Allmänt
Syftet med propositionen är att få den nationella socialtrygghets- och försäkringslagstiftningen att stämma överens med EU:s dataskyddsförordning. Dataskyddsförordningen är direkt tillämplig rätt, och därför föreslås det att bestämmelser som står i strid med eller överlappar den upphävs. I propositionen föreslås dessutom vissa bestämmelser som preciserar dataskyddsförordningen samt nödvändiga undantag från förordningens skyldigheter.
Propositionen har i huvudsak samma innehåll som proposition RP 52/2018 rd, som riksdagen behandlat redan tidigare. Den propositionen förföll i mars 2019. Den största skillnaden jämfört med den är att denna proposition inte innehåller några bestämmelser om automatiserat beslutsfattande. Förutom att bestämmelserna om automatiserat beslutsfattande har strukits har enligt propositionsmotiven de övriga ställningstagandena i grundlagsutskottets utlåtande GrUU 78/2018 rd om proposition RP 52/2018 rd beaktas.
Grundlagsutskottet anser i sitt utlåtande GrUU 17/2019 rd om den nu aktuella propositionen att lagförslagen kan behandlas i vanlig lagstiftningsordning. Grundlagsutskottet påpekar dock att social- och hälsovårdsutskottet i fråga om bestämmelser som gäller omfattande behandling av känsliga uppgifter särskilt noggrant bör se till att lagförslagen är förenliga med dataskyddsförordningen.
Social- och hälsovårdsutskottet anser att de föreslagna ändringarna behövs och fyller sitt syfte och tillstyrker lagförslagen, men ändrade på det sätt som framgår närmare av detaljmotiven nedan. De ändringar utskottet föreslår är främst tekniska och beror delvis på att vissa lagar som ingår i propositionen har ändrats.
Utskottet framhåller rent allmänt att lagstiftningen om skydd för personuppgifter är en komplicerad helhet som består av EU:s dataskyddsförordning, den nationella dataskyddslagen (1050/2018) och de särskilda bestämmelserna om behandling av personuppgifter i lagstiftningen om social trygghet. Också grundlagsutskottet anser i sitt utlåtande att skyddet för personuppgifter i första hand bör tillgodoses med stöd av dataskyddsförordningen och den nya nationella allmänna lagstiftningen. Lagstiftaren bör alltså vara restriktiv när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (se GrUU 78/2018 rd och GrUU 17/2019 rd).
Automatiserat beslutsfattande
Enligt propositionen krävs det ett omfattande utrednings- och beredningsarbete för att precisera bestämmelserna om automatiserat beslutsfattande på det sätt som grundlagsutskottet förutsatte i sitt utlåtande GrUU 78/2018 rd om den förfallna propositionen RP 52/2018 rd. Preciseringen kräver en uppdatering av den allmänna förvaltningslagstiftningen och gemensamma riktlinjer för förvaltningsområdena om allmänna principer för automatiserat beslutsfattande. Dessa utredningar och den analys som görs utifrån dem gäller flera olika ministeriers förvaltningsområden.
Utskottet håller med det som sägs i propositionen om att en möjlighet att fatta automatiserade beslut även när offentliga förvaltningsuppdrag utförs är mycket viktig med tanke på utvecklingen av ett allt mer digitaliserat samhälle. Också utfrågade sakkunniga är starkt av den åsikten att det snabbt behövs bestämmelser om automatiserat beslutsfattande.
Justitieministeriet utreder just nu beredningen av lagstiftning om automatiserat beslutsfattande. Utskottet anser att det är nödvändigt att skyndsamt bereda de ändringar i den allmänna lagstiftningen som det automatiserade beslutsfattandet kräver och de tekniska lösningar för informationshanteringen som verkställigheten av lagstiftningen förutsätter samt bestämmelser om dessa. (Utskottets förslag till uttalande)
Rätt att begränsa behandlingen
Enligt artikel 18.1 a i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om den registrerade bestrider personuppgifternas riktighet. Då begränsas behandlingen under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är riktiga. Den registrerades rättigheter får enligt dataskyddsförordningen begränsas om begränsningen genomförs på det sätt och enligt de villkor som anges i artikel 23 i förordningen. Begränsningen ska ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa någon omständighet som anges i artikel 23.1. En sådan omständighet kan enligt artikel 23.1 e bland annat vara en medlemsstats viktiga mål av generellt intresse, till exempel folkhälsa och social trygghet.
I propositionen föreslås det att lagstiftningen om social trygghet utökas med bestämmelser om undantag från rätten enligt dataskyddsförordningen att begränsa behandlingen. Enligt lagförslagen ska en registrerad, om dennes krav på begränsning är uppenbart ogrundat, inte ha rätt att kräva att den personuppgiftsansvarige begränsar behandlingen av personuppgifter till den del det är fråga om skötsel av en lagstadgad uppgift.
Enligt grundlagsutskottets utlåtande bör social- och hälsovårdsutskottet överväga om en så omfattande inskränkning av rätten att begränsa behandlingen är nödvändig när man beaktar att regleringen i förordningen är direkt tillämplig.
Enligt de föreslagna bestämmelserna inskränks rätten att begränsa behandlingen bara om kravet är uppenbart ogrundat. Begränsningen av den registrerades rätt fråntar inte den personuppgiftsansvarige skyldigheten att kontrollera den registrerades påstående om personuppgifternas riktighet. I enlighet med artikel 16 i dataskyddsförordningen ska den personuppgiftsansvarige utan onödigt dröjsmål rätta sådana personuppgifter om den registrerade som är oklara eller felaktiga. Bestämmelsen fråntar inte heller försäkringsanstalterna skyldigheten att följa principerna om god förvaltning. Den som utför lagstadgade uppgifter ska följa förvaltningslagen (434/2003). Där föreskrivs det bland annat att den verkställande myndigheten ska se till att ett ärende utreds tillräckligt och på behörigt sätt genom att skaffa den information och den utredning som behövs för att ärendet ska kunna avgöras. Också rättsmedlen enligt lagstiftningen om social trygghet utgör en garanti för den registrerades rättsskydd när den registrerade förvägras möjlighet att begränsa behandlingen av uppgifter.
Grunden för undantaget är enligt propositionen främst att trygga verkställigheten av social trygghet och tillsynen i samband med den. Enligt uppgift till social- och hälsovårdsutskottet kan den registrerades rätt enligt huvudregeln i dataskyddsförordningen att begränsa behandlingen i samband med verkställigheten av social trygghet leda till att lagstadgade förmåner inte kan beviljas eller betalas ut eller att utbetalningen av en förmån inte ens av giltiga skäl kan avbrytas eller upphöra. Med tanke på verkställigheten av social trygghet är det problematiskt om denna rätt kan utövas ogrundat för att skjuta upp eller förhindra en lagstadgad verksamhet. Den föreslagna restriktionen kan således ses som en nödvändig och proportionerlig åtgärd utifrån artikel 23.1 e i dataskyddsförordningen.
Försäkringsbolags rätt att behandla uppgifter om brott och brottsmisstankar
Regeringen föreslår i propositionen att lagstiftningen om försäkringsbolag (Lagförslag 36, lag om ändring av försäkringsbolagslagen, och lagförslag 18, lag om ändring av lagen om utländska försäkringsbolag) utökas med bestämmelser som möjliggör behandling av personuppgifter som hänför sig till brottsmisstankar och domar i brottmål och utlämnande av sådana uppgifter till andra försäkringsbolag för förvaltning av så kallade missbruksregister. De föreslagna bestämmelserna fungerar dels som ett bemyndigande till den personuppgiftsansvarige för att lagra uppgifterna, dels som begränsning för vilka uppgifter, på vilka villkor och hur länge de får hållas lagrade. Försäkringsbolagens missbruksregister, som baserade sig på tillstånd från datasekretessnämnden, var i bruk från 1996 till utgången av mars 2019. Som följd av att dataskyddsförordningen trädde i kraft måste det föreskrivas i lag om registret.
Grundlagsutskottet ansåg vid behandlingen av den proposition som förföll att syftet med bestämmelserna om missbruksregister är godtagbart (se GrUU 78/2018 rd). Men grundlagsutskottet ansåg både då och i sitt utlåtande om den nu aktuella propositionen att man när det gäller missbruksregister särskilt noggrant bör se till att lagförslagen stämmer överens med dataskyddsförordningen.
Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.
Propositionens förslag om ett missbruksregister för försäkringsbolag är till sitt viktigaste innehåll likadant som bestämmelserna om kreditinstituts och finansiella instituts kundanmärkningsregister. De bestämmelserna har tidigare godkänts i riksdagen (15 kap. 18 a § i kreditinstitutslagen, 610/2014). De skyddsåtgärder som bestämmelserna inbegriper och som dataskyddsförordningen kräver motsvarar de tillståndsvillkor som datasekretessnämnden har uppställt för de nuvarande missbruksregistren. För att garantera den registrerades rättsskydd ska en anteckning i missbruksregistret kunna göras först när det missbruk som ska registreras har anmälts till förundersökningsmyndigheten eller åklagaren. Anteckningen ska avföras ur registret om den registrerade i domstolen har konstaterats oskyldig eller om straffprocessen har lagts ner. En anteckning ska avföras ur registret senast fem år från det att anteckningen gjordes. Den registrerade ska underrättas, om ett avslag på en ansökan om försäkring eller något annat för den registrerade negativt beslut beror på uppgifter i registret. De registrerades rättigheter skyddas också av den föreskrivna tystnadsplikten för försäkringsanstalternas anställda. Social- och hälsovårdsutskottet anser att de skyddsåtgärder som ingår i lagförslaget är tillräckliga för att skydda de registrerades rättigheter och friheter. Sammantaget kan de föreslagna bestämmelserna således anses vara godtagbara.
Ekonomiutskottet föreslog i sitt utlåtande EkUU 9/2019 rd att social- och hälsovårdsutskottet bedömer möjligheten att komplettera bestämmelserna så att uppgifter om missbruk kunde lämnas ut till ett företag eller en sammanslutning som hör till samma finans- och försäkringskonglomerat. Ekonomiutskottet fäster också uppmärksamhet vid 30 kap. 3 a § 4 mom. i försäkringsbolagslagen. Enligt det momentet ska uppgifterna avföras ur registret senast fem år från det att en uppgift om brottet registrerades första gången. Med tanke på hur länge rättegångar i genomsnitt varar är en tidsfrist på fem år kort om det innefattar överklagande, menar ekonomiutskottet.
Social- och hälsovårdsutskottet konstaterar att ett syfte med de föreslagna bestämmelserna är att möjliggöra fortsatt användning av det missbruksregister som tidigare baserade sig på datasekretessnämndens tillståndsvillkor. Försäkringsbolag och kreditinstitut har tidigare haft separata register, och ur dessa har uppgifter inte kunnat lämnas ut korsvis. Om uppgifter i försäkringsbolagens missbruksregister skulle lämnas ut till andra företag i finansbranschen, skulle registrets användningsområde utvidgas. Social- och hälsovårdsutskottet anser att det vid den fortsatta beredningen bör utredas hur bestämmelserna om registrets användningsområde kunde ändras så att de motsvarar bestämmelserna om kreditinstitutens kundanmärkningsregister och hur bestämmelserna om förvaringstiden för uppgifterna kunde preciseras.
70 § i lagen om pensionsstiftelser (1774/1995)
Grundlagsutskottet och ekonomiutskottet fäster i sina utlåtanden uppmärksamhet vid lagförslag 2, som gäller lagen om pensionsstiftelser. I 70 § i den lagen finns bestämmelser om registret över pensionsstiftelser, om de anteckningar som ska göras i registret och om de uppgifter som ska lämnas ut ur registret. I lagförslag 2 i propositionen föreslås det att paragrafen får ett nytt 4 mom., där utlämnandet av personuppgifter ur registret preciseras. Enligt grundlagsutskottets och ekonomiutskottets utlåtanden kan man av motiveringen till den föreslagna bestämmelsen få den uppfattningen att avsikten är att lämna ut personuppgifter också för lagstridiga ändamål. I motiveringen till bestämmelsen hänvisas det dessutom till 1 a § i handelsregisterlagen (129/1979), som gör det möjligt att inrätta en offentlig informationstjänst och öppna en teknisk anslutning. Grundlagsutskottet säger i sitt utlåtande att regleringen måste preciseras om meningen är att uppgifterna ur registret över pensionsstiftelser ska kunna lämnas ut via en webbaserad offentlig informationstjänst.
Enligt uppgifter till utskottet är syftet med det föreslagna nya 4 mom. i 70 § i lagen om pensionsstiftelser att precisera den gällande regleringen om utlämnande av personuppgifter. Enligt den föreslagna bestämmelsen får Finansinspektionen, som är personuppgiftsansvarig, lämna ut uppgifter om personbeteckning och en utomlands bosatt persons hemadress ur registret endast om mottagaren enligt bestämmelserna om skydd för personuppgifter har rätt att registrera och använda sådana personuppgifter. Övriga personuppgifter (en persons namn, hemkommun och medborgarskap) får Finansinspektionen enligt lagförslaget lämna ut i elektronisk form trots 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet. En motsvarande bestämmelse finns redan i 1 a § i handelsregisterlagen. Registret över pensionsstiftelser är liksom handelsregistret delvis ett personregister, eftersom personuppgifter om fysiska personer registreras i det. Enligt lagen om pensionsstiftelser har var och en rätt att få uppgifter om de anteckningar som gjorts i registret och de handlingar som hör till dem. Det att andra uppgifter än personbeteckningar och hemadresser får lämnas ut elektroniskt utan att det behövs någon bedömning enligt 16 § 3 mom. i offentlighetslagen stöder detta syfte. Social- och hälsovårdsutskottet betonar att enligt lagen om pensionsstiftelser får registeruppgifter inte göras allmänt tillgängliga genom en offentlig informationstjänst och att det inte heller är meningen att lämna ut uppgifter ur registret på detta sätt. På denna punkt skiljer sig lagen om pensionsstiftelser från handelsregisterlagen.