I propositionen föreslås det sådana ändringar i socialtrygghets- och försäkringslagstiftningen som följer av EU:s allmänna dataskyddsförordning (2016/679/EU). Den är till alla delar förpliktande och direkt tillämplig lagstiftning i samtliga medlemsstater. Syftet med propositionen är att den nationella socialtrygghets- och försäkringslagstiftningen ska stämma överens med dataskyddsförordningen. Bestämmelser som står i strid med eller överlappar dataskyddsförordningen upphävs. I propositionen föreslås dessutom vissa bestämmelser som preciserar dataskyddsförordningen och innehåller nödvändiga undantag från dataskyddsförordningens förpliktelser. 

Det föreslås att lagstiftningen om försäkringsbolag utökas med bestämmelser som möjliggör behandling av personuppgifter som hänför sig till brottsmisstankar och domar i brottmål och utlämnande av dem till andra försäkringsbolag för upprätthållande av så kallade missbruksregister. Motsvarande bestämmelse föreslås även i kreditinstitutslagen. 

Det föreslås vidare att socialtrygghets- och försäkringslagstiftningen kompletteras med bestämmelser om automatiserade beslut. Automatiserade beslut ska vara tillåtna vid verkställigheten av lagstadgad social trygghet, om det med beaktande av det behandlade ärendets art och omfattning samt kraven på god förvaltning är möjligt att meddela ett automatiserat beslut. Att fatta automatiserade beslut vid privatförsäkring ska vara tillåtet, men den registrerade ska ha rätt att kräva att ärendet ska behandlas på nytt av en fysisk person. 

Ekonomiutskottet anser att de föreslagna bestämmelserna behövs och förordar ett godkännande men uppmärksammar utifrån sitt eget ansvarsområde social- och hälsovårdsutskottet på vissa aspekter som hänger samman med regleringen av försäkringsinstitutens och kreditinstitutens verksamhet. 

Det är inte helt enkelt att bedöma den föreslagna lagstiftningen eftersom man ännu inte vet hur innehållet i den nationella dataskyddslagen kommer att utformas. Av grundlagsutskottets utlåtande (GrUU 14/2018 rd—RP 9/2018 rd) framgår att det är uppenbart att dataskyddslagstiftningen inte kommer att träda i kraft i den form som föreslås i regeringens proposition, utan den kommer att ändras på vissa punkter. Grundlagsutskottet påpekar i sitt utlåtande att det finns skäl att undvika nationell speciallagstiftning, som bör reserveras för situationer då den är dels tillåten enligt dataskyddsförordningen, dels nödvändig för att tillgodose skyddet för personuppgifter. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Ekonomiutskottet anser att de lösningar som föreslås i regeringens proposition är motiverade. 

Användningen av missbruksregister grundar sig i dagsläget på tillstånd som datasekretessnämnden har beviljat på ansökan. Men när dataskyddsförordningen träder i kraft kommer nämnden och därmed också dess undantagslovspraxis att försvinna. Rättssäkerheten kräver emellertid att missbruksregister fortsatt ska kunna föras och utnyttjas utan avbrott. Det är därför nödvändigt att lagstiftningen kompletteras med bestämmelser om behandling och utlämnande av personuppgifter trots sekretessbestämmelser och att bestämmelserna är noggrant avgränsade och att det föreskrivs om särskilda skyddsåtgärder. Ekonomiutskottet anser att de föreslagna bestämmelserna motsvarar dessa krav. 

I propositionen tryggas den fortsatta användningen av missbruksregister genom en ny 30 kap. 3 a § i försäkringsbolagslagen. De skyddsåtgärder som nämns i lagrummet motsvarar dataskyddsförordningens krav och även de villkor som datasekretessnämnden har uppställt för de nuvarande missbruksregistren. 

Paragrafens 3 mom. behandlar de omständigheter som, när de är för handen, ska resultera i att en registeranteckning raderas. Ekonomiutskottet anser att bestämmelsen utformats så att ett oklart rättsläge kan uppkomma om någon i en rättsprocess i ärendet söker ändring i en dom i första instans. 

Ekonomiutskottet uppmärksammar också 4 mom. i samma paragraf, enligt vilket uppgifterna ska avföras ur registret senast fem år från det att en uppgift om brottet i fråga registrerades första gången. Med tanke på hur länge rättegångar i genomsnitt varar, är fataljen på fem år rätt kort, i synnerhet om processen innefattar överklagande. 

Ekonomiutskottet föreslår för social- och hälsovårdsutskottet att det överväger alternativet att ändra 3 mom. så att en uppgift ska avföras omedelbart efter en friande lagakraftvunnen dom. På samma sätt bör bestämmelsen i 4 mom. ändras så att den absoluta tidsgränsen ersätts med att tiden för avförande börjar löpa först efter en lagakraftvunnen dom. Då bör den utsatta tiden givetvis vara kortare än fem år. 

Förslaget till ny 18 a § i kreditinstitutslagen (610/2014) handlar om behandling av personuppgifter som hänför sig till missbruk och gör det möjligt för kredit- och finansinstitut att föra missbruksregister. Förslagen i regeringens proposition hinner emellertid knappast träda i kraft innan dataskyddsförordningen ska börja tillämpas (25.5.2018). Enligt utredning till utskottet håller man dessutom som bäst på och bereder ny lagstiftning i statsrådet för att register också ska kunna föras av betalningsinstitut och värdepappersföretag och för att uppgifter ur registren ska kunna utlämnas mellan de ovan nämnda aktörerna. Därmed kommer det att föreskrivas om registrens faktiska funktioner, utlämnande av uppgifter mellan finansbranschens aktörer, genom lagstiftning som just nu är inne i en utlåtandefas. Om bestämmelserna träder i kraft i olika takt blir registrens rättsliga status oklar under den mellanliggande tiden. Ekonomiutskottet påtalar vikten av att koordinera övergångs- och ikraftträdandebestämmelserna. 

Den nationella regleringen gör det möjligt för försäkringsanstalterna att fatta automatiserade beslut även annars än med den registrerades uttryckliga samtycke eller när det är nödvändigt för ingående eller fullgörande av ett avtal. Utskottet anser det utrett att det bör vara möjligt att fatta automatiserade beslut exempelvis i sådana ersättningsfall där den som söker ersättning inte är kund hos försäkringsbolaget eller t.ex. inte alls har kontakt med bolaget under hela processen. 

I propositionen beaktas å ena sidan de gränser den förpliktande EU-rätten uppställer för den nationella lagstiftningen, å andra sidan nya tekniska lösningar. Lagstiftningsramen har betydelse för finansbranschens villkor eftersom tillståndsplikten för verksamheten, den detaljerade regleringen och tillsynen över verksamheten sammantaget ger ett mycket gott skydd för den registrerade och dennes rättigheter. Utskottet anser att den förslagna lagstiftningen behövs och att förslagen är lämpliga med tanke på harmoniseringen av den nationella lagstiftningen och unionsrätten. Men utskottet uttrycker en viss oro för eventuell bristande kontinuitet ifall bestämmelserna träder i kraft vid olika tidpunkter.