1.1
Lag om behandling av personuppgifter i migrationsförvaltningen
1 §.Lagens tillämpningsområde och syftet med behandlingen av personuppgifter. Avsikten är att lagen ska tillämpas, om inte annat föreskrivs någon annanstans i lag, på helt eller delvis automatiserad behandling av personuppgifter och på annan behandling av personuppgifter, då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant, och personuppgifterna behandlas i följande syften: 1) behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse, 2) behandling av och beslut i ärenden som gäller förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap samt bestämmande av medborgarskapsstatus, 3) mottagande av personer som söker internationellt skydd eller får tillfälligt skydd samt hjälp till offer för människohandel samt verksamhet i anslutning till företrädande av barn utan vårdnadshavare inom mottagningsverksamheten samt styrning, planering och uppföljning av dessa, 4) placering av en utlänning i en förvarsenhet, bemötande av en utlänning i en förvarsenhet samt upprätthållandet av ordningen och säkerheten vid en förvarsenhet, 5) anvisande till kommuner och 6) tryggande av den nationella säkerheten.
Tillämpningsområdet för den föreslagna lagen avses vara knutet till syftet med behandlingen av personuppgifter: den ska tillämpas när sådana uppgifter behandlas i de syften som anges i paragrafen. Tillämpningsområdet ska inte vara knutet till något specifikt register eller datasystem.
Behörigheten att behandla personuppgifter bygger på flera olika lagar. Det rör sig om utlänningslagen, medborgarskapslagen, lagen om säsongsanställning, ICT-lagen, forskar- och studerandelagen, mottagandelagen, förvarslagen och integrationslagen. I stället för att hänvisa till dessa lagar ska den nya lagens tillämpningsområde bestämmas genom föreskrivande av de syften där personuppgifter ska behandlas för utförande av de uppgifter som avses i de lagar som ger behörigheten. Syftet med att personuppgifter används ska bygga direkt på det behov att behandla uppgifterna som kommer av de lagar som skapar behörigheten. Denna regleringsteknik är motiverad eftersom regelverket blir onödigt tungt, detaljerat och svårtolkat om man hänvisar till ett stort antal lagar och enskilda paragrafer i dessa. Dessutom ger detta sätt att reglera frågan möjlighet till att personuppgifter som bygger på eventuella framtida speciallagar och EU-regler behandlas med stöd av den nu föreslagna personuppgiftslagen om personuppgifterna behandlas i syften som hör till den föreslagna personuppgiftlagens tillämpningsområde.
Med behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse enligt 1 punkten i det föreslagna 1 mom. avses sådan behandling av personuppgifter som är behövlig enligt utlänningslagen, lagen om säsongsanställning, ICT-lagen och forskar- och studerandelagen, exempelvis inom processen för uppehållstillstånd och asylförfarandet med beaktande av processens hela tidsmässiga utsträckning. Tillämpningsområdet anses också omfatta sådana specialsituationer där det inte klart är fråga om inresa, utresa eller vistelse, såsom exempelvis upphörande av flyktingstatus för någon som befinner sig utomlands eller någon som befinner sig i Finland med permanent tillstånd. Till skillnad från 2 § i den gällande lagen om utlänningsregistret avses punkten inte innehålla ett särskilt omnämnande av arbete, eftersom det anses ingå i begreppet vistelse på samma sätt som exempelvis studier. Det rör sig om en teknisk ändring och avsikten är inte att ändra nuläget i detta avseende.
Med behandling av och beslut i ärenden som gäller förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap samt bestämmande av medborgarskapsstatus enligt 2 punkten avses sådan behandling av personuppgifter vars syfte är att utföra uppgifter som anges i medborgarskapslagen.
I 1 mom. 3 punkten nämns mottagande av personer som söker internationellt skydd eller får tillfälligt skydd samt hjälp till offer för människohandel, verksamhet i anslutning till företrädande av barn utan vårdnadshavare inom mottagningsverksamheten samt styrning, planering och övervakning av dessa verksamheter. Med detta avses tryggande av omsorg, försörjning och ändamålsenligt skydd och lämpliga tjänster samt förordnande av företrädare och företrädarens uppgifter enligt mottagandelagen.
Med placering av en utlänning i en förvarsenhet, bemötande av en utlänning i en förvarsenhet samt upprätthållandet av ordningen och säkerheten vid en förvarsenhet enligt den föreslagna 1 mom. 4 punkten avses behandling av personuppgifter i syfte att vidta de åtgärder enligt förvarslagen som behövs för att de som tagits i förvar ska bemötas rättvist och med aktning för deras människovärde, för att begränsa deras rättigheter och för att tillgodose deras rätt ta emot besök och hålla kontakt och till exempel använda telefon och annan elektronisk kommunikations- och upptagningsutrustning.
Paragrafens 1 mom. 5 punkt gäller anvisande till kommuner. Här avses sådan behandling av personuppgifter som behövs för att anvisa en person till en kommun enligt 2 § 2 och 3 mom. i integrationslagen. Målet när personuppgifter behandlas i syfte att anvisa någon till en kommun är att se till att de skyldigheter som myndigheter har avseende mottagning och främjande av integration fullgörs. Det gäller bland att anvisa en registrerad person till rätt kommun.
Med tryggande av den nationella säkerheten enligt 1 mom. 6 punkten avses dels skyddspolisens skyldighet att skydda rikets säkerhet, dels också mer allmänt myndigheternas skyldighet att som en del av sina lagstadgade uppgifter sörja för den nationella säkerheten. Detta motsvarar till innehållet 2 § 2 mom. i lagen om utlänningsregistret gällande tryggande av statens säkerhet, men ordalydelsen ändras i enlighet med dataskyddsförordningen, dataskyddslagen och dataskyddslagen avseende brottmål så att uttrycket nationell säkerhet används. I förhållande till den gällande utlänningsregisterlagen är den föreslagna lagens räckvidd större och inbegriper behandling av personuppgifter också med stöd av mottagandelagen, förvarslagen och integrationslagen. Därför utvidgas också de syften där insamlade personuppgifter kan behandlas för att trygga nationell säkerhet.
Till skillnad från den gällande lagen om utlänningsregistret ska genomförande av säkerhetsutredningar inte höra till den förslagna lagens tillämpningsområde, eftersom det ursprungliga syftet med behandlingen av personuppgifterna inte är att göra sådana utredningar. Eftersom det också i fortsättningen behövs personuppgifter för att säkerhetsutredningar ska kunna göras måste användningen av sådana personuppgifter som samlas in med stöd av den föreslagna lagen i framtiden grundas på att personuppgifterna ska lämnas ut till skyddspolisen.
Enligt den föreslagna dataskyddslagen gäller dataskyddsförordningen i tillämpliga delar också sådan behandling av personuppgifter som inte hör till tillämpningsområdet för EU-lagstiftningen och som medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget. Denna utvidgning av förordningens räckvidd gäller inte situationer där det gäller andra bestämmelser i nationell lag i ett ärende som inte omfattas av unionsrättens tillämpningsområde. I denna proposition föreslås inte bestämmelser med annat innehåll. Det innebär att dataskyddsförordningen kommer att gälla allt behandling av personuppgifter som sker inom den föreslagna lagen. tillämpningsområde också i de fall där det är fråga om ett ärende om inte hör till tillämpningsområdet för EU-lagstiftningen. Det rör sig exempelvis om ärenden som gäller medborgarskap och om tryggande av nationell säkerhet.
Lagen ska enligt förslaget inte tillämpas på diplomatiska representanter i Finland. Den immunitet som avses i det föreslagna 2 mom. framgår av Wienkonventionen om diplomatiska förbindelser (FördrS 4/1970) och Wienkonventionen om konsulära förbindelser (FördrS 50/1980) och i överenskommelser om inrättande av och säte för internationella organisationer. Lagen ska heller inte tillämpas på sådana tjänstemän i internationella organisationer organisationer vilkas ställning det finns bestämmelser om i internationella avtal som är bindande för Finland. Momentet har formulerats i förhållande till 1 § 2 mom. i utlänningsregisterlaget på ett sätt som ska motsvara formuleringarna i internationella avtal. Avsikten är inte att ändra faktiska nuläget.
2 §.Förhållande till övrig lagstiftning. Paragrafen avses innehålla bestämmelser om vilka allmänna bestämmelser om behandling av personuppgifter som ska tillämpas på sådan behandling av personuppgifter som avses i lagförslaget, om inte något annat anges i den föreslagna lagen.
Bestämmelser om behandlingen av personuppgifter finns i allmänna dataskyddsförordningen (GDPR, nedan kallad dataskyddsförordningen) och i den kompletterande nationella dataskyddslagen.
Daraskyddslagen avseende brottmål ska enligt den berörda propositionen (RP 31/2018 rd) tillämpas när polisen, åklagare, allmänna domstolar, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter behandlar personuppgifter, om det är fråga om att förebygga, avslöja eller utreda brott eller att föra brott till åtalsprövning, om åklagarverksamhet som har samband med brott, om handläggning av brottmål i domstol, om verkställighet av straffrättsliga påföljder eller om skydd mot eller förhindrande av hot mot den allmänna säkerheten. Lagen ska utifrån nationellt beslut också tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av nationell säkerhet. Syftena för behandling inom tillämpningsområdet för dataskyddslagen avseende brottmål är kopplade till sådant tryggande av nationell säkerhet som avses i 1 § 1 mom. 6 punkten. Såväl polisenheterna under Polisstyrelsen och skyddspolisen som Gränsbevakningsväsendet utför sådan behandling av personuppgifter på den föreslagna lagens tillämpningsområde som dataskyddslagen avseende brottmål tillämpas på som allmän lag.
Inom migrationsförvaltningen blir också polisens personuppgiftslag och gränsbevakningens personuppgiftslag tillämpliga. Tillämpningsområdet för den föreslagna lagen överlappar på samma sätt som i nuläget delvis med dessa speciallagar om behandling av personuppgifter. Bestämmelser om behandling av personuppgifter finns delvis i dessa andra personuppgiftslagar till exempel avseende tryggande av nationell säkerhet, övervakning av utlänningar och avlägsnande ur landet. Bestämmelser om behandlingen av sådana identifieringsuppgifter om utlänningar som förs in i polisen register med stöd av 131 § i utlänningslagen finns i lagen om behandling av personuppgifter i polisens verksamhet.
Om inte något annat föreskrivs i den föreslagna lagen ska offentlighetslagen tillämpas på sekretess för och utlämnande av personuppgifter. Den föreslagna lagen avses innehålla bestämmelser om utlämnande av sekretessbelagda personuppgifter. I den föreslagna lagen ingår dessutom bestämmelser som kompletterar offentlighetslagen i fråga om sekretess för personuppgifter.
Utöver vad lagen föreskriver iakttas de internationella förpliktelser som är bindande för Finland.
3 §.Gemensamt personuppgiftsansvariga. De myndigheter ska vara personuppgiftsansvariga som i de användningsändamål som hör till den föreslagna lagens tillämpningsområde för egna självständiga syften behandlar personuppgifter för att fullgöra de uppgifter som anges i den lagstiftning som ger myndigheten behörighet. Dessa myndigheter utövar prövnings- och beslutanderätt när de fullgör dessa lagfästa uppgifter. Följande myndigheter ska vara gemensamt personuppgiftsansvariga: Migrationsverket, Polisstyrelsen och skyddspolisen, Gränsbevakningsväsendet, förläggningar och flyktingslussar, förvarsenheter, utrikesförvaltningen, närings-, trafik- och miljöcentralerna och arbets- och näringsbyrån. Dessa personuppgiftsansvariga är sådana gemensamt personuppgiftsansvariga som avses i artikel 26 i dataskyddsförordningen. En enskild gemensamt personuppgiftsansvarig kallas i propositionen personuppgiftsansvarig.
Varje personuppgiftsansvarigs behörighet att behandla personuppgifter grundar sig på bestämmelserna om ifrågavarande myndighets behörighet. Eftersom de syften för vilka de personuppgiftsansvariga behandlar personuppgifter bygger på de ansvarigas lagstadgade uppgifter kommer det materiellträttsliga ansvarsområdet för var och en av de personuppgiftsansvariga att anges direkt i lag. Därmed kommer ansvarsområdena att vara exakt definierade och i detalj avgränsade.
Migrationsverket ska vara personuppgiftsansvarig myndighet när det handlägger och avgör ärenden som anges som dess uppgifter i lag eller genom förordning av statsrådet. Det rör sig om att handlägga och avgöra ärenden som gäller inresa, vistelse, flyktingskap och finskt medborgarskap. Dessutom ansvarar Migrationsverket för styrningen, planeringen och övervakningen av den praktiska verksamheten vid mottagande av personer som söker internationellt skydd och mottagande av personer som får tillfälligt skydd; styrningen och övervakningen av förvarsenheternas praktiska verksamhet; driften av de statliga förläggningarna och flyktingslussarna samt statens förvarsenheter; styrningen av verkställigheten av hjälp till offer för människohandel och styrning, planering och uppföljning av verksamheten i anslutning till företrädande av barn utan vårdnadshavare. Dessutom förvaltar Migrationsverket uppgifter som gäller främlingspass och resedokument för flyktingar. I praktiken innebär det att verket beviljar, drar in och ogiltigförklarar sådana pass och dokument och upphäver eller återkallar viseringar (t.ex. avvisning till följd av brott).
Polisstyrelsen ska vara personuppgiftsansvarig när polisenheter under den inom ramen för sin behörighet tar emot och registrerar ansökningar som gäller internationellt skydd, deltar i asylsamtal, delger negativa asylbeslut, fattar, delger och verkställer beslut om avlägsnande ur landet och lägger fram förslag för Migrationsverket om att någon ska avlägsnas ur landet, meddelar inreseförbud, utför övervakning av utlänningar, skyddar nationell säkerhet och yttrar sig om ansökningar om medborgarskap. Dessutom är Polisstyrelsen personuppgiftsansvarig när polisen förlänger, upphäver och återkallar viseringar och när polisen beslutar om givande av betänketid, om förlängning av betänketid och om avbrytande av betänketid för offer för människohandel med stöd av 52 c § i utlänningslagen. Skyddspolisen avses vara personuppgiftsansvarig när den tryggar nationell säkerhet.
Gränsbevakningsväsendet ska vara personuppgiftsansvarig myndighet när det registrerar asylansökningar, fattar beslut om nekad inresa och avvisning, fattar eller verkställer beslut om avlägsnande ur landet inbegripet inreseförbud eller utför övervakning av utlänningar. Det ska också vara personuppgiftsansvarig myndighet när det beviljar, upphäver eller återkallar viseringar och när gränskontrollmyndigheten beslutar om givande av betänketid, om förlängning av betänketid och om avbrytande av betänketid för offer för människohandel med stöd av 52 c § i utlänningslagen
Migrationsverket, polisen och Gränsbevakningsväsendet övervakar att utlänningslagen och de bestämmelser som utfärdats med stöd av den iakttas.
Förläggningarna och flyktingslussarna ska i egenskap av personuppgiftsansvariga ansvara för planering, ordnande, genomförande och uppföljning av mottagningstjänster för dem som söker internationellt skydd eller får tillfälligt skydd och har registrerats som klienter och av hjälpinsatser för offer för människohandel. Till mottagningstjänsterna hör bland annat inkvartering, mottagnings- och brukspenning, socialservice, hälso- och sjukvårdstjänster, tolk- och översättartjänster samt arbets- och studieverksamhet. Förläggningarna ska dessutom som personuppgiftsansvariga ha ansvar för den praktiska administrationen av företrädarverksamheten för barn utan vårdnadshavare och för att ansökningar görs för förordnande av företrädare för dessa barn. Förläggningen i Joutseno svarar för skötseln av hjälpsystemet för offer för människohandel.
Flyktingslussarna ska vara personuppgiftsansvariga när de svarar för registreringen av invandrare i lägen där antalet invandrare är undantagsvis är så pass stort att det inte är möjligt att vid sedvanligt förfarande klarlägga förutsättningarna för inresa och registrera invandrare.
Förvarsenheterna avses vara personuppgiftsansvariga när de behandlar personuppgifter för ordnande, planering, genomförande och uppföljning av tagandet i förvar av personer vid enheten och för att upprätthålla ordningen och säkerheten vid förvarsenheten.
Enligt 2 § 1 mom. i lagen om utrikesförvaltningen (204/2000) omfattar utrikesförvaltningen utrikesministeriet och de beskickningar som hör till utrikesrepresentationen. Utrikesförvaltningen ska vara personuppgiftsansvarig myndighet när det gäller behandlingen av personuppgifter avseende viseringar. Viseringarna beviljas i det nationella informationssystemet för viseringar. Även om uppgiften som personuppgiftsansvarig inte är knuten till det informationssystemet kommer utrikesförvaltningen i praktiken att vara personuppgiftsansvarig för det nationella informationssystemet för viseringar. Vid sidan av beskickningarna beviljar också andra myndigheter, såsom polisen, Gränsbevakningsväsendet och Tullen, viseringar i det systemet. Utrikesförvaltningen ska vara personuppgiftsansvarig myndighet också när den behandlar personuppgifter i samband med sådant anhängiggörande av en ansökan om första uppehållstillstånd som lämnats till en finländsk beskickning, när beskickningar samlar in biometriska kännetecken för att fastställa någons identitet, när de meddelar beslut för kännedom utomlands och beviljar så kallade protokoll- eller laissez-passer-tillstånd. Dessutom avses utrikesförvaltningen vara personuppgiftsansvarig när beskickningarna efter att ha hört Migrationsverket fattar beslut om beviljande av främlingspass till en utlänning utomlands eller beslut om en provisorisk resehandling (Emergency Travel Document, ETD).
Närings-, trafik- och miljöcentralen ska vara personuppgiftsansvarig vid behandling av personuppgifter när den anvisar personer till kommuner och när den fattar ett delbeslut gällande en ansökan om uppehållstillstånd för företagare.
Arbets- och näringsbyrån ska vara personuppgiftsansvarig vid behandling av personuppgifter när den fattar ett delbeslut gällande en ansökan om uppehållstillstånd för arbetstagare och när det fattar beslut om vägran att bevilja uppehållstillstånd för arbetstagare enligt 187 § i utlänningslagen.
I enlighet med principerna i artikel 5 och det inbyggda dataskyddet och dataskyddet som standard enligt artikel 25 i dataskyddsförordningen ska varje gemensamt personuppgiftsansvarig svara för att behandlingen av personuppgifter inom den egna verksamheten följer lagen.
Separata bestämmelser ska utfärdas om Migrationsverkets ansvar när det gäller ärendehanteringssystemet för utlänningsärenden och utrikesförvaltningens ansvar när det gäller det nationella informationssystemet för viseringar. Det är inte ändamålsenligt att varje gemensamt personuppgiftsansvarig ansvarar för förvaltningen av uppgiftsbehandlingen, och därför ska ansvaret för att upprätthålla och utveckla informationssystemen liksom nu koncentreras till systemförvaltaren. Dessutom ska vissa sätt att behandla personuppgifter som är knutna till informationssystemen koncentreras till systemförvaltarna. Bestämmelser om det ansvar som koncentreras till systemförvaltarna avses finnas separat i de föreslagna 4 och 5 §. Lagens 6 § avses dessutom innehålla särskilda bestämmelser om förvaltarens roll som kontaktpunkt för registrerade.
Det är motiverat att visst ansvar som personuppgiftsansvariga har bara ska gälla de personuppgiftsansvariga som faktiskt påverkar innehållet i de personuppgifter de behandlar. Registrering är bara ett av de sätt att behandla personuppgifter på som nämns i artikel 4 i dataskyddsförordningen, men registrering av personuppgifter kräver först andra åtgärder för behandling, såsom bearbetning, ändring eller radering. Det framgick under beredningen att så gott som samtliga sätt att behandla personuppgifter enligt artikel 4 i dataskyddsförordningen kräver att uppgifter registreras. Läsning och framtagning av personuppgifter utgör undantag, och med dessa kan man jämställa observation av personuppgifter, som inte nämns i artikeln. Varje gemensamt personuppgiftsansvarig ska svara för personuppgifter den registrerar. Ansvaret gäller exempelvis att registrerade uppgifter är felfria och därmed också beslut om myndighetsinitierad rättelse av uppgifter. Dessutom ska de gemensamt personuppgiftsansvariga i fråga om uppgifter de registrerar ansvara för att den registrerades rättigheter tillgodoses. Ansvaret för utlämnande och radering av enstaka uppgifter hör på grundval av behörighet till den personuppgiftsansvariga myndighet som har rätt att behandla personuppgifterna. Det tekniska utförandet av vissa tekniska funktioner koncentreras till systemförvaltaren. Till dessa tekniska åtgärder hör radering och rättelse av personuppgifter och tillgodoseende av en begäran om insyn i egna uppgifter.
Enligt 124 § i grundlagen kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Uppgifter som innebär betydande utövning av offentlig makt får dock ges endast myndigheter. Migrationsverket avtalar med stöd av 10 § i mottagandelagen om inrättande och nedläggning av förläggningar och flyktingslussar och om deras verksamhetsställen med kommuner, samkommuner, andra offentligrättsliga samfund eller privata sammanslutningar eller stiftelser. I sådana fall är det inte en myndighet som kommer att vara personuppgiftsansvarig, utan exempelvis en privat förläggning när den utför lagstadgade uppgifter enligt 124 § i grundlagen. De som i praktiken driver förläggningar utöver stat och kommun är främst Finlands Röda Kors, som har lång erfarenhet av att ta emot flyktingar i Finland. För tydlighets skull används ordet myndighet i propositionen också när någon annan än en myndighet fullgör myndighetsuppgifter. Dessa situationer förekommer relativt sällan.
Till skillnad från 3 § 3 mom. i lagen om utlänningsregistret ska Tullen, arbets- och näringsbyråerna, fångvårdsmyndigheterna, diskrimineringsombudsmannen, högsta förvaltningsdomstolen och de regionala förvaltningsdomstolarna i framtiden inte längre vara personuppgiftsansvariga. Dessa myndigheters rätt att få upplysningar ska i fortsättningen bygga på deras egen rätt att få information och på bestämmelserna om utlämnande av information i 13 § i den föreslagna lagen.
4 §.Ärendehanteringssystemet för utlänningsärenden. Till ärendehanteringssystemet för utlänningsärenden räknas förutom det egentliga datasystemet för utlänningsfrågor (UMA) systemet för identitetskort och pass när det gäller främlingspass och resedokument för flyktingar. Den del av systemet för identitetskort och pass som gäller främlingspass och resedokument för flyktingar är Migrationsverket ensamt personuppgiftsansvarig för. För den delen behövs det därför inte nödvändigtvis särskilda bestämmer om systemförvaltningen. Det system som innefattar främlingspass och resedokument för flyktingar ingår i polisens informationssystem, och därför har det ansetts tydligare att föreskriva om Migrationsverkets ansvar i fråga om hela datasystemet för utlänningsfrågor.
Enligt förslaget ska Migrationsverket ansvara för utvecklingen och förvaltningen av ärendehanteringssystemet för utlänningsärenden. En sådan koncentration av ansvaret för förvaltning och utveckling av informationssystemen är nödvändig i ett läge där det finns flera gemensamt personuppgiftsansvariga för de personuppgifter som behandlas i systemet. Detta utvecklings- och förvaltningsansvar förutsätter att en viss myndighet ansvarar för systemen i stället för att ansvaret skulle fördelas mellan alla gemensamt personuppgiftsansvariga. Migrationsverket äger ärendehanteringssystemet för utlänningsärenden och ska således på samma sätt som nu stå för kostnaderna för att systemet utvecklas och förvaltas och för prioritering och tidsplan när det gäller utvecklingen. Verket ska ansvara för utvecklingen och förvaltningen också när behovet att utveckla och förvalta följer av beslut om lagstiftning eller annat som fattas inom andra förvaltningsområden men som blir betydande genom den föreslagna lagens tillämpningsområde. Migrationsverket ska ansvara för hanteringen av åtkomsträttigheter i systemet och för systemets tekniska konfiguration.
Migrationsverket ska i egenskap av förvaltare av ärendehanteringssystemet för utlänningsärenden i enlighet med nuläget svara för det tekniska genomförandet av vissa åtgärder för behandling av personuppgifter som hör till den personuppgiftsansvarige. Det rör sig exempelvis om att tekniskt genomföra en begäran om insyn i egna uppgifter och en radering av uppgifter i ett enskilt fall.
Vidare ska Migrationsverket i egenskap av förvaltare av ärendehanteringssystemet för utlänningsärenden ansvara för vissa behandlingsåtgärder som är knutna till systemet. Verket ska ansvara för radering av andra uppgifter än enskilda personuppgifter samt för utlämnande av uppgifter ur systemet och åtkomst till systemet. Den lag om informationshantering som kommer att föreslås innehåller bestämmelser om utlämnande av personuppgifter och om åtkomst till systemet.
Bestämmelserna om ärendehanteringssystemet för utlänningsärenden kommer inte att påverka lagens tillämpningsområde, som inte är knutet till informationssystemen.
5 §.Nationella informationssystemet för viseringar. Enligt förslaget ska utrikesförvaltningen ansvara för utvecklingen och förvaltningen av det nationella informationssystemet för viseringar. En sådan koncentration av ansvaret är nödvändig i ett läge där det finns flera gemensamt personuppgiftsansvariga som behandlar personuppgifter i systemet. Detta utvecklings- och förvaltningsansvar förutsätter att en enda myndighet ansvarar för systemet i stället för att ansvaret skulle fördelas mellan alla gemensamt personuppgiftsansvariga. Utrikesförvaltningen äger det nationella informationssystemet för viseringar och ska således stå för kostnaderna för att systemet utvecklas och förvaltas och för prioritering och tidsplan när det gäller utvecklingen. Förvaltningen ska ansvara för utvecklingen och förvaltningen också när behovet att utveckla och förvalta följer av beslut om lagstiftning eller annat som fattas inom andra förvaltningsområden men som blir betydande genom den föreslagna lagens tillämpningsområde. Utrikesförvaltningen ska ansvara för hanteringen av åtkomsträttigheter i systemet och för systemets tekniska konfiguration.
Utrikesförvaltningen ska i egenskap av förvaltare av det nationella systemet för viseringar i enlighet med nuläget svara för det tekniska genomförandet av vissa åtgärder för behandling av personuppgifter. Det rör sig exempelvis om att tekniskt genomföra en begäran om insyn i egna uppgifter, rättelse av uppgifter och radering av uppgifter i ett enskilt fall.
Vidare ska utrikesförvaltningen i egenskap av förvaltare av det nationella systemet för viseringar ansvara för vissa behandlingsåtgärder som är knutna till systemet. Utrikesförvaltningen ska ansvara för radering av andra uppgifter än enskilda personuppgifter samt för utlämnande av uppgifter ur systemet och åtkomst till systemet. Den lag om informationshantering som kommer att föreslås innehåller bestämmelser om utlämnande av personuppgifter och om åtkomst till systemet.
Bestämmelserna om det nationella systemet för viseringar ska inte påverka lagens tillämpningsområde, som inte är knuten till informationssystemen.
6 §.Kontaktpunkter för registrerade. I syfte att se till att de registrerades rättigheter respekteras införs särskilda bestämmelser om kontaktpunkter för registrerade. Migrationsverket är kontaktpunkt för dem som registrerats i ärendehanteringssystemet för utlänningsärenden. Utrikesförvaltningen är kontaktpunkt för dem som registrerats i det nationella informationssystemet för viseringar.
Kontaktpunkten ska se till att de registrerades rättigheter tillgodoses, särskilt rätten till åtkomst till personuppgifter. Det sker genom att kontaktpunkten med stöd av rätten till insyn svarar för att begärd information lämnas till den registrerade och för den process som är kopplad till begäran överlag. I en situation där flera gemensamt personuppgiftsansvariga agerar inom sina befogenheter är det motiverat att främja tillgodoseendet av den registrerades rättigheter genom bestämmelser om kontaktpunkter för registrerade. Kontaktpunkten ska vara den registrerades primära kontakt i förhållande till också den personuppgiftsansvariga myndighet som handlägger eller avgör ärendet.
Trots att kontaktpunkter utses hindrar det enligt artikel 26.3 i dataskyddsförordningen inte den registrerade från att utöva sina rättigheter med avseende på och emot var och en av de personuppgiftsansvariga, dvs. från att framföra en begäran avseende rätten till insyn också till andra personuppgiftsansvariga. En begäran om insyn i egna uppgifter som riktas till de gemensamt personuppgiftsansvariga ska beroende på ärendets art hänvisas till Migrationsverket eller utrikesförvaltningen för behövliga åtgärder. En sådan verksamhetsmodell skulle svara mot en myndighets skyldighet enligt 21 § i förvaltningslagen (434/2003) att utan dröjsmål överföra handlingar i ett ärende i vilket den inte är behörig till den myndighet som den anser vara behörig. Den i ärendet behöriga personuppgiftsansvarige kan om den så önskar själv tillgodose den registrerades rätt till insyn, men det är systemförvaltaren som ansvarar för det tekniska genomförandet. Målet är att tillräcklig information och kommunikation ska leda till att begärandena om insyn ska riktas direkt till den registrerades kontaktpunkt i situationer där den registrerade inte medvetet väljer att rikta sin begäran till den behöriga personuppgiftsansvariga myndigheten eller om denne så önskar också till någon annan personuppgiftsansvarig.
Vid behov kommer kontaktpunkten att fråga den myndighet som ansvarar eller ansvarat för handläggningen hur den ser på saken i situationer där det exempelvis är oklart vad den registrerades rätt till insyn innefattar eller omfattar.
7 §.Personuppgifter som får behandlas. Paragrafen avses innehålla de personuppgifter och grupper av personuppgifter där den ingående personuppgifter får behandlas inom lagens tillämpningsområde. Den bestämmer de yttre ramarna för vilka personuppgifter som kan behandlas. Paragrafen anger inte vilka personuppgifter som kan behandlas i en enskild situation. Med andra ord skapar den inte behörighet att behandla personuppgifter. Behörigheten när det gäller att behandla en viss personuppgift ska alltid bygga på en särskild behörighetsbestämmelse.
Enligt artikel 5.1 c i dataskyddsförordningen ska personuppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). En bedömning av om personuppgifterna behövs ska alltid göras i förhållande till användningsändamålet. En enskild personuppgift som behandlas ska alltid vara behövlig i förhållande till sitt användningsändamål, fullgörande av en lagstadgad uppgift. Behovet av varje enskild uppgift ska bedömas från fall till fall. Enskilda informationshanterares tillgång till de uppgiftsgrupper som behövs för behandlingen ska begränsas genom hanteringen av åtkomsträttigheterna och olika användarprofiler. Logguppgifter kan å sin sida användas efteråt för att kontrollera och verifiera vem som har behandlat personuppgifterna. De som behandlar uppgifterna gör det alltid under tjänsteansvar.
Detta sätt att reglera datainnehållet är allmänt hållet i förhållande till de gällande bestämmelserna i lagen om utlänningsregistret. Enligt det riskbaserade synsätt som man gått in för i dataskyddsförordningen och som också grundlagsutskottet gärna prioriterar, ska regleringen utifrån riskerna gälla de situationer som kräver närmare reglering. Det innebär att detaljerade bestämmelser slopas i de situationer som nu avses, dvs. där en heltäckande och detaljerad reglering inte är nödvändig. En mer generell lösning när det gäller regleringen är lagtekniskt motiverad på grund av datainnehållets stora omfattning och även för att bestämmelserna innehåller överbegrepp för att beskriva personuppgifterna. Innehållet i dessa begrepp kan anses som tämligen etablerat. En regleringsteknik där datainnehållet beskrivs med etablerade kriterier för indelning av personuppgifter är ändamålsenlig också ur det perspektivet att den på vissa villkor utan ständiga lagstiftningsändringar möjliggör sådana enskilda ändringar som behöver göras i innehållet i sådana personuppgifter som behandlas till följd av ändringar som görs i behörighetsgivande lagar. En mer allmänt hållen gruppindelning kommer att medge en mer omfattande behandling av datainnehållet, men bara under den förutsättningen att behandlingen av uppgiften behövs och har en rättslig grund. Bestämmelser om särskilda kategorier av personuppgifter avses finnas särskilt i 8 § i den föreslagna lagen.
Med beaktande av den utvidgning av tillämpningsområdet som den föreslagna lagen innebär i förhållande till nuläget enligt lagen om utlänningsregistret avses den föreslagna paragrafen ha dels datainnehållet i 7 § i den gällande lagen om utlänningsregistret, dels också det datainnehåll som avses i 48 § i den gällande mottagandelagen, 32 d § i den gällande förvarslagen och 60 § 2 mom. i den gällande integrationslagen.
Den föreslagna 7 § avses bestå av fyra moment. Dess 1 mom. innehåller bestämmelser om uppgifter relaterade till den berörda personen, 2 mom. bestämmelser om till ärendet relaterade uppgifter, 3 mom. bestämmelser om speciellt handling av iakttagelser och 4 mom. bestämmelser om uppgifter relaterade till andra personer som har anknytning till personen eller ärendet.
Paragrafens 1 mom. avses gälla personers identifieringsuppgifter, uppgifter om familjeförhållandena, uppgifter om företrädande, uppgifter som beskriver kunnande och kontaktuppgifter samt uppgifter om resedokument samt behandlingen av kortet över anhängigt ansökningsärende som avses 96 § i utlänningslagen.
I 2 mom. 1 och 2 punkten föreslås bestämmelser om uppgifter som framgår av en ansökan, framställning, begäran eller anmälan eller av förfrågan eller hörande som gjorts på grund av dessa och om uppgifter om behandling och utredning av samt beslut i ärenden. Med uppgifter om beslut avses också uppgifter om beslut i myndighetsinitierade ärenden. Till skillnad från 7 § 2 mom. 2 punketen i utlänningsregisterlaget nämner 2 mom. inte särskilt handlingar eftersom den föreslagna lagen avses gälla behandling av personuppgifter oavsett vilken form uppgifterna behandlas i.
Paragrafens 2 mom. 3 punkt avses gälla uppgifter om mottagningstjänster och annan verksamhet som hör till mottagningen samt uppgifter om företrädare när det gäller mottagningsverksamhet för barn utan vårdnadshavare och uppgifter som behövs vid styrningen, planeringen och övervakningen av företrädarverksamheten. Med uppgifter om företrädare avses uppgifter som beskriver vårdnadshavar-, intressebevaknings-, företrädar-, biträdes- eller ombudsrelationen. I 2 mom. 4 punkten finns bestämmelser om de uppgifter som gäller placering av en utlänning i en förvarsenhet. I 5 punkten i samma moment finns bestämmelser om behandlingen av uppgiften om anvisande till en kommun. Med anvisande till en kommun avses anvisande till en kommun av den sådan person som avses i 2 § 2 och 3 mom. i integrationslagen.
Dessa ändringar är huvudsakligen lagtekniska och kommer i princip inte att ändra det rådande nuläget när det gäller de uppgifter som ska registreras enligt lagen om utlänningsregistret, mottagandelagen, förvarslagen och integrationslagen, dock med vissa undantag som beskrivs i det följande: beskrivningarna i 48 § i mottagandelagen och 32 d § i förvarslagen om de syften i vilka vissa personuppgifter kan behandlas ska ersättas med ett allmänt krav på behövlighet. Det är inte meningen att nuläget när det gäller villkoren för behandling ska ändras, även om ändamålet med behandlingen i fortsättningen inte ska ingå i paragrafen om datainnehåll: uppgiften ska även fortsättningsvis vara behövlig uttryckligen i relation till syftet med behandlingen. Datainnehållet i 2 mom. 4 punkten avseende tagande i förvar ska enligt avsikt utvidgas till att gälla uppgifter som behövs för att trygga ordnandet, planeringen, genomförandet, uppföljningen av tagandet i förvar och ett korrekt bemötande av utlänningar. Enligt 7 § i den gällande lagen om utlänningsregistret täcker datainnehållet i detta avseende bara uppgifter om innehav och användning av telefoner och annan kommunikationsutrustning eller kontroller och begränsningar. Bestämmelserna motsvarar dock inte det faktiska behovet. Det mest ändamålsenliga vore att det datainnehåll som registreras mer utvidgat inbegriper uppgifter som behövs för att trygga ordnandet, planeringen, genomförandet och uppföljningen av tagandet i förvar samt ett korrekt bemötande av utlänningar. En ändring behövs med avseende på de funktionella behov som framgår av förvarslagen. I 11 § i den lagen föreskrivs det om inkvartering, uppehälle och tillgodoseende av andra grundläggande behov, vilket förutsätter en möjlighet att behandla relaterade personuppgifter. Också för brukspenning och tjänster som avser stödjande av funktionsförmågan enligt 12 och 14 § i samma lag krävs det att till dessa relaterade personuppgifter kan behandlas. Överlag behöver uppgifter som kan anses utgöra en klientrapport kunna behandlas. Det gäller exempelvis uppgifter om personens deltagande i aktiviteter, vidtagna klientåtgärder eller särskild diet. Också exempelvis uppgifter om klientens uppförande behöver kunna registreras, eftersom det kan påverka klientens, andra i förvar tagna klienters eller de anställdas säkerhet till exempel vid övergång från ett skifte till ett annat.
Den personuppgiftsansvarige ska till skillnad från nuläget ha rätt att med stöd av 6 punkten behandla sådana uppgifter om iakttagelser av personer som den personuppgiftsansvarige själv gjort eller som anmälts till denne och som på grund av omständigheterna eller personens beteende med fog kan bedömas höra till den personuppgiftsansvariges behörighet att övervaka att det finns förutsättningar för en persons inresa och vistelse i landet eller till arbetarskyddet för den personuppgiftsansvariges anställda. Det rör sig om en ny bestämmelse om datainnehållet, och den kommer att medge behandling av personuppgifter, men behörigheten bygger på gällande lagstiftning. När det gäller sådana uppgifter om iakttagelser kan det potentiellt handla om en mycket omfattande datamängd som berör privatlivet. Uppgifter om iakttagelser är dessutom ofta av otillförlitligt slag och förknippade med en risk för att oskyldiga personer stämplas. Därför måste behandlingen av uppgifterna avgränsas på det sätt som grundlagsutskottet förutsätter (GrUU 18/2012 rd, s. 4, och GrUU 71/2014 rd, s. 2—3).
Behandlingen av uppgifter om iakttagelser styrs av principen om ändamålsbundenhet i myndigheternas verksamhet. Behandlingen av uppgifter om iakttagelser begränsas för det första till den personuppgiftsansvariges behörighet att övervaka att det finns förutsättningar för en persons inresa och vistelse i landet. Myndigheterna utför med stöd av de gällande 129 a och 212 § i utlänningslagen övervakning av utlänningar och tillsyn över iakttagandet av de bestämmelser som utfärdats med stöd av utlänningslagen. I exempelvis proposition RP 169/2014 rd slås det fast att det alltid i bakgrunden måste finnas någon uppgift eller misstanke som gäller grunden för beviljandet av uppehållstillstånd och som är orsaken till att Migrationsverket på goda grunder i efterhand kontrollerar om villkoren för personens vistelse i landet fortfarande uppfylls. Enligt 8 § i arbetarskyddslagen (738/2002) är arbetsgivaren skyldig att genom nödvändiga åtgärder sörja för arbetstagarnas säkerhet och hälsa i arbetet. I detta syfte ska arbetsgivaren beakta omständigheter som hänför sig till arbetet, arbetsförhållandena och arbetsmiljön i övrigt samt till arbetstagarens personliga förutsättningar. Arbetsgivaren ska planera, välja, dimensionera och genomföra de åtgärder som behövs för att förbättra arbetsförhållandena. Då ska i mån av möjlighet exempelvis principen om att förhindra uppkomsten av risker och olägenheter iakttas.
I praktiken ska uppgifterna om iakttagelser utgöra grund för inledande av en närmare utredning av de omständigheter som påverkar uppgifterna inom myndigheternas behörighet. Myndigheten ska inom ramen för sina befogenheter kunna registrera uppgifter om iakttagelser även om de inte anknyter till något pågående ärende. Uppgifterna får inte användas som beslutsgrund. Inga begränsningar anges när det gäller uppgifternas natur. Uppgifterna om iakttagelser kan gälla exempelvis sådana omständigheter eller händelser, såsom familjeförhållanden eller försörjning, som kan vara relevanta för tillståndsprövningen eller vid bedömningen av huruvida en persons vistelse i landet fortsatt motsvarar förutsättningarna för uppehållstillstånd. Uppgifterna om iakttagelser kan vara uppgifter som påverkar arbetarskyddet, såsom uppgifter om en persons beteende, och som kan vara av betydelse exempelvis med avseende på ordnande av asylsamtal eller med tanke på andra åtgärder för att sörja för säkerheten. Uppgifterna om iakttagelser ska följa principerna för behandling av personuppgifter i artikel 5 i dataskyddsförordningen. De ska med andra ord vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.
Enligt 3 mom. i paragrafen till uppgifterna om iakttagelser ska det om möjligt fogas en bedömning av uppgiftslämnarens eller informationskällans tillförlitlighet och uppgifternas riktighet. De allmänna begränsningarna enligt 34 § i den föreslagna dataskyddslagen i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne ska gälla för uppgifterna om iakttagelse. Bestämmelser om radering av uppgifterna utfärdas särskilt. Förutsättningarna för behandling av uppgifter om iakttagelse ska tolkas restriktivt beroende på uppgifternas natur.
Med stöd av 4 mom. i den föreslagna paragrafen får den personuppgiftsansvarige, i den mån det är behövligt, behandla personuppgifter över familjemedlemmar och personer som bor i samma hushåll som familjemedlemmar samt personuppgifter över mottagare i Finland och personuppgifter över personer som anställer en utländsk arbetstagare.
8 §.Särskilda kategorier av personuppgifter som får behandlas. Den föreslagna 8 § avses innehålla bestämmelser om behandling av personuppgifter inom särskilda kategorier. Separata bestämmelser behövs eftersom personuppgifter som hör till särskilda kategorier av sådana uppgifter är känsliga när man beaktar det riskbaserade synsättet i dataskyddsförordningen, vilket också grundlagsutskottet ger prioritet åt. Enligt artikel 9 i dataskyddsförordningen ska behandling av särskilda kategorier av personuppgifter i princip vara förbjuden. Den föreslagna 6 § i dataskyddslagen innebär att förbudet mot behandling av känsliga uppgifter med stöd av det nationella handlingsutrymmet inte ska tillämpas på sådan behandling av personuppgifter som det föreskrivs om i lag eller som direkt följer av den personuppgiftsansvariges föreskrivna uppgifter. Det bör påpekas att lagen om behandling av personuppgifter i migrationsförvaltningen inte avses ge behörighet att behandla personuppgifter och därmed inte heller att behandla personuppgifter som hör till särskilda kategorier av personuppgifter.
Preciserande bestämmelser om hanteringen av fingeravtryck finns separat i 9 och 10 § i lagförslaget, och de motsvarar nuläget enligt lagen om utlänningsregistret.
Den föreslagna paragrafen ska gälla sådana enligt 24 § i offentlighetslagen sekretessbelagda uppgifter som hör till de särskilda kategorierna av personuppgifter enligt artikel 9 i dataskyddsförordningen, är sådana personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott enligt artikel 10 i den förordningen och som kan behandlas på särskilda villkor eller som fortsatt konstitutionellt sett ska anses vara nationellt känsliga. De sistnämnda uppgifterna är enligt grundlagsutskottets tolkning (se GrUU 14/2018 rd och GrUU 15/2018 rd) konstitutionellt känsliga uppgifter som inte är särskilda kategorier av personuppgifter enligt dataskyddsförordningen, såsom uppgifter om sociala tjänster. I nuläget finns bestämmelser om dessa sekretessbelagda uppgifter delvis i såväl den gällande lagen om utlänningsregistret och mottagandelagen som i den gällande förvarslagen. Regleringen bör vara tydlig och begriplig, och därför bör bestämmelser om de berörda uppgifterna, som på olika grunder anses vara speciella eller känsliga, koncentreras till en och samma paragraf. På detta sätt understryks det också att särskild omsorgsfullhet krävs när de behandlas och att de ska skyddas från obehörig användning. I rubriken till paragrafen används begreppet särskilda kategorier av personuppgifter, som är det uttryck som dataskyddsförordningen använder om dessa uppgifter. Detta trots att paragrafen på det sätt som anges ovan också gäller andra personuppgifter som bara får behandlas på särskilda villkor. I fortsättningen betecknas uppgifterna för tydlighets skull särskilda kategorier av personuppgifter i enlighet med paragrafrubriken.
Varje personuppgiftsansvariga skulle ha rätt att behandla särskilda kategorier av personuppgifter bara inom ramen av sin behörighet. En förutsättning för behandling av personuppgifter som hör till dessa särskilda kategorier av personuppgifter är också att den är nödvändig i något syfte, vilket motsvarar bestämmelserna i lagen om utlänningsregistret och förvarslagen. Dessutom snävas användningsområdet för dessa personuppgifter in – vilket inte är fallet för de personuppgifter som inte hör till de särskilda kategorierna – genom att syftet med behandlingen preciseras av tillämpningsområdet, så att det går att minimera de allvarliga risker för de grundläggande fri- och rättigheterna som är kopplade till informationssäkerheten och missbruk av uppgifter (GrUU 15/2018 rd, s. 37).
När personuppgifter som gör till särskilda kategorier av personuppgifter behandlas berör man kärnan av en persons integritetsskydd, och därmed måste proportionaliteten i användningen av sådana uppgifter bedömas i relation till huruvida ingreppet i integritetsskyddet samtidigt skyddar andra rättigheter som personen i fråga har och om dessa andra rättigheter utgör en så pass tungt vägande grund att integritetsskyddet på grund av dem kan inskränkas. Inom migrationsförvaltningen behöver behandling av särskilda kategorier av personuppgifter göras för att skydda den registrerades identitet, trygga dennes rättssäkerhet eller skydda dennes intressen eller för att den registrerade ska få socialvård eller hälso- och sjukvård. Med andra ord är behandling av särskilda kategorier av personuppgifter en åtgärd som på det sätt som artikel 9.2 g i dataskyddsförordningen kräver står i proportion till det rättsobjekt som eftersträvas med begränsningen.
Utöver begränsningarna av användningsområdet för de särskilda kategorierna av personuppgifter kommer de lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som artikel 9.2 g i förordningen kräver att genomföras genom de skyddsåtgärder som anges i 6 § 2 mom. i den föreslagna dataskyddslagen. Till dessa åtgärder hör bland annat att man sörjer för personalens kompetens och olika övervakningsmetoder och säkerställer att de tekniska systemen fungerar. Också speciallagstiftningen i sig utgör en skyddsåtgärd som dataskyddsförordningen kräver. Dessutom är det meningen att särskilda bestämmelser ska införas om radering av uppgifter som särskilda kategorier av personuppgifter.
Den mångfald av situationer som migrationsförvaltningen hanterar innebär att det inte är möjligt att fullständigt i detalj formulera bestämmelserna för behandling av de särskilda kategorierna av personuppgifter utan att beskriva myndigheternas befogenheter för varje uppgift. Ett sådant sätt att reglera saken kan emellertid inte anses vara ändamålsenligt. Det går att identifiera situationer där man särskilt ofta behöver hantera personuppgifter som hör till de särskilda kategorierna och sådana situationer där det inte finns något sådant behov. Ofta är det däremot fråga om situationer där en viss personuppgift som hör till en särskild kategori ibland nödvändigt behöver hanteras och ibland inte. Fråga om behandlingen av uppgifterna är nödvändig måste alltid bedömas särskilt i den enskilda situationen. En fallspecifik bedömning måste alltid göras för en särskild kategori av personuppgifter.
Det kan vara nödvändigt att behandla personuppgifter som anger en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller sexualliv eller sexuella läggning, i synnerhet när det gäller att bedöma grunderna för en ansökan om internationellt skydd, men också för att vidta praktiska arrangemang för mottagning, tagande i förvar av asylsökande och för anvisande till en kommun. Syftet är då att säkerställa den registrerades säkerhet.
Behandling av uppgifter som gäller medlemskap i en fackförening kan vara nödvändig för att bedöma grunderna för en ansökan om internationellt skydd och för att hjälpa offer för människohandel.
Det kan vara nödvändigt att behandla genetiska eller biometriska personuppgifter för att entydigt identifiera en fysisk person när fingeravtryck eller en ansiktsbild, som sökanden har bifogat, tas av sökanden i samband med inlämning av ansökan om uppehållstillstånd eller av ansökan om internationellt skydd, för ett uppehållstillståndskort enligt 60 d § i utlänningslagen, för att utreda familjeband genom DNA-analys med stöd av 65 § i den lagen och för att genomföra en rättsmedicinsk undersökning för bestämning av åldern på en utlänning som ansöker om uppehållstillstånd eller på en anknytningsperson med stöd av 6 a§ i den lagen. Bestämmelser om behandlingen av sådana signalement på utlänningar som med stöd av 131 § i utlänningslagen förs in i polisens register finns i lagen om behandling av personuppgifter i polisens verksamhet. Preciserande bestämmelser om användning av fingeravtryck som hör till de biometriska kännetecknen finns i 9 och 10 §.
Med genetiska uppgifter avses alla personuppgifter enligt artikel 4.13 i dataskyddsförordningen som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga. Biometriska uppgifter avser å sin sida sådana personuppgifter enligt artikel 4.14 i den förordningen som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter.
Uppgifter om hälsa kan vara nödvändiga i alla situationer som hör till lagens tillämpningsområde av. Det rör sig bland annat om att bedöma grunderna för en ansökan om internationellt skydd, bedöma förutsättningarna för beviljande av uppehållstillstånd eller vidta praktiska arrangemang för mottagning, tagande i förvar av asylsökande och för anvisande till en kommun i syfte att beakta den registrerades hälsotillstånd.
Med uppgifter som hälsa avses uppgifter om hälsotillstånd och hälso- och sjukvårdsuppgifter samt patientuppgifter. Till uppgifter om hälsotillstånd och om hälso- och sjukvårdstjänster hör till exempel behövliga uppgifter om kundens vaccineringar, eventuella smittsamma sjukdomar, eventuell risk för att kunden skadar sig själv och praktiska arrangemang för de tjänster kunden tillhandahålls. Det rör sig om uppgifter som även andra än vårdanställda vid förläggningarna, inom systemet för hjälpinsatser för offer för människohandel och vid förvarsenheterna behöver för sina arbetsuppgifter. Med patientuppgifter avses bland annat texter från patientbesök, diagnoser, behandling, riskinformation och uppgifter om medicinering, risker och recept. Patientuppgifterna ska bara få användas av hälso- och sjukvårdsanställda, med undantag för uppgifter som andra än vårdanställda nödvändigt måste behandla i sina arbetsuppgifter.
Behovet att nödvändigt använda uppgifter om socialtjänster hänger särskilt samman med bedömningen av grunderna för en ansökan om internationellt skydd, men också med vidtagande av praktiska arrangemang för mottagning eller tagande i förvar av asylsökande eller för anvisande till en kommun.
Personuppgifter som rör domar i brottmål och överträdelser kan vara nödvändiga i alla situationer som rör lagens tillämpningsområde. Dessa domar och överträdelser kan vara av betydelse i ärenden som gäller inresa eller utresa, ärenden som gäller medborgarskap, särskilt när medborgarskap beviljas men också när mottagning och tagande i förvar ordnas i praktiken vid anvisande till en kommun.
Alla personuppgifter som hör till särskilda kategorier av personuppgifter som får behandlas kan vara nödvändiga att behandla för att trygga nationell säkerhet.
9 §.Behandling av uppgifter om fingeravtryck som tagits för ansökningar om främlingspass och resedokument för flykting. Paragrafen avses innehålla bestämmelser om behandling av fingeravtryck som tagits av dem som ansöker om främlingspass och resedokument för flyktingar. Till sitt innehåll motsvarar paragrafen 3 a § i den gällande lagen om utlänningsregistret. De behövliga tekniska ändringar som görs beror på att inga bestämmelser längre finns om register och delregister till följd av att utgångspunkten blir syftet med behandlingen. Därför sägs det också helt enkelt i paragrafen att tagna fingeravtryck ska registreras. Avsikten är att inte ändra nuläget.
Om de myndigheter som har rätt att använda fingeravtryck används i stället för utrikesministeriet och finska beskickningar begreppet utrikesförvaltningen. Det rör sig om en teknisk ändring som motsvarar den terminologi som i övrigt används i denna proposition.
10 §.Behandling av uppgifter om fingeravtryck som tagits för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem. I denna paragraf föreslås det bestämmelser om användning av fingeravtryck som tagits för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlem. Till sitt innehåll motsvarar den 3 b § i lagen om utlänningsregistret. De behövliga tekniska ändringar som görs beror på en ändring av nuläget som innebär att inga bestämmelser införs om register och delregister till följd av att utgångspunkten blir syftet med behandlingen. Därför sägs det helt enkelt i paragrafen att tagna fingeravtryck ska registreras. Infallsvinkeln blir behandlingsgrundad och därför ersätts hänvisningen till delregistret för ansökningsärenden med en hänvisning till registrerade uppgifter som avses i paragrafen. Uttrycket statens säkerhet ersätts med uttrycket den nationella säkerheten för att det skulle motsvara det i helheten för underrättelselagstiftning föreslagna uttrycket. Uttrycket statens säkerhet och uttrycket den nationella säkerheten bedömas motsvara varandra. De föreskrivna fingeravtrycksuppgifterna ska i 2 mom. ersättas med ordet fingeravtryck. Avsikten är inte att ändra nuläget.
11 §.Behandling av personuppgifter för andra ändamål än det ursprungliga. Denna paragraf avses innehålla bestämmelser om de situationer där det inom lagens tillämpningsområde ska vara möjligt att behandla personuppgifter för andra ändamål än det ursprungliga syftet. Detta är möjligt om behandlingen på det sätt som anges i 1 mom. är nödvändig för utförandet av den personuppgiftsansvariges lagstadgade uppgifter eller om den behövs i enlighet med vad som närmare anges i punkterna till 1 mom. Bestämmelser om behandling av sådana personuppgifter som hör till särskilda kategorier av personuppgifter för något annat ändamål än det ursprungliga avses ingå i de föreslagna 2 och 3 mom.
I artikel 5.1 b i dataskyddsförordningen finns bestämmelser om ändamålsbegränsningen för personuppgifter, dvs. att uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Enligt artikel 6.4 i förordningen får bestämmelser om senare behandling av personuppgifterna införas i den nationella lagstiftningen, när detta utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23. Till de mål som anges i den artikeln hör bland annat viktiga mål av generellt allmänt intresse och skydd av den registrerade eller andras rättigheter och friheter. Dessutom ska det finnas en grund enligt artikel 6.1 för behandlingen och enligt artikel 9.2 när det gäller särskilda kategorier av personuppgifter.
Den rättsliga grunden för behandling av personuppgifter för andra ändamål än det ursprungliga inom lagens tillämpningsområde skapar sådana lagstadgade myndighetsuppgifter för den personuppgiftsansvarige som kräver särskilda bestämmelser om behandling för andra ändamål än det ursprungliga för att uppgifterna ska kunna utföras. När det är fråga om sådan behandling av personuppgifter som ligger inom lagens tillämpningsområde och som den personuppgiftsansvarige utför behövs det ingen särskild bestämmelse om överlåtelse mellan myndigheter. När det gäller sådan behandling av personuppgifter som ligger utanför lagens tillämpningsområde blir bestämmelserna om utlämnande av information aktuella också när det är fråga om behandling som utförs av den personuppgiftsansvarige.
Förenligheten med behandling av personuppgifter ska bedömas från fall till fall i ljuset av de villkor i dataskyddsförordningen som bestämmer vad som är förenlig användning. Behandling av personuppgifter kan i 1—6 punkten om syftet med behandlingen inom tillämpningsområdet enligt 1 § 1 mom. i den föreslagna lagen tolkas som förenlig med ändamålet inom varje punkt. Med andra ord ska användning av uppgifter som samlats in med stöd av respektive punkt för det ändamål som anges i den punkten ofta vara förenlig med det ursprungliga användningsändamålet. Behandling av uppgifter för ändamål i andra punkter kommer i praktiken mer sällan att vara användning som är förenlig med det ursprungliga ändamålet. Därmed krävs det i princip särskilda bestämmelser om behandling av personuppgifter mellan punkterna inom tillämpningsområdet i 1 §. Samtidigt kommer behandling där tillämpningsområdena i 1 och 2 punkten korsar varandra i praktiken ofta att kunna vara förenlig användning eftersom uppgifter som behandlas i samband med medborgarskapsärenden också hör till de uppgifter som behandlas på grundval av vistelse i landet.
Med beaktande av att tillämpningsområdet för den föreslagna lagen innebär en utvidgning i förhållande till nuläget enligt lagen om utlänningsregistret bör det bli möjligt att behandla personuppgifter för andra ändamål än det ursprungliga i de situationer där den gällande lagen om utlänningsregistret, mottagandelagen, förvarslagen och integrationslagen föreskriver om informationsutbyte mellan myndigheter. I detta avseende kan ändringarna i princip på det sättet anses vara tekniska att det inte till denna del är meningen att ändra det rådande rättsläget. En förändring i förhållande till nuläget är ändå den ändrade tröskeln för behandling, dvs. att behandling av uppgifter för andra ändamål än det ursprungliga ska vara möjlig med stöd av behövlighetskriteriet i de syften som anges specifikt i paragrafen och då få utföras av angivna personuppgiftsansvariga. I den gällande lagstiftningen har man främst tillämpat nödvändighetskriteriet som en förutsättning för utlämnande av information på grund av utlämnande av personuppgifter. I integrationslagen har å sin sida kravet på behövlighet gällt för rätten att få uppgifter, men utan någon närmare specificering. Enligt grundlagsutskottets etablerade praxis när det gäller utlämnande av information ska lagstiftningen innehålla ett krav på att informationen är nödvändig för ett visst syfte när lagen inte ger en uttömmande förteckning över innehållet i uppgifterna (se t.ex. GrUU 15/2018 rd, s. 39). Detta synsätt har tillämpats i den föreslagna paragrafen.
Den föreslagna 1 mom. 1 punkten innebär att uppgifter som samlats in inom ramen för lagens tillämpningsområde kan behandlas för andra ändamål än det ursprungliga, om uppgifterna behövs för utredning av någons identitet.
I den föreslagna 1 mom. 2 punkten föreslås bestämmelser om användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket, polisen, Gränsbevakningsväsendet eller närings-, trafik- och miljöcentralen behöver de uppgifter som samlats in med stöd av 1 § 1 mom. 3 punkten för att sköta uppgifter som gäller personer som söker internationellt skydd, personer som får tillfälligt skydd eller offer för människohandel eller för utlänningars vistelse i Finland. Punkten avser situationer där sådana uppgifter som lämnats ut med stöd av 52 § i den gällande mottagandelagen i fortsättningen behandlas för andra ändamål än det ursprungliga. Den gäller också behandling av uppgifter som lämnas ut till Migrationsverket med stöd av 58 § 1 mom. i den lagen. Uppgifter om mottagandet, exempelvis om inkvartering, behövs till exempel för processerna som gäller uppehållstillstånd och avlägsnande ur landet, och därför ska behandling vara möjlig också för att sköta uppgifter som gäller utlänningars vistelse i Finland eller inresa. Det kan exempelvis röra sig om situationer som gäller en familjemedlems inresa i landet. I lägen där någon ska avlägsnas ur landet behövs uppgifterna om inkvartering för att utreda om personen i fråga, till exempel familjemedlemmen till någon som föreslås bli avlägsnad ur landet, fortfarande befinner sig i Finland. I ärenden som gäller familjeåterförening kan de uppgifterna behövas när man utreder om makar bor ihop på förläggningen eller i enskild inkvartering. Information av detta slag behövs oftast när den sökande befinner sig i Finland, men den kan också behövas i lägen där den sökande befinner sig i något annat land. Eftersom de möjliga ändamålen med behandlingen specifikt anges kommer behandlingen med avvikelse från det rådande rättsläget att ske med stöd av behövlighetskriteriet. Punkten kommer att vara delvis överlappande med den rätt att få uppgifter som ingår i 105 a § 1 mom. i utlänningslagen, men bestämmelserna står inte i strid med varandra.
Enligt 1 mom. 3 punkten får uppgifter användas för andra ändamål än det ursprungliga när Migrationsverket, en förläggning eller en flyktingsluss behöver de uppgifter som samlats in med stöd av 1 § 1 mom. 1 punkten för att sköta uppgifter enligt 1 § 1 mom. 3 punkten. Punkten avser situationer där sådana uppgifter som lämnats ut med stöd av 53 § i den gällande mottagandelagen i fortsättningen behandlas för andra ändamål än det ursprungliga. De myndigheter som samlar in uppgifter med stöd av 1 § 1 mom. 1 punkten är Migrationsverket, polisen och Gränsbevakningsväsendet. Med avvikelse från de gällande bestämmelserna kommer närings-, trafik- och miljöcentralerna enligt den föreslagna nya indelningen av tillämpningsområdet inte att samla in personuppgifter med stöd av 1 § 1 mom. 1 punkten, utan med stöd av 1 § 1 mom. 5 punkten. De situationer där Migrationsverket, en förläggning eller en flyktingsluss behöver information av närings-, trafik- och miljöcentralen hänger i praktiken samman med anvisande till kommuner, och därmed rör det sig om behandling av personuppgifter för det ursprungliga ändamålet eller behandling som är förenlig med det ändamålet.
I 1 mom. 4 punkten föreslås bestämmelser om användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket, en förläggning eller en flyktingsluss, polisen eller Gränsbevakningsväsendet behöver de uppgifter som samlats in med stöd av 1 § 1 mom. 4 punkten för att sköta uppgifter som gäller utlänningars vistelse i Finland och avlägsnande ur landet, mottagande av personer som söker internationellt skydd och får tillfälligt skydd eller hjälp till offer för människohandel. Det rör sig om den rätt att få och lämna ut uppgifter som nu ingår i 32 f § i den gällande förvarslagen. Avsikten är inte att ändra det rådande rättsläget i andra avseenden än i fråga om tröskeln för behandling.
Den föreslagna 1 mom. 5 punkten gäller användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket eller en förvarsenhet behöver uppgifter som samlats in med stöd av 1 § 1 mom. 1—3 punkten för att sköta uppgifter enligt 1 § 1 mom. 4 punkten. Det rör sig om behandling av sådana uppgifter som lämnas ut med stöd av 32 g § i den gällande förvarslagen. Avsikten är inte att ändra det rådande rättsläget i andra avseenden än i fråga om tröskeln för behandling.
I den föreslagna 1 mom. 6 punkten finns bestämmelser om användning av uppgifter för andra ändamål än det ursprungliga när Migrationsverket behöver uppgifter som samlats in med stöd av 1 § 1 mom. 5 punkten för att sköta uppgifter som gäller invandring. Det rör sig om bestämmelserna om utlämnande av uppgifter i 61 § i den gällande integrationslagen.
Enligt 1 mom. 7 punkten får uppgifter användas för andra ändamål än det ursprungliga när närings-, trafik- och miljöcentralen behöver uppgifter som samlats in med stöd av 1 § 1 mom. 1—3 punkten för att sköta uppgifter enligt 1 § 1 mom. 5 punkten. Det rör sig om bestämmelser i enlighet med 87 § i den gällande integrationslagen. Avsikten är inte att ändra det rådande rättsläget i andra avseenden än i fråga om tröskeln för behandling.
Enligt det föreslagna 2 mom. får uppgifter som hör till särskilda kategorier av personuppgifter behandlas för andra ändamål än det ursprungliga i de syften som anges i 1 mom. 1—7 punkten endast om det är nödvändigt för att myndigheten i fråga ska kunna utföra sina lagstadgade uppgifter. Nödvändighetskravet understryker att behovet att skydda personuppgifter är högre i fråga om de särskilda kategorierna av personuppgifter. När det gäller omfattande register med biometriska kännetecken finns det enligt grundlagsutskottet orsak att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för. Man kan då bara göra exakt avgränsade och som mycket små karakteriserbara undantag från ändamålsbundenheten. Bestämmelserna får inte leda till att någon annan verksamhet än den som är förknippad med det ursprungliga användningsändamålet blir det huvudsakliga ändamålet och inte ens ett betydande användningsändamål (GrUU 14/2009 rd s. 4, GrUU 14/2017 rd, GrUU 1/2018 rd). Enligt 3 mom. gäller det som föreskrivs i paragrafen inte fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort eller av den som ansöker om främlingspass eller resedokument för flykting, om inte annat föreskrivs någon annanstans i lag. Särskilda bestämmelser om hanteringen av fingeravtryck finns i de föreslagna 9 och 10 §.
12 §.Rätt att få uppgifter. Avsikten med paragrafen är att ge Migrationsverket, förläggningarna, flyktingslussarna, förvarsenheterna, närings-, trafik- och miljöcentralerna samt arbets- och näringsbyråerna rätt att få information. Den föreslagna bestämmelsen ger dessa rätt att trots sekretessplikt utan avgift få personuppgifter. Utlämnande av sekretessbelagda uppgifter kräver inte samtycke av den vars intressen den föreskrivna sekretessplikten skyddar. Migrationsverkets, förläggningarnas, flyktingslussarnas, förvarsenheternas,, närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas rätt att få uppgifter bygger på den lagstiftning som ger dem behörighet. Eftersom rätten att få uppgifter ska föreskrivas i lagen om behandling av personuppgifter gäller den enbart personuppgifter. Eftersom tillämpningsområdet föreslås vara knutet till ändamålet att föra register ska rätten att få uppgifter gälla bara de personuppgifter som behandlas för det ändamålet. Rätten att få uppgifter ska också kunna gälla uppgifter från utlandet, exempelvis sådana som lämnas med stöd av internationella avtal. Rätten att få uppgifter avses gälla de myndigheter och andra som avses i 4 § i offentlighetslagen.
Grundlagsutskottet har redan i sin tidigare utlåtandepraxis tagit upp frågan om risken med behandlingen av personuppgifter som är kopplade till skyddet av personens privatliv, såsom informationssäkerheten i fråga om insamlade uppgifter och missbruk av uppgifterna, som kan utgöra ett hot mot en persons identitet (GrUU 14/2009 rd, s. 3). Också när det gäller dataskyddsförordningen har ett riskbaserat synsätt tillämpats. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (GrUU 14/2018 rd, s. 5–6, och GrUU 15/2018 rd, s. 36—37). Enligt grundlagsutskottets etablerade ståndpunkt ska lagstiftningen innehålla ett krav på att informationen är nödvändig för ett visst syfte när lagen inte ger en uttömmande förteckning över innehållet i uppgifterna. Samtidigt har utskottet ansett att grundlagen inte tillåter en mycket vag och ospecificerad rätt att få uppgifter, inte ens om den är knuten till nödvändighetskriteriet (se t.ex. GrUU 15/2018 rd, s. 41, GrUU 17/2016 rd, s. 5—6, GrUU 71/2014 rd, s. 3, GrUU 62/2010 rd, s. 4/I, och GrUU 59/2010 rd, s. 4/I). Grundlagsutskottet har understrukit att det vid en särskiljning mellan behövlighet respektive nödvändighet att få eller lämna ut uppgifter är fråga inte bara om omfattningen av innehållet i uppgifterna, utan också om att rätten till information, som går före sekretessbestämmelserna, i sista hand går ut på att den myndighet som är berättigad till informationen i och med sina egna behov åsidosätter de grunder och intressen som är skyddade med hjälp av den sekretess som gäller myndigheten som innehar informationen. Ju mer generella bestämmelserna om rätt till information är, desto större är risken att sådana intressen kan åsidosättas per automatik. Ju fullständigare bestämmelserna kopplar rätten till information till villkor i sak, desto mer sannolikt är det att begäran om information måste motiveras. Då kan också den som lämnar ut informationen bedöma begäran med avseende på de lagliga villkoren för utlämnandet. Genom att de facto vägra att lämna ut informationen kan den som innehar den göra att det uppstår ett läge där en utomstående myndighet måste undersöka skyldigheten att lämna ut information, det vill säga tolka bestämmelserna. Denna möjlighet är viktig då det gäller att anpassa tillgången till information och sekretessintressena till varandra (GrUU 15/2018 rd, s. 39).
Rätten att få uppgifter ska vara knuten delvis till kravet på nödvändighet och delvis till kravet på behövlighet. De olika bestämmelserna kommer att skilja sig från varandra i fråga om hur detaljerade och exakt avgränsade de är på det sätt som grundlagsutskottet kräver. När rätten till uppgifter är knuten till nödvändighet ska den preciseras ytterligare genom att knyta den till de användningsändamål som anges i 1 §. I sådana fall kommer datainnehållet inte att preciseras i lagförslaget. När rätten att få uppgifter är knuten till behövlighetskravet ska både användningsändamål och även datainnehåll preciseras. Dessutom ska de myndigheter och andra aktörer som det går att få uppgifter av anges noggrannare.
Migrationsverket, förläggningarna, flyktingslussarna, förvarsenheterna, närings-, trafik- och miljöcentralerna samt arbets- och näringsbyråerna handlägger en mångfald av ärenden, och därför är det inte ändamålsenligt att reglera deras rätt att få uppgifter på ett sätt där man ger en uttömmande förteckning på alla de myndigheter och personuppgifter som omfattas av rätten att få uppgifter. Därför avgränsas rätten att få uppgifter i det föreslagna 1 mom. på det sätt som grundlagsutskottet förutsätter till nödvändiga uppgifter. Rätten att få uppgifter kopplas i den föreslagna lagen till den behörighetsgivande lagstiftningen, som specifikt anger behovet av information, myndighetens uppgifter och gränserna för behörigheten. På det sättet blir regleringen exakt och noga avgränsad. Ett sådant sätt att reglera bringar över lag klarhet i fråga om rätten att få uppgifter inom migrationsförvaltningen.
Sådan information som är av avgörande betydelse för att Migrationsverket, förläggningarna, flyktingslussarna, förvarsenheterna, närings-, trafik- och miljöcentralerna samt arbets- och näringsbyråerna ska kunna utföra sina lagstadgade uppgifter är nödvändig, och sådan information kan exempelvis leda till att uppehållstillstånd inte beviljas. Informationen ska anses vara nödvändig om ett avgörande inte kan träffas utan den. Ett sätt att reglera som är knutet till nödvändighet bygger på att den som lämnar ut den bedömt att tröskeln för nödvändighet överskrids. På begäran ska det motiveras varför uppgifterna är nödvändiga att få.
Migrationsverket, förläggningarna, flyktingslussarna och förvarsenheterna ska ha rätt att få sådana uppgifter som är nödvändiga för behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse, för behandling av och beslut i ärenden som gäller förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap samt bestämmande av medborgarskapsstatus, för mottagande av personer som söker internationellt skydd eller får tillfälligt skydd samt hjälp till offer för människohandel och verksamhet i anslutning till företrädande av barn utan vårdnadshavare inom mottagningsverksamheten samt styrning, planering och uppföljning av dessa, för placering av en utlänning i en förvarsenhet, bemötande av en utlänning i en förvarsenhet samt upprätthållandet av ordningen och säkerheten vid en förvarsenhet och för anvisande till kommuner. Dessutom ska närings-, trafik- och miljöcentralerna samt arbets- och näringsbyråerna ha rätt att få t.ex. sådana uppgifter som är nödvändiga för att fatta ett delbeslut i fråga om en ansökan om uppehållstillstånd för företagare eller arbetstagare. Rätten att få uppgifter ska på det sätt som anges ovan begränsas till uppgifter som är nödvändiga för att Migrationsverket, förläggningarna, flyktingslussarna, förvarsenheterna, närings-, trafik- och miljöcentralerna samt arbets- och näringsbyråerna ska kunna utföra sina lagstadgade uppgifter. För att lagstiftningen ska vara tydlig räknas de nämnda ändamålen inte upp i paragrafen. I stället ska den hänvisa till de syften som anges i 1 §.
Exempelvis kommer Migrationsverket därmed att ha rätt att få nödvändiga uppgifter ur Rättsregistercentralens bötesregister. Registret innehåller personuppgifter om den person som är föremål för påföljden och uppgift om påföljdens art och belopp, de verkställighetsåtgärder som vidtagits och tidpunkten för dem, de influtna beloppen och hinder för verkställigheten. Uppgifterna i bötesregistret är nödvändiga för Migrationsverkets lagstadgade uppgifter, exempelvis för att utreda om oförvitlighetsvillkoret för naturalisation är uppfyllt, behandla ansökningar om internationellt skydd, utreda om flyktingstatus och status som alternativt skyddsbehövande ska upphöra eller återkallas, utreda utvisningsgrunderna i fråga om en utlänning, utreda skyldigheterna för en säsongsarbetares arbetsgivare och eventuella försummelser från arbetsgivarens sida och utreda om en utlänning utgör ett hot mot allmän ordning och säkerhet. Ändamålet med behandlingen anges i medborgarskapslagen, utlänningslagen och lagen om säsongsanställning.
Migrationsverket ska exempelvis också ha rätt att av skattemyndigheterna få nödvändiga uppgifter för att utreda om förutsättningar föreligger för förvärv, behållande och förlust av finskt medborgarskap och befrielse från medborgarskap och för att bestämma medborgarskapsstatus, för att utreda förutsättningarna för en utlännings uppehållstillstånd, om förutsättningar föreligger för beviljande eller återkallande av uppehållskort eller registrering av uppehållsrätt, för att kontrollera och övervaka om arbetsgivaren fullgjort sina förpliktelser, och nödvändiga uppgifter om den arbetsgivares, som utlänningen uppger, arbetsgivarprestationer och hur de deklarerats samt om betalningsarrangemang i fråga om skatter och om en arbetsgivares faktiska ekonomiska verksamhet. Även arbets- och näringsbyråerna ska ha rätt att få information när de prövar ett delbeslut gällande en ansökan om uppehållstillstånd för säsongarbete.
Nödvändiga uppgifter gäller inte undantagslöst den sökande själv, utan de kan också gälla den person vars verksamhet den sökande eller dennes familjemedlemmar uppger som källan till sin inkomst. Som exempel kan nämnas fullgöranderapporter som ska användas när man utreder om arbetsgivaren till en utlänning har förmåga att klara av sina lagstadgade skyldigheter, när påföljder bestäms för en sådan arbetsgivare och vid bedömning av en persons förmåga att försörja sig själv eller en familjemedlem i Finland. En ansökan om uppehållstillstånd kan avslås om det finns skäl att misstänka arbetsgivarens förmåga eller vilja att betala utlänningen den lön som uppges i ansökan eller att fullgöra sina andra arbetsgivaråligganden. En ansökan om fortsatt tillstånd kan vägras eller ett gällande tillstånd återkallas, om arbetsgivaren underlåtit att fullgöra sina lagstadgade skyldigheter. Uppgifterna i fullgöranderapporter ska också kunna användas som grund för ett beslut om att inte bevilja tillstånd till anställning hos en arbetsgivare som underlåtit att fullgöra sina lagstadgade skyldigheter. Det är också nödvändigt att med en fullgöranderapport kontrollera de uppgifter en sökande uppgett när denne säger att han eller hon med sin lön, sina inkomster av företagsverksamhet eller inkomster från andra källor uppfyller den lagstadgade försörjningsförutsättningen i fråga om sig själv eller sin familj under vistelsen i Finland. De föreslagna bestämmelserna avses gälla bara de arbetsgivare som är fysiska personer. Bestämmelser om fullgöranderapporter när det gäller juridiska personer ska enligt planerna utfärdas särskilt.
Rätten att få uppgifter ska med avvikelse från nuläget knytas till behövlighetskravet till den del uppgifterna inte är nödvändiga för utförande av lagstadgade uppgifter. Som nödvändiga uppgifter anses information som hjälper Migrationsverket, förläggningar, flyktingslussar eller förvarsenheter att utföra sina lagstadgade uppgifter. En uppgift som behövs kan således utgöra en viktig del av den samlade bedömningen, men avgörandet kan inte bygga enbart på den. Det innebär till exempel att Migrationsverket ska ha rätt att ur exempelvis Rättsregistercentralens bötesregister, när det gäller uppgifter om andra personer än sådana som ansöker om uppehållstillstånd, få personuppgifter och uppgifter om avgöranden, verkställighetsärenden, förvandlingsstraff och händelser när uppgifterna behövs för avgörande av vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd. Om rätten att få uppgifter är knuten till behövlighetskravet har de avsedda datainnehållen räknats upp på ett uttömmande sätt i lagen i linje med grundlagsutskottet etablerade ståndpunkt (GrUU 17/2016 rd, s. 5—6).
Lagen avses också innehålla bestämmelser om rätten att få behövliga uppgifter av socialmyndigheter, skatteförvaltningen, polisen och Brottspåföljdsmyndigheten och ur Rättsregistercentralens bötesregister och justitieförvaltningens riksomfattande informationssystem när det gäller andra än dem som ansöker om uppehållstillstånd, när uppgifterna kan vara av betydelse vid bedömning av ett barns bästa eller av huruvida en person kan ta hand om en annan person för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd. Det handlar om de uppgifter som behövs för prövning enligt artikel 8.2 (underåriga asylsökande) och artikel 16.1 (personer i beroendeställning) i Dublinförordningen (EU-förordning nr 604/2013). Prövningen enligt förordningen ska bygga på om den person som ska ta hand om en underårig eller en person i beroendeställning är kapabel till detta. Kommissionen har inte närmare angett vad villkoren innebär. Genom kommissionens genomförandeförordning (EU) nr 118/2014 utfärdades dock standardformulär för att underlätta identifieringen av sådana personer (bilagorna VII och VIII). Med dessa formulär ska den anmodade medlemsstaten uppge om det finns preliminära bevis bland annat på personens förmåga och materiella beredskap att ta hand om en underårig eller en person i beroendeställning. Det rör sig då om uppgifter om en person som vistas i Finland och som också kan vara finsk medborgare. Förmågan och beredskapen ska bedömas bland annat utifrån uppgifter om brottslighet och om inkomster och förmögenhet. Migrationsverket behöver uppgifter av socialmyndigheter, skatteförvaltningen, polisen och Brottspåföljdsmyndigheten och ur Rättsregistercentralens bötesregister och justitieförvaltningens riksomfattande informationssystem för att pröva denna förmåga att ta hand om någon. Prövningen kan komma att ha betydelse i synnerhet med avseende på barnets bästa. Att ingripa i en persons integritetsskydd är därmed en proportionerlig åtgärd eftersom syftet är att skydda de mer utsatta, dvs. barn och personer i särskild beroendeställning till sina närstående.
Ur Rättsregistercentralens bötesregister kommer Migrationsverket exempelvis att behöva uppgifter om eventuella straff och deras natur för att kunna utreda om den förmåga att ta hand om någon föreligger som Dublinförordningen kräver. Ett ovillkorligt fängelsestraff påverkar nämligen direkt en persons förmåga att ta hand om någon annan. Dessutom behövs det information av Brottspåföljdsmyndigheten om när personen blir frigiven och om villkoren för frigivningen, såsom övervakningen under villkorlig frigivning, som också är av betydelse för en persons förmåga att ta hand om någon annan.
Migrationsverket ska också ha rätt att av utrikesförvaltningen få uppgifter om legalisering av handlingar. Syftet med legalisering är att på en beskickning kontrollera den utfärdande myndighetens behörighet att utfärda handlingen i den främmande staten. En förteckning förs över de notariefunktioner som utförs på beskickningarna. Migrationsverket behöver i medborgarskapsärenden uppgift om varför en handling inte har legaliserats.
Det behövs inte längre särskilda bestämmelser om rätten att få uppgifter genom teknisk anslutning eftersom grundlagsutskottet inte längre på sistone i sin utlåtandepraxis lyft fram denna fråga som ett viktigt regleringsobjekt när det gäller skyddet av personuppgifter (GrUU 14/2018 rd, GrUU 2/2018 rd och GrUU 31/2017 rd). Också i övrigt bör bestämmelser om de tekniska förutsättningarna för överföring av uppgifter utfärdas bara i fråga om den som lämnar ut uppgifterna, eftersom den själv ansvarar för uppgifter den innehar. En allmän lag håller på att beredas om utlämnande av uppgifter med hjälp av ett tekniskt gränssnitt och om åtkomst till systemet.
13 §.Utlämnande av personuppgifter. Enligt det föreslagna 1 mom. får, utöver vad som föreskrivs någon annanstans i lag eller i internationella avtal som är bindande för Finland, sådana uppgifter som samlats in och registrerats med stöd av 1 § trots sekretessbestämmelserna lämnas ut i sådan omfattning som den mottagande myndighetens eller aktörens föreskrivna rätt till information för skötseln av lagstadgade uppgifter medger. Paragrafen innebär att personuppgifter kan lämnas ut enbart med stöd av en rätt att få uppgifter som anges i nationell lagstiftning. Bestämmelser om utlämnande av personuppgifter till Europeiska unionens gemensamma informationssystem utfärdas särskilt.
För närvarande gäller överlappande bestämmelser i fråga om utlämnande av personuppgifter. De ger upphov till en tung regleringsstruktur och skapar tolkningsproblem. Nu ska regleringen förenklas, och detta sker genom övergång till en regleringsmodell där utlämnandet ska vara knutet till en sådan rätt att få uppgifter som den mottagande myndigheten har till följd av sina lagstadgade uppgifter. Förslaget innebär att det ändamål som utlämnandet bygger på, datainnehållet och föremålet för utlämnandet ska knytas till sådan rätt att få uppgifter som den som begär informationen har enligt lagstiftningen. Utgångspunkten ska vara att rätten att få uppgifter ger mottagaren specificerad rätt att få uppgifterna. Det behövs dock fortsatt bestämmelser om utlämnande av uppgifter när man beaktar de förutsättningar som enligt 29 § i offentlighetslagen gäller för bestämmelser där sekretessen bryts. Eftersom rätten att få uppgifter avses vara utgångspunkten för att reglera hur informationen sprids är det möjligt att övergå till en mer generell regleringsmodell i fråga om utlämnande av uppgifter. Formuleringen är omarbetad i förhållande till 10 § i den gällande lagen om utlänningsregistret, men avsikten är inte att göra ändringar i mottagarnas rätt att få uppgifter. Bekräftelse på att de som enligt 10 § den gällande utlänningsregisterlagen har rätt att få uppgifter får tillräckliga rättigheter har under beredningen inhämtats genom att mottagarna i sina yttranden ombetts påpeka eventuella brister i rätten att få uppgifter. Den föreslagna formuleringen ger möjlighet att i fortsättningen lämna ut uppgifter också i sådana situationer där det faktum att upplysningar ges bygger på mottagarens rätt att få uppgifter, medan det inte finns särskilda bestämmelser om utlämnande av uppgifter i lagen om utlänningsregistret.
De personuppgiftsansvariga ska självständigt med stöd av det ansvar de har bestämma om de lämnar ut uppgifter. Gemensamt ansvar för personuppgifterna ger inte rätt att lämna ut alla uppgifter inom lagens räckvidd, utan varje personuppgiftsansvarig kan dock lämna ut uppgifter bara till den del som den har befogenhet att behandla och som den ansvarar för i egenskap av personuppgiftsansvarig.
Den som lämnar ut uppgifterna ska bedöma en begäran om att få uppgifter med avseende på de lagliga förutsättningarna för utlämnande. Den personuppgiftsansvariges ansvar inbegriper en skyldighet att avväga vilka uppgifter den lämnar ut i enlighet med den mottagande myndighetens rätt att få uppgifter. Den som begär uppgifter ska i syfte att se till att ändamålsbegränsningen följs i samband med sin begäran om information, uppgifter eller systemåtkomst motivera vad dess rätt att få upplysningarna bygger på samt uppge ändamålet med behandlingen av uppgifterna och vilka uppgifter den behöver. Den personuppgiftsansvarige ska utifrån begäran med beaktande av principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen bedöma datainnehållet i de personuppgifter som begärs bli utlämnade och i vilken form uppgifterna kan utlämnas. Den myndighet som lämnar ut uppgifterna ska i sin bedömning av förutsättningarna för ett utlämnande beakta bland annat behovet av uppgifter, dvs. för vilket ändamål uppgifterna begärs, huruvida de begärda uppgifterna specificerats tillräckligt exakt med avseende på användningsändamålet, om uppgifterna och den begärande myndigheten angetts tillräckligt exakt, huruvida uppgifterna finns att tillgå i någon annan informationskälla eller exempelvis hos den sökande själv och i så fall huruvida exempelvis kravet på uppgifternas tillförlitlighet (beslut som förpliktar en person fattas utifrån uppgifterna) talar för att uppgifterna ska lämnas ut uttryckligen av den myndigheten och om det råder en tillräcklig balans mellan risk och intresse, i synnerhet om det är fråga om åtkomst till ett informationssystem. Bedömningen behöver inte vara strikt fallspecifik i ett läge där uppgifter lämnas ut regelbundet till en viss myndighet för ett visst ändamål.
Avsikten är inte att i lag dela in situationerna i grupper beroende på om det är fråga om utlämnande av uppgifter i ett enskilt fall eller utlämnande av annat än enstaka uppgifter. Lagen innehåller inte längre bestämmelser om utlämnande av uppgifter med hjälp av teknisk anslutning och inte heller om att tekniskt skydda de uppgifter som lämnas ut. Grundlagsutskottet har tidigare krävt att bestämmelser om teknisk anslutning ska ingå i reglering som gäller personuppgifter och register (GrUU 12/2002 rd, s. 5), men i senare utlåtandepraxis har utskottet inte längre lyft upp frågan som ett viktigt regleringsobjekt när det gäller skyddet av personuppgifter (GrUU 14/2018 rd, GrUU 2/2018 rd och GrUU 31/2017 rd). Dessutom håller finansministeriet på att ta fram en lag om informationshantering i den offentliga förvaltningen, och den avses som allmän lag innehålla bestämmelser om utlämnande av uppgifter med hjälp av tekniskt gränssnitt eller åtkomst till system. I fråga om datasystemet för utlänningsfrågor (UMA) ska Migrationsverket och i fråga om det nationella informationssystemet för viseringar utrikesförvaltningen förvalta systemet, dvs. vara den myndighet som beslutar om utlämnande av uppgifter via ett tekniskt gränssnitt eller om att ge åtkomst till systemet. Kravet på att tekniskt skydda uppgifter som lämnas ut följer direkt av dataskyddsförordningens artiklar 25 om inbyggt dataskydd och dataskydd som standard och 32 om säkerhet i samband med behandlingen. Dataskyddsförordningen kräver en hög nivå på dataskyddet och datasäkerheten.
Personuppgifter som hör till särskilda kategorier av personuppgifter får lämnas ut i enlighet med vad som föreskrivs i det föreslagna 1 mom. endast när det är nödvändigt för att myndigheten i fråga ska kunna utföra sina lagstadgade uppgifter. När förutsättningarna för att lämna ut uppgifter övervägs bör det ges särskild vikt att det är fråga om personuppgifter som hör till särskilda kategorier av personuppgifter. När det gäller omfattande register med biometriska kännetecken finns det enligt grundlagsutskottet orsak att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för. Man kan då bara göra exakt avgränsade och som mycket små karakteriserbara undantag från ändamålsbundenheten. Bestämmelserna får inte leda till att någon annan verksamhet än den som är förknippad med det ursprungliga användningsändamålet blir det huvudsakliga ändamålet och inte ens ett betydande användningsändamål (GrUU 14/2009 rd s. 4, GrUU 14/2017 rd, GrUU 1/2018 rd). Detta kräver att bestämmelserna om utlämnande tolkas restriktivt.
Bestämmelsen om utlämnande av uppgifter avses inte gälla fingeravtryck som tagits av den som ansöker om uppehållstillstånd, uppehållstillståndskort eller uppehållskort eller av den som ansöker om främlingspass eller resedokument för flykting, om inte annat föreskrivs någon annanstans i lag. Särskilda bestämmelser om hanteringen av fingeravtryck finns i 9 och 10 §.
14 §.Utlämnande av uppgifter till Europeiska unionens gemensamma informationssystem. Paragrafen avses innehålla bestämmelser om Migrationsverkets rätt att trots sekretessbestämmelserna till Europeiska unionens gemensamma informationssystem vilka inrättats genom förordningar som antagits med stöd av avdelning V kapitel 2 i fördraget om Europeiska unionens funktionssätt lämna ut personuppgifter enligt de enskilda förordningarna i fråga. Behörigheten att lämna ut uppgifter till sådana gemensamma EU-informationssystem som inrättats genom förordningar följer direkt av de enskilda inrättandeförordningarna.
Europeiska unionen har flera gemensamma informationssystem. Vissa håller först nu på att tas fram. Bland systemen kan nämnas andra generationen av Schengens informationssystem (SIS II), Eurodacsystemet, Informationssystemet för viseringar (VIS), in- och utresesystemet EES, och EU-systemet för reseuppgifter och resetillstånd (Etias).
Den rättsliga grunden för dessa informationssystem utgörs av Europaparlamentets och rådets förordning (EG) nr 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) – som enligt avsikt ska ersättas med SIS-förordningen om polissamarbete och SIS-förordningen om in- och utresekontroller samt den kompletterande SIS-återvändandeförordningen – och av Europaparlamentets och rådets förordning (EU) nr 603/2013 om inrättande av Eurodacsystemet, Europaparlamentets och rådets förordning (EG) nr 767/2008 om informationssystemet för viseringar (VIS), Europaparlamentets och rådets förordning (EU) 2017/2226 om inrättande av ett in- och utresesystem (EES) och Europaparlamentets och rådets förordning (EU) 2018/1240 om inrättande av ett EU-system för reseuppgifter och resetillstånd (Etias).
När det gäller Schengens informationssystem motsvarar bestämmelsen 36 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet. Det är ändamålsenligt att införa bestämmelsen i den föreslagna lagen, eftersom det är meningen att bestämmelsen i samband med översynen av lagen om behandling av personuppgifter i polisens verksamhet ska bli snävare och bara gälla polisen. Avsikten är att synliggöra Migrationsverkets rätt att lämna ut uppgifter till Schengens informationssystem på samma sätt som i dag. Också Gränsbevakningsväsendet har bedömt att det behövs bestämmelser om utlämnande av information i lagen om behandling av personuppgifter vid gränsbevakningsväsendet. Skyldigheten att lämna ut uppgifter följer av Europaparlamentets och rådets förordning (EG) nr 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II). Under beredningen av lagförslaget gjordes den bedömningen att det behövs en separat bestämmelse om utlämnande av uppgifter även om skyldigheten följer direkt av förordningen, eftersom det exempelvis vid utlämnande av biometriska kännetecken såsom fingeravtryck är fråga om utlämnande av uppgifter som hör till särskilda kategorier av personuppgifter enligt artikel 9 i dataskyddsförordningen. Också grundlagsutskottet har i sin tidigare utlåtandepraxis jämställt biometriska uppgifter med känsliga uppgifter där ett adekvat skydd kräver särskilda bestämmelser om deras utlämnande (GrUU 14/2009 rd, s. 3, och GrUU 47/2010 rd, s. 3). Det behövs bestämmelser om utlämnande av uppgifter också med tanke på de villkor som ställs för bestämmelser som bryter sekretessen i 29 § i offentlighetslagen.
15 §.Radering av uppgifter. Artikel 6.3 i dataskyddsförordningen ger möjlighet att införa nationell lagstiftning om uppgifternas lagringstid. I enlighet med den princip som gäller uppgiftsminimering i artikel 5.1 c och lagringsminimering i artikel 5.1 e ska tidsfristerna för radering av uppgifter bygga på att uppgifterna behöver lagras bara den tid som den personuppgiftsansvarige behöver för att utföra sina lagstadgade uppgifter och som behövs för övervakningen av att lagar följs samt som är motiverad med avseende på individens rättssäkerhet.
Grundlagsutskottet har i sin praxis understrukit att behandlingen av känsliga uppgifter ska begränsas till vad som är nödvändigt för att uppnå det mål som är orsaken till att uppgifterna lagrats i systemet (GrUU 13/2017 rd, s. 6), medan det i fråga om andra typer av personuppgifter varit mer tillåtande när det gäller längre lagringstider (GrUU 2/2018 rd, s. 6). En avvägning har gjorts mellan de risker som är förknippade med lagring av personuppgifter, å ena sidan, och den rättssäkerhet och det identitetsskydd som eftersträvas med lagringen, å andra sidan, särskilt i fråga om de särskilda kategorierna av personuppgifter.
Det inledande stycket till bestämmelsen avses innehålla en informativ bestämmelse vars syfte är att beakta avvikande lagringstider som eventuellt kan komma att följa av EU-lagstiftning. Inom EU pågår som bäst arbetet med en procedurförordning och en förordning om vidarebosättning, och de innehåller bestämmelser om radering av ärendeuppgifter som gäller personer som sökt internationellt skydd.
Den tid efter vilken uppgifter raderas kommer att vara längre i vissa fall. Jämfört med gällande lag ändras bestämmelserna om radering av uppgifter enligt 1 punkten på så sätt att av identifikationsuppgifterna för en person förlängs tiden för radering av kundnummer, namn, födelsetid, personbeteckning, utländsk personbeteckning, någon annan utländsk beteckning för identifiering av personen, medborgarskap samt uppgifter om personens familjeband till tio år efter det att personen har avlidit eller fått finskt medborgarskap eller uppgifterna om ärenden i anknytning till personen har raderats.
Utmärkande för migrationsförvaltningen är att tidigare behandlade ärenden kan vara av betydelse för senare ärenden, exempelvis när ett nytt uppehållstillstånd söks, i ett senare inlett ärende om en familjemedlems uppehållstillstånd, i ett ärende som gäller beviljande av medborgarskap eller ett ärende som gäller förlust av medborgarskap. För att den registrerades rättigheter ska tryggas är det viktigt att de relevanta basuppgifterna förvaras tillräckligt länge. En tillräckligt lång lagringstid i fråga om dessa uppgifter är också viktig för att missbruk ska kunna förebyggas exempelvis genom att förhindra att flera identiteter skapas för en och samma person. Om lagringstiden inte är tillräckligt lång är det möjligt att skapa dubbla eller fler identiteter i situationer där någon exempelvis först studerar i Finland och senare återvänder till exempel för att arbeta. Situationer med flera identiteter ger upphov till svåra återverkningar också i andra myndigheters register. Det ligger också i den sökandes intresse att undvika sådana överlappningar. En tillräckligt lång tid är motiverad också med tanke på inledande av ärenden som gäller förlust av medborgarskap. Ett beslut om att någon ska förlora sitt medborgarskap kan inte fattas om det har gått mer än fem år sedan en ansökan eller anmälan om medborgarskap avgjorts. Om ett ärende om förlust av medborgarskap inleds innan det förflutit fem år sedan medborgarskap beviljades går det att fatta beslutet också efter den femårsperioden. En föreskriven tid behövs också eftersom det är möjligt att inleda ett ärende om en familjemedlems uppehållstillstånd till exempel långt efter en persons död.
Enligt skäl 27 i ingressen till dataskyddsförordningen gäller förordningen inte behandling av personuppgifter rörande avlidna personer. Däremot går det att införa bestämmelser om detta i nationell lagstiftning. Inom migrationsförvaltningens verksamhetsområde behövs det i enlighet med vad som framförs ovan bestämmelser om lagring av personuppgifter också efter personens död.
Enligt 2 punkt andra personuppgifter raderas senast fem år efter det att uppehållsrätten upphörde eller den sista uppgiften antecknades i det sista anhängiga ärendet. Uppgifter om ärenden som anknyter till en person raderas samtidigt.
Den tid efter vilken uppgifter ska raderas ska i fråga om alla anhängiga ärenden räknas enlig när det senast anhängiga ärendet avslutats, vilket är en förändring i förhållande till nuläget. Detta kommer att förlänga lagringstiden för vissa personuppgifter. Det är emellertid motiverat att radera alla ärenden samtidigt eftersom det då går att undvika att det skulle finnas tidsmässiga luckor i uppgifterna om en person. Med tanke på den registrerades rättssäkerhet är sådana luckor inte motiverade.
Enligt 3 punkt i enlighet med grundlagsutskottets ovan presenterade ståndpunkt ska uppgifter som hör till särskilda kategorier av personuppgifter dock raderas genast när de inte längre behövs. En förutsättning för att personuppgifter som hör till de särskilda kategorierna av personuppgifter är nödvändighet. Det betyder av en personuppgift som hör till dessa kategorier inte längre behövs när den inte längre är nödvändig ur behandlingssynpunkt.
Uppgifter om iakttagelser är av sådan natur att de ska raderas enligt en separat tidsfrist på sex månader efter det att de antecknades. I fråga om dem och också om andra uppgifter bör principen om uppgiftsminimering beaktas. Principen innebär att uppgifterna inte ska vara för omfattande i förhållande till de ändamål för vilka de behandlas.
I enlighet med den princip om ändamålsbegränsning som propositionen antagit ska raderingen av personuppgifter inte vara knuten till ett visst system, utan uppgifterna ska raderas ur de system som de behandlas i. När den lagstadgade lagringstiden gått ut ska personuppgifterna gallras ut antingen genom utplåning eller genom överföring till ett arkiv på det sätt som arkivverket föreskriver om permanent förvaring av handlingar eller uppgifter i dessa. De utgallrade uppgifterna ska således arkiveras på det sätt som föreskrivs eller bestäms särskilt. Särskilda bestämmelser utfärdas om radering av felaktiga uppgifter.
Bestämmelser om vilken myndighet som ska radera uppgifterna avses finns i 4 och 5 §.
16 §.Personuppgift som konstaterats vara felaktig. Trots bestämmelserna i dataskyddsförordningen om radering av en oriktig uppgift ska en personuppgift som konstaterats vara felaktig få bevaras tillsammans med den korrigerade personuppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till den personuppgiftsansvariges personal har. En sådan uppgift får användas endast i det syftet.
Enligt artikel 5.1 d i dataskyddsförordningen ska personuppgifter vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt artikel 16 i förordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. I artikel 17 finns bestämmelser om rätten att få uppgifter raderade i särskilt angivna fall, men uppgifternas felaktighet nämns inte bland dem. Enligt artikel 23.1 i ska det vara möjligt att i lagstiftningen begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa skydd av den registrerade eller andras rättigheter och friheter. Införande av sådana begränsningar kräver enligt artikel 23.2 i förordningen specifika bestämmelser om bland annat skyddsåtgärder och lagringstider. Specifika bestämmelser om skyddsåtgärder i fråga om de särskilda kategorierna av personuppgifter finns i 6 § 2 mom. i dataskyddslagen. Bevaring av en personuppgift som konstaterats vara felaktig ska vara nödvändig och proportionerlig i förhållande till skydd av den registrerade eller någon annan part eller en person som hör till den personuppgiftsansvariges personal rättigheter och friheter.
Paragrafen avses inte begränsa rätten att få uppgifter rättade, men uppgifter som konstateras vara felaktiga ska i de situationer som avses i 1 mom. kunna bevaras tillsammans med de korrigerade uppgifterna. Paragrafen avses innehålla bestämmelser om bevaring en personuppgift som konstaterats vara felaktig i sådana fall att det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till den personuppgiftsansvariges personal har. I förhållande till 9 § 2 mom. i utlänningsregisterlagen kommer rättsläget att förändras på så sätt att också tryggande av andra parters rättigheter är relevant exempelvis när det gäller familjemedlemmars uppehållstillstånd.
En uppgift som konstaterats vara felaktig och som bevaras ska utplånas genast när den inte längre behövs för tryggande av rättigheter, dock senast fem år efter det att felet uppdagats. Den föreskrivna tiden på fem år börjar räknas på nytt sätt eftersom tidsfristen räknas från det att felet uppdagas och inte från det att den felaktiga personuppgiften registreras. En lagringstid på fem år är motiverad exempelvis i situationer där det i ärenden som gäller tjänsteansvar är fråga om den tjänstemannens rättssäkerhet som registrerat den felaktiga uppgiften.
17 §.Arkivering av uppgifter. Paragrafen avses innehålla en informativ bestämmelse enligt vilken det i fråga om arkivfunktionens uppgifter och om handlingar som ska arkiveras gäller separata bestämmelser och föreskrifter. För närvarande avser formuleringen vad som föreskrivs i den gällande arkivlagen (831/1994) och med stöd av den. Samtidigt beaktas det att det finns planer på att ersätta arkivlagen med en lag om informationshantering i den offentliga förvaltningen.
Användning för arkivändamål av allmänt intresse enligt artikel 5.1 e i dataskyddsförordningen betraktas inte som oförenligt med det ursprungliga ändamålet. På den grunden kan data som innehåller personuppgifter arkiveras, om det är förenligt med allmänt intresse.
18 §.Tillgodoseende av den registrerades rätt till insyn. Paragrafen innehåller bestämmelser om det förfarande som gäller när någon vill utöva sin rätt till insyn i fråga om sina egna uppgifter. De personuppgifter i fråga om vilka någon vill utöva sin rätt till insyn är ofta känsliga eller sekretessbelagda uppgifter. Därför måste det nås visshet om identiteten på den som vill utöva sin rätt till insyn innan rätten tillgodoses, dvs. personuppgifterna lämnas ut. I syfte att främja att den registrerades rättigheter tillgodoses ska det finnas bestämmelser om kontaktpunkter för registrerade i 6 §. Det är Migrationsverket och utrikesförvaltningen som ska vara kontaktpunkter. Att kontaktpunkterna utses utgör ändå inget hinder för den registrerade att lämna sin begäran till insyn till andra personuppgiftsansvariga.
Enligt artikel 15 i dataskyddsförordningen ska den registrerade ha rätt att få tillgång till sina personuppgifter. Det är med stöd av artikel 23.1 i möjligt att genom nationella lagstiftningsåtgärder begränsa också de rättigheter och skyldigheter som avses i artikel 15, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa skydd av den registrerade. Lagstiftningsåtgärden ska då beakta de specifika bestämmelser som avses i artikel 23.2. Specifika bestämmelser om skyddsåtgärder i fråga om de särskilda kategorierna av personuppgifter finns i 6 § 2 mom. i dataskyddslagen. De detaljerade bestämmelserna om förfarandet när en registrerads rätt till insyn tillgodoses ska vara nödvändiga och proportionerliga i förhållande till skyddet av den registrerades integritet och den lagstadgade sekretessen i myndighetsverksamhet.
En registrerad som vill utöva sin rätt till insyn ska framställa en skriftlig begäran om detta till den personuppgiftsansvarige samt innan personuppgifterna lämnas ut styrka sin identitet antingen med handlingar som anses tillförlitliga eller personligen för den personuppgiftsansvarige eller genom stark autentisering.
Den som vill utöva sin rätt till insyn måste alltid ansöka om detta skriftligen hos den personuppgiftsansvarige. Detta kan ske exempelvis genom en begäran per e-post eller vanlig post eller med en blankett i samband med ett personligt besök. Begäran ska på den registrerades vägnar också kunna framföras av en annan person, exempelvis en företrädare eller ett biträde.
Visshet om identiteten på en registrerad som utövar sin rätt till insyn måste nås innan rätten tillgodoses, dvs. senast när personuppgifter om dem som rätten gäller lämnas ut. Den registrerade kan styrka sin identitet med tillförlitliga handlingar hos den personuppgiftsansvarige eller exempelvis på så sätt att de uppgifter som begäran om insyn avser sänds till den registrerade i ett rekommenderat brev, varvid kontroll av den registrerades identitet kan ske genom normalt förfarande för överlåtelse av rekommenderade brev. Migrationsverket har inget stort servicenät, och därför är det motiverat att inte kräva ett personligt besök på ett av Migrationsverkets serviceställen av den som vill utöva sin rätt till insyn i egna uppgifter, om personen i fråga har tillförlitliga handlingar. Till handlingar som ska anses tillförlitliga räknas åtminstone en giltig identitetshandling och ett giltigt pass. Registrerade personer, särskilt de som kommit som asylsökande, har inte alltid handlingar som kan anses vara tillförlitliga. I sådana fall kan den registrerade identifieras i samband med ett personligt besök hos den personuppgiftsansvarige exempelvis med hjälp av uppgifter i informationssystem, såsom jämförelse med ett fotografi som tagits i samband med asylansökan. Den registrerade ska också kunna använda sig av stark autentisering.
När en registrerad vill rikta en begäran om utövande av rätten till insyn till polisen ska 44 § i den lag om behandling av personuppgifter i polisens verksamhet gälla. När den registrerade utövar sin rätt ska han eller hon personligen framföra en begäran om detta till polisen och styrka sin identitet. Begäran ska också kunna lämnas genom att på ett verifierat sätt använda tillförlitlig elektrisk identifiering, om denna tjänst finns. Det är motiverat att ha ett separat förfarande i fråga om begäranden om insyn riktade till polisen när någon vill utöva sin rätt, eftersom det då går att sörja för enhetliga processer i polisens verksamhet. I situationer där den registrerades kontaktpunkt, exempelvis Migrationsverket, tillgodoser den registrerades rätt till insyn med avseende på polisens uppgifter ska kontaktpunkten ansvara för att identiteten kontrolleras i ett annat skede av processen och att uppgifterna lämnas ut till rätt person.
19 §. Den registrerades rätt till begränsning av behandling. Enligt artikel 18 i dataskyddsförordningen ska den registrerade ha rätt att kräva att behandlingen av dennes personuppgifter begränsas. Den registrerades rätt att begränsa behandlingen av personuppgifter hos den personuppgiftsansvarige tillämpas inte på behandling av personuppgifter enligt denna lag. Rätten kan begränsas inom ramen för det handlingsutrymme som artikel 23 ger medlemsstaterna. Det är med stöd av artikel 23.1 h och i möjligt att genom nationella lagstiftningsåtgärder begränsa också de rättigheter och skyldigheter som avses i artikel 18, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa myndighets tillsyns-, inspektions- eller regleringsfunktion eller skydd av den registrerade eller andras rättigheter och friheter. Lagstiftningsåtgärden ska då beakta de specifika bestämmelser som avses i artikel 23.2. Specifika bestämmelser om skyddsåtgärder i fråga om de särskilda kategorierna av personuppgifter finns i 6 § 2 mom. i dataskyddslagen.
Inom migrationsförvaltningen kommer en registrerads begäran om begränsning sannolikt alltid att grundas på att uppgifterna inte stämmer. Om behandlingen av personuppgifter alltid automatiskt begränsades på den registrerades begäran till dess att den personuppgiftsansvarige har försäkrat sig om att uppgiften stämmer, skulle det beroende på typen av uppgift vara möjligt att beslutsprocessen stannar upp för den tid det tar att kontrollera uppgifternas riktighet både inom migrationsförvaltningen och hos de myndigheter som använder uppgifter från migrationsförvaltningen för sina beslut. Migrationsförvaltningens beslutsfattande bygger på lag. Det är av avgörande betydelse att bekräftelse fås på att de uppgifter som besluten bygger på är riktiga. Annars går det inte att säkerställa riktiga beslut och att garantera den berörda personens rättssäkerhet. De andra lagfästa kraven på förfarandena inom migrationsförvaltningen samt den registrerades möjligheter att utöva andra rättigheter för att kontrollera att uppgifterna är riktiga uppfyller kraven på nödvändighet och proportionalitet i artikel 23.1 h och i när det gäller fullgörande av den personuppgiftsansvariges lagstadgade uppgifter, vilket för sin del skyddar den registrerade.
20 §.Automatiserat individuellt beslutsfattande. Enligt paragrafen kan Migrationsverket i ärendehanteringssystemet för utlänningsärenden fatta beslut i ett helt automatiserat förfarande, vilket innebär att informationssystemet utför alla faser i ärendebehandlingen och beslutsfattandet utan att en fysisk person behandlar ärendet. Paragrafen ger Migrationsverket möjlighet till automatiserad behandling enligt artikel 22.1 i dataskyddsförordningen när det fullgör lagstadgade uppgifter. Med automatiska beslut avses i artikeln sådana beslut som enbart grundas på automatiserad behandling och som har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar honom eller henne.
Automatiska beslut bygger på tekniska regler med hjälp av vilka data processas. Genom de tekniska reglerna omvandlas lagstiftningen till maskinläsbara numeriska operationer som bygger på processande av data efter logiska villkor.
Genom automatiserat beslutsfattande ökar effektiviteten exempelvis på så sätt att personella resurser kan användas till att avgöra ärenden som kräver prövning. När fysiska personer fattar beslut finns det risk för misstag, medan risken för mänskliga misstag minimeras när besluten sker automatiskt. Vid automatiserat beslutsfattande går det inte att missbruka prövningsrätten, eftersom det inte går att låta bli att tillämpa lagen eller bestämmelser som är relevanta för avgörandet. De experter som kommer att bestämma reglerna för handläggningen vid automatiserat beslutsfattande och som har den faktiska rätt och kompetens att ändra en regel som lett till ett visst beslut agerar under tjänsteansvar inom myndigheten. Den personuppgiftsansvarige har alltid en ansvarsställning och ska iaktta inbyggt dataskydd och dataskydd som standard enligt artikel 25 i dataskyddsförordningen.
Att grunda ett beslut på automatiserad handläggning ska inte vara möjligt om ärendets art, ärendets omfattning, kravet på lika bemötande, barnets bästa eller något annat särskilt skäl föranleder det. Paragrafen avses inte ange detaljerat i vilka situationer eller inom vilka ärendegrupper behandlingen kan ske helt automatiskt. Automatiska beslut förutsätter att fakta och de rättsliga förutsättningarna är tillräckligt entydiga för att det ska gå att skapa de tekniska regler som behövs för processering av data. Möjligheterna till automatiserat beslutsfattande förändras kontinuerligt allt eftersom lagstiftningen, förfarandena och metoderna utvecklas. I framtiden kan automatiserade beslutsprocesser vara möjliga också i situationer där det med dagens teknik eller med stöd av lagstiftningen ännu inte är möjligt att fatta automatiska beslut.
Automatiska beslut ska kunna fattas i de ärendegrupper där det är möjligt med beaktande av ärendets art och omfattning och kraven på god förvaltning. Automatiserat beslutsfattande kan bli aktuellt exempelvis i ärenden som gäller befrielse eller förlust av medborgarskap eller bestämmande av medborgarskapsstatus samt vid mobilitetsanmälan och begäran om säsongsarbetsintyg. Också beslut om att en ansökan avskrivs till exempel till följd av att ansökan återkallas eller medborgarskap förvärvas ska kunna fattas genom automatiserat förfarande. Om Migrationsverkets beslut är förknippat med omfattande prövningsrätt är det i praktiken till följd av ärendets art och omfattning inte möjligt att fatta beslutet baserat på automatisk handläggning. En sådan situation kan föreligga t.ex. när uppgifter som ska fås från en annan myndighet förutsätter att dessa uppgifter bedöms med användning av prövningsrätt.
Av de ärenden som ligger inom Migrationsverkets behörighet kan framför allt positiva beslut fattas i förfaranden som bygger på automatiserad handläggning. Det är också möjligt att fatta negativa beslut genom automatiserad handläggning när beslutet inte inbegriper rätt till prövning. Det rör sig till exempel om beslut där ett negativt delbeslut av en annan myndighet, exempelvis arbets- och näringsbyrån, enligt lag leder till ett negativt beslut om uppehållstillstånd.
Enligt skäl 71 i ingressen till dataskyddsförordningen bör åtgärder som bygger på automatiserat beslutsfattande inte gälla barn. Ordalydelsen i skälet återges inte i själva artikeldelen, och ingresskälen utgör inte bindande regler. Dataskyddsförordningen innehåller inga separata artiklar om automatiserat beslutsfattande i fråga om barn. All myndighetsverksamhet ska beakta barnets bästa och därför avses det i paragrafen stå att beslut inte ska fattas automatiskt i fall där barnets bästa kräver att beslutet inte fattas på det sättet. Vad som är barnets bästa ska alltid bedömas från fall till fall utifrån de individuella omständigheterna, och det går inte att allmänt bestämma vad som är barnets bästa i varje enskilt fall. Det kan inte absolut slås fast att automatiserat beslutsfattande skulle stå i strid med barnets bästa eller att automatiska beslut aldrig ska fattas i situationer där beslutet påverkar ett barn. Automatiserat beslutsfattande kan anses vara förenligt med barnets bästa exempelvis när man beaktar hur snabbt handläggningen kan ske och det positiva resultat som ett beslut leder till. Automatiserade beslut som gäller barn kan fattas exempelvis i fråga om ansökningar om fortsatt tillstånd, då de förutsättningar utifrån vilka det föregående uppehållstillståndet beviljades fortfarande föreligger. Migrationsverket beaktar barnets särskilda status och gör en samlad bedömning av vad som är barnets bästa. Dessutom beaktar Migrationsverket barnets individuella behov, önskemål och åsikter samt likabehandlingsprincipen och utreder vilken lösning som i det berörda fallet är förenligt med barnets bästa. Vad som är barnets bästa kan sällan bestämmas utifrån en enda faktor som medger att alla andra förbigås.
Ett beslut ska inte fattas automatiskt om särskilda skäl talar emot ett sådant beslut. Ett sådant särskilt skäl kan föreligga exempelvis om det automatiserade beslutsfattandet skulle gälla en person i särskilt utsatt ställning.
Enligt dataskyddsförordningen ska det i medlemsstaternas nationella lagstiftning fastställas lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen, för det fall att den registrerade kan bli föremål för ett beslut som enbart grundas på automatiserad behandling, vilket har rättsliga följder för honom eller henne. I ärenden som Migrationsverket behandlar är det fråga om offentliga förvaltningsuppgifter, och då måste verket beakta kraven på god förvaltning och förfarandebestämmelserna i speciallagstiftning.
Myndigheterna ska som en garanti på god förvaltning ge sina kunder råd i anslutning till skötseln av ett förvaltningsärende och se till att kunden har en klar uppfattning om sina förfarandemässiga rättigheter. Till garantierna för god förvaltning hör också en parts rätt att bli hörd allt eftersom ärendebehandlingen fortskrider och att vid behov söka ändring i ett beslut. Migrationsverket ska i enlighet med garantierna för god förvaltning underrätta den registrerade att uppgifterna kommer att behandlas fullständigt automatiskt, och beslut får inte fattas förrän allmän informering skett. Enligt artikel 13.2 f i dataskyddsförordningen ska den som är föremål för ett automatiskt individuellt beslut lämnas information om förekomsten av automatiserat beslutsfattande, meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling. Sådan information ska lämnas på ett tydligt och enkelt sätt och i begriplig form. Den information som ges ska vara meningsfull för den registrerade.
Enligt skäl 71 i ingressen till dataskyddsförordningen har den registrerade rätt att erhålla en förklaring till ett beslut som fattas utifrån automatisk behandling av personuppgifter med bedömning av en fysisk persons personliga aspekter. Artikeltexten säger ingenting om den rättigheten, utan rätten till en förklaring nämns uttryckligen bara i ingressen. Det framgår inte av förordningen om denna rätt avser en rätt att få en förklaring om ett individuellt automatiskt beslut som uttryckligen fattats i fråga om den registrerade eller om en rätt att rent allmänt få meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling. Formuleringen är heller inte tydlig i fråga om vilket skede av beslutsfattandet som förklaringen ska ges i. Det föreslagna 20 § 2 mom. avses innehålla bestämmelser om den registrerades rätt att få en redogörelse för ett individuellt beslut i hans eller hennes sak som fattats genom automatisk behandling. Det är fråga om de skyddsåtgärder som dataskyddsförordningen kräver. Migrationsverket ska i redogörelsen uppge grunderna och orsakerna till att ett automatiskt beslut fattades i fråga om den registrerade. I praktiken innebär detta en redogörelse för varför beslutet inte behandlades av en fysisk person. Genom en sådan redogörelse säkerställs dessutom också i fråga om automatiskt beslutsfattande den öppenhet som artikel 5 i dataskyddsförordningen kräver.
Den registrerades rättigheter skyddas också av rätten att söka ändring. Med stöd av 4 § i förvaltningsprocesslagen (586/1996) får besvär anföras över beslut i förvaltningsärenden, och enligt 5 § i samma lag avses med ett beslut över vilket besvär får anföras en åtgärd varigenom ett ärende har avgjorts eller lämnats utan prövning. Migrationsverket måste i syfte att skydda den registrerades intressen se över de tekniska reglerna regelbundet för att försäkra sig om att den automatiserade beslutsprocessen fungerar som den ska.
21 §.Sekretess. I paragrafen föreskrivs det att information och handlingar som erhållits för behandling i det syfte som anges i 1 § 1, 2 och 6 punkten i denna lag är sekretessbelagda, om det föreskrivs någon annanstans i lag eller om det inte är uppenbart att utlämnande av uppgifter inte medför skada eller olägenhet för Finlands internationella förhållanden, det internationella samarbetet eller sökanden eller närstående till sökanden. Paragrafen ska i sak motsvara gällande 11 § i utlänningsregisterlagen. Paragrafen ändras i tekniskt avseende för att motsvara den ändamålsbundna infallsvinkel i fråga om behandling som tillämpas i denna lag. Bestämmelser om sekretess för sådana uppgifter som behövs för en säkerhetsutredning finns i säkerhetsutredningslagen.
22 §.Ikraftträdande. Paragrafen innehåller bestämmelser om lagens ikraftträdande. Lagen avses träda i kraft så snart som möjligt. Genom den nya lagen upphävs lagen av den 1 januari 1998 om utlänningsregistret (1270/1997).
23 §.Övergångsbestämmelse. Paragrafen avses innehålla en övergångsbestämmelse till den föreslagna 15 §. Avsikten är att se till att de tekniska bestämmelserna för radering hinner införas i fråga om ärendehanteringssystemet för utlänningsärenden och det nationella informationssystemet för viseringar. Enligt övergångsbestämmelsen ska informationssystemen anpassas så att de stämmer överens med 15 § inom ett år efter lagens ikraftträdande. Under övergångstiden tillämpas de bestämmelser om radering av personuppgifter som gällde vid ikraftträdandet av den föreslagna lagen. Sådana är bestämmelserna i 9 § i utlänningsregisterlagen, 54 § 1 mom. i mottagandelagen, 32 h § 1 mom. i förvarslagen och 62 § 1 mom. i integrationslagen.