Senast publicerat 03-11-2021 14:58

Regeringens proposition RP 12/2020 rd Regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om offentlig arbetskrafts- och företagsservice och 9 § i lagen om sektorsövergripande samservice som främjar sysselsättningen

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

I denna proposition föreslås det ändringar i lagen om offentlig arbetskrafts- och företagsservice och lagen om sektorsövergripande samservice som främjar sysselsättningen. 

I lagarna görs de ändringar som följer av Europeiska unionens allmänna dataskyddsförordning. De främsta ändringsbehoven hänför sig till att definiera personuppgiftsansvariga för arbets- och näringsbyråns kundinformationssystem och fastställa deras inbördes ansvarsfördelning samt att närmare än för tillfället ange de ändamål för vilka personuppgifter behandlas. 

Lagarna avses träda i kraft så snart som möjligt. 

ALLMÄN MOTIVERING

Inledning

Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) antogs i april 2016 och började tillämpas den 25 maj 2018, vilket var det datum som den nationella lagstiftningen om behandling av personuppgifter skulle stämma överens med den allmänna dataskyddsförordningen. 

I lagen om offentlig arbetskrafts- och företagsservice (916/2012) föreskrivs det om den offentliga arbetskrafts- och företagsservice som erbjuds kunderna och om att arbets- och näringsbyrån för ordnandet av servicen har ett kundinformationssystem. De gällande bestämmelserna om kundinformationssystemet stämmer inte till alla delar överens med den allmänna dataskyddsförordningen. 

Nuläge

2.1.1  EU:s allmänna dataskyddsförordning

Den allmänna dataskyddsförordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Den allmänna dataskyddsförordningen är direkt tillämplig lagstiftning i EU:s medlemsstater. Förordningen ger dock nationellt handlingsutrymme till vissa delar. Med nationellt handlingsutrymme avses att det är möjligt att utfärda nationell lagstiftning som kompletterar eller preciserar den allmänna dataskyddsförordningen, men endast till den del som detta uttryckligen tillåts i den allmänna dataskyddsförordningen. Å andra sidan åläggs den nationella lagstiftaren enligt den allmänna dataskyddsförordningen också en skyldighet att lagstifta om vissa frågor. 

Med personuppgift avses i den allmänna dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person, dvs. registrerad. Med behandling av personuppgifter avses en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. 

I den allmänna dataskyddsförordningen avses med personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, institution eller ett annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de enligt den allmänna dataskyddsförordningen vara gemensamt personuppgiftsansvariga. Respektive ansvar för gemensamt personuppgiftsansvariga kan fastställas genom de personuppgiftsansvarigas inbördes arrangemang eller helt eller delvis i medlemsstatens nationella rätt. Arrangemanget eller den nationella rätten ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Den registrerade får utöva sina rättigheter enligt förordningen med avseende på och emot var och en av de personuppgiftsansvariga oberoende av de gemensamt personuppgiftsansvarigas ansvarsfördelning. 

I den allmänna dataskyddsförordningen avses med personuppgiftsbiträde en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. 

I artikel 5 i den allmänna dataskyddsförordningen föreskrivs det om principer för behandling av personuppgifter. Den personuppgiftsansvarige svarar för att principerna följs och ska också kunna påvisa att så är fallet. 

Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. I den allmänna dataskyddsförordningen kallas denna princip för principen om laglighet, korrekthet och öppenhet. Principen om ändamålsbegränsning innebär att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. En annan central princip är uppgiftsminimering, som innebär att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Enligt korrekthetsprincipen ska personuppgifterna vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas, raderas eller rättas utan dröjsmål. Enligt principen om lagringsminimering får personuppgifter inte lagras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som behövs med tanke på de ändamål för vilka personuppgifterna behandlas. Principen om integritet och konfidentialitet innebär att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder. 

2.1.2  Allmän nationell lagstiftning som gäller behandling av personuppgifter samt informationshantering

Dataskyddslagen (1050/2018) trädde i kraft vid ingången av 2019 och ersatte personuppgiftslagen (523/1999). Dataskyddslagen kompletterar och preciserar EU:s allmänna dataskyddsförordning. Lagen är en allmän lag som tillämpas på behandling av personuppgifter. I och med att dataskyddslagen kompletterar och preciserar den allmänna dataskyddsförordningen utgör den ingen självständig och samlad helhet av lagstiftning, utan den ska tillämpas parallellt med den allmänna dataskyddsförordningen. Undantag från dataskyddslagens bestämmelser kan göras i speciallagstiftning, om det är möjligt inom ramen för den prövningsmarginal som den nationella lagstiftaren ges i den allmänna dataskyddsförordningen. Dataskyddslagen innehåller bestämmelser om den rättsliga grunden för behandling av personuppgifter, om behandling av särskilda kategorier av personuppgifter i vissa situationer, om den åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn, om tillsynsmyndigheten, om rättssäkerhet och om vissa särskilda behandlingssituationer. I dataskyddslagen föreskrivs det inte uttömmande om den rättsliga grunden för behandling av personuppgifter, utan det kan även i framtiden genom speciallagstiftning föreskrivas om grunderna för behandlingen inom ramen för de villkor som anges i den allmänna dataskyddsförordningen. 

I förarbetena till dataskyddslagen konstateras det att grunden för den nationella prövningsmarginalen finns i artikel 6 i den allmänna dataskyddsförordningen. Genom artikel 6 ges medlemsstaterna möjlighet att nationellt föreskriva om den rättsliga grunden för behandling av personuppgifter. Den rättsliga grunden för behandling av personuppgifter får fastställas i en medlemsstats nationella rätt när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 c och e). Behandlingen av personuppgifter inom den offentliga sektorn ska enligt regeringspropositionen med förslag till dataskyddslag i regel grunda sig på dessa rättsliga grunder för behandling av personuppgifter. (RP 9/2018 rd, s. 35) 

I artikel 9.1 i den allmänna dataskyddsförordningen föreskrivs det om förbud mot behandling av särskilda kategorier av personuppgifter. Behandling av dessa så kallade känsliga personuppgifter är dock inte förbjuden, om en av de grunder som anges i artikel 9.2 tillämpas som behandlingsgrund eller om villkoren i artikel 9.3 uppfylls. Det nationella handlingsutrymmet har utnyttjats i 6 § 1 mom. i dataskyddslagen, där det på det sätt som möjliggörs i artiklarna 9.2. och 9.3 i den allmänna dataskyddsförordningen föreskrivs om undantag till det behandlingsförbud som anges i artikel 9.1. Enligt 6 § 1 mom. i dataskyddslagen får särskilda kategorier av personuppgifter behandlas bl.a. om behandlingen av uppgifter regleras i lag eller föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag. I motiveringen till den bestämmelsen i dataskyddslagen menas att artikel 9.2 g i den allmänna dataskyddsförordningen möjliggör nationell lagstiftning om detta (RP 9/2018 rd, s. 88).  

En personuppgiftsansvarig och ett personuppgiftsbiträde som behandlar personuppgifter i en situation som avses i 6 § 1 mom. i dataskyddslagen ska enligt 2 mom. i samma paragraf vidta lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter. Sådana åtgärder är 

1) åtgärder för att det i efterhand ska kunna säkerställas och bevisas vem som har registrerat, ändrat eller överfört personuppgifter, 

2) åtgärder för att höja kompetensen hos den personal som behandlar personuppgifter, 

3) utnämning av ett dataskyddsombud, 

4) den personuppgiftsansvariges och personuppgiftsbiträdets interna åtgärder för att förhindra tillträde till personuppgifter, 

5) pseudonymisering av personuppgifter, 

6) kryptering av personuppgifter, 

7) åtgärder för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och tjänsterna i anknytning till behandlingen av personuppgifterna, inbegripet förmåga att återställa tillgängligheten och tillgången till uppgifterna i rimlig tid vid en fysisk eller teknisk incident, 

8) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet, 

9) särskilda förfaranderegler för att säkerställa att dataskyddsförordningen och dataskyddslagen iakttas när personuppgifter överförs eller behandlas för något annat ändamål, 

10) utförande av en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen, 

11) andra tekniska, förfarandemässiga och organisatoriska åtgärder. 

I dataskyddslagen föreskrivs det om tystnadsplikt som tillämpas på alla åtgärder som har samband med behandlingen av personuppgifter. Enligt 35 §, som gäller tystnadsplikt, får den som vid utförandet av åtgärder som har samband med behandlingen av personuppgifter har fått kännedom om något som gäller en annan persons egenskaper, personliga förhållanden, ekonomiska ställning eller någon annans affärshemligheter inte obehörigen för utomstående röja de uppgifter som han eller hon erhållit på detta sätt eller använda uppgifterna för sin egen eller någon annans vinning eller för att skada någon annan. Enligt detaljmotiveringen till den paragrafen gäller tystnadsplikten t.ex. en person som är anställd hos den personuppgiftsansvarige eller personuppgiftsbiträdet. 

I 26 § 1 mom. i dataskyddslagen föreskrivs det om straff för brott mot tystnadsplikten. Där föreskrivs det om straffbestämmelser genom hänvisningar till strafflagen (39/1889). Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen. Bestämmelser om straff för kränkning av kommunikationshemlighet och för grov kränkning av kommunikationshemlighet finns i 38 kap. 3 och 4 § i strafflagen och bestämmelser om straff för dataintrång och för grovt dataintrång i 38 kap. 8 och 8 a § i den lagen. Till straff för brott mot tystnadsplikten enligt 35 § i dataskyddslagen döms enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § i strafflagen eller om inte strängare straff för den föreskrivs någon annanstans i lag. I 38 kap. 10 § 3 mom. i strafflagen finns det bestämmelser om åklagarens skyldighet att höra dataombudsmannen innan åtal väcks för brott som nämns ovan liksom om domstolens skyldighet att ge dataombudsmannen tillfälle att bli hörd när domstolen behandlar ett sådant mål. 

Lagen om informationshantering inom den offentliga förvaltningen (906/2019, nedan informationshanteringslagen) trädde i kraft den 1 januari 2020. Genom den upphävdes lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011) samt ersattes bestämmelserna om god informationshantering i lagen om offentlighet i myndigheternas verksamhet (621/1999). Informationshanteringslagen är en allmän lag som gäller informationshantering hos myndigheter. Syftet med lagen är att säkerställa enhetlig och kvalitativ hantering samt informationssäker behandling av myndigheternas informationsmaterial. Lagen syftar också till att möjliggöra ett tryggt och effektivt utnyttjande av myndigheternas informationsmaterial så att myndigheterna i enlighet med god förvaltningssed kan sköta sina uppgifter och tillhandahålla tjänster på ett kvalitativt sätt och med gott resultat. Dessutom syftar lagen till att främja interoperabiliteten mellan informationssystem och informationslager. 

Enligt 16 § i informationshanteringslagen ska den systemansvariga myndigheten definiera användarrättigheterna för informationssystem. Användarrättigheterna ska definieras och uppdateras utifrån användarens uppgiftsrelaterade användningsbehov. I 17 § föreskrivs om insamling av logginformation. En myndighet ska ombesörja att logginformation insamlas om användning av dess informationssystem och om utlämnande av information från dem, om användningen förutsätter identifiering eller annan registrering. Syftet med logginformationen är uppföljning av användningen och utlämnandet av information från informationssystem samt utredning av tekniska systemfel. 

2.1.3  Behandling av personuppgifter inom den offentliga arbetskrafts- och företagsservicen

I lagen om närings-, trafik- och miljöcentralerna (897/2009) föreskrivs det om närings-, trafik- och miljöcentralerna (nedan NTM-centralerna) och arbets- och näringsbyråerna. Arbets- och näringsbyråerna är lokala förvaltningsmyndigheter som lyder under NTM-centralerna. Arbets- och näringsbyråerna har till uppgift att främja tryggandet av tillgången på arbetskraft och förbättrandet av sysselsättningen, genomföra den offentliga arbetskraftsservicen, främja integrationen av invandrare och erbjuda rådgivning i anslutning till företagstjänster. NTM-centralerna har bland annat till uppgift att styra och övervaka arbets- och näringsbyråerna. NTM-centralerna och arbets- och näringsbyråerna har ett gemensamt riksomfattande kundservicecenter, arbets- och näringsförvaltningens kundservicecenter, som det föreskrivs om i statsrådets förordning om närings-, trafik- och miljöcentralerna (1373/2018). Kundservicecentret producerar tjänster inom arbets- och näringsministeriets förvaltningsområde för person- och företagskunder. Arbets- och näringsförvaltningens kundservicecenter ger information, råd och handledning om offentlig arbetskrafts- och företagsservice per telefon, e-post och andra elektroniska kanaler. Administrativt är arbets- och näringsförvaltningens kundservicecenter en fristående enhet vid NTM-centralen i Södra Savolax, men huvuddelen av kundrådgivarna i den riksomfattande telefontjänsten arbetar i anslutning till arbets- och näringsbyråerna. 

I lagen om offentlig arbetskrafts- och företagsservice föreskrivs det om serviceprocessen för arbetssökande och om den offentliga arbetskrafts- och företagsservice som erbjuds kunderna. Med kunder avses enskilda (enskilda kunder), arbetsgivare och företag som ansöker om eller får service, stöd eller ersättningar enligt lagen om offentlig arbetskrafts- och företagsservice. För ordnande av offentlig arbetskrafts- och företagsservice drivs ett kundinformationssystem för arbets- och näringsbyrån. 

Bestämmelser om arbets- och näringsbyråns kundinformationssystem och om behandling av personuppgifter som registreras i systemet finns i 13 kap. i lagen om offentlig arbetskrafts- och företagsservice. Arbets- och näringsbyråns kundinformationssystem (URA-systemet) består av ett register över enskilda kunder, ett arbetsgivarregister och ett register över serviceproducenter. I 13 kap. 1 § 1 mom. i den gällande lagen om offentlig arbetskrafts- och företagsservice föreskrivs att kundinformationssystemet drivs för ordnande av offentlig arbetskrafts- och företagsservice. Kundinformationssystemet används dock för närvarande också för myndighetsuppgifter i samband med utkomstskyddet för arbetslösa och myndighetsuppgifter i samband med sådan arbetskraftsutbildning som avses i lagen om yrkesutbildning (531/2017) samt uppgifter enligt lagen om yrkesverksamhet i rehabiliteringssyfte (189/2001), lagen om alterneringsledighet (1305/2002), lagen om sociala företag (1351/2003) och lagen om främjande av integration (1386/2010). Dessutom är kundregistret över sektorsövergripande samservice, som används inom sektorsövergripande samservice som främjar sysselsättningen, ett delregister till registret över enskilda kunder inom arbets- och näringsbyråns kundinformationssystem. Bestämmelser om registret över sektorsövergripande samservice finns i lagen om sektorsövergripande samservice som främjar sysselsättningen (1369/2014). Behandlingen av personuppgifter grundar sig i enlighet med artikel 6.1 c i den allmänna dataskyddsförordningen på den personuppgiftsansvariges lagstadgade uppgift. Bestämmelsen om kundinformationssystemets användningsändamål behöver kompletteras för tydlighetens skull. 

Enligt 13 kap. 2 § i den gällande lagen om offentlig arbetskrafts- och företagsservice har uppgifterna som registeransvarig, dvs. personuppgiftsansvarig, fördelats mellan arbets- och näringsministeriet och arbets- och näringsbyråerna. Enligt bestämmelsen svarar arbets- och näringsministeriet som registeransvarig för att arbets- och näringsbyråns kundinformationssystem är allmänt funktionsdugligt och registerfunktionerna enhetliga. Arbets- och näringsbyråerna fullgör övriga uppgifter som ålagts den registeransvarige, om inte arbets- och näringsministeriet bestämmer något annat. I lagen om offentlig arbetskrafts- och företagsservice föreskrivs det inte om möjlighet att delegera den personuppgiftsansvariges uppgifter eller om bemyndigande att utfärda förordning om möjligheten. Bestämmelsen i den gällande 13 kap. 2 § motsvarar inte den aktuella situationen. Arbets- och näringsministeriet sköter numera endast den strategiska styrningen och uppföljningen av arbets- och näringsbyråns kundinformationssystem. I praktiken ansvarar närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter (nedan UF-centret) för de uppgifter som personuppgiftsansvarig som arbets- och näringsministeriet har ålagts. UF-centret inledde sin verksamhet den 1 januari 2015, varvid arbets- och näringsministeriet överförde verkställighets- och utvecklingsuppgifter till den nya organisationen och en del av ministeriets personal övergick till UF-centrets tjänst. Bestämmelser om UF-centret och dess uppgifter finns i lagen om närings-, trafik- och miljöcentralerna och i statsrådets förordning om närings-, trafik- och miljöcentralerna. UF-centret sköter NTM-centralernas och arbets- och näringsbyråernas gemensamma utvecklings- och serviceuppgifter och andra allmänna administrativa uppgifter. I UF-centrets uppgifter ingår bland annat styrningsuppgifter, tjänster och anskaffning av tjänster som anknyter till NTM-centralernas och arbets- och näringsbyråernas informationsförvaltning. I form av informationsförvaltningstjänster utvecklar, producerar och skaffar UF-centret elektroniska tjänster och informationssystem. 

I praktiken har UF-centret redan länge skött den personuppgiftsansvariges uppgifter och under 2018 gjort de ändringar i arbets- och näringsbyråns kundinformationssystem som tillämpningen av den allmänna dataskyddsförordningen förutsätter. I arbets- och näringstjänsternas Mina e-tjänster har det införts en tjänst genom vilken enskilda kunder när som helst kan kontrollera sina uppgifter i arbets- och näringsbyråns kundinformationssystem och, om de så önskar, skriva ut uppgifterna på papper eller spara dem i pdf-format på sin mobil eller dator. Den tjänsten används med s.k. stark autentisering. De som inte har möjlighet att använda stark autentisering kan hos arbets- och näringsbyrån skriftligen begära de uppgifter om sig själv som registrerats i kundinformationssystemet. På grund av den allmänna dataskyddsförordningen har det införts en åldersgräns (16 år) för användarna av arbets- och näringstjänsternas Mina e-tjänster. Dessutom har formuleringarna i användningsvillkoren för arbets- och näringstjänsternas e-tjänster preciserats. Loggföringen i registret över enskilda kunder har utökats bland annat med hjälp av loggar över vem som tittat på uppgifter till exempel i samband med sökning av personuppgifter. Även loggföringen i samband med behandling av uppgifter om hälsa har förbättrats. På grund av den allmänna dataskyddsförordningen har processerna för arkivering av gamla kunduppgifter som överförs till Riksarkivet utvecklats så att kunduppgifterna fem år efter att kundrelationen avslutats automatiskt genom arkivkörning överförs via ett mellanlager till Riksarkivet för förvaring (Riksarkivets förvaringsbeslut). 

I dataombudsmannens byrås anvisning om lagstiftningsutlåtanden (16.10.2017, s. 9) poängteras det att den personuppgiftsansvariges ansvar ska utgöra en del av det operativa ansvaret. När det föreskrivs om den personuppgiftsansvarige i lag, ska man vara särskilt uppmärksam på bestämningen och försäkra sig om att ansvaret ges rätt aktör. Enligt anvisningen är risken vid bestämningen av den personuppgiftsansvarige att den personuppgiftsansvarige endast har bestämts formellt, utan att aktörens faktiska roll vid behandlingen av personuppgifter på praktisk nivå har identifierats. Till personuppgiftsansvarig ska enligt anvisningen utses en aktör som de facto använder den personuppgiftsansvariges bestämmanderätt och som kan fullgöra den personuppgiftsansvariges skyldigheter. Eftersom bestämmelserna om registeransvariga, dvs. personuppgiftsansvariga, i 13 kap. 2 § i lagen om offentlig arbetskrafts- och företagsservice inte längre motsvarar den aktuella situationen, behöver bestämmelsen ändras. Ansvarsfördelningen mellan dem som de facto är personuppgiftsansvariga – UF-centret och arbets- och näringsbyråerna – behöver samtidigt preciseras. 

I 13 kap. 5 § i lagen om offentlig arbetskrafts- och företagsservice föreskrivs det om beviljande av användarrättigheter till arbets- och näringsbyråns kundinformationssystem. Användningen av kundinformationssystemet förutsätter att personen har beviljats användarrättigheter. Enligt 5 § 1 mom. kan en tjänsteman vid arbets- och näringsbyrån, arbets- och näringsförvaltningens kundservicecenter, NTM-centralen, UF-centret eller arbets- och näringsministeriet beviljas rätt att använda kundinformationssystemet. I momentet föreskrivs inte vilken aktör som beviljar användarrättigheterna, så bestämmelsen behöver preciseras. 

I praktiken har varje organisation – 15 arbets- och näringsbyråer, arbets- och näringsförvaltningens kundservicecenter, 15 NTM-centraler, UF-centret och arbets- och näringsministeriet – beviljat sina egna tjänstemän användarrättigheter till kundinformationssystemet och svarat för att användarrättigheter har beviljats endast de tjänstemän som i sitt arbete behöver kundinformationssystemet. När användarrättigheter har beviljats, skickar organisationen information om detta till Statens center för informations- och kommunikationsteknik Valtori, som på uppdrag av UF-centret öppnar den tekniska anslutningen. UF-centret och Valtori har ett inbördes serviceavtal om skötseln av den nämnda uppgiften. Valtori förvaltar också en förteckning över de personer som har rätt att använda kundinformationssystemet. 

Enligt gällande 13 kap. 5 § 2 mom. i lagen om offentlig arbetskrafts- och företagsservice kan arbets- och näringsministeriet eller NTM-centralen bevilja aktörer utanför arbets- och näringsförvaltningen rätt att använda arbets- och näringsbyråns kundinformationssystem. Användarrättigheter kan beviljas en aktör som på uppdrag av ministeriet eller NTM-centralen utför en separat utvärdering, granskning eller utredning eller utför en särskilt specificerad serviceuppgift. NTM-centralen är skyldig att till arbets- och näringsministeriet anmäla de användarrättigheter som den beviljat en utomstående. Bestämmelsen behöver ändras, eftersom endast den personuppgiftsansvarige kan bevilja användarrättigheter till kundinformationssystemet. 

I lagen om offentlig arbetskrafts- och företagsservice föreskrivs det inte om vem eller vilken part som får föra in uppgifter i kundinformationssystemet. I praktiken förs uppgifterna in av tjänstemän vid arbets- och näringsbyråerna, arbets- och näringsförvaltningens kundservicecenter, NTM-centralerna och UF-centret. Andra aktörer som beviljats användarrättigheter har i regel endast rätt att titta på uppgifter i kundinformationssystemet. Bestämmelserna behöver preciseras till denna del. 

Bestämmelser om uppgifter som förs in i registren finns i 13 kap. 3 § i lagen om offentlig arbetskrafts- och företagsservice. Enligt 24 § 1 mom. i offentlighetslagen är uppgifter om en enskild kund hos arbetsförvaltningen sekretessbelagda. Således är alla uppgifter som förs in i registret över enskilda kunder sekretessbelagda. Däremot är uppgifterna i arbetsgivarregistret och registret över serviceproducenter i regel offentliga, men en del av dem kan med stöd av 24 § 1 mom. i offentlighetslagen också vara sekretessbelagda. 

De gällande bestämmelserna om kundinformationssystemet i lagen om offentlig arbetskrafts- och företagsservice stämmer inte till alla delar överens med den allmänna dataskyddsförordningen. Bestämmelserna är inte heller ajour såtillvida att i praktiken sköts vissa lagstadgade uppgifter av en annan instans än den som föreskrivs i lagen. Den gällande nationella lagstiftningen borde ha varit överensstämmande med den allmänna dataskyddsförordningen när förordningen började tillämpas. Avsikten var att i lagen om offentlig arbetskrafts- och företagsservice göra de ändringar som följer av dataskyddsförordningen i samband med andra ändringar genom regeringens proposition till riksdagen med förslag till lagstiftning om ordnande av offentlig arbetskrafts- och företagsservice (RP 62/2018 rd). Den regeringspropositionen förföll dock i riksdagen när valperioden löpte ut våren 2019. De ändringar som behövs på grund av den allmänna dataskyddsförordningen har nu beretts på nytt i denna proposition. De föreslagna bestämmelsernas förhållande till den allmänna dataskyddsförordningen behandlas i motiveringen till respektive bestämmelse. 

2.1.4  Behandling av personuppgifter i samband med sektorsövergripande samservice som främjar sysselsättningen

Med sektorsövergripande samservice som främjar sysselsättningen avses en modell för samverkan där arbets- och näringsbyrån, kommunen och Folkpensionsanstalten tillsammans bedömer de arbetslösas behov av service, planerar service som i sin helhet är relevant med avseende på sysselsättningen av arbetslösa och svarar för att sysselsättningsprocessen för arbetslösa fortskrider och följs upp. Målet för den sektorsövergripande samservicen är att främja sysselsättningen av arbetslösa genom att de erbjuds offentlig arbetskraftsservice, socialservice, hälso- och sjukvårdstjänster samt rehabiliteringstjänster enligt samserviceprincipen. Sektorsövergripande samservice tillhandahålls inom varje arbets- och näringsbyrås verksamhetsområde. 

Enligt 9 § 1 mom. i lagen om sektorsövergripande samservice som främjar sysselsättningen ska arbets- och näringsbyrån föra ett kundregister över sektorsövergripande samservice, som är ett delregister till det register över enskilda kunder inom arbets- och näringsbyråns kundinformationssystem som avses i 13 kap. 1 § i lagen om offentlig arbetskrafts- och företagsservice. Eftersom kundregistret över sektorsövergripande samservice, TYPPI-registret, i praktiken förs av UF-centret i stället för arbets- och näringsbyrån, behöver bestämmelsen ändras så att den motsvarar den aktuella situationen. Enligt förarbetena till lagen (RP 183/2014 rd) tillämpas på TYPPI-registret bestämmelserna om registeransvarig, registrering, gallring och arkivering av uppgifter samt beviljande av användarrättigheter i 13 kap. i lagen om offentlig arbetskrafts- och företagsservice. För tydlighetens skull behöver 9 § i lagen om sektorsövergripande samservice som främjar sysselsättningen preciseras även till denna del.  

Enligt 9 § 3 mom. kan åtkomsträtt till kundregistret över sektorsövergripande samservice beviljas en anställd hos arbets- och näringsbyrån, kommunen eller Folkpensionsanstalten som sköter uppgifter enligt lagen om sektorsövergripande samservice. Det föreskrivs inget om vilken instans som beviljar åtkomsträtten. I förarbetena till lagen konstateras att NTM-centralen i praktiken beviljar åtkomsträttigheterna. Eftersom NTM-centralen inte är en sådan registeransvarig som avses i 13 kap. i lagen om offentlig arbetskrafts- och företagsservice, kan centralen inte bevilja åtkomsträttigheter till TYPPI-registret. Bestämmelsen i lagen om sektorsövergripande samservice som främjar sysselsättningen behöver ändras även till denna del. 

Målsättning och de viktigaste förslagen

Syftet med propositionen är att göra bestämmelserna i lagen om offentlig arbetskrafts- och företagsservice förenliga med den allmänna dataskyddsförordningen. 

Målet med propositionen är att trygga en tillbörlig behandling av personuppgifter inom offentlig arbetskrafts- och företagsservice och sektorsövergripande samservice som främjar sysselsättningen. När EU:s allmänna dataskyddsförordning trädde i kraft uppstod ett behov av att precisera bestämmelserna om arbets- och näringsbyråns kundinformationssystem. På motsvarande sätt behövs preciseringar av bestämmelserna om kundregistret över sektorsövergripande samservice, som är ett delregister till registret över enskilda kunder inom arbets- och näringsbyråns kundinformationssystem och som det föreskrivs om i lagen om sektorsövergripande samservice som främjar sysselsättningen. 

Enligt den gällande lagen om offentlig arbetskrafts- och företagsservice är arbets- och näringsministeriet och arbets- och näringsbyråerna registeransvariga för arbets- och näringsbyråns kundinformationssystem. De nuvarande bestämmelserna om registeransvariga för kundinformationssystemet motsvarar inte längre den aktuella situationen i praktiken, eftersom UF-centret redan i flera år i arbets- och näringsministeriets ställe har skött uppgifter som hör till den registeransvarige. I propositionen föreslås det att UF-centret och arbets- och näringsbyråerna i fortsättningen ska vara gemensamt personuppgiftsansvariga för arbets- och näringsbyråns kundinformationssystem. Arbets- och näringsförvaltningens kundservicecenter föreslås vara ett sådant personuppgiftsbiträde som avses i den allmänna dataskyddsförordningen. Tillgången till uppgifter för arbets- och näringsministeriet och NTM-centralerna, som behöver uppgifter ur kundinformationssystemet för att sköta sådana uppgifter som föreskrivs för dem, ska tryggas genom en bestämmelse om att UF-centret är skyldigt att trots sekretessbestämmelserna avgiftsfritt lämna nödvändiga uppgifter till arbets- och näringsministeriet och NTM-centralerna. Till arbets- och näringsministeriets uppgifter hör bland annat att föra arbetsförmedlingsstatistik samt övrig statistikföring, analys och prognostisering som anknyter till sysselsättningen. Till NTM-centralernas uppgifter hör bland annat att utöva tillsyn över arbets- och näringsbyråerna. 

I propositionen föreslås det att den inbördes ansvarsfördelningen mellan de personuppgiftsansvariga preciseras. UF-centret ska bland annat svara för inbyggt dataskydd och dataskydd som standard, säkerhet i samband med behandlingen och informationssäkerhet i fråga om informationssystem enligt den allmänna dataskyddsförordningen. 

I propositionen föreslås det dessutom att ändamålen med behandlingen av personuppgifter och användarrättigheterna till kundinformationssystemet ska definieras noggrannare än i nuläget. Det föreslås att UF-centret beviljar användarrättigheterna till arbets- och näringsbyråns kundinformationssystem. 

Förslagets konsekvenser

Det bedöms att denna proposition inte får några ekonomiska konsekvenser. UF-centret gjorde redan under 2018 de ändringar i arbets- och näringsbyråns kundinformationssystem som tillämpningen av den allmänna dataskyddsförordningen förutsätter och som hör till den personuppgiftsansvariges ansvar. 

Propositionen har i praktiken inga konsekvenser för myndigheternas verksamhet, eftersom det redan länge har varit så att UF-centret i arbets- och näringsministeriets ställe har skött den personuppgiftsansvariges uppgifter som föreslås bli ålagda UF-centret. Att de personuppgiftsansvariga anges i enlighet med den aktuella situationen främjar genomsynligheten i förvaltningen och tydligheten i den inbördes uppgiftsfördelningen. Det är också viktigt för att de registrerade ska veta till vilken aktör de ska rikta yrkanden som gäller deras rättigheter och för att dataombudsmannens byrå, som övervakar skyddet för personuppgifter, ska veta till vilken aktör byrån ska vända sig vid behov. 

Propositionens bestämmelser om användarrättigheter och registrens användningsändamål främjar för sin del kundinformationssystemets informationssäkerhet. Bestämmelserna om beviljande, ändring och upphävande av användarrättigheter skapar klarhet i nuläget och UF-centrets behörighet, och kan således främja kundinformationssystemets informationssäkerhet. Bestämmelsen om att en person som fått användarrättigheter har rätt att behandla uppgifter endast för nödvändiga ändamål betonar dataskyddets betydelse även för varje användare. 

Propositionen innebär att arbetsvolymen vid UF-centret ökar i någon mån, eftersom UF-centret enligt förslaget ska bevilja användarrättigheter till arbets- och näringsbyråns kundinformationssystem och föra en uppdaterad förteckning över de personer som har beviljats användarrättigheter. Även i fortsättningen ska den myndighet inom arbets- och näringsförvaltningen som ansöker om användarrättigheter svara för att användarrättigheter söks endast åt en person som för skötseln av sina arbetsuppgifter behöver uppgifter ur kundinformationssystemet och att användarrättigheter söks endast för den tid och i den omfattning som skötseln av arbetsuppgifterna förutsätter. UF-centret ska ha till uppgift att kontrollera att ansökan om användarrättigheter är relevant och motiverad. Trots att UF-centrets roll i fråga om beviljande av användarrättigheter i dessa situationer delvis är en formalitet, innebär det en aning merarbete för UF-centret. I de situationer där användarrättigheter till kundinformationssystemet söks åt en aktör utanför arbets- och näringsförvaltningen, blir arbetsvolymen för UF-centret större än vad som konstaterats ovan, eftersom beslutet om beviljande av användarrättigheter sannolikt förutsätter utredningsarbete och prövning. 

I propositionen föreslås att UF-centret i stället för arbets- och näringsministeriet ska besluta om beviljande av tillstånd enligt 28 § i lagen om offentlighet i myndigheternas verksamhet att lämna ut sekretessbelagda uppgifter ur arbets- och näringsbyråns kundinformationssystem för statistikföring, vetenskaplig forskning eller myndigheters planerings- eller utredningsarbete. Handläggningen av ansökningar om tillstånd att få uppgifter för forskningsändamål och den bedömning som hör samman med utlämnandet av uppgifter ökar UF-centrets arbetsvolym i någon mån. Antalet ansökningar om tillstånd för forskningsändamål varierar lite, men i genomsnitt har arbets- och näringsministeriet fått 20—30 sådana ansökningar per år. 

Beredningen av propositionen

Propositionen har beretts vid arbets- och näringsministeriet i samarbete med UF-centret. 

Propositionsutkastet var på remiss den 6—26 september 2019. Remisstiden var kortare än normalt, eftersom de förslag som beretts i denna proposition i sak redan varit ute på remiss i samband med en tidigare regeringsproposition. Avsikten var att i lagen om offentlig arbetskrafts- och företagsservice göra de ändringar som följer av dataskyddsförordningen i samband med andra ändringar genom regeringens proposition till riksdagen med förslag till lagstiftning om ordnande av offentlig arbetskrafts- och företagsservice (RP 62/2018 rd). Den regeringspropositionen förföll i riksdagen våren 2019 med stöd av 49 § i grundlagen, eftersom behandlingen av ärendet inte var klar vid utgången av valperioden. De ändringar som behövs på grund av den allmänna dataskyddsförordningen har nu beretts på nytt i denna proposition. 

Propositionsutkastet sändes på remiss till UF-centret, arbets- och näringsbyråerna, NTM-centralerna, arbets- och näringsförvaltningens kundservicecenter, Finlands Kommunförbund, Folkpensionsanstalten, justitieministeriet och dataombudsmannens byrå. 

Det kom in sammanlagt 17 remissyttranden om propositionsutkastet. Remissyttranden lämnades av justitieministeriet, justitiekanslersämbetet, dataombudsmannens byrå, UF-centret, NTM-centralen och arbets- och näringsbyrån i Tavastland, arbets-och näringsbyrån i Mellersta Finland, arbets- och näringsbyrån i Lappland, arbets- och näringsbyrån i Birkaland, NTM-centralen och arbets- och näringsbyrån i Österbotten, NTM-centralen i Norra Karelen, arbets- och näringsbyrån i Norra Karelen, NTM-centralen i Norra Österbotten, arbets- och näringsbyrån i Norra Österbotten, arbets- och näringsbyrån i Nyland, arbets- och näringsförvaltningens kundservicecenter, Finlands Kommunförbund och Folkpensionsanstalten. NTM-centralen och arbets- och näringsbyrån i Egentliga Finland svarade att de inte hade några kommentarer om propositionen. 

Begäran om remissyttranden och de remissyttranden som lämnades finns publicerade på arbets- och näringsministeriets webbplats (https://tem.fi/hankesivu?tunnus=TEM044:00/2019). 

Allmänt taget ansåg remissinstanserna att propositionsutkastet var motiverat och ändamålsenligt. De föreslagna ändringarna ansågs skapa klarhet i nuläget för dem som är personuppgiftsansvariga för arbets- och näringsbyråns kundinformationssystem, när lagstiftningen bringas i överensstämmelse med den faktiska situationen. Finlands Kommunförbund fäste dock uppmärksamhet vid att regleringen är detaljerad och föreslog att det bör övervägas huruvida en så detaljerad reglering behövs och är i linje med EU:s allmänna dataskyddsförordning. 

Justitieministeriet ansåg att det är ändamålsenligt att de personuppgiftsansvariga anges på ett sätt som motsvarar den faktiska situationen, men ifrågasatte rollerna för de personuppgiftsbiträden som föreslogs i propositionen (arbets- och näringsförvaltningens kundservicecenter, NTM-centralerna och arbets- och näringsministeriet). Det faktum att de använder uppgifter ur kundinformationssystemet och, med undantag av arbets- och näringsministeriet, för in uppgifter i kundinformationssystemet, räcker enligt justitieministeriets uppfattning inte för att dessa aktörer ska kunna betraktas som sådana personuppgiftsbiträden som avses i dataskyddsförordningen. Justitieministeriet konstaterade också att personuppgiftsbiträdets roll inte passar särskilt bra för de myndigheter som anges som personuppgiftsbiträden i propositionen. I ljuset av detaljmotiveringen i propositionsutkastet ansåg justitieministeriet att det inte verkade ändamålsenligt att de myndigheter som använder kundinformationssystemet men inte ansvarar för registerföringen anges som personuppgiftsbiträden i stället för att den tillgång till information som de behöver säkerställs till exempel genom bestämmelser om utlämnande av uppgifter och rätt att få uppgifter. Justitieministeriet ansåg det nödvändigt att de bestämmelser som föreslås i propositionsutkastet ses över vid den fortsatta beredningen av propositionen. Detta gällde också den ändring som föreslogs i lagen om sektorsövergripande samservice som främjar sysselsättningen. Rollerna för de myndigheter som använder arbets- och näringsbyråns kundinformationssystem har bedömts på nytt på det sätt som justitieministeriet förutsatte. Propositionen har ändrats så att arbets- och näringsförvaltningens kundservicecenter nu föreslås vara ett sådant personuppgiftsbiträde som avses i den allmänna dataskyddsförordningen. Det föreslås att arbets- och näringsministeriets och NTM-centralernas tillgång till information tryggas genom att UF-centret är skyldigt att lämna dessa myndigheter sådana uppgifter ur kundinformationssystemet som är nödvändiga för att de ska kunna sköta de uppgifter som de har enligt lagar och förordningar. Kundregistret över sektorsövergripande samservice (TYPPI-registret), som används inom sektorsövergripande samservice som främjar sysselsättningen, är ett delregister till registret över enskilda kunder inom arbets- och näringsbyråns kundinformationssystem. Eftersom UF-centret och arbets- och näringsbyråerna enligt förslaget ska vara personuppgiftsansvariga för arbets- och näringsbyråns kundinformationssystem, är de också personuppgiftsansvariga för kundregistret över sektorsövergripande samservice, men kommunen och Folkpensionsanstalten kan beviljas användarrättigheter till kundregistret för att ordna sektorsövergripande samservice som främjar sysselsättningen. 

Dataombudsmannen hade inget att anmärka med avseende på den exakta avgränsningen av den föreslagna ansvarsfördelningen mellan de personuppgiftsansvariga. Inte heller justitieministeriet hade något att anmärka på uppgiftsfördelningen mellan de personuppgiftsansvariga. Justitieministeriet fäste dock uppmärksamhet vid att man i propositionsutkastet hade bibehållit möjligheten enligt den gällande bestämmelsen att arbets- och näringsministeriet beslutar att uppgifter som hör till personuppgiftsansvariga överförs från arbets- och näringsbyråerna till UF-centret för den händelse att en ändamålsenlig skötsel av uppgifterna förutsätter att en uppgift centraliseras. Eftersom arbets- och näringsministeriet enligt förslaget inte längre ska vara personuppgiftsansvarig, är ministeriet en utomstående aktör i förhållande till dem som anges som personuppgiftsansvariga i propositionsutkastet. Om normgivningsbemyndigandet för arbets- och näringsministeriet bibehålls, bedömer justitieministeriet att myndighetens uppgifter inte framgår tillräckligt klart av lagen. Justitieministeriet ansåg att bestämmelsen om normgivningsbemyndigandet för arbets- och näringsministeriet bör granskas i förhållande till artikel 26 i dataskyddsförordningen och 10 § 1 mom. i grundlagen vid den fortsatta beredningen av propositionsutkastet. Till följd av justitieministeriets yttrande har förslaget ändrats så att uttrycket ”om inte arbets- och näringsministeriet bestämmer något annat” har strukits ur den bestämmelse som gäller ansvarsfördelningen mellan de personuppgiftsansvariga. De uppgifter som UF-centret ska ansvara för räknas upp i den föreslagna bestämmelsen. Arbets- och näringsbyråerna ska ansvara för övriga skyldigheter som den personuppgiftsansvarige har enligt den allmänna dataskyddsförordningen. 

Folkpensionsanstalten understödde också förslaget att ansvarsfördelningen mellan de faktiska personuppgiftsansvariga preciseras. En transparent förvaltning och en tydlig uppgiftsfördelning mellan myndigheterna främjar respekten för de registrerades rättigheter. 

Dataombudsmannen och justitieministeriet hade inget att anmärka på de registerspecifika uppgifter som ska föras in i kundinformationssystemet. Båda remissinstanserna påpekade dock att det enligt dataskyddsförordningen alltid är den personuppgiftsansvariga som svarar för att uppgifterna är korrekta. Bestämmelsen att den aktör som registrerat uppgifter i kundinformationssystemet svarar för att uppgifterna är korrekta och uppdaterade har därför strukits i propositionsutkastet. Dataombudsmannen och justitieministeriet hade inte heller något att anmärka på föreslaget om begränsning av behandlingen av personuppgifter. Justitieministeriet konstaterade att det av propositionsutkastet inte framgår vilken aktör som ansvarar för att uppgifterna raderas ur kundinformationssystemet. Propositionen har preciserats så att det är UF-centrets uppgift att radera uppgifterna. 

UF-centret konstaterade att bestämmelsen om lagringstiderna (fyra år) för de uppgifter som förts in i kundinformationssystemet är utmärkt och att lagringstiderna behöver förenhetligas. Dataombudsmannen ansåg att lagringstiden för uppgifterna är motiverad. Arbets- och näringsbyrån i Mellersta Finland och arbets- och näringsbyrån i Lappland ansåg att en lagringstid på fyra år är för kort, om till exempel en klagomålsprocess inleds efter att kundrelationen upphört. I propositionsutkastet föreslås det att en uppgift inte behöver raderas om den behövs för skötseln av ett uppdrag som baserar sig på bestämmelser eller ett ärende som fortfarande är anhängigt. UF-centret och arbets- och näringsbyrån i Norra Österbotten föreslog att det för tydlighetens skull kunde nämnas i bestämmelsen eller motiveringen att ett ärende som fortfarande är anhängigt innebär till exempel en oavslutad process för sökande av ändring. Propositionen har preciserats i detta hänseende. 

Justitieministeriet ansåg att det i sig kan vara motiverat att föreskriva om användarrättigheter på det sätt som det är meningen att det ska föreskrivas i 13 kap. 4 a § i lagen om offentlig arbetskrafts- och företagsservice, men att bestämmelserna om användningsändamål bör ses över i ljuset av kommentarerna om rollerna för dem som använder kundinformationssystemet. Att föreskriva om användarrättigheter kan i vissa situationer anses motiverat, när avsikten är att uppgifter som den personuppgiftsansvarige har i sin besittning ska lämnas ut till utomstående aktörer, om situationen inte omfattas av allmänna lagar. 

Kommunförbundet, Folkpensionsanstalten och arbets- och näringsbyrån i Lappland ansåg att det är bra att bestämmelsen om användningsändamålet med och användarrättigheterna till arbets- och näringsbyråns kundinformationssystem kompletteras. Kommunförbundet ansåg dock att en så noggrann reglering i praktiken kan orsaka problem för personuppgiftsansvariga när de gör riskbedömningar i fråga om behandlingen och när de planerar informationssäkerheten kring behandlingen av uppgifterna. 

UF-centret påpekade i sitt yttrande att det i propositionen inte nämns något om den arbetsförmedlingsstatistik som förvaltas av arbets- och näringsministeriet. Arbets- och näringsministeriet bör ta hänsyn till att den personuppgiftsansvariges uppgifter i fråga om arbetsförmedlingsstatistiken inte kan överföras till UF-centret. Arbets- och näringsministeriet bör säkerställa att regleringen är tillräcklig i fråga om denna helhet, som innehåller känsliga personuppgifter. Propositionen har kompletterats i fråga om detta. 

I propositionsutkastet föreslogs det att servicebehovet hos en enskild kund vid arbets- och näringsbyrån ska kunna bedömas och ett utkast till sysselsättningsplan utarbetas även digitalt. Justitiekanslersämbetet konstaterade att om en digitalt gjord bedömning av servicebehovet eller ett förslag till sysselsättningsplan som har utarbetats digitalt har betydande konsekvenser för kunden, kan åtgärderna betraktas som sådant automatiserat beslutsfattande som avses i artikel 22 i den allmänna dataskyddsförordningen. Justitiekanslern ansåg inte att propositionsutkastets formuleringar att bedömningen av servicebehovet kan göras digitalt och att förslaget till sysselsättningsplan kan utarbetas digitalt var bra. Enligt justitiekanslern bör termen ”digital” ändras så att det tydligt framgår att det är en automatiserad funktion som avses i bestämmelserna i fråga. Justitieministeriet tog inte heller direkt ställning till om det är fråga om automatiserat beslutsfattande, men ministeriet uteslöt inte heller att det kan vara fråga om sådant automatiserat beslutsfattande som avses i den allmänna dataskyddsförordningen. Propositionsutkastet ändrades på grund av yttrandet, och uttrycket ”digital” ändrades till ”med hjälp av automatisk databehandling”. Justitiekanslersämbetet, justitieministeriet och dataombudsmannens byrå fäste också uppmärksamhet vid att det vid en digital bedömning av servicebehovet frågas av den enskilda kunden om hans eller hennes hälsotillstånd inverkar på det jobb som han eller hon söker. I propositionsutkastet menades det att det inte är fråga om behandling av uppgifter om hälsa, eftersom kunden endast kan svara jakande eller nekande på frågan. Justitiekanslern konstaterade att enbart informationen om huruvida hälsotillståndet inverkar på det jobb som kunden söker eller den utbildning som han eller hon söker till kan betraktas som sådana uppgifter om hälsa som avses i artikel 9 i den allmänna dataskyddsförordningen, trots att kunden inte kan redogöra närmare för hälsotillståndet.  

Efter remisstiden bedömde grundlagsutskottet den 14 november 2019 i sitt utlåtande GrUU 7/2019 rd möjligheten att föreskriva om automatiserat beslutsfattande i vanlig lagstiftningsordning och kom fram till tolkningen att utlåtande ska begäras av grundlagsutskottet. Grundlagsutskottet konstaterade också att man inte bör sträva efter att reglera det administrativa beslutsfattandet i fråga om automatiserade enskilda beslut genom enskilda punktvisa lagförslag. Utskottet förutsatte också att statsrådet omsorgsfullt och med iakttagande av ett gott lagberedningsförfarande utreder behoven att ändra den allmänna lagstiftningen om automatiserat beslutsfattande och vid behov utreder en allmän lagstiftning om automatiserat beslutsfattande som eventuellt kan preciseras genom speciallagar som beaktar respektive förvaltningsområdes särdrag. På grund av grundlagsutskottets ställningstagande har i propositionen strukits bestämmelserna om bedömning av servicebehov och utarbetande av förslag till sysselsättningsplan med hjälp av automatisk databehandling.  

Dataombudsmannen ansåg att de föreslagna ändringarna i 9 § i lagen om sektorsövergripande samservice som främjar sysselsättningen är motiverade. Justitieministeriet ansåg att det i sig är ändamålsenligt att paragrafen preciseras så att den motsvarar det faktiska läget, men påpekade dock att det som justitieministeriet framfört om 13 kap. i lagen om offentlig arbetskrafts- och företagsservice i propositionsutkastet bör beaktas vid den fortsatta beredningen av propositionsutkastet. 

Arbets- och näringsbyrån i Birkaland och arbets- och näringsbyrån i Norra Karelen framförde i sina yttranden att utlämnandet och behandlingen av kundens uppgifter samt uppgifternas synlighet i kundregistret över sektorsövergripande samservice bör förtydligas i fråga om kunder som är i det skedet att det görs en första bedömning eller det fortfarande övervägs om kunden ska bli egentlig kund inom den sektorsövergripande samservicen. Med anledning av det yttrandet har propositionen preciserats så att uppgifter om en arbetslös som övergår till att bli kund hos den sektorsövergripande samservicen får registreras i kundregistret över sektorsövergripande samservice först när beslutet om att kunden ska övergå till servicen har fattats och utredningsperioden har inletts. 

I yttrandena framfördes också vissa detaljerade påpekanden om propositionsutkastet, och propositionen har till vissa delar preciserats utifrån dem. I vissa yttranden framfördes ett behov av utvidgat utbyte av uppgifter mellan myndigheterna och ändringar i de bestämmelser som anknyter till lönesubventionen. UF-centret ansåg att det inte är tillräckligt att avgränsa propositionsutkastet till att gälla det kundinformationssystem som används för närvarande och att detaljerat specificera de register som för närvarande ingår i det, utan att termen kundhanteringssystem bör användas om kundinformationssystemet och att man bör sträva efter att beskriva det på logisk nivå i bestämmelserna, eftersom URA-systemet kommer att ersättas med ett nytt system. Eftersom syftet med denna regeringsproposition är att precisera de bestämmelser i lagen om offentlig arbetskrafts- och företagsservice som gäller det kundinformationssystem för arbets- och näringsbyrån som används för närvarande och att göra bestämmelserna överensstämmande med EU:s allmänna dataskyddsförordning, har de förslagen inte beaktats vid den fortsatta beredningen av propositionen. 

DETALJMOTIVERING

Lagförslag

1.1  Lagen om offentlig arbetskrafts- och företagsservice

13 kap. Arbets- och näringsbyråns kundinformationssystem

1 §.Arbets- och näringsbyråns kundinformationssystem. Det föreslås att beskrivningarna av kundinformationssystemets användningsändamål i 1 mom. preciseras för att motsvara de faktiska användningsändamålen för kundinformationssystemet. I artikel 5 i den allmänna dataskyddsförordningen föreskrivs det om principer för behandling av personuppgifter. Den personuppgiftsansvarige svarar för att principerna enligt artikel 5 följs och ska också kunna påvisa att så är fallet. Enligt artikel 5.1 a ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (principen om laglighet, korrekthet och öppenhet). Den i artikel 5.1 b föreskrivna principen om ändamålsbegränsning innebär i sin tur att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Dessa principer är förenade med bestämmelserna om villkor för behandling av personuppgifter i artikel 6 i den allmänna dataskyddsförordningen. 

I artikel 6.1 i den allmänna dataskyddsförordningen föreskrivs det om villkor som ska vara uppfyllda för att behandlingen av personuppgifter ska vara laglig. Den arbetsgrupp som justitieministeriet tillsatt för att utreda behovet av nationella lagstiftningsåtgärder till följd av den allmänna dataskyddsförordningen har utgått från att myndigheternas behandling av personuppgifter i första hand ska grunda sig på artikel 6.1 c i dataskyddsförordningen, alltså på en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Detta innebär att myndighetens uppgift och befogenheter ska anges på ett sådant sätt i lagstiftningen att den rättsliga grunden för behandlingen av personuppgifter och ändamålet med behandlingen framgår av den med beaktande av verksamhetens syfte (arbetsgruppen för genomförande av EU:s allmänna dataskyddsförordning (TATTI), justitieministeriets publikationer 8/2018, s. 33) 

I artikel 6.3 i den allmänna dataskyddsförordningen föreskrivs det att grunden för behandlingen av personuppgifter ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Artikel 6.3 innehåller en skyldighet att i nationell rätt föreskriva om grunden för och syftet med behandlingen. 

I 1 mom. i den gällande paragrafen föreskrivs det att arbets- och näringsbyråns kundinformationssystem drivs för ordnande av offentlig arbetskrafts- och företagsservice. Kundinformationssystemet används dock för närvarande också bland annat för uppgifter som hör samman med verkställandet av systemen för utkomstskydd för arbetslösa och alterneringsledighet, myndighetsuppgifter som anknyter till sådan arbetskraftsutbildning som avses i lagen om yrkesutbildning, uppgifter enligt lagen om arbetsverksamhet i rehabiliteringssyfte och vissa uppgifter enligt lagen om främjande av integration. Arbets- och näringsministeriet använder kundinformationssystemet för att sköta uppgifter enligt lagen om sociala företag. Enligt 6 § i lagen om sociala företag är registret över sociala företag ett arbetsgivarregister i arbets- och näringsbyråns kundinformationssystem enligt 13 kap. 1 § 1 mom. i lagen om arbetskrafts- och företagsservice. I det föreslagna 1 mom. preciseras vilka lagar som användningsändamålen för kundinformationssystemet grundar sig på. Behandlingen av personuppgifter grundar sig i enlighet med artikel 6.1 c i den allmänna dataskyddsförordningen på den personuppgiftsansvariges lagstadgade uppgift. 

I det gällande 1 § 2 mom. föreskrivs att bestämmelserna i lagen om offentlighet i myndigheternas verksamhet tillämpas på utlämnande av uppgifter ur arbets- och näringsbyråns kundinformationssystem och på de i systemet införda uppgifternas offentlighet. I propositionen föreslås det att denna bestämmelse flyttas till en ny 7 §, där det ska föreskrivas om utlämnande av uppgifter ur kundinformationssystemet. 

I det föreslagna 2 mom. föreskrivs det om kundinformationssystemets struktur. Enligt 1 mom. i den gällande paragrafen består kundinformationssystemet av ett register över enskilda kunder, ett arbetsgivarregister och ett register över serviceproducenter. I det föreslagna 2 mom. preciseras att det i kundinformationssystemet även ingår ett kundregister över sektorsövergripande samservice, som utgör ett delregister till registret över enskilda kunder. Kundregistret över sektorsövergripande samservice (TYPPI-registret) används för fullgörandet av de uppgifter som arbets- och näringsbyrån, kommunen och Folkpensionsanstalten har enligt lagen om sektorsövergripande samservice som främjar sysselsättningen. I 9 § i den gällande lagen om sektorsövergripande samservice som främjar sysselsättningen föreskrivs det att kundregistret över sektorsövergripande samservice är ett delregister till det register över enskilda kunder inom arbets- och näringsbyråns kundinformationssystem som avses i 13 kap. 1 § i lagen om offentlig arbetskrafts- och företagsservice. För tydlighetens skull är det motiverat att även i 13 kap. 1 § i lagen om offentlig arbetskrafts- och företagsservice föreskriva att kundregistret över sektorsövergripande samservice utgör ett delregister till arbets- och näringsbyråns register över enskilda kunder. 

Enligt motiveringen till lagen om sektorsövergripande samservice som främjar sysselsättningen (RP 183/2014 rd) tillämpas på TYPPI-registret bestämmelserna om den registeransvarige, registrering, gallring och arkivering av uppgifter samt beviljande av användarrättigheter i 13 kap. i lagen om offentlig arbetskrafts- och företagsservice, men den gällande lagen innehåller ingen bestämmelse om att 13 kap. i lagen om offentlig arbetskrafts- och företagsservice ska tillämpas. För tydlighetens skull preciseras i det föreslagna 2 mom. att bestämmelserna i 13 kap. i lagen om offentlig arbetskrafts- och företagsservice tillämpas på kundregistret över sektorsövergripande samservice enbart om något annat inte föreskrivs i lagen om sektorsövergripande samservice som främjar sysselsättningen. Detta betyder att på TYPPI-registret ska tillämpas de föreslagna bestämmelserna i 13 kap. om personuppgiftsansvariga, om radering och arkivering av uppgifter, om den registrerades rätt att begränsa behandlingen av uppgifter, om användarrättigheterna enligt 4 a, om ändring och upphävande av användarrättigheter enligt 5 a § och om utlämnande av uppgifter ur kundinformationssystemet. I lagen om sektorsövergripande samservice som främjar sysselsättningen föreskrivs det något annat om kundregistrets användningsändamål, registrering av uppgifter, registrets informationsinnehåll och beviljande av användarrättigheter. 

Paragrafens 3 mom. föreslås innehålla en informativ hänvisning om att bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i dataskyddslagen (1050/2018). Den allmänna dataskyddsförordningen antogs den 27 april 2016 och publicerades i Europeiska unionens officiella tidning den 4 maj 2016 (EUT L 119). Den allmänna dataskyddsförordningen är direkt tillämplig lagstiftning, och dataskyddslagen som allmän lag tillämpas på behandling av personuppgifter. Hänvisningen till dataskyddsförordningen och dataskyddslagen föreslås ingå i 3 mom. för tydlighetens skull och för att understryka att utöver vad som föreskrivs i lagen om offentlig arbetskrafts- och företagsservice ska även bestämmelserna i den allmänna dataskyddsförordningen och i dataskyddslagen beaktas vid behandlingen av personuppgifter i arbets- och näringsbyråns kundinformationssystem. Samtidigt stryks hänvisningen till den upphävda personuppgiftslagen i 2 mom. i den gällande 1 §. 

I det föreslagna 4 mom. hänvisas det till lagen om kundinformationssystemet för företagstjänster. Den hänvisning som finns i 1 mom. i den gällande paragrafen ändras så att det hänvisas till den gällande lagen om kundinformationssystemet för företagstjänster (293/2017). 

2 §.Personuppgiftsansvariga. Det föreslås att paragrafen ändras så att dess rubrik ändras från ”registeransvarig” till ”personuppgiftsansvariga”, i plural, och så att personuppgiftsansvariga definieras i enlighet med den aktuella situationen på det sätt som förutsätts i den allmänna dataskyddsförordningen. I den allmänna dataskyddsförordningen finns det bestämmelser om den personuppgiftsansvariges skyldigheter och ansvar. Enligt förordningen är det möjligt för flera organ att vara gemensamt personuppgiftsansvariga, bara de personuppgiftsansvarigas ansvarsområden har fastställts genom lagstiftning eller genom ett inbördes arrangemang. I paragrafen föreslås ändringar som följer av förändringar i uppgiftsfördelningen mellan arbets- och näringsministeriet och UF-centret. Dessutom preciseras uppgiftsfördelningen mellan de personuppgiftsansvariga, samtidigt som det tas in en bestämmelse om arbets- och näringsförvaltningens kundservicecenters roll som personuppgiftsbiträde. 

I den allmänna dataskyddsförordningen avses med personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, institution eller ett annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten och medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. 

Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de enligt artikel 26 i den allmänna dataskyddsförordningen vara gemensamt personuppgiftsansvariga. Respektive ansvar för gemensamt personuppgiftsansvariga kan fastställas genom de personuppgiftsansvarigas inbördes arrangemang eller helt eller delvis i medlemsstatens nationella rätt. Arrangemanget eller den nationella rätten ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Den registrerade får utöva sina rättigheter enligt den allmänna dataskyddsförordningen med avseende på och emot var och en av de personuppgiftsansvariga oberoende av de gemensamt personuppgiftsansvarigas ansvarsfördelning. 

I den nuvarande 2 § finns det bestämmelser om den registeransvariges uppgifter, som är uppdelade mellan arbets- och näringsministeriet och arbets- och näringsbyråerna. Uppgifter som hör samman med registerföring har dock redan tidigare överförts från arbets- och näringsministeriet till UF-centret. Eftersom arbets- och näringsministeriet i praktiken inte längre utför uppgifter som hänför sig till arbets- och näringsbyråns kundinformationssystem och inte heller har någon faktisk roll i behandlingen av kunduppgifter, kan ministeriet inte längre anges som en av de personuppgiftsansvariga. Arbets- och näringsministeriet ansvarar med stöd av grundlagen för att förvaltningen inom ministeriets ansvarsområde fungerar som sig bör, och enligt lagen om närings-, trafik- och miljöcentralerna ska arbets- och näringsministeriet sköta den allmänna administrativa styrningen av NTM-centralerna och UF-centret. Bestämningen av personuppgiftsansvariga ändrar inte arbets- och näringsministeriets roll till denna del. 

Det föreslås att det i 1 mom. föreskrivs att UF-centret och arbets- och näringsbyråerna är gemensamt personuppgiftsansvariga för arbets- och näringsbyråns kundinformationssystem. I momentet konstateras för tydlighetens skull också att arbets- och näringsförvaltningens kundservicecenter är ett i den allmänna dataskyddsförordningen avsett personuppgiftsbiträde. I den allmänna dataskyddsförordningen avses med personuppgiftsbiträde en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Arbets- och näringsförvaltningens kundservicecenter sköter flera uppgifter inom den offentliga arbetskrafts- och företagsservicen som hör till arbets- och näringsbyrån, såsom att ge råd, handledning och information om de tjänster som arbets- och näringsbyrån erbjuder och att ta emot enskilda kunders anmälningar om bland annat ändringar i fråga om jobbsökningen. Skillnaden jämfört med de tjänster som arbets- och näringsbyrån tillhandahåller är att all service ges per telefon och e-post eller via andra elektroniska kanaler. Sålunda är det motiverat att se det som att arbets- och näringsförvaltningens kundservicecenter behandlar kundernas personuppgifter för den personuppgiftsansvariges (arbets- och näringsbyråns) räkning. 

Paragrafens 2 mom. ska innehålla en förteckning över de uppgifter som den personuppgiftsansvarige har enligt den allmänna dataskyddsförordningen och som UF-centret ska ansvara för. Dessa är 

- i artikel 25 avsett inbyggt dataskydd och dataskydd som standard, 

- i artikel 32 avsedd säkerhet i samband med behandlingen, 

- i artikel 35 avsedd konsekvensbedömning avseende dataskydd och i artikel 36 avsett förhandssamråd, 

- i artikel 12.1 och 12.2 avsedda skyldigheter för personuppgiftsansvariga, 

- sådana andra skyldigheter med anknytning till informationssystemets informationssäkerhet som den personuppgiftsansvarige har enligt den allmänna dataskyddsförordningen. 

I paragrafens 3 mom. föreskrivs det om de uppgifter som arbets- och näringsbyråerna har som personuppgiftsansvariga. Enligt den föreslagna bestämmelsen ska arbets- och näringsbyråerna ansvara för den personuppgiftsansvariges i den allmänna dataskyddsförordningen föreskrivna andra än i 2 mom. avsedda skyldigheter. Arbets- och näringsbyråerna är kundinformationssystemets huvudsakliga användare och informationsproducenter. Det är således motiverat att byråerna ska ansvara för de övriga skyldigheter som den personuppgiftsansvarige har enligt dataskyddsförordningen, med undantag för dem som direkt gäller informationssystemet. I paragrafens 3 mom. föreskrivs det också om den inbördes ansvarsfördelningen mellan de olika arbets- och näringsbyråerna. Grunden för ansvarsfördelningen utgörs av den registrerades kundrelation. I den gällande 2 § föreskrivs det om arbets- och näringsministeriets möjlighet att bestämma något annat om arbets- och näringsbyråernas uppgifter som registeransvariga. Enligt artikel 26 i den allmänna dataskyddsförordningen ska gemensamt personuppgiftsansvariga fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt förordningen. Eftersom arbets- och näringsministeriet enligt propositionen inte längre ska vara personuppgiftsansvarig, är ministeriet en utomstående aktör i förhållande till de föreslagna personuppgiftsansvariga. Av denna anledning föreslås i propositionen inte möjlighet för arbets- och näringsministeriet att bestämma annat om arbets- och näringsbyråernas uppgifter som personuppgiftsansvariga. 

Sådana uppgifter som den personuppgiftsansvarige har enligt dataskyddsförordningen och som arbets- och näringsbyråerna ansvarar för är t.ex. den i artikel 28.1 avsedda skyldigheten att endast anlita sådana personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i dataskyddsförordningen. Också de av den personuppgiftsansvariges uppgifter som hänför sig till tillgodoseendet av den registrerades rättigheter ska, med undantag för de uppgifter som i 2 mom. föreslås för UF-centret, skötas av arbets- och näringsbyråerna. 

Enligt artikel 26.3 i den allmänna dataskyddsförordningen får den registrerade utöva sina rättigheter enligt den förordningen med avseende på och emot var och en av de personuppgiftsansvariga, oavsett ansvarsfördelningen mellan de gemensamt personuppgiftsansvariga. Med detta avses att den registrerade kan inleda ett ärende oavsett hos vilken av de personuppgiftsansvariga den registrerade framställer begäran. Tillgodoseendet av den registrerades rättigheter förutsätter att en begäran eller förfrågan vid behov förmedlas till den personuppgiftsansvarige som enligt de personuppgiftsansvarigas inbördes ansvarsfördelning svarar för frågan. Om den registrerade till exempel hos UF-centret yrkar på att uppgifter om honom eller henne ska rättas, kan ämbetsverket i enlighet med förvaltningslagen (434/2003) överföra frågan till den arbets- och näringsbyrå där den registrerade är kund. 

3 §. De olika registrens informationsinnehåll. Bestämmelserna i paragrafen ska preciseras, för att de ska vara bättre förenliga med den allmänna dataskyddsförordningen. På motsvarande sätt som i nuläget föreskrivs i 1—3 mom. om informationsinnehållet i de olika registren i kundinformationssystemet. 

Principen om uppgiftsminimering i artikel 5 i den allmänna dataskyddsförordningen innebär att de behandlade personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. I artikel 6.3 i den allmänna dataskyddsförordningen tillåts särskilda bestämmelser i den nationella lagstiftningen för att anpassa tillämpningen av bestämmelserna i förordningen. Dessa särskilda bestämmelser kan gälla bland annat vilken typ av uppgifter som ska behandlas och vilka registrerade som berörs. Således är nationell lagstiftning om informationsinnehållet i register och om registrerade möjlig med tanke på den allmänna dataskyddsförordningen. Informationsinnehållet ska fastställas enligt principen om uppgiftsminimering. 

I 1 mom. ska på samma sätt som i nuläget föreskrivas om informationsinnehållet i registret över enskilda kunder inom kundinformationssystemet. Uppgifterna kan gälla enskilda kunder, dvs. privatpersoner som ansöker om eller får service, stöd eller ersättningar enligt lagen om offentlig arbetskrafts- och företagsservice. 

I 1 mom. 1—9 punkten i den gällande paragrafen anges vilka uppgifter som kan föras in om en enskild kund. De föreslagna punkterna motsvarar i övrigt nuläget, men det föreslås preciseringar i 1, 2, 5, 7 och 8 punkten. 

I 1 punkten föreskrivs för närvarande om införande av identifieringsuppgifter, däribland personbeteckningen. Enligt motiveringen till den gällande 1 punkten avses med identifieringsuppgifter den berörda personens namn, personbeteckning och adress samt andra kontaktuppgifter. Punkten ska preciseras så att där direkt anges de identifieringsuppgifter som kan föras in, dvs. namn och personbeteckning. Dessutom ska kontaktuppgifter nämnas i punkten. Uppgifterna behövs för att man ska kunna ordna tjänster för personen och hålla kontakt med honom eller henne. Med stöd av 29 § i dataskyddslagen är behandling av personbeteckningar tillåten bland annat när behandlingen regleras i lag. Den föreslagna 1 punkten uppfyller detta krav. 

I 2 punkten görs en språklig precisering. Momentets 5 punkt preciseras så att det i registret över enskilda kunder utöver arbetserbjudanden också kan föras in uppgifter om utbildningserbjudanden. Förslaget motsvarar nuvarande praxis. 

I 7 punkten föreskrivs för närvarande om införande av uppgifter om hälsotillståndet och andra uppgifter som krävs för tillhandahållande av offentlig arbetskrafts- och företagsservice. I den föreslagna 7 punkten preciseras formuleringen, så att sådana uppgifter om en enskild kunds hälsotillstånd och arbets- och funktionsförmåga som har inverkan på personens sysselsättning och som är nödvändiga för att tillhandahålla personen service kan föras in i registret. Punkten motsvarar 9 § 2 mom. 5 punkten i lagen om sektorsövergripande samservice som främjar sysselsättningen. I registret över enskilda kunder förs endast in sådana uppgifter om den enskilda kundens hälsotillstånd samt arbets- och funktionsförmåga som inverkar på sysselsättningen och som är nödvändiga för att tillhandahålla honom eller henne offentlig service för rekrytering och kompetensutveckling. Det kan med tanke på arbetsförmedling t.ex. vara nödvändigt att göra en anteckning om begränsningar som hänför sig till kundens hälsotillstånd och som hindrar utförande av vissa slag av arbetsuppgifter. Utgångspunkten är att de uppgifter om hälsotillstånd och arbetsförmåga som förs in i registret ska grunda sig på en bedömning av en yrkesutbildad person inom hälso- och sjukvården. Information om arbetsförmågan kan också grunda sig på exempelvis feedback från en producent av rehabiliteringstjänster. 

I artikel 9.1 i den allmänna dataskyddsförordningen förbjuds behandling av särskilda kategorier av personuppgifter. Sådana uppgifter är bl.a. uppgifter om hälsa samt ras eller etniskt ursprung. Undantag från behandlingsförbudet anges i artikel 9.2. 

Enligt artikel 9.2 b får särskilda kategorier av personuppgifter behandlas bl.a. om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs. Det nationella handlingsutrymme som denna punkt ger har utnyttjats i 6 § 1 mom. 3 och 5 punkten i dataskyddslagen. 

Enligt artikel 9.2 h i den allmänna dataskyddsförordningen är behandling av särskilda kategorier av personuppgifter också tillåten bl.a. om behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda. Enligt artikel 9.3 i förordningen får personuppgifter behandlas bl.a. om uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ. 

I fråga om den föreslagna 7 punkten grundar sig behandlingen av uppgifter på artikel 9.2 b och h. Det är tvetydigt vilken av dessa grunder för behandling som kommer i fråga. De föreslagna bestämmelserna anses dock uppfylla de krav som ställs på bägge grunderna för behandling. Det föreskrivs om behandlingen i lag. I lagstiftningen finns också bestämmelser om skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen, i överensstämmelse med kravet i artikel 9.2 b. Bestämmelser som betraktas som skyddsåtgärder finns förutom i dataskyddslagen, informationshanteringslagen, strafflagen, offentlighetslagen och andra allmänna förvaltningslagar även i den föreslagna lagen. I den föreslagna lagen kan som skyddsåtgärder betraktas åtminstone bestämmelserna om beviljande och upphävande av användarrättigheter och om lagringstider. På den person som behandlar uppgifter ska offentlighetslagen tillämpas, vilket betyder att personen omfattas av en lagstadgad sekretess, på det sätt som krävs i artikel 9.2 h i dataskyddsförordningen. 

Det föreslås att 8 punkten i momentet preciseras för tydlighetens skull så att det i registret över enskilda kunder utöver utredningar och arbetskraftspolitiska utlåtanden som gäller utkomstskydd för arbetslösa även kan föras in motsvarande utredningar och utlåtanden om alterneringsledighet. Arbets- och näringsbyråns kundinformationssystem används också för skötsel av de uppgifter som det föreskrivs om i lagen om alterneringsledighet, så förslaget motsvarar gällande praxis. 

I det inledande stycket i 2 mom. görs en sådan precisering jämfört med nuläget att registeruppgifterna kan gälla arbetsgivare som ansöker om eller får offentlig arbetskrafts- och företagsservice. Arbetsgivaren kan också vara en fysisk person, så de uppgifter som förs in i registret kan även gälla fysiska personer. I bestämmelserna om registrets informationsinnehåll i 1—6 punkten föreslås inga andra ändringar än en rättelse av ett skrivfel och en språklig precisering i 2 punkten. I 7 punkten görs en språklig precisering. 

I 3 mom. ska det på samma sätt som i nuläget föreskrivas om informationsinnehållet i det register över serviceproducenter som ingår i kundinformationssystemet. I 3 mom. finns för närvarande 7 punkter. I 1—3 och 6 punkten görs språkliga ändringar. 

I 4 mom. görs endast språkliga ändringar. Dokument som hålls separata från kundinformationssystemet kan vara pappersdokument eller elektroniska dokument. 

4 §. Registrering, radering och arkivering av uppgifter. I 1 mom. stryks den bestämmelse enligt vilken en enskild kund ska underrättas om att kunduppgifterna registreras i systemet. I artikel 13 i den allmänna dataskyddsförordningen föreskrivs det om den personuppgiftsansvariges skyldighet att till den registrerade lämna information om behandlingen av dennes personuppgifter, om uppgifter samlas in från den registrerade. I artikel 14 i den allmänna dataskyddsförordningen föreskrivs det om den personuppgiftsansvariges skyldighet att till den registrerade lämna information om behandlingen av dennes personuppgifter, om uppgifterna fås från någon annan källa. Bestämmelsen i 1 mom. om att en enskild kund ska underrättas om att uppgifterna registreras i informationssystemet överlappar med dessa bestämmelser i förordningen, och därför ska bestämmelsen i momentet strykas. 

Dessutom ändras 1 mom. så att det tas in en bestämmelse om de aktörer som ska föra in kunduppgifter i informationssystemet. För närvarande finns det ingen bestämmelse i lagen om vilka aktörer som har rätt eller skyldighet att föra in uppgifter i arbets- och näringsbyråns kundinformationssystem. Det föreslås att bestämmelsen tas in i lagen för att förtydliga saken. Arbets- och näringsbyrån, arbets- och näringsförvaltningens kundservicecenter och UF-centret ska vara skyldiga att föra in kunduppgifter i informationssystemet. I artikel 5.1 d i den allmänna dataskyddsförordningen föreskrivs det att personuppgifter ska vara korrekta och om nödvändigt uppdaterade och att alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt artikel 5.2 svarar den personuppgiftsansvarige för att punkt 1 efterlevs. 

I 2 mom. ska det föreskrivas att den registrerade inte har en i artikel 18 i den allmänna dataskyddsförordningen avsedd rätt att begränsa behandlingen av uppgifter i registret över enskilda kunder. 

Artikel 18 i den allmänna dataskyddsförordningen gäller den registrerades rätt att begränsa behandlingen. Enligt artikel 18.1 ska den registrerade ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om någon av de situationer som räknas upp i artikeln föreligger. Exempelvis ska enligt led a behandlingen begränsas, om den registrerade bestrider personuppgifternas korrekthet. I en sådan situation ska behandlingen begränsas under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta. Om det beslutas att behandlingen ska begränsas i enlighet med artikel 18.1, får enligt artikel 18.2 sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat. Med stöd av artikel 23 kan denna rätt för den registrerade begränsas när villkoren för begränsning uppfylls. 

Genom artikel 23.1 i den allmänna dataskyddsförordningen ges medlemsstaterna en möjlighet att i sin nationella rätt begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 18, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa t.ex. en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. I artikel 23.2 i förordningen föreskrivs det vad dessa lagstiftningsåtgärder ska innehålla bestämmelser om. Enligt punkt 2 ska i den nationella lagstiftningen finnas bestämmelser om ändamålen med behandlingen, kategorierna av personuppgifter, omfattningen av begränsningarna, skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, specificeringen av den personuppgiftsansvarige och lagringstiden. 

Skötseln av en uppgift som anknyter till offentlig arbetskraftsservice, utkomstskydd för arbetslösa eller alterneringsledighet kan inte med beaktande av målen för uppgiften vara beroende av den registrerades beslut att begränsa behandlingen av uppgifter som gäller honom eller henne. Med tanke på förvaltningen av kundinformationssystemet samt utbetalning av utkomstskydd för arbetslösa och alterneringsersättning är det inte möjligt att en person skulle kunna begränsa behandlingen av uppgifter som gäller honom eller henne t.ex. under tiden för utredandet av den rättsliga grunden för den personuppgiftsansvariges behandling av uppgifter eller behandlingen av ett påstående om att uppgifterna eller behandlingen av dem är felaktig. Detta skulle kunna äventyra behandlingen av förmånsärendet och uppgifternas korrekthet. De registerförda uppgifterna ska vara korrekta och fullständiga, och de kan inte vara beroende av behandlingen av invändningar som gäller skydd av personuppgifter tills det har fattats ett beslut med anledning av ovan avsedda invändning. Om en persons uppgifter inte kan behandlas, kan inte heller tjänster ordnas för eller förmåner betalas till personen. Således föreslås att det föreskrivs att den registrerade inte har en i artikel 18 i den allmänna dataskyddsförordningen avsedd rätt att begränsa behandlingen av uppgifter i registret över enskilda kunder. Andra rättigheter som anges i den allmänna dataskyddsförordningen och som med stöd av förordningen ska tillämpas på sådan behandling som behövs för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, ska inte begränsas. 

Förutsättningarna för begränsning av den registrerades rättigheter enligt artikel 23.1 i den allmänna dataskyddsförordningen uppfylls, eftersom begränsningen utgör en nödvändig och proportionell åtgärd för att uppfylla medlemsstatens mål gällande främjandet av sysselsättningen, utkomstskyddet för arbetslösa och alterneringsledighet. I begränsningen iakttas till centrala delar de grundläggande fri- och rättigheterna, eftersom det föreskrivs om behandlingen i lag och den registrerade har rätt att söka ändring i besluten. Även övriga garantier för god förvaltning har tillförsäkrats genom lag. Dessutom är kraven i artikel 23.2 i förordningen uppfyllda. Bestämmelser om ändamålen med behandlingen finns i föreslagna 13 kap.1 §, bestämmelser om kategorierna av personuppgifter finns i föreslagna 13 kap. 3 §, och omfattningen av begränsningarna anges vara uppgifterna i registret över enskilda kunder i föreslagna 13 kap. 4 §. Bestämmelser om skyddsåtgärder finns i sin tur i föreslagna 4 a, 5 och 5 a §. Dessutom ska offentlighetslagens bestämmelser om sekretess och dataskyddslagens bestämmelser om tystnadsplikt och sanktioner för brott mot tystnadsplikten samt informationshanteringslagens bestämmelser om säkerställande av informationssäkerheten så väl som tillämpningen av allmänna förvaltningslagar betraktas som skyddsåtgärder för att förhindra missbruk av och olaglig åtkomst till eller överföring av uppgifter. De personuppgiftsansvariga anges i 13 kap. 2 § och lagringstiderna i 13 kap. 4 §. Den registrerade får information om begränsningen genom lagstiftningen. Skyldigheten att ge den registrerade information om behandlingen grundar sig dessutom på artiklarna 13 och 14 i den allmänna dataskyddsförordningen. 

I 3 mom. föreskrivs det om lagringstiderna för uppgifter som införts i arbets- och näringsbyråns kundinformationssystem. I momentet föreslås det att lagringstiderna för kunduppgifter förenhetligas och att den totala lagringstiden förkortas. Dessutom preciseras vilken aktör som ska radera uppgifterna. I momentet föreslås också språkliga justeringar. 

Enligt principen om lagringsminimering i artikel 5 i den allmänna dataskyddsförordningen ska personuppgifter förvaras i en form som möjliggör identifiering av den registrerade endast så länge som det behövs för att iaktta ändamålen med behandlingen. Enligt artikel 6.3 i den allmänna dataskyddsförordningen kan den nationella lagstiftningen innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen. Dessa särskilda bestämmelser kan gälla bland annat lagringstider. 

Enligt gällande 13 kap. 4 § 2 mom. ska sådana uppgifter som gäller en enskild kund och som avses i 3 § 1 mom. 2, 4 och 5 punkten gallras ur informationssystemet när två år har förflutit från den dag när uppgiften infördes. Alla uppgifter om kunden eller serviceproducenten ska gallras när fem år har förflutit från den dag då kundrelationen eller avtalsförhållandet upphörde. En uppgift avförs dock inte, om den behövs för ett uppdrag som baserar sig på bestämmelser eller på grund av ett icke avslutat ärende. I momentet föreslås att lagringstiderna för kunduppgifter förenhetligas och att den totala lagringstiden förkortas från nuvarande fem år till fyra år. 

Grunden för den föreslagna ändringen är en ändring av det informationsinnehåll som avses i 13 kap. 3 § 1 mom. 2 punkten. För närvarande kan kunderna via arbets- och näringsbyråns kundinformationssystem i omfattande grad sköta sina egna ärenden genom att utnyttja e-tjänsten. I praktiken samlas de kunduppgifter som den enskilda kunden har registrerat i det informationsinnehåll som avses i 13 kap. 3 § 1 mom. 2 punkten. Informationsinnehållet i fråga har utökats i förhållande till det tidigare användningsändamålet och kan innehålla sådana av kunden anmälda uppgifter vars lagringstid enligt den gällande lagstiftningen är fem år efter det att kundrelationen upphörde. Således bör lagringstiden för informationsinnehållet i fråga vara enhetlig med lagringstiden för det övriga informationsinnehållet. Med tanke på kundinformationens integritet är det väsentligt att det inte görs delvisa raderingar i kunduppgifterna innan lagringstiden slutligen går ut. För att trygga kundprocesserna bör de centrala uppgifterna finnas tillgängliga i en enhetlig form och raderingar göras som helhet inom den föreskrivna tiden. För att trygga arbets- och näringsförvaltningens tjänster är det av avgörande betydelse att enskilda uppgifter inte raderas ur kunduppgifterna förrän eventuella processer efter kundrelationen har avgjorts och slutförts. Eftersom det föreslås att en kunds uppgifter i fortsättningen lagras som en helhet i stället för att det som i nuläget görs periodiserade raderingar, kan den registrerades rätt att begränsa lagringen enligt den allmänna dataskyddsförordningen tillgodoses genom förkortning av den totala lagringstiden från fem år till fyra år efter det att kundrelationen avslutats. Den tiden kan huvudsakligen anses vara tillräcklig med tanke på åtgärderna i samband med kundprocesserna. 

I det föreslagna 3 mom. ingår också en bestämmelse som motsvarar bestämmelsen i 2 mom. i den gällande paragrafen om att en uppgift i kundinformationssystemet dock inte behöver raderas, om den behövs för skötseln av ett uppdrag som baserar sig på bestämmelser eller ett ärende som fortfarande är anhängigt. Exempelvis uppgifter om tjänster som ordnas med finansiering från Europeiska socialfonden och andra kunduppgifter i anslutning till sådana ska inte raderas, eftersom bestämmelserna förutsätter att uppgifterna bevaras i 10 år från det i finansieringsbeslutet fastställda slutdatumet för projektet (30 § i statsrådets förordning om stödberättigande kostnader som medfinansieras av strukturfonderna (358/2014)). Även verifikat och uppgifter som gäller tjänster ordnade med finansiering från Europeiska fonden för justering för globaliseringseffekter ska bevaras i tre år efter det att ett ekonomiskt stöd från fonden har avslutats (artikel 21.5 i Europaparlamentets och rådets förordning (EU) nr 1309/2013 om Europeiska fonden för justering för globaliseringseffekter (2014—2020) och om upphävande av förordning (EG) nr 1927/2006). I praktiken ska material som gäller ett projekt som finansierats av Europeiska fonden för justering för globaliseringseffekter bevaras i snitt i sju år, så en fyra år lång tidsfrist är inte tillräcklig för att radera uppgifterna ur arbets- och näringsbyråns kundinformationssystem. Kundens uppgifter behöver inte heller raderas, om det pågår t.ex. en process för ändringssökande i ett ärende som gäller utkomstskydd för arbetslösa eller offentlig arbetskrafts- och företagsservice. 

I den gällande 4 § föreskrivs det inte vilken instans som ska radera uppgifterna ur kundinformationssystemet. Enligt det föreslagna 3 mom. är det UF-centret som ska radera kunduppgifterna, eftersom UF-centret är den som sköter den tekniska driften av kundinformationssystemet och därför är den enda som i praktiken kan sköta raderingen av uppgifter. 

I 4 mom. föreslås en informativ hänvisning till att bestämmelser om arkivering av uppgifter finns i arkivlagen (831/1994). Motsvarande bestämmelse finns i 3 mom. i den gällande paragrafen. 

4 a §. Användarrättigheter. Denna paragraf är ny. I det föreslagna 1 mom. föreskrivs det att personliga användarrättigheter krävs för att använda arbets- och näringsbyråns kundinformationssystem. För närvarande finns det inte bestämmelser om detta, trots att det krävs användarrättigheter för att använda systemet. Användarrättigheterna är ett sätt att säkerställa systemets informationssäkerhet. Den bestämmelse som föreslås i 1 mom. har ett samband med 16 och 17 § i informationshanteringslagen, i vilka det föreskrivs om kontroll av användarrättigheter till och insamling av logginformation i informationssystem. I det föreslagna momentet föreskrivs det dessutom att det är UF-centret som ansvarar för skötseln av dessa uppgifter när det gäller arbets- och näringsbyråns kundinformationssystem. 

I 16 § i informationshanteringslagen föreskrivs det om skyldigheten att definiera informationssystemets användarrättigheter och hålla dem uppdaterade. Bestämmelserna i den allmänna lagen tillämpas även på arbets- och näringsbyråns kundinformationssystem och på beviljande av användarrättigheter. När användarrättigheterna definieras ska också den princip om uppgiftsminimering som avses i den direkt tillämpliga allmänna dataskyddsförordningen beaktas. De uppgifter som UF-centret har enligt paragrafen hänför sig till de uppgifter som personuppgiftsansvarig som föreslås för centret i 2 §. Beviljandet av användarrättigheter och insamlingen av logginformation har ett nära samband med säkerställandet av systemets informationssäkerhet, och därför är det motiverat att den personuppgiftsansvarige som ansvarar för systemets informationssäkerhet även svarar för de uppgifter som har samband med dem. 

I 2 mom. föreslås bestämmelser om kravet på att definiera användarrättigheterna. Enligt förslaget ska användarrättigheterna till sitt innehåll, sin omfattning, sina behörigheter och sin varaktighet begränsas enligt vad som är nödvändigt för att en person ska kunna sköta sina arbetsuppgifter. Med innehåll avses det informationsinnehåll till vilket användarrättigheterna ger åtkomst, med omfattning de registrerade vilkas uppgifter användarrättigheten ger rätt att behandla och med behörigheter de behandlingsåtgärder som användarrättigheten tillåter, alltså huruvida personen endast har rätt att titta på uppgifter eller också rätt att föra in uppgifter. Med varaktighet avses användarrättigheternas giltighetstid. Bestämmelsen konkretiserar den princip om uppgiftsminimering som avses i dataskyddsförordningen och tryggar även att kravet på ändamålsbegränsning uppfylls. Utgångspunkten vid fastställandet av användarrättigheterna ska alltid vara personens uppgift och den med uppgiften förbundna rätt till information som följer av den övriga lagstiftningen. 

Avsikten med den bestämmelse som föreslås i 3 mom. är att komplettera bestämmelserna om användarrättigheter. Det är i praktiken omöjligt att skräddarsy användarrättigheterna med tanke på alla eventuella situationer. Av denna orsak behöver det också föreskrivas om möjligheten att begränsa användningen i fråga om en person som beviljats användarrättigheter. Enligt den föreslagna bestämmelsen får den som beviljats användarrättigheter behandla endast sådana uppgifter som registrerats i kundinformationssystemet och på det sätt som är nödvändigt för skötseln av hans eller hennes arbetsuppgifter. Bestämmelsen fördelar ansvaret för behandlingen av personuppgifter i enlighet med principen om uppgiftsminimering också till den person som behandlar uppgifterna. 

De bestämmelser som föreslås i paragrafen främjar för sin del genomförandet av principen om integritet och konfidentialitet enligt artikel 5 i dataskyddsförordningen. Denna princip innebär att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder. Användarrättigheterna och användarkontrollen utifrån dem är också sådana skyddsåtgärder som avses i den allmänna dataskyddsförordningen. 

5 §. Beviljande av användarrättigheter. Det föreslås att paragrafens rubrik ändras, eftersom det till skillnad från nuläget endast ska föreskrivas om beviljande av användarrättigheter i paragrafen. Bestämmelsen om utlämnande av sekretessbelagda personuppgifter ska flyttas till en ny 7 §, där det ska föreskrivas om utlämnande av uppgifter ur kundinformationssystemet. I paragrafen föreslås det bestämmelser om vilken instans som beviljar användarrättigheter, om förfarandet vid beviljande av användarrättigheter och om förutsättningarna för beviljande av användarrättigheter. I denna lag föreskrivs det dock inte uttömmande om skyldigheterna för de instanser som behandlar personuppgifter, eftersom bestämmelser om skyldigheterna finns i den allmänna dataskyddsförordningen. 

Enligt det föreslagna 1 mom. beviljar UF-centret användarrättigheter till arbets- och näringsbyråns kundinformationssystem på ansökan av arbets- och näringsbyrån, arbets- och näringsförvaltningens kundservicecenter, NTM-centralen eller arbets- och näringsministeriet. För närvarande föreskrivs det inte om vilken instans som beviljar användarrättigheter, men det anses vara motiverat för tydlighetens skull. I praktiken beviljar för närvarande respektive myndighet användarrättigheter till sina anställda och underrättar Statens informations- och kommunikationstekniska center Valtori om de användarrättigheter som behövs. Valtori öppnar den tekniska anslutningen på basis av ett serviceavtal mellan Valtori och UF-centret. Enligt förslaget är det UF-centret som beslutar om beviljande av användarrättigheter, men på motsvarande sätt som för närvarande ska den myndighet som ansöker om användarrättigheter svara för den prövning som är förknippad med beviljandet av användarrättigheter när den lämnar in ansökan. Den som ansöker om användarrättigheter ska svara för att det ansöks om användarrättigheter endast åt en person som nödvändigt måste använda kundinformationssystemet för att sköta sina arbetsuppgifter och endast i den omfattning som det är nödvändigt att använda kundinformationssystemet. UF-centret som personuppgiftsansvarig ska med stöd av den allmänna dataskyddsförordningen svara för att endast sådana personer som är anställda hos UF-centret och som behöver uppgifter ur kundinformationssystemet för skötseln av sina arbetsuppgifter får åtkomst till uppgifterna i den utsträckning som det är nödvändigt för skötseln av arbetsuppgifterna. 

Arbets- och näringsbyråns kundinformationssystem är ett riksomfattande och enhetligt system som används vid varje arbets- och näringsbyrå. Informationssystemet används också vid arbets- och näringsförvaltningens kundservicecenter, NTM-centralerna, UF-centret och arbets- och näringsministeriet. Tjänstemän vid NTM-centralerna och arbets- och näringsministeriet har i regel endast rätt att titta på uppgifter i informationssystemet. Det är i regel tjänstemän vid arbets- och näringsbyrån, arbets- och näringsförvaltningens kundservicecenter och UF-centret som för in uppgifter i kundinformationssystemet. Användarrättigheter till informationssystemet har endast de tjänstemän vars tjänsteutövning förutsätter det. På motsvarande sätt som för närvarande får enligt det föreslagna 1 mom. en tjänsteman vid arbets- och näringsbyrån, arbets- och näringsförvaltningens kundservicecenter, NTM-centralen, UF-centret eller arbets- och näringsministeriet som beviljats rätt att använda arbets- och näringsbyråns kundinformationssystem trots sekretessbestämmelserna söka och använda uppgifter i systemet, oberoende av vilken arbets- och näringsbyrå som infört uppgifterna i informationssystemet. Bestämmelsen ger dock inte rätt till fri sökning eller användning av uppgifterna, utan det ska alltid finnas en grund som följer av lagen. Med stöd av det föreslagna 1 mom. har arbets- och näringsmyndigheten rätt att söka och använda uppgifter i kundinformationssystemet, om det behövs för att ordna kundbetjäningen, utreda eller avgöra ett anhängigt ärende eller för att utföra tillsyns-, utvecklings-, uppföljnings-, statistikförings-, prognostiserings- eller styruppgifter. Den gällande bestämmelsen har preciserats så att uppgiften också kan hänföra sig till statistikföring eller prognostisering. 

I 2 mom. ska det föreskrivas om vem som kan beviljas användarrättigheter. Användarrättigheter kan beviljas en sådan tjänsteman vid arbets- och näringsbyrån, arbets- och näringsförvaltningens kundservicecenter, NTM-centralen, UF-centret eller arbets- och näringsministeriet som sköter uppgifter enligt lagen om offentlig arbetskrafts- och företagsservice, sådana uppgifter enligt lagen om främjande av integration (1386/2010) som anknyter till offentlig arbetskrafts- och företagsservice, uppgifter som anknyter till sådan arbetskraftsutbildning som avses i lagen om yrkesutbildning (537/2017), uppgifter enligt lagen om sociala företag (1351/2003), uppgifter enligt lagen om utkomstskydd för arbetslösa (1290/2002) eller lagen om alterneringsledighet (1305/2002) eller sådana statistikförings-, tillsyns-, uppföljnings-, utvecklings-, prognostiserings- eller styruppgifter som anknyter till dessa tjänster, stöd eller kundprocesser eller till systemet för utkomstskydd för arbetslösa eller systemet för alterneringsledighet. Användarrättigheter ska kunna beviljas också på den grunden att personen sköter i 2 § avsedda uppgifter för personuppgiftsansvariga eller i 4 a § 1 mom., 5 § eller 5 a § avsedda uppgifter som anknyter till kontroll av användarrättigheter eller insamling av logginformation. Arbets- och näringsbyråns, NTM-centralens, UF-centrets och arbets- och näringsministeriets uppgifter skiljer sig från varandra, och alla grunder kommer därför inte nödvändigtvis på fråga för tjänstemän vid alla nämnda myndigheter. 

Enligt det föreslagna 3 mom. kan användarrättigheter beviljas sådana personer som är anställda hos en aktör som antingen på uppdrag av arbets- och näringsministeriet, NTM-centralen eller UF-centret utför separat utvärdering, granskning eller utredning eller på uppdrag av UF-centret utför uppgifter som anknyter till utveckling eller förvaltning av kundinformationssystemet, och som sköter uppgiften i fråga. 

Beviljandet av användarrättigheter förutsätter att den som beviljas användarrättigheter har lagstadgad rätt att trots sekretessbestämmelserna få sekretessbelagd information. Om det inte har föreskrivits om rätt till information trots sekretessbestämmelserna, kan användarrättigheter beviljas endast med en sådan begränsning att de inte ger rätt att titta på eller behandla sekretessbelagda uppgifter. 

Enligt 12 kap. 6 § 1 mom. i lagen om offentlig arbetskrafts- och företagsservice har arbets- och näringsbyrån, arbets- och näringsförvaltningens kundservicecenter, NTM-centralen och UF-centret oberoende av sekretessbestämmelserna och andra begränsningar av rätten att få uppgifter rätt att avgiftsfritt av andra statliga myndigheter, kommunala myndigheter, Folkpensionsanstalten, arbetslöshetskassorna, Pensionsskyddscentralen, Arbetslöshetsförsäkringsfonden, dem som producerar offentlig arbetskrafts- och företagsservice och dem som anordnar arbetsprövning som anges i 4 kap. 5 § få de uppgifter som är nödvändiga för att genomföra den offentliga arbetskrafts- och företagsservicen. Dessutom finns det bestämmelser om arbets- och näringsbyråns rätt att få information i samband med uppdrag som gäller utkomstskydd för arbetslösa i 13 kap. 1 § 1 mom. i lagen om utkomstskydd för arbetslösa, bestämmelser om arbets- och näringsministeriets, NTM-centralens, UF-centrets och arbets- och näringsbyråns rätt att få information i samband med arbetsuppgifter som avses i 2, 5 och 6 kap. i lagen om främjande av integration i 87 § i den lagen och bestämmelser om arbets- och näringsbyråns, arbets- och näringsförvaltningens kundservicecenters, NTM-centralens och UF-centrets rätt att få information i samband med arbetskraftsutbildning i 109 § i lagen om yrkesutbildning. Enligt 21 § i lagen om alterneringsledighet ska lagen om utkomstskydd för arbetslösa tillämpas på arbets- och näringsbyråns rätt att få information. 

I 26 § 3 mom. i offentlighetslagen finns bestämmelser om utlämnande av sekretessbelagda uppgifter i samband med uppdrag. En myndighet får lämna ut uppgifter ur en sekretessbelagd handling för något annat uppdrag som myndigheten gett eller någon uppgift som i övrigt handhas för myndighetens räkning om detta är nödvändigt för att uppdraget eller uppgiften ska kunna skötas. Sekretessbelagda uppgifter kan dock lämnas ut för skötseln av dessa uppdrag eller uppgifter även när det uppenbarligen inte är ändamålsenligt att stryka de sekretessbelagda uppgifterna på grund av deras stora antal eller någon annan jämförbar orsak. Myndigheten ska på förhand försäkra sig om att uppgifterna kommer att hemlighållas och skyddas på behörigt sätt. 

5 a §.Ändring och upphävande av användarrättigheter. Paragrafen är ny. I 1 mom. föreskrivs det om när UF-centret ska upphäva beviljade rättigheter att använda arbets- och näringsbyråns kundinformationssystem. UF-centret ska upphäva användarrättigheterna, om det framgår att förutsättningarna enligt 5 § för beviljande av användarrättigheter inte längre uppfylls. En sådan situation kan t.ex. uppstå om en person som beviljats användarrättigheter övergår till andra arbetsuppgifter. UF-centret ska också upphäva användarrättigheterna om de har använts i strid med 4 a § 3 mom., den allmänna dataskyddsförordningen eller dataskyddslagen. UF-centret ska dessutom upphäva användarrättigheterna, om det är nödvändigt att upphäva användarrättigheterna av något annat vägande skäl som hänför sig till skyddet av personuppgifter eller kundinformationssystemets informationssäkerhet. Denna tredje grund är öppen och möjliggör ingripande mot missbruk. 

I 2 mom. föreskrivs det om UF-centrets skyldighet att ändra användarrättigheterna, om det framgår att den användarrättighet som sökts eller beviljats inte längre motsvarar det syfte för vilket rättigheten har sökts eller beviljats. Momentet ger UF-centret en möjlighet att ändra användarrättigheterna i stället för att upphäva dem eller ge ett avslagsbeslut på ansökan om användarrättigheter. UF-centret kan ändra användarrättigheternas innehåll, omfattning, behörigheter eller varaktighet. Med dessa avses motsvarande som i det föreslagna 4 a § 2 mom. 

I 3 mom. föreskrivs det om den skyldighet arbets- och näringsbyrån, arbets- och näringsförvaltningens kundservicecenter, NTM-centralen och arbets- och näringsministeriet har att utan dröjsmål informera UF-centret om grunder för upphävande eller ändring av användarrättigheter. Genom bestämmelsen vill man betona att de aktörer som har ansökt om användarrättigheter har ett ansvar för att hålla användarrättigheterna uppdaterade och att ingripa mot missbruk. Dessa har större möjligheter än UF-centret att upptäcka förändringar i behovet av användarrättigheter eller missbruk av användarrättigheterna. Bestämmelsen innebär dock ingen begränsning av UF-centrets befogenheter att på eget initiativ ändra eller upphäva användarrättigheterna, om de villkor som anges i 1 eller 2 mom. uppfylls. Eftersom det i propositionen inte föreslås någon övergångsbestämmelse om gällande användarrättigheter, ska UF-centret när den föreslagna lagen har trätt i kraft kontrollera om uppgifterna om användarrättigheter är uppdaterade och om de till sitt innehåll, sin omfattning, sina behörigheter och sin varaktighet är sådana att de uppfyller förutsättningarna i 13 kap. I praktiken innebär detta att varje myndighet eller annan utomstående aktör ska underrätta UF-centret om vem som har användarrättigheter och på vilka grunder. Om UF-centret konstaterar att det inte finns någon laglig grund för användarrättigheterna, ska användarrättigheterna upphävas. 

6 §.Samtycke till utlämnande av uppgifter till arbetsgivare. I 1 och 3 mom. föreslås språkliga ändringar. Genom ändringarna i 1 mom. betonas att den arbetssökandes samtycke ska vara genuint. Enligt den nuvarande ordalydelsen ska skriftligt samtycke begäras av en arbetssökande för att lämna ut uppgifter till arbetsgivare. I stället för förpliktande att begära samtycke är det väsentligt att föreskriva att uppgifter endast kan lämnas ut med den arbetssökandes skriftliga samtycke. 

Ordalydelsen i 3 mom. ’uttryckliga skriftliga samtycke’ ändras till en tydligare formulering ’specificerade skriftliga samtycke’, som också instrueras i tillämpningsanvisningarna för lagen om offentlig arbetskrafts- och företagsservice. Av denna ordalydelse framgår tydligare än för närvarande dess skillnad jämfört med det samtycke som avses i 1 mom. Utlämnande av uppgifter om hälsotillstånd till arbetsgivare förutsätter fortfarande att den arbetssökande ger separat samtycke varje gång uppgifter lämnas ut. Kravet på skriftligt samtycke innebär att ett muntligt samtycke inte är tillräckligt. Exempelvis ett elektroniskt givet samtycke är skriftligt på det sätt som förutsätts i bestämmelsen. 

Enligt artikel 6.3 i den allmänna dataskyddsförordningen kan den nationella lagstiftningen innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen. Dessa särskilda bestämmelser kan gälla bland annat de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål. Ett grundläggande krav för sådan lagstiftning är att den ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. 

7 §.Utlämnande av uppgifter ur kundinformationssystemet. Denna paragraf är ny. I paragrafen föreskrivs det om utlämnande av uppgifter ur kundinformationssystemet. 

Paragrafens 1 mom. motsvarar den första meningen i 13 kap. 1 § 2 mom. i den gällande lagen. Lagen om offentlighet i myndigheternas verksamhet (621/1999) ska tillämpas på utlämnande av uppgifter ur arbets- och näringsbyråns kundinformationssystem och på de i systemet införda uppgifternas offentlighet. 

Det föreslagna 2 mom. är nytt. Enligt 68 § i grundlagen svarar varje ministerium inom sitt ansvarsområde för beredningen av de ärenden som hör till statsrådet och för att förvaltningen fungerar som sig bör. Enligt 11 § i reglementet för statsrådet (262/2003) ska varje ministerium behandla till det egna ansvarsområdet hörande ärenden som gäller bl.a. förvaltning. Enligt 21 § i reglementet hör till arbets- och näringsministeriets ansvarsområde bl.a. sysselsättning, arbetslöshet och offentlig arbetskraftsservice samt integration av invandrare. Enligt 1 § i statsrådets förordning om arbets- och näringsministeriet (1024/2007) hör till arbets- och näringsministeriets uppgifter att sörja för bl.a. planeringen och genomförandet av den offentliga arbetskrafts- och företagsservicen, strategin för samt styrningen och verkställigheten av arbets- och näringspolitiken, integrationen av invandrare och verkställigheten av lagen om främjande av integration samt prognostiseringen av och forskningen kring arbets-, närings- och innovationspolitiken. I arbets- och näringsministeriets förordning om arbets- och näringsministeriets arbetsordning (1012/2017) finns detaljerade bestämmelser om ministeriets uppgifter. I egenskap av den högsta myndigheten inom ansvarsområdet avgör arbets- och näringsministeriet också klagomålsärenden. Vid ministeriet används arbets- och näringsbyråns kundinformationssystem i praktiken bl.a. för upprättande av arbetsförmedlingsstatistik, uppföljning av anslag, uppföljning och övervakning av ESF- och EFG-projekt, skötsel av registret över sociala företag, utredning av klagomålsärenden samt för databaser och statistik som används i analysarbete, prognostisering, planerings- och utvecklingsuppgifter samt för konsekvensbedömningar i samband med lagberedning. Eftersom arbets- och näringsministeriet enligt förslaget inte längre är personuppgiftsansvarig, ska det tryggas att ministeriet får uppgifter genom en bestämmelse om att UF-centret är skyldigt att ur kundinformationssystemet till ministeriet lämna sådana uppgifter som ministeriet behöver för att sköta de uppgifter som föreskrivs för ministeriet i lagar och förordningar. De uppgifter som behövs för upprättande av arbetsförmedlingsstatistik ska UF-centret enligt förslaget lämna på eget initiativ. 

Enligt lagen om närings-, trafik- och miljöcentralerna (897/2009) sköter NTM-centralerna uppgifter som föreskrivits för dem inom verksamhetsområden som gäller bl.a. fungerande arbetsmarknader, tillgången på arbetskraft och sysselsättningen, utbildning och kunnande samt invandring och integration. NTM-centralerna har också till uppgift att styra och övervaka arbets- och näringsbyråerna. Vid NTM-centralerna används arbets- och näringsbyråns kundinformationssystem till exempel för uppföljning av användningen av anslag, statistikföring och uppföljning av statistiken i analys- och prognostiseringsarbete, administration av ESF- och EFG-projekt, upphandling av offentlig arbetskrafts- och företagsservice och uppföljning av den, återkravsärenden, ärenden som gäller planering, genomförande och uppföljning av arbets- och näringstjänsterna, övervakning av arbets- och näringsbyråernas verksamhet samt avgörande av klagomålsärenden. I propositionen föreslås att UF-centret till NTM-centralen ska lämna de uppgifter ur kundinformationssystemet som NTM-centralen behöver för att sköta de uppgifter som föreskrivs för den i lagar och förordningar. 

Både till arbets- och näringsministeriet och till NTM-centralen ska UF-centret lämna uppgifterna avgiftsfritt. De uppgifter som behövs för upprättande av arbetsförmedlingsstatistik ska UF-centret lämna till arbets- och näringsministeriet på eget initiativ. 

I 3 mom. föreskrivs det om beviljande av tillstånd enligt 28 § i offentlighetslagen. För närvarande finns en motsvarande bestämmelse i 13 kap. 5 § 3 mom. I 28 § i offentlighetslagen föreskrivs det att en myndighet kan bevilja tillstånd att ta del av en sekretessbelagd handling för vetenskaplig forskning eller statistikföring eller för ett sådant planerings- eller utredningsarbete som en myndighet utför. Enligt gällande 5 § 3 mom. beslutar arbets- och näringsministeriet om beviljande av tillstånd enligt 28 § i offentlighetslagen att lämna ut sekretessbelagda uppgifter ur arbets- och näringsbyråns kundinformationssystem för statistikföring, vetenskaplig forskning eller myndigheters planerings- eller utredningsarbete. Eftersom ministeriet enligt den föreslagna paragrafen inte längre är personuppgiftsansvarig, föreslås det att beslutet om beviljande av tillstånd ska fattas av UF-centret. Detta innebär att arbets- och näringsbyråerna inte ska kunna bevilja i 28 § i offentlighetslagen avsedda tillstånd att ta del av uppgifter i kundinformationssystemet, liksom de inte heller kan för närvarande. I egenskap av personuppgiftsansvarig för arbetsförmedlingsstatistiken är det även i fortsättningen arbets- och näringsministeriet som beviljar tillstånd för forskning, om ansökan uttryckligen gäller arbetsförmedlingsstatistiken. 

I artikel 5.1 b i den allmänna dataskyddsförordningen anges principen om ändamålsbegränsning, enligt vilken personuppgifter inte senare får behandlas på ett sätt som är oförenligt med de ursprungliga ändamålen. I artikeln föreskrivs det även om ett undantag från denna regel. Enligt artikeln ska arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål inte anses vara oförenliga med de ursprungliga ändamålen. 

Det föreslagna 4 mom. är nytt. Enligt förslaget får UF-centret lämna uppgifter ur kundinformationssystemet till arbets- och näringsministeriet och NTM-centralerna via en teknisk anslutning. Detta motsvarar nuvarande praxis. För tydlighetens skull tas det in en bestämmelse om det i lagen. 

1.2  Lagen om sektorsövergripande samservice som främjar sysselsättningen

9 §. Kundregistret över sektorsövergripande samservice. Det föreslås att paragrafens rubrik ändras. I paragrafen ska det föreskrivas om den som för kundregistret över sektorsövergripande samservice, registrets användningsändamål och beviljande av användarrättigheter till registret. Dessutom ska det preciseras vilka uppgifter om arbetslösa som kan föras in i kundregistret. 

Enligt 9 § i den gällande lagen om sektorsövergripande samservice som främjar sysselsättningen är kundregistret över sektorsövergripande samservice ett delregister till det register över enskilda kunder inom arbets- och näringsbyråns kundinformationssystem som avses i 13 kap. 1 § i lagen om offentlig arbetskrafts- och företagsservice. I 13 kap. 1 § i lagen om offentlig arbetskrafts- och företagsservice beskrivs kundinformationssystemets struktur, men där nämns för närvarande inte kundregistret över sektorsövergripande samservice. I propositionen föreslås därför för tydlighetens skull att beskrivningen av arbets- och näringsbyråns kundinformationssystem i 13 kap. 1 § i lagen om offentlig arbetskrafts- och företagsservice preciseras med tillägget att det i kundinformationssystemet också ingår ett kundregister över sektorsövergripande samservice, som utgör ett delregister till registret över enskilda kunder. Förslaget förtydligar nuläget i fråga om vilka bestämmelser som ska tillämpas på kundregistret över sektorsövergripande samservice. Bestämmelserna om arbets- och näringsbyråns kundinformationssystem i 13 kap. i lagen om offentlig arbetskrafts- och företagsservice ska dock tillämpas på kundregistret över sektorsövergripande samservice enbart om något annat inte föreskrivs i lagen om sektorsövergripande samservice som främjar sysselsättningen. Förslaget motsvarar huvudsakligen nuvarande praxis, eftersom de bestämmelser om bland annat personuppgiftsansvariga och om registrering, radering och arkivering av uppgifter som finns i 13 kap. i lagen om offentlig arbetskrafts- och företagsservice även hittills har tillämpats på kundregistret över sektorsövergripande samservice, trots att det inte föreskrivs i lag. På kundregistret över sektorsövergripande samservice, TYPPI-registret, ska tillämpas de föreslagna bestämmelser i 13 kap. i lagen om offentlig arbetskrafts- och företagsservice som gäller personuppgiftsansvariga, radering och arkivering av uppgifter, den registrerades rätt att begränsa behandlingen av uppgifter, användarrättigheterna enligt 4 a, ändring och upphävande av användarrättigheter enligt 5 a § och utlämnande av uppgifter ur kundinformationssystemet. I lagen om sektorsövergripande samservice som främjar sysselsättningen föreskrivs det något annat om kundregistrets användningsändamål, registrering av uppgifter, de olika registrens informationsinnehåll och beviljande av användarrättigheter. 

Enligt 9 § 1 mom. i den gällande lagen om sektorsövergripande samservice som främjar sysselsättningen ska arbets- och näringsbyrån föra ett kundregister över sektorsövergripande samservice. I praktiken svarar dock UF-centret för att föra kundregistret över sektorsövergripande samservice, TYPPI-registret. 

Det föreslås att det i 1 mom. ska föreskrivas att UF-centret för att genomföra den sektorsövergripande samservicen för det kundregister över sektorsövergripande samservice som avses i 13 kap. 1 § i lagen om offentlig arbetskrafts- och företagsservice. Förslaget motsvarar rådande praxis. I propositionen föreslås det att 13 kap. 2 § i lagen om offentlig arbetskrafts- och företagsservice ändras så att UF-centret och arbets- och näringsbyråerna är gemensamt personuppgiftsansvariga för arbets- och näringsbyråns kundinformationssystem. Eftersom kundregistret över sektorsövergripande samservice, TYPPI-registret, är ett delregister till registret över enskilda kunder inom arbets- och näringsbyråns kundinformationssystem, är UF-centret och arbets- och näringsbyrån gemensamt personuppgiftsansvariga även för TYPPI-registret. I momentet ska det dessutom föreskrivas om användningsändamålet för kundregistret över sektorsövergripande samservice. Kundregistret ska användas för skötseln av de uppgifter som arbets- och näringsbyrån, kommunen och Folkpensionsanstalten har enligt denna lag. 

I 2 mom. ska det på motsvarande sätt som för närvarande föreskrivas om informationsinnehållet i kundregistret över sektorsövergripande samservice. I 2 mom. 1—7 punkten i den gällande paragrafen anges vilka uppgifter som registreras om arbetslösa. Det föreslås att det inledande stycket i momentet preciseras så att den nuvarande formuleringen ”registreras” ändras till ”kan föras in”. Punkterna motsvarar i övrigt nuläget, men i 1 punkten föreslås en precisering och i 2 och 5 punkten språkliga ändringar. I den gällande 2 mom. 1 punkten föreskrivs det att identifikationsuppgifter och kontaktinformation ska föras in i kundregistret. Enligt motiveringen till bestämmelsen avses med identifikationsuppgifter personens namn och personbeteckning och med kontaktinformation adress och andra kontaktuppgifter. Det föreslås att 2 mom. 1 punkten preciseras så att den arbetslösas namn, personbeteckning och kontaktuppgifter kan föras in i kundregistret. Uppgifterna behövs för att man ska kunna ordna tjänster för personen och hålla kontakt med honom eller henne. Med stöd av 29 § i dataskyddslagen är behandling av personbeteckningar tillåten bland annat när behandlingen regleras i lag. Den föreslagna 1 punkten uppfyller detta krav.  

I 2 mom. 5 punkten i den gällande lagen föreskrivs det om registrering av uppgifter om hälsotillstånd och arbets- och funktionsförmåga. I kundregistret registreras sådana uppgifter om hälsotillståndet samt arbets- och funktionsförmågan som inverkar på sysselsättningen för personen och som är nödvändiga för att tillhandahålla service för honom eller henne. Trots att det inte föreslås andra än språkliga ändringar i 5 punkten, är det på grund av den ändrade lagstiftningen om behandling av personuppgifter skäl att motivera vad behovet av att föra in uppgifter om personens hälsotillstånd i kundinformationssystemet grundar sig på. Exempelvis med tanke på arbetsförmedling kan det behöva göras en anteckning om begränsningar som hänför sig till kundens hälsotillstånd och som hindrar utförande av vissa slag av arbetsuppgifter. Utgångspunkten är att de uppgifter om hälsotillstånd och arbetsförmåga som förs in i registret ska grunda sig på en bedömning av en yrkesutbildad person inom hälso- och sjukvården. Information om arbetsförmågan kan också grunda sig på exempelvis feedback från en producent av rehabiliteringstjänster. 

I artikel 9.1 i den allmänna dataskyddsförordningen förbjuds behandling av särskilda kategorier av personuppgifter. Sådana uppgifter är bl.a. uppgifter om hälsa samt ras eller etniskt ursprung. Undantag från behandlingsförbudet anges i artikel 9.2. 

Enligt artikel 9.2 b får särskilda kategorier av personuppgifter behandlas bl.a. om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs. Det nationella handlingsutrymme som denna punkt ger har utnyttjats i 6 § 1 mom. 3 och 5 punkten i dataskyddslagen. 

Enligt artikel 9.2 h i den allmänna dataskyddsförordningen är behandling av särskilda kategorier av personuppgifter också tillåten bl.a. om behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda. Enligt artikel 9.3 i förordningen får personuppgifter behandlas bl.a. om uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ. 

I fråga om den föreslagna 5 punkten grundar sig behandlingen av uppgifter på artikel 9.2 b och h. Det är tvetydigt vilken av dessa grunder för behandling som kommer i fråga. De föreslagna bestämmelserna anses dock uppfylla de krav som ställs på bägge grunderna för behandling. Det föreskrivs om behandlingen i lag. I lagstiftningen finns också bestämmelser om skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen, i överensstämmelse med kravet i artikel 9.2 b. Bestämmelser som betraktas som skyddsåtgärder finns förutom i dataskyddslagen, informationshanteringslagen, strafflagen, offentlighetslagen och andra allmänna förvaltningslagar även i den lag om offentlig arbetskrafts- och företagsservice som föreslås i denna proposition. I den föreslagna lagen kan som skyddsåtgärder betraktas åtminstone bestämmelserna om beviljande och upphävande av användarrättigheter och om lagringstider. På den person som behandlar uppgifter ska offentlighetslagen tillämpas, vilket betyder att personen omfattas av en lagstadgad sekretess, på det sätt som krävs i artikel 9.2 h i dataskyddsförordningen. 

Paragrafens 3 mom. är nytt. I den gällande 9 § föreskrivs det inte om vilken instans som kan föra in uppgifter i kundregistret över sektorsövergripande samservice. Enligt förslaget ska arbets- och näringsbyrån, kommunen och Folkpensionsanstalten föra in kunduppgifter om arbetslösa i registret. Bestämmelsen tas in i paragrafen för tydlighetens skull. Den föreslagna ordalydelsen innebär att arbets- och näringsbyrån, kommunen och Folkpensionsanstalten är skyldiga att föra in alla uppgifter om kunder inom den sektorsövergripande samservicen i registret över sektorsövergripande samservice. I artikel 5.1 d i den allmänna dataskyddsförordningen föreskrivs att personuppgifter ska vara korrekta och om nödvändigt uppdaterade och att alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt artikel 5.2 svarar den personuppgiftsansvarige för att punkt 1 efterlevs. 

I det föreslagna 3 mom. tas det dessutom in en bestämmelse om från och med vilken tidpunkt uppgifter om en arbetslös får föras in i kundregistret över sektorsövergripande samservice. Uppgifterna om den arbetslösa hämtas in i TYPPI-registret ur arbets- och näringsbyråns kundinformationssystem. I praktiken har det uppstått ovisshet om i vilket skede uppgifter om arbetslösa får överföras till TYPPI-registret. Det finns ett befogat behov av att ta in bestämmelsen för att förtydliga den rådande situationen. Enligt 2 § i lagen om sektorsövergripande samservice som främjar sysselsättningen ska arbets- och näringsbyrån, kommunen eller Folkpensionsanstalten hänvisa en arbetslös som uppfyller de förutsättningar som det föreskrivs om i lagen och som har behov av sektorsövergripande samservice till sektorsövergripande samservice. I förarbetena till lagen (RP 183/2014 rd) konstateras att den hänvisande parten, dvs. arbets- och näringsbyrån, kommunen eller Folkpensionsanstalten, ska utarbeta en kortfattad skriftlig motivering som visar på vilka omständigheter den bygger sin bedömning att personen behöver sektorsövergripande samservice. Av förarbetena till lagen framgår inte i vilket skede de uppgifter som finns om den arbetslösa i arbets- och näringsbyråns kundinformationssystem kan överlåtas till den sektorsövergripande samservicen. Det är dock uppenbart att avsikten inte har varit att göra det möjligt att överföra uppgifter om den arbetslösa från arbets- och näringsbyråns kundinformationssystem till TYPPI-registret redan när arbets- och näringsbyrån som hänvisande part bedömer att den arbetslösa behöver sektorsövergripande samservice, eftersom det inte har föreskrivits om utlämnande av uppgifter. Den hänvisande partens skriftliga motivering, som nämns i motiveringen till lagen, skulle också vara onödig, om uppgifterna om den arbetslösa i vilket fall som helst fanns tillgängliga för den sektorsövergripande samservicen. I propositionen föreslås det att uppgifter om arbetslösa får registreras i TYPPI-registret efter att den sektorsövergripande samservicen har inletts. Den sektorsövergripande samservicen ska betraktas som inledd när arbets- och näringsbyrån, kommunen och Folkpensionsanstalten har beslutat att den arbetslösa har behov av sektorsövergripande samservice och den arbetslösas kundrelation till den sektorsövergripande samservicen har inletts med en utredningsperiod. I praktiken innebär detta att uppgifterna om den arbetslösa får hämtas ur arbets- och näringsbyråns kundinformationssystem när utredningsperioden inleds. 

I 4 mom. i den föreslagna paragrafen föreskrivs det att UF-centret kan bevilja användarrättigheter till kundregistret över sektorsövergripande samservice på ansökan av arbets- och näringsbyrån, kommunen eller Folkpensionsanstalten. I ansökan ska lämnas de uppgifter som behövs för att användarrättigheter ska beviljas och för att bestämma användarrättigheternas giltighetstid. Användarrättigheter kan beviljas en tjänsteman som är anställd hos arbets- och näringsbyrån, kommunen eller Folkpensionsanstalten och som sköter uppgifter som avses i lagen om sektorsövergripande samservice som främjar sysselsättningen. 

Ikraftträdande

Den allmänna dataskyddsförordningen har tillämpats som sådan i medlemsstaterna från och med den 25 maj 2018. Den nationella lagstiftningen borde från och med det datumet ha varit förenlig med förordningen. Lagarna föreslås därför träda i kraft så snart som möjligt. 

Förhållande till grundlagen samt lagstiftningsordning

I denna proposition föreslås det ändringar i sådana bestämmelser om behandling av personuppgifter som hör till skyddet för privatlivet och som tryggas i 10 § 1 mom. i grundlagen. Propositionen ska därför bedömas med tanke på skyddet för privatlivet. 

Enligt 10 § 1 mom. i grundlagen är vars och ens privatliv, heder och hemfrid tryggade. Enligt samma moment utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. När det gäller personuppgifter hänvisar bestämmelsen till behovet att genom lagstiftning trygga individens rättsskydd och skydd för privatlivet i behandlingen, registreringen och användningen av personuppgifter. (RP 309/1993 rd, s. 56/II—57/I.) 

Enligt grundlagsutskottets vedertagna praxis begränsas lagstiftarens spelrum utöver av den bestämmelse som gäller skyddet för personuppgifter också av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som tryggas i samma moment. Lagstiftaren ska därför trygga denna rätt till skydd för personuppgifter på ett sätt som kan anses godtagbart med hänsyn till systemet för de grundläggande fri- och rättigheterna som helhet. Bestämmelsen hänvisar till behovet att genom lagstiftning trygga individens rättsskydd och skydd för privatlivet i behandlingen av personuppgifter. Om man ser till skyddet för personuppgifter har grundlagsutskottet ansett det viktigt att reglera åtminstone syftet med registreringen av uppgifterna, uppgifternas innehåll, det tillåtna användningsändamålet inklusive rätten att överlåta registrerade uppgifter samt den tid uppgifterna finns kvar i registret och den registrerades rättsskydd. Regleringen av dessa faktorer på lagnivå ska i enlighet med praxis dessutom vara heltäckande och detaljerad. (Se t.ex. GrUU 31/2017 rd, s. 2, GrUU 42/2016 rd, s. 2, GrUU 38/2016 rd, s. 2, GrUU 29/2016 rd, s. 4, GrUU 13/2016 rd, s. 3—4 och GrUU 18/2012 rd, s. 2/I—II). 

Till den del det åtminstone bitvis handlar om så kallade känsliga uppgifter har utskottet krävt att lagen innehåller en så uttömmande förteckning som möjligt över innehållet i uppgifterna (bl.a. GrUU 71/2014 rd, s. 2/II—3/I, GrUU 18/2012 rd, s. 3 och GrUU 51/2002 rd, s. 2). Utskottet har särskilt påpekat att det bör finnas exakta och noggrant avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 13/2017 rd och GrUU 3/2017 rd). Dessutom har utskottet betonat vikten av att begränsa förvaringstiden särskilt för känsliga uppgifter till det som är nödvändigt för att uppnå det syfte för vilket uppgifterna har registrerats i systemet (se t.ex. GrUU 13/2017 rd). 

Grundlagsutskottet konstaterade i sitt utlåtande (GrUU 38/2016 rd) om det lagförslag som gällde en ändring av räddningslagen och av lagen om nödcentralsverksamhet (RP 100/2016 rd) att utöver dessa omständigheter måste hänsyn tas till att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna. Utskottet har därför tidigare till exempel bedömt att tillåtelse att behandla känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2/II) varför till exempel bildandet av register som innehåller sådana uppgifter bör bedömas i förhållande till villkoren för inskränkningar av de grundläggande fri- och rättigheterna, i synnerhet med tanke på lagstiftningens acceptabilitet och proportionalitet (GrUU 29/2016 rd och till exempel GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd och senare GrUU 42/2016 rd, s.2—3 och GrUU 49/2017 rd, s. 3). Utskottet fäste uppmärksamheten vid att en sådan bedömning är möjlig endast om propositionen tillräckligt ingående specificerar skälen till att behandling av personuppgifter anses nödvändig. (GrUU 38/2016 rd, s. 2.) 

Grundlagsutskottet har i sin nyare praxis ansett att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän unionsförordning eller genom en allmän nationell lag (se även GrUU 2/2018 rd, s. 4—8, GrUU 31/2017 rd, s. 3—4, GrUU 5/2017 rd, s. 9 och GrUU 38/2016 rd, s. 4). 

Enligt grundlagsutskottet är det viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se GrUU 25/2005 rd). Utskottet har därför framhållit att det i regeringens proposition finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (bl.a. GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2 och GrUU 44/2016 rd, s. 4). 

Grundlagsutskottet anser att de detaljerade bestämmelserna i dataskyddsförordningen också gör det möjligt att i fråga om myndighetsverksamhet lagstifta betydligt mer generellt om skydd för och behandling av personuppgifter jämfört med vår nuvarande nationella regleringsmodell. Grundlagsutskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter. (GrUU 14/2018 rd, s. 4—5.) 

Grundlagsutskottet har efter det konstaterat att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter. Behovet av lagbestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. I fråga om behovet bör också det riskbaserade synsättet i förordningen vägas in. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt. (GrUU 14/2018 rd, s. 5—6.) 

Dataskyddsförordningen tillåter alltså att det i nationell lag föreskrivs om behandling av särskilda kategorier av personuppgifter, förutsatt att de särskilda villkor som nämns i förordningen uppfylls. (GrUU 15/2018 rd. s. 38) 

Grundlagsutskottet har noterat att de känsliga uppgifter som avses i 11 § i personuppgiftslagen inte är direkt jämförbara med de särskilda kategorier av personuppgifter som beskrivs i artikel 9 i dataskyddsförordningen. Exempelvis uppgifter som beskriver någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit hör enligt artikel 9.1 i dataskyddsförordningen inte till de särskilda kategorierna av personuppgifter. Det är dock inte uteslutet att dessa uppgifter kan innehålla uppgifter som hör till de särskilda kategorier av personuppgifter som avses i artikel 9 i dataskyddsförordningen. Det kan då exempelvis gälla hälsotillståndet för en klient hos socialvården. Uppgifter om socialvårdstjänster ingår inte heller i de uppgifter som räknas upp i artikel 8.1 i personuppgiftsdirektivet, som genomförts genom personuppgiftslagen. Registrering av dessa uppgifter har dock nationellt ansetts innebära en större risk än normalt för medborgarnas privatliv och rättsskydd. Det är därför motiverat att betrakta dem som känsliga (se även RP 96/1998 rd, s. 4/I). (GrUU 15/2018 rd. s. 38) 

Till följd av grundlagens rättshierarkiska ställning står det klart att de uppgifter som i utskottets praxis bedömts vara känsliga, exempelvis på grundval av de risker och hot som behandlingen medför, till sina områden inte helt motsvarar bestämmelserna i personuppgiftslagen. Grundlagsutskottet har konsekvent ansett att exempelvis biometriska identifieringsuppgifter kan jämställas med känsliga uppgifter (se t.ex. GrUU 13/2016 rd). Till följd av att tillämpningen av EU:s dataskyddsförordning inletts och man i dess artikel 9 använder begreppet särskilda kategorier av personuppgifter, ska den nationella lagstiftningen för tydlighetens skull undvika att använda begreppet känsliga uppgifter (se även GrUU 14/2018 rd, s. 9). Likväl menar utskottet att det fortfarande är motiverat att i konstitutionellt hänseende beskriva vissa grupper av personuppgifter uttryckligen som känsliga. Också i skäl 51 till dataskyddsförordningen understryks att de särskilda kategorierna av personuppgifter är särskilt känsliga. (GrUU 15/2018 rd. s. 38) 

Dataskyddsförordningens riskbaserade infallsvinkel innebär enligt grundlagsutskottet att det är möjligt att införa detaljerad och exakt nationell lagstiftning också när behandlingen av uppgifterna utgör en särskild risk på andra grunder än de som anges i artiklarna 9 och 10 i förordningen. Den nationella lagstiftningen ska också då vara förenlig med artikel 6 i förordningen. Enligt utskottets uppfattning är det tillåtet också inom ramen för dataskyddsförordningen att föreskriva detaljerat om behandlingen av personuppgifter som är känsliga i konstitutionellt hänseende. (GrUU 15/2018 rd. s. 38) 

Grundlagsutskottet har i sitt utlåtande särskilt lyft fram behovet av reglering i de fall där personuppgifterna behandlas av en myndighet. Enligt artikel 6 c i dataskyddsförordningen är behandling av personuppgifter tillåten om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Behandlingen av personuppgifter är enligt artikel 6 e laglig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (se GrUU 14/2018 rd, s. 4). Utskottet menar att de nämnda leden i artikeln i regel inte kräver och inte ens möjliggör att det ska finnas en särskild lag för varje enskild behandling. Trots det utgör uppgifter om en persons behov av socialvård eller erhållna socialvårdstjänster, stödåtgärder och andra socialvårdsförmåner eller andra motsvariga uppgifter sådana risker för och hot mot den enskildes grundläggande fri- och rättigheter, att det inom de ramar dataskyddsförordningen tillåter måste föreskrivas om behandling av uppgifterna med samma noggrannhet och exakthet som gäller också för behandlingen av andra känsliga uppgifter. (GrUU 15/2018 rd, s. 38) 

Uppgifter om arbetssökande är sådana personuppgifter som omfattas av det skydd för privatlivet som tryggas i 10 § 1 mom. i grundlagen. Detta framgår också av att uppgifterna är sekretessbelagda med stöd av 24 § 1 mom. 25 punkten i lagen om offentlighet i myndigheternas verksamhet (621/1999) (GrUU 43/1998 rd, s. 4). Det kan anses att de uppgifter om en enskild kund hos arbetsförvaltningen som i offentlighetslagen anges som sekretessbelagda är i författningsrättslig mening känsliga personuppgifter. Bestämmelserna om behandlingen av dessa ska således fortsatt uppfylla de villkor som följer av grundlagsutskottets praxis, sådan den utformats före tillämpningen av dataskyddsförordningen. 

I propositionen föreslås det att bestämmelserna om behandling av personuppgifter i lagen om offentlig arbetskrafts- och företagsservice preciseras. Det ska föreskrivas om användningsändamålen för de register som arbets- och näringsbyråns kundinformationssystem innehåller på ett mer exakt och heltäckande sätt än i nuläget, och registrets informationsinnehåll ska preciseras till behövliga delar. Dessutom ska det på många ställen föreskrivas noggrannare än i nuläget om beviljande, ändring och upphävande av användarrättigheter och om sådan behandling av uppgifter som användarrättigheterna möjliggör. Genom de ändringar som föreslås i propositionen uppfylls således sådana krav för behandling av personuppgifter som grundlagsutskottet ställt i sin utlåtandepraxis. Propositionen innehåller inte förslag om nya rättigheter att få information eller nya personuppgifter som ska behandlas. Propositionen anses vara förenlig med grundlagen. 

Kläm 

Regeringen anser att lagförslagen kan behandlas i vanlig lagstiftningsordning. 

Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 

Lagförslag

1. Lag om ändring av lagen om offentlig arbetskrafts- och företagsservice 

I enlighet med riksdagens beslut 
ändras i lagen om offentlig arbetskrafts- och företagsservice (916/2012) 13 kap. 1—5 § och 6 § 1 och 3 mom., av dem 13 kap. 3 § sådan den lyder delvis ändrad i lag 548/2017 och 5 § sådan den lyder i lag 1456/2016, samt 
fogas till 13 kap. nya 4 a, 5 a och 7 § som följer: 
13 kap. 
Arbets- och näringsbyråns kundinformationssystem 
1 § Arbets- och näringsbyråns kundinformationssystem 
Arbets- och näringsbyråns kundinformationssystem används för ordnande och produktion av offentlig arbetskrafts- och företagsservice samt för skötsel av de uppgifter som arbets- och näringsbyrån eller arbets- och näringsförvaltningens kundservicecenter har enligt lagen om främjande av integration, lagen om utkomstskydd för arbetslösa, lagen om alterneringsledighet, lagen om arbetsverksamhet i rehabiliteringssyfte och lagen om yrkesutbildning och för skötsel av de uppgifter som arbets- och näringsministeriet har enligt lagen om sociala företag.  
Kundinformationssystemet består av ett register över enskilda kunder, ett arbetsgivarregister och ett register över serviceproducenter samt ett kundregister över sektorsövergripande samservice som utgör ett delregister till registret över enskilda kunder. Vad som i detta kapitel föreskrivs om arbets- och näringsbyråns kundinformationssystem tillämpas dock på kundregistret över sektorsövergripande samservice enbart om något annat inte föreskrivs i lagen om sektorsövergripande samservice som främjar sysselsättningen. 
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i dataskyddslagen (1050/2018). 
Bestämmelser om kundinformationssystemet för företagstjänster finns i lagen om kundinformationssystemet för företagstjänster (293/2017). 
2 § Personuppgiftsansvariga 
Närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter och arbets- och näringsbyråerna är gemensamt personuppgiftsansvariga för arbets- och näringsbyråns kundinformationssystem. Arbets- och näringsförvaltningens kundservicecenter är ett i den allmänna dataskyddsförordningen avsett personuppgiftsbiträde. 
Närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter ansvarar i fråga om arbets- och näringsbyråns kundinformationssystem för  
1) inbyggt dataskydd och dataskydd som standard enligt artikel 25 i den allmänna dataskyddsförordningen, 
2) säkerhet i samband med behandlingen enligt artikel 32 i den allmänna dataskyddsförordningen, 
3) konsekvensbedömning avseende dataskydd enligt artikel 35 i den allmänna dataskyddsförordningen, 
4) förhandssamråd enligt artikel 36 i den allmänna dataskyddsförordningen, 
5) den personuppgiftsansvariges skyldigheter enligt artikel 12.1 och 12.2 i den allmänna dataskyddsförordningen och sådana andra skyldigheter med anknytning till informationssystemets informationssäkerhet som den personuppgiftsansvarige har enligt den förordningen.  
Arbets- och näringsbyråerna ansvarar för den personuppgiftsansvariges i den allmänna dataskyddsförordningen föreskrivna andra än i 2 mom. avsedda skyldigheter. Varje arbets- och näringsbyrå ansvarar för den personuppgiftsansvariges uppgifter för sina kunders del. 
3 § De olika registrens informationsinnehåll 
I registret över enskilda kunder kan det i fråga om en enskild kund föras in 
1) namn, personbeteckning och kontaktuppgifter, 
2) uppgifter som har samband med kundrelationen till arbets- och näringsbyrån, anlitandet av service vid byrån och eventuella specialarrangemang som anlitandet av servicen kräver, 
3) uppgifter om utbildning, anställningar och yrkeskunnande, 
4) uppgifter om servicebehov och planer, 
5) uppgifter om arbets- och utbildningserbjudanden och presentationer för arbetsgivare, 
6) uppgifter om offentlig arbetskrafts- och företagsservice och annan sysselsättningsfrämjande service samt sakkunnigbedömningar, 
7) sådana uppgifter om hälsotillståndet och arbets- och funktionsförmågan som har inverkan på personens sysselsättning och som är nödvändiga för att tillhandahålla personen service, 
8) utredningar och arbetskraftspolitiska utlåtanden som gäller utkomstskydd för arbetslösa eller alterneringsledighet, 
9) uppgifter om förmåner som hör till den offentliga arbetskrafts- och företagsservicen. 
I arbetsgivarregistret kan det i fråga om arbetsgivare som ansöker om eller får offentlig arbetskrafts- och företagsservice föras in 
1) uppgifter för identifiering, 
2) uppgifter som har samband med kundrelationen till arbets- och näringsbyrån och anlitandet av service vid byrån, 
3) uppgifter om verksamhet och servicebehov, 
4) uppgifter om arbeten och deras tillsättande, 
5) beslut om lönesubvention och tillhörande uppgifter om uppföljning och utbetalning, 
6) avtal om arbetsprövning, 
7) andra uppgifter som anknyter till planeringen och genomförandet av den offentliga arbetskrafts- och företagsservicen än de som avses i 1—6 punkten. 
I registret över serviceproducenter kan det för kundbetjäningen föras in 
1) uppgifter för identifiering av serviceproducenten, 
2) uppgifter som har samband med anlitandet av service vid arbets- och näringsbyrån, 
3) upphandlingsavtal som ingåtts med serviceproducenten och tillhörande uppgifter om utbetalning, 
4) uppgifter om den service som anskaffats, 
5) uppgifter om ansökning och antagning till servicen samt om uppföljning av servicen, 
6) andra uppgifter om serviceproducenten som behövs för planeringen och ordnandet av offentlig arbetskrafts- och företagsservice än de som avses i 1—5 punkten, 
7) uppgifter om arbetskraftsutbildning enligt lagen om yrkesutbildning och utbildningsanordnaren samt uppgifter om ansökan, urval och uppföljning i anslutning till utbildningen. 
I registren får det även föras in sådana andra än i denna paragraf avsedda uppgifter som behövs för planeringen, anordnandet och uppföljningen av den offentliga arbetskrafts- och företagsservicen men som inte är personuppgifter. I registren kan det även ingå dokument som inte förs in i kundinformationssystemet. 
4 § Registrering, radering och arkivering av uppgifter 
Arbets- och näringsbyrån, arbets- och näringsförvaltningens kundservicecenter och närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter ska föra in kunduppgifter i arbets- och näringsbyråns kundinformationssystem. Om en personuppgift som registreras har erhållits på något annat sätt än av den som registreras, ska det i registret antecknas var uppgiften har erhållits och vem som har antecknat den. 
Den registrerade har inte en i artikel 18 i den allmänna dataskyddsförordningen avsedd rätt att begränsa behandlingen av uppgifter i registret över enskilda kunder. 
Närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter ska radera alla uppgifter om kunden eller serviceproducenten när fyra år har förflutit från den dag då kundrelationen eller avtalsförhållandet upphörde. En uppgift behöver dock inte raderas, om den behövs för skötseln av ett uppdrag som baserar sig på bestämmelser eller ett ärende som fortfarande är anhängigt. 
Bestämmelser om arkivering av uppgifter finns i arkivlagen (831/1994). 
4 a § Användarrättigheter 
För att använda arbets- och näringsbyråns kundinformationssystem krävs det personliga användarrättigheter. Närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter svarar för skötseln av uppgifter som hänför sig till kontrollen av användarrättigheterna till kundinformationssystemet och för insamling av logginformation. Uppgifterna om gällande användarrättigheter ska hållas uppdaterade. 
Användarrättigheterna ska till sitt innehåll, sin omfattning, sina behörigheter och sin varaktighet begränsas enligt vad som är nödvändigt för att en person ska kunna sköta sina arbetsuppgifter. 
Den som har beviljats användarrättigheter får behandla endast sådana i kundinformationssystemet registrerade uppgifter som är nödvändiga för skötseln av hans eller hennes arbetsuppgifter och behandla dem endast på ett för skötseln av arbetsuppgifterna nödvändigt sätt. 
5 § Beviljande av användarrättigheter 
Närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter beviljar användarrättigheter till arbets- och näringsbyråns kundinformationssystem på ansökan av arbets- och näringsbyrån, arbets- och näringsförvaltningens kundservicecenter, närings-, trafik- och miljöcentralen eller arbets- och näringsministeriet. I ansökan ska lämnas de uppgifter som behövs för att användarrättigheter ska beviljas och för att bestämma användarrättigheternas giltighetstid. En tjänsteman som har beviljats rätt att använda arbets- och näringsbyråns kundinformationssystem får trots sekretessbestämmelserna söka och använda uppgifter i systemet, om det behövs för att ordna kundbetjäningen, utreda eller avgöra ett anhängigt ärende eller för att utföra tillsyns-, utvecklings-, uppföljnings-, statistikförings-, prognostiserings- eller styruppgifter. 
Användarrättigheter kan beviljas en tjänsteman som är anställd vid någon av de i 1 mom. nämnda myndigheterna och som sköter 
1) uppgifter enligt denna lag, 
2) sådana uppgifter enligt lagen om främjande av integration som anknyter till offentlig arbetskrafts- och företagsservice, 
3) uppgifter som anknyter till sådan arbetskraftsutbildning som avses i lagen om yrkesutbildning, 
4) uppgifter enligt lagen om sociala företag, 
5) uppgifter enligt lagen om utkomstskydd för arbetslösa, 
6) uppgifter enligt lagen om alterneringsledighet,  
7) sådana tjänster, stöd eller kundprocesser som avses i 1—4 punkten eller sådana tillsyns-, utvecklings-, uppföljnings-, statistikförings-, prognostiserings- eller styruppgifter som anknyter till systemet för utkomstskydd för arbetslösa eller systemet för alterneringsledighet, 
8) uppgifter för personuppgiftsansvariga eller uppgifter som anknyter till kontroll av användarrättigheter eller insamling av logginformation. 
Användarrättigheter till arbets- och näringsbyråns kundinformationssystem kan dessutom beviljas sådana personer som är anställda hos en aktör som antingen på uppdrag av arbets- och näringsministeriet, närings-, trafik- och miljöcentralen eller närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter utför separat utvärdering, granskning eller utredning eller på uppdrag av närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter utför uppgifter som anknyter till utveckling eller förvaltning av kundinformationssystemet, och som sköter uppgiften i fråga. 
5 a § Ändring och upphävande av användarrättigheter 
Närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter ska upphäva användarrättigheterna, om 
1) förutsättningarna enligt 5 § för beviljande av användarrättigheter inte längre uppfylls,  
2) uppgifterna i kundinformationssystemet har behandlats i strid med 4 a § 3 mom., den allmänna dataskyddsförordningen eller dataskyddslagen,  
3) det är nödvändigt att upphäva användarrättigheterna av något annat vägande skäl som hänför sig till skyddet av personuppgifter eller kundinformationssystemets informationssäkerhet.  
Närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter ska ändra användarrättigheterna, om den användarrättighet som sökts eller beviljats inte längre till sitt innehåll, sin omfattning, sina behörigheter eller sin varaktighet motsvarar det syfte för vilket rättigheten har sökts eller beviljats.  
Arbets- och näringsbyrån, arbets- och näringsförvaltningens kundservicecenter, närings-, trafik- och miljöcentralen och arbets- och näringsministeriet samt en i 5 § 3 mom. avsedd aktör utanför arbets- och näringsförvaltningen ska utan dröjsmål informera närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter om grunder för upphävande eller ändring av användarrättigheter. 
6 § Samtycke till utlämnande av uppgifter till arbetsgivare 
Till arbetsgivare får det endast med den arbetssökandes skriftliga samtycke lämnas ut uppgifter som behövs för att tillsätta ett arbete. Samtycket eller uteblivet samtycke ska antecknas i registret över enskilda kunder. 
Kläm 
Till arbetsgivare får det lämnas ut uppgifter om den arbetssökandes hälsotillstånd endast om den arbetssökande ger sitt specificerade skriftliga samtycke och uppgifterna är nödvändiga för tillsättande av ett ledigt arbete eller uppfyllande av särskilda krav på hälsotillståndet inom branschen i fråga, eller för att främja sysselsättningen för en arbetssökande som har en skada eller sjukdom som försvårar sysselsättningen. 
7 § Utlämnande av uppgifter ur kundinformationssystemet 
Om inte något annat föreskrivs i lag, tillämpas lagen om offentlighet i myndigheternas verksamhet (621/1999) på utlämnande av uppgifter ur arbets- och näringsbyråns kundinformationssystem och på de i systemet införda uppgifternas offentlighet. 
Trots sekretessbestämmelserna och andra begränsningar som gäller erhållande av uppgifter är närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter skyldigt att ur arbets- och näringsbyråns kundinformationssystem på begäran avgiftsfritt lämna arbets- och näringsministeriet och närings-, trafik- och miljöcentralen uppgifter som är nödvändiga för att dessa ska kunna sköta sina i lag föreskrivna uppgifter. De uppgifter som behövs för upprättande av arbetsförmedlingsstatistik ska dock närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter lämna till arbets- och näringsministeriet på eget initiativ. 
Tillstånd enligt 28 § i lagen om offentlighet i myndigheternas verksamhet att lämna ut sekretessbelagda uppgifter ur arbets- och näringsbyråns kundinformationssystem för statistikföring, vetenskaplig forskning eller myndigheters planerings- eller utredningsarbete beviljas enligt beslut av närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter. 
Uppgifterna får lämnas via en teknisk anslutning. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

2. Lag om ändring av 9 § i lagen om sektorsövergripande samservice som främjar sysselsättningen 

I enlighet med riksdagens beslut 
ändras i lagen om sektorsövergripande samservice som främjar sysselsättningen (1369/2014) 9 § som följer: 
9 § Kundregistret över sektorsövergripande samservice 
För genomförandet av den sektorsövergripande samservicen för närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter det kundregister över sektorsövergripande samservice som avses i 13 kap. 1 § i lagen om offentlig arbetskrafts- och företagsservice. Kundregistret över sektorsövergripande samservice används för skötseln av de uppgifter som arbets- och näringsbyrån, kommunen och Folkpensionsanstalten har enligt denna lag. 
I kundregistret över sektorsövergripande samservice kan föras in 
1) den arbetslösas namn, personbeteckning och kontaktuppgifter, 
2) uppgifter som har samband med kundrelationen vid sektorsövergripande samservice, anlitandet av den sektorsövergripande samservicen och eventuella specialarrangemang som anlitandet av servicen kräver, 
3) uppgifter om den arbetslösas yrkeskompetens, 
4) sådana uppgifter om den arbetslösas sociala situation som inverkar på sysselsättningen av honom eller henne, 
5) sådana uppgifter om den arbetslösas hälsotillstånd samt arbets- och funktionsförmåga som inverkar på sysselsättningen av honom eller henne och som är nödvändiga för att tillhandahålla service för honom eller henne, 
6) uppgifter om den arbetslösas servicebehov,  
7) uppgifter om den sektorsövergripande sysselsättningsplanen och hur den genomförs, följs upp och revideras. 
Arbets- och näringsbyrån, kommunen och Folkpensionsanstalten ska föra in kunduppgifter om arbetslösa i kundregistret över sektorsövergripande samservice. Uppgifter om arbetslösa får föras in i kundregistret efter att den sektorsövergripande samservicen har inletts. 
Närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter kan bevilja användarrättigheter till kundregistret över sektorsövergripande samservice på ansökan av arbets- och näringsbyrån, kommunen eller Folkpensionsanstalten. Användarrättigheter kan beviljas en tjänsteman som är anställd hos arbets- och näringsbyrån, kommunen eller Folkpensionsanstalten och som sköter uppgifter som avses i denna lag. En tjänsteman som har beviljats användarrättigheter får trots sekretessbestämmelserna söka och använda uppgifter i kundregistret, om det behövs för att ordna kundbetjäningen. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 
Helsingfors den 20 februari 2020 
Statsminister Sanna Marin 
Arbetsminister Tuula Haatainen