Betänkande
FvUB
10
2020 rd
Förvaltningsutskottet
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i migrationsförvaltningen och till vissa lagar som har samband med den
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i migrationsförvaltningen och till vissa lagar som har samband med den (RP 18/2019 rd): Ärendet har remitterats till förvaltningsutskottet för betänkande och till grundlagsutskottet för utlåtande. 
Utlåtande
Följande utlåtande har lämnats i ärendet: 
grundlagsutskottet
GrUU 7/2019 rd
Sakkunniga
Utskottet har hört 
avdelningschef, överdirektör
Jorma
Vuorio
inrikesministeriet
specialsakkunnig
Tuuli
Tuunanen
inrikesministeriet
specialsakkunnig
Suvi
Pato-Oja
inrikesministeriet
gränsbevakningsöverinspektör
Anne
Ihanus
inrikesministeriet
kriminalinspektör
Jari
Nyström
inrikesministeriet
konsultativ tjänsteman
Heli
Heikkola
inrikesministeriet
lagstiftningssekreterare
Tommy
Walkila
utrikesministeriet
lagstiftningsråd
Virpi
Korhonen
justitieministeriet
lagstiftningsråd
Niklas
Vainio
justitieministeriet
ledande expert
Juha-Pekka
Suomi
arbets- och näringsministeriet
biträdande dataombudsman
Jari
Råman
dataombudsmannens byrå
byråchef
Rainer
Hiltunen
Diskrimineringsombudsmannens byrå
ledande expert
Katariina
Lehtola
Migrationsverket
överinspektör
Antti
Helin
Migrationsverket
överinspektör
Markus
Suutari
Migrationsverket
chef för it-förvaltningen
Annina
Hautala
Polisstyrelsen
chefsjurist
Jan
Sjöblom
skyddspolisen
överinspektör
Antti
Wahlroos
skyddspolisen
professor
Olli
Mäenpää
professor
Tomi
Voutilainen.
Skriftligt yttrande har lämnats av 
Riksdagens justitieombudsmans kansli
finansministeriet
justitiekanslersämbetet
högsta förvaltningsdomstolen
Brottspåföljdsmyndigheten
förläggningen i Joutseno
Tullen
Magistraten i Nyland
Skatteförvaltningen
Närings-, trafik- och miljöcentralen i Nyland
Nylands arbets- och näringsbyrå
Folkpensionsanstalten
ETU – edustajat turvapaikanhakijalapsille ry
Flyktingrådgivningen rf
Finlands Röda Kors.
Inget yttrande av 
Helsingfors förvaltningsdomstol
Finlands Advokatförbund.
PROPOSITIONEN
Regeringen föreslår att det stiftas en lag om behandling av personuppgifter i migrationsförvaltningen. Lagen ska tillämpas på behandlingen av personuppgifter på migrationsförvaltningens område. Lagen föreslås ersätta lagen om utlänningsregistret, som föreslås bli upphävd. Till den föreslagna lagen koncentreras dessutom bestämmelserna om behandling av personuppgifter i andra migrationslagar på förvaltningsområdet. I propositionen ingår också förslag till lagar om ändring av lagen om mottagande av personer som söker internationellt skydd och om identifiering av och hjälp till offer för människohandel, lagen om bemötande av utlänningar som tagits i förvar och om förvarsenheter, lagen om främjande av integration, medborgarskapslagen, utlänningslagen, lagen om Migrationsverket, lagen om offentlighet i myndigheternas verksamhet, säkerhetsutredningslagen och lagen om Enheten för utredning av grå ekonomi. Propositionen innefattar också förslag till tekniska ändringar i lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten, lagen om identitetskort, lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet, lagen om behandling av personuppgifter inom Försvarsmakten, lagen om beskattningsförfarande, lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster och lagen om nationella studie- och examensregister. 
Målet är att bestämmelserna om behandling av personuppgifter i migrationsförvaltningen i fortsättningen ska finnas i en enda lag som uppfyller kraven på en modern personuppgiftslag och som kompletterar Europeiska unionens dataskyddsförordning, dataskyddslagen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. 
Lagen om offentlighet i myndigheternas verksamhet ska enligt förslaget ändras på så sätt att de bestämmelserna som gäller handlingssekretess inom migrationsförvaltningen samlas i den lagen. 
De föreslagna lagarna avses träda i kraft så snart som möjligt. Lagen om ändring av lagen om Enheten för utredning av grå ekonomi avses träda i kraft den 1 juni 2020. 
UTSKOTTETS ÖVERVÄGANDEN
Allmänt
Regeringen föreslår en lag om behandling av personuppgifter i migrationsförvaltningen (lagförslag 1, personuppgiftslag i migrationsförvaltningen). Den föreslagna lagen ersätter lagen om utlänningsregistret (1270/1997, nedan utlänningsregisterlagen) samt registerbestämmelserna i lagen om mottagande av personer som söker internationellt skydd och om identifiering av och hjälp till offer för människohandel (746/2011, nedan mottagningslagen), lagen om bemötande av utlänningar som tagits i förvar och om förvarsenheter (116/2002, nedan förvarslagen) och lagen om främjande av integration (1386/2010, nedan integrationslagen). Målet med propositionen är att bestämmelser om behandlingen av personuppgifter i migrationsförvaltningen ska utfärdas tillsammans i en lag som uppfyller kraven i en modern personuppgiftslag. 
Propositionen är en del av revideringen av lagstiftningen om dataskydd i Finland. Den grundar sig på Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, nedan dataskyddsförordningen , samt Europarlamentets och rådet direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan dataskyddsdirektivet för brottsbekämpande myndigheter . 
Dataskyddsförordningen är direkt tillämplig rätt. Den ger dock i någon mån nationellt handlingsutrymme. Genom nationell lag kan man precisera den rättsliga grunden för behandlingen av personuppgifter och innehållet i behandlingen samt t.ex. möjligheten att under vissa förutsättningar göra undantag från den registrerades rättigheter. Artikel 6 i dataskyddsförordningen innehåller närmare bestämmelser om laglig behandling av personuppgifter. Med stöd av artikel 9 i dataskyddsförordningen kan närmare bestämmelser utfärdas också om behandling av personuppgifter inom särskilda kategorier av personuppgifter. Grundlagsutskottet har framhållit att i den mån EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan är det viktigt att hänsyn tas till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella spelrummet utnyttjas (GrUU 14/2018 rd). 
I direktivet om dataskydd i brottmål sägs att medlemsstaternas nationella rätt som reglerar behandling av personuppgifter inom tillämpningsområdet för direktivet åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. Direktivet fastställer således ett slags miniminivå. Grundlagsutskottet har i anslutning till dataskyddsreformen (GrUU 14/2018 rd) konstaterat att direktivet inte innehåller några detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund för skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Bestämmelserna måste därför kompletteras med nationell lagstiftning. 
Dataskyddsförordningen började tillämpas den 25 maj 2018. På det nationella planet preciseras och kompletteras dataskyddsförordningen av dataskyddslagen (1050/2018), som trädde i kraft den 1 januari 2019. Dataskyddslagen har ersatt lagen om behandling av personuppgifter (523/1999) som tillämpats i Finland sedan 1999. Direktivet om dataskydd i brottmål har genomförts nationellt genom lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018, nedan dataskyddslagen för brottmål), som trädde i kraft den 1 januari 2019. Migrationsförvaltningens personuppgiftslag är en speciallag som kompletterar den allmänna dataskyddslagstiftningen. 
Såväl i migrationsförvaltningens omvärld som i sättet att reglera skyddet av personuppgifter har det skett betydande förändringar, vilket har lett till att utlänningsregisterlagen i viss mån är föråldrad och inte i alla avseenden motsvarar sitt syfte. Till en splittrad helhet bidrar också att bestämmelserna om migrationsförvaltningens register ingår i flera olika lagar. Också digitaliseringen ställer krav på behandlingen av personuppgifter i situationer då man inom tjänsteproduktionen har övergått från en dokumentbaserad informationshantering till ett faktabaserat sätt att hantera information. I centrum står inte längre att föreskriva om register, informationssystem eller dokument, utan om på vilka grunder och hur personuppgifter behandlas så att nödvändig information blir tillgänglig, med respekt för integritetsskyddet och genom att säkerställa genomförandet. 
Bakgrunden till propositionen är att regeringen under riksmötet 2018 lämnade riksdagen en proposition (RP 224/2018 rd) med förslag till lag om behandling av personuppgifter i migrationsförvaltningen och till vissa lagar som har samband med den. Grundlagsutskottet gav utlåtande GrUU 62/2018 rd om propositionen. Men propositionen förföll med anledning av att riksmötet avslutades och riksdagsval förrättades (RSk 56/2018 rd). Proposition RP 18/2019 rd som nu behandlas har utarbetats utifrån den regeringsproposition som förföll. Enligt motiveringen till propositionen har den justerats utifrån grundlagsutskottets utlåtande och den nya remissbehandlingen i ärendet bland annat genom att bestämmelserna om automatiserat individuellt beslutsfattande kompletterats och principen om fristående myndigheter i fråga om de personuppgiftsansvariga preciserats. Dessutom ändrades propositionen genom att bestämmelserna om sekretess inom migrationsförvaltningen samlats i offentlighetslagen. I propositionen gjordes även vissa andra preciseringar. 
Grundlagsutskottet har om propositionen RP 18/2019 rd lämnat utlåtandet GrUU 7/2019 rd, enligt vilket lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar om gemensamt personuppgiftsansvar, automatiserat beslutsfattande och lagstiftningsförfarandet angående detta beaktas på behörigt sätt, och lagförslag 8 bara om utskottets konstitutionella anmärkning till 24 § beaktas på behörigt sätt. 
Grundlagsutskottet konstaterar att det inte inom ramen för sitt konstitutionella uppdrag gjort någon övergripande bedömning av hur den föreslagna regleringen förhåller sig till unionsrätten. Förvaltningsutskottet har fortfarande anledning att försäkra sig om att den föreslagna regleringen inte står i konflikt med de krav som följer av unionsrätten. 
I propositionsmotiven redogörs det för hur förslagen i propositionen relaterar till dataskyddsförordningen och till dataskyddslagen avseende brottmål. Förvaltningsutskottet föreslår vissa ändringar i lagförslaget som är av betydelse med avseende på unionsrätten. Valet i den nationella lagstiftningen mellan en registerbaserad regleringslösning eller en lösning som utgår från ändamålen med behandlingen begränsas dock inte i något avseende av EU-lagstiftningen om dataskydd. 
Förvaltningsutskottet konstaterar vidare att dataskyddsförordningen, dataskyddslagen och dataskyddslagen avseende brottmål innehåller detaljerade bestämmelser bland annat om de allmänna principerna för behandling av personuppgifter, om den personuppgiftsansvarigas skyldigheter, om den registrerades rättigheter, om informationssäkerhet och övervakning och om följderna av lagstridig behandling av personuppgifter. 
Enligt förvaltningsutskottets uppfattning beaktas i de föreslagna bestämmelserna på behörigt sätt de krav som följer av unionsrätten. Behörigheten att bedöma om lagstiftningen harmonierar med unionsrätten hör emellertid till EU-domstolen. 
Med hänvisning till propositionen och annan utredning tillstyrker förvaltningsutskottet lagförslagen i propositionen, men med följande kommentarer och ändringsförslag. Dessutom föreslår utskottet att ett nytt lagförslag godkänns. Förvaltningsutskottet anser det vara viktigt att inrikesministeriet följer och utvärderar genomförandet av den nya lagstiftningen med beaktande av bland annat hur regleringen fungerar, genomförandet av skyddet för personuppgifter och övervakningen av behandlingen av personuppgifter. 
Lagens tillämpningsområde och förhållande till annan lagstiftning
I enlighet med regeringens proposition koncentreras bestämmelserna om behandling av personuppgifter inom förvaltningsområdet för migrationsförvaltningen till den föreslagna lagen om behandling av personuppgifter inom migrationsförvaltningen. I stället för den nuvarande registerbaserade modellen innehåller den föreslagna lagen bestämmelser om ändamålen med behandlingen av personuppgifter. 
På grund av det nya regleringssättet binds lagens tillämpningsområde till de ändamål för behandling av personuppgifter som anges i lagen. Grundlagsutskottet har ingenting att invända mot den principen. Enligt förslaget ska lagen om behandling av personuppgifter inom migrationsförvaltningen tillämpas när personuppgifter behandlas i syften enligt 1 §. I praktiken kopplas behandlingen av uppgifter till ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar. På det sätt som närmare anges nedan i detaljmotiveringen föreslår förvaltningsutskottet att det utfärdas preciserande bestämmelser om de ändamål för vilka de personuppgiftsansvariga registrerar uppgifter i systemen i fråga samt om ansvarsfördelningen mellan de personuppgiftsansvariga (föreslagna 3 och 5 §). När en myndighet behandlar personuppgifter i ärendehanteringssystemet för utlänningsärenden eller i det nationella informationssystemet för viseringar, tillämpas på behandlingen av uppgifterna personuppgiftslagen i migrationsförvaltningen. Den föreslagna regleringen begränsar också sambandet mellan personuppgiftslagen i migrationsförvaltningen och exempelvis polisens, Tullens och Gränsbevakningsväsendets personuppgiftslagar. 
Grundlagsutskottet anser i sitt utlåtande att det komplex som den tillämpliga lagstiftningen utgör inte kan anses klart och begripligt trots att strukturen i den reglering som nu utvärderas bär spår av försök till klarhet och tydlighet. Förhållandet mellan unionsrätten och den nationella lagstiftningen är delvis överlappande och delvis avskiljande. Trots att utskottet anser det klart att det begränsade och specifika tillämpningsområdet för unionsrätten och dess dataskyddsbestämmelser är en synnerligen starkt bidragande orsak till den komplicerade regleringen, bör förvaltningsutskottet fortsatt undersöka om det finns några sätt att förtydliga regleringen, inklusive bestämmelserna om tillämpningsområdet. 
Förvaltningsutskottet konstaterar att det på grund av de ramvillkor som följer av EU-regleringen knappast finns några förutsättningar att förtydliga regleringen. EU:s nya dataskyddslagstiftning har spjälkt upp författningsgrunden så att samma reglering inte kan tillämpas på all behandling av personuppgifter. Det är dock viktigt att identifiera den allmänna lagstiftning som ska tillämpas exempelvis med tanke på tillgodoseendet av den registrerades rättigheter och övervakningen av behandlingen av personuppgifter, för att man ska veta enligt vilken allmän lag – dataskyddsförordningen eller dataskydd slagen avseende brottmål – den personuppgiftsansvariges skyldigheter och den registrerades rättigheter bestäms. Utskottet anser att det är nödvändigt att precisera 2 §, som definierar förhållandet mellan migrationsförvaltningens personuppgiftslag och annan lagstiftning, så att den föreslagna lagens förhållande till å ena sidan dataskyddsförordningen och dataskyddslagen och å andra sidan dataskyddslagen avseende brottmål tydligare framgår av paragrafen. 
Nationell säkerhet är ett område som i fördraget om Europeiska unionen faller utanför EU:s behörighet och därmed inte heller direkt kan hänföras till polisdirektivets tillämpningsområde. Som nationell lösning har det föreskrivits att lagen om dataskydd i brottmål ska tillämpas också när personuppgifter behandlas i samband med upprätthållandet av den nationella säkerheten (FvUB 14/2018 rd, GrUU 26/2018 rd). 
Enligt förvaltningsutskottets förslag till 2 § 1 mom. tillämpas dataskyddslagen för brottmål på den behandling av personuppgifter som skyddspolisen utför med stöd av denna lag, om inte något annat föreskrivs i denna lag. Bestämmelser om behandling av personuppgifter som andra myndigheter som avses i denna lag utför med stöd av denna lag finns i dataskyddsförordningen och dataskyddslagen. Tillämpningsområdet för lagen om behandling av personuppgifter inom migrationsförvaltningen binds således till lagen om dataskydd i brottmål endast i en klart avgränsad situation. 
Förvaltningsutskottet betonar också i detta sammanhang att personuppgiftsansvarighet eller det ursprungliga ändamålet med behandlingen av personuppgifter inte ger myndigheten rätt att få uppgifter, utan att det ska föreskrivas särskilt om detta. Utskottet föreslår nedan bland annat att bestämmelserna om de personuppgiftsansvarigas inbördes rätt att få information preciseras (11 och 12 §). 
Än så länge behandlas personuppgifter inom lagens föreslagna tillämpningsområde, förutom i datasystemet för utlänningsärenden och det nationella informationssystemet för viseringar också till exempel delvis i förläggningarnas egna kundregister samt i förvarsenhetens besökarregister. Även på dessa separata register tillämpas lagen om behandling av personuppgifter i migrationsförvaltningen inom lagens tillämpningsområde. Enligt utredning är målet dock att koncentrera behandlingen av personuppgifter till ärendehanteringssystemet för utlänningsärenden så att separata elektroniska register inte längre behövs. 
Skydd av den nationella säkerheten som grund för behandling av personuppgifter
I propositionen föreslås det att skyddet av den nationella säkerheten ska kvarstå som det ursprungliga ändamålet för behandling av personuppgifter i migrationsförvaltningen. 
Grundlagsutskottet har vid granskningen av lagens tillämpningsområde noterat att det i motiveringen till propositionen hänvisas till ett alternativ som bedömts under beredningen, enligt vilken behandlingen av personuppgifter som utförs för att skydda den nationella säkerheten ställs utanför tillämpningsområdet för lagen om behandling av personuppgifter inom migrationsförvaltningen, när personuppgifter inte behandlas som en del av invandringsprocessen. Detta alternativ utesluter också att tillämpningsområdet knyts till dataskyddslagen avseende brottmål, vilket också grundlagsutskottet anser vara motiverat med tanke på lagens tydlighet. 
Skyddet av den nationella säkerheten har i den lag om utlänningsregistret som nu föreslås bli upphävd föreskrivits som ett av de ursprungliga ändamålen med behandlingen av personuppgifter. Förvaltningsutskottet konstaterar att uppgifterna i utlänningsregistret är viktiga med tanke på statens säkerhet och för att förebygga en gärning som allvarligt hotar Finlands säkerhet. För att skydda den nationella säkerheten är det viktigt att se till att de personer som utgör ett hot mot den kan identifieras i ett så tidigt skede som möjligt och att man vid behov kan ingripa i deras vistelse på det sätt som föreskrivs i lagen. Om skyddet av den nationella säkerheten inte längre är det ursprungliga ändamålet med behandlingen av personuppgifter i lagen, ska det föreskrivas särskilt om detta som behandling i ett annat syfte än det ursprungliga. En sådan ändring av regleringstekniken skulle innebära en risk för att uppgifterna inte skulle vara tillgängliga på samma sätt som i nuläget. Ändringen kan också ge felaktigt intryck av att uppgifterna inte längre är så väsentliga med tanke på skyddet av den nationella säkerheten. Syftet med propositionen är att i enlighet med EU:s dataskyddsbestämmelser föreskriva om de olika ändamål för vilka uppgifterna behandlas. När personuppgifter behöver behandlas i stor skala för att en myndighet ska kunna utföra en uppgift som föreskrivs i lag, är utgångspunkten att den ska definieras som det ursprungliga ändamålet med behandlingen av uppgifterna. I samarbetet mellan skyddspolisen och migrationsförvaltningen är det fråga om sådant myndighetssamarbete för att skydda den nationella säkerheten som föreskrivs i lag och som i princip gäller alla utlänningar som kommer till landet. Förvaltningsutskottet anser med stöd av vad som anförts ovan att skyddet av den nationella säkerheten bör bevaras som det ursprungliga ändamålet med behandlingen av personuppgifter. För att förtydliga och precisera bestämmelserna föreslår utskottet vissa ändringar i bestämmelserna om skyddet av den nationella säkerheten på det sätt som framgår av detaljmotiveringen. 
Dataombudsmannen övervakar att behandlingen av personuppgifter är lagenlig och ändamålsenlig i såväl skyddspolisens som andra myndigheters verksamhet. Skyddspolisen är dessutom föremål för underrättelsetillsynsombudsmannens tillsyn i enlighet med lagen om övervakning av underrättelseverksamheten (121/2019). Också riksdagens justitieombudsman och justitiekanslern i statsrådet ska i egenskap av högsta laglighetsövervakare följa efterlevnaden av lagstiftningen om behandling av personuppgifter som en del av den allmänna laglighetsövervakningen av myndigheter och tjänstemän. 
Ansvar för registret
Förslagets utgångspunkter
I 3 § i förslaget till lag om behandling av personuppgifter inom migrationsförvaltningen finns bestämmelser om gemensamt personuppgiftsansvariga. Följande myndigheter är enligt propositionen med stöd av denna lag gemensamt personuppgiftsansvariga vid behandlingen av personuppgifter: Migrationsverket, Polisstyrelsen och skyddspolisen, Gränsbevakningsväsendet, förläggningar och flyktingslussar, förvarsenheter, utrikesförvaltningen, närings-, trafik- och miljöcentralerna och arbets- och näringsbyrån. Propositionens syfte har varit att gemensamt personuppgiftsansvariga ska vara de myndigheter som i de användningsändamål som hör till den föreslagna lagens tillämpningsområde för egna självständiga syften behandlar personuppgifter för att fullgöra de uppgifter som anges i den lagstiftning som ger myndigheten behörighet. Dessa myndigheter utövar prövnings- och beslutanderätt när de fullgör sina lagfästa uppgifter. Artikel 26 i den allmänna dataskyddsförordningen innehåller bestämmelser om gemensamt personuppgiftsansvariga. 
Grundlagsutskottet har hänvisat till sitt utlåtande GrUU 62/2018 rd och också i den nu aktuella propositionen fäst uppmärksamhet vid det exceptionellt omfattande gemensamma personuppgiftsansvaret och det faktum att de nämnda myndigheternas behov att behandla personuppgifter är mycket olika. Enligt grundlagsutskottet är det uppenbart att den risk som behandlingen av personuppgifter utgör för enskilda personers rättigheter och friheter till exempel när Skyddspolisen behandlar uppgifter om en utlännings politiska verksamhet i syfte att trygga den nationella säkerheten väsentligen skiljer sig från risken när närings-, trafik- och, miljöcentralen behandlar en asylsökandes uppgifter för anvisande till en kommun. Grundlagsutskottet menade att en lösning där alla de nämnda myndigheterna definieras som personuppgiftsansvariga i stället för att deras rätt att få behövliga uppgifter säkerställts till exempel genom bestämmelser om utlämnande av och rätt till information, avviker från det normala. 
Enligt nämnda 3 § 2 mom. grundar sig varje personuppgiftsansvarigs behörighet att behandla personuppgifter på bestämmelserna om ifrågavarande myndighets behörighet. Grundlagsutskottet har betonat betydelsen av den föreslagna bestämmelsen (se även GrUU 62/2018 rd). Bestämmelsen innebär att den typ av reglering som ingår i lagförslaget inte per automatik ger behörighet att behandla personuppgifter, eftersom rätt att behandla personuppgifter alltid kräver särskilda bestämmelser. 
Enligt 3 mom. svarar varje personuppgiftsansvarig för att personuppgifter behandlas lagenligt i dess verksamhet. Varje personuppgiftsansvarig svarar för de personuppgifter som den registrerat. 
I propositionen föreslås det också att förvaltning av informationssystemen med allt vad det innebär, såsom att utplåna eller utlämna personuppgifter annat än i enstaka fall, skulle emellertid också framöver koncentreras till Migrationsverket och till utrikesförvaltningen (4 och 5 §) . För att säkerställa att de registrerades rättigheter tillgodoses och att systemet fungerar smidigt skulle dessa båda aktörer samtidigt fungera som en gemensam kontaktpunkt (6 §). Grundlagsutskottet menar att utifrån det ansvar i anslutning till registerföring som framgår av lagförslaget förblir betydelsen av det gemensamma personregisteransvaret oklar i fråga om de övriga myndigheterna. Förvaltningsutskottet måste noggrant granska ändamålsenligheten hos den valda regleringsmodellen och dess förenlighet med bestämmelserna i dataskyddsförordningen, särskilt med tanke på varje personuppgiftsansvarigs ansvar och tillgodoseendet av den registrerades rättigheter. 
Grundlagsutskottet konstaterar att i 8—10 § i lagförslaget i propositionen, där det föreskrivs om behandling av känsliga uppgifter och tillåtna användningsändamål för dem, är behandlingen av känsliga uppgifter på behörigt sätt bunden till nödvändighet. Utskottet har dock fäst uppmärksamhet vid 8 §, enligt vilken känsliga uppgifter som nämns i paragrafen får behandlas av den personuppgiftsansvarige, 11 §, enligt vilken den personuppgiftsansvarige trots sekretessbestämmelserna får behandla personuppgifter som samlats in av en annan personuppgiftsansvarig inom ramen för var och en av de behandlingsändamål som anges i 1 § 1 mom. 1—6 punkten i enlighet med sin behörighet och 12 §, enligt vilken personuppgifter får behandlas för andra ändamål än den ursprungliga behandlingen. 
Grundlagsutskottet ansåg i utlåtandet GrUU 62/2018 rd att en motsvarande reglering kan innebära att sådana känsliga uppgifter som nämns i bestämmelsen, trots sekretessbestämmelser kan överföras mellan de myndigheter som är gemensamt personuppgiftsansvariga, om exempelvis känsliga och sekretessbelagda uppgifter (”behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse”) som registreras i det syfte som nämns i 1 § 1 mom. 1 punkten i ett senare skede behandlas i samma syfte men av en annan gemensamt personuppgiftsansvarig myndighet. I samband med den nu aktuella propositionen har utskottet förnyat sin bedömning och ansett att regleringen fortfarande är bristfällig. 
Grundlagsutskottet har i sitt utlåtande också fäst uppmärksamhet vid bland annat att det av bestämmelserna om gemensamt personuppgiftsansvar inte tydligt framgår vilken myndighet som är behörig att lämna ut uppgifter. 
Grundlagsutskottet har bedömt bestämmelser om myndigheternas rätt att få och skyldighet att lämna ut information med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och att lämna ut information kan gälla ”behövliga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över vad uppgifterna ska innehålla. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "uppgifterna är nödvändiga" för ett visst syfte (se t.ex. GrUU 17/2016 rd, s. 2—3, och de utlåtanden som nämns där). I sina analyser av exakthet och innehåll har utskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. I synnerhet i fall när de föreslagna bestämmelserna om utlämning av uppgifter har gällt också känsliga uppgifter, har det för vanlig lagstiftningsordning krävts att bestämmelserna preciseras så att de följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se t.ex. GrUU 15/2018 rd, s 39). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid om de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 14/2018 rd, s. 5). 
Grundlagsutskottet har upprepade gånger betonat att åtskillnaden mellan behovet och nödvändigheten av att få eller lämna ut uppgifter inte bara handlar om informationsinnehållets omfattning utan också om att den myndighet som har rätt till informationen i och med sina egna behov åsidosätter de grunder och intressen som skyddas med hjälp av sekretess som riktar sig till den myndighet som har uppgifterna. Ju mer generella bestämmelserna om rätt till information är, desto större är risken att sådana intressen kan åsidosättas per automatik. Ju fullständigare bestämmelserna kopplar rätten till information till villkor i sak, desto mer sannolikt är det att en begäran om information måste motiveras. Då kan också den som lämnar ut informationen bedöma en begäran med avseende på de lagliga villkoren för att lämna ut den. Genom att de facto vägra lämna ut informationen kan den som innehar den få till stånd ett läge där en utomstående myndighet måste undersöka skyldigheten att lämna ut information, det vill säga tolka bestämmelserna. Denna möjlighet är viktig då det gäller att anpassa tillgången till information och sekretessintressena till varandra (se t.ex. GrUU 48/2018 rd, s. 5, och där nämnda utlåtanden). Utskottet anser att de omständigheter som talar för särskiljande får särskild vikt när det föreskrivs om en myndighets rätt att trots sekretessbestämmelserna få eller lämna ut uppgifter i en elektronisk verksamhetsmiljö (se GrUU 73/2018 rd, s. 8 –10). 
Grundlagsutskottet anser dock att lagförslagets bestämmelser om gemensamt personuppgiftsansvar och behandling av personuppgifter inom ramen för den inte är tillräckligt klara med tanke på 10 § i grundlagen, trots att man med anledning av grundlagsutskottets utlåtande GrUU 62/2018 rd har strävat efter att precisera regleringen i fråga om myndigheternas befogenheter och rätt att få information, ändamålsbundenheten vid behandlingen av personuppgifter och vedertagen praxis i fråga om myndigheternas rätt att få och lämna ut uppgifter trots sekretessplikten. Förvaltningsutskottet måste ytterligare precisera och förtydliga regleringen väsentligt. Regleringen måste till alla delar uppfylla de krav som beskrivs i grundlagsutskottets ovan nämnda praxis. Den här preciseringen är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Dessutom har grundlagsutskottet påpekat att ett behörigt beaktande av ställningstagandet om lagstiftningsordning också kan kräva att de grundläggande lösningarna i regleringen ändras. Om den föreslagna regleringen av gemensamt personuppgiftsansvar inte möjliggör exempelvis sådan reglering om myndigheternas rätt att trots sekretessbestämmelserna få och lämna ut uppgifter som förutsätts i 10 § i grundlagen, måste den regleringsmodell som baserar sig på gemensamt personuppgiftsansvar slopas. Utskottet fäster uppmärksamhet vid att enligt motiveringen till propositionen har som alternativ bedömts en modell där endast Migrationsverket är personuppgiftsansvarig i ärendehanteringssystemet för utlänningsärenden och endast utrikesministeriet är personuppgiftsansvarig i det nationella informationssystemet för viseringar. Då kan andra myndigheters rätt att få information lösas genom att föreskriva om utlämnande av information mellan myndigheter. Enligt utredning till utskottet torde EU:s allmänna dataskyddsförordning i strid med motiveringen inte hindra en sådan regleringslösning. Förvaltningsutskottet bör noggrant utreda om de olika alternativen är förenliga med förordningen. 
Personuppgiftsansvarig och gemensamt personuppgiftsansvarig
Förvaltningsutskottet konstaterar att tolkningen av begreppet personuppgiftsansvarig generellt sett är i viss mån ospecificerad i såväl den nationella lagstiftningen som i unionslagstiftningen. Begreppet i sig är inte nytt. Den personuppgiftsansvarige definierades redan i artikel 2 d i dataskyddsdirektivet (95/46/EG), och definitionen antogs i artikel 4.7 i dataskyddsförordningen. Dataskyddsförordningen erbjuder inga särskilt klara kriterier för fastställande av personuppgiftsansvariga i situationer där deras uppgifter och behörighet baserar sig på lagstiftning. Enligt definitionen är den personuppgiftsansvarige den som ensam eller tillsammans med andra bestämmer ändamålen och metoderna för behandlingen av personuppgifter. Enligt lagen om dataskydd i brottmål avses med personuppgiftsansvarig en behörig myndighet som ensam eller tillsammans med andra fastställer ändamålen med och metoderna för behandlingen av personuppgifter eller som enligt lag har till uppgift att föra ett register. I artikel 24 i dataskyddsförordningen föreskrivs om den personuppgiftsansvariges ansvar att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. För de tekniska åtgärderna ansvarar i praktiken upprätthållaren av informationssystemet, men genomförandet av organisatoriska åtgärder kan anses vara en delfaktor som definierar den personuppgiftsansvarige. I dataskyddslagen avseende brottmål finns motsvarande bestämmelser om den personuppgiftsansvariges ansvar i 14 §. 
I artikel 26 i dataskyddsförordningen föreskrivs det att om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt förordningen, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Arrangemangen ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses. I dataskyddslagen avseende brottmål finns bestämmelser om gemensamt personuppgiftsansvarigas ansvar i 16 §. Dess bestämmelse om att utse en kontaktpunkt är förpliktande. 
Till personuppgiftsbiträde kallas en utomstående aktör från den personuppgiftsansvarige som behandlar personuppgifter för den personuppgiftsansvariges räkning. Bestämmelser om personuppgiftsbiträden finns i artikel 28 i dataskyddsförordningen och 17 § i dataskyddslagen avseende brottmål. 
Innan Europeiska dataskyddsstyrelsen inrättades har arbetsgruppen WP29 (artikel 29 Data Protection Working Party) fungerat som samarbetsorgan för EU:s dataskyddsmyndigheter. Arbetsgruppen har tagit ställning till definitionerna av personuppgiftsansvarig, personuppgiftsbiträde och gemensamt personuppgiftsansvarig i sitt utlåtande 1/2010. I sitt utlåtande har arbetsgruppen angett faktorer som definierar en personuppgiftsansvarig, bland annat frågor om varför personuppgifter behandlas, för vems syften de behandlas, vem som har inlett behandlingen, om uppdraget kan skötas utan behandling av personuppgifter och vem som har prövnings- och beslutanderätt i ärendet. Trots att utlåtandet är tio år gammalt är dess grundläggande riktlinjer fortfarande accepterade i EU-rätten. I sitt utlåtande har arbetsgruppen betonat att ansvaret ska förläggas till det plan där den faktiska påverkningen sker. 
Enligt WP29-arbetsgruppens utlåtande 1/2010 omfattar möjligheten av pluralistiskt ansvar alltjämt flera situationer där olika parter fungerar som personuppgiftsansvariga. Vid bedömningen av detta gemensamma ansvar ska man ta hänsyn till fastställandet av ”enkelt” ansvar genom att tillämpa ett materiellt och funktionellt synsätt och koncentrera sig på huruvida det har funnits flera parter som definierat de väsentliga delarna av ändamålet och medlen. Parternas deltagande i definitionen av ändamålet och medlen när det gäller gemensamt ansvar kan ske i olika former och det behöver inte vara jämlikt. Om det finns flera aktörer, kan dessa i själva verket ha nära förhållanden (alla ändamål och medel för informationsbehandlingen kan till exempel vara de samma) eller mindre nära förhållanden (de kan till exempel ha gemensamma ändamål och medel, eller bara en del av dessa kan vara gemensamma). Därför bör den stora variationen i typologin inom det gemensamma ansvaret beaktas, och de juridiska konsekvenser som föranleds av den bedömas. Man bör även godkänna viss flexibilitet för att kunna täcka databehandlingens komplicerade nuläge. 
EU-domstolen har i samband med fallet Google konstaterat att syftet med artikel 2 d gällande personuppgiftsansvariga i dataskyddsdirektivet 95/46/EG är att trygga effektivt och omfattande skydd för de registrerade genom att fastställa begreppet personuppgiftsansvarig på ett heltäckande sätt (C-131/12, Google, 13.5.2014, punkt 34). Enligt domstolen hänvisar man med begreppet personuppgiftsansvarig inte nödvändigtvis bara till ett organ och det kan gälla flera aktörer som deltar i den nämnda behandlingen, i vilket fall de bestämmelser som tillämpas inom området för dataskydd tillämpas på vart och ett av dem. (C-210/16, Wirtschaftsakademie Schleswig-Holstein (Facebook), 5.6.2018, punkt 29 och C-25/17, Jehovasvittnen, 10.7.2018, punkt 65). Eftersom syftet med bestämmelsen i fråga är att trygga effektivt och omfattande skydd för de registrerade genom att fastställa begreppet personuppgiftsansvarig på ett heltäckande sätt, innebär gemensamt ansvar inte nödvändigtvis att de olika aktörer som deltar i behandlingen av personuppgifter har likadant ansvar. Dessa aktörer kan tvärtom delta i behandlingen av personuppgifter i olika skeden och i olika grader, vilket gör att nivån på deras ansvar ska bedömas med hänsyn till alla omständigheter som är av betydelse i fallet i fråga (C-210/16, Wirtschaftsakademie Schleswig-Holstein (Facebook), 5.6.2018, punkt 28 och 43 samt C-25/17, Jehovasvittnen, 10.7.2018, punkt 66). Bestämmelsen förutsätter inte heller att alla aktörer har tillgång till personuppgifterna i fråga i sådana fall där flera aktörer gemensamt ansvarar för samma behandling av personuppgifter. (C-210/16, Wirtschaftsakademie Schleswig-Holstein (Facebook), 5.6.2018, punkt 38). I sitt avgörande (C-40/17, Fashion ID, 29.7.2019) upprepade domstolen det som i tidigare rättspraxis konstaterats om den personuppgiftsansvarige (punkterna 65 –70) och konstaterade dessutom att den personuppgiftsansvariges ansvar dock har begränsats till sådan behandling av personuppgifter i fråga om vilken den personuppgiftsansvarige de facto fastställer syftet och metoderna (punkt 74). 
Förvaltningsutskottet konstaterar att ett exceptionellt stort antal myndigheter är verksamma i migrationsförvaltningens processer så att flera myndigheter deltar i samma process eller så att flera myndigheter kan vara behöriga i samma ärendetyp. I ärenden som behandlas inom migrationsförvaltningen kan samma personuppgifter behandlas av flera olika registeransvariga som en del av en enda process. Det är fråga om en sådan situation t.ex. i ett asylärende där polisen eller Gränsbevakningsväsendet registrerar en ansökan om internationellt skydd och registrerar uppgifterna i ärendehanteringssystemet för utlänningsärenden för Migrationsverkets beslutsfattande, eller när beskickningen registrerar en anmälan om medborgarskap och lämnar ut uppgifterna till Migrationsverket för avgörande av ett medborgarskapsärende, eller när utrikesministeriet behandlar visumansökan och beviljar visum och senare lämnar ut uppgifterna till Gränsbevakningsväsendet i en situation där Gränsbevakningsväsendet upphäver viseringen. Dessutom kan personuppgifter via utlämnandet av uppgifter överföras till en annan registeransvarig för behandling som en del av den andra processen inom migrationsförvaltningen. Det är fråga om en sådan situation exempelvis när Migrationsverket lämnar ut uppgifter i anslutning till ett uppehållstillståndsärende till polisen eller förvarsenheten till exempel i samband med tagande i förvar i samband med tryggande av avlägsnande ur landet eller när Migrationsverket lämnar ut uppgifter i anslutning till ett kvotflyktingärende till från närings-, trafik- och miljöcentralen för anvisande av kvotflyktingar till kommunen. 
När det är fråga om myndigheter fastställs ändamålen med och metoderna för behandlingen av personuppgifter i lagstiftningen. Bestämmelserna om de personuppgiftsansvarigas behandlingsbehörighet och ansvar lämnas dock på rätt allmän nivå i propositionen. Lagförslaget innehåller inga tydliga bestämmelser om hur behörighetsförhållandena ska organiseras i det gemensamma personuppgiftsansvaret och vilken myndighet som ska genomföra ansvaret enligt dataskyddsförordningen i anslutning till det gemensamma personuppgiftsansvaret. 
I propositionen föreslås att det för vardera ärendehanteringssystemet föreskrivs en kontaktpunkt för den registrerade som hjälper den registrerade att utöva sina rättigheter, exempelvis rätten att kontrollera sina egna uppgifter. Kontaktpunkten ska vara den registrerades primära kontakt i förhållande till också den personuppgiftsansvariga som handlägger eller avgör ärendet. Kontaktpunkten är väsentlig med tanke på tillgodoseendet av den registrerades rättigheter i synnerhet i en sådan situation där det finns flera gemensamt personuppgiftsansvariga. Detta ändrar dock inte myndigheternas behörighet. Den registrerade har alltid rätt att vända sig direkt till den behöriga personuppgiftsansvarige. 
I WP29-arbetsgruppens utlåtande och EU-domstolens domar beskrivs många sådana situationer av gemensamt personuppgiftsansvar som kan identifieras också vid behandlingen av personuppgifter inom migrationsförvaltningen. Gemensamt personuppgiftsansvar verkar på basis av dem också vara en rätt flexibel modell. Vid bedömningen av den lag som föreslås i regeringspropositionen anser förvaltningsutskottet dock att det är klart att det, åtminstone av orsaker som beror på den nationella lagstiftningen, är skäl att föreskriva noggrannare om exempelvis de gemensamt personuppgiftsansvarigas behörighets- och ansvarsförhållanden i det gemensamma personuppgiftsansvaret. Av lagen bör det också tydligare framgå hur informationen rör sig mellan de personuppgiftsansvariga. 
Förvaltningsutskottet anser det inte uteslutet att det är möjligt att genomföra det gemensamma personuppgiftsansvaret i en eller annan form och att precisera regleringen på det sätt som krävs. Utskottet konstaterar dock att en del av oklarheterna beror på en genuin oklarhet i begreppen personuppgiftsansvarig och gemensamt personuppgiftsansvarig. Även om begreppen inte är nya i EU:s dataskyddslagstiftning, finns det fortfarande rum för tolkning av begreppen både i EU-lagstiftningen och i den nationella lagstiftningen. Enligt uppgift är Europeiska dataskyddsstyrelsen rådet i färd med att uppdatera anvisningar som syftar till att förtydliga tolkningen av begreppen. 
Eftersom förutsättningarna för att bilda en gemensam personuppgiftsansvarig och fastställandet av ansvaret i anslutning till den gemensamma personuppgiftsansvarigheten i det aktuella fallet är i viss mån oklara och det ännu inte finns några nya anvisningar från dataskyddsstyrelsen om begreppen, anser förvaltningsutskottet det motiverat att i den föreslagna lagen slopa gemensamt personuppgiftsansvar. 
Modellen med två personuppgiftsansvariga
Med avvikelse från de flesta register som en myndighet ensam använder har Migrationsverkets ärendehanteringssystem för utlänningsärenden genomförts för att skydda känsliga uppgifter så att uppgifterna har samlats på en plats där flera olika myndigheter faktiskt behandlar dem och exempelvis fattar beslut med stöd av dem. Med stöd av den lagstiftning som skapar behörighet för myndigheterna finns det ett stort antal behöriga myndigheter i migrationsförvaltningens processer. Den huvudsakliga avsikten med Migrationsverkets ärendehanteringssystem för utlänningsärenden är att i syfte att säkerställa flexibelt beslutsfattande kombinera flera olika myndighetsaktörer, som antingen fattar beslut i utlänningsärenden eller utför utredningar åt andra myndigheter som underlag för dylika beslut. Med hjälp av ett system som är tillgänglig för flera myndigheter kan uppgifter fås på ett snabbare och med tanke på dataskydd mer säkert sätt än genom utredningsbegäranden och svar på dem. I ärendehanteringssystemet för utlänningsärenden ingår också ett identitetskorts- och passdatasystem i fråga om främlingspass och resedokument för flykting. 
I det nationella informationssystemet för viseringar, som upprätthålls av utrikesministeriet, finns färre myndigheter och de ärenden som behandlas anknyter närmare till endast ett behandlingsändamål, men också där är syftet med systemet detsamma som i ärendehanteringssystemet för utlänningsärenden. 
Enligt förvaltningsutskottets uppfattning kan Migrationsverket i synnerhet på grund av den grundläggande lösningen i ärendehanteringssystemet för utlänningsärenden inte vara systemets enda personuppgiftsansvariga. I annat fall skulle Migrationsverket i egenskap av personuppgiftsansvarig också ansvara för sådana personuppgifter vars behandling inte alls hör till dess uppgifter, exempelvis polisens behandling av personuppgifter vid avlägsnande ur landet, som i sin helhet är en process som polisen utför i ärendehanteringssystemet för utlänningsärenden som en lagstadgad uppgift. Polisen kan i detta fall inte enbart vara personuppgiftsbiträde i ärendehanteringssystemet för utlänningsärenden, eftersom den inte behandlar personuppgifter där för Migrationsverkets räkning, utan för ”egen räkning”. I motiveringen till propositionen hänvisas det enligt utskottet uttryckligen till ett sådant upplägg. I det nationella informationssystemet för viseringar kan det enligt utskottet i princip vara möjligt att koncentrera ansvaret enbart till utrikesministeriet, men utskottet vill också där koncentrera ansvaret till andra myndigheter än de som de facto behandlar och beviljar visum. 
Med beaktande av de omständigheter som nämns ovan anser förvaltningsutskottet att en modell som bygger på två personuppgiftsansvariga varken är ändamålsenlig eller ens med avseende på ansvarsfördelningen till alla delar möjlig. 
Slutsatser
Förvaltningsutskottet har ovan föreslagit att man avstår från att vara gemensam personuppgiftsansvarig och anser inte att modellen med två personuppgiftsansvariga kan understödas i detta sammanhang. På basis av utfrågning av sakkunniga och annan erhållen utredning i ärendet anser utskottet det vara ändamålsenligt att man i den föreslagna lagen iakttar den grundläggande lösningen enligt propositionen, enligt vilken flera myndigheter svarar som personuppgiftsansvariga för de uppgifter som förts in i systemet, men dessa myndigheter är dock inte gemensamt personuppgiftsansvariga utan separata personuppgiftsansvariga. 
Fastställandet av de personuppgiftsansvariga är väsentligt för att klarlägga vilken myndighet som i varje enskilt fall ansvarar för de skyldigheter som i dataskyddsförordningen åläggs den personuppgiftsansvarige inom migrationsförvaltningen som helhet. Personuppgiftsansvar innebär inte rätt att få tillgång till uppgifter som registrerats av andra personuppgiftsansvariga, utan det ska föreskrivas särskilt om rätten att få uppgifter. I den gällande lagen om utlänningsregistret har begreppet personuppgiftsansvarig däremot åtminstone delvis kopplats till rätten att se och behandla uppgifter som införts i utlänningsregistret med hjälp av en teknisk anslutning. Vid beredningen av propositionen har det konstaterats att de förutsättningar på basis av vilka myndigheterna enligt lagen om utlänningsregistret är personuppgiftsansvariga inte motsvarar bestämmelserna i dataskyddsförordningen, och därför har man varit tvungen att bedöma vilken roll varje myndighet som enligt lagen om utlänningsregistret är personuppgiftsansvarig har i den föreslagna nya personuppgiftslagen. Förvaltningsutskottet kan instämma i dessa bedömningar. Utskottet föreslår i detaljmotiveringen vissa preciseringar i förteckningen över personuppgiftsansvariga. 
Regleringen behöver dessutom kompletteras så att det i lagen definieras vilken myndighet som svarar för informationssystemet i enlighet med lagen om informationshantering inom den offentliga förvaltningen (906/2019, nedan informationshanteringslagen). Enligt utskottets förslag fungerar Migrationsverket som informationshanteringsenhet som avses i lagen om informationshantering i ärendehanteringssystemet för utlänningsärenden och utrikesministeriet i det nationella informationssystemet för viseringar. Dessutom är det nödvändigt att precisera bestämmelserna om vissa uppgifter som personuppgiftsbiträde för de nämnda myndigheterna. Utskottet hänvisar till det som sägs i detaljmotiveringen. 
Eftersom utskottet föreslår att den gemensamt personuppgiftsansvariga slopas, föreskrivs det inte i den föreslagna lagen om en kontaktpunkt för den registrerade i anslutning till den gemensamt personuppgiftsansvariga. Utskottet anser dock att det i en situation där det finns flera personuppgiftsansvariga är nödvändigt med ett motsvarande praktiskt arrangemang för att trygga tillgodoseendet av den registrerades rättigheter. Det är möjligt att avtala om ett sådant arrangemang mellan den personuppgiftsansvariga och personuppgiftsbiträdet som administrerar systemet för behandling av personuppgifter. Utskottet hänvisar till denna del till detaljmotiveringen till föreslagna 3 § 4 mom. och 5 § 4 mom. nedan. Utskottet betonar att myndigheternas behörighet inte kan ändras genom avtal. Den registrerade har alltid rätt att också vända sig direkt till den behöriga personuppgiftsansvarige. 
Med anledning av grundlagsutskottets utlåtande föreslår förvaltningsutskottet dessutom, på det sätt som närmare framgår av detaljmotiveringen, att 3—6 och 11—13 § i lagförslaget i propositionen ändras så att bestämmelserna om de personuppgiftsansvarigas ansvarsfördelning och rätt att få uppgifter är betydligt mer exakta än tidigare och att regleringen får en tydligare struktur. Det föreslås att bestämmelserna om ärendehanteringssystemet för utlänningsärenden samlas i 3 och 4 §, bestämmelserna om det nationella informationssystemet för viseringar i 5 och 6 §. Varje personuppgiftsansvarig ansvarar för den personuppgiftsansvariges skyldigheter i fråga om de uppgifter som den fört in i de berörda informationssystemen. I lagförslagets 11 och 12 § föreskrivs det om rätt att få uppgifter mellan de personuppgiftsansvariga. I 13 § i lagförslaget finns liksom i propositionen bestämmelser om de personuppgiftsansvarigas rätt att få uppgifter av aktörer utanför ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar. 
Liksom för närvarande är avsikten att rätten att behandla uppgifter ska begränsas genom hantering av användningsfullmakter så att av de myndigheter som använder datasystemet tillgång till en viss datagrupp eller uppgift ges endast de myndigheter vars lagstadgade uppgifter förutsätter behandling av den berörda datagruppen eller informationen. All behandling är förpliktad av ändamålsbegränsning och andra principer för behandling av personuppgifter som anges i dataskyddsförordningen och i dataskyddslagen för brottmål. 
Automatiserat individuellt beslutsfattande
I propositionen föreslås att det i 21 § i lagen om behandling av personuppgifter inom migrationsförvaltningen föreskrivs om automatiserat individuellt beslutsfattande. Det föreslås att beslut som Migrationsverket fattar i ärendehanteringssystemet för utlänningsärenden får fattas genom ett förfarande som grundar sig endast på automatiserad behandling, om ärendet med stöd av 34 § 2 mom. 5 punkten i förvaltningslagen (434/2003) får avgöras utan att en part hörs. Migrationsverket ska offentliggöra den algoritm som lett till det slutliga beslutet i ett automatiserat beslutsförfarande. Dessutom har den registrerade rätt att få en separat redogörelse för den algoritm som använts för ett sådant slutligt individuellt beslut i hans eller hennes sak som fattats genom automatiserad behandling. Migrationsverket överdirektör svarar för förfarandet vid automatiserat beslutsfattande och för automatiserade individuella beslut. 
Grundlagsutskottet bedömde redan i sitt utlåtande GrUU 62/2018 rd ett motsvarande förslag till bestämmelse om automatiserade individuella beslut. Grundlagsutskottet anser att regleringen av automatiserat beslutsfattande framför allt måste bedömas i skenet av principerna för god förvaltning enligt grundlagens 21 § och bestämmelserna i grundlagens 118 § om tjänsteansvar. Enligt sitt utlåtande om den nu aktuella propositionen (GrUU 7/2019 rd) har utskottet i sig inget att anmärka mot de mål som eftersträvas med automatiseringen av beslutsfattandet. Utskottet har dock med hänsyn till 21 § och kravet på att offentlig maktutövning ska grunda sig på lag noterat att man inte ens i en masshantering får äventyra kraven på god förvaltning eller parternas rättssäkerhet (GrUU 49/2017 rd, s. 5, och GrUU 35/2005 rd, s. 3). Även i 1 § i förvaltningslagen betonas vikten av att grunderna för god förvaltning och rättsskyddet prioriteras i förhållande till förvaltningens resultat. Enligt grundlagsutskottet uppfattning lämpar sig således automatiserat beslutsfattande inte för sådant administrativt beslutsfattande som förutsätter att beslutsfattaren utövar omfattande prövningsrätt. 
Grundlagsutskottets utlåtande GrUU 7/2019 rd innehåller fyra konstitutionella anmärkningar som hänför sig till regleringen av automatiserat beslutsfattande. De gäller området för automatiskt beslutsfattande, algoritmernas offentlighet, bestämmelserna om tjänsteansvar och lagstiftningsförfarandet för automatiserat beslutsfattande. Enligt utlåtandet bör förvaltningsutskottet dessutom noggrant försäkra sig om att regleringen är förenlig med EU:s allmänna dataskyddsförordning samt noggrant bedöma betydelsen av bestämmelserna om barn i förordningen och i synnerhet omfattningen av de skyddsåtgärder som förordningen förutsätter vid beslut som gäller barnet. 
Grundlagsutskottet fäste i sitt utlåtande GrUU 62/2018 rd statsrådets uppmärksamhet vid att automatiserat beslutsfattande verkar innehålla flera frågor som inte uttryckligen regleras i allmänna förvaltningslagar (se även GrUU 70/2018 rd och GrUU 78/2018 rd). Utskottet ansåg att det finns skäl att utreda detta och behovet av en översyn av den allmänna lagstiftningen på området, där justitieministeriet har beredningsansvaret. I utredningen bör man undersöka hur regleringen av automatiserat förvaltningsförfarande och beslutsfattande uppfyller de krav som följer av förvaltningens lagbundenhet, offentlighetsprincipen och rättsprinciperna för förvaltningen, som ligger till grund för en god förvaltning, samt hur rättstryggheten tillgodoses och tjänstemännens ansvar förverkligas. Grundlagsutskottet har understrukit vikten av utredningar och menar att utredningsarbetet bör inledas utan dröjsmål och anvisas de resurser som behövs. Utskottet anser att det i nuläget är nödvändigt att avstå från nya förvaltningsområdesspecifika förslag till bestämmelser om automatiserat beslutsfattande. 
Det automatiska beslutsfattandet är enligt grundlagsutskottet förknippat med sådana mycket vittsyftande juridiska specialfrågor som hänför sig till de grundläggande fri- och rättigheterna och utövningen av offentlig makt och som bör bedömas utifrån behoven att utveckla den allmänna lagstiftningen. Enskilda förslag till bestämmelser av det nu aktuella slaget som rör det handlingsutrymme dataskyddsförordningen tillåter kan inte åsidosätta de krav som grundlagen ställer upp för inskränkning av grundläggande fri- och rättigheter och för ansvar vid utövning av offentlig makt. Grundlagsutskottet betonar att bestämmelserna i den dataskyddsförordning som utarbetats med tanke på skyddet för personuppgifter inte utgör en tillräcklig grund för automatiserat beslutsfattande med avseende på principerna för god förvaltning och rättsskyddet inom förvaltningen. 
Enligt grundlagsutskottet bör man inte sträva efter att reglera det administrativa beslutsfattandet i fråga om automatiserade enskilda beslut genom enskilda punktvisa lagförslag. Utskottet anser att de ändringar som av grundlagskäl måste göras i bestämmelserna om automatiserade individuella beslut påverkar de grundläggande lösningarna i propositionen. De problem med regleringen som utskottet konstaterat visar sammantaget att automatiserat beslutsfattande är förenat med konstitutionella frågeställningar som utan en omsorgsfullt genomförd grundberedning inte utan problem kan lösas vid riksdagsbehandlingen. Enligt grundlagsutskottet skulle således den tydligaste lösningen vara att den föreslagna bestämmelsen i 21 § stryks ur lagförslaget och att statsrådet omsorgsfullt och med iakttagande av ett gott lagberedningsförfarande utreder behoven att ändra den allmänna lagstiftningen om automatiserat beslutsfattande, och vid behov bereder en allmän lagstiftning om automatiserat beslutsfattande som eventuellt kan preciseras genom speciallagar som beaktar respektive förvaltningsområdes särdrag. Grundlagsutskottet har i sitt utlåtande förutsatt att om förvaltningsutskottet emellertid vid utskottsbehandlingen går in för att ändra bestämmelserna om automatiserade individuella beslut så att de överensstämmer med grundlagen, ska utkastet till betänkande om propositionen ännu föreläggas grundlagsutskottet för behandling. Det är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Enligt erhållen utredning har man genom att möjliggöra automatiserat beslutsfattande i speciallagstiftningen i avsaknad av allmän lagstiftning strävat efter att samordna Migrationsverkets ökade antal ansökningar i förhållande till de allt mindre ramarna och rikta verkets begränsade resurser så att enklare ärenden kan avgöras effektivt, vilket gagnar både individen, företagen och samhället. Förvaltningsutskottet anser att dessa mål är mycket viktiga, men anser att det med beaktande av grundlagsutskottets ståndpunkter i detta sammanhang inte finns förutsättningar att föreskriva om automatiserade individuella beslut, och därför föreslår utskottet att 21 § stryks ur lagförslag 1. 
Enligt uppgift pågår vid justitieministeriet ett projekt vars syfte är att bereda de bestämmelser som behövs i den allmänna förvaltningslagstiftningen för att säkerställa att förvaltningens lagenlighet, principerna för god förvaltning, rättssäkerheten, offentlighetsprincipen och tjänsteansvaret tillgodoses i det automatiserade beslutsfattandet. Dessutom utarbetas en beskrivning av regleringsprinciperna i speciallagstiftningen. En preliminär utredning om projektet blev klar den 14 februari 2020. Enligt erhållen information bereds som bäst en bedömningspromemoria om ärendet vid justitieministeriet. Förvaltningsutskottet anser att projektet är nödvändigt både med tanke på beslutsfattandet inom migrationsförvaltningen och allmänt med tanke på utvecklandet av den allmänna förvaltningslagstiftningen, och påskyndar beredningsarbetet. 
Eventuella regleringsbehov i fråga om automatiserat beslutsfattande kan i praktiken bedömas i lagen om behandling av personuppgifter inom migrationsförvaltningen först när vi vet vilka bestämmelser som behövs i den allmänna lagstiftningen. Vid beredningen bör man bland annat beakta de anmärkningar som grundlagsutskottet framfört i sitt utlåtande och behoven att utreda EU-regleringen. 
Bestämmelserna om sekretess
Koncentrering av regleringen till offentlighetslagen och strukturen hos skadeståndsklausulen
I propositionen föreslås att 24 § 1 mom. i lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen) ändras så att de särskilda sekretessgrunder som riktas till migrationen samlas i offentlighetslagen (lagförslag 8). Enligt motiven ska bestämmelserna också preciseras innehållsmässigt. Förslaget innebär i praktiken att den sekretessreglering som för närvarande delas in i offentlighetslagen och utlänningsregisterlagen i sin helhet koncentreras till offentlighetslagen. Det föreslås att lagen om utlänningsregistret ska upphävas (lagförslag 1). 
Grundlagsutskottet har i sitt utlåtande bedömt 24 § 1 mom. 24 punkten i offentlighetslagen som föreslås i propositionen. Utöver konstitutionella och andra anmärkningar som gäller materiella innehåll har utskottet också fäst uppmärksamhet vid bestämmelsens struktur. Grundlagsutskottet menar att bestämmelsen i 24 § 1 mom. 24 punkten i offentlighetslagen om sekretess för förvaltningsbeslut endast om det inte är uppenbart att utlämnandet av uppgifter ur handlingarna inte äventyrar säkerheten för parten eller en parten närstående är tämligen svårtolkad. Enligt utlåtandet bör förvaltningsutskottet noggrant granska hur skaderekvisitet, som grundar sig på ett krav på uppenbarhet och på en flerfaldig negation, låter sig tillämpas i praktiken. Vid behov bör förvaltningsutskottet förtydliga regleringen. 
Som avslutning på sitt utlåtande konstaterar grundlagsutskottet som sin uppfattning att när det som i det nu aktuella ärendet föreslås synnerligen betydande ändringar i offentlighetslagens sekretessbestämmelser vore den bästa lösningen att ändringsbehovet bedöms och genomförs som en del av en mer övergripande översyn av offentlighetslagens bestämmelser. 
Förvaltningsutskottet anser att utgångspunkten i regeringens proposition om att samla sekretessbestämmelserna om migrationsförvaltningen i offentlighetslagen är motiverad. Att koncentrera regleringen till offentlighetslagen är tydligast för den som tillämpar lagen. Syftet med propositionen har varit att i så stor utsträckning som möjligt hålla regleringens nuläge oförändrat. Med beaktande av grundlagsutskottets utlåtande kan en bestämmelse som motsvarar 11 § i lagen om utlänningsregistret inte utan svårighet överföras till lagen om behandling av personuppgifter inom migrationsförvaltningen utan ändringar. Enligt förvaltningsutskottet är det inte heller ändamålsenligt att de sekretessbestämmelser som ingår i lagen förblir i kraft när utlänningsregisterlagen upphävs. Vid reformen av lagstiftningen om hantering av personuppgifter inom Migrationsförvaltningen är det skäl att också beakta att riksdagen i samband med stiftandet av offentlighetslagen har förutsatt att regeringen ser till att man i framtiden förhåller sig restriktivt till att bestämmelserna om sekretess för myndigheternas uppgifter tas in i speciallagstiftningen (FvUB 31/1998 rdRSv 303/1998 rd, se även GrUU 62/2018 rd). 
Förvaltningsutskottet konstaterar att skadeståndsklausulen som baserar sig på en presumtion om sekretess i 24 § 1 mom. i den gällande offentlighetslagen (3, 7, 9, 10, 21, 24 och 28 punkten) i enlighet med 17 § 2 mom. i offentlighetslagen har formulerats enligt en struktur som baserar sig på kravet på tydlighet och på negation. Enligt förarbetena till offentlighetslagen (RP 30/1998 rd, s. 88, GrUU 43/1998 rd, s. 4) har absolut sekretess på grund av handlingens beskaffenhet dock inte ansetts nödvändigt på alla punkter, eftersom ett sådant förfarande lätt kunde medföra onödig sekretess i ärenden där den offentliga maktutövningen bör kunna övervakas. För att förhindra detta förutsätts det i flera bestämmelser att myndigheten från fall till fall prövar om utlämnande av en viss handling skulle medföra olägenhet (skaderekvisit). I detta fall innehåller sekretessbestämmelsen en s.k. klausul om skaderekvisit. Klausulerna har formulerats på två olika sätt. Den ena formuleringen är att en handling ska vara sekretessbelagd om utlämnande av uppgifter skadar intressen som skyddas. Formuleringen innebär ett antagande att handlingen är offentlig. Om klausulen däremot förutsätter att det är uppenbart att utlämnande av uppgifter inte skadar några intressen som ska skyddas är antagandet att handlingen är sekretessbelagd. Förvaltningsutskottet har i sitt betänkande (FvUB 31/1998 rd) ytterligare preciserat innehållet i tolkningen av olika klausuler om skaderekvisit. Enligt dessa klausuler är sekretessen beroende av vilka konsekvenser utlämnandet av uppgifter har. I vissa klausuler är presumtionen att informationen är offentlig, varvid informationen kan lämnas ut endast om utlämnandet av informationen just i en sådan situation skulle ha en sådan skadlig effekt som avses i bestämmelsen. När presumtionen är tystnadsplikt, får informationen lämnas endast om det inte är uppenbart att en sådan skadlig följd som avses i bestämmelsen inte uppstår. I dessa fall kan informationen lämnas endast om det är uppenbart att utlämnandet av informationen just i en sådan situation inte medför sådana skadliga följder som avses i bestämmelsen. 
Förvaltningsutskottet konstaterar att även 24 § 1 mom. 24 punkten i offentlighetslagen har formulerats utifrån kravet på tydlighet och dubbel negation. Formuleringen har ingått i bestämmelsen sedan offentlighetslagen trädde i kraft. Utskottet anser att formuleringen av en klausul om presumtion om tystnadsplikt som baserar sig på kravet på offentlighet och på negation är en grundläggande lösning i offentlighetslagen och att det är ändamålsenligt att bedöma den i samband med totalreformen av offentlighetslagen. Därför föreslår utskottet att skadeståndsklausulen formuleras på ett vedertaget sätt. Eftersom propositionens syfte är att bevara nuläget för regleringen, undviker man genom att hålla fast vid klausulens vedertagna form också eventuella praktiska tolkningsoklarheter till följd av omformuleringen. Olika klausuler om skaderekvisit kan bedömas noggrannare i samband med totalreformen av offentlighetslagstiftningen. 
Grund för sekretess
Sekretessbelagda är enligt föreslagna 24 § 1 mom. 24 punkten i offentlighetslagen handlingar som innehas av Migrationsverket, av polisen, av Gränsbevakningsväsendet, av statliga regionförvaltningsmyndigheter som handlägger arbetstagares och företagares ansökningar om uppehållstillstånd och av utrikesförvaltningen, och som gäller handläggning av och beslutsfattande och tillsyn i ärenden som gäller en utlännings inresa och utresa eller vistelse i landet eller förvärv, behållande, förlust av eller befrielse från finskt medborgarskap eller bestämmande av medborgarskapsstatus, om det inte är uppenbart att utlämnandet av uppgifter ur handlingarna inte orsakar skada eller olägenhet för parten eller partens närstående. Förvaltningsbeslut som gäller dessa ärenden är dock sekretessbelagda endast om det inte är uppenbart att utlämnandet av uppgifter om dem inte äventyrar säkerheten för parten eller partens närstående. 
Grundlagsutskottet har i sitt utlåtande påpekat att det som föreskrivs om handlingars offentlighet i 12 § 2 mom. i grundlagen innebär att handlingars offentlighet enligt grundlagen kan begränsas endast genom lag och endast när det finns tvingande skäl till det. Enligt utskottet handlar det alltså inte om att grundlagen exempelvis tillåter att rättighetens innehåll regleras genom lag utan att lagstiftaren endast får dra upp sådana gränser för offentligheten som kan anses nödvändiga enligt grundlagen (GrUU 43/1998 rd). 
Enligt grundlagsutskottet motiveras sekretessen i propositionens motiv till lagstiftningsordning av orsaker som i sig är godtagbara och som har samband med skyddet för privatlivet enligt 10 § i grundlagen, rättsskyddet enligt 21 § i grundlagen och i extrema fall även med den personliga säkerheten enligt 7 § i grundlagen. Utskottet anser dock att de synpunkter som framförs inte nödvändigtvis kräver sekretess i den omfattning som föreslås. Enligt utskottets uppfattning innebär den föreslagna regleringen en principiell sekretess som gäller nästan hela förvaltningsområdet och som baserar sig på en presumtion om sekretess. 
Särskilt problematiskt har grundlagsutskottet ansett det vara att man i den föreslagna regleringen utvidgar den sekretesspresumtion som definieras i 24 § 1 mom. 24 punkten i den gällande offentlighetslagen genom att föreskriva att avvikelse från handlingens sekretess är beroende av den skada eller rentav enbart olägenhet som dess offentlighet orsakar. I 24 § 1 mom. 24 punkten i den gällande offentlighetslagen har avvikelse från sekretess för handlingarna i fråga kopplats till äventyrande av en persons säkerhet, vilket är en väsentligt snävare och mer noggrant avgränsad grund för sekretess än det föreslagna kriteriet som grundar sig på olägenhet eller skada. Också i den nu föreslagna regleringen ska en klausul om skaderekvisit tillämpas på begränsning av förvaltningsbeslutens offentlighet. Grunden för sekretess är då äventyrande av säkerheten för parten eller partens närstående. Utvidgningen av sekretessen för andra handlingar motiveras till denna del närmast med en hänvisning till en bestämmelse i utlänningsregisterlagen, som föreslås bli upphävd. 
Grundlagsutskottet har i sitt utlåtande GrUU 62/2018 rd bedömt en liknande bestämmelse som föreslås i migrationsförvaltningens personuppgiftslag. Enligt utskottet var det nödvändigt att klarlägga bestämmelsens innehållet och dess förhållande till offentlighetslagen. Trots att sekretessbestämmelsen nu i sig har tagits in på behörigt sätt i offentlighetslagen (RSv 303/1998 rd, FvUB 31/1998 rd, se även GrUU 2/2008 rd), anser grundlagsutskottet att det i propositionen inte har framförts en sådan nödvändig grund för att utvidga skaderekvisitet i den föreslagna 24 § 1 mom. 24 punkten som förutsätts i 12 § 2 mom. i grundlagen. Utskottet har ansett att det är att det är särskilt problematiskt att huvudregeln om handlingars offentlighet i grundlagen kan åsidosättas enbart på grund av att offentlighet medför olägenhet. Omnämnandet av den olägenhet som utlämnandet av uppgifter kan orsaka måste strykas ur bestämmelsen. Bestämmelsen måste också preciseras väsentligt exempelvis genom närmare definition av de ur grundlagssynpunkt godtagbara intressen utifrån vilka skadan kan bedömas. Utan dessa ändringar kan lagförslag 8 enligt grundlagsutskottet inte behandlas i vanlig lagstiftningsordning. 
Förvaltningsutskottet föreslår med hänvisning till grundlagsutskottets utlåtande att omnämnandet av den olägenhet som utlämnandet av uppgifter medför stryks i föreslagna 24 § 1 mom. 24 punkten i offentlighetslagen. 
Förvaltningsutskottet har fått en utredning där man har övervägt konstitutionellt godtagbara intressen med tanke på vilka den skada som en individ orsakas av att uppgifterna är offentliga kan bedömas samt granskat förutsättningarna att begränsa sekretessens tidsmässiga omfattning och dess handlings- eller uppgiftsspecifika tillämpningsområde. Enligt utredningen har man dock inte påvisat sådana intressen som är direkt godtagbara med tanke på de grundläggande fri- och rättigheterna och med tanke på vilka det skulle vara möjligt att föreskriva tillräckligt noggrant avgränsat och proportionerligt om den skada som en individ orsakas av att uppgifterna är offentliga. Förvaltningsutskottet föreslår således att man i nämnda 24 punkt slopar bestämmelserna i 11 § i den gällande lagen om utlänningsregistret också i fråga om skada som en part eller en närstående till en part orsakas av handlingars offentlighet. 
Som grund för sekretess i 24 punkten kvarstår således på motsvarande sätt som i den gällande offentlighetslagen äventyrande av säkerheten. Samtidigt blir indelningen i förvaltningsbeslut och andra handlingar onödig i bestämmelsen. Förvaltningsutskottet hänvisar till det som anges nedan. 
Begränsningar av sekretessen
I den 24 punkt som föreslås i propositionen ingår en formulering som avgränsar bestämmelsens tillämpningsområde till att gälla endast vissa myndighetshandlingar inom migrationsförvaltningen. Avgränsningen av myndighetskretsen har behövts för att den föreslagna bestämmelsen ska vara proportionerlig och för att balansen mellan handlingars offentlighet och skyddet för personuppgifter ska bevaras. Tillämpningsområdet för bestämmelsen i den gällande lagen har inte begränsats, och det kan inte längre anses nödvändigt att begränsa tillämpningsområdet på nämnda sätt efter att rekvisiten för skada och olägenhet har strukits. Utgångspunkten för offentlighetslagen är att sekretessgrunderna till sitt tillämpningsområde har formulerats allmänt så att de enligt huvudregeln inte innehåller en förteckning över de myndigheter som innehar handlingar som är sekretessbelagda (allmängiltighet för sekretessgrunder). Ett undantag från det allmängiltiga utgörs endast av vissa bestämmelser om integritetsskydd, vars utsträckande till alla handlingar skulle begränsa offentligheten alltför mycket (RP 30/1998 rd). 
Med stöd av det som konstaterats ovan föreslår förvaltningsutskottet att avgränsningen av myndighetskretsen stryks ur bestämmelsen. Den föreslagna 24 punkten blir tillämplig också till exempel när förvaltningsdomstolen eller högsta förvaltningsdomstolen behandlar handlingar som avses i bestämmelsen. 
Grundlagsutskottet har i sitt utlåtande också noterat regeringens förslag att i propositionen precisera den grupp handlingar som hör till tillämpningsområdet för nämnda 25 punkt så att sekretessen gäller handlingar ”som innehåller uppgifter om en utlännings inresa, vistelse, utresa eller förvärv, behållande, förlust av eller befrielse från finskt medborgarskap eller bestämmande av medborgarskapsstatus sekretessbelagda”. Utskottet anser att en sekretess som principiellt gäller nästan all verksamhet inom migrationsförvaltningen och som är baserad på en sekretesspresumtion svårligen låter sig förenas med offentlighetsprincipen. En sådan sekretess kan rentav som helt bakvänd jämfört med 12 § 2 mom. i grundlagen (se även GrUU 4/2014 rd, GrUU 40/2005 rd, s. 3). Enligt utskottet är migrationsförvaltningens handlingar föremål för informationsbehov som är motiverade med tanke på offentlighetsprincipen. Behoven hänför sig bland annat till förutsättningarna för offentlig debatt och utbyte av åsikter, bedömningen av hur god förvaltning och rättssäkerhet tillgodoses samt övervakningen av användningen av offentliga medel. Enligt grundlagsutskottets utlåtande måste förvaltningsutskottet precisera och avgränsa bestämmelserna om tillämpningsområdet för sekretess för handlingar. 
Förvaltningsutskottet konstaterar att bestämmelsen i fråga är tämligen vag och lämnar rum för tolkning. Utskottet föreslår på det sätt som närmare anges i detaljmotiveringen att 24 punkten preciseras och avgränsas till myndighetshandlingar som gäller behovet av internationellt skydd, förutsättningarna för utlänningars inresa och uppehållsrätt i landet eller grunderna för dessa, erhållande eller förlust av finskt medborgarskap eller bestämmande av medborgarskapsstatus. 
Bestämmelsen i utskottets förslag, liksom också i propositionen, skiljer sig från 24 § 1 mom. 24 punkten i offentlighetslagen närmast på så sätt att medan den gällande bestämmelsen är bunden till sekretessen för handlingar som gäller vissa persongrupper, har den föreslagna bestämmelsen fästs vid vissa handlingar som behandlas närmast inom migrationsförvaltningen. Handlingar enligt den föreslagna bestämmelsen gäller enligt huvudregeln de persongrupper som nämns i den gällande bestämmelsen. Den föreslagna bestämmelsen omfattar dock också de ärendegrupper och persongrupper inom migrationsförvaltningen som nämns i propositionsmotiven och för vilkas säkerhet det inte funnits någon skyddande sekretessgrund som är förenlig med den gällande lagen. Det är motiverat att skydda en persons säkerhet på lika grunder oberoende av på vilket sätt ärendet aktualiseras eller vilken ärendegrupp det tillhör. 
Intressen som ska skyddas genom sekretess är fortfarande rätten till liv samt personlig frihet, integritet och säkerhet för envar enligt 7 § i grundlagen. Det är nödvändigt att även i fortsättningen skydda dessa uppgifter t.ex. från myndigheterna i en främmande stat eller sammanslutningar som är verksamma i dessa eller i Finland samt från enskilda personer som kan äventyra en persons säkerhet i Finland eller någon annanstans. Bestämmelsens proportionalitet förverkligas genom en klausul om skaderekvisit som är bunden till presumtionen om sekretess. 
Föreslagna 24 § 1 mom. 31 c punkten i offentlighetslagen
Förvaltningsutskottet konstaterar att 24 punkten, som omformulerats på det sätt som beskrivs ovan, till sitt tillämpningsområde närmar sig den föreslagna bestämmelsen i 24 § 1 mom. 31 c punkten i offentlighetslagen. I nämnda 31 c punkt har klausulen om skaderekvisit dock, med avvikelse från 24 punkten, en offentlighetspresumtion. Bestämmelsen gör det i enlighet med propositionen möjligt att exempelvis hemlighålla identiteten hos en person som får internationellt skydd på grund av att hans eller hennes egen eller en närstående persons säkerhet äventyras i situationer där hans eller hennes personuppgifter behandlas hos andra myndigheter än migrationsförvaltningen. Bestämmelsen om sekretess för uppgifter om flyktingar, asylsökande, viseringssökande och sökande av uppehållstillstånd i 24 § 1 mom. 24 punkten i den gällande offentlighetslagen har kunnat tillämpas också på andra handlingar än sådana som avses i den föreslagna 24 punkten och som normalt behandlas inom migrationsförvaltningen. Därför behövs det utöver den föreslagna 24 punkten fortfarande även sekretessbestämmelsen i 31 c punkten som är oberoende av dokumenttyp. Offentlighetspresumtionen säkerställer bestämmelsens proportionalitet. 
DETALJMOTIVERING
1. Lag om behandling av personuppgifter i migrationsförvaltningen
1 §. Lagens tillämpningsområde och ändamålet med behandlingen av personuppgifter.
Enligt förslaget ska lagen om behandling av personuppgifter inom migrationsförvaltningen tillämpas när personuppgifter behandlas i syften enligt 1 §. Enligt 1 mom. 6 punkten i propositionen är ett sådant ursprungligt syfte som avses i lagen att sörja för den nationella säkerheten. 
Förvaltningsutskottet har ovan i sina allmänna överväganden ansett det motiverat att skyddet av den nationella säkerheten bevaras som det ursprungliga ändamålet med behandlingen av personuppgifter, vilket också stämmer överens med den gällande lagen om utlänningsregistret. För att förtydliga regleringen föreslår utskottet dock att paragrafen ändras så att bestämmelserna om behandling av personuppgifter i syfte att skydda den nationella säkerheten flyttas från 1 mom. till ett nytt 2 mom. När personuppgifter behandlas för ändamål som anges i 1 mom. 1 eller 2 punkten, behandlas de enligt förslaget till nytt 2 mom. dessutom också för att skydda den nationella säkerheten. Ändringen innebär att med avvikelse från propositionen begränsas skyddet av den nationella säkerheten som ursprungligt behandlingsändamål till behandling av och beslutsfattande och övervakning i ärenden som gäller utlänningars inresa och utresa samt vistelse samt till behandling och beslutsfattande i ärenden som gäller förvärv, bibehållande, förlust av och befrielse från finskt medborgarskap samt bestämmande av medborgarskapsstatus. Till denna del motsvarar den föreslagna regleringen den gällande utlänningsregisterlagen, där tryggandet av statens säkerhet har föreskrivits som ett ursprungligt behandlingsändamål. 
Uppgifterna i utlänningsregistret är viktiga med tanke på statens säkerhet och för att avvärja en gärning som allvarligt hotar Finlands säkerhet. Skyddet av den nationella säkerheten har ett väsentligt samband med just processerna för behandling av ärenden som gäller uppehållstillstånd, medborgarskap och visum. Däremot kan det inte anses att skyddet av den nationella säkerheten på motsvarande sätt som i 1 mom. 1 och 2 punkten hänför sig till andra behandlingsändamål enligt momentet, även om de uppgifter som behandlas i dessa syften naturligtvis i enskilda fall annars kan vara viktiga för att skydda den nationella säkerheten. 
För att skydda den nationella säkerheten är det viktigt att se till att de personer som utgör ett hot mot den kan identifieras i ett så tidigt skede som möjligt och att man vid behov kan ingripa i deras vistelse på det sätt som föreskrivs i lagen. Ett hot mot den nationella säkerheten är en av de faktorer som avses i utlänningslagen och på basis av vilken en person kan vägras inresa eller avlägsnas ur landet. På motsvarande sätt är äventyrande av den nationella säkerheten en grund för att inte bevilja en sådan person visum vars inresa kan utgöra ett sådant hot. 
Enligt propositionen avses med skydd av den nationella säkerheten i lagen om behandling av personuppgifter inom migrationsförvaltningen inte bara skyddspolisens skyldighet att skydda statens säkerhet, utan också myndigheternas allmänna skyldighet att som en del av sina lagstadgade uppgifter säkerställa att den nationella säkerheten tryggas. Migrationsverkets och utrikesministeriets primära uppgift är inte att sörja för skyddet av den nationella säkerheten, och deras möjligheter att självständigt ta ställning till om en sökande i ett enskilt fall äventyrar den nationella säkerheten är mycket begränsade. De är dock skyldiga att beakta aspekter som kan äventyra den nationella säkerheten när de fattar beslut i frågor som gäller invandring. Därför har den myndighet som ansvarar för tryggandet av den nationella säkerheten, dvs. skyddspolisen, som i egenskap av den enda civila myndigheten som har underrättelseinformation till sitt förfogande, ålagts ett omfattande remissansvar i förhållande till de myndigheter som ansvarar för invandring och visering. Det är framför allt fråga om myndighetssamarbete i en och samma process, där informationsutbytet och samarbetet ska vara effektivt. Motsvarande arbetsfördelning mellan tillstånds- och utlåtandemyndigheterna iakttas också i andra europeiska stater. Utöver uppgiften att lämna utlåtande har polisen i utlänningslagen också ålagts flera andra uppgifter som anknyter till skyddet av den nationella säkerheten. 
För att skyddspolisens uppgift att skydda den nationella säkerheten ska kunna fullgöras måste skyddspolisen har möjlighet att söka i och behandla personuppgifter om invandring också annat än i samband med utlåtanden. I fråga om skyddspolisens rätt att få uppgifter föreskrivs särskilt. Med hjälp av uppgifterna i registret kan man upptäcka och identifiera personer som inte tidigare varit kända för skyddspolisen och som har anknytning till t.ex. terroristverksamhet. En tillräckligt omfattande och tillförlitlig identifiering av personer med anknytning till terroristverksamhet är en förutsättning för skyddspolisens fortsatta informationsinhämtning om personerna i fråga och för att förteckningen över personer som är föremål för bekämpning av terrorism och den sammantagna bilden av situationen ska vara aktuella. Identifieringen av en person som en person som äventyrar den nationella säkerheten kan också leda till någon process enligt utlänningslagen, såsom utvisning. 
Till följd av den föreslagna ändringen avgränsas tillämpningsområdet för lagen om behandling av personuppgifter i polisens verksamhet (616/2019, nedan polisens personuppgiftslag) och lagen om behandling av personuppgifter inom migrationsförvaltningen noggrant i fråga om skyddet av den nationella säkerheten. Enligt 46 § 1 mom. i polisens personuppgiftslag föreskrivs i 7 kap. i den lagen om behandling av sådana personuppgifter enligt 1 § 1 mom. i polisens personuppgiftslag som behövs för skötseln av skyddspolisens uppgifter enligt 10 § i polisförvaltningslagen (110/1992). Enligt 48 § 1 mom. i polisens personuppgiftslag får skyddspolisen behandla personuppgifter som behövs för att skydda den nationella säkerheten, för att förhindra, avslöja och utreda verksamhet, förehavanden som hotar stats- och samhällsordningen eller statens säkerhet samt för att förhindra och avslöja brott som hotar stats- och samhällsordningen eller statens säkerhet. Skyddspolisen är med stöd av 47 § personuppgiftsansvarig för dessa personuppgifter. När skyddspolisen bereder ett utlåtande i ett utlänningsärende med stöd av 8 § i polisförvaltningsförordningen ska i princip polisens personuppgiftslag tillämpas. Skyddspolisen lagrar alltså i sitt ovannämnda register uppgifter om sådana målpersoner som skyddspolisen har behov av att rikta informationsinhämtning eller andra åtgärder mot. 
I och med den föreslagna ändringen blir lagen om behandling av personuppgifter inom migrationsförvaltningen tillämplig i de situationer där personuppgifter med stöd av 1 § 2 mom. behandlas för behandlingsändamål enligt 1 § 1 mom. 1 och 2 punkten för att skydda den nationella säkerheten. De uppgifter som behandlas för dessa ändamål registreras vid behov med stöd av 3 och 5 § i ärendehanteringssystemet för utlänningsärenden eller i det nationella informationssystemet för viseringar. Inom tillämpningsområdet för den föreslagna lagen begränsas behandlingen av personuppgifter för att skydda den nationella säkerheten till sådan behandling av personuppgifter som sker i dessa informationssystem. De uppgifter som ska registreras kan t.ex. hänföra sig till skyddspolisens utlåtanden eller andra anteckningar i registren som skyddspolisen gör i samband med skötseln av de uppgifter som föreskrivs i utlänningslagen eller medborgarskapslagen. 
För att bevara nuläget och förtydliga regleringen anser utskottet det motiverat att avgränsa de behandlingsändamål där det ursprungliga ändamålet med behandlingen av personuppgifter dessutom är att skydda den nationella säkerheten och att tydligt föreskriva om detta behandlingsändamål i ett eget moment. 
I överensstämmelse med detta tillämpas enligt bestämmelsen i det nya 3 mom. lagen om behandling av personuppgifter i migrationsförvaltningen dessutom på rätten att behandla och få uppgifter om juridiska personer för ändamål enligt paragrafens 1 mom. Eftersom den föreslagna lagen gäller behandling av uppgifter om fysiska personer, är syftet med den föreslagna bestämmelsen att beakta att behandlingen av en fysisk persons ärende också kan kräva tillgång till och behandling av uppgifter om en juridisk person. Bestämmelser om rätten att få uppgifter trots sekretessbestämmelserna finns i den föreslagna 13 §. 
Inte heller den rätt att få uppgifter som föreskrivs i den gällande lagen om utlänningsregistret begränsar sig enbart till personuppgifter. Exempelvis den personuppgiftsansvariges rätt enligt 8 § att få uppgifter av Skatteförvaltningen har också gjort det möjligt att få uppgifter om juridiska personer. Det är nödvändigt att bibehålla den nuvarande rätten att få uppgifter för att Migrationsverket, arbets - och näringsbyrån och närings -, trafik - och miljöcentralen ska kunna sköta sina lagstadgade uppgifter inom migrationsförvaltningen. Myndigheterna i fråga kan inte göra tillstånds - och medborgarskapsprövning eller övervakning, om de inte har tillgång till exempelvis beskattningsuppgifter om en juridisk person som sysselsatt en utlänning. Enligt den föreslagna lagen har Migrationsverket med stöd av den rätt att få uppgifter som föreskrivs i 13 § rätt att av Skatteförvaltningen få också uppgifter om juridiska personer för att med hjälp av fullgöranderapporten bedöma om försörjningsförutsättningen uppfylls. Utskottet anser att det av ovan nämnda skäl är nödvändigt att föreskriva en sådan rätt att få information. 
Med avseende på den som tillämpar lagen kan information om att den föreslagna lagen också innehåller bestämmelser om juridiska personer anses vara motiverad i detta fall. Utskottet föreslår dock att bestämmelsens formulering ses över. 
2 §. Förhållande till annan lagstiftning.
Med hänvisning till vad som framställs i den allmänna motiveringen föreslår utskottet att paragrafen ändras så att det tydligt framgår hur den föreslagna lagen förhåller sig till den allmänna lagstiftningen om behandling av personuppgifter. Enligt det föreslagna 1 mom. tillämpas dataskyddslagen för brottmål på den behandling av personuppgifter som skyddspolisen utför med stöd av denna lag, om inte något annat föreskrivs i denna lag. Bestämmelser om behandling av personuppgifter som andra myndigheter som avses i denna lag utför med stöd av denna lag finns i dataskyddsförordningen och dataskyddslagen. 
För tydlighetens skull konstaterar utskottet att till exempel på polisens övervakning av utlänningar tillämpas personuppgiftslagen inom migrationsförvaltningen när det är fråga om utförande av uppgifter enligt utlänningslagen. Polisens personuppgiftslag tillämpas å sin sida i situationer där övervakningen av utlänningar utförs som en del av polisens lagstadgade uppgifter som omfattas av tillämpningsområdet för lagen om dataskydd i brottmål. 
Utskottet betonar dessutom att det i polisens personuppgiftslag med stöd av 131 § i utlänningslagen föreskrivs om behandling av identifieringsuppgifter om utlänningar som förs in i polisens register. Till denna del tillämpas som allmän lag lagen om dataskydd i brottmål. 
3 §. Gemensamt personuppgiftsansvariga.
På de grunder som anges i allmänna motiven föreslår utskottet att gemensamt personuppgiftsansvar slopas och att migrationsförvaltningens myndigheter ska definieras som separata personuppgiftsansvariga. I den nu aktuella 3 § samlas bestämmelserna om personuppgiftsansvariga och ansvarsfördelningen i systemet för behandling av utlänningsärenden. Paragrafen måste därför omformuleras helt. Det föreslås att paragrafens rubrik ändras till ”Personuppgiftsansvariga och ansvarsfördelningen i ärendehanteringssystemet för utlänningsärenden”. 
I 1 mom. föreslås bestämmelser om vilka uppgifter som behandlas för behandlingsändamål enligt 1 § i lagen som ska registreras i ärendehanteringssystemet för utlänningsärenden. Behandlingsändamålen begränsar typen av uppgifter som ska föras in i systemet eftersom de preciserar datainnehållet. Bestämmelser om de uppgifter om behandling av och beslut om viseringar som ingår i det nationella informationssystemet för viseringar finns i 5 § i lagförslaget. 
Paragrafens 2 mom. innehåller bestämmelser om i vilka syften enligt 1 § varje personuppgiftsansvarig får behandla uppgifter i ärendehanteringssystemet för utlänningsärenden. Bestämmelserna utgår från respektive myndighets lagfästa uppgifter. I momentet föreskrivs det inte om utlämnande av uppgifter mellan de personuppgiftsansvariga och den personuppgiftsansvarige får inte tillgång till uppgifter som registrerats av andra personuppgiftsansvariga med stöd av 2 mom., utan bestämmelser om rätten att få uppgifter mellan de personuppgiftsansvariga i systemet finns i 11 §. I det föreslagna 2 mom. föreskrivs om myndigheternas rätt att behandla uppgifter som de själva fört in. Detta gäller också uppgifter som erhållits och lagrats efter att de utlämnats av någon annan. 
Jämfört med myndighetsförteckningen i det föreslagna 3 § 1 mom. i propositionen är det i det föreslagna 2 mom. nödvändigt att närmare specificera myndigheterna så att uttrycken motsvarar offentlighetslagen och agen om informationshantering inom den offentliga förvaltningen (906/2019, nedan informationshanteringslagen). I regleringen ska också principen om att myndigheterna är åtskilda beaktas. På så sätt kan också ändamålen med behandlingen av uppgifter definieras närmare. Av dessa orsaker föreslås det att ordet Polisstyrelsen ersätts med ordet polis, och dessutom skiljs polisen och skyddspolisen tydligare från varandra genom att det särskilt föreskrivs om dem som egna punkter. Orden förläggningar och flyktingslussar ändras till singularis och separeras tydligare från varandra genom att det föreskrivs om dem som separata punkter. Ordet förvarsenheter ändras till singularis. Ordet utrikesförvaltning ersätts med orden utrikesministeriet och beskickningen, och det föreslås att bestämmelser om dem utfärdas separat som skilda punkter. Dessutom ändras de plurala termerna närings-, trafik- och miljöcentralerna samt arbets- och näringsbyråerna till singularis. 
Syftet med preciseringen av de personuppgiftsansvariga är att de skyldigheter och det ansvar som hänför sig till uppgifter riktas mot rätt aktör. De myndigheter som i propositionen föreslås bli personuppgiftsansvariga behandlar personuppgifter för ändamål som ingår i tillämpningsområdet för lagen om behandling av personuppgifter inom migrationsförvaltningen enligt den behörighet lagstiftning ger och med utövning av prövningsrätt. I praktiken genomför dessa myndigheter de nödvändiga behandlingsåtgärderna i ärendehanteringssystemet för utlänningsärenden och registrerar uppgifterna i det systemet. 
Dessutom finns det flera myndigheter som lämnar ut uppgifter till ärendehanteringssystemet för utlänningsärenden utan att vara personuppgiftsansvariga. Det är fråga om en sådan situation exempelvis när man med stöd av 65 § i utlänningslagen utreder familjeband med hjälp av DNA-undersökning och Institutet för hälsa och välfärd i egenskap av DNA-forskare överlåter sitt utlåtande i sitt eget system till Migrationsverket genom att registrera det i ärendehanteringssystemet för utlänningsärenden. På motsvarande sätt registreras ett beslut som fattats i det egna systemet i ärendehanteringssystemet för utlänningsärenden av högsta förvaltningsdomstolen eller förvaltningsdomstolen. Vid lagring av ett sådant utlåtande eller beslut är det fråga om utlämnande av uppgifter med stöd av rätten att få uppgifter enligt 13 § 1 mom. i lagförslaget. I 22 § i informationshanteringslagen föreskrivs om utlämnande av uppgifter mellan myndigheter med hjälp av ett tekniskt gränssnitt. 
Enligt utredning till utskottet definieras också diskrimineringsombudsmannens ställning på motsvarande sätt. Enligt utredningen behandlar diskrimineringsombudsmannen inte personuppgifter i ärendehanteringssystemet för utlänningsärenden för ändamål som omfattas av tillämpningsområdet för den föreslagna lagen. Ärendehanteringssystemet för utlänningsärenden innehåller således inte sådana uppgifter som diskrimineringsombudsmannen ska ansvara för i egenskap av personuppgiftsansvarig. Däremot är det ytterst viktigt att trygga diskrimineringsombudsmannens heltäckande och smidiga rätt att få information och tillgodoseendet av den. Utskottet anser att den omfattande och heltäckande rätt att få uppgifter som föreskrivs i 4 § i lagen om diskrimineringsombudsmannen (1326/2014) säkerställer diskrimineringsombudsmannens tillgång till information i synnerhet när man i den föreslagna lagen har strävat efter att förtydliga bestämmelserna om utbyte av information. Utskottet anser det vara viktigt att diskrimineringsombudsmannens lagenliga rätt att få uppgifter förverkligas också i praktiken. 
I 3 mom. föreskrivs det om hur den personuppgiftsansvariges ansvar bestäms. Var och en av de myndigheter som nämns i 2 mom. är registeransvarig för ärendehanteringssystemet i utlänningsärenden i fråga om de uppgifter som de lagrat. Med detta avses också uppgifter som erhållits och lagrats efter att de utlämnats av någon annan. Personuppgiftsansvarig för de uppgifter som polisen fört in är Polisstyrelsen och personuppgiftsansvarig för de uppgifter som Gränsbevakningsväsendet fört in är staben för Gränsbevakningsväsendet. Det föreslås ett undantag från denna huvudregel på det sätt som beskrivs nedan i sista meningen i 3 mom. Bestämmelser om den personuppgiftsansvariges skyldigheter finns i dataskyddsförordningen och dataskyddslagen samt i dataskyddslagen för brottmål. Personuppgiftsansvaret bestämmer vilken behörig myndighet som svarar för och beslutar också om behandlingen av handlingar i enlighet med offentlighetslagen. 
Polisen lagrar och lämnar ut personuppgifter på olika sätt i olika situationer i ärendehanteringssystemet för utlänningsärenden och i det nationella informationssystemet för viseringar. Exempelvis polisens behandling av personuppgifter i samband med avlägsnande ur landet är i sin helhet en process som polisen utför i ärendehanteringssystemet för utlänningsärenden. Å andra sidan överförs uppgifter också från polisens egna informationssystem till detta system. 
Ur polisens synvinkel utgörs en av de viktigaste ärendegrupper som behandlas i ärendehanteringssystemet för utlänningsärenden av ansökningar om internationellt skydd, i fråga om vilka polisen lagrar uppgifterna i ansökan. En del av de uppgifter som ingår i de ansökningar som polisen tar emot överförs till ärendehanteringssystemet för utlänningsärenden från informationssystemet för polisärenden. Polisen registrerar dock en del av uppgifterna direkt i ärendehanteringssystemet för utlänningsärenden. För behandlingen och beslutsfattandet efter det att en ansökan om internationellt skydd har registrerats svarar Migrationsverket, vars lagstadgade uppgifter ärendet hör till. 
Det är inte ändamålsenligt att ansvaret för registerföringen av uppgifter om en ansökan om internationellt skydd riktas till polisen, eftersom polisens uppgifter i asylprocessen i huvudsak begränsar sig till mottagande av ansökningar och delgivning av Migrationsverkets beslut. Migrationsverket svarar i enlighet med utlänningslagen för behandlingen och beslutsfattandet efter att ansökningarna har lagrats. Det är motiverat att personuppgiftsansvaret fastställs på motsvarande sätt också i fråga om de personuppgifter i en ansökan om internationellt skydd som Gränsbevakningsväsendet har fört in. Bestämmelser om detta föreslås i sista meningen i 3 mom. Bestämmelser om polisens och Gränsbevakningsväsendets skyldighet att registrera en ansökan om internationellt skydd finns i 95 § 3 mom. i utlänningslagen. Migrationsverkets rätt att få uppgifter om registreringsuppgifter grundar sig på 13 § 1 mom. i den föreslagna lagen. 
Enligt 4 mom. svarar Migrationsverket för ärendehanteringssystemet för utlänningsärenden i enlighet med informationshanteringslagen. Enligt 1 § i informationshanteringslagen är lagens syfte att säkerställa en enhetlig och kvalitativ hantering samt informationssäker behandling av myndigheternas informationsmaterial så att offentlighetsprincipen förverkligas, att möjliggöra ett tryggt och effektivt utnyttjande av myndigheternas informationsmaterial så att myndigheterna i enlighet med god förvaltningssed kan sköta sina uppgifter och tillhandahålla förvaltningskunderna tjänster på ett kvalitativt sätt och med gott resultat och att främja interoperabiliteten mellan informationssystem och informationslager. De ansvar och skyldigheter som föreskrivits för informationshanteringsenheten avser organiseringen av de personuppgiftsansvarigas uppgifter på det sätt som föreskrivs i informationshanteringslagen. Migrationsverket svarar till exempel i enlighet med 16 § i informationshanteringslagen för fastställandet av åtkomsträttigheterna till ärendehanteringssystemet för utlänningsärenden på begäran av var och en av de personuppgiftsansvariga. Migrationsverket ansvarar också för upprätthållandet och utvecklandet av ärendehanteringssystemet för utlänningsärenden. Varje personuppgiftsansvarig ansvarar för informationssystemets innehåll i fråga om sina egna åtgärder för behandling av personuppgifter. 
Dessutom gör 4 mom. det möjligt för Migrationsverket att utföra vissa uppgifter för den personuppgiftsansvariges räkning. Enligt förslaget ska Migrationsverket i ärendehanteringssystemet för utlänningsärenden i enlighet med artikel 28 i dataskyddsförordningen och i behandlingssyfte enligt 1 § 2 mom. vara personuppgiftsbiträde enligt 17 § i lagen om dataskydd i brottmål, i enlighet med vad som särskilt avtalas om detta, för en annan personuppgiftsansvarigs räkning genomföra rättelse, elektronisk utlämning, radering och arkivering av personuppgifter, till den del Migrationsverket inte är personuppgiftsansvarig. Om personuppgiftsbiträdets uppgifter avtalas separat genom avtal mellan varje personuppgiftsansvarig och personuppgiftsbiträdet. 
4 §. Ärendehanteringssystemet för utlänningsärenden.
Utskottet föreslår att paragrafen ändras i sin helhet. Innehållet i den 4 § som föreslås i propositionen har inkluderats till behövliga delar och preciserats i det föreslagna 3 § 4 mom. 
I 12 § i lagförslaget i propositionen föreslås bestämmelser om de situationer där det trots sekretessbestämmelserna är möjligt att behandla personuppgifter inom lagens tillämpningsområde för andra ändamål än den ursprungliga behandlingen. Det är inte fråga om vilket annat behandlingsändamål som helst, utan om uppgifter som den personuppgiftsansvarige har enligt lag och vars utförande förutsätter behandling av personuppgifter för något annat ändamål än det för vilket uppgifterna ursprungligen lagrades. Med anledning av grundlagsutskottets utlåtande bör bestämmelserna om den personuppgiftsansvariges rätt att få uppgifter preciseras väsentligt. Därför måste också denna reglering preciseras. För att skapa en klar reglering föreslår förvaltningsutskottet att de situationer där det är fråga om utbyte av information mellan olika personuppgiftsansvariga ska särskiljas från de situationer där den personuppgiftsansvarige själv behandlar de uppgifter som den fört in i systemet för något annat ändamål än det ursprungliga. Det föreslås att den sistnämnda regleringen på grund av sitt sammanhang tas in i förslaget till ny 4 §. Det föreslås att paragrafens rubrik ändras till ”Behandling av uppgifter som lagrats i ärendehanteringssystemet för utlänningsärenden för något annat behandlingsändamål än det ursprungliga”. 
Enligt artikel 6.4 i dataskyddsförordningen ska den personuppgiftsansvarige, om behandlingen sker för något annat ändamål än det för vilket uppgifterna har samlats in och behandlingen inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, bland annat beakta de omständigheter som anges i punkt 4 a–e för att säkerställa att behandlingen för något annat ändamål är förenlig med det ändamål för vilket uppgifterna ursprungligen samlades in. 
Enligt skäl 50 i ingressen till dataskyddsförordningen bör behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in endast vara tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt dock fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Också den rättsliga grund för behandling av personuppgifter som unionsrätten eller medlemsstaternas nationella rätt erbjuder kan utgöra en rättslig grund för senare behandling av personuppgifter. 
I skäl 50 konstateras det också bl.a. att om behandlingen grundar sig på unionsrätten eller en medlemsstats nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att behandla personuppgifterna ytterligare, oavsett om detta är förenligt med ändamålen eller inte. I samtliga fall bör det dock säkerställas att principerna i dataskyddsförordningen tillämpas. Med viktiga mål av allmänt samhällsintresse hänvisas till de mål som avses i artikel 23.1, såsom allmän säkerhet, förebyggande, utredning och avslöjande av brott eller till exempel en tillsynsuppgift som även i enstaka fall har samband med myndighetsutövning i de fall som avses i punkt 1 a–e och g. 
I 4 § iutskottets förslag är det fråga om behandling av personuppgifter som är nödvändiga för att den personuppgiftsansvarige ska kunna sköta sina lagstadgade uppgifter. De behandlingsändamål som nämns i 1 mom. har på grund av den fasta kopplingen mellan dem bedömts vara förenliga med de ändamål för vilka personuppgifterna ursprungligen registrerades. Utskottet anser att detta gagnar också den registrerades intressen, eftersom han eller hon då inte på nytt behöver lämna de uppgifter som redan har lämnats en gång, vilket också inverkar på hur smidig behandlingen av ärendet är och på behandlingstiden. 
Enligt den utredning som lagts fram för utskottet är det nödvändigt att Migrationsverket använder t.ex. de uppgifter om inresa som det behandlar med stöd av utlänningslagen för att bedöma om villkoren för erhållande av medborgarskap enligt 13 § i medborgarskapslagen (359/2003) uppfylls. Uppgifter enligt medborgarskapslagen om bestämmande av medborgarskapsstatus kan vara nödvändiga i ett inreseärende t.ex. i ett ärende som gäller internationellt skydd enligt utlänningslagen. Uppgift om medborgarskap som fåtts med stöd av medborgarskapslagen är nödvändig information t.ex. i en situation där personen också har en anhängig ansökan om uppehållstillstånd enligt utlänningslagen. Migrationsverket förvaltar en del av förläggningarna och förvarsenheterna, och verket ska kunna behandla uppgifter som det fört in i dessa sammanhang också för andra behandlingsändamål. Uppgifter enligt mottagningslagen, såsom inkvarteringsuppgifter, eller placeringsuppgifter enligt förvarslagen, ska behandlas t.ex. i samband med uppehållstillståndsprocessen enligt utlänningslagen (301/2004). 
Flyktingslussen ska t.ex. kunna använda de uppgifter som den behandlar i samband med sin registreringsuppgift enligt 133 § i utlänningslagen för att ordna mottagningstjänster enligt mottagningslagen för invandraren. 
I den utredning som utskottet fått har beskickningar inte ansetts behöva behandla de uppgifter som de med stöd av 1 § 1 mom. 1 punkten samlat in för skötseln av sina uppgifter enligt utlänningslagen i det syfte som avses i 2 punkten för skötseln av sina uppgifter enligt medborgarskapslagen, eller tvärtom. Enligt utredningen gäller detsamma på motsvarande sätt också närings-, trafik- och miljöcentraler som behandlar uppgifter som de fört in med stöd av 1 § 1 mom. 1 och 5 punkten endast i det ursprungliga syftet. 
Polisens rätt att få uppgifter enligt 16 § i polisens personuppgiftslag gör det möjligtför andra personuppgiftsansvariga att lämna ut uppgifter till polisen för andra ändamål än de som avses i lagen om behandling av personuppgifter inom migrationsförvaltningen. Med stöd av 1 mom. 6 punkten har polisen rätt att få uppgifter ur Gränsbevakningsväsendets och Tullens personregister, med stöd av 7 punkten rätt att få uppgifter ur utrikesministeriets informationssystem och med stöd av 8 punkten rätt att få uppgifter ur Migrationsverkets informationssystem. 
Rätten att få uppgifter enligt polisens personuppgiftslag kan dock inte tillämpas på behandlingen av uppgifter i polisens egen registerföring. Bestämmelser om användning av personuppgifter i polisens registerföring för andra ändamål än det ursprungliga finns i 13 och 14 § i polisens personuppgiftslag. De uppgifter i polisens registerföring som hör till tillämpningsområdet för personuppgiftslagen för migrationsförvaltningen behöver dock kunna användas för andra ändamål än den ursprungliga, enligt samma principer som andra uppgifter i polisens registerföring. Eftersom uppgifterna inte kan anses vara nödvändiga vid polisens tillståndsprövning och tillståndstillsyn, föreslår utskottet att regleringen avgränsas så att det i 2 mom. föreskrivs om polisens rätt att i enlighet med 13 § 1 och 2 mom. i polisens personuppgiftslag använda uppgifter i sitt eget register som de fört in i ärendehanteringssystemet för utlänningsärenden. 
I lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (639/2019, nedan Gränsbevakningsväsendets personuppgiftslag) ingår motsvarande bestämmelser (16 §) som i polisens personuppgiftslag. Också i fråga om Gränsbevakningsväsendet har det konstaterats ett motsvarande behov att komplettera regleringen. Utskottet föreslår därför ett nytt 3 mom. i 4 §. 
I Tullens personuppgiftslagstiftning har det inte noterats något motsvarande behov av nya bestämmelser i fråga om uppgifter som lagrats i ärendehanteringssystemet för utlänningsärenden, eftersom Tullen inte lagrar uppgifter i ärendehanteringssystemet för utlänningsärenden. 
Syftet med 4 mom. är att lämna fingeravtrycksuppgifter klart utanför det som föreskrivs i paragrafen. Bestämmelser om behandlingen av fingeravtryck som tagits av den som ansöker om främlingspass eller resedokument för flykting ska på motsvarande sätt som för närvarande finnas i 9 § i lagförslaget och bestämmelser om behandlingen av fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlemmar ska på motsvarande sätt som för närvarande finnas i 10 § i lagförslaget. Genom den föreslagna 4 § utvidgas således inte myndigheternas rätt att behandla fingeravtryck från vad som föreskrivs i 9 och 10 §. 
5 §. Nationella informationssystemet för viseringar.
I enlighet med vad som konstateras i den allmänna motiveringen föreslår utskottet att bestämmelserna om personuppgiftsansvariga och ansvarsfördelningen i det nationella informationssystemet för viseringar samlas i 5 §. Paragrafen måste därför omformuleras helt. Det föreslås att paragrafens rubrik ändras till ”Personuppgiftsansvariga och ansvarsfördelningen i det nationella informationssystemet för viseringar”. 
I 1 mom. föreslås bestämmelser om vilka uppgifter som behandlas för behandlingsändamål enligt 1 § i lagen som ska registreras i det nationella informationssystemet för viseringar. Behandlingsändamålen begränsar typen av uppgifter som ska föras in i systemet eftersom de preciserar datainnehållet. 
Paragrafens 2 mom. innehåller bestämmelser om i vilka syften enligt 1 § varje personuppgiftsansvarig får behandla uppgifter i det nationella informationssystemet för viseringar. Bestämmelserna utgår från respektive myndighets lagfästa uppgifter. Avsikten är att momentet ska täcka varje personuppgiftsansvarigs alla behov av behandling av uppgifter i anslutning till det nationella informationssystemet för viseringar. I momentet föreskrivs det inte om utlämnande av uppgifter mellan de personuppgiftsansvariga och den personuppgiftsansvarige får inte tillgång till uppgifter som registrerats av andra personuppgiftsansvariga med stöd av 2 mom., utan bestämmelser om rätten att få uppgifter mellan de personuppgiftsansvariga i systemet finns i 12 §. I det föreslagna 2 mom. föreskrivs om myndigheternas rätt att behandla uppgifter som de själva fört in. Detta gäller också uppgifter som erhållits och lagrats efter att de utlämnats av någon annan. 
Syftet med preciseringen av de personuppgiftsansvariga är att de skyldigheter och det ansvar som hänför sig till uppgifter riktas mot rätt aktör. De myndigheter som i propositionen föreslås bli personuppgiftsansvariga behandlar personuppgifter för ändamål som ingår i tillämpningsområdet för lagen om behandling av personuppgifter inom migrationsförvaltningen enligt den behörighet lagstiftning ger och med utövning av prövningsrätt. I praktiken genomför dessa myndigheter de nödvändiga behandlingsåtgärderna i det nationella informationssystemet för viseringar och registrerar uppgifterna i det systemet. 
Med avvikelse från regeringens proposition föreslår utskottet att Tullen läggs till som personuppgiftsansvarig i det nationella informationssystemet för viseringar. Tullen är enligt 3 § i den gällande lagen om utlänningsregistret registeransvarig (”myndighet som för och använder registret”) tillsammans med flera andra myndigheter. Enligt utredningen har det vid beredningen av propositionen bedömts att Tullen inte är personuppgiftsansvarig enligt den föreslagna lagen. Viseringsmyndigheter enligt definitionen i artikel 4.3 i Europaparlamentets och rådets förordning (EG) nr 767/2008 om om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) är med stöd av 30 och 31 § i utlänningslagen utrikesministeriet, Finlands beskickning, Gränsbevakningsväsendet, polisen, Migrationsverket och Tullen. I samband med utskottsbehandlingen har det framkommit att Tullens roll som myndighet som beviljar visum i princip inte skiljer sig alls från behörigheten för den personuppgiftsansvarige vid utrikesministeriet, beskickningen, Gränsbevakningsväsendet, polisen eller Migrationsverket i det nationella informationssystemet för viseringar. Därför är det motiverat att också Tullen utses till personuppgiftsansvarig i fråga om de viseringsuppgifter som den lagrat. 
I 3 mom. föreskrivs det om hur den personuppgiftsansvariges ansvar bestäms. Var och en av de myndigheter som nämns i 2 mom. är personuppgiftsansvarig för det nationella informationssystemet för viseringar i fråga om de uppgifter som de lagrat. Med detta avses också uppgifter som erhållits och lagrats efter att de utlämnats av någon annan. Personuppgiftsansvarig för de uppgifter som polisen fört in är Polisstyrelsen och personuppgiftsansvarig för de uppgifter som Gränsbevakningsväsendet fört in är staben för Gränsbevakningsväsendet. Personuppgiftsansvaret bestämmer vilken behörig myndighet som svarar för och beslutar också om behandlingen av handlingar i enlighet med offentlighetslagen. 
Enligt det föreslagna 4 mom. ansvarar utrikesministeriet för det nationella informationssystemet för viseringar i enlighet med informationshanteringslagen. Enligt 1 § i informationshanteringslagen är lagens syfte att säkerställa en enhetlig och kvalitativ hantering samt informationssäker behandling av myndigheternas informationsmaterial så att offentlighetsprincipen förverkligas, att möjliggöra ett tryggt och effektivt utnyttjande av myndigheternas informationsmaterial så att myndigheterna i enlighet med god förvaltningssed kan sköta sina uppgifter och tillhandahålla förvaltningskunderna tjänster på ett kvalitativt sätt och med gott resultat och att främja interoperabiliteten mellan informationssystem och informationslager. De ansvar och skyldigheter som föreskrivits för informationshanteringsenheten avser organiseringen av de personuppgiftsansvarigas uppgifter på det sätt som föreskrivs i informationshanteringslagen. Utrikesministeriet ansvarar till exempel i enlighet med 16 § i informationshanteringslagen för fastställandet av åtkomsträttigheterna till det nationella informationssystemet för viseringar på begäran av varje personuppgiftsansvarig. Utrikesministeriet ansvarar också för upprätthållandet och utvecklandet av det nationella informationssystemet för viseringar. Varje personuppgiftsansvarig ansvarar för informationssystemets innehåll i fråga om sina egna åtgärder för behandling av personuppgifter. 
Dessutom gör 4 mom. det möjligt för utrikesministeriet att utföra vissa uppgifter för den personuppgiftsansvariges räkning. Enligt förslaget ska utrikesministeriet i det nationella informationssystemet för viseringar i behandlingssyfte enligt artikel 28 i dataskyddsförordningen och 1 § 2 mom. vara personuppgiftsbiträde enligt 17 § i lagen om dataskydd i brottmål i enlighet med vad som särskilt avtalas om detta, för en annan personuppgiftsansvarigs räkning genomföra rättelse, elektronisk utlämning, radering och arkivering av personuppgifter till den del utrikesministeriet inte är registeransvarig. Om personuppgiftsbiträdets uppgifter avtalas separat genom avtal mellan varje personuppgiftsansvarig och personuppgiftsbiträdet. 
6 §. Kontaktpunkter för registrerade.
Eftersom utskottet ovan har föreslagit att gemensamt personuppgiftsansvar slopas, föreslås det inte heller några bestämmelser om kontaktpunkter för den registrerade. Utskottet har i allmänna motiven konstaterat att det i en situation där det finns flera personuppgiftsansvariga dock är nödvändigt med ett motsvarande praktiskt arrangemang för att trygga tillgodoseendet av den registrerades rättigheter. Det är möjligt att avtala avtala om ett sådant arrangemang mellan den personuppgiftsansvariga och personuppgiftsbiträdet som administrerar systemet för behandling av personuppgifter, och utskottet hänvisar till denna del till det föreslagna 3 § 4 mom. och 5 § 4 mom. Den registrerade har alltid rätt att också vända sig direkt till den behöriga personuppgiftsansvarige. 
Lagförslaget innehåller inga bestämmelser om behandling av uppgifter i det nationella informationssystemet för viseringar för andra ändamål än den ursprungliga behandlingen. Enligt utredning till utskottet finns det inget behov av sådan reglering som det föreslagna 4 § 1 mom. till denna del. Däremot är det nödvändigt att i fråga om polisen, Gränsbevakningsväsendet och Tullen komplettera regleringen på motsvarande sätt och på samma grunder som det föreslås i 4 § 2 och 3 mom. i fråga om polisen och Gränsbevakningsväsendet. Utskottet föreslår att bestämmelser om detta införs som nytt innehåll i den föreslagna 6 §. Samtidigt föreslår utskottet att paragrafens rubrik ändras så att den lyder ”Behandling av uppgifter som lagrats i det nationella informationssystemet för viseringar för något annat ändamål än det ursprungliga”. 
För tydlighetens skull konstaterar utskottet att fingeravtryck som tas för viseringar inte registreras i det nationella informationssystemet för viseringar, utan fingeravtrycken lagras direkt i EU:s informationssystem för viseringar (VIS). 
7 §. Personuppgifter som får behandlas
I paragrafen föreslås bestämmelser om personuppgifter som myndigheterna har möjlighet att behandla inom lagens tillämpningsområde. Behörigheten när det gäller att behandla en viss personuppgift bygger alltid på en särskild behörighetsbestämmelse. 
Utskottet föreslår att uttrycket ” i den mån det är behövligt” stryks ur paragrafen. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och, ifall behandlingen hör till tillämpningsområdet för dataskyddslagen avseende brottmål, 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i 8 § i denna lag. 
I 3 mom. föreslås bestämmelser om behandling av uppgifter om iakttagelser som en ny grupp av personuppgifter. På grund av iakttagelseuppgifternas särskilda karaktär har deras betydelse i propositionen lagteknisk betonats att genom att koncentrera all reglering av dem till ett tydlighet eget moment. Bestämmelser om att radera uppgifter om iakttagelser finns i 16 § 4 punkten i lagförslaget. 
Eftersom det i fråga om iakttagelseuppgifter är fråga om en potentiellt mycket stor mängd uppgifter som ingriper i människors privatliv och som kan vara osäkra till sin natur och vilkas behandling innebär risk för stämpling, ska behandlingen av uppgifterna begränsas i enlighet med grundlagsutskottets etablerade utlåtandepraxis (t.ex. GrUU 18/2012 rd, GrUU 71/2014 rd). Behandlingen av uppgifter om iakttagelser styrs av principen om ändamålsbundenhet i myndigheternas verksamhet. Enligt propositionen gäller rätten att behandla uppgifter om iakttagelser endast uppgifter som utifrån omständigheterna eller en persons beteende med fog kan bedömas anknyta till den personuppgiftsansvariges behörighet att övervaka att förutsättningarna för personens inresa och vistelse i landet uppfylls eller behörighet att besluta om förvärv eller förlust av finskt medborgarskap, eller som med fog kan bedömas anknyta till den personuppgiftsansvariges skyldighet att sörja för arbetarskyddet för sina anställda. Bestämmelsen om iakttagelseuppgifter innehåller ett villkor för behandling av personuppgifter endast för fullgörande av uttryckliga lagstadgade uppgifter. 
Uppgifterna om iakttagelser kan enligt propositionsmotiven gälla exempelvis sådana omständigheter eller händelser, såsom familjeförhållanden eller försörjning, som kan vara relevanta för tillståndsprövningen eller vid bedömningen av huruvida en persons vistelse i landet fortsatt motsvarar förutsättningarna för uppehållstillstånd. Uppgifterna kan också gälla omständigheter som kan vara relevanta vid beviljande av medborgarskap eller leda till förlust av medborgarskap, såsom uppgifter om identitet eller vistelsen i Finland (RP 235/2002 rd). Uppgifterna om iakttagelser kan vara uppgifter som påverkar arbetarskyddet, såsom uppgifter om en persons beteende, och som kan vara av betydelse exempelvis med avseende på ordnande av asylsamtal eller med tanke på andra åtgärder för att sörja för säkerheten. 
Uppgifterna om iakttagelser ska följa principerna för behandling av personuppgifter i artikel 5 i dataskyddsförordningen. De ska således vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Iakttagelseuppgifter kan i enskilda fall anses som hörande till särskilda kategorier av personuppgifter och då måste behandlingen också uppfylla de krav enligt 8 § för behandling av sådan personuppgifter uppfyllas. Utskottet anser att man genom att avgränsa tillämpningsområdet och begränsa behandlingen kan säkerställa att behandlingen av varningsuppgifter är proportionerlig. Utskottet betonar också att det i motiveringen till propositionen nämns att förutsättningarna för behandling av varningsuppgifter ska tolkas snävt. 
Enligt propositionsmotiven ska registreringen av iakttagelseuppgifter alltid ange varifrån uppgiften om iakttagelsen härstammar eller, om källan inte är känd, information om detta. Till uppgifterna om iakttagelser ska det om möjligt fogas uppgift om den som lämnat uppgiften eller om uppgiftskällan samt en bedömning av dennes tillförlitlighet och uppgifternas riktighet, sägs det i propositionen. Med beaktande av iakttagelseuppgifternas karaktär anser utskottet dock att det är möjligt och tillrådligt att alltid foga också en sådan bedömning till varningsuppgifterna. Utskottet föreslår därför att omnämnandet ”om detta är möjligt” ska strykas i bestämmelsen. 
Enligt motiveringen till propositionen får uppgifter om iakttagelser inte användas som grund för beslutsfattandet. Utskottet konstaterar att ett sådant förbud ska framgå direkt av lagtexten och föreslår att en bestämmelse om förbudet fogas till slutet av 3 mom. 
8 §. Särskilda kategorier av personuppgifter som får behandlas.
Enligt artikel 9.1 i dataskyddsförordningen är behandling av särskilda kategorier av personuppgifter i princip förbjuden. Enligt artikel 9.2 får uppgifterna behandlas om något av villkoren i punkt 2 led a–j uppfylls. En del av de här leden ska tillämpas direkt medan andra kräver nationell lagstiftning. I regel ska dataskyddsförordningen tillämpas på sådan behandling av personuppgifter som avses i den föreslagna lagstiftningen. 
Enligt 11 § i dataskyddslagen avseende brottmål är behandling av särskilda kategorier av personuppgifter tillåten endast om det är nödvändigt och de skyddsåtgärder som krävs för att trygga den registrerades rättigheter har vidtagits och en sådan särskild rättsgrund som nämns i 11 §, exempelvis en speciallag, är för handen. Utskottet hänvisar också exempelvis till motiveringen till lagstiftningsordningen i propositionen om polisens personuppgiftslag (RP 242/2018 rd) där det sägs att behandling av personuppgifter som hör till särskilda kategorier av personuppgifter ska begränsas med beaktande av EU:s dataskyddslagstiftning, lagstiftningen om grundläggande fri- och rättigheter och grundlagsutskottets ställningstaganden till vad som är nödvändigt med tanke på ändamålet med behandlingen samt att bestämmelser om nödvändighetskriterier finns i dataskyddslagen avseende brottmål. 
Som det konstateras i grundlagsutskottets utlåtande GrUU 7/2019 rd, kommer lagförslaget att tillämpas på en mycket bred grupp av i huvudsak utlänningar, för vilkas del det i stor utsträckning kommer att behandlas uppgifter som hör till människors privatliv och som ofta också är känsliga. 
Grundlagsutskottet har tagit ställning till hantering av känsliga uppgifter med utgångspunkt i att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar i de grundläggande fri- och rättigheterna (GrUU 42/2016 rd och de utlåtanden som nämns där). Här är det relevant att utskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför ansett att i synnerhet tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd), vilket inneburit att inrättandet av register med exempelvis sådana uppgifter måste bedömas i skenet av villkoren för inskränkningar i de grundläggande fri- och rättigheterna och med hänsyn till inskränkningarnas acceptabilitet och proportionalitet (t.ex. GrUU 29/2016 rd, GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (t.ex. GrUU 38/2016 rd). 
Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd och GrUU 14/2009 rd). Även enligt EU:s allmänna dataskyddsförordning bör särskilda personuppgifter, som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter, åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande fri- och rättigheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (t.ex. GrUU 3/2017 rd). Denna avgränsning har i utskottets senare praxis ansetts vara en fråga som är relevant för lagstiftningsordningen (t.ex. GrUU 15/2018 rd). 
Utskottet menar att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter. Behovet av lagbestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. I fråga om behovet bör också det riskbaserade synsättet i förordningen vägas in. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd). 
Grundlagsutskottets utlåtande innehåller ingen anmärkning till denna paragraf. Förvaltningsutskottet anser dock att en mycket detaljerad reglering av den 8 § som föreslås i propositionen är känslig för felaktiga motstridiga slutsatser, och därför föreslår förvaltningsutskottet i stället en allmän bestämmelse om kravet på nödvändighet vid behandlingen av känsliga uppgifter. Nödvändighetskravet gäller alla former av behandling. En motsvarande regleringslösning har också tagits in i polisens, personuppgiftslagarna för Gränsbevakningsväsendet och Tullen (t.ex. GrUU 51/2018 rd). Utskottet föreslår samtidigt en preciserad paragrafrubrik
I motiveringen till regeringens proposition (s. 71—73) ges åskådliga exempel på hur uppgifter som hör till särskilda kategorier av personuppgifter ska behandlas inom migrationsförvaltningen. Förvaltningsutskottet betonar att behandlingen av känsliga uppgifter alltid förutsätter prövning från fall till fall. 
9 §. Behandling av uppgifter om fingeravtryck som tagits för ansökningar om främlingspass och resedokument för flykting.
Utskottet föreslår att 1 mom. preciseras. Fingeravtryck som tagits av den som ansöker om främlingspass eller resedokument för flykting registreras uttryckligen i ärendehanteringssystemet för utlänningsärenden. I ärendehanteringssystemet för utlänningsärenden ingår också ett identitetskorts- och passdatasystem i fråga om främlingspass och resedokument för flykting. Bestämmelsens ordalydelse behöver också preciseras i övrigt. Dessutom är det motiverat att precisera utrikesförvaltningen till ”utrikesministeriet och beskickningen”. 
Utskottet har strukit författningssamlingens nummer ur 2 mom., eftersom lagen i fråga nämns redan tidigare i den lagen. 
10 §. Behandling av uppgifter om fingeravtryck som tagits för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem.
Utskottet föreslår att 1 mom. preciseras. Fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlemmar registreras uttryckligen i ärendehanteringssystemet för utlänningsärenden. Bestämmelsens ordalydelse behöver också preciseras i övrigt. Utskottet har strävat efter att precisera specificeringen av myndigheter i den föreslagna lagen. Utskottet konstaterar att det i andra meningen i 1 mom. finns skäl att specificera myndigheterna på motsvarande sätt som i 9 § 1 mom. Skyddet av den nationella säkerheten är ett behandlingsändamål enligt den gällande bestämmelsen, och skyddspolisen behöver därför nämnas särskilt i den föreslagna bestämmelsen. Enligt utredning sparar och behandlar utrikesministeriet inte de fingeravtrycksuppgifter som avses i denna paragraf, och därför är det inte nödvändigt att nämna dem i detta sammanhang. 
I 2 mom. är hänvisningen till 1 § 1 mom. 6 punkten obefogad, eftersom utskottet har föreslagit att 6 punkten i fråga stryks. Skyddet av den nationella säkerheten har i övrigt beaktats i förslaget till 2 mom. 
11 §. Behandling av personuppgifter för det ursprungliga ändamålet.
Med stöd av vad som anförts i den allmänna motiveringen föreslår förvaltningsutskottet att innehållet i paragrafen ändras så att den innehåller bestämmelser om rätten att få information mellan de personuppgiftsansvariga inom ärendehanteringssystemet för utlänningsärenden. Paragrafens rubrik behöver också ändras i överensstämmelse med detta. 
Grundlagsutskottet har förutsatt att förhållandet mellan bestämmelserna om gemensamt personuppgiftsansvar och behandling av personuppgifter inom ramen för den och laggrunden för myndigheternas befogenheter och rätt att få uppgifter, ändamålsbundenheten vid behandlingen av personuppgifter och vedertagen praxis i fråga om grundlagsutskottets bestämmelser om myndigheternas rätt att få och lämna ut uppgifter trots sekretessplikten måste preciseras och bestämmelserna förtydligas väsentligt. Regleringen måste till alla delar uppfylla de krav som beskrivs i grundlagsutskottets praxis. Den här preciseringen är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Förvaltningsutskottet har ovan föreslagit att gemensamt personuppgiftsansvar ska slopas och att migrationsförvaltningens myndigheter ska definieras som separata personuppgiftsansvariga. Det utesluter enligt utskottets uppfattning ändå inte att det är nödvändigt att specificera per ärendehanteringssystem och med betydligt större precision än i propositionen rätten för varje personuppgiftsansvarig att trots sekretessbestämmelserna få nödvändiga uppgifter från varje annan personuppgiftsansvarig. Likaså bör rätten för varje personuppgiftsansvarig att få uppgifter bindas till behandlingssyften enligt 1 § i den föreslagna lagen och till den personuppgiftsansvariges skötsel av uppgifter enligt utlänningslagen, medborgarskapslagen, lagen om villkor för tredjelandsmedborgares inresa och vistelse för säsongsanställning (907/2017, nedan säsongsarbetslagen), lagen om villkor för inresa och vistelse för tredjelandsmedborgare inom ramen för företagsintern förflyttning av personal (908/2017, nedan ICT-lagen), lagen om villkoren för tredjelandsmedborgares inresa och vistelse på grund av forskning, studier, praktik och volontärarbete (719/2018, nedan forskar- och studerandelagen), mottagandelagen, förvarslagen och integrationslagen. För att undvika överlappande reglering föreskrivs det dock inte i paragrafen om sådan rätt att få uppgifter som det föreskrivs särskilt om någon annanstans i personuppgiftslagstiftningen, utan till denna del innehåller den föreslagna paragrafen endast en informativ hänvisning till myndighetens rätt att få uppgifter enligt personuppgiftslagen. Trots den ändrade formen är det i paragrafen fråga om att bevara den gällande lagstiftningen och syftet är inte att ändra rättsläget. 
Det föreslagna 1 mom. innehåller bestämmelser om rätt att få upplysningar för Migrationsverket, förläggningen, flyktingslussen, förvarsenheten, utrikesministeriet, beskickningarna, närings-, trafik- och miljöcentralerna samt arbets- och näringsbyrån. 
I lagförslag 2 i propositionen föreslås det att 58 § 1 mom. i mottagningslagen ändras så att rätt för Migrationsverket, förläggningar och flyktingslussar att få uppgifter stryks ur bestämmelsen, eftersom bestämmelser om dessa aktörers rätt att få uppgifter finns i lagen om behandling av personuppgifter inom migrationsförvaltningen. I lagförslag 3 har det i 34 § 1 mom. som föreslås bli upphävt i sin tur funnits en hänvisning till rätten att få uppgifter enligt 58 § i mottagandelagen. Eftersom förläggningar, flyktingslussar och förvarsenheter är självständiga inrättningar, är det nödvändigt att föreskriva också om deras rätt att få uppgifter av andra motsvarande centraler eller enheter. En förläggning behöver exempelvis uppgifter från en annan förläggning i en situation där en invånare som får inkvarteringstjänster flyttar från en förläggning till en annan. Samma situation gäller förvarsenheter och kan också gälla flyktingslussar. Därför är det nödvändigt att det i den föreslagna 1 mom. 2 punkten bland annat föreskrivs om förläggningens rätt att få uppgifter av en annan förläggning, i 3 punkten på motsvarande sätt om flyktingslussens rätt att få uppgifter av en annan flyktingsluss och i 4 punkten om förvarsenhetens rätt att få uppgifter av en annan förvarsenhet. 
I 53 § i mottagandelagen, som föreslås bli upphävd i lagförslag 2, föreskrivs det om rätt för förläggningar och flyktingslussar att få uppgifter av närings-, trafik- och miljöcentralen. Det är fortfarande nödvändigt för förläggningar och flyktingslussar att av närings-, trafik- och miljöcentralen få uppgifter som hänför sig till anvisande av personer som fått internationellt skydd till kommuner enligt integrationslagen. Därför är det nödvändigt att det i 1 mom. 2 och 3 punkten på samma sätt som i nuläget föreskrivs bland annat om förläggningarnas och flyktingslussarnas rätt att få uppgifter av närings-, trafik- och miljöcentralen. 
När det gäller de personuppgiftsansvariga som nämns i 3 § i lagen om behandling av personuppgifter inom migrationsförvaltningen innehåller polisens och Gränsbevakningsväsendets personuppgiftslagstiftning redan nu ganska heltäckande bestämmelser om rätten att få uppgifter. Enligt 16 § 1 mom. 7 och 8 punkten i polisens personuppgiftslag har polisen rätt att få uppgifter ur Migrationsverkets och utrikesministeriets informationssystem för att utföra sina uppgifter enligt utlänningslagen. I 7 kap. i polisens personuppgiftslag föreskrivs om behandling av personuppgifter vid skyddspolisen. I 19 § i gränsbevakningsväsendets personuppgiftslag ingår å sin sida allmän rätt att få uppgifter av andra myndigheter. 
För att undvika överlappande reglering föreslår förvaltningsutskottet med avvikelse från propositionen att bestämmelser om polisens, skyddspolisens och Gränsbevakningsväsendets rätt att få uppgifter för skötseln av uppgifter enligt utlänningslagen, medborgarskapslagen och förvarslagen ska finnas i de personuppgiftslagar som gäller dessa myndigheter. Det föreslås att det i den gällande 11 § för tydlighetens skull tas in en informativ hänvisning till personuppgiftslagarna i fråga (2 och 3 mom.)
Gränsbevakningsväsendets rätt att få uppgifter enligt 19 § i personuppgiftslagen är för närvarande tillräcklig för att trygga skötseln av Gränsbevakningsväsendets uppgifter enligt utlänningslagen. Polisens rätt att få uppgifter enligt 16 § 7 och 8 punkten i personuppgiftslagen behöver dock ses över till vissa delar för att det nuvarande rättsläget ska kunna bevaras. Utskottet hänvisar till sitt nya lagförslag 18 nedan. 
3 kap. 16 § i polisens personuppgiftslag utgör också grunden för skyddspolisens rätt att få uppgifter. Enligt 52 § 2 mom. i polisens personuppgiftslag har skyddspolisen för utförande av sina uppgifter rätt att få de uppgifter som avses i 3 kap. på det sätt som föreskrivs i kapitlet i fråga. 
Enligt ordalydelsen har skyddspolisen med stöd av 52 § i polisens personuppgiftslag rätt att få uppgifter exempelvis för utförande av uppgifter enligt utlänningslagen, medborgarskapslagen och polisförvaltningslagen. Uppgifterna ska användas för att skydda den nationella säkerheten och förhindra brott till den del detta föreskrivs i skyddspolisens behörighet. 
Det föreslagna regleringssättet avviker från den gällande lagen, där skyddspolisens rätt att få uppgifter för att trygga statens säkerhet dessutom har grundat sig på ställningen som registeransvarig för utlänningsregistret enligt 3 § i lagen om utlänningsregistret, som nu föreslås bli upphävd, utan någon separat bestämmelse om utlämnande av uppgifter. Avsikten är inte att genom det nya regleringssättet i sak ändra skyddspolisens rätt att få uppgifter, utan uppgifterna i ärendehanteringssystemet för utlänningsärenden och i det nationella informationssystemet för viseringar står till skyddspolisens förfogande på samma sätt som tidigare. 
Syftet med 4 mom. är att lämna fingeravtrycksuppgifter klart utanför det som föreskrivs i paragrafen. Bestämmelser om behandlingen av fingeravtryck som tagits av den som ansöker om främlingspass eller resedokument för flykting ska på motsvarande sätt som för närvarande finnas i 9 § i lagförslaget och bestämmelser om behandlingen av fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlemmar ska på motsvarande sätt som för närvarande finnas i 10 § i lagförslaget. Genom den föreslagna 11 § utvidgas således inte myndigheternas rätt att behandla fingeravtryck från vad som föreskrivs i 9 och 10 §. Detta innebär också att förmedling av fingeravtrycksuppgifter mellan de myndigheter som anges i 9 § sker med stöd av 9 § och att förmedling av fingeravtrycksuppgifter enligt 10 § på motsvarande sätt sker med stöd av 10 §. 
12 §. Behandling av personuppgifter för andra ändamål än det ursprungliga.
Med stöd av vad som anförts i den allmänna motiveringen föreslår förvaltningsutskottet att paragrafen ändras helt och hållet så att den innehåller bestämmelser om rätten att få information mellan de personuppgiftsansvariga inom det nationella informationssystemet för viseringar. Paragrafens rubrik behöver också ändras i överensstämmelse med detta. 
Med anledning av grundlagsutskottets konstitutionella anmärkning är det också i fråga om det nationella informationssystemet för viseringar nödvändigt att betydligt noggrannare än vad som föreslås i propositionen föreskriva om varje personuppgiftsansvarigs rätt att trots sekretessbestämmelserna få nödvändiga uppgifter av varje annan personuppgiftsansvarig och att binda varje personuppgiftsansvarigs rätt att få uppgifter till vissa behandlingsändamål enligt 1 § i den föreslagna lagen och den personuppgiftsansvariges skötsel av uppgifter enligt utlänningslagen. För att undvika överlappande reglering föreskrivs det dock inte i paragrafen om sådan rätt att få uppgifter som det föreskrivs särskilt om någon annanstans i personuppgiftslagstiftningen, utan till denna del innehåller den paragrafen endast en informativ hänvisning till myndighetens rätt att få uppgifter enligt personuppgiftslagen. I den föreslagna paragrafen är det fråga om att bevara den gällande lagstiftningen och syftet är inte att ändra rättsläget. 
Det föreslagna 1 mom. innehåller bestämmelser om utrikesministeriets, beskickningarnas och Migrationsverkets rätt att få information. 
I polisens, Gränsbevakningsväsendets och Tullens personuppgiftslagstiftning finns redan nu relativt täckande bestämmelser om dessa personuppgiftsansvarigas rätt att få uppgifter. Enligt 16 § 1 mom. 7 och 8 punkten i polisens personuppgiftslag har polisen, och enligt 16 § 1 mom. 12 och 13 punkten i Tullens personuppgiftslag Tullen rätt att få uppgifter ur Migrationsverkets och utrikesministeriets informationssystem för att utföra sina uppgifter enligt utlänningslagen. I 19 § i gränsbevakningsväsendets personuppgiftslag ingår allmän rätt att få uppgifter av andra myndigheter. 
För att undvika överlappande reglering föreslår förvaltningsutskottet med avvikelse från propositionen att bestämmelser om polisens, Gränsbevakningsväsendets och Tullens rätt att få uppgifter för skötseln av uppgifter enligt utlänningslagen ska finnas i de personuppgiftslagar som gäller dessa myndigheter. Det föreslås att det i den gällande 12 § för tydlighetens skull tas in en informativ hänvisning till personuppgiftslagarna i fråga (2—4 mom.)
Enligt utredningen är Gränsbevakningsväsendets rätt att få uppgifter enligt 19 § i personuppgiftslagen för närvarande tillräcklig för att trygga skötseln av Gränsbevakningsväsendets uppgifter enligt utlänningslagen. Också Tullens rätt att få uppgifter enligt 16 § 1 mom. 12 punkten i personuppgiftslagen har bedömts räcka till för skötseln av Tullens uppgifter enligt utlänningslagen som gäller behandling och beslutsfattande i fråga om viseringar. Hänvisningen i 16 § 1 mom. 12 punkten i Tullens personuppgiftslag till utrikesministeriets informationssystem kan anses gälla också uppgifter som andra myndigheter har fört in i det nationella informationssystemet för viseringar, eftersom det i 5 § 4 mom. i lagen om behandling av personuppgifter inom migrationsförvaltningen föreskrivs att utrikesministeriet ansvarar för det nationella informationssystemet för viseringar. 
Polisens rätt att få uppgifter ur utrikesministeriets informationssystem enligt 16 § 1 mom. 7 och 8 punkten i personuppgiftslagen behöver dock ses över till vissa delar för att det nuvarande rättsläget ska kunna bevaras. Utskottet hänvisar till sitt nya lagförslag 18 nedan. 
13 §. Rätt att få information.
Utskottet har föreslagit att 11 och 12 § i ska föreskriva om rätt att få uppgifter mellan de personuppgiftsansvariga. I föreliggande 13 § finns liksom i propositionen bestämmelser om de personuppgiftsansvarigas övriga rätt att få uppgifter, med andra ord rätt att få uppgifter av aktörer utanför ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar. Paragrafens rubrik bör preciseras i enlighet med detta. 
Genom den föreslagna regleringen utvidgas inte rätten att få sådana uppgifter som hör till särskilda kategorier av personuppgifter och som är nödvändiga för uppgifter enligt den gällande materiella lagstiftningen. Bestämmelser om behandling av särskilda kategorier av personuppgifter finns i 8 §. Inom migrationsförvaltningen är de lagar som skapar behörighet att få information utlänningslagen, medborgarskapslagen, lagen om säsongsarbete, ICT-lagen, forskar- och studerandelagen, mottagandelagen och integrationslagen. För tydlighetens skull konstaterar utskottet att exempelvis uppgifterna om utkomststöd är nödvändiga för att Migrationsverket ska kunna sköta en uppgift enligt 39 § i utlänningslagen och 13 § i medborgarskapslagen. Utan dem kan beslut inte fattas eller om uppgifterna är bristfälliga kan ett felaktigt beslut fattas. 
Grundlagsutskottet riktade ingen anmärkning mot 13 § i propositionen. Förvaltningsutskottet anser dock att det för konsekvensens skull är motiverat att precisera bestämmelserna så att det till 1 mom. på motsvarande sätt som till 11 § fogas omnämnanden av utlänningslagen, medborgarskapslagen, säsongsarbetslagen, ICT-lagen, forskar- och studerandelagen, mottagandelagen, förvarslagen och integrationslagen. För skötseln av de uppgifter som hör till dem är det nödvändigt för Migrationsverket, förläggningen, flyktingslussen, förvarsenheten, närings-, trafik- och miljöcentralen, arbets- och näringsbyrån, utrikesministeriet och beskickningen att trots sekretessbestämmelserna och avgiftsfritt få uppgifter av den som nämns i bestämmelsen. Dessutom binds rätten att få uppgifter till var och en av de registeransvariga för vissa behandlingsändamål enligt 1 § i den föreslagna lagen. 
I propositionen har man för tydlighetens skull strävat efter att koncentrera de personuppgiftsansvarigas rätt att få uppgifter till lagen om behandling av personuppgifter inom migrationsförvaltningen. Därför föreslås det att 6 kap. om register i mottagningslagen (lagförslag 2) och 5 a kap. om register i förvarslagen (lagförslag 3) upphävs. Bestämmelser om rätten att få uppgifter mellan de registeransvariga finns i 11 §. Det har föreslagits att 58 § 1 mom. i mottagningslagen ändras så att Migrationsverkets, förläggningens och flyktingslussens rätt att få uppgifter stryks ur bestämmelsen, eftersom bestämmelser om rätten att få uppgifter också till dessa delar finns i personuppgiftslagen för migrationsförvaltningen. Dessutom föreslås det att 34 § i förvarslagen ändras så att där inte längre hänvisas till 58 § i mottagningslagen, eftersom bestämmelser om rätten för de registeransvariga enligt lagen om behandling av personuppgifter inom migrationsförvaltningen att få uppgifter av aktörer utanför systemen finns samlade i 13 § i lagen om behandling av personuppgifter inom migrationsförvaltningen. 
I enlighet med grundlagsutskottets utlåtande har man strävat efter att väsentligt precisera bestämmelserna om rätten att få uppgifter i lagen om behandling av personuppgifter inom migrationsförvaltningen. I detta sammanhang har man ytterligare på nytt bedömt de bestämmelser i mottagningslagen och i förvarslagen som föreslås bli ändrade och upphävda. Samtidigt har det upptäckts att för att bevara rätten att få uppgifter enligt 58 § 1 mom. i den gällande mottagningslagen och 34 § 1 mom. i den gällande förvarslagen samt den valda baslösningen för att koncentrera regleringen till lagen om behandling av personuppgifter inom migrationsförvaltningen, ska till den föreslagna 13 § fogas Migrationsverkets, förläggningens, flyktingslussens och förvarsenhetens rätt att få uppgifter av privata tjänsteproducenter som tillhandahåller tjänster enligt 3 och 4 kap. i mottagningslagen och 3 kap. i förvarslagen samt av företrädare som förordnats för barn utan vårdnadshavare. I bestämmelsen finns inget behov av att upprepa de offentliga tjänsteproducenterna som nämns i 58 § 1 mom. i mottagningslagen, eftersom den offentliga tjänsteproducenten är en aktör som omfattas av den föreslagna bestämmelsens rätt att få uppgifter enligt 4 § i offentlighetslagen. 
Hälso- och sjukvårdstjänster enligt 3 och 4 kap. i mottagningslagen och 3 kap. i förvarslagen kan köpas av privata eller offentliga serviceproducenter. Därför ska Migrationsverket, förläggningen och förvarsenheten få de uppgifter som är nödvändiga för skötseln av deras uppgifter av den offentliga och privata tjänsteproducent som producerar dessa tjänster. Eftersom ett minderårigt barn utan vårdnadshavare kan omfattas av mottagningstjänster och även barn i vissa fall som anges i utlänningslagen kan placeras i en förvarsenhet, ska Migrationsverket, förläggningen och förvarsenheten få de uppgifter som är nödvändiga för skötseln av deras uppgifter också av den företrädare som förordnats för barnet utan vårdnadshavare. Av dessa orsaker föreslår utskottet att det till 1 mom. fogas omnämnanden av privata tjänsteproducenter och företrädare för barn utan vårdnadshavare. 
Den föreslagna paragrafen tillämpas på de i bestämmelsen nämnda personuppgiftsansvarigas rätt att få uppgifter av aktörer utanför ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar. Bestämmelser om polisens rätt att få uppgifter som avses här finns i polisens personuppgiftslag och bestämmelser om Gränsbevakningsväsendets motsvarande rätt att få uppgifter i Gränsbevakningsväsendets personuppgiftslag. Utskottet föreslår för tydlighetens skull att det till paragrafen fogas informativa hänvisningar till dessa (nya 2 och 3 mom.). Exempelvis i 16 § 2 punkten i polisens personuppgiftslag föreskrivs det om polisens rätt att få uppgifter av Brottspåföljdsmyndigheten. I Tullens personuppgiftslag finns inte något användningsändamål som motsvarar polisens personuppgiftslag exempelvis i fråga om uppgifter som fås av Brottspåföljdsmyndigheten, och Tullen har inte bedömts ha behov av rätt att få uppgifter av myndigheter som inte hör till det nationella informationssystemet för viseringar när det gäller att bevilja, avslå, upphäva eller återkalla viseringar. 
På grund av de nya momenten blir propositionens 2 mom. 4 mom. i paragrafen. I momentets 1, 2, 4, 6, 7 och 9 punkt föreslås bestämmelser om Migrationsverkets rätt att av Rättsregistercentralen, polisen, den kommunala socialmyndigheten, Skatteförvaltningen och Brottspåföljdsmyndigheten få behövlig information för prövning enligt artiklarna 8 och 16 i Europaparlamentets och rådets förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat (nedan förordningen om bestämmandet av den ansvariga staten). Artikel 8 i förordningen om bestämmandet av den ansvariga staten gäller en minderårig asylsökande och artikel 16 en situation där antingen en person som sökt internationellt skydd är beroende av omsorg av en person som vistas i Finland eller en person som vistas i Finland är beroende av en person som sökt internationellt skydd. Vid bestämmandet av vilken medlemsstat som är ansvarig för ansökan om internationellt skydd i enlighet med förordningen om bestämmandet av den ansvariga staten ska det utredas om den person som har ansökt om internationellt skydd har familjemedlemmar eller släktingar i ett annat land som tillämpar förordningen om bestämmandet av den ansvariga staten. Om det finns sådana familjemedlemmar eller släktingar ska man enligt förordningen om bestämmandet av den ansvariga staten i fråga om en minderårig person som sökt internationellt skydd och står i beroendeförhållande överväga om den person som är avsedd att ta hand om den minderårige eller den som står i beroendeförhållande är kapabel att ta hand om den. Prövningen av en persons omvårdnadsförmåga ingår således i fastställandet av vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd enligt förordningen. Syftet med prövningen är att skydda minderåriga som sökt internationellt skydd och personer som är beroende av en annan person. 
I de uppgifter som behövs för prövningen är det fråga om en person som vistas i Finland och som också kan vara finsk medborgare. Förordningen om bestämmandet av den ansvariga staten innehåller inte i sig några bestämmelser om de uppgifter som behövs för bedömning av en persons omvårdnadsförmåga, och därför baserar sig de uppgifter som föreslås i 4 mom. och som Migrationsverket behöver för prövning på de uppgifter som förutsätts i de standardformulär som kommissionen utfärdat genom genomförandeförordning (EU) 118/2014. För att bedöma en persons omvårdnadsförmåga behöver Migrationsverket uppgifter om såväl personens underhållskapacitet, förmåner, inkomster och förmögenhet som social - och hälsovårdstjänster samt om misstänkta brott, förundersökning och böter, straff och avtjänande av straff som personen påförts. 
Enligt grundlagsutskottets utlåtandepraxis som gäller erhållande och utlämnande av uppgifter trots sekretessbestämmelserna (GrUU 7/2019 rd samt GrUU 17/2016 rd och de utlåtanden som det hänvisas till i dem) har myndigheternas rätt att få uppgifter och möjligheten att lämna ut uppgifter kunnat hänföra sig till ”behövliga uppgifter” med tanke på ett visst syfte, om man har försökt göra en uttömmande förteckning över de uppgifter som avses i lagen. I 2, 4 och 6 punkten i bestämmelsen i propositionen definieras inte datainnehållet i de uppgifter som behövs för prövningen enligt förordningen om bestämmandet av den ansvariga staten, och därför föreslår förvaltningsutskottet att bestämmelserna i fråga preciseras genom att datainnehållet i de uppgifter som behövs fogas till dem. Enligt erhållen utredning motsvarar den information som behövs av polisen i 4 punkten informationen av förundersökningsmyndigheten i 3 punkten, varför det med avvikelse från vad som föreslås i regeringspropositionen föreslås att det i bestämmelsen hänvisas till de uppgifter som behövs av förundersökningsmyndigheten. Rätten enligt 1 d och 3 punkten att få uppgifter av förundersökningsmyndigheterna gäller dock inte personuppgifter som behandlas för att förebygga eller avslöja brott. 
Samtidigt har man gjort en ny bedömning av hur bestämmelserna om de uppgifter som behövs för prövningen enligt förordningen om bestämmandet av den ansvariga staten fördelar sig på olika punkter i momentet och ordalydelsen i dessa bestämmelser. För att bestämmelsen ska bli mer begriplig föreslår förvaltningsutskottet att alla informationsbehov enligt förordningen om bestämmandet av den ansvariga staten ska koncentreras till underpunkterna a—g i 4 mom. 1 punkten. Dessutom föreslås det att ordalydelsen i bestämmelsen ändras så att den direkt hänvisar till artiklar enligt förordningen om bestämmandet av den ansvariga staten, för vilka de uppgifter som räknas upp i bestämmelsen behövs för bedömningen av personens omsorgsförmåga. Den nya formuleringen avviker dock inte innehållsmässigt från den som föreslås i regeringspropositionen. På grund av den föreslagna ändringen behövs det inte längre hänvisningar i momentets övriga punkter till de uppgifter som behövs för prövningen enligt förordningen om bestämmandet av den ansvariga staten. 
Enligt 4 a § i straffregisterlagen (770/1993) lämnas uppgifter om en person ut ur straffregistret till finska myndigheter i ärenden som gäller pass, finskt medborgarskap eller i utlänningslagen avsett visum, tillstånd eller annan åtgärd. Enligt 5 § utlämnas uppgifter ur straffregistret i form av straffregisterutdrag som innehåller de uppgifter om en person som har införts i registret eller en upplysning om att han eller hon inte har antecknats i registret. För att säkerställa Migrationsverkets rätt att få uppgifter ur straffregistret också för bedömning av en persons omvårdnadsförmåga enligt förordningen om bestämmandet av den ansvariga staten samt för bedömning av barnets bästa, möjligheterna till gemensamt liv eller försörjningsförutsättningen som ett led i helhetsbedömningen för att utreda förutsättningarna för uppehållstillstånd och uppehållsrätt, föreslår förvaltningsutskottet att det föreskrivs särskilt om dem i 4 mom. 1 punkten underpunkt c och 2 punkten underpunkt f. Dessutom föreslås ingressen i 2 punkten bli kompletterad med ett omnämnande om straffregister, eftersom det inte är en del av justitieförvaltningens riksomfattande register utan ett separat register. 
Till följd av de ändringar som förvaltningsutskottet föreslagit i 4 mom. blir punkterna 5—8 punkterna 4—7 och punkterna 10 och 11 punkterna 8 och 9. 
Dessutom föreslås det att 4 mom. 8 punkten preciseras så att ordet utrikesförvaltning ersätts med uttrycket ”utrikesministeriet eller beskickningen” som närmare specificerar den myndighet som lämnar ut uppgifterna. 
14 §. Utlämnande av personuppgifter.
Enligt paragrafens 1 mom. får, utöver vad som föreskrivs någon annanstans i lag eller i internationella avtal som är bindande för Finland, sådana uppgifter som samlats in och registrerats med stöd av 1 § trots sekretessbestämmelserna lämnas ut i sådan omfattning som den mottagande myndighetens eller aktörens föreskrivna rätt till information för skötseln av lagstadgade uppgifter medger. I 2 mom. föreskrivs om utlämnande av uppgifter som hör till särskilda kategorier av personuppgifter och i 3 mom. om avgränsning av fingeravtrycksuppgifter. Paragrafen innebär enligt motiven att personuppgifter kan lämnas ut enbart med stöd av en rätt att få uppgifter som anges i nationell lagstiftning. Bestämmelser om utlämnande av personuppgifter till Europeiska unionens gemensamma informationssystem utfärdas särskilt. 
Förvaltningsutskottet hänvisar till grundlagsutskottets utlåtandepraxis, som nämns i den allmänna motiveringen, om myndigheternas rätt att få eller lämna ut uppgifter trots sekretessbestämmelserna. Förvaltningsutskottet har föreslagit att bestämmelser om rätten att få uppgifter mellan de registeransvariga ska finnas i 11 och 12 § och bestämmelser om rätten att få andra uppgifter i 13 §. Bestämmelser om behandlingen av särskilda kategorier av personuppgifter finns i 8 §. Särskilda bestämmelser om hanteringen av uppgifter om fingeravtryck finns i 9 och 10 §. Enligt propositionsmotiven ska 14 § i fortsättningen göra det möjligt att lämna ut uppgifter också till andra än de aktörer som avses i 10 § i lagen om utlänningsregistret. Med stöd av bestämmelsen är det dock inte möjligt att lämna ut uppgifter utan att den mottagande parten i sin egen lagstiftning har rätt att få uppgifterna i fråga. Med beaktande av det som anförts ovan anser utskottet att den föreslagna 14 § är onödig och utskottet föreslår att den stryks. Till följd av detta ändras paragrafnumreringen analogt. 
Slopandet av den 14 § som föreslås i regeringspropositionen har inga konsekvenser i fråga om de bestämmelser om utlämnande av uppgifter som föreslås bli upphävda i mottagningslagen, i förvarslagen och i integrationslagen, eftersom de myndigheter som nämns som mottagare i de bestämmelser som föreslås bli upphävda är registeransvariga enligt den föreslagna personuppgiftslagen för migrationsförvaltningen. Bestämmelser om rätten att få uppgifter mellan dem finns i 11 § i lagen. 
14 (15) §. Utlämnande av uppgifter till Europeiska unionens gemensamma informationssystem.
Paragrafen avses innehålla bestämmelser om Migrationsverkets rätt att trots sekretessbestämmelserna till Europeiska unionens gemensamma informationssystem vilka inrättats genom förordningar som antagits med stöd av avdelning V kapitel 2 i fördraget om Europeiska unionens funktionssätt lämna ut personuppgifter enligt vad som förskrivs i de förordningarna. 
De förordningar genom vilka EU:s gemensamma informationssystem inrättas är direkt tillämplig rätt. I enlighet med 29 § i offentlighetslagen ska det dock föreskrivas särskilt om utlämnande av sekretessbelagda uppgifter. I förordningarna fastställs entydigt vilka uppgifter som ska lagras i systemen. Dessa uppgifter som lagras i informationssystemen i enlighet med förordningarna kan vara antingen uppgifter som den personuppgiftsansvarige själv samlat in och som lagrats i ärendehanteringssystemet för utlänningsärenden eller i det nationella informationssystemet för viseringar eller uppgifter som den registeransvarige med stöd av sin rätt att få uppgifter fått av en annan myndighet och lagrat. 
Exempelvis i Europaparlamentets och rådets förordning (EG) nr 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) föreskrivs det om skyldighet för medlemsstaternas myndigheter att föra in inreseförbudsregistreringar i Schengens informationssystem. Om skyldighet för medlemsstaternas myndigheter att i Schengens informationssystem föra in inreseförbudsregistreringar och som ny registreringskategori registreringar om återvändande föreskrivs det också i de så kallade SIS-förordningarna som upphäver den nämnda förordningen: Europaparlamentets och rådets förordning (EU) 2018/1860 om användning av Schengens informationssystem för återvändande av tredjelandsmedborgare som vistas olagligt i medlemsstaterna, Europaparlamentets och rådets förordning (EU) 2018/1861 om inrättande, drift och användning av Schengens informationssystem (SIS) på området in- och utresekontroller, om ändring av konventionen om tillämpning av Schengenavtalet och om ändring och upphävande av förordning (EG) nr 1987/2006 samt Europaparlamentets och rådets förordning (EU) 2018/1862 om inrättande, drift och användning av Schengens informationssystem (SIS) på området polissamarbete och straffrättsligt samarbete, om ändring och upphävande av rådets beslut 2007/533/RIF och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1986/2006 och kommissionens beslut 2010/261/EU. 
De inreseförbud som registreras i Schengens informationssystem görs upp i ärendehanteringssystemet för utlänningsärenden. Avsikten är också att den nya registreringskategorin registreringar om återvändande ska genomföras i ärendehanteringssystemet för utlänningsärenden. Behöriga myndigheter som fattar beslut om återvändande och inreseförbud med stöd av 151 och 152 § i utlänningslagen är polisen, gränskontrollmyndigheten och Migrationsverket. Enligt 3 § 21 punkten i utlänningslagen avses med gränskontrollmyndighet gränsbevakningsväsendet och andra myndigheter som har rätt att genomföra in- och utresekontroller enligt Europaparlamentets och rådets förordning (EG) nr 562/2006 om en gemenskapskodex om gränspassage för personer (kodex om Schengengränserna). Kodexen om Schengengränserna kodifierades senare genom Europaparlamentets och rådets förordning (EU) 2016/399. Enligt 12 § i gränsbevakningslagen (578/2005) utfärdas bestämmelser om fördelningen av gränskontrolluppgifter mellan gränsbevakningsväsendet, polisen och Tullen vid olika gränsövergångsställen genom förordning av statsrådet. I 10 § i statsrådets förordning om gränsövergångsställen och om fördelning av gränskontrolluppgifter vid dem (901/2006) föreskrivs om fördelningen av gränskontrolluppgifter mellan polisen, Tullen och Gränsbevakningsväsendet. De facto har registreringar i ärendehanteringssystemet för utlänningsärenden gjorts av Migrationsverket, polisen och Gränsbevakningsväsendet. 
I motsats till vad som konstateras i propositionsmotiven är bestämmelserna om utlämnande av uppgifter exempelvis till Schengens informationssystem i polisens och Gränsbevakningsväsendets personuppgiftslagar enligt utredningen inte tillämpliga på utlämnande av uppgifter som polisen och Gränsbevakningsväsendet fört in i ärendehanteringssystemet för utlänningsärenden till EU:s gemensamma informationssystem. Därför är det nödvändigt att i den föreslagna lagen till denna del föreskriva också om polisens och Gränsbevakningsväsendets rätt att lämna ut uppgifter. 
De uppgifter som ska ingå i inreseförbudskungörelser och kungörelser om återsändande är sådana uppgifter som Migrationsverket, polisen och Gränsbevakningsväsendet i enlighet med 3 § i den föreslagna lagen behandlar i behandlingssyfte enligt 1 § 1 mom. 1 punkten och som behövs för skötseln av uppgifter enligt 9 kap. i utlänningslagen. 
I kapitel II i VIS-förordningen föreskrivs om viseringsmyndigheternas registrering och användning av uppgifter. Viseringsmyndigheter enligt definitionen i artikel 4.3 i VIS-förordningen är med stöd av 30 och 31 § i utlänningslagen utrikesministeriet, Finlands beskickning, polisen, Gränsbevakningsväsendet, Tullen och Migrationsverket. Utrikesministeriet är den centrala myndighet som ansvarar för viseringsärenden och hör till de viseringsmyndigheter som avses i artikel 4.3 i VIS-förordningen. 
När viseringsbestämmelserna i utlänningslagen ändras så att de motsvarar Europaparlamentets och rådets förordning (EG) nr 810/2009 om införande av en gemenskapskodex om viseringar (viseringskodex) konstateras det i regeringens proposition (RP 275/2010 rd) att i motsats till en del andra medlemsstater har Finland inte ett system där en central myndighet som ansvarar för viseringsärenden deltar i viseringsbesluten så att den centrala myndigheten själv fattar visumbeslutet i stället för den beskickning eller den myndighet som ansvarar för personkontroller som avses i artikel 4.1 och 4.2 i viseringskodexen. Nuförtiden är det dock också möjligt för utrikesministeriet att delta i beslutsfattandet om visum. Viseringskodexen har ändrats genom förordning (EU) 2019/1155 så att medlemsstaterna kan besluta att ansökningar ska behandlas och beslut fattas av de centrala myndigheterna. 
Enligt utredningen är de uppgifter som ska föras in i EU:s informationssystem för viseringar (VIS) sådana uppgifter som behövs för att sköta uppgifter enligt 3 kap. i utlänningslagen som utrikesministeriet, beskickningen, Migrationsverket, polisen, Gränsbevakningsväsendet och Tullen i enlighet med 5 § i den föreslagna lagen behandlar i det nationella informationssystemet för viseringar för syften enligt 1 § 1 mom. 1 punkten. 
Med stöd av det som konstaterats ovan föreslår utskottet att bestämmelsen kompletteras så att det utöver Migrationsverket också nämns utrikesministeriet, beskickningen, polisen, Gränsbevakningsväsendet och Tullen. 
15 (16) §. Radering av uppgifter.
I den föreslagna paragrafen föreskrivs om radering av personuppgifter ur de system där de behandlas. Artikel 6.3 i dataskyddsförordningen ger möjlighet att införa nationell lagstiftning om uppgifternas lagringstid. I enlighet med den princip som gäller uppgiftsminimering i artikel 5.1 c och lagringsminimering i artikel 5.1 e ska tidsfristerna för radering av uppgifter bygga på att uppgifterna behöver lagras bara den tid som den personuppgiftsansvarige behöver för att utföra sina lagstadgade uppgifter och som behövs för övervakningen av att lagar följs samt som är motiverad med avseende på individens rättssäkerhet. 
För tydlighetens skull konstaterar utskottet att personuppgifter efter det att den lagstadgade lagringstiden löpt ut raderas antingen genom att de förstörs eller överförs till arkivet i enlighet med vad arkivverket bestämmer om varaktig förvaring av handlingar eller uppgifter i handlingar. Bestämmelser om utplåning av uppgifter som konstaterats vara felaktiga finns i 17 § i lagförslaget. Bestämmelser om den myndighet som ansvarar för utplåning av uppgifter finns i 3 och 5 § i lagförslaget, enligt vilka ansvaret för att utplåna personuppgifter ligger hos den personuppgiftsansvarige som ansvarar för uppgifterna, men det är möjligt att i ärendehanteringssystemet för utlänningsärenden koncentrera utplåningen av uppgifterna till Migrationsverket och i det nationella informationssystemet för viseringar till utrikesministeriet. 
Arkivverket har med stöd av 8 § 3 mom. i arkivlagen (831/1994) bestämt att de uppgifter som lagrats i ärendehanteringssystemet för utlänningsärenden ska förvaras varaktigt. Efter raderingen bevaras de uppgifter som lagrats i ärendehanteringssystemet för utlänningsärenden varaktigt i ärendehanteringssystemet för utlänningsärenden med stöd av arkivverkets föreskrift. De tjänstemän som använder ärendehanteringssystemet för utlänningsärenden har inte tillgång till de arkiverade uppgifterna. 
16 (17) §. Personuppgift som konstaterats vara felaktig.
Enligt 1 mom. i den paragraf som föreslås i regeringspropositionen får personuppgifter som konstaterats vara felaktiga bevaras i samband med en rättad personuppgift, om det behövs för att trygga rättigheterna för den registrerade, någon annan part eller en person som hör till den personuppgiftsansvariges personal. En sådan uppgift får behandlas endast i detta syfte. Enligt paragrafens 2 mom. ska en personuppgift som konstaterats vara felaktig utplånas genast när den inte längre behövs för tryggande av rättigheter, dock senast fem år efter att felet uppdagats. 
Enligt artikel 16 i förordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Enligt motiveringen till regeringspropositionen begränsar den föreslagna 17 § inte rätten att rätta uppgifter, men i de situationer som avses i 1 mom. är det möjligt att bevara uppgifter som konstaterats vara felaktiga i samband med de rättade uppgifterna. Paragrafen föreslås innehålla bestämmelser om bevaring en personuppgift som konstaterats vara felaktig i sådana fall att det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till den personuppgiftsansvariges personal har. I förhållande till 9 § 2 mom. i utlänningsregisterlagen förändrar förslaget rättsläget på så sätt att också tryggande av andra parters rättigheter är relevant exempelvis när det gäller familjemedlemmars uppehållstillstånd. 
I propositionsmotiven hänvisas bland annat till artikel 5.1 d i dataskyddsförordningen. Enligt den ska personuppgifter vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (”exakthet”). Enligt artikel 5.1 e får dessutom personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (”begränsning av lagring”). 
I artikel 6 i dataskyddsförordningen föreskrivs om laglig behandling av personuppgifter. I punkt 3 andra stycket sägs att syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat lagringstid. Unionsrätten eller medlemsstatens nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. 
Dessutom betonas i skäl 39 i ingressen till dataskyddsförordningen bl.a. att ”Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Alla rimliga åtgärder bör vidtas för att rätta eller radera felaktiga uppgifter.” 
Enligt artikel 23.1 i ska det vara möjligt att i lagstiftningen begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12—22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa skydd av den registrerade eller andras rättigheter och friheter. Enligt punkt 2 ska sådana lagstiftningsåtgärder vid behov innehålla särskilda bestämmelser om bland annat lagringstider och tillämpliga skyddsåtgärder, med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling. 
Utskottet anser att dataskyddsförordningen innehåller ett nationellt spelrum som möjliggör den föreslagna paragrafen. Förslaget begränsar inte den registrerades rätt till rättelse av uppgifter, och lagring av uppgifter som konstaterats vara felaktiga kan i detta sammanhang anses vara en nödvändig och proportionerlig åtgärd för att trygga rättigheter och friheter hos den registrerade, någon annan part eller den personuppgiftsansvariges personal. Utskottet betonar att alla personuppgifter måste behandlas på ett sådant sätt att det säkerställs att de är säkra och konfidentiella, vilket bland annat förhindrar obehörig åtkomst till personuppgifter eller utrustning som används för behandlingen av dem samt obehörig användning av sådana uppgifter eller sådan utrustning. 
Enligt paragrafens föreslagna 2 mom. ska en personuppgift som konstaterats vara felaktig utplånas genast när den inte längre behövs för tryggande av rättigheter, dock senast fem år efter att felet uppdagats. För att minimera lagringen av felaktiga uppgifter (artikel 5.1 c i dataskyddsförordningen) föreslår utskottet att den maximala tidsfristen på fem år stryks. 
17 (18) §. Arkivering av uppgifter.
Enligt förslaget ska det föreskrivas särskilt om arkivväsendets uppgifter och om de handlingar som ska överföras till arkivet. Enligt detaljmotiveringen till propositionen avser formuleringen vad som föreskrivs i den gällande arkivlagen eller med stöd av den. En motsvarande hänvisningsbestämmelse ingår också till exempel i polisens personuppgiftslag och i Gränsbevakningsväsendets personuppgiftslag. 
För tydlighetens skull konstaterar utskottet att arkivbildaren är varje registeransvarig för vars räkning Migrationsverket i ärendehanteringssystemet för utlänningsärenden och utrikesministeriet i det nationella informationssystemet för viseringar vidtar de arkiveringsåtgärder som behövs med stöd av avtalet om behandling av personuppgifter. 
18 (19) §. Tillgodoseende av den registrerades rätt att få tillgång till egna uppgifter.
I paragrafens 1 mom. sägs att en registrerad som vill utöva sin rätt att få tillgång till egna uppgifter ska framställa en skriftlig begäran om detta till den personuppgiftsansvarige samt styrka sin identitet antingen med handlingar som anses tillförlitliga eller personligen för den personuppgiftsansvarige eller genom stark autentisering. 
I artikel 15 i dataskyddsförordningen föreskrivs det om den registrerades rätt att få tillgång till uppgifter om honom eller henne. Enligt artikeln ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och de uppgifter som räknas upp i artikeln. I artikeln föreskrivs inte i vilken form den registrerade ska lämna in sin begäran. Enligt punkt 3 sägs att om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat. 
I skäl 63 i ingressen till dataskyddsförordningen konstateras bl.a. att den registrerades rätt inte bör inverka menligt på andras rättigheter eller friheter. Resultatet av dessa överväganden bör dock inte bli att den registrerade förvägras all information. Om den personuppgiftsansvarige behandlar en stor mängd uppgifter om den registrerade, bör den personuppgiftsansvarige kunna begära att den registrerade lämnar uppgift om vilken information eller vilken behandling en framställan avser, innan informationen lämnas ut. 
Syftet med den föreslagna paragrafen är inte att begränsa den registrerades rätt att få tillgång till sina egna uppgifter enligt artikel 15 i dataskyddsförordningen. Utskottet konstaterar att en persons privatliv ska skyddas vid utövandet av den registrerades rätt att få tillgång till sina egna uppgifter genom att man försäkrar sig om identiteten på mottagaren av personuppgifterna. De personuppgifter som är föremålet för denna rätt kan vara känsliga eller sekretessbelagda uppgifter. Därför måste det nås visshet om att den som uppgifterna lämnas ut till verkligen är den person som uppgifterna gäller. Samtidigt bör också rättigheterna för de andra som avses i skäl 63 i ingressen beaktas. I skäl 64 i ingressen till dataskyddsförordningen konstateras vidare att personuppgiftsansvariga bör vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad som begär tillgång, särskilt inom ramen för nättjänster och i fråga om nätidentifierare. Personuppgiftsansvariga bör inte behålla personuppgifter enbart för att kunna agera vid en potentiell begäran. 
I artikel 12 i dataskyddsförordningen föreskrivs det om hur och i vilken form den personuppgiftsansvarige ska lämna uppgifterna till den registrerade. Enligt punkt 2 ska den personuppgiftsansvarige underlätta utövandet av den registrerades rättigheter i enlighet med artiklarna 15—22. I de fall som avses i artikel 11.2 får den personuppgiftsansvarige inte vägra att handla på begäran av den registrerade för att utöva dennes rättigheter enligt artiklarna 15—22, såvida inte den personuppgiftsansvarige visar att den personuppgiftsansvarige inte kan identifiera den registrerade. 
Utskottet anser att bestämmelserna i den i propositionen föreslagna 19 § inte överlappar bestämmelserna i dataskyddsförordningen, utan syftar till att främja tillgodoseendet av den registrerades rättigheter i enlighet med förutsättningarna i dataskyddsförordningen. En registrerad som vill utöva sin rätt att få tillgång till egna uppgifter ska enligt förslaget framställa en skriftlig begäran om detta samt styrka sin identitet antingen med handlingar som anses tillförlitliga eller personligen för den personuppgiftsansvarige eller genom stark autentisering. Enligt propositionsmotiven kan begäran göras exempelvis genom en begäran per e-post eller vanlig post eller med en blankett i samband med ett personligt besök. Utskottet betonar att det inte krävs någon formbunden skriftlig begäran. Begäran kan på den registrerades vägnar också framföras av en annan person, exempelvis en företrädare eller ett biträde. 
I 2 mom. föreslås i fråga om begäran till polisen och Gränsbevakningsväsendet om rätt att kontrollera egna uppgifter i regeringspropositionen en reglering som avviker från huvudregeln, så att det förfarande som ingår i polisens och Gränsbevakningsväsendets personuppgiftslagar ska tillämpas på begäran som riktas till polisen och Gränsbevakningsväsendet. Målet har varit att säkerställa att samma förfarande alltid tillämpas på begära som riktas till polisen och Gränsbevakningsväsendet oberoende av om begäran grundar sig på myndighetens egen personuppgiftslag eller på lagen om behandling av personuppgifter inom migrationsförvaltningen. Förvaltningsutskottet anser att detta är en klar och konsekvent lösning ur både myndighetens och den registrerades synvinkel. Utskottet anser att 2 mom. med beaktande av detta syfte bör preciseras ytterligare. 
Dessutom är det av ovan nämnda skäl nödvändigt att till 2 mom. foga en motsvarande hänvisning också till 35 § i Tullens personuppgiftslag. Utskottet föreslår att en bestämmelse om detta fogas till slutet av 2 mom. 
I det föreslagna 2 mom. hänvisas det till uppgifter i polisens, Gränsbevakningsväsendets och Tullens register. I praktiken är registerföringen bunden till de uppgifter som myndigheten lagrat, men formuleringen beaktar också vad som i 3 § 3 mom. med avvikelse från huvudregeln föreskrivs om Migris registeransvar. 
På behandling av personuppgifter som utförs av skyddspolisen inom tillämpningsområdet för lagen om behandling av personuppgifter inom migrationsförvaltningen tillämpas i enlighet med den föreslagna 2 § som allmän lag lagen om dataskydd i brottmål. Därför används terminologin i den lagen i det nya 3 mom. i denna paragraf. Genom 23 § om den registrerades rätt till insyn i dataskyddslagen för brottmål har den registrerades rätt att få tillgång till sina egna personuppgifter enligt artikel 14 i dataskyddsdirektivet för brottmål genomförts. 
Enligt det föreslagna nya 3 mom. ska en begäran om utövande av rätten till insyn i uppgifter i skyddspolisens registerföring framställas till polisen i enlighet med 41 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet. Målet är att säkerställa att på motsvarande sätt som i fråga om polisen, Gränsbevakningsväsendet och Tullen tillämpas alltid samma förfarande på begäran om uppgifter i skyddspolisens registerföring oberoende av om det är fråga om uppgifter som omfattas av myndighetens egen personuppgiftslag eller av lagen om behandling av personuppgifter inom migrationsförvaltningen. I 41 § 2 mom. i polisens personuppgiftslag avses med registeransvarig Polisstyrelsen. Inspektionsrätten ska kunna utövas på samma sätt som enligt polisens personuppgiftslag genom att lämna in en begäran om utövande av inspektionsrätten till polisinrättningen och samtidigt styrka sin identitet. Om polisen möjliggör att en begäran om rätt till insyn lämnas in elektroniskt, kan en begäran om rätt till insyn som gäller personuppgifter som behandlas av skyddspolisen lämnas in på samma sätt via polisen. 
19 (20) §. Den registrerades rätt till begränsning av behandling.
I propositionen föreslås att den registrerades rätt att behandling av sina personuppgifter enligt artikel 18 i paragrafen begränsa dataskyddsförordningen ska begränsas i paragrafen. Det är enligt motiven med stöd av artikel 23.1 h och i möjligt att genom nationella lagstiftningsåtgärder begränsa också de rättigheter och skyldigheter som avses i artikel 18, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa myndighets tillsyns-, inspektions- eller regleringsfunktion (underpunkt h) eller skydd av den registrerade eller andras rättigheter och friheter (underpunkt i). 
Enligt motiveringen till propositionen ska grunden för en begäran om begränsning som en registrerad inom migrationsförvaltningen framställer sannolikt alltid vara att uppgifterna är oriktiga. Om behandlingen av personuppgifter alltid automatiskt begränsades på den registrerades begäran till dess att den personuppgiftsansvarige har försäkrat sig om att uppgiften stämmer, skulle det beroende på typen av uppgift vara möjligt att beslutsprocessen stannar upp för den tid det tar att kontrollera uppgifternas riktighet både inom migrationsförvaltningen och hos de myndigheter som använder uppgifter från migrationsförvaltningen för sina beslut. Migrationsförvaltningens beslutsfattande bygger på lag. Det är av avgörande betydelse att bekräftelse fås på att de uppgifter som besluten bygger på är riktiga. Annars går det inte att säkerställa riktiga beslut och att garantera den berörda personens rättssäkerhet. 
Bestämmelser om den registrerades rätt att begränsa behandlingen av sina personuppgifter på den grunden att den registrerade bestrider uppgifternas riktighet finns i artikel 18.1 a i dataskyddsförordningen. Men den föreslagna paragrafen är propositionerna så formulerad att begränsningen av den registrerades rätt gäller hela tillämpningsområdet för artikel 18. Även om utgångspunkten är att en begäran om begränsning av en registrerad inom migrationsförvaltningen sannolikt grundar sig på artikel 18.1 a, håller en tolkning av dataskyddsförordningen först på att uppstå och alla tillämpningsfall kan enligt utskottets uppfattning inte förutses helt. Motiveringarna till uppgifternas användbarhet vikt för myndighetsarbetet gäller alla situationer där uppgifterna ska begränsas. För den händelse att tolkningen av förordningen senare skulle visa att begränsning kan begäras också med stöd av andra underpunkter, bör bestämmelsen enligt utskottets bedömning inte begränsas enbart till artikel 18.1 a. 
Förvaltningsutskottet konstaterar att artikel 18.2 redan i sig inkluderar möjligheten att begränsa tillämpningen av artikeln exempelvis för ett viktigt allmänintresse för en medlemsstat. Det förefaller därför som att den registrerades rättigheter kan begränsas direkt med stöd av dataskyddsförordningen när det är nödvändigt för skötseln av myndighetens lagstadgade uppgifter. 
Skäl 67 i ingressen till dataskyddsförordningen beskriver på vilket sätt behandlingen kan begränsas. Enligt den kan sätten att begränsa behandlingen av personuppgifter bland annat inbegripa att man tillfälligt flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör klart anges inom systemet. 
Enligt den utredning som lagts fram för utskottet kan tillgodoseendet av den registrerades rätt enligt artikel 18 ha betydande konsekvenser för behandlingen av personuppgifter vid produktionen, beslutsfattandet och övervakningen av migrationsförvaltningens tjänster, exempelvis med tanke på upprätthållandet av ordningen och säkerheten vid förläggningar och flyktingslussar samt förvarsenheter samt skötseln av uppgifter inom övervakning av utlänningar. Också förutsättningarna för myndigheternas beslutsprövning och övervakning inom Migrationsförvaltningen enligt 212 § i utlänningslagen kan äventyras, om den registrerade till exempel bestrider riktigheten av uppgifterna om ett hinder för beviljande eller giltighet av uppehållstillstånd och den information som eventuellt är väsentlig med tanke på tillståndsprövningen således inte kan användas vid beslutsfattandet i samband med det eller vid övervakningen av uppehållsrätten. Om tillämpningen av en begränsning som grundar sig på ett viktigt allmänt intresse enligt artikel 18.2 i dataskyddsförordningen anses förutsätta sådan automatisering av funktioner som krävs för begränsning av behandlingen som nämns i skäl 67 i ingressen, föranleder detta dessutom betydande ändringsbehov i ärendehanteringssystemet för utlänningsärenden och i det nationella informationssystemet för viseringar. 
Det är fråga om att garantera andra personers rättigheter och friheter exempelvis där syftet är att trygga ordningen och säkerheten hos förläggningar och flyktingslussar samt förvarsenheter och på så sätt göra det möjligt att få tillgång till tjänster, eller där den registrerade till exempel kan förhindra behandlingen av en familjemedlems ansökan genom att bestrida uppgifternas riktighet. Enligt 1 § i utlänningslagen är syftet med lagen att genomföra och främja god förvaltning och rättssäkerhet i utlänningsärenden. Syftet med lagen är dessutom att främja reglerad invandring och internationellt skydd med respekterande av de mänskliga rättigheterna och de grundläggande fri- och rättigheterna samt med beaktande av internationella fördrag som är förpliktande för Finland. Beslutsfattandet inom migrationsförvaltningen är i sig i enlighet med 1 § i utlänningslagen övervakning av förutsättningarna för inresa och uppehållsrätten i landet. 
Eftersom det i detta avseende ännu inte har uppstått någon myndighets- eller rättspraxis i fråga om tillämpningen av dataskyddsförordningen, anser förvaltningsutskottet att det i detta uttryckliga fall med hänsyn till det ovan nämnda är möjligt att begränsa den registrerades rättigheter på basis av artikel 23 i dataskyddsförordningen på det sätt som föreslås i propositionen. 
Enligt artikel 23.2 i dataskyddsförordningen ska lagstiftningsåtgärder som begränsar den registrerades rättigheter enligt behov innehålla specifika bestämmelser som gäller de faktorer som räknas upp i punkten i fråga, bland annat skyddsåtgärder. 
Utskottet konstaterar att bestämmelsen inte begränsar den registrerades rätt att kräva rättelse av oriktiga eller felaktiga uppgifter med stöd av artikel 16 i dataskyddsförordningen. En garanti för den registrerades rättsskydd är också de övriga rättigheter som anges i kapitel III i dataskyddsförordningen, som gäller den registrerades rättigheter, samt i kapitel VIII, som gäller rättsmedel, ansvar och påföljder. Om den registrerade anser att behandlingen av hans eller hennes personuppgifter är lagstridig, har den registrerade till exempel möjlighet att anhängiggöra ärendet i enlighet med artikel 77 i dataskyddsförordningen genom att anföra besvär hos tillsynsmyndigheten. Den registrerade kan också med stöd av förvaltningslagen (434/2003) anhängiggöra ett yrkande på att den lagstridiga behandlingen av personuppgifter ska upphöra. Då ska den personuppgiftsansvarige avgöra ärendet med iakttagande av förvaltningslagens procedurbestämmelser. Enligt utskottets bedömning kan det föreslagna undantaget således anses ringa med tanke på den registrerades rättsskydd, med beaktande av hur god förvaltning och rättssäkerhet annars tryggas vid den personuppgiftsansvariges behandling av personuppgifter. 
I dataskyddslagen avseende brottmål föreskrivs om begränsning av den registrerades rättigheter i 28 §. 
21 §. Automatiserat individuellt beslutsfattande.
Med hänvisning till grundlagsutskottets utlåtande och det som konstateras i den allmänna motiveringen föreslår utskottet att paragrafen stryks ur lagförslaget. Till följd av detta ändras paragrafnumreringen analogt. 
20 (22) §. Dataskyddsbrott.
Utskottet föreslår att paragrafens rubrik ändras till ”Hänvisning till strafflagen”, eftersom det inte föreskrivs om dataskyddsbrott utan endast om en informativ hänvisningsbestämmelse. Bestämmelser om dataskyddsbrott finns i 38 kap. 9 § i strafflagen (39/1889). 
22 (24) §. Övergångsbestämmelse.
Utskottet korrigerar hänvisningen till bestämmelsen så att den motsvarar den ändrade paragrafnumreringen. 
2. Lag om ändring av lagen om mottagande av personer som söker internationellt skydd och om identifiering av och hjälp till offer för människohandel
58 §. Rätt att få information.
Med hänvisning till grundlagsutskottets utlåtande föreslår utskottet att myndigheterna i 1, 2 och 3 mom. specificeras närmare med beaktande av principen om åtskillnad så att förläggningen och flyktingslussen nämns separat i bestämmelserna. Ändringen påverkar inte den svenska texten. 
3. Lag om ändring av lagen om bemötande av utlänningar som tagits i förvar och om förvarsenheter
34 §. Sekretess.
I propositionen har man för tydlighetens skull strävat efter att koncentrera de personuppgiftsansvarigas rätt att få uppgifter till lagen om behandling av personuppgifter inom migrationsförvaltningen. Därför föreslås det att 5 a kap. i förvarslagen, som gäller register, ska upphävas och att det i 11 § i lagen om behandling av personuppgifter inom migrationsförvaltningen ska föreskrivas om överföring mellan olika myndigheter av uppgifter som lagrats i register enligt förvarslagen. Dessutom föreslås det att 34 § i förvarslagen ändras så att där inte längre i fråga om rätt att få uppgifter ska hänvisas till 58 § i mottagningslagen, eftersom bestämmelser om rätten för de registeransvariga enligt lagen om behandling av personuppgifter inom migrationsförvaltningen att få uppgifter av aktörer utanför systemen finns samlade i 13 § i lagen om behandling av personuppgifter inom migrationsförvaltningen. Den 34 § som föreslås i propositionen innehåller således endast en hänvisning till offentlighetslagen som gäller tystnadsplikt. 
I enlighet med grundlagsutskottets utlåtande har man strävat efter att väsentligt precisera bestämmelserna om rätten att få uppgifter i lagen om behandling av personuppgifter inom migrationsförvaltningen. I detta sammanhang har man ännu på nytt bedömt rätten att få uppgifter enligt 34 § 1 mom. i den gällande förvarslagen och konstaterat att för att det nuvarande rättsläget ska kunna bevaras ska 34 § i förvarslagen kompletteras med bestämmelser om rätten för offentliga och privata tjänsteleverantörer, företrädare för barn utan vårdnadshavare samt polisen och Gränsbevakningsväsendet att få uppgifter på motsvarande sätt som 58 § i mottagningslagen. 
När mottagningslagen stiftades preciserades 58 § väsentligt under riksdagsbehandlingen, bland annat genom att rätten att få uppgifter enligt 3 och 4 kap. samt 41 § i mottagningslagen kopplades till fullgörandet av uppgifterna (FvUB 38/2010 rd, GrUU 59/2010 rdRP 266/2010 rd). I dessa uppgifter är det fråga om mottagningstjänster och ett system för hjälp till offer för människohandel samt uppgifter som företrädare för barn utan vårdnadshavare. Senare har det vid ändringen av mottagningslagen i samband med systemet för hjälp till offer för människohandel till 58 § 1 mom. tillfogats att uppgifter ska ges till förundersökningsmyndigheter som i förarbetena till lagen avser polisen och Gränsbevakningsväsendet (FvUB 58/2014 rdRP 266/2014 rd). Även om det i fråga om förvarsenhetens verksamhet enligt 1 § 2 mom. i förvarslagen i tillämpliga delar gäller vad som föreskrivs i lagen om mottagande av personer som söker internationellt skydd och om identifiering av och hjälp till offer för människohandel, är det dock inte helt klart vad innehållet i den gällande rätten att få uppgifter enligt 34 § 1 mom. i förvarslagen innebär. 
Enligt 1 § 1 mom. i förvarslagen är syftet med lagen att ordna bemötandet av utlänningar som tagits i förvar med stöd av 121 och 122 § i utlänningslagen i förvarsenheter som reserverats särskilt för detta ändamål. Enligt 1 § 3 mom. i förvarslagen tillämpas i första hand förvarslagen också på utlänningar som placerats i polisens eller Gränsbevakningsväsendets häkteslokaler. I 3 § i förvarslagen sägs att Migrationsverket ansvarar för styrningen, planeringen och övervakningen av förvarsenheternas praktiska verksamhet. I 3 kap. i förvarslagen föreskrivs det om ordnande av utkomst och vård. På motsvarande sätt som inom mottagningsverksamheten kan även hälso- och sjukvårdstjänster enligt 13 § i förvarslagen köpas av privata eller offentliga serviceproducenter. Därför ska den offentliga och privata tjänsteproducent som producerar tjänster enligt 3 kap. i förvarslagen av förvarsenheten och Migrationsverket få de uppgifter som är nödvändiga för att dessa tjänster ska kunna tillhandahållas. 
I 122 § i utlänningslagen föreskrivs det om tagande av barn i förvar. I paragrafens 1 mom. 3 punkt sägs att för att ett barn ska få tas i förvar måste en socialarbetare i tjänsteförhållande som förordnats av det organ som svarar för socialvården ha getts tillfälle att bli hörd. I 41 § i mottagandelagen föreskrivs om uppgifterna som företrädare för barn utan vårdnadshavare. Därför är det nödvändigt att en företrädare för ett barn utan vårdnadshavare för skötseln av sina uppgifter får information av förvarsenheten och Migrationsverket samt av en offentlig eller privat serviceproducent som producerar tjänster enligt 3 kap. i förvarslagen. 
Förvarsenheten och Migrationsverket registrerar uppgifter om personer som tagits i förvar i ärendehanteringssystemet för utlänningsärenden. Polisen och Gränsbevakningsväsendet fattar beslut om tagande i förvar i informationssystemet för polisärenden. 
Nedan föreslår utskottet att ett nytt 18:e lagförslag godkänns, enligt vilket bestämmelser om polisens rätt att få uppgifter ur ärendehanteringssystemet för utlänningsärenden för skötseln av sina uppgifter enligt förvarslagen finns i 16 § 1 mom. 8 punkten i polisens personuppgiftslag. Bestämmelser om gränsbevakningsväsendets rätt att få uppgifter av myndigheter finns i 19 § i den gällande personuppgiftslagen för gränsbevakningsväsendet. Utskottet konstaterar att dessa bestämmelser gör det möjligt att få behövlig information av andra myndigheter. Polisen och Gränsbevakningsväsendet ska dock kunna få för skötseln av sina uppgifter nödvändiga uppgifter om hälsan hos de personer som hålls i de nämnda myndigheternas häkteslokaler av den offentliga och även privata serviceproducent som producerar tjänster enligt 3 kap. i förvarslagen. 
Med stöd av det som konstaterats ovan föreslår utskottet att det till paragrafen fogas ett nytt 1 mom. där det föreskrivs om polisens och Gränsbevakningsväsendets rätt att av ovan avsedda offentliga eller privata serviceproducenter få de uppgifter som är nödvändiga för att de ska kunna utföra sina uppgifter enligt 3 kap. i förvarslagen. Dessutom är det nödvändigt att till paragrafen foga ett nytt 2 mom. om rätten för offentliga och privata tjänsteproducenter som producerar tjänster enligt 3 kap. att få information och ett nytt 3 mom. om rätten för en företrädare som förordnats för ett barn utan vårdnadshavare att få information. Av utskottet förslag följer att propositionens föreslagna 4 § 1 mom. blir 4 mom
Med beaktande av de ändringar som föreslås ovan är det motiverat att paragrafens rubrik hålls i överensstämmelse med den gällande lagen. 
4. Lag om ändring av lagen om främjande av integration
87 §. Rätt att få information.
Med anledning av grundlagsutskottets utlåtande föreslår utskottet att myndigheterna i 3 mom. specificeras närmare med beaktande av principen om åtskillnad så att förläggningen och flyktingslussen nämns separat i bestämmelserna. Ändringen påverkar inte den svenska texten. 
8. Lag om ändring av 24 § i lagen om offentlighet i myndigheternas verksamhet
24 §. Sekretessbelagda myndighetshandlingar.
Med hänvisning till grundlagsutskottets utlåtande och det som konstateras i den allmänna motiveringen föreslår förvaltningsutskottet att bestämmelsen preciseras och avgränsas så att definitionen av handlingar genom myndighetskrets slopas, att handlingarna avgränsas till att gälla behovet av internationellt skydd, förutsättningarna för utlänningars inresa och uppehållsrätt i landet eller grunden för dem eller erhållande eller förlust av finskt medborgarskap eller bestämmande av medborgarskapsstatus samt att olägenhet och skada stryks ur sekretessgrunderna. Som grund för sekretess i paragrafens 24 punkt kvarstår således på motsvarande sätt som i den gällande offentlighetslagen äventyrande av säkerheten. Enligt utskottets förslag är handlingar sekretessbelagda endast om det inte är uppenbart att utlämnandet av uppgifter om dem inte äventyrar säkerheten för parten eller partens närstående. Till följd av ändringarna blir också den indelning i förvaltningsbeslut och andra handlingar som ingår i bestämmelsen onödig. 
I den bestämmelse som utskottet föreslår avses med behov av internationellt skydd eller grund för det en bedömning av behovet av flyktingstatus eller status som alternativt skyddsbehövande enligt 3 § 13 punkten i utlänningslagen, varför flyktingar och asylsökande enligt 24 § 1 mom. 24 punkten i den gällande offentlighetslagen fortfarande omfattas av skyddet. Bestämmelsen omfattar också sådana uppgifter om personer som vistas i förläggningar som avses i mottagningslagen, eftersom uppgiften om att personen har fått mottagningstjänster innebär att personen har ansökt om internationellt skydd. Tillämpningen av bestämmelsen är dock inte direkt bunden till huruvida en person uppfyller förutsättningarna för internationellt skydd i lag, det vill säga huruvida personen är i behov av skydd eller inte, utan bestämmelsen tillämpas enligt en bedömning från fall till fall som görs vid tidpunkten i fråga. Vid bedömningen från fall till fall beaktas personens bakgrund, de uppgifter om hans eller hennes situation som vid den tidpunkten finns tillgängliga och det eventuella nuvarande eller framtida hotet. Tillämpningen är inte heller beroende av om personen är sökande eller någon annan part i ärendet, och bestämmelsen kan också tillämpas på någon annan person vars uppgifter finns i handlingarna. 
Med förutsättningarna för utlänningars inresa och uppehållsrätt i landet eller grunder för dem avses till exempel uppgifter som behandlas med stöd av utlänningslagen, ICT-lagen, säsongsarbetslagen eller forskar- och studerandelagen och som gäller resedokument samt beviljande av resetillstånd, visum, olika typer av uppehållstillstånd, betänketid eller uppehållstillståndskort samt registrering av uppehållsrätt för EU-medborgare eller därmed jämförbara personer eller beviljande av uppehållskort för dennes familjemedlemmar. Bestämmelsen omfattar också uppgifter om avslag på ansökan om, upphävande eller återkallande av visering eller om återkallande eller förfall av uppehållstillstånd, registrering av uppehållsrätt eller uppehållskort, övervakning av uppehållsrätten i landet, avvisning eller utvisning av personer. Bestämmelsen tillämpas också på uppgifter om offer för människohandel enligt mottagningslagen, eftersom uppgift om en person som omfattas av systemet för hjälp till offer för människohandel och dess tjänster och stödåtgärder innebär att personen är offer för människohandel. Bestämmelsen omfattar också uppgifter enligt förvarslagen om personer i förvarsenheten, eftersom det är fråga om en säkringsåtgärd som hänför sig till utredning av uppehållsrätten i landet eller beslut om den. Dessa handlingar används för att bedöma om utlänningen har rätt att resa in eller vistas i landet. 
Med grund för behovet av internationellt skydd, förutsättningarna för utlänningars inresa och uppehållsrätt i landet avses den orsak och de verifierande omständigheter som åberopas i ärendet. Med grund avses med andra ord orsaken till att en person ansöker om eller har beviljats tillstånd att vistas eller resa in i landet. Avsikten är inte att till denna del ändra rättsläget enligt 24 § 1 mom. 24 punkten i den gällande offentlighetslagen, så det kan vara fråga om både uppgifter som sökanden själv lämnat in och handlingar som myndigheten upprättat. Vid bedömningen av behovet av internationellt skydd kan det till exempel vara fråga om olika bevis på förföljelse, resrutt eller framtidshot som sökanden lägger fram, såsom en berättelse som skrivits in i samtalsprotokollet, läkarintyg, fotografier, brev eller gripanden. Vid bedömningen av förutsättningarna för inresa och uppehållsrätten i landet kan grunden vara till exempel inkvarteringsbekräftelse, inbjudan, äktenskaps-, studie-, graviditets-, födsel- eller arbetsintyg eller ett arbetsavtal eller något annat avtal eller exempelvis fotografier, videor eller brev som verifierar ett gemensamt liv. 
I medborgarskapslagen föreskrivs det om erhållande, bibehållande, förlust och befrielse från medborgarskap av finskt medborgarskap samt om bestämmande av medborgarskapsstatus. Enligt 34 § i medborgarskapslagen behåller en finsk medborgare som också har medborgarskap i någon annan stat sitt finska medborgarskap när han eller hon fyller 22 år endast om han eller hon har tillräcklig anknytning till Finland. Om det inte finns tillräcklig anknytning förlorar personen sitt finska medborgarskap. Enligt 35 § i medborgarskapslagen kan finska medborgare i vissa situationer på ansökan befrias från finskt medborgarskap. Det är dock inte nödvändigt att särskilt nämna bibehållandet av finskt medborgarskap eller befrielse från medborgarskap i bestämmelsens ordalydelse. Förlusten omfattar också nämnda situationer enligt medborgarskapslagen. Med bestämmande av medborgarskapsstatus avses t.ex. en situation där Migrationsverket ger magistraten ett utlåtande i syfte att fastställa medborgarskap för ett barn fött i Finland. 
10. Lag om ändring av 6 § i lagen om Enheten för utredning av grå ekonomi
6 §. Syftet med fullgöranderapporter.
Till 1 mom. har fogats en ny 26 punkt genom en lag som trädde i kraft den 1 januari 2020 (1399/2019). Därför föreslår utskottet att den bestämmelse som föreslås i regeringspropositionen fogas till en ny 27 punkt, varvid det också är nödvändigt att göra en teknisk ändring i den gällande 26 punkten. Också ingressen måste ses över. 
Enligt propositionsmotiven avses lagförslag 10 träda i kraft redan den 1 juni 2020, eftersom man måste genomföra de nödvändiga gränssnitten och ha tekniskt beredskap för att kunna ta i bruk fullgöranderapportservicen i rapporteringsdatasystemet och i ärendehanteringssystemet för utlänningsärenden. Eftersom behandlingen av ärendet i riksdagen ännu pågår konstaterar utskottet att Skatteförvaltningens enhet för utredning av grå ekonomi enligt utredningen behöver ett halvt år från lagens ikraftträdande för att uppdatera sina system. 
13. Lag om ändring av 7 § i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet
7 §. Behandling av PNR-uppgifter.
Utskottet föreslår att hänvisningen till 1 § 1 punkten i migrationsförvaltningens personuppgiftslag stryks ur paragrafens 3 mom. 6 punkt. Utskottet har föreslagit att 1 § 1 mom. i lagförslag 1 ändras bland annat så att 1 mom. 6 punkten stryks och till paragrafen fogas ett nytt 2 mom. enligt vilket personuppgifter när de behandlas för ändamål som anges i 1 mom. 1 eller 2 punkten dessutom behandlas för att skydda den nationella säkerheten. 
14. Lag om ändring av 37 § i lagen om behandling av personuppgifter inom Försvarsmakten
37 §. Rätt att få personuppgifter för skötseln av militärunderrättelseuppdrag och uppdrag för förebyggande och avslöjande av brott.
Utskottet har samordnat ingressen i det föreslagna 1 mom. med det gällande 1 mom. (1168/2019). Också ingressen måste justeras. Ändringen påverkar inte den svenska texten. 
16. Lag om ändring av 10 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster
10 §. Kontroll av tillförlitligheten hos uppgifter som gäller utländska medborgare.
Paragrafen har ändrats genom en lag som trädde i kraft den 1 januari 2020 (1175/2019), där hänvisningarna till magistraten har ändrats till hänvisningar till Myndigheten för digitalisering och befolkningsdata. De föreslagna 1 och 2 mom. ska samordnas med den gällande lagen, varvid också ingressen måste ses över. 
Även rubriken på lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) har ändrats genom lag 1175/2019 till lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata. 
18. Lag om ändring av 16 och 22 § i lagen om behandling av personuppgifter i polisens verksamhet (Ny)
16 §. Polisens rätt att få uppgifter ur vissa register och informationssystem
För att grundlagsutskottets utlåtande ska kunna beaktas har förvaltningsutskottet föreslagit att bestämmelserna om rätten att få uppgifter i personuppgiftslagen för migrationsförvaltningen (lagförslag 1) ska preciseras väsentligt. I 11 § i den lagen föreskrivs det om rätten att få information mellan de personuppgiftsansvariga inom ärendehanteringssystemet för utlänningsärenden och i 12 § om rätten att få information mellan de personuppgiftsansvarig inom det nationella informationssystemet för viseringar. I polisens, Gränsbevakningsväsendets och Tullens personuppgiftslagstiftning finns redan nu relativt heltäckande bestämmelser om dessa myndigheters rätt att få information. Enligt 16 § 1 mom. 7 och 8 punkten i polisens personuppgiftslag har polisen, och enligt 16 § 1 mom. 12 och 13 punkten i Tullens personuppgiftslag Tullen rätt att få uppgifter ur Migrationsverkets och utrikesministeriets informationssystem för att utföra sina uppgifter enligt utlänningslagen. I 19 § i gränsbevakningsväsendets personuppgiftslag ingår å sin sida allmän rätt att få uppgifter av andra myndigheter. För att undvika överlappande reglering har förvaltningsutskottet ansett det befogat att bestämmelser om polisens, Gränsbevakningsväsendets och Tullens rätt att få uppgifter för skötseln av uppgifter enligt utlänningslagen, medborgarskapslagen och förvarslagen ska finnas i de personuppgiftslagar som gäller dessa myndigheter. Därför innehåller 11 och 12 § i lagen om behandling av personuppgifter inom migrationsförvaltningen endast informativa hänvisningar till lagarna i fråga. 
Polisen ansvarar med stöd av utlänningslagen för ett flertal uppgifter, såsom registrering av asylsökande, säkringsåtgärder, övervakning av utlänningar, avlägsnande ur landet och delgivning av beslut. Bestämmelser om polisens uppgifter enligt medborgarskapslagen finns i 40 och 46 § i medborgarskapslagen. Polisen har också flera uppgifter enligt lagen om förvar, såsom uppgifter enligt 10, 13, 19 och 23 § i den lagen. Bestämmelser om polisens rätt att få uppgifter för skötseln av sina uppgifter enligt utlänningslagen och medborgarskapslagen finns i 3 § 3 mom. i den lag om utlänningsregistret som föreslås bli upphävd i regeringens proposition och i 16 § 1 mom. 7 och 8 punkten i polisens personuppgiftslag. I egenskap av personuppgiftsansvarig enligt lagen om utlänningsregistret har polisen tillgång till både uppgifterna i ärendehanteringssystemet för utlänningsärenden och uppgifterna i det nationella informationssystemet för viseringar inom ramen för skötseln av sina uppgifter enligt utlänningslagen och medborgarskapslagen. Bestämmelser om polisens rätt att få uppgifter för skötseln av sina uppgifter enligt lagen om förvar finns i 32 f § i den lag om förvar som föreslås bli upphävd. Dessutom kan polisens rätt att få uppgifter i vissa begränsade fall ha grundat sig på 34 § 1 mom. i förvarslagen, som innehåller en hänvisning till rätten att få uppgifter enligt 58 § i mottagningslagen, som enligt ordalydelsen dock endast gäller uppgifter enligt 3 och 4 kap. i mottagningslagen. 
För att man trots upphävandet av bestämmelserna i lagen om utlänningsregistret och förvarslagen på ett tillräckligt täckande sätt och på samma sätt som i nuläget ska kunna säkerställa att polisen har tillräcklig tillgång till information för att kunna utföra sina uppgifter enligt utlänningslagen, medborgarskapslagen och förvarslagen med stöd av polisens personuppgiftslag, måste bestämmelserna om rätt att få uppgifter i 16 § 1 mom. 7 och 8 punkten ses över. 
För att förtydliga regleringen föreslår förvaltningsutskottet att alla de rättigheter för polisen att få uppgifter som hänför sig till lagen om behandling av personuppgifter inom migrationsförvaltningen och som gäller ovan beskrivna behov av information samlas i 1 mom. 8 punkten. Därför slopas de ärenden som gäller visum i 1 mom. 7 punkten. Övriga uppgifter som avses i 7 punkten har lämnats utanför tillämpningsområdet för den föreslagna personuppgiftslagen för migrationsförvaltningen. Således gäller 7 punkten i fortsättningen endast sådana uppgifter från utrikesministeriet vars behandling inte regleras i lagen om behandling av personuppgifter inom migrationsförvaltningen. 
Det föreslås att den gällande 8 punkten preciseras för det första så att det i bestämmelsen inte längre hänvisas till Migrationsverkets informationssystem, utan att det föreskrivs om polisens rätt att få uppgifter ur ärendehanteringssystemet för utlänningsärenden. Dessutom fogas till bestämmelsen ett nationellt informationssystem för viseringar, eftersom viseringsärenden föreslås bli överförda till 8 punkten. I och med preciseringarna behövs i bestämmelsen inte längre en förteckning över olika datainnehåll enligt utlänningslagen och medborgarskapslagen. Rätten att få uppgifter innebär att polisen trots sekretessbestämmelserna har rätt att avgiftsfritt få uppgifter som Migrationsverket, skyddspolisen, Gränsbevakningsväsendet, förläggningen, flyktingslussen, förvarsenheten, utrikesministeriet, beskickningen, närings-, trafik- och miljöcentralen, arbets- och näringsbyrån samt Tullen har lagrat i respektive informationssystem för utförande av sina uppgifter enligt utlänningslagen, medborgarskapslagen och förvarslagen. För att polisen ska kunna utföra de ovan beskrivna uppgifterna enligt förvarslagen behöver polisen inte uppgifter ur det nationella informationssystemet för viseringar, så polisens uppgifter enligt förvarslagen utesluter de facto de uppgifter som ingår i det nationella informationssystemet för viseringar från rätten att få uppgifter. 
Kravet på att behandlingen av personuppgifter ska vara behövlig följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om nödvändighetskravet för behandling av särskilda kategorier av personuppgifter finns i 15 § i polisens personuppgiftslag. Dessutom hänvisar förvaltningsutskottet till sitt betänkande om polisens personuppgiftslag (FvUB 39/2018 rd), där det har behandlat bestämmelserna om utlämnande och mottagande av uppgifter i ljuset av grundlagsutskottets utlåtandepraxis och EU:s dataskyddslagstiftning. 
Enligt 10 § 1 mom. 2 punkten i lagen om utlänningsregistret, som föreslås bli upphävd i propositionen, får uppgifter ur utlänningsregistret trots sekretessbestämmelserna och i den mån det är nödvändigt för att den mottagande myndigheten ska kunna utföra sina lagstadgade uppgifter lämnas ut till förundersökningsmyndigheterna för förebyggande och avslöjande av brott samt förundersökning med anledning av brott. För att bevara nuläget bör polisens rätt att få uppgifter ur ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar för förebyggande och avslöjande av brott samt förundersökning av brott överföras till 16 § 1 mom. 8 punkten i polisens personuppgiftslag, till vilken utskottet på det sätt som föreslås ovan har föreslagit att polisens rätt att få uppgifter ur ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar ska koncentreras. 
22 §. Övrigt utlämnande av personuppgifter till myndigheter.
Eftersom medborgarskapslagen nämns redan i 16 § 1 mom. 8 punkten, kan författningsnumret strykas ur 1 mom. 16 punkten. 
FÖRSLAG TILL BESLUT
Förvaltningsutskottets förslag till beslut:
Riksdagen godkänner lagförslag 5—7, 9, 11, 12, 15 och 17 i proposition RP 18/2019 rd utan ändringar. 
Riksdagen godkänner lagförslag 1—4, 8, 10, 13, 14 och 16 i proposition RP 18/2019 rd med ändringar.(Utskottets ändringsförslag) 
Riksdagen godkänner ett nytt lagförslag 18. (Utskottets nya lagförslag) 
Utskottets ändringsförslag
1. 
Lag 
om behandling av personuppgifter i migrationsförvaltningen 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Lagens tillämpningsområde och ändamålet med behandlingen av personuppgifter 
Denna lag tillämpas, om inte annat föreskrivs någon annanstans i lag, på helt eller delvis automatiserad behandling av personuppgifter och på annan behandling av personuppgifter, om personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant, och personuppgifterna behandlas för följande ändamål: 
1) behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse, 
2) behandling av och beslut i ärenden som gäller förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap samt bestämmande av medborgarskapsstatus, 
3) mottagande av personer som söker internationellt skydd eller får tillfälligt skydd, hjälp till offer för människohandel, verksamhet i anslutning till företrädande av barn utan vårdnadshavare inom mottagningsverksamheten samt styrning, planering och övervakning av dessa verksamheter, 
4) placering av en utlänning i en förvarsenhet, bemötande av en utlänning i en förvarsenhet samt upprätthållandet av ordningen och säkerheten vid en förvarsenhet, 
5) anvisande till kommuner. 
6) skyddet av den nationella säkerheten. 
När personuppgifter behandlas för ändamål som anges i 1 mom. 1 eller 2 punkten, behandlas de dessutom också för att skydda den nationella säkerheten. (Nytt 2 mom.) 
I denna lag föreskrivs dessutom om rätt att få uppgifter om juridiska personer i syften som avses i 1 mom. (2 mom. i RP) 
Denna lag tillämpas inte på diplomatiska representanter i Finland eller på sådana tjänstemän i internationella organisationer vilkas ställning det finns bestämmelser om i internationella avtal som är bindande för Finland. (3 mom. i RP) 
2 § 
Förhållande till annan lagstiftning 
På den behandling av personuppgifter som skyddspolisen utför med stöd av denna lag tillämpas lagen om behandling av personuppgifter i brottmål och i samband med upprätthållandet av den nationella säkerheten (1054/2018), nedan dataskyddslagen för brottmål, om inte något annat föreskrivs i denna lag. Bestämmelser om behandling av personuppgifter som andra myndigheter som avses i denna lag utför med stöd av denna lag finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och i dataskyddslagen (1050/2018). 
Om inte något annat föreskrivs i denna lag, tillämpas: 
1) på behandling av personuppgifter i avsikt att skydda den nationella säkerheten lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018), 
2) på rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister vad som föreskrivs om offentlighet i myndigheternas verksamhet. 
 
3 § 
Personuppgiftsansvariga och ansvarsfördelningen i fråga om ärendehanteringssystemet för utlänningsärenden 
I ärendehanteringssystemet för utlänningsärenden registreras andra uppgifter än sådana som gäller handläggning av och beslut om viseringar och som behandlas för ändamål som anges i 1 § 1 mom. 1 punkten samt uppgifter som behandlas för det ändamål som anges i 1 § 1 mom. 2—5 punkten samt 2 mom. 
För att utföra sina lagstadgade uppgifter får varje myndighet behandla de uppgifter den registrerat på följande sätt: 
1) Migrationsverket för behandlingsändamål som anges i 1 § 1 mom. 1—5 punkten, 
2) polisen för behandlingsändamål som anges i 1 § 1 mom. 1 punkten, 
3) skyddspolisen för behandlingsändamål som anges i 1 § 2 mom., 
4) Gränsbevakningsväsendet för behandlingsändamål som anges i 1 § 1 mom. 1 punkten, 
5) förläggningar för behandlingsändamål som anges i 1 § 1 mom. 3 punkten, 
6) flyktingslussar för behandlingsändamål som anges i 1 § 1 mom. 1 och 3 punkten, 
7) förvarsenheter för behandlingsändamål som anges i 1 § 1 mom. 4 punkten, 
8) utrikesministeriet för behandlingsändamål som anges i 1 § 1 mom. 1 punkten, 
9) beskickningar för behandlingsändamål som anges i 1 § 1 mom. 1 och 2 punkten, 
10) närings-, trafik- och miljöcentraler för behandlingsändamål som anges i 1 § 1 mom. 1 och 5 punkten, 
11) arbets- och näringsbyråer för behandlingsändamål som anges i 1 § 1 mom. 1 punkten. 
Varje myndighet enligt 2 mom. är personuppgiftsansvarig för ärendehanteringssystemet för utlänningsärenden i fråga om de uppgifter som den registrerat. Personuppgiftsansvarig för de uppgifter som Polisen registrerat är Polisstyrelsen och personuppgiftsansvarig för de uppgifter som Gränsbevakningsväsendet registrerat är staben för Gränsbevakningsväsendet. Personuppgiftsansvarig för registeruppgifterna i en ansökan om internationellt skydd är dock Migrationsverket. 
Migrationsverket svarar för ärendehanteringssystemet för utlänningsärenden i enlighet med lagen om informationshantering inom den offentliga förvaltningen (906/2019). Dessutom ska Migrationsverket i ärendehanteringssystemet för utlänningsärenden vara personuppgiftsbiträde enlig artikel 28 i dataskyddsförordningen och enligt 17 § i lagen om dataskydd i brottmål för behandlingsändamål enligt 1 § 2 mom., i enlighet med vad som särskilt avtalas om detta samt för en annan personuppgiftsansvarigs räkning tillgodose den registrerades rätt att få tillgång till egna uppgifter samt utföra korrigering av personuppgifter, elektronisk utlämning, radering och arkivering av personuppgifter, till den del Migrationsverket inte är personuppgiftsansvarig. 
4 § 
Behandling för något annat ändamål än det ursprungliga av uppgifter som registrerats i ärendehanteringssystemet för utlänningsärenden  
Varje personuppgiftsansvarig får, för något annat ändamål än det ursprungliga och enligt följande, behandla uppgifter som den registrerat i ärendehanteringssystemet för utlänningsärenden, om uppgifterna är nödvändiga för att myndigheten ska kunna sköta sina lagstadgade uppgifter : 
1) Migrationsverket för uppgifter som det har registrerat för behandlingsändamål som anges i 1 § 1 mom. 1 punkten, för behandlingsändamål som anges i 1 § 1 mom. 2—5 punkten, 
2) Migrationsverket för uppgifter som det har registrerat för behandlingsändamål som anges i 1 § 1 mom. 2 punkten, för behandlingsändamål som anges i 1 § 1 mom. 1 punkten,  
3) Migrationsverket för uppgifter som det har registrerat för behandlingsändamål som anges i 1 § 1 mom. 3 punkten, för behandlingsändamål som anges i 1 § 1 mom. 1, 4 och 5 punkten,  
4) Migrationsverket för uppgifter som det har registrerat för behandlingsändamål som anges i 1 § 1 mom. 4 punkten, för behandlingsändamål som anges i 1 § 1 mom. 1, 3 och 5 punkten, 
5) flyktingslussar för uppgifter som de har registrerat för behandlingsändamål som anges i 1 § 1 mom. 1 punkten, för behandlingsändamål som anges i 1 § 1 mom. 3 punkten. 
Polisen har rätt att behandla uppgifter som den registrerat i ärendehanteringssystemet för utlänningsärenden för ändamål som anges i 1 § 1 mom. 1 punkten, med iakttagande av 13 § 1 och 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet (616/2019). 
Gränsbevakningsväsendet har rätt att behandla uppgifter som det registrerat i ärendehanteringssystemet för utlänningsärenden för ändamål som anges i 1 § 1 mom. 1 punkten, med iakttagande av 16 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (639/2019). 
Vad som föreskrivs i denna paragraf gäller inte fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort eller av den som ansöker om främlingspass eller resedokument för flykting, om inte något annat föreskrivs någon annanstans i lag. 
5 § 
Personuppgiftsansvariga och ansvarsfördelningen i fråga om det nationella informationssystemet för viseringar  
I det nationella informationssystemet för viseringar registreras uppgifter som gäller handläggning och beslut om viseringar när uppgifterna behandlas för det ändamål som nämns i 1 § 1 mom. samt uppgifter med anknytning till det i 1 § 2 mom. avsedda skyddet för den nationella säkerheten,  
Utrikesministeriet, beskickningar, Migrationsverket, polisen, Gränsbevakningsväsendet och Tullen får behandla uppgifter som de registrerat för skötseln av sina lagstadgade uppgifter i det behandlingssyfte som anges i 1 § 1 mom. 1 punkten. Skyddspolisen får behandla uppgifter som skyddspolisen registrerat för skötseln av sina lagstadgade uppgifter i det behandlingssyfte som anges i 1 § 2 mom. 
Varje myndighet enligt 2 mom. är personuppgiftsansvarig för det nationella informationssystemet för viseringar i fråga om de uppgifter som de registrerat. Personuppgiftsansvarig för uppgifter som polisen registrerat är Polisstyrelsen och personuppgiftsansvarig för uppgifter som Gränsbevakningsväsendet registrerat är staben för Gränsbevakningsväsendet.  
Utrikesministeriet ansvarar för det nationella informationssystemet för viseringar i enlighet med lagen om informationshantering inom den offentliga förvaltningen. Dessutom ska utrikesministeriet i ärendehanteringssystemet för utlänningsärenden vara personuppgiftsbiträde enlig artikel 28 i dataskyddsförordningen och enligt 17 § i lagen om dataskydd i brottmål för behandlingsändamål enligt 1 § 2 mom., i enlighet med vad som särskilt avtalas om detta samt för en annan personuppgiftsansvarigs räkning tillgodose den registrerades rätt att få tillgång till egna uppgifter, samt utföra korrigering av personuppgifter, elektronisk utlämning, radering och arkivering av personuppgifter, till den del utrikeministeriet inte är personuppgiftsansvarig. 
6 § 
Behandling för något annat ändamål än det ursprungliga av uppgifter som registrerats i det nationella informationssystemet för viseringar  
Polisen har rätt att behandla uppgifter som den registrerat i det nationella informationssystemet för viseringar i enlighet med 1 § 1 mom. 1 punkten, med iakttagande av 13 § 1 och 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet. 
Gränsbevakningsväsendet har rätt att behandla uppgifter som det registrerat i det nationella informationssystemet för viseringar i enlighet med 1 § 1 mom. 1 punkten, med iakttagande av 16 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
Tullen har rätt att behandla uppgifter som den fört in i det nationella informationssystemet för viseringar i enlighet med 1 § 1 mom. 1 punkten, med iakttagande av 15 § 1 och 3 mom. i lagen om behandling av personuppgifter inom Tullen (650/2019). 
7 § 
Personuppgifter som får behandlas 
Den personuppgiftsansvarige får för de ändamål som anges i 1 §, i den mån det är behövligt, behandla personers identifieringsuppgifter, uppgifter om familjeförhållandena, uppgifter om företrädande, uppgifter som beskriver kunnande, kontaktuppgifter samt uppgifter om resedokument och det kort över ett anhängigt ansökningsärende som avses 96 § i utlänningslagen (301/2004). 
Den personuppgiftsansvarige får dessutom, i den mån det är behövligt, behandla
1) uppgifter som framgår av en ansökan, framställning, begäran eller anmälan eller av förfrågningar eller höranden som gjorts på grund av dessa, 
2) uppgifter om behandling och utredning av samt beslut i ärenden, 
3) uppgifter som gäller mottagningstjänster och annan verksamhet som hör till mottagningen, företrädares identifierings- och kontaktuppgifter, uppgifter som gäller förordnande av företrädare, befriande av företrädare från sitt uppdrag och upphörande av företrädaruppdraget samt uppgifter som behövs vid styrning, planering och övervakning av företrädarverksamheten, 
4) uppgifter om när en utlänning har placerats i en förvarsenhet och när han eller hon har lämnat den, uppgifter som behövs för ordnande, planering, genomförande, uppföljning av tagandet i förvar och för tryggande av ett korrekt bemötande av utlänningar som tagits i förvar samt uppgifter om personer som besöker utlänningar som tagits i förvar och om andra personer som besöker förvarsenheten och övriga uppgifter som gäller besöket, 
5) uppgifter om till vilken kommun en person har anvisats. 
Den personuppgiftsansvarige får dessutom, i den mån det är behövligt, behandla uppgifter om iakttagelser gjorda av eller anmälda till den personuppgiftsansvarige som utifrån omständigheterna eller en persons beteende med fog kan bedömas anknyta till den personuppgiftsansvariges behörighet att övervaka att förutsättningarna för personens inresa och vistelse i landet uppfylls eller behörighet att besluta om förvärv eller förlust av finskt medborgarskap, eller som med fog kan bedömas anknyta till den personuppgiftsansvariges skyldighet att sörja för arbetarskyddet för sina anställda. Till uppgifterna om iakttagelser ska det fogas uppgift om vem som lämnat uppgifterna eller on informationskällan samt en bedömning av uppgiftslämnarens eller informationskällans tillförlitlighet och uppgifternas riktighet,om detta är möjligt. Uppgifter om iakttagelser får inte användas som grund för beslut. 
Den personuppgiftsansvarige får dessutom, i den mån det är behövligt, behandla personuppgifter som avser familjemedlemmar och personer som bor i samma hushåll samt personuppgifter som avser mottagare i Finland och personuppgifter som avser dem som anställer en utländsk arbetstagare.. 
8 § 
Behandling av uppgifter som hör till särskilda kategorier av personuppgifter 
Den personuppgiftsansvarige får behandla uppgifter som hör till särskilda kategorier av personuppgifter endast om behandlingen är nödvändig med tanke på behandlingsändamålet. 
9 § 
Behandling av uppgifter om fingeravtryck som tagits för ansökningar om främlingspass och resedokument för flykting 
Fingeravtryck som tagits av den som ansöker om främlingspass och resedokument för flykting ska registreras i ärendehanteringssystemet för utlänningsärenden. Fingeravtrycken får användas av Migrationsverket, polisen och Gränsbevakningsväsendet och av Tullen, när den fullgör uppgifter som ankommer på gränskontrollmyndigheter, samt av utrikesministeriet och beskickningar
Rätt att använda fingeravtrycksuppgifter har bara de personer vars arbetsuppgifter nödvändigtvis kräver det. Fingeravtryck får användas endast för fastställande av identitet och tillverkning av främlingspass eller resedokument för flykting. Polisen har dessutom rätt att använda fingeravtrycksuppgifter med iakttagande av 15 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet (616/2019). Den som har rätt att använda uppgifterna har rätt att ta fingeravtryck av en registrerad och jämföra dessa med registrerade fingeravtryck. Uppgifter som tagits för jämförelsen får användas endast när jämförelsen görs och ska därefter förstöras omedelbart. 
10 § 
Behandling av uppgifter om fingeravtryck som tagits för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem. 
Fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlemmar registreras i ärendehanteringssystemet för utlänningsärenden. Fingeravtrycken får användas av Migrationsverket, polisen, skyddspolisen, Gränsbevakningsväsendet, Tullen, när den fullgör uppgifter som hör till gränskontrollmyndigheten, och finska beskickningar.  
Fingeravtrycken får endast användas för att, inom ramen för befogenheter i anknytning till de ändamål som anges i 1 § 1 mom. 1 och 6 punkten samt inom ramen för befogenheter i anknytning till en säkerhetsutredning enligt lagen om säkerhetsutredningar (726/2014) verifiera autenticiteten av ett uppehållstillståndskort och identiteten hos innehavaren av ett uppehållstillstånd, för behandling av och för beslut och övervakning i ärenden som gäller utlänningars inresa och utresa samt vistelse och arbete och för skyddet av den nationella säkerheten. En myndighet som har rätt att använda uppgifterna har rätt att jämföra dem med i denna paragraf avsedda tidigare registrerade fingeravtryck och med fingeravtryck som tagits för ansökningar om främlingspass och resedokument för flykting samt med fingeravtryck som med stöd av 131 § i utlänningslagen registrerats i polisens register. Dessutom får uppgifter för kontroll av inreseförutsättningarna jämföras med sådana fingeravtryck som ingår i de signalementsuppgifter enligt tvångsmedelslagen (806/2011) som avses i 6 § i lagen om behandling av personuppgifter i polisens verksamhet, när de redan registrerade fingeravtrycksuppgifterna har samband med ett brott för vilket det föreskrivna strängaste straffet är fängelse i minst ett år. 
Polisen har dessutom rätt att använda i denna paragraf avsedda tidigare registrerade fingeravtryck med iakttagande av 15 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet. 
Uppgifter som tagits för jämförelse får användas endast när jämförelsen görs, varefter de ska förstöras omedelbart. 
Migrationsverket har dessutom rätt att med den aktuella personens samtycke använda i denna paragraf avsedda tidigare registrerade fingeravtryck för tillverkning av uppehållstillståndskort och av uppehållskort för unionsmedborgares familjemedlem. 
11 § 
Rätt att få uppgifter mellan de personuppgiftsansvariga för ärendehanteringssystemet för utlänningsärenden 
Vid behandlingen av uppgifter i ärendehanteringssystemet för utlänningsärenden har 
1) Migrationsverket rätt att trots sekretessbestämmelserna avgiftsfritt för behandlingsändamål enligt 1 § 1 mom. 1—5 punkten i denna lag av polisen, skyddspolisen, Gränsbevakningsväsendet, förläggningar, flyktingslussar, förvarsenheter, utrikesministeriet, beskickningar, närings-, trafik- och miljöcentraler samt arbets- och näringsbyrer få uppgifter som är nödvändiga för att Migrationsverket ska kunna sköta sina uppgifter enligt utlänningslagen, medborgarskapslagen (359/2003), lagen om villkor för tredjelandsmedborgares inresa och vistelse för säsongsanställning (907/2017), nedan säsongsarbetslagen, lagen om skydd för tredjelandsmedborgares inresa och vistelse i samband med företagsintern förflyttning av personal (908/2017), nedan ICT-lagen, lagen om villkoren för tredjelandsmedborgares inresa och vistelse på grund av forskning, studier, praktik och volontärarbete (719/2018), nedan forskar- och studerandelagen, lagen om mottagande av personer som söker internationellt skydd och om identifiering av och hjälp till offer för människohandel (746/2011), nedan mottagandelagen, lagen om bemötande av utlänningar som tagits i förvar och om förvarsenheter (116/2002), nedan förvarslagen och lagen om främjande av integration (1386/2010), nedan integrationslagen, 
2) en förläggning trätt att trots sekretessbestämmelserna avgiftsfritt för behandlingsändamål enligt 1 § 1 mom. 3 punkten i denna lag av Migrationsverket, polisen, Gränsbevakningsväsendet, andra förläggningar, flyktingslussar, förvarsenheter och närings-, trafik- och miljöcentraler få de uppgifter som är nödvändiga för skötseln av förläggningens uppgifter enligt mottagningslagen, 
3) en flyktingsluss rätt att trots sekretessbestämmelserna avgiftsfritt för behandlingsändamål enligt 1 § 1 mom. 1 och 3 punkten i denna lag av Migrationsverket, polisen, Gränsbevakningsväsendet, andra förläggningar, flyktingslussar, förvarsenheter och närings-, trafik- och miljöcentraler få de uppgifter som är nödvändiga för skötseln av flyktingslussens uppgifter enligt utlänningslagen och mottagningslagen, 
4) en förvarsenheten rätt att trots sekretessbestämmelserna avgiftsfritt för behandlingsändamål enligt 1 § 1 mom. 4 punkten i denna lag av Migrationsverket, polisen, Gränsbevakningsväsendet, andra förläggningar, flyktingslussar och förvarsenhetar få de uppgifter som är nödvändiga för skötseln av förvarsenhetens uppgifter enligt förvarslagen, 
5) utrikesministeriet rätt att trots sekretessbestämmelserna avgiftsfritt för behandlingsändamål enligt 1 § 1 mom. 1 punkten i denna lag av Migrationsverket, polisen, Gränsbevakningsväsendet och beskickningar få de uppgifter som är nödvändiga för skötseln av utrikesministeriets uppgifter enligt utlänningslagen, 
6) en beskickning rätt att trots sekretessbestämmelserna avgiftsfritt för behandlingsändamål enligt 1 § 1 mom. 1 och 2 punkten i denna lag av Migrationsverket, polisen, Gränsbevakningsväsendet och utrikesministeriet få de uppgifter som är nödvändiga för skötseln av beskickningens uppgifter enligt utlänningslagen och medborgarskapslagen, 
7) en närings-, trafik- och miljöcentral rätt att trots sekretessbestämmelserna avgiftsfritt för behandlingsändamål enligt 1 § 1 mom. 1 och 5 punkten i denna lag av Migrationsverket, polisen, Gränsbevakningsväsendet, förläggningar, flyktingslussar och beskickningar få de uppgifter som är nödvändiga för skötseln av centralens uppgifter enligt utlänningslagen och integrationslagen, 
8) en arbets- och näringsbyrån rätt att trots sekretessbestämmelserna avgiftsfritt för behandlingsändamål enligt 1 § 1 mom. 1 punkten i denna lag av Migrationsverket, polisen, Gränsbevakningsväsendet, beskickning och närings-, trafik- och miljöcentraler få de uppgifter som är nödvändiga för skötseln av byråns uppgifter enligt utlänningslagen. 
Bestämmelser om polisens och skyddspolisens rätt att få uppgifter finns i lagen om behandling av personuppgifter i polisens verksamhet. 
Bestämmelser om Gränsbevakningsväsendets rätt att få uppgifter finns i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
Vad som föreskrivs i denna paragraf gäller inte fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort eller av den som ansöker om främlingspass eller resedokument för flykting, om inte annat föreskrivs någon annanstans i lag. 
12 § 
Rätt att få information mellan de personuppgiftsansvariga för det nationella informationssystemet för viseringar 
Vid behandlingen av uppgifter i det nationella viseringssystemet har 
1) utrikesministeriet rätt att trots sekretessbestämmelserna avgiftsfritt för behandlingsändamål enligt 1 § 1 mom. 1 punkten i denna lag av beskickningar, Migrationsverket, polisen, skyddspolisen, Gränsbevakningsväsendet och Tullen få de uppgifter som är nödvändiga för skötseln av ministeriets uppgifter enligt utlänningslagen, 
2) en beskickning rätt att trots sekretessbestämmelserna avgiftsfritt för behandlingsändamål enligt 1 § 1 mom. 1 punkten i denna lag av utrikesministeriet, Migrationsverket, polisen, skyddspolisen, Gränsbevakningsväsendet och Tullen få de uppgifter som är nödvändiga för skötseln av beskickningens uppgifter enligt utlänningslagen, 
3) Migrationsverket rätt att trots sekretessbestämmelserna avgiftsfritt för behandlingsändamål enligt 1 § 1 mom. 1 punkten i denna lag av utrikesministeriet, beskickningar, polisen, skyddspolisen, Gränsbevakningsväsendet och Tullen få de uppgifter som är nödvändiga för skötseln av Migrationsverkets uppgifter enligt utlänningslagen, 
Bestämmelser om polisens och skyddspolisens rätt att få uppgifter finns i lagen om behandling av personuppgifter i polisens verksamhet. 
Bestämmelser om Gränsbevakningsväsendets rätt att få uppgifter finns i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
Bestämmelser om Tullens rätt att få uppgifter finns i lagen om behandling av personuppgifter inom Tullen. 
13 § 
Annan rätt att få uppgifter 
Migrationsverket har för behandlingsändamål enligt 1 § 1 mom. 1—5 punkten, en förläggning för behandlingsändamål enligt 1 § 1 mom. 3 punkten, flyktingslussar för behandlingsändamål enligt 1 § 1 mom. 1 och 3 punkten, förvarsenheter för behandlingsändamål enligt 1 § 1 mom. 4 punkten samt närings-, trafik- och miljöcentralerna, arbets- och näringsbyråerna, utrikesministeriet och beskickningar för behandlingsändamål enligt 1 § 1 mom. 1 punkten rätt att trots sekretessbestämmelserna avgiftsfritt för skötseln av uppgifter enligt utlänningslagen, medborgarskapslagen, säsongarbetslagen, ICT-lagen, forskar- och studerandelagen, mottagandelagen, förvarslagen och integrationslagen få nödvändiga uppgifter om fysiska och juridiska personer av de aktörer som anges i 4 § i lagen om offentlighet i myndigheternas verksamhet (621/1999) samt av privata tjänsteproducenter och av företrädare som förordnats för barn utan vårdnadshavare.  
Bestämmelser om polisens rätt att få uppgifter finns i lagen om behandling av personuppgifter i polisens verksamhet. (Nytt 2 mom.) 
Bestämmelser om Gränsbevakningsväsendets rätt att få uppgifter finns i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. (Nytt 3 mom.) 
Migrationsverket samt förläggningar, flyktingslussar och förvarsenheter har dessutom rätt att trots sekretessbestämmelserna och avgiftsfritt få nödvändiga uppgifter för skötseln av sina uppgifter enligt följande: 
1) för prövning enligt artikel 8 och 16 i Europaparlamentets och rådets förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat av en persons förmåga att ta hand om ett barn eller en person i beroendeställning:
a) av Rättsregistercentralen ur bötesregistret vederbörandes personuppgifter, uppgifter om avgöranden, verkställighetsärenden, förvandlingsstraff och händelser,
b) av Rättsregistercentralen ur justitieförvaltningens riksomfattande informationssystem och dess delsystem uppgifter om brott som vederbörande misstänks ha begått och som är eller har varit anhängiga vid åklagarmyndigheter eller domstolar,
c) av Rättsregistercentralen ur straffregistret vederbörandes straffregregisterutdrag,
d) av förundersökningsmyndigheten uppgifter om brott som vederbörande misstänks ha begått samt om brottsanmälan och förundersökning som gäller denne,
e) av kommunens socialmyndigheter uppgifter om de social- och hälsovårdstjänster som vederbörande får,
f) av Skatteförvaltningen uppgifter om vederbörandes förmögenhet och inkomster,
g) av Brottspåföljdsmyndigheten vederbörandes kontaktuppgifter samt uppgifter om vistelseort och frigivningsdag,
 
2) av Rättsregistercentralen ur justitieförvaltningens riksomfattande informationssystem och dess delsystem samt ur straffregistret: uppgifter om
a) brott som en anknytningsperson misstänks ha begått och som är eller har varit anhängiga vid åklagarmyndigheter eller domstolar, för bedömning av ett barns bästa, möjligheterna till ett gemensamt liv eller försörjningsförutsättningen vid en helhetsbedömning av förutsättningarna för uppehållstillstånd och uppehållsrätt,
b) försörjningsplikt för utredning av om förutsättningarna för uppehållstillstånd på grund av familjeband, för uppehållskort eller för registrering av uppehållsrätt uppfylls,
c) försörjningsplikt för utredning av försörjningsförutsättningen,
d) anhängiga domstolsärenden och avgöranden som gäller Migrationsverkets beslut eller behörighet eller som är av betydelse med tanke på behandlingen av ett ärende som är anhängigt vid Migrationsverket,
e) handlingar som gäller inledande av, handlingar som ligger till grund för ett avgörande av och handlingar som gäller behandlingen av ett ärende för bedömning av ett barns bästa och de allmänna förutsättningarna för beviljande av uppehållstillstånd samt,
f) straffregisterutdrag för anknytningspersonen för bedömning av barnets bästa, möjligheterna till gemensamt liv eller försörjningsförutsättningen när det görs en sammantagen bedömning för att utreda förutsättningarna för uppehållstillstånd och uppehållsrätt,
 
3) av förundersökningsmyndigheterna uppgifter om brott som anknytningspersonen misstänks ha begått, brottsanmälan och förundersökning som gäller denne vid en helhetsbedömning av förutsättningarna för uppehållstillstånd och uppehållsrätt, uppgifter om brottsmisstankar mot en anknytningsperson för bedömning av ett barns bästa, möjligheterna till ett gemensamt liv eller försörjningsförutsättningarna samt, vid beslutsprövning av huruvida en person ska tas med i hjälpsystemet för offer för människohandel, uppgifter om förundersökning av brott och polisanmälningar som är eller har varit anhängiga, 
4) av polisen uppgifter om andra personer än sådana som ansöker om uppehållstillstånd när det ska fastställas vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd, om uppgifterna kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om den som står i beroendeställning till personen, 
4) av Folkpensionsanstalten uppgifter om inkomster, förmåner och familjeband för utredning av misstänkt motstridiga uppgifter eller äktheten i fråga om arbetsförhållanden och familjeband, 
5) av kommunens socialmyndigheter uppgifter som, när det ska fastställas vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om den som står i beroendeställning till personen, samt, för utredning av behovet av hjälpåtgärder, uppgifter om bakgrund och situation för en person som föreslås ingå i hjälpsystemet för offer för människohandel och de social- och hälsovårdstjänster som personen får samt uppgifter om utredning av behovet av barnskydd och klientrelationen inom barnskyddet, 
6) av Skatteförvaltningen sådana uppgifter om förmögenhet och inkomster i fråga om andra personer än sådana som ansöker om uppehållstillstånd som, när det ska fastställas vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om en annan person, samt uppgifter om förmögenhet och inkomster för utredning av misstänkt motstridiga uppgifter eller äktheten i fråga om arbetsförhållanden och familjeband,  
7) av Utbildningsstyrelsen eller av utbildningsanordnaren, vid en helhetsbedömning av förutsättningarna för uppehållstillstånd, uppehållsrätt eller medborgarskap, i fråga om utlänningar uppgifter om inledande av studierätten, tillfälligt avbrytande av studierätten, annat tillfälligt avbrott i studier, studierättens och studiernas upphörande samt terminsavgiftens storlek och betalning av den, om sådana stipendier, bostadsförmåner och måltidsförmåner som beviljas av utbildningsanordnaren samt om studieprestationer, vitsord och examina, 
9) av Brottspåföljdsmyndigheten kontaktuppgifter till och uppgift om vistelseort och frigivningsdag i fråga om andra personer än sådana som ansöker om uppehållstillstånd, om uppgifterna, när det ska fastställas vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd, kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om den som står i beroendeställning till personen, 
8) av utrikesministeriet eller en beskickning uppgifter om avslagsbeslut som gäller legalisering av en handling för bedömning av utländska handlingars tillförlitlighet, 
9) av Transport- och kommunikationsverket och av Tillstånds- och tillsynsverket för social- och hälsovården uppgifter om rätt att utöva ett visst yrke när det gäller en utlänning och dennes familjemedlemmar, för utredning av försörjningsförutsättningen eller förutsättningarna för beviljande av uppehållstillstånd, uppehållstillstånd för säsongarbete eller uppehållskort eller registrering av uppehållsrätt. (2 mom. i RP) 
14 § 
Utlämnande av personuppgifter 
Utöver vad som föreskrivs någon annanstans i lag eller i internationella avtal som är bindande för Finland får sådana uppgifter som samlats in och registrerats med stöd av 1 § trots sekretessbestämmelserna lämnas ut i sådan omfattning som den mottagande myndighetens eller aktörens föreskrivna rätt till information för skötseln av lagstadgade uppgifter medger. 
Personuppgifter som hör till särskilda kategorier av personuppgifter får lämnas ut i enlighet med vad som föreskrivs i 1 mom. endast när det är nödvändigt för att myndigheten i fråga ska kunna utföra sina lagstadgade uppgifter. 
Vad som föreskrivs i denna paragraf gäller inte fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort eller av den som ansöker om främlingspass eller resedokument för flykting eller uppgifter om iakttagelser, om inte annat föreskrivs någon annanstans i lag. 
14 (15 §) 
Utlämnande av uppgifter till Europeiska unionens gemensamma informationssystem 
Migrationsverket, utrikesministeriet, beskickningar, polisen, Gränsbevakningsväsendet och Tullen får, trots sekretessbestämmelserna, till Europeiska unionens gemensamma informationssystem, vilka inrättats genom förordningar som antagits med stöd av avdelning V kapitel 2 i fördraget om Europeiska unionens funktionssätt, lämna ut personuppgifter enligt vad som förskrivs i de förordningarna. 
15 (16 §)  
Radering av uppgifter 
Om inte något annat följer av internationella förpliktelser eller av lag, raderas personuppgifter som behandlats med stöd av denna lag enligt följande: 
1) av identifikationsuppgifterna för en person ska kundnummer, namn, födelsetid, personbeteckning, utländsk personbeteckning, någon annan utländsk beteckning för identifiering av personen, medborgarskap och uppgifter om personens familjeband raderas tio år efter att personen har avlidit eller fått finskt medborgarskap eller uppgifterna om ärenden i anknytning till personen har raderats, 
2) andra personuppgifter än de som avses i 1 punkten och uppgifter om ärenden som anknyter till en person ska raderas senast fem år efter att uppehållsrätten upphörde eller den sista uppgiften antecknades i det sista anhängiga ärendet, 
3) personuppgifter som hör till särskilda kategorier av personuppgifter ska raderas genast när de inte längre behövs, 
4) uppgifter om iakttagelser ska raderas sex månader efter att de antecknades. 
16 (17 §) 
Personuppgift som konstaterats vara felaktig 
En personuppgift som konstaterats vara felaktig får bevaras tillsammans med den korrigerade personuppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till den personuppgiftsansvariges personal har. En sådan uppgift får behandlas endast i detta syfte. 
En personuppgift som konstaterats vara felaktig ska utplånas genast när den inte längre behövs för tryggande av rättigheter, dock senast fem år efter att felet uppdagats
17 (18 §). 
Arkivering av uppgifter 
Separata bestämmelser gäller för arkivfunktionens uppgifter och för handlingar som ska arkiveras. 
18 (19 §) 
Tillgodoseende av den registrerades rätt att få tillgång till egna uppgifter 
En registrerad som vill utöva sin rätt att få tillgång till egna uppgifter ska framställa en skriftlig begäran om detta till den personuppgiftsansvarige samt styrka sin identitet antingen med handlingar som anses tillförlitliga eller personligen för den personuppgiftsansvarige eller genom stark autentisering. 
När en begäran som avses i 1 mom. gäller uppgifter i polisens registerföring tillämpas 41 § i lagen om behandling av personuppgifter i polisens verksamhet, när begäran gäller uppgifter i Gränsbevakningsväsendets registerföring, tillämpas 50 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (639/2019) och när begäran gäller uppgifter i Tullens registerföring tillämpas 35 § i lagen om behandling av personuppgifter inom Tullen
När en begäran om den registrerades rätt att få tillgång till egna uppgifter gäller uppgifter i skyddspolisens registerföring ska begärna framställas på det sätt som avses i 41 § 2 mom, i lagen om behandling av personuppgifter i polisens verksamhet. (Nytt 3 mom.) 
19 (20 §) 
Den registrerades rätt till begränsning av behandling 
Bestämmelserna i artikel 18 i dataskyddsförordningen om den registrerades rätt till begränsning av behandling tillämpas inte på behandling av personuppgifter som avses i denna lag. 
21 § 
Automatiserat individuellt beslutsfattande 
Beslut som Migrationsverket fattar i ärendehanteringssystemet för utlänningsärenden får fattas genom ett förfarande som grundar sig endast på automatiserad behandling, om ärendet med stöd av 34 § 2 mom. 5 punkten i förvaltningslagen (434/2003) får avgöras utan att en part hörs. 
Migrationsverket ska offentliggöra den algoritm som lett till det slutliga beslutet i ett automatiserat beslutsförfarande. Dessutom har den registrerade rätt att få en separat redogörelse för den algoritm som använts för ett sådant slutligt individuellt beslut i hans eller hennes sak som fattats genom automatiserad behandling. 
Migrationsverket överdirektör svarar för förfarandet vid automatiserat beslutsfattande och för automatiserade individuella beslut. 
20 (22 §) 
Hänvisning till strafflagen 
Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen (39/1889). 
21 (23 §)  
Ikraftträdande 
Denna lag träder i kraft den 20 . 
Genom denna lag upphävs lagen om utlänningsregistret (1270/1997). 
22 (24 §)  
Övergångsbestämmelse 
Ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar ska anpassas så att de stämmer överens med 15 § inom ett år från ikraftträdandet av denna lag. Under övergångstiden tillämpas de bestämmelser om radering av uppgifter som gällde vid ikraftträdandet av denna lag. 
2. 
Lag 
om ändring av lagen om mottagande av personer som söker internationellt skydd och om identifiering av och hjälp till offer för människohandel 
I enlighet med riksdagens beslut 
upphävs i lagen om mottagande av personer som söker internationellt skydd och om identifiering av och hjälp till offer för människohandel (746/2011) 6 kap., 
ändras 58 §, sådan den lyder i lag 388/2015, och 
fogas till 39 § ett nytt 4 mom. som följer: 
39 § 
Förordnande av företrädare 
Styrningen, planeringen och övervakningen av verksamheten i anslutning till företrädande hör till Migrationsverkets uppgifter. Den förläggning eller flyktingsluss där barnet har registrerats som kund svarar för den praktiska administrationen av verksamheten i anslutning till företrädande. 
58 § 
Rätt att få uppgifter 
Inrikesministeriet, förundersökningsmyndigheter och kommunala myndigheter har rätt att trots sekretessbestämmelserna avgiftsfritt få de upplysningar som är nödvändiga för att utföra uppgifterna enligt 3 och 4 kap. av varandra, av Migrationsverket, av förläggningar och flyktingslussar, av offentliga eller privata serviceproducenter som tillhandahåller tjänster enligt 3 och 4 kap. och av företrädare för barn utan vårdnadshavare. 
En offentlig eller privat serviceproducent som tillhandahåller tjänster enligt 3 och 4 kap. och vars klient är asylsökande, en person som får tillfälligt skydd eller offer för människohandel har rätt att trots sekretessbestämmelserna avgiftsfritt få de upplysningar som är nödvändiga för att tillhandahålla tjänsterna av Migrationsverket, förläggningar och flyktingslussar. 
Företrädare för barn utan vårdnadshavare har rätt att trots sekretessbestämmelserna avgiftsfritt få de upplysningar som är nödvändiga för att utföra uppgifterna enligt 41 § av Migrationsverket, förläggningar, flyktingslussar, kommunala myndigheter, Folkpensionsanstalten och sådana offentliga eller privata serviceproducenter som tillhandahåller tjänster enligt 3 och 4 kap. 
Denna lag träder i kraft den 20 . 
3. 
Lag 
om ändring av lagen om bemötande av utlänningar som tagits i förvar och om förvarsenheter 
I enlighet med riksdagens beslut 
upphävs i lagen om bemötande av utlänningar som tagits i förvar och om förvarsenheter (116/2002) 5 a kap., sådant det lyder i lag 814/2015, och 
ändras 34 §, sådan den lyder i lag 748/2011, som följer: 
34 § 
Rätt att få information och sekretess 
Polisen och Gränsbevakningsväsendet har rätt att avgiftsfritt och trots sekretessbestämmelserna av en offentlig eller privat tjänsteproducent som producerar tjänster enligt 3 kap. få de uppgifter som är nödvändiga för utförande av uppgifter enligt 3 kap. (Nytt 1 mom.) 
En offentlig eller privat serviceproducent som tillhandahåller tjänster enligt 3 kap. och vars klient är en utlänning som tagits i förvar, har rätt att trots sekretessbestämmelserna avgiftsfritt av Migrationsverket och förvarsenheter få de upplysningar som är nödvändiga för att tillhandahålla tjänsterna. (Nytt 2 mom.) 
En företrädare som förordnats för ett barn utan vårdnadshavare har rätt att avgiftsfritt och trots sekretessbestämmelserna av Migrationsverket och förvarsenheter samt av en offentlig eller privat serviceproducent som producerar tjänster enligt 3 kap. få de uppgifter som är nödvändiga för skötseln av de uppgifter som avses i 41 § i lagen om mottagande av personer som söker internationellt skydd och om identifiering av och hjälp till offer för människohandel. (Nytt 3 mom.) 
Bestämmelser om sekretess finns i lagen om offentlighet i myndigheternas verksamhet (621/1999). (1 mom. i RP) 
Denna lag träder i kraft den 20 . 
4. 
Lag 
om ändring av lagen om främjande av integration 
I enlighet med riksdagens beslut 
upphävs i lagen om främjande av integration (1386/2010) 8 kap. och 
ändras 87 § 3 mom. som följer: 
87 § 
Rätt att få uppgifter 
En företrädare som förordnats för ett barn utan vårdnadshavare har trots sekretessbestämmelserna rätt att av arbets- och näringsbyråer, kommunala myndigheter, Folkpensionsanstalten, Migrationsverket och förläggningar och flyktingslussar avgiftsfritt få den information som är nödvändig för att sköta uppgifterna enligt 57 §. 
Denna lag träder i kraft den 20 . 
5. 
Lag 
om upphävande av 48 § i medborgarskapslagen 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs i medborgarskapslagen (359/2003) 48 §, sådan den lyder i lag 974/2007. 
2 § 
Denna lag träder i kraft den 20 . 
6. 
Lag 
om ändring av utlänningslagen 
I enlighet med riksdagens beslut 
ändras i utlänningslagen (301/2004) 59 § 2 mom., 60 f § 2 mom., 131 § 2 och 3 mom. samt 171 § 1 mom., 
sådana de lyder, 59 § 2 mom. i lag 668/2013, 60 f § 2 mom. i lag 631/2011, 131 § 2 och 3 mom. i lag 635/2019 och 171 § 1 mom. i lag 501/2016,som följer: 
59 § 
När uppehållstillstånd upphör att gälla 
En anteckning om att uppehållstillståndet upphört att gälla ska göras i ärendehanteringssystemet för utlänningsärenden. 
60 f § 
När ett uppehållstillståndskort upphör att gälla 
När uppehållstillståndskortet har upphört att gälla tar Migrationsverket, den lokala polisen, gränskontrollmyndigheten eller en finsk beskickning hand om uppehållstillståndskortet och gör en anteckning i ärendehanteringssystemet för utlänningsärenden om att kortet har upphört att gälla. Ett kort som omhändertagits av myndigheten ska förstöras. 
131 § 
Upptagande av signalement 
De i 1 mom. avsedda signalementen införs i ett register som polisen för. Uppgifterna ska hållas åtskilda från signalementen för personer som är misstänkta för brott och från de fingeravtryck som registreras i enlighet med 10 § i lagen om behandling av personuppgifter i migrationsförvaltningen (/) och som tas för ansökan om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlemmar. Uppgifterna raderas med iakttagande av 34 § i lagen om behandling av personuppgifter i polisens verksamhet (616/2019). 
Fingeravtrycksuppgifter som avses i 1 mom. får jämföras med fingeravtrycksuppgifter som för de ändamål med behandlingen som föreskrivs i 5 § i lagen om behandling av personuppgifter i polisens verksamhet har registrerats med stöd av denna paragraf samt med fingeravtrycksuppgifter enligt 9 § i lagen om behandling av personuppgifter i migrationsförvaltningen som registrerats för ansökningar om främlingspass och resedokument för flykting och med fingeravtrycksuppgifter enligt 10 § i den lagen som registrerats för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem. Dessutom får fingeravtrycksuppgifter som registreras, för kontroll av inreseförutsättningarna, jämföras med fingeravtryck som ingår i signalementsuppgifter enligt tvångsmedelslagen (806/2011) och som avses i 6 § i lagen om behandling av personuppgifter i polisens verksamhet, till den del de redan registrerade fingeravtrycksuppgifterna har samband med ett brott för vilket det föreskrivna strängaste straffet är fängelse i minst ett år. 
171 § 
Behöriga myndigheter 
Migrationsverket registrerar sökandens uppehållsrätt i ärendehanteringssystemet för utlänningsärenden samt utfärdar tidsbegränsade och permanenta uppehållskort. 
Denna lag träder i kraft den 20 . 
7. 
Lag 
om ändring av lagen om Migrationsverket 
I enlighet med riksdagens beslut 
ändras i lagen om Migrationsverket (156/1995) 1—3 §, 
sådana de lyder, 1 och 3 § i lag 975/2007 samt 2 § i lag 1160/2016, som följer: 
1 § 
Migrationsverket 
Migrationsverket finns inom inrikesministeriets förvaltningsområde. 
2 § 
Uppgifter 
Migrationsverket handlägger och avgör de ärenden i fråga om utlänningar och finskt medborgarskap som hör till verkets uppgifter enligt lag eller med stöd av lag. 
Migrationsverket svarar för 
1) styrningen, planeringen och övervakningen av den praktiska verksamheten vid mottagande av personer som söker internationellt skydd och mottagande av personer som får tillfälligt skydd, 
2) styrningen och övervakningen av förvarsenheternas praktiska verksamhet, 
3) driften av de statliga förläggningarna och flyktingslussarna samt statens förvarsenheter, 
4) styrningen av verkställigheten av hjälp till offer för människohandel. 
Migrationsverket ansvarar för förvaltningen och utvecklingen av ärendehanteringssystemet för utlänningsärenden. Migrationsverket ska tillhandahålla inrikesministeriet och övriga myndigheter samt internationella organisationer information som gäller frågor inom dess verksamhetsområde. 
3 § 
Sökande av ändring 
Separata bestämmelser gäller för sökande av ändring i Migrationsverkets beslut. 
Denna lag träder i kraft den 20 . 
8. 
Lag 
om ändring av 24 § i lagen om offentlighet i myndigheternas verksamhet 
I enlighet med riksdagens beslut 
ändras i lagen om offentlighet i myndigheternas verksamhet (621/1999) 24 § 1 mom. 5 och 24 punkten och 
fogas till 24 § 1 mom., sådant det lyder delvis ändrat i lagarna 1151/2001, 1060/2002, 281/2004, 713/2007, 274/2009, 458/2011, 528/2011, 91/2015, 756/2015, 19/2016, 808/2017, och 604/2018 och 277/2019, en ny 31 c-punkt som följer: 
24 § 
Sekretessbelagda myndighetshandlingar 
Om inte något annat föreskrivs särskilt, är följande myndighetshandlingar sekretessbelagda 
5) handlingar som innehåller uppgifter om polisens, Gränsbevakningsväsendets, Tullens, fångvårdsmyndigheternas och Migrationsverkets taktiska och tekniska metoder och planer, om utlämnandet av uppgifter ur handlingarna skulle äventyra förebyggande och utredning av brott, upprätthållandet av allmän ordning och säkerhet eller av ordningen vid en straffanstalt eller tillförlitligheten av Migrationsverkets utredning om en utlänning, 
24) handlingar som innehas av Migrationsverket, av polisen, av Gränsbevakningsväsendet, av statliga regionförvaltningsmyndigheter som handlägger arbetstagares och företagares ansökningar om uppehållstillstånd och av utrikesförvaltningen, gäller behovet av internationellt skydd, förutsättningarna för utlänningars inresa och uppehållsrätt i landet eller grunden för dem eller förvärv eller förlust av finskt medborgarskap eller bestämmande av medborgarskapsstatus, om det inte är uppenbart att utlämnandet av uppgifter ur handlingarna inte orsakar skada eller olägenhet för parten eller partens närstående; förvaltningsbeslut om dessa ärenden är dock sekretessbelagda endast om det inte är uppenbart att utlämnandet av uppgifter ur dem inte äventyrar säkerheten för parten eller partens närstående,, 
31 c) handlingar som gäller en utlänning som vistas i Finland, om det finns grundad anledning att misstänka att utlämnandet av uppgifter ur handlingarna äventyrar säkerheten för parten eller partens närstående, 
Denna lag träder i kraft den 20 . 
9. 
Lag 
om ändring av 25 och 37 § i säkerhetsutredningslagen 
I enlighet med riksdagens beslut 
ändras i säkerhetsutredningslagen (726/2014) 25 § 1 mom. 10 punkten och 37 § 1 mom. 7 punkten som följer: 
25 § 
Informationskällor vid normal säkerhetsutredning av person 
En säkerhetsutredning av person får bygga enbart på registeruppgifter som finns i 10) ärendehanteringssystemet för utlänningsärenden eller det nationella informationssystemet för viseringar och om vilka uppgifter det föreskrivs i 7 § 1 mom. eller 2 mom. 1 eller 2 punkten i lagen om behandling av personuppgifter i migrationsförvaltningen ( / ), eller i 4 mom. i den paragrafen till den del det är fråga om till 1 mom. eller 2 mom. 1 eller 2 punkten i den paragrafen anknytande personuppgifter om familjemedlemmar, personer som bor i samma hushåll och mottagare i Finland, eller i 8 § i den lagen 
 
37 § 
Informationskällor vid säkerhetsutredning av företag 
Vid en säkerhetsutredning av företag får följande uppgifter användas 
7) sådana uppgifter ur ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar om vilka det föreskrivs i 7 § 1 mom. eller 2 mom. 1 eller 2 punkten i lagen om behandling av personuppgifter i migrationsförvaltningen, 
Denna lag träder i kraft den 20 . 
10. 
Lag 
om ändring av 6 § i lagen om Enheten för utredning av grå ekonomi 
I enlighet med riksdagens beslut 
ändras i lagen om Enheten för utredning av grå ekonomi (1207/2010) 6 § 1 mom. 26 punkten, sådan den lyder i lag 1399/2019, och 
fogas till 6 § 1 mom., sådant det lyder i lagarna 308/2016, 858/2016, 1159/2016, 1413/2016, 1419/2016, 324/2017, 454/2017, 1112/2017, 404/2018, 414/2018,722/2019 och 1399/2019 en ny 27 punkt som följer: 
6 § 
Syftet med fullgöranderapporter 
Fullgöranderapporter utarbetas till stöd för 
25) Konkurrens- och konsumentverkets uppgifter vid tillsynen över iakttagandet av i 2 kap. i konkurrenslagen (948/2011) föreskrivna förbud mot konkurrensbegränsningar, 
26) utredning av tillförlitligheten hos livsmedelsföretagare enligt 16 a § i livsmedelslagen (23/2006), 
27) handläggning av och beslutsfattande och tillsynsuppgifter i ärenden som gäller utlänningars inresa, utresa, vistelse och arbete samt medborgarskap enligt utlänningslagen (301/2004), medborgarskapslagen (359/2003), lagen om villkor för tredjelandsmedborgares inresa och vistelse för säsongsanställning (907/2017), lagen om villkor för inresa och vistelse för tredjelandsmedborgare inom ramen för företagsintern förflyttning av personal (908/2017) och lagen om villkoren för tredjelandsmedborgares inresa och vistelse på grund av forskning, studier, praktik och volontärarbete (719/2018). 
Denna lag träder i kraft den 20 . 
11. 
Lag 
om ändring av 28 § lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten 
I enlighet med riksdagens beslut 
ändras i lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten (1069/2015) 28 § 1 mom. 6 punkten som följer: 
28 § 
Rätt att få uppgifter av andra myndigheter och uppgiftsskyldiga 
Utöver vad som föreskrivs någon annanstans i lag har Brottspåföljdsmyndigheten trots sekretessbestämmelserna rätt att av andra myndigheter få uppgifter som gäller en brottsmisstänkt, en dömd, en fånge, en intagen i en enhet vid Brottspåföljdsmyndigheten och en person som avtjänar samhällspåföljd och som behövs för verkställigheten av straff eller häktning eller för skötseln av någon annan uppgift som hör till Brottspåföljdsmyndigheten enligt följande 
6) av polisen, Gränsbevakningsväsendet och Migrationsverket uppgifter om ärenden som gäller vistelse i eller avlägsnande ur landet och verkställighet av beslut om avlägsnande ur landet samt inreseförbud och förbudets längd i fråga om utlänningar som är antecknade i ärendehanteringssystemet för utlänningsärenden och är eller har varit intagna i en enhet vid Brottspåföljdsmyndigheten, 
Denna lag träder i kraft den 20 . 
12. 
Lag 
om ändring av 13 § i lagen om identitetskort 
I enlighet med riksdagens beslut 
ändras i lagen om identitetskort (663/2016) 13 § 1 och 2 mom. som följer: 
13 § 
Kontroll av personuppgifter och krav på motsvarighet 
Innan ett identitetskort utfärdas ska den myndighet som behandlar ansökan om identitetskort kontrollera sökandens personuppgifter i befolkningsdatasystemet. Vid ansökan om identitetskort för utlänningar ska personuppgifterna dessutom kontrolleras i det ärendehanteringssystem för utlänningsärenden som avses i lagen om behandling av personuppgifter i migrationsförvaltningen ( / ). 
De personuppgifter som uppges i ansökan ska motsvara uppgifterna i befolkningsdatasystemet och dessutom i fråga om ansökan om identitetskort för utlänningar uppgifterna i ärendehanteringssystemet för utlänningsärenden. 
Denna lag träder i kraft den 20 . 
13. 
Lag 
om ändring av 7 § i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet 
I enlighet med riksdagens beslut 
ändras i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet (657/2019) 7 § 3 mom. 6 punkten som följer: 
7 § 
Behandling av PNR-uppgifter 
Enheten för passagerarinformation får genom automatiserade metoder jämföra PNR-uppgifter med följande uppgifter, datasystem och register: 
6) uppgifter som registrerats för de ändamål som anges i 1 § 1 mom. 1och 2 och 6 punkten i lagen om behandling av personuppgifter i migrationsförvaltningen ( / ),  
Denna lag träder i kraft den 20 . 
14. 
Lag 
om ändring av 37 § i lagen om behandling av personuppgifter inom Försvarsmakten 
I enlighet med riksdagens beslut 
ändras i lagen om behandling av personuppgifter inom Försvarsmakten (332/2019) 37 § 1 mom. 3 och 12 punkten, sådan den lyder delvis ändrad i lag 1168/2019, som följer: 
37 § 
Rätt att få personuppgifter för skötseln av militärunderrättelseuppdrag och uppdrag för förebyggande och avslöjande av brott 
Utöver vad som föreskrivs någon annanstans i lag, har Försvarsmakten för fullgörande av uppdrag inom militär underrättelseinhämtning samt uppdrag för förebyggande och avslöjande av brott som avses i 86 § 1 mom. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten, trots sekretessbestämmelserna rätt att få behövliga uppgifter enligt följande 
3) ur utrikesministeriets informationssystem uppgifter om dem som hör till personalen vid diplomatiska beskickningar och konsulat som representerar den utsändande staten i Finland och dem som hör till personalen vid internationella organisationers organ i Finland och andra internationella organ i samma ställning och uppgifter om dessa personers familjemedlemmar och om dem som är i privat tjänst hos dessa personer, samt uppgifter om visumansökningar och visumbeslut ur det nationella informationssystemet för viseringar enligt lagen om behandling av personuppgifter i migrationsförvaltningen ( / ), 
12) ur ärendehanteringssystemet för utlänningsärenden uppgifter om resedokument, vistelse, internationellt skydd, avlägsnande ur landet, inreseförbud och medborgarskap, 
Denna lag träder i kraft den 20 . 
15. 
Lag 
om ändring av 18 § i lagen om beskattningsförfarande 
I enlighet med riksdagens beslut 
ändras i lagen om beskattningsförfarande (1558/1995) 18 § 7 mom., sådant det lyder i lag 71/2010, som följer: 
18 § 
Myndigheternas allmänna skyldighet att lämna uppgifter 
Den som är personuppgiftsansvarig enligt lagen om behandling av personuppgifter i migrationsförvaltningen ( / ) ska för beskattningen lämna Skatteförvaltningen behövliga uppgifter om utlänningars vistelse i Finland och om utlänningars arbetsgivare, anställningsförhållanden och näringsverksamhet. 
Denna lag träder i kraft den 20 . 
16. 
Lag 
om ändring av 10 § i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata 
I enlighet med riksdagens beslut 
ändras i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009) 10 § 1 och 2 mom., sådana de lyder i lag 1175/2019, som följer: 
10 § 
Kontroll av tillförlitligheten hos uppgifter som gäller utländska medborgare 
Innan Myndigheten för digitalisering och befolkningsdata beslutar att i befolkningsdatasystemet göra en registeranteckning om tillägg, ändring eller rättelse av uppgifter om en utländsk medborgare ska den kontrollera vilka uppgifter om denne som registrerats i det ärendehanteringssystem för utlänningsärenden som avses i lagen om behandling av personuppgifter i migrationsförvaltningen (/). Närmare bestämmelser om uppgifter som ska kontrolleras och om omfattningen av kontrollskyldigheten får utfärdas genom förordning av statsrådet. 
Om de uppgifter som en utländsk medborgare lämnat till Myndigheten för digitalisering och befolkningsdata inte registrerats i ärendehanteringssystemet för utlänningsärenden, eller om de avviker från uppgifterna i det systemet, ska Myndigheten för digitalisering och befolkningsdata innan den gör en registeranteckning begära att Migrationsverket ger ett utlåtande i ärendet. Migrationsverket ska behandla ärendet utan onödigt dröjsmål. 
Denna lag träder i kraft den 20 . 
17. 
Lag 
om ändring av 21 § i lagen om nationella studie- och examensregister 
I enlighet med riksdagens beslut 
ändras i lagen om nationella studie- och examensregister (884/2017) 21 § 1 mom. 6 punkten, sådan den lyder i lag 568/2019, som följer: 
21 § 
Utlämnande av uppgifter ur antagningsregistret 
Trots sekretessbestämmelserna får uppgifter som avses i 19 § 1 och 5 mom., i den utsträckning de uppgifter som avses i 1 mom. behövs och de uppgifter som avses i 5 mom. är nödvändiga för skötseln av mottagarens uppgifter, lämnas ut ur antagningsregistret 
6) till Migrationsverket för skötseln av de uppgifter som det har enligt utlänningslagen (301/2004) och medborgarskapslagen (359/2003). 
Denna lag träder i kraft den 20 . 
Utskottets nya lagförslag
18. 
Lag 
om ändring av 16 och 22 § i lagen om behandling av personuppgifter i polisens verksamhet 
I enlighet med riksdagens beslut 
ändras i lagen om behandling av personuppgifter i polisens verksamhet (616/2019) 16 § 1 mom. 7 och 8 punkten samt 22 § 1 mom. 16 punkten, av dem 22 § 1 mom. 16 punkten sådan den lyder i lag 1162/2019, som följer: 
16 § 
Polisens rätt att få uppgifter ur vissa register och informationssystem 
Utöver vad som föreskrivs annanstans i lag har polisen trots sekretessbestämmelserna rätt att ur vissa register genom en teknisk anslutning eller som en datamängd få information för att utföra sina uppgifter och föra sina personregister, på det sätt det avtalas om tillvägagångssättet med den personuppgiftsansvarige, enligt följande: 
7) ur utrikesministeriets informationssystem, för förundersökning, för annan undersökning och för utförande av de uppgifter polisen har enligt utlänningslagen, uppgifter om visum samt uppgifter om dem som hör till personalen vid diplomatiska beskickningar och konsulat som representerar den utsändande staten i Finland och om dem som hör till personalen vid en internationell organisations organ i Finland eller något annat internationellt organ i samma ställning samt om dessa personers familjemedlemmar och om dem som är i privat tjänst hos dessa personer,  
8) ur det ärendehanteringssystem för utlänningsärenden och det nationella informationssystemet för viseringar som avses i lagen om behandling av personuppgifter inom migrationsförvaltningen (/)uppgifter för förhindrande och avslöjande av brott, för förundersökning och annan undersöknng samt för utförande av de uppgifter som polisen har enligt utlänningslagen, medborgarskapslagen (359/2003) och lagen om bemötande av utlänningar som tagits i förvar och om förvarsenheter (116/2002), 
22 § 
Övrigt utlämnande av personuppgifter till myndigheter 
Trots sekretessbestämmelserna får polisen med hjälp av en teknisk anslutning eller som en datamängd lämna ut personuppgifter som avses i 5—8, 11 och 12 § för att en myndighet ska kunna utföra ett lagstadgat uppdrag enligt följande: 
16) till Myndigheten för digitalisering och befolkningsdata eller Statens ämbetsverk på Åland för uppgifter som avses i 38 § i medborgarskapslagen (359/2003), 
Denna lag träder i kraft den dag månad 20
Helsingfors 11.6.2020 
I den avgörande behandlingen deltog
ordförande
Riikka
Purra
saf
vice ordförande
Mari-Leena
Talvitie
saml
medlem
Tiina
Elo
gröna
medlem
Jussi
Halla-aho
saf
medlem
Eveliina
Heinäluoma
sd
medlem
Hanna
Holopainen
gröna
medlem
Hanna
Huttunen
cent
medlem
Aki
Lindén
sd
medlem
Mauri
Peltokangas
saf
medlem
Juha
Pylväs
cent
medlem
Piritta
Rantanen
sd
medlem
Matti
Semi
vänst
medlem
Heidi
Viljanen
sd.
Sekreterare var
utskottsråd
Minna-Liisa
Rinne.
Senast publicerat 15-06-2020 11:36