tillämpa de ändrade bestämmelserna på alla de anhängiga ärenden hos Migrationsverket i vilka det efter lagens ikraftträdande fattas ett sådant beslut som hör till tillämpningsområdet för 9 § 1 mom. 1 punkten i befolkningsdatalagen. 

2.7  2.7 Elektronisk kommunikationskod

I propositionen ändras även paragrafen om ändring av elektroniska kommunikationskoder. Eftersom personbeteckningen och den elektroniska kommunikationskoden i befolkningsdatasystemet är nära kopplade till varandra, ska huvudregeln vara att man på tjänstens vägnar ska ändra den elektroniska kommunikationskoden alltid när personbeteckningen ändras. På så sätt undviker man de risker som hänför sig till informationssäkerhet och missbruk: om den elektroniska kommunikationskoden inte ändras samtidigt som personbeteckningen, bevarar den elektroniska kommunikationskoden förbindelsen även till den gamla personbeteckningen och de uppgifter den innehåller. Ändringen förtydligar dessutom förfarandet i Befolkningsregistercentralen. Förbindelsen mellan beteckningen och koden anses medföra en informationssäkerhetsrisk, och därför har myndigheterna i praktiken uppmanat de personer som har ansökt om ändring av personbeteckningen att även ansöka om en ändring av kommunikationskoden. Detta betyder extra arbete både för myndigheter och för sökande.  

Enligt föreslagna 64 § ska en elektronisk kommunikationskod alltid ändras på tjänstens vägnar när personbeteckningen ändras med stöd av 12 §. Det föreslås inga ändringar av de grunder i gällande 64 § på vilka endast den elektroniska kommunikationskoden får ändras i händelse av att det vid användningen av koden uppstår ett behov att ändra den. I sådana fall ska dock ändring sökas skriftligen hos Befolkningsregistercentralen.  

Det föreslås att 64 § 1 mom. i befolkningsdatalagen stryks som onödigt. Bestämmelsen tillämpas inte i praktiken. Om det då koden har skapats under exceptionella omständigheter har skett ett oförutsägbart fel, är Befolkningsregistercentralen med stöd av dataskyddsförordningen skyldig att rätta uppgiften. Även av detta skäl är en separat bestämmelse onödig. 

3. Propositionens konsekvenser

3.1  3.1 Ekonomiska konsekvenser

Det undantag som föreslås i fråga om den registrerades begränsningsrätt enligt dataskyddsförordningen kommer att minska Befolkningsregistercentralens kostnader för ibruktagandet av en ny systemfunktion som möjliggör temporär frysning av uppgifter. Vad gäller befolkningsdatasystemet förutsätter begränsningen sannolikt dock betydande ändringar i befolkningsdatasystemets strukturer och i de gränssnitt genom vilka uppgifterna överförs. Därför blir nyttoeffekten av undantaget inte långvarig vad gäller Befolkningsregistercentralens verksamhetsutgifter. Kostnaderna för ändringarna har inte kunnat bedömas under beredningen.  

Det bör också noteras att ändringarna i Befolkningsregistercentralens gränssnitt sannolikt även förutsätter ändringar av Befolkningsregistercentralens kundsystem. Enbart Befolkningsregistercentralens gränssnitt för befolkningsdata har för närvarande cirka 2 250 kunder, som även innefattar flera statliga myndigheter, till exempel aktörer som ansvarar för säkerhet, hälso- och sjukvård och sociala förmåner samt aktörer inom kredit- och försäkringsbranschen. Undantaget har en nyttoeffekt av engångsnatur även på dessa aktörers verksamhetsutgifter. Inte heller dessa kostnader har man kunnat bedöma under beredningen.  

I övrigt bedöms propositionen få endast ringa ekonomiska konsekvenser.  

3.2  3.2 Konsekvenser för myndigheterna

3.2.1  Elektronisk kommunikationskod

Förslaget om att man på tjänstens vägnar alltid ska ändra den elektroniska kommunikationskoden när personbeteckningen ändras kommer att förtydliga förfarandet i Befolkningsregistercentralen. Detta medför dock ingen väsentlig förändring vad gäller myndigheternas verksamhet eller resurser. Antalet ändringar av elektroniska kommunikationskoder kommer inte att öka mycket, eftersom Befolkningsregistercentralen redan nu uppmanar att ansöka om ändring av den elektroniska kommunikationskoden medan ansökan om ändringen av personbeteckningen är anhängig. Dessutom är det årligen endast i enstaka fall som koder ändras. För den som ansöker om ändring är det betydligt enklare när det endast behövs en enda ansökan.  

Om den elektroniska kommunikationskoden ska ändras automatiskt alltid när personbeteckningen ändras, krävs det en systemändring som enligt Befolkningsregistercentralen medför kostnader för cirka 20 000 euro. Denna kostnad ska täckas med Befolkningsregistercentralens verksamhetsanslag och kräver därför inga tilläggsanslag.  

3.2.2  Registrering av utlänningar

Propositionen påverkar magistraternas uppgifter. Första registreringar ska i regel utföras av magistraten när det är fråga om temporära registreringar, till exempel när en EU-medborgare inte registrerar sin uppehållsrätt samt när det är fråga om nordiska medborgare och sådana personer vars registrering grundar sig på hemkommun i Finland och hans eller hennes bostad där enligt lagen om hemkommun.  

Migrationsverket kan inte heller i framtiden utföra första registreringar i situationer där en utländsk medborgare har ansökt om uppehållstillstånd på en ort i utlandet där mottagandet av ansökningarna om uppehållstillstånd sköts av ett annat lands beskickning eller en privat tjänsteleverantör i utlandet. Då besöker personen inte fysiskt en finsk beskickning eller annan finsk myndighet under processen för behandlingen av uppehållstillståndet, vilket betyder att personen inte kan identifieras och hans eller hennes uppgifter inte registreras i befolkningsdatasystemet i samband med beviljandet av uppehållstillståndet. I sådana fall ska första registreringen utföras hos magistraten även i fortsättningen. 

Vidare är tekniska justeringar i befolkningsdatasystemet ett hinder för Migrationsverkets registrering då när det i befolkningsdatasystemet redan finns en person med delvis eller helt likadana personuppgifter. I sådana fall måste magistraten sköta första registreringen, så att magistraten kan försäkra sig om att det inte är fråga om en och samma person.  

Uppgifterna om personen måste dock alltid uppdateras hos magistraten, eftersom Migrationsverket endast kan registrera s.k. begränsade uppgifter med stöd av 22 § i befolkningsdatalagen. Om en komplettering av uppgifterna fördröjs efter det att Migrationsverket har beviljat personbeteckningen, kan de retroaktiva begärandena om rättelse av uppgifter om boende i viss mån öka i magistraterna. Som helhet bedöms ändringarna dock inte påverka magistraternas resursbehov. Ändringen av lagens 9 § förtydligar förfarandet i magistraten i de fall då det inte har varit möjligt att utföra registreringen hos Migrationsverket.  

I och med förslaget om ändringen av registreringen av utlänningar klargörs förfarandet i Migrationsverket. Direkta konsekvenser får ändringen för den persongrupp till vilken personbeteckningen kan beviljas genast av Migrationsverket. Ändringen anses dock inte ha stor inverkan på Migrationsverkets resursbehov, och kräver inte heller tilläggsanslag. De finska beskickningarna kommer i princip att ha samma roll som tidigare även om beskickningarna i fortsättningen inte längre tar emot begäranden om registrering av uppgifter. Beskickningarna ska som hittills dock ta emot de handlingar och uppgifter som ska registreras.  

I och med propositionen kommer verksamheten vid närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter (nedan KEHA-centret) att bli effektivare. Under arbets- och näringsministeriets ledning pågår ett projekt med syftet att reformera förfarandet för de kalkylmässiga ersättningar som närings-, trafik- och miljöcentralerna betalar till kommunerna med stöd av integrationslagen (1386/2010). De avgifter som har automatiserats genom projektet har fungerat väl, om man bortser från de personer som inte har fått en personbeteckning i samband med beviljandet av uppehållstillståndet. För KEHA-centret innebär det manuellt arbete då den ersättningsberättigade personen ska styras till rätt kommun. Enligt arbets- och näringsministeriets uppskattning blir cirka 30 procent av de asylsökande som har beviljats uppehållstillstånd utan en personbeteckning i samband med beviljandet av uppehållsrätten.  

För den manuella behandlingen av de kalkylmässiga ersättningarna till kommunerna behövs det år 2018 tilläggsresurser för uppskattningsvis 3,5 årsverken. Hur propositionen påverkar resurseffektiviteten beror på hur stor andel första registreringar som kan utföras redan hos Migrationsverket. Ett sådant förfarande är inte möjligt i alla situationer, men ändringen anses minska behovet av manuell behandling i många fall.  

3.3  3.3 Konsekvenser för miljön

Propositionen antas inte få några betydande konsekvenser för miljön.  

3.4  3.4 Samhällskonsekvenser

Den föreslagna ändringen i fråga om registreringen av utländska medborgare anses inte få någon betydande inverkan på det totala antalet personbeteckningar som beviljas. De personer som omfattas av bestämmelsens tillämpningsområde tilldelas för närvarande en personbeteckning när de begär en sådan hos Migrationsverket eller magistraten. Ändringen minskar den väntetid vid beviljandet av personbeteckningen som kan göra det svårt för personen att sköta ärenden i det finländska samhället. I princip kan ändringen öka antalet personer som aldrig anländer till Finland trots att de har fått en personbeteckning. Man har dock ansett att problemet är marginellt. 

Den föreslagna ändringen medför en risk för att personer inte besöker magistraten för att uppdatera sina uppgifter efter att de fått sin personbeteckning. Detta kan leda till att de registeruppgifter som gäller denna persongrupp blir sämre kvalitetsmässigt. Sådana uppgifter som Migrationsverket inte kan registrera i befolkningsdatasystemet är till exempel hemkommun, familjeförhållanden, födelseort och födelseland samt särskilt temporär eller permanent adress. Enligt Magistratens bedömning är det över 13 000 av de personer som har fått en personbeteckning via Migrationsverket som ännu inte har en tillfällig eller permanent adress i befolkningsdatasystemet. På grund av att hemkommunen är en så väsentlig uppgift med tanke på personens ärenden och rättigheter har man dock ansett att personen i praktiken ändå besöker också magistraten. Risken för bristfälliga uppgifter kan även minskas genom sakliga anvisningar vid förfarandet för uppehållsrätt och i övriga myndigheter. Man bör fästa särskild uppmärksamhet vid samarbetet myndigheterna emellan när lagen sätts i kraft. 

Det bör noteras att den föreslagna ändringen kan försätta de utländska medborgarna i Finland i ojämlik ställning i förhållande till varandra. Tredjelandsmedborgare som ansöker om uppehållstillstånd, EU-medborgare som registrerar sin uppehållsrätt samt personer som kan jämföras med dessa ska registreras i befolkningsdatasystemet även utan deras begäran, emedan nordiska medborgare, EU-medborgare som inte registrerar sin uppehållsrätt samt personer som anländer till Finland utan visum ska registreras som tidigare, dvs. endast om de själva begär detta. På grund av omständigheterna är detta dock inte av någon stor vikt.  

Registrering utan begäran kan komma på fråga i sådana fall då det är fråga om annan vistelse än kortvarig vistelse. I dessa fall kan man anta att personerna behöver få sina uppgifter registrerade i befolkningsdatasystemet förr eller senare. Dessutom är det motiverat att samtidigt ge dem en personbeteckning, eftersom deras ärende i vilket fall som helst behandlas hos en myndighet i Finland. De utländska medborgare som däremot inte kan omfattas av detta förfarande är de som kommer till Finland för en mycket kort tid eller som inte heller i övrigt behöver sköta ärenden hos Migrationsverket. När det gäller dem är det klart att registreringen av uppgifterna inte kommer att behövas, och i och med att de troligtvis inte kommer att kontakta myndigheter i Finland kommer migrations-, skatte- eller befolkningsdatamyndigheterna inte att få kännedom om att de vistas i Finland. I dessa fall är registrering utan begäran inte ändamålsenligt.  

4. Beredningen av propositionen

4.1  4.1 Beredningsskeden och beredningsmaterial

Propositionen har beretts vid finansministeriet under hösten 2017. Beredningen genomfördes som ett samarbete mellan Befolkningsregistercentralen, magistraterna, arbets- och näringsministeriet samt Migrationsverket i de frågor som hänför sig till deras verksamhetsområden. De ändringar som föreslås i lagen bygger delvis på de ändringsbehov som Befolkningsregistercentralen framfört för ministeriet. De ändringar som gäller registreringen av utlänningar baserar sig på ändringsbehov framförda av arbets- och näringsministeriet och Migrationsverket. I de föreslagna ändringarna har man också i mån av möjlighet beaktat ikraftträdandet av dataskyddsförordningen och de behov och konsekvenser som följer av beredningen av de nationella lagar som hänför sig till förordningen. Propositionen har dock utarbetats samtidigt som de allmänna lagarna, och därför har man inte kunnat bedöma lagarnas slutliga innehåll till alla delar. 

4.2  4.2 Remissyttranden och hur de har beaktats

Utlåtande begärdes av ministerierna, samtliga magistrater, Statens ämbetsverk på Åland, Enheten för styrning och utveckling av magistraterna vid Regionförvaltningsverket i Östra Finland samt Migrationsverket, Befolkningsregistercentralen, Skatteförvaltningen, Folkpensionsanstalten, Pensionsskyddscentralen, Statistikcentralen, dataombudsmannens byrå, diskriminerings- och jämställdhetsnämnden, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter, Finlands Kommunförbund, Suomen Markkinatutkimusliitto ry, Flyktingrådgivningen rf, TIEKE Utvecklingscentralen för Informationssamhälle rf, CSC-Tieteen tietotekniikan keskus Oy, Informationscentret för registerforskning samt av invandrartjänsterna eller invandringsavdelningarna i Esbo, Helsingfors, Uleåborg, Tammerfors, Vanda och Åbo.  

I de flesta utlåtanden understöddes propositionen. Det föreslogs dock en del ändringar, och de viktigaste frågor som togs upp i utlåtandena behandlas nedan. 

I utlåtandena understöddes det förslag som gäller att Migrationsverket ska få registrera en utländsk medborgares uppgifter i befolkningsdatasystemet utan begäran, när verket fattar ett positivt beslut i fråga om uppehållsrätten. En del remissinstanser ansåg att Migrationsverket borde få behörighet att registrera uppgifter i mer omfattande grad än tidigare. I magistraternas gemensamma utlåtande ansåg man dock att det är tillräckligt med de nuvarande uppgifterna. Migrationsverket har olika förutsättningar för uppgifternas tillförlitlighet och för legitimeringen av handlingar, och med tanke på befolkningsdatasystemets offentliga tillförlitlighet är det motiverat att Migrationsverket endast registrerar begränsade uppgifter. Vid den fortsatta beredningen bestämde man att inte ändra omfattningen av de uppgifter som ska registreras.  

I flera utlåtanden fäste man uppmärksamhet vid risken att antecknandet i befolkningsdatasystemet av vissa uppgifter fördröjs eller blir ogjort om den utländska medborgaren inte besöker magistraten. Detta bör beaktas vid lagens ikraftsättande, trots att det är sannolikt att personen förr eller senare kommer att besöka även magistraten eftersom hemkommunen eller den tillfälliga adressen är en viktig registeranteckning för personens boende och ärenden.  

Migrationsverket föreslog i sitt utlåtande ändringar antingen i fråga om kontrollerandet av utländska medborgares identitet eller i fråga om de finska beskickningarnas roll vid registreringen av uppgifter. Enligt Migrationsverket leder den föreslagna formuleringen till att tillämpningsområdet för det nya förfarandet inte omfattar sådana utländska medborgare som gör ansökan om uppehållstillstånd i utlandet via en beskickning eller en extern tjänsteleverantör i en annan Schengen-stat. Detta gäller särskilt kvotflyktingar. I sådana fall kan Migrationsverket eller den finska beskickningen inte försäkra sig om den sökandes identitet i enlighet med kraven i 9 och 22 § i befolkningsdatalagen, utan det är den andra Schengen-statens beskickning eller externa tjänsteleverantör som kontrollerar identiteten. Då kan förfarandet för uppgifternas registrering i befolkningsdatasystemet inte tillämpas. När en person i dessa fall begär att få sina uppgifter registrerade uteblir registreringen även med stöd av den gällande lagen. 

Eftersom den offentliga tillförlitligheten hos uppgifterna i befolkningsdatasystemet är viktig för att systemet ska fungera, och eftersom detta baserar sig på handlingarnas tillförlitlighet, bestämde man vid den fortsatta beredningen att propositionen inte ska ändras när det gäller detta. Om förutsättningarna för säkerställandet av en persons identitet ändras, bör detta göras genom att se över kraven i fråga om handlingar, identifiering och legalisering inom befolkningsdatasystemet och uppehållstillståndsförfarandet som en helhet. Kraven på legalisering av handlingar i befolkningsdatasystemet och vid Migrationsverket uppmärksammades även av utrikesministeriet. 

Folkpensionsanstalten och Pensionsskyddscentralen ansåg att undantaget i fråga om den registrerades rätt att begränsa behandlingen av sina uppgifter kan motiveras och behövs. Man ansåg att undantaget främjar kontinuiteten och korrektheten i myndigheternas verksamhet. Jord- och skogsbruksministeriet ansåg att myndigheternas lagstadgade uppgifter kan utföras med stöd av artikel 18 även utan undantag, och att undantaget, om det genomförs, hellre ska ingå i dataskyddslagen. Vid den fortsatta beredningen ansåg man trots allt att det är ändamålsenligt att innefatta den föreslagna bestämmelsen i propositionen. Om detta i fortsättningen föreskrivs i en allmän lag, behövs det dock ingen separat bestämmelse i befolkningsdatalagen. 

Nätverket för Stjärnfamiljer samt Familia rf ansåg i sina utlåtanden att propositionen borde innehålla ett förslag om möjligheten att registrera flera än ett modersmål i befolkningsdatasystemet. På grund av tidtabellen för beredningen fanns det inte möjlighet att utreda detta förslag i tillräcklig grad. 

Det utkast till proposition som sändes på remiss innehöll även ett förslag om att uppgiften med ändring av personbeteckningar ska skötas helt och hållet av magistraten. Enligt 12 § 3 mom. i den gällande lagen är det magistraten som ansvarar för ändringen av personbeteckningar när grunden för ändringen är fastställande av könstillhörighet. I övriga fall är det Befolkningsregistercentralen som ansvarar för ändringar av personbeteckningar. I utlåtandena förhöll man sig positiv till att behörigheten ska koncentreras till magistraten, och uttryckligen till en enda behörig magistrat. Under den fortsatta beredningen beslutade dock finansministeriet inleda beredningen för att uppgifterna för magistraterna, Befolkningsregistercentralen och för Enheten för styrning och utveckling av magistraterna vid Regionförvaltningsverket i Östra Finland ska sammanslås till en ny helhet i anslutning till Befolkningsregistercentralen från ingången av 2020. Då behörigheten koncentreras till ett ställe krävs det även att behövliga personalresurser överförs, och därför ansåg man vi den fortsatta beredningen att omorganiseringen av uppgifterna kan genomföras bäst genom interna arrangemang inom det nya ämbetsverket. Detta är den mest ändamålsenliga lösningen både för organiseringen av uppgifterna i det nya ämbetsverket och för personalen. Befolkningsregistercentralen, den berörda magistraten och Enheten för styrning och utveckling av magistraterna meddelade efter remissrundan att de anser att förslaget i fråga ska slopas. 

Finansministeriet har utarbetat ett sammandrag om utlåtandena, och detta har offentliggjorts.  

5. Samband med andra propositioner

Justitieministeriet tillsatte i februari 2016 en s.k. TATTI-arbetsgrupp för beredningen av ett lagförslag om användningen av dataskyddsförordningens handlingsutrymme och om en eventuell nationell allmän personuppgiftslag. I sitt betänkande föreslog arbetsgruppen att personuppgiftslagen ska upphävas och att det ska föreskrivas en ny allmän lag om skyddet för personuppgifter. Dataskyddslagen avses träda i kraft samtidigt som dataskyddsförordningen blir tillämplig, dvs. den 25 maj 2018.  

Lagförslagen i denna proposition är till vissa delar beroende av beredningen och ikraftträdandet av dataskyddslagen. I vissa bestämmelser i befolkningsdatalagen behövs det hänvisningar till den nationella dataskyddslagen till exempel vad gäller grunderna för behandling av personbeteckningar. Till dessa delar inverkar även innehållet i dataskyddslagen på bestämmelserna i befolkningsdatalagen. Hänvisningar till dataskyddslagen finns även i sådana förslag till bestämmelser där det krävs att både dataskyddsförordningen och dataskyddslagen ska iakttas.  

I januari 2017 tillsatte justitieministeriet en arbetsgrupp med uppgift att bereda ett förslag om den allmänna lagstiftning som behövs för genomförandet av direktivet om dataskydd vid brottmål samt förslag om de ändringar som direktivet föranleder i lagstiftningen inom justitieministeriets förvaltningsområde. Arbetsgruppen föreslog att det stiftas en ny lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. I lagförslagen i propositionen hänvisas det på flera ställen även till denna lag. 

Propositionen hänför sig till regeringens proposition till riksdagen med förslag till lagstiftning om genomförande av landskapsreformen och om organisering av statens tillstånds-, styrnings- och tillsynsuppgifter. Båda propositionerna innehåller ändringar av befolkningsdatalagen, och ändringarna gäller delvis samma bestämmelser. Förslagen till lagändringarna strider inte mot varandra men är parallella, vilket bör beaktas vid behandlingen i riksdagen. 

DETALJMOTIVERING

1. Lagförslag

I den svenska lagtexten byts termen registeransvarige ut mot den i dataskyddsförordningen använda termen personuppgiftsansvarige. Denna ändring görs i 4 §, 6 § 2 mom., rubriken för 3 kap., inledande stycket i 23 §, 23 § 2 mom., inledande stycket i 24 §, 25 §, 26 § 1 mom., 27 §, 70 § 1 mom. och 75 §.  

2 §.Lagens tillämpningsområde. På motsvarande sätt som i den gällande lagen ska paragrafen innehålla bestämmelser om tillämpningsområdet och den lagstiftning som ska tillämpas på befolkningsdatasystemet, den certifierade elektroniska kommunikationen och behandlingen av uppgifterna i certifikatregistret. I paragrafens 2 mom. 1 punkten stryks hänvisningen till den personuppgiftslag som ska upphävas. I 2 punkten i momentet stryks dessutom hänvisningen till lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003). Det är fråga om en allmän lag som i likhet med förvaltningslagen blir tillämplig utan särskilda bestämmelser.  

Till paragrafens 2 mom. fogas en ny 3 punkt där det hänvisas till Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, nedan dataskyddsförordningen, och till dataskyddslagen. Även om dessa bestämmelser tillämpas automatiskt på behandlingen av personuppgifter, används i lagen delvis det nationella handlingsutrymme som avses i dataskyddsförordningen samt undantag från bestämmelserna i förordningen. Av den orsaken är det ändamålsenligt att föreskriva särskilt om att dataskyddsförordningen och dataskyddslagen ska tillämpas om inte något annat föreskrivs i lag. Hänvisningen finns i en separat 3 punkt i stället för i 1 punkten i den gällande paragrafen därför att dataskyddsförordningen kan tillämpas på all slags behandling av personuppgifter i enlighet med befolkningsdatalagen, inte enbart på personuppgifterna i befolkningsdatasystemet.  

I den svenska paragrafens 2 mom. görs dessutom språkliga ändringar.  

4 §.Personuppgiftsansvariga inom befolkningsdatasystemet. I den svenska paragrafens 1 mom. görs det språkliga ändringar. Paragrafens 2 mom. ändras inte. 

Till paragrafen fogas ett nytt 3 mom. där det föreskrivs om hur de skyldigheter som ska härledas ur dataskyddsförordningen ska fördelas mellan registerförvaltningsmyndigheterna. Momentet innehåller en bestämmelse om en särskild uppgiftsfördelning som gäller vissa rättigheter hos den registrerade samt en allmän bestämmelse om fördelningen av de övriga skyldigheterna.  

I nya 3 mom. föreskrivs det att magistraten ansvarar för att den registrerades rättigheter enligt artikel 15, 16 och 21 i dataskyddsförordningen tillgodoses i förhållande till den registrerade. I artikel 26.3 i dataskyddsförordningen föreskrivs det att den registrerade alltid får utöva sina rättigheter enligt förordningen med avseende på och emot var och en av de personuppgiftsansvariga, även om dessa genom ett ömsesidigt arrangemang har bestämt något annat om ansvarsområdena. Då ansvaret när det gäller tillgodoseendet av dessa rättigheter hos den registrerade ingår i lagen, är det möjligt att styra den registrerade till magistraten. Trots att det är Befolkningsregistercentralen som producerar de elektroniska tjänster som gör det lättare för den registrerade att utöva sina rättigheter, är det i sista hand magistraten som ansvarar för att den registrerades rättigheter tillgodoses.  

Paragrafens 3 mom. innehåller också en allmän bestämmelse om att den personuppgiftsansvariges skyldigheter enligt dataskyddsförordningen i övriga fall ska fördelas enligt vad som förskrivs om ansvaren inom registerföringen. En gemensamt personuppgiftsansvarig som enligt befolkningsdatalagen ansvarar för ett visst delområde inom registerförvaltningen ansvarar även för att den personuppgiftsansvarige fullgör sina skyldigheter inom detta delområde. Exempelvis både magistraten och Befolkningsregistercentralen ansvarar var för sig för efterlevnaden av dataskyddsförordningen inom den verksamhet för utlämnande av uppgifter som hör till dem med stöd av 47 § i lagen. Bägge aktörer ansvarar även till exempel för de förfaranden som ska tillämpas när det görs undantag inom dataskyddet (artikel 33), om undantaget görs inom deras egen verksamhet eller i samband med en uppgift som har ålagts dem. Eftersom Befolkningsregistercentralen med stöd av 4 § 2 mom. ansvarar för den allmänna funktionsdugligheten, datatekniken och dataadministrationen i fråga om det riksomfattande befolkningsdatasystem som drivs med hjälp av automatisk databehandling samt för registerfunktionernas enhetlighet, ansvarar den på en allmän nivå för de skyldigheter för personuppgiftsansvariga som gäller systemet som helhet. Således ansvarar Befolkningsregistercentralen till exempel för inbyggt dataskydd och dataskydd som standard (artikel 25), samarbetet med tillsynsmyndigheten (artikel 31), systemets datasäkerhet (artikel 35), förfaranden vid dataintrång i fråga om personuppgifter (artikel 33) då intrånget gäller befolkningsdatasystemet samt för eventuella konsekvensbedömningar som gäller befolkningsdatasystemet (artikel 35). Om vissa ansvar föreskrivs det också mer konkret i befolkningsdatalagen. Skyldigheten att avföra uppgifter hör enligt 20 § till Befolkningsregistercentralen.  

Båda registerförvaltningsmyndigheterna ansvarar i enlighet med artikel 5.2 och 24 för att de kan bevisa att den personuppgiftsansvariges skyldigheter fullgörs. 

Syftet med bestämmelsen är inte att ändra den rådande uppgiftsfördelningen vad gäller de gällande skyldigheterna hos den personuppgiftsansvarige. Syftet är att säkerställa att de skyldigheter som preciseras i dataskyddsförordningen fördelas i enlighet med den gällande uppgiftsfördelningen och att uppgiftsfördelningen mellan magistraten och Befolkningsregistercentralen är effektiv även i förhållande till de registrerade.  

9 §.Förutsättningar för registrering av utländska medborgare. I paragrafen föreskrivs det om förutsättningarna och förfarandet för registrering av utländska medborgare. Till paragrafens 1 mom. fogas en ny grund i en ny 1 punkt enligt vilken uppgifter om utländska medborgare får registreras i befolkningsdatasystemet om dessa har beviljats i utlänningslagen avsett uppehållstillstånd eller uppehållskort, dessas uppehållsrätt har registrerats eller om Migrationsverket har fattat ett annat positivt beslut om uppehållsrätt som gäller dem. Ordalydelsen gällande uppehållsrätten ändras jämfört med 22 § i den gällande lagen så att förfarandet möjliggör registrering av uppgifter även när en persons beslut om uppehållsrätten baserar sig på någon annan lagstiftning än utlänningslagen. Med stöd av nya 1 punkten kan Migrationsverket registrera uppgifterna i befolkningsdatasystemet samtidigt som den fattar ett positivt beslut om uppehållsrätten. Samma grund kan dock även tillämpas i magistraten eller någon annan myndighet som är behörig att registrera utländska medborgares uppgifter med stöd av befolkningsdatalagen, förutsatt att Migrationsverket före detta har fattat ett positivt beslut om uppehållsrätten. Med anledning av nya 1 punkten blir 1—3 punkterna i den gällande bestämmelsen 2—4 punkter. I den svenska paragrafen görs det dessutom en språklig ändring i 1 mom. 2 punkten. I övrigt motsvarar bestämmelsen 9 § 1 mom. i gällande lag. 

I paragrafens 2 mom. föreskrivs det om de fall då en utländsk medborgare bör lägga fram en begäran till magistraten om registrering av uppgifter. Begäran bör läggas fram, om uppgifterna inte har registrerats i befolkningsdatasystemet med stöd av ett beslut om uppehållsrätten i de fall som avses i 1 mom. 1 punkten. Bestämmelsen ska tillämpas både på de fall i vilka den utländska medborgarens uppgifter inte har registrerats i befolkningsdatasystemet överhuvudtaget och på de fall i vilka de uppgifter som har registrerats med stöd av 1 mom. 1 punkten bör kompletteras. Migrationsverket kan med stöd av 22 § registrera endast de uppgifter om den utländska medborgaren som behövs för beviljandet av personbeteckningen samt sådana andra nödvändiga uppgifter om den utländska medborgaren som avses i 13 och 17 §. Sådana uppgifter som inte hör till Migrationsverkets behörighet ska den utländska medborgaren begära att få registrerade hos magistraten.  

I paragrafens 3 mom. föreskrivs det om säkerställandet av den utländska medborgarens identitet. Vad gäller förfarandet motsvarar momentet 9 § 1 mom. 2 punkten i den gällande lagen. Det ska dock i stället för magistraten hänvisas till den myndighet som ska registrera uppgifterna. I stället för den som framställer begäran hänvisas det i 3 mom. till den utländska medborgaren, eftersom begäran inte längre ska vara en förutsättning för registrering av uppgifter när registrering sker med stöd av uppehållsrätten.  

Paragrafens 4 mom. motsvarar 9 § 3 mom. i den gällande lagen, men hänvisningen till personuppgiftslagen ändras till en hänvisning till dataskyddsförordningen. Hänvisningen till 1 mom. 3 punkten ändras vad gäller numrorna.  

13 §.Personuppgifter som registreras i systemet. I paragrafens 1 mom. 21 punkt stryks hänvisningen till den personuppgiftslag som ska upphävas. Det ska hänvisas till dataskyddsförordningen, i vilken det i artikel 21.2 föreskrivs om en persons rätt att förbjuda att hans eller hennes uppgifter behandlas för direktmarknadsföring.  

Dessutom ersätts ordet begränsningar i den gällande bestämmelsen med ordet förbud. Syftet är inte att ändra det rådande rättsläget, utan att göra en förtydligande språklig ändring. För att artikel 18 i dataskyddsförordningen innehåller en separat bestämmelse om rätten att begränsa behandlingen av uppgifter, som skiljer sig från de förbud mot utlämnande av uppgifter som avses i paragrafen, är det ändamålsenligt att undanröja risken för att begränsningen av behandlingen förväxlas med förbudet mot utlämnande av uppgifter.  

I den svenska paragrafen görs det dessutom en språklig ändring i 1 mom. 21 punkten.  

22 §.Övriga myndigheters behörighet. I paragrafen ska det på motsvarande sätt som i den gällande paragrafen föreskrivas om den behörighet inom befolkningsdatasystemet som gäller andra myndigheter än magistraterna och Befolkningsregistercentralen. Bestämmelserna i paragrafens 1 mom. motsvarar i huvudsak gällande 22 § 1 mom., men hänvisningen till 9 § rättas så att den överensstämmer med de ändrade numrorna för punkterna i paragrafens 1 mom. I paragrafens 1 mom. hänvisas det i fortsättningen även till nya punkt 1 i 9 § 1 mom. En begäran om registrering av uppgifter kan i fortsättningen lämnas till Skatteförvaltningen då ett positivt beslut om uppehållsrätten har fattats av Migrationsverket, men Migrationsverket ännu inte har registrerat uppgifterna i befolkningsdatasystemet.  

I paragrafens 2 mom. föreskrivs det om de skyldigheter som Folkpensionsanstalten och Skatteförvaltningen ska fullgöra då de tar emot begäranden om registrering av uppgifter om utländska medborgare. Innehållet i dessa skyldigheter ändras inte. Momentet ändras endast så att Migrationsverket och finska beskickningar inte längre ska ta emot begäranden om registrering av uppgifter om utländska medborgare. Således behöver det inte heller föreskrivas om förfarandena för begäran när det gäller dessa aktörer.  

I paragrafens 3 mom. föreskrivs det om Skatteförvaltningens och Migrationsverkets behörighet att registrera uppgifter om utländska medborgare i befolkningsdatasystemet. Skatteförvaltningens behörighet ändras endast så att denna blir behörig att registrera uppgifter om utländska medborgare även i de fall som avses i 9 § 1 mom. 1 punkten, om Migrationsverket inte redan har registrerat uppgifterna. I paragrafens 3 mom. föreskrivs det att Migrationsverket får registrera uppgifter om utländska medborgare i befolkningsdatasystemet i de fall som avses i 9 § 1 mom. 1 punkten. När Migrationsverket registrerar uppgifter ska detta inte längre förutsätta en begäran av den utländska medborgaren. Ändringen inverkar inte på vilka uppgifter om utländska medborgare Migrationsverket har rätt att registrera. Även i fortsättningen ska Migrationsverket registrera endast de s.k. begränsade uppgifter som det föreskrivs om i 20 § i förordningen om befolkningsdatasystemet. Till övriga delar kompletteras uppgifterna hos magistraten. Dessutom ska det föreskrivas att finska beskickningar på Migrationsverkets vägnar får ta emot sådana personuppgifter och handlingar som en utländsk medborgare har lämnat in för registrering i befolkningsdatasystemet. Detta motsvarar nuläget. En finsk beskickning betraktas inte vara den instans som lämnar in uppgifterna, utan den förmedlar handlingarna vidare till Migrationsverket för registrering. De finska beskickningarna ska dock fortfarande försäkra sig om den utländska medborgarens identitet. Eftersom de finska beskickningarna inte omfattas av bestämmelserna i 22 § 2 mom. eller 9 § 3 mom. föreskrivs det särskilt i 3 mom. att en finsk beskickning ska försäkra sig om den utländska medborgarens identitet genom ett giltigt resedokument eller, om detta saknas, genom en annan handling eller utredning i enlighet med förfarandet i 19 §.  

I paragrafen görs även tekniska ändringar som en följd av att momentstrukturen i 9 och 22 § ändras. Termen Folkpensionsanstaltens lokalbyrå ändras till termen Folkpensionsanstaltens byrå enligt termilonogin i lagen om Folkpensionsanstalten (731/2001). I den svenska paragrafen görs även språkliga ändringar. Till övriga delar motsvarar paragrafen den gällande bestämmelsen. 

28 §.Allmänna förutsättningar för utlämnande av uppgifter. Paragrafen motsvarar den gällande lagen vad gäller syftet och det huvudsakliga innehållet. Paragrafen uppdelas i två moment. I 1 mom. föreskrivs det att uppgifter i befolkningsdatasystemet får lämnas ut endast om förutsättningarna för utlämnande av uppgifter enligt befolkningsdatalagen är uppfyllda och inte något annat följer av en persons rätt att förbjuda att uppgifter om honom eller henne lämnas ut. I detta moment föreskrivs det också om kravet om att uppgifterna ska vara behövliga. Syftet med paragrafen är inte att avvika från bestämmelserna i dataskyddsförordningen eller dataskyddslagen, utan dessa tillämpas till fullo på utlämnandet av uppgifter i befolkningsdatasystemet, om inte något annat föreskrivs någon annanstans i lag. Ett sådant undantag görs i föreslagna 74 a §. Syftet med första meningen i 28 §, enligt vilken uppgifter i befolkningsdatasystemet får lämnas ut endast om förutsättningarna för utlämnande av uppgifter enligt befolkningsdatalagen är uppfyllda, är att säkerställa att lagens förutsättningar till exempel i fråga om behandlingen av uppgifter som omfattas av spärrmarkering (37 §), om utlämnande av uppgifter som omfattas av särskilda begränsningar (38—42 §), om förfaranden och metoder för utlämnande av uppgifter (46 §) samt om skyddet av uppgifter (44 §) inte kringgås genom de rättigheter att erhålla uppgifter om vilka det föreskrivs i någon annan speciallagstiftning. Befolkningsdatalagen ska alltid tillämpas när uppgifter i befolkningsdatasystemet lämnas ut. Samtidigt ska dock också dataskyddsförordningen och dataskyddslagen tillämpas på behandlingen och utlämnandet av uppgifterna i befolkningsdatasystemet.  

De bestämmelser i befolkningsdatalagen som gäller utlämnandet av uppgifter (29—34 §) innehåller utöver de allmänna förutsättningarna i 28 § även närmare bestämmelser om vilka användargrupper och vilka användningsändamål uppgifterna får utlämnas till. Enligt den allmänna grunden i lagens 34 § 3 mom. får dock uppgifter i befolkningsdatasystemet lämnas ut om sökanden är berättigad att behandla dessa uppgifter enligt dataskyddsförordningen, dataskyddslagen eller någon annan lag. De allmänna förutsättningarna för utlämnande av uppgifter ska alltid uppfyllas även i dessa fall.  

Till paragrafens 1 mom. fogas en bestämmelse enligt vilken registerförvaltningsmyndigheten ska säkerställa att mottagaren har rätt att behandla uppgifterna då uppgifter som hör till särskilda kategorier av personuppgifter lämnas ut. Mottagarens rätt kan basera sig direkt på dataskyddsförordningen eller på de särskilda behandlingsgrunderna i 6 § i dataskyddslagen. Även i fortsättningen är det den registeransvarige i egenskap av mottagare av uppgifterna som ska ansvara för att dess behandling av uppgifterna följer dataskyddsförordningen och dataskyddslagen. Registerförvaltningsmyndigheten är till exempel inte skyldig att övervaka att grunden för behandlingen av de särskilda personuppgifterna tillämpas till alla delar på mottagarens faktiska verksamhet eller att mottagaren av uppgifterna har vidtagit de lämpliga och särskilda åtgärder som avses i 6 § 2 mom. i dataskyddslagen för att skydda den registrerades rättigheter. 

I paragrafens 2 mom. ska fortsättningsvis föreskrivas att uppgifterna inte får lämnas ut, om utlämnandet av grundad anledning kan misstänkas kränka skyddet för en persons privatliv eller skyddet för hans eller hennes personuppgifter, kränka hans eller hennes intressen eller rättigheter eller äventyra statens säkerhet. I paragrafen preciseras dock att uppgifterna inte heller får utlämnas om samma risk gäller mottagarens verksamhet. Genom ändringen säkerställer man att registerförvaltningsmyndigheten kan neka utlämnande av uppgifter när själva utlämnandet av uppgifterna ur befolkningsdatasystemet inte i sig kränker skyddet av personuppgifterna men mottagaren har gjort sig skyldig exempelvis till dataintrång.  

I den svenska paragrafen görs dessutom en språklig ändring. 

30 §.Utlämnande av uppgifter för historisk och vetenskaplig forskning samt för sammanställning av statistik. Hänvisningen till den personuppgiftslag som upphävs stryks i paragrafen. I fortsättningen kräver behandling av uppgifter för historisk och vetenskaplig forskning, för sammanställning av statistik samt för en myndighets planerings- och utredningsuppgifter en sådan rättslig grund som avses i dataskyddsförordningen. Grunderna för behandling ska inte längre föreskrivas i personuppgiftslagen, och således är hänvisningen till den onödig. Syftet med bestämmelsen är även i fortsättningen att förtydliga registerförvaltningsmyndigheternas verksamhet. Uppgifter för historisk och vetenskaplig forskning, för sammanställning av statistik samt för myndigheters planerings- och utredningsuppgifter får fortfarande lämnas ut, om det finns en rättslig grund enligt dataskyddsförordningen. Kravet om den rättsliga grunden kan härledas ur de allmänna förutsättningar för utlämnande som finns i 28 § i lagen och vidare ur dataskyddsförordningen. Det behöver inte föreskrivas särskilt om detta.  

32 §.Utlämnande av uppgifter för skötsel av kundrelationer och för marknadsföring. I 1 mom. i den svenska paragrafen görs det en språklig ändring. Till 2 mom. fogas en bestämmelse enligt vilken man utöver adress och kontaktuppgifter även kan lämna ut uppgifter om en persons kön, ålder och modersmål när det behövs som bakgrundsinformation för opinionsundersökningar med samhälleliga syften. Bakgrundsinformationen får inte användas för andra ändamål, utan de ska endast kunna utnyttjas inom opinionsundersökningen för att hitta rätt målgrupp och planera undersökningen.  

33 §.Utlämnande av uppgifter för släktforskning och personmatriklar. Paragrafen upphävs. Personuppgiftslagen ska inte längre innehålla den rättsliga grunden för behandling av uppgifter för släktforskning och personmatriklar. Den rättsliga grund som kan härledas ur dataskyddsförordningen behövs i fortsättningen även för dessa ändamål. Uppgifter ur befolkningsdatasystemet ska även i framtiden kunna lämnas ut för släktforskning och personmatriklar när den som ska behandla uppgifterna har en saklig rättslig grund för det. Det mest sannolika är att denna rättsliga grund kommer att vara artikel 6.1 f) i dataskyddsförordningen, dvs. att behandlingen av uppgifterna är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen. Utlämnandet av uppgifter kan i fortsättningen dock ske med stöd av 34 § 3 mom., och således behövs ingen separat paragraf om detta.  

34 §.Annat utlämnande av uppgifter. Paragrafens 3 mom. ändras så att det i stället för personuppgiftslagen hänvisas till dataskyddsförordningen och dataskyddslagen, i vilka de rättsliga grunderna samt förutsättningarna för behandling av uppgifter föreskrivs i fortsättningen. För tydlighetens skull ska det dessutom föreskrivas att de allmänna förutsättningarna i 28 § ska uppfyllas även då uppgifter utlämnas med stöd av 34 § 3 mom. Alla allmänna förutsättningar ska uppfyllas. Uppgifterna ska till exempel alltid vara behövliga för det ändamål för vilket uppgifterna lämnas ut. Uppgifter får inte lämnas ut ifall det finns skäl att misstänka att utlämnandet eller mottagarens verksamhet kan äventyra skyddet av personuppgifter. Dessutom ska även dataskyddsförordningen och dataskyddslagen tillämpas på utlämnandet. Med stöd av lagens 28 § ska man även tillämpa de övriga förutsättningar för utlämnande av uppgifter som finns i befolkningsdatalagen, som till exempel bestämmelserna om förfarandena och metoderna vid utlämnande.  

35 §.Allmän förbudsrätt. På motsvarande sätt som i den gällande lagen föreskrivs det i paragrafens 1 mom. om de förbud som gäller utlämnande av personuppgifter. I momentet hänvisas det i stället för personuppgiftslagen till artikel 21 i dataskyddsförordningen i vilken det i fortsättningen föreskrivs om den registrerades rätt att förbjuda behandling av sina uppgifter för direktmarknadsföring. Hänvisningen förtydligar bestämmelsen. 

Till paragrafen fogas ett nytt 2 mom. där det föreskrivs om personens rätt att förbjuda utlämnande av sina uppgifter för personmatriklar eller släktforskning. Detta förbud har tidigare funnits i personuppgiftslagen. Eftersom det även i fortsättningen ska vara möjligt att lämna ut uppgifter för dessa ändamål med stöd av 34 § 3 mom., behövs det föreskrivas särskilt om det förbud som gäller dessa ändamål. Förbudet ska grunda sig på befolkningsdatalagen, inte på personuppgiftslagen, men statusen för och tillämpningen av det inom befolkningsdatasystemet ändras inte.  

I paragrafens 3 mom. ska det på motsvarande sätt som i gällande 35 § 2 mom. föreskrivas om de undantag som får göras i fråga om förbudet mot utlämnande av adresser och andra kontaktuppgifter. I fråga om undantaget ska det för tydlighetens skull tilläggas att förbudet inte heller på basis av 34 § 1 mom. hindrar utlämnande av uppgifter för sådan verksamhet där uppgifterna används för att en person, ett företag eller en organisation ska kunna göra sina rättigheter gällande eller fullgöra sina skyldigheter. I sådana situationer har uppgifter lämnats ut till exempel för bouppteckningar, och detta ändamål nämns också i de ursprungliga grunderna i bestämmelsen. Paragrafen har dock saknat en hänvisning till 34 § 1 mom. på vilket utlämnandet av dessa uppgifter i praktiken bygger. Till momentet fogas dessutom en bestämmelse med stöd av vilken Befolkningsregistercentralen på basis av 32 § 2 mom. får lämna ut uppgifter för verksamhet där det är fråga om en utredning eller undersökning som gäller det allmänna intresset eller personernas rättigheter eller intressen. Bestämmelsen hänvisar främst till sådana opinions- och enkätundersökningar som är nära kopplade till mottagarens intressen eller rättigheter. Det kan till exempel vara fråga om en enkät om bullerkonsekvenserna i ett bostadsområde. Förutsättningarna ska tolkas snävt. Bestämmelsen tillåter inga sådana enkäter vars egentliga ändamål kan anses vara direktmarknadsföring.  

På motsvarande sätt som i gällande 35 § 3 mom. föreskrivs det i 4 mom. i paragrafen om lämnande av anmälan om förbudet. Bestämmelsen ändras så att förbudet kan anmälas till Befolkningsregistercentralen enbart genom en elektronisk tjänst. Ett förbud kan fortfarande anmälas hos magistraten också skriftligen eller på något annat tillförlitligt sätt som lämpar sig för ändamålet. 

37 §.Behandling av uppgifter som omfattas av spärrmarkering. Paragrafens 3 mom. ändras så att hänvisningen till den rätt till insyn som avses i 26 § i personuppgiftslagen stryks och det i stället hänvisas till artikel 15 i dataskyddsförordningen där det föreskrivs om personens rätt att få tillgång till uppgifter.  

43 §.Utlämnande av identifieringsuppgifter. I paragrafens 1 mom. ersätts hänvisningarna till personuppgiftslagen med hänvisningar till dataskyddslagen och till lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (/). I 1 mom. stryks dessutom omnämnandet om att personbeteckningar får behandlas på basis av vad som föreskrivs i någon annan lag. I fortsättningen ska samtliga förutsättningar för behandling av personbeteckningar finnas i dataskyddslagen och i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. De förutsättningar som anges i dataskyddslagen för behandling av personbeteckningar ska alltid uppfyllas även om det föreskrivs särskilt om behandlingen i någon annan lag. Även lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ska innehålla uttömmande bestämmelser om behandling av personbeteckningar inom lagens tillämpningsområde. Med stöd av denna paragraf är det till exempel möjligt att behandla personbeteckningar när detta är viktigt för att myndigheten ska kunna sköta en lagstadgad uppgift. Denna förutsättning ska prioriteras framom kravet om behovet. Således ska det i 43 § 1 mom. i fortsättningen inte hänvisas till andra lagar i samband med behandlingen av personbeteckningar, utan de förutsättningar som ska uppfyllas ska alltid finnas antingen i dataskyddslagen eller i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten.  

I paragrafens 1 mom. stryks bestämmelsen om att en personbeteckning eller ett utländskt personnummer får antecknas i ett intyg eller utdrag ur befolkningsdatasystemet endast om intyget eller utdraget utfärdas för en specifik uppgift eller åtgärd som föreskrivs i lag eller i en förordning som utfärdats med stöd av lag. Både dataskyddslagen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ska i samband med förutsättningarna för behandling av personbeteckningar innehålla en bestämmelse om att personbeteckningar inte får antecknas i onödan i de handlingar som skrivs ut eller upprättas. Dessa bestämmelser tillsammans med de förutsättningar för behandlingen av uppgifter som finns i dessa två lagar ska i fortsättningen tillämpas direkt även på antecknandet av personbeteckningar i intyg eller utdrag. Även i dessa fall är det fråga om att lämna ut personbeteckningar. 

Den föråldrade frasen i paragrafens 1 mom. om att lagen ska iakttas i tillämpliga delar ska strykas. Det som föreskrivs i dataskyddslagen om personbeteckningar ska också tillämpas på utlämnandet av utländska personnummer. Ändringen är språklig.  

44 §.Redogörelse för användningen och skyddet av uppgifter. Till paragrafen fogas ett nytt 2 mom. där det föreskrivs om ett undantag från 1 mom. 1 punkten när det gäller de uppgifter som avses i 43 §. Då det är fråga om en situation som avses i 1 mom. 1 punkten, men utlämnandet inte innefattar andra sådana uppgifter som avses i 36—42 § än personbeteckning eller elektronisk kommunikationskod, är det inte obligatoriskt att lämna en redogörelse för skyddet av uppgifterna. Vid behov kan registerförvaltningsmyndigheten fortfarande kräva att användaren lämnar en redogörelse även i sådana situationer, men som ett alternativ blir det möjligt att ställa minimikrav på användaren i fråga om användningen och skyddet av uppgifterna. För att få ta emot uppgifterna ska då användaren förbinda sig till att uppfylla de minimikrav som registerförvaltningsmyndigheten ställer, men av sökanden krävs ingen separat försäkring eller utredning om uppfyllandet av kraven. I verkligheten får minimikraven inte kräva en skyddsnivå som är högre än den som registerförvaltningsmyndigheten skulle kräva av de aktörer som lämnar en redogörelse för användningen och skyddet av uppgifter. Det ankommer på registerförvaltningsmyndigheten att välja mellan dessa förfaranden. Särskilt när uppgifter lämnas ut till myndigheter kan det vara ändamålsenligt att tillämpa minimikrav.  

47 §.Myndigheter som beslutar om utlämnande av uppgifter. Till paragrafen fogas ett nytt 4 mom. där det föreskrivs om produktionen av allmänt nödvändiga tjänster. Bestämmelsen medför varken ändringar av fördelningen av behörigheten mellan Befolkningsregistercentralen och magistraterna eller undantag från denna, utan det konstateras för tydlighetens skull att registerförvaltningsmyndigheten har till uppgift att inom ramen för sin behörighet producera sådana tjänster som gör det möjligt att utnyttja uppgifter i befolkningsdatasystemet. Registerförvaltningsmyndigheten ska tillämpa prövning vid tillhandahållandet av tjänsten, och de tjänster som tillhandahålls ska vara behövliga med tanke på samhällets informationsförsörjning.  

50 a §.Upphörande med att lämna ut uppgifter. I paragrafen föreskrivs det att en registerförvaltningsmyndighet kan upphöra med utlämnandet av uppgifter, om de förutsättningar för utlämnande av uppgifter som föreskrivs i lagen inte längre uppfylls. Förutsättningarna i 28 § i lagen ska alltid uppfyllas när uppgifter i befolkningsdatasystemet lämnas ut. Vissa paragrafer innehåller dessutom särskilda förutsättningar för utlämnandet av uppgifter. När det handlar om enskilda fall av utlämnande av uppgifter, kan registerförvaltningsmyndigheten alltid neka att fortsätta lämna ut uppgifter, om mottagaren inte längre uppfyller förutsättningarna. Befolkningsregistercentralen producerar dock även sådana tjänster för vilka den beviljar permanenta tillstånd till uppgifter. I paragrafen ska för tydlighetens skull föreskrivas att registerförvaltningsmyndigheten även får bestämma att upphöra med utlämnandet av uppgifter.  

I paragrafen föreskrivs att beslut om upphörande med utlämnandet av uppgifter ska fattas skriftligen. Rättelse i ett sådant beslut får sökas med stöd av 76 a §.  

64 §.Ändring av elektroniska kommunikationskoder. I paragrafen föreskrivs om ändring av elektroniska kommunikationskoder. Trots det som föreskrivs i 64 § i den gällande lagen ska paragrafen inte innehålla en bestämmelse om rättelse av felaktiga elektroniska kommunikationskoder. I stället föreskrivs det i nya 1 mom. att en elektronisk kommunikationskod ska ändras på tjänstens vägnar när en personbeteckning ändras i de fall som avses i 12 § 2 mom. Eftersom personbeteckningen och den elektroniska koden utgör ett par på grund av deras tekniska koppling, är det ändamålsenligt att den elektroniska kommunikationskoden ändras alltid när personbeteckningen ändras. Ändringar ska fortfarande utgöra undantag, eftersom förutsättningarna för ändring av personbeteckningen även i fortsättningen uppfylls endast i särskilda undantagsfall och endast om det är uppenbart att det finns en grund för ändringen. I praktiken behöver den elektroniska kommunikationskoden dock alltid ändras när personbeteckningen ändras.  

I paragrafens 2 och 3 mom. bevaras de bestämmelser i gällande paragraf som gäller ändring enbart av den elektroniska kommunikationskoden samt förfarandet angående detta.  

66 §.Ansökan om och utfärdande av medborgarcertifikat. I paragrafens 2 och 3 mom. ersätts hänvisningarna till personuppgiftslagen med hänvisningar till dataskyddsförordningen och dataskyddslagen.  

67 §.Ansökan om och utfärdande av andra certifikat. I paragrafens 1 mom. ersätts hänvisningen till personuppgiftslagen med en hänvisning till dataskyddsförordningen och dataskyddslagen. Till 1 mom. fogas dessutom en hänvisning till autentiseringslagen (617/2009). De certifikat i paragrafen som utgör verktyg för stark elektronisk autentisering omfattas även av bestämmelserna i autentiseringslagen. Då den i gällande bestämmelsen hänvisade EU-förordningen om elektronisk identifiering som gäller utfärdande av certifikat ska tillämpas ska även autentiseringslagens bestämmelser om det säkerställande av identiteten som staten garanterar tillämpas. Den tillfogade hänvisningen garanterar också att hänvisningarna i 66 och 67 § till den lagstiftning som ska tillämpas är enhetliga. Detta är ändamålsenligt med tanke på certifikatverksamheten i praktiken. Utöver detta görs det även språkliga ändringar i 1 mom.  

74 a §.Rätt till begränsning av behandling. I paragrafen föreskrivs om undantag från artikel 18 i dataskyddsförordningen till den del personuppgifter behandlas i befolkningsdatasystemet eller i de system som hänför sig till verksamhet som bedrivs av Befolkningsregistercentralens certifikatutfärdare. Undantaget bygger på artikel 23.1 e) i dataskyddsförordningen.  

76 §.Rättelse av uppgifter. I paragrafen stryks de bestämmelser som gäller den personuppgiftsansvariges skyldighet att rätta, avföra eller komplettera sådana uppgifter i befolkningsdatasystemet som är felaktiga, onödiga, bristfälliga eller föråldrade. Dessutom stryks bestämmelserna om det förfarande som ska iakttas när den personuppgiftsansvarige inte godkänner den registrerades krav om att rätta en uppgift eller när en uppgift rättas i strid med den redogörelse som den berörda personen har lämnat. Bestämmelserna är onödiga därför att den registrerades rättigheter, de personuppgiftsansvarigas skyldigheter och reglerna om förfarandena kan härledas direkt ur dataskyddsförordningen, nämligen ur artikel 12.4 och den registrerades rättigheter i artiklarna 16 och 17. I fortsättningen kan den registrerade med stöd av dataskyddsförordningen kräva att hans eller hennes uppgifter ska rättas, avföras eller kompletteras. Dataskyddsförordningen omfattar i tillräcklig omfattning även registerförvaltningsmyndighetens skyldighet att på eget initiativ rätta felaktiga uppgifter. I artikel 5.1 d) förutsätts det att de uppgifter som behandlas är exakta och uppdateras vid behov. Den personuppgiftsansvarige ska vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt punkterna c) och e) i artikel 5.1 i förordningen ska även onödiga uppgifter raderas omedelbart 

I nya 1 mom. föreskrivs det på motsvarande sätt som i gällande 3 mom. att det ska begäras ett utlåtande om saken av Migrationsverket, om magistraten rättar en uppgift som gäller en registeranteckning om en utländsk medborgare. Formuleringen ändras på grund av att paragrafens struktur ändras, och förändrar således inte det rådande rättsläget.  

Nya 2 mom. motsvarar den bestämmelse i gällande 1 mom. som gäller det förfarande som ska iakttas när den personuppgiftsansvarige rättar uppgifter på eget initiativ. Innehållet eller språket i bestämmelsen ändras inte.  

78 §.Hänvisningar till straffbestämmelser. I paragrafens 2 mom. stryks hänvisningen till de personregisterförseelser som avses i personuppgiftslagen. Personuppgiftslagen upphävs, och i dataskyddslagen föreslås det ingen motsvarande bestämmelse. Dessutom ersätts hänvisningen till personregisterbrott i paragrafens 2 mom. med en hänvisning till dataintrång. Den terminologiska ändringen är en följd av den motsvarande ändring som föreslås i strafflagen.  

2. Ikraftträdande

Propositionen innehåller förslag till sådana bestämmelser som behöver träda i kraft samtidigt som dataskyddsförordningen, dvs. den 25 maj 2018, så att registerförvaltningsmyndigheterna kan fullgöra alla sina skyldigheter enligt dataskyddsförordningen. Propositionen hänför sig också till upphävandet av personuppgiftslagen och till den nya dataskyddslagen.  

Därmed föreslås lagen träda i kraft den 25 maj 2018. 

3. Förhållande till grundlagen och lagstiftningsordning

Enligt grundlagens 10 § 1 mom. ska vars och ens privatliv tryggas och skyddet av personuppgifter föreskrivas i lag. Hänvisningen till grundlagen om skydd för personuppgifter förutsätter att det ska lagstiftas om denna rättighet, men detaljerna lämnas åt lagstiftarens prövning. 

Enligt grundlagsutskottets etablerade praxis begränsas dock lagstiftarens handlingsutrymme av att skyddet av personuppgifter delvis ingår i det skydd för privatlivet som ingår i samma moment. Lagstiftaren ska trygga denna rättighet på ett sätt som kan anses godtagbart med tanke på systemet med de grundläggande fri- och rättigheterna. Utskottet har i sin avgörandepraxis åtminstone betraktat syftet med registreringen, innehållet i de personuppgifter som registreras, de tillåtna ändamålen för dem inklusive utlämnande av uppgifter samt förvaringstiden för uppgifter i ett personregister och den registrerades rättsskydd som viktiga aspekter att utfärda bestämmelser om med tanke på skyddet av personuppgifter. Dessutom ska regleringen av dessa faktorer på lagnivå vara omfattande och detaljerad (t.ex. GrUU 31/2017 rd, GrUU 13/2016 rd, s. 3—4).  

I propositionen föreslås inga ändringar av ändamålet för och datainnehållet i befolkningsdatasystemet. I den bestämmelse i 13 § i befolkningsdatalagen som gäller datainnehållet görs en teknisk ändring som inte ändrar innehållet i bestämmelsen. I fråga om den registrerades rättsskydd och de bestämmelser om när uppgifter kan lämnas ut föreslås det några ändringar. Innehållet i dessa samt deras överensstämmelse med grundlagen beskrivs nedan.  

Grundlagsutskottet har i sin praxis noterat vad och vem rätten att få uppgifter gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få uppgifter och möjlighet att lämna ut uppgifter har kunnat gälla ”behövliga uppgifter” för ett visst ändamål, om lagen ger en uttömmande förteckning över uppgiftsinnehållet. Om innehållet däremot inte anges i form av en förteckning, har det enligt utskottet krävts att det i lagstiftningen ingår ett krav på att "uppgifterna är nödvändiga" för ett visst syfte (se t.ex. GrUU 31/2017 rd, GrUU 17/2016 rd, s. 2—3 och de utlåtanden som nämns i det). 

Utskottet har i sin praxis även bedömt den kärna i skyddet av personuppgifter som utgör en del av privatlivet och som gäller tillåtelse av behandling av känsliga personuppgifter (GrUU 37/2913 rd, s. 2/I). När utskottet har bedömt omfattningen, exaktheten och innehållet i fråga om regleringen om de uppgifter som ska fås och lämnas ut trots sekretessen har utskottet beaktat att de uppgifter som lämnas ut är av känslig natur (se t.ex. GrUU 38/2016 rd, s. 3). 

Propositionen innehåller förslag till ändring av befolkningsdatalagens bestämmelser om utlämnande av uppgifter. När det gäller dessa bör det dock noteras att 13—17 § i befolkningsdatalagen innehåller detaljerade och noggrant avgränsade bestämmelser om de uppgifter som ska registreras i befolkningsdatasystemet. Det är endast en liten del av uppgifterna som kan klassificeras som känsliga. Befolkningsdatalagen innehåller även detaljerade bestämmelser om utlämnandet av uppgifterna och om de begränsningar som gäller behandlingen och utlämnandet av uppgifterna.  

I propositionen föreslås det att paragrafen om det särskilda utlämnande av uppgifter som gäller personmatriklar och släktforskning upphävs. När uppgifter lämnas ut för dessa ändamål ska man tillämpa 34 § 3 mom. i befolkningsdatalagen, enligt vilket uppgifter får lämnas ut när mottagaren har rätt att behandla uppgifterna med stöd av dataskyddsförordningen, dataskyddslagen eller någon annan lag, och när de allmänna förutsättningarna, inklusive uppgifternas nödvändighet för ett visst ändamål, uppfylls. För personmatriklar och släktforskning får man inte lämna ut uppgifter som kan anses vara känsliga. Till exempel adoptionsuppgifter eller uppgifter om fastställande av könstillhörighet kan med stöd av 38 och 40 § i befolkningsdatalagen inte lämnas ut för personmatriklar eller släktforskning. Sådana uppgifter kan lämnas ut när det grundar sig på ett behov och när den som tar emot uppgifterna har rätt att behandla uppgifterna. Lagens 34 § 3 mom. motsvarar de krav som grundlagsutskottet har ställt för utlämnande av uppgifter för personmatriklar eller släktforskning.  

I propositionen föreslås en ändring av bestämmelsen om utlämnande av uppgifter för historisk och vetenskaplig forskning, för sammanställning av statistik samt för myndigheters planerings- och utredningsuppgifter. I bestämmelsen stryks hänvisningen till personuppgiftslagen i fråga om förutsättningarna för behandling för dessa ändamål. Enligt förslaget ska det för dessa ändamål få lämnas ut sådana uppgifter som behövs för undersökningar, utredningar eller utförande av andra motsvarande uppgifter. På basis av de allmänna förutsättningarna i 28 § i befolkningsdatalagen krävs det dessutom att mottagaren har rätt att behandla uppgifterna enligt dataskyddsförordningen. Utlämnandet av känsliga uppgifter för dessa ändamål ska även i fortsättningen föreskrivas särskilt i 37—43 § i befolkningsdatalagen. För dessa ändamål får uppgifter lämnas ut när det grundar sig på ett behov och när den som tar emot uppgifterna har rätt att behandla uppgifterna enligt dataskyddsförordningen. Bestämmelsen motsvarar de krav som har ställts av grundlagsutskottet.  

I föreslagna 32 § i befolkningsdatalagen föreskrivs det med avvikelse från den gällande lagen att man som bakgrundsinformation för opinionsundersökningar ska få lämna ut uppgifter om personers könstillhörighet, ålder och modersmål, om det är fråga om en undersökning som har samhälleliga syften. Denna detaljerade bestämmelse om utlämnande av uppgifter uppfyller de krav som ställts av grundlagsutskottet. Bestämmelsen ändras inte i övrigt.  

Den ändring som föreslås i 43 § i befolkningsdatalagen är teknisk. Om förutsättningarna för behandling av personbeteckningar föreskrivs det i fortsättningen i dataskyddslagen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten i stället för personuppgiftslagen. Bestämmelsen ändras i enlighet med detta.  

I Europeiska unionens allmänna dataskyddsförordning fastställs reglerna för skydd för fysiska personer med avseende på behandling av personuppgifter samt de regler som gäller personuppgifternas fria flöde. Grundlagsutskottet har inte ansett att det finns något hinder för att till vissa delar uppfylla kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet av personuppgifter genom en ändamålsenligt beredd allmän unionsförordning eller genom en allmän nationell lag (GrUU 31/2017 rd, GrUU 5/2017 rd, s. 9, GrUU 38/2016 rd, s. 4, GrUU 54/2010 rd, s. 2/I—II). 

Enligt grundlagsutskottet är det viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se GrUU 31/2017 rd och 25/2005 rd). Utskottet har framhållit att det i regeringens proposition därför finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 31/2017 rd, GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2, GrUU 44/2016 rd, s. 4). 

I artikel 23 i dataskyddsförordningen ges medlemsstater nationellt handlingsutrymme vad gäller tillämpningsområdet för de registrerades rättigheter. I medlemsstaternas lagstiftning kan man genom lagstiftningsåtgärder begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12—22, 34 och 5, om man i begränsningen iakttar de grundläggande fri- och rättigheterna till centrala delar, och om begränsningen utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle så att det rättsgoda som avses i artikel 23 kan garanteras. En av grunderna för begränsning är enligt artikel 23.1 e) att en medlemsstats viktiga mål av generellt allmänt intresse kan säkerställas. Dessa mål gäller särskilt en medlemsstats viktiga ekonomiska eller finansiella intressen, folkhälsa och sociala trygghet.  

I propositionen föreslås det en bestämmelse genom vilken tillämpningsområdet i artikel 18 i dataskyddsförordningen begränsas så att den registrerade inte har rätt att begära begränsning av behandlingen av sina uppgifter i befolkningsdatasystemet eller i de system som hänför sig till verksamhet som bedrivs av Befolkningsregistercentralens certifikatutfärdare. Även om man inte gör undantag från artikeln, ska dess tillämpningsområde i befolkningsdatasystemet eller i de system som hänför sig till verksamhet som bedrivs av Befolkningsregistercentralens certifikatutfärdare begränsas så att en person kan begära att få behandlingen av uppgifterna begränsad om uppgifterna är felaktiga. Bestämmelsen är av betydelse även med tanke på den registrerades rättsskydd.  

I befolkningsdatalagen föreskrivs det i detalj om datainnehållet i befolkningsdatasystemet, om administreringen av uppgifterna inklusive säkerställandet av riktigheten hos dem, om utlämnandet av uppgifter samt om uppgifternas offentliga tillförlitlighet. I fråga om certifikatregistren finns de detaljerade bestämmelserna om behandlingen av personuppgifterna i befolkningsdatalagen och i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009). Dessa lagar innehåller detaljerade bestämmelser om datainnehållet i certifikatregister, om insamlingen av uppgifter, om säkerställandet av uppgifternas aktualitet och om utlämnandet av uppgifter. Till övriga delar ska dataskyddsförordningen tillämpas på behandlingen av befolkningsdatasystemet och uppgifterna i register inom certifikatverksamheten. I befolkningsdatalagen och i autentiseringslagen föreskrivs det om den registrerades rättsskydd på det sätt som grundlagsutskottet kräver, och genom den föreslagna lagen görs det ett exakt avgränsat undantag från den registrerades rättigheter. Bestämmelsen hör till det nationella handlingsutrymme som det föreskrivs om i artikel 23.  

I propositionen beaktas de allmänna förpliktelser och avgränsningar i lagstiftningen som gäller behandling av personuppgifter samt grundlagsutskottets avgörandepraxis som styr tolkningen av 10 § 1 mom. i grundlagen.  

De allmänna grunderna för statsförvaltningens organ ska anges i lag i enlighet med 119 § 2 mom. i grundlagen, om deras uppgifter innebär utövning av offentlig makt. Med de allmänna grunderna avses närmast enhetens namn, bransch och huvudsakliga uppgifter samt dess behörighet (RP 1/1998 rd, s 174/II). Grunderna för statens regional- och lokalförvaltning ska enligt 119 § 2 mom. i grundlagen föreskrivas i lag. Syftet med denna allmänna bestämmelse i grundlagen är att möjliggöra en flexibel utveckling av statsförvaltningen (RP 1/1998 rd, s. 173/II). Med grunderna för statens regional- och lokalförvaltning avses den allmänna strukturen på förvaltningen, som t.ex. grunderna för administrativ indelning. Till övriga delar får det föreskrivas om myndigheter inom regional- och lokalförvaltning genom förordning (GrUU 12/2004 rd, GrUU 42/2006 rd, GrUU 5/2008 rd).  

Grundlagsutskottet har i sin praxis förhållit sig restriktiv till sådan reglering som gör det möjligt att obegränsat överföra uppgifter till en annan myndighet. Utskottet har särskilt i samband med sådan reglering som har kopplingar till de grundläggande fri- och rättigheterna ansett att det är nödvändigt att den behöriga myndigheten framgår av lagen entydigt eller annars exakt eller att åtminstone utgångspunkten för myndigheternas behörighetsförhållanden och villkoren för att överföra behörighet ska framgå tillräckligt exakt av lagen (GrUU 18/2004 rd samt i denna nämnda GrUU 7/2001 rd, GrUU 21/2001 rd, GrUU 45/2001 rd, GrUU 47/2001 rd, GrUU 52/2001 rd och GrUU 17/2004 rd). 

Det föreslås att de bestämmelser i 22 § i befolkningsdatalagen som gäller övriga myndigheters behörighet ändras så att Migrationsverket får registrera begränsade uppgifter om utländska medborgare i befolkningsdatasystemet utan att den utländska medborgaren begär om detta. Ändringen innebär inte att antalet myndigheter som är berättigade att registrera uppgifter och ta emot begäranden ökar. Ändringen är av teknisk natur och syftar till att förbättra de utländska medborgarnas ställning genom att försnabba tilldelandet av personbeteckningen när Migrationsverket fattar ett positivt beslut om uppehållsrätten. Migrationsverkets behörighet ändras inte i övrigt. Ändringen innebär endast att det i vissa situationer blir möjligt att registrera uppgifter utan personens begäran. Förslaget överensstämmer med de krav som ställs i 119 § i grundlagen och som framgår av grundlagsutskottets avgörandepraxis gällande tolkningen av grundlagen.  

Enligt 80 § 1 mom. i grundlagen kan statsrådet och ministerierna utfärda förordningar med stöd av ett bemyndigande i grundlagen eller i någon annan lag. Bestämmelser om grunderna för individens rättigheter och skyldigheter samt om frågor som enligt grundlagen i övrigt hör till området för lag ska dock utfärdas genom lag. Bemyndiganden att utfärda förordning finns i föreslagna 22 och 32 §. Det föreslås dock inga ändringar av bemyndigandena att utfärda förordning. De bemyndiganden att utfärda förordning som föreslås motsvarar den gällande regleringen och uppfyller de villkor som anges i grundlagen.  

På de grunder som nämns ovan kan lagförslaget enligt regeringens uppfattning behandlas i vanlig lagstiftningsordning. 

Kläm 

Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 

Lagförslag

Lag  om ändring av lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster 

I enlighet med riksdagens beslut 
upphävs i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) 33 §, 
ändras 2 och 4 §, den svenska språkdräkten i 6 § 2 mom. samt 9 §, 13 § 1 mom. 21 punkten och 22 §, den svenska språkdräkten i rubriken för 3 kap., i det inledande stycket i 23 § 1 mom., i 23 § 2 mom., i det inledande stycket i 24 § 1 mom., i 25 §, i 26 § 1 mom. och i 27 § samt 28, 30 och 32 §, 34 § 3 mom., 35 §, 37 § 3 mom., 43 § 1 mom., 44, 64 och 66 §, 67 § 1 mom., den svenska språkdräkten i 70 § 1 mom. och i 75 § samt 76 § och 78 § 2 mom., 
av dem 2 § sådan den lyder delvis ändrad i lag 538/2016, den svenska språkdräkten i 6 § 2 mom. samt 67 § 1 mom. sådana de lyder i lag 538/2016, 9 § och den svenska språkdräkten i det inledande stycket i 24 § 1 mom. sådana de lyder i lag 145/2014, 22 § sådan den lyder i lagarna 145/2014 och 504/2016, den svenska språkdräkten i det inledande stycket i 23 § 1 mom., den svenska språkdräkten i 23 § 2 mom. och i 26 § 1 mom. samt 37 § 3 mom., den svenska språkdräkten i 75 § samt 76 § sådana de lyder i lag 670/2016 och 66 § sådan den lyder i lag 665/2016, samt 
fogas till 47 § ett nytt 4 mom. samt till lagen nya 50 a och 74 a §, som följer: 
2 § 
Lagens tillämpningsområde 
Denna lag tillämpas på administreringen, utnyttjandet och utvecklandet av befolkningsdatasystemet, uppgifterna i det och dess tjänster och på upprätthållandet, utnyttjandet och utvecklingen av den certifierade elektroniska kommunikation och de tjänster inom den som Befolkningsregistercentralen tillhandahåller. 
Om inte något annat föreskrivs i denna lag, ska följande lagar och rättsakter tillämpas: 
1) i fråga om offentlighet och sekretess för uppgifter i befolkningsdatasystemet lagen om offentlighet i myndigheternas verksamhet (621/1999),  
2) i fråga om certifierad elektronisk kommunikation och behandlingen av uppgifter i det certifikatregister som avses i denna lag, lagen om stark autentisering och betrodda elektroniska tjänster (617/2009),  
3) i fråga om behandlingen av personuppgifter
a) Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och
b) dataskyddslagen (/).
 
4 § 
Personuppgiftsansvariga inom befolkningsdatasystemet 
Magistraterna och Befolkningsregistercentralen bär det huvudsakliga personuppgiftsansvaret för befolkningsdatasystemet. Ansvaret för registerföringen fördelas mellan magistraterna och Befolkningsregistercentralen så som det föreskrivs närmare i denna eller någon annan lag eller med stöd av lag. Befolkningsregistercentralen bär det huvudsakliga personuppgiftsansvaret för användarregistret enligt 53 §, loggregistret enligt 56 § och händelsefilen enligt 59 §.  
Befolkningsregistercentralen ansvarar dessutom för den allmänna funktionsdugligheten, datatekniken, dataadministrationen och registerfunktionernas enhetlighet i fråga om det riksomfattande befolkningsdatasystem som drivs med hjälp av automatisk databehandling och de register som avses i 1 mom. 
Magistraten svarar för att den registrerades rättigheter enligt artikel 15, 16 och 21 i dataskyddsförordningen tillgodoses i befolkningsdatasystemet i förhållande till den registrerade. När det gäller fördelningen av den personuppgiftsansvariges skyldigheter enligt dataskyddsförordningen och dataskyddslagen iakttas i övrigt vad som i denna eller någon annan lag eller med stöd av lag föreskrivs om ansvaret för registerföringen. 
6 § 
Befolkningsregistercentralens certifierade elektroniska kommunikation och dess syfte 
 En icke ändrad del av lagtexten har utelämnats 
Befolkningsregistercentralen för ett sådant certifikatregister över utfärdade personcertifikat som det föreskrivs om i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG, nedan EU:s förordning om elektronisk identifiering. Befolkningsregistercentralen är personuppgiftsansvarig för certifikatregistret. 
 En icke ändrad del av lagtexten har utelämnats 
9 § 
Förutsättningar för registrering av utländska medborgare 
Uppgifter om utländska medborgare ska registreras i befolkningsdatasystemet, om dessa har hemkommun i Finland och bostad där enligt lagen om hemkommun (201/1994). Uppgifter om andra utländska medborgare kan registreras i befolkningsdatasystemet, om 
1) dessa har beviljats i utlänningslagen (301/2004) avsett uppehållstillstånd eller uppehållskort, om dessas uppehållsrätt har registrerats eller om Migrationsverket har fattat något annat positivt beslut om uppehållsrätt som gäller dem, 
2) dessa har en sådan tillfällig bostad i Finland som avses i lagen om hemkommun och registreringen behövs för att de ska kunna göra sina rättigheter gällande och fullgöra sina skyldigheter när det gäller arbete, studier eller andra motsvarande omständigheter,  
3) registreringen krävs för fullgörandet av skyldigheter enligt ett internationellt avtal som är bindande för Finland, eller 
4) registreringen behövs för att dessa utländska medborgare ska kunna göra sina rättigheter gällande och fullgöra sina skyldigheter eller av andra motsvarande särskilda och motiverade skäl. 
Om uppgifter om en utländsk medborgare inte har registrerats i befolkningsdatasystemet i ett fall som avses i 1 mom. 1 punkten, ska han eller hon lägga fram en motiverad begäran om registrering av uppgifterna hos den magistrat inom vars ämbetsdistrikt han eller hon uppger sig bo. 
Den myndighet som i befolkningsdatasystemet registrerar uppgifter om en utländsk medborgare ska försäkra sig om den utländska medborgarens identitet med hjälp av ett giltigt resedokument eller, om detta saknas, med hjälp av en annan handling eller utredning i enlighet med det förfarande som föreskrivs i 19 §.  
Om uppgifter om en utländsk medborgare i de fall som avses i 1 mom. 4 punkten registreras i befolkningsdatasystemet på initiativ av en myndighet och utan medverkan från personen själv, ska den personuppgiftsansvarige på det sätt som krävs enligt dataskyddsförordningen upplysa föremålet för registrering att personuppgifterna har behandlats. 
13 § 
Personuppgifter som registreras i systemet 
Följande uppgifter om personer som är föremål för registrering ska registreras i befolkningsdatasystemet: 
 En icke ändrad del av lagtexten har utelämnats 
21) enligt dataskyddsförordningen och denna lag anmälda förbud mot att lämna ut uppgifter ur befolkningsdatasystemet, och 
 En icke ändrad del av lagtexten har utelämnats 
22 § 
Övriga myndigheters behörighet 
Förutom hos magistraten kan utländska medborgare i de fall som avses i 9 § 1 mom. 1—4 punkten framställa en begäran om registrering av uppgifter hos Skatteförvaltningen. En begäran kan också framställas hos Folkpensionsanstaltens byrå, om Folkpensionsanstalten och Befolkningsregistercentralen kommit överens om det. 
Den som tar emot en begäran ska på det sätt som föreskrivs i denna lag i de situationer som avses i 1 mom. försäkra sig om identiteten hos den som framställer begäran och om tillförlitligheten hos de handlingar som visas upp som grund för registreringen av personuppgifterna. Folkpensionsanstaltens byrå ska utan dröjsmål sända begäran och de personuppgifter och handlingar som lagts fram i samband med den till den magistrat inom vars ämbetsdistrikt den utländska medborgaren uppger sig bo, för att uppgifterna ska kunna registreras i befolkningsdatasystemet. Närmare bestämmelser om de uppgifter som mottagaren ska fullgöra utfärdas genom förordning av statsrådet. 
Utöver vad som i 21 § 1 mom. föreskrivs om magistraternas behörighet får Skatteförvaltningen registrera uppgifter om utländska medborgare i befolkningsdatasystemet i de fall som avses i 9 § 1 mom. 1—4 punkten. Migrationsverket får registrera uppgifter om utländska medborgare i befolkningsdatasystemet i de fall som avses i 9 § 1 mom. 1 punkten. I de fall där Migrationsverket registrerar uppgifter om utländska medborgare kan en finsk beskickning ta emot de personuppgifter och handlingar som har lagts fram av den utländska medborgaren för registrering i befolkningsdatasystemet. Den finska beskickningen ska försäkra sig om identiteten hos den utländska medborgaren med hjälp av ett giltigt resedokument eller, om detta saknas, med hjälp av en annan handling eller utredning i enlighet med det förfarande som föreskrivs i 19 § samt utan dröjsmål sända personuppgifterna och handlingarna till Migrationsverket. Den myndighet som har registrerat uppgifterna svarar för de uppgifter som den har registrerat i befolkningsdatasystemet. 
Vid skötseln av en uppgift som nämns i 3 mom. ska vad som i 2 kap. föreskrivs om förutsättningar för registrering av utländska medborgare, kontroll av identiteten och förvaring av uppgifter iakttas. Den myndighet som har registrerat uppgifterna med stöd av 3 mom. ska i stället för magistraten se till att kopior av handlingar i anslutning till registreringen av utländska medborgare utfärdas i enlighet med 47 § 2 mom. när det gäller sådana utländska medborgare vars uppgifter myndigheten i fråga har registrerat i befolkningsdatasystemet. Närmare bestämmelser om förfarandena vid skötseln av uppgiften får utfärdas genom förordning av statsrådet. 
De myndigheter som nämns i 3 mom. får i befolkningsdatasystemet registrera de uppgifter om utländska medborgare som behövs för att dessa ska kunna tilldelas en personbeteckning samt övriga i 13 och 17 § avsedda nödvändiga uppgifter om utländska medborgare. Närmare bestämmelser om de uppgifter som avses ovan utfärdas genom förordning av statsrådet. 
Befolkningsregistercentralen kan komma överens med en kommun om att kommunen som personuppgiftsansvarig ska svara för att registeranteckningar om tillägg, ändringar eller rättelser som gäller uppgifter om byggprojekt, byggnader, lägenheter och lokaler inom kommunen görs i befolkningsdatasystemet på det sätt som föreskrivs i denna lag. För att kommunen ska kunna sköta denna uppgift får Befolkningsregistercentralen ge kommunen rätt att med hjälp av teknisk anslutning använda de uppgifter om byggprojekt, byggnader, lägenheter och lokaler som registrerats i befolkningsdatasystemet. 
3 kap. 
Den personuppgiftsansvariges rätt att få uppgifter samt skyldigheter att anmäla uppgifter 
23 § 
Rätt att få uppgifter från myndigheter 
Trots sekretessbestämmelserna har den personuppgiftsansvarige rätt att av andra myndigheter få i 13—17 § avsedda behövliga uppgifter som gäller dessa myndigheters verksamhetsområde för uppdatering av uppgifterna i befolkningsdatasystemet och för kontroll av uppgifternas riktighet och annan behandling av uppgifterna. De andra myndigheter som avses i denna paragraf är 
 En icke ändrad del av lagtexten har utelämnats 
Den personuppgiftsansvarige har emellertid inte rätt att få uppgifter som avses i 1 mom., om de uppgifter som innehas av en i 1 mom. nämnd myndighet har erhållits på basis av ett sådant internationellt avtal om informationsutbyte som förhindrar användningen av uppgifterna för att uppdatera och i övrigt behandla uppgifter i befolkningsdatasystemet. 
 En icke ändrad del av lagtexten har utelämnats 
24 § 
Annan rätt att få uppgifter 
Trots sekretessbestämmelserna har den personuppgiftsansvarige rätt att för att uppdatera och i övrigt behandla uppgifterna i befolkningsdatasystemet få följande uppgifter: 
 En icke ändrad del av lagtexten har utelämnats 
25 § 
Skyldighet att anmäla uppgifter 
De myndigheter som avses i 23 § och de personer, företag och organisationer som avses i 24 § ska anmäla uppgifter till den personuppgiftsansvarige inom befolkningsdatasystemet omedelbart efter det att det har konstaterats att uppgifterna behöver kompletteras, ändras eller rättas eller den personuppgiftsansvarige har begärt ytterligare uppgifter eller utredningar. Uppgifterna ska anmälas tillsammans med identifieringsuppgifter för personen, fastigheten, byggnaden, lägenheten eller lokalen. Närmare bestämmelser om hur skyldigheten att anmäla uppgifter ska fullgöras och om vad skyldigheten omfattar utfärdas genom förordning av statsrådet. 
Den personuppgiftsansvarige ska utan dröjsmål till verksamhetsenheten inom socialvården anmäla att ett barn på grund av vårdnadshavarens död har blivit utan vårdnadshavare. 
26 §  
Anmälning av uppgifter 
Uppgifter som registreras i befolkningsdatasystemet ska anmälas till den personuppgiftsansvarige skriftligen, på elektronisk väg, med hjälp av teknisk anslutning eller på något annat ändamålsenligt sätt som är tillförlitligt och säkert. Tillstånd att anmäla uppgifterna på något annat sätt än skriftligen beviljas av Befolkningsregistercentralen. Ett villkor för att tillstånd ska beviljas är att den som anmäler uppgifterna har lämnat Befolkningsregistercentralen en tillräcklig redogörelse för hur uppgifterna skyddas. 
 En icke ändrad del av lagtexten har utelämnats 
27 § 
Anmälarens ansvar 
Den som har i uppdrag att anmäla uppgifter för registrering i befolkningsdatasystemet ska se till att de uppgifter som anmäls till den personuppgiftsansvarige är tillförlitliga och hålls aktuella. 
4 kap. 
Offentlighet för uppgifterna i befolkningsdatasystemet och utlämnande av uppgifter 
28 § 
Allmänna förutsättningar för utlämnande av uppgifter 
Uppgifter i befolkningsdatasystemet får lämnas ut endast om förutsättningarna för utlämnande av uppgifter enligt denna lag är uppfyllda och inte något annat följer av en persons rätt att förbjuda att uppgifter om honom eller henne lämnas ut. Det krävs att de uppgifter som lämnas ut ur befolkningsdatasystemet behövs för det ändamål för vilket de lämnas ut. När uppgifter som hör till kategorierna av särskilda personuppgifter lämnas ut ska det säkerställas att mottagaren har rätt att behandla uppgifterna.  
Uppgifter får inte lämnas ut, om detta eller mottagarens verksamhet av grundad anledning kan misstänkas kränka skyddet för en persons privatliv eller skyddet för hans eller hennes personuppgifter, kränka hans eller hennes intressen eller rättigheter eller äventyra statens säkerhet. 
30 § 
Utlämnande av uppgifter för historisk och vetenskaplig forskning samt för sammanställning av statistik 
Sådana uppgifter som behövs för undersökningar, utredningar eller utförande av andra motsvarande uppgifter får lämnas ut ur befolkningsdatasystemet för historisk och vetenskaplig forskning, för sammanställning av statistik och för myndigheternas planerings- och utredningsuppdrag. 
32 § 
Utlämnande av uppgifter för skötsel av kundrelationer och för marknadsföring 
Ur befolkningsdatasystemet får det lämnas ut sådana uppgifter om den registrerade som behövs för att uppdatera, kontrollera och rätta uppgifter i kund- eller marknadsföringsregister eller motsvarande register och som avser för- och efternamn, födelseår, kön, modersmål, adress och övriga kontaktuppgifter samt sådana uppgifter med anknytning till personen som anges närmare genom förordning av statsrådet och som gäller fastigheter, byggnader, lägenheter eller lokaler och uppgifter om områdesindelningar. 
Namnuppgifter samt adressuppgifter och andra kontaktuppgifter om personer får lämnas ut ur befolkningsdatasystemet för direktreklam och annan direktmarknadsföring, för opinions- och marknadsundersökningar eller för annan med dessa jämförbar verksamhet. När uppgifter lämnas ut för dessa syften får som kriterium för behandlingen av uppgifterna användas personens namn, minst sex veckors ålder, kön, modersmål eller kontaktspråk, yrke eller uppgifter om yrkeskategori, adressuppgifter och andra kontaktuppgifter, en annan identifieringsuppgift för personen än sådana som avses i 38—42 § samt sådana uppgifter med anknytning till personen som anges närmare genom förordning av statsrådet och som gäller fastigheter, byggnader, lägenheter eller lokaler och uppgifter om områdesindelningar. Om det är fråga om en opinionsundersökning för samhälleliga syften, får som bakgrundsinformation för undersökningen utöver namn-, adress- och kontaktuppgifter lämnas ut uppgift om personens kön, åldersgrupp och modersmål. 
34 § 
Annat utlämnande av uppgifter 
 En icke ändrad del av lagtexten har utelämnats 
I övrigt får uppgifter lämnas ut ur befolkningsdatasystemet endast om sökanden har rätt att behandla dem med stöd av dataskyddsförordningen, dataskyddslagen eller någon annan lag. För utlämnande av uppgifter måste dock de allmänna förutsättningarna uppfyllas. 
35 § 
Allmän förbudsrätt 
Utöver det som föreskrivs i artikel 21 i dataskyddsförordningen har en person rätt att förbjuda att adress och andra kontaktuppgifter som gäller personen själv, dennes make eller maka som bor i samma hushåll och barn som personen i fråga har vårdnaden om lämnas ut för de syften som anges i 32 § och 34 § 1 mom. i denna lag. 
En person har dessutom rätt att förbjuda att uppgifter som gäller personen själv lämnas ut för en personmatrikel och för släktforskning. 
Förbudet enligt 1 mom. gäller inte fall där uppgifterna med stöd av 32 § 1 mom. eller i 34 § 1 mom. lämnas ut för verksamhet där de används för att en person, ett företag eller en organisation ska kunna göra sina rättigheter gällande eller fullgöra sina skyldigheter. Dessutom får Befolkningsregistercentralen med stöd av 32 § 2 mom. lämna ut uppgifter som omfattas av förbudet enligt 1 mom. för verksamhet där det är fråga om en utredning eller undersökning som gäller allmänna intressen eller personers rättigheter eller intressen. 
Anmälan om förbudet ska lämnas för registrering i befolkningsdatasystemet genom Befolkningsregistercentralens elektroniska tjänst eller till magistraten skriftligen eller på något annat tillförlitligt sätt som lämpar sig för ändamålet. 
37 § 
Behandling av uppgifter som omfattas av spärrmarkering 
 En icke ändrad del av lagtexten har utelämnats 
Magistraten ska utreda grunden för spärrmarkeringen eller höra den som omfattas av spärrmarkeringen eller hans eller hennes vårdnadshavare innan enskilda uppgifter som omfattas av spärrmarkeringen lämnas ut med stöd av denna lag eller artikel 15 i dataskyddsförordningen till andra än myndigheter. Ett skriftligt beslut ska fattas om utlämnande av enskilda uppgifter som omfattas av spärrmarkering till andra än myndigheter. Beslutet får verkställas trots ändringssökande, om den som omfattas av spärrmarkeringen eller hans eller hennes vårdnadshavare inte har motsatt sig utlämnandet av uppgifter. 
43 § 
Utlämnande av identifieringsuppgifter 
Personbeteckningar i befolkningsdatasystemet får lämnas ut, om den som använder uppgifterna har rätt att behandla personbeteckningarna med stöd av dataskyddslagen eller lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (/). I fråga om utlämnande av ett utländskt personnummer som registrerats i befolkningsdatasystemet tillämpas vad som i dataskyddslagen eller i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten föreskrivs om personbeteckningar. 
 En icke ändrad del av lagtexten har utelämnats 
44 § 
Redogörelse för användningen och skyddet av uppgifter 
Innan uppgifter lämnas ut får registerförvaltningsmyndigheten vid behov kräva att användaren lämnar en redogörelse för hur de utlämnade uppgifterna kommer att användas och skyddas. En sådan redogörelse ska krävas, om 
1) uppgifter lämnas ut med hjälp av en teknisk anslutning eller om det gäller en omfattande mängd data och det är fråga om utlämnande av sådana uppgifter som avses i 36—43 §, eller 
2) användningen av uppgifterna av annan grundad anledning kan antas kränka skyddet för en persons privatliv eller personuppgifter, kränka hans eller hennes intressen eller rättigheter eller äventyra statens säkerhet. 
Om det i de fall som avses i 1 mom. 1 punkten är fråga om utlämnande av uppgifter som anges i 43 § kan registerförvaltningsmyndigheten, i stället för en redogörelse, som en förutsättning för utlämnande av uppgifterna ställa upp sådana minimikrav för användning och skydd av uppgifterna som användaren måste förbinda sig att följa. 
Den redogörelse som avses i 1 mom. ska ges skriftligen och av den ska det framgå hur den administrativa och fysiska säkerheten för de uppgifter som lämnas ut samt säkerheten i fråga om personal, datakommunikation, programvara, datamaterial, användning och utrustning kommer att säkerställas. 
47 § 
Myndigheter som beslutar om utlämnande av uppgifter 
 En icke ändrad del av lagtexten har utelämnats 
Den registerförvaltningsmyndighet som enligt 1 eller 2 mom. beslutar om utlämnandet av uppgifter i befolkningsdatasystemet ska på motsvarande sätt besluta om produktion av sådana allmänt behövliga informationstjänster och statistiska tjänster som möjliggör att uppgifterna i befolkningsdatasystemet utnyttjas i enlighet med denna lag. 
50 a § 
Upphörande med att lämna ut uppgifter 
Om de förutsättningar för utlämnande av uppgifter som anges i denna lag inte längre uppfylls, kan registerförvaltningsmyndigheten upphöra med att lämna ut uppgifterna. I fråga om upphörande med att lämna ut uppgifter ska det fattas ett skriftligt beslut. 
64 § 
Ändring av elektroniska kommunikationskoder 
När beslut fattas om ändring av personbeteckning i sådana situationer som avses i 12 § 2 mom., ändras den elektroniska kommunikationskoden på tjänstens vägnar. Anmälan om att den elektroniska kommunikationskoden ändras ska göras till den som innehar koden. 
En elektronisk kommunikationskod som registrerats i befolkningsdatasystemet får även ändras, om  
1) ändringen är absolut nödvändig för att skydda personen i sådana situationer där hans eller hennes hälsa eller säkerhet är uppenbart och varaktigt hotad, eller 
2) någon annan än kommunikationskodens innehavare upprepade gånger har missbrukat koden och missbruket har orsakat betydande ekonomiska eller andra olägenheter för kodens rätta innehavare och om fortsatta skadliga verkningar på grund av missbruket faktiskt kan förhindras genom att kommunikationskoden ändras. 
I de fall som avses i 2 mom. ska den berörda personen skriftligen ansöka hos Befolkningsregistercentralen om att få kommunikationskoden ändrad. 
66 § 
Ansökan om och utfärdande av medborgarcertifikat 
Medborgarcertifikat kan utfärdas endast för finska medborgare samt för utlänningar som har i lagen om hemkommun avsedd hemkommun i Finland och vars uppgifter har registrerats i befolkningsdatasystemet och vars identitet har verifierats på ett tillförlitligt sätt. En förutsättning är dessutom att utlänningen har ett giltigt uppehållstillstånd eller uppehållskort eller att hans eller hennes uppehållsrätt är registrerad.  
På ansökan om medborgarcertifikat som ingår i ett identitetskort tillämpas lagen om identitetskort. På ansökan om medborgarcertifikat som ingår i en annan myndighetshandling eller ett tekniskt underlag tillämpas förfarandet enligt 67 § 2 och 3 mom., de krav i dataskyddsförordningen och dataskyddslagen som gäller behandlingen av personuppgifter samt de krav i lagen om stark autentisering och betrodda elektroniska tjänster som gäller utfärdande av certifikat. 
Den som tar emot ansökan ska iaktta de krav i dataskyddsförordningen och dataskyddslagen som gäller behandlingen av personuppgifter och de krav i lagen om stark autentisering och betrodda elektroniska tjänster och i EU:s förordning om elektronisk identifiering som gäller utfärdande av certifikat. 
67 § 
Ansökan om och utfärdande av andra certifikat 
Andra certifikat för fysiska personer som Befolkningsregistercentralen producerar och som inte är medborgarcertifikat kan utfärdas endast för finska medborgare samt för utlänningar som enligt lagen om hemkommun är stadigvarande bosatta i Finland och vars uppgifter har registrerats i befolkningsdatasystemet och vars identitet har kunnat konstateras på ett tillförlitligt sätt. Andra certifikat än medborgarcertifikat som Befolkningsregistercentralen producerar för fysiska personer kan av särskilda och motiverade skäl också beviljas personer vars identitet har kunnat konstateras tillförlitligt även om de inte uppfyller övriga ovannämnda villkor för att få certifikat. Sådana certifikat kan på sökandens begäran ingå i handlingar, kort och tekniska underlag som används vid elektronisk kommunikation och som utfärdas av en myndighet, ett företag eller en organisation. Befolkningsregistercentralen kan komma överens med en myndighet, ett företag eller en organisation som utfärdar handlingar eller tekniska underlag om att ansökningar om certifikat personligen kan lämnas in till myndigheten, företaget eller organisationen för vidarebefordran till Befolkningsregistercentralen. Befolkningsregistercentralen ska då se till att den som tar emot ansökan iakttar de krav i dataskyddsförordningen och dataskyddslagen som gäller behandlingen av personuppgifter och de krav i lagen om stark autentisering och betrodda elektroniska tjänster och i EU:s förordning om elektronisk identifiering som gäller utfärdande av certifikat. 
 En icke ändrad del av lagtexten har utelämnats 
70 § 
Databehandlingstjänster 
På uppdrag av en personuppgiftsansvarig får Befolkningsregistercentralen åta sig att sköta den tekniska driften och databehandlingen av det register eller datasystem som denne svarar för (databehandlingstjänster). Befolkningsregistercentralens uppdragsgivare kan vara endast statliga eller kommunala myndigheter eller andra sådana personuppgiftsansvariga som enligt lag eller förordning som utfärdats med stöd av lag har rätt att föra register. När Befolkningsregistercentralen tillhandahåller databehandlingstjänster får den använda sig av uppgifterna i befolkningsdatasystemet på det sätt som föreskrivs i denna eller någon annan lag. Befolkningsregistercentralen har inte rätt att besluta om annan behandling av uppgifterna i det register som uppdraget gäller eller om utlämnande av uppgifter ur registret. 
 En icke ändrad del av lagtexten har utelämnats 
74 a § 
Rätt till begränsning av behandling 
Artikel 18 i dataskyddsförordningen tillämpas inte på befolkningsdatasystemet och inte heller på system som hänför sig till verksamhet som bedrivs av Befolkningsregistercentralens certifikatutfärdare. 
75 §  
Förfarande vid registrering av uppgifter 
Innan uppgifter registreras i befolkningsdatasystemet ska den personuppgiftsansvarige försäkra sig om vem som anmält uppgifterna och om dennes rätt att anmäla uppgifter samt om att anmälan i övrigt är tillförlitlig. Den personuppgiftsansvarige ska registrera uppgifterna i befolkningsdatasystemet utan obefogat dröjsmål.  
Om en anteckning som den personuppgiftsansvarige har gjort i befolkningsdatasystemet avviker från det som den registrerade har anmält eller om anteckningen inte ens efter en begäran om ytterligare utredningar har kunnat göras i enlighet med den registrerades önskan, ska den personuppgiftsansvarige fatta ett skriftligt beslut och underrätta den registrerade om beslutet och om möjligheten att begära omprövning av beslutet med stöd av denna eller någon annan lag. 
76 § 
Rättelse av uppgifter 
Om magistraten rättar en uppgift som gäller en sådan registeranteckning om en utländsk medborgare som avses i 10 §, ska magistraten innan ärendet avgörs begära ett utlåtande om saken av Migrationsverket. 
Om den personuppgiftsansvarige på eget initiativ rättar en uppgift i registret, ska den personuppgiftsansvarige innan uppgiften rättas vid behov ge den vars rättigheter, intressen eller skyldigheter anteckningen gäller tillfälle att inom utsatt tid lämna en redogörelse. Den personuppgiftsansvarige kan dock rätta ett uppenbart fel i registret utan att ge sådant tillfälle att lämna redogörelse. 
78 § 
Hänvisningar till straffbestämmelser 
 En icke ändrad del av lagtexten har utelämnats 
Bestämmelser om straff för dataintrång i befolkningsdatasystemet eller ett datasystem för certifierad elektronisk kommunikation finns i 38 kap. 8 § i strafflagen och för dataskyddsbrott i ett datasystem i 9 § i det kapitlet. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 
Helsingfors den 15 mars 2018 
StatsministerJuhaSipilä
Kommun- och reformministerAnuVehviläinen