Utlåtande
GrUU
7
2019 rd
Grundlagsutskottet
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i migrationsförvaltningen och till vissa lagar som har samband med den
Till förvaltningsutskottet
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i migrationsförvaltningen och till vissa lagar som har samband med den (RP 18/2019 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till förvaltningsutskottet. 
Sakkunniga
Utskottet har hört 
specialsakkunnig
Tuuli
Tuunanen
inrikesministeriet
lagstiftningsråd
Virpi
Korhonen
justitieministeriet
lagstiftningsråd
Niklas
Vainio
justitieministeriet
dataombudsman
Reijo
Aarnio
dataombudsmannens byrå
biträdande justitieombudsman
Maija
Sakslin
Riksdagens justitieombudsmans kansli
biträdande professor
Ida
Koivisto
professor
Juha
Lavapuro
professor
Olli
Mäenpää
professor
Kaarlo
Tuori
professor
Tomi
Voutilainen.
Skriftligt yttrande har lämnats av 
professor
Veli-Pekka
Viljanen.
PROPOSITIONEN
Regeringen föreslår att det stiftas en lag om behandling av personuppgifter i migrationsförvaltningen. Propositionen innehåller dessutom förslag till ändring av vissa andra lagar. 
Lagarna avses träda i kraft så snart som möjligt. 
I motiven till lagstiftningsordningen bedömer regeringen lagförslagen med avseende på grundlagens 10 § om skydd för privatlivet, 12 § om yttrandefrihet, 21 § om rättsskydd samt 2 § 3 mom. om förvaltningens lagbundenhet och 118 § om ansvar för ämbetsåtgärder. 
Regeringen anser att lagförslagen kan stiftas i vanlig lagstiftningsordning. Däremot rekommenderar regeringen att utlåtande begärs av grundlagsutskottet. 
UTSKOTTETS ÖVERVÄGANDEN
Utgångspunkter för bedömningen
I propositionen föreslås en lag om behandling av personuppgifter vid migrationsförvaltningen. Lagen ska tillämpas på behandlingen av personuppgifter på migrationsförvaltningens område. Lagen föreslås ersätta lagen om utlänningsregistret, som föreslås bli upphävd. 
Under riksmötet 2018 lämnade regeringen riksdagen en proposition (RP 224/2018 rd) med förslag till lag om behandling av personuppgifter i migrationsförvaltningen och till vissa lagar som har samband med den. Grundlagsutskottet gav utlåtandet GrUU 62/2018 rd om propositionen. Utskottet ansåg där att en precisering av bestämmelserna om gemensamt personuppgiftsansvar och därmed sammanhängande rätt att få information och av bestämmelserna om automatiserat beslutsfattande var en förutsättning för vanlig lagstiftningsordning. Utskottet fäste särskild uppmärksamhet vid bestämmelsernas tydlighet, vissa motiveringar som är problematiska med tanke på bestämmelsen om tjänsteansvar i 118 § i grundlagen och förhållandet mellan den sekretessbestämmelse som då föreslogs och lagen om offentlighet i myndigheternas verksamhet (offentlighetslagen). Regeringens proposition förföll med anledning av att riksmötet avslutades och av att riksdagsval skulle förrättas (RSk 56/2018 rd). 
Den nu aktuella propositionen bygger enligt dess motiv på den proposition som hade förfallit. Strävan har varit att skriva om propositionen utifrån grundlagsutskottets utlåtande, varvid bestämmelserna om automatiserat individuellt beslutsfattande kompletterats och principen om fristående myndigheter i fråga om de personuppgiftsansvariga preciserats. Dessutom ändrades propositionen genom att bestämmelserna om sekretess inom migrationsförvaltningen samlats i offentlighetslagen. I propositionen gjordes även andra smärre preciseringar (s. 56). 
Målet med propositionen är att bestämmelserna om behandling av personuppgifter i migrationsförvaltningen i fortsättningen ska finnas i en lag som uppfyller kraven på en modern personuppgiftslag och som kompletterar Europeiska unionens dataskyddsförordning, dataskyddslagen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Förslaget är relevant med avseende på skyddet för privatlivet och för personuppgifter i 10 § i grundlagen. 
Lagen om behandling av personuppgifter inom migrationsförvaltningen kompletterar Europeiska unionens allmänna dataskyddsförordning och den allmänna genomförandelagstiftningen för det så kallade polisdirektivet (EU 2016/680), dvs. lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (nedan dataskyddslagen avseende brottmål). I propositionsmotiven (s. 6) sägs det att beträffande den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen (nedan lagförslaget) ska dataskyddslagen avseende brottmål tillämpas när personuppgifter behandlas i syfte att skydda den nationella säkerheten. Enligt polisdirektivet omfattas migrationsärenden inte direkt av tillämpningsområdet för dataskyddslagen avseende brottmål och Migrationsverket är inte en sådan säkerhetsmyndighet som ska tillämpa den nämnda lagen. På den i lagförslaget avsedda behandlingen av personuppgifter i syfte att trygga den nationella säkerheten tillämpas lagen om dataskydd i brottmål, och skulle enligt motiven gälla polisen och Gränsbevakningsväsendet. 
Grundlagsutskottet behandlade nyligen (GrUU 26/2018 rd) en proposition med förslag till lag om dataskyddslag avseende brottmål som bland annat syftade till att genomföra polisdirektivet. Utskottet har inom tillämpningsområdet för EU:s dataskyddsförordning justerat sin ståndpunkt till skyddet för personuppgifter i fråga om kraven på föreskrivande genom lag. Grundlagsutskottet fäster avseende vid att till skillnad från den direkt tillämpliga dataskyddsförordningen innehåller polisdirektivet inte några sådana detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund när det gäller skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen (GrUU 14/2018 rd, s.6). Det är också av betydelse att nationell säkerhet är ett område som i fördraget om Europeiska unionen faller utanför EU:s behörighet och därmed inte heller i första hand kan hänföras till polisdirektivets tillämpningsområde. Till följd av förpliktelsen att skydda personuppgifter enligt 10 § i grundlagen krävs det nationell lagstiftning om personuppgifter som ska behandlas på grundval av nationell säkerhet (se GrUU 26/2018 rd, s. 4). 
Enligt utskottet (GrUU 26/2018 rd, s. 3, GrUU 14/2018 rd, s. 7) får dock de rättigheter som är tryggade enligt 10 § i grundlagen en speciell betydelse i sammanhang som är särskilt känsliga med avseende på de grundläggande fri- och rättigheterna. Av propositionsmotiven (s. 35 och 109—110) framgår att lagförslaget kommer att tillämpas på en mycket bred grupp av i huvudsak utlänningar, för vilkas del det i stor utsträckning kommer att behandlas uppgifter som hör till människors privatliv och som ofta också är känsliga. 
Grundlagsutskottet har tagit ställning till hantering av känsliga uppgifter med utgångspunkt i att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar i de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd, s. 2—3 och de utlåtanden som nämns där). Här är det relevant att utskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför ansett att i synnerhet tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2), vilket inneburit att inrättandet av register med sådana uppgifter måste bedömas i skenet av villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (GrUU 29/2016 rd och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 38/2016 rd, s. 3). 
Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd, GrUU 14/2009 rd, s. 3/I). Även enligt EU:s allmänna dataskyddsförordning bör särskilda personuppgifter, som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter, åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande fri- och rättigheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd). Denna avgränsning har i utskottets senare praxis ansetts vara en fråga som har betydelse för lagstiftningsordningen (se t.ex. GrUU 15/2018 rd, s. 40). 
Utskottet menar att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter. Behovet av lagbestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. I fråga om behovet bör också det riskbaserade synsättet i förordningen vägas in. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd, s. 6). 
Förslaget till lag om behandling av personuppgifter i migrationsförvaltningen utgår från en regleringsmodell som grundar sig på att behandlingen av uppgifter är bunden till ett särskilt ändamål. Den föreslagna lagen är avsedd att tillämpas när personuppgifter behandlas inom migrationsförvaltningens område. Tillämpningsområdet ska inte vara knutet till något specifikt register eller datasystem utan till de ändamål för vilka uppgifterna behandlas. Grundlagsutskottet har inga invändningar mot denna princip (se också GrUU 62/2018 rd). 
Grundlagsutskottet har inte inom ramen för sitt konstitutionella uppdrag gjort någon övergripande bedömning av den föreslagna regleringens överensstämmelse med unionsrätten. Förvaltningsutskottet har fortfarande anledning att försäkra sig om att den föreslagna regleringen inte står i konflikt med de krav som följer av unionsrätten. 
Lagens tillämpningsområde
Behandlingen av personuppgifter i migrationsförvaltningen regleras såväl i den allmänna dataskyddsförordningen som i den kompletterande nationella dataskyddslagen, i dataskyddslagen avseende brottmål och i den förslagna lagen om behandling av personuppgifter i migrationsförvaltningen. I propositionsmotiven (s. 46) hänvisas det till att inom migrationsförvaltningen blir också polisens personuppgiftslag och gränsbevakningens personuppgiftslag tillämpliga. Förhållandet mellan tillämpningsområdet för den föreslagna lagen och de speciallagar ovan som gäller behandlingen av personuppgifter är, på samma sätt som nu, att de i viss mån överlappar varandra till exempel i fråga om skyddet av den nationella säkerheten, övervakningen av utlänningar samt utvisningar. I 1 och 2 i lagförslaget finns bestämmelser om tillämpningsområdet. 
Grundlagsutskottet ansåg i utlåtandet GrUU 62/2018 rdatt det komplex som den tillämpliga lagstiftningen utgör inte kan anses klart och begripligt trots att strukturen i den reglering som nu utvärderas bär spår av försök till klarhet och tydlighet. Utskottet upprepar denna bedömning. Förhållandet mellan unionsrätten och den nationella lagstiftningen är delvis överlappande och delvis avskiljande. Trots att utskottet anser det klart att det begränsade och specifika tillämpningsområdet för unionsrätten och dess dataskyddsbestämmelser är en synnerligen starkt bidragande orsak till den komplicerade regleringen, bör förvaltningsutskottet fortsatt undersöka om det finns några sätt att förtydliga regleringen, inklusive bestämmelserna om tillämpningsområdet. 
Grundlagsutskottet fäster också uppmärksamhet vid att det i motiveringen till propositionen hänvisas till ett alternativ som bedömts under beredningen, enligt vilken behandlingen av personuppgifter som utförs för att skydda den nationella säkerheten ställs utanför tillämpningsområdet för lagen om behandling av personuppgifter inom migrationsförvaltningen när personuppgifter inte behandlas som en del av invandringsprocessen (s. 36). Detta alternativ utesluter också att tillämpningsområdet knyts till dataskyddslagen avseende brottmål, vilket också grundlagsutskottet anser vara motiverat med tanke på lagens tydlighet. 
Gemensamt personuppgiftsansvariga
I 3 § föreskrivs det om gemensamt personuppgiftsansvariga. De myndigheter ska vara personuppgiftsansvariga som i de användningsändamål som hör till den föreslagna lagens tillämpningsområde för egna självständiga syften behandlar personuppgifter för att fullgöra de uppgifter som anges i den lagstiftning som ger myndigheten behörighet. Dessa myndigheter utövar prövnings- och beslutanderätt när de fullgör sina lagfästa uppgifter. Följande myndigheter ska vara gemensamt personuppgiftsansvariga: Migrationsverket, Polisstyrelsen och skyddspolisen, Gränsbevakningsväsendet, förläggningar och flyktingslussar, förvarsenheter, utrikesförvaltningen, närings-, trafik- och miljöcentralerna och arbets- och näringsbyrån. De nämnda personuppgiftsansvariga är sådana gemensamt personuppgiftsansvariga som avses i artikel 26 i dataskyddsförordningen. 
Grundlagsutskottet ansåg i sitt utlåtande GrUU 62/2018 rd att det motsvarande lagförslag om migrationsförvaltningen som då bedömdes och den exceptionellt omfattande samregisteransvarighet som föreslogs verkade gälla uppgifter med mycket olika användningsändamål, vars gemensamma faktor endast är att de på ett eller annat sätt ansluter sig till invandringen. Av propositionsmotiven framgick att de ovan nämnda myndigheternas behov att behandla personuppgifter är mycket olika. 
Enligt grundlagsutskottet är det uppenbart att den risk som behandlingen av personuppgifter utgör för enskilda personers rättigheter och friheter till exempel när Skyddspolisen behandlar uppgifter om en utlännings politiska verksamhet i syfte att trygga den nationella säkerheten väsentligen skiljer sig från risken när närings-, trafik- och miljöcentralen behandlar en asylsökandes uppgifter för anvisande till en kommun. Utskottet menade att en lösning där alla de nämnda myndigheterna definieras som personuppgiftsansvariga i stället för att deras rätt att få behövliga uppgifter säkerställts till exempel genom bestämmelser om utlämnande av och rätt till information, avviker från det normala. Utskottet upprepar denna bedömning. 
Enligt förslaget till 3 § 2 mom. grundar sig varje personuppgiftsansvarigs behörighet att behandla personuppgifter på bestämmelserna om ifrågavarande myndighets behörighet. Grundlagsutskottet betonar betydelsen av den föreslagna bestämmelsen (se även GrUU 62/2018 rd). Bestämmelsen innebär att den typ av reglering som ingår i lagförslaget inte per automatik ger behörighet att behandla personuppgifter, eftersom rätt att behandla personuppgifter alltid kräver särskilda bestämmelser. 
Att förvalta informationssystemen med allt vad det innebär, såsom att utplåna eller utlämna personuppgifter annat än i enstaka fall, skulle emellertid också framöver koncentreras till Migrationsverket och till utrikesförvaltningen. För att säkerställa att de registrerades rättigheter tillgodoses och att systemet fungerar smidigt skulle dessa båda aktörer samtidigt fungera som en gemensam kontaktpunkt. Utifrån det ansvar i anslutning till registerföring som framgår av lagförslaget förblir betydelsen av det gemensamma personregisteransvaret oklar i fråga om de övriga myndigheterna. Förvaltningsutskottet måste noggrant granska ändamålsenligheten hos den valda regleringsmodellen och dess förenlighet med bestämmelserna i dataskyddsförordningen, särskilt med tanke på varje personuppgiftsansvarigs ansvar och tillgodoseendet av den registrerades rättigheter. 
I 8—10 § föreskrivs det om behandling av känsliga uppgifter och om tillåtna ändamål med behandlingen. Behandlingen är på ett sakligt sätt knuten till kravet på nödvändighet. Grundlagsutskottet har noterat att enligt 8 § får sådana känsliga personuppgifter som nämns i lagrummet behandlas av den personuppgiftsansvarige. Behandling av personuppgifter för andra ändamål än det ursprungliga begränsas förvisso av det som sägs i 11 § i lagförslaget, enligt vilken en personregisteransvarig trots sekretessbestämmelserna får, i enlighet med sin egen behörighet, inom ramen för vart och ett av de ändamål som anges i 1 § 1 mom. 1—6 punkten för det ursprungliga ändamålet behandla personuppgifter som samlats in av en annan personuppgiftsansvarig. I 12 § i lagförslaget föreskrivs det om behandling av personuppgifter för andra ändamål än den ursprungliga behandlingen. 
Grundlagsutskottet ansåg i utlåtandet GrUU 62/2018 rd att en motsvarande reglering kan innebära att sådana känsliga uppgifter som nämns i bestämmelsen, trots sekretessbestämmelser kan överföras mellan de myndigheter som är gemensamt personuppgiftsansvariga, om exempelvis känsliga och sekretessbelagda uppgifter (”behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse”) som registreras i det syfte som nämns i 1 § 1 mom. 1 punkten i ett senare skede behandlas i samma syfte men av en annan gemensamt personuppgiftsansvarig myndighet. Utskottet upprepar denna bedömning och anser att regleringen fortfarande är bristfällig. 
De uppgifter som förs in i personregister är handlingar och upptagningar som innehas av myndigheterna och som avses i 12 § 2 mom. i grundlagen (GrUU 3/2009 rd, s. 2/I). Bestämmelserna om sekretess och utlämnande av uppgifter trots sekretess i lagen om offentlighet i myndigheternas verksamhet, som tillämpas såsom allmän lag på migrationsförvaltningen, grundar sig på principen om att myndigheterna verkar separat. I sin lagtillämpning är myndigheterna självständiga i relation till varandra. På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister tillämpas enligt 2 § i lagförslaget vad som föreskrivs i offentlighetslagen. Enligt 13 § i offentlighetslagen är den myndighet som innehar handlingarna behörig att besluta om behandlingen och utlämnandet av handlingarna. Grundlagsutskottet fäster med anledning av offentlighetsprincipen enligt 12 § 2 mom. i grundlagen och kravet på lagbundenhet vid utövning av offentlig makt enligt 2 § 3 mom. i grundlagen uppmärksamhet vid att det av bestämmelserna om samregisteransvarighet inte tydligt framgår vilken myndighet som är behörig att lämna ut uppgifter. 
Grundlagsutskottet har bedömt bestämmelser om myndigheternas rätt att få och skyldighet att lämna ut information med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och att lämna ut information kan gälla ”behövliga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över vad uppgifterna ska innehålla. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "informationen är nödvändig" för ett visst syfte (se t.ex. GrUU 17/2016 rd, s. 2—3, och de utlåtanden som nämns där). I sina analyser av exakthet och innehåll har utskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. I synnerhet i fall när de föreslagna bestämmelserna om utlämning av uppgifter har gällt också känsliga uppgifter, har det för vanlig lagstiftningsordning krävts att bestämmelserna preciseras så att de följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se t.ex. GrUU 15/2018 rd, s 39). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid om de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 14/2018 rd, s. 5). 
Grundlagsutskottet har upprepade gånger betonat att åtskillnaden mellan behovet och nödvändigheten av att få eller lämna ut uppgifter inte bara handlar om informationsinnehållets omfattning utan också om att den myndighet som har rätt till informationen i och med sina egna behov åsidosätter de grunder och intressen som skyddas med hjälp av sekretess som riktar sig till den myndighet som har uppgifterna. Ju mer generella bestämmelserna om rätt till information är, desto större är risken att sådana intressen kan åsidosättas per automatik. Ju mer fullständigt rätten att få uppgifter är kopplad till de sakliga förutsättningarna i bestämmelserna, desto mer sannolikt är det att en enskild begäran om information i praktiken måste motiveras. Då kan också den som lämnar ut informationen bedöma en begäran med avseende på de lagliga villkoren för att lämna ut den. Genom att de facto vägra lämna ut informationen kan den som innehar den få till stånd ett läge där en utomstående myndighet måste undersöka skyldigheten att lämna ut information, det vill säga tolka bestämmelserna. Denna möjlighet är viktig då det gäller att anpassa tillgången till information och sekretessintressena till varandra (se t.ex. GrUU 48/2018 rd, s. 5, och där nämnda utlåtanden). Utskottet anser att de omständigheter som talar för särskiljande får särskild vikt när det föreskrivs om en myndighets rätt att trots sekretessbestämmelserna få eller lämna ut uppgifter i en elektronisk verksamhetsmiljö (se GrUU 73/2018 rd, s. 8 –10). 
Grundlagsutskottet anser dock att lagförslagets bestämmelser om samregisteransvarighet och behandling av personuppgifter inom ramen för den inte är tillräckligt klara med tanke på 10 § i grundlagen, trots att man med anledning av grundlagsutskottets utlåtande GrUU 62/2018 rd har strävat efter att precisera regleringen i fråga om myndigheternas befogenheter och rätt att få information, ändamålsbundenheten vid behandlingen av personuppgifter och vedertagen praxis i fråga om myndigheternas rätt att få och lämna ut uppgifter trots sekretessplikten. Förvaltningsutskottet måste ytterligare precisera och förtydliga regleringen väsentligt. Regleringen måste till alla delar uppfylla de krav som beskrivs i grundlagsutskottets ovan nämnda praxis. Den här preciseringen är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Grundlagsutskottet påpekar att ett behörigt beaktande av ställningstagandet om lagstiftningsordning också kan kräva att de grundläggande lösningarna i regleringen ändras. Om den föreslagna regleringen av samregisteransvarighet inte möjliggör exempelvis sådan reglering om myndigheternas rätt att trots sekretessbestämmelserna få och lämna ut uppgifter som förutsätts i 10 § i grundlagen, måste den regleringsmodell som baserar sig på samregisteransvarighet slopas. Utskottet fäster uppmärksamhet vid att enligt motiveringen till propositionen har som alternativ bedömts en modell där endast Migrationsverket är registeransvarig i ärendehanteringssystemet för utlänningsärenden och endast utrikesministeriet är registeransvarig i det nationella informationssystemet för viseringar. Då kan andra myndigheters rätt att få information lösas genom att föreskriva om utlämnande av information mellan myndigheter (s. 37). Enligt utredning till utskottet torde EU:s allmänna dataskyddsförordning i strid med motiveringen (s. 38) inte hindra en sådan regleringslösning. Förvaltningsutskottet bör noggrant utreda om de olika alternativen är förenliga med förordningen. 
Automatiserat individuellt beslutsfattande
I 21 § i lagförslaget föreskrivs det om automatiserat individuellt beslutsfattande. Enligt paragrafens 1 mom. får beslut som Migrationsverket fattar i ärendehanteringssystemet för utlänningsärenden fattas genom ett förfarande som grundar sig endast på automatiserad behandling, om ärendet med stöd av 34 § 2 mom. 5 punkten i förvaltningslagen (434/2003) får avgöras utan att en part hörs. Enligt 2 mom. ska Migrationsverket offentliggöra den algoritm som lett till det slutliga beslutet i ett automatiserat beslutsförfarande. Dessutom har den registrerade rätt att få en separat redogörelse för den algoritm som använts för ett sådant slutligt individuellt beslut i hans eller hennes sak som fattats genom automatiserad behandling. Enligt 3 mom. svarar Migrationsverkets överdirektör för det automatiska beslutsfattandet och för det automatiserade enskilda beslutet. 
Förfarandet innebär enligt propositionsmotiven (s. 29, 96) att alla handläggnings- och beslutsfaser utförs av systemet utan fysiska personers medverkan. Paragrafen ger Migrationsverket möjlighet till automatiserad behandling enligt artikel 22.1 i den allmänna dataskyddsförordningen när det fullgör lagstadgade uppgifter. Förvaltningsutskottet bör utöver det som anges nedan noggrant försäkra sig om att förslaget överensstämmer med det som dataskyddsförordningen förutsätter. Grundlagsutskottet fäster särskild uppmärksamhet vid att man i dataskyddsförordningen fäster uppmärksamhet vid barnets särskilda behov av skydd vid behandlingen av personuppgifter. Enligt skäl 71 i ingressen till dataskyddsförordningen bör åtgärder som bygger på automatiserat beslutsfattande inte gälla barn. Förvaltningsutskottet måste noggrant bedöma betydelsen av förordningens bestämmelser om barn och i synnerhet omfattningen av de skyddsåtgärder som förordningen förutsätter vid beslut som gäller barnet. 
Grundlagsutskottet bedömde i sitt utlåtande GrUU 62/2018 rd ett motsvarande förslag till bestämmelse om automatiserade individuella beslut. Utskottet ansåg att regleringen av automatiserat beslutsfattande är viktig i synnerhet i skenet av principerna för god förvaltning enligt grundlagens 21 § och bestämmelserna i grundlagens 118 § om tjänsteansvar. Utskottet fäste med hänsyn till 21 § och kravet på att offentlig maktutövning ska grunda sig på lag uppmärksamhet vid att man inte ens i masshantering får äventyra kraven på god förvaltning eller parternas rättssäkerhet (se även GrUU 49/2017 rd, s. 5, och GrUU 35/2005 rd, s. 3). En precisering av bestämmelserna om automatiserade enskilda beslut var en förutsättning för att lagförslaget skulle ha kunnat behandlas i vanlig lagstiftningsordning. Föremål för bedömningen var ett förslag till bestämmelse enligt vilket ett beslut som Migrationsverket fattar i ärendehanteringssystemet för utlänningsärenden kan fattas i ett förfarande som enbart baserar sig på automatisk behandling, om inte ärendets art eller omfattning, en enhetlig behandling, barnets bästa eller något annat särskilt skäl kräver något annat (se GrUU 62/2018 rd, s. 6—8). 
I den nu föreslagna bestämmelsen begränsas automatiserat beslutsfattande till ärenden som Migrationsverket behandlar och där en part enligt 34 § 2 mom. 1 eller 5 punkten i förvaltningslagen inte har ett intresse av att höras. I 34 § 1 mom. i förvaltningslagen sägs att innan ett ärende avgörs ska en part ges tillfälle att framföra sin åsikt om ärendet och avge sin förklaring med anledning av sådana yrkanden och sådan utredning som kan inverka på hur ärendet kommer att avgöras. Enligt 5 punkten i den lagen får ett ärende avgöras utan att en part hörs, om ett yrkande som inte rör någon annan part godkänns eller om hörandet av någon annan orsak är uppenbart onödigt. 
Det rör sig enligt propositionens motiv till lagstiftningsordning i huvudsak om ärenden där personen får ett positivt beslut eller som förfaller med stöd av utlänningslagen. I motiven (s. 122) framhålls det att vid automatiserat beslutsfattande tillämpas både procedurreglerna i förvaltningslagen och förvaltningsprocesslagens eller utlänningslagens bestämmelser om ändringssökande. 
Grundlagsutskottet anser att regleringen av automatiserat beslutsfattande framför allt måste bedömas i skenet av principerna för god förvaltning enligt grundlagens 21 § och bestämmelserna i grundlagens 118 § om tjänsteansvar. Utskottet har inte i sig något att anmärka på de mål som eftersträvas med automatisering av beslutsfattandet. Utskottet har dock med hänsyn till 21 § och kravet på att offentlig maktutövning ska grunda sig på lag noterat att man inte ens i en masshantering får äventyra kraven på god förvaltning eller parternas rättssäkerhet (GrUU 49/2017 rd, s. 5, och GrUU 35/2005 rd, s. 3). Även i 1 § i förvaltningslagen betonas vikten av att grunderna för god förvaltning och rättsskyddet prioriteras i förhållande till förvaltningens resultat. Enligt utskottets uppfattning lämpar sig således automatiserat beslutsfattande inte för sådant administrativt beslutsfattande som förutsätter att beslutsfattaren utövar omfattande prövningsrätt. 
Grundlagsutskottet anser att den föreslagna regleringen är tämligen vag. I lagförslaget fastställs inte vilka ärenden som ska behandlas uttryckligen i ärendehanteringssystemet för utlänningsärenden. Det förblir därför med hänsyn till föreslagna 21 § oklart vilka ärenden det automatiska beslutsfattandet över huvud taget kan gälla. I motiveringen till propositionen nämns exempel på ärendegrupper som kan överföras till det automatiska beslutsfattandet. Som exempel nämns bland annat beviljande av medborgarskap som avgörs på ansökan. I motiveringen till propositionen (s. 95) konstateras att det i slutändan är omständigheterna i det enskilda fallet som avgör om det går att ta fram ett beslut i ärendet helt på automatisk väg. Det ska inte vara möjligt att genom automatiserat beslutsfattande avgöra ett ärende där det förutsätts helhetsbedömning gällande till exempel tillräcklig försörjning eller den risk som sökanden orsakar för allmän ordning eller säkerhet, utan då ska ärendet alltid avgöras av en fysisk person. I föreslagna 21 § anges dock inte de avgränsningar som tas upp i motiven. 
Med tanke på rättsskyddet för en part som tryggas i 21 § i grundlagen menar grundlagsutskottet att automatiserat beslutsfattande i det regleringssammanhang som nu granskas är möjligt endast när ett yrkande som inte gäller en annan part godkänns. Utskottet anser att den föreslagna regleringen med anledning av det som sagts ovan bör avgränsas så att automatiserat beslutsfattande inte kan användas på den grunden att hörandet av en annan part av någon annan orsak är uppenbart onödigt. Automatiserat beslutsfattande måste i det aktuella sammanhanget begränsas till beslutsfattande där ett yrkande som inte rör en annan part godkänns. Alternativt måste regleringen preciseras väsentligt genom att man i 21 § i lagförslaget anger de situationer som hör till området för den senare satsen i 34 § 2 mom. 5 punkten i förvaltningslagen och där beslutsfattandet inte förutsätter att myndigheterna utövar prövningsrätt. En sådan precisering eller avgränsning av bestämmelserna om automatiska individuella beslut är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
I sitt utlåtande GrUU 62/2018 rd lyfte grundlagsutskottet fram algoritmens offentlighet. I det så kallade försöket med basinkomst tog utskottet med anledning av kravet på bestämmelser i lag fasta på det föreslagna urvalsförfarandet och dess transparens. Utskottet ansåg att lagen borde innehålla bestämmelser om offentliggörandet av programkoden och dess offentlighet i anslutning till urvalsförfarandet (GrUU 51/2016 rd, s. 5). Vid bedömningen av ett lagförslag om användning av flygpassageraruppgifter ansåg grundlagsutskottet att förvaltningsutskottet av orsaker som hänför sig till 12 § 2 mom. och 21 § i grundlagen också noga bör granska hur de föreslagna kriterierna och algoritmerna i de automatiserade metoder som eventuellt tillämpar dem förhåller sig till lagen om offentlighet i myndigheternas verksamhet och vid behov precisera regleringen (GrUU 29/2018 rd, s. 5). Utskottet upprepar dessa iakttagelser och betonar också att ett korrekt offentliggörande av algoritmen i en form som är begriplig för enskilda förutsätter att lagen innehåller en exakt och avgränsad definition av vad som avses med automatiserat beslutsfattande genom en algoritm. Förvaltningsutskottet bör också nu fästa särskilt avseende vid detta samt precisera och förtydliga bestämmelserna. Preciseringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
I 21 § 3 mom. föreslås en särskild bestämmelse enligt vilken Migrationsverkets överdirektör svarar för förfarandet vid automatiserat beslutsfattande och för automatiserade individuella beslut. Avsikten med den föreslagna bestämmelsen är uppenbarligen (se motiven s. 104—105 och 123) att beakta grundlagsutskottets tidigare anmärkning om fördelningen av tjänsteansvaret. I propositionsmotiven konstateras det att den föreslagna bestämmelsen avviker från grundlagsutskottets etablerade utlåtandepraxis när det gäller tjänsteansvar, eftersom det automatiserade beslutsfattandet lösgör sig från en ansvarskonstruktion som bygger på en tjänstemans mänskliga verksamhetsroll. Till stöd för den föreslagna ansvarslösningen hänvisas till överdirektörens uppgift enligt statsrådets förordning att leda, övervaka och utveckla Migrationsverkets verksamhet samt till bestämmelsen enligt vilken överdirektören avgör de ärenden som ankommer på Migrationsverket och till att överdirektören i ett enskilt fall kan förbehålla sig avgörandet av ett ärende som annars ankommer på någon annan tjänsteman att avgöra. 
Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag och lag noggrant iakttas i all offentlig verksamhet. I 118 § i grundlagen föreskrivs det om ansvar för ämbetsåtgärder. Enligt paragrafens 1 mom. svarar en tjänsteman för att hans eller hennes ämbetsåtgärder är lagenliga. Tjänstemannen svarar också för sådana beslut i ett kollegialt organ som tjänstemannen i egenskap av medlem av organet har biträtt. Enligt 2 mom. svarar en föredragande som inte har reserverat sig mot ett beslut för det som har beslutats på föredragningen. 
Tjänsteansvaret har av hävd ansetts omfatta såväl straffrättsligt som skadeståndsrättsligt ansvar. Enligt 118 § 3 mom. första meningen i grundlagen har var och en som har lidit rättskränkning eller skada till följd av en lagstridig åtgärd eller försummelse av en tjänsteman eller någon som sköter ett offentligt uppdrag, enligt vad som bestäms genom lag, rätt att yrka att denne döms till straff samt kräva skadestånd av det offentliga samfundet eller av tjänstemannen eller den som sköter det offentliga uppdraget. Den straffrättsliga legalitetsprincipen, som det föreskrivs om i 8 § i grundlagen, innehåller ett särskilt krav på lagens exakthet. Enligt kärnan i den straffrättsliga legalitetsprincipen ska brottsrekvisitet anges tillräckligt exakt så att det utifrån en bestämmelses ordalydelse går att förutse om en viss åtgärd eller försummelse är straffbar. 
Grundlagsutskottet anser det vara klart att överföringen av beslutsfattandet till automatisk behandling inte får leda till att grundlagens bestämmelser om tjänsteansvar förlorar sin betydelse. I det avseendet anser grundlagsutskottet att propositionen är problematisk. 
Den föreslagna bestämmelsen lägger ansvaret enbart på överdirektören och stärker i strid med 118 § i grundlagen uppfattningen att andra personer än överdirektören inte kan ha tjänsteansvar. Å andra sidan förblir det oklart i förslaget vilka ämbetsåtgärder Migrationsverkets överdirektör i själva verket ansvarar för och vilka ämbetsåtgärder han eller hon i praktiken kan ställas till svars för i rättspraxisen, när besluten fattas automatiserat i datasystemet utan direkt och omedelbar mänsklig kontroll över besluten. 
Att rikta tjänsteansvaret till överdirektören, som ansvarar för den allmänna ledningen av ämbetsverket, ter sig enligt grundlagsutskottet som ett imaginärt och konstlat arrangemang. Utskottet anser att det automatiserade beslutsförfarandet av skäl som beror på 118 § i grundlagen måste vara noggrant övervakat och juridiskt kontrollerbart. Det måste i sista hand också kunna kopplas till tjänstemännens ansvar för ämbetsåtgärder. En ändring av bestämmelsen så att bestämmelserna om tjänsteansvar motsvarar de faktiska förhållandena är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Grundlagsutskottet fäste i sitt utlåtande GrUU 62/2018 rd statsrådets uppmärksamhet vid att automatiserat beslutsfattande verkar innehålla flera frågor som inte uttryckligen regleras i allmänna förvaltningslagar (se även GrUU 70/2018 rd och GrUU 78/2018 rd). Utskottet ansåg att det finns skäl att utreda detta och behovet av en översyn av den allmänna lagstiftningen på området, där justitieministeriet har beredningsansvaret. I utredningen bör man undersöka hur regleringen av automatiserat förvaltningsförfarande och beslutsfattande uppfyller de krav som följer av förvaltningens lagbundenhet, offentlighetsprincipen och rättsprinciperna för förvaltningen, som ligger till grund för en god förvaltning, samt hur rättstryggheten tillgodoses och tjänstemännens ansvar förverkligas. 
Grundlagsutskottet betonar vikten av att utreda frågan och vill menar att utredningsarbetet bör inledas utan dröjsmål och anvisas de resurser som behövs. Utskottet anser att det i nuläget är nödvändigt att avstå från nya förvaltningsområdesspecifika förslag till bestämmelser om automatiserat beslutsfattande. 
Det automatiska beslutsfattandet är enligt grundlagsutskottet förknippat med sådana mycket vittsyftande juridiska specialfrågor som hänför sig till de grundläggande fri- och rättigheterna och utövningen av offentlig makt och som bör bedömas utifrån behoven att utveckla den allmänna lagstiftningen. Enskilda förslag till bestämmelser av det nu aktuella slaget som rör det handlingsutrymme dataskyddsförordningen tillåter kan inte åsidosätta de krav som grundlagen ställer upp för inskränkning av grundläggande fri- och rättigheter och för ansvar vid utövning av offentlig makt. Grundlagsutskottet betonar att bestämmelserna i den dataskyddsförordning som utarbetats med tanke på skyddet för personuppgifter inte utgör en tillräcklig grund för automatiserat beslutsfattande med avseende på principerna för god förvaltning och rättsskyddet inom förvaltningen. 
Grundlagsutskottet har tidigare ansett det vara mycket problematiskt och otillfredsställande att lagförslag i propositioner i stor omfattning måste kompletteras och korrigeras när de behandlas i riksdagen. Ett förfarande baserat på utredningar från ett ministerium står enligt förarbetena till grundlagen (RP 1/1998 rd, s. 122/I) inte i överensstämmelse med de konstitutionella principerna när det är frågan om att göra omfattande innehållsliga ändringar (se GrUU 34/2004 rd, s. 3/II). I sådana fall åsidosätts nämligen dels de organ som enligt grundlagen ska medverka till avlåtandet av regeringens propositioner, dels riksdagens plenum. Det är delvis uttryckligen av denna anledning som 71 § i grundlagen innehåller bestämmelser om möjligheten att komplettera propositioner. Med avseende på sina egna uppgifter har grundlagsutskottet sett det som befogat att den möjligheten utnyttjas framför allt när ändringsförslagen kräver nya och betydligt större bedömningar av lagstiftningsordningen än den ursprungliga propositionen (se GrUU 12/2016 rd, s. 4). 
Vidare har grundlagsutskottet tidigare ansett att det är nödvändigt och hör till god lagstiftningssed att beredningen av ett ärende åläggs statsrådet, i synnerhet om det i en regeringsproposition föreslås mycket avgörande ändringar som i väsentlig grad påverkar de grundläggande lösningarna i propositionen. Regeringen kan då antingen lämna en ny proposition eller en kompletterande proposition enligt 71 § i grundlagen. Det säkerställer dessutom att riksdagens behandling av ärendet grundar sig på tillräckligt omfattande motiv och konsekvensbedömningar samt på ett offentligt och för var och en tillgängligt förslag (se GrUU 75/2014 rd, s. 8/II). Det handlar också om att den tekniska kvaliteten på lagstiftningen kan säkerställas när lagberedningen framskrider i normal ordning. 
Enligt grundlagsutskottet bör man inte sträva efter att reglera det administrativa beslutsfattandet i fråga om automatiserade enskilda beslut genom enskilda punktvisa lagförslag. Utskottet anser att de ändringar som av grundlagskäl måste göras i bestämmelserna om automatiserade individuella beslut påverkar de grundläggande lösningarna i propositionen. De problem med regleringen som utskottet konstaterat visar sammantaget att automatiserat beslutsfattande är förenat med konstitutionella frågeställningar som utan en omsorgsfullt genomförd grundberedning inte utan problem kan lösas vid riksdagsbehandlingen. Således är den tydligaste lösningen att den föreslagna bestämmelsen i 21 § stryks ur lagförslaget och att statsrådet omsorgsfullt och med iakttagande av ett gott lagberedningsförfarande utreder behoven att ändra den allmänna lagstiftningen om automatiserat beslutsfattande, och vid behov bereder en allmän lagstiftning om automatiserat beslutsfattande som eventuellt kan preciseras genom speciallagar som beaktar respektive förvaltningsområdes särdrag. Om förvaltningsutskottet emellertid vid utskottsbehandlingen går in för att ändra bestämmelserna om automatiserade individuella beslut så att de överensstämmer med grundlagen, ska utkastet till betänkande om propositionen ännu föreläggas grundlagsutskottet för behandling. Det är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Sekretess
Regeringen föreslår att 24 § 1 mom. i offentlighetslagen ändras så att de särskilda sekretessgrunder som riktas till migrationen samlas i offentlighetslagen (lagförslag 8). Enligt motiven ska bestämmelserna också preciseras innehållsmässigt (s. 108). 
Enligt 12 § 2 mom. i grundlagen är handlingar och upptagningar som innehas av myndigheterna offentliga, om inte offentligheten av tvingande skäl särskilt har begränsats genom lag. Var och en har rätt att ta del av offentliga handlingar och upptagningar. Offentlighetslagen är väsentlig med hänsyn till den offentlighetsprincip som tryggas genom 12 § 2 mom. i grundlagen. Lagen stiftades i tiden med grundlagsutskottets medverkan (GrUU 43/1998 rd). 
Det som föreskrivs om handlingars offentlighet i 12 § 2 mom. i grundlagen innebär att handlingars offentlighet enligt grundlagen kan begränsas endast genom lag och endast när det finns tvingande skäl till det. Enligt grundlagsutskottet handlar det alltså inte om att grundlagen exempelvis tillåter att rättighetens innehåll regleras genom lag utan att lagstiftaren endast får dra upp sådana gränser för offentligheten som kan anses nödvändiga enligt grundlagen (GrUU 43/1998 rd, s. 3/I). 
I sin praxis har grundlagsutskottet särskilt lyft fram hur handlingars offentlighet enligt 12 § 2 mom. i grundlagen förhåller sig till skyddet för privatlivet och personuppgifter (se t.ex. GrUU 43/1998 rd, s. 2/II, och GrUU 60/2017 rd). Utskottet har ansett att exempelvis sekretess för känsliga uppgifter kan ses som nödvändigt för att skydda privatlivet i enlighet med 10 § 1 mom. i grundlagen (GrUU 39/2009 rd, s. 3/I). Främjande av en annan grundläggande rättighet är ett tvingande skäl som ger möjlighet att separat i lag begränsa myndighetshandlingars offentlighet enligt 12 § 2 mom. i grundlagen (GrUU 2/2008 rd, s. 2, GrUU 40/2005 rd, s. 2). 
Utskottet understryker att skyddet för privatlivet och personuppgifter inte har företräde framför andra grundläggande fri- och rättigheter (GrUU 14/2018 rd, s. 8). Bedömningen går ut på att samordna och avväga två eller flera bestämmelser om de grundläggande fri- och rättigheterna (se t.ex. GrUU 54/2014 rd, s. 2, GrUU 10/2014 rd, s. 4). Utskottet har särskilt lyft fram balansen mellan handlingars offentlighet och skyddet för personuppgifter (GrUU 22/2008 rd, s. 3/II). Exempelvis har utskottet ansett att uppgifter om lönerna i den offentliga förvaltningen inte är förankrade i ett så starkt intresse av att skydda den personliga integriteten att det berättigar till omfattande sekretess för uppgifterna utifrån den grundläggande rättigheten gällande handlingars offentlighet. Utskottet ansåg att en sådan ändring i bestämmelsen var ett villkor för att lagförslaget skulle kunna behandlas i vanlig lagstiftningsordning (GrUU 43/1998 rd, s. 7/II—8/I). 
Sekretessbelagda är enligt 24 § 1 mom. 24 punkten i lagförslag 8 handlingar som innehas av Migrationsverket, av polisen, av Gränsbevakningsväsendet, av statliga regionförvaltningsmyndigheter som handlägger arbetstagares och företagares ansökningar om uppehållstillstånd och av utrikesförvaltningen, och som gäller handläggning av och beslutsfattande och tillsyn i ärenden som gäller en utlännings inresa och utresa eller vistelse i landet eller förvärv, behållande, förlust av eller befrielse från finskt medborgarskap eller bestämmande av medborgarskapsstatus, om det inte är uppenbart att utlämnandet av uppgifter ur handlingarna inte orsakar skada eller olägenhet för parten eller partens närstående. Förvaltningsbeslut som gäller dessa ärenden är dock sekretessbelagda endast om det inte är uppenbart att utlämnandet av uppgifter om dem inte äventyrar säkerheten för parten eller partens närstående. 
I motsvarande 24 punkt i gällande lag föreskrivs det om sekretessen av handlingar som gäller flyktingar eller personer som ansöker om asyl, uppehållstillstånd eller visum. Enligt gällande lag är nämnda handlingar sekretessbelagda om det inte är uppenbart att utlämnandet av uppgifter ur dessa inte äventyrar säkerheten för flyktingen eller sökanden eller en närstående. Enligt den föreslagna bestämmelsen är handlingar av separat nämnda myndigheter som innehåller uppgifter om en utlännings inresa, vistelse, utresa eller förvärv, behållande, förlust av eller befrielse från finskt medborgarskap eller bestämmande av medborgarskapsstatus sekretessbelagda. Med vistelse i landet avses vistelse som baserar sig på utlänningslagen, lagen om säsongsanställning, ICT-lagen samt forskar- och studerandelagen. 
Sekretessen motiveras i motiven till lagstiftningsordning av orsaker som i sig är godtagbara och som har samband med skyddet för privatlivet enligt 10 § i grundlagen, rättsskyddet enligt 21 § i grundlagen och i extrema fall även med den personliga säkerheten enligt 7 § i grundlagen. Utskottet anser dock att de synpunkter som framförs inte nödvändigtvis kräver sekretess i den omfattning som föreslås. Enligt utskottets uppfattning innebär den föreslagna regleringen en principiell sekretess som gäller nästan hela förvaltningsområdet och som baserar sig på en presumtion om sekretess. 
Det är särskilt problematiskt att man i den föreslagna regleringen utvidgar den sekretesspresumtion som definieras i 24 § 1 mom. 24 punkten i den gällande offentlighetslagen genom att föreskriva att avvikelse från handlingens sekretess är beroende av den skada eller rentav enbart olägenhet som dess offentlighet orsakar. I 24 § 1 mom. 24 punkten i den gällande offentlighetslagen har avvikelse från sekretess för handlingarna i fråga kopplats till äventyrande av en persons säkerhet, vilket är en väsentligt snävare och mer noggrant avgränsad grund för sekretess än det föreslagna kriteriet som grundar sig på olägenhet eller skada. Också i den nu föreslagna regleringen ska en klausul om skaderekvisit tillämpas på begränsning av förvaltningsbeslutens offentlighet. Grunden för sekretess är då äventyrande av säkerheten för parten eller partens närstående. Utvidgningen av sekretessen för andra handlingar motiveras till denna del närmast med en hänvisning till en bestämmelse i utlänningsregisterlagen, som föreslås bli upphävd (s. 16 och 110). 
Grundlagsutskottet har bedömt en liknande bestämmelse i det tidigare förslaget till lag om behandling av personuppgifter inom migrationsförvaltningen. Enligt utskottet var det nödvändigt att klarlägga bestämmelsens innehållet och dess förhållande till lagen om offentlighet i myndigheternas verksamhet (GrUU 62/2018 rd, s. 9). Trots att sekretessbestämmelsen nu i sig har tagits in på behörigt sätt i offentlighetslagen (RSv 303/1998 rd, FvUB 31/1998 rd, s. 8—9, se även GrUU 2/2008 rd, s. 2), anser grundlagsutskottet att det i propositionen inte har framförts en sådan nödvändig grund för att utvidga skaderekvisitet i den föreslagna 24 § 1 mom. 24 punkten som förutsätts i 12 § 2 mom. i grundlagen. Utskottet anser att det är särskilt problematiskt att huvudregeln om handlingars offentlighet i grundlagen kan åsidosättas enbart på grund av att offentlighet medför olägenhet. Omnämnandet av den olägenhet som utlämnandet av uppgifter kan orsaka måste strykas ur bestämmelsen. Bestämmelsen måste också preciseras väsentligt exempelvis genom närmare definition av de ur grundlagssynpunkt godtagbara intressen utifrån vilka skadan kan bedömas. Utan dessa ändringar kan lagförslag 8 enligt grundlagsutskottet inte behandlas i vanlig lagstiftningsordning. 
Grundlagsutskottet noterar också regeringens förslag att precisera den grupp handlingar som hör till tillämpningsområdet för nämnda 25 punkt så att sekretessen gäller handlingar ”som innehåller uppgifter om en utlännings inresa, vistelse, utresa eller förvärv, behållande, förlust av eller befrielse från finskt medborgarskap eller bestämmande av medborgarskapsstatus sekretessbelagda”. Den föreslagna sekretessgrunden avviker i sig inte väsentligt från tillämpningsområdet för den gällande sekretessgrunden, som kommit till med grundlagsutskottets medverkan (GrUU 43/1998 rd). 
Grundlagsutskottet fäster dock uppmärksamhet vid att migrationsförvaltningen får en allt större betydelse. Utskottet anser att en sekretess som principiellt gäller nästan all verksamhet inom migrationsförvaltningen och som är baserad på en sekretesspresumtion svårligen låter sig förenas med offentlighetsprincipen. En sådan sekretess kan rentav som helt bakvänd jämfört med 12 § 2 mom. i grundlagen (se även GrUU 4/2014 rd, GrUU 40/2005 rd, s. 3). Enligt utskottet är migrationsförvaltningens handlingar föremål för informationsbehov som är motiverade med tanke på offentlighetsprincipen. Behoven hänför sig bland annat till förutsättningarna för offentlig debatt och utbyte av åsikter, bedömningen av hur god förvaltning och rättssäkerhet tillgodoses samt övervakningen av användningen av offentliga medel. Förvaltningsutskottet måste precisera och avgränsa bestämmelserna om tillämpningsområdet för sekretess för handlingar. 
Bestämmelsen i 24 § 1 mom. 24 punkten i offentlighetslagen om sekretess för förvaltningsbeslut endast om det inte är uppenbart att utlämnandet av uppgifter ur handlingarna inte äventyrar säkerheten för parten eller en partens närstående är enligt grundlagsutskottet tämligen svårtolkad. Förvaltningsutskottet bör noggrant granska hur skaderekvisitet, som grundar sig på ett krav på uppenbarhet och på en flerfaldig negation, låter sig tillämpas i praktiken. Vid behov bör förvaltningsutskottet förtydliga regleringen. 
När det som i det nu aktuella ärendet föreslås synnerligen betydande ändringar i offentlighetslagens sekretessbestämmelser vore den bästa lösningen enligt grundlagsutskottets uppfattning att ändringsbehovet bedöms och genomförs som en del av en mer övergripande översyn av offentlighetslagens bestämmelser. 
FÖRSLAG TILL BESLUT
Grundlagsutskottet anför
att lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar om gemensamt personuppgiftsansvar, automatiserat beslutsfattande och lagstiftningsförfarandet angående detta beaktas på behörigt sätt, och lagförslag 8 bara om utskottets konstitutionella anmärkning till 24 § beaktas på behörigt sätt. 
Helsingfors 14.11.2019 
I den avgörande behandlingen deltog
ordförande
Johanna
Ojala-Niemelä
sd
vice ordförande
Antti
Häkkänen
saml
medlem
Outi
Alanko-Kahiluoto
gröna
medlem
Bella
Forsgrén
gröna
medlem
Jukka
Gustafsson
sd
medlem
Olli
Immonen
saf
medlem
Hilkka
Kemppi
cent
medlem
Mikko
Kinnunen
cent
medlem
Mats
Löfström
sv
medlem
Wille
Rydman
saml
medlem
Heikki
Vestman
saml
medlem
Tuula
Väätäinen
sd.
Sekreterare var
utskottsråd
Matti
Marttunen
utskottsråd
Mikael
Koillinen.
Senast publicerat 19.11.2019 15:24