Utlåtande
GrUU
62
2018 rd
Grundlagsutskottet
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i migrationsförvaltningen och till vissa lagar som har samband med den
Till förvaltningsutskottet
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i migrationsförvaltningen och till vissa lagar som har samband med den (RP 224/2018 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till förvaltningsutskottet. 
Sakkunniga
Utskottet har hört 
lagstiftningsråd
Niklas
Vainio
justitieministeriet
expert
Anu
Polojärvi
inrikesministeriet
ledande expert
Tuuli
Tuunanen
inrikesministeriet
dataombudsman
Reijo
Aarnio
dataombudsmannens byrå
professor
Tomi
Voutilainen.
Skriftligt yttrande har lämnats av 
professor
Juha
Lavapuro.
PROPOSITIONEN
Regeringen föreslår att det stiftas en lag om behandling av personuppgifter i migrationsförvaltningen. Propositionen innehåller dessutom förslag till ändring av vissaandra lagar. 
Lagarna avses träda i kraft så snart som möjligt. 
I motiven till lagstiftningsordning granskas lagförslagen med avseende på skyddet för privatlivet och personuppgifter, så som det garanteras i 10 § i grundlagen. Avseende fästs också vid EU:s allmänna dataskyddsförordning. 
Regeringen anser att lagförslagen kan stiftas i vanlig lagstiftningsordning. Däremot rekommenderar regeringen att utlåtande begärs av grundlagsutskottet. 
UTSKOTTETS ÖVERVÄGANDEN
Utgångspunkter för bedömningen
I propositionen föreslås en lag om behandling av personuppgifter vid migrationsförvaltningen. Lagen föreslås ersätta lagen om utlänningsregistret, som föreslås bli upphävd. 
Målet med propositionen är att bestämmelserna om behandling av personuppgifter i migrationsförvaltningen i fortsättningen ska finnas i en lag som uppfyller kraven på en modern personuppgiftslag och som kompletterar Europeiska unionens dataskyddsförordning, dataskyddslagen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten, nedan dataskyddslag avseende brottmål. Förslaget är relevant med avseende på skyddet för privatlivet och för personuppgifter i 10 § i grundlagen. 
Lagen avses komplettera Europeiska unionens allmänna dataskyddsförordning och det så kallade polisdirektivet (Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF). I propositionsmotiven (s. 6) sägs det att beträffande den i propositionen föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen (nedan lagförslaget) ska dataskyddslagen avseende brottmål tillämpas när personuppgifter behandlas i syfte att skydda den nationella säkerheten. Enligt polisdirektivet omfattas migrationsärenden inte direkt av tillämpningsområdet för dataskyddslagen avseende brottmål och Migrationsverket är inte en sådan säkerhetsmyndighet som ska tillämpa den nämnda lagen. 
Grundlagsutskottet har nyligen (GrUU 26/2018 rd) behandlat en regeringsproposition med förslag till lag om dataskyddslag avseende brottmål som bland annat syftar till att genomföra polisdirektivet. Utskottet har inom tillämpningsområdet för EU:s dataskyddsförordning justerat sin ståndpunkt till skyddet för personuppgifter i fråga om kraven på föreskrivande genom lag. Grundlagsutskottet fäster avseende vid att till skillnad från den direkt tillämpliga dataskyddsförordningen innehåller polisdirektivet inte några sådana detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund när det gäller skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen (GrUU 14/2018 rd, s.6). Det är också av betydelse att nationell säkerhet är ett område som i fördraget om Europeiska unionen faller utanför EU:s behörighet och därmed inte heller i första hand kan hänföras till polisdirektivets tillämpningsområde. Till följd av förpliktelsen att skydda personuppgifter enligt 10 § i grundlagen krävs det nationell lagstiftning om personuppgifter som ska behandlas på grundval av nationell säkerhet (se GrUU 26/2018 rd, s. 4). 
Enligt utskottet (GrUU 26/2018 rd, s. 3, GrUU 14/2018 rd, s. 7)) får dock de rättigheter som är tryggade enligt 10 § i grundlagen en speciell betydelse i sammanhang som är särskilt känsliga med avseende på de grundläggande fri- och rättigheterna. Av propositionsmotiven (s. 27) framgår att lagförslaget kommer att tillämpas på en mycket bred grupp av i huvudsak utlänningar, för vilkas del det i stor utsträckning kommer att behandlas uppgifter som hör till människors privatliv och som ofta också är känsliga. 
Grundlagsutskottet har tagit ställning till hantering av känsliga uppgifter med utgångspunkt i att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar i de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd, s. 2—3 och de utlåtanden som nämns där). Här är det relevant att utskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför ansett att i synnerhet tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2), vilket inneburit att inrättandet av register med sådana uppgifter måste bedömas i skenet av villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (GrUU 29/2016 rd och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 38/2016 rd, s. 3). 
Utskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd, GrUU 14/2009 rd, s. 3/I). Även enligt EU:s allmänna dataskyddsförordning bör särskilda personuppgifter, som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter, åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande fri- och rättigheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd). Denna avgränsning har i utskottets senare praxis ansetts vara en fråga som har betydelse för lagstiftningsordningen (se t.ex. GrUU 15/2018 rd, s. 40). 
Följaktligen menar utskottet att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter. Behovet av lagbestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. I fråga om behovet bör också det riskbaserade synsättet i förordningen vägas in. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd, s. 6). 
Förslaget till lag om behandling av personuppgifter i migrationsförvaltningen utgår från en regleringsmodell som grundar sig på att behandlingen av uppgifter är bundet till ett särskilt ändamål. Den föreslagna lagen är avsedd att tillämpas när personuppgifter behandlas inom migrationsförvaltningens område. Tillämpningsområdet ska inte vara knutet till något specifikt register eller datasystem utan till de ändamål för vilka uppgifterna behandlas.Grundlagsutskottet har ingenting att invända mot den principen. 
Grundlagsutskottet har inte inom ramen för sitt konstitutionella uppdrag gjort någon övergripande bedömning av den föreslagna regleringens överensstämmelse med unionsrätten. Förvaltningsutskottet har anledning att försäkra sig om att den föreslagna regleringen inte står i konflikt med de krav som följer av unionsrätten. 
Tillämpningsområde
Behandlingen av personuppgifter i migrationsförvaltningen regleras såväl i den allmänna dataskyddsförordningen som i den kompletterande nationella dataskyddslagen, i dataskyddslagen avseende brottmål och i den förslagna lagen om behandling av personuppgifter i migrationsförvaltningen. I propositionsmotiven (s. 51) hänvisas det till att inom migrationsförvaltningen blir också polisens personuppgiftslag och gränsbevakningens personuppgiftslag tillämpliga.I 1 och 2 i lagförslaget finns bestämmelser om tillämpningsområdet. 
Grundlagsutskottet menar att det komplex som den tillämpliga lagstiftningen utgör inte kan anses klart och begripligt trots att strukturen i den reglering som nu utvärderas bär spår av försök till klarhet och tydlighet. Förhållandet mellan unionsrätten och den nationella lagstiftningen är delvis överlappande och delvis avskiljande. Trots att utskottet anser det klart att det begränsade och specifika tillämpningsområdet för unionsrätten och dess dataskyddsbestämmelser är en synnerligen starkt bidragande orsak till den komplicerade regleringen, bör förvaltningsutskottet undersöka om det finns några sätt att förtydliga bestämmelserna om tillämpningsområdet. 
Lagförslagets 2 § 1 mom. 2 punkten har en hänvisning till lagen om offentlighet i myndigheternas verksamhet. Grundlagsutskottet påpekar att enligt 28 § i dataskyddslagen,som ska tillämpas som allmän lag och som i detta avseende stiftats med grundlagsutskottets uttryckliga medverkan (GrUU 14/2018 rd, s. 16, GrUU 26/2018 rd, s. 7)), tillämpas på rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister vad som föreskrivs om offentlighet i myndigheternas verksamhet. Utskottet ser det av orsaker hänförliga till 12 § 2 mom. i grundlagen som nödvändigt att bestämmelsens ordalydelse samordnas med dessa allmänna lagar. Det här är viktigt också för att undvika kontradiktoriska slutsatser. 
Gemensamt personuppgiftsansvariga
I 3 § föreskrivs det om gemensamt personuppgiftsansvariga. De myndigheter ska vara personuppgiftsansvariga som i de användningsändamål som hör till den föreslagna lagens tillämpningsområde för egna självständiga syften behandlar personuppgifter för att fullgöra de uppgifter som anges i den lagstiftning som ger myndigheten behörighet. Dessa myndigheter utövar prövnings- och beslutanderätt när de fullgör sina lagfästa uppgifter. Följande myndigheter ska vara gemensamt personuppgiftsansvariga: Migrationsverket, Polisstyrelsen och skyddspolisen, Gränsbevakningsväsendet, förläggningar och flyktingslussar, förvarsenheter, utrikesförvaltningen, närings-, trafik- och miljöcentralerna och arbets- och näringsbyrån. De nämnda personuppgiftsansvariga är sådana gemensamt personuppgiftsansvariga som avses i artikel 26 i dataskyddsförordningen. 
Lagförslaget och det exceptionellt omfattande system med gemensamt personuppgiftsansvariga som följer av lagen förefaller enligt grundlagsutskottets uppfattning att täcka in mycket till ändamålet varierande uppgifter där den gemensamma nämnaren uppenbarligen endast är migration. Av propositionsmotiven framgår att de ovan nämnda myndigheternas behov att behandla personuppgifter är mycket olika. Utskottet menar att en lösning där alla de nämnda myndigheterna definieras som personuppgiftsansvariga i stället för att deras rätt att få behövliga uppgifter säkerställts t.ex. genom bestämmelser om utlämnande av och rätt till information, avviker från det normala. 
Enligt förslaget till 3 § 2 mom. grundar sig varje personuppgiftsansvarigs behörighet att behandla personuppgifter på bestämmelserna om ifrågavarande myndighets behörighet. Grundlagsutskottet understryker betydelsen av det som föreslås i propositionen. Bestämmelsen innebär att den typ av reglering som ingår i lagförslaget inte per automatik ger behörighet att behandla personuppgifter, eftersom rätt at behandla personuppgifter alltid kräver särskilda bestämmelser. Att förvalta informationssystemen med allt vad det innebär, såsom att utplåna eller utlämna personuppgifter annat än i enstaka fall, skulle emellertid också framöver koncentreras till Migrationsverket och till utrikesförvaltningen. För att säkerställa att de registrerades rättigheter tillgodoses och att systemet fungerar smidigt skulle dessa båda aktörer samtidigt fungera som en gemensam kontaktpunkt. Utifrån det ansvar i anslutning till registerföring som framgår av lagförslaget förblir betydelsen av det gemensamma personregisteransvaret oklart i fråga om de övriga myndigheterna. Förvaltningsutskottet har anledning att undersöka om den föreslagna modellen är lämplig och om den harmonierar med dataskyddsförordningen. 
I 8—10 § föreskrivs det om behandling av känsliga uppgifter och om tillåtna ändamål med behandlingen. Behandlingen är på ett sakligt sätt knuten till kravet på nödvändighet. Grundlagsutskottet har noterat att enligt 8 § får sådana känsliga personuppgifter som nämns i lagrummet behandlas av den personuppgiftsansvarige. Behandling av personuppgifter för andra ändamål än det ursprungliga begränsas förvisso av det som sägs i 11 §. Enligt utskottets uppfattning kan regleringen innebära att sådana känsliga uppgifter som nämns i bestämmelsen, trots sekretessbestämmelser kan överföras mellan de myndigheter som är gemensamt personuppgiftsansvariga, om exempelvis känsliga och sekretessbelagda uppgifter (” behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse”) som registreras i det syfte som nämns i 1 § 1 mom. 1 punkteni ett senare skede behandlas i samma syfte men av en annan gemensamt personuppgiftsansvarig myndighet. 
De uppgifter som förs in i personregister är handlingar och upptagningar som innehas av myndigheterna och som avses i 12 § 2 mom. i grundlagen (GrUU 3/2009 rd, s. 2/I). Bestämmelserna om sekretess och utlämnande av uppgifter trots sekretess i lagen om offentlighet i myndigheternas verksamhet, som tillämpas såsom allmän lag på migrationsförvaltningen, grundar sig på principen om att myndigheterna verkar separat.I sin lagtillämpning är myndigheterna självständiga i relation till varandra. 
Grundlagsutskottet har bedömt bestämmelser om myndigheternas rätt att få och skyldighet att lämna ut information med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och att lämna ut information kan gälla ”behövliga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "informationen är nödvändig" för ett visst syfte (se t.ex. GrUU 17/2016 rd, s. 5, och de utlåtanden som nämns där). I sina analyser av exakthet och innehåll har utskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. I synnerhet i fall när de föreslagna bestämmelserna om utlämning av uppgifter har gällt också känsliga uppgifter, har det för vanlig lagstiftningsordning krävts att bestämmelserna preciseras så att de följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se t.ex. GrUU 15/2018 rd, s 39). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid om de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 14/2018 rd, s. 5). 
Grundlagsutskottet understryker att det vid en särskiljning mellan behövlighet respektive nödvändighet att få eller lämna ut uppgifter är fråga inte bara om omfattningen av innehållet i uppgifterna utan också om att den myndighet som är berättigad till informationen i och med sina egna behov åsidosätter de grunder och intressen som är skyddade med hjälp av den sekretess som gäller myndigheten som innehar informationen. Ju mer generella bestämmelserna om rätt till information är, desto större är risken att sådana intressen kan åsidosättas per automatik. Ju fullständigare bestämmelserna kopplar rätten till information till villkor i sak, desto mer sannolikt är det att begäran om information måste motiveras. Då kan också den som lämnar ut informationen bedöma begäran med avseende på de lagliga villkoren för utlämnandet. Genom att de facto vägra att lämna ut informationen kan den som innehar den göra att det uppstår ett läge där en utomstående myndighet måste undersöka skyldigheten att lämna ut information, det vill säga tolka bestämmelserna. Denna möjlighet är viktig då det gäller att anpassa tillgången till information och sekretessintressena till varandra (se t.ex. GrUU 17/2016 rd, s. 5, och där nämnda utlåtanden). 
I 12 § föreskrivs det på ett i och för sig sakligt sätt om rätt att få uppgifter. Enligt propositionsmotiven (s. 65) bygger de nämnda myndigheternas rätt att få uppgifter på den lagstiftning som ger dem behörighet.Grundlagsutskottet finner att bestämmelserna i lagförslaget om gemensamt personuppgiftsansvar är otydliga i relation till bestämmelserna i 12 §,den lagliga grunden för myndigheternas rätt att få information, ändamålsbundenheten i behandlingen av personuppgifter och grundlagsutskottets vedertagna praxis i fråga om regleringen av rätten att få och utlämna myndighetsuppgifter trots sekretessbestämmelser.Förvaltningsutskottet måste precisera bestämmelserna väsentligt. Den här preciseringen är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Automatiserat individuellt beslutsfattande
I 20 § i lagförslaget sägs det att beslut som Migrationsverket fattar i ärendehanteringssystemet för utlänningsärenden kan fattas genom ett förfarande som endast grundar sig på automatiserad behandling, om inte annat föranleds av ärendets art eller omfattning, lika bemötande, barnets bästa eller andra särskilda skäl. Den registrerade har rätt att få en redogörelse för ett individuellt beslut i hans eller hennes sak som fattats genom automatisk behandling. 
Enligt propositionsmotiven (s. 76 ) är det fråga om att Migrationsverket i ärendehanteringssystemet för utlänningsärenden ska kunna fatta beslut i ett helt automatiserat förfarande, vilket innebär att informationssystemet utför alla faser i ärendebehandlingen och beslutsfattandet utan att en fysisk person behandlar ärendet. Paragrafen ger Migrationsverket möjlighet till automatiserad behandling enligt artikel 22.1 i dataskyddsförordningen när det fullgör lagstadgade uppgifter. Förvaltningsutskottet bör noggrant försäkra sig om att förslaget överensstämmer med det som dataskyddsförordningen förutsätter. 
I propositionsmotiven beskrivs förfarandet så att automatiska beslut bygger på tekniska regler med hjälp av vilka data processas.Genom de tekniska reglerna omvandlas lagstiftningen till maskinläsbara numeriska operationer som bygger på processande av data efter logiska villkor. Avsikten är att genom automatiserat beslutsfattande öka effektiviteten exempelvis på så sätt att personella resurser kan användas till att avgöra ärenden som kräver prövning. När fysiska personer fattar beslut finns det risk för misstag, medan risken för mänskliga misstag minimeras när besluten sker automatiskt. Vid automatiserat beslutsfattande går det inte att missbruka prövningsrätten, eftersom det inte går att låta bli att tillämpa lagen eller bestämmelser som är relevanta för avgörandet. 
Grundlagsutskottet anser att regleringen av automatiserat beslutsfattande är viktigt i synnerhet i skenet av principerna för god förvaltning enligt grundlagens21 § och bestämmelserna i grundlagens 118 § om tjänsteansvar. Men i övrigt har grundlagsutskottet inget att anmärka på målet med automatiserat beslutsfattande. Utskottet påpekar att beslut som grundar sig på automatiserad handläggning inte ska vara möjligt om ärendets art, ärendets omfattning, kravet på lika bemötande, barnets bästa eller något annat särskilt skäl föranleder det. Enligt propositionsmotiven (s. 76) avses paragrafen inte ange detaljerat i vilka situationer eller inom vilka ärendegrupper behandlingen kan ske helt automatiskt. Automatiska beslut förutsätter att fakta och de rättsliga förutsättningarna är tillräckligt entydiga för att det ska gå att skapa de tekniska regler som behövs för processering av data, sägs det i motiven. 
Grundlagsutskottet menar emellertid att regleringen måste preciseras. Det måste anges exaktare på vilka grunder ärenden kan avgöras genom automatiserat beslutsfattande. Utskottet understryker samtidigt att avsikten med förslaget inte är att avvika från förvaltningslagens bestämmelser om t.ex. hörande av part. Rätten att bli hörd hör till en god förvaltning, som tryggas i grundlagens 21 § 2 mom. Förvaltningsutskottet måste granska lagförslaget i relation till förvaltningslagen och precisera förslaget också i detta avseende. Utskottet har med hänsyn till 21 § och kravet på att offentlig maktutövning ska grunda sig på lag noterat att man inte ens i en masshantering får äventyra kraven på god förvaltning eller parternas rättstrygghet (se GrUU 49/2017 rd, s. 5 och GrUU 35/2005 rd, s. 3). Förvaltningsutskottet bör därför fästa särskilt avseende även vid rättstrygghetsaspekten. Preciseringar av bestämmelserna i 20 § i lagförslaget är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
I 20 § 2 mom. föreslås bestämmelser om den registrerades rätt att få en redogörelse för ett individuellt beslut i hans eller hennes sak som fattats genom automatisk behandling.Enligt motiven (s. 78) är det fråga om sådana skyddsåtgärder som dataskyddsförordningen kräver. Migrationsverket ska i redogörelsen uppge grunderna och orsakerna till att ett automatiskt beslut fattades i fråga om den registrerade. I praktiken innebär detta en redogörelse för varför beslutet inte behandlades av en fysisk person. Avsikten är alltså inte att införa ett förfarande som avviker från skyldigheten enligt 45 § i förvaltningslagen att motivera förvaltningsbeslut. Formuleringen i bestämmelsen bör ändras så att den motsvarar motiven. 
Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag och i all offentlig verksamhet ska lag noggrant iakttas. I118 § i grundlagen föreskrivs det om ansvar för tjänsteåtgärder. Enligt paragrafens 1 mom. svarar en tjänsteman för att hans eller hennes ämbetsåtgärder är lagenliga. Tjänstemannen svarar också för sådana beslut i ett kollegialt organ som tjänstemannen i egenskap av medlem av organet har biträtt. Enligt 2 mom. svarar en föredragande som inte har reserverat sig mot ett beslut för det som har beslutats på föredragningen. Enligt den första meningen i paragrafens 3 mom. har var och en som har lidit rättskränkning eller skada till följd av en lagstridig åtgärd eller försummelse av en tjänsteman eller någon som sköter ett offentligt uppdrag, enligt vad som bestäms genom lag, rätt att yrka att denne döms till straff samt kräva skadestånd av det offentliga samfundet eller av tjänstemannen eller den som sköter det offentliga uppdraget. 
Grundlagsutskottet menar att grundlagens bestämmelser om förvaltningens lagbundenhetsprincip samt statens och tjänstemännens ansvar ger uttryck för principen om tjänstemannaförvaltning (GrUU 19/1985 rd, s. 3/II). I sin tolkningspraxis har utskottet dessutom ansett att det för att kraven på rättssäkerhet och god förvaltning ska anses vara uppfyllda bland annat förutsätts att ärendena behandlas i enlighet med de allmänna förvaltningslagarna och att de som behandlar ärendena handlar under tjänsteansvar (GrUU 26/2017 rd, s. 50, GrUU 33/2004 rd, s. 7/II, GrUU 46/2002 rd, s. 9). 
Grundlagsutskottet uppmärksammar att det i propositionsmotiven sägs att de experter som kommer att bestämma reglerna för handläggningen vid automatiserat beslutsfattande och som har den faktiska rätt och kompetens att ändra en regel som lett till ett visst beslut, handlar under tjänsteansvar inom myndigheten.Utskottet anser att ett sådant indirekt tjänsteansvar för fattade beslut inte är tillräckligt med hänsyn till 118 § i grundlagen. Förvaltningsutskottet bör granska tjänsteansvarets inriktning och vid behov precisera bestämmelsen. 
När grundlagsutskottet bedömde försöket med basinkomst fäste utskottet med anledning av kravet på bestämmelser i lag uppmärksamhet vid det urvalsförfarande som föreslogs då och dess transparens. Utskottet ansåg att lagen bör innehålla bestämmelser om offentliggörandet av programkoden och dess offentlighet i anslutning till urvalsförfarandet. (GrUU 51/2016 rd, s. 5). Vid bedömningen av propositionen om lagen om användning av flygpassageraruppgifter ansåg grundlagsutskottet att förvaltningsutskottet av orsaker som hänför sig till 12 § 2 mom. och 21 § i grundlagen också noga bör granska hur de föreslagna kriterierna och algoritmerna i de automatiserade metoder som eventuellt tillämpar dem förhåller sig till lagen om offentlighet i myndigheternas verksamhet och vid behov precisera regleringen. (GrUU 29/2018 rd, s. 5) Förvaltningsutskottet bör också nu fästa avseende vid detta. 
Grundlagsutskottet uppmärksammar statsrådet på att automatiserat beslutsfattande förefaller inkludera ett flertal frågor som inte har reglerats ide allmänna lagarna för förvaltningen. Det finns skäl att utreda detta och behovet av en översyn av den allmänna lagstiftningen på området, där justitieministeriet har beredningsansvaret. I utredningen bör man undersöka hur regleringen av automatiserat förvaltningsförfarande och beslutsfattande uppfyller de krav som följer av förvaltningens lagbundenhet, offentlighetsprincipen och rättsprinciperna för förvaltningen, som ligger till grund för en god förvaltning, samt hur rättstryggheten tillgodoses och tjänstemännens ansvar förverkligas. 
Dataskyddsbrott
I lagförslaget ingår ingen hänvisning till bestämmelsen om dataskyddsbrott i 38 kap. 9 § i strafflagen. Straffbart enligt 1 mom. 4 punkten i bestämmelsen om dataskyddsbrott är i den närmare specificerad verksamhet i strid med någon annan lag som gäller behandling av personuppgifter. Också bestämmelsens 2 mom. gäller verksamhet i strid med någon annan lag som gäller behandling av personuppgifter. Bestämmelsen är problematisk med avseende på den straffrättsliga legalitetsprincipen enligt 8 § i grundlagen, eftersom den inte närmare identifierar de andra lagar som gäller behandling av personuppgifter som det kan leda till straff för dataskyddsbrott att handla i strid med (se GrUU 14/2018 rd, s. 21). 
Bestämmelsen om dataskyddsbrott är en straffbestämmelse in blanco. Av orsaker som hänför sig till legalitetsprincipen bör man förhålla sig avvaktande till sådana (t.ex. GrUU 10/2016 rd, s. 8, GrUU 31/2002 rd, s. 3, GrUU 15/1996 rd, s. 2/II, och GrUU 20/1997 rd, s. 3/II). Utskottet underströk i samband med reformen av de grundläggande fri- och rättigheterna att målet bör vara att de kedjor av bemyndiganden som bestämmelserna in blanco kräver är exakt angivna och att de materiella bestämmelser som utgör ett villkor för straffbarhet avfattas med den exakthet som krävs av straffbestämmelser och att det av det normkomplex som bestämmelserna ingår i framgår att brott mot dem är straffbart. Också i den bestämmelse som inbegriper själva kriminaliseringen bör det finnas en saklig beskrivning av den gärning som avses bli kriminaliserad (GrUB 25/1994 rd). I nyare praxis har utskottet ansett att en precisering i bestämmelserna in blanco är ett villkor för att lagförslaget ska kunna behandlas i vanlig lagstiftningsordning (GrUU 10/2016 rd, s. 8–9). Också när bestämmelsen räknar upp de gärningsformer som kan vara straffbara har utskottet i sin praxis ansett att det behövs preciseringar genom mer exakta hänvisningar och rekvisitselement (GrUU 14/2018 rd, s. 21). Utskottets uppfattning är att lagen om behandling av personuppgifter i migrationsförvaltningen är en sådan "annan lag som gäller behandling av personuppgifter" som avses i 38 kap. 9 § 1 mom. 4 punkten i strafflagen. Lagförslaget måste kompletteras med en hänvisning till bestämmelsen om dataskyddsbrott i strafflagen. 
Övrigt
I 20 § föreskrivs det om gemensamt personuppgiftsansvariga. Det är nödvändigt att klarlägga bestämmelsens innehåll och dess förhållande till lagen om offentlighet i myndigheternas verksamhet. Det bör också observeras att riksdagen i samband med totalöversynen av offentlighetslagstiftningen påpekade att man bör vara restriktiv när det gäller att ta in sekretessbestämmelser i speciallagar (RSv 303/1998 rd , FvUB 31/1998 rd, se även GrUU 2/2008 rd , s. 2/I). 
FÖRSLAG TILL BESLUT
Grundlagsutskottet anför
att lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar till bestämmelserna i dess 20 § om gemensamt personuppgiftsansvar samt till 20 § beaktas på behörigt sätt.  
Helsingfors 14.2.2019 
I den avgörande behandlingen deltog
ordförande
Annika
Lapintie
vänst
vice ordförande
Tapani
Tölli
cent
medlem
Maria
Guzenina
sd
medlem
Anna-Maja
Henriksson
sv
medlem
Hannu
Hoskonen
cent
medlem
Ilkka
Kantola
sd
medlem
Kimmo
Kivelä
blå
medlem
Antti
Kurvinen
cent
medlem
Leena
Meri
saf
medlem
Ville
Niinistö
gröna
medlem
Wille
Rydman
saml
medlem
Ville
Skinnari
sd
medlem
Kaj
Turunen
saml
ersättare
Ben
Zyskowicz
saml.
Sekreterare var
utskottsråd
Mikael
Koillinen.
Senast publicerat 19.2.2019 12:51