Regeringens proposition
RP
224
2018 rd
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i migrationsförvaltningen och till vissa lagar som har samband med den
PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL
I denna proposition föreslås att det stiftas en lag om behandling av personuppgifter i migrationsförvaltningen. Lagen ska tillämpas på behandling av personuppgifter i migrationsförvaltningen. Avsikten är att lagen ska ersätta lagen om utlänningsregistret, som föreslås bli upphävd. I den föreslagna lagen koncentreras bestämmelserna i de andra lagar inom migrationsförvaltningens förvaltningsområde som gäller behandlingen av personuppgifter. I propositionen ingår också förslag till lagar om ändring av lagen om mottagande av personer som söker internationellt skydd och om identifiering av och hjälp till offer för människohandel, lagen om bemötande av utlänningar som tagits i förvar och om förvarsenheter, lagen om främjande av integration, medborgarskapslagen, lagen om Migrationsverket, säkerhetsutredningslagen, lagen om Enheten för utredning av grå ekonomi och utlänningslagen.  
Målet är att bestämmelserna om behandling av personuppgifter i migrationsförvaltningen i fortsättningen ska finnas i en lag som uppfyller kraven på en modern personuppgiftslag och som kompletterar Europeiska unionens dataskyddsförordning, dataskyddslagen och den kommande lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten.  
De föreslagna lagarna avses träda i kraft så snart som möjligt. 
ALLMÄN MOTIVERING
1
Inledning
I denna proposition föreslås att det stiftas en lag om behandling av personuppgifter i migrationsförvaltningen. Lagen ska tillämpas på behandling av personuppgifter i migrationsförvaltningen. Till lagen koncentreras bestämmelser i migrationsförvaltningens lagar om behandling av personuppgifter i migrationsförvaltningen. Målet är att bestämmelserna om behandling av personuppgifter i migrationsförvaltningen i fortsättningen ska finnas i en lag som uppfyller kraven enligt en modern personuppgiftslag och som säkerställer enhetligheten i behandlingen av personuppgifter i alla de fall då personuppgifter behandlas i migrationsförvaltningen. Målet är att säkerställa att skyddet för privatlivet enligt 10 § 1 mom. i grundlagen samt kravet om att bestämmelser om skydd för personuppgifter ska utfärdas genom lag uppfylls i laga ordning i migrationsförvaltningen. Med beaktande av att de personuppgifter som behandlas i migrationsförvaltningen är av känslig karaktär, är den föreslagna personuppgiftslagen nödvändig på grund av de risker och hot som behandlingen medför. 
Lagen ska ersätta lagen om utlänningsregistret (1270/1997), nedan utlänningsregisterlagen. Utlänningsregisterlagen innehåller registerbestämmelser enligt utlänningslagen (301/2004), medborgarskapslagen (359/2003), lagen om villkor för tredjelandsmedborgares inresa och vistelse för säsongsanställning (907/2017), nedan lagen om säsongsanställning, lagen om villkor för inresa och vistelse för tredjelandsmedborgare inom ramen för företagsintern förflyttning av personal (908/2017), nedan ICT-lagen, och lagen om villkoren för tredjelandsmedborgares inresa och vistelse på grund av forskning, studier, praktik och volontärarbete (719/2018), nedan forskar- och studerandelagen. Även registerbestämmelser i annan lagstiftning på migrationsförvaltningens område ska koncentreras till den föreslagna lagen, dvs. bestämmelserna i lagen om mottagande av personer som söker internationellt skydd och om identifiering av och hjälp till offer för människohandel (746/2011), nedan mottagandelagen, och i lagen om bemötande av utlänningar som tagits i förvar och om förvarsenheter (116/2002), nedan förvarslagen. Dessutom föreslås det att till lagen fogas registerbestämmelserna i lagen om främjande av integration (1386/2010), nedan integrationslagen, som hör till arbets- och näringsministeriets förvaltningsområde. Det registerbaserade regleringssättet ersätts genom bestämmelser om behandling av personuppgifter. I propositionen ingår också förslag till lagar om ändring av medborgarskapslagen, lagen om Migrationsverket, säkerhetsutredningslagen och lagen om Enheten för utredning av grå ekonomi och utlänningslagen. 
Propositionen ingår i totalrevideringen av Finlands dataskyddslagstiftning. Revideringen grundar sig på Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, nedan dataskyddsförordningen, samt Europarlamentets och rådet direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan dataskyddsdirektivet. Dataskyddsförordningen tillämpas från den 25 maj 2018. På det nationella planet kommer dataskyddsförordningen i fortsättningen att preciseras och kompletteras genom dataskyddslagen, och propositionen med förslag till dataskyddslag (RP 9/2018 rd) behandlas för närvarande av riksdagen. Dataskyddslagen ska ersätta lagen om behandling av personuppgifter (523/1999), nedan personuppgiftslagen, som sedan 1999 har tillämpats på behandlingen av personuppgifter i Finland. Dataskyddsdirektivet genomförs genom lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten, nedan dataskyddslagen för brottmål. Propositionen med förslag till dataskyddslag för brottmål (RP 31/2018 rd) behandlas för närvarande av riksdagen. Dataskyddsförordningen och lagstiftningen som kompletterar den tillämpas när det är fråga om behandling av personuppgifter på något annat område än tillämpningsområdet för dataskyddsdirektivet och dataskyddslagen för brottmål genom vilken direktivet genomförs. 
Dataskyddsförordningen och dataskyddslagen kommer som regel att tillämpas vid migrationsförvaltningen. Lagen om behandling av personuppgifter i migrationsförvaltningen ska komplettera och precisera dataskyddsförordningen och dataskyddslagen i den mån det är tillåtet inom ramen för det nationella handlingsutrymme som medges medlemsstaternas lagstiftare och nödvändigt med beaktande av behoven vid migrationsförvaltningen för att skyddet för personuppgifter ska kunna genomföras. Dataskyddsförordningen, dataskyddslagen och den speciallagstiftning som kompletterar den ska tolkas som en helhet. Vid migrationsförvaltningen ska dataskyddslagen för brottmål tillämpas när personuppgifter behandlas i syfte att skydda den nationella säkerheten. 
2
Nuläge
2.1
Lagstiftning och praxis
2.1.1
2.1.1 Inledning
Enligt 2 § i grundlagen ska utövning av offentlig makt bygga på lag. I all offentlig verksamhet ska lagen noggrant iakttas. I 10 § i grundlagen ingår bestämmelser om skyddet för privatlivet. Enligt 1 mom. i paragrafen är vars och ens privatliv, heder och hemfrid tryggade. Närmare bestämmelser om skydd av personuppgifter utfärdas genom lag. Skyddet för privatlivet har av tradition medfört en skyldighet för staten att såväl själv avhålla sig från att kränka medborgarnas privatliv som att också aktivt agera mot kränkningar av privatlivet. Utgångspunkten för skyddet för privatlivet är individens rätt att leva sitt eget liv utan att myndigheter och andra utomstående godtyckligt eller grundlöst ingriper i hans eller hennes privatliv. 
I förslaget till grundlag avser laghänvisningarna dels att förbehålla en reglering genom lag, dels att framhäva att regleringen i detalj föreskrivs utifrån det komplex som grundlagen och en vanlig lag utgör. Enligt grundlagsutskottets etablerade praxis begränsas lagstiftarens handlingsutrymme förutom av denna bestämmelse också av att skyddet av personuppgifter delvis omfattas av det skydd för privatlivet som tryggas i samma moment. Lagstiftaren ska trygga dessa rättigheter på ett sätt som kan anses godtagbart med tanke på det samlade systemet med grundläggande fri- och rättigheter. Enligt grundlagsutskottets etablerade praxis är viktiga regleringsobjekt när det gäller skyddet av personuppgifter åtminstone regleringens syfte, innehållet i de registrerade personuppgifterna, tillåtna användningsändamål liksom möjligheterna att lämna ut uppgifterna samt lagringstiden för dem i personregistret och den registrerades rättssäkerhet. Dessutom ska regleringen av dessa faktorer på lagnivå vara heltäckande, exakt och noggrant avgränsad (GrUU 14/2018 rd s. 2, GrUU 25/1998 rd s. 2). Grundlagsutskottet har också enligt tidigare praxis ansett att användningen av teknisk anslutning när det gäller skyddet av personuppgifter hör till de faktorer som ska regleras på lagnivå (GrUU 12/2002 rd). Enligt grundlagsutskottets utlåtandepraxis lämpar sig dessa synpunkter för reglering av användningen av personuppgifter också i vidare bemärkelse. 
Grundlagsutskottet har dock nyligen sett över sin praxis beträffande regleringen av skyddet av personuppgifter (GrUU 14/2018 rd). Enligt grundlagsutskottets nyare praxis kan kraven på att regleringen när det gäller skyddet av personuppgifter ska vara heltäckande, exakt och noggrant avgränsad i viss mån uppfyllas också genom en förordning utfärdad av Europeiska unionen eller en allmän lag som ingår i den nationella lagstiftningen. I princip är det tillräckligt om bestämmelserna om skyddet och behandlingen av personuppgifter är förenliga med dataskyddsförordningen. Enligt grundlagsutskottet ska skyddet av personuppgifter i fortsättningen i första hand tillgodoses med stöd av dataskyddsförordningen och den nya nationella allmänna lagstiftningen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom dataskyddsförordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter. Den nationella speciallagstiftningen bör reserveras bara för situationer då den dels är tillåten enligt dataskyddsförordningen, dels är nödvändig för skyddet av personuppgifter (GrUU 14/2018 rd s. 3—4, GrUU 2/2018 rd s. 4—8). 
Enligt grundlagsutskottet är det samtidigt uppenbart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter. Följaktligen menar utskottet att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter det. Där har behandlingen av känsliga uppgifter begränsats med exakta och noggrant avgränsade bestämmelser bara till det nödvändiga (GrUU 14/2018 rd). 
På behandlingen av personuppgifter i migrationsförvaltningen tillämpas i fortsättningen dataskyddslagen, som i egenskap av allmän lag preciserar och kompletterar dataskyddsförordningen. Enligt regeringens proposition RP 9/2018 rd ska i 1 kap. i dataskyddslagen ingå allmänna bestämmelser som gäller lagens tillämpningsområde, enligt vilka lagen tillämpas i enlighet med tillämpningsområdet för artikel 2 i dataskyddsförordningen och dessutom med vissa undantag också på sådan behandling av personuppgifter som inte hör till tillämpningsområdet för unionsrätten, om inte något annat föreskrivs någon annanstans i lag. I 2 kap. i dataskyddslagen föreskrivs om den rättsliga grunden för behandling av personuppgifter i vissa fall, såsom laglig behandling av personuppgifter och behandling av särskilda kategorier av personuppgifter. I 3 kap. ingår bestämmelser om tillsynsmyndigheter, dvs. dataombudsmannen och dennes uppgifter och befogenheter samt sakkunnignämnden. I 4 kap. föreskrivs om rättssäkerhet och påföljder, såsom rätten att föra ärenden till dataombudsmannen, vite och administrativa påföljdsavgifter. Dataskyddslagens 5 kap. innehåller bestämmelser om särskilda behandlingssituationer, såsom behandlingen av personuppgifter för journalistiska, akademiska, konstnärliga eller litterära ändamål, behandlingen av personbeteckningar samt undantag och skyddsåtgärder som avser behandlingen av personuppgifter för vetenskapliga och historiska forskningsändamål samt statistiska ändamål. I 6 kap. ingår särskilda bestämmelser samt ikraftträdande- och övergångsbestämmelser. 
Dataskyddsförordningen tillämpas när det är fråga om behandlingen av personuppgifter på något annat område än tillämpningsområdet för dataskyddslagen för brottmål genom vilken dataskyddsdirektivet verkställs. Beträffande den i denna proposition föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen ska dataskyddslagen för brottmål tillämpas när personuppgifter behandlas i syfte att skydda den nationella säkerheten. Enligt regeringens proposition som gäller dataskyddslagen för brottmål (RP 31/2018 rd) ska 1 kap. innehålla allmänna bestämmelser, 2 kap. principerna för behandling av personuppgifter, 3 kap. bestämmelser om personuppgiftsansvarig och personuppgiftsbiträde, 4 kap. bestämmelser om de registrerades rättigheter, 5 kap. bestämmelser om informationssäkerhet, 6 kap. bestämmelser om dataskyddsombud, 7 kap. bestämmelser om överföringar av personuppgifter till tredjeländer och internationella organisationer, 8 kap. bestämmelser om tillsynsmyndighet, 9 kap. bestämmelser om rättsskydd, 10 kap. särskilda bestämmelser och 11 kap. ikraftträdande- och övergångsbestämmelser. 
Enligt regeringens proposition om dataskyddslagen för brottmål ska lagen tillämpas av myndigheter Lagen ska tillämpas av myndigheter vars behörighet omfattar förebyggande, utredning och avslöjande av brott eller åklagarverksamhet som har samband med brott, dömande till straffrättsliga påföljder eller verkställande av straffrättsliga påföljder. Sådana myndigheter är bland annat polisen, Gränsbevakningsväsendet, Tullen, åklagarna, domstolarna och Brottspåföljdsmyndigheten. Dessa myndigheter ska dock tillämpa den föreslagna lagen bara när de behandlar personuppgifter i ovannämnda syfte, dvs. till exempel i samband med utredning av brott eller vid handläggning av brottmål i domstol. Lagen ska dessutom tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter vid upprätthållandet av den nationella säkerheten. Behöriga myndigheter är till denna del Försvarsmakten, Gränsbevakningsväsendet och polisen, i synnerhet skyddspolisen. Till denna del grundar sig den föreslagna lagens tillämpningsområde inte på genomförandet av direktivet, utan det är fråga om en nationell lösning. Eftersom Migrationsverket i regeringspropositionen inte klassificeras som en myndighet som skyddar den nationella säkerheten, ska tillämpningsområdet för den nationella säkerheten enligt den i denna proposition föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen gälla polisen och Gränsbevakningsväsendet. 
Vid sidan av de allmänna lagarna finns många speciallagar som reglerar behandlingen av personuppgifter. Utlänningsregisterlagen trädde i kraft 1998. Lagen stiftades före offentlighetslagen, personuppgiftslagen och grundlagen. På migrationsförvaltningens område ingår registerbestämmelser dessutom som särskilda kapitel i flera andra lagar. 
Såväl i migrationsförvaltningens omvärld som i sättet att reglera skyddet av personuppgifter har det skett betydande förändringar, vilket har lett till att utlänningsregisterlagen i viss mån är föråldrad och inte i alla avseenden motsvarar sitt syfte. Särskilda registerbestämmelser som införts i vissa av migrationsförvaltningens lagar gör att helheten blir splittrad. Behandlingen av personuppgifter har fått större betydelse i takt med digitaliseringen av tjänster och information. Övergången till en digital tidsålder ställer krav också på behandlingen av personuppgifter i situationer då man inom tjänsteproduktionen har övergått från en dokumentbaserad informationshantering till ett faktabaserat sätt att hantera information. I centrum står inte längre att föreskriva om register, informationssystem eller dokument, utan om på vilka grunder och hur personuppgifter behandlas så att nödvändig information blir tillgänglig, dock med respekt för integritetsskyddet och genom att säkerställa genomförandet. Regleringen bedöms inte bara med tanke på de grundläggande fri- och rättigheterna, såsom skyddet av personuppgifter och för privatlivet, utan myndigheternas flexibla samordning av information och grundläggande fri- och rättigheter är en central del av god förvaltning, fungerande samarbete mellan myndigheter och avveckling av normer. Genom att dela information kan man generera ny information och genom att förädla informationen öka dess värde. Att utnyttja information är dock inte problemfritt, utan det kräver högkvalitativ informationshantering som bygger på modern lagstiftning. 
Mängden ärenden som behandlas vid migrationsförvaltningen har ökat stadigt under de tio senaste årtiondena. År 2016 fanns det i Finland närmare fyra gånger fler invånare med utländsk bakgrund än 1997. Ökningen av antalet ärenden vid migrationsförvaltningen jämsides med det allt mer mångskiftande verksamhetsfältet har ställt krav på en effektivare digitaliserad ärendehantering än tidigare. 
2.1.2
2.1.2 Behandlingen av personuppgifter i migrationsförvaltningen
Lagstiftning som ger behörighet 
Vid migrationsförvaltningen finns ett stort antal myndigheter. De viktigaste aktörerna på migrationsförvaltningens område är Migrationsverket, polisen, Gränsbevakningsväsendet, flyktingförläggningar, flyktingsslussar, förvarsenheter, utrikesförvaltningen samt närings-, trafik- och miljöcentraler (NTM-centraler). Behörigheten hos myndigheterna vid migrationsförvaltningen grundar sig på flera lagar. På utlänningars inresa, utresa samt vistelse och arbete i Finland tillämpas utlänningslagen och de bestämmelser som utfärdats med stöd av den. I medborgarskapslagen föreskrivs om villkoren för att förvärva, behålla eller förlora finskt medborgarskap samt om förfarandet vid behandlingen av ett sådant ärende. I lagen om säsongsanställning ingår bestämmelser om villkoren för tredjelandsmedborgares inresa och vistelse för säsongsanställning, om tillstånd som beviljas säsongsanställda och säsongsanställdas rättigheter under vistelsen i landet. ICT-lagen innehåller bestämmelser om villkoren för inresa för tredjelandsmedborgare som förflyttas till Europeiska unionens territorium, om tillstånd som beviljas personer som är föremål för företagsintern förflyttning och om deras rättigheter under vistelsen i landet. Forskar- och studerandelagen innehåller bestämmelser om villkoren för tredjelandsmedborgares inresa och vistelse på grund av forskning, studier, praktik och volontärarbete. I utlänningsregisterlagen ingår bestämmelser om de personregister som förs för att de befogenheter och uppgifter som följer av lagarna ovan ska kunna fullföljas. 
Mottagandelagen tillämpas på mottagandet av personer som söker internationellt skydd och som får tillfälligt skydd samt på hjälpen till offer för människohandel. I förvarslagen ingår bestämmelser om hur bemötandet av utlänningar som tagits i förvar med stöd av 121 och 122 § i utlänningslagen ska ordnas i förvarsenheter som särskilt reserverats för detta ändamål. Syftet med integrationslagen, som hör till arbets- och näringsministeriets förvaltningsområde, är att stödja och främja integration och invandrares möjligheter att aktivt delta i det finländska samhället. Lagen innehåller registerbestämmelser om anvisande av kommun. Behandlingen av personuppgifter för anvisande av kommun kommer att koncentreras till ett informationssystem som administreras av Migrationsverket. De personregister som förs på tillämpningsområdet för lagarna ovan regleras i respektive lag i särskilda kapitel. I det avseendet har registerregleringen inte koncentrerats. 
Vid migrationsförvaltningen finns många myndigheter, vilket är ett att migrationsförvaltningens särdrag. Centrala aktörer på migrationsförvaltningens område är bland annat Migrationsverket, polisen, Gränsbevakningsväsendet, förläggningar och flyktingslussar, förvarsenheter, utrikesförvaltningen, närings-, trafik- och miljöcentraler (NTM-centraler) samt arbets- och näringsbyrån. Det bör noteras att en stor del av myndigheterna, till exempel polisen och Gränsbevakningsväsendet, agerar förutom som migrationsmyndighet också i sina egna så kallade kärnuppgifter, dvs. i rollen som polismyndighet eller gränsbevakningsmyndighet. Om inte något annat föreskrivs någon annanstans i lag grundar sig dessa myndigheters uppgifter och behörighet i sådana fall på polislagen (872/2011) och gränsbevakningslagen (578/2005), och personuppgifter behandlas huvudsakligen med stöd av lagen om behandling av personuppgifter i polisens verksamhet (761/2003) och lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005), vilka revideras för närvarande. 
Registerbestämmelser 
Insamling och registrering av personuppgifter i utlänningsregistret samt användning och utlämnande av de registrerade uppgifterna regleras i utlänningsregisterlagen. Denna lag innehåller dessutom bestämmelser om sekretess när det gäller uppgifter och handlingar som erhållits för skötseln av uppgifter enligt lagens tillämpningsområde. Utlänningsregisterlagen är en speciallag i förhållande till dataskyddslagen och offentlighetslagen. I utlänningsregisterlagen ingår sjutton paragrafer. 
Utlänningsregisterlagens 1 kap. innehåller allmänna bestämmelser. I 1 § i lagen föreskrivs om lagens tillämpningsområde. Enligt paragrafen bestäms i lagen om inhämtande och införande av personuppgifter i utlänningsregistret samt om användning och utlämnande av uppgifter som finns i registret. Paragrafen innehåller en hänvisning till den allmänna lagen om skyddet av personuppgifter och till internationella avtal som är bindande för Finland. I 2 § i utlänningsregisterlagen föreskrivs om registerföring och ändamålet med registret. Enligt bestämmelsen är utlänningsregistret ett personregister som förs med hjälp av automatisk databehandling. Utlänningsregistret förs och används som underlag för behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse och arbete i Finland, för tryggande av statens säkerhet och för genomförande av sådana säkerhetsutredningar som avses i säkerhetsutredningslagen (726/2014). Utlänningsregistret förs dessutom som underlag för behandling av och beslut i ärenden som gäller förvärv, behållande och förlust av finskt medborgarskap samt bestämmande av medborgarskapsstatus. Utlänningsregistrets uppgifter kan användas för att ta fram statistik enligt nationella och internationella behov med beaktande av personuppgiftslagens bestämmelser om behandling av personuppgifter. 
I 3 § i utlänningsregisterlagen föreskrivs om registeransvariga. Enligt paragrafen bär Migrationsverket och utrikesministeriet som registeransvariga det huvudsakliga ansvaret för utlänningsregistret. Det huvudsakliga ansvaret för registret har uppdelats mellan parterna på basis av utlänningsregistrets åtta delregister så att utrikesministeriet bär ansvaret för delregistret för visumärenden och delregistret för inresevillkor. Migrationsverket ansvarar för övriga delregister. Dessutom förs och används utlänningsregistret också av polisen, Gränsbevakningsväsendet, Tullen, närings-, trafik- och miljöcentralerna, arbets- och näringsbyråerna, arbetarskyddsmyndigheterna, fångvårdsmyndigheterna, diskrimineringsombudsmannen samt högsta förvaltningsdomstolen och de regionala förvaltningsdomstolarna. Anställda hos de myndigheter som för och använder registret har rätt att med hjälp av en teknisk anslutning se och behandla uppgifter som förts in i utlänningsregistret bara inom ramen för sina befogenheter. 
I 3 a § i utlänningsregisterlagen föreskrivs om användning av fingeravtrycksuppgifter i delregistret för främlingspass och resedokument för flykting. De fingeravtryck som tagits för ansökningar om främlingspass och resedokument för flykting ska registrerats i delregistret för främlingspass och resedokument för flykting. Fingeravtrycken får användas av Migrationsverket, polisen, Gränsbevakningsväsendet och Tullen, när myndigheten fullgör uppgifter som hör till gränskontrollmyndigheten, och av utrikesministeriet och finska beskickningar. Fingeravtryck får användas bara för fastställande av identitet och tillverkning av främlingspass eller resedokument för flykting. Polisen har dessutom rätt att använda fingeravtrycksuppgifter på det sätt som föreskrivs i 16 a § i lagen om behandling av personuppgifter i polisens verksamhet (761/2003). 
I 3 b § föreskrivs om användning och jämförelse av fingeravtrycksuppgifter i delregistret för ansökningsärenden. Fingeravtryck som tas för ansökan om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem ska införas i delregistret för ansökningsärenden. Fingeravtrycken får användas av Migrationsverket, polisen, gränskontrollmyndigheten och finska beskickningar. Fingeravtryck som införs i registret får bara användas för att inom ramen för befogenheter i anknytning till de ändamål som anges i 2 § 2 mom. verifiera autenticiteten av ett uppehållstillståndskort och identiteten hos innehavaren av ett uppehållstillstånd, för behandling och övervakning av och beslut i ärenden som gäller utlänningars inresa och utresa samt vistelse och arbete och för tryggande av statens säkerhet. En myndighet som har rätt att använda uppgifterna har rätt att jämföra dem med tidigare registrerade fingeravtryck i delregistret för ansökningsärenden och med fingeravtrycksuppgifter i delregistret för främlingspass och resedokument för flykting och med fingeravtryck som med stöd av 131 § i utlänningslagen registrerats i det informationssystem för förvaltningsärenden som avses i 3 § i lagen om behandling av personuppgifter i polisens verksamhet. Dessutom får uppgifter för kontroll av inreseförutsättningarna jämföras med fingeravtryck bland de signalementsuppgifter enligt 2 § 3 mom. 7 punkten i lagen om behandling av personuppgifter i polisens verksamhet som finns registrerade i informationssystemet för polisärenden, när de redan registrerade fingeravtrycksuppgifterna har samband med ett brott för vilket det föreskrivna strängaste straffet är fängelse i minst ett år. Polisen har dessutom rätt att använda de fingeravtrycksuppgifter som registrerats i delregistret för ansökningsärenden på det sätt som föreskrivs i 16 a § i lagen om behandling av personuppgifter i polisens verksamhet. 
Enligt 4 § i utlänningsregisterlagen ansvarar en registeransvarig som för in uppgifter i utlänningsregistret vid skötseln av sina egna åligganden för att de uppgifter som den registeransvarige själv har fört in i registret är korrekta samt för att registreringen och användningen har laga grund. 
Enligt 4 a § gäller i fråga om den registrerades rätt till upp gifter som polisen förvarar i utlänningsregistret vad som bestäms i lagen om behandling av personuppgifter i polisens verksamhet. 
I 4 b § i utlänningsregisterlagen föreskrivs om dataskyddet vid registrering och annan behandling av identifieringsuppgifter som grundar sig på fysiska egenskaper. 
Utlänningsregisterlagens 2 kap. innehåller bestämmelser om utlänningsregistrets datainnehåll och källor. I 5 § i lagen föreskrivs om de personer som omfattas av de uppgifter som får inhämtas för och föras in i utlänningsregistret. Uppgifter får inhämtas och föras in om dem som ansökt om visum, uppehållstillstånd, internationellt skydd, främlingspass eller resedokument för flykting och dessutom uppgifter som gäller medborgarskap, om dem som av lagt språkexamen, om personer vars uppehållsrätt registrerats och som beviljats betänketid enligt 52 b § i utlänningslagen, om fysiska och juridiska personer som anställer en utländsk arbetstagare samt om personer som har ansökt om finskt medborgarskap eller behållande av finskt medborgarskap eller befrielse från finskt medborgarskap eller som lämnat in en anmälan för förvärv av finskt medborgarskap, förlorat sitt finska medborgarskap eller vars medborgarskapsstatus man har bestämt eller försökt bestämma. Dessutom får uppgifter föras in om familjemedlemmar till personer som avses ovan, om personer som bor i samma hushåll som de och om mottagare i Finland i sådana fall då uppgifterna behövs när ett ärende ska avgöras. 
I 6 § föreskrivs om registrering av känsliga uppgifter. Paragrafen gäller i praktiken så kallade brottsuppgifter, och de personer som omfattas av registret har avgränsats noggrannare. Känsliga personuppgifter enligt 11 § i personuppgiftslagen är uppgifter om en brottslig gärning eller ett straff eller någon annan påföljd för ett brott. Enligt 6 § 2 mom. i utlänningsregisterlagen får andra känsliga personuppgifter som avses i den lagstiftning som gäller datasekretess för personuppgifter föras in bara om den registrerade samtyckt eller om det för behandlingen av ett ärende är absolut nödvändigt att registrera uppgiften. 
I 7 § specificeras de uppgifter som får föras in i registret. I paragrafen räknas det upp alla de uppgifter om personer som avses i 5 och 6 § och som i den mån det är behövligt får föras in i utlänningsregistret. I praktiken har uppgifterna indelats enligt en persons identifieringsuppgifter och klientskap, behandling av ärenden och åtgärder som gäller dem samt person- och kontaktuppgifter för familjemedlemmar, personer som bor i samma hushåll samt för mottagare. 
I 8 § föreskrivs om externa datakällor. Enligt paragrafen har den registeransvarige trots sekretessbestämmelserna rätt att för utlänningsregistret få sådan information som är nödvändig för utförande av de uppgifter som föreskrivs för den i lag i de fall som anges i paragrafen. Rätten att få information gäller i praktiken vissa angivna myndigheter och andra organisationer och avser vissa specificerade uppgifter. Uppgifterna kan, i enlighet med vad som avtalas med den registeransvarige, lämnas ut även i maskinläsbar form eller med hjälp av teknisk anslutning. 
I 9 § i lagen föreskrivs om uppgifternas bevaringstid och avförande av dem ur registret. Uppgifterna om en person i utlänningsregistret avförs i sin helhet ett år efter det att denne har förvärvat finskt medborgarskap eller avlidit. Uppgifter om ett ärende avförs med vissa undantag fem år efter det att uppgiften senast införts, om visumet, uppehållstillståndet, uppehållsrätten eller dokumentet har upphört att gälla. Avförda uppgifter arkiveras. En uppgift som har konstaterats vara felaktig får under vissa förutsättningar bevaras i fem år efter att den införts. 
I 3 kap. föreskrivs om sedvanlig utlämning och hemlighållande av uppgifter. I 10 § ingår bestämmelser om de fall som noggrant definieras i paragrafen då information som är införd i utlänningsregistret trots sekretessbestämmelserna får utlämnas till andra myndigheter eller organisationer i den mån det är nödvändigt för att den mottagande myndigheten ska kunna utföra sina i lag bestämda uppgifter. Informationen kan lämnas ut även i maskinläsbar form eller med hjälp av teknisk anslutning. Bestämmelserna om utlämning gäller dock inte fingeravtryck som tagits på en person som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort eller om främlingspass eller resedokument för flykting, om inte något annat föreskrivs någon annanstans i lag. De registeransvariga ska ha rätt att använda de registrerade uppgifterna vid skötseln av åligganden som specificeras i lagförslaget. Därför behövs ingen särskild bestämmelse om hur uppgifter får lämnas ut mellan registeransvariga. 
Enligt 11 § ska information och handlingar som erhållits för skötseln av angivna uppgifter hemlighållas, om så bestäms genom lag eller med stöd av lag eller om det inte är uppenbart att utlämnandet av uppgifter inte medför skada eller olägenhet för Finlands internationella relationer, det internationella samarbetet eller sökanden eller hans eller hennes närstående. Enligt 24 § 1 mom. 24 punkten i offentlighetslagen är handlingar som gäller flyktingar eller personer som ansöker om asyl, uppehållstillstånd eller visum sekretessbelagda, om inte något annat föreskrivs särskilt. 
I 6 kap. i mottagandelagen föreskrivs om registret över mottagna klienter och företrädarregistret. Registret över mottagna klienter är ett personregister som förs med hjälp av automatisk databehandling och är ett personregister över personer som söker internationellt skydd, får tillfälligt skydd eller är offer för människohandel. I verkligheten sker en del av behandlingen med hjälp av automatisk databehandling och en del manuellt. I registret över mottagna klienter ingår ett riksomfattande delregister och delregister som förs av förläggningarna och flyktingslussarna. Det riksomfattande delregistret används för styrning, planering och uppföljning av mottagandet av personer som söker internationellt skydd eller får tillfälligt skydd och av hjälpen till offer för människohandel. De delregister som förs av förläggningar och flyktingslussar används för planering, ordnande, genomförande och uppföljning av mottagningstjänsterna för personer som söker internationellt skydd eller får tillfälligt skydd och av hjälpinsatserna till offer för människohandel. Migrationsverket svarar för administrationen av de riksomfattande delregistren. Förläggningarna och flyktingslussarna administrerar sina egna delregister. I registret får man förutom uppgifter som identifierar en person föra in uppgifter som gäller exempelvis den registrerades inkvartering, mottagnings- eller brukspenning eller hälsotillstånd eller uppgifter som är behövliga med tanke på planering, ordnande, genomförande och uppföljning av mottagningstjänsterna eller hjälpinsatserna.  
Företrädarregistret är ett personregister som definieras i 45 § 2 mom. i mottagandelagen, som förs med hjälp av automatisk databehandling och som består av företrädare som med stöd av 39 § förordnats för barn utan vårdnadshavare. I företrädarregistret ingår ett riksomfattande delregister och de delregister som förs av förläggningarna och flyktingslussarna. Det riksomfattande delregistret används för styrning, planering och uppföljning av verksamheten i anslutning till företrädande av barn utan vårdnadshavare. Men det bör noteras att denna behörighet inte anges särskilt i bestämmelserna i mottagandelagen där myndighetens behörighet beskrivs. De delregister som förs av förläggningarna och flyktingslussarna är avsedda för den praktiska administrationen av verksamheten i anslutning till företrädande av barn utan vårdnadshavare. Migrationsverket svarar för administrationen av de riksomfattande delregistren. Förläggningarna och flyktingslussarna administrerar sina egna delregister. I företrädarregistret får man föra in uppgifter som identifierar en företrädare samt uppgifter som gäller en företrädares förordnande. Bestämmelser om rätten att få uppgifter finns i mottagandelagens 8 kap. och särskilda bestämmelser om rätten att få uppgifter ur registret i 6 kap. 53 §. Dessutom föreskrivs om utlämning av uppgifter ur registret samt om utplåning och lagring av uppgifter. 
I 5 a kap. i förvarslagen ingår bestämmelser om klientregistret över utlänningar som tagits i förvar och förvarsenhetens besökarregister. Klientregistret över utlänningar som tagits i förvar är ett personregister som förs över utlänningar som tagits i förvar och som består av ett riksomfattande delregister och förvarsenheternas delregister. Det riksomfattande delregister som ingår i klientregistret över utlänningar som tagits i förvar förs för styrning, planering och uppföljning av den praktiska verksamheten vid förvarsenheterna. Förvarsenheternas delregister förs för utarbetande av handlingar som används vid ordnande, planering, genomförande och uppföljning av tagandet i förvar av utlänningar som tagits i förvar samt för förvaring av dessa handlingar och annat material som gäller tagande i förvar och för statistikföring. Det datainnehåll som 32 d § i förvarslagen tillåter räcker dock inte till för att tillgodose dessa behov av behandling. Migrationsverket är registeransvarig för det riksomfattande delregister som ingår i klientregistret över utlänningar som tagits i förvar. Förvarsenheten är registeransvarig för sitt eget delregister och för förvarsenhetens besökarregister.  
Förvarsenhetens besökarregister är ett personregister som förs över personer som besöker utlänningar som tagits i förvar och över andra personer som besöker förvarsenheten. Förvarsenhetens besökarregister förs för att upprätthålla ordningen och säkerheten vid förvarsenheten. Förvarsenheten är registeransvarig för förvarsenhetens besökarregister. I registren får man föra in uppgifter som identifierar en person samt vissa andra nödvändiga uppgifter av betydelse som närmare anges i lagen. Bestämmelser om rätten att få uppgifter finns i 6 kap. och om rätten att få uppgifter ur registret i 32 g §. Dessutom föreskrivs om utlämning av uppgifter ur registret och om utplåning och lagring av uppgifter. 
I 8 kap. i integrationslagen ingår bestämmelser om register. I 60 § i lagen föreskrivs om kommunanvisningsregistret som är ett personregister som används vid anvisande av personer till kommuner. I registret för man in information om till vilken kommun personen har anvisats samt personens identifieringsuppgifter. Kommunanvisningsregistret förs av närings-, trafik- och miljöcentralen. Enligt 61 § i lagen får närings-, trafik- och miljöcentralerna lämna ut sådana uppgifter ur kommunanvisningsregistret till Migrationsverket, Folkpensionsanstalten, kommunala myndigheter, utvecklings- och förvaltningscentret och arbets- och näringsbyrån som behövs för skötseln av deras uppgifter i anslutning till invandring enligt denna lag, utlänningslagen eller någon annan lag. Uppgifterna kan även lämnas ut i maskinläsbar form eller med hjälp av en teknisk anslutning. Enligt 62 § i lagen ska uppgifterna om en registrerad i kommunanvisningsregistret avföras när de inte längre behövs och senast fem år efter att den sista uppgiften om den registrerade har förts in. Arkivverket bestämmer om varaktig lagring av kommunanvisningsregistret och de uppgifter som ingår i registret i enlighet med vad som bestäms i arkivlagen (831/1994). 
Informationssystem 
I migrationsförvaltningens registerbestämmelser som beskrivs ovan tillämpas begreppet av ett logiskt register enligt 3 § i personuppgiftslagen. Med register avses då en datamängd som innehåller personuppgifter och som består av anteckningar som hör samman på grund av sitt användningsändamål, och som helt eller delvis behandlas med automatisk databehandling. I ett register kan således ingå såväl uppgifter som registrerats i ett informationssystem som uppgifter som förs manuellt, bara de har ett samstämmigt syfte. 
De uppgifter som ingår i utlänningsregistrets datainnehåll behandlas med hjälp av automatisk databehandling i tre informationssystem: i det elektroniska ärendehanteringssystemet för utlänningsärenden (UMA), i identitetskorts-och passinformationssystemet (Heko-Passi) i fråga om främlingspass och resedokument för flykting samt i det nationella informationssystemet för viseringar i fråga om Schengenvisum. 
Migrationsverket administrerar det elektroniska ärendehanteringssystemet för utlänningsärenden samt identitetskorts- och passinformationssystemet i fråga om främlingspass och resedokument för flykting. Polisen svarar i övrigt för administrationen av identitetskorts- och passinformationssystemet. Utrikesförvaltningen sköter det nationella informationssystemet för viseringar. 
Systemet UMA och den del av identitetskorts- och passinformationssystemet som gäller främlingspass och resedokument för flykting är i tekniskt avseende sammankopplade så att datainnehållet i identitetskorts- och passinformationssystemet i fråga om främlingspass och resedokument för flykting kan läsas via systemet UMA. Dessutom kan de uppgifter som gäller främlingspass och resedokument för flykting i identitetskorts- och passinformationssystemet behandlas också via identitetskorts- och passinformationssystemets användargränssnitt. Systemet UMA och det nationella informationssystemet för viseringar är särskilda system som inte är kopplade till varandra. 
Datainnehållet i systemet UMA består av olika kategorier av uppgifter, och för användningen av dem har det skapats flera olika kategorier med beaktande av användarnas behov. Användarrättigheterna bildas av användarroller, och rättigheterna är mer omfattande ju fler användarroller användaren har tilldelats. Användarna beviljas rättigheter efter ansökan enligt behov och på grundval av arbetsuppgifter. I egenskap av administratör för systemet svarar Migrationsverket för hanteringen av behörigheterna för, utvecklingen av och kostnaderna för systemet UMA. 
I systemet UMA behandlas förutom uppgifter som hör till utlänningsregistret också uppgifter som ingår i klientregistret över mottagna asylsökande och i företrädarregistret. Registeransvariga är Migrationsverket, förläggningar och flyktingslussar. Dessa behandlar såväl klientuppgifter som gäller mottagningstjänster och hjälpinsatser till offer för människohandel som uppgifter om företrädare för asylsökande barn utan vårdnadshavare. Förläggningarna och flyktingslussarna behandlar uppgifter i registret över mottagna klienter samt uppgifter om företrädare också i andra informationssystem och filer. Förläggningarna har dessutom ett särskilt informationssystem för behandling av patientuppgifter i patientregistret för asylsökande. 
I systemet UMA behandlar Migrationsverket och förvarsenheterna uppgifter som ingår i klientregistret över utlänningar som tagits i förvar. Förvarsenheterna för dessutom ett besökarregister. 
Kommunanvisningsregistret förs av närings-, trafik- och miljöcentralerna. En koncentration av uppgifterna i kommunanvisningsregistret till systemet UMA är under beredning. 
2.2
Den internationella utvecklingen samt lagstiftningen i utlandet och i EU
2.2.1
2.2.1 EU:s dataskyddsreform
Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan personuppgiftsdirektivet, hade två huvudsyften: att trygga skyddet av personuppgifter som en grundläggande fri- och rättighet och säkerställa fri rörlighet för personuppgifter på den inre marknaden. Personuppgiftsdirektivet tillämpades på såväl myndigheters som företags behandling av personuppgifter. Direktivet har kompletterats med flera särskilda bestämmelser, inklusive det så kallade dataskyddsdirektivet för elektronisk kommunikation, datalagringsdirektivet och rådets rambeslut 2008/977/RIF som tillämpades inom polissamarbete och straffrättsligt samarbete, nedan dataskyddsrambeslutet
Europeiska kommissionen lade den 25 januari 2012 fram ett förslag till ny dataskyddslagstiftning i Europeiska unionen. Kommissionen lade fram ett förslag till dataskyddsförordning KOM (2012) 11 slutlig som en del av ett paket som också inbegrep ett förslag till dataskyddsdirektiv KOM (2012) 10 slutlig. Genom dataskyddsförordningen stärktes Europeiska unionens allmänna ram för uppgiftsskyddet och genom dataskyddsdirektivet skyddet av personuppgifter i sådana fall då dessa behandlas för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Bestämmelserna antogs den 27 april 2016. Dataskyddsförordningen offentliggjordes den 4 maj 2016 och trädde i kraft den 24 maj 2016. Förordningen började tillämpas två år efter ikraftträdandet den 25 maj 2018. Enligt bestämmelserna i dataskyddsdirektivet ska medlemsstaterna senast den 6 maj 2018 anta och offentliggöra de lagar och andra författningar som är nödvändiga för att följa detta direktiv. De ska tillämpa dessa bestämmelser från och med den 6 maj 2018. Dataskyddspaketet ersätter personuppgiftsdirektivet samt dataskyddsrambeslutet. 
Europeiska unionens nya dataskyddslagstiftning grundar sig på artikel 16.2 i fördraget om Europeiska unionens funktionssätt, som är en ny rättslig grund för lagstiftningen om behandlingen av personuppgifter som infördes genom Lissabonfördraget. Enligt den kan unionen utfärda lagstiftning om behandling av personuppgifter på områden som omfattas av unionsrättens tillämpningsområde. Syftet med lagstiftningsreformen är att skapa en modern, stark, sammanhängande och övergripande ram för uppgiftsskyddet inom Europeiska unionen, stärka individens rättigheter, främja den inre marknaden på dataskyddsområdet, se över dataskyddsbestämmelser som gäller polisiärt och rättsligt samarbete i brottmål, ge akt på dataskyddets globala räckvidd i synnerhet när det gäller digitala tjänster samt effektivisera tillsynen över genomförandet av dataskyddsbestämmelserna. 
Rätten till skydd av personuppgifter är en grundläggande rättighet som fastställs i artikel 16.1 i fördraget om Europeiska unionens funktionssätt och i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna, nedan stadgan, enligt vilken var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler iakttas. I artikel 7 i stadgan tryggas skyddet för privatlivet. Enligt artikeln har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Enligt artikel 11 har var och en rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan en offentlig myndighets inblandning och oberoende av territoriella gränser. Mediernas frihet och mångfald ska respekteras. Enligt artikel 52.1 i stadgan ska varje begränsning i utövandet av de rättigheter och friheter som erkänns i denna stadga vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter. 
Enligt rättspraxis vid Europeiska unionens domstol är skyddet av personuppgifter inte en ovillkorlig rätt utan måste betraktas i ljuset av sin samhällsfunktion. Rätten kan begränsas om den står i rätt proportion till målet i fråga. EU-domstolens rättspraxis har spelat en stor roll vid tolkning och tillämpning av det nu redan upphävda personuppgiftsdirektivet. EU:s dataskyddsgrupp WP 29 (WP29 arbetsgruppen) är åter en oberoende arbetsgrupp inom EU som behandlade frågor om skyddet av individen vid behandlingen av personuppgifter fram till det att dataskyddsförordningen började tillämpas. Dataskyddsstyrelsen fortsätter WP29 arbetsgruppens verksamhet. 
Dataskyddsförordningen innehåller 11 kapitel. Kapitlen tar upp allmänna bestämmelser, principer, den registrerades rättigheter, personuppgiftsansvarig och personuppgiftsbiträde, överföring av personuppgifter till tredjeländer eller internationella organisationer, oberoende tillsynsmyndigheter, samarbete och enhetlighet, rättsmedel, ansvar och sanktioner, särskilda behandlingssituationer, delegerade akter och genomförandeakter samt slutbestämmelser. Dataskyddsförordningen är direkt tillämplig rätt och som sådan förpliktande lagstiftning i medlemsstaterna. Den kräver inget särskilt verkställande. Förordningen ska tillämpas inom såväl offentlig som privat sektor. Även om syftet med förordningen är att skapa en enhetligare europeisk personuppgiftslagstiftning, förbättra enskilda personers rättssäkerhet och effektivisera verkställandet av lagstiftningen, har det dock ansetts vara nödvändigt att förordningen ger nationella lagstiftare tillräckligt med utrymme för att anpassa de gemensamma bestämmelserna till förhållandena i landet i fråga. Nationell lagstiftning är dock möjlig bara om förordningen uttryckligen tillåter det. I samband med genomförandet av förordningen har kommissionen upprepade gånger betonat att det nationella handlingsutrymmet bör användas i mycket begränsad utsträckning, eftersom det är fråga om en förordning och inte ett direktiv. Bestämmelserna på ministeriernas förvaltningsområden ska ändras så att de är förenliga med dataskyddsdirektivet, även om det står klart att motstridigheter ur normhierarkisk synvinkel bör avgöras till förordningens fördel. I den första fasen bör man försäkra sig om att en särskild nationell lagstiftning är möjlig inom ramen för det nationella handlingsutrymmet. I denna bedömning bör särskild vikt fästas vid den rättsliga grunden för behandlingen av personuppgifter. I den andra fasen bör man bedöma om det är nödvändigt med särskild nationell lagstiftning som komplement till bestämmelserna i förordningen. Om det visar sig vara nödvändigt, bör man i den tredje fasen ytterligare försäkra sig om att den nationella lagstiftningen också i övrigt överensstämmer med förordningen. 
Dataskyddsdirektivet innehåller nio kapitel. Kapitlen tar upp allmänna bestämmelser, principer, personuppgiftsansvarig och personuppgiftsbiträde, överföringar av personuppgifter till tredjeländer eller internationella organisationer, oberoende tillsynsmyndigheter, samarbete, rättsmedel, ansvar och sanktioner, genomförandeakter samt slutbestämmelser. Enligt dataskyddsdirektivet ska medlemsstaterna anta och offentliggöra de lagstiftningsåtgärder som är nödvändiga för att följa direktivet. Lagen om verkställighet av dataskyddsdirektivet, dvs. dataskyddslagen för brottmål, är i fråga om dataskydd till sin karaktär en lag som ska tillämpas som allmän lag vid behandlingen av brottmål. Lagen ska tillämpas av myndigheter vars behörighet omfattar förebyggande, utredning och avslöjande av brott eller åklagarverksamhet som har samband med brott, dömande till straffrättsliga påföljder eller verkställande av straffrättsliga påföljder. Sådana myndigheter är bland annat polisen, Gränsbevakningsväsendet, Tullen, åklagarna, domstolarna och Brottspåföljdsverket. Dessa myndigheter ska dock tillämpa den föreslagna lagen bara när de behandlar personuppgifter i ovannämnda syfte, dvs. till exempel i samband med utredning av brott eller vid handläggning av brottmål i domstol. Lagen ska dessutom tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter vid upprätthållandet av den nationella säkerheten. Behöriga myndigheter är till denna del Försvarsmakten, Gränsbevakningsväsendet och polisen, i synnerhet skyddspolisen. Till denna del grundar sig den föreslagna lagens tillämpningsområde inte på genomförandet av direktivet, utan det är fråga om en nationell lösning. 
Till förordningens tillämpningsområde hör i princip all behandling av personuppgifter som utförs av myndigheter, om den inte hör till direktivets tillämpningsområde. De bestämmelser i förordningen och direktivet som gäller allmänna principer för behandlingen av personuppgifter, personuppgiftsansvarig och personuppgiftsbiträde samt dataskyddsmyndigheter, överensstämmer i huvudsak med varandra. På detta sätt vill man försäkra sig om att de allmänna kraven på behandlingen av personuppgifter är så enhetliga som möjligt oberoende av medlemsstat eller personuppgiftsansvarig. De viktigaste skillnaderna mellan bestämmelserna har att göra med särdragen i myndigheternas behandling av personuppgifter i brottmål inom ramen för direktivets tillämpningsområde, i synnerhet när det är fråga om möjligheterna att begränsa registrerades rättigheter i fall som hör till direktivets tillämpningsområde. 
2.2.2
2.2.2 Europeiska unionens lagstiftning om invandring
Behandlingen av personuppgifter, behörigheten som ligger till grund för den och den reglering som medför åtaganden för myndigheterna bygger på nationell lagstiftning och dessutom på lagstiftningen i Europeiska unionen. Oftast är det fråga om direkt tillämplig rätt, som är primär i förhållande till den nationella lagstiftningen. Behovet av att behandla personuppgifter kan således följa direkt av unionens lagstiftning och behandlingen kan också ske direkt med stöd av unionens lagstiftning. Alternativt kan den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen bli tillämplig. 
Bestämmelser av betydelse ingår exempelvis i följande instrument: Europaparlamentets och rådets förordning (EU) nr 604/2013 av den 26 juni 2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat (nedan förordningen om bestämmandet av den ansvariga staten), Europaparlamentets och rådets förordning (EG) nr 1987/2006 av den 20 december 2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) (nedan SIS II-förordningen), Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 (omarbetning) om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (nedan Eurodac-förordningen), samt Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (nedan VIS-förordningen). 
Kommissionen lade under våren och sommaren 2016 fram totalt sju förslag i syfte att förnya EU: s gemensamma asylpolitik (Common European Asylum System, nedan CEAS). Orsaken till förslagen är att bemöta den flyktingsituation som tillspetsades 2015 samt behovet av att förbättra kontrollen över invandringen till unionens territorium. Gällande reglering har inte varit tillräcklig med tanke på den påfrestning som den stora mängden sökande orsakat. Alla sju förslag behandlas fortfarande av organ inom EU. När CEAS genomförs kommer det att ha en betydande inverkan också på den samlade regleringen av behandlingen av personuppgifter. 
Vid behandlingen av personuppgifter ska unionens bestämmelser om behandlingen av personuppgifter iakttas i sådana fall då unionsbestämmelserna på grund av normhierarkin får företräde. Det är möjligt att till exempel syftet med behandlingen eller utlämningen av uppgifter begränsas mer i unionslagstiftningen än i den lag om behandlingen av personuppgifter i migrationsförvaltningen som nu är under beredning. Till exempel artikel 34.7 i förordningen om bestämmandet av den ansvariga staten förbjuds uttryckligen utlämningen av utväxlade uppgifter till myndigheter utanför en viss myndighetskrets. I 11 § i migrationsförvaltningens personuppgiftslag föreskrivs det om behandlingen av personuppgifter som samlats in och registrerats med stöd av den föreslagna lagen för andra ändamål än det ursprungliga, varvid kretsen av behöriga myndigheter kan vara större än i artikel 34. Dessutom har det nu föreslagits att bestämmelser om utplåningen av uppgifter som gäller exempelvis personer som söker internationellt skydd ska införas i förslaget till procedurförordning och i förslaget till förordning om vidarebosättning på annat sätt än i migrationsförvaltningens personuppgiftslag. I dessa fall är det ändå fråga om mycket begränsade undantag. I den föreslagna lagen ska inte i informativ mening skrivas in undantag eller begränsningar som via unionslagstiftningen förs in i migrationsförvaltningens personuppgiftslag. Valet kan motiveras med att lagstiftningen ska vara tydlig och begriplig. I praktiken är saken beroende av yrkesfärdigheten hos den myndighet som behandlar ärendet och av att det finns tillräckligt med handledning och att alla relevanta bestämmelser iakttas vid behandlingen av personuppgifter. I de fall då behandlingen av personuppgifter inte regleras i unionslagstiftningen, ska den nationella rättsliga grund som grundar sig på unionens dataskyddspaket och som reglerar behandlingen tillämpas. 
2.2.3
2.2.3 Europarådets konventioner
Enligt artikel 8 i Europarådets konvention om skydd för de mänskliga rättigheterna och de grundläggande friheterna (FördrS 18–19/1990), nedan Europeiska människorättskonventionen), har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Offentlig myndighet får inte ingripa i denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten eller landets ekonomiska välstånd, till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter. 
Även om skyddet av personuppgifter inte nämns särskilt i artikel 8 i Europeiska människorättskonventionen, har Europeiska människorättsdomstolen i sin rättspraxis sett skyddet av personuppgifter som en väsentlig del av skyddet för privat- och familjelivet i artikel 8, och å andra sidan har skyddet av personuppgifter konsekvenser för utövandet av yttrandefriheten som avses i artikel 10 i människorättskonventionen. I Europeiska människorättsdomstolens avgöranden har det framhållits bland annat att lagstiftningen måste innehålla adekvata garantier för att personuppgifter inte behandlas i strid med artikel 8. De uppgifter som behandlas ska vara nödvändiga samt avgränsade till såväl innehåll som förvaringstid i relation till registreringens syfte. Likaså ska regleringen innehålla tillräckliga garantier som förhindrar att personuppgifterna används i strid med lag. Domstolen har fastställt att konventionen har åsidosatts bland annat när nationell lagstiftning har saknat bestämmelser om innehållet i registrerade uppgifter, om den tid under vilken uppgifterna får lagras och om vilka befolkningsgrupper uppgifter får samlas in (se t.ex. människorättsdomstolens dom i mål Rotaru v. Rumänien 4.5.2000, punkterna 45–63 i domen). Människorättsdomstolen har vid flera tillfällen konstaterat att enbart det faktum att personuppgifter införs i ett myndighetsregister innebär en inskränkning av integritetsskyddet (se t.ex. S. och Marper mot Förenade kungariket, 4.12.2008, punkt 67 i domen, Leander mot Sverige, 26.3.1987, punkt 48 i domen). 
I skäl 68 i ingressen till dataskyddsdirektivet hänvisas till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (ETS nr 108, FördrS 36/1992), nedan dataskyddskonventionen, som ingicks 1981. I situationer som uppstår mellan Europeiska unionens medlemsstater tillämpas i första hand Europeiska unionens dataskyddslagstiftning, men alla unionens medlemsstater har ratificerat dataskyddskonventionen. I dagens läge har totalt 50 stater ratificerat konventionen. Dataskyddskonventionen har kompletterats med ett tilläggsprotokoll (ETS nr 181) om gränsöverskridande flöden av personuppgifter. När det gäller behandlingen av personuppgifter erbjuder bestämmelserna i dataskyddskonventionen ett minimiskydd för alla dem som vistas på de staters territorier som har ratificerat konventionen samt vid gränsöverskridande överföring av personuppgifter. Vid överföringen av personuppgifter tillämpas förutom dataskyddskonventionen också de bestämmelser i dataskyddsförordningen och dataskyddsdirektivet som gäller tredjeländer till exempel när en behörig myndighet överför personuppgifter till ett tredjeland. Men det kan också bli aktuellt att tillämpa ett bilateralt avtal som ingåtts med landet i fråga och som innehåller bestämmelser om dataskydd eller bestämmelser i vilka hänvisas till den nationella lagstiftningen. Dataskyddskonventionen revideras för närvarande och den nya konventionen kommer att ersätta den nuvarande, när tillräckligt många av Europarådets medlemsstater har ratificerat den. Det är möjligt att begränsa tillämpningen av dataskyddskonventionens bestämmelser till förmån för ett överordnat allmänt intresse, till exempel den nationella säkerheten och försvaret. Europarådet har också en del andra konventioner som innehåller bestämmelser om behandlingen av personuppgifter. 
2.2.4
2.2.4 Lagstiftningen i utlandet
Med anledning av det nationella genomförandet av Europeiska unionens dataskyddsreform pågår för närvarande en förändring av lagstiftningen om behandlingen av personuppgifter i unionens medlemsstater. En betydande del av den nationella speciallagstiftningen är bunden till de ingående och detaljerade villkor som ställs i dataskyddsförordningen. När det gäller tillämpningen av det nationella handlingsutrymme som dataskyddsförordningen möjliggör är det viktigt att välja regleringsformer som anknyter till nationella särdrag. I denna proposition ingår mycket kortfattade beskrivningar av och jämförelser med dataskyddslagstiftningen i vissa andra medlemsstater i Europeiska unionen sådan den är innan regleringen av dataskyddet genomförs samt medlemsstaternas planer för den samlade reglering som är av särskilt intresse för migrationsförvaltningen. 
Av jämförelseländerna är det bara Sverige och Österrike som har en separat lag om behandlingen av personuppgifter i migrationsförvaltningen. I de övriga jämförelseländerna regleras behandlingen av personuppgifter inom ramen för den lagstiftning som ger behörighet, vanligen i den så kallade utlänningslagen, i vissa fall i ett särskilt kapitel. Allmänt taget är det på plats med ett försiktigt antagande att dataskyddsförordningen inte har lett eller kommer att leda till några större förändringar i lagstiftningens utgångspunkter. I fråga om registreringen av uppgifter finns det inget som tyder på en lagenlig regleringsmodell. Av jämförelseländerna är det bara Estland som har en reglering som möjliggör automatiserade beslut. Där används automatiserade beslut vid beviljande av intyg och handlingar över förvaltningsbeslut som har fattats. 
Sverige har en särskild lag om behandling av personuppgifter i migrationsförvaltningen (Utlänningsdatalag [2016:27]). I lagen föreskrivs om det lokala migrationsverkets (Migrationsverket) och övriga utlänningsmyndigheters och polismyndigheternas behandling av personuppgifter med stöd av utlännings- och medborgarskapslagen. Enligt bedömningar motsvarar lagen till sitt innehåll tämligen väl dataskyddsförordningen, men det föreslås att lagen ändras så att den i fortsättningen i behövlig utsträckning bara kompletterar dataskyddsförordningen. Enligt planerna ska ändringarna träda i kraft i december 2018. Vid migrationsförvaltningen behandlas personuppgifter i flera informationssystem och register. Personuppgiftsansvariga är det lokala migrationsverket, utlänningsmyndigheterna och polismyndigheterna i den mån de behandlar personuppgifter. Migrationsverket svarar för utlänningsmyndigheternas automatiserade behandling av personuppgifter. 
I Norge har migrationsförvaltningen inte en enda sammanhållen personuppgiftslag, utan behandlingen av personuppgifter grundar sig på den lagstiftning som ger behörighet (The Immigration Act [Act of 15 May 2008 on the Entry of Foreign Nationals into the Kingdom of Norway and their Stay in the Realm] samt samtycke från den utlänning som ska registreras. Regeringens proposition, som lades fram i mars 2018, kommer, om den antas, att medföra vissa ändringar för att behandlingen av personuppgifter ska uppfylla dataskyddsförordningens krav framför allt på att behandlingen är nödvändig ut behörighetslagstiftningens synvinkel och för en minimering av uppgifterna. Målet är att ändringarna ska träda i kraft före sommaren 2018. Den norska migrationsförvaltningen har många register som används av flera myndigheter, medan det lokala migrationsverket (The Directorate of Immigration) är personuppgiftsansvarigt. Automatiserade beslut regleras separat i den mån de förväntas tas i användning. 
I Estland finns bestämmelser om villkoren för behandling av personuppgifter i en allmän lag (Personal Data Protection Act) som reglerar behandlingen. Vid migrationsförvaltningen finns således inte någon sammanhållen personuppgiftslag, utan regleringen ingår i flera lagar som fastställer behörigheten i migrationsförvaltningen (Aliens Act [AA], Obligation to Leave and Prohibition on Entry Act [OLPEA] and Act on Granting International Protection to Aliens [AGIPA]. Personuppgifter behandlas i flera register. Migrationsförvaltningen har flera personuppgiftsansvariga, och ansvaret mellan dem fördelas med stöd av de ansvarigas behörighet. Estland tillämpar inte något system för automatiserade beslut i ärenden som gäller utövandet av prövningsrätt. Däremot kan intyg i vissa fall beviljas med hjälp av automatiserat beslutsfattande när det har fattats ett förvaltningsbeslut som gäller personen. Dataskyddsförordningen förväntas inte i någon större utsträckning ändra lagstiftningens utgångspunkter, men den skapar större tydlighet i den rättsliga grunden för behandlingen samt skyddar information och den registrerades rättigheter. De ändringar i lagstiftningen som dataskyddsförordningen föranlett träder i kraft den 25 maj 2018. 
Österrike har en särskild lag om behandling av personuppgifter i migrationsförvaltningen (Federal Act Laying Down General Stipulations Concerning Procedures Before the Federal Office for Immigration and Asylum in Relation to the Granting of International Protection, Residence Permits on Grounds Deserving of Consideration and Temporary Leave to Remain, the Imposition of Deportation Orders and Measures to Terminate Residence, and the Issuance of Austrian Documents to Aliens, so called BFA Procedures Act [BFA–VG]. Personuppgifter behandlas i ett enda register. Dataskyddsförordningen medför inte några större ändringar i lagen. Personuppgifter behandlas av flera myndigheter och inrikesministerit är personuppgiftsansvarigt. Österrike har inte och planerar inte att införa något system för automatiserade beslut. 
Holland har ingen särskild lag om behandling av personuppgifter i migrationsförvaltningen, utan behandlingen grundar sig på lagstiftning som ger behörighet och ett allmänt personuppgiftsregister. Personuppgiftslagen revideras för närvarande, men dataskyddsförordningen medför inte några större ändringar av lagstiftningen. Personuppgifter behandlas i flera register och personuppgiftsansvariga är justitie- och säkerhetsministern (Minister of Justice and Security) samt ledarna för organisationerna i migrationssektorn inom ramen för deras ansvarsområden. Holland har inte och planerar inte att införa något system för automatiserade beslut. 
Belgien har inte någon särskild personuppgiftslag för migrationssektorn, utan regleringen ingår i den lagstiftning som ger behörighet (Aliens Act 15/12/1980). Till följd av dataskyddsförordningen kommer lagen att ändras och utökas med ett separat kapitel om behandlingen av personuppgifter i migrationsförvaltningen. Tidsschemat för lagstiftningsprojektet är ännu inte känt. Personuppgifter behandlas i många register som en personuppgiftsansvarig ansvarar för. Belgien har inte och planerar inte att införa något system för automatiserade beslut. 
3
Bedömning av nuläget
3.1
Direkta följder av dataskyddsförordningen
Dataskyddsförordningen är som sådan direkt tillämplig och kräver inte något särskilt verkställande förutom kompletterande reglering i den mån förordningen till följd av möjligheten till nationellt spelrum uttryckligen medger det. Texten i förordningen kan i princip inte upprepas i den nationella lagstiftningen och förordningen kan inte heller förklaras eller tolkas. Den nationella speciallagstiftningen ska läsas jämsides med dataskyddsförordningen och dataskyddslagen. På grund av förändringar i författningsmiljön och för att säkerställa ett klart rättsläge måste speciallagstiftningen ses över och ändras så att den överensstämmer med dataskyddsförordningen och dataskyddslagen, även om det står klart att motstridigheter ur normhierarkisk synvinkel bör avgöras till förordningens fördel. 
I dataskyddsförordningen föreskrivs om behandling av personuppgifter. Regleringstekniken i utlänningsregisterlagen utgår från register, eftersom där föreskrivs om register. Ett registerbaserat regleringssätt tillämpas också i migrationsförvaltningens övriga lagstiftning. Regleringssättet har varit motiverat och brukligt särskilt innan registren blev elektroniska. Utvecklingen av informationssystemen under de senaste årtiondena har dock gjort det möjligt att frångå den reglering som gäller register som används som underlag för behandlingen av personuppgifter samt inrikta sig på att föreskriva om behandlingen av personuppgifter, kärnan i integritetsskyddet. Denna utgångspunkt antogs redan i den personuppgiftslag som trädde i kraft 1999 och dataskyddslagen har samma utgångspunkt. Den registerbaserade reglering som migrationsförvaltningen hittills har tillämpat är otidsenlig och svår att samordna med såväl nationell allmän lagstiftning och speciallagstiftning som dataskyddsförordningen. Splittringen vid migrationsförvaltningen mellan å ena sidan utlänningsregisterlagen, å andra sidan övrig lagstiftning måste också ses som en oändamålsenlig totallösning. Med tanke på rättigheterna för såväl den myndighet som tillämpar lagen som den registrerade är det ändamålsenligt att behandla personuppgifter som behandlas för vissa syften med stöd av i princip samma bestämmelser oberoende av vilket förvaltningsområdes många lagar myndighetens behörighet grundar sig på eller i vilket informationssystem uppgifterna de facto administreras. Regleringsmodellen som utgår från syftet med behandlingen är förenlig med såväl EU:s dataskyddsbestämmelser som den allmänna nationella dataskyddslagstiftningen. 
Utlänningsregisterlagen innehåller bestämmelser som ingår i dataskyddsförordningen och dataskyddslagen, men som inte längre ska ingå i speciallagstiftningen. Sådana samlade helheter är till exempel registrerades rättigheter, datasäkerheten när det gäller de identifieringsuppgifter som grundar sig på en persons fysiska egenskaper och behandlingen av personuppgifter för statistiska ändamål. Dataskyddsförordningens definition för personuppgiftsansvariga avviker från gällande utlänningsregisterlag. Av dataskyddsförordningen följer vissa regleringsbehov, och för att tillgodose dessa krävs det en översyn av migrationsförvaltningens registerlagstiftning. Förordningen kräver att det i den nationella lagstiftningen föreskrivs exempelvis om automatiserade beslut, om man vill tillämpa ett sådant förfarande. 
Grundlagsutskottet har påpekat att regleringen av behandlingen av personuppgifter är tungrodd och komplicerad (se t.ex. GrUU 2/2018 rd, s. 4—8, 11, GrUU 49/2017 rd, s. 3, GrUU 31/2017 rd, s. 4 och GrUU 71/2014 rd, s. 3). Med anledning av den förestående tillämpningen av dataskyddsförordningen ser utskottet det som motiverat att justera sin tidigare ståndpunkt till lagstiftningen om skyddet för personuppgifter på vissa punkter (GrUU 14/2018 rd). Utskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade överensstämmer bestämmelserna i förordningen enligt utskottets uppfattning också med den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter. I stället bör skyddet för personuppgifter härefter i första hand tillgodoses med stöd av den allmänna dataskyddsförordningen och den nya nationella allmänna lagstiftningen. I princip räcker det med att bestämmelserna om skydd för och behandling av personuppgifter är harmoniserade med dataskyddsförordningen. De detaljerade bestämmelserna i förordningen gör det också möjligt att i fråga om myndighetsverksamhet lagstifta betydligt mer generellt om skydd för och behandling av personuppgifter jämfört med vår nuvarande nationella regleringsmodell. Utskottet har menat att den gällande lagstiftningen om personuppgifter är mycket tungrodd och komplicerad och hänvisat till att det enligt utskottets praxis är särskilt viktigt med en tydlig reglering i fråga om denna typ av bestämmelser som har kopplingar till de grundläggande fri- och rättigheterna och som gäller fysiska personers normala dagliga aktiviteter (se GrUU 14/2018 rd, s. 4—5, GrUU 31/2017 rd, s. 4, GrUU 45/2016 rd, s. 3, och GrUU 41/2006 rd, s. 4/II). Även med tanke på tydligheten bör vi förhålla oss restriktivt när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (GrUU 14/2018 rd, s. 5). 
Utlänningsregisterlagen har vissa drag av överreglering på grund av att den innehåller detaljerade bestämmelser i sådana fall då det inte är nödvändigt, såsom i fråga om faktainnehåll eller tillämplig personkrets. Detaljerad reglering medför ett fortlöpande behov av lagändringar. I utlänningsregisterlagen föreskrivs dessutom om rätten att få information och utlämningen av uppgifter också då detta redan regleras i annan lag. Med tanke på den som tillämpar lagen är regleringssättet problematiskt, eftersom det förutsätter en kontroll av om utbytet av information är lagligt i två speciallagar som gäller olika myndigheter. Lagtekniskt har detta dubbla regleringssätt dock antagits allmänt i det finska rättssystemet. 
Grundlagsutskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter. Utskottet har särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. HYPERLINK "https://www.eduskunta.fi/riksdagshandlingar/GrUU+3/2017" GrUU 3/2017 rd, s. 5). Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd, s. 5—6). De uppgifter som behandlas i migrationsförvaltningen är ofta känsliga personuppgifter. I gällande lagstiftning har man inte i tillräcklig utsträckning beaktat det behov av tillräckligt detaljerade bestämmelser om behandlingen av känsliga personuppgifter som följer av den särskilda karaktären hos dessa uppgifter. För att tillgodose individens rättigheter och ur rättsäkerhetsperspektiv är det nödvändigt att föreskriva om behandlingen av personuppgifter i migrationsförvaltningen på ett sätt som kompletterar dataskyddsförordningen och dataskyddslagen. Med beaktande av den känsliga karaktären hos de personuppgifter som behandlas av migrationsförvaltningen, är den föreslagna personuppgiftslagen nödvändig till följd av de risker och hot som behandlingen orsakar. 
Grundlagsutskottet har i sitt utlåtande (GrUU 14/2018 rd, s. 4) särskilt uppmärksammat behovet av reglering när en myndighet behandlar personuppgifter. Enligt artikel 6.1 c i dataskyddsförordningen är behandlingen laglig om den är nödvändig för den personuppgiftsansvariges lagstadgade åtaganden. I slutbetänkandet från en arbetsgrupp som justitieministeriet tillsatte i februari 2016 (OM006:00/2016, arbetsgruppen TATTI) hänvisas till att behandlingen enligt skäl 45 i ingressen till dataskyddsförordningen i vart fall bör grunda sig på unionsrätten eller medlemsstatens lagstiftning. Det innebär att myndighetens uppdrag och behörighet ska beskrivas i lagstiftningen på ett sådant sätt att rättsgrunden och ändamålet med behandlingen av personuppgifter på ett motiverats sätt kan härledas från lagstiftningen med hänsyn till verksamhetens mål. Arbetsgruppen hänvisar dock också till att det i skälet klarläggs att förordningen inte kräver att det ska finnas en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning (arbetsgruppens betänkande, s. 33). Grundlagsutskottet har ingenting att invända mot den här principen. 
I artikel 5 i dataskyddsförordningen föreskrivs om principerna för behandling av personuppgifter. Dessa är krav på laglighet, korrekthet, öppenhet och ändamålsbegränsning när det gäller behandlingen av personuppgifter samt uppgifternas minimering, korrekthet och lagringsminimering. Eftersom förordningen inte kräver separat genomförande, ska enligt artikel 6.2 i förordningen principerna preciseras i den mån man med dessa särskilda krav säkerställer en laglig och korrekt uppgiftsbehandling.  
3.2
Lagens struktur och tillämpningsområde
I utlänningsregisterlagen ingår sammanlagt 17 paragrafer, men till följd av ett flertal ändringar har den fått en i någon mån ologisk struktur. En omvärdering av lagens struktur är en förutsättning för en sådan tydlig reglering som grundlagsutskottet avser. 
I en registerbaserad reglering är lagens tillämpningsområde knutet till insamling och införande av personuppgifter i personregister samt användning och utlämning av de införda uppgifterna. En ändamålsbegränsad reglering förutsätter däremot att tillämpningsområdet för lagen fastställs med stöd av det syfte för vilket personuppgifter behandlas. Således bör lagens tillämpningsområde hållas åtskilt från register och informationssystem. Eftersom det är lämpligt att koncentrera behandlingen av personuppgifter i migrationsförvaltningen till en enda lag, behöver lagens tillämpningsområde breddas så att det täcker förutom det registreringssyfte som avses i 2 § i gällande utlänningsregisterlag också de syften för vilka man för de register med stöd av mottagandelagen, förvarslagen och integrationslagen som beskrivs tidigare i propositionen i avsnitt 2.1.2. Med tanke på den som tillämpar lagen och för tydlighetens skull är det motiverat att tillämpningsområdet inte överlappar tillämpningsområdena för andra personuppgiftslagar. 
3.3
Registerföring
Utlänningsregistret har ett stort antal registeransvariga. Också registren över mottagna klienter och företrädarregistret samt klientregistren över utlänningar som tagits i förvar och förvarsenhetens besökarregister har flera registeransvariga. Enligt artikel 4.7 i dataskyddsförordningen avses med registeransvarig, dvs. personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Vidare konstateras det att om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. 
I den mån det är fråga om en myndighetsaktör vars verksamhet grundar sig på lagstadgade uppgifter, har det kriterium som definierar ändamål och metoder för behandlingen av personuppgifter inte någon utpräglad särskiljningsförmåga, eftersom ändamålen och metoderna fastställs i lagstiftningen. I artikel 24 i dataskyddsförordningen föreskrivs att den personuppgiftsansvarige med beaktande av behandlingens art, omfattning, sammanhang och ändamål ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. I praktiken är den som ansvarar för informationssystemet ansvarig för tekniska åtgärder, men att vidta organisatoriska åtgärder kan anses vara en av de faktorer som definierar registerföring. I sitt utlåtande 1/2010 om begreppen personuppgiftsansvarig och personuppgiftsbiträde lägger EU:s dataskyddsgrupp WP 29 fram faktorer som definierar personuppgiftsansvariga, bland annat frågor om varför personuppgifter behandlas och vem som har inlett behandlingen. I sitt utlåtande betonar EU:s dataskyddsgrupp WP 29 att ansvaret förläggs till det plan där den faktiska påverkningen sker. Begreppet personuppgiftsansvarig är ett funktionellt begrepp genom vilket ansvaret förläggs till det plan där den faktiska påverkningen sker, och är således baserat på en formell analys. I definitionen av personuppgiftsansvarig ingår inte något nationellt handlingsutrymme, men tolkningen av de kriterier som definierar personuppgiftsansvariga är i sista hand en nationell tolkningsfråga.  
Vid beredningen av propositionen har man tolkat det så att en myndighet är personuppgiftsansvarig, om den behandlar personuppgifter för sina egna oberoende syften med prövningsrätt i frågan. Definitionen av personuppgiftsansvarig i utlänningsregisterlagen motsvarar inte den i dataskyddsförordningen. Personuppgiftsansvariga enligt utlänningsregisterlagen behandlar inte alla personuppgifter i en sådan roll att de skulle uppfylla definitionen av personuppgiftsansvarig i dataskyddsförordningen. Vid definitionen av personuppgiftsansvarig i gällande lagstiftning har bland annat möjligheten att föra in uppgifter i utlänningsregistret ansetts vara av betydelse. Denna rätt är en förutsättning för att myndigheten i fråga ska ses som personuppgiftsansvarig. 
Enligt skäl 79 i ingressen till dataskyddsförordningen kräver skyddet av de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och personuppgiftsbiträdenas ansvar, även i förhållande till tillsynsmyndigheternas övervakning och åtgärder, ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, också när personuppgiftsansvariga gemensamt fastställer ändamål och medel för en behandling tillsammans med andra personuppgiftsansvariga eller när en behandling utförs på en personuppgiftsansvarigs vägnar. Det är således viktigt att specificera personuppgiftsansvariga i lagstiftningen, eftersom det av dataskyddsförordningen följer flera åtaganden för personuppgiftsansvariga, och beträffande specialbestämmelserna om behandlingen av personuppgifter bör det därför stå klart vem som ska svara för den personuppgiftsansvariges åtaganden. 
Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de enligt artikel 26 i dataskyddsförordningen vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska genom inbördes arrangemang och under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, såvida inte och i den mån de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. I arrangemangen ska särskilt definieras ansvaret för utövandet av den registrerades rättigheter och respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses. Arrangemangen ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade. En del av myndigheterna vid migrationsförvaltningen är i verkligheten gemensamt personuppgiftsansvariga. 
I artikel 26 i dataskyddsförordningen föreskrivs vidare att oavsett formerna för de gemensamt personuppgiftsansvarigas inbördes arrangemang får den registrerade utöva sina rättigheter enligt denna förordning med avseende på och emot var och en av de personuppgiftsansvariga. De gemensamt personuppgiftsansvariga kan således inte genom inbördes arrangemang effektivt styra registrerade till bara en viss gemensamt personuppgiftsansvarig. I skäl 79 i ingressen till dataskyddsförordningen preciseras dessutom att de personuppgiftsansvarigas och personuppgiftsbiträdenas ansvar, även i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, också när det är fråga om gemensamt personuppgiftsansvariga. 
I artikel 28 i dataskyddsförordningen föreskrivs om personuppgiftsbiträden. Enligt definitionen i artikel 4.8 avses med personuppgiftbiträde en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. I det första lagförslaget i denna proposition har rollen när det gäller de myndigheter som föreslås som personuppgiftsansvariga granskats ur olika synvinklar och det är klart att de inte är personuppgiftsansvariga i den bemärkelse som anges i artikel 28 och 4 i dataskyddsförordningen. Många tjänsteleverantörer vid förläggningar, förvarsenheter, hjälpsystemet för offer för människohandel samt Migrationsverket behandlar däremot personuppgifter i rollen av personuppgiftsansvarig enligt dataskyddsförordningen. 
3.4
Registrerades rättigheter
Kapitel 6 i personuppgiftslagen innehåller bestämmelser om registrerades rättigheter. I utlänningsregisterlagen föreskrivs inte särskilt om registrerades rättigheter förutom i 4 a § i fråga om uppgifter som polisen för i utlänningsregistret. I 51 § i mottagandelagen hänvisas vad gäller registrerades rättigheter till 6 kap. i personuppgiftslagen. I fortsättningen kommer de registrerades rättigheter att tryggas i dataskyddsförordningen. I kapitel III i dataskyddsförordningen föreskrivs om registrerades rättigheter. I kapitlet ingår bestämmelser om bland annat information till registrerade (artikel 12—14), registrerades rätt att få tillgång till uppgifter (artikel 15), rätt till rättelse av uppgifter (artikel 16), rätt till radering av uppgifter (artikel 17), rätt till begränsning av behandling (artikel 18), anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling (artikel 19), rätt till dataportabilitet (artikel 20) och rätt att göra invändningar (artikel 21) samt automatiserat individuellt beslutsfattande (artikel 22). De registrerades rättigheter tillgodoses i fortsättningen i princip direkt med stöd av dataskyddsförordningen. 
Enligt artikel 23 i dataskyddsförordningen ska det vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12—22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12—22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa a) den nationella säkerheten, b) försvaret, c) den allmänna säkerheten, d) förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten, e) andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet, f) skydd av rättsväsendets oberoende och rättsliga åtgärder, g) förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken, h) en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som nämns i a—e och g, i) skydd av den registrerade eller andras rättigheter och friheter, j) verkställighet av civilrättsliga krav. Framför allt ska lagstiftningsåtgärderna innehålla specifika bestämmelser åtminstone, när så är relevant, avseende a) ändamålen med behandlingen eller kategorierna av behandling, b) kategorierna av personuppgifter, c) omfattningen av de införda begränsningarna, d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, e) specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga, f) lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling, g) riskerna för de registrerades rättigheter och friheter, och h) de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen. 
I dataskyddslagen ingår några bestämmelser om de begränsningar i de registrerades rättigheter som dataskyddsförordningen möjliggör. I vissa noggrant avgränsade situationer är det dock nödvändigt att i speciallagstiftningen ytterligare begränsa de registrerades rättigheter för att skydda deras privatliv och för att göra det möjligt att påskynda behandlingen, vilket ligger i de registrerades intresse. Behovet av begränsningar har att göra med situationer då individens privatliv bör skyddas när den registrerade utövar sin rätt till insyn genom kontroll av identiteten hos mottagaren av personuppgifter eller då individens identitet skyddas genom bestämmelser om specificerade tider för avförande av uppgifter eller bevarande av felaktiga uppgifter eller då individens intresse skyddas genom att man säkerställer ett beslutsfattande som är smidigt ur såväl den registrerades som myndighetens synvinkel. Trots dessa enskilda begränsningar tryggas den registrerades rättigheter på ett heltäckande sätt med stöd av de rättigheter som registrerade har enligt dataskyddsförordningen. 
3.5
Särskilda kategorier av personuppgifter
I artikel 9 i dataskyddsförordningen föreskrivs om behandlingen av särskilda kategorier av personuppgifter. I princip är behandlingen av personuppgifter som hör till särskilda kategorier av uppgifter förbjuden. Till sådana särskilda kategorier av personuppgifter hör enligt artikel 9.1 personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Dessutom är behandlingen av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning förbjuden. I artikel 9.2 föreskrivs om situationer då dessa uppgifter får behandlas. Enligt artikel 9.2 g får uppgifter behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. 
I artikel 10 föreskrivs om behandlingen av personuppgifter som rör fällande domar i brottmål samt överträdelser. Enligt artikeln får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. 
Grundlagsutskottet har uppmärksammat att de känsliga uppgifter som avses i 11 § i personuppgiftslagen inte direkt kan jämställas med de särskilda kategorier av personuppgifter som avses i artikel 9 i dataskyddsförordningen. Till följd av grundlagens normhierarkiska ställning är det i sig klart att de uppgifter som i utskottets praxis bedömts vara känsliga, exempelvis på grundval av de risker och hot som behandlingen medför, beträffande sitt gebit inte helt och hållet motsvarar bestämmelserna i personuppgiftslagen. Utskottet har följdriktigt ansett att till exempel biometriska identifieringsuppgifter kan jämställas med känsliga uppgifter (se t.ex. GrUU 13/2016 rd, s. 4). Dataskyddsförordningens riskbaserade infallsvinkel innebär enligt grundlagsutskottet att det är möjligt att införa detaljerad och exakt nationell lagstiftning också när behandlingen av uppgifterna utgör en särskild risk på andra grunder än de som anges i artikel 9 och 10 i förordningen. Den nationella lagstiftningen ska också då vara förenlig med artikel 6 i förordningen. Enligt utskottets uppfattning är det tillåtet också inom ramen för dataskyddsförordningen att föreskriva detaljerat om behandlingen av personuppgifter som är känsliga i konstitutionellt hänseende. Grundlagsutskottet har särskilt lyft fram behovet av reglering i de fall då personuppgifterna behandlas av en myndighet. Enligt artikel 6 c i den allmänna dataskyddsförordningen är behandling av personuppgifter tillåten om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (GrUU 15/2018 rd, s. 38—39). Grundlagsutskottet har konstaterat att det, trots att det fortfarande är motiverat att i konstitutionellt hänseende beskriva vissa kategorier av personuppgifter som uttryckligt känsliga, till följd av att tillämpningen av EU:s dataskyddsförordning inletts och man i dess artikel 9 använder begreppet särskilda kategorier av personuppgifter, i den nationella lagstiftningen för tydlighetens skull ska undvika att använda begreppet känsliga uppgifter (se även GrUU 14/2018 rd, s. 9).  
Dataskyddsförordningen gör det möjligt att i nationell rätt föreskriva om behandlingen av personuppgifter som hör till särskilda kategorier av uppgifter förutsatt att de särskilda villkor som anges i förordningen uppfylls. I 6 § 1 mom. 2 punkten i regeringens proposition om dataskyddslagen preciseras särskilt att artikel 9.1 i dataskyddsförordningen inte tillämpas på sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag. I 6 § 2 mom. i regeringens proposition om dataskyddslagen konstateras det att den personuppgiftsansvarige och personuppgiftsbiträdet när de behandlar personuppgifter i sådana situationer som avses i 1 mom. ska vidta lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter. Momentet innehåller en lista med elva punkter över åtgärder till exempel för att det i efterskott ska kunna säkerställas och bevisas vem som har lagrat, ändrat eller överfört personuppgifterna, åtgärder för att höja kompetensen hos den personal som behandlar personuppgifter samt den personuppgiftsansvariges och personuppgiftsbiträdets interna åtgärder för att förhindra tillträde till personuppgifter. 
Utskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter. Enligt grundlagsutskottet bör lagstiftning om hanteringen av känsliga uppgifter således fortfarande, i den utsträckning dataskyddsförordningen tillåter, analyseras enligt praxis för bestämmelser på lagnivå. Där har behandlingen av känsliga uppgifter avgränsats genom exakta och noga avgränsade bestämmelser om att det är det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (GrUU 14/2018 rd). 
Regleringen som gäller de personuppgifter som i dataskyddsförordningen definieras som särskilda kategorier av personuppgifter i gällande utlänningsregisterlag, mottagandelag och förvarslag motsvarar inte fullt ut regleringen i dataskyddsförordningen. Regleringen av de personuppgifter som i dataskyddsförordningens definieras som särskilda kategorier av personuppgifter förutsätter dessutom samordning på det nationella planet med uppgifter som i konstitutionellt hänseende fortfarande ses som känsliga. På det hela taget är regleringen tillika komplicerad och stöder inte ett riskbaserat synsätt som betonar vikten av särskild noggrannhet, vilket förutsätts vid behandlingen av särskilda kategorier av personuppgifter. För att skapa tydligare reglering och genomföra ett riskbaserat synsätt behöver bestämmelserna förtydligas och i vissa avseenden avsevärt preciseras när det gäller de uppgifter som enligt artikel 9 i dataskyddsförordningen hör till särskilda kategorier av personuppgifter, personuppgifter som rör fällande domar i brottmål och överträdelser enligt artikel 10 vilkas behandling kräver särskilda omständigheter samt uppgifter som nationellt i konstitutionellt hänseende fortfarande ses om känsliga. 
3.6
Automatiserade enskilda beslut
Smidigare författningar är ett av statsminister Juha Sipiläs regerings spetsprojekt. Projektet har som mål att underlätta företags verksamhet och medborgarnas vardag genom enklare och förnyad reglering. På detta sätt stöder man Finlands tillväxt, stärker konkurrenskraften och främjar digitaliseringen. Migrationsverket har som en del av utvecklingen av systemet UMA skapat en beredskap för automatiserade beslut. Det främsta målet med att möjliggöra automatiserade beslut är att effektivisera beslutsfattandet. I Migrationsverkets behörighet ingår sakkomplex där automatiserade beslut skulle göra det möjligt att uppnå regeringens spetsprojekt. Enligt artikel 22 i dataskyddsförordningen ska registrerade ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, förutom om beslutet tillåts enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen. Den nationella lagstiftningen ger inte Migrationsverket möjlighet till beslut baserade på automatiserat beslutsfattande.  
4
Målsättning och de viktigaste förslagen
4.1
Målsättning
Propositionen har som mål att stifta en ny lag om behandlingen av personuppgifter i migrationsförvaltningen. Lagen ska ersätta utlänningsregisterlagen samt registerbestämmelserna i mottagandelagen, förvarslagen och integrationslagen. Målet är en personuppgiftslag som bemöter förändringarna i omvärlden och kraven på ett modernt skydd av personuppgifter.  
Propositionens främsta mål är att den nya personuppgiftslagen uppfyller kraven i EU:s dataskyddslagstiftning. Dataskyddsförordningen är den primära författningen om behandling av personuppgifter. Dataskyddsförordningen kompletteras av den nationella dataskyddslagen, som är en allmän lag som ska tillämpas på behandling av personuppgifter. Dataskyddslagen för brottmål kommer i fortsättningen att tillämpas som allmän lag när personuppgifter behandlas av polisen eller Gränsbevakningsväsendet i syfte att skydda den nationella säkerheten. Den nya lag som gäller behandling av personuppgifter inom migrationsförvaltningen, som kompletterar och preciserar dataskyddsförordningen och dataskyddslagen, utgör ingen självständig och samlad lagstiftningshelhet, utan den ska tillämpas parallellt med nämnda författningar. 
Genom den föreslagna lagen säkerställs att migrationsförvaltningens bestämmelser är förenliga med dataskyddsförordningen så att myndigheterna i sin verksamhet kan uppfylla de villkor för behandlingen av personuppgifter som preciseras i förordningen. Dataskyddsförordningen och den nationella dataskyddslagen kompletteras genom den nu föreslagna speciallagstiftningen bara till den del det är nödvändigt. På motsvarande sätt ska bestämmelserna i dataskyddslagen för brottmål beaktas i den mån den föreslagna lagen innehåller bestämmelser som omfattas av dess tillämpningsområde. I regleringen beaktas också grundlagsutskottets krav på detaljnivån på regleringen och på tydlig reglering (GrUU 14/2018 rd). Målet är att bestämmelserna om behandling av personuppgifter i migrationsförvaltningen i fortsättningen ska finnas samlat i en enda lag som uppfyller kraven enligt en modern personuppgiftslag. 
En kontrollerad invandring är ett viktigt samhälleligt mål, och genomförandet påverkas genom en fungerande och modern reglering av behandlingen av personuppgifter. Propositionen är nödvändig eftersom behandlingen av personuppgifter inom ramen för lagens tillämpningsområde är en förutsättning för att myndigheterna ska kunna utföra de lagstadgade uppgifter som ålagts dem. Dessutom är propositionen nödvändig på grund av att målet är att skydda registrerades privatliv. Skyddet för privatlivet enligt 10 § i grundlagen förutsätter att skyddet av de personuppgifter som behandlas i migrationsförvaltningen uttryckligen regleras i lag. 
Migrationsförvaltningens personuppgiftslag kommer att tillämpas på en mycket bred grupp av i huvudsak utlänningar för vilkas del det i stor utsträckning kommer att behandlas uppgifter som hör till människors privatliv och som ofta också är känsliga. Det riskbaserade synsättet i dataskyddsförordningen talar för den valda regleringen som beaktar skyddet av såväl statens som enskilda registrerades intressen. En lagstiftning som genomför dessa mål ökar också förtroendet för de finländska myndigheternas verksamhet. 
Ett centralt mål för propositionen är att lagen om behandling av personuppgifter i migrationsförvaltningen ska grunda sig på bestämmelserna om ifrågavarande myndighets behörighet. Den föreslagna lagen kommer i princip inte att tillföra myndigheterna behörighet, utan myndigheternas behörighet grundar sig på annan lagstiftning på förvaltningsområdet. Behörighet kan inte regleras bara genom bestämmelser om behandling av personuppgifter. I lagen om behandling av personuppgifter i migrationsförvaltningen ska inte föreskrivas om samma sak som det i de bestämmelser som ger behörighet redan har föreskrivits. 
4.2
Alternativ
4.2.1
4.2.1 Reglering baserad på register, ändamål eller informationssystem
I fråga om behandling som är bunden till specifika ändamål har man i samband med beredningen identifierat vissa problem med anknytning till rentav exceptionellt många myndigheter vid migrationsförvaltningen som behandlar personuppgifter i flera olika roller för synnerligen olika ändamål. Vid beredningen har man också identifierat problem med anknytning till den samlade helheten av flera informationssystem i användning samt i viss mån överlappande tillämpningsområdena för ett flertal personuppgiftslagar. När tillämpningsområdena för personuppgiftslagar inte är bundna till lätt identifierbara informationssystem eller register, utan till ändamålen med behandlingen av personuppgifter, kan identifieringen av vilken personuppgiftslag som ska tillämpas i enskilda fall lämna rum för tolkning, om det är fråga om ett ändamål med behandlingen som omfattas av tillämpningsområdet för flera myndigheters personuppgiftslag. En sådan situation är till exempel behandlingen av personuppgifter i syfte att skydda den nationella säkerheten. 
Vid beredningen har man bedömt möjligheten att hålla sig till register- eller informationssystembaserad reglering i stället för en reglering baserad på det specifika ändamålet med behandlingen. Utgångspunkten i både dataskyddsförordningen och dataskyddslagen och som regel i annan nationell speciallagstiftning har talat för en reglering baserad på ändamålet med behandlingen, i synnerhet på inrikesministeriets förvaltningsområde. Det är inte meningen att man i en personuppgiftslag ska föreskriva om tekniska lösningar, utan om bestämmelser och principer som gäller behandlingen av personuppgifter och som styr de tekniska lösningar som möjliggör och stöder behandlingen. 
Eftersom utgångspunkten för dataskyddsförordningen är att personuppgifter ska samlas in för ett visst uttalat och lagligt syfte och att de inte senare får behandlas på ett sätt som är oförenligt med dessa syften, kommer kravet på ändamålsbundenhet inte nödvändigtvis att tillgodoses genom att man binder behandlingen till ett visst register eller delregister. Eftersom kravet på ändamålsbundenhet är dataskyddsförordningens utgångspunkt, är tillämpningen av det i varje fall förpliktande, och då saknar det med tanke på behandlingen av uppgifter betydelse om behandlingen binds till en viss plattform. Det bör dock noteras att en registerbaserad reglering och en reglering baserad på ändamålet med behandlingen i praktiken inte nödvändigtvis skiljer sig i någon större utsträckning från varandra, utan det är närmast fråga om olika sätt att formulera bestämmelser. 
4.2.2
4.2.2 Centraliserad eller decentraliserad reglering av personuppgifter
Migrationsförvaltningen har ingen samlad personuppgiftslag, utan regleringen av behandlingen av personuppgifter är fördelad på olika lagar. Vissa bestämmelser har koncentrerats till utlänningsregisterlagen, men i viss mån ingår regleringen i andra lagar. Inom projektet har man bedömt möjligheten att hålla kvar en uppdelning enligt vilken behandlingen av personuppgifter regleras på nuvarande sätt i dels den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen, dels i annan lagstiftning. I sådana fall kommer tillämpningsområdet för migrationsförvaltningens nya personuppgiftslag att vara mer begränsad än vad som anges i denna proposition. De bestämmelser som kvarstår i annan lagstiftning måste dock i vart fall revideras på grund av såväl nationella behov som EU:s dataskyddsreform. Dessutom har det ansetts att gällande indelning i praktiken i högre grad grundar sig på den historiska utvecklingen än på ett underbyggt avgörande. Det har ansetts vara motiverat att personuppgifter på migrationsförvaltningens område i fortsättningen behandlas med stöd av samma bestämmelser oavsett för vilket berättigat ändamål uppgifterna behandlas. För en centraliserad reglering talar också det faktum att personuppgifter i praktiken till stor del behandlas inom systemet UMA som administreras av Migrationsverket. Det är lämpligt att personuppgifter i samma informationssystem behandlas med stöd av samma bestämmelser, dock genom att man i tillräcklig omfattning beaktar nödvändiga särdrag som utmärker behandlingen. 
4.2.3
4.2.3 Lagens tillämpningsområde
Vid beredningen har man undersökt alternativet att behandlingen av personuppgifter som utförs för att skydda den nationella säkerheten ställs utanför tillämpningsområdet för lagen om behandling av personuppgifter i migrationsförvaltningen, när personuppgifter inte behandlas som en del av migrationsprocessen. I sådana fall behandlas personuppgifterna med stöd av respektive myndighets, till exempel polisens, personuppgiftslag. Personuppgifter som samlats in med stöd av lagen om behandling av personuppgifter i migrationsförvaltningen för att skydda den nationella säkerheten ska då användas antingen enligt bestämmelsen om utlämning av uppgifter eller genom att det föreskrivs om behandling av personuppgifter för annat än det ursprungliga ändamålet. Detta alternativ eliminerar också möjligheten att tillämpningsområdet knyts till dataskyddslagen för brottmål, vilket kan ses som ändamålsenligt med tanke på lagens tydlighet. Eftersom behandlingen av personuppgifter i migrationsförvaltningen är en central del av den inre säkerheten och eftersom det är nödvändigt att trygga behandlingen av de personuppgifter som migrationsförvaltningen samlat in i syfte att skydda den nationella säkerheten på samma sätt som nu är fallet, kommer det föreslagna tillämpningsområdet för lagen också att inbegripa behandlingen av personuppgifter för att skydda den nationella säkerheten. 
4.2.4
4.2.4 Personuppgiftsansvariga
På migrationsförvaltningens område finns ett exceptionellt stort antal myndigheter i uppdrag som innebär behandling av personuppgifter som omfattas av tillämpningsområdet för den föreslagna personuppgiftslagen. Dessutom sköter till exempel privata förläggningar ofta offentliga förvaltningsuppdrag. Vid beredningen har deras roll bedömts, sett ut den föreslagna personuppgiftslagens synvinkel. 
Dataskyddsförordningen erbjuder inte några tydliga kriterier för att bestämma personuppgiftsansvarig i sådana fall då behörighet grundar sig på lagstiftning. Enligt artikel 26 i dataskyddsförordningen fastställer den personuppgiftsansvarige ändamålen med och medlen för behandlingen, men om ändamålen och medlen är fastställda i lagstiftningen, är detta kriterium inte speciellt särskiljande. I sitt utlåtande 1/2010 om begreppen personuppgiftsansvarig och personuppgiftsbiträde har EU:s dataskyddsgrupp WP 29 angett faktorer som definierar en personuppgiftsansvarig, bland annat frågor om varför personuppgifter behandlas, för vems syften de behandlas, vem som har inlett behandlingen, om uppdraget kan skötas utan behandling av personuppgifter och vem som har prövnings- och beslutanderätt i ärendet. Trots att utlåtandet är förhållandevis gammalt, godtas dess grundläggande riktlinjer fortfarande av EU-rätten. I sitt utlåtande betonar dataskyddsgruppen att ansvaret ska förläggas till det plan där den faktiska påverkningen sker. I samband med beredningen har man granskat de lagstadgade uppdragen för myndigheterna vid migrationsförvaltningen samt försökt fastställa om myndigheten behandlar personuppgifter på angivet sätt för sin egna oberoende syften med prövningsrätt i frågan och för att genomföra sina lagstadgade uppdrag.  
Som alternativ har man diskuterat en modell enligt vilken bara Migrationsverket är personuppgiftsansvarig i systemet UMA och bara utrikesministeriet i det nationella informationssystemet för viseringar. Detta förutsätter att organ som behandlar personuppgifter på migrationsförvaltningens område utses till personuppgiftsbiträden, ett separat avtal om i vilken utsträckning dessa organ behandlar personuppgifter samt tillgodoser de registrerades rättigheter, såsom informationsskyldigheten som en personuppgiftsansvarig i praktiken inte kan uppfylla. I enlighet med artikel 28 i dataskyddsförordningen ska personuppgiftsbiträdet behandla personuppgifter för Migrationsverkets eller utrikesministeriets räkning. Men då ska det särskilt föreskrivas om allt det ansvar som personuppgiftsbiträdena i fråga har enligt principen att ansvaret ska hänföras till det organ som har det verkliga ansvaret. I samband med beredningen har som grund för detta alternativ angetts att vissa myndigheter bara har en förhållandevis liten andel av de personuppgifter som behandlas på migrationsförvaltningens område och att uppgifterna behandlas också inom ramen för andra myndighetsprocesser. 
Vid beredningen har det dock konstaterats att även om en regleringsmodell med flera gemensamt personuppgiftsansvariga inte är särskilt tydlig, ger det en bild av den faktiska situationen vid migrationsförvaltningen som innebär att flera myndigheter behandlar personuppgifter för att genomföra sina lagstadgade uppdrag inom tillämpningsområdet för den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen. De gemensamt personuppgiftsansvarigas ansvar har dock i viss mån koncentrerats dels till systemoperatörer, dels till de personuppgiftsansvariga som verkligen påverkar innehållet i personuppgifterna. Med tanke på rättssäkerheten har det setts som en viktig principiell lösning att det i alla situationer är den myndighet som de facto bär ansvaret som ansvarar för behandlingen av personuppgifter. Detta är också utgångspunkten för dataskyddsförordningen. 
4.2.5
4.2.5 Bestämmelser om rätten till personuppgifter
Rätten till uppgifter är en rätt som tillför myndigheten behörighet. Att införa rätten till uppgifter i lagstiftning som ger myndigheterna behörighet är därför såväl motiverat som en lösning som är förenlig med den samlade propositionen. Vid migrationsförvaltningen finns det dock ett stort antal lagar som ger myndigheterna behörighet. Det förefaller som om antalet sådana lagar i framtiden sannolikt snarare kommer att öka än minska. Att införa rätten till uppgifter i lagstiftning som ger behörighet innebär att tämligen samma typ av bestämmelser mångfaldigas i flera lagar. Därför har man i propositionen gått in för att föreslå att rätten till uppgifter som omfattas av tillämpningsområdet för lagen om Migrationsverket, förläggningar, flyktingslussar och förvarsenheter koncentreras till den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen. I förslaget föreskrivs det dessutom om rätt till uppgifter för närings-, trafik- och miljöcentralerna och arbets- och näringsbyråerna. För att skapa en tydlig helhet är valet motiverat. Övriga aktörers rätt till uppgifter har fått kvarstå i de lagar som ger behörighet. 
4.2.6
4.2.6 Automatiserade enskilda beslut
Vid beredningen har man övervägt möjligheten att avgränsa typen av beslut som är föremål för automatiserade beslut till bara exempelvis positiva beslut. I samband med beredningen har man dock identifierat sådana negativa beslut av Migrationsverket i vilka det hade varit lämpligt att fatta automatiserade individuella beslut framför allt på grund av att det saknas prövningsrätt i besluten. Sådana är till exempel arbets- och näringsbyråernas negativa delbeslut av vilka det enligt lagen följer negativa beslut om uppehållstillstånd. Migrationsverket har inte prövningsrätt i besluten i fråga. 
Vid beredningen har man också gjort bedömningen att begränsa automatiserade beslut när det gäller barn. Det konstaterades dock att ett snabbt automatiserat beslut i vissa situationer kan ligga i barnets bästa. Helt automatiserade individuella beslut som gäller barn kan fattas till exempel om ansökningar om fortsatt tillstånd, då villkoren enligt vilka föregående tillstånd har beviljats fortfarande är giltiga. Om automatiserade beslut inte får fattas om barn, tvingas exempelvis barnfamiljer i situationer som anges ovan att vänta på att en fysisk person behandlar ärendet. Även om Migrationsverket i sin praktiska verksamhet försöker prioritera barn och barnfamiljer, skulle behandlingen dock i en liknande situation vara långsammare än vid automatiserat beslutsfattande. Detta skulle systematiskt försätta barn i en sämre ställning än andra. 
I samband med beredningen har det också övervägts om dataskyddsförordningen ger registrerade rätten att kräva att en fysisk person deltar i behandlingen. Enligt artikel 22.2 b i dataskyddsförordningen tillåts automatiserade individuella beslut, om beslutet har godkänts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen. Enligt skäl 71 i ingressen till dataskyddsförordningen bör denna form av uppgiftsbehandling under alla omständigheter omgärdas av lämpliga skyddsåtgärder, som inkluderar rätten för en fysisk person att delta i behandlingen av uppgifter. 
Vid beredningen har det övervägts om skälet i fråga ålägger en skyldighet att lagstifta om en registrerads rätt att kräva att en fysisk person deltar i behandlingen av dennes uppgifter. Ingressen har ingen bindande rättsverkan men den ska beaktas i tolkningen av artiklarna. Rättsligt bindande bestämmelser ingår i artiklarna. Trots att ingressen inte har någon bindande rättsverkan, kan skälen i ingressen dock ha det. I vissa förhållanden kan skälen ge enskilda personer anledning till berättigade förväntningar eller begränsa dessa (Handbok för utformning av rättsakter i Europeiska unionens råd 2002, s. 83). Vid beredningen har det också diskuterats, om registrerade med fog kan förväntas ha rätt att kräva att en fysisk person deltar i behandlingen av uppgifter i en situation enligt artikel 22.2 b. Enligt artikel 22.3 hör rätten att kräva att en fysisk person behandlar personuppgifter till skyddsåtgärderna bara i sådana fall som avses i artikel 22.2 a och c, men inte i fall enligt artikel 22.2 b. Om lagstiftaren skulle ha önskat att uttryckligen bevilja en sådan rätt också i fall som avses i artikel 22.2 b, vore det befogat att förvänta sig att också sådana fall hade tagits upp i artikel 22.3. Nu täcker punkt 3 övriga situationer då automatiserade beslut är möjliga, förutom fallen under led b. Vid beredningen har det konstaterats att registrerade inte med fog kan förvänta sig ha rätt att kräva att en fysisk person deltar i behandlingen av uppgifter. 
4.2.7
4.2.7 Nationell reglering till följd av Europeiska unionens förordning om skyldigheten att lagra personuppgifter i unionens gemensamma informationssystem
Vid beredningen har man övervägt behovet av nationell reglering till följd av Europeiska unionens förordning om skyldigheten att lagra personuppgifter i unionens gemensamma informationssystem med beaktande av kravet i artikel 6.3 i dataskyddsförordningen enligt vilket den grund för behandlingen som är nödvändig för att fullgöra en rättslig förpliktelse ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. I 36 § i gällande lag om behandling av personuppgifter i polisens verksamhet (761/2003) föreskrivs om rätten för Migrationsverket, polisen och Gränsbevakningsväsendet att trots sekretessbestämmelserna till Schengens informationssystem lämna ut personuppgifter som avses i Europaparlamentets och rådets förordning (EG) 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II). Också polisens personuppgiftslag revideras för närvarande och i samband med det pågår en inskränkning av nuvarande bestämmelse så att den gäller bara polisen. Gränsbevakningsväsendet har ansett det vara nödvändigt att i fortsättningen reglera utlämningen av uppgifter till Schengens informationssystem i Gränsbevakningens personuppgiftslag. Vid beredningen har man också beaktat att det med stöd av såväl Schengens informationssystem som avdelning V kapitel 2 i fördraget om Europeiska unionens funktionssätt har inrättats flera informationssystem som är gemensamma för Europeiska unionen. Sådana är Eurodac-systemet, informationssystemet för viseringar (VIS), EU:s system för in- och utresa (EES) och EU:s reseinformations- och auktorisationssystem (ETIAS). Författningsgrunden för dessa informationssystem bildas av Europaparlamentets och rådets förordning (EU) nr 603/2013 som gäller Eurodac-systemet, Europaparlamentets och rådets förordning (EG) nr 767/2008 om informationssystemet för viseringar (VIS), Europaparlamentets och rådets förordning (EU) 2017/2226 om ett system för in- och utresor (EES) samt Europaparlamentets och rådets förordning (EU) 2018/1240 om ett EU-system för reseuppgifter och resetillstånd (Etias). 
Vid beredningen har man bedömt att alla dessa förordningar kommer att leda till noggrant specificerade skyldigheter för de nationella myndigheterna när det gäller behandlingen av personuppgifter. Det kan vara fråga om att vissa personuppgifter som anges i den förordningen, också känsliga uppgifter såsom fingeravtryck, ska registreras eller uppdateras i ett gemensamt europeiskt informationssystem eller att personuppgifter som samlats i ett gemensamt informationssystem ska användas i en nationell myndighets egen verksamhet. Vid beredningen har det konstaterats att det inte är nödvändigt att särskilt föreskriva om den typen av skyldighet att behandla personuppgifter som följer direkt av en förordning, eftersom förordningen är direkt tillämplig och innehållet i de personuppgifter som ska behandlas anges utförligt i förordningarna. I förordningarna anges inte vilken myndighet som har rätt att behandla personuppgifter, men förordningen ålägger medlemsstaten att särskilt notifiera sådana myndigheter för kommissionen, och således har kretsen av myndigheter som har rätt att behandla personuppgifter i detta avseende begränsats. För att uppnå en enhetlig lösning tillsammans med övriga myndigheter på förvaltningsområdet samt med tanke på tydligheten har man dock stannat för att föreskriva om utlämning av personuppgifter till Europeiska unionens gemensamma informationssystem. 
4.3
De viktigaste förslagen
4.3.1
4.3.1 Centralisering av regleringen av de personuppgifter som behandlas i migrationsförvaltningen
I propositionen föreslås att det stiftas en lag om behandling av personuppgifter i migrationsförvaltningen. Lagen ska tillämpas på behandlingen av personuppgifter på migrationsförvaltningens område. Lagen ersätter lagen om utlänningsregistret som föreslås bli upphävd. Till den föreslagna lagen koncentreras dessutom bestämmelserna om behandling av personuppgifter i andra migrationslagar på förvaltningsområdet. I propositionen ingår också förslag till lagar om ändring av lagen om mottagande av personer som söker internationellt skydd och om identifiering av och hjälp till offer för människohandel, lagen om bemötande av utlänningar som tagits i förvar och om förvarsenheter, lagen om främjande av integration, medborgarskapslagen, lagen om Migrationsverket, säkerhetsutredningslagen, lagen om Enheten för utredning av grå ekonomi, lagen om offentlighet i myndigheternas verksamhet och utlänningslagen.  
Målet är att bestämmelserna om behandling av personuppgifter i migrationsförvaltningen i fortsättningen ska finnas i en lag som uppfyller kraven enligt en modern personuppgiftslag och som kompletterar dataskyddsförordningen samt dataskyddslagen som bereds för närvarande och beträffande skyddet av den nationella säkerheten dataskyddslagen för brottmål. 
4.3.2
4.3.2 Rättslig grund för behandlingen av personuppgifter
Lagstiftning som kompletterar eller preciserar dataskyddsförordningen är möjlig bar om det uttryckligen tillåts i dataskyddsförordningen. Det nationella handlingsutrymmet grundar sig på artikel 6.1 c och e i dataskyddsförordningen samt i fråga om särskilda kategorier av personuppgifter på artikel 9.2 b, g, h, i och j. Dessutom innehåller förordningen flera artikelspecifika preciseringar av det nationella handlingsutrymmet. 
Enligt artikel 6.1 c i dataskyddsförordningen är behandlingen laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Den personuppgiftsansvarige ska då inom ramen för sin behörighet ha lagstadgade uppdrag som förutsätter behandling av personuppgifter för att kunna genomföras. Personuppgifter får inte behandlas på basis av bara en bestämmelse om behandling av uppgifter och de får inte behandlas i vidare bemärkelse än vad som är motiverat utifrån uppgifts- och behörighetsbestämmelsen. Eftersom myndigheternas behandling av personuppgifter i migrationsförvaltningen är lagstadgad, är artikel 6.1 c i dataskyddsförordningen den rättsliga grund som ska tillämpas. Dataskyddsförordningen kräver kompletterande reglering när behandlingen av personuppgifter grundar sig på den personuppgiftsansvariges lagstadgade åtagande. Behandlingen av personuppgifter i migrationsförvaltningen kan inte genomföras på ett ändamålsenligt sätt utan preciserande reglering inom ramen för det nationella handlingsutrymmet så som det anges i artikel 6.2 och 3 i dataskyddsförordningen. Den rättsliga grunden för behandlingen av personuppgifter i denna proposition är således förenlig med dataskyddsförordningen. 
När det föreskrivs om behandling av personuppgifter i nationell rätt inom ramen för det handlingsutrymme som förordningen medger, kan den rättsliga grunden för behandlingen enligt artikel 6.2 och 3 innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning. Den nationella lagstiftningen kan handla om till exempel de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Lagstiftningen ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. 
4.3.3
4.3.3 Mål för behandlingen av personuppgifter
Lagen om behandling av personuppgifter i migrationsförvaltningen har som mål att på bästa möjliga sätt skydda de registrerades privatliv, vilket tryggas i grundlagen. Avsikten är att säkerställa lagligheten i behandlingen av personuppgifter samt den allmänna ordningen och säkerheten genom att möjliggöra skötseln av de lagstadgade uppdrag som hör till myndigheternas behörighet. 
Lagstiftningen om behandlingen av personuppgifter i migrationsförvaltningen beskrivs ovan i avsnitt 2.1.2. De åtaganden som åläggs myndigheterna i dessa lagar kan inte fullgöras utan behandling av personuppgifter, eftersom åtagandena har att göra med människors rättigheter, tjänster och skyldigheter. Det är nödvändigt att identifiera personerna och det ligger dessutom i deras eget intresse. 
Utgångspunkt för behandlingen är principerna för behandling av personuppgifter i dataskyddsförordningen. Enligt dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. 
4.3.4
4.3.4 Behandling av personuppgifter baserat på ändamålet med behandlingen och lagens tillämpningsområde
Europeiska unionens dataskyddslagstiftning leder inte till några begränsningar oavsett om regleringen i den nationella lagstiftningen är registerbaserad är baserad på ändamålet med behandlingen. Det föreslås att den registerbaserade regleringen i utlänningsregisterlagen ersätts med bestämmelser som är baserade på ändamålet med behandlingen av personuppgifter. Regleringen skulle då vara förenlig med utgångspunkterna i dataskyddsförordningen, dataskyddslagen, dataskyddslagen för brottmål och annan speciallagstiftning på inrikesministeriets förvaltningsområde. Enligt dataskyddsförordningen ska ändamålet med behandlingen framgå tillräckligt detaljerat i bestämmelserna om ändamålet. I propositionen föreslås bestämmelser om ändamålen med behandlingen av personuppgifter så att de i princip överensstämmer med innehållet i nuvarande utlänningsregisterlag, men med en utvidgning av ändamålen med behandlingen så de inbegriper också ändamålen enligt registerbestämmelserna i nuvarande mottagandelag, förvarslag samt integrationslag. Behandlingen av personuppgifter kommer då att grunda sig på behörighet som tilldelas varje enskild personuppgiftsansvarige enligt lagstiftning. 
I lagförslaget bildar ändamålen med behandlingen av personuppgifter den föreslagna lagens tillämpningsområde. Migrationsförvaltningens personuppgiftslag tillämpas när personuppgifter behandlas för de ändamål som föreslås i 1 §. 
Enligt dataskyddslagen ska dataskyddsförordningen tillämpas i tillämpliga delar också på sådan behandling av personuppgifter som inte omfattas av unionsrättens tillämpningsområde och som medlemsstaterna utför när de bedriver sådan verksamhet som hör till tillämpningsområdet för avdelning 5 kapitel 2 i fördraget om Europeiska unionen. En utvidgning av dataskyddsförordningens tillämpningsområde gäller inte situationer då man i ett ärende som faller utanför unionsrättens tillämpningsområde skulle ha föreskrivit på annat sätt i den nationella lagstiftningen. I propositionen föreslås inte att det föreskrivs annorlunda om saken. 
Med regleringsteknik baserad på ändamålet med behandlingen avses att man frångår nuvarande reglering av personuppgifter som är kopplad till angivna register och informationssystem. Informationssystemen fungerar som tekniska plattformar för behandlingen av personuppgifter, men det är inte längre nödvändigt att föreskriva särskilt om dem. I fortsättningen ska tillämpningsområdet för lagen vara knutet till syftet med behandlingen oberoende av i vilket specifikt informationssystem personuppgifterna behandlas. För att den valda regleringstekniken ska fungera förutsätts det att man går in för att minimera överlappningar av tillämpningsområdena för migrationsförvaltningens personuppgiftslag och andra personuppgiftslagar. 
Även om lagens tillämpningsområde vid en regleringsteknik baserad på ändamålet inte är bundet till den tekniska plattformen för behandlingen, kan koncentrationen av behandlingen av personuppgifter som samlats in med stöd av en enskild personuppgiftslag till ett visst eller vissa informationssystem i praktiken skapa klarhet i helheten. Dessutom bör det särskilt föreskrivas om Migrationsverkets och utrikesförvaltningens behörighet att administrera och utveckla sina informationssystem. Ansvaret när det gäller informationssystemens administration och utveckling kommer dock inte att påverka valet av lag som tillämpas på behandlingen av personuppgifter. 
I den föreslagna lagen föreskrivs om personuppgifter som ska behandlas, villkor för och förfarande vid behandlingen samt de registrerades rättssäkerhet, när personuppgifter behandlas för de ändamål som den föreslagna lagens tillämpningsområde är bundet till. 
4.3.5
4.3.5 Förhållande till annan lagstiftning
Bestämmelser om behandlingen av personuppgifter finns i dataskyddsförordningen och dataskyddslagen vilka kompletteras och preciseras av den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen, som är en speciallag. 
Dataskyddslagen för brottmål ska enligt den regeringsproposition som gäller den (RP 31/2018 rd) i stället för dataskyddsförordningen och dataskyddslagen tillämpas på behandling av personuppgifter som utförs av polisen, åklagarna, de allmänna domstolarna, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter, när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åklagarverksamhet i samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av brott mot den allmänna säkerheten. Lagen ska också med stöd av en nationell lösning tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten. Av de specifika ändamål för behandlingen av personuppgifter som omfattas av tillämpningsområdet för migrationsförvaltningens personuppgiftslag ska skyddet av den nationella säkerheten höra till tillämpningsområdet för dataskyddslagen för brottmål. Eftersom tillämpningsområdet för den lag som föreslås i propositionen utvidgas, blir också de ändamål för vilka insamlade uppgifter får behandlas för att trygga den nationella säkerheten mer omfattande. 
På migrationsförvaltningens område tillämpas också lagen om behandling av personuppgifter i polisens verksamhet (761/2003), nedan polisens personuppgiftslag samt lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005), nedan gränsbevakningens personuppgiftslag. Dessa båda revideras för närvarande. Förhållandet mellan tillämpningsområdet för den föreslagna lagen och de speciallagar ovan som gäller behandlingen av personuppgifter är, på samma sätt som nu, att de i viss mån överlappar varandra till exempel i fråga om tryggandet av den nationella säkerheten, övervakningen av utlänningar samt utvisningar. 
Om inte något annat föreskrivs i den föreslagna lagen, tillämpas offentlighetslagen på hemlighållande och utlämning av personuppgifter. I den föreslagna lagen föreskrivs om utlämning av sekretessbelagda personuppgifter. I den föreslagna lagen ingår dessutom bestämmelser som kompletterar offentlighetslagen i fråga om sekretess för personuppgifter. 
4.3.6
4.3.6 Gemensamt personuppgiftsansvariga
Personuppgiftsansvariga är Migrationsverket, Polisstyrelsen och skyddspolisen, Gränsbevakningsväsendet, förläggningar och flyktingslussar, förvarsenheter, utrikesförvaltningen, närings-, trafik- och miljöcentralerna samt arbets- och näringsbyrån. Utgångspunkten för dataskyddsförordningen är att trygga fysiska personers grundläggande fri- och rättigheter och framför allt deras rätt till skydd av personuppgifter. Utgångspunkten är att ansvaret för behandling av personuppgifter förläggs på den myndighet som har det verkliga ansvaret för saken. Personuppgiftsansvarig är den myndighet som behandlar personuppgifter för ett ändamål som hör till den föreslagna lagens tillämpningsområde och utför detta för att kunna sköta de uppgifter som ålagts den i lag för egna oberoende syften. Eftersom många myndigheter behandlar personuppgifter i egenskap av personuppgiftsansvariga inom lagens tillämpningsområde, är de med stöd av artikel 26 i dataskyddsförordningen alla gemensamt personuppgiftsansvariga. För enskilda gemensamt personuppgiftsansvariga används i propositionen benämningen personuppgiftsansvarig. 
De personuppgiftsansvarigas inbördes ansvarsfördelning och skyldigheter avgränsas med stöd av tre olika villkor: 1) genom att identifiera de uppgifter som följer av den lagstiftning som ger behörighet och genom att utföra uppgifterna behandlar myndigheten i fråga personuppgifter i egenskap av personuppgiftsansvarig. De gemensamt personuppgiftsansvarigas materiellrättsliga arbetsfördelning när det gäller de lagstadgade uppgifter som hör till varje enskild personuppgiftsansvarig ska grunda sig på den lagstiftning som ger behörighet. De personuppgiftsansvarigas inbördes materiellrättsliga ansvarsfördelning har följaktligen fastställts tydligt och exakt på lagnivå; 2) genom att koncentrera en del av det ansvar som hör till en personuppgiftsansvarig till systemoperatörer, dvs. Migrationsverket och utrikesförvaltningen. Eftersom det inte är ändamålsenligt att varje personuppgiftsansvarig ska svara för administration och utveckling av informationssystemet, bör detta ansvarsområde lämpligen och med nödvändighet koncentreras på samma sätt som för närvarande. Samma myndigheter är också kontaktpunkter för de registrerade. Registrerade får dock i enlighet med dataskyddsförordningen utöva sina rättigheter enligt förordningen med avseende på var och en av de personuppgiftsansvariga. Dessutom ska vissa metoder för behandling av personuppgifter som är kopplade till informationssystemet överföras till informationssystemets administratörer, såsom utplåning och utlämning av personuppgifter annat än i enskilda fall; 3) genom att hänföra vissa ansvarsområden bara till de personuppgiftsansvariga som verkligen påverkar innehållet i de personuppgifter som de behandlar. Den som har påverkat innehållet i en uppgift, i praktiken den myndighet som registrerat uppgiften, ska ansvara för att uppgiften är korrekt, för beslut om rättelse av uppgiften, för utlämning av en enskild uppgift samt för att den registrerades rättigheter tillgodoses. Varje enskild gemensamt registeransvarig svarar dock alltid för att all behandling av personuppgifter i den egna verksamheten följer lagen. 
Regleringen förändrar gällande rättsläge så att de organ som enligt utlänningsregisterlagen är myndigheter som för och använder register inte alla i fortsättningen kommer att vara personuppgiftsansvariga. Framöver kommer en del av dem som nu för och använder register att behandla personuppgifter med stöd av bestämmelserna om utlämning av uppgifter. 
På migrationsförvaltningens område finns ett exceptionellt stort antal myndigheter som utför uppdrag som innebär att de behandlar personuppgifter på tillämpningsområdet för den föreslagna nya lagen om behandling av personuppgifter i migrationsförvaltningen. I enlighet med 124 § i grundlagen sköter dessutom till exempel privata förläggningar offentliga förvaltningsuppdrag med stöd av ett sådant avtal som anges i 10 § i mottagandelagen. För tydlighetens skull används i propositionen termen myndighet också när myndighetsuppdrag utförs av något annat organ än en myndighet. 
Dessutom behandlar många tjänsteleverantörer vid förläggningar, förvarsenheter, hjälpsystemet för offer för människohandel samt Migrationsverket i sin tur personuppgifter i rollen av personuppgiftsansvarig enligt artikel 28 och artikel 4.8 i dataskyddsförordningen. 
4.3.7
4.3.7 Förenlig behandling av personuppgifter
Enligt dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning). Enligt skäl 50 i ingressen till dataskyddsförordningen bör behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in endast vara tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig.  
Enligt artikel 6.4 i dataskyddsförordningen ska den personuppgiftsansvarige, om behandlingen inte grundar sig på exempelvis den nationella rätten, för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bland annat beakta följande: a) kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen, b) det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige, c) personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 eller huruvida personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10, d) eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen, och e) förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering. I lagförslaget föreskrivs inte särskilt om hurdan behandling av personuppgifter som ska betraktas som förenlig. En bedömning av om ändamålet med behandlingen är förenligt med det ursprungliga ändamålet ska grunda sig på den personuppgiftsansvariges bedömning i saken. 
I skäl 50 i ingressen till dataskyddsförordningen konstateras det att den personuppgiftsansvarige bör, för att fastställa om ett ändamål med den ytterligare behandlingen är förenligt med ändamålet, bland annat beakta alla kopplingar mellan dessa ändamål och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna insamlats, särskilt de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige i fråga om den art, den planerade ytterligare behandlingens konsekvenser för de registrerade samt förekomsten av lämpliga skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen. 
I många fall kan korsanvändning av tillämpningsområdet för punkt 1 och 2 i 1 § i den föreslagna lagen ses som en förenlig behandling. Sannolikt skulle användningen av exempelvis viseringsuppgifter i uppehållstillståndsprocessen och vice versa vara förenlig användning, eftersom det i båda fallen är fråga om användning av uppgifter i samband med inresa i landet. Likaså är det viktigt att beakta vissa specifika situationer, såsom myndighetens skyldighet enligt mottagandedirektivet att ta hänsyn till vissa särskilda behov hos sökanden. Uppdateringen av vissa uppgifter som identifierar en person är sannolikt förenlig också då man rör sig mellan de olika punkterna i tillämpningsområdet för 1 §. Om en persons identifieringsuppgifter uppdateras exempelvis i samband med en tillståndsprocess, bör uppgifterna i praktiken antagligen uppdateras också för mottagande- och förvarsprocessens del. 
Enligt artikel 5.1 d ska behandlingen av personuppgifter vara korrekt, dvs. personuppgifterna ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.  
4.3.8
4.3.8 Behandling av personuppgifter för andra ändamål än det ursprungliga
Bestämmelser om behandlingen av personuppgifter för andra ändamål än det ursprungliga eller för andra ändamål än sådana som är förenliga med det ursprungliga ändamålet utfärdas särskilt. Regleringsmodellen är ny i förhållande till den gällande utlänningsregisterlagen. Det är nödvändigt att föreskriva om behandling av personuppgifter för andra ändamål än det ursprungliga, eftersom tillämpningsområdet för den föreslagna lagen utvidgas till att omfatta uppgifter som samlats in för ändamål av olika slag och som i vissa fall kommer att behöva användas också för annat än det ursprungliga ändamålet. Regleringen grundar sig på det som i gällande utlänningsregisterlag, mottagandelag och förvarslag föreskrivs om utlämning av uppgifter för sådana ändamål som enligt förslaget i denna proposition ska införas i lagen om behandling av personuppgifter i migrationsförvaltningen. I sådana fall då det gäller behandling av personuppgifter inom lagens tillämpningsområde antingen av den myndighet som ursprungligen samlade in och registrerade uppgifterna eller av en annan personuppgiftsansvarig, är det inte längre fråga om utlämning av uppgifter, utan behandling av personuppgifter för andra ändamål än det ursprungliga. 
4.3.9
4.3.9 Uppgifter som ska behandlas
Enligt artikel 4.1 i dataskyddsförordningen avses med personuppgifter varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. 
Enligt artikel 5.1 c ska personuppgifter vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). Bestämmelserna om de uppgifter som ska behandlas och särskilda kategorier av personuppgifter täcker alla de personuppgifter som är möjliga att behandla med beaktande av tillämpningsområdet för den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen. Liksom för närvarande är fallet ska dock en enskild personuppgift vara nödvändig för att det ska vara möjligt att fullgöra ett enskilt lagstadgat åtagande. 
Detta sätt att reglera datainnehållet är allmänt hållet i förhållande till de gällande bestämmelserna. Paragrafen avses ange de personuppgifter och kategorier av personuppgifter där den ingående informationen får behandlas inom lagens tillämpningsområde. Den bestämmer de yttre ramarna för vilka personuppgifter som kan behandlas. Paragrafen anger inte vilka personuppgifter som kan behandlas i en enskild situation. Med andra ord ger den inte behörighet att behandla personuppgifter. Behörigheten för att behandla en viss personuppgift för ett visst ändamål ska alltid bygga på en särskild behörighetsbestämmelse. 
Innehållsparagrafen kommer att bli mer omfattande och innehålla sakinnehållet i registerbestämmelserna i gällande mottagande-, förvars- och integrationslagar. I detta avseende är ändringarna tekniska och avsikten är inte att förändra nuläget. När det gäller bestämmelserna om uppgifter som ska registreras i gällande mottagande-, förvars- och integrationslag ska beskrivningarna av de ändamål för vilka vissa personuppgifter får behandlas i den föreslagna bestämmelsen dock ersättas med ett allmänt nödvändighetskrav. Eftersom behandlingen av personuppgifter alltid kommer att vara nödvändig för att man ska kunna fullgöra ett visst lagstadgat åtagande, är avsikten verkligen inte att i detta avseende förändra det aktuella läget. 
Till skillnad från tidigare gör propositionen det möjligt att behandla uppgifter om iakttagelser. Den personuppgiftsansvarige ska ha rätt att registrera uppgifter om sådana av den personuppgiftsansvarige gjorda eller till den personuppgiftsansvarige anmälda iakttagelser som utifrån omständigheterna eller en persons beteende med fog kan bedömas höra till den personuppgiftsansvariges behörighet att övervaka att förutsättningarna för personens inresa och vistelse i landet uppfylls, eller som med fog kan bedömas ha samband med arbetarskyddet för den personuppgiftsansvariges anställda. Den rättsliga ställningen för uppgifter om iakttagelser har varit oklar, eftersom det inte har funnits några bestämmelser om dessa uppgifter. Det finns redan en faktisk behörighet att behandla de observationer som nu klassificeras som uppgifter om iakttagelser. På grund av sin karaktär förutsätter dessa uppgifterna att det ska om möjligt fogas en bedömning av uppgiftslämnarens eller informationskällans tillförlitlighet och uppgifternas riktighet Dessutom bör behandlingen av uppgifter on iakttagelser begränsas på det sätt som grundlagsutskottet anger (GrUU 18/2012 rd, s. 4). 
Närmare bestämmelser om radering av uppgifter utfärdas inom ramen för det handlingsutrymme som medges i dataskyddsförordningen. Tidsfristerna för radering av personuppgifter fastställs utifrån den personuppgiftsansvariges behov av att sköta sina åtaganden och den registrerades rättigheter. Personuppgifter ska lagras så länge de behövs för att definiera och genomföra den personuppgiftsansvariges eller den registrerades intressen, rättigheter eller skyldigheter. Vid migrationsförvaltningen är det normalt att tidigare anhängiga ärenden kan vara av betydelse i samband med senare processer. Tidsfristerna för raderingen av personuppgifter grundar sig på myndighetens behov av att behandla uppgifter om en person och dennes ärende även efter att ett enskilt ärende är färdigt behandlat, till exempel när ett nytt uppehållstillstånd söks, i ett senare inlett ärende om en familjemedlems uppehållstillstånd, i ett ärende som gäller beviljande av medborgarskap eller ett ärende som gäller förlust av medborgarskap. 
Jämfört med gällande lag ändras bestämmelserna om radering av uppgifter så att tidsfristen för vissa grunduppgifter om en person förlängs från ett år till tio år från det att personen har beviljats medborgarskap, avlidit eller uppgifterna om ärenden som gäller personen har raderats. Till skillnad från nuläget kommer uppgifterna om en person att raderas samtidigt och inte en i taget, eftersom uppgifterna om ett tidigare ärende kan påverka behandlingen av ett senare ärende. Således förlängs tidsfristerna för radering av ärenden. Enligt bestämmelsen om radering av personuppgifter ska dessutom andra personuppgifter och särskilda kategorier av personuppgifter hållas åtskilda. De uppgifter som hör till särskilda kategorier av personuppgifter ska raderas genast när de inte längre behövs. 
Också för observerade uppgifter kommer det att föreskrivas en betydligt kortare lagringstid. Om radering av uppgifter som konstaterats vara felaktiga föreskrivs särskilt. I fråga om arkivfunktionens uppgifter och om handlingar som ska arkiveras gäller separata bestämmelser och föreskrifter.  
4.3.10
4.3.10 Behandling av särskilda kategorier av personuppgifter
I propositionen föreslås det att man särskilt föreskriver om särskilda kategorier av personuppgifter. Sådana personuppgifter är uppgifter som hör till särskilda kategoriera av personuppgifter enligt artikel 9 i dataskyddsförordningen, personuppgifter som rör fällande domar i brottmål och överträdelser och som behandlas under vissa villkor samt uppgifter som nationellt i konstitutionellt hänseende fortfarande ses som känsliga. Till uppgifter av det senare slaget hör enligt grundlagsutskottet (se GrUU 14/2018 rd och GrUU 15/2018 rd) uppgifter som ses som känsliga och som enligt den nationella konstitutionella traditionen står utanför dataskyddsförordningens särskilda kategorier av personuppgifter, såsom uppgifter om social service. Detta betonar vikten av särskild noggrannhet vid behandlingen av uppgifterna. Paragrafen i den föreslagna personuppgiftslagen benämns enligt dataskyddsförordningens benämning på dessa uppgifter, även om den enligt vad som sägs ovan också omfattar andra personuppgifter som ska behandlas under särskilda villkor. 
En reglering är nödvändig, eftersom behandlingen av sådana kategorier av personuppgifter är förbjuden enligt artikel 9 i dataskyddsförordningen. Behandling är dock tillåten enligt artikel 9.2 g, om den är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstatens lagstiftning, förutsatt att den står i rätt proportion till målet, i väsentligt avseende tillgodoser rätten till skydd av personuppgifter och innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Enligt 6 § i förslaget till dataskyddslag ska artikel 9.1 i dataskyddsförordningen inte tillämpas på behandlingen av uppgifter om vilken föreskrivs i lag eller som direkt följer av uppdrag som ålagts den personuppgiftsansvarige i lag. 
Om sakinnehållet i personuppgifter som hör till särskilda kategorier av personuppgifter, om behandling och användning av uppgifterna för andra ändamål än det ursprungliga och om utlämning och radering föreskrivs särskilt genom noggrannare avgränsning av villkoren för behandling, utlämning och radering än när det gäller andra personuppgifter. Om behandlingen av fingeravtryck föreskrivs det också särskilt på samma sätt som i gällande utlänningsregisterlag. De allmänna bestämmelserna om behandlingen av personuppgifter för andra ändamål än det ursprungliga och om utlämningen av personuppgifter ska inte gälla fingeravtrycksuppgifter. Bestämmelserna om fingeravtryck överensstämmer i det avseendet med nuläget. Det föreskrivs särskilt om utlämningen av personuppgifter, inklusive uppgifter om fingeravtryck, till Europeiska unionens gemensamma informationssystem. 
4.3.11
4.3.11 Bestämmelser om utlämning av personuppgifter och tillgång till information
Bestämmelserna om utlämning av personuppgifter och tillgång till information gäller uppgifter som är sekretessbelagda enligt offentlighetslagen eller speciallagstiftning. Enligt 29 § i offentlighetslagen kan en myndighet till en annan myndighet lämna ut uppgifter ur sekretessbelagda handlingar, om det i lag särskilt tagits in uttryckliga bestämmelser om rätten att lämna ut eller att få uppgifter. 
I den nationella lagstiftningen om behandling av personuppgifter har det traditionellt ingått bestämmelser om såväl utlämning av personuppgifter som tillgång till information. Trots att regleringstekniken inte har betraktats som problematisk i konstitutionellt hänseende, är regleringssättet problematisk för den som tillämpar lagen, eftersom det förutsätter en kontroll av om utbytet av information är lagligt i två speciallagar som gäller olika myndigheter, och dessa lagar motsvarar ofta inte varandra. För att undvika dubbel reglering är det lämpligt att föreskriva om saken bara i den ena myndighetens lagstiftning. I propositionen har man utgått från att föreskriva om rätten till information i mottagarens lagstiftning eftersom det är fråga om den partens rätt till personsuppgifter. Den i förslaget valda utgångspunkten är kopplad till rätten till information, och för denna talar dessutom det faktum att den valts som utgångspunkt också på allmän lagnivå, eftersom de av finansministeriet föreslagna bestämmelserna om det tekniska gränssnittet för lagen om informationshantering grundar sig på mottagarens lagstadgade rätt till information. En mer omfattande avveckling av den dubbla regleringen av utlämning av uppgifter förutsätter att statsförvaltningen tillämpar en genomgående enhetlig linje när det gäller huruvida det är ändamålsenligt att föreskriva om utlämningen av uppgifter i lagstiftningen för den som lämnar ut uppgifter eller i mottagarens lagstiftning. 
Rätten till information för Migrationsverket, förläggningar och flyktingslussar, förvarsenheter, närings-, trafik- och miljöcentralerna samt arbets- och näringsbyrån ska vara kopplad till att dessa har ett lagstadgat åtagande med stöd av den lagstiftning som ger behörighet, vilket förutsätter att personuppgiften behandlas för att åtagandet ska kunna fullgöras. Förutsättningen för behandlingen av personuppgifter är således rätten till information enligt 29 § i offentlighetslagen. Bestämmelserna om rätten till uppgifter är knutna till dels nödvändighetskravet, dels relevanskravet, och i fråga om exakthet och noga avgränsning skiljer sig regleringen i bestämmelserna från varandra på det sätt som grundlagsutskottet förutsätter. 
I propositionen föreslås en ändring av syftet med fullgöranderapporter så att rapporterna i fortsättningen upprättas som stöd också för behandling av ärenden, beslutsfattande och skötseln av övervakningsuppdrag som gäller utlänningars inresa och utresa och deras vistelse och arbete i landet enligt lagen om villkor för tredjelandsmedborgares inresa och vistelse för säsongsanställning (907/2017) och lagen om villkor för inresa och vistelse för tredjelandsmedborgare inom ramen för företagsintern förflyttning av personal (908/2017).  
Den föreslagna bestämmelsen om utlämning av uppgifter i propositionen är allmän, eftersom informationsmottagarens rätt till information är beroende av vad som särskilt föreskrivs om personens rätt till information. I samband med begäran om en eller flera uppgifter eller om åtkomst till systemet ska mottagaren ange syftet med användningen av uppgiften samt vilken lag rätten att få uppgiften i fråga grundar sig på. 
Om utlämningen av uppgifter som hör till särskilda kategorier av personuppgifter föreskrivs särskilt. Likaså föreskrivs särskilt om utlämning av personuppgifter till Europeiska unionens gemensamma informationssystem. 
Till skillnad från nuläget ska det i fortsättningen inte längre föreskrivas om utlämning av uppgifter via en teknisk anslutning, och inte heller om tekniskt skydd av de uppgifter som lämnas ut. Grundlagsutskottet har tidigare förutsatt att det föreskrivs om teknisk anslutning som en del av registerregleringen (GrUU 12/2002 rd, s. 5), men i sin senare utlåtandepraxis har utskottet inte längre lyft fram detta som ett regleringsobjekt som är viktigt för skyddet av personuppgifter (GrUU 14/2018 rd, GrUU 2/2018 rd och GrUU 31/2017 rd). I den lag om informationshantering inom den offentliga förvaltningen som för närvarande bereds vid finansministeriet föreskrivs på allmän lagnivå om utlämning av uppgifter via ett tekniskt gränssnitt eller genom åtkomsträtt till systemet. Kravet på tekniskt skydd av uppgifter som ska lämnas ut följer i sin tur direkt av det inbyggda dataskyddet och dataskydd som standard som ingår i artikel 25 i dataskyddsförordningen och säkerhet i samband med behandlingen enligt artikel 32. Dataskyddsförordningen förutsätter en hög nivå på dataskydd och informationssäkerhet. 
4.3.12
4.3.12 Den registrerades rättigheter och begränsning av dem
I propositionen ingår reglering som begränsar den registrerades rättigheter beträffande vissa förfarandebestämmelser, såsom den registrerades rätt till insyn för att fastställa identiteten hos mottagaren av de begärda uppgifterna (artikel 12 och 15), den registrerades rätt att begränsa behandlingen (artikel 18) samt möjligheten till automatiserade beslut (artikel 22). Dessutom har den registrerades rättigheter begränsats på det sätt som dataskyddsförordningen medger genom särskilda bestämmelser om tidsfrister för radering av uppgifter och lagring av felaktiga uppgifter efter att de rättats. 
4.3.13
4.3.13 Automatiserade individuella beslut
I propositionen föreslås det att det föreskrivs att ett beslut som Migrationsverket fattar i ärendehanteringssystemet för utlänningsärenden kan fattas genom ett förfarande som endast grundar sig på automatiserad behandling. Med stöd av artikel 22 i dataskyddsförordningen ska registrerade ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, om det inte uttryckligen tillåts enligt den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. I utlänningsregisterlagen föreskrivs inte om Migrationsverkets beslutsfattande som grundar sig på automatiserad behandling. Migrationsverket har som en del av utvecklingen av systemet UMA skapat en beredskap för automatiserade beslut. Det främsta målet med att möjliggöra automatiserade beslut är att effektivisera beslutsfattandet.  
Automatiserade individuella beslut som Migrationsverket fattar i ärendehanteringssystemet för utlänningsärenden grundar sig på att de uppgifter som behövs för att fatta ett beslut kan fås i strukturell form, varvid det kan processas digitalt. Tekniska regler som används för att processa data kan matas in i systemet UMA. I de tekniska reglerna omvandlas lagstiftningen till numerala operationer som kan behandlas maskinellt. Dessa operationer ligger till grund för processningen av data med hjälp av logiska kriterier. Det är fysiska personer som utarbetar reglerna. I de tekniska reglerna har transparensen beaktats. I gränssnittet för ärendehanteringssystemet för utlänningsärenden kan man se regeln och vilka uppgifter som använts för regeln i fråga på ett begripligt språk. 
En förutsättning för användning av automatiserat individuellt beslutsfattande är att de krav på god förvaltning som anges i förvaltningslagen uppfylls och att kunden garanteras möjlighet att få rådgivning och information om vad beslutsfattandet gäller. Automatiserat beslutsfattande ska genomföras så att det i 118 § i grundlagen avsedda tjänsteansvaret för beslutsfattandet och för verksamheten i förvaltningen realiseras. Som personuppgiftsansvarig svarar Migrationsverket under tjänsteansvar för vilka regler om beslutsfattandet som ska införas i systemet och för att systemet fungerar. 
Målet är att automatiseringen av beslutsfattandet ska stärka individens grundläggande fri- och rättigheter genom att medverka till ett snabbt ärendehanteringsförlopp och effektiv förvaltning. Automatiserade beslut förenhetligar också myndigheternas arbete. Det finns alltid en risk för fel i beslut som fattas av fysiska personer, men vid automatiserad behandling försvinner risken för mänskliga fel i det närmaste i sin helhet. Automatiseringen bidrar också till effektivare och enhetligare beslutsprocesser och slutresultatet blir mer förutsebart. Detta kan anses främja jämlikhets- och tillitsprincipen. Automatiserade behandling frigör resurser för behandlingen av fall som inbegriper prövningsrätt, när uppdrag av rutinkaraktär som binder mycket personresurser automatiseras. Ur den registrerades synvinkel såväl påskyndar automatiseringen ärendehanteringen som skapar ramar för en enhetlig och likvärdig behandling. 
5
Propositionens konsekvenser
I detta kapitel granskas konsekvenserna av propositionen jämsides med de direkta följderna av dataskyddsförordningen. Lösningen är motiverad, eftersom propositionen måste läsas parallellt med dataskyddsförordningen liksom också med den nationella dataskyddslagen och dataskyddslagen för brottmål. En begränsning av konsekvensbedömningen till bara propositionen skulle ge en inexakt bild av konsekvenserna av dataskyddsreformen, då bara en del av konsekvenserna är en direkt följd av denna proposition. 
5.1
Ekonomiska konsekvenser
Konsekvenserna av lagen om behandling av personuppgifter i migrationsförvaltningen och den allmänna lagstiftning som följer av EU:s dataskyddsreform är i huvudsak inriktade på privatpersoner med beaktande av att behandlingen av personuppgifter i väsentlig grad är kopplad till bestämmelserna om de grundläggande fri- och rättigheterna och särskilt till skyddet för privatlivet. 
De ekonomiska konsekvenserna av lagförslaget drabbar dock i första hand myndigheterna, dvs. utöver personuppgiftsansvariga också alla myndigheter som behandlar personuppgifter med stöd av bestämmelserna om utlämning av uppgifter och eventuella andra aktörer som behandlar personuppgifter. Europeiska kommissionens ursprungliga bedömning av konsekvenserna och bedömningarna från de arbetsgrupper som berett genomförandet av dataskyddslagstiftningen skiljer sig från varandra. Till exempel i betänkandet (s. 133) från arbetsgruppen TATTI, som bereder genomförandet av dataskyddsförordningen, konstateras det att bestämmelserna i förordningen ger upphov till kostnader av många olika slag för såväl övervakningsmyndigheterna som de personuppgiftsansvariga och dem som behandlar personuppgifter i både privat och offentlig sektor. I Europeiska kommissionens bedömning av konsekvenserna av Europeiska unionens dataskyddslagstiftning konstateras det från början att den nya och mer enhetliga regleringen inte kommer att ha några betydande ekonomiska konsekvenser, och att det inte finns något som tyder på att regleringen skulle kräva tilläggsresurser. Trots problemen med bedömningen av de ekonomiska konsekvenserna av dataskyddsförordningen kan man dock utgå från att propositionen åtminstone inte kommer att ha några betydande ekonomiska konsekvenser. Också enligt arbetsgruppen TATTI:s betänkande är konsekvenserna av reformen av dataskyddslagstiftningen en direkt följd av dataskyddslagstiftningen. Förmodligen kan den statliga finansiering som reformen kräver ordnas inom ramarna för statsfinanserna, vid behov genom en omallokering av anslagen. 
De ändringar som lagstiftningen kräver kommer att orsaka vissa kostnader i form av ändringar i informationssystem och personalutbildning samt fortlöpande kostnader för den dataskyddsansvarigas lön. Som indirekta ekonomiska konsekvenser kan betraktas behoven av att utveckla övervakningen och informationssystemen också i övrigt så att nivån på dataskyddet och informationssäkerheten förbättras. 
Det befintliga ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar är så utformade att de redan nu i stor utsträckning uppfyller kraven på inbyggt dataskydd och dataskydd som standard enligt dataskyddsförordningen samt säker behandling. Konsekvenser för informationssystemen föranleds dock exempelvis av förändringar i rätten att använda informationssystem och hanteringen av behörighet till systemen till följd av förändringar i personuppgiftsansvarigas situation. Dessutom leder införandet av nya ändamål med behandlingen och utökat faktainnehåll till konsekvenser för informationssystemen, till exempel möjligheten att i fortsättningen registrera så kallade observerade uppgifter och skapa nya funktioner, såsom utlämning av uppgifter till Europeiska unionens informationssystem. 
Vissa direkta ekonomiska konsekvenser följer också av bestämmelserna om att Migrationsverket blir kontaktpunkt för dem som registrerats i ärendehanteringssystemet för utlänningsärenden och utrikesförvaltningen för dem som registrerats i det nationella informationssystemet för viseringar. Konsekvenserna orsakas av att antalet kontakter förväntas öka till följd av den nya rollen och i viss mån också av behovet att man vill ge flera tillgång till information i ett ärende genom att styra kontakterna till rätt myndighet. 
En reglering som möjliggör ett smidigare informationsflöde när det gäller utlämning av personuppgifter och mottagande av information samt möjligheten till automatiserade beslut främjar för sin del målen att effektivisera regeringens myndighetsverksamhet och avveckla normer. Det bedömas att regleringen ger positiva ekonomiska konsekvenser. 
Den reglering som ingår i propositionen är till sin natur i hög grad en möjliggörare i den bemärkelsen att den bidrar exempelvis till en mer omfattande användning av systemet UMA på grund av att den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen har ett bredare tillämpningsområde eller i form av automatiserade beslut, men utan att den direkt förpliktar till det. 
5.2
Konsekvenser för myndigheterna
Propositionen har konsekvenser för olika myndigheter. Konsekvenserna orsakas dels indirekt av kraven i dataskyddsförordningen, dels av de nationella regleringsmodellerna. 
Genom att samla migrationsförvaltningens personuppgiftsbestämmelser i en enda lag vill man i första hand förenhetliga regleringen och skapa en tydlig helhet som är lätt att tillämpa. Ambitionen enligt propositionen är att underlätta informationsutbytet mellan myndigheterna. Dessutom vill man försäkra sig om att migrationsförvaltningen har tillräckliga rättigheter för att vid behov kunna behandla personuppgifter också för andra ändamål än de som den ursprungliga insamlingen och lagringen av uppgifter hade som syfte. Så förebyggs behovet av att upprepade gånger fråga efter samma uppgifter och avhjälps onödiga lagstiftningsmässiga hinder för utbyte av information. Alla förändringarna ovan kan förväntas göra tillämpningen av lagstiftningen smidigare och förbättra migrationsförvaltningens möjligheter till behandling av uppgifter som är nödvändiga för dess verksamhet. 
Som utgångspunkt för propositionen har man valt ändamålsbundenhet, vilket innebär att den lag som ska tillämpas inte är bunden till ett visst register eller informationssystem. Detta kräver särskilt att den personuppgiftsansvariges anvisningar och övervakning räcker till. Tillämpning av en lag på behandlingen av personuppgifter och å andra sidan sett ur behandlingssynvinkel förutsätter identifieringen av rätt informationssystem tillräckligt med anvisningar och utbildning. Det bör noteras att anvisningar dock inte får komplettera regleringen utan bara precisera hur bestämmelserna ska tolkas. 
Automatiserade individuella beslut gör det möjligt att koncentrera myndighetsverksamheten framför allt till sådana åtaganden inom vilka myndighetsaktörerna spelar en viktig roll.  
När Migrationsverket behandlar personuppgifter i de syften som anges i 1 § i den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen är dess skyldighet att sörja för adekvata tekniska och organisatoriska åtgärder för tillsynen över behandlingen. När arbetstagarna ges introduktion och utbildning läggs det vikt vid att personuppgifter får behandlas endast för skötseln av tjänsteåligganden. Samtidigt framhävs att de personuppgifter som behandlas är av känslig natur och i princip sekretessbelagda. Cheferna sköter rådgivningen till och handledningen och övervakningen av sina underlydande i frågor som gäller behandling av personuppgifter. I ärendehanteringssystemet för utlänningsärenden styrs behandlingen av personuppgifter genom åtkomsträttigheter. Personuppgiftsbiträdet beviljas endast så omfattande användarrättigheter i systemet som han eller hon behöver för att sköta sina tjänsteåligganden. Migrationsverket samlar övergripande logguppgifter om den behandling av personuppgifter som sker i ärendehanteringssystemet för utlänningsärenden. Med hjälp av dem kan frågan huruvida behandlingen varit korrekt på användarnivå utredas i efterskott. Migrationsverket genomför regelbundet intern laglighetskontroll, som också gäller behandlingen av personuppgifter. Den behandling av kunders personuppgifter som görs av tjänstemän som bereder och avgör beslut om medborgarskap, uppehållstillstånd och asyl kontrolleras genom stickprov. Att behandlingen av personuppgifter är korrekt övervakas också genom loggkontroller, riktad laglighetskontroll på eget initiativ samt i samband med begäran om utredning och som ett led i prövningen av klagomål. 
5.3
Samhälleliga konsekvenser
Om all reglering samlas i en lag leder det till att registrerade lättare än för närvarande kan bilda sig en samlad uppfattning om de ändamål för vilka migrationsförvaltningen behandlar deras uppgifter, till vem uppgifterna lämnas ut och hur länge de lagras. Bestämmelserna om kontaktpunkter för de registrerade främjar också de registrerades utövande av sina rättigheter.  
Beslut som automatiseras i tillämpliga delar förkortar förutom behandlingstiderna för de automatiserade besluten också behandlingstiderna för andra beslut som myndigheterna då kan koncentrera sig på. Detta visar sig sannolikt i lägre priser på tillståndsansökningar för alla kunder. Automatiserade beslut håller antagligen en jämnare standard. Å andra sidan förutsätter automatiserade beslut i praktiken att sökanden fyller i ansökan korrekt och bifogar alla bilagor som hör till, och i de fall automatiserad behandling inte är möjlig kommer behandlingstiderna att variera kraftigt jämfört med de automatiserade besluten. 
Propositionen kan inte anses ha några direkta konsekvenser för jämlikheten, barnen eller jämställdheten mellan könen. 
6
Beredningen av propositionen
6.1
Beredningsskeden och beredningsmaterial
Propositionen har beretts som tjänsteuppdrag vid inrikesministeriet. För beredningen inrättades en arbetsgrupp med företrädare från inrikesministeriets migrationsavdelning, polisavdelning och gränsbevakningsavdelning, utrikesministeriet, arbets- och näringsministeriet, Migrationsverket och Polisstyrelsen. Under arbetets gång hörde arbetsgruppen skyddspolisen. Arbetsgruppens mandat är 24.10.2016—31.12.2018. Arbetsgruppen sammanträdde officiellt 24 gånger. Det ordnades också flera inofficiella beredningssammanträden. Under beredningen har gruppen haft ett särskilt nära samarbete med inrikesministeriets polisavdelning och staben vid Gränsbevakningsväsendet samt Migrationsverket. 
6.2
Remissyttranden och hur de har beaktats
I ett brev daterat den 16 maj 2018 begärde inrikesministeriet in utlåtanden om den regeringsproposition som ministeriet hade berett med förslag till lag om behandling av personuppgifter i migrationsförvaltningen och till vissa lagar som har samband med den. Propositionen sändes på remiss till totalt 53 myndigheter, organisationer och medborgarorganisationer. På grund av att propositionen brådskade var remisstiden 4,5 veckor och tiden gick ut den 15 juni 2018. Inrikesministeriets migrationsavdelning fick totalt 32 remissvar om utkastet till regeringsproposition. Enstaka remissvar fanns i statsrådets projektregister (HARE) med ärendenummer SM055:00/2016. I projektregistret finns också ett sammandrag av remissyttrandena. 
Remissvar inlämnades av justitieministeriet, utrikesministeriet, arbets- och näringsministeriet, finansministeriet, undervisnings- och kulturministeriet, social- och hälsovårdsministeriet, inrikesministeriets polisavdelning och förvaltnings- och utvecklingsavdelning, Riksdagens justitieombudsmans kansli, Statsrådets justitiekanslersämbete, Dataskyddsombudsmannens byrå, Migrationsverket, Polisstyrelsen, skyddspolisen, Gränsbevakningsväsendet, Nylands närings-, trafik- och miljöcentral, Regionförvaltningsverket i Södra Finland, Helsingfors förvaltningsdomstol, Folkpensionsanstalten, högsta förvaltningsdomstolen, Nylands magistrat, Rättsregistercentralen, Utbildningsstyrelsen, Brottspåföljdsverket, Tillstånds- och tillsynsverket för social- och hälsovården, Tullen, Skatteförvaltningen, Skatteförvaltningens enhet för utredning av grå ekonomi, Befolkningsregistercentralen, Pensionsskyddscentralent, Finlands Advokatförbund och Finlands Röda kors. 
Många av dem som lämnade remissvar ansåg centraliseringen av migrationsförvaltningens lagstiftning om personuppgifter vara en funktionell lösning för att uppnå en tydlig reglering och tillgodose de registrerades rättssäkerhet. Också det valda ändamålsbaserade regleringssättet ansågs vara ändamålsenligt. Enligt yttrandena beaktar lagutkastet väl de eftersträvade målen att förtydliga och förenkla samt uppdatera migrationsförvaltningens bestämmelser. Flera remissvar innehöll förslag till ändringar och preciseringar av detaljer samt önskemål om frågor som behövde beaktas i samband med den fortsatta beredningen. Det var närmast fråga om tillämpningsområden, gemensamt personuppgiftsansvariga och behörighetsfördelningen mellan dem, behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter och behoven av att precisera rätten till uppgifter. De flesta remissinstanser inriktade sig dock i sina remissvar på någon enskild fråga i propositionen. 
Remissinstanserna ombads i sina svar särskilt uppmärksamma ändringar som följer av den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen gällande rätten till information när rätten tidigare grundat sig på den personuppgiftsansvariges rätt, men rätten upphör på grund av de förslag till ändringar som rör den personuppgiftsansvarige. De myndigheter som enligt den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen inte längre kommer att vara personuppgiftsansvariga, Tullen, Brottspåföljdsverket och Helsingfors förvaltningsdomstol, bedömer i sina yttranden att deras rätt till uppgifter kommer att ändras till följd av deras ställning. Dessa myndigheter ansåg att deras rätt till uppgifter också i fortsättningen kommer att vara i huvudsak tillräcklig. 
Dessutom ombads remissinstanserna att uppmärksamma det behov som följer av den allmänna regleringen av utlämningen av uppgifter i den föreslagna lagen av att hos migrationsförvaltningen kontrollera hur omfattande remissinstansernas egna rättigheter till uppgifter är. Också i detta avseende ansåg de som lämnat yttrande att deras rättigheter var tillräckliga. Den föreslagna regleringen ansågs inte begränsa nuvarande rättigheter till uppgifter, utan snarare ansågs ändringen bidra till större tydlighet i deras rätt att få uppgifter från migrationsförvaltningen. 
I samband med den fortsatta beredningen preciserades förhållandet mellan migrationsförvaltningens personuppgiftslag och dataskyddslagen för brottmål. Behörighetsfördelningen mellan olika gemensamt personuppgiftsansvariga preciserades dessutom i lagtexten och uttrycktes mer heltäckande i motiveringen. I paragrafernas formuleringar som gällde system beaktades följderna för regleringen av den föreslagna lagen om informationshantering. Av de personuppgifter som ska behandlas överfördes biometriska uppgifter och brottsuppgifter till en separat paragraf som gällde särskilda kategorier av personuppgifter. Också innehållet i observerade uppgifter preciserades och såväl behandlingen av dem som deras förvaringstid begränsades. 
De största innehållsmässiga och strukturella ändringarna gjordes i 8 § med avseende på behandlingen av särskilda kategorier av personuppgifter. Paragrafens sakinnehåll preciserades och användningen av informationen begränsades och knöts till såväl ett krav på nödvändighet som till specifika ändamål för behandlingen som omfattas av lagens tillämpningsområde. Dessutom inskränktes förvaringstiden för uppgifter som hör till dessa särskilda kategorier av personuppgifter samtidigt som även andra bestämmelser om utplåning av uppgifter preciserades och förvaringstiderna förkortades jämfört med tidigare förslag. Nödvändighet ställdes som krav också för behandlingen av uppgifter som hör till särskilda kategoriera av personuppgifter för andra syften än det ursprungliga. I fråga om särskilda kategorier av personuppgifter ställdes som krav för utlämningen av uppgifter att mottagaren hade nödvändig rätt till uppgifterna. I motiveringen tydliggjordes sambandet med dataskyddsförordningen och grundlagsutskottets praxis samt utökades antalet exempel på olika situationer där särskilda kategorier av personuppgifter användes. 
Bestämmelsen om rätten till uppgifter preciserades genom man begränsade antalet myndigheter som hade rätt till uppgifter, specificerade sakinnehållet i de nödvändiga uppgifterna och ändamålet med användningen samt uttryckte kontexten kring de nödvändiga uppgifterna mer omfattande i motiveringen. Vid den fortsatta beredningen preciserades formuleringarna i enskilda paragrafer och motiveringen till dem. 
Propositionen kompletterades i fråga om den behandling av personuppgifter som hänför sig till uppgifter i samband med uppehållstillstånd vid närings-, trafik- och miljöcentralerna och arbets- och näringsbyråerna. 
Efter remissbehandlingen fogades till förslaget till lag om behandling av personuppgifter i migrationsförvaltningen ytterligare nya bestämmelser om utlämning av uppgifter till Europeiska unionens gemensamma informationssystem och om inskränkningar i de registrerades rättigheter att begränsa behandlingen av uppgifter. Till lagförslaget fogades också en övergångsbestämmelse. 
Vid den fortsatta beredningen beslöt man i samarbete med justitieministeriet att i den föreslagna lagen om personuppgifter i migrationsförvaltningen ta in en sekretessbestämmelse som i sak motsvarar sekretessbestämmelsen i 11 § i utlänningsregisterlagen och genomföra koncentreringen av sekretessregleringen till offentlighetslagen som ett separat projekt. 
7
Samband med andra propositioner
Propositionen grundar sig till viss del på Europeiska unionens dataskyddsreform. Propositionen har således samband med regeringens proposition till riksdagen med förslag till dataskyddslag som kompletterar EU:s allmänna dataskyddsförordning (RP 9/2018 rd). Propositionen har dessutom samband med regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten och till vissa lagar som har samband med den (RP 31/2018 rd). Propositionen har samordnats med regeringspropositionerna ovan, men under riksdagsbehandlingen är det nödvändigt att kontrollera den terminologiska och innehållsmässiga överensstämmelsen. 
Propositionen anknyter till inrikesministeriets lagstiftningsprojekt (SM064:00/2015) vars uppdrag är att bereda en ny personuppgiftslag för polisen som komplement till dataskyddsdirektivets allmänna genomförandelagstiftning och till dataskyddsförordningen och dataskyddslagen. Avsikten är att propositionen lämnas till riksdagen under höstsessionen 2018 under vecka 44 samtidigt som denna regeringsproposition. Propositionen anknyter vidare till ett annat av inrikesministeriets lagstiftningsprojekt (SM057:00/2016). Inom projektet bereds en regeringsproposition om en översyn av lagen om behandling av personuppgifter vid gränsbevakningsväsendet. Inom projektet bereds ändringar av lagen om behandling av personuppgifter vid gränsbevakningsväsendet till den del de nödvändiga bestämmelserna inte ingår i dataskyddsdirektivets nationella genomförandelag. Avsikten är att en proposition om lagstiftningen i fråga ska lämnas till riksdagen samtidigt som propositionen om polisens nya personuppgiftslag. Avsikten är att propositionen lämnas till riksdagen under höstsessionen 2018 så att den om möjligt behandlas samtidigt som vissa andra förslag till lagar om behandlingen av personuppgifter vid Inrikesministeriets förvaltningsområde. 
I fråga om lagförslagen i alla de ovan nämnda propositionerna bör man säkerställa att hänvisningarna till författningar och paragrafer och, i den mån det behövs, terminologin samordnas under riksdagsbehandlingen. Dessutom propositionerna innehåller lagförslag som gäller ändringar av samma lagar. 
Propositionen anknyter dessutom till inrikesministeriets lagprojekt (SMDno-2018-179). I samband med det bereds en regeringsproposition som gäller en ändring av medborgarskapslagen. Inom projektet föreslås det bestämmelser om att personer med dubbelt medborgarskap som gjort sig skyldiga till vissa brott ska förlora sitt finska medborgarskap. Propositionen innehåller förslag till ändring av flera bestämmelser i utlänningsregisterlagen. Propositionen ska lämnas till riksdagen under höstsessionen 2018. 
Propositionen anknyter också till ett lagstiftningsprojekt på arbets- och näringsministeriets förvaltningsområde (TEM033:00/2017). Inom projektet bereds en ny lag om främjande av integration som ersätter lagen om främjande av integration (1386/2010). Det föreslås att det i det första lagförslaget i denna proposition i fortsättningen föreskrivs om behandlingen av personuppgifter i samband med anvisning till kommun i stället för om lagen om främjande av integration. Propositionerna innehåller förslag till ändringar av samma lagar. 
Propositionen anknyter dessutom till finansministeriets lagstiftningsprojekt (VM183:00/2017) inom vilket en regeringsproposition med förslag till lag om informationshantering inom den offentliga förvaltningen. I lagen kommer det att på allmän lagnivå föreskrivas om hur informationshanteringen ska ordnas inom den offentliga förvaltningen och om anknytande skyldigheter. I informationshanteringslagen kommer det att ingå bestämmelser från offentlighetslagen, arkivlagen och lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen. I fortsättningen kommer bland annat utlämningen av uppgifter mellan myndigheter via tekniska gränssnitt och genom åtkomst till systemet att regleras i den föreslagna allmänna lagen i stället för i speciallagstiftning. Avsikten är att regeringspropositionen lämnas till riksdagen under höstsessionen 2018. Propositionen har samordnats med regeringspropositionen ovan, men under riksdagsbehandlingen är det nödvändigt att kontrollera den terminologiska och innehållsmässiga överensstämmelsen. 
Propositionen anknyter till finansministeriets lagstiftningsprojekt (VM082:00/2018). Inom projektet bereds en regeringsproposition med förslag till lagstiftning om Myndigheten för digitalisering och befolkningsdata samt till lagar om ändring av vissa lagar som gäller registerförvaltningen. I projektet föreslås en ändring av bestämmelserna i 10 § i utlänningsregisterlagen om utlämning av uppgifter. 
Propositionen anknyter dessutom till ett förslag till lagstiftning om verkställigheten av landskapsreformen och om omorganisering av statens tillstånds-, styrnings- och tillsynsuppgifter (RP 14/2018 rd) som för närvarande behandlas av riksdagen. I regeringens proposition RP 14/2018 rd föreslås att närings-, trafik- och miljöcentralernas uppgifter överförs till de landskap som inrättas med stöd av regeringens proposition med förslag till lagstiftning om inrättande av landskap och om en reform av ordnandet av social- och hälsovården samt till lämnande av underrättelse enligt artikel 12 och 13 i Europeiska stadgan om lokal självstyrelse (RP 15/2017 rd). Beträffande de lagförslag som ingår i propositionerna ovan bör man i behövlig mån försäkra sig om att terminologin samordnas under riksdagsbehandlingen. Detta innebär i praktiken att termen närings-, trafik- och miljöcentral ersätts med termen landskap. 
DETALJMOTIVERING
1
Lagförslag
1.1
Lag om behandling av personuppgifter i migrationsförvaltningen
1 §.Lagens tillämpningsområde och syftet med behandlingen av personuppgifter. Avsikten är att lagen ska tillämpas, om inte annat föreskrivs någon annanstans i lag, på helt eller delvis automatiserad behandling av personuppgifter och på annan behandling av personuppgifter, då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant, och personuppgifterna behandlas i följande syften: 1) behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse, 2) behandling av och beslut i ärenden som gäller förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap samt bestämmande av medborgarskapsstatus, 3) mottagande av personer som söker internationellt skydd eller får tillfälligt skydd samt hjälp till offer för människohandel samt verksamhet i anslutning till företrädande av barn utan vårdnadshavare inom mottagningsverksamheten samt styrning, planering och uppföljning av dessa, 4) placering av en utlänning i en förvarsenhet, bemötande av en utlänning i en förvarsenhet samt upprätthållandet av ordningen och säkerheten vid en förvarsenhet, 5) anvisande till kommuner och 6) tryggande av den nationella säkerheten. 
Tillämpningsområdet för den föreslagna lagen avses vara knutet till syftet med behandlingen av personuppgifter: den ska tillämpas när sådana uppgifter behandlas i de syften som anges i paragrafen. Tillämpningsområdet ska inte vara knutet till något specifikt register eller datasystem.  
Behörigheten att behandla personuppgifter bygger på flera olika lagar. Det rör sig om utlänningslagen, medborgarskapslagen, lagen om säsongsanställning, ICT-lagen, forskar- och studerandelagen, mottagandelagen, förvarslagen och integrationslagen. I stället för att hänvisa till dessa lagar ska den nya lagens tillämpningsområde bestämmas genom föreskrivande av de syften där personuppgifter ska behandlas för utförande av de uppgifter som avses i de lagar som ger behörigheten. Syftet med att personuppgifter används ska bygga direkt på det behov att behandla uppgifterna som kommer av de lagar som skapar behörigheten. Denna regleringsteknik är motiverad eftersom regelverket blir onödigt tungt, detaljerat och svårtolkat om man hänvisar till ett stort antal lagar och enskilda paragrafer i dessa. Dessutom ger detta sätt att reglera frågan möjlighet till att personuppgifter som bygger på eventuella framtida speciallagar och EU-regler behandlas med stöd av den nu föreslagna personuppgiftslagen om personuppgifterna behandlas i syften som hör till den föreslagna personuppgiftlagens tillämpningsområde.  
Med behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse enligt 1 punkten i det föreslagna 1 mom. avses sådan behandling av personuppgifter som är behövlig enligt utlänningslagen, lagen om säsongsanställning, ICT-lagen och forskar- och studerandelagen, exempelvis inom processen för uppehållstillstånd och asylförfarandet med beaktande av processens hela tidsmässiga utsträckning. Tillämpningsområdet anses också omfatta sådana specialsituationer där det inte klart är fråga om inresa, utresa eller vistelse, såsom exempelvis upphörande av flyktingstatus för någon som befinner sig utomlands eller någon som befinner sig i Finland med permanent tillstånd. Till skillnad från 2 § i den gällande lagen om utlänningsregistret avses punkten inte innehålla ett särskilt omnämnande av arbete, eftersom det anses ingå i begreppet vistelse på samma sätt som exempelvis studier. Det rör sig om en teknisk ändring och avsikten är inte att ändra nuläget i detta avseende.  
Med behandling av och beslut i ärenden som gäller förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap samt bestämmande av medborgarskapsstatus enligt 2 punkten avses sådan behandling av personuppgifter vars syfte är att utföra uppgifter som anges i medborgarskapslagen.  
I 1 mom. 3 punkten nämns mottagande av personer som söker internationellt skydd eller får tillfälligt skydd samt hjälp till offer för människohandel, verksamhet i anslutning till företrädande av barn utan vårdnadshavare inom mottagningsverksamheten samt styrning, planering och övervakning av dessa verksamheter. Med detta avses tryggande av omsorg, försörjning och ändamålsenligt skydd och lämpliga tjänster samt förordnande av företrädare och företrädarens uppgifter enligt mottagandelagen. 
Med placering av en utlänning i en förvarsenhet, bemötande av en utlänning i en förvarsenhet samt upprätthållandet av ordningen och säkerheten vid en förvarsenhet enligt den föreslagna 1 mom. 4 punkten avses behandling av personuppgifter i syfte att vidta de åtgärder enligt förvarslagen som behövs för att de som tagits i förvar ska bemötas rättvist och med aktning för deras människovärde, för att begränsa deras rättigheter och för att tillgodose deras rätt ta emot besök och hålla kontakt och till exempel använda telefon och annan elektronisk kommunikations- och upptagningsutrustning.  
Paragrafens 1 mom. 5 punkt gäller anvisande till kommuner. Här avses sådan behandling av personuppgifter som behövs för att anvisa en person till en kommun enligt 2 § 2 och 3 mom. i integrationslagen. Målet när personuppgifter behandlas i syfte att anvisa någon till en kommun är att se till att de skyldigheter som myndigheter har avseende mottagning och främjande av integration fullgörs. Det gäller bland att anvisa en registrerad person till rätt kommun.  
Med tryggande av den nationella säkerheten enligt 1 mom. 6 punkten avses dels skyddspolisens skyldighet att skydda rikets säkerhet, dels också mer allmänt myndigheternas skyldighet att som en del av sina lagstadgade uppgifter sörja för den nationella säkerheten. Detta motsvarar till innehållet 2 § 2 mom. i lagen om utlänningsregistret gällande tryggande av statens säkerhet, men ordalydelsen ändras i enlighet med dataskyddsförordningen, dataskyddslagen och dataskyddslagen avseende brottmål så att uttrycket nationell säkerhet används. I förhållande till den gällande utlänningsregisterlagen är den föreslagna lagens räckvidd större och inbegriper behandling av personuppgifter också med stöd av mottagandelagen, förvarslagen och integrationslagen. Därför utvidgas också de syften där insamlade personuppgifter kan behandlas för att trygga nationell säkerhet.  
Till skillnad från den gällande lagen om utlänningsregistret ska genomförande av säkerhetsutredningar inte höra till den förslagna lagens tillämpningsområde, eftersom det ursprungliga syftet med behandlingen av personuppgifterna inte är att göra sådana utredningar. Eftersom det också i fortsättningen behövs personuppgifter för att säkerhetsutredningar ska kunna göras måste användningen av sådana personuppgifter som samlas in med stöd av den föreslagna lagen i framtiden grundas på att personuppgifterna ska lämnas ut till skyddspolisen.  
Enligt den föreslagna dataskyddslagen gäller dataskyddsförordningen i tillämpliga delar också sådan behandling av personuppgifter som inte hör till tillämpningsområdet för EU-lagstiftningen och som medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget. Denna utvidgning av förordningens räckvidd gäller inte situationer där det gäller andra bestämmelser i nationell lag i ett ärende som inte omfattas av unionsrättens tillämpningsområde. I denna proposition föreslås inte bestämmelser med annat innehåll. Det innebär att dataskyddsförordningen kommer att gälla allt behandling av personuppgifter som sker inom den föreslagna lagen. tillämpningsområde också i de fall där det är fråga om ett ärende om inte hör till tillämpningsområdet för EU-lagstiftningen. Det rör sig exempelvis om ärenden som gäller medborgarskap och om tryggande av nationell säkerhet.  
Lagen ska enligt förslaget inte tillämpas på diplomatiska representanter i Finland. Den immunitet som avses i det föreslagna 2 mom. framgår av Wienkonventionen om diplomatiska förbindelser (FördrS 4/1970) och Wienkonventionen om konsulära förbindelser (FördrS 50/1980) och i överenskommelser om inrättande av och säte för internationella organisationer. Lagen ska heller inte tillämpas på sådana tjänstemän i internationella organisationer organisationer vilkas ställning det finns bestämmelser om i internationella avtal som är bindande för Finland. Momentet har formulerats i förhållande till 1 § 2 mom. i utlänningsregisterlaget på ett sätt som ska motsvara formuleringarna i internationella avtal. Avsikten är inte att ändra faktiska nuläget.  
2 §.Förhållande till övrig lagstiftning. Paragrafen avses innehålla bestämmelser om vilka allmänna bestämmelser om behandling av personuppgifter som ska tillämpas på sådan behandling av personuppgifter som avses i lagförslaget, om inte något annat anges i den föreslagna lagen.  
Bestämmelser om behandlingen av personuppgifter finns i allmänna dataskyddsförordningen (GDPR, nedan kallad dataskyddsförordningen) och i den kompletterande nationella dataskyddslagen. 
Daraskyddslagen avseende brottmål ska enligt den berörda propositionen (RP 31/2018 rd) tillämpas när polisen, åklagare, allmänna domstolar, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter behandlar personuppgifter, om det är fråga om att förebygga, avslöja eller utreda brott eller att föra brott till åtalsprövning, om åklagarverksamhet som har samband med brott, om handläggning av brottmål i domstol, om verkställighet av straffrättsliga påföljder eller om skydd mot eller förhindrande av hot mot den allmänna säkerheten. Lagen ska utifrån nationellt beslut också tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av nationell säkerhet. Syftena för behandling inom tillämpningsområdet för dataskyddslagen avseende brottmål är kopplade till sådant tryggande av nationell säkerhet som avses i 1 § 1 mom. 6 punkten. Såväl polisenheterna under Polisstyrelsen och skyddspolisen som Gränsbevakningsväsendet utför sådan behandling av personuppgifter på den föreslagna lagens tillämpningsområde som dataskyddslagen avseende brottmål tillämpas på som allmän lag.  
Inom migrationsförvaltningen blir också polisens personuppgiftslag och gränsbevakningens personuppgiftslag tillämpliga. Tillämpningsområdet för den föreslagna lagen överlappar på samma sätt som i nuläget delvis med dessa speciallagar om behandling av personuppgifter. Bestämmelser om behandling av personuppgifter finns delvis i dessa andra personuppgiftslagar till exempel avseende tryggande av nationell säkerhet, övervakning av utlänningar och avlägsnande ur landet. Bestämmelser om behandlingen av sådana identifieringsuppgifter om utlänningar som förs in i polisen register med stöd av 131 § i utlänningslagen finns i lagen om behandling av personuppgifter i polisens verksamhet. 
Om inte något annat föreskrivs i den föreslagna lagen ska offentlighetslagen tillämpas på sekretess för och utlämnande av personuppgifter. Den föreslagna lagen avses innehålla bestämmelser om utlämnande av sekretessbelagda personuppgifter. I den föreslagna lagen ingår dessutom bestämmelser som kompletterar offentlighetslagen i fråga om sekretess för personuppgifter. 
Utöver vad lagen föreskriver iakttas de internationella förpliktelser som är bindande för Finland. 
3 §.Gemensamt personuppgiftsansvariga. De myndigheter ska vara personuppgiftsansvariga som i de användningsändamål som hör till den föreslagna lagens tillämpningsområde för egna självständiga syften behandlar personuppgifter för att fullgöra de uppgifter som anges i den lagstiftning som ger myndigheten behörighet. Dessa myndigheter utövar prövnings- och beslutanderätt när de fullgör dessa lagfästa uppgifter. Följande myndigheter ska vara gemensamt personuppgiftsansvariga: Migrationsverket, Polisstyrelsen och skyddspolisen, Gränsbevakningsväsendet, förläggningar och flyktingslussar, förvarsenheter, utrikesförvaltningen, närings-, trafik- och miljöcentralerna och arbets- och näringsbyrån. Dessa personuppgiftsansvariga är sådana gemensamt personuppgiftsansvariga som avses i artikel 26 i dataskyddsförordningen. En enskild gemensamt personuppgiftsansvarig kallas i propositionen personuppgiftsansvarig.  
Varje personuppgiftsansvarigs behörighet att behandla personuppgifter grundar sig på bestämmelserna om ifrågavarande myndighets behörighet. Eftersom de syften för vilka de personuppgiftsansvariga behandlar personuppgifter bygger på de ansvarigas lagstadgade uppgifter kommer det materiellträttsliga ansvarsområdet för var och en av de personuppgiftsansvariga att anges direkt i lag. Därmed kommer ansvarsområdena att vara exakt definierade och i detalj avgränsade. 
Migrationsverket ska vara personuppgiftsansvarig myndighet när det handlägger och avgör ärenden som anges som dess uppgifter i lag eller genom förordning av statsrådet. Det rör sig om att handlägga och avgöra ärenden som gäller inresa, vistelse, flyktingskap och finskt medborgarskap. Dessutom ansvarar Migrationsverket för styrningen, planeringen och övervakningen av den praktiska verksamheten vid mottagande av personer som söker internationellt skydd och mottagande av personer som får tillfälligt skydd; styrningen och övervakningen av förvarsenheternas praktiska verksamhet; driften av de statliga förläggningarna och flyktingslussarna samt statens förvarsenheter; styrningen av verkställigheten av hjälp till offer för människohandel och styrning, planering och uppföljning av verksamheten i anslutning till företrädande av barn utan vårdnadshavare. Dessutom förvaltar Migrationsverket uppgifter som gäller främlingspass och resedokument för flyktingar. I praktiken innebär det att verket beviljar, drar in och ogiltigförklarar sådana pass och dokument och upphäver eller återkallar viseringar (t.ex. avvisning till följd av brott).  
Polisstyrelsen ska vara personuppgiftsansvarig när polisenheter under den inom ramen för sin behörighet tar emot och registrerar ansökningar som gäller internationellt skydd, deltar i asylsamtal, delger negativa asylbeslut, fattar, delger och verkställer beslut om avlägsnande ur landet och lägger fram förslag för Migrationsverket om att någon ska avlägsnas ur landet, meddelar inreseförbud, utför övervakning av utlänningar, skyddar nationell säkerhet och yttrar sig om ansökningar om medborgarskap. Dessutom är Polisstyrelsen personuppgiftsansvarig när polisen förlänger, upphäver och återkallar viseringar och när polisen beslutar om givande av betänketid, om förlängning av betänketid och om avbrytande av betänketid för offer för människohandel med stöd av 52 c § i utlänningslagen. Skyddspolisen avses vara personuppgiftsansvarig när den tryggar nationell säkerhet.  
Gränsbevakningsväsendet ska vara personuppgiftsansvarig myndighet när det registrerar asylansökningar, fattar beslut om nekad inresa och avvisning, fattar eller verkställer beslut om avlägsnande ur landet inbegripet inreseförbud eller utför övervakning av utlänningar. Det ska också vara personuppgiftsansvarig myndighet när det beviljar, upphäver eller återkallar viseringar och när gränskontrollmyndigheten beslutar om givande av betänketid, om förlängning av betänketid och om avbrytande av betänketid för offer för människohandel med stöd av 52 c § i utlänningslagen 
Migrationsverket, polisen och Gränsbevakningsväsendet övervakar att utlänningslagen och de bestämmelser som utfärdats med stöd av den iakttas.  
Förläggningarna och flyktingslussarna ska i egenskap av personuppgiftsansvariga ansvara för planering, ordnande, genomförande och uppföljning av mottagningstjänster för dem som söker internationellt skydd eller får tillfälligt skydd och har registrerats som klienter och av hjälpinsatser för offer för människohandel. Till mottagningstjänsterna hör bland annat inkvartering, mottagnings- och brukspenning, socialservice, hälso- och sjukvårdstjänster, tolk- och översättartjänster samt arbets- och studieverksamhet. Förläggningarna ska dessutom som personuppgiftsansvariga ha ansvar för den praktiska administrationen av företrädarverksamheten för barn utan vårdnadshavare och för att ansökningar görs för förordnande av företrädare för dessa barn. Förläggningen i Joutseno svarar för skötseln av hjälpsystemet för offer för människohandel. 
Flyktingslussarna ska vara personuppgiftsansvariga när de svarar för registreringen av invandrare i lägen där antalet invandrare är undantagsvis är så pass stort att det inte är möjligt att vid sedvanligt förfarande klarlägga förutsättningarna för inresa och registrera invandrare.  
Förvarsenheterna avses vara personuppgiftsansvariga när de behandlar personuppgifter för ordnande, planering, genomförande och uppföljning av tagandet i förvar av personer vid enheten och för att upprätthålla ordningen och säkerheten vid förvarsenheten.  
Enligt 2 § 1 mom. i lagen om utrikesförvaltningen (204/2000) omfattar utrikesförvaltningen utrikesministeriet och de beskickningar som hör till utrikesrepresentationen. Utrikesförvaltningen ska vara personuppgiftsansvarig myndighet när det gäller behandlingen av personuppgifter avseende viseringar. Viseringarna beviljas i det nationella informationssystemet för viseringar. Även om uppgiften som personuppgiftsansvarig inte är knuten till det informationssystemet kommer utrikesförvaltningen i praktiken att vara personuppgiftsansvarig för det nationella informationssystemet för viseringar. Vid sidan av beskickningarna beviljar också andra myndigheter, såsom polisen, Gränsbevakningsväsendet och Tullen, viseringar i det systemet. Utrikesförvaltningen ska vara personuppgiftsansvarig myndighet också när den behandlar personuppgifter i samband med sådant anhängiggörande av en ansökan om första uppehållstillstånd som lämnats till en finländsk beskickning, när beskickningar samlar in biometriska kännetecken för att fastställa någons identitet, när de meddelar beslut för kännedom utomlands och beviljar så kallade protokoll- eller laissez-passer-tillstånd. Dessutom avses utrikesförvaltningen vara personuppgiftsansvarig när beskickningarna efter att ha hört Migrationsverket fattar beslut om beviljande av främlingspass till en utlänning utomlands eller beslut om en provisorisk resehandling (Emergency Travel Document, ETD).  
Närings-, trafik- och miljöcentralen ska vara personuppgiftsansvarig vid behandling av personuppgifter när den anvisar personer till kommuner och när den fattar ett delbeslut gällande en ansökan om uppehållstillstånd för företagare. 
Arbets- och näringsbyrån ska vara personuppgiftsansvarig vid behandling av personuppgifter när den fattar ett delbeslut gällande en ansökan om uppehållstillstånd för arbetstagare och när det fattar beslut om vägran att bevilja uppehållstillstånd för arbetstagare enligt 187 § i utlänningslagen. 
I enlighet med principerna i artikel 5 och det inbyggda dataskyddet och dataskyddet som standard enligt artikel 25 i dataskyddsförordningen ska varje gemensamt personuppgiftsansvarig svara för att behandlingen av personuppgifter inom den egna verksamheten följer lagen. 
Separata bestämmelser ska utfärdas om Migrationsverkets ansvar när det gäller ärendehanteringssystemet för utlänningsärenden och utrikesförvaltningens ansvar när det gäller det nationella informationssystemet för viseringar. Det är inte ändamålsenligt att varje gemensamt personuppgiftsansvarig ansvarar för förvaltningen av uppgiftsbehandlingen, och därför ska ansvaret för att upprätthålla och utveckla informationssystemen liksom nu koncentreras till systemförvaltaren. Dessutom ska vissa sätt att behandla personuppgifter som är knutna till informationssystemen koncentreras till systemförvaltarna. Bestämmelser om det ansvar som koncentreras till systemförvaltarna avses finnas separat i de föreslagna 4 och 5 §. Lagens 6 § avses dessutom innehålla särskilda bestämmelser om förvaltarens roll som kontaktpunkt för registrerade. 
Det är motiverat att visst ansvar som personuppgiftsansvariga har bara ska gälla de personuppgiftsansvariga som faktiskt påverkar innehållet i de personuppgifter de behandlar. Registrering är bara ett av de sätt att behandla personuppgifter på som nämns i artikel 4 i dataskyddsförordningen, men registrering av personuppgifter kräver först andra åtgärder för behandling, såsom bearbetning, ändring eller radering. Det framgick under beredningen att så gott som samtliga sätt att behandla personuppgifter enligt artikel 4 i dataskyddsförordningen kräver att uppgifter registreras. Läsning och framtagning av personuppgifter utgör undantag, och med dessa kan man jämställa observation av personuppgifter, som inte nämns i artikeln. Varje gemensamt personuppgiftsansvarig ska svara för personuppgifter den registrerar. Ansvaret gäller exempelvis att registrerade uppgifter är felfria och därmed också beslut om myndighetsinitierad rättelse av uppgifter. Dessutom ska de gemensamt personuppgiftsansvariga i fråga om uppgifter de registrerar ansvara för att den registrerades rättigheter tillgodoses. Ansvaret för utlämnande och radering av enstaka uppgifter hör på grundval av behörighet till den personuppgiftsansvariga myndighet som har rätt att behandla personuppgifterna. Det tekniska utförandet av vissa tekniska funktioner koncentreras till systemförvaltaren. Till dessa tekniska åtgärder hör radering och rättelse av personuppgifter och tillgodoseende av en begäran om insyn i egna uppgifter. 
Enligt 124 § i grundlagen kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Uppgifter som innebär betydande utövning av offentlig makt får dock ges endast myndigheter. Migrationsverket avtalar med stöd av 10 § i mottagandelagen om inrättande och nedläggning av förläggningar och flyktingslussar och om deras verksamhetsställen med kommuner, samkommuner, andra offentligrättsliga samfund eller privata sammanslutningar eller stiftelser. I sådana fall är det inte en myndighet som kommer att vara personuppgiftsansvarig, utan exempelvis en privat förläggning när den utför lagstadgade uppgifter enligt 124 § i grundlagen. De som i praktiken driver förläggningar utöver stat och kommun är främst Finlands Röda Kors, som har lång erfarenhet av att ta emot flyktingar i Finland. För tydlighets skull används ordet myndighet i propositionen också när någon annan än en myndighet fullgör myndighetsuppgifter. Dessa situationer förekommer relativt sällan.  
Till skillnad från 3 § 3 mom. i lagen om utlänningsregistret ska Tullen, arbets- och näringsbyråerna, fångvårdsmyndigheterna, diskrimineringsombudsmannen, högsta förvaltningsdomstolen och de regionala förvaltningsdomstolarna i framtiden inte längre vara personuppgiftsansvariga. Dessa myndigheters rätt att få upplysningar ska i fortsättningen bygga på deras egen rätt att få information och på bestämmelserna om utlämnande av information i 13 § i den föreslagna lagen.  
4 §.Ärendehanteringssystemet för utlänningsärenden. Till ärendehanteringssystemet för utlänningsärenden räknas förutom det egentliga datasystemet för utlänningsfrågor (UMA) systemet för identitetskort och pass när det gäller främlingspass och resedokument för flyktingar. Den del av systemet för identitetskort och pass som gäller främlingspass och resedokument för flyktingar är Migrationsverket ensamt personuppgiftsansvarig för. För den delen behövs det därför inte nödvändigtvis särskilda bestämmer om systemförvaltningen. Det system som innefattar främlingspass och resedokument för flyktingar ingår i polisens informationssystem, och därför har det ansetts tydligare att föreskriva om Migrationsverkets ansvar i fråga om hela datasystemet för utlänningsfrågor.  
Enligt förslaget ska Migrationsverket ansvara för utvecklingen och förvaltningen av ärendehanteringssystemet för utlänningsärenden. En sådan koncentration av ansvaret för förvaltning och utveckling av informationssystemen är nödvändig i ett läge där det finns flera gemensamt personuppgiftsansvariga för de personuppgifter som behandlas i systemet. Detta utvecklings- och förvaltningsansvar förutsätter att en viss myndighet ansvarar för systemen i stället för att ansvaret skulle fördelas mellan alla gemensamt personuppgiftsansvariga. Migrationsverket äger ärendehanteringssystemet för utlänningsärenden och ska således på samma sätt som nu stå för kostnaderna för att systemet utvecklas och förvaltas och för prioritering och tidsplan när det gäller utvecklingen. Verket ska ansvara för utvecklingen och förvaltningen också när behovet att utveckla och förvalta följer av beslut om lagstiftning eller annat som fattas inom andra förvaltningsområden men som blir betydande genom den föreslagna lagens tillämpningsområde. Migrationsverket ska ansvara för hanteringen av åtkomsträttigheter i systemet och för systemets tekniska konfiguration. 
Migrationsverket ska i egenskap av förvaltare av ärendehanteringssystemet för utlänningsärenden i enlighet med nuläget svara för det tekniska genomförandet av vissa åtgärder för behandling av personuppgifter som hör till den personuppgiftsansvarige. Det rör sig exempelvis om att tekniskt genomföra en begäran om insyn i egna uppgifter och en radering av uppgifter i ett enskilt fall.  
Vidare ska Migrationsverket i egenskap av förvaltare av ärendehanteringssystemet för utlänningsärenden ansvara för vissa behandlingsåtgärder som är knutna till systemet. Verket ska ansvara för radering av andra uppgifter än enskilda personuppgifter samt för utlämnande av uppgifter ur systemet och åtkomst till systemet. Den lag om informationshantering som kommer att föreslås innehåller bestämmelser om utlämnande av personuppgifter och om åtkomst till systemet.  
Bestämmelserna om ärendehanteringssystemet för utlänningsärenden kommer inte att påverka lagens tillämpningsområde, som inte är knutet till informationssystemen. 
5 §.Nationella informationssystemet för viseringar. Enligt förslaget ska utrikesförvaltningen ansvara för utvecklingen och förvaltningen av det nationella informationssystemet för viseringar. En sådan koncentration av ansvaret är nödvändig i ett läge där det finns flera gemensamt personuppgiftsansvariga som behandlar personuppgifter i systemet. Detta utvecklings- och förvaltningsansvar förutsätter att en enda myndighet ansvarar för systemet i stället för att ansvaret skulle fördelas mellan alla gemensamt personuppgiftsansvariga. Utrikesförvaltningen äger det nationella informationssystemet för viseringar och ska således stå för kostnaderna för att systemet utvecklas och förvaltas och för prioritering och tidsplan när det gäller utvecklingen. Förvaltningen ska ansvara för utvecklingen och förvaltningen också när behovet att utveckla och förvalta följer av beslut om lagstiftning eller annat som fattas inom andra förvaltningsområden men som blir betydande genom den föreslagna lagens tillämpningsområde. Utrikesförvaltningen ska ansvara för hanteringen av åtkomsträttigheter i systemet och för systemets tekniska konfiguration. 
Utrikesförvaltningen ska i egenskap av förvaltare av det nationella systemet för viseringar i enlighet med nuläget svara för det tekniska genomförandet av vissa åtgärder för behandling av personuppgifter. Det rör sig exempelvis om att tekniskt genomföra en begäran om insyn i egna uppgifter, rättelse av uppgifter och radering av uppgifter i ett enskilt fall. 
Vidare ska utrikesförvaltningen i egenskap av förvaltare av det nationella systemet för viseringar ansvara för vissa behandlingsåtgärder som är knutna till systemet. Utrikesförvaltningen ska ansvara för radering av andra uppgifter än enskilda personuppgifter samt för utlämnande av uppgifter ur systemet och åtkomst till systemet. Den lag om informationshantering som kommer att föreslås innehåller bestämmelser om utlämnande av personuppgifter och om åtkomst till systemet.  
Bestämmelserna om det nationella systemet för viseringar ska inte påverka lagens tillämpningsområde, som inte är knuten till informationssystemen. 
6 §.Kontaktpunkter för registrerade. I syfte att se till att de registrerades rättigheter respekteras införs särskilda bestämmelser om kontaktpunkter för registrerade. Migrationsverket är kontaktpunkt för dem som registrerats i ärendehanteringssystemet för utlänningsärenden. Utrikesförvaltningen är kontaktpunkt för dem som registrerats i det nationella informationssystemet för viseringar.  
Kontaktpunkten ska se till att de registrerades rättigheter tillgodoses, särskilt rätten till åtkomst till personuppgifter. Det sker genom att kontaktpunkten med stöd av rätten till insyn svarar för att begärd information lämnas till den registrerade och för den process som är kopplad till begäran överlag. I en situation där flera gemensamt personuppgiftsansvariga agerar inom sina befogenheter är det motiverat att främja tillgodoseendet av den registrerades rättigheter genom bestämmelser om kontaktpunkter för registrerade. Kontaktpunkten ska vara den registrerades primära kontakt i förhållande till också den personuppgiftsansvariga myndighet som handlägger eller avgör ärendet.  
Trots att kontaktpunkter utses hindrar det enligt artikel 26.3 i dataskyddsförordningen inte den registrerade från att utöva sina rättigheter med avseende på och emot var och en av de personuppgiftsansvariga, dvs. från att framföra en begäran avseende rätten till insyn också till andra personuppgiftsansvariga. En begäran om insyn i egna uppgifter som riktas till de gemensamt personuppgiftsansvariga ska beroende på ärendets art hänvisas till Migrationsverket eller utrikesförvaltningen för behövliga åtgärder. En sådan verksamhetsmodell skulle svara mot en myndighets skyldighet enligt 21 § i förvaltningslagen (434/2003) att utan dröjsmål överföra handlingar i ett ärende i vilket den inte är behörig till den myndighet som den anser vara behörig. Den i ärendet behöriga personuppgiftsansvarige kan om den så önskar själv tillgodose den registrerades rätt till insyn, men det är systemförvaltaren som ansvarar för det tekniska genomförandet. Målet är att tillräcklig information och kommunikation ska leda till att begärandena om insyn ska riktas direkt till den registrerades kontaktpunkt i situationer där den registrerade inte medvetet väljer att rikta sin begäran till den behöriga personuppgiftsansvariga myndigheten eller om denne så önskar också till någon annan personuppgiftsansvarig.  
Vid behov kommer kontaktpunkten att fråga den myndighet som ansvarar eller ansvarat för handläggningen hur den ser på saken i situationer där det exempelvis är oklart vad den registrerades rätt till insyn innefattar eller omfattar.  
7 §.Personuppgifter som får behandlas. Paragrafen avses innehålla de personuppgifter och grupper av personuppgifter där den ingående personuppgifter får behandlas inom lagens tillämpningsområde. Den bestämmer de yttre ramarna för vilka personuppgifter som kan behandlas. Paragrafen anger inte vilka personuppgifter som kan behandlas i en enskild situation. Med andra ord skapar den inte behörighet att behandla personuppgifter. Behörigheten när det gäller att behandla en viss personuppgift ska alltid bygga på en särskild behörighetsbestämmelse.  
Enligt artikel 5.1 c i dataskyddsförordningen ska personuppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). En bedömning av om personuppgifterna behövs ska alltid göras i förhållande till användningsändamålet. En enskild personuppgift som behandlas ska alltid vara behövlig i förhållande till sitt användningsändamål, fullgörande av en lagstadgad uppgift. Behovet av varje enskild uppgift ska bedömas från fall till fall. Enskilda informationshanterares tillgång till de uppgiftsgrupper som behövs för behandlingen ska begränsas genom hanteringen av åtkomsträttigheterna och olika användarprofiler. Logguppgifter kan å sin sida användas efteråt för att kontrollera och verifiera vem som har behandlat personuppgifterna. De som behandlar uppgifterna gör det alltid under tjänsteansvar.  
Detta sätt att reglera datainnehållet är allmänt hållet i förhållande till de gällande bestämmelserna i lagen om utlänningsregistret. Enligt det riskbaserade synsätt som man gått in för i dataskyddsförordningen och som också grundlagsutskottet gärna prioriterar, ska regleringen utifrån riskerna gälla de situationer som kräver närmare reglering. Det innebär att detaljerade bestämmelser slopas i de situationer som nu avses, dvs. där en heltäckande och detaljerad reglering inte är nödvändig. En mer generell lösning när det gäller regleringen är lagtekniskt motiverad på grund av datainnehållets stora omfattning och även för att bestämmelserna innehåller överbegrepp för att beskriva personuppgifterna. Innehållet i dessa begrepp kan anses som tämligen etablerat. En regleringsteknik där datainnehållet beskrivs med etablerade kriterier för indelning av personuppgifter är ändamålsenlig också ur det perspektivet att den på vissa villkor utan ständiga lagstiftningsändringar möjliggör sådana enskilda ändringar som behöver göras i innehållet i sådana personuppgifter som behandlas till följd av ändringar som görs i behörighetsgivande lagar. En mer allmänt hållen gruppindelning kommer att medge en mer omfattande behandling av datainnehållet, men bara under den förutsättningen att behandlingen av uppgiften behövs och har en rättslig grund. Bestämmelser om särskilda kategorier av personuppgifter avses finnas särskilt i 8 § i den föreslagna lagen.  
Med beaktande av den utvidgning av tillämpningsområdet som den föreslagna lagen innebär i förhållande till nuläget enligt lagen om utlänningsregistret avses den föreslagna paragrafen ha dels datainnehållet i 7 § i den gällande lagen om utlänningsregistret, dels också det datainnehåll som avses i 48 § i den gällande mottagandelagen, 32 d § i den gällande förvarslagen och 60 § 2 mom. i den gällande integrationslagen.  
Den föreslagna 7 § avses bestå av fyra moment. Dess 1 mom. innehåller bestämmelser om uppgifter relaterade till den berörda personen, 2 mom. bestämmelser om till ärendet relaterade uppgifter, 3 mom. bestämmelser om speciellt handling av iakttagelser och 4 mom. bestämmelser om uppgifter relaterade till andra personer som har anknytning till personen eller ärendet.  
Paragrafens 1 mom. avses gälla personers identifieringsuppgifter, uppgifter om familjeförhållandena, uppgifter om företrädande, uppgifter som beskriver kunnande och kontaktuppgifter samt uppgifter om resedokument samt behandlingen av kortet över anhängigt ansökningsärende som avses 96 § i utlänningslagen.  
I 2 mom. 1 och 2 punkten föreslås bestämmelser om uppgifter som framgår av en ansökan, framställning, begäran eller anmälan eller av förfrågan eller hörande som gjorts på grund av dessa och om uppgifter om behandling och utredning av samt beslut i ärenden. Med uppgifter om beslut avses också uppgifter om beslut i myndighetsinitierade ärenden. Till skillnad från 7 § 2 mom. 2 punketen i utlänningsregisterlaget nämner 2 mom. inte särskilt handlingar eftersom den föreslagna lagen avses gälla behandling av personuppgifter oavsett vilken form uppgifterna behandlas i.  
Paragrafens 2 mom. 3 punkt avses gälla uppgifter om mottagningstjänster och annan verksamhet som hör till mottagningen samt uppgifter om företrädare när det gäller mottagningsverksamhet för barn utan vårdnadshavare och uppgifter som behövs vid styrningen, planeringen och övervakningen av företrädarverksamheten. Med uppgifter om företrädare avses uppgifter som beskriver vårdnadshavar-, intressebevaknings-, företrädar-, biträdes- eller ombudsrelationen. I 2 mom. 4 punkten finns bestämmelser om de uppgifter som gäller placering av en utlänning i en förvarsenhet. I 5 punkten i samma moment finns bestämmelser om behandlingen av uppgiften om anvisande till en kommun. Med anvisande till en kommun avses anvisande till en kommun av den sådan person som avses i 2 § 2 och 3 mom. i integrationslagen.  
Dessa ändringar är huvudsakligen lagtekniska och kommer i princip inte att ändra det rådande nuläget när det gäller de uppgifter som ska registreras enligt lagen om utlänningsregistret, mottagandelagen, förvarslagen och integrationslagen, dock med vissa undantag som beskrivs i det följande: beskrivningarna i 48 § i mottagandelagen och 32 d § i förvarslagen om de syften i vilka vissa personuppgifter kan behandlas ska ersättas med ett allmänt krav på behövlighet. Det är inte meningen att nuläget när det gäller villkoren för behandling ska ändras, även om ändamålet med behandlingen i fortsättningen inte ska ingå i paragrafen om datainnehåll: uppgiften ska även fortsättningsvis vara behövlig uttryckligen i relation till syftet med behandlingen. Datainnehållet i 2 mom. 4 punkten avseende tagande i förvar ska enligt avsikt utvidgas till att gälla uppgifter som behövs för att trygga ordnandet, planeringen, genomförandet, uppföljningen av tagandet i förvar och ett korrekt bemötande av utlänningar. Enligt 7 § i den gällande lagen om utlänningsregistret täcker datainnehållet i detta avseende bara uppgifter om innehav och användning av telefoner och annan kommunikationsutrustning eller kontroller och begränsningar. Bestämmelserna motsvarar dock inte det faktiska behovet. Det mest ändamålsenliga vore att det datainnehåll som registreras mer utvidgat inbegriper uppgifter som behövs för att trygga ordnandet, planeringen, genomförandet och uppföljningen av tagandet i förvar samt ett korrekt bemötande av utlänningar. En ändring behövs med avseende på de funktionella behov som framgår av förvarslagen. I 11 § i den lagen föreskrivs det om inkvartering, uppehälle och tillgodoseende av andra grundläggande behov, vilket förutsätter en möjlighet att behandla relaterade personuppgifter. Också för brukspenning och tjänster som avser stödjande av funktionsförmågan enligt 12 och 14 § i samma lag krävs det att till dessa relaterade personuppgifter kan behandlas. Överlag behöver uppgifter som kan anses utgöra en klientrapport kunna behandlas. Det gäller exempelvis uppgifter om personens deltagande i aktiviteter, vidtagna klientåtgärder eller särskild diet. Också exempelvis uppgifter om klientens uppförande behöver kunna registreras, eftersom det kan påverka klientens, andra i förvar tagna klienters eller de anställdas säkerhet till exempel vid övergång från ett skifte till ett annat.  
Den personuppgiftsansvarige ska till skillnad från nuläget ha rätt att med stöd av 6 punkten behandla sådana uppgifter om iakttagelser av personer som den personuppgiftsansvarige själv gjort eller som anmälts till denne och som på grund av omständigheterna eller personens beteende med fog kan bedömas höra till den personuppgiftsansvariges behörighet att övervaka att det finns förutsättningar för en persons inresa och vistelse i landet eller till arbetarskyddet för den personuppgiftsansvariges anställda. Det rör sig om en ny bestämmelse om datainnehållet, och den kommer att medge behandling av personuppgifter, men behörigheten bygger på gällande lagstiftning. När det gäller sådana uppgifter om iakttagelser kan det potentiellt handla om en mycket omfattande datamängd som berör privatlivet. Uppgifter om iakttagelser är dessutom ofta av otillförlitligt slag och förknippade med en risk för att oskyldiga personer stämplas. Därför måste behandlingen av uppgifterna avgränsas på det sätt som grundlagsutskottet förutsätter (GrUU 18/2012 rd, s. 4, och GrUU 71/2014 rd, s. 2—3).  
Behandlingen av uppgifter om iakttagelser styrs av principen om ändamålsbundenhet i myndigheternas verksamhet. Behandlingen av uppgifter om iakttagelser begränsas för det första till den personuppgiftsansvariges behörighet att övervaka att det finns förutsättningar för en persons inresa och vistelse i landet. Myndigheterna utför med stöd av de gällande 129 a och 212 § i utlänningslagen övervakning av utlänningar och tillsyn över iakttagandet av de bestämmelser som utfärdats med stöd av utlänningslagen. I exempelvis proposition RP 169/2014 rd slås det fast att det alltid i bakgrunden måste finnas någon uppgift eller misstanke som gäller grunden för beviljandet av uppehållstillstånd och som är orsaken till att Migrationsverket på goda grunder i efterhand kontrollerar om villkoren för personens vistelse i landet fortfarande uppfylls. Enligt 8 § i arbetarskyddslagen (738/2002) är arbetsgivaren skyldig att genom nödvändiga åtgärder sörja för arbetstagarnas säkerhet och hälsa i arbetet. I detta syfte ska arbetsgivaren beakta omständigheter som hänför sig till arbetet, arbetsförhållandena och arbetsmiljön i övrigt samt till arbetstagarens personliga förutsättningar. Arbetsgivaren ska planera, välja, dimensionera och genomföra de åtgärder som behövs för att förbättra arbetsförhållandena. Då ska i mån av möjlighet exempelvis principen om att förhindra uppkomsten av risker och olägenheter iakttas.  
I praktiken ska uppgifterna om iakttagelser utgöra grund för inledande av en närmare utredning av de omständigheter som påverkar uppgifterna inom myndigheternas behörighet. Myndigheten ska inom ramen för sina befogenheter kunna registrera uppgifter om iakttagelser även om de inte anknyter till något pågående ärende. Uppgifterna får inte användas som beslutsgrund. Inga begränsningar anges när det gäller uppgifternas natur. Uppgifterna om iakttagelser kan gälla exempelvis sådana omständigheter eller händelser, såsom familjeförhållanden eller försörjning, som kan vara relevanta för tillståndsprövningen eller vid bedömningen av huruvida en persons vistelse i landet fortsatt motsvarar förutsättningarna för uppehållstillstånd. Uppgifterna om iakttagelser kan vara uppgifter som påverkar arbetarskyddet, såsom uppgifter om en persons beteende, och som kan vara av betydelse exempelvis med avseende på ordnande av asylsamtal eller med tanke på andra åtgärder för att sörja för säkerheten. Uppgifterna om iakttagelser ska följa principerna för behandling av personuppgifter i artikel 5 i dataskyddsförordningen. De ska med andra ord vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.  
Enligt 3 mom. i paragrafen till uppgifterna om iakttagelser ska det om möjligt fogas en bedömning av uppgiftslämnarens eller informationskällans tillförlitlighet och uppgifternas riktighet. De allmänna begränsningarna enligt 34 § i den föreslagna dataskyddslagen i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne ska gälla för uppgifterna om iakttagelse. Bestämmelser om radering av uppgifterna utfärdas särskilt. Förutsättningarna för behandling av uppgifter om iakttagelse ska tolkas restriktivt beroende på uppgifternas natur.  
Med stöd av 4 mom. i den föreslagna paragrafen får den personuppgiftsansvarige, i den mån det är behövligt, behandla personuppgifter över familjemedlemmar och personer som bor i samma hushåll som familjemedlemmar samt personuppgifter över mottagare i Finland och personuppgifter över personer som anställer en utländsk arbetstagare. 
8 §.Särskilda kategorier av personuppgifter som får behandlas. Den föreslagna 8 § avses innehålla bestämmelser om behandling av personuppgifter inom särskilda kategorier. Separata bestämmelser behövs eftersom personuppgifter som hör till särskilda kategorier av sådana uppgifter är känsliga när man beaktar det riskbaserade synsättet i dataskyddsförordningen, vilket också grundlagsutskottet ger prioritet åt. Enligt artikel 9 i dataskyddsförordningen ska behandling av särskilda kategorier av personuppgifter i princip vara förbjuden. Den föreslagna 6 § i dataskyddslagen innebär att förbudet mot behandling av känsliga uppgifter med stöd av det nationella handlingsutrymmet inte ska tillämpas på sådan behandling av personuppgifter som det föreskrivs om i lag eller som direkt följer av den personuppgiftsansvariges föreskrivna uppgifter. Det bör påpekas att lagen om behandling av personuppgifter i migrationsförvaltningen inte avses ge behörighet att behandla personuppgifter och därmed inte heller att behandla personuppgifter som hör till särskilda kategorier av personuppgifter.  
Preciserande bestämmelser om hanteringen av fingeravtryck finns separat i 9 och 10 § i lagförslaget, och de motsvarar nuläget enligt lagen om utlänningsregistret.  
Den föreslagna paragrafen ska gälla sådana enligt 24 § i offentlighetslagen sekretessbelagda uppgifter som hör till de särskilda kategorierna av personuppgifter enligt artikel 9 i dataskyddsförordningen, är sådana personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott enligt artikel 10 i den förordningen och som kan behandlas på särskilda villkor eller som fortsatt konstitutionellt sett ska anses vara nationellt känsliga. De sistnämnda uppgifterna är enligt grundlagsutskottets tolkning (se GrUU 14/2018 rd och GrUU 15/2018 rd) konstitutionellt känsliga uppgifter som inte är särskilda kategorier av personuppgifter enligt dataskyddsförordningen, såsom uppgifter om sociala tjänster. I nuläget finns bestämmelser om dessa sekretessbelagda uppgifter delvis i såväl den gällande lagen om utlänningsregistret och mottagandelagen som i den gällande förvarslagen. Regleringen bör vara tydlig och begriplig, och därför bör bestämmelser om de berörda uppgifterna, som på olika grunder anses vara speciella eller känsliga, koncentreras till en och samma paragraf. På detta sätt understryks det också att särskild omsorgsfullhet krävs när de behandlas och att de ska skyddas från obehörig användning. I rubriken till paragrafen används begreppet särskilda kategorier av personuppgifter, som är det uttryck som dataskyddsförordningen använder om dessa uppgifter. Detta trots att paragrafen på det sätt som anges ovan också gäller andra personuppgifter som bara får behandlas på särskilda villkor. I fortsättningen betecknas uppgifterna för tydlighets skull särskilda kategorier av personuppgifter i enlighet med paragrafrubriken.  
Varje personuppgiftsansvariga skulle ha rätt att behandla särskilda kategorier av personuppgifter bara inom ramen av sin behörighet. En förutsättning för behandling av personuppgifter som hör till dessa särskilda kategorier av personuppgifter är också att den är nödvändig i något syfte, vilket motsvarar bestämmelserna i lagen om utlänningsregistret och förvarslagen. Dessutom snävas användningsområdet för dessa personuppgifter in – vilket inte är fallet för de personuppgifter som inte hör till de särskilda kategorierna – genom att syftet med behandlingen preciseras av tillämpningsområdet, så att det går att minimera de allvarliga risker för de grundläggande fri- och rättigheterna som är kopplade till informationssäkerheten och missbruk av uppgifter (GrUU 15/2018 rd, s. 37).  
När personuppgifter som gör till särskilda kategorier av personuppgifter behandlas berör man kärnan av en persons integritetsskydd, och därmed måste proportionaliteten i användningen av sådana uppgifter bedömas i relation till huruvida ingreppet i integritetsskyddet samtidigt skyddar andra rättigheter som personen i fråga har och om dessa andra rättigheter utgör en så pass tungt vägande grund att integritetsskyddet på grund av dem kan inskränkas. Inom migrationsförvaltningen behöver behandling av särskilda kategorier av personuppgifter göras för att skydda den registrerades identitet, trygga dennes rättssäkerhet eller skydda dennes intressen eller för att den registrerade ska få socialvård eller hälso- och sjukvård. Med andra ord är behandling av särskilda kategorier av personuppgifter en åtgärd som på det sätt som artikel 9.2 g i dataskyddsförordningen kräver står i proportion till det rättsobjekt som eftersträvas med begränsningen. 
Utöver begränsningarna av användningsområdet för de särskilda kategorierna av personuppgifter kommer de lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som artikel 9.2 g i förordningen kräver att genomföras genom de skyddsåtgärder som anges i 6 § 2 mom. i den föreslagna dataskyddslagen. Till dessa åtgärder hör bland annat att man sörjer för personalens kompetens och olika övervakningsmetoder och säkerställer att de tekniska systemen fungerar. Också speciallagstiftningen i sig utgör en skyddsåtgärd som dataskyddsförordningen kräver. Dessutom är det meningen att särskilda bestämmelser ska införas om radering av uppgifter som särskilda kategorier av personuppgifter.  
Den mångfald av situationer som migrationsförvaltningen hanterar innebär att det inte är möjligt att fullständigt i detalj formulera bestämmelserna för behandling av de särskilda kategorierna av personuppgifter utan att beskriva myndigheternas befogenheter för varje uppgift. Ett sådant sätt att reglera saken kan emellertid inte anses vara ändamålsenligt. Det går att identifiera situationer där man särskilt ofta behöver hantera personuppgifter som hör till de särskilda kategorierna och sådana situationer där det inte finns något sådant behov. Ofta är det däremot fråga om situationer där en viss personuppgift som hör till en särskild kategori ibland nödvändigt behöver hanteras och ibland inte. Fråga om behandlingen av uppgifterna är nödvändig måste alltid bedömas särskilt i den enskilda situationen. En fallspecifik bedömning måste alltid göras för en särskild kategori av personuppgifter.  
Det kan vara nödvändigt att behandla personuppgifter som anger en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller sexualliv eller sexuella läggning, i synnerhet när det gäller att bedöma grunderna för en ansökan om internationellt skydd, men också för att vidta praktiska arrangemang för mottagning, tagande i förvar av asylsökande och för anvisande till en kommun. Syftet är då att säkerställa den registrerades säkerhet.  
Behandling av uppgifter som gäller medlemskap i en fackförening kan vara nödvändig för att bedöma grunderna för en ansökan om internationellt skydd och för att hjälpa offer för människohandel. 
Det kan vara nödvändigt att behandla genetiska eller biometriska personuppgifter för att entydigt identifiera en fysisk person när fingeravtryck eller en ansiktsbild, som sökanden har bifogat, tas av sökanden i samband med inlämning av ansökan om uppehållstillstånd eller av ansökan om internationellt skydd, för ett uppehållstillståndskort enligt 60 d § i utlänningslagen, för att utreda familjeband genom DNA-analys med stöd av 65 § i den lagen och för att genomföra en rättsmedicinsk undersökning för bestämning av åldern på en utlänning som ansöker om uppehållstillstånd eller på en anknytningsperson med stöd av 6 a§ i den lagen. Bestämmelser om behandlingen av sådana signalement på utlänningar som med stöd av 131 § i utlänningslagen förs in i polisens register finns i lagen om behandling av personuppgifter i polisens verksamhet. Preciserande bestämmelser om användning av fingeravtryck som hör till de biometriska kännetecknen finns i 9 och 10 §.  
Med genetiska uppgifter avses alla personuppgifter enligt artikel 4.13 i dataskyddsförordningen som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga. Biometriska uppgifter avser å sin sida sådana personuppgifter enligt artikel 4.14 i den förordningen som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter. 
Uppgifter om hälsa kan vara nödvändiga i alla situationer som hör till lagens tillämpningsområde av. Det rör sig bland annat om att bedöma grunderna för en ansökan om internationellt skydd, bedöma förutsättningarna för beviljande av uppehållstillstånd eller vidta praktiska arrangemang för mottagning, tagande i förvar av asylsökande och för anvisande till en kommun i syfte att beakta den registrerades hälsotillstånd.  
Med uppgifter som hälsa avses uppgifter om hälsotillstånd och hälso- och sjukvårdsuppgifter samt patientuppgifter. Till uppgifter om hälsotillstånd och om hälso- och sjukvårdstjänster hör till exempel behövliga uppgifter om kundens vaccineringar, eventuella smittsamma sjukdomar, eventuell risk för att kunden skadar sig själv och praktiska arrangemang för de tjänster kunden tillhandahålls. Det rör sig om uppgifter som även andra än vårdanställda vid förläggningarna, inom systemet för hjälpinsatser för offer för människohandel och vid förvarsenheterna behöver för sina arbetsuppgifter. Med patientuppgifter avses bland annat texter från patientbesök, diagnoser, behandling, riskinformation och uppgifter om medicinering, risker och recept. Patientuppgifterna ska bara få användas av hälso- och sjukvårdsanställda, med undantag för uppgifter som andra än vårdanställda nödvändigt måste behandla i sina arbetsuppgifter. 
Behovet att nödvändigt använda uppgifter om socialtjänster hänger särskilt samman med bedömningen av grunderna för en ansökan om internationellt skydd, men också med vidtagande av praktiska arrangemang för mottagning eller tagande i förvar av asylsökande eller för anvisande till en kommun.  
Personuppgifter som rör domar i brottmål och överträdelser kan vara nödvändiga i alla situationer som rör lagens tillämpningsområde. Dessa domar och överträdelser kan vara av betydelse i ärenden som gäller inresa eller utresa, ärenden som gäller medborgarskap, särskilt när medborgarskap beviljas men också när mottagning och tagande i förvar ordnas i praktiken vid anvisande till en kommun.  
Alla personuppgifter som hör till särskilda kategorier av personuppgifter som får behandlas kan vara nödvändiga att behandla för att trygga nationell säkerhet. 
9 §.Behandling av uppgifter om fingeravtryck som tagits för ansökningar om främlingspass och resedokument för flykting. Paragrafen avses innehålla bestämmelser om behandling av fingeravtryck som tagits av dem som ansöker om främlingspass och resedokument för flyktingar. Till sitt innehåll motsvarar paragrafen 3 a § i den gällande lagen om utlänningsregistret. De behövliga tekniska ändringar som görs beror på att inga bestämmelser längre finns om register och delregister till följd av att utgångspunkten blir syftet med behandlingen. Därför sägs det också helt enkelt i paragrafen att tagna fingeravtryck ska registreras. Avsikten är att inte ändra nuläget.  
Om de myndigheter som har rätt att använda fingeravtryck används i stället för utrikesministeriet och finska beskickningar begreppet utrikesförvaltningen. Det rör sig om en teknisk ändring som motsvarar den terminologi som i övrigt används i denna proposition.  
10 §.Behandling av uppgifter om fingeravtryck som tagits för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem. I denna paragraf föreslås det bestämmelser om användning av fingeravtryck som tagits för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem. Till sitt innehåll motsvarar den 3 b § i lagen om utlänningsregistret. De behövliga tekniska ändringar som görs beror på en ändring av nuläget som innebär att inga bestämmelser införs om register och delregister till följd av att utgångspunkten blir syftet med behandlingen. Därför sägs det helt enkelt i paragrafen att tagna fingeravtryck ska registreras. Infallsvinkeln blir behandlingsgrundad och därför ersätts hänvisningen till delregistret för ansökningsärenden med en hänvisning till registrerade uppgifter som avses i paragrafen. Uttrycket statens säkerhet ersätts med uttrycket den nationella säkerheten för att det skulle motsvara det i helheten för underrättelselagstiftning föreslagna uttrycket. Uttrycket statens säkerhet och uttrycket den nationella säkerheten bedömas motsvara varandra. De föreskrivna fingeravtrycksuppgifterna ska i 2 mom. ersättas med ordet fingeravtryck. Avsikten är inte att ändra nuläget.  
11 §.Behandling av personuppgifter för andra ändamål än det ursprungliga. Denna paragraf avses innehålla bestämmelser om de situationer där det inom lagens tillämpningsområde ska vara möjligt att behandla personuppgifter för andra ändamål än det ursprungliga syftet. Detta är möjligt om behandlingen på det sätt som anges i 1 mom. är nödvändig för utförandet av den personuppgiftsansvariges lagstadgade uppgifter eller om den behövs i enlighet med vad som närmare anges i punkterna till 1 mom. Bestämmelser om behandling av sådana personuppgifter som hör till särskilda kategorier av personuppgifter för något annat ändamål än det ursprungliga avses ingå i de föreslagna 2 och 3 mom.  
I artikel 5.1 b i dataskyddsförordningen finns bestämmelser om ändamålsbegränsningen för personuppgifter, dvs. att uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Enligt artikel 6.4 i förordningen får bestämmelser om senare behandling av personuppgifterna införas i den nationella lagstiftningen, när detta utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23. Till de mål som anges i den artikeln hör bland annat viktiga mål av generellt allmänt intresse och skydd av den registrerade eller andras rättigheter och friheter. Dessutom ska det finnas en grund enligt artikel 6.1 för behandlingen och enligt artikel 9.2 när det gäller särskilda kategorier av personuppgifter. 
Den rättsliga grunden för behandling av personuppgifter för andra ändamål än det ursprungliga inom lagens tillämpningsområde skapar sådana lagstadgade myndighetsuppgifter för den personuppgiftsansvarige som kräver särskilda bestämmelser om behandling för andra ändamål än det ursprungliga för att uppgifterna ska kunna utföras. När det är fråga om sådan behandling av personuppgifter som ligger inom lagens tillämpningsområde och som den personuppgiftsansvarige utför behövs det ingen särskild bestämmelse om överlåtelse mellan myndigheter. När det gäller sådan behandling av personuppgifter som ligger utanför lagens tillämpningsområde blir bestämmelserna om utlämnande av information aktuella också när det är fråga om behandling som utförs av den personuppgiftsansvarige. 
Förenligheten med behandling av personuppgifter ska bedömas från fall till fall i ljuset av de villkor i dataskyddsförordningen som bestämmer vad som är förenlig användning. Behandling av personuppgifter kan i 1—6 punkten om syftet med behandlingen inom tillämpningsområdet enligt 1 § 1 mom. i den föreslagna lagen tolkas som förenlig med ändamålet inom varje punkt. Med andra ord ska användning av uppgifter som samlats in med stöd av respektive punkt för det ändamål som anges i den punkten ofta vara förenlig med det ursprungliga användningsändamålet. Behandling av uppgifter för ändamål i andra punkter kommer i praktiken mer sällan att vara användning som är förenlig med det ursprungliga ändamålet. Därmed krävs det i princip särskilda bestämmelser om behandling av personuppgifter mellan punkterna inom tillämpningsområdet i 1 §. Samtidigt kommer behandling där tillämpningsområdena i 1 och 2 punkten korsar varandra i praktiken ofta att kunna vara förenlig användning eftersom uppgifter som behandlas i samband med medborgarskapsärenden också hör till de uppgifter som behandlas på grundval av vistelse i landet.  
Med beaktande av att tillämpningsområdet för den föreslagna lagen innebär en utvidgning i förhållande till nuläget enligt lagen om utlänningsregistret bör det bli möjligt att behandla personuppgifter för andra ändamål än det ursprungliga i de situationer där den gällande lagen om utlänningsregistret, mottagandelagen, förvarslagen och integrationslagen föreskriver om informationsutbyte mellan myndigheter. I detta avseende kan ändringarna i princip på det sättet anses vara tekniska att det inte till denna del är meningen att ändra det rådande rättsläget. En förändring i förhållande till nuläget är ändå den ändrade tröskeln för behandling, dvs. att behandling av uppgifter för andra ändamål än det ursprungliga ska vara möjlig med stöd av behövlighetskriteriet i de syften som anges specifikt i paragrafen och då få utföras av angivna personuppgiftsansvariga. I den gällande lagstiftningen har man främst tillämpat nödvändighetskriteriet som en förutsättning för utlämnande av information på grund av utlämnande av personuppgifter. I integrationslagen har å sin sida kravet på behövlighet gällt för rätten att få uppgifter, men utan någon närmare specificering. Enligt grundlagsutskottets etablerade praxis när det gäller utlämnande av information ska lagstiftningen innehålla ett krav på att informationen är nödvändig för ett visst syfte när lagen inte ger en uttömmande förteckning över innehållet i uppgifterna (se t.ex. GrUU 15/2018 rd, s. 39). Detta synsätt har tillämpats i den föreslagna paragrafen. 
Den föreslagna 1 mom. 1 punkten innebär att uppgifter som samlats in inom ramen för lagens tillämpningsområde kan behandlas för andra ändamål än det ursprungliga, om uppgifterna behövs för utredning av någons identitet.  
I den föreslagna 1 mom. 2 punkten föreslås bestämmelser om användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket, polisen, Gränsbevakningsväsendet eller närings-, trafik- och miljöcentralen behöver de uppgifter som samlats in med stöd av 1 § 1 mom. 3 punkten för att sköta uppgifter som gäller personer som söker internationellt skydd, personer som får tillfälligt skydd eller offer för människohandel eller för utlänningars vistelse i Finland. Punkten avser situationer där sådana uppgifter som lämnats ut med stöd av 52 § i den gällande mottagandelagen i fortsättningen behandlas för andra ändamål än det ursprungliga. Den gäller också behandling av uppgifter som lämnas ut till Migrationsverket med stöd av 58 § 1 mom. i den lagen. Uppgifter om mottagandet, exempelvis om inkvartering, behövs till exempel för processerna som gäller uppehållstillstånd och avlägsnande ur landet, och därför ska behandling vara möjlig också för att sköta uppgifter som gäller utlänningars vistelse i Finland eller inresa. Det kan exempelvis röra sig om situationer som gäller en familjemedlems inresa i landet. I lägen där någon ska avlägsnas ur landet behövs uppgifterna om inkvartering för att utreda om personen i fråga, till exempel familjemedlemmen till någon som föreslås bli avlägsnad ur landet, fortfarande befinner sig i Finland. I ärenden som gäller familjeåterförening kan de uppgifterna behövas när man utreder om makar bor ihop på förläggningen eller i enskild inkvartering. Information av detta slag behövs oftast när den sökande befinner sig i Finland, men den kan också behövas i lägen där den sökande befinner sig i något annat land. Eftersom de möjliga ändamålen med behandlingen specifikt anges kommer behandlingen med avvikelse från det rådande rättsläget att ske med stöd av behövlighetskriteriet. Punkten kommer att vara delvis överlappande med den rätt att få uppgifter som ingår i 105 a § 1 mom. i utlänningslagen, men bestämmelserna står inte i strid med varandra.  
Enligt 1 mom. 3 punkten får uppgifter användas för andra ändamål än det ursprungliga när Migrationsverket, en förläggning eller en flyktingsluss behöver de uppgifter som samlats in med stöd av 1 § 1 mom. 1 punkten för att sköta uppgifter enligt 1 § 1 mom. 3 punkten. Punkten avser situationer där sådana uppgifter som lämnats ut med stöd av 53 § i den gällande mottagandelagen i fortsättningen behandlas för andra ändamål än det ursprungliga. De myndigheter som samlar in uppgifter med stöd av 1 § 1 mom. 1 punkten är Migrationsverket, polisen och Gränsbevakningsväsendet. Med avvikelse från de gällande bestämmelserna kommer närings-, trafik- och miljöcentralerna enligt den föreslagna nya indelningen av tillämpningsområdet inte att samla in personuppgifter med stöd av 1 § 1 mom. 1 punkten, utan med stöd av 1 § 1 mom. 5 punkten. De situationer där Migrationsverket, en förläggning eller en flyktingsluss behöver information av närings-, trafik- och miljöcentralen hänger i praktiken samman med anvisande till kommuner, och därmed rör det sig om behandling av personuppgifter för det ursprungliga ändamålet eller behandling som är förenlig med det ändamålet.  
I 1 mom. 4 punkten föreslås bestämmelser om användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket, en förläggning eller en flyktingsluss, polisen eller Gränsbevakningsväsendet behöver de uppgifter som samlats in med stöd av 1 § 1 mom. 4 punkten för att sköta uppgifter som gäller utlänningars vistelse i Finland och avlägsnande ur landet, mottagande av personer som söker internationellt skydd och får tillfälligt skydd eller hjälp till offer för människohandel. Det rör sig om den rätt att få och lämna ut uppgifter som nu ingår i 32 f § i den gällande förvarslagen. Avsikten är inte att ändra det rådande rättsläget i andra avseenden än i fråga om tröskeln för behandling. 
Den föreslagna 1 mom. 5 punkten gäller användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket eller en förvarsenhet behöver uppgifter som samlats in med stöd av 1 § 1 mom. 1—3 punkten för att sköta uppgifter enligt 1 § 1 mom. 4 punkten. Det rör sig om behandling av sådana uppgifter som lämnas ut med stöd av 32 g § i den gällande förvarslagen. Avsikten är inte att ändra det rådande rättsläget i andra avseenden än i fråga om tröskeln för behandling.  
I den föreslagna 1 mom. 6 punkten finns bestämmelser om användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket behöver uppgifter som samlats in med stöd av 1 § 1 mom. 5 punkten för att sköta uppgifter som gäller invandring. Det rör sig om bestämmelserna om utlämnande av uppgifter i 61 § i den gällande integrationslagen.  
Enligt 1 mom. 7 punkten får uppgifter användas för andra ändamål än det ursprungliga när närings-, trafik- och miljöcentralen behöver uppgifter som samlats in med stöd av 1 § 1 mom. 1—3 punkten för att sköta uppgifter enligt 1 § 1 mom. 5 punkten. Det rör sig om bestämmelser i enlighet med 87 § i den gällande integrationslagen. Avsikten är inte att ändra det rådande rättsläget i andra avseenden än i fråga om tröskeln för behandling.  
Enligt det föreslagna 2 mom. får uppgifter som hör till särskilda kategorier av personuppgifter behandlas för andra ändamål än det ursprungliga i de syften som anges i 1 mom. 1—7 punkten endast om det är nödvändigt för att myndigheten i fråga ska kunna utföra sina lagstadgade uppgifter. Nödvändighetskravet understryker att behovet att skydda personuppgifter är högre i fråga om de särskilda kategorierna av personuppgifter. När det gäller omfattande register med biometriska kännetecken finns det enligt grundlagsutskottet orsak att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för. Man kan då bara göra exakt avgränsade och som mycket små karakteriserbara undantag från ändamålsbundenheten. Bestämmelserna får inte leda till att någon annan verksamhet än den som är förknippad med det ursprungliga användningsändamålet blir det huvudsakliga ändamålet och inte ens ett betydande användningsändamål (GrUU 14/2009 rd s. 4, GrUU 14/2017 rd, GrUU 1/2018 rd). Enligt 3 mom. gäller det som föreskrivs i paragrafen inte fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort eller av den som ansöker om främlingspass eller resedokument för flykting, om inte annat föreskrivs någon annanstans i lag. Särskilda bestämmelser om hanteringen av fingeravtryck finns i de föreslagna 9 och 10 §. 
12 §.Rätt att få uppgifter. Avsikten med paragrafen är att ge Migrationsverket, förläggningarna, flyktingslussarna, förvarsenheterna, närings-, trafik- och miljöcentralerna samt arbets- och näringsbyråerna rätt att få information. Den föreslagna bestämmelsen ger dessa rätt att trots sekretessplikt utan avgift få personuppgifter. Utlämnande av sekretessbelagda uppgifter kräver inte samtycke av den vars intressen den föreskrivna sekretessplikten skyddar. Migrationsverkets, förläggningarnas, flyktingslussarnas, förvarsenheternas,, närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas rätt att få uppgifter bygger på den lagstiftning som ger dem behörighet. Eftersom rätten att få uppgifter ska föreskrivas i lagen om behandling av personuppgifter gäller den enbart personuppgifter. Eftersom tillämpningsområdet föreslås vara knutet till ändamålet att föra register ska rätten att få uppgifter gälla bara de personuppgifter som behandlas för det ändamålet. Rätten att få uppgifter ska också kunna gälla uppgifter från utlandet, exempelvis sådana som lämnas med stöd av internationella avtal. Rätten att få uppgifter avses gälla de myndigheter och andra som avses i 4 § i offentlighetslagen. 
Grundlagsutskottet har redan i sin tidigare utlåtandepraxis tagit upp frågan om risken med behandlingen av personuppgifter som är kopplade till skyddet av personens privatliv, såsom informationssäkerheten i fråga om insamlade uppgifter och missbruk av uppgifterna, som kan utgöra ett hot mot en persons identitet (GrUU 14/2009 rd, s. 3). Också när det gäller dataskyddsförordningen har ett riskbaserat synsätt tillämpats. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (GrUU 14/2018 rd, s. 5–6, och GrUU 15/2018 rd, s. 36—37). Enligt grundlagsutskottets etablerade ståndpunkt ska lagstiftningen innehålla ett krav på att informationen är nödvändig för ett visst syfte när lagen inte ger en uttömmande förteckning över innehållet i uppgifterna. Samtidigt har utskottet ansett att grundlagen inte tillåter en mycket vag och ospecificerad rätt att få uppgifter, inte ens om den är knuten till nödvändighetskriteriet (se t.ex. GrUU 15/2018 rd, s. 41, GrUU 17/2016 rd, s. 5—6, GrUU 71/2014 rd, s. 3, GrUU 62/2010 rd, s. 4/I, och GrUU 59/2010 rd, s. 4/I). Grundlagsutskottet har understrukit att det vid en särskiljning mellan behövlighet respektive nödvändighet att få eller lämna ut uppgifter är fråga inte bara om omfattningen av innehållet i uppgifterna, utan också om att rätten till information, som går före sekretessbestämmelserna, i sista hand går ut på att den myndighet som är berättigad till informationen i och med sina egna behov åsidosätter de grunder och intressen som är skyddade med hjälp av den sekretess som gäller myndigheten som innehar informationen. Ju mer generella bestämmelserna om rätt till information är, desto större är risken att sådana intressen kan åsidosättas per automatik. Ju fullständigare bestämmelserna kopplar rätten till information till villkor i sak, desto mer sannolikt är det att begäran om information måste motiveras. Då kan också den som lämnar ut informationen bedöma begäran med avseende på de lagliga villkoren för utlämnandet. Genom att de facto vägra att lämna ut informationen kan den som innehar den göra att det uppstår ett läge där en utomstående myndighet måste undersöka skyldigheten att lämna ut information, det vill säga tolka bestämmelserna. Denna möjlighet är viktig då det gäller att anpassa tillgången till information och sekretessintressena till varandra (GrUU 15/2018 rd, s. 39). 
Rätten att få uppgifter ska vara knuten delvis till kravet på nödvändighet och delvis till kravet på behövlighet. De olika bestämmelserna kommer att skilja sig från varandra i fråga om hur detaljerade och exakt avgränsade de är på det sätt som grundlagsutskottet kräver. När rätten till uppgifter är knuten till nödvändighet ska den preciseras ytterligare genom att knyta den till de användningsändamål som anges i 1 §. I sådana fall kommer datainnehållet inte att preciseras i lagförslaget. När rätten att få uppgifter är knuten till behövlighetskravet ska både användningsändamål och även datainnehåll preciseras. Dessutom ska de myndigheter och andra aktörer som det går att få uppgifter av anges noggrannare. 
Migrationsverket, förläggningarna, flyktingslussarna, förvarsenheterna, närings-, trafik- och miljöcentralerna samt arbets- och näringsbyråerna handlägger en mångfald av ärenden, och därför är det inte ändamålsenligt att reglera deras rätt att få uppgifter på ett sätt där man ger en uttömmande förteckning på alla de myndigheter och personuppgifter som omfattas av rätten att få uppgifter. Därför avgränsas rätten att få uppgifter i det föreslagna 1 mom. på det sätt som grundlagsutskottet förutsätter till nödvändiga uppgifter. Rätten att få uppgifter kopplas i den föreslagna lagen till den behörighetsgivande lagstiftningen, som specifikt anger behovet av information, myndighetens uppgifter och gränserna för behörigheten. På det sättet blir regleringen exakt och noga avgränsad. Ett sådant sätt att reglera bringar över lag klarhet i fråga om rätten att få uppgifter inom migrationsförvaltningen. 
Sådan information som är av avgörande betydelse för att Migrationsverket, förläggningarna, flyktingslussarna, förvarsenheterna, närings-, trafik- och miljöcentralerna samt arbets- och näringsbyråerna ska kunna utföra sina lagstadgade uppgifter är nödvändig, och sådan information kan exempelvis leda till att uppehållstillstånd inte beviljas. Informationen ska anses vara nödvändig om ett avgörande inte kan träffas utan den. Ett sätt att reglera som är knutet till nödvändighet bygger på att den som lämnar ut den bedömt att tröskeln för nödvändighet överskrids. På begäran ska det motiveras varför uppgifterna är nödvändiga att få. 
Migrationsverket, förläggningarna, flyktingslussarna och förvarsenheterna ska ha rätt att få sådana uppgifter som är nödvändiga för behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse, för behandling av och beslut i ärenden som gäller förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap samt bestämmande av medborgarskapsstatus, för mottagande av personer som söker internationellt skydd eller får tillfälligt skydd samt hjälp till offer för människohandel och verksamhet i anslutning till företrädande av barn utan vårdnadshavare inom mottagningsverksamheten samt styrning, planering och uppföljning av dessa, för placering av en utlänning i en förvarsenhet, bemötande av en utlänning i en förvarsenhet samt upprätthållandet av ordningen och säkerheten vid en förvarsenhet och för anvisande till kommuner. Dessutom ska närings-, trafik- och miljöcentralerna samt arbets- och näringsbyråerna ha rätt att få t.ex. sådana uppgifter som är nödvändiga för att fatta ett delbeslut i fråga om en ansökan om uppehållstillstånd för företagare eller arbetstagare. Rätten att få uppgifter ska på det sätt som anges ovan begränsas till uppgifter som är nödvändiga för att Migrationsverket, förläggningarna, flyktingslussarna, förvarsenheterna, närings-, trafik- och miljöcentralerna samt arbets- och näringsbyråerna ska kunna utföra sina lagstadgade uppgifter. För att lagstiftningen ska vara tydlig räknas de nämnda ändamålen inte upp i paragrafen. I stället ska den hänvisa till de syften som anges i 1 §. 
Exempelvis kommer Migrationsverket därmed att ha rätt att få nödvändiga uppgifter ur Rättsregistercentralens bötesregister. Registret innehåller personuppgifter om den person som är föremål för påföljden och uppgift om påföljdens art och belopp, de verkställighetsåtgärder som vidtagits och tidpunkten för dem, de influtna beloppen och hinder för verkställigheten. Uppgifterna i bötesregistret är nödvändiga för Migrationsverkets lagstadgade uppgifter, exempelvis för att utreda om oförvitlighetsvillkoret för naturalisation är uppfyllt, behandla ansökningar om internationellt skydd, utreda om flyktingstatus och status som alternativt skyddsbehövande ska upphöra eller återkallas, utreda utvisningsgrunderna i fråga om en utlänning, utreda skyldigheterna för en säsongsarbetares arbetsgivare och eventuella försummelser från arbetsgivarens sida och utreda om en utlänning utgör ett hot mot allmän ordning och säkerhet. Ändamålet med behandlingen anges i medborgarskapslagen, utlänningslagen och lagen om säsongsanställning.  
Migrationsverket ska exempelvis också ha rätt att av skattemyndigheterna få nödvändiga uppgifter för att utreda om förutsättningar föreligger för förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap och för att bestämma medborgarskapsstatus, för att utreda förutsättningarna för en utlännings uppehållstillstånd, om förutsättningar föreligger för beviljande eller återkallande av uppehållskort eller registrering av uppehållsrätt, för att kontrollera och övervaka om arbetsgivaren fullgjort sina förpliktelser, och nödvändiga uppgifter om den arbetsgivares, som utlänningen uppger, arbetsgivarprestationer och hur de deklarerats samt om betalningsarrangemang i fråga om skatter och om en arbetsgivares faktiska ekonomiska verksamhet. Även arbets- och näringsbyråerna ska ha rätt att få information när de prövar ett delbeslut gällande en ansökan om uppehållstillstånd för säsongarbete. 
Nödvändiga uppgifter gäller inte undantagslöst den sökande själv, utan de kan också gälla den person vars verksamhet den sökande eller dennes familjemedlemmar uppger som källan till sin inkomst. Som exempel kan nämnas fullgöranderapporter som ska användas när man utreder om arbetsgivaren till en utlänning har förmåga att klara av sina lagstadgade skyldigheter, när påföljder bestäms för en sådan arbetsgivare och vid bedömning av en persons förmåga att försörja sig själv eller en familjemedlem i Finland. En ansökan om uppehållstillstånd kan avslås om det finns skäl att misstänka arbetsgivarens förmåga eller vilja att betala utlänningen den lön som uppges i ansökan eller att fullgöra sina andra arbetsgivaråligganden. En ansökan om fortsatt tillstånd kan vägras eller ett gällande tillstånd återkallas, om arbetsgivaren underlåtit att fullgöra sina lagstadgade skyldigheter. Uppgifterna i fullgöranderapporter ska också kunna användas som grund för ett beslut om att inte bevilja tillstånd till anställning hos en arbetsgivare som underlåtit att fullgöra sina lagstadgade skyldigheter. Det är också nödvändigt att med en fullgöranderapport kontrollera de uppgifter en sökande uppgett när denne säger att han eller hon med sin lön, sina inkomster av företagsverksamhet eller inkomster från andra källor uppfyller den lagstadgade försörjningsförutsättningen i fråga om sig själv eller sin familj under vistelsen i Finland. De föreslagna bestämmelserna avses gälla bara de arbetsgivare som är fysiska personer. Bestämmelser om fullgöranderapporter när det gäller juridiska personer ska enligt planerna utfärdas särskilt. 
Rätten att få uppgifter ska med avvikelse från nuläget knytas till behövlighetskravet till den del uppgifterna inte är nödvändiga för utförande av lagstadgade uppgifter. Som nödvändiga uppgifter anses information som hjälper Migrationsverket, förläggningar, flyktingslussar eller förvarsenheter att utföra sina lagstadgade uppgifter. En uppgift som behövs kan således utgöra en viktig del av den samlade bedömningen, men avgörandet kan inte bygga enbart på den. Det innebär till exempel att Migrationsverket ska ha rätt att ur exempelvis Rättsregistercentralens bötesregister, när det gäller uppgifter om andra personer än sådana som ansöker om uppehållstillstånd, få personuppgifter och uppgifter om avgöranden, verkställighetsärenden, förvandlingsstraff och händelser när uppgifterna behövs för avgörande av vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd. Om rätten att få uppgifter är knuten till behövlighetskravet har de avsedda datainnehållen räknats upp på ett uttömmande sätt i lagen i linje med grundlagsutskottet etablerade ståndpunkt (GrUU 17/2016 rd, s. 5—6). 
Lagen avses också innehålla bestämmelser om rätten att få behövliga uppgifter av socialmyndigheter, skatteförvaltningen, polisen och Brottspåföljdsmyndigheten och ur Rättsregistercentralens bötesregister och justitieförvaltningens riksomfattande informationssystem när det gäller andra än dem som ansöker om uppehållstillstånd, när uppgifterna kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om en annan person för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd. Det handlar om de uppgifter som behövs för prövning enligt artikel 8.2 (underåriga asylsökande) och artikel 16.1 (personer i beroendeställning) i Dublinförordningen (EU-förordning nr 604/2013). Prövningen enligt förordningen ska bygga på om den person som ska ta hand om en underårig eller en person i beroendeställning är kapabel till detta. Kommissionen har inte närmare angett vad villkoren innebär. Genom kommissionens genomförandeförordning (EU) nr 118/2014 utfärdades dock standardformulär för att underlätta identifieringen av sådana personer (bilagorna VII och VIII). Med dessa formulär ska den anmodade medlemsstaten uppge om det finns preliminära bevis bland annat på personens förmåga och materiella beredskap att ta hand om en underårig eller en person i beroendeställning. Det rör sig då om uppgifter om en person som vistas i Finland och som också kan vara finsk medborgare. Förmågan och beredskapen ska bedömas bland annat utifrån uppgifter om brottslighet och om inkomster och förmögenhet. Migrationsverket behöver uppgifter av socialmyndigheter, skatteförvaltningen, polisen och Brottspåföljdsmyndigheten och ur Rättsregistercentralens bötesregister och justitieförvaltningens riksomfattande informationssystem för att pröva denna förmåga att ta hand om någon. Prövningen kan komma att ha betydelse i synnerhet med avseende på barnets bästa. Att ingripa i en persons integritetsskydd är därmed en proportionerlig åtgärd eftersom syftet är att skydda de mer utsatta, dvs. barn och personer i särskild beroendeställning till sina närstående. 
Ur Rättsregistercentralens bötesregister kommer Migrationsverket exempelvis att behöva uppgifter om eventuella straff och deras natur för att kunna utreda om den förmåga att ta hand om någon föreligger som Dublinförordningen kräver. Ett ovillkorligt fängelsestraff påverkar nämligen direkt en persons förmåga att ta hand om någon annan. Dessutom behövs det information av Brottspåföljdsmyndigheten om när personen blir frigiven och om villkoren för frigivningen, såsom övervakningen under villkorlig frigivning, som också är av betydelse för en persons förmåga att ta hand om någon annan. 
Migrationsverket ska också ha rätt att av utrikesförvaltningen få uppgifter om legalisering av handlingar. Syftet med legalisering är att på en beskickning kontrollera den utfärdande myndighetens behörighet att utfärda handlingen i den främmande staten. En förteckning förs över de notariefunktioner som utförs på beskickningarna. Migrationsverket behöver i medborgarskapsärenden uppgift om varför en handling inte har legaliserats. 
Det behövs inte längre särskilda bestämmelser om rätten att få uppgifter genom teknisk anslutning eftersom grundlagsutskottet inte längre på sistone i sin utlåtandepraxis lyft fram denna fråga som ett viktigt regleringsobjekt när det gäller skyddet av personuppgifter (GrUU 14/2018 rd, GrUU 2/2018 rd och GrUU 31/2017 rd). Också i övrigt bör bestämmelser om de tekniska förutsättningarna för överföring av uppgifter utfärdas bara i fråga om den som lämnar ut uppgifterna, eftersom den själv ansvarar för uppgifter den innehar. En allmän lag håller på att beredas om utlämnande av uppgifter med hjälp av ett tekniskt gränssnitt och om åtkomst till systemet.  
13 §.Utlämnande av personuppgifter. Enligt det föreslagna 1 mom. får, utöver vad som föreskrivs någon annanstans i lag eller i internationella avtal som är bindande för Finland, sådana uppgifter som samlats in och registrerats med stöd av 1 § trots sekretessbestämmelserna lämnas ut i sådan omfattning som den mottagande myndighetens eller aktörens föreskrivna rätt till information för skötseln av lagstadgade uppgifter medger. Paragrafen innebär att personuppgifter kan lämnas ut enbart med stöd av en rätt att få uppgifter som anges i nationell lagstiftning. Bestämmelser om utlämnande av personuppgifter till Europeiska unionens gemensamma informationssystem utfärdas särskilt. 
För närvarande gäller överlappande bestämmelser i fråga om utlämnande av personuppgifter. De ger upphov till en tung regleringsstruktur och skapar tolkningsproblem. Nu ska regleringen förenklas, och detta sker genom övergång till en regleringsmodell där utlämnandet ska vara knutet till en sådan rätt att få uppgifter som den mottagande myndigheten har till följd av sina lagstadgade uppgifter. Förslaget innebär att det ändamål som utlämnandet bygger på, datainnehållet och föremålet för utlämnandet ska knytas till sådan rätt att få uppgifter som den som begär informationen har enligt lagstiftningen. Utgångspunkten ska vara att rätten att få uppgifter ger mottagaren specificerad rätt att få uppgifterna. Det behövs dock fortsatt bestämmelser om utlämnande av uppgifter när man beaktar de förutsättningar som enligt 29 § i offentlighetslagen gäller för bestämmelser där sekretessen bryts. Eftersom rätten att få uppgifter avses vara utgångspunkten för att reglera hur informationen sprids är det möjligt att övergå till en mer generell regleringsmodell i fråga om utlämnande av uppgifter. Formuleringen är omarbetad i förhållande till 10 § i den gällande lagen om utlänningsregistret, men avsikten är inte att göra ändringar i mottagarnas rätt att få uppgifter. Bekräftelse på att de som enligt 10 § den gällande utlänningsregisterlagen har rätt att få uppgifter får tillräckliga rättigheter har under beredningen inhämtats genom att mottagarna i sina yttranden ombetts påpeka eventuella brister i rätten att få uppgifter. Den föreslagna formuleringen ger möjlighet att i fortsättningen lämna ut uppgifter också i sådana situationer där det faktum att upplysningar ges bygger på mottagarens rätt att få uppgifter, medan det inte finns särskilda bestämmelser om utlämnande av uppgifter i lagen om utlänningsregistret.  
De personuppgiftsansvariga ska självständigt med stöd av det ansvar de har bestämma om de lämnar ut uppgifter. Gemensamt ansvar för personuppgifterna ger inte rätt att lämna ut alla uppgifter inom lagens räckvidd, utan varje personuppgiftsansvarig kan dock lämna ut uppgifter bara till den del som den har befogenhet att behandla och som den ansvarar för i egenskap av personuppgiftsansvarig.  
Den som lämnar ut uppgifterna ska bedöma en begäran om att få uppgifter med avseende på de lagliga förutsättningarna för utlämnande. Den personuppgiftsansvariges ansvar inbegriper en skyldighet att avväga vilka uppgifter den lämnar ut i enlighet med den mottagande myndighetens rätt att få uppgifter. Den som begär uppgifter ska i syfte att se till att ändamålsbegränsningen följs i samband med sin begäran om information, uppgifter eller systemåtkomst motivera vad dess rätt att få upplysningarna bygger på samt uppge ändamålet med behandlingen av uppgifterna och vilka uppgifter den behöver. Den personuppgiftsansvarige ska utifrån begäran med beaktande av principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen bedöma datainnehållet i de personuppgifter som begärs bli utlämnade och i vilken form uppgifterna kan utlämnas. Den myndighet som lämnar ut uppgifterna ska i sin bedömning av förutsättningarna för ett utlämnande beakta bland annat behovet av uppgifter, dvs. för vilket ändamål uppgifterna begärs, huruvida de begärda uppgifterna specificerats tillräckligt exakt med avseende på användningsändamålet, om uppgifterna och den begärande myndigheten angetts tillräckligt exakt, huruvida uppgifterna finns att tillgå i någon annan informationskälla eller exempelvis hos den sökande själv och i så fall huruvida exempelvis kravet på uppgifternas tillförlitlighet (beslut som förpliktar en person fattas utifrån uppgifterna) talar för att uppgifterna ska lämnas ut uttryckligen av den myndigheten och om det råder en tillräcklig balans mellan risk och intresse, i synnerhet om det är fråga om åtkomst till ett informationssystem. Bedömningen behöver inte vara strikt fallspecifik i ett läge där uppgifter lämnas ut regelbundet till en viss myndighet för ett visst ändamål. 
Avsikten är inte att i lag dela in situationerna i grupper beroende på om det är fråga om utlämnande av uppgifter i ett enskilt fall eller utlämnande av annat än enstaka uppgifter. Lagen innehåller inte längre bestämmelser om utlämnande av uppgifter med hjälp av teknisk anslutning och inte heller om att tekniskt skydda de uppgifter som lämnas ut. Grundlagsutskottet har tidigare krävt att bestämmelser om teknisk anslutning ska ingå i reglering som gäller personuppgifter och register (GrUU 12/2002 rd, s. 5), men i senare utlåtandepraxis har utskottet inte längre lyft upp frågan som ett viktigt regleringsobjekt när det gäller skyddet av personuppgifter (GrUU 14/2018 rd, GrUU 2/2018 rd och GrUU 31/2017 rd). Dessutom håller finansministeriet på att ta fram en lag om informationshantering i den offentliga förvaltningen, och den avses som allmän lag innehålla bestämmelser om utlämnande av uppgifter med hjälp av tekniskt gränssnitt eller åtkomst till system. I fråga om datasystemet för utlänningsfrågor (UMA) ska Migrationsverket och i fråga om det nationella informationssystemet för viseringar utrikesförvaltningen förvalta systemet, dvs. vara den myndighet som beslutar om utlämnande av uppgifter via ett tekniskt gränssnitt eller om att ge åtkomst till systemet. Kravet på att tekniskt skydda uppgifter som lämnas ut följer direkt av dataskyddsförordningens artiklar 25 om inbyggt dataskydd och dataskydd som standard och 32 om säkerhet i samband med behandlingen. Dataskyddsförordningen kräver en hög nivå på dataskyddet och datasäkerheten.  
Personuppgifter som hör till särskilda kategorier av personuppgifter får lämnas ut i enlighet med vad som föreskrivs i det föreslagna 1 mom. endast när det är nödvändigt för att myndigheten i fråga ska kunna utföra sina lagstadgade uppgifter. När förutsättningarna för att lämna ut uppgifter övervägs bör det ges särskild vikt att det är fråga om personuppgifter som hör till särskilda kategorier av personuppgifter. När det gäller omfattande register med biometriska kännetecken finns det enligt grundlagsutskottet orsak att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för. Man kan då bara göra exakt avgränsade och som mycket små karakteriserbara undantag från ändamålsbundenheten. Bestämmelserna får inte leda till att någon annan verksamhet än den som är förknippad med det ursprungliga användningsändamålet blir det huvudsakliga ändamålet och inte ens ett betydande användningsändamål (GrUU 14/2009 rd s. 4, GrUU 14/2017 rd, GrUU 1/2018 rd). Detta kräver att bestämmelserna om utlämnande tolkas restriktivt. 
Bestämmelsen om utlämnande av uppgifter avses inte gälla fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort eller av den som ansöker om främlingspass eller resedokument för flykting, om inte annat föreskrivs någon annanstans i lag. Särskilda bestämmelser om hanteringen av fingeravtryck finns i 9 och 10 §. 
14 §.Utlämnande av uppgifter till Europeiska unionens gemensamma informationssystem. Paragrafen avses innehålla bestämmelser om Migrationsverkets rätt att trots sekretessbestämmelserna till Europeiska unionens gemensamma informationssystem vilka inrättats genom förordningar som antagits med stöd av avdelning V kapitel 2 i fördraget om Europeiska unionens funktionssätt lämna ut personuppgifter enligt de enskilda förordningarna i fråga. Behörigheten att lämna ut uppgifter till sådana gemensamma EU-informationssystem som inrättats genom förordningar följer direkt av de enskilda inrättandeförordningarna.  
Europeiska unionen har flera gemensamma informationssystem. Vissa håller först nu på att tas fram. Bland systemen kan nämnas andra generationen av Schengens informationssystem (SIS II), Eurodacsystemet, Informationssystemet för viseringar (VIS), in- och utresesystemet EES, och EU-systemet för reseuppgifter och resetillstånd (Etias). 
Den rättsliga grunden för dessa informationssystem utgörs av Europaparlamentets och rådets förordning (EG) nr 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) – som enligt avsikt ska ersättas med SIS-förordningen om polissamarbete och SIS-förordningen om in- och utresekontroller samt den kompletterande SIS-återvändandeförordningen – och av Europaparlamentets och rådets förordning (EU) nr 603/2013 om inrättande av Eurodacsystemet, Europaparlamentets och rådets förordning (EG) nr 767/2008 om informationssystemet för viseringar (VIS), Europaparlamentets och rådets förordning (EU) 2017/2226 om inrättande av ett in- och utresesystem (EES) och Europaparlamentets och rådets förordning (EU) 2018/1240 om inrättande av ett EU-system för reseuppgifter och resetillstånd (Etias). 
När det gäller Schengens informationssystem motsvarar bestämmelsen 36 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet. Det är ändamålsenligt att införa bestämmelsen i den föreslagna lagen, eftersom det är meningen att bestämmelsen i samband med översynen av lagen om behandling av personuppgifter i polisens verksamhet ska bli snävare och bara gälla polisen. Avsikten är att synliggöra Migrationsverkets rätt att lämna ut uppgifter till Schengens informationssystem på samma sätt som i dag. Också Gränsbevakningsväsendet har bedömt att det behövs bestämmelser om utlämnande av information i lagen om behandling av personuppgifter vid gränsbevakningsväsendet. Skyldigheten att lämna ut uppgifter följer av Europaparlamentets och rådets förordning (EG) nr 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II). Under beredningen av lagförslaget gjordes den bedömningen att det behövs en separat bestämmelse om utlämnande av uppgifter även om skyldigheten följer direkt av förordningen, eftersom det exempelvis vid utlämnande av biometriska kännetecken såsom fingeravtryck är fråga om utlämnande av uppgifter som hör till särskilda kategorier av personuppgifter enligt artikel 9 i dataskyddsförordningen. Också grundlagsutskottet har i sin tidigare utlåtandepraxis jämställt biometriska uppgifter med känsliga uppgifter där ett adekvat skydd kräver särskilda bestämmelser om deras utlämnande (GrUU 14/2009 rd, s. 3, och GrUU 47/2010 rd, s. 3). Det behövs bestämmelser om utlämnande av uppgifter också med tanke på de villkor som ställs för bestämmelser som bryter sekretessen i 29 § i offentlighetslagen.  
15 §.Radering av uppgifter. Artikel 6.3 i dataskyddsförordningen ger möjlighet att införa nationell lagstiftning om uppgifternas lagringstid. I enlighet med den princip som gäller uppgiftsminimering i artikel 5.1 c och lagringsminimering i artikel 5.1 e ska tidsfristerna för radering av uppgifter bygga på att uppgifterna behöver lagras bara den tid som den personuppgiftsansvarige behöver för att utföra sina lagstadgade uppgifter och som behövs för övervakningen av att lagar följs samt som är motiverad med avseende på individens rättssäkerhet.  
Grundlagsutskottet har i sin praxis understrukit att behandlingen av känsliga uppgifter ska begränsas till vad som är nödvändigt för att uppnå det mål som är orsaken till att uppgifterna lagrats i systemet (GrUU 13/2017 rd, s. 6), medan det i fråga om andra typer av personuppgifter varit mer tillåtande när det gäller längre lagringstider (GrUU 2/2018 rd, s. 6). En avvägning har gjorts mellan de risker som är förknippade med lagring av personuppgifter, å ena sidan, och den rättssäkerhet och det identitetsskydd som eftersträvas med lagringen, å andra sidan, särskilt i fråga om de särskilda kategorierna av personuppgifter.  
Det inledande stycket till bestämmelsen avses innehålla en informativ bestämmelse vars syfte är att beakta avvikande lagringstider som eventuellt kan komma att följa av EU-lagstiftning. Inom EU pågår som bäst arbetet med en procedurförordning och en förordning om vidarebosättning, och de innehåller bestämmelser om radering av ärendeuppgifter som gäller personer som sökt internationellt skydd.  
Den tid efter vilken uppgifter raderas kommer att vara längre i vissa fall. Jämfört med gällande lag ändras bestämmelserna om radering av uppgifter enligt 1 punkten på så sätt att av identifikationsuppgifterna för en person förlängs tiden för radering av kundnummer, namn, födelsetid, personbeteckning, utländsk personbeteckning, någon annan utländsk beteckning för identifiering av personen, medborgarskap samt uppgifter om personens familjeband till tio år efter det att personen har avlidit eller fått finskt medborgarskap eller uppgifterna om ärenden i anknytning till personen har raderats.  
Utmärkande för migrationsförvaltningen är att tidigare behandlade ärenden kan vara av betydelse för senare ärenden, exempelvis när ett nytt uppehållstillstånd söks, i ett senare inlett ärende om en familjemedlems uppehållstillstånd, i ett ärende som gäller beviljande av medborgarskap eller ett ärende som gäller förlust av medborgarskap. För att den registrerades rättigheter ska tryggas är det viktigt att de relevanta basuppgifterna förvaras tillräckligt länge. En tillräckligt lång lagringstid i fråga om dessa uppgifter är också viktig för att missbruk ska kunna förebyggas exempelvis genom att förhindra att flera identiteter skapas för en och samma person. Om lagringstiden inte är tillräckligt lång är det möjligt att skapa dubbla eller fler identiteter i situationer där någon exempelvis först studerar i Finland och senare återvänder till exempel för att arbeta. Situationer med flera identiteter ger upphov till svåra återverkningar också i andra myndigheters register. Det ligger också i den sökandes intresse att undvika sådana överlappningar. En tillräckligt lång tid är motiverad också med tanke på inledande av ärenden som gäller förlust av medborgarskap. Ett beslut om att någon ska förlora sitt medborgarskap kan inte fattas om det har gått mer än fem år sedan en ansökan eller anmälan om medborgarskap avgjorts. Om ett ärende om förlust av medborgarskap inleds innan det förflutit fem år sedan medborgarskap beviljades går det att fatta beslutet också efter den femårsperioden. En föreskriven tid behövs också eftersom det är möjligt att inleda ett ärende om en familjemedlems uppehållstillstånd till exempel långt efter en persons död.  
Enligt skäl 27 i ingressen till dataskyddsförordningen gäller förordningen inte behandling av personuppgifter rörande avlidna personer. Däremot går det att införa bestämmelser om detta i nationell lagstiftning. Inom migrationsförvaltningens verksamhetsområde behövs det i enlighet med vad som framförs ovan bestämmelser om lagring av personuppgifter också efter personens död. 
Enligt 2 punkt andra personuppgifter raderas senast fem år efter det att uppehållsrätten upphörde eller den sista uppgiften antecknades i det sista anhängiga ärendet. Uppgifter om ärenden som anknyter till en person raderas samtidigt.  
Den tid efter vilken uppgifter ska raderas ska i fråga om alla anhängiga ärenden räknas enlig när det senast anhängiga ärendet avslutats, vilket är en förändring i förhållande till nuläget. Detta kommer att förlänga lagringstiden för vissa personuppgifter. Det är emellertid motiverat att radera alla ärenden samtidigt eftersom det då går att undvika att det skulle finnas tidsmässiga luckor i uppgifterna om en person. Med tanke på den registrerades rättssäkerhet är sådana luckor inte motiverade. 
Enligt 3 punkt i enlighet med grundlagsutskottets ovan presenterade ståndpunkt ska uppgifter som hör till särskilda kategorier av personuppgifter dock raderas genast när de inte längre behövs. En förutsättning för att personuppgifter som hör till de särskilda kategorierna av personuppgifter är nödvändighet. Det betyder av en personuppgift som hör till dessa kategorier inte längre behövs när den inte längre är nödvändig ur behandlingssynpunkt.  
Uppgifter om iakttagelser är av sådan natur att de ska raderas enligt en separat tidsfrist på sex månader efter det att de antecknades. I fråga om dem och också om andra uppgifter bör principen om uppgiftsminimering beaktas. Principen innebär att uppgifterna inte ska vara för omfattande i förhållande till de ändamål för vilka de behandlas.  
I enlighet med den princip om ändamålsbegränsning som propositionen antagit ska raderingen av personuppgifter inte vara knuten till ett visst system, utan uppgifterna ska raderas ur de system som de behandlas i. När den lagstadgade lagringstiden gått ut ska personuppgifterna gallras ut antingen genom utplåning eller genom överföring till ett arkiv på det sätt som arkivverket föreskriver om permanent förvaring av handlingar eller uppgifter i dessa. De utgallrade uppgifterna ska således arkiveras på det sätt som föreskrivs eller bestäms särskilt. Särskilda bestämmelser utfärdas om radering av felaktiga uppgifter. 
Bestämmelser om vilken myndighet som ska radera uppgifterna avses finns i 4 och 5 §. 
16 §.Personuppgift som konstaterats vara felaktig. Trots bestämmelserna i dataskyddsförordningen om radering av en oriktig uppgift ska en personuppgift som konstaterats vara felaktig få bevaras tillsammans med den korrigerade personuppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till den personuppgiftsansvariges personal har. En sådan uppgift får användas endast i det syftet.  
Enligt artikel 5.1 d i dataskyddsförordningen ska personuppgifter vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt artikel 16 i förordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. I artikel 17 finns bestämmelser om rätten att få uppgifter raderade i särskilt angivna fall, men uppgifternas felaktighet nämns inte bland dem. Enligt artikel 23.1 i ska det vara möjligt att i lagstiftningen begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa skydd av den registrerade eller andras rättigheter och friheter. Införande av sådana begränsningar kräver enligt artikel 23.2 i förordningen specifika bestämmelser om bland annat skyddsåtgärder och lagringstider. Specifika bestämmelser om skyddsåtgärder i fråga om de särskilda kategorierna av personuppgifter finns i 6 § 2 mom. i dataskyddslagen. Bevaring av en personuppgift som konstaterats vara felaktig ska vara nödvändig och proportionerlig i förhållande till skydd av den registrerade eller någon annan part eller en person som hör till den personuppgiftsansvariges personal rättigheter och friheter. 
Paragrafen avses inte begränsa rätten att få uppgifter rättade, men uppgifter som konstateras vara felaktiga ska i de situationer som avses i 1 mom. kunna bevaras tillsammans med de korrigerade uppgifterna. Paragrafen avses innehålla bestämmelser om bevaring en personuppgift som konstaterats vara felaktig i sådana fall att det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till den personuppgiftsansvariges personal har. I förhållande till 9 § 2 mom. i utlänningsregisterlagen kommer rättsläget att förändras på så sätt att också tryggande av andra parters rättigheter är relevant exempelvis när det gäller familjemedlemmars uppehållstillstånd. 
En uppgift som konstaterats vara felaktig och som bevaras ska utplånas genast när den inte längre behövs för tryggande av rättigheter, dock senast fem år efter det att felet uppdagats. Den föreskrivna tiden på fem år börjar räknas på nytt sätt eftersom tidsfristen räknas från det att felet uppdagas och inte från det att den felaktiga personuppgiften registreras. En lagringstid på fem år är motiverad exempelvis i situationer där det i ärenden som gäller tjänsteansvar är fråga om den tjänstemannens rättssäkerhet som registrerat den felaktiga uppgiften.  
17 §.Arkivering av uppgifter. Paragrafen avses innehålla en informativ bestämmelse enligt vilken det i fråga om arkivfunktionens uppgifter och om handlingar som ska arkiveras gäller separata bestämmelser och föreskrifter. För närvarande avser formuleringen vad som föreskrivs i den gällande arkivlagen (831/1994) och med stöd av den. Samtidigt beaktas det att det finns planer på att ersätta arkivlagen med en lag om informationshantering i den offentliga förvaltningen. 
Användning för arkivändamål av allmänt intresse enligt artikel 5.1 e i dataskyddsförordningen betraktas inte som oförenligt med det ursprungliga ändamålet. På den grunden kan data som innehåller personuppgifter arkiveras, om det är förenligt med allmänt intresse. 
18 §.Tillgodoseende av den registrerades rätt till insyn. Paragrafen innehåller bestämmelser om det förfarande som gäller när någon vill utöva sin rätt till insyn i fråga om sina egna uppgifter. De personuppgifter i fråga om vilka någon vill utöva sin rätt till insyn är ofta känsliga eller sekretessbelagda uppgifter. Därför måste det nås visshet om identiteten på den som vill utöva sin rätt till insyn innan rätten tillgodoses, dvs. personuppgifterna lämnas ut. I syfte att främja att den registrerades rättigheter tillgodoses ska det finnas bestämmelser om kontaktpunkter för registrerade i 6 §. Det är Migrationsverket och utrikesförvaltningen som ska vara kontaktpunkter. Att kontaktpunkterna utses utgör ändå inget hinder för den registrerade att lämna sin begäran till insyn till andra personuppgiftsansvariga. 
Enligt artikel 15 i dataskyddsförordningen ska den registrerade ha rätt att få tillgång till sina personuppgifter. Det är med stöd av artikel 23.1 i möjligt att genom nationella lagstiftningsåtgärder begränsa också de rättigheter och skyldigheter som avses i artikel 15, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa skydd av den registrerade. Lagstiftningsåtgärden ska då beakta de specifika bestämmelser som avses i artikel 23.2. Specifika bestämmelser om skyddsåtgärder i fråga om de särskilda kategorierna av personuppgifter finns i 6 § 2 mom. i dataskyddslagen. De detaljerade bestämmelserna om förfarandet när en registrerads rätt till insyn tillgodoses ska vara nödvändiga och proportionerliga i förhållande till skyddet av den registrerades integritet och den lagstadgade sekretessen i myndighetsverksamhet. 
En registrerad som vill utöva sin rätt till insyn ska framställa en skriftlig begäran om detta till den personuppgiftsansvarige samt innan personuppgifterna lämnas ut styrka sin identitet antingen med handlingar som anses tillförlitliga eller personligen för den personuppgiftsansvarige eller genom stark autentisering.  
Den som vill utöva sin rätt till insyn måste alltid ansöka om detta skriftligen hos den personuppgiftsansvarige. Detta kan ske exempelvis genom en begäran per e-post eller vanlig post eller med en blankett i samband med ett personligt besök. Begäran ska på den registrerades vägnar också kunna framföras av en annan person, exempelvis en företrädare eller ett biträde. 
Visshet om identiteten på en registrerad som utövar sin rätt till insyn måste nås innan rätten tillgodoses, dvs. senast när personuppgifter om dem som rätten gäller lämnas ut. Den registrerade kan styrka sin identitet med tillförlitliga handlingar hos den personuppgiftsansvarige eller exempelvis på så sätt att de uppgifter som begäran om insyn avser sänds till den registrerade i ett rekommenderat brev, varvid kontroll av den registrerades identitet kan ske genom normalt förfarande för överlåtelse av rekommenderade brev. Migrationsverket har inget stort servicenät, och därför är det motiverat att inte kräva ett personligt besök på ett av Migrationsverkets serviceställen av den som vill utöva sin rätt till insyn i egna uppgifter, om personen i fråga har tillförlitliga handlingar. Till handlingar som ska anses tillförlitliga räknas åtminstone en giltig identitetshandling och ett giltigt pass. Registrerade personer, särskilt de som kommit som asylsökande, har inte alltid handlingar som kan anses vara tillförlitliga. I sådana fall kan den registrerade identifieras i samband med ett personligt besök hos den personuppgiftsansvarige exempelvis med hjälp av uppgifter i informationssystem, såsom jämförelse med ett fotografi som tagits i samband med asylansökan. Den registrerade ska också kunna använda sig av stark autentisering. 
När en registrerad vill rikta en begäran om utövande av rätten till insyn till polisen ska 44 § i den lag om behandling av personuppgifter i polisens verksamhet gälla. När den registrerade utövar sin rätt ska han eller hon personligen framföra en begäran om detta till polisen och styrka sin identitet. Begäran ska också kunna lämnas genom att på ett verifierat sätt använda tillförlitlig elektrisk identifiering, om denna tjänst finns. Det är motiverat att ha ett separat förfarande i fråga om begäranden om insyn riktade till polisen när någon vill utöva sin rätt, eftersom det då går att sörja för enhetliga processer i polisens verksamhet. I situationer där den registrerades kontaktpunkt, exempelvis Migrationsverket, tillgodoser den registrerades rätt till insyn med avseende på polisens uppgifter ska kontaktpunkten ansvara för att identiteten kontrolleras i ett annat skede av processen och att uppgifterna lämnas ut till rätt person.  
19 §. Den registrerades rätt till begränsning av behandling. Enligt artikel 18 i dataskyddsförordningen ska den registrerade ha rätt att kräva att behandlingen av dennes personuppgifter begränsas. Den registrerades rätt att begränsa behandlingen av personuppgifter hos den personuppgiftsansvarige tillämpas inte på behandling av personuppgifter enligt denna lag. Rätten kan begränsas inom ramen för det handlingsutrymme som artikel 23 ger medlemsstaterna. Det är med stöd av artikel 23.1 h och i möjligt att genom nationella lagstiftningsåtgärder begränsa också de rättigheter och skyldigheter som avses i artikel 18, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa myndighets tillsyns-, inspektions- eller regleringsfunktion eller skydd av den registrerade eller andras rättigheter och friheter. Lagstiftningsåtgärden ska då beakta de specifika bestämmelser som avses i artikel 23.2. Specifika bestämmelser om skyddsåtgärder i fråga om de särskilda kategorierna av personuppgifter finns i 6 § 2 mom. i dataskyddslagen. 
Inom migrationsförvaltningen kommer en registrerads begäran om begränsning sannolikt alltid att grundas på att uppgifterna inte stämmer. Om behandlingen av personuppgifter alltid automatiskt begränsades på den registrerades begäran till dess att den personuppgiftsansvarige har försäkrat sig om att uppgiften stämmer, skulle det beroende på typen av uppgift vara möjligt att beslutsprocessen stannar upp för den tid det tar att kontrollera uppgifternas riktighet både inom migrationsförvaltningen och hos de myndigheter som använder uppgifter från migrationsförvaltningen för sina beslut. Migrationsförvaltningens beslutsfattande bygger på lag. Det är av avgörande betydelse att bekräftelse fås på att de uppgifter som besluten bygger på är riktiga. Annars går det inte att säkerställa riktiga beslut och att garantera den berörda personens rättssäkerhet. De andra lagfästa kraven på förfarandena inom migrationsförvaltningen samt den registrerades möjligheter att utöva andra rättigheter för att kontrollera att uppgifterna är riktiga uppfyller kraven på nödvändighet och proportionalitet i artikel 23.1 h och i när det gäller fullgörande av den personuppgiftsansvariges lagstadgade uppgifter, vilket för sin del skyddar den registrerade.  
20 §.Automatiserat individuellt beslutsfattande. Enligt paragrafen kan Migrationsverket i ärendehanteringssystemet för utlänningsärenden fatta beslut i ett helt automatiserat förfarande, vilket innebär att informationssystemet utför alla faser i ärendebehandlingen och beslutsfattandet utan att en fysisk person behandlar ärendet. Paragrafen ger Migrationsverket möjlighet till automatiserad behandling enligt artikel 22.1 i dataskyddsförordningen när det fullgör lagstadgade uppgifter. Med automatiska beslut avses i artikeln sådana beslut som enbart grundas på automatiserad behandling och som har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar honom eller henne. 
Automatiska beslut bygger på tekniska regler med hjälp av vilka data processas. Genom de tekniska reglerna omvandlas lagstiftningen till maskinläsbara numeriska operationer som bygger på processande av data efter logiska villkor.  
Genom automatiserat beslutsfattande ökar effektiviteten exempelvis på så sätt att personella resurser kan användas till att avgöra ärenden som kräver prövning. När fysiska personer fattar beslut finns det risk för misstag, medan risken för mänskliga misstag minimeras när besluten sker automatiskt. Vid automatiserat beslutsfattande går det inte att missbruka prövningsrätten, eftersom det inte går att låta bli att tillämpa lagen eller bestämmelser som är relevanta för avgörandet. De experter som kommer att bestämma reglerna för handläggningen vid automatiserat beslutsfattande och som har den faktiska rätt och kompetens att ändra en regel som lett till ett visst beslut agerar under tjänsteansvar inom myndigheten. Den personuppgiftsansvarige har alltid en ansvarsställning och ska iaktta inbyggt dataskydd och dataskydd som standard enligt artikel 25 i dataskyddsförordningen.  
Att grunda ett beslut på automatiserad handläggning ska inte vara möjligt om ärendets art, ärendets omfattning, kravet på lika bemötande, barnets bästa eller något annat särskilt skäl föranleder det. Paragrafen avses inte ange detaljerat i vilka situationer eller inom vilka ärendegrupper behandlingen kan ske helt automatiskt. Automatiska beslut förutsätter att fakta och de rättsliga förutsättningarna är tillräckligt entydiga för att det ska gå att skapa de tekniska regler som behövs för processering av data. Möjligheterna till automatiserat beslutsfattande förändras kontinuerligt allt eftersom lagstiftningen, förfarandena och metoderna utvecklas. I framtiden kan automatiserade beslutsprocesser vara möjliga också i situationer där det med dagens teknik eller med stöd av lagstiftningen ännu inte är möjligt att fatta automatiska beslut.  
Automatiska beslut ska kunna fattas i de ärendegrupper där det är möjligt med beaktande av ärendets art och omfattning och kraven på god förvaltning. Automatiserat beslutsfattande kan bli aktuellt exempelvis i ärenden som gäller befrielse eller förlust av medborgarskap eller bestämmande av medborgarskapsstatus samt vid mobilitetsanmälan och begäran om säsongsarbetsintyg. Också beslut om att en ansökan avskrivs till exempel till följd av att ansökan återkallas eller medborgarskap förvärvas ska kunna fattas genom automatiserat förfarande. Om Migrationsverkets beslut är förknippat med omfattande prövningsrätt är det i praktiken till följd av ärendets art och omfattning inte möjligt att fatta beslutet baserat på automatisk handläggning. En sådan situation kan föreligga t.ex. när uppgifter som ska fås från en annan myndighet förutsätter att dessa uppgifter bedöms med användning av prövningsrätt. 
Av de ärenden som ligger inom Migrationsverkets behörighet kan framför allt positiva beslut fattas i förfaranden som bygger på automatiserad handläggning. Det är också möjligt att fatta negativa beslut genom automatiserad handläggning när beslutet inte inbegriper rätt till prövning. Det rör sig till exempel om beslut där ett negativt delbeslut av en annan myndighet, exempelvis arbets- och näringsbyrån, enligt lag leder till ett negativt beslut om uppehållstillstånd.  
Enligt skäl 71 i ingressen till dataskyddsförordningen bör åtgärder som bygger på automatiserat beslutsfattande inte gälla barn. Ordalydelsen i skälet återges inte i själva artikeldelen, och ingresskälen utgör inte bindande regler. Dataskyddsförordningen innehåller inga separata artiklar om automatiserat beslutsfattande i fråga om barn. All myndighetsverksamhet ska beakta barnets bästa och därför avses det i paragrafen stå att beslut inte ska fattas automatiskt i fall där barnets bästa kräver att beslutet inte fattas på det sättet. Vad som är barnets bästa ska alltid bedömas från fall till fall utifrån de individuella omständigheterna, och det går inte att allmänt bestämma vad som är barnets bästa i varje enskilt fall. Det kan inte absolut slås fast att automatiserat beslutsfattande skulle stå i strid med barnets bästa eller att automatiska beslut aldrig ska fattas i situationer där beslutet påverkar ett barn. Automatiserat beslutsfattande kan anses vara förenligt med barnets bästa exempelvis när man beaktar hur snabbt handläggningen kan ske och det positiva resultat som ett beslut leder till. Automatiserade beslut som gäller barn kan fattas exempelvis i fråga om ansökningar om fortsatt tillstånd, då de förutsättningar utifrån vilka det föregående uppehållstillståndet beviljades fortfarande föreligger. Migrationsverket beaktar barnets särskilda status och gör en samlad bedömning av vad som är barnets bästa. Dessutom beaktar Migrationsverket barnets individuella behov, önskemål och åsikter samt likabehandlingsprincipen och utreder vilken lösning som i det berörda fallet är förenligt med barnets bästa. Vad som är barnets bästa kan sällan bestämmas utifrån en enda faktor som medger att alla andra förbigås. 
Ett beslut ska inte fattas automatiskt om särskilda skäl talar emot ett sådant beslut. Ett sådant särskilt skäl kan föreligga exempelvis om det automatiserade beslutsfattandet skulle gälla en person i särskilt utsatt ställning.  
Enligt dataskyddsförordningen ska det i medlemsstaternas nationella lagstiftning fastställas lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen, för det fall att den registrerade kan bli föremål för ett beslut som enbart grundas på automatiserad behandling, vilket har rättsliga följder för honom eller henne. I ärenden som Migrationsverket behandlar är det fråga om offentliga förvaltningsuppgifter, och då måste verket beakta kraven på god förvaltning och förfarandebestämmelserna i speciallagstiftning.  
Myndigheterna ska som en garanti på god förvaltning ge sina kunder råd i anslutning till skötseln av ett förvaltningsärende och se till att kunden har en klar uppfattning om sina förfarandemässiga rättigheter. Till garantierna för god förvaltning hör också en parts rätt att bli hörd allt eftersom ärendebehandlingen fortskrider och att vid behov söka ändring i ett beslut. Migrationsverket ska i enlighet med garantierna för god förvaltning underrätta den registrerade att uppgifterna kommer att behandlas fullständigt automatiskt, och beslut får inte fattas förrän allmän informering skett. Enligt artikel 13.2 f i dataskyddsförordningen ska den som är föremål för ett automatiskt individuellt beslut lämnas information om förekomsten av automatiserat beslutsfattande, meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling. Sådan information ska lämnas på ett tydligt och enkelt sätt och i begriplig form. Den information som ges ska vara meningsfull för den registrerade. 
Enligt skäl 71 i ingressen till dataskyddsförordningen har den registrerade rätt att erhålla en förklaring till ett beslut som fattas utifrån automatisk behandling av personuppgifter med bedömning av en fysisk persons personliga aspekter. Artikeltexten säger ingenting om den rättigheten, utan rätten till en förklaring nämns uttryckligen bara i ingressen. Det framgår inte av förordningen om denna rätt avser en rätt att få en förklaring om ett individuellt automatiskt beslut som uttryckligen fattats i fråga om den registrerade eller om en rätt att rent allmänt få meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling. Formuleringen är heller inte tydlig i fråga om vilket skede av beslutsfattandet som förklaringen ska ges i. Det föreslagna 20 § 2 mom. avses innehålla bestämmelser om den registrerades rätt att få en redogörelse för ett individuellt beslut i hans eller hennes sak som fattats genom automatisk behandling. Det är fråga om de skyddsåtgärder som dataskyddsförordningen kräver. Migrationsverket ska i redogörelsen uppge grunderna och orsakerna till att ett automatiskt beslut fattades i fråga om den registrerade. I praktiken innebär detta en redogörelse för varför beslutet inte behandlades av en fysisk person. Genom en sådan redogörelse säkerställs dessutom också i fråga om automatiskt beslutsfattande den öppenhet som artikel 5 i dataskyddsförordningen kräver. 
Den registrerades rättigheter skyddas också av rätten att söka ändring. Med stöd av 4 § i förvaltningsprocesslagen (586/1996) får besvär anföras över beslut i förvaltningsärenden, och enligt 5 § i samma lag avses med ett beslut över vilket besvär får anföras en åtgärd varigenom ett ärende har avgjorts eller lämnats utan prövning. Migrationsverket måste i syfte att skydda den registrerades intressen se över de tekniska reglerna regelbundet för att försäkra sig om att den automatiserade beslutsprocessen fungerar som den ska. 
21 §.Sekretess. I paragrafen föreskrivs det att information och handlingar som erhållits för behandling i det syfte som anges i 1 § 1, 2 och 6 punkten i denna lag är sekretessbelagda, om det föreskrivs någon annanstans i lag eller om det inte är uppenbart att utlämnande av uppgifter inte medför skada eller olägenhet för Finlands internationella förhållanden, det internationella samarbetet eller sökanden eller närstående till sökanden. Paragrafen ska i sak motsvara gällande 11 § i utlänningsregisterlagen. Paragrafen ändras i tekniskt avseende för att motsvara den ändamålsbundna infallsvinkel i fråga om behandling som tillämpas i denna lag. Bestämmelser om sekretess för sådana uppgifter som behövs för en säkerhetsutredning finns i säkerhetsutredningslagen.  
22 §.Ikraftträdande. Paragrafen innehåller bestämmelser om lagens ikraftträdande. Lagen avses träda i kraft så snart som möjligt. Genom den nya lagen upphävs lagen av den 1 januari 1998 om utlänningsregistret (1270/1997). 
23 §.Övergångsbestämmelse. Paragrafen avses innehålla en övergångsbestämmelse till den föreslagna 15 §. Avsikten är att se till att de tekniska bestämmelserna för radering hinner införas i fråga om ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar. Enligt övergångsbestämmelsen ska informationssystemen anpassas så att de stämmer överens med 15 § inom ett år efter lagens ikraftträdande. Under övergångstiden tillämpas de bestämmelser om radering av personuppgifter som gällde vid ikraftträdandet av den föreslagna lagen. Sådana är bestämmelserna i 9 § i utlänningsregisterlagen, 54 § 1 mom. i mottagandelagen, 32 h § 1 mom. i förvarslagen och 62 § 1 mom. i integrationslagen. 
1.2
Lagen om mottagande av personer som söker internationellt skydd och om identifiering och hjälp till offer för människohandel
6 kap.Register. Det föreslås att kapitlet upphävs, eftersom bestämmelser om de saker som det föreskrivs om i kapitlet tas in i lagförslag nr 1 i denna proposition, dit regleringen om behandlingen av personuppgifter i migrationsförvaltningen koncentreras.  
39 §.Förordnande av företrädare. Det föreslås att ett nytt 4 mom. fogas till paragrafen. I momentet föreskrivs att styrningen, planeringen och övervakningen av verksamheten i anslutning till företrädande hör till Migrationsverkets uppgifter och att den förläggning eller flyktingsluss där barnet har registrerats som kund svarar för den praktiska administrationen av verksamheten i anslutning till företrädande. Tillägget följer av behovet av att även i fortsättningen säkerställa tillräckliga bestämmelser om myndigheternas behörighet. För närvarande föreskrivs det om saken endast i registerföringssyfte i 46 § 2 mom. i den gällande mottagandelagen. Det momentet föreslås bli upphävt som en del av 6 kap., som föreslås bli upphävt och det ska inte längre stiftas om registren i lagförslag nr 1 i propositionen eftersom registerbestämmelserna stryks som ett led i ändamålsbegränsningen. För tydlighetens skull bör behörighetsbestämmelser tas in i den lagstiftning som ger myndigheterna behörighet. I praktiken är syftet med ändringen att behålla det gällande nuläget. Ordalydelsen ändras dock så att ordet uppföljning ersätts med ordet övervakning. Detta gör det till exempel möjligt att pröva klagomål.  
58 §.Rätt att få uppgifter. I 1 mom. föreslås de ändringar i rätten att få uppgifter som behövs på grund av regleringen i lagförslag nr 1 i denna proposition. Bestämmelser om rätt för Migrationsverket samt förläggningar och flyktingslussar att få uppgifter ingår i fortsättningen i 12 § i lagförslag nr 1 i denna proposition som en del av den systematik som gäller rätten att få uppgifter för personuppgiftsansvariga som avses i lagförslag nr 1. Bestämmelser om Migrationsverkets rätt att använda de uppgifter som anges i 1 mom. ingår i fortsättningen i 11 § 1 mom. 2 punkten i lagförslag nr 1. Förläggningarnas och flyktingslussarnas rätt att använda de uppgifter som föreskrivs i momentet utgör behandling av uppgifter i insamlingssyfte eller behandling som är förenlig med detta syfte, vilken baserar sig direkt på dataskyddsförordningen. 
Det föreslås att 3 mom. ändras genom att Folkpensionsanstalten tillfogas som myndighet som lämnar ut uppgifter, för att företrädare för barn utan vårdnadshavare ska ha rätt att direkt med stöd av lagstiftningen få sekretessbelagda upplysningar om minderårigas inkomster för att kunna sköta sina uppgifter.  
1.3
Lagen om bemötande av utlänningar som tagits i förvar och om försvarsenheter
5 a kap. Register. Det föreslås att kapitlet upphävs, eftersom bestämmelser om de saker som det föreskrivs om i kapitlet ingår i fortsättningen i 12 § i lagförslag nr 1 i denna proposition, dit regleringen om behandlingen av personuppgifter inom migrationsförvaltningen koncentreras.  
34 §.Sekretess. Paragrafens 1 mom. stryks som onödigt, eftersom bestämmelser om de saker som det föreskrivs om i momentet ingår i fortsättningen i lagförslag nr 1 i denna proposition. Ordalydelsen i 2 mom. ändras, men det är fråga om en teknisk ändring. Paragrafens rubrik ändras för att motsvara paragrafens ändrade innehåll.  
1.4
Lagen om främjande av integration
8 kap.Registerbestämmelser. Det föreslås att kapitlet upphävs, eftersom bestämmelser om de saker som det föreskrivs om i kapitlet ingår i fortsättningen i lagförslag nr 1 i denna proposition, där regleringen om behandlingen av personuppgifter i syfte att anvisa personer till kommuner intas. 
87 §.Rätt att få uppgifter. Det föreslås att 3 mom. ändras genom att Folkpensionsanstalten tillfogas som myndighet som lämnar ut uppgifter, för att företrädare för barn utan vårdnadshavare ska ha rätt att direkt med stöd av lagstiftningen få sekretessbelagd information om minderårigas inkomster för att kunna sköta sina uppgifter 
1.5
Medborgarskapslagen
48 §.Rätt att få uppgifter ur register. Det föreslås att paragrafen upphävs, eftersom paragrafens bestämmelser om rätt att få uppgifter ingår i fortsättningen i 12 § i lagförslag nr 1 i denna proposition.  
1.6
Lagen om Migrationsverket
1 §.Migrationsverket. I paragrafen föreskrivs att Migrationsverket finns inom inrikesministeriets förvaltningsområde. Det är fråga om en teknisk ändring av den finska språkdräkten eftersom ministeriets finska namn ändrades den 1 januari 2014. Avsikten är inte att ändra nuläget heller i andra avseenden, utan ge en tydligare beskrivning av Migrationsverkets ställning. 
2 §.Uppgifter. I momentet upphävs den första meningen, enligt vilken Migrationsverket ska föra utlänningsregistret, registret över mottagna klienter och företrädarregistret. Orsaken till detta är lagförslag nr 1 i denna proposition, där det föreskrivs om Migrationsverkets ansvar för förvaltningen och utvecklingen av ärendehanteringssystemet för utlänningsärenden. Det föreskrivs inte särskilt om registren. I 3 mom. föreskrivs att Migrationsverket ansvarar för förvaltningen och utvecklingen av ärendehanteringssystemet för utlänningsärenden och att Migrationsverket ska tillhandahålla ministerierna och övriga myndigheter samt internationella organisationer information som gäller frågor inom dess verksamhetsområde. Ändringen förändrar inte nuläget i praktiken. 
3 §.Sökande av ändring. I paragrafen föreskrivs att separata bestämmelser gäller för sökande av ändring i Migrationsverkets beslut. I paragrafen beskrivs till skillnad från nuläget inte desto närmare de lagar där det föreskrivs om sökande av ändring. För närvarande ingår bestämmelser om sökande av ändring i utlänningslagen, medborgarskapslagen, lagen om villkor för tredjelandsmedborgares inresa och vistelse för säsongsanställning, lagen om villkor för inresa och vistelse för tredjelandsmedborgare inom ramen för företagsintern förflyttning av personal samt lagen om villkoren för tredjelandsmedborgares inresa och vistelse på grund av forskning, studier, praktik och volontärarbete. 
1.7
Säkerhetsutredningslagen
25 §.Informationskällor vid normal säkerhetsutredning av person. Hänvisningen i 1 mom. 10 punkten till det gällande utlänningsregistret och visumregistret ersätts med en hänvisning till 7 § 1 mom. eller 2 mom. 1 och 2 punkten och 8 § i lagförslag nr 1 i denna proposition. I sak motsvarar punkten den gällande lagen. I gällande 6 eller 7 § i utlänningsregisterlagen har det dock inte separat föreskrivits om alla uppgifter som hör till särskilda kategorier av personuppgifter och vilka som uppgifter om behandlingen av ärendet har bildat en del av det datainnehåll som står till förfogande. 
37 §.Informationskällor vid säkerhetsutredning av företag. Hänvisningen i 1 mom. 7 punkten till det gällande utlänningsregistret ersätts med en hänvisning till 7 § 1 mom. eller 2 mom. 1 och 2 punkten i lagförslag nr 1 i denna proposition. Enligt 37 § 2 mom. i säkerhetsutredningslagen iakttas när det gäller informationskällor för säkerhetsutredningar som görs av ett företags ansvarspersoner bestämmelserna om säkerhetsutredning av person i 4 kap. Vid en säkerhetsutredning av företag får enligt 37 § 1 mom. 1 punkten användas uppgifter också om företagets ägare och deras nationalitet, om sådana uppgifter finns tillgängliga. För en säkerhetsutredning av företag kan det krävas behandling av personuppgifter som gäller också andra personer. I sak motsvarar punkten den gällande lagen. 
1.8
Lagen om Enheten för utredning av grå ekonomi
6 §.Syftet med fullgöranderapporter. I 1 mom. 24 punkten företas en teknisk ändring därför att det föreslås att en ny 25 punkt fogas till momentet.  
Enligt förslaget till 25 punkten utarbetas fullgöranderapporter till stöd för skötsel av uppgifter som hänför sig till behandling av och beslut och övervakning i ärenden som gäller utlänningars utlänningars inresa och utresa samt vistelse och arbete.  
Ansökan om tillstånd till säsongarbete kan avslås enligt 7 § och tillstånd återkallas enligt 14 § i lagen om villkor för tredjelandsmedborgares inresa och vistelse för säsongsanställning bland annat om arbetsgivaren inte har uppfyllt sina skyldigheter enligt lag eller kollektivavtal när det gäller social trygghet, beskattning, arbetstagares rättigheter, arbetsförhållanden eller anställningsvillkor eller om företaget har sökts i konkurs eller inte bedriver någon ekonomisk verksamhet. Enligt 8 § ska arbetsgivaren lämna en försäkran om att anställningsvillkoren överensstämmer med gällande bestämmelser och kollektivavtal.  
Migrationsverket kan med stöd av 20 § besluta att tillstånd för säsongsarbete inte beviljas för anställning hos en arbetsgivare som allvarligt försummar sina skyldigheter enligt lagen om säsonganställning eller utlänningslagen. Tillämpningen av bestämmelsen förutsätter att man vid Migrationsverket kan kontrollera att de förpliktelser som föreskrivs i utlänningslagen uppfylls, trots att delbeslutet enligt 73 § i utlänningslagen om uppfyllande av förpliktelserna som arbetsgivare när det gäller utlänningar skulle ha fattats av arbets- och näringsbyrån utifrån en utredning som begärts av arbetsgivaren med stöd av 72 § 1 mom. 3 punkten i utlänningslagen.  
Ansökan om ICT-uppehållstillstånd som beviljas i samband med en företagsintern förflyttning kan på de grunder som anges i 8 § i lagen om villkor för inresa och vistelse för tredjelandsmedborgare inom ramen för företagsintern förflyttning av personal avslås eller så kan ett gällande tillstånd i enlighet med 9 § i den lagen återkallas eller inte förlängas bland annat om arbetsgivaren eller värdföretaget inte har uppfyllt sina rättsliga skyldigheter beträffande social trygghet, beskattning, arbetstagares rättigheter eller arbetsförhållanden. Dessutom kan tillståndet avslås eller återkallas om företagets har sökts i konkurs eller inte bedriver någon ekonomisk verksamhet. Motsvarande bestämmelser gäller för grunderna för avslag på ansökan om mobilt ICT-uppehållstillstånd i lagens 25 §. 
1.9
Utlänningslagen
212 a §.Rätt att få uppgifter av Skatteförvaltningen. I och med att lagen om utlänningsregistret upphävs ska de bestämmelser som ingår i den lagens 8 § 1 mom. 9 punkt ersättas med de bestämmelser som ingår i lagförslag 1 i denna proposition endast till den del bestämmelserna innehåller personuppgifter. Det är därför nödvändigt att bestämmelsen om juridiska personer flyttas över till utlänningslagen. Bestämmelsen ska preciseras med ett tillägg motsvarande lagens tillämpningspraxis enligt vilken Migrationsverket har rätt att få uppgifter även för åläggande av påföljder för arbetsgivaren. 
2
Ikraftträdande
Lagarna föreslås träda i kraft så snart som möjligt. Dataskyddsförordningen tillämpas från och med den 25 maj 2018. 
3
Förhållande till grundlagen samt lagstiftningsordning
Regeringens proposition är av statsförfattningsrättslig betydelse särskilt med tanke på skyddet för personuppgifter som tryggas i 10 § i grundlagen. Enligt 10 § 1 mom. i grundlagen utfärdas bestämmelser om skydd för personuppgifter genom lag. Grundlagsutskottets praxis har varit att lagstiftarens handlingsutrymme dessutom begränsas av att skyddet för personuppgifter delvis ingår i samma moment som skyddet för privatlivet (t.ex. GrUU 71/2014 rd, s. 2). Grundlagsutskottet har ansett att lagstiftaren måste tillgodose skyddet för personuppgifter på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna över lag (t.ex. GrUU 18/2012 rd, s.2 och GrUU 71/2012, s. 2). Grundlagsutskottet har också ansett det viktigt att reglera i synnerhet registreringens syfte, innehållet i de registrerade personuppgifterna, tillåtna användningsändamål, möjligheterna att lämna ut uppgifterna och i synnerhet med hjälp av teknisk anslutning, förvaringstiden för uppgifterna samt den registrerades rättsskydd omfattande och detaljerat på lagnivå (t.ex. GrUU 12/2002 rd, s. 5, 19/2012 rd, s. 2 och GrUU 71/2014 rd, s. 2). Dessa synpunkter är tillämpliga på regleringen om användning av personuppgifter även i vidare bemärkelse (se t.ex. GrUU 29/2016 rd, GrUU 13/2016 rd, s. 3—4, GrUU 14/2009 rd, s. 2, GrUU 11/2008 rd, s. 3/I och GrUU 51/2002 rd, s. 1—2). 
Grundlagsutskottet har nyligen sett över sin praxis beträffande bestämmelser om skydd för personuppgifter. I sin nyare praxis har grundlagsutskottet ansett att det i princip räcker med avseende på 10 § 1 mom. i grundlagen att bestämmelserna uppfyller kraven i dataskyddsförordningen (se GrUU 14/2018 rd, s. 3—5, GrUU 15/2018 rd, GrUU 2/2018 rd). Grundlagsutskottet har konstaterat att skyddet för personuppgifter härefter i första hand bör tillgodoses med stöd av den allmänna dataskyddsförordningen och den nya nationella allmänna lagstiftningen. I det sammanhanget bör man undvika nationell speciallagstiftning, som bör reserveras för situationer då den är dels tillåten enligt dataskyddsförordningen, dels nödvändig för att tillgodose skyddet för personuppgifter (GrUU 2/2018 rd, s. 5). Grundlagsutskottet anser att i princip räcker det med att bestämmelserna om skydd för och behandling av personuppgifter är harmoniserade med dataskyddsförordningen. Enligt utskottets uppfattning gör de detaljerade bestämmelserna i dataskyddsförordningen det också möjligt att i fråga om myndighetsverksamhet lagstifta betydligt mer generellt om skydd för och behandling av personuppgifter jämfört med vår nuvarande nationella regleringsmodell. Utskottet har menat att den gällande lagstiftningen om personuppgifter är mycket tungrodd och komplicerad och hänvisat till att det enligt utskottets praxis är särskilt viktigt med en tydlig reglering i fråga om denna typ av bestämmelser som har kopplingar till de grundläggande fri- och rättigheterna och som gäller fysiska personers normala dagliga aktiviteter (se GrUU 31/2017 rd, GrUU 45/2016 rd, s. 3 och GrUU 41/2006 rd, s. 4/II). Även med tanke på tydligheten bör vi förhålla oss restriktivt när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (GrUU 14/2018 rd, s. 3—5). 
Grundlagsutskottet har emellertid konstaterat att det är klart att behovet av speciallagstiftning ska bedömas även i enlighet med det riskbaserade synsätt som dataskyddsförordningen förutsätter genom att fästa uppmärksamhet vid de hot och risker som behandlingen orsakar. Ju högre risk behandlingen innebär för en fysisk persons rättigheter och friheter, desto mer motiverat är det med mer detaljerade bestämmelser. Enligt grundlagsutskottet är denna omständighet av särskild betydelse vid behandlingen av känsliga uppgifter. Utskottet anser att allvarliga risker som gäller informationssäkerhet och missbruk av uppgifter kan vara förknippade med exceptionellt omfattande databaser som innehåller känsliga uppgifter och i sista hand kan det vara en persons identitet som är hotad (GrUU 13/2018 rd, s. 4, GrUU 14/2009 rd, s. 3/I). Även i skäl 51 i den allmänna dataskyddsförordningen står det utskrivet att särskilda personuppgifter som avses i artikel 9 och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd, s. 5). Följaktligen menar grundlagsutskottet att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter. Behovet av lagbestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt GrUU 14/2018 rd, s. 5—6). 
Syftet med den förslagna lagen om behandling av personuppgifter i migrationsförvaltningen (lagförslag nr 1) är att kravet enligt 10 § 1 mom. i grundlagen på att bestämmelser om skydd för personuppgifter utfärdas genom lag ska uppfyllas inom migrationsförvaltningen. Med tanke på att de personuppgifter som behandlas inom migrationsförvaltningen är känsliga är den föreslagna personuppgiftslagen nödvändig på grund av de risker och hot som behandlingen orsakar. I den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen avvecklas den detaljerade regleringen när heltäckande och detaljerade bestämmelser inte längre är nödvändiga med tanke på skyddet för privatlivet. Samtidigt riktas mera detaljerade bestämmelser på basis av riskerna mot regleringsobjekt som kräver sådana. Eftersom en stor del av de personuppgifter som behandlas inom migrationsförvaltningen är känsliga, är det i fråga om dem skäl att fortfarande iaktta grundlagsutskottet praxis för tidigare bestämmelser på lagnivå. 
I 1 § i lagförslag nr 1 i propositionen föreskrivs om de syften för vilka personuppgifter får behandlas. Behandlingen av personuppgifter bygger på den lagstiftning som ger respektive personuppgiftsansvarig behörighet och där det föreskrivs uttömmande om respektive användningsändamål. Kravet på klar och förståelig lagstiftning stödjer valet att inte upprepa det som redan föreskrivs separat på något annat ställe i lagstiftningen. Syftet med behandlingen av personuppgifter är att göra det möjligt att fullgöra de lagstadgade uppgifter som föreskrivs för den personuppgiftsansvarige i den lag som skapar behörighet. I lagförslaget utgör syftena med behandlingen av personuppgifter den föreslagna lagens tillämpningsområde. 
I 7 § i lagförslag nr 1 föreskrivs om de behandlade personuppgifternas datainnehåll. Datainnehållet baserar sig på den lagstiftning som ger myndigheten behörighet. Det föreskrivs i huvudsak inte om datainnehåll på nivån för enskilda personuppgifter, utan i lagen föreskrivs om uppgiftskategorier på högre nivå där de personuppgifter som ingår får behandlas. Ett mera allmänt regleringssätt än tidigare är motiverat med hänsyn till grundlagsutskottets ståndpunkt att nationell speciallagstiftning ska reserveras för att tillgodose skyddet av personuppgifter endast när det är nödvändigt. En ny personuppgiftskategori som det föreskrivs om är behandling av så kallade uppgifter om iakttagelser. Även uppgifterna om iakttagelser ska uppfylla principerna enligt artikel 5 i dataskyddsförordningen för behandlingen av personuppgifter, dvs. de ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Eftersom det handlar om en potentiellt mycket omfattande datamängd som berör privatlivet och uppgifter om iakttagelser dessutom ofta av är otillförlitligt slag och det finns risk för att oskyldiga personer stämplas, är det nödvändigt att behandlingen av uppgifterna begränsas på det sätt som grundlagsutskottet förutsätter (GrUU 18/2012 rd s. 4 och GrUU 71/2014 rd, s. 2). Till uppgifterna om iakttagelser ska det om möjligt fogas en bedömning av uppgiftslämnarens eller informationskällans tillförlitlighet och uppgifternas riktighet. Det föreskrivs särskilt om radering av uppgifter om iakttagelser. På grund av iakttagelseruppgifternas natur bör förutsättningarna för att behandla dem tolkas snävt inom ovannämnda gränser. I 8 § i lagförslag nr 1 föreskrivs om behandling av särskilda kategorier av personuppgifter. För att skapa en klar och förståelig lagstiftnings används uttrycket "särskilda kategorier av personuppgifter" så att det täcker personuppgifter som på olika grunder bedöms vara särskilt riskkänsliga. De bestämmelser på lagnivå som grundlagsutskottet förutsätter på grund av sitt riskbaserade synsätt är nödvändiga för att skydda särskilda kategorier av personuppgifter. Eftersom behandling av dessa uppgifter kan medföra betydande risker för de grundläggande fri- och rättigheterna, måste de skyddas särskilt noga. Därför är det skäl att begränsa behandlingen av dem genom exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla dem bara om det är absolut nödvändigt och för vissa användningsändamål enligt 1 § i den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen. Det föreskrivs särskilt om datainnehållet i uppgifter som tillhör särskilda kategorier av personuppgifter, behandling av uppgifterna samt användning av dem för andra ändamål än det ursprungliga samt om utlämnande och radering av dem genom att förutsättningarna för att behandla, utlämna och radera dem begränsas noggrannare än i fråga om andra personuppgifter. Dessutom föreskrivs det särskilt om behandling av fingeravtryck på ett sätt som motsvarar den gällande lagen om utlänningsregistret i 9 och 10 § i den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen. De allmänna bestämmelserna om behandling av personuppgifter för andra ändamål än det ursprungliga samt om utlämnande av personuppgifter gäller inte uppgifter om fingeravtryck. I detta avseende motsvarar bestämmelserna om fingeravtryck i sak nuläget. Det föreskrivs särskilt om utlämnande av personuppgifter, inklusive uppgifter om fingeravtryck, till Europeiska unionens gemensamma informationssystem. 
Den nationella speciallagstiftningen om behandling av personuppgifter har traditionellt innehållit bestämmelser om både utlämnande av personuppgifter och erhållande av uppgifter. Även om regleringstekniken inte har betraktats som författningsrättsligt problematisk, är regleringssättet problematiskt för den som ska tillämpa lagen. För att undvika dubbel reglering är det ändamålsenligt att föreskriva om samma sak endast i den ena myndighetens lagstiftning. I propositionen har man utgått från att det föreskrivs om rätten att få uppgifter i mottagarens ända, eftersom det är fråga om dennes rätt att få personuppgifter. Det föreskrivs särskilt om Migrationsverkets, förläggningarnas och flyktingslussarnas, förvarsenheternas samt närings-, trafik- och miljöcentralernas och arbets- och näringscentralernas rätt att få uppgifter i 12 § i lagförslag nr 1 i propositionen. De personuppgiftsansvarigas rätt att få uppgifter baserar sig på utförandet av lagstadgade uppgifter. Det föreskrivs således om rätten att få uppgifter i lag. 
Grundlagsutskottets ståndpunkt är att om innehållet i uppgifterna inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "uppgifterna är nödvändiga" för ett visst syfte. Å andra sidan har utskottet ansett att grundlagen inte tillåter en generös och ospecificerad rätt att få uppgifter, inte ens om den är förenad med nödvändighetskriteriet (se t.ex. GrUU 15/2018 rd, s.41, GrUU 17/2016 rd, s. 5—6, GrUU 71/2014 rd, s. 3, GrUU 62/2010 rd, s. 4/I och GrUU 59/2010 rd, s. 4/I). I propositionen specificeras de personuppgiftsansvariga vilkas rätt att få uppgifter det handlar om. Bestämmelserna om rätt att få uppgifter är delvis bundna till nödvändighetskravet och delvis till behövlighetskravet och bestämmelserna avviker från varandra vad gäller detaljrikedom och noggrann avgränsning på det sätt som grundlagsutskottet förutsätter. När rätten att få uppgifter är bunden till nödvändighet, preciseras den genom att den knyts till behandlingssyftena enligt 1 i den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen. Då preciseras inte datainnehållet i lagförslaget. I den mån rätten är bunden till behövlighetskravet, preciseras uppgiftsinnehållet utöver behandlingssyftena. Dessutom föreskrivs om de myndighets- och andra aktörer från vilka uppgifter kan fås.  
I 11 § i lagförslag nr 1 i propositionen föreskrivs om behandling av personuppgifter för andra ändamål än det ursprungliga. När det gäller omfattande register med biometriska kännetecken finns det enligt grundlagsutskottet orsak att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för. Man kan då bara göra exakt avgränsade och som mycket små karakteriserbara undantag från ändamålsbundenheten. Bestämmelserna får inte leda till att någon annan verksamhet än den som är förknippad med det ursprungliga användningsändamålet blir det huvudsakliga ändamålet och inte ens ett betydande användningsändamål (GrUU 14/2009 rd s. 4, GrUU 14/2017 rd, GrUU 1/2018 rd).  
I 13 § i lagförslag nr 1 i propositionen föreskrivs om utlämnande av uppgifter. I bestämmelsen om utlämnande av uppgifter hänvisas till uppgiftsmottagarens lagstadgade rätt till information. Det behövs dock fortfarande bestämmelser om utlämnande av uppgifter med tanke på de villkor som ställs för bestämmelser som bryter sekretessen i 29 § i offentlighetslagen. Det föreskrivs särskilt om begränsningar av utlämnandet av särskilda kategorier av personuppgifter och fingeravtryck. Uppgifter som hör till särskilda kategorier av personuppgifter får lämnas ut i enlighet med de villkor som föreskrivs i 1 mom. endast när det är nödvändigt för att myndigheten i fråga ska kunna utföra sina lagstadgade uppgifter. 
I 14 § i lagförslag nr 1 i propositionen föreskrivs om rätt för Migrationsverket att trots sekretessbestämmelserna lämna ut uppgifter till Europeiska unionens gemensamma informationssystem En del av de uppgifter som lämnas ut med stöd av denna bestämmelse är biometriska uppgifter som ska jämställas med känsliga uppgifter, såsom fingeravtryck, och för att skydda dem på behörigt sätt måste det föreskrivas om utlämnande av dem, så att den berörda personens integritet kan skyddas. 
I den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen förskrivs inte längre om utlämnande av uppgifter via en teknisk anslutning, och inte om tekniskt skydd av utlämnande uppgifter. Grundlagsutskottet har tidigare förutsatt att det föreskrivs om teknisk anslutning som en del av registerregleringen (GrUU 12/2002 rd, s. 5), men i sin senare utlåtandepraxis har utskottet inte längre lyft fram detta som ett regleringsobjekt som är viktigt för skyddet av personuppgifter (GrUU 14/2018 rd, GrUU 2/2018 rd och GrUU 31/2017 rd). I den lag om informationshantering inom den offentliga förvaltningen som för närvarande bereds vid finansministeriet föreskrivs på allmän lagnivå om utlämning av uppgifter via ett tekniskt gränssnitt eller genom åtkomsträtt till systemet. 
I 15 och 16 § i lagförslag nr 1 i propositionen föreskrivs om radering av personuppgifter. Grundlagsutskottet har av hävd ansett det viktigt att förvaringstiden för uppgifter i personregister regleras i lag på grund av laghänvisningen avseende skydd för personuppgifter i 10 § i grundlagen. Dessutom har grundlagsutskottet förutsatt att regleringen av förvaringstiden på lagnivå är omfattande och detaljerad. Därför bör bestämmelser om förvaringstid innehålla en tidsangivelse (GrUU 20/2006 rd, s. 3). Tidsfristerna för radering av personuppgifter baserar sig på myndighetens behov av att behandla uppgifter i anslutning till personen och dennes ärende även efter att behandlingen av ett enskilt ärende avslutats, till exempel i samband med att ett annat ärende som gäller sökanden har inletts. Härigenom eftersträvas såväl att sökandens rättsskydd tillgodoses som skydd för privatlivet och tillsyn över att inresebestämmelserna iakttas. Tidsfristerna som gäller radering av personuppgifter fördelas så att vissa grundläggande uppgifter om personer ska förvaras längre än andra. Det föreskrivs särskilt om radering av uppgifter som hör till särskilda kategorier av personuppgifter, uppgifter om iakttagelser samt uppgifter som konstaterats vara felaktigt med stöd av det riskbaserade synsättet.  
Bestämmelser om automatiserat individuellt beslutsfattande finns i 20 § i lagförslag 1. De bestämmelser som gäller automatiserat beslutsfattande motsvarar kraven i EU:s allmänna dataskyddsförordning samt tryggar tillgodoseendet av god förvaltning. 
Bestämmelser om de allmänna principerna för behandling av personuppgifter och den registrerades rättsskydd ingår i dataskyddsförordningen och i den dataskyddslag som är under beredning.  
På ovan anförda grunder kan lagförslagen behandlas i vanlig lagstiftningsordning. Trots detta rekommenderas att man inhämtar grundlagsutskottets utlåtande om regeringens proposition.  
Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag:  
Lagförslag
1. 
Lag 
om behandling av personuppgifter i migrationsförvaltningen 
I enlighet med riksdagens beslut föreskrivs:  
1 §  
Lagens tillämpningsområde och syftet med behandlingen av personuppgifter 
Denna lag tillämpas, om inte annat föreskrivs någon annanstans i lag, på helt eller delvis automatiserad behandling av personuppgifter och på annan behandling av personuppgifter, om personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant, och personuppgifterna behandlas i följande syften:  
1) behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse,  
2) behandling av och beslut i ärenden som gäller förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap samt bestämmande av medborgarskapsstatus,  
3) mottagande av personer som söker internationellt skydd eller får tillfälligt skydd, hjälp till offer för människohandel, verksamhet i anslutning till företrädande av barn utan vårdnadshavare inom mottagningsverksamheten samt styrning, planering och övervakning av dessa verksamheter, 
4) placering av en utlänning i en förvarsenhet, bemötande av en utlänning i en förvarsenhet samt upprätthållandet av ordningen och säkerheten vid en förvarsenhet,  
5) anvisande till kommuner, samt 
6) tryggande av den nationella säkerheten.  
Denna lag tillämpas inte på diplomatiska representanter i Finland eller på sådana tjänstemän i internationella organisationer vilkas ställning det finns bestämmelser om i internationella avtal som är bindande för Finland. 
2 §  
Förhållande till övrig lagstiftning 
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i dataskyddslagen ( / ). 
Om inte något annat föreskrivs i denna lag, tillämpas 
1) på behandling av personuppgifter i avsikt att skydda den nationella säkerheten lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ),  
2) på sekretess för och utlämnande av personuppgifter lagen om offentlighet i myndigheternas verksamhet (621/1999).  
3 §  
Gemensamt personuppgiftsansvariga 
Vid behandlingen av personuppgifter med stöd av denna lag är de gemensamt personuppgiftsansvariga  
1) Migrationsverket,  
2) Polisstyrelsen och skyddspolisen,  
3) Gränsbevakningsväsendet,  
4) förläggningarna och flyktingslussarna,  
5) förvarsenheterna,  
6) utrikesförvaltningen,  
7) närings-, trafik- och miljöcentralerna, samt  
8) arbets- och näringscentralerna.  
Varje personuppgiftsansvarigs behörighet att behandla personuppgifter grundar sig på bestämmelserna om ifrågavarande myndighets behörighet.  
Varje personuppgiftsansvarig svarar för att personuppgifter behandlas lagenligt i dess verksamhet. Varje personuppgiftsansvarig ansvarar för de personuppgifter som den registrerat. 
4 §  
Ärendehanteringssystemet för utlänningsärenden 
Migrationsverket ansvarar för utvecklingen och förvaltningen av ärendehanteringssystemet för utlänningsärenden. 
Migrationsverket ansvarar för radering av andra uppgifter än enskilda personuppgifter och för utlämnande av sådana uppgifter ur ärendehanteringssystemet för utlänningsärenden samt för åtkomst till ärendehanteringssystemet för utlänningsärenden.  
5 §  
Nationella informationssystemet för viseringar 
Utrikesförvaltningen ansvarar för utvecklingen och förvaltningen av det nationella informationssystemet för viseringar.  
Utrikesförvaltningen ansvarar för radering av andra uppgifter än enskilda personuppgifter och för utlämnande av sådana uppgifter ur det nationella informationssystemet för viseringar samt för åtkomst till det nationella informationssystemet för viseringar. 
6 §  
Kontaktpunkter för registrerade 
Migrationsverket är kontaktpunkt för dem som registrerats i ärendehanteringssystemet för utlänningsärenden. 
Utrikesförvaltningen är kontaktpunkt för dem som registrerats i det nationella informationssystemet för viseringar.  
7 §  
Personuppgifter som får behandlas 
Den personuppgiftsansvarige får i de syften som anges i 1 §, i den mån det är behövligt, behandla personers identifieringsuppgifter, uppgifter om familjeförhållandena, uppgifter om företrädande, uppgifter som beskriver kunnande, kontaktuppgifter samt uppgifter om resedokument och det kort över ett anhängigt ansökningsärende som avses 96 § i utlänningslagen (301/2004).  
Utöver vad som föreskrivs i 1 mom. får den personuppgiftsansvarige, i den mån det är behövligt, behandla följande uppgifter över en person 
1) uppgifter som framgår av en ansökan, framställning, begäran eller anmälan eller av förfrågan eller hörande som gjorts på grund av dessa,  
2) uppgifter om behandling och utredning av samt beslut i ärenden,  
3) uppgifter som gäller mottagningstjänster och annan verksamhet som hör till mottagningen, företrädares identifierings- och kontaktuppgifter, uppgifter som gäller förordnande av företrädare, befriande av företrädare från sitt uppdrag och upphörande av företrädaruppdraget samt uppgifter som behövs vid styrning, planering och övervakning av företrädarverksamheten,  
4) uppgifter om när en utlänning har placerats i en förvarsenhet och när han eller hon har lämnat den, uppgifter som behövs för ordnande, planering, genomförande, uppföljning av tagandet i förvar och för tryggande av ett korrekt bemötande av utlänningar som tagits i förvar samt uppgifter över personer som besöker utlänningar som tagits i förvar och över andra personer som besöker förvarsenheten och övriga uppgifter som gäller besöket,  
5) uppgifter om till vilken kommun en person har anvisats, samt 
6) uppgifter om sådana av den personuppgiftsansvarige gjorda eller till den personuppgiftsansvarige anmälda iakttagelser som utifrån omständigheterna eller en persons beteende med fog kan bedömas höra till den personuppgiftsansvariges behörighet att övervaka att förutsättningarna för personens inresa och vistelse i landet uppfylls, eller som med fog kan bedömas ha samband med arbetarskyddet för den personuppgiftsansvariges anställda. 
Till de i 2 mom. 6 punkten avsedda uppgifterna om iakttagelser ska det om möjligt fogas en bedömning av uppgiftslämnarens eller informationskällans tillförlitlighet och uppgifternas riktighet. 
Utöver vad som föreskrivs i 1—3 mom. får den personuppgiftsansvarige, i den mån det är behövligt, behandla personuppgifter över familjemedlemmar och personer som bor i samma hushåll som familjemedlemmar samt personuppgifter över mottagare i Finland och personuppgifter över personer som anställer en utländsk arbetstagare. 
8 §  
Särskilda kategorier av personuppgifter som får behandlas 
Den personuppgiftsansvarige får, i den mån det är nödvändigt, behandla  
1) personuppgifter som avslöjar ras eller etniskt ursprung, för de syften som avses i 1 § 1 mom. 1 och 3—6 punkten,  
2) personuppgifter som avslöjar politiska åsikter eller religiös eller filosofisk övertygelse, för de syften som avses i 1 § 1 mom. 1och 3—6 punkten, 
3) personuppgifter som avslöjar medlemskap i fackförening, för de syften som avses i 1 § 1 mom. 1, 3 och 6 punkten, 
4) genetiska eller biometriska personuppgifter för att entydigt identifiera en fysisk person, för de syften som avses i 1 § 1 mom. 1 och 6 punkten, 
5) uppgifter om hälsa, för de syften som avses i 1 § 1 mom. 1—6 punkten, 
6) uppgifter om socialservice, för de syften som avses i 1 § 1 mom. 1 och 3—6 punkten, 
7) uppgifter om en fysisk persons sexualliv eller sexuella läggning, för de syften som avses i 1 § 1 mom. 1och 3—6 punkten, samt 
8) personuppgifter som rör domar i brottmål och överträdelser, för de syften som avses i 1 § 1 mom. 1—6 punkten. 
9 §  
Behandling av uppgifter om fingeravtryck som tagits för ansökningar om främlingspass och resedokument för flykting 
De fingeravtryck som tagits för ansökningar om främlingspass och resedokument för flykting ska registreras. Fingeravtrycken får användas av Migrationsverket, polisen och Gränsbevakningsväsendet och av Tullen när den fullgör uppgifter som ankommer på gränskontrollmyndigheten samt av utrikesförvaltningen. 
Rätt att använda fingeravtrycksuppgifter har bara de personer vars arbetsuppgifter nödvändigtvis kräver det. Fingeravtryck får användas endast för fastställande av identitet och tillverkning av främlingspass eller resedokument för flykting. Bestämmelser om polisens rätt att använda fingeravtrycksuppgifter finns i 16 a § i lagen om behandling av personuppgifter i polisens verksamhet (761/2003). Den som har rätt att använda uppgifterna har rätt att ta fingeravtryck av en registrerad och jämföra dessa med registrerade fingeravtryck. Uppgifter som tagits för jämförelsen får användas endast när jämförelsen görs och ska därefter förstöras omedelbart.  
10 §  
Behandling av uppgifter om fingeravtryck som tagits för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem  
De fingeravtryck som tagits för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem ska registreras. Fingeravtrycken får användas av Migrationsverket, polisen, gränskontrollmyndigheten och finska beskickningar. 
Fingeravtrycken får endast användas för att inom ramen för befogenheter i anknytning till de syften som anges i 1 § 1 mom. 1 och 6 punkten samt inom ramen för befogenheter i anknytning till en säkerhetsutredning enligt lagen om säkerhetsutredningar (726/2014) verifiera autenticiteten av ett uppehållstillståndskort och identiteten hos innehavaren av ett uppehållstillstånd, för behandling av och för beslut och övervakning i ärenden som gäller utlänningars inresa och utresa samt vistelse och arbete och för tryggande av den nationella säkerheten. En myndighet som har rätt att använda uppgifterna har rätt att jämföra dem med i denna paragraf avsedda tidigare registrerade fingeravtryck och med fingeravtryck som tagits för ansökningar om främlingspass och resedokument för flykting samt med fingeravtryck som med stöd av 131 § i utlänningslagen (301/2004) registrerats i det informationssystem för förvaltningsärenden som avses i 3 § i lagen om behandling av personuppgifter i polisens verksamhet. Dessutom får uppgifter för kontroll av inreseförutsättningarna jämföras med fingeravtryck bland de signalementsuppgifter enligt 2 § 3 mom. 7 punkten i lagen om behandling av personuppgifter i polisens verksamhet som finns registrerade i informationssystemet för polisärenden, när de redan registrerade fingeravtrycksuppgifterna har samband med ett brott för vilket det föreskrivna strängaste straffet är fängelse i minst ett år. 
Bestämmelser om polisens rätt att använda i denna paragraf avsedda tidigare registrerade fingeravtryck finns i 16 a § i lagen om behandling av personuppgifter i polisens verksamhet.  
Uppgifter som tagits för jämförelse får användas endast när jämförelsen görs, varefter de ska förstöras omedelbart. 
Migrationsverket har dessutom rätt att med den aktuella personens samtycke använda i denna paragraf avsedda tidigare registrerade fingeravtryck för tillverkning av uppehållstillståndskort och av uppehållskort för unionsmedborgares familjemedlem. 
11 §  
Behandling av personuppgifter för andra ändamål än det ursprungliga 
De personuppgiftsansvariga får behandla andra personuppgifter som samlats in och registrerats med stöd av denna lag än personuppgifter som hör till särskilda kategorier av personuppgifter för andra ändamål än det ursprungliga, om det är nödvändigt för utförandet av den personuppgiftsansvariges lagstadgade uppgifter eller om 
1) uppgifterna behövs för utredning av identitet, 
2) uppgifter som samlats in med stöd av 1 § 1 mom. 3 punkten behövs av Migrationsverket, polisen, Gränsbevakningsväsendet eller närings-, trafik- och miljöcentralen för att sköta uppgifter som gäller personer som söker internationellt skydd, personer som får tillfälligt skydd eller offer för människohandel eller för att sköta uppgifter som gäller utlänningars vistelse i Finland eller inresa,  
3) uppgifter som samlats in med stöd av 1 § 1 mom. 1 punkten behövs av Migrationsverket, en förläggning eller en flyktingsluss för att sköta uppgifter enligt 1 § 1 mom. 3 punkten,  
4) uppgifter som samlats in med stöd av 1 § 1 mom. 4 punkten behövs av Migrationsverket, en förläggning eller en flyktingsluss, polisen eller Gränsbevakningsväsendet för att sköta uppgifter som gäller utlänningars vistelse i Finland och avlägsnande ur landet, mottagande av personer som söker internationellt skydd och får tillfälligt skydd eller hjälp till offer för människohandel,  
5) uppgifter som samlats in med stöd av 1 § 1 mom. 1—3 punkten behövs av Migrationsverket eller en förvarsenhet för att sköta uppgifter enligt 1 § 1 mom. 4 punkten,  
6) uppgifter som samlats in med stöd av 1 § 1 mom. 5 punkten behövs av Migrationsverket för att sköta uppgifter som gäller invandring, eller 
7) uppgifter som samlats in med stöd av 1 § 1 mom. 1—3 punkten behövs av närings-, trafik- och miljöcentralen för att sköta uppgifter enligt 1 § 1 mom. 5 punkten. 
Personuppgifter som hör till särskilda kategorier av personuppgifter får behandlas för andra ändamål än det ursprungliga i de syften som anges i 1 mom. 1—7 punkten endast om det är nödvändigt för att myndigheten i fråga ska kunna utföra sina lagstadgade uppgifter. 
Vad som föreskrivs i denna paragraf gäller inte fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort eller av den som ansöker om främlingspass eller resedokument för flykting, om inte annat föreskrivs någon annanstans i lag.  
12 §  
Rätt att få uppgifter  
Migrationsverket, förläggningarna och flyktingslussarna och förvarsenheterna har i de syften som anges i 1 § 1 mom. 1—5 punkten samt närings-, trafik- och miljöcentralerna och arbets- och näringscentralerna i de syften som anges i 1 § 1 mom. 1 punkten för utförande av uppgifter i samband med vilka personuppgifter behandlas rätt att trots sekretessbestämmelserna och avgiftsfritt få nödvändiga uppgifter av de aktörer som anges i 4 § i lagen om offentlighet i myndigheternas verksamhet.  
Migrationsverket, förläggningarna och flyktingslussarna samt förvarsenheterna har dessutom rätt att trots sekretessbestämmelserna och avgiftsfritt för utförandet av sina uppgifter få följande behövliga uppgifter 
1) av Rättsregistercentralen ur bötesregistret, när det gäller uppgifter om andra personer än sådana som ansöker om uppehållstillstånd, sådana personuppgifter, uppgifter om avgöranden, verkställighetsärenden, förvandlingsstraff och händelser som, när det ska fastställas vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om den som står i beroendeställning till personen,  
2) av Rättsregistercentralen ur justitieförvaltningens riksomfattande informationssystem och dess delsystem uppgifter om brott som en anknytningsperson misstänks ha begått och som är eller har varit anhängiga vid åklagarmyndigheter eller domstolar, om försörjningsplikt för utredning av om förutsättningarna för registrering uppfylls i fråga om uppehållstillstånd eller uppehållskort eller uppehållsrätt som beviljas på grund av familjeband, om försörjningsplikt för utredning av försörjningsförutsättningen, om anhängiga domstolsärenden och avgöranden som gäller Migrationsverkets beslut eller behörighet eller som är av betydelse med tanke på behandlingen av ett ärende som är anhängigt vid Migrationsverket, om handlingar som gäller inledande av, handlingar som ligger till grund för ett avgörande av och handlingar som gäller behandlingen av ett ärende för bedömning av ett barns bästa och de allmänna förutsättningarna för beviljande av uppehållstillstånd samt, om andra personer än sådana som ansöker om uppehållstillstånd, uppgifter som, när det ska fastställas vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om den som står i beroendeställning till personen,  
3) av förundersökningsmyndigheterna, vid en helhetsbedömning av förutsättningarna för uppehållstillstånd och uppehållsrätt, uppgifter om brottsmisstankar mot en anknytningsperson för bedömning av ett barns bästa, möjligheterna till ett gemensamt liv eller försörjningsförutsättningarna samt, vid beslutsprövning av huruvida en person ska tas med i hjälpsystemet för offer för människohandel, uppgifter om förundersökning av brott och polisanmälningar som är eller har varit anhängiga, 
4) av polisen uppgifter om andra personer än sådana som ansöker om uppehållstillstånd och som, när det ska fastställas vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om den som står i beroendeställning till personen,  
5) av Folkpensionsanstalten uppgifter om inkomster, förmåner och familjeband för utredning av misstänkt motstridiga uppgifter och äktheten i fråga om arbetsförhållanden och familjeband,  
6) av kommunens socialmyndigheter uppgifter som, när det ska fastställas vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om den som står i beroendeställning till personen, samt, för utredning av behovet av hjälpåtgärder, uppgifter om bakgrund och situation för en person som föreslås ingå i hjälpsystemet för offer för människohandel och de social- och hälsovårdstjänster som personen får samt uppgifter om utredning av behovet av barnskydd och klientrelationen inom barnskyddet, 
7) av Skatteförvaltningen sådana uppgifter om förmögenhet och inkomster i fråga om andra personer än sådana som ansöker om uppehållstillstånd och som, när det ska fastställas vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om en annan person, samt uppgifter om förmögenhet och inkomster för utredning av misstänkt motstridiga uppgifter och äktheten i fråga om arbetsförhållanden och familjeband, 
8) av Utbildningsstyrelsen, vid en helhetsbedömning av förutsättningarna för uppehållstillstånd eller uppehållsrätt, uppgifter om utlänningars mottagande av studieplats och anmälan till en läroanstalt, inskrivning vid en läroanstalt, avstängning samt studieprestationer och examina, 
9) av läroanstalterna, vid en helhetsbedömning av förutsättningarna för uppehållstillstånd eller uppehållsrätt, i fråga om utlänningar uppgifter om mottagande av studieplats och anmälan till läroanstalten, inskrivning vid läroanstalten, avstängning, terminsavgiftens storlek och betalning av den, stipendier och förmåner som läroanstalten beviljat samt studieprestationer och examina, 
10) av Brottspåföljdsmyndigheten patientuppgifter i fråga om personer som friges från fängelse direkt till en förvaringsenhet eller en förläggning samt i fråga om andra personer än sådana som ansöker om uppehållstillstånd kontaktuppgifter, vistelseort och frigivningsdag, om uppgifterna, när det ska fastställas vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om den som står i beroendeställning till personen,  
11) av utrikesförvaltningen uppgifter om avslagsbeslut som gäller legalisering av en handling,  
12) av utsökningsmyndigheten i fråga om en utlänning, dennes familjemedlemmar och utländska arbetsgivare uppgifter om inkomster, skulder, fordringar, utsökningsuppgifter och beslut samt handlingar som ligger till grund för besluten, 
13) av Trafiksäkerhetsverket i fråga om en utlänning och dennes familjemedlemmar uppgifter om rätt att utöva ett visst yrke i syfte att trygga utkomsten eller på basis av vilken uppehållstillstånd, uppehållsrätt eller uppehållskort ansöks, 
14) av Tillstånds- och tillsynsverket för social- och hälsovården i fråga om en utlänning och dennes familjemedlemmar uppgifter om rätt att utöva ett visst yrke i syfte att trygga utkomsten eller på basis av vilken uppehållstillstånd, uppehållsrätt eller uppehållskort ansöks. 
13 §  
Utlämnande av personuppgifter  
Utöver vad som föreskrivs någon annanstans i lag eller i internationella avtal som är bindande för Finland, får sådana uppgifter som samlats in och registrerats med stöd av 1 § trots sekretessbestämmelserna lämnas ut i sådan omfattning som den mottagande myndighetens eller aktörens föreskrivna rätt till information för skötseln av lagstadgade uppgifter medger.  
Personuppgifter som hör till särskilda kategorier av personuppgifter får lämnas ut i enlighet med vad som föreskrivs i 1 mom. endast när det är nödvändigt för att myndigheten i fråga ska kunna utföra sina lagstadgade uppgifter. 
Vad som föreskrivs i denna paragraf gäller inte fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort eller av den som ansöker om främlingspass eller resedokument för flykting, om inte annat föreskrivs någon annanstans i lag.  
14 §  
Utlämnande av uppgifter till Europeiska unionens gemensamma informationssystem 
Migrationsverket får trots sekretessbestämmelserna till Europeiska unionens gemensamma informationssystem vilka inrättats genom förordningar som antagits med stöd av avdelning V kapitel 2 i fördraget om Europeiska unionens funktionssätt lämna ut personuppgifter enligt de enskilda förordningarna i fråga.  
15 §  
Radering av uppgifter  
Om inte något annat följer av internationella förpliktelser eller av lag, ska personuppgifter som behandlats med stöd av denna lag raderas enligt följande 
1) av identifikationsuppgifterna för en person kundnummer, namn, födelsetid, personbeteckning, utländsk personbeteckning, någon annan utländsk beteckning för identifiering av personen, medborgarskap samt uppgifter om personens familjeband raderas tio år efter att personen har avlidit eller fått finskt medborgarskap eller uppgifterna om ärenden i anknytning till personen har raderats,  
2) andra personuppgifter än de som avses i 1 punkten och uppgifter om ärenden som anknyter till en person raderas senast fem år efter att uppehållsrätten upphörde eller den sista uppgiften antecknades i det sista anhängiga ärendet, 
3) personuppgifter som hör till särskilda kategorier av personuppgifter raderas genast när de inte längre behövs,  
4) uppgifter om iakttagelser raderas sex månader efter att de antecknades.  
16 §  
Personuppgift som konstaterats vara felaktig 
En personuppgift som konstaterats vara felaktig får bevaras tillsammans med den korrigerade personuppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till den personuppgiftsansvariges personal har. En sådan uppgift får användas endast i detta syfte.  
En personuppgift som konstaterats vara felaktig ska utplånas genast när den inte längre behövs för tryggande av rättigheter, dock senast fem år efter att felet uppdagats. 
17 §  
Arkivering av uppgifter 
Separata bestämmelser och föreskrifter gäller för arkivfunktionens uppgifter och för handlingar som ska arkiveras. 
18 §  
Tillgodoseende av den registrerades rätt till insyn 
En registrerad som vill utöva sin rätt till insyn ska framställa en skriftlig begäran om detta till den personuppgiftsansvarige samt styrka sin identitet antingen med handlingar som anses tillförlitliga eller personligen för den personuppgiftsansvarige eller genom stark autentisering. 
Bestämmelser om riktande av begäran om utövande av registrerads rätt till insyn till polisen finns i 44 § i lagen om behandling av personuppgifter i polisens verksamhet. 
19 § 
Den registrerades rätt till begränsning av behandling  
Den registrerades rätt att begränsa behandlingen av personuppgifter hos den personuppgiftsansvarige tillämpas inte på behandling av personuppgifter enligt denna lag.  
20 §  
Automatiserat individuellt beslutsfattande 
Beslut som Migrationsverket fattar i ärendehanteringssystemet för utlänningsärenden kan fattas genom ett förfarande som endast grundar sig på automatiserad behandling, om inte annat föranleds av ärendets art eller omfattning, lika bemötande, barnets bästa eller andra särskilda skäl. 
Den registrerade har rätt att få en redogörelse för ett individuellt beslut i hans eller hennes sak som fattats genom automatisk behandling. 
21 § 
Sekretess 
Information och handlingar som erhållits för behandling i det syfte som anges i 1 § 1, 2 och 6 punkten är sekretessbelagda, om det föreskrivs någon annanstans i lag eller om det inte är uppenbart att utlämnande av uppgifter inte medför skada eller olägenhet för Finlands internationella förhållanden, det internationella samarbetet eller sökanden eller närstående till sökanden. 
22 §  
Ikraftträdande 
Denna lag träder i kraft den 20 .  
Genom denna lag upphävs lagen om utlänningsregistret (1270/1997). 
23 §  
Övergångsbestämmelse 
Ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar ska anpassas så att de stämmer överens med 15 § inom ett år efter ikraftträdandet av denna lag. Under övergångstiden tillämpas de bestämmelser om radering av uppgifter som gällde vid ikraftträdandet av denna lag. 
2. 
Lag 
om ändring av lagen om mottagande av personer som söker internationellt skydd och om identifiering av och hjälp till offer för människohandel 
I enlighet med riksdagens beslut:  
upphävs i lagen om mottagande av personer som söker internationellt skydd och om identifiering av och hjälp till offer för människohandel (746/2011) 6 kap.,  
ändras 58 §, sådan den lyder i lag 388/2015, och  
fogas till 39 § ett nytt 4 mom. som följer:  
39 §  
Förordnande av företrädare  
Styrningen, planeringen och övervakningen av verksamheten i anslutning till företrädande hör till Migrationsverkets uppgifter. Den förläggning eller flyktingsluss där barnet har registrerats som kund svarar för den praktiska administrationen av verksamheten i anslutning till företrädande. 
58 §  
Rätt att få uppgifter  
Inrikesministeriet, förundersökningsmyndigheter och kommunala myndigheter har rätt att trots sekretessbestämmelserna avgiftsfritt få de upplysningar som är nödvändiga för att utföra uppgifterna enligt 3 och 4 kap. av varandra, av Migrationsverket, av förläggningar och flyktingslussar, av offentliga eller privata serviceproducenter som tillhandahåller tjänster enligt 3 och 4 kap. och av företrädare för barn utan vårdnadshavare. 
En offentlig eller privat serviceproducent som tillhandahåller tjänster enligt 3 och 4 kap. och vars klient är asylsökande, en person som får tillfälligt skydd eller offer för människohandel har rätt att trots sekretessbestämmelserna avgiftsfritt få de upplysningar som är nödvändiga för att tillhandahålla tjänsterna av Migrationsverket, förläggningar och flyktingslussar. 
Företrädare för barn utan vårdnadshavare har rätt att trots sekretessbestämmelserna avgiftsfritt få de upplysningar som är nödvändiga för att utföra uppgifterna enligt 41 § av Migrationsverket, förläggningar, flyktingslussar, kommunala myndigheter, Folkpensionsanstalten och sådana offentliga eller privata serviceproducenter som tillhandahåller tjänster enligt 3 och 4 kap. 
Denna lag träder i kraft den xx xxxx 20 . 
3. 
Lag 
om ändring av lagen om bemötande av utlänningar som tagits i förvar och om förvarsenheter 
I enlighet med riksdagens beslut:  
upphävs i lagen om bemötande av utlänningar som tagits i förvar och om förvarsenheter (116/2002) 5 a kap., sådant det lyder i lag 814/2015, och 
ändras 34 §, sådan den lyder i lag 748/2011, som följer: 
34 §  
Sekretess 
Bestämmelser om sekretess finns i lagen om offentlighet i myndigheternas verksamhet (621/1999). 
Denna lag träder i kraft den xx xxxx 20 . 
4. 
Lag 
om ändring av lagen om främjande av integration 
I enlighet med riksdagens beslut 
upphävs i lagen om främjande av integration (1386/2010) 8 kap. och 
ändras 87 § 3 mom. som följer: 
87 §  
Rätt att få uppgifter 
En företrädare som förordnats för ett barn utan vårdnadshavare har trots sekretessbestämmelserna rätt att av arbets- och näringsbyråer, kommunala myndigheter, Folkpensionsanstalten, Migrationsverket och förläggningar och flyktingslussar avgiftsfritt få den information som är nödvändig för att sköta uppgifterna enligt 57 §. 
Denna lag träder i kraft den xx xxxx 20 . 
5. 
Lag 
om upphävande av 48 § i medborgarskapslagen 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs i medborgarskapslagen (359/2003) 48 §, sådan den lyder i lag 974/2007.  
2 § 
Denna lag träder i kraft den xx xxxx 20 . 
6. 
Lag 
om ändring av lagen om Migrationsverket 
I enlighet med riksdagens beslut:  
ändras i lagen om Migrationsverket (156/1995) 1—3 §, 
sådana de lyder, 1 och 3 § i lag 975/2007 samt 2 § i lag 1160/2016, som följer: 
1 § 
Migrationsverket 
Migrationsverket finns inom inrikesministeriets förvaltningsområde. 
2 §  
Uppgifter 
Migrationsverket handlägger och avgör de ärenden i fråga om utlänningar och finskt medborgarskap som hör till verkets uppgifter enligt lag eller enligt förordning av statsrådet. 
Migrationsverket svarar för 
1) styrningen, planeringen och övervakningen av den praktiska verksamheten vid mottagande av personer som söker internationellt skydd och mottagande av personer som får tillfälligt skydd, 
2) styrningen och övervakningen av förvarsenheternas praktiska verksamhet, 
3) driften av de statliga förläggningarna och flyktingslussarna samt statens förvarsenheter,  
4) styrningen av verkställigheten av hjälp till offer för människohandel. 
Migrationsverket ansvarar för förvaltningen och utvecklingen av ärendehanteringssystemet för utlänningsärenden. Migrationsverket ska tillhandahålla inrikesministeriet och övriga myndigheter samt internationella organisationer information som gäller frågor inom dess verksamhetsområde.  
3 §  
Sökande av ändring 
Separata bestämmelser gäller för sökande av ändring i Migrationsverkets beslut.  
Denna lag träder i kraft den xx xxxx 20 . 
7. 
Lag 
om ändring av 25 och 37 § i säkerhetsutredningslagen 
I enlighet med riksdagens beslut:  
ändras i säkerhetsutredningslagen (726/2014) 25 § 1 mom. 10 punkten och 37 § 1 mom. 7 punkten som följer:  
25 §  
Informationskällor vid normal säkerhetsutredning av person 
En säkerhetsutredning av person får bygga enbart på registeruppgifter som finns i 
10) ärendehanteringssystemet för utlänningsärenden eller det nationella informationssystemet för viseringar; bestämmelser om uppgifter i dessa system finns i 7 § 1 mom. eller 2 mom. 1 och 2 punkten och 8 § i lagen om behandling av personuppgifter i migrationsförvaltningen ( / ), 
37 §  
Informationskällor vid säkerhetsutredning av företag 
Vid en säkerhetsutredning av företag får följande uppgifter användas: 
7) uppgifter i ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar; bestämmelser om uppgifter om dessa system finns i 7 § 1 mom. eller 2 mom. 1 och 2 punkten i lagen om behandling av personuppgifter i migrationsförvaltningen, 
Denna lag träder i kraft den xx xxxx 20 . 
8. 
Lag 
om ändring av 6 § i lagen om Enheten för utredning av grå ekonomi 
I enlighet med riksdagens beslut: 
ändras i lagen om Enheten för utredning av grå ekonomi (1207/2010) 6 § 1 mom. 24 punkten, sådan den lyder i lag 404/2018, och 
fogas till 6 § 1 mom., sådant det lyder i lagarna 308/2016, 1159/2016, 1413/2016, 1419/2016, 324/2017, 454/2017, 923/2017, 1112/2017, 404/2018 och 414/2018, en ny 25 punkt som följer: 
6 § 
Syftet med fullgöranderapporter 
Fullgöranderapporter utarbetas till stöd för 
24) utförande av de uppgifter som anges i 20 b § i lagen om Finansinspektionen (878/2008), 
25) skötsel av uppgifter som hänför sig till behandling av och beslut och övervakning i ärenden som gäller utlänningars inresa och utresa samt vistelse och arbete enligt lagen om villkor för tredjelandsmedborgares inresa och vistelse för säsongsanställning (907/2017) och lagen om villkor för inresa och vistelse för tredjelandsmedborgare inom ramen för företagsintern förflyttning av personal (908/2017).  
Denna lag träder i kraft den xx xxxx 20 . 
9. 
Lag 
om ändring av utlänningslagen 
I enlighet med riksdagens beslut: 
fogas till utlänningslagen (301/2004) en ny 212 a § som följer: 
212 a §  
Rätt att få uppgifter av Skatteförvaltningen 
Migrationsverket har trots sekretessbestämmelserna rätt att av Skatteförvaltningen för utförande av de uppgifter som föreskrivs för verket i lag få nödvändiga uppgifter om en juridisk persons inkomster och förmögenhet samt andra beskattningsuppgifter för utredning av försörjningsförutsättningarna vid beviljande av uppehållstillstånd samt uppgifter för prövning av uppehållstillstånd för utlänningar samt, för åläggande av påföljder för en utländsk arbetsgivare, uppgifter för prövning av uppehållstillstånd för utlänningar när det gäller den arbetsgivares, som utlänningen uppger, arbetsgivarprestationer och hur de deklarerats samt uppgifter om betalningsarrangemang i fråga om skatter. 
Denna lag träder i kraft den xx xxxx 20 . 
Helsingfors den 8 november 2018 
Statsminister
Juha
Sipilä
Inrikesminister
Kai
Mykkänen
Senast publicerat 8.11.2018 14:29