1 §. Lagens tillämpningsområde och ändamålet med behandlingen av personuppgifter.
Enligt förslaget ska lagen om behandling av personuppgifter inom migrationsförvaltningen tillämpas när personuppgifter behandlas i syften enligt 1 §. Enligt 1 mom. 6 punkten i propositionen är ett sådant ursprungligt syfte som avses i lagen att sörja för den nationella säkerheten.
Förvaltningsutskottet har ovan i sina allmänna överväganden ansett det motiverat att skyddet av den nationella säkerheten bevaras som det ursprungliga ändamålet med behandlingen av personuppgifter, vilket också stämmer överens med den gällande lagen om utlänningsregistret. För att förtydliga regleringen föreslår utskottet dock att paragrafen ändras så att bestämmelserna om behandling av personuppgifter i syfte att skydda den nationella säkerheten flyttas från 1 mom. till ett nytt 2 mom. När personuppgifter behandlas för ändamål som anges i 1 mom. 1 eller 2 punkten, behandlas de enligt förslaget till nytt 2 mom. dessutom också för att skydda den nationella säkerheten. Ändringen innebär att med avvikelse från propositionen begränsas skyddet av den nationella säkerheten som ursprungligt behandlingsändamål till behandling av och beslutsfattande och övervakning i ärenden som gäller utlänningars inresa och utresa samt vistelse samt till behandling och beslutsfattande i ärenden som gäller förvärv, bibehållande, förlust av och befrielse från finskt medborgarskap samt bestämmande av medborgarskapsstatus. Till denna del motsvarar den föreslagna regleringen den gällande utlänningsregisterlagen, där tryggandet av statens säkerhet har föreskrivits som ett ursprungligt behandlingsändamål.
Uppgifterna i utlänningsregistret är viktiga med tanke på statens säkerhet och för att avvärja en gärning som allvarligt hotar Finlands säkerhet. Skyddet av den nationella säkerheten har ett väsentligt samband med just processerna för behandling av ärenden som gäller uppehållstillstånd, medborgarskap och visum. Däremot kan det inte anses att skyddet av den nationella säkerheten på motsvarande sätt som i 1 mom. 1 och 2 punkten hänför sig till andra behandlingsändamål enligt momentet, även om de uppgifter som behandlas i dessa syften naturligtvis i enskilda fall annars kan vara viktiga för att skydda den nationella säkerheten.
För att skydda den nationella säkerheten är det viktigt att se till att de personer som utgör ett hot mot den kan identifieras i ett så tidigt skede som möjligt och att man vid behov kan ingripa i deras vistelse på det sätt som föreskrivs i lagen. Ett hot mot den nationella säkerheten är en av de faktorer som avses i utlänningslagen och på basis av vilken en person kan vägras inresa eller avlägsnas ur landet. På motsvarande sätt är äventyrande av den nationella säkerheten en grund för att inte bevilja en sådan person visum vars inresa kan utgöra ett sådant hot.
Enligt propositionen avses med skydd av den nationella säkerheten i lagen om behandling av personuppgifter inom migrationsförvaltningen inte bara skyddspolisens skyldighet att skydda statens säkerhet, utan också myndigheternas allmänna skyldighet att som en del av sina lagstadgade uppgifter säkerställa att den nationella säkerheten tryggas. Migrationsverkets och utrikesministeriets primära uppgift är inte att sörja för skyddet av den nationella säkerheten, och deras möjligheter att självständigt ta ställning till om en sökande i ett enskilt fall äventyrar den nationella säkerheten är mycket begränsade. De är dock skyldiga att beakta aspekter som kan äventyra den nationella säkerheten när de fattar beslut i frågor som gäller invandring. Därför har den myndighet som ansvarar för tryggandet av den nationella säkerheten, dvs. skyddspolisen, som i egenskap av den enda civila myndigheten som har underrättelseinformation till sitt förfogande, ålagts ett omfattande remissansvar i förhållande till de myndigheter som ansvarar för invandring och visering. Det är framför allt fråga om myndighetssamarbete i en och samma process, där informationsutbytet och samarbetet ska vara effektivt. Motsvarande arbetsfördelning mellan tillstånds- och utlåtandemyndigheterna iakttas också i andra europeiska stater. Utöver uppgiften att lämna utlåtande har polisen i utlänningslagen också ålagts flera andra uppgifter som anknyter till skyddet av den nationella säkerheten.
För att skyddspolisens uppgift att skydda den nationella säkerheten ska kunna fullgöras måste skyddspolisen har möjlighet att söka i och behandla personuppgifter om invandring också annat än i samband med utlåtanden. Det föreskrivs särskilt om skyddspolisens rätt att få uppgifter. Med hjälp av uppgifterna i registret kan man upptäcka och identifiera personer som inte tidigare varit kända för skyddspolisen och som har anknytning till exempelvis terroristverksamhet. En tillräckligt omfattande och tillförlitlig identifiering av personer med anknytning till terroristverksamhet är en förutsättning för skyddspolisens fortsatta informationsinhämtning om personerna i fråga och för att förteckningen över personer som är föremål för bekämpning av terrorism och den sammantagna bilden av situationen ska vara aktuella. Identifieringen av en person som en person som äventyrar den nationella säkerheten kan också leda till någon process enligt utlänningslagen, såsom utvisning.
Till följd av den föreslagna ändringen avgränsas tillämpningsområdet för lagen om behandling av personuppgifter i polisens verksamhet (616/2019, nedan polisens personuppgiftslag) och lagen om behandling av personuppgifter inom migrationsförvaltningen noggrant i fråga om skyddet av den nationella säkerheten. Enligt 46 § 1 mom. i polisens personuppgiftslag föreskrivs i 7 kap. i den lagen om behandling av sådana personuppgifter enligt 1 § 1 mom. i polisens personuppgiftslag som behövs för skötseln av skyddspolisens uppgifter enligt 10 § i polisförvaltningslagen (110/1992). Enligt 48 § 1 mom. i polisens personuppgiftslag får skyddspolisen behandla personuppgifter som behövs för att skydda den nationella säkerheten, för att förhindra, avslöja och utreda verksamhet, förehavanden som hotar stats- och samhällsordningen eller statens säkerhet samt för att förhindra och avslöja brott som hotar stats- och samhällsordningen eller statens säkerhet. Skyddspolisen är med stöd av 47 § personuppgiftsansvarig för dessa personuppgifter. När skyddspolisen bereder ett utlåtande i ett utlänningsärende med stöd av 8 § i polisförvaltningsförordningen ska i princip polisens personuppgiftslag tillämpas. Skyddspolisen lagrar alltså i sitt ovannämnda register uppgifter om sådana målpersoner mot vilka skyddspolisen har behov att rikta informationsinhämtning eller andra åtgärder.
I och med den föreslagna ändringen blir lagen om behandling av personuppgifter inom migrationsförvaltningen tillämplig i de situationer där personuppgifter med stöd av 1 § 2 mom. behandlas för behandlingsändamål enligt 1 § 1 mom. 1 och 2 punkten för att skydda den nationella säkerheten. De uppgifter som behandlas för dessa ändamål registreras vid behov med stöd av 3 och 5 § i ärendehanteringssystemet för utlänningsärenden eller i det nationella informationssystemet för viseringar. Inom tillämpningsområdet för den föreslagna lagen begränsas behandlingen av personuppgifter för att skydda den nationella säkerheten till sådan behandling av personuppgifter som sker i dessa informationssystem. De uppgifter som ska registreras kan till exempel hänföra sig till skyddspolisens utlåtanden eller andra anteckningar i registren som skyddspolisen gör i samband med skötseln av de uppgifter som föreskrivs i utlänningslagen eller medborgarskapslagen.
För att bevara nuläget och förtydliga regleringen anser utskottet det motiverat att avgränsa de behandlingsändamål där det ursprungliga ändamålet med behandlingen av personuppgifter dessutom är att skydda den nationella säkerheten och att tydligt föreskriva om detta behandlingsändamål i ett eget moment.
I överensstämmelse med detta tillämpas enligt bestämmelsen i det nya 3 mom. lagen om behandling av personuppgifter i migrationsförvaltningen dessutom på rätten att behandla och få uppgifter om juridiska personer för ändamål enligt paragrafens 1 mom. Eftersom den föreslagna lagen gäller behandling av uppgifter om fysiska personer, är syftet med den föreslagna bestämmelsen att beakta att behandlingen av en fysisk persons ärende också kan kräva tillgång till och behandling av uppgifter om en juridisk person. Bestämmelser om rätten att få uppgifter trots sekretessbestämmelserna finns i den föreslagna 13 §.
Inte heller den rätt att få uppgifter som föreskrivs i den gällande lagen om utlänningsregistret begränsar sig enbart till personuppgifter. Exempelvis den personuppgiftsansvariges rätt enligt 8 § att få uppgifter av Skatteförvaltningen har också gjort det möjligt att få uppgifter om juridiska personer. Det är nödvändigt att bibehålla den nuvarande rätten att få uppgifter för att Migrationsverket, arbets- och näringsbyrån och närings-, trafik- och miljöcentralen ska kunna sköta sina lagstadgade uppgifter inom migrationsförvaltningen. Myndigheterna i fråga kan inte göra tillstånds - och medborgarskapsprövning eller övervakning, om de inte har tillgång till exempelvis beskattningsuppgifter om en juridisk person som sysselsatt en utlänning. Enligt den föreslagna lagen har Migrationsverket med stöd av den rätt att få uppgifter som föreskrivs i 13 § rätt att av Skatteförvaltningen få också uppgifter om juridiska personer för att med hjälp av fullgöranderapporten bedöma om försörjningsförutsättningen uppfylls. Utskottet anser att det av ovannämnda skäl är nödvändigt att föreskriva en sådan rätt att få information.
Med avseende på den som tillämpar lagen kan information om att den föreslagna lagen också innehåller bestämmelser om juridiska personer anses vara motiverad i detta fall. Utskottet föreslår dock att bestämmelsens formulering ses över.
2 §. Förhållande till annan lagstiftning.
Med hänvisning till vad som framställs i den allmänna motiveringen föreslår utskottet att paragrafen ändras så att det tydligt framgår hur den föreslagna lagen förhåller sig till den allmänna lagstiftningen om behandling av personuppgifter. Enligt det föreslagna 1 mom. tillämpas dataskyddslagen för brottmål på den behandling av personuppgifter som skyddspolisen utför med stöd av denna lag, om inte något annat föreskrivs i denna lag. Bestämmelser om behandling av personuppgifter som andra myndigheter som avses i denna lag utför med stöd av denna lag finns i dataskyddsförordningen och dataskyddslagen.
För tydlighetens skull konstaterar utskottet att till exempel på polisens övervakning av utlänningar tillämpas personuppgiftslagen inom migrationsförvaltningen när det är fråga om utförande av uppgifter enligt utlänningslagen. Polisens personuppgiftslag tillämpas å sin sida i situationer där övervakningen av utlänningar utförs som en del av polisens lagstadgade uppgifter som omfattas av tillämpningsområdet för lagen om dataskydd i brottmål.
Utskottet betonar dessutom att det i polisens personuppgiftslag med stöd av 131 § i utlänningslagen föreskrivs om behandling av identifieringsuppgifter om utlänningar som förs in i polisens register. Till denna del tillämpas som allmän lag lagen om dataskydd i brottmål.
3 §. Gemensamt personuppgiftsansvariga.
På de grunder som anges i allmänna motiven föreslår utskottet att gemensamt personuppgiftsansvar slopas och att migrationsförvaltningens myndigheter ska definieras som separata personuppgiftsansvariga. I den nu aktuella 3 § samlas bestämmelserna om personuppgiftsansvariga och ansvarsfördelningen i systemet för behandling av utlänningsärenden. Paragrafen måste därför omformuleras helt. Det föreslås att paragrafens rubrik ändras till "Personuppgiftsansvariga och ansvarsfördelningen i ärendehanteringssystemet för utlänningsärenden".
I 1 mom. föreslås bestämmelser om vilka uppgifter som behandlas för behandlingsändamål enligt 1 § i lagen som ska registreras i ärendehanteringssystemet för utlänningsärenden. Behandlingsändamålen begränsar typen av uppgifter som ska föras in i systemet eftersom de preciserar datainnehållet. Bestämmelser om de uppgifter om behandling av och beslut om viseringar som ingår i det nationella informationssystemet för viseringar finns i 5 § i lagförslaget.
Paragrafens 2 mom. innehåller bestämmelser om i vilka syften enligt 1 § varje personuppgiftsansvarig får behandla uppgifter i ärendehanteringssystemet för utlänningsärenden. Bestämmelserna utgår från respektive myndighets lagfästa uppgifter. I momentet föreskrivs det inte om utlämnande av uppgifter mellan de personuppgiftsansvariga, och den personuppgiftsansvarige får inte tillgång till uppgifter som registrerats av andra personuppgiftsansvariga med stöd av 2 mom., utan bestämmelser om rätten att få uppgifter mellan de personuppgiftsansvariga i systemet finns i 11 §. I det föreslagna 2 mom. föreskrivs om myndigheternas rätt att behandla uppgifter som de själva fört in. Detta gäller också uppgifter som erhållits och lagrats efter att de utlämnats av någon annan.
Jämfört med myndighetsförteckningen i det föreslagna 3 § 1 mom. i propositionen är det i det föreslagna 2 mom. nödvändigt att närmare specificera myndigheterna så att uttrycken motsvarar offentlighetslagen och lagen om informationshantering inom den offentliga förvaltningen (906/2019, nedan informationshanteringslagen). I regleringen ska också principen om att myndigheterna är åtskilda beaktas. På så sätt kan också ändamålen med behandlingen av uppgifter definieras närmare. Av dessa orsaker föreslås det att ordet Polisstyrelsen ersätts med ordet polis, och dessutom skiljs polisen och skyddspolisen tydligare från varandra genom att det särskilt föreskrivs om dem som egna punkter. Orden förläggningar och flyktingslussar ändras till singularis och separeras tydligare från varandra genom att det föreskrivs om dem som separata punkter. Ordet förvarsenheter ändras till singularis. Ordet utrikesförvaltning ersätts med orden utrikesministeriet och beskickningen, och det föreslås att bestämmelser om dem utfärdas separat som skilda punkter. Dessutom ändras de plurala termerna närings-, trafik- och miljöcentralerna samt arbets- och näringsbyråerna till singularis.
Syftet med preciseringen av de personuppgiftsansvariga är att de skyldigheter och det ansvar som hänför sig till uppgifter riktas mot rätt aktör. De myndigheter som i propositionen föreslås bli personuppgiftsansvariga behandlar personuppgifter för ändamål som ingår i tillämpningsområdet för lagen om behandling av personuppgifter inom migrationsförvaltningen enligt den behörighet som lagstiftningen ger och med utövning av prövningsrätt. I praktiken genomför dessa myndigheter de nödvändiga behandlingsåtgärderna i ärendehanteringssystemet för utlänningsärenden och registrerar uppgifterna i det systemet.
Dessutom finns det flera myndigheter som lämnar ut uppgifter till ärendehanteringssystemet för utlänningsärenden utan att vara personuppgiftsansvariga. Det är fråga om en sådan situation exempelvis när man med stöd av 65 § i utlänningslagen utreder familjeband med hjälp av DNA-undersökning och Institutet för hälsa och välfärd i egenskap av DNA-forskare överlåter sitt utlåtande i sitt eget system till Migrationsverket genom att registrera det i ärendehanteringssystemet för utlänningsärenden. På motsvarande sätt registreras ett beslut som fattats i det egna systemet i ärendehanteringssystemet för utlänningsärenden av högsta förvaltningsdomstolen eller förvaltningsdomstolen. Vid lagring av ett sådant utlåtande eller beslut är det fråga om utlämnande av uppgifter med stöd av rätten att få uppgifter enligt 13 § 1 mom. i lagförslaget. I 22 § i informationshanteringslagen föreskrivs om utlämnande av uppgifter mellan myndigheter med hjälp av ett tekniskt gränssnitt.
Enligt utredning till utskottet definieras också diskrimineringsombudsmannens ställning på motsvarande sätt. Enligt utredningen behandlar diskrimineringsombudsmannen inte personuppgifter i ärendehanteringssystemet för utlänningsärenden för ändamål som omfattas av tillämpningsområdet för den föreslagna lagen. Ärendehanteringssystemet för utlänningsärenden innehåller således inte sådana uppgifter som diskrimineringsombudsmannen ska ansvara för i egenskap av personuppgiftsansvarig. Däremot är det ytterst viktigt att trygga diskrimineringsombudsmannens heltäckande och smidiga rätt att få information och tillgodoseendet av den. Utskottet anser att den omfattande och heltäckande rätt att få uppgifter som föreskrivs i 4 § i lagen om diskrimineringsombudsmannen (1326/2014) säkerställer diskrimineringsombudsmannens tillgång till information i synnerhet när man i den föreslagna lagen har strävat efter att förtydliga bestämmelserna om utbyte av information. Utskottet anser det vara viktigt att diskrimineringsombudsmannens lagenliga rätt att få uppgifter förverkligas också i praktiken.
I 3 mom. föreskrivs det om hur den personuppgiftsansvariges ansvar bestäms. Var och en av de myndigheter som nämns i 2 mom. är registeransvarig för ärendehanteringssystemet i utlänningsärenden i fråga om de uppgifter som de lagrat. Med detta avses också uppgifter som erhållits och lagrats efter att de utlämnats av någon annan. Personuppgiftsansvarig för de uppgifter som polisen fört in är Polisstyrelsen och personuppgiftsansvarig för de uppgifter som Gränsbevakningsväsendet fört in är staben för Gränsbevakningsväsendet. Det föreslås ett undantag från denna huvudregel på det sätt som beskrivs nedan i sista meningen i 3 mom. Bestämmelser om den personuppgiftsansvariges skyldigheter finns i dataskyddsförordningen och dataskyddslagen samt i dataskyddslagen för brottmål. Personuppgiftsansvaret bestämmer vilken behörig myndighet som svarar för och beslutar också om behandlingen av handlingar i enlighet med offentlighetslagen.
Polisen lagrar och lämnar ut personuppgifter på olika sätt i olika situationer i ärendehanteringssystemet för utlänningsärenden och i det nationella informationssystemet för viseringar. Exempelvis polisens behandling av personuppgifter i samband med avlägsnande ur landet är i sin helhet en process som polisen utför i ärendehanteringssystemet för utlänningsärenden. Å andra sidan överförs uppgifter också från polisens egna informationssystem till detta system.
Ur polisens synvinkel utgörs en av de viktigaste ärendegrupper som behandlas i ärendehanteringssystemet för utlänningsärenden av ansökningar om internationellt skydd, i fråga om vilka polisen lagrar uppgifterna i ansökan. En del av de uppgifter som ingår i de ansökningar som polisen tar emot överförs till ärendehanteringssystemet för utlänningsärenden från informationssystemet för polisärenden. Polisen registrerar dock en del av uppgifterna direkt i ärendehanteringssystemet för utlänningsärenden. För behandlingen och beslutsfattandet efter det att en ansökan om internationellt skydd har registrerats svarar Migrationsverket, vars lagstadgade uppgifter ärendet hör till.
Det är inte ändamålsenligt att ansvaret för registerföringen av uppgifter om en ansökan om internationellt skydd riktas till polisen, eftersom polisens uppgifter i asylprocessen i huvudsak begränsar sig till mottagande av ansökningar och delgivning av Migrationsverkets beslut. Migrationsverket svarar i enlighet med utlänningslagen för behandlingen och beslutsfattandet efter att ansökningarna har lagrats. Det är motiverat att personuppgiftsansvaret fastställs på motsvarande sätt också i fråga om de personuppgifter i en ansökan om internationellt skydd som Gränsbevakningsväsendet har fört in. Bestämmelser om detta föreslås i sista meningen i 3 mom. Bestämmelser om polisens och Gränsbevakningsväsendets skyldighet att registrera en ansökan om internationellt skydd finns i 95 § 3 mom. i utlänningslagen. Migrationsverkets rätt att få uppgifter om registreringsuppgifter grundar sig på 13 § 1 mom. i den föreslagna lagen.
Enligt 4 mom. svarar Migrationsverket för ärendehanteringssystemet för utlänningsärenden i enlighet med informationshanteringslagen. Enligt 1 § i informationshanteringslagen är lagens syfte att säkerställa en enhetlig och kvalitativ hantering samt informationssäker behandling av myndigheternas informationsmaterial så att offentlighetsprincipen förverkligas, att möjliggöra ett tryggt och effektivt utnyttjande av myndigheternas informationsmaterial så att myndigheterna i enlighet med god förvaltningssed kan sköta sina uppgifter och tillhandahålla förvaltningskunderna tjänster på ett kvalitativt sätt och med gott resultat och att främja interoperabiliteten mellan informationssystem och informationslager. De ansvar och skyldigheter som föreskrivits för informationshanteringsenheten avser organiseringen av de personuppgiftsansvarigas uppgifter på det sätt som föreskrivs i informationshanteringslagen. Migrationsverket svarar till exempel i enlighet med 16 § i informationshanteringslagen för fastställandet av åtkomsträttigheterna till ärendehanteringssystemet för utlänningsärenden på begäran av var och en av de personuppgiftsansvariga. Migrationsverket ansvarar också för upprätthållandet och utvecklandet av ärendehanteringssystemet för utlänningsärenden. Varje personuppgiftsansvarig ansvarar för informationssystemets innehåll i fråga om sina egna åtgärder för behandling av personuppgifter.
Dessutom gör 4 mom. det möjligt för Migrationsverket att utföra vissa uppgifter för den personuppgiftsansvariges räkning. Enligt förslaget ska Migrationsverket i ärendehanteringssystemet för utlänningsärenden i enlighet med artikel 28 i dataskyddsförordningen och i behandlingssyfte enligt 1 § 2 mom. vara personuppgiftsbiträde enligt 17 § i lagen om dataskydd i brottmål, i enlighet med vad som särskilt avtalas om detta, för en annan personuppgiftsansvarigs räkning genomföra rättelse, elektronisk utlämning, radering och arkivering av personuppgifter, till den del Migrationsverket inte är personuppgiftsansvarig. Om personuppgiftsbiträdets uppgifter avtalas separat genom avtal mellan varje personuppgiftsansvarig och personuppgiftsbiträdet.
4 §. Ärendehanteringssystemet för utlänningsärenden.
Utskottet föreslår att paragrafen ändras i sin helhet. Innehållet i den 4 § som föreslås i propositionen har inkluderats till behövliga delar och preciserats i det föreslagna 3 § 4 mom.
I 12 § i lagförslaget i propositionen föreslås bestämmelser om de situationer där det trots sekretessbestämmelserna är möjligt att behandla personuppgifter inom lagens tillämpningsområde för andra ändamål än den ursprungliga behandlingen. Det är inte fråga om vilket annat behandlingsändamål som helst, utan om uppgifter som den personuppgiftsansvarige har enligt lag och vars utförande förutsätter behandling av personuppgifter för något annat ändamål än det för vilket uppgifterna ursprungligen lagrades. Med anledning av grundlagsutskottets utlåtande bör bestämmelserna om den personuppgiftsansvariges rätt att få uppgifter preciseras väsentligt. Därför måste också denna reglering preciseras. För att skapa en klar reglering föreslår förvaltningsutskottet att de situationer där det är fråga om utbyte av information mellan olika personuppgiftsansvariga ska särskiljas från de situationer där den personuppgiftsansvarige själv behandlar de uppgifter som den fört in i systemet för något annat ändamål än det ursprungliga. Det föreslås att den sistnämnda regleringen på grund av sitt sammanhang tas in i förslaget till ny 4 §. Det föreslås att paragrafens rubrik ändras till "Behandling av uppgifter som lagrats i ärendehanteringssystemet för utlänningsärenden för något annat behandlingsändamål än det ursprungliga".
Enligt artikel 6.4 i dataskyddsförordningen ska den personuppgiftsansvarige, om behandlingen sker för något annat ändamål än det för vilket uppgifterna har samlats in och behandlingen inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, bland annat beakta de omständigheter som anges i punkt 4 a—e för att säkerställa att behandlingen för något annat ändamål är förenlig med det ändamål för vilket uppgifterna ursprungligen samlades in.
Enligt skäl 50 i ingressen till dataskyddsförordningen bör behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in endast vara tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt dock fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Också den rättsliga grund för behandling av personuppgifter som unionsrätten eller medlemsstaternas nationella rätt erbjuder kan utgöra en rättslig grund för senare behandling av personuppgifter.
I skäl 50 konstateras det också bland annat att om behandlingen grundar sig på unionsrätten eller en medlemsstats nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att behandla personuppgifterna ytterligare, oavsett om detta är förenligt med ändamålen eller inte. I samtliga fall bör det dock säkerställas att principerna i dataskyddsförordningen tillämpas. Med viktiga mål av allmänt samhällsintresse hänvisas till de mål som avses i artikel 23.1, såsom allmän säkerhet, förebyggande, utredning och avslöjande av brott eller till exempel en tillsynsuppgift som även i enstaka fall har samband med myndighetsutövning i de fall som avses i punkt 1 a—e och g.
I 4 § i utskottets förslag är det fråga om behandling av personuppgifter som är nödvändiga för att den personuppgiftsansvarige ska kunna sköta sina lagstadgade uppgifter. De behandlingsändamål som nämns i 1 mom. har på grund av den fasta kopplingen mellan dem bedömts vara förenliga med de ändamål för vilka personuppgifterna ursprungligen registrerades. Utskottet anser att detta gagnar också den registrerades intressen, eftersom han eller hon då inte på nytt behöver lämna de uppgifter som redan har lämnats en gång, vilket också inverkar på hur smidig behandlingen av ärendet är och på behandlingstiden.
Enligt den utredning som lagts fram för utskottet är det nödvändigt att Migrationsverket använder till exempel de uppgifter om inresa som det behandlar med stöd av utlänningslagen för att bedöma om villkoren för erhållande av medborgarskap enligt 13 § i medborgarskapslagen (359/2003) uppfylls. Uppgifter enligt medborgarskapslagen om bestämmande av medborgarskapsstatus kan vara nödvändiga i ett inreseärende, till exempel i ett ärende som gäller internationellt skydd enligt utlänningslagen. Uppgift om medborgarskap som fåtts med stöd av medborgarskapslagen är nödvändig information till exempel i en situation där personen också har en anhängig ansökan om uppehållstillstånd enligt utlänningslagen. Migrationsverket förvaltar en del av förläggningarna och förvarsenheterna, och verket ska kunna behandla uppgifter som det fört in i dessa sammanhang också för andra behandlingsändamål. Uppgifter enligt mottagningslagen, såsom inkvarteringsuppgifter, eller placeringsuppgifter enligt förvarslagen, ska behandlas till exempel i samband med uppehållstillståndsprocessen enligt utlänningslagen (301/2004).
Flyktingslussen ska till exempel kunna använda de uppgifter som den behandlar i samband med sin registreringsuppgift enligt 133 § i utlänningslagen för att ordna mottagningstjänster enligt mottagningslagen för invandraren.
I den utredning som utskottet fått har beskickningar inte ansetts behöva behandla de uppgifter som de med stöd av 1 § 1 mom. 1 punkten samlat in för skötseln av sina uppgifter enligt utlänningslagen i det syfte som avses i 2 punkten för skötseln av sina uppgifter enligt medborgarskapslagen, eller tvärtom. Enligt utredningen gäller detsamma på motsvarande sätt också närings-, trafik- och miljöcentraler som behandlar uppgifter som de fört in med stöd av 1 § 1 mom. 1 och 5 punkten endast i det ursprungliga syftet.
Polisens rätt att få uppgifter enligt 16 § i polisens personuppgiftslag gör det möjligt för andra personuppgiftsansvariga att lämna ut uppgifter till polisen för andra ändamål än de som avses i lagen om behandling av personuppgifter inom migrationsförvaltningen. Med stöd av 1 mom. 6 punkten har polisen rätt att få uppgifter ur Gränsbevakningsväsendets och Tullens personregister, med stöd av 7 punkten rätt att få uppgifter ur utrikesministeriets informationssystem och med stöd av 8 punkten rätt att få uppgifter ur Migrationsverkets informationssystem.
Rätten att få uppgifter enligt polisens personuppgiftslag kan dock inte tillämpas på behandlingen av uppgifter i polisens egen registerföring. Bestämmelser om användning av personuppgifter i polisens registerföring för andra ändamål än det ursprungliga finns i 13 och 14 § i polisens personuppgiftslag. De uppgifter i polisens registerföring som hör till tillämpningsområdet för personuppgiftslagen för migrationsförvaltningen behöver dock kunna användas för andra ändamål än den ursprungliga, enligt samma principer som andra uppgifter i polisens registerföring. Eftersom uppgifterna inte kan anses vara nödvändiga vid polisens tillståndsprövning och tillståndstillsyn, föreslår utskottet att regleringen avgränsas så att det i 2 mom. föreskrivs om polisens rätt att i enlighet med 13 § 1 och 2 mom. i polisens personuppgiftslag använda uppgifter i sitt eget register som de fört in i ärendehanteringssystemet för utlänningsärenden.
I lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (639/2019, nedan Gränsbevakningsväsendets personuppgiftslag) ingår motsvarande bestämmelser (16 §) som i polisens personuppgiftslag. Också i fråga om Gränsbevakningsväsendet har det konstaterats ett motsvarande behov att komplettera regleringen. Utskottet föreslår därför ett nytt 3 mom. i 4 §.
I Tullens personuppgiftslagstiftning har det inte noterats något motsvarande behov av nya bestämmelser i fråga om uppgifter som lagrats i ärendehanteringssystemet för utlänningsärenden, eftersom Tullen inte lagrar uppgifter i ärendehanteringssystemet för utlänningsärenden.
Syftet med 4 mom. är att lämna fingeravtrycksuppgifter klart utanför det som föreskrivs i paragrafen. Bestämmelser om behandlingen av fingeravtryck som tagits av den som ansöker om främlingspass eller resedokument för flykting ska på motsvarande sätt som för närvarande finnas i 9 § i lagförslaget och bestämmelser om behandlingen av fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlemmar ska på motsvarande sätt som för närvarande finnas i 10 § i lagförslaget. Genom den föreslagna 4 § utvidgas således inte myndigheternas rätt att behandla fingeravtryck från vad som föreskrivs i 9 och 10 §.
5 §. Nationella informationssystemet för viseringar.
I enlighet med vad som konstateras i den allmänna motiveringen föreslår utskottet att bestämmelserna om personuppgiftsansvariga och ansvarsfördelningen i det nationella informationssystemet för viseringar samlas i 5 §. Paragrafen måste därför omformuleras helt. Det föreslås att paragrafens rubrik ändras till "Personuppgiftsansvariga och ansvarsfördelningen i det nationella informationssystemet för viseringar".
I 1 mom. föreslås bestämmelser om vilka uppgifter som behandlas för behandlingsändamål enligt 1 § i lagen som ska registreras i det nationella informationssystemet för viseringar. Behandlingsändamålen begränsar typen av uppgifter som ska föras in i systemet eftersom de preciserar datainnehållet.
Paragrafens 2 mom. innehåller bestämmelser om i vilka syften enligt 1 § varje personuppgiftsansvarig får behandla uppgifter i det nationella informationssystemet för viseringar. Bestämmelserna utgår från respektive myndighets lagfästa uppgifter. Avsikten är att momentet ska täcka varje personuppgiftsansvarigs alla behov av behandling av uppgifter i anslutning till det nationella informationssystemet för viseringar. I momentet föreskrivs det inte om utlämnande av uppgifter mellan de personuppgiftsansvariga och den personuppgiftsansvarige får inte tillgång till uppgifter som registrerats av andra personuppgiftsansvariga med stöd av 2 mom., utan bestämmelser om rätten att få uppgifter mellan de personuppgiftsansvariga i systemet finns i 12 §. I det föreslagna 2 mom. föreskrivs om myndigheternas rätt att behandla uppgifter som de själva fört in. Detta gäller också uppgifter som erhållits och lagrats efter att de utlämnats av någon annan.
Syftet med preciseringen av de personuppgiftsansvariga är att de skyldigheter och det ansvar som hänför sig till uppgifter riktas mot rätt aktör. De myndigheter som i propositionen föreslås bli personuppgiftsansvariga behandlar personuppgifter för ändamål som ingår i tillämpningsområdet för lagen om behandling av personuppgifter inom migrationsförvaltningen enligt den behörighet lagstiftning ger och med utövning av prövningsrätt. I praktiken genomför dessa myndigheter de nödvändiga behandlingsåtgärderna i det nationella informationssystemet för viseringar och registrerar uppgifterna i det systemet.
Med avvikelse från regeringens proposition föreslår utskottet att Tullen läggs till som personuppgiftsansvarig i det nationella informationssystemet för viseringar. Tullen är enligt 3 § i den gällande lagen om utlänningsregistret registeransvarig ("myndighet som för och använder registret") tillsammans med flera andra myndigheter. Enligt utredningen har det vid beredningen av propositionen bedömts att Tullen inte är personuppgiftsansvarig enligt den föreslagna lagen. Viseringsmyndigheter enligt definitionen i artikel 4.3 i Europaparlamentets och rådets förordning (EG) nr 767/2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) är med stöd av 30 och 31 § i utlänningslagen utrikesministeriet, Finlands beskickning, Gränsbevakningsväsendet, polisen, Migrationsverket och Tullen. I samband med utskottsbehandlingen har det framkommit att Tullens roll som myndighet som beviljar visum i princip inte skiljer sig alls från behörigheten för den personuppgiftsansvarige vid utrikesministeriet, beskickningen, Gränsbevakningsväsendet, polisen eller Migrationsverket i det nationella informationssystemet för viseringar. Därför är det motiverat att också Tullen utses till personuppgiftsansvarig i fråga om de viseringsuppgifter som den lagrat.
I 3 mom. föreskrivs det om hur den personuppgiftsansvariges ansvar bestäms. Var och en av de myndigheter som nämns i 2 mom. är personuppgiftsansvarig för det nationella informationssystemet för viseringar i fråga om de uppgifter som de lagrat. Med detta avses också uppgifter som erhållits och lagrats efter att de utlämnats av någon annan. Personuppgiftsansvarig för de uppgifter som polisen fört in är Polisstyrelsen och personuppgiftsansvarig för de uppgifter som Gränsbevakningsväsendet fört in är staben för Gränsbevakningsväsendet. Personuppgiftsansvaret bestämmer vilken behörig myndighet som svarar för och beslutar också om behandlingen av handlingar i enlighet med offentlighetslagen.
Enligt det föreslagna 4 mom. ansvarar utrikesministeriet för det nationella informationssystemet för viseringar i enlighet med informationshanteringslagen. Enligt 1 § i informationshanteringslagen är lagens syfte att säkerställa en enhetlig och kvalitativ hantering samt informationssäker behandling av myndigheternas informationsmaterial så att offentlighetsprincipen förverkligas, att möjliggöra ett tryggt och effektivt utnyttjande av myndigheternas informationsmaterial så att myndigheterna i enlighet med god förvaltningssed kan sköta sina uppgifter och tillhandahålla förvaltningskunderna tjänster på ett kvalitativt sätt och med gott resultat och att främja interoperabiliteten mellan informationssystem och informationslager. De ansvar och skyldigheter som föreskrivits för informationshanteringsenheten avser organiseringen av de personuppgiftsansvarigas uppgifter på det sätt som föreskrivs i informationshanteringslagen. Utrikesministeriet ansvarar till exempel i enlighet med 16 § i informationshanteringslagen för fastställandet av åtkomsträttigheterna till det nationella informationssystemet för viseringar på begäran av varje personuppgiftsansvarig. Utrikesministeriet ansvarar också för upprätthållandet och utvecklandet av det nationella informationssystemet för viseringar. Varje personuppgiftsansvarig ansvarar för informationssystemets innehåll i fråga om sina egna åtgärder för behandling av personuppgifter.
Dessutom gör 4 mom. det möjligt för utrikesministeriet att utföra vissa uppgifter för den personuppgiftsansvariges räkning. Enligt förslaget ska utrikesministeriet i det nationella informationssystemet för viseringar i behandlingssyfte enligt artikel 28 i dataskyddsförordningen och 1 § 2 mom. vara personuppgiftsbiträde enligt 17 § i lagen om dataskydd i brottmål i enlighet med vad som särskilt avtalas om detta, för en annan personuppgiftsansvarigs räkning genomföra rättelse, elektronisk utlämning, radering och arkivering av personuppgifter till den del utrikesministeriet inte är registeransvarig. Om personuppgiftsbiträdets uppgifter avtalas separat genom avtal mellan varje personuppgiftsansvarig och personuppgiftsbiträdet.
6 §. Kontaktpunkter för registrerade.
Eftersom utskottet ovan har föreslagit att gemensamt personuppgiftsansvar slopas, föreslås det inte heller några bestämmelser om kontaktpunkter för den registrerade. Utskottet har i de allmänna motiven konstaterat att det i en situation där det finns flera personuppgiftsansvariga dock är nödvändigt med ett motsvarande praktiskt arrangemang för att trygga tillgodoseendet av den registrerades rättigheter. Det är möjligt att avtala om ett sådant arrangemang mellan den personuppgiftsansvariga och personuppgiftsbiträdet som administrerar systemet för behandling av personuppgifter, och utskottet hänvisar till denna del till det föreslagna 3 § 4 mom. och 5 § 4 mom. Den registrerade har alltid rätt att också vända sig direkt till den behöriga personuppgiftsansvarige.
Lagförslaget innehåller inga bestämmelser om behandling av uppgifter i det nationella informationssystemet för viseringar för andra ändamål än den ursprungliga behandlingen. Enligt utredning till utskottet finns det inget behov av sådan reglering som det föreslagna 4 § 1 mom. till denna del. Däremot är det nödvändigt att i fråga om polisen, Gränsbevakningsväsendet och Tullen komplettera regleringen på motsvarande sätt och på samma grunder som det föreslås i 4 § 2 och 3 mom. i fråga om polisen och Gränsbevakningsväsendet. Utskottet föreslår att bestämmelser om detta införs som nytt innehåll i den föreslagna 6 §. Samtidigt föreslår utskottet att paragrafens rubrik ändras så att den lyder "Behandling av uppgifter som lagrats i det nationella informationssystemet för viseringar för något annat ändamål än det ursprungliga".
För tydlighetens skull konstaterar utskottet att fingeravtryck som tas för viseringar inte registreras i det nationella informationssystemet för viseringar, utan fingeravtrycken lagras direkt i EU:s informationssystem för viseringar (VIS).
7 §. Personuppgifter som får behandlas.
I paragrafen föreslås bestämmelser om personuppgifter som myndigheterna har möjlighet att behandla inom lagens tillämpningsområde. Behörigheten när det gäller att behandla en viss personuppgift bygger alltid på en särskild behörighetsbestämmelse.
Utskottet föreslår att uttrycket "i den mån det är behövligt" stryks ur paragrafen. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och, ifall behandlingen hör till tillämpningsområdet för dataskyddslagen avseende brottmål, 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i 8 § i denna lag.
I 3 mom. föreslås bestämmelser om behandling av uppgifter om iakttagelser som en ny grupp av personuppgifter. På grund av iakttagelseuppgifternas särskilda karaktär har deras betydelse i propositionen lagtekniskt betonats genom att koncentrera all reglering av dem till ett tydligt eget moment. Bestämmelser om att radera uppgifter om iakttagelser finns i 16 § 4 punkten i lagförslaget.
Eftersom det i fråga om iakttagelseuppgifter är fråga om en potentiellt mycket stor mängd uppgifter som ingriper i människors privatliv och som kan vara osäkra till sin natur och vilkas behandling innebär risk för stämpling, ska behandlingen av uppgifterna begränsas i enlighet med grundlagsutskottets etablerade utlåtandepraxis (t.ex. GrUU 18/2012 rd, GrUU 71/2014 rd). Behandlingen av uppgifter om iakttagelser styrs av principen om ändamålsbundenhet i myndigheternas verksamhet. Enligt propositionen gäller rätten att behandla uppgifter om iakttagelser endast uppgifter som utifrån omständigheterna eller en persons beteende med fog kan bedömas anknyta till den personuppgiftsansvariges behörighet att övervaka att förutsättningarna för personens inresa och vistelse i landet uppfylls eller behörighet att besluta om förvärv eller förlust av finskt medborgarskap, eller som med fog kan bedömas anknyta till den personuppgiftsansvariges skyldighet att sörja för arbetarskyddet för sina anställda. Bestämmelsen om iakttagelseuppgifter innehåller ett villkor för behandling av personuppgifter endast för fullgörande av uttryckliga lagstadgade uppgifter.
Uppgifterna om iakttagelser kan enligt propositionsmotiven gälla exempelvis sådana omständigheter eller händelser, såsom familjeförhållanden eller försörjning, som kan vara relevanta för tillståndsprövningen eller vid bedömningen av huruvida en persons vistelse i landet fortsatt motsvarar förutsättningarna för uppehållstillstånd. Uppgifterna kan också gälla omständigheter som kan vara relevanta vid beviljande av medborgarskap eller leda till förlust av medborgarskap, såsom uppgifter om identitet eller vistelsen i Finland (RP 235/2002 rd). Uppgifterna om iakttagelser kan vara uppgifter som påverkar arbetarskyddet, såsom uppgifter om en persons beteende, och som kan vara av betydelse exempelvis med avseende på ordnande av asylsamtal eller med tanke på andra åtgärder för att sörja för säkerheten.
Uppgifterna om iakttagelser ska följa principerna för behandling av personuppgifter i artikel 5 i dataskyddsförordningen. De ska således vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Iakttagelseuppgifter kan i enskilda fall anses höra till särskilda kategorier av personuppgifter och då måste behandlingen också uppfylla de krav enligt 8 § för behandling av sådana personuppgifter. Utskottet anser att man genom att avgränsa tillämpningsområdet och begränsa behandlingen kan säkerställa att behandlingen av varningsuppgifter är proportionerlig. Utskottet betonar också att det i motiveringen till propositionen nämns att förutsättningarna för behandling av varningsuppgifter ska tolkas snävt.
Enligt propositionsmotiven ska registreringen av iakttagelseuppgifter alltid ange varifrån uppgiften om iakttagelsen härstammar eller, om källan inte är känd, information om detta. Till uppgifterna om iakttagelser ska det om möjligt fogas uppgift om den som lämnat uppgiften eller om uppgiftskällan samt en bedömning av dennes tillförlitlighet och uppgifternas riktighet, sägs det i propositionen. Med beaktande av iakttagelseuppgifternas karaktär anser utskottet dock att det är möjligt och tillrådligt att alltid foga också en sådan bedömning till varningsuppgifterna. Utskottet föreslår därför att omnämnandet "om detta är möjligt" ska strykas i bestämmelsen.
Enligt motiveringen till propositionen får uppgifter om iakttagelser inte användas som grund för beslutsfattandet. Utskottet konstaterar att ett sådant förbud ska framgå direkt av lagtexten och föreslår att en bestämmelse om förbudet fogas till slutet av 3 mom.
8 §. Särskilda kategorier av personuppgifter som får behandlas.
Enligt artikel 9.1 i dataskyddsförordningen är behandling av särskilda kategorier av personuppgifter i princip förbjuden. Enligt artikel 9.2 får uppgifterna behandlas om något av villkoren i punkt 2 led a–j uppfylls. En del av de här leden ska tillämpas direkt medan andra kräver nationell lagstiftning. I regel ska dataskyddsförordningen tillämpas på sådan behandling av personuppgifter som avses i den föreslagna lagstiftningen.
Enligt 11 § i dataskyddslagen avseende brottmål är behandling av särskilda kategorier av personuppgifter tillåten endast om det är nödvändigt och de skyddsåtgärder som krävs för att trygga den registrerades rättigheter har vidtagits och en sådan särskild rättsgrund som nämns i 11 §, exempelvis en speciallag, är för handen. Utskottet hänvisar också exempelvis till motiveringen till lagstiftningsordningen i propositionen om polisens personuppgiftslag (RP 242/2018 rd) där det sägs att behandling av personuppgifter som hör till särskilda kategorier av personuppgifter ska begränsas med beaktande av EU:s dataskyddslagstiftning, lagstiftningen om grundläggande fri- och rättigheter och grundlagsutskottets ställningstaganden till vad som är nödvändigt med tanke på ändamålet med behandlingen samt att bestämmelser om nödvändighetskriterier finns i dataskyddslagen avseende brottmål.
Som det konstateras i grundlagsutskottets utlåtande GrUU 7/2019 rd, kommer lagförslaget att tillämpas på en mycket bred grupp av i huvudsak utlänningar, för vilkas del det i stor utsträckning kommer att behandlas uppgifter som hör till människors privatliv och som ofta också är känsliga.
Grundlagsutskottet har tagit ställning till hanteringen av känsliga uppgifter med utgångspunkt i att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar i de grundläggande fri- och rättigheterna (GrUU 42/2016 rd och de utlåtanden som nämns där). Här är det relevant att utskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför ansett att i synnerhet tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd), vilket inneburit att inrättandet av register med exempelvis sådana uppgifter måste bedömas i skenet av villkoren för inskränkningar i de grundläggande fri- och rättigheterna och med hänsyn till inskränkningarnas acceptabilitet och proportionalitet (t.ex. GrUU 29/2016 rd, GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftningen om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (t.ex. GrUU 38/2016 rd).
Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd och GrUU 14/2009 rd). Även enligt EU:s allmänna dataskyddsförordning bör särskilda personuppgifter, som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter, åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande fri- och rättigheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (t.ex. GrUU 3/2017 rd). Denna avgränsning har i utskottets senare praxis ansetts vara en fråga som är relevant för lagstiftningsordningen (t.ex. GrUU 15/2018 rd).
Utskottet menar att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter. Behovet av lagbestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. I fråga om behovet bör också det riskbaserade synsättet i förordningen vägas in. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd).
Grundlagsutskottets utlåtande innehåller ingen anmärkning till denna paragraf. Förvaltningsutskottet anser dock att en mycket detaljerad reglering av den 8 § som föreslås i propositionen är känslig för felaktiga motstridiga slutsatser, och därför föreslår förvaltningsutskottet i stället en allmän bestämmelse om kravet på nödvändighet vid behandlingen av känsliga uppgifter. Nödvändighetskravet gäller alla former av behandling. En motsvarande regleringslösning har också tagits in i personuppgiftslagarna för polisen, Gränsbevakningsväsendet och Tullen (t.ex. GrUU 51/2018 rd). Utskottet föreslår samtidigt en preciserad paragrafrubrik.
I motiveringen till regeringens proposition (s. 71—73) ges åskådliga exempel på hur uppgifter som hör till särskilda kategorier av personuppgifter ska behandlas inom migrationsförvaltningen. Förvaltningsutskottet betonar att behandlingen av känsliga uppgifter alltid förutsätter prövning från fall till fall.
9 §. Behandling av uppgifter om fingeravtryck som tagits för ansökningar om främlingspass och resedokument för flykting.
Utskottet föreslår att 1 mom. preciseras. Fingeravtryck som tagits av den som ansöker om främlingspass eller resedokument för flykting registreras uttryckligen i ärendehanteringssystemet för utlänningsärenden. I ärendehanteringssystemet för utlänningsärenden ingår också ett identitetskorts- och passdatasystem i fråga om främlingspass och resedokument för flykting. Bestämmelsens ordalydelse behöver också preciseras i övrigt. Dessutom är det motiverat att precisera utrikesförvaltningen till "utrikesministeriet och beskickningen".
Utskottet har strukit författningssamlingens nummer ur 2 mom., eftersom lagen i fråga nämns redan tidigare i den lagen.
10 §. Behandling av uppgifter om fingeravtryck som tagits för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem.
Utskottet föreslår att 1 mom. preciseras. Fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlemmar registreras uttryckligen i ärendehanteringssystemet för utlänningsärenden. Bestämmelsens ordalydelse behöver också preciseras i övrigt. Utskottet har strävat efter att precisera specificeringen av myndigheter i den föreslagna lagen. Utskottet konstaterar att det i andra meningen i 1 mom. finns skäl att specificera myndigheterna på motsvarande sätt som i 9 § 1 mom. Skyddet av den nationella säkerheten är ett behandlingsändamål enligt den gällande bestämmelsen, och skyddspolisen behöver därför nämnas särskilt i den föreslagna bestämmelsen. Enligt utredning sparar och behandlar utrikesministeriet inte de fingeravtrycksuppgifter som avses i denna paragraf, och därför är det inte nödvändigt att nämna dem i detta sammanhang.
I 2 mom. är hänvisningen till 1 § 1 mom. 6 punkten obefogad, eftersom utskottet har föreslagit att 6 punkten i fråga stryks. Skyddet av den nationella säkerheten har i övrigt beaktats i förslaget till 2 mom.
11 §. Behandling av personuppgifter för det ursprungliga ändamålet.
Med stöd av vad som anförts i den allmänna motiveringen föreslår förvaltningsutskottet att innehållet i paragrafen ändras så att den innehåller bestämmelser om rätten att få information mellan de personuppgiftsansvariga inom ärendehanteringssystemet för utlänningsärenden. Paragrafens rubrik behöver också ändras i överensstämmelse med detta.
Grundlagsutskottet har förutsatt att förhållandet mellan bestämmelserna om gemensamt personuppgiftsansvar och behandling av personuppgifter inom ramen för den och laggrunden för myndigheternas befogenheter och rätt att få uppgifter, ändamålsbundenheten vid behandlingen av personuppgifter och vedertagen praxis i fråga om grundlagsutskottets bestämmelser om myndigheternas rätt att få och lämna ut uppgifter trots sekretessplikten måste preciseras och bestämmelserna förtydligas väsentligt. Regleringen måste till alla delar uppfylla de krav som beskrivs i grundlagsutskottets praxis. Den här preciseringen är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning.
Förvaltningsutskottet har ovan föreslagit att gemensamt personuppgiftsansvar ska slopas och att migrationsförvaltningens myndigheter ska definieras som separata personuppgiftsansvariga. Det utesluter enligt utskottets uppfattning ändå inte att det är nödvändigt att specificera per ärendehanteringssystem och med betydligt större precision än i propositionen rätten för varje personuppgiftsansvarig att trots sekretessbestämmelserna få nödvändiga uppgifter från varje annan personuppgiftsansvarig. Likaså bör rätten för varje personuppgiftsansvarig att få uppgifter bindas till behandlingssyften enligt 1 § i den föreslagna lagen och till den personuppgiftsansvariges skötsel av uppgifter enligt utlänningslagen, medborgarskapslagen, lagen om villkor för tredjelandsmedborgares inresa och vistelse för säsongsanställning (907/2017, nedan säsongsarbetslagen), lagen om villkor för inresa och vistelse för tredjelandsmedborgare inom ramen för företagsintern förflyttning av personal (908/2017, nedan ICT-lagen), lagen om villkoren för tredjelandsmedborgares inresa och vistelse på grund av forskning, studier, praktik och volontärarbete (719/2018, nedan forskar- och studerandelagen), mottagandelagen, förvarslagen och integrationslagen. För att undvika överlappande reglering föreskrivs det dock inte i paragrafen om sådan rätt att få uppgifter som det föreskrivs särskilt om någon annanstans i personuppgiftslagstiftningen, utan till denna del innehåller den föreslagna paragrafen endast en informativ hänvisning till myndighetens rätt att få uppgifter enligt personuppgiftslagen. Trots den ändrade formen är det i paragrafen fråga om att bevara den gällande lagstiftningen och syftet är inte att ändra rättsläget.
Det föreslagna 1 mom. innehåller bestämmelser om rätt att få upplysningar för Migrationsverket, förläggningen, flyktingslussen, förvarsenheten, utrikesministeriet, beskickningarna, närings-, trafik- och miljöcentralerna samt arbets- och näringsbyrån.
I lagförslag 2 i propositionen föreslås det att 58 § 1 mom. i mottagningslagen ändras så att rätt för Migrationsverket, förläggningar och flyktingslussar att få uppgifter stryks ur bestämmelsen, eftersom bestämmelser om dessa aktörers rätt att få uppgifter finns i lagen om behandling av personuppgifter inom migrationsförvaltningen. I lagförslag 3 har det i 34 § 1 mom. som föreslås bli upphävt i sin tur funnits en hänvisning till rätten att få uppgifter enligt 58 § i mottagandelagen. Eftersom förläggningar, flyktingslussar och förvarsenheter är självständiga inrättningar, är det nödvändigt att föreskriva också om deras rätt att få uppgifter av andra motsvarande centraler eller enheter. En förläggning behöver exempelvis uppgifter från en annan förläggning i en situation där en invånare som får inkvarteringstjänster flyttar från en förläggning till en annan. Samma situation gäller förvarsenheter och kan också gälla flyktingslussar. Därför är det nödvändigt att det i den föreslagna 1 mom. 2 punkten bland annat föreskrivs om förläggningens rätt att få uppgifter av en annan förläggning, i 3 punkten på motsvarande sätt om flyktingslussens rätt att få uppgifter av en annan flyktingsluss och i 4 punkten om förvarsenhetens rätt att få uppgifter av en annan förvarsenhet.
I 53 § i mottagandelagen, som föreslås bli upphävd i lagförslag 2, föreskrivs det om rätt för förläggningar och flyktingslussar att få uppgifter av närings-, trafik- och miljöcentralen. Det är fortfarande nödvändigt för förläggningar och flyktingslussar att av närings-, trafik- och miljöcentralen få uppgifter som hänför sig till anvisande av personer som fått internationellt skydd till kommuner enligt integrationslagen. Därför är det nödvändigt att det i 1 mom. 2 och 3 punkten på samma sätt som i nuläget föreskrivs bland annat om förläggningarnas och flyktingslussarnas rätt att få uppgifter av närings-, trafik- och miljöcentralen.
När det gäller de personuppgiftsansvariga som nämns i 3 § i lagen om behandling av personuppgifter inom migrationsförvaltningen innehåller polisens och Gränsbevakningsväsendets personuppgiftslagstiftning redan nu ganska heltäckande bestämmelser om rätten att få uppgifter. Enligt 16 § 1 mom. 7 och 8 punkten i polisens personuppgiftslag har polisen rätt att få uppgifter ur Migrationsverkets och utrikesministeriets informationssystem för att utföra sina uppgifter enligt utlänningslagen. I 7 kap. i polisens personuppgiftslag föreskrivs om behandling av personuppgifter vid skyddspolisen. I 19 § i gränsbevakningsväsendets personuppgiftslag ingår å sin sida allmän rätt att få uppgifter av andra myndigheter.
För att undvika överlappande reglering föreslår förvaltningsutskottet med avvikelse från propositionen att bestämmelser om polisens, skyddspolisens och Gränsbevakningsväsendets rätt att få uppgifter för skötseln av uppgifter enligt utlänningslagen, medborgarskapslagen och förvarslagen ska finnas i de personuppgiftslagar som gäller dessa myndigheter. Det föreslås att det i den gällande 11 § för tydlighetens skull tas in en informativ hänvisning till personuppgiftslagarna i fråga (2 och 3 mom.).
Gränsbevakningsväsendets rätt att få uppgifter enligt 19 § i personuppgiftslagen är för närvarande tillräcklig för att trygga skötseln av Gränsbevakningsväsendets uppgifter enligt utlänningslagen. Polisens rätt att få uppgifter enligt 16 § 7 och 8 punkten i personuppgiftslagen behöver dock ses över till vissa delar för att det nuvarande rättsläget ska kunna bevaras. Utskottet hänvisar till sitt nya lagförslag 18 nedan.
3 kap. 16 § i polisens personuppgiftslag utgör också grunden för skyddspolisens rätt att få uppgifter. Enligt 52 § 2 mom. i polisens personuppgiftslag har skyddspolisen för utförande av sina uppgifter rätt att få de uppgifter som avses i 3 kap. på det sätt som föreskrivs i kapitlet i fråga.
Enligt ordalydelsen har skyddspolisen med stöd av 52 § i polisens personuppgiftslag rätt att få uppgifter exempelvis för utförande av uppgifter enligt utlänningslagen, medborgarskapslagen och polisförvaltningslagen. Uppgifterna ska användas för att skydda den nationella säkerheten och förhindra brott till den del detta föreskrivs i skyddspolisens behörighet.
Det föreslagna regleringssättet avviker från den gällande lagen, där skyddspolisens rätt att få uppgifter för att trygga statens säkerhet dessutom har grundat sig på ställningen som registeransvarig för utlänningsregistret enligt 3 § i lagen om utlänningsregistret, som nu föreslås bli upphävd, utan någon separat bestämmelse om utlämnande av uppgifter. Avsikten är inte att genom det nya regleringssättet i sak ändra skyddspolisens rätt att få uppgifter, utan uppgifterna i ärendehanteringssystemet för utlänningsärenden och i det nationella informationssystemet för viseringar står till skyddspolisens förfogande på samma sätt som tidigare.
Syftet med 4 mom. är att lämna fingeravtrycksuppgifter klart utanför det som föreskrivs i paragrafen. Bestämmelser om behandlingen av fingeravtryck som tagits av den som ansöker om främlingspass eller resedokument för flykting ska på motsvarande sätt som för närvarande finnas i 9 § i lagförslaget och bestämmelser om behandlingen av fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlemmar ska på motsvarande sätt som för närvarande finnas i 10 § i lagförslaget. Genom den föreslagna 11 § utvidgas således inte myndigheternas rätt att behandla fingeravtryck från vad som föreskrivs i 9 och 10 §. Detta innebär också att förmedling av fingeravtrycksuppgifter mellan de myndigheter som anges i 9 § sker med stöd av 9 § och att förmedling av fingeravtrycksuppgifter enligt 10 § på motsvarande sätt sker med stöd av 10 §.
12 §. Behandling av personuppgifter för andra ändamål än det ursprungliga.
Med stöd av vad som anförts i den allmänna motiveringen föreslår förvaltningsutskottet att paragrafen ändras helt och hållet så att den innehåller bestämmelser om rätten att få information mellan de personuppgiftsansvariga inom det nationella informationssystemet för viseringar. Paragrafens rubrik behöver också ändras i överensstämmelse med detta.
Med anledning av grundlagsutskottets konstitutionella anmärkning är det också i fråga om det nationella informationssystemet för viseringar nödvändigt att betydligt noggrannare än vad som föreslås i propositionen föreskriva om varje personuppgiftsansvarigs rätt att trots sekretessbestämmelserna få nödvändiga uppgifter av varje annan personuppgiftsansvarig och att binda varje personuppgiftsansvarigs rätt att få uppgifter till vissa behandlingsändamål enligt 1 § i den föreslagna lagen och den personuppgiftsansvariges skötsel av uppgifter enligt utlänningslagen. För att undvika överlappande reglering föreskrivs det dock inte i paragrafen om sådan rätt att få uppgifter som det föreskrivs särskilt om någon annanstans i personuppgiftslagstiftningen, utan till denna del innehåller den paragrafen endast en informativ hänvisning till myndighetens rätt att få uppgifter enligt personuppgiftslagen. I den föreslagna paragrafen är det fråga om att bevara den gällande lagstiftningen och syftet är inte att ändra rättsläget.
Det föreslagna 1 mom. innehåller bestämmelser om utrikesministeriets, beskickningarnas och Migrationsverkets rätt att få information.
I polisens, Gränsbevakningsväsendets och Tullens personuppgiftslagstiftning finns redan nu relativt täckande bestämmelser om dessa personuppgiftsansvarigas rätt att få uppgifter. Enligt 16 § 1 mom. 7 och 8 punkten i polisens personuppgiftslag har polisen, och enligt 16 § 1 mom. 12 och 13 punkten i Tullens personuppgiftslag Tullen rätt att få uppgifter ur Migrationsverkets och utrikesministeriets informationssystem för att utföra sina uppgifter enligt utlänningslagen. I 19 § i Gränsbevakningsväsendets personuppgiftslag ingår allmän rätt att få uppgifter av andra myndigheter.
För att undvika överlappande reglering föreslår förvaltningsutskottet med avvikelse från propositionen att bestämmelser om polisens, Gränsbevakningsväsendets och Tullens rätt att få uppgifter för skötseln av uppgifter enligt utlänningslagen ska finnas i de personuppgiftslagar som gäller dessa myndigheter. Det föreslås att det i den gällande 12 § för tydlighetens skull tas in en informativ hänvisning till personuppgiftslagarna i fråga (2—4 mom.).
Enligt utredning är Gränsbevakningsväsendets rätt att få uppgifter enligt 19 § i personuppgiftslagen för närvarande tillräcklig för att trygga skötseln av Gränsbevakningsväsendets uppgifter enligt utlänningslagen. Också Tullens rätt att få uppgifter enligt 16 § 1 mom. 12 punkten i personuppgiftslagen har bedömts räcka till för skötseln av Tullens uppgifter enligt utlänningslagen som gäller behandling och beslutsfattande i fråga om viseringar. Hänvisningen i 16 § 1 mom. 12 punkten i Tullens personuppgiftslag till utrikesministeriets informationssystem kan anses gälla också uppgifter som andra myndigheter har fört in i det nationella informationssystemet för viseringar, eftersom det i 5 § 4 mom. i lagen om behandling av personuppgifter inom migrationsförvaltningen föreskrivs att utrikesministeriet ansvarar för det nationella informationssystemet för viseringar.
Polisens rätt att få uppgifter ur utrikesministeriets informationssystem enligt 16 § 1 mom. 7 och 8 punkten i personuppgiftslagen behöver dock ses över till vissa delar för att det nuvarande rättsläget ska kunna bevaras. Utskottet hänvisar till sitt nya lagförslag 18 nedan.
13 §. Rätt att få information.
Utskottet har föreslagit att lagens 11 och 12 § ska föreskriva om rätt att få uppgifter mellan de personuppgiftsansvariga. I föreliggande 13 § finns liksom i propositionen bestämmelser om de personuppgiftsansvarigas övriga rätt att få uppgifter, med andra ord rätt att få uppgifter av aktörer utanför ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar. Paragrafens rubrik bör preciseras i enlighet med detta.
Genom den föreslagna regleringen utvidgas inte rätten att få sådana uppgifter som hör till särskilda kategorier av personuppgifter och som är nödvändiga för uppgifter enligt den gällande materiella lagstiftningen. Bestämmelser om behandling av särskilda kategorier av personuppgifter finns i 8 §. Inom migrationsförvaltningen är de lagar som skapar behörighet att få information utlänningslagen, medborgarskapslagen, lagen om säsongsarbete, ICT-lagen, forskar- och studerandelagen, mottagandelagen och integrationslagen. För tydlighetens skull konstaterar utskottet att exempelvis uppgifterna om utkomststöd är nödvändiga för att Migrationsverket ska kunna sköta en uppgift enligt 39 § i utlänningslagen och 13 § i medborgarskapslagen. Utan dem kan beslut inte fattas eller om uppgifterna är bristfälliga kan ett felaktigt beslut fattas.
Grundlagsutskottet riktade ingen anmärkning mot 13 § i propositionen. Förvaltningsutskottet anser dock att det för konsekvensens skull är motiverat att precisera bestämmelserna så att det till 1 mom. på motsvarande sätt som till 11 § fogas omnämnanden av utlänningslagen, medborgarskapslagen, säsongsarbetslagen, ICT-lagen, forskar- och studerandelagen, mottagandelagen, förvarslagen och integrationslagen. För skötseln av de uppgifter som hör till dem är det nödvändigt för Migrationsverket, förläggningen, flyktingslussen, förvarsenheten, närings-, trafik- och miljöcentralen, arbets- och näringsbyrån, utrikesministeriet och beskickningen att trots sekretessbestämmelserna och avgiftsfritt få uppgifter av den som nämns i bestämmelsen. Dessutom binds rätten att få uppgifter till var och en av de registeransvariga för vissa behandlingsändamål enligt 1 § i den föreslagna lagen.
I propositionen har man för tydlighetens skull strävat efter att koncentrera de personuppgiftsansvarigas rätt att få uppgifter till lagen om behandling av personuppgifter inom migrationsförvaltningen. Därför föreslås det att 6 kap. om register i mottagningslagen (lagförslag 2) och 5 a kap. om register i förvarslagen (lagförslag 3) upphävs. Bestämmelser om rätten att få uppgifter mellan de registeransvariga finns i 11 §. Det har föreslagits att 58 § 1 mom. i mottagningslagen ändras så att Migrationsverkets, förläggningens och flyktingslussens rätt att få uppgifter stryks ur bestämmelsen, eftersom bestämmelser om rätten att få uppgifter också till dessa delar finns i personuppgiftslagen för migrationsförvaltningen. Dessutom föreslås det att 34 § i förvarslagen ändras så att där inte längre hänvisas till 58 § i mottagningslagen, eftersom bestämmelser om rätten för de registeransvariga enligt lagen om behandling av personuppgifter inom migrationsförvaltningen att få uppgifter av aktörer utanför systemen finns samlade i 13 § i lagen om behandling av personuppgifter inom migrationsförvaltningen.
I enlighet med grundlagsutskottets utlåtande har man strävat efter att väsentligt precisera bestämmelserna om rätten att få uppgifter i lagen om behandling av personuppgifter inom migrationsförvaltningen. I detta sammanhang har man ytterligare på nytt bedömt de bestämmelser i mottagningslagen och i förvarslagen som föreslås bli ändrade och upphävda. Samtidigt har det upptäckts att för att bevara rätten att få uppgifter enligt 58 § 1 mom. i den gällande mottagningslagen och 34 § 1 mom. i den gällande förvarslagen samt den valda baslösningen för att koncentrera regleringen till lagen om behandling av personuppgifter inom migrationsförvaltningen, ska till den föreslagna 13 § fogas Migrationsverkets, förläggningens, flyktingslussens och förvarsenhetens rätt att få uppgifter av privata tjänsteproducenter som tillhandahåller tjänster enligt 3 och 4 kap. i mottagningslagen och 3 kap. i förvarslagen samt av företrädare som förordnats för barn utan vårdnadshavare. I bestämmelsen finns inget behov av att upprepa de offentliga tjänsteproducenterna som nämns i 58 § 1 mom. i mottagningslagen, eftersom den offentliga tjänsteproducenten är en aktör som omfattas av den föreslagna bestämmelsens rätt att få uppgifter enligt 4 § i offentlighetslagen.
Hälso- och sjukvårdstjänster enligt 3 och 4 kap. i mottagningslagen och 3 kap. i förvarslagen kan köpas av privata eller offentliga serviceproducenter. Därför ska Migrationsverket, förläggningen och förvarsenheten få de uppgifter som är nödvändiga för skötseln av deras uppgifter av den offentliga och privata tjänsteproducent som producerar dessa tjänster. Eftersom ett minderårigt barn utan vårdnadshavare kan omfattas av mottagningstjänster och även barn i vissa fall som anges i utlänningslagen kan placeras i en förvarsenhet, ska Migrationsverket, förläggningen och förvarsenheten få de uppgifter som är nödvändiga för skötseln av deras uppgifter också av den företrädare som förordnats för barnet utan vårdnadshavare. Av dessa orsaker föreslår utskottet att det till 1 mom. fogas omnämnanden av privata tjänsteproducenter och företrädare för barn utan vårdnadshavare.
Den föreslagna paragrafen tillämpas på de i bestämmelsen nämnda personuppgiftsansvarigas rätt att få uppgifter av aktörer utanför ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar. Bestämmelser om polisens rätt att få uppgifter som avses här finns i polisens personuppgiftslag och bestämmelser om Gränsbevakningsväsendets motsvarande rätt att få uppgifter i Gränsbevakningsväsendets personuppgiftslag. Utskottet föreslår för tydlighetens skull att det till paragrafen fogas informativa hänvisningar till dessa (nya 2 och 3 mom.). Exempelvis i 16 § 2 punkten i polisens personuppgiftslag föreskrivs det om polisens rätt att få uppgifter av Brottspåföljdsmyndigheten. I Tullens personuppgiftslag finns inte något användningsändamål som motsvarar polisens personuppgiftslag exempelvis i fråga om uppgifter som fås av Brottspåföljdsmyndigheten, och Tullen har inte bedömts ha behov av rätt att få uppgifter av myndigheter som inte hör till det nationella informationssystemet för viseringar när det gäller att bevilja, avslå, upphäva eller återkalla viseringar.
På grund av de nya momenten blir propositionens 2 mom. 4 mom. i paragrafen. I momentets 1, 2, 4, 6, 7 och 9 punkt föreslås bestämmelser om Migrationsverkets rätt att av Rättsregistercentralen, polisen, den kommunala socialmyndigheten, Skatteförvaltningen och Brottspåföljdsmyndigheten få behövlig information för prövning enligt artiklarna 8 och 16 i Europaparlamentets och rådets förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat (nedan förordningen om bestämmandet av den ansvariga staten). Artikel 8 i förordningen om bestämmandet av den ansvariga staten gäller en minderårig asylsökande och artikel 16 en situation där antingen en person som sökt internationellt skydd är beroende av omsorg av en person som vistas i Finland eller en person som vistas i Finland är beroende av en person som sökt internationellt skydd. Vid bestämmandet av vilken medlemsstat som är ansvarig för ansökan om internationellt skydd i enlighet med förordningen om bestämmandet av den ansvariga staten ska det utredas om den person som har ansökt om internationellt skydd har familjemedlemmar eller släktingar i ett annat land som tillämpar förordningen om bestämmandet av den ansvariga staten. Om det finns sådana familjemedlemmar eller släktingar ska man enligt förordningen om bestämmandet av den ansvariga staten i fråga om en minderårig person som sökt internationellt skydd och står i beroendeförhållande överväga om den person som är avsedd att ta hand om den minderårige eller den som står i beroendeförhållande är kapabel att ta hand om den. Prövningen av en persons omvårdnadsförmåga ingår således i fastställandet av vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd enligt förordningen. Syftet med prövningen är att skydda minderåriga som sökt internationellt skydd och personer som är beroende av en annan person.
I de uppgifter som behövs för prövningen är det fråga om en person som vistas i Finland och som också kan vara finsk medborgare. Förordningen om bestämmandet av den ansvariga staten innehåller inte i sig några bestämmelser om de uppgifter som behövs för bedömning av en persons omvårdnadsförmåga, och därför baserar sig de uppgifter som föreslås i 4 mom. och som Migrationsverket behöver för prövning på de uppgifter som förutsätts i de standardformulär som kommissionen utfärdat genom genomförandeförordning (EU) 118/2014. För att bedöma en persons omvårdnadsförmåga behöver Migrationsverket uppgifter om såväl personens underhållskapacitet, förmåner, inkomster och förmögenhet som social- och hälsovårdstjänster samt om misstänkta brott, förundersökning och böter, straff och avtjänande av straff som personen påförts.
Enligt grundlagsutskottets utlåtandepraxis som gäller erhållande och utlämnande av uppgifter trots sekretessbestämmelserna (GrUU 7/2019 rd samt GrUU 17/2016 rd och de utlåtanden som det hänvisas till i dem) har myndigheternas rätt att få uppgifter och möjligheten att lämna ut uppgifter kunnat hänföra sig till "behövliga uppgifter" med tanke på ett visst syfte, om man har försökt göra en uttömmande förteckning över de uppgifter som avses i lagen. I 2, 4 och 6 punkten i bestämmelsen i propositionen definieras inte datainnehållet i de uppgifter som behövs för prövningen enligt förordningen om bestämmandet av den ansvariga staten, och därför föreslår förvaltningsutskottet att bestämmelserna i fråga preciseras genom att datainnehållet i de uppgifter som behövs fogas till dem. Enligt erhållen utredning motsvarar den information som behövs av polisen i 4 punkten informationen av förundersökningsmyndigheten i 3 punkten, varför det med avvikelse från vad som föreslås i regeringspropositionen föreslås att det i bestämmelsen hänvisas till de uppgifter som behövs av förundersökningsmyndigheten. Rätten enligt 1 d och 3 punkten att få uppgifter av förundersökningsmyndigheterna gäller dock inte personuppgifter som behandlas för att förebygga eller avslöja brott.
Samtidigt har man gjort en ny bedömning av hur bestämmelserna om de uppgifter som behövs för prövningen enligt förordningen om bestämmandet av den ansvariga staten fördelar sig på olika punkter i momentet och ordalydelsen i dessa bestämmelser. För att bestämmelsen ska bli mer begriplig föreslår förvaltningsutskottet att alla informationsbehov enligt förordningen om bestämmandet av den ansvariga staten ska koncentreras till underpunkterna a—g i 4 mom. 1 punkten. Dessutom föreslås det att ordalydelsen i bestämmelsen ändras så att den direkt hänvisar till artiklar enligt förordningen om bestämmandet av den ansvariga staten, för vilka de uppgifter som räknas upp i bestämmelsen behövs för bedömningen av personens omsorgsförmåga. Den nya formuleringen avviker dock inte innehållsmässigt från den som föreslås i regeringspropositionen. På grund av den föreslagna ändringen behövs det inte längre hänvisningar i momentets övriga punkter till de uppgifter som behövs för prövningen enligt förordningen om bestämmandet av den ansvariga staten.
Enligt 4 a § i straffregisterlagen (770/1993) lämnas uppgifter om en person ut ur straffregistret till finska myndigheter i ärenden som gäller pass, finskt medborgarskap eller i utlänningslagen avsett visum, tillstånd eller annan åtgärd. Enligt 5 § utlämnas uppgifter ur straffregistret i form av straffregisterutdrag som innehåller de uppgifter om en person som har införts i registret eller en upplysning om att han eller hon inte har antecknats i registret. För att säkerställa Migrationsverkets rätt att få uppgifter ur straffregistret också för bedömning av en persons omvårdnadsförmåga enligt förordningen om bestämmandet av den ansvariga staten samt för bedömning av barnets bästa, möjligheterna till gemensamt liv eller försörjningsförutsättningen som ett led i helhetsbedömningen för att utreda förutsättningarna för uppehållstillstånd och uppehållsrätt, föreslår förvaltningsutskottet att det föreskrivs särskilt om dem i 4 mom. 1 punkten underpunkt c och 2 punkten underpunkt f. Dessutom föreslås ingressen i 2 punkten bli kompletterad med ett omnämnande om straffregister, eftersom det inte är en del av justitieförvaltningens riksomfattande register utan ett separat register.
Till följd av de ändringar som förvaltningsutskottet föreslår i 4 mom. blir punkterna 5—8 punkterna 4—7 och punkterna 10 och 11 punkterna 8 och 9.
Dessutom föreslås det att 4 mom. 8 punkten preciseras så att ordet utrikesförvaltning ersätts med uttrycket "utrikesministeriet eller beskickningen" som närmare specificerar den myndighet som lämnar ut uppgifterna.
14 §. Utlämnande av personuppgifter.
Enligt paragrafens 1 mom. får, utöver vad som föreskrivs någon annanstans i lag eller i internationella avtal som är bindande för Finland, sådana uppgifter som samlats in och registrerats med stöd av 1 § trots sekretessbestämmelserna lämnas ut i sådan omfattning som den mottagande myndighetens eller aktörens föreskrivna rätt till information för skötseln av lagstadgade uppgifter medger. I 2 mom. föreskrivs om utlämnande av uppgifter som hör till särskilda kategorier av personuppgifter och i 3 mom. om avgränsning av fingeravtrycksuppgifter. Paragrafen innebär enligt motiven att personuppgifter kan lämnas ut enbart med stöd av en rätt att få uppgifter som anges i nationell lagstiftning. Bestämmelser om utlämnande av personuppgifter till Europeiska unionens gemensamma informationssystem utfärdas särskilt.
Förvaltningsutskottet hänvisar till grundlagsutskottets utlåtandepraxis, som nämns i den allmänna motiveringen, om myndigheternas rätt att få eller lämna ut uppgifter trots sekretessbestämmelserna. Förvaltningsutskottet har föreslagit att bestämmelser om rätten att få uppgifter mellan de registeransvariga ska finnas i 11 och 12 § och bestämmelser om rätten att få andra uppgifter i 13 §. Bestämmelser om behandlingen av särskilda kategorier av personuppgifter finns i 8 §. Särskilda bestämmelser om hanteringen av uppgifter om fingeravtryck finns i 9 och 10 §. Enligt propositionsmotiven ska 14 § i fortsättningen göra det möjligt att lämna ut uppgifter också till andra än de aktörer som avses i 10 § i lagen om utlänningsregistret. Med stöd av bestämmelsen är det dock inte möjligt att lämna ut uppgifter utan att den mottagande parten i sin egen lagstiftning har rätt att få uppgifterna i fråga. Med beaktande av det som anförts ovan anser utskottet att den föreslagna 14 § är onödig och utskottet föreslår att den stryks. Till följd av detta ändras paragrafnumreringen analogt.
Slopandet av den 14 § som föreslås i regeringspropositionen har inga konsekvenser i fråga om de bestämmelser om utlämnande av uppgifter som föreslås bli upphävda i mottagningslagen, förvarslagen och integrationslagen, eftersom de myndigheter som nämns som mottagare i de bestämmelser som föreslås bli upphävda är registeransvariga enligt den föreslagna personuppgiftslagen för migrationsförvaltningen. Bestämmelser om rätten att få uppgifter mellan dem finns i 11 § i lagen.
14 (15) §. Utlämnande av uppgifter till Europeiska unionens gemensamma informationssystem.
Paragrafen avses innehålla bestämmelser om Migrationsverkets rätt att trots sekretessbestämmelserna till Europeiska unionens gemensamma informationssystem vilka inrättats genom förordningar som antagits med stöd av avdelning V kapitel 2 i fördraget om Europeiska unionens funktionssätt lämna ut personuppgifter enligt vad som förskrivs i de förordningarna.
De förordningar genom vilka EU:s gemensamma informationssystem inrättas är direkt tillämplig rätt. I enlighet med 29 § i offentlighetslagen ska det dock föreskrivas särskilt om utlämnande av sekretessbelagda uppgifter. I förordningarna fastställs entydigt vilka uppgifter som ska lagras i systemen. Dessa uppgifter som lagras i informationssystemen i enlighet med förordningarna kan vara antingen uppgifter som den personuppgiftsansvarige själv samlat in och som lagrats i ärendehanteringssystemet för utlänningsärenden eller i det nationella informationssystemet för viseringar eller uppgifter som den registeransvarige med stöd av sin rätt att få uppgifter fått av en annan myndighet och lagrat.
Exempelvis i Europaparlamentets och rådets förordning (EG) nr 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) föreskrivs det om skyldighet för medlemsstaternas myndigheter att föra in inreseförbudsregistreringar i Schengens informationssystem. Om skyldighet för medlemsstaternas myndigheter att i Schengens informationssystem föra in inreseförbudsregistreringar och som ny registreringskategori registreringar om återvändande föreskrivs det också i de så kallade SIS-förordningarna som upphäver den nämnda förordningen: Europaparlamentets och rådets förordning (EU) 2018/1860 om användning av Schengens informationssystem för återvändande av tredjelandsmedborgare som vistas olagligt i medlemsstaterna, Europaparlamentets och rådets förordning (EU) 2018/1861 om inrättande, drift och användning av Schengens informationssystem (SIS) på området in- och utresekontroller, om ändring av konventionen om tillämpning av Schengenavtalet och om ändring och upphävande av förordning (EG) nr 1987/2006 samt Europaparlamentets och rådets förordning (EU) 2018/1862 om inrättande, drift och användning av Schengens informationssystem (SIS) på området polissamarbete och straffrättsligt samarbete, om ändring och upphävande av rådets beslut 2007/533/RIF och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1986/2006 och kommissionens beslut 2010/261/EU.
De inreseförbud som registreras i Schengens informationssystem görs upp i ärendehanteringssystemet för utlänningsärenden. Avsikten är också att den nya registreringskategorin registreringar om återvändande ska genomföras i ärendehanteringssystemet för utlänningsärenden. Behöriga myndigheter som fattar beslut om återvändande och inreseförbud med stöd av 151 och 152 § i utlänningslagen är polisen, gränskontrollmyndigheten och Migrationsverket. Enligt 3 § 21 punkten i utlänningslagen avses med gränskontrollmyndighet Gränsbevakningsväsendet och andra myndigheter som har rätt att genomföra in- och utresekontroller enligt Europaparlamentets och rådets förordning (EG) nr 562/2006 om en gemenskapskodex om gränspassage för personer (kodex om Schengengränserna). Kodexen om Schengengränserna kodifierades senare genom Europaparlamentets och rådets förordning (EU) 2016/399. Enligt 12 § i gränsbevakningslagen (578/2005) utfärdas bestämmelser om fördelningen av gränskontrolluppgifter mellan Gränsbevakningsväsendet, polisen och Tullen vid olika gränsövergångsställen genom förordning av statsrådet. I 10 § i statsrådets förordning om gränsövergångsställen och om fördelning av gränskontrolluppgifter vid dem (901/2006) föreskrivs om fördelningen av gränskontrolluppgifter mellan polisen, Tullen och Gränsbevakningsväsendet. De facto har registreringar i ärendehanteringssystemet för utlänningsärenden gjorts av Migrationsverket, polisen och Gränsbevakningsväsendet.
I motsats till vad som konstateras i propositionsmotiven är bestämmelserna om utlämnande av uppgifter exempelvis till Schengens informationssystem i polisens och Gränsbevakningsväsendets personuppgiftslagar enligt utredningen inte tillämpliga på utlämnande av uppgifter som polisen och Gränsbevakningsväsendet fört in i ärendehanteringssystemet för utlänningsärenden till EU:s gemensamma informationssystem. Därför är det nödvändigt att i den föreslagna lagen till denna del föreskriva också om polisens och Gränsbevakningsväsendets rätt att lämna ut uppgifter.
De uppgifter som ska ingå i inreseförbudskungörelser och kungörelser om återsändande är sådana uppgifter som Migrationsverket, polisen och Gränsbevakningsväsendet i enlighet med 3 § i den föreslagna lagen behandlar i behandlingssyfte enligt 1 § 1 mom. 1 punkten och som behövs för skötseln av uppgifter enligt 9 kap. i utlänningslagen.
I kapitel II i VIS-förordningen föreskrivs om viseringsmyndigheternas registrering och användning av uppgifter. Viseringsmyndigheter enligt definitionen i artikel 4.3 i VIS-förordningen är med stöd av 30 och 31 § i utlänningslagen utrikesministeriet, Finlands beskickning, polisen, Gränsbevakningsväsendet, Tullen och Migrationsverket. Utrikesministeriet är den centrala myndighet som ansvarar för viseringsärenden och som hör till de viseringsmyndigheter som avses i artikel 4.3 i VIS-förordningen.
När viseringsbestämmelserna i utlänningslagen ändras så att de motsvarar Europaparlamentets och rådets förordning (EG) nr 810/2009 om införande av en gemenskapskodex om viseringar (viseringskodex) konstateras det i regeringens proposition (RP 275/2010 rd) att i motsats till en del andra medlemsstater har Finland inte ett system där en central myndighet som ansvarar för viseringsärenden deltar i viseringsbesluten så att den centrala myndigheten själv fattar visumbeslutet i stället för den beskickning eller den myndighet som ansvarar för personkontroller som avses i artikel 4.1 och 4.2 i viseringskodexen. Nuförtiden är det dock också möjligt för utrikesministeriet att delta i beslutsfattandet om visum. Viseringskodexen har ändrats genom förordning (EU) 2019/1155 så att medlemsstaterna kan besluta att ansökningar ska behandlas och beslut fattas av de centrala myndigheterna.
Enligt utredningen är de uppgifter som ska föras in i EU:s informationssystem för viseringar (VIS) sådana uppgifter som behövs för att sköta uppgifter enligt 3 kap. i utlänningslagen som utrikesministeriet, beskickningen, Migrationsverket, polisen, Gränsbevakningsväsendet och Tullen i enlighet med 5 § i den föreslagna lagen behandlar i det nationella informationssystemet för viseringar för syften enligt 1 § 1 mom. 1 punkten.
Med stöd av det som konstaterats ovan föreslår utskottet att bestämmelsen kompletteras så att det utöver Migrationsverket också nämns utrikesministeriet, beskickningen, polisen, Gränsbevakningsväsendet och Tullen.
15 (16) §. Radering av uppgifter.
I den föreslagna paragrafen föreskrivs om radering av personuppgifter ur de system där de behandlas. Artikel 6.3 i dataskyddsförordningen ger möjlighet att införa nationell lagstiftning om uppgifternas lagringstid. I enlighet med den princip som gäller uppgiftsminimering i artikel 5.1 c och lagringsminimering i artikel 5.1 e ska tidsfristerna för radering av uppgifter bygga på att uppgifterna behöver lagras bara den tid som den personuppgiftsansvarige behöver för att utföra sina lagstadgade uppgifter och som behövs för övervakningen av att lagar följs samt som är motiverad med avseende på individens rättssäkerhet.
För tydlighetens skull konstaterar utskottet att personuppgifter efter det att den lagstadgade lagringstiden löpt ut raderas antingen genom att de förstörs eller överförs till arkivet i enlighet med vad arkivverket bestämmer om varaktig förvaring av handlingar eller uppgifter i handlingar. Bestämmelser om utplåning av uppgifter som konstaterats vara felaktiga finns i 17 § i lagförslaget. Bestämmelser om den myndighet som ansvarar för utplåning av uppgifter finns i 3 och 5 § i lagförslaget, enligt vilka ansvaret för att utplåna personuppgifter ligger hos den personuppgiftsansvarige som ansvarar för uppgifterna, men det är möjligt att i ärendehanteringssystemet för utlänningsärenden koncentrera utplåningen av uppgifterna till Migrationsverket och i det nationella informationssystemet för viseringar till utrikesministeriet.
Arkivverket har med stöd av 8 § 3 mom. i arkivlagen (831/1994) bestämt att de uppgifter som lagrats i ärendehanteringssystemet för utlänningsärenden ska förvaras varaktigt. Efter raderingen bevaras de uppgifter som lagrats i ärendehanteringssystemet för utlänningsärenden varaktigt i ärendehanteringssystemet för utlänningsärenden med stöd av arkivverkets föreskrift. De tjänstemän som använder ärendehanteringssystemet för utlänningsärenden har inte tillgång till de arkiverade uppgifterna.
16 (17) §. Personuppgift som konstaterats vara felaktig.
Enligt 1 mom. i den paragraf som föreslås i regeringspropositionen får personuppgifter som konstaterats vara felaktiga bevaras i samband med en rättad personuppgift, om det behövs för att trygga rättigheterna för den registrerade, någon annan part eller en person som hör till den personuppgiftsansvariges personal. En sådan uppgift får behandlas endast i detta syfte. Enligt paragrafens 2 mom. ska en personuppgift som konstaterats vara felaktig utplånas genast när den inte längre behövs för tryggande av rättigheter, dock senast fem år efter att felet uppdagats.
Enligt artikel 16 i förordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Enligt motiveringen till regeringspropositionen begränsar den föreslagna 17 § inte rätten att rätta uppgifter, men i de situationer som avses i 1 mom. är det möjligt att bevara uppgifter som konstaterats vara felaktiga i samband med de rättade uppgifterna. Paragrafen föreslås innehålla bestämmelser om bevaring en personuppgift som konstaterats vara felaktig i sådana fall att det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till den personuppgiftsansvariges personal har. I förhållande till 9 § 2 mom. i utlänningsregisterlagen förändrar förslaget rättsläget på så sätt att också tryggande av andra parters rättigheter är relevant exempelvis när det gäller familjemedlemmars uppehållstillstånd.
I propositionsmotiven hänvisas bland annat till artikel 5.1 d i dataskyddsförordningen. Enligt den ska personuppgifter vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål ("exakthet"). Enligt artikel 5.1 e får personuppgifter dessutom inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas ("begränsning av lagring").
I artikel 6 i dataskyddsförordningen föreskrivs om laglig behandling av personuppgifter. I punkt 3 andra stycket sägs att syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat lagringstid. Unionsrätten eller medlemsstatens nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Dessutom betonas i skäl 39 i ingressen till dataskyddsförordningen bland annat att "Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Alla rimliga åtgärder bör vidtas för att rätta eller radera felaktiga uppgifter."
Enligt artikel 23.1 i ska det vara möjligt att i lagstiftningen begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12—22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa skydd av den registrerade eller andras rättigheter och friheter. Enligt punkt 2 ska sådana lagstiftningsåtgärder vid behov innehålla särskilda bestämmelser om bland annat lagringstider och tillämpliga skyddsåtgärder, med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling.
Utskottet anser att dataskyddsförordningen innehåller ett nationellt spelrum som möjliggör den föreslagna paragrafen. Förslaget begränsar inte den registrerades rätt till rättelse av uppgifter, och lagring av uppgifter som konstaterats vara felaktiga kan i detta sammanhang anses vara en nödvändig och proportionerlig åtgärd för att trygga rättigheter och friheter hos den registrerade, någon annan part eller den personuppgiftsansvariges personal. Utskottet betonar att alla personuppgifter måste behandlas på ett sådant sätt att det säkerställs att de är säkra och konfidentiella, vilket bland annat förhindrar obehörig åtkomst till personuppgifter eller utrustning som används för behandlingen av dem samt obehörig användning av sådana uppgifter eller sådan utrustning.
Enligt paragrafens föreslagna 2 mom. ska en personuppgift som konstaterats vara felaktig utplånas genast när den inte längre behövs för tryggande av rättigheter, dock senast fem år efter att felet uppdagats. För att minimera lagringen av felaktiga uppgifter (artikel 5.1 c i dataskyddsförordningen) föreslår utskottet att den maximala tidsfristen på fem år stryks.
17 (18) §. Arkivering av uppgifter.
Enligt förslaget ska det föreskrivas särskilt om arkivväsendets uppgifter och om de handlingar som ska överföras till arkivet. Enligt detaljmotiveringen till propositionen avser formuleringen vad som föreskrivs i den gällande arkivlagen eller med stöd av den. En motsvarande hänvisningsbestämmelse ingår också till exempel i polisens personuppgiftslag och i Gränsbevakningsväsendets personuppgiftslag.
För tydlighetens skull konstaterar utskottet att arkivbildaren är varje registeransvarig för vars räkning Migrationsverket i ärendehanteringssystemet för utlänningsärenden och utrikesministeriet i det nationella informationssystemet för viseringar vidtar de arkiveringsåtgärder som behövs med stöd av avtalet om behandling av personuppgifter.
18 (19) §. Tillgodoseende av den registrerades rätt att få tillgång till egna uppgifter.
I paragrafens 1 mom. sägs att en registrerad som vill utöva sin rätt att få tillgång till sina egna uppgifter ska framställa en skriftlig begäran om detta till den personuppgiftsansvarige samt styrka sin identitet antingen med handlingar som anses tillförlitliga eller personligen för den personuppgiftsansvarige eller genom stark autentisering.
I artikel 15 i dataskyddsförordningen föreskrivs det om den registrerades rätt att få tillgång till uppgifter om honom eller henne. Enligt artikeln ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och de uppgifter som räknas upp i artikeln. I artikeln föreskrivs inte i vilken form den registrerade ska lämna in sin begäran. Enligt punkt 3 sägs att om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat.
I skäl 63 i ingressen till dataskyddsförordningen konstateras bland annat att den registrerades rätt inte bör inverka menligt på andras rättigheter eller friheter. Resultatet av dessa överväganden bör dock inte bli att den registrerade förvägras all information. Om den personuppgiftsansvarige behandlar en stor mängd uppgifter om den registrerade, bör den personuppgiftsansvarige kunna begära att den registrerade lämnar uppgift om vilken information eller vilken behandling en framställan avser, innan informationen lämnas ut.
Syftet med den föreslagna paragrafen är inte att begränsa den registrerades rätt att få tillgång till sina egna uppgifter enligt artikel 15 i dataskyddsförordningen. Utskottet konstaterar att en persons privatliv ska skyddas vid utövandet av den registrerades rätt att få tillgång till sina egna uppgifter genom att man försäkrar sig om identiteten på mottagaren av personuppgifterna. De personuppgifter som är föremål för denna rätt kan vara känsliga eller sekretessbelagda. Därför måste det nås visshet om att den som uppgifterna lämnas ut till verkligen är den person som uppgifterna gäller. Samtidigt bör också rättigheterna för de andra som avses i skäl 63 i ingressen beaktas. I skäl 64 i ingressen till dataskyddsförordningen konstateras vidare att personuppgiftsansvariga bör vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad som begär tillgång, särskilt inom ramen för nättjänster och i fråga om nätidentifierare. Personuppgiftsansvariga bör inte behålla personuppgifter enbart för att kunna agera vid en potentiell begäran.
I artikel 12 i dataskyddsförordningen föreskrivs det om hur och i vilken form den personuppgiftsansvarige ska lämna uppgifterna till den registrerade. Enligt punkt 2 ska den personuppgiftsansvarige underlätta utövandet av den registrerades rättigheter i enlighet med artiklarna 15—22. I de fall som avses i artikel 11.2 får den personuppgiftsansvarige inte vägra att handla på begäran av den registrerade för att utöva dennes rättigheter enligt artiklarna 15—22, såvida inte den personuppgiftsansvarige visar att den personuppgiftsansvarige inte kan identifiera den registrerade.
Utskottet anser att bestämmelserna i den i propositionen föreslagna 19 § inte överlappar med bestämmelserna i dataskyddsförordningen, utan syftar till att främja tillgodoseendet av den registrerades rättigheter i enlighet med förutsättningarna i dataskyddsförordningen. En registrerad som vill utöva sin rätt att få tillgång till egna uppgifter ska enligt förslaget framställa en skriftlig begäran om detta samt styrka sin identitet antingen med handlingar som anses tillförlitliga eller personligen för den personuppgiftsansvarige eller genom stark autentisering. Enligt propositionsmotiven kan begäran göras exempelvis genom en begäran per e-post eller vanlig post eller med en blankett i samband med ett personligt besök. Utskottet betonar att det inte krävs någon formbunden skriftlig begäran. Begäran kan på den registrerades vägnar också framföras av en annan person, exempelvis en företrädare eller ett biträde.
I 2 mom. föreslås i fråga om begäran till polisen och Gränsbevakningsväsendet om rätt att kontrollera egna uppgifter i regeringspropositionen en reglering som avviker från huvudregeln, så att det förfarande som ingår i polisens och Gränsbevakningsväsendets personuppgiftslagar ska tillämpas på begäran som riktas till polisen och Gränsbevakningsväsendet. Målet har varit att säkerställa att samma förfarande alltid tillämpas på begäran som riktas till polisen och Gränsbevakningsväsendet oberoende av om begäran grundar sig på myndighetens egen personuppgiftslag eller på lagen om behandling av personuppgifter inom migrationsförvaltningen. Förvaltningsutskottet anser att detta är en klar och konsekvent lösning ur både myndighetens och den registrerades synvinkel. Utskottet anser att 2 mom. med beaktande av detta syfte bör preciseras ytterligare.
Dessutom är det av ovan nämnda skäl nödvändigt att till 2 mom. foga en motsvarande hänvisning också till 35 § i Tullens personuppgiftslag. Utskottet föreslår att en bestämmelse om detta fogas till slutet av 2 mom.
I det föreslagna 2 mom. hänvisas det till uppgifter i polisens, Gränsbevakningsväsendets och Tullens register. I praktiken är registerföringen bunden till de uppgifter som myndigheten lagrat, men formuleringen beaktar också vad som i 3 § 3 mom. med avvikelse från huvudregeln föreskrivs om Migris registeransvar.
På behandling av personuppgifter som utförs av skyddspolisen inom tillämpningsområdet för lagen om behandling av personuppgifter inom migrationsförvaltningen tillämpas i enlighet med den föreslagna 2 § som allmän lag lagen om dataskydd i brottmål. Därför används terminologin i den lagen i det nya 3 mom. i denna paragraf. Genom 23 § om den registrerades rätt till insyn i dataskyddslagen för brottmål har den registrerades rätt att få tillgång till sina egna personuppgifter enligt artikel 14 i dataskyddsdirektivet för brottmål genomförts.
Enligt det föreslagna nya 3 mom. ska en begäran om utövande av rätten till insyn i uppgifter i skyddspolisens registerföring framställas till polisen i enlighet med 41 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet. Målet är att säkerställa att det på motsvarande sätt som i fråga om polisen, Gränsbevakningsväsendet och Tullen alltid tillämpas samma förfarande på begäran om uppgifter i skyddspolisens registerföring oberoende av om det är fråga om uppgifter som omfattas av myndighetens egen personuppgiftslag eller av lagen om behandling av personuppgifter inom migrationsförvaltningen. I 41 § 2 mom. i polisens personuppgiftslag avses med registeransvarig Polisstyrelsen. Inspektionsrätten ska kunna utövas på samma sätt som enligt polisens personuppgiftslag genom att lämna in en begäran om utövande av inspektionsrätten till polisinrättningen och samtidigt styrka sin identitet. Om polisen möjliggör att en begäran om rätt till insyn lämnas in elektroniskt, kan en begäran om rätt till insyn som gäller personuppgifter som behandlas av skyddspolisen lämnas in på samma sätt via polisen.
19 (20) §. Den registrerades rätt till begränsning av behandling.
I propositionen föreslås att den registrerades rätt att begränsa behandlingen av sina personuppgifter enligt artikel 18 i dataskyddsförordningen ska begränsas i paragrafen. Det är enligt motiven med stöd av artikel 23.1 h och i möjligt att genom nationella lagstiftningsåtgärder begränsa också de rättigheter och skyldigheter som avses i artikel 18, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa en myndighets tillsyns-, inspektions- eller regleringsfunktion (underpunkt h) eller skydd av den registrerade eller andras rättigheter och friheter (underpunkt i).
Enligt motiveringen till propositionen ska grunden för en begäran om begränsning som en registrerad inom migrationsförvaltningen framställer sannolikt alltid vara att uppgifterna är oriktiga. Om behandlingen av personuppgifter alltid automatiskt begränsades på den registrerades begäran till dess att den personuppgiftsansvarige har försäkrat sig om att uppgiften stämmer, skulle det beroende på typen av uppgift vara möjligt att beslutsprocessen stannar upp för den tid det tar att kontrollera uppgifternas riktighet både inom migrationsförvaltningen och hos de myndigheter som använder uppgifter från migrationsförvaltningen för sina beslut. Migrationsförvaltningens beslutsfattande bygger på lag. Det är av avgörande betydelse att bekräftelse fås på att de uppgifter som besluten bygger på är riktiga. Annars går det inte att säkerställa riktiga beslut och att garantera den berörda personens rättssäkerhet.
Bestämmelser om den registrerades rätt att begränsa behandlingen av sina personuppgifter på den grunden att den registrerade bestrider uppgifternas riktighet finns i artikel 18.1 a i dataskyddsförordningen. Men den föreslagna paragrafen i propositionen är så formulerad att begränsningen av den registrerades rätt gäller hela tillämpningsområdet för artikel 18. Även om utgångspunkten är att en begäran om begränsning av en registrerad inom migrationsförvaltningen sannolikt grundar sig på artikel 18.1 a, håller en tolkning av dataskyddsförordningen först på att uppstå och alla tillämpningsfall kan enligt utskottets uppfattning inte förutses helt. Motiveringarna till uppgifternas användbarhet vikt för myndighetsarbetet gäller alla situationer där uppgifterna ska begränsas. För den händelse att tolkningen av förordningen senare skulle visa att begränsning kan begäras också med stöd av andra underpunkter, bör bestämmelsen enligt utskottets bedömning inte begränsas enbart till artikel 18.1 a.
Förvaltningsutskottet konstaterar att artikel 18.2 redan i sig inkluderar möjligheten att begränsa tillämpningen av artikeln exempelvis för ett viktigt allmänintresse för en medlemsstat. Det förefaller därför som att den registrerades rättigheter kan begränsas direkt med stöd av dataskyddsförordningen när det är nödvändigt för skötseln av myndighetens lagstadgade uppgifter.
Skäl 67 i ingressen till dataskyddsförordningen beskriver på vilket sätt behandlingen kan begränsas. Enligt den kan sätten att begränsa behandlingen av personuppgifter bland annat inbegripa att man tillfälligt flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör klart anges inom systemet.
Enligt den utredning som lagts fram för utskottet kan tillgodoseendet av den registrerades rätt enligt artikel 18 ha betydande konsekvenser för behandlingen av personuppgifter vid produktionen, beslutsfattandet och övervakningen av migrationsförvaltningens tjänster, exempelvis med tanke på upprätthållandet av ordningen och säkerheten vid förläggningar och flyktingslussar samt förvarsenheter samt skötseln av uppgifter inom övervakning av utlänningar. Också förutsättningarna för myndigheternas beslutsprövning och övervakning inom Migrationsförvaltningen enligt 212 § i utlänningslagen kan äventyras, om den registrerade till exempel bestrider riktigheten av en uppgift om ett hinder för beviljande eller giltighet av uppehållstillstånd, och den uppgift som eventuellt är väsentlig med tanke på tillståndsprövningen således inte kan användas vid beslutsfattandet i samband med den eller vid övervakningen av uppehållsrätten. Om tillämpningen av en begränsning som grundar sig på ett viktigt allmänt intresse enligt artikel 18.2 i dataskyddsförordningen anses förutsätta sådan automatisering av funktioner som krävs för begränsning av behandlingen som nämns i skäl 67 i ingressen, föranleder detta dessutom betydande ändringsbehov i ärendehanteringssystemet för utlänningsärenden och i det nationella informationssystemet för viseringar.
Det är fråga om att garantera andra personers rättigheter och friheter exempelvis där syftet är att trygga ordningen och säkerheten i förläggningar och flyktingslussar samt förvarsenheter, och på så sätt göra det möjligt att få tillgång till tjänster, eller där den registrerade till exempel kan förhindra behandlingen av en familjemedlems ansökan genom att bestrida uppgifternas riktighet. Enligt 1 § i utlänningslagen är syftet med lagen att genomföra och främja god förvaltning och rättssäkerhet i utlänningsärenden. Syftet med lagen är dessutom att främja reglerad invandring och internationellt skydd med respekterande av de mänskliga rättigheterna och de grundläggande fri- och rättigheterna samt med beaktande av internationella fördrag som är förpliktande för Finland. Beslutsfattandet inom migrationsförvaltningen är i sig i enlighet med 1 § i utlänningslagen övervakning av förutsättningarna för inresa och uppehållsrätt i landet.
Eftersom det i detta avseende ännu inte har uppstått någon myndighets- eller rättspraxis i fråga om tillämpningen av dataskyddsförordningen, anser förvaltningsutskottet att det i detta uttryckliga fall med hänsyn till det ovan nämnda är möjligt att begränsa den registrerades rättigheter på basis av artikel 23 i dataskyddsförordningen på det sätt som föreslås i propositionen.
Enligt artikel 23.2 i dataskyddsförordningen ska lagstiftningsåtgärder som begränsar den registrerades rättigheter enligt behov innehålla specifika bestämmelser som gäller de faktorer som räknas upp i punkten i fråga, bland annat skyddsåtgärder.
Utskottet konstaterar att bestämmelsen inte begränsar den registrerades rätt att kräva rättelse av oriktiga eller felaktiga uppgifter med stöd av artikel 16 i dataskyddsförordningen. En garanti för den registrerades rättsskydd är också de övriga rättigheter som anges i kapitel III i dataskyddsförordningen, som gäller den registrerades rättigheter, samt i kapitel VIII, som gäller rättsmedel, ansvar och påföljder. Om den registrerade anser att behandlingen av hans eller hennes personuppgifter är lagstridig, har den registrerade till exempel möjlighet att anhängiggöra ärendet i enlighet med artikel 77 i dataskyddsförordningen genom att anföra besvär hos tillsynsmyndigheten. Den registrerade kan också med stöd av förvaltningslagen (434/2003) anhängiggöra ett yrkande på att den lagstridiga behandlingen av personuppgifter ska upphöra. Då ska den personuppgiftsansvarige avgöra ärendet med iakttagande av förvaltningslagens procedurbestämmelser. Enligt utskottets bedömning kan det föreslagna undantaget således anses ringa med tanke på den registrerades rättsskydd, med beaktande av hur god förvaltning och rättssäkerhet annars tryggas vid den personuppgiftsansvariges behandling av personuppgifter.
I dataskyddslagen avseende brottmål föreskrivs om begränsning av den registrerades rättigheter i 28 §.
21 §. Automatiserat individuellt beslutsfattande.
Med hänvisning till grundlagsutskottets utlåtande och det som konstateras i den allmänna motiveringen föreslår utskottet att paragrafen stryks ur lagförslaget. Till följd av detta ändras paragrafnumreringen analogt.
20 (22) §. Dataskyddsbrott.
Utskottet föreslår att paragrafens rubrik ändras till "Hänvisning till strafflagen", eftersom det inte föreskrivs om dataskyddsbrott utan endast om en informativ hänvisningsbestämmelse. Bestämmelser om dataskyddsbrott finns i 38 kap. 9 § i strafflagen (39/1889).
22 (24) §. Övergångsbestämmelse.
Utskottet korrigerar hänvisningen till bestämmelsen så att den motsvarar den ändrade paragrafnumreringen.