Senast publicerat 16-09-2022 14:18

Regeringens proposition RP 132/2022 rd Regeringens proposition till riksdagen med förslag till lag om ändring av lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata och till vissa lagar som har samband med den

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

I propositionen föreslås det ändringar i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata, dataskyddslagen, lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten, lagen om behandling av personuppgifter i migrationsförvaltningen, lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten, aktiebolagslagen, lagen om andelslag, lagen om behandling av personuppgifter vid Gränsbevakningsväsendet, sjöräddningslagen, lagen om behandling av personuppgifter i polisens verksamhet och lagen om behandling av personuppgifter inom Tullen. 

Syftet med propositionen är att reformera personbeteckningssystemet genom att göra det möjligt att bevilja utlänningar personbeteckningar i större utsträckning än för närvarande, genom att möjliggöra elektronisk distansregistrering i befolkningsdatasystemet, genom att utveckla befolkningsdatasystemets identitetshantering, genom att minska behovet av organisationsspecifika specificerande koder, genom att skapa förutsättningar för införande av en helt ny identifikationskod samt genom att precisera bestämmelserna om behandling av personbeteckningen. Det föreslås att personbeteckningens struktur ändras genom att uppgiften om personens kön slopas. De personbeteckningar som tilldelats före regleringen träder i kraft bibehåller sin nuvarande form, men inte heller ur dem ska man efter ändringen kunna härleda personens kön. 

Propositionen hänför sig till statens budgetproposition för 2023 och avses bli behandlad i samband med den. 

De föreslagna lagarna avses huvudsakligen träda i kraft den 1 september 2023. Den föreslagna lagändringen för att slopa uppgiften om kön ur personbeteckningen avses träda i kraft den 1 januari 2027. 

MOTIVERING

Bakgrund och beredning

Reformen av personbeteckningssystemet har beretts i två skeden, av vilka det första inleddes den 1 september 2017 när finansministeriet tillsatte en arbetsgrupp för att utreda förnyandet av personbeteckningssystemet och den av staten garanterade identitetshanteringen. Arbetsgruppen hade i uppgift att presentera en ny nationell lösning för specificering av personer. I detta ingick ett förslag till en modell för specificering av personer i Finland samt en beskrivning av myndigheternas roll vid hanteringen av grundläggande personuppgifter. Avsikten var att ta fram en modell där en kod som specificerar en person och de uppgifter som ansluter till det kan administreras separat såväl funktionellt som juridiskt. 

Arbetsgruppens mandattid löpte ut den 31 december 2019 och arbetsgruppens slutrapport offentliggjordes den 6 april 2020. I sin slutrapport föreslog arbetsgruppen att man från och med 2027 i Finland ska ta i bruk en ny slags personbeteckning av vilken inte längre framgår personens ålder, födelsetid, kön eller några andra uppgifter om personen. Den nya beteckningen skulle enligt förslaget helt ha ersatt den nuvarande personbeteckningen. Arbetsgruppen föreslog också att en större grupp personer än för närvarande kunde få en finsk personbeteckning. 

På basis av utlåtandena och det fortsatta tjänstemannaarbetet vid finansministeriet kunde arbetsgruppens förslag inte som sådant anses vara genomförbart. På basis av remissutlåtandena fortsattes reformen av personbeteckningssystemet under projektets andra skede med en beredning av mer målinriktade och begränsade ändringar, där personbeteckningens nuvarande form bibehålls. 

Finansministeriet tillsatte den 1 december 2020 ett projekt för att revidera personbeteckningssystemet och utveckla den av staten garanterade identiteten med beaktande av personbeteckningarnas tillräcklighet och könsneutralitet samt att göra utlänningars ärendehantering smidigare genom att utvidga kretsen av personer som tilldelas en personbeteckning. Handlingarna gällande tillsättande av projektet samt beredningsunderlaget till regeringens proposition finns i den offentliga tjänsten på adressen https://vm.fi/sv/projekt-och-lagberedning med identifieringskoden VM183:00/2020. Som mål för projektet fastställdes att 

säkerställa smidig ärendehantering för alla genom att utveckla identitetshanteringen i befolkningsdatasystemet, 

säkerställa förutsättningarna för utveckling av en digital verksamhetsomgivning i Finland samt att personbeteckningarna är tillräckliga, 

möjliggöra en könsneutral personbeteckning och att 

förebygga användningen av personbeteckningar för autentisering och förhindra identitetsstöld. 

Som en uppgift för projektet fastställdes dessutom skapande av förutsättningar för ibruktagande av en helt ny identifikationskod och möjliggörande av beviljande av personbeteckning till utlänningar i större utsträckning än för närvarande. Projektet bör dessutom utarbeta och tillsammans med myndigheter och andra aktörer följa upp anvisningar och handlingsmodeller för ändamålsenlig användning av personbeteckningen. Målet med en könsneutral personbeteckning grundar sig på regeringsprogrammet för statsminister Sanna Marins regering, enligt vilket personbeteckningens könsbundenhet ska slopas i samband med förnyandet av personbeteckningen utifrån finansministeriets utredning. 

Ovan beskrivna målsättningar har delats upp för att genomföras stegvis så att man under det första skedet av projektet ska säkerställa att personbeteckningarna är tillräckliga. Tillräcklighetsproblemet har lösts separat genom att i mindre utsträckning ändra personbeteckningens struktur. Statsrådets allmänna sammanträde utfärdade den 8 juli 2022 en förordning om ändring av 2 § i statsrådets förordning om befolkningsdatasystemet som träder i kraft den 1 januari 2023. Personbeteckningarnas tillräcklighet behöver således inte behandlas i större utsträckning i denna regeringsproposition. 

Denna regeringsproposition har beretts inom ovan beskrivna projekt och den innehåller förslag till sådana ändringar i lagstiftningen genom vilka projektets övriga mål kan uppfyllas. Utlåtanden om utkastet till regeringens proposition begärdes våren 2022. Efter remissrundan har den fortsatta beredningen av propositionen gjorts som tjänsteuppdrag vid finansministeriet, i samarbete med projektet.  

I och med remissvaren identifierades vid den fortsatta beredningen av propositionen behovet av att närmare bedöma förutsättningarna för behandling av personbeteckningar i förhållande till de föreslagna bestämmelserna om identifikationskoden. Under den fortsatta beredningen beslutade man foga till lagändringar om detta till propositionen. Lagändringarna bereddes vid justitieministeriet. Eftersom de föreslagna bestämmelserna inte ingick i det utkast till regeringsproposition som sändes på remiss, har justitieministeriet separat bett om utlåtanden om förslaget till ändring av 29 § i dataskyddslagen (1050/2018) och 12 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018, nedan dataskyddslagen avseende brottmål). Förslaget har efter den separata remissrundan fogats till denna regeringsproposition. Utlåtandeskedena beskrivs närmare i avsnitt 6. Dessutom har man separat berett kommunikation och andra åtgärder för att förebygga användning av personbeteckningen för identifiering. 

Om regeringens proposition har hållits ett samråd enligt 11 § i kommunallagen (410/2015) och ärendet har behandlats av delegationen för kommunal ekonomi och förvaltning den 16 augusti 2022. 

Nuläge och bedömning av nuläget

2.1  Nuläge

2.1.1  Befolkningsdatasystemet

Enligt 3 § i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009, nedan BDS-lagen) är befolkningsdatasystemet ett allmänt riksomfattande basregister, som innehåller i lagen föreskrivna uppgifter om personer, fastigheter, byggnader, lägenheter och lokaler samt om administrativa och andra motsvarande områdesindelningar. Till befolkningsdatasystemet hör ett riksomfattande datasystem samt det regionalt organiserade material i handlingar och annat liknande datamaterial som inte har förts in i datasystemet i digitalt format. 

I befolkningsdatasystemet finns uppdaterade personuppgifter om finska medborgare och under vissa förutsättningar också över i Finland stadigvarande eller tillfälligt bosatta utländska personer. I systemet finns även uppgifter om utomlands bosatta personer som har en annan anslutning till Finland än boende. Uppgifter om personer som registreras i befolkningsdatasystemet är bland annat namn och personbeteckning, adress, medborgarskap och modersmål, familjeförhållanden samt uppgifter om födelse och dödsfall. Dessutom finns i systemet uppgifter om byggnader, byggprojekt, lägenheter och de fastigheter som byggnaderna är belägna på. 

Uppgifterna används för hela samhällets informationsförsörjning, till exempel av den offentliga förvaltningen, för att ordna val, för beskattning och juridisk förvaltning samt för forskning och statistikföring. Befolkningsdatasystemets uppgifter samt deras integritet och riktighet har således stor betydelse för flera samhällsfunktioner. Även företag och sammanslutningar har omfattande tillgång till befolkningsdatasystemets uppgifter. I befolkningsdatasystemet fanns i slutet av maj 2022 uppgifter om 9 686 997 personer, 3 919 226 byggnader och 5 501 478 fastigheter. Av de personer som registrerats i befolkningsdatasystemet var 1 057 264 utlänningar, av vilka 471 730 personer hade hemkommun i Finland. 

Bestämmelser om befolkningsdatasystemet finns i BDS-lagen. Lagen trädde i kraft den 1 mars 2010 och genom den upphävdes den befolkningsdatalag som trädde i kraft 1993. BDS-lagen innehåller bestämmelser bland annat om befolkningsdatasystemets syfte, datainnehåll, uppdatering av uppgifterna, rätten att få uppgifter samt utlämnande av uppgifter ur systemet till samhällets olika aktörer. Dessutom föreskrivs i lagen om Myndigheten för digitalisering och befolkningsdatas certifierade elektroniska tjänster och identifieringstjänsten för utländska medborgare. Närmare bestämmelser om flera ärenden som det föreskrivs om i BDS-lagen finns i statsrådets förordning om befolkningsdatasystemet (128/2010, nedan BDS-förordningen). 

Enligt 5 § 1 mom. i BDS-lagen är syftet med befolkningsdatasystemet att möjliggöra, genomföra och trygga samhällets funktioner och informationsförsörjning och att trygga möjligheterna för samhällsmedlemmarna att göra sina rättigheter gällande och fullgöra sina skyldigheter. Enligt motiveringen till bestämmelsen avses med samhällets funktioner i bestämmelsen samtliga lagliga och allmänt accepterade funktioner som samhället utför eller sörjer för och för vars genomförande det krävs befolkningsdata. Med samhällsmedlemmarnas rättigheter och skyldigheter avses i bestämmelsen primärt i Finlands grundlag (713/1999, nedan grundlagen) avsedda grundläggande fri- och rättigheterna men också de rättigheter och skyldigheter som kan härledas ur annan lagstiftning eller vedertagen tolkningspraxis för sådan. (RP 89/2008 rd, s. 70) 

Personuppgiftsansvariga för befolkningsdatasystemet är enligt 4 § 1 mom. i BDS-lagen Myndigheten för digitalisering och befolkningsdata i Fastlandsfinland samt Statens ämbetsverk på Åland i landskapet Åland. Myndigheten för digitalisering och befolkningsdata inledde sin verksamhet den 1 januari 2020, då Befolkningsregistercentralen, magistraterna samt enheten för styrning och utveckling av magistraterna vid Regionförvaltningsverket i Östra Finland sammanslogs till den nya helheten Myndigheten för digitalisering och befolkningsdata. Befolkningsregistercentralen, magistraterna och magistratsenheten vid Statens ämbetsverk på Åland verkade före reformen som personuppgiftsansvariga för befolkningsdatasystemet. Utöver de personuppgiftsansvariga deltar Migrationsverket och Skatteförvaltningen i upprätthållandet av befolkningsdatasystemets uppgifter på det sätt som närmare anges i 22 § i BDS-lagen. 

2.1.2  Personbeteckningens syfte, regleringen av den och dess användningssätt

Bestämmelser om hur personbeteckningen tilldelas finns i 11 § i BDS-lagen, enligt vilken en person ska tilldelas en personbeteckning när uppgifter om personen första gången registreras i befolkningsdatasystemet. Personbeteckningen tilldelas automatiskt ur befolkningsdatasystemet. En rättad eller ändrad personbeteckning får inte ges någon annan.  

Personbeteckningen fungerar som en entydigt specificerande beteckning, med hjälp av vilken man till exempel kan särskilja två personer med samma namn från varandra. Personbeteckningen är en beteckning som specificerar en person med hjälp av vilken personens uppgifter exakt och utan problem kan hittas och användas i olika datasystem. Personbeteckningen är unik, vilket innebär att flera personer inte kan ha samma personbeteckning. Personbeteckningen är endast avsedd som ett specifikationsredskap, och endast på basis av personbeteckningen kan man inte dra några slutsatser om personens medborgarskap eller hemkommun eller huruvida personen är bosatt i Finland. Personbeteckningen betyder endast att det antecknats uppgifter om personen i befolkningsdatasystemet. Personbeteckningen är inte heller någon garanti för tillförlitligheten vad gäller personens identitet, även om man i vissa sammanhang fortfarande försöker ge personbeteckningen denna roll. Personbeteckningen specificerar sin innehavare, men personbeteckningens användare kan inte identifieras med hjälp av den. 

Personbeteckningen kallas fortfarande relativt allmänt felaktigt för socialskyddssignum. Den nuvarande personbeteckningen härstammar från den identifikationskod inom arbetspensionsbranschens och Folkpensionsanstaltens informationssystem som ursprungligen togs i bruk på 1960-talet som arbetspensionskortets nummer och som sedermera ändrades till socialskyddssignumet. När Befolkningsregistercentralen och centrala befolkningsregistret inrättades år 1969 togs som identifikationskod i bruk samma beteckning, först med namnet befolkningsregisterbeteckning och från och med 1971 med namnet personbeteckning. 

Bestämmelser om behandling av personbeteckningar finns i 29 § i dataskyddslagen. En personbeteckning får enligt paragrafens 1 mom. behandlas med den registrerades samtycke eller när behandlingen regleras i lag. Dessutom får en personbeteckning behandlas, om det är viktigt att entydigt identifiera den registrerade 1) för att utföra en i lag angiven uppgift, 2) för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsskyldiges skyldigheter, eller 3) för historisk eller vetenskaplig forskning eller för statistikföring. En personbeteckning får enligt paragrafens 2 mom. dessutom behandlas vid kreditgivning och indrivning av fordringar, i försäkrings-, kreditinstituts-, betaltjänst-, uthyrnings- och utlåningsverksamhet, i kreditupplysningsverksamhet, inom hälso- och sjukvården, inom socialvården och inom annan verksamhet för att tillförsäkra social trygghet samt i ärenden som gäller tjänste- och arbetsavtalsförhållanden och andra anställningsförhållanden och förmåner som har samband med dessa. 

Utöver vad som i 1 och 2 mom. föreskrivs om behandling av personbeteckningar får en personbeteckning enligt paragrafens 3 mom. lämnas ut för sådan databehandling som sker i syfte att uppdatera adressuppgifter eller undvika mångfaldig postning, om mottagaren redan har tillgång till personbeteckningen. Enligt paragrafens 4 mom. får en personbeteckning inte onödigtvis antecknas i handlingar som skrivs ut eller upprättas på basis av ett personregister. 

Också dataskyddslagen avseende brottmål innehåller allmänna bestämmelser om behandling av personbeteckningar. Enligt lagens 12 § får en personbeteckning behandlas endast om det är viktigt att entydigt identifiera den registrerade 1) för att en behörig myndighet ska kunna utföra en i lag angiven uppgift, 2) för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter eller uppfylla den registrerades eller den personuppgiftsansvariges skyldigheter, eller 3) för sådan historisk eller vetenskaplig forskning eller sådan statistikföring som avses i 5 § 3 mom. Enligt paragrafens 2 mom. får en personbeteckning inte onödigtvis antecknas i handlingar som skrivs ut eller upprättas på basis av ett register. 

Också i övrig lagstiftning finns många särskilda bestämmelser om behandlingen av personbeteckningar. Typiska är till exempel särskilda bestämmelser som gäller rätten att behandla personbeteckningar samt bestämmelser om antecknande av personbeteckning i olika register. Som exempel på typiska särskilda bestämmelser kan nämnas 4 § i lagen om behandling av personuppgifter i polisens verksamhet (616/2014), enligt vilken polisen får behandla personbeteckningar för de ändamål som anges i 5, 7, 9 och 11 §. Genom den särskilda bestämmelsen utvidgas således polisens rättigheter att behandla personbeteckningar jämfört med de allmänna bestämmelserna om dataskydd. Det finns många motsvarande bestämmelser också annanstans i lagstiftningen. 

Personbeteckningen används i Finland i stor utsträckning och för likartade ändamål inom såväl den offentliga som den privata sektorn. I huvudsak använda personbeteckningen för entydig specificering av en person i datasystem och handlingar. Personbeteckningen används särskilt när endast namn och födelsedatum inte är tillräckligt för att särskilja personer från varandra. Personbeteckningen antecknas också vanligtvis i offentliga handlingar, till exempel i enlighet med 5 § i passlagen (671/2006) i passet och i enlighet med 4 § i lagen om identitetskort (663/2016) i identitetskortet. Olika aktörer har också olika koder för specificering av personer, men särskilt i myndigheternas system samt inom den privata sektorns system, där det är viktigt att en person entydigt specificeras, används ofta personbeteckningen.  

Personbeteckningen används också i stor utsträckning för att förmedla information till andra aktörer. Inom myndighetsverksamhet fungerar personbeteckningen som en nyckel för utbyte av information, med hjälp av vilken uppgifter om personen kan förmedlas mellan olika myndigheter. På så sätt kan man entydigt säkerställa att uppgifterna gäller samma person. Personbeteckningen används också till exempel när en person flyttar från ett nordiskt land till ett annat, varvid uppgifterna om den som flyttar förmedlas mellan de nordiska länderna via det informationssystem som används för detta. När man känner till den finska personbeteckningen eller det nordiska personnumret på den person som flyttar, kan personuppgifterna på ett tillförlitligt sätt specificeras till rätt person i avreselandets registermyndighets och ankomstlandets myndighets register. 

Personbeteckningens centrala ställning i det finländska samhället och dess tydliga karaktär som en beteckning som specificerar personen har också skapat sådan användning för den som till alla delar inte behövs. I vissa system kan personbeteckningen användas för specificering av en person, även om någon annan systemspecifik kod skulle passa bättre för ändamålet. 

Personbeteckningen används utöver för dess användningsändamål, en entydig specificering av personen, i många andra situationer också för att identifiera en person vid uträttande av ärenden. I samband med uträttande av ärenden kan personbeteckningen eller dess slutdel användas för att fastställa personens identitet på samma sätt som ett lösenord, men ibland också oberoende av det faktiska behovet, närmast på grund av att det blivit allmän praxis. Användningen av personbeteckningen på samma sätt som ett lösenord grundar sig på antagandet att förmågan att ange beteckningen visar att kunden är den rättmätiga innehavaren till beteckningen i fråga. I själva verket kan dock flera personer känna till personbeteckningen, varför det är möjligt att enbart med personbeteckningen kunna utnyttja en annan persons identitet. Till exempel inom hälso- och sjukvårdstjänsterna och framför allt inom telefontjänster är det möjligt att få andra personers sekretessbelagda hälsouppgifter genom att använda personens personbeteckning. Med personbeteckningen kan man också identifiera sig i vissa webbtjänster. 

Personbeteckningen används i samhället i stor utsträckning också som källa för födelsedatum och ålder. Många organisationer inom såväl den privata som den offentliga sektorn och det datasystem de använder läser personens födelsedatum och kön direkt ur personbeteckningen. Till exempel Försvarsmakten förordnar årligen automatiskt manliga finska medborgare att delta i uppbåd på basis av uppgiften om kön i personbeteckningen. 

2.1.3  Personbeteckningens struktur

Bestämmelser om personbeteckningens struktur finns i 11 § 2 mom. i BDS-lagen och 2 § i BDS-förordningen. Enligt 11 § 2 mom. i BDS-lagen är personbeteckningen individuell och består av födelsetid, individuellt nummer och kontrollbeteckning. Det individuella numret särskiljer personer som är födda samma dag och innehåller information om en persons könstillhörighet.  

Enligt 2 § 2 mom. i BDS-förordningen betecknas födelsetiden med sex siffror, av vilka den första och den andra anger dagen, den tredje och den fjärde månaden, den femte årtiondet och den sjätte året. Efter födelsetiden finns bokstaven A för dem som är födda den 1 januari 2000 eller därefter, ett bindestreck (-) för dem som är födda på 1900-talet och ett plustecken (+) för dem som är födda på 1800-talet. 

Enligt paragrafens 3 och 4 mom. skiljs personer som har samma födelsetid från varandra med individuellt nummer. För givande av det individuella numret registreras personens könstillhörighet i befolkningsdatasystemet som antingen man eller kvinna. Det individuella numret fastställs som ett tresiffrigt tal, som är udda för män och jämnt för kvinnor. I praktiken har de individuella numren 900–999 reserverats för testbruk och konstgjorda beteckningar, och de används därför inte för egentliga personbeteckningar. Kontrollbeteckningen utgörs av en siffra eller en bokstav som fås genom att det niosiffriga tal som bildas av födelsetiden och det individuella numret divideras med 31. Närmare bestämmelser om bestämmande av kontrollbeteckningen finns i paragrafens 4 mom. 

Strukturen på personbeteckningen ändras genom en ändring av en förordning som träder i kraft den 1 januari 2023 genom att det införs nya skiljetecken som anger födelseårhundradet.  

2.1.4  Rättelse och ändring av en personbeteckning

Avsikten är att personbeteckningen i princip ska vara bestående, och därför är tröskeln för att ändra beteckningen hög. Bestämmelser om rättelse och ändring av personbeteckningen finns i 12 § i BDS-lagen. I befolkningsdatasystemet rättas eller ändras ca 700–900 personbeteckningar per år.  

Enligt 12 § 1 mom. i BDS-lagen ska en personbeteckning som registrerats i befolkningsdatasystemet rättas, om den är tekniskt felaktig eller om uppgifterna om födelsetid eller könstillhörighet är oriktiga. Beslut om rättelsen fattas av Myndigheten för digitalisering och befolkningsdata. Myndigheten för digitalisering och befolkningsdata ska ge den berörda personen eller dennes lagliga företrädare tillfälle att framföra sin åsikt i ärendet. Denna person ska informeras om rättelsen.  

Bestämmelser om grunderna för ändring av en personbeteckning finns i 2 mom. Enligt 1 och 2 punkten i momentet får en personbeteckning rättas, om 1) ändringen är absolut nödvändig för att skydda personen i sådana situationer där hans eller hennes hälsa eller säkerhet är uppenbart och varaktigt hotad, eller 2) någon annan än den som innehar personbeteckningen upprepade gånger har missbrukat beteckningen och missbruket har orsakat betydande ekonomiska eller andra olägenheter för den rätta innehavaren och fortsatta skadliga verkningar på grund av missbruket faktiskt kan förhindras genom att personbeteckningen ändras. Det sker i praktiken endast sällan att 1 eller 2 punkten i momentet tillämpas, och på basis av dem har i praktiken endast enstaka personbeteckningar ändrats per år. 

Enligt 12 § 2 mom. 3 punkten får en personbeteckning ändras, om det i enlighet med lagen om fastställande av transsexuella personers könstillhörighet (563/2002) har fastställts att personen ska tillhöra det motsatta könet. Personen får i det fallet en ny personbeteckning, vars individuella nummer motsvarar det fastställda könet. Dessutom har i befolkningsdatasystemet från och med den 1 mars 2010 gjorts en särskild anteckning om fastställande av könstillhörighet för säkerställande av att dessa fall som hör till särskilda kategorier av personuppgifter kan avskiljas från andra ändringar och rättelser av personbeteckningen. Med hjälp av anteckningen kan man säkerställa att namnet och personbeteckningen enligt det tidigare könet inte lämnas ut otillbörligen. Antalet fastställanden av könstillhörighet har varje år stadigt ökat, och år 2021 ändrades sammanlagt 211 personbeteckningar på basis av fastställande av könstillhörighet.  

2.1.5  Vem tilldelas personbeteckning?

En person tilldelas automatiskt en personbeteckning när hans eller hennes uppgifter första gången registreras i befolkningsdatasystemet. Bestämmelser om de personer som ska registreras i befolkningsdatasystemet finns i 7 § i BDS-lagen. Enligt 1 mom. 1 punkten i den paragrafen ska i befolkningsdatasystemet registreras uppgifter om alla finska medborgare. 

Bestämmelser om grunderna för finskt medborgarskap finns i medborgarskapslagen (359/2003). Bestämmelser om finskt medborgarskap på grund av födelse finns i 2 kap. och bestämmelser om finskt medborgarskap på ansökan finns i 3 kap. i den lagen. I lagens 4 kap. föreskrivs om finskt medborgarskap efter anmälan. 

I befolkningsdatasystemet registreras utöver uppgifter om finska medborgare också uppgifter om utländska medborgare, om de lagstadgade förutsättningarna för det uppfylls. I samband med registreringen tilldelas personen också en personbeteckning. I 9 § i BDS-lagen föreskrivs om förutsättningarna för att uppgifter om utländska medborgare ska eller kan registreras i befolkningsdatasystemet. 

Uppgifter om utländska medborgare ska registreras i befolkningsdatasystemet, om dessa har hemkommun i Finland och bostad där enligt lagen om hemkommun (201/1994). Hemkommunen och bostaden där för en utländsk medborgare bestäms enlig lagen om hemkommun, om han eller hon är medborgare i ett EU- eller EES-land och har registrerat sin uppehållsrätt i Finland i enlighet med utlänningslagen (301/2004). Av medborgare i ett annat nordiskt land förutsätts enligt utlänningslagen inte registrering av uppehållsrätten. Hemkommunen och bostaden där för en utländsk medborgare bestäms enlig lagen om hemkommun också, om den utländska medborgaren har kontinuerligt eller permanent uppehållstillstånd. Hemkommunen och bostaden där för en utländsk medborgare som har ett i utlänningslagen avsett giltigt uppehållstillstånd som ger rätt till minst ett års tillfällig vistelse fastställs enligt lagen om hemkommun, om han eller hon dessutom med beaktande av förhållandena som helhet har för avsikt att stadigvarande bosätta sig i Finland. Dessutom bestäms hemkommunen och bostaden där för en utländsk medborgare enlig lagen om hemkommun, om han eller hon är familjemedlem till en sådan person som har i denna lag avsedd hemkommun i Finland. 

Uppgifter om utländska medborgare som inte har hemkommun i Finland kan registreras i befolkningsdatasystemet, om  

dessa har beviljats uppehållstillstånd eller uppehållskort, om dessas uppehållsrätt har registrerats eller om Migrationsverket har fattat något annat positivt beslut om uppehållsrätt som gäller dem,  

dessa har en sådan tillfällig bostad i Finland som avses i lagen om hemkommun och registreringen behövs för att de ska kunna göra sina rättigheter gällande och fullgöra sina skyldigheter när det gäller arbete, studier eller andra motsvarande omständigheter,  

registreringen krävs för fullgörandet av skyldigheter enligt ett internationellt avtal som är bindande för Finland, eller  

registreringen behövs för att dessa utländska medborgare ska kunna göra sina rättigheter gällande och fullgöra sina skyldigheter eller av andra motsvarande särskilda och motiverade skäl. 

Uppgifter om en utländsk medborgare registreras i befolkningsdatasystemet på basis av 1 punkten vanligtvis i situationer där Migrationsverket beviljar en utlänning uppehållstillstånd i Finland på grund av arbete, studier eller bedrivande av näringsverksamhet. Uppgifterna registreras på basis av 1 punkten också i situationer där den utländska medborgaren har beviljats asyl eller alternativt skydd eller tagits till Finland inom flyktingkvoten eller på basis av 93 § i utlänningslagen och på basis av flyktingstatus eller 93 § i utlänningslagen beviljats uppehållstillstånd. Likaså registreras uppgifterna på basis av 1 punkten om unionsmedborgare vars uppehållsrätt Migrationsverket registrerat. 

En utländsk medborgares uppgifter registreras i befolkningsdatasystemet på basis av 2 punkten i situationer, där personen vistas i Finland tillfälligt och behöver en finsk personbeteckning till exempel för att tillgodose sina rättigheter eller fullgöra sina skyldigheter i samband med arbetet. För arbetstagare är en typisk rättighet möjliggörande av utbetalning av lön och en typisk skyldighet betalning av skatt. För studerande kan de rättigheter som ligger till grund för registrering i befolkningsdatasystemet till exempel ha samband med betalningslättnader eller rabatter som fås på grund av studerandestatus. 

Grunden för registrering av en utländsk medborgares rättigheter är endast sällan enbart fullgörandet av skyldigheter enligt ett internationellt avtal som är bindande för Finland enligt 3 punkten. I allmänhet uppfylls i dessa situationer också någon annan grund för registrering av uppgifterna, såsom grunden enligt 4 punkten, enligt vilken registreringen av uppgifterna behövs för att den utländska medborgaren ska kunna göra sina rättigheter gällande och fullgöra sina skyldigheter eller av andra motsvarande särskilda och motiverade skäl. Grunden enligt 4 punkten uppfylls vanligtvis i situationer där personen vistas utomlands, men till exempel hans eller hennes förmåns- eller pensionsärende kräver att personens specificeras med personbeteckningen, och Pensionsskyddscentralen eller Folkpensionsanstalten ber om en personbeteckning för personen. 

I befolkningsdatasystemet kan i anslutning till den person som tilldelats personbeteckning också registreras uppgifter om till exempel familjemedlemmar som inte har en personbeteckning. Sådana personer kallas i befolkningsdatasystemet referenspersoner eller externa personer. Omfattningen och aktualiteten för referenspersoners personuppgifter varierar beroende på användningssammanhang. I befolkningsdatasystemet finns uppskattningsvis två miljoner referenspersoner. 

2.1.6  Förfarandet för tilldelning av personbeteckning och myndigheter som deltar i förfarandet

Största delen av personbeteckningarna tilldelas barn som föds i Finland, som får beteckningen på basis av anmälan från en verksamhetsenhet eller en yrkesutbildad person inom hälso- och sjukvården. Bestämmelser om anmälan av uppgift om barns födelse till befolkningsdatasystemet finns i 23 § i BDS-lagen. Anmälan görs endast om barn som fötts levande. Anmälningsskyldig är den verksamhetsenhet om hälso- och sjukvården där barnet fötts eller den läkare, barnmorska, hälsovårdare eller sjukskötare som biträtt modern vid födseln eller som fått uppgift om att barnet fötts. Nästan alla födelseanmälningar (99,5 %) görs direkt till befolkningsdatasystemet via ett gränssnitt eller på annat sätt elektroniskt från informationssystemet för verksamhetsenheten inom hälso- och sjukvården. Som svarsmeddelande får informationssystemet för verksamhetsenheten inom hälso- och sjukvården barnets personbeteckning. I övriga fall används en pappersblankett som sänds till Myndigheten för digitalisering och befolkningsdata eller Statens ämbetsverk på Åland för registrering. Elektronisk anmälan kräver tillstånd av Myndigheten för digitalisering och befolkningsdata.  

Om uppgifter om den moder som fött barnet inte registrerats i befolkningsdatasystemet, får inte heller barnet någon personbeteckning i samband med födelsen. I dessa fall är det ofta fråga om en utländsk person vars uppgifter registrerats i migrationsförvaltningens system, men vars uppgifter inte ännu registrerats i befolkningsdatasystemet. I informationssystemet för verksamhetsenheten inom hälso- och sjukvården används som identifikationskod för ett sådant barn en så kallad konstgjord beteckning som påminner om en personbeteckning. 

Utomlands födda barn som får finskt medborgarskap på basis av Finlands medborgarskapslagstiftning tilldelas en personbeteckning på basis av föräldrarnas anmälan. Anmälan, till vilken ska fogas en på vederbörligt sätt legaliserad födelseattest och vid behov en översättning, görs till Myndigheten för digitalisering och befolkningsdata, antingen direkt eller via en finsk utlandsbeskickning. Utomlands födda finska medborgare identifieras inte under registreringsprocessen, utan personbeteckningen tilldelas på basis av handlingar. 

Barn som adopteras till Finland från utlandet tilldelas en personbeteckning genom lite olika processer, beroende på det land där adoptionen sker. Även om huvudregeln är att barnet personligen ska besöka Myndigheten för digitalisering och befolkningsdata och identifieras med utgångspunkt i ett resedokument innan personbeteckning tilldelas, är man dock i fråga om vissa länder tvungen att tilldela ett adoptivbarn som fått finskt medborgarskap en personbeteckning endast på basis av handlingar. Detta gäller sådana fall där barnet inte tillåts resa till Finland utan finskt pass. Ett barn kan inte få finskt pass om det inte har en personbeteckning. 

Också en utlänning får en finsk personbeteckning när hans eller hennes uppgifter första gången registreras i befolkningsdatasystemet. Registreringar görs i Myndigheten för digitalisering och befolkningsdata, Migrationsverket och Skatteförvaltningen. I regel förutsätter registreringen av en utlänning i befolkningsdatasystemet att personen personligen besöker någon av dessa myndigheter. 

Migrationsverket registrerar uppgifter om en utländsk medborgare i befolkningsdatasystemet, när en sökande beviljas uppehållstillstånd eller uppehållskort eller personens uppehållsrätt registreras. Om en utländsk medborgares uppgifter inte har registrerats i befolkningsdatasystemet på basis av Migrationsverkets positiva beslut om uppehållsrätt gällande personen, ska den utländska medborgaren framställa en motiverad begäran om registrering av uppgifterna hos Myndigheten för digitalisering och befolkningsdata efter Migrationsverkets beslut och ankomsten till Finland. En utlänning som tillfälligt vistas i landet kan framställa en begäran om registrering av sina uppgifter hos Myndigheten för digitalisering och befolkningsdata eller Skatteförvaltningen. 

För registreringen ska man försäkra sig om identiteten hos den utländska medborgaren med hjälp av ett giltigt resedokument eller, om ett sådant saknas, med hjälp av en annan handling eller utredning i enlighet med det förfarande som föreskrivs i 19 §. Enligt 19 § 3 mom. i BDS-lagen kan som grund för den uppgift som ska registreras i befolkningsdatasystemet i stället för ett resedokument och en legaliserad handling också godkännas någon annan utredning, om personen inte kan få ett resedokument eller en legaliserad handling på grund av att säkerhetsläget eller situationen för de mänskliga rättigheterna är dålig i staten i fråga eller av något annat särskilt skäl. Till exempel för en person som beviljats internationellt skydd kan det vara särskilt riskfyllt att kontakta statliga myndigheter, varvid personens uppgifter i befolkningsdatasystemet kan grunda sig på någon annan utredning än uppgifterna i ett resedokument och legaliserade handlingar. Man försäkrar sig om identiteten i regel när den utländska medborgaren personligen besöker den myndighet som registrerar uppgifterna i befolkningsdatasystemet eller en finsk beskickning. 

Med stöd av 9 § 1 mom. 2 och 3 punkten kan man i vissa fall registrera en utländsk medborgares uppgifter i befolkningsdatasystemet också på basis av en begäran av en myndighet, utan personens samverkan. Den grundläggande förutsättningen för registreringar som initieras av en myndighet är att personen inte vistas i Finland och därför inte kan förutsättas ett personligt besök för registreringen. Sådana registreringar görs dock i allmänhet endast med de minimiuppgifter på basis av vilka en personbeteckning kan beviljas. En utlänning som registreras i befolkningsdatasystemet på en myndighets initiativ får inte hemkommun i Finland. 

En utlänning som ansöker om internationellt skydd ska ansöka om asyl hos polisen eller gränsbevakningsmyndigheten vid ankomsten till Finland eller så snabbt som möjligt efter ankomsten till landet. Asylsökande är ofta tvungna att vänta på Migrationsverkets beslut i fråga om sin ansökan om uppehållstillstånd i månader. Inklusive ändringssökande kan asylprocessen ta över ett år, ibland till och med längre. Den asylsökande vistas i Finland under hela den tid som behandlingen av asylansökan varar. Den asylsökandes uppgifter registreras i regel i befolkningsdatasystemet när den sökande beviljas asyl i Finland, uppehållstillstånd på basis av alternativt skydd eller uppehållstillstånd på någon annan grund. Den asylsökandes uppgifter kan i exceptionella fall registreras i befolkningsdatasystemet innan beslutet om uppehållstillstånd fattats, om man kan försäkra sig om den sökandes identitet med hjälp av ett giltigt resedokument i enlighet med 9 § 3 mom. i BDS-lagen och uppgifterna behöver registreras till exempel på grund av arbete eller studier. 

I regel ansöker man första gången om uppehållstillstånd för arbete, studier eller bedrivande av näringsverksamhet i Finland från utlandet. Det första uppehållstillståndet i Finland kan sökas i utlandet också på basis av familjeband. Utlänningen besöker i uppehållstillståndsärendet en finsk beskickning eller utrikesministeriets externa tjänsteleverantör. Migrationsverket fattar beslut i fråga om ansökan om uppehållstillstånd. Uppgifterna för en person som i utlandet ansöker om uppehållstillstånd för arbete, studier, bedrivande av näringsverksamhet eller familjeband kan registreras i befolkningsdatasystemet när personen får ett positivt beslut på sin ansökan om uppehållstillstånd, om man vid en finsk beskickning försäkrat sig om personens identitet för ansökan om uppehållstillstånd. Personen får då en personbeteckning. Tiden för behandling av ansökningar om uppehållstillstånd vid Migrationsverket varierar enligt typ av ansökan. Behandlingen tar vanligtvis några veckor, men kan som längst vara till och med ett knappt år. 

En utländsk medborgare som sköter ärenden i Finland innan ansökan om uppehållstillstånd lämnats in eller medan ansökan om uppehållstillstånd är anhängig har inte rätt att tilldelas personbeteckning. 

I undantagsfall kan en person ansöka om ett första uppehållstillstånd i Finland till exempel som make eller maka till en finsk medborgare. Hans eller hennes personuppgifter registreras i befolkningsdatasystemet på Migrationsverkets försorg när personen får uppehållstillstånd i Finland. Den maximala behandlingstiden för en finsk medborgares makes eller makas ansökan om uppehållstillstånd är nio månader. En person kan hos Myndigheten för digitalisering och befolkningsdata eller Skatteförvaltningen begära att hans eller hennes uppgifter registreras i befolkningsdatasystemet redan innan hans eller hennes uppgifter registreras i samband med ett positivt beslut om uppehållstillstånd, om han eller hon behöver en personbeteckning till exempel för arbete eller studier. I regel har medborgare i tredjeländer som vistas i Finland ett giltigt resedokument, på basis av vilket man kan försäkra sig om personens identitet på det sätt som avses i 9 § i BDS-lagen. 

Till Finland kan enligt 90 § i utlänningslagen och när villkoren enligt 92 § i utlänningslagen uppfylls inom en flyktingkvot tas emot personer som Förenta nationernas flyktingorganisation UNHCR anser vara flyktingar, eller andra utlänningar som är i behov av internationellt skydd som ska omplaceras. De personer som tas till Finland inom flyktingkvoten ansöker inte om internationellt skydd hos Migrationsverket, utan är personer utanför sitt hemland som UNHCR har fastställt vara flyktingar. Personer som föreslagits och godkänts som kvotflyktingar till Finland beviljas flyktingstatus och uppehållstillstånd i Finland i enlighet med 113 § i utlänningslagen medan de ännu vistas utomlands. En kvotflykting kan få en personbeteckning tidigast när han eller hon beviljas flyktingstatus och uppehållstillstånd i Finland.  

Statsrådet kan på basis av 93 § i utlänningslagen besluta att utlänningar ska tas till Finland på särskilda humanitära grunder eller för uppfyllande av internationella förpliktelser. Till exempel i augusti 2021 beslutade statsrådet på basis av 93 § i utlänningslagen att ta vid Finlands representation i Kabul lokalanställda personer och deras familjemedlemmar till Finland. Personer som tas till Finland på basis av 93 § i utlänningslagen ansöker inte om internationellt skydd hos Migrationsverket, utan Migrationsverket beviljar på basis av statsrådets beslut personerna uppehållstillstånd enligt 112 eller 113 § i utlänningslagen. En person som tagits till Finland på basis av 93 § i utlänningslagen kan i regel få en personbeteckning tidigast när han eller hon beviljas uppehållstillstånd i Finland.  

En unionsmedborgare eller en därmed jämförbar person får anlända till Finland utan tillstånds- eller anmälningsförfarande på förhand och kontinuerligt vistas i Finland tre månader innan han eller hon ska registrera sin uppehållsrätt hos Migrationsverket. Om unionsmedborgaren eller den därmed jämförbara personen inte under sin tidigare vistelse i Finland hos Myndigheten för digitalisering och befolkningsdata eller Skatteförvaltningen begärt att hans eller hennes uppgifter ska registreras i befolkningsdatasystemet, registreras personens uppgifter i befolkningsdatasystemet när Migrationsverket registrerar personens uppehållsrätt. Unionsmedborgare och därmed jämförbara personer har i allmänhet alltid ett giltigt resedokument. Personens uppgifter kan således på hans eller hennes begäran registreras i befolkningsdatasystemet så snart personen anlänt till Finland, om han eller hon behöver det till exempel på grund av arbete eller studier.  

Medborgare i ett annat nordiskt land får anlända till Finland utan tillstånds- eller anmälningsförfarande på förhand. Personen registrerar inte sin uppehållsrätt, utan meddelar om sin stadigvarande flytt till Myndigheten för digitalisering och befolkningsdata på basis av överenskommelsen mellan Danmark, Finland, Island, Norge och Sverige om folkbokföring (FördrS 95–96/2006). Medborgare i ett annat nordiskt land har i allmänhet ett giltigt resedokument. En medborgare i ett annat nordiskt land kan vid tillfällig vistelse be om registrering av sina personuppgifter i befolkningsdatasystemet hos Myndigheten för digitalisering och befolkningsdata eller Skatteförvaltningen så snart personen anlänt till Finland, om han eller hon behöver det till exempel på grund av arbete eller studier. 

Personuppgiftsansvariga för befolkningsdatasystemet är enligt BDS-lagen Myndigheten för digitalisering och befolkningsdata i Fastlandsfinland samt Statens ämbetsverk på Åland i landskapet Åland. Utöver de personuppgiftsansvariga registrerar även Migrationsverket och Skatteförvaltningen i samband med skötseln av sina uppgifter uppgifter i befolkningsdatasystemet. Utöver ovannämnda myndigheter kan Finlands beskickningar i utlandet ta emot utländska personers personuppgifter och handlingar för registrering i befolkningsdatasystemet. 

Myndigheten för digitalisering och befolkningsdata har i egenskap av personuppgiftsansvarig allmän behörighet i alla registreringsärenden som har samband med befolkningsdatasystemet. Myndigheten för digitalisering och befolkningsdata och Statens ämbetsverk på Åland ansvarar också för ändringar och rättelser av uppgifterna i befolkningsdatasystemet, inklusive ändring och rättelse av personbeteckningar. För registreringen av finska medborgares och i Finland födda barn i befolkningsdatasystemet ansvarar Myndigheten för digitalisering och befolkningsdata och Statens ämbetsverk på Åland. Också i ärenden som gäller registrering av utländska medborgare är Myndigheten för digitalisering och befolkningsdata alltid behörig, men registreringen kan på vissa villkor också göras av andra myndigheter. 

Migrationsverket får i befolkningsdatasystemet registrera sådana uppgifter om utländska medborgare som behövs för att dessa ska kunna tilldelas en personbeteckning samt övriga i 13 och 17 § i BDS-lagen avsedda nödvändiga uppgifter om utländska medborgare. Närmare bestämmelser om de uppgifter som ska registreras finns i 20 § i BDS-förordningen, enligt vilken Migrationsverket i befolkningsdatasystemet för en utländsk medborgare får registrera efternamn och förnamn, kön, personbeteckning, utländskt personnummer, modersmål, medborgarskap, yrke, adress utomlands, adress i Finland och datum då den tillfälliga vistelsen inleds och avslutas. Migrationsverket lämnar ut de uppgifter som registreras i dess informationssystem till befolkningsdatasystemet via ett tekniskt gränssnitt. Migrationsverket kan för närvarande endast registrera en utländsk medborgares uppgifter i befolkningsdatasystemet första gången, men verket kan inte rätta, ändra eller tillfoga en tidigare registrerad persons uppgifter i befolkningsdatasystemet. När det uppstår behov av uppdateringar anmäler Migrationsverket däremot om behovet av uppdatering till Myndigheten för digitalisering och befolkningsdata eller Statens ämbetsverk på Åland, som i egenskap av personuppgiftsansvariga, när förutsättningarna i lagen uppfylls, tillfogar, ändrar eller rättar de personuppgifter som registrerats i befolkningsdatasystemet. 

Migrationsverket kan med stöd av 22 § i BDS-lagen ta emot uppgifter som gäller utländska medborgare i situationer där en utländsk medborgare ansöker om uppehållstillstånd, uppehållskort, registrering av uppehållsrätt eller annat beslut eller annan registrering som påverkar personens uppehållsrätt i Finland. Uppgifterna om personen registreras i dessa situationer på tjänstens vägnar på basis av 9 § 1 mom. 1 punkten i BDS-lagen i befolkningsdatasystemet samtidigt som personen beviljas uppehållstillstånd eller uppehållskort, personens uppehållsrätt registreras eller när Migrationsverket fattar ett annat positivt beslut om personens uppehållsrätt. Migrationsverket registrerar årligen 13 000–17 000 utlänningars uppgifter i befolkningsdatasystemet. 

Också en finsk beskickning i utlandet kan på Migrationsverkets vägnar ta emot en persons personuppgifter och handlingar samt försäkra sig om personens identitet för registrering i befolkningsdatasystemet. Beskickningen registrerar dock inte själv uppgifterna i befolkningsdatasystemet, utan sänder de uppgifter och handlingar som den tagit emot av den utländska medborgaren till Migrationsverket. Vid den finska beskickningen kan en utländsk medborgare identifieras för registrering i befolkningsdatasystemet av en utsänd finsk tjänsteman eller en lokalanställd finsk eller utländsk medborgare i anställningsförhållande. 

Migrationsverket kan för närvarande inte registrera uppgifter om utländska medborgare i befolkningsdatasystemet i situationer där uppgifter som gäller uppehållstillstånd med stöd av 69 b § i utlänningslagen överförts till en annan Schengenstats beskickning eller en extern tjänsteleverantör och en finsk beskickning inte försäkrat sig om identiteten hos den som ansöker om uppehållstillstånd. Gällande bestämmelser om utläggning möjliggör endast utläggning av uppgifter i anslutning till behandling av uppgifter som gäller uppehållstillstånd, och det är inte möjligt att med stöd av utläggningen sköta uppgifter som gäller BDS-registrering. Genom utläggning till en annan Schengenstats beskickning eller en extern tjänsteleverantör får enligt 69 c § i utlänningslagen av uppgifter som gäller uppehållstillstånd ges mottagande av uppgifter och ansökningar, kontroll av sökandes identitet samt tagande och registrering av biometriska kännetecken. I en utläggningssituation är den som ansöker om uppehållstillstånd nödvändigtvis inte alls i kontakt med någon som hör till personalen vid en finsk beskickning, varvid den finska beskickningen inte försäkrar sig om den utländska medborgarens identitet. I dessa situationer registrerar Myndigheten för digitalisering och befolkningsdata, Statens ämbetsverk på Åland eller Skatteförvaltningen uppgifterna om den utländska medborgaren i befolkningsdatasystemet efter det att personen i fråga fått uppehållstillstånd och anlänt till Finland. 

Enligt 69 b § i utlänningslagen överförs uppgifter som gäller uppehållstillstånd i första hand till en annan Schengenstats beskickning. Endast om det inte är möjligt att överföra uppgifterna till en annan Schengenstats beskickning kan uppgifter överföras till en extern tjänsteleverantör. Utrikesministeriet har också erbjudit uppgifter som gäller uppehållstillstånd till andra Schengenstater, av vilka ingen har tagit emot dem. Av denna anledning har utrikesministeriet avtalat om utläggning av uppgifter som gäller uppehållstillstånd med bolaget VFS Global. På basis av avtalet med utrikesministeriet sköter den externa tjänsteleverantören för närvarande uppgifter som gäller uppehållstillstånd i elva stater. Den externa tjänsteleverantören började ta emot ansökningar om uppehållstillstånd i Ankara år 2017. Efter det har det öppnats fem nya serviceställen år 2018 och därefter två ställen årligen. År 2021 har den externa serviceleverantören börjat sköta uppgifter som gäller uppehållstillstånd i Kiev och St. Petersburg. Den externa serviceleverantören sköter en betydande andel av de ansökningar om uppehållstillstånd som anhängiggjorts i staterna i fråga och i synnerhet på orter med stor volym, till exempel över hälften av ansökningarna i Ankara. Före covid-19-pandemin skötte den externa tjänsteleverantören sammanlagt 5 963 ansökningar om uppehållstillstånd på åtta orter. Fram till utgången av maj 2022 hade den externa tjänsteleverantören tagit emot 6 484 ansökningar om uppehållstillstånd i elva stater.  

I enlighet med 69 c § 1 mom. 3 punkten i utlänningslagen lämnar den externa tjänsteleverantören mottagna ansökningar om uppehållstillstånd och uppgifter till den finska beskickningen. Uppgifterna och handlingarna lämnas till beskickningen dagen efter det att de tagits emot. Beskickningen kontrollerar alla resedokument, andra handlingar som använts för identifiering samt övriga handlingar, såsom födelseattest och vigselbevis i original. Utlänningslagens 69 d § berättigar den externa tjänsteleverantören att ta ut serviceavgift av dem som ansöker om uppehållstillstånd. Serviceavgiften ska vara skälig och stå i rätt proportion till kostnaderna och om dess belopp avtalas med utrikesministeriet. 

Skatteförvaltningens uppgifter när det gäller befolkningsdatasystemet motsvarar huvudsakligen ovan beskrivna Migrationsverkets uppgifter. Skatteförvaltningen kan på begäran av en utländsk person överlämna personens uppgifter till systemet i samband med skötsel av skatteärenden via ett tekniskt gränssnitt. Också Skatteförvaltningens uppgifter begränsar sig till den första registreringen av personer, och den kan inte rätta, ändra eller tillfoga tidigare registrerade personers uppgifter i befolkningsdatasystemet. När det uppstår behov av uppdateringar anmäler Skatteförvaltningen om behovet av uppdatering till Myndigheten för digitalisering och befolkningsdata eller Statens ämbetsverk på Åland, som i egenskap av personuppgiftsansvariga, när förutsättningarna i lagen uppfylls, tillfogar, ändrar eller rättar de personuppgifter som registrerats i befolkningsdatasystemet. Skatteförvaltningen får på basis av 20 § i BDS-förordningen i befolkningsdatasystemet får för en utländsk medborgare registrera efternamn och förnamn, kön, personbeteckning, utländskt personnummer, modersmål, medborgarskap, yrke, adress utomlands, adress i Finland och datum då den tillfälliga vistelsen inleds och avslutas. Skatteförvaltningen registrerar årligen cirka 20 000 utlänningars uppgifter i befolkningsdatasystemet. År 2020 registrerade Skatteförvaltningen uppgifter om under 10 000 utlänningar, sannolikt på grund av covid-19-pandemin och år 2021 uppgifter om sammanlagt 8 281 personer. 

BDS-lagens 22 § möjliggör utöver det som nämns ovan också för Folkpensionsanstaltens byråer att ta emot en begäran om registrering av en utländsk medborgare, om Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata kommit överens om det. Den möjlighet som bestämmelsen ger har dock inte utnyttjats under den nuvarande BDS-lagens giltighetstid, och Folkpensionsanstalten tar således inte i praktiken emot utlänningars begäranden om registrering. 

Personuppgiftsansvarig för befolkningsdatasystemet på Åland är Statens ämbetsverk på Åland. I praktiken stöder sig Statens ämbetsverk på Åland när den sköter uppgifterna som personuppgiftsansvarig i stor omfattning på Myndigheten för digitalisering och befolkningsdatas informationssystem och anvisningarna gällande dem när verket beslutar om en registeranteckning om tillfogande, ändring eller rättelse av uppgifter om en enskild person inom sitt verksamhetsområde i befolkningsdatasystemet. Till behörigheten för Statens ämbetsverk på Åland hör också registreringen av utlänningar som befinner sig på dess område och bestämmelserna om registrering i rikets lagstiftning tillämpas på Statens ämbetsverk på Åland inom dess verksamhetsområde. 

2.1.7  Kodsystem som kompletterar personbeteckningssystemet

En personbeteckning kan inte på ovan beskrivna sätt tilldelas alla, och man kan eller vill å andra sidan inte använda den i alla situationer. Flera organisationer har därför skapat sina egna identifieringskoder för specificering av personer som saknar personbeteckning. Konstgjorda beteckningar som påminner om personbeteckningar eller andra tillfälliga koder används inom både den offentliga och den privata sektorn för tillfällig specificering av sådana personer i informationssystem tills personen får en personbeteckning eller om personbeteckningen framgår först senare, om personen inte kan påvisa den i samband med uträttandet av sitt ärende. 

Sådana beteckningar som till sin utformning motsvarar personbeteckningar, vilkas slutdel börjar med siffran 9, kallas ofta konstgjorda beteckningar eller konstgjorda personbeteckningar. Nämnda beteckningar har uttryckligen reserverats för testbruk och konstgjorda beteckningar, och de tilldelas därför inte som egentliga personbeteckningar i befolkningsdatasystemet. Dessutom använder flera organisationer inom den offentliga och den privata sektorn sig av andra organisationsspecifika identifieringskoder. Identifieringskoderna varierar i fråga om utformning och struktur, men deras grundläggande syfte är detsamma personbeteckningens, det vill säga att entydigt specificera en viss person i organisationens verksamhet och informationssystem. 

Till de konstgjorda beteckningarna ansluter inte samma strikta unicitetskrav som i fråga om personbeteckningar. Olika personer kan i olika organisationers register ha samma konstgjorda beteckningar och en person kan samtidigt ha flera olika konstgjorda beteckningar. De konstgjorda beteckningarna kan eventuellt också återanvändas för olika personer inom samma organisation. I befolkningsdatasystemet tilldelas aldrig konstgjorda beteckningar. Det finns inget nationellt centraliserat register över konstgjorda beteckningar, utan myndigheterna skapar dem självständigt för sina egna system och de beteckningar som används i dem kan vara överlappande.  

Vissa reformer på senare tid har redan minskat på antalet personer utan personbeteckning, och därigenom på behovet av konstgjorda beteckningar. Sådana reformer har till exempel varit tilldelning av personnummer i samband med ett positivt uppehållsbeslut i Finland och tilldelning av skattenummer (1233/2011, RP 58/2011 rd, 145/2014, RP 195/2013 rd och 55/2019, RP 19/2018 rd) samt möjligheten för förlossningssjukhus att få en personbeteckning för ett barn genom en dataöverföringsanslutning i realtid. Fortfarande återstår dock en grupp personer som inte kan beviljas personbeteckning. Nedan beskrivs genom exempel vissa nuvarande system med konstgjorda beteckningar samt andra organisationsspecifika identifieringsbeteckningar. Exemplen är inte uttömmande, utan olika kodsystem används också i flera andra organisationer inom den offentliga och den privata sektorn. 

Arbetspensionsaktörerna behöver en konstgjord beteckning för att kunna försäkra en person som inte har en personbeteckning. Beteckningen är endast avsedd för arbetspensionssystemets interna bruk, och ges inte ut till de försäkrade eller arbetsgivarna. Den konstgjorda beteckningen skiljer sig från personbeteckningen så att beteckningens slutdel börjar med siffran 9. Beteckningen annulleras när personen får en riktig personbeteckning, varefter samma konstgjorda beteckning kan tas i bruk på nytt för en annan person. Ur befolkningsdatasystemet fås dagligen uppgifter om de personer som fått nya personbeteckningar, som man strävar efter att kombinera med de personer med konstgjord beteckning som ingår i Pensionsskyddscentralens register. I Pensionsskyddscentralens register finns cirka 100 000 konstgjorda beteckningar. 

Folkpensionsanstalten använder konstgjorda beteckningar för förmånstagares familjemedlemmar som inte bor i Finland, samt för papperslösa kunder som får direkt utkomstskydd. Konstgjorda beteckningar används vid FPA endast internt och de lämnas inte ut till utomstående. Den konstgjorda beteckningen ser till det yttre ut som en personbeteckning, men det första numret i dess slutdel är alltid 9. Dessutom används vid Folkpensionsanstalten för behandling av engångsersättningar konstgjorda engångsbeteckningar som påminner om personbeteckningar, där det i stället för ordningsnumret efter skiljetecknet används bokstäver. Folkpensionsanstalten får ur befolkningsdatasystemet dagligen de nya registrerade personernas officiella personbeteckningar, som man på basis av identifierade uppgifter försöker koppla samman med de konstgjorda beteckningarna. Vid FPA kopplas årligen cirka 16 000 konstgjorda beteckningar samman med de personbeteckningar som fås ur befolkningsdatasystemet. Sammankopplingen sker manuellt och nationellt centraliserat och kräver årligen resurser på cirka ett årsverke. Vid identifieringen och sammankopplingen används utöver uppgifterna i befolkningsdatasystemet FPA:s egen databas, uppgifter från internationellt informationsutbyte och uppgifterna i utlänningsregistret. Även om man kunnat koppla samman personer med konstgjorda beteckningar med en person med personbeteckning, kan ändrade personuppgifter från FPA inte uppdateras i befolkningsdatasystemet. 

Skatteförvaltningen använder konstgjorda beteckningar för personer som inte har en personbeteckning, som till exempel asylsökande. Den konstgjorda beteckningen skiljer sig från personbeteckningen på samma sätt som vid Pensionsskyddscentralen och Folkpensionsanstalten så, att beteckningens slutdel börjar med siffran 9. Personuppgifterna för den konstgjorda beteckningen fås från en passkopia eller från andra handlingar som man fått tillgång till. Uppgifterna om personer som registrerats i Skatteförvaltningens system med en konstgjord beteckning överförs senare på en riktig personbeteckning, när den fås ur befolkningsdatasystemet. Skattenummer ges även till personer som registrerats med en konstgjord beteckning. Skattenumret är en permanent beteckning, men det är möjligt att samma person registreras flera gånger, om man inte lyckas identifiera personen som en redan registrerad person. Samma person kan därför också ha flera skattenummer. På samma sätt som vid Pensionsskyddscentralen och Folkpensionsanstalten kopplas också personer som vid Skatteförvaltningen tilldelats en konstgjord beteckning samman med de personer med personbeteckning som fås ur befolkningsdatasystemet, om det kan säkerställas att det är fråga om samma person. Identifieringen och sammankopplingen görs av fyra tjänstemän på heltid och behandlingen har centraliserats nationellt. 

Inom social- och hälsovårdens system bildas en konstgjord beteckning för personer som inte vet eller som inte kan berätta om sin personbeteckning (bristfälliga språkkunskaper, ålder, skada, medvetslöshet eller motsvarande orsak), för tiden tills en personbeteckning fås i fråga om nyfödda samt för utlänningar som ännu inte har en personbeteckning. Numren är systemspecifika och uppgifter kan därför inte sammankopplas mellan organisationer. Administreringen av patientuppgifter försvåras när man övergår från en hälso- och sjukvårdsenhet till en annan, eftersom patientjournaler som specificerats med olika tillfälliga identifieringskoder inte på ett tillförlitligt sätt kan slås samman. Man kan inte operera endast med födelsedatum och namn, eftersom läkemedelsförskrivningar och andra journalhandlingar som upprättats med samma namn och födelsetid ur teknisk synpunkt är samma persons handlingar.  

FPA:s Kantatjänst fungerar endast med personbeteckning, och man kan inte använda konstgjorda beteckningar eller andra tillfälliga identifieringskoder till exempel för elektroniska läkemedelsrecept i Kantatjänsten. Om man inte känner till personbeteckningen, skrivs läkemedelsreceptet ut med namn och födelsedatum och kan ges till kunden endast i pappersform. När man får veta patientens personbeteckning, ändras uppgiften också i det system som används och överförs alla personens uppgifter som registrerats i systemet på den officiella personbeteckningen. Överföringen av uppgifterna på personbeteckningen sker dock inte automatiskt, utan förutsätter alltid manuellt arbete. Samtidigt makuleras de läkemedelsrecept som skrivits ut för personen och skrivs om på den nya personbeteckningen manuellt. Integrationen av de separata system som hänger samman med patientdatasystemen, till exempel informationssystemen för bilddiagnostik eller intensivvårdsavdelningen, har genomförts på annat sätt, varför uppgiften om sammankoppling av beteckningarna inte överförs automatiskt. Om sammankopplingen endast görs i patientdatasystemet, kan det fortfarande bli kvar uppgifter som registrerats under den konstgjorda beteckningen i ett separat system. Årligen tilldelas bara i Helsingfors och Nylands sjukvårdsdistrikt ungefär 25 000 konstgjorda beteckningar. 

Anordnarna av undervisning, utbildning eller småbarnspedagogik använder för specificering av elever och studerande i sina system den så kallade OID-koden och studentnummer. Studentnumret lämnas ut till personen själv och till de myndigheter som behöver det (till exempel Migrationsverket och FPA) och till privata aktörer (till exempel Helsingforsregionens trafik). En utländsk person får i praktiken först en OID-kod, som efter specificering ombildas till ett permanent studentnummer. I samband med specificeringen jämförs personens uppgifter med uppgifterna för personer som sedan tidigare finns i studentnummerregistret och befolkningsdatasystemet och kontrolleras om det finns motsvarigheter. Om det inte finns någon personbeteckning, får personen sitt studentnummer utan personbeteckning. När personen i ett senare skede får en personbeteckning, specificeras personen manuellt och får sitt slutliga permanenta studentnummer. Uppgifterna jämförs manuellt och en tjänsteman utreder i det enskilda fallet om det är fråga om en ny person eller om en dubbel registrering av samma person. Vid specificeringen utnyttjas också utländska personbeteckningar och e-postadresser.  

Studentnumren bildar ett studentnummerregister, om vilket föreskrivs i lagen om nationella studie- och examensregister (884/2017). Studentnumret tilldelas både personer med personbeteckning och personer utan personbeteckning och det används inom området vanligtvis i stället för personbeteckningen som den viktigaste identifieringskoden. I princip ska en person endast ha ett studentnummer, men en person som saknar personbeteckning kan i praktiken också få dubbla registeridentiteter till exempel i en situation där en person som saknar personbeteckning inte kommer in på den läroanstalt som han eller hon sökt till och söker på nytt följande år. Personens uppgifter kopplas då nödvändigtvis inte samman med det tidigare studentnumret, om uppgifterna avviker från varandra till exempel på grund av att skrivsättet för namnet ändrats eller namnet annars ändrats. Vid Utbildningsstyrelsen och högskolorna används betydande resurser för specificering av de sökande. De studerandes uppgifter jämförs manuellt och en tjänsteman beslutar i varje enskilt fall om det är fråga om en ny eller en tidigare registrerad person. I studentnummerregistret registreras årligen omkring 150 000 högskolesökande, varav cirka 20 000 personer är nya personer som saknar personbeteckning. 

I det utlänningsregister som Migrationsverket för används som primär beteckning registrets eget kundnummer, som alla registrerade har, även om de skulle sakna personbeteckning. När en person beviljas personbeteckning, kvarstår kundnumret som den primära beteckningen, men personbeteckningen tillfogas som tilläggsuppgift och personen kan hittas även med hjälp av den. 

2.2  Bedömning av nuläget

2.2.1  Förutsättningar för registrering av andra än finska medborgare

Syftet med personbeteckningen är i princip inte att skapa rättigheter eller skyldigheter för personen, men den har trots det faktisk betydelse inom många samhälleliga tjänster. Tilldelningen av en personbeteckning har i vissa situationer också faktiska rättsliga verkningar. Många av myndigheternas och den privata sektorns informationssystem bygger på att personer specificeras på basis av personbeteckningen. Utan personbeteckning kan uträttandet av ärenden i många fall vara svårt, långsamt och ibland till och med omöjligt. Avsaknaden av personbeteckning medför utmaningar vanligtvis både för personen själv och för de organisationer hos vilka personen uträttar ärenden. 

Personuppgifterna hos en person som saknar personbeteckning kan inte sökas eller säkerställas ur befolkningsdatasystemet, varför personen vanligtvis är tvungen att meddela alla sina uppgifter separat till alla myndigheter och företag som personen uträttar ärenden hos i Finland. Myndigheternas informationssystem och processer har ofta också skapats för att fungera på basis av personbeteckningen. I praktiken kan det vara svårare att till exempel öppna ett bankkonto eller teckna vissa försäkringar utan personbeteckning. Tilldelning av ett i 1 § 2 mom. i lagen om identitetskort avsett identitetskort för utlänningar förutsätter enligt 13 § i den lagen att personens uppgifter har registrerats i befolkningsdatasystemet, varvid personen också ska ha en personbeteckning. Likaså förutsätter erhållande av ett identifieringsverktyg enligt lagen om stark autentisering och betrodda elektroniska tjänster (617/2009, nedan autentiseringslagen) en personbeteckning. 

Personer som sökt internationellt skydd som vistas i Finland, det vill säga asylsökande, utgör i praktiken en betydande grupp personer som saknar personbeteckning i Finland. Den asylsökandes uppgifter registreras i regel i befolkningsdatasystemet först när den sökande beviljas asyl i Finland, uppehållstillstånd på basis av alternativt skydd eller uppehållstillstånd på någon annan grund. Om en person inte kan få ett resedokument av den stat där han eller hon är medborgare till exempel på grund av att personen inte kan förutsättas vända sig till en myndighet i den staten, kan personens uppgifter registreras i befolkningsdatasystemet också på basis av annan utredning. Den asylsökandes uppgifter kan i exceptionella fall registreras i befolkningsdatasystemet innan beslutet om uppehållstillstånd fattats, om man kan försäkra sig om den sökandes identitet med hjälp av ett giltigt resedokument i enlighet med 9 § 3 mom. i BDS-lagen och uppgifterna behöver registreras till exempel på grund av arbete eller studier.  

Asylsökande är ofta tvungna att vänta på beslut i fråga om sin ansökan om uppehållstillstånd i månader. Inklusive ändringssökande kan asylprocessen ta över ett år, ibland till och med längre. Den asylsökande vistas i Finland under hela den tid som behandlingen av asylansökan varar. Den asylsökandes hälso- och sjukvårdstjänster sköts av flyktingförläggningen, men han eller hon kan få till exempel specialsjukvård av sjukvårdsdistriktet och brådskande medicinsk vård vid kommunens hälsocentral. Den asylsökandes barn deltar till exempel i den grundläggande utbildning som kommunen anordnar. Eftersom asylsökande eller deras barn i regel inte har en personbeteckning, specificeras de till exempel i Migrationsverkets, flyktingförläggningarnas, kommunens och sjukvårdsdistriktets informationssystem på annat sätt, som till exempel med konstgjorda personbeteckningar eller kundnummer. När en person inte specificeras med personbeteckning, kan han eller hon inte i alla situationer på ett tillförlitligt sätt specificeras mellan informationssystem. I dessa situationer förutsätter en sammanslagning av uppgifterna i olika informationssystem manuellt utredningarbete från de personuppgiftsansvarigas sida. En sammanslagning av uppgifter utan personbeteckning medför också alltid en betydligt större risk för fel än automatiserad behandling av uppgifterna. En person kan också bli tvungen att till olika aktörer själv anmäla uppgifter som med personbeteckningen hade kunnat fås direkt åtminstone mellan myndigheter. En person kan på grund av avsaknad personbeteckning i värsta fall vara registrerad flera gånger i samma aktörs informationssystem. 

Avsaknaden av personbeteckning försvårar ofta också integreringen i Finland för personer som kommer till landet på grund av arbete eller studier. För att fullt ut kunna verka i det finländska samhället behöver en person i princip en finsk personbeteckning. Avsaknaden av personbeteckning kan göra det svårare att till exempel öppna ett bankkonto, ingå hyresavtal, grunda företag samt uträtta skatte- och andra myndighetsärenden. Framför allt inom e-tjänster är personbeteckningen och de tillförlitliga personuppgifter som knutits till den i nyckelställning och elektroniska förfaranden förhindras oftast helt om personbeteckning saknas. En person som inte har en personbeteckning har inte heller möjlighet att få ett mobilcertifikat eller det medborgarcertifikat som ingår i identitetskortet. I praktiken kan de utmaningar som beskrivits till exempel innebära att en utlänning som saknar personbeteckning inte kan uträtta sina ärenden elektroniskt eller per telefon, utan är tvungen att fysiskt besöka olika organisationer. Detta är oftast i praktiken omöjligt, i synnerhet från utlandet före ankomsten till Finland. 

Inom hälso- och sjukvården kan olika fel som orsakas av manuell behandling av personuppgifter och två eller flera registeridentiteter hos samma person i värsta fall leda till att patient- och läkemedelssäkerheten äventyras. För en person kan i olika och ibland till och med i samma verksamhetsenhet inom hälso- och sjukvården skapas flera parallella registeridentiteter, mellan vilka hans eller hennes uppgifter inte sammankopplas. Personens vård- eller läkemedelshistoria förmedlas då inte till den vårdande läkaren eller andra yrkesutbildade personer inom hälso- och sjukvården. Inte heller de elektroniska recepten fungerar utan personbeteckning. 

Vid de organisationer som i sin verksamhet utnyttjar personbeteckningar tar sig avsaknaden av personbeteckning i praktiken uttryck i ett särskilt behov att upprätthålla olika system med konstgjorda beteckningar, som behandlats närmare ovan i avsnitt 2.1.7. Systemen med konstgjorda beteckningar grundar sig på att organisationen själv tilldelar en person som saknar personbeteckning en specificerande kod som därefter används i organisationens verksamhet på samma sätt som en personbeteckning. Eftersom de konstgjorda beteckningarna emellertid är organisationsspecifika, kan man med hjälp av dem i allmänhet inte utbyta information mellan organisationer. 

Behandlingen av konstgjorda beteckningar förutsätter i praktiken alltid parallella system, vilket orsakar såväl kostnader som manuellt arbete. Uppgifterna om en person som saknar personbeteckning kan inte sökas eller verifieras i befolkningsdatasystemet, utan man är tvungen att mata in dem i varje tjänst manuellt. Manuella förfaranden av detta slag är i praktiken betydligt mer utsatta för fel än automatiserad sökning av personuppgifter i befolkningsdatasystemet. Utredningen och rättelserna av fel orsakar arbete och kostnader för organisationen. I system med konstgjorda beteckningar är det dessutom i praktiken svårt att undvika att registrera samma person två eller flera gånger i samma organisations system. Detta leder i praktiken till att personens uppgifter och tidigare ärenden inte sammanslås till en helhet. Utredningen av dubbla och flerdubbla registreringar och arbetet för att sammanslå uppgifterna måste i allmänhet göras manuellt, vilket orsakar manuellt arbete och kostnader.  

Användningen av en konstgjord beteckning som specificerande kod för en person är ofta tillfälligt. Till exempel för asylsökande är man tvungen att skapa flera tillfälliga konstgjorda beteckningar i olika organisationers informationssystem, varifrån uppgifterna ska kombineras med den rätta personbeteckningen efter det att personen tilldelats en sådan i befolkningsdatasystemet. Också i detta skede måste sammanslagningen av uppgifter i allmänhet göras manuellt och förfarandet innehåller en betydligt större risk för fel än automatiserade förfaranden. Vanligtvis har man innan personbeteckningen tilldelas redan hunnit skapa konstgjorda beteckningar i flera olika organisationer och informationssystem, varifrån det efter det att personbeteckningen tilldelats kan vara omöjligt att sammanslå uppgifterna på ett tillförlitligt sätt. Personen kan ha flera registeridentiteter till exempel vid pensionsanstalter, producenter av social- och hälsovårdstjänster och Skatteförvaltningen, och även om personen senare får en äkta personbeteckning är det nödvändigtvis inte möjligt att senare koppla uppgifterna i de olika systemen till samma person på ett tillförlitligt sätt. 

Också Statistikcentralen har identifierat problem med statistikföringen som beror på bristfällig registrering av utländsk arbetskraft. Personer som anländer från utlandet genom en viseringsprocess via beskickningarna för att studera eller arbeta för en längre tid samt för behovsanställning statistikförs inte på grund av avsaknaden av personbeteckning. Personer som saknar personbeteckning syns inte i statistiken, eftersom Statistikcentralen får sitt material direkt ur befolkningsdatasystemet. Statistikcentralen ska sända statistik över den befolkning som är stadigvarande bosatt i Finland till Europeiska kommissionens statistikbyrå Eurostat. Nuvarande registeruppgifter och registerpraxis i Finland är enligt Statistikcentralen inte tillräckliga för att producera information enligt begreppet totalbefolkning. 

2.2.2  Myndigheternas uppgifter och externa tjänsteleverantörers ställning

Migrationsverket och Skatteförvaltningen kan för närvarande registrera de grundläggande uppgifterna om utländska medborgare första gången i befolkningsdatasystemet, varvid den utländska medborgaren får en personbeteckning. Migrationsverket och Skatteförvaltningen kan dock inte ändra en utländsk medborgares uppgifter i befolkningsdatasystemet eller lägga till saknade uppgifter i systemet. När en utländsk medborgare begärt att Migrationsverket eller Skatteförvaltningen ska ändra personens uppgifter eller lägga till saknade uppgifter i befolkningsdatasystemet, har myndigheterna antingen hänvisat personen till Myndigheten för digitaliseringen eller befolkningsdata eller förmedlat begäran till Myndigheten för digitalisering och befolkningsdata för behandling. Den utländska medborgaren har kunnat begära att tidigare registrerade uppgifter ska ändras eller saknade uppgifter läggas till av Myndigheten för digitalisering och befolkningsdata antingen separat eller när personen besökt myndigheten till exempel för att få en hemkommun eller för att lägga till uppgifter om familjeförhållanden och vårdnad i befolkningsdatasystemet. Ändring och tillfogande av en utländsk medborgares uppgifter har således kunnat skötas på andra sätt än genom att ge Migrationsverket och Skatteförvaltningen i uppgift att ändra eller lägga till uppgifter i befolkningsdatasystemet. 

Ovannämnda uppgiftsfördelning har i nuläget i regel upplevts fungera. Om förutsättningarna och förfarandena för registrering av utlänningar dock revideras på det sätt som föreslås i denna proposition, leder hänvisande av alla begäranden om ändring och tillfogande av uppgifter i befolkningsdatasystemet till Myndigheten för digitalisering och befolkningsdata och Statens ämbetsverk på Åland oundvikligen till förfaranden med onödigt många skeden. En mer omfattande registrering av utlänningar i befolkningsdatasystemet leder oundvikligen till att behovet av att ändra eller lägga till uppgifter i befolkningsdatasystemet oftare än för närvarande blir aktuellt i samband med uträttande av ärenden vid Migrationsverket eller Skatteförvaltningen. Vanligtvis uppstår behovet att lägga till eller ändra uppgifter när en utlänning som ursprungligen registrerat sina uppgifter genom förfarandet för distansregistrering första gången personligen uträttar sina ärenden vid en finsk utlandsbeskickning, en extern tjänsteleverantör, Migrationsverket eller Skatteförvaltningen. Också möjligheten att registrera uppgifter om en utlänning som sökt internationellt skydd i befolkningsdatasystemet leder vanligtvis till situationer där det i samband med behandlingen av ansökan om asyl uppstår ett behov av att ändra tidigare registrerade uppgifter eller att lägga till uppgifter. Det mest ändamålsenliga vore att uppdateringen av uppgifterna i befolkningsdatasystemet då kunde skötas samtidigt. Det att Migrationsverket och Skatteförvaltningen får börja uppdatera uppgifter bidrar också till att uppgifterna i befolkningsdatasystemet är aktuella. 

Folkpensionsanstalten tog innan den nuvarande lagen trädde i kraft under några år emot utländska medborgares registreringsbegäranden på basis av ett motsvarande avtalsarrangemang som i den nuvarande regleringen (22 § 1 mom. i BDS-lagen). Antalet begäranden om registrering som togs emot förblev litet, varför arrangemanget slopades. Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata eller dess föregångare har inte under den nuvarande BDS-lagens giltighetstid, det vill säga efter 2010, avtalat om mottagande av utländska medborgares begäranden om registrering vid Folkpensionsanstalten. Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata har konstaterat att det inte för närvarande eller inom den närmaste framtiden finns något behov av att ta emot begäranden om registrering vid Folkpensionsanstalten med beaktande av förutsättningarna för registrering av utländska medborgare i befolkningsdatasystemet enligt nuvarande lagstiftning samt olika myndigheters uppgifter. I praktiken har bestämmelsen om Folkpensionsanstaltens uppgifter således visat sig vara obehövlig. 

Utrikesministeriet har försökt trygga verksamhetsförutsättningarna för Finlands utlandsbeskickningar och upprätthålla tillgången och nivån på tjänster för dem som ansöker om uppehållstillstånd genom att på basis av 69 b § i utlänningslagen lägga ut uppgifter som gäller uppehållstillstånd på externa tjänsteleverantörer. Efter att ha behandlat beskickningens begäran om utläggning av uppgifter som gäller uppehållstillstånd begär utrikesministeriet i enlighet med 69 b § i utlänningslagen om utlåtande om begäran av inrikesministeriet. Efter att ha fått inrikesministeriets utlåtande bedömer utrikesministeriet, Migrationsverket och den berörda beskickningen de statsspecifika riskerna för irreguljär, regelvidrig inresa, det vill säga enligt terminologin i visumbestämmelserna olovlig inresa, på basis av uppgifter som fåtts till exempel av skyddspolisen, polisen och Gränsbevakningsväsendet. För olika ansökargrupper kommer man till exempel enligt stat, medborgarskap och den handling som används för kontroll av identiteten på basis av en riskbedömning överens om riskprofiler och ansökningsprocesser i enlighet med dem. Den externa tjänsteleverantören kan ta emot ansökningar om uppehållstillstånd av olika ansökargrupper, men på basis av riskbedömningen försäkrar sig utöver den externa tjänsteleverantören även beskickningen om vissa ansökarprofilers identitet. Även om den externa tjänsteleverantören i enlighet med de avtalade avgränsningarna kan kontrollera identiteten hos en sökande som innehar ett resedokument som godkänns av Finland, kan även en del av de sökande som innehar ett resedokument i enlighet med riskprofilerna i enlighet med 69 c § 2 mom. i utlänningslagen hänvisas till fastställande av identiteten som görs av en tjänsteman vid beskickningen. Riskbedömningarna av ansökarprofilerna kan också förändras, varvid de ansökargrupper som omfattas av kontroll av identiteten som endast utförs av den externa tjänsteleverantören ändras. 

För att säkerställa tillförlitligheten för personuppgifterna i befolkningsdatasystemet ska man redan innan uppgifterna första gången registreras i befolkningsdatasystemet försäkra sig om personens identitet. Den externa tjänsteleverantören kan redan för närvarande kontrollera identiteten hos den som ansöker om uppehållstillstånd på de orter, där utrikesministeriet har avtalat om utläggning av uppgifter som gäller uppehållstillstånd med bolaget VFS Global. För villkoren för utläggning av uppgifter som gäller uppehållstillstånd redogörs i 69 e § i utlänningslagen. Sådana villkor är bland annat att de personer som ansvarar för verksamheten och de anställda har konstaterats vara tillförlitliga och utbildade att sköta uppgifter som avses i 69 c §. I bestämmelsen om villkor förutsätts också iakttagande av en effektiv datasäkerhet och utrikesministeriets anvisningar. Bestämmelsen innehåller också närmare datasäkerhetskrav vid överföring och bevarande av personuppgifter. 

Utvidgandet av utläggningslösningarna och inriktandet av dem på områden där ansökningsvolymen är stor har inneburit att allt fler personer som ansöker om uppehållstillstånd från utlandet av orsaker som inte beror på den sökande hamnat i en situation, där personens uppgifter i samband med ett positivt beslut om uppehållstillstånd inte har kunnat registreras i befolkningsdatasystemet. När personen i sitt ärende som gäller uppehållstillstånd endast har varit i kontakt med den externa tjänsteleverantören, har han eller hon efter ankomsten till Finland varit tvungen att begära registrering av sina uppgifter i befolkningsdatasystemet genom att ta kontakt med Skatteförvaltningen, Myndigheten för digitalisering och befolkningsdata eller Statens ämbetsverk på Åland. 

För att underlätta ankomsten till och etableringen i Finland samt för att minska den administrativa bördan för personen är det ändamålsenligt att möjliggöra registrering i befolkningsdatasystemet för alla utländska medborgare som ansöker om uppehållstillstånd från utlandet, oberoende av om de uträttar sina ärenden vid en finsk beskickning, en annan Schengenstats beskickning eller en extern tjänsteleverantör. Också säkerställandet av en jämlik behandling av personer talar för ett slopande av kravet enligt vilket uppgifterna om den sökande kan registreras i befolkningsdatasystemet endast om en finsk beskickning försäkrat sig om den sökandes identitet. I samband med utläggningen av uppgifter som gäller uppehållstillstånd har man skapat kvalitetssäkringsmetoder som baserar sig på avtal, avgränsning av uppgifter, samarbete och övervakning, med vilka man kan försäkra sig om att en kontroll av identiteten som utförts av en annan Schengenstats beskickning eller en extern tjänsteleverantör är tillräcklig för säkerställande av avgränsade ansökargruppers identitet inom processen för uppehållstillstånd. Dessa kvalitetssäkringsmetoder är tillräckliga också för att uppfylla kraven på säkerställande av identiteten som utgör en förutsättning för registrering av personuppgifter i befolkningsdatasystemet i sådana situationer, där en annan Schengenstats beskickning eller en extern tjänsteleverantör kontrollerar identiteten på basis av ett giltigt resedokument. Det finns inga grunder för att för registrering i befolkningsdatasystemet fastställa från ansökan om uppehållstillstånd avvikande förutsättningar för säkerställande av identiteten. 

2.2.3  Förfarandena för registrering i befolkningsdatasystemet

Registreringen av en utländsk person i befolkningsdatasystemet förutsätter för närvarande i regel ett fysiskt besök hos en myndighet, vilket i princip också kan anses vara motiverat. Uppgifterna i befolkningsdatasystemet används i stor utsträckning i samhället, och deras kvalitet och tillförlitlighet har därför en särskilt stor betydelse. I praktiken leder de nuvarande förfarandena dock till att det ofta är svårt och till och med i praktiken omöjligt att fä en finsk personbeteckning från utlandet före ankomsten till Finland. Framför allt utlänningar som flyttar till Finland för arbete eller studier har ofta ett behov av att få en personbeteckning redan innan de anländer till Finland. Likaså kan också en person som till exempel övergår till att arbeta vid ett finländskt företag från utlandet utan att personen fysiskt flyttar till Finland ha behov av en personbeteckning. 

2.2.4  Kvaliteten på uppgifterna i befolkningsdatasystemet och identitetshanteringen inom systemet

Befolkningsdatasystemets uppgifter har direkt med stöd av lag status av offentlig tillförlitlighet, vilket innebär att staten garanterar riktigheten hos de uppgifter som registrerats i befolkningsdatasystemet. Uppgifterna i befolkningsdatasystemet har också i praktiken mycket stor betydelse i det finländska samhället och de utnyttjas i stor utsträckning såväl inom den privata som den offentliga sektorn. Till exempel när identitetskort beviljas kontrollerar den myndighet som behandlar ansökan om identitetskort enligt 13 § i lagen om identitetskort sökandens personuppgifter i befolkningsdatasystemet innan identitetskortet utfärdas. Vid ansökan om identitetskort för utlänningar ska personuppgifterna dessutom kontrolleras i det ärendehanteringssystem för utlänningsärenden som avses i lagen om behandling av personuppgifter i migrationsförvaltningen (615/2020). Sökandens personuppgifter antecknas alltid i identitetskortet i enlighet med uppgifterna i befolkningsdatasystemet. 

I regel ska man före registreringen försäkra sig om den utländska medborgarens identitet med hjälp av tillförlitliga handlingar. Enligt 19 § 3 mom. i BDS-lagen kan som grund för den uppgift som ska registreras i befolkningsdatasystemet också godkännas någon annan tillförlitlig utredning, om personen i fråga inte kan uppvisa pass och andra handlingar. Med stöd av 9 § 1 mom. 2 och 3 punkten i BDS-lagen kan man i vissa fall registrera en utländsk medborgares uppgifter i befolkningsdatasystemet också på basis av en begäran av en myndighet, helt utan personens medverkan. I befolkningsdatasystemet finns också uppgifter om sådana personer som beviljas personbeteckning först efter en lång tid, varvid de gamla uppgifterna nödvändigtvis inte kan kopplas till en identitet med personbeteckning. Det är också möjligt att samma person har flera registeridentiteter i befolkningsdatasystemet. 

I praktiken registreras i befolkningsdatasystemet på ovan beskrivna sätt personuppgifter på basis av mycket varierande grunder och utredningar som ligger till grund för registreringen. Kvaliteten på uppgifterna i systemet kan i sig som helhet anses som god, men alla uppgifter i systemet kan dock inte till exempel verifieras med offentliga handlingar. Det kan i viss utsträckning anses vara ett problem att befolkningsdatasystemet för närvarande inte innehåller någon bakgrundsinformation till på vilket sätt personen identifierats för registrering i systemet eller om personens uppgifter kunnat verifieras ur offentliga handlingar. När uppgifterna registrerats finns det således i befolkningsdatasystemet ingen möjlighet att särskilja mellan personer som identifierats på olika sätt eller uppgifter som fåtts ur olika källor. Detta kan leda till att samma person registreras dubbelt i befolkningsdatasystemet. 

2.2.5  Personbeteckningens struktur och datainnehåll

Av personbeteckningen framgår personens födelsetid med en dags noggrannhet samt personens juridiska kön. Ingendera av dessa uppgifter behövs för personbeteckningens egentliga användningsändamål, en entydig specificering av personen. 

I artikel 5 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (nedan den allmänna dataskyddsförordningen) föreskrivs om de allmänna principerna för behandling av personuppgifter. Enligt den så kallade principen om uppgiftsminimering i artikel 5.1 c ska personuppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Behandlingen av personuppgifter ska således endast begränsas till de uppgifter vilkas behandling är behövlig med avseende på personuppgifternas fastställda användningsändamål, och personuppgifter får inte samlas in eller behandlas i större utsträckning än vad som är behövligt med tanke på ändamålet. 

Principen om uppgiftsminimering kan för närvarande inte tillämpas fullt ut vad gäller uppgiften om ålder och kön. På grund av personbeteckningens struktur får varje person och organisation som behandlar personbeteckningen samtidigt också veta personens ålder och juridiska kön, oberoende av om det finns behov av att behandla dessa uppgifter. I praktiken finns det i samhället mycket få sådana situationer för uträttande av ärenden där det samtidigt är behövligt att veta såväl en persons juridiska kön som personens ålder, varför personbeteckningens struktur orsakar mycket omfattande onödig användning av personuppgifter. Uppgiften om ålder kan alltid läsas ur personbeteckningen med en dags noggrannhet, även om det ofta endast finns behov av att veta om personen är myndig och inte den exakta födelsetiden. 

En onödigt omfattande behandling av uppgiften om kön kan utsätta en person för diskriminering bland annat vid arbetsansökningar eller motsvarande situationer. Uppgiften om kön i personbeteckningen kan också i onödan försvåra livet till exempel för sådana personer, vilkas utseende eller upplevelse om sig själva inte motsvarar det juridiska könet. Även om det efter fastställandet av könet är möjligt att byta personbeteckning så att den motsvarar det fastställda könet, kan gamla skol-, studie- och arbetsbetyg eller andra handlingar innehålla den tidigare personbeteckningen och således avslöja uppgiften om fastställande av könstillhörighet, som omfattas av skyddet för privatlivet. Byte av dessa handlingar och uppgifter orsakar dessutom både kostnader och administrativa förfaranden. 

Personbeteckningens koppling till könstillhörigheten har tagits upp i den utredning om könsminoriteternas ställning som jämställdhetsombudsmannens byrå utarbetade år 2012 (Tasa-arvovaltuutetun toimisto: Selvitys sukupuolivähemmistöjen asemasta. Tasa-arvojulkaisuja 2012:1). Enligt utredningen försvårar den könsbundna personbeteckningen tidvis transpersoners vardagsliv, om personens yttre inte är kompatibelt med personens personuppgifter. Ett barn som föds som interkönat kan för sin del tilldelas en personbeteckning först när en läkare har fastställt barnets kön. Också den arbetsgrupp som justitieministeriet tillsatt för utredande av tillgodoseendet av sexuella minoriteters och könsminoriteters grundläggande och mänskliga rättigheter i Finland föreslog i sin slutrapport att personbeteckningen skulle förnyas så att könet inte påverkar beteckningens innehåll (Justitieministeriets utredningar och anvisningar 34/2014). Den riksomfattande etiska delegationen inom social- och hälsovården (ETENE) har i sitt ställningstagande om interkönade barn uppmuntrat till diskussion om personbeteckningens könsbundenhet (Den riksomfattande etiska delegationen inom social- och hälsovården ETENE:s ställningstagande "Vård av interkönade barn" 22.3.2016 (STM105:00/2014)). Enligt ställningstagandet är det problematiskt att ett barn i befolkningsdatasystemet måste definieras som flicka eller pojke redan under sina första levnadsveckor. Trots att lagstiftningen i allmänhet är ganska jämlik är personbeteckningen fortfarande indelad enligt kön. Om barnet utvecklas i en annan riktning än vad som fastställdes vid födseln, blir man tvungen att ändra personbeteckningen i befolkningsdatasystemet. 

På motsvarande sätt som könet kan också den uppgift om födelsetid som ingår i personbeteckningen utsätta en person för diskriminering. Särskilt problematisk är användningen av ålder i personbeteckningen för personer som kommer till Finland från sådana länder där den exakta födelsetiden inte registreras eller som inte har möjlighet att få identitetshandlingar av sitt ursprungslands myndigheter. Eftersom personbeteckningen förutsätter att åldern antecknas exakt är man tvungen att i Finland på konstgjord väg fastställa en exakt födelsetid för dessa personer. Kravet på exakt födelsetid leder ofta också till att beteckningen korrigeras, om uppgiften i handlingarna har varit felaktig eller den födelsetid som ursprungligen registrerats utan någon utredning baserad på handlingar senare kan ersättas med en födelsetid som framgår ur handlingar. På grund av att personbeteckningen används så omfattande innebär detta också att handlingar som visar identiteten ändras. 

2.2.6  Regleringen av användningen av personbeteckningen och dess användningssätt i samhället

Bestämmelser om behandlingen av personbeteckningar ingick för första gången i en allmän lag i den personuppgiftslag (523/1999) som trädde i kraft den 1 juni 1999. Regleringsbehovet orsakades av Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, där det förutsattes att medlemsstaterna ska bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Regleringsbehovet byggde dessutom på dataombudsmannens och dataskyddsnämndens praxis gällande användningen av personbeteckningen och antecknandet av den i handlingar. Personuppgiftslagen har sedermera upphävts genom dataskyddslagen, genom vilken man nationellt preciserar och kompletterar EU:s allmänna dataskyddsförordning. När dataskyddslagen stiftades kvarstod bestämmelserna om behandling av personbeteckningen i sin tidigare form. 

Utgångspunkten för behandlingen av personbeteckningen har varit att avgränsa behandlingen endast till sådana situationer där en entydig specificering av en person är viktig för utförande av en uppgift som nämns i bestämmelsen. I förarbetena till 29 § i dataskyddslagen konstateras uttryckligen att inte enbart det faktum att en lagstadgad uppgift skulle kunna utföras lättare eller snabbare med hjälp av personbeteckningen berättigar till behandling av personbeteckningen, utan behandlingen är tillåten endast när det är viktigt att entydigt specificera den registrerade för att utföra uppgiften (RP 9/2018 rd, s. 116). I förarbetena till den gällande 29 § i dataskyddslagen har det finska begreppet ”yksilöiminen” översatts med ”identifiering”. Av konsekvensskäl används i denna proposition ”specificering” som översättning av begreppet ”yksilöiminen”. 

Personbeteckningen har inte föreskrivits vara en egentlig sekretessbelagd uppgift, och den är inte heller en sådan uppgift som hör till de särskilda kategorier av personuppgifter som avses i artikel 9 i den allmänna dataskyddsförordningen. Personbeteckningen har ändå av hävd i samhället behandlats som en uppgift som ska skyddas, vars behandling, antecknande i handlingar och offentliggörande bör undvikas. Beskrivande för förhållandet till personbeteckningen är bland annat att bestämmelserna om personbeteckningen i personuppgiftslagen placerats i samband med bestämmelserna om behandling av känsliga uppgifter.  

Bestämmelserna om behandling av personbeteckningen och det faktiska skyddandet av beteckningen har de facto också lett till vissa icke-önskade följder. Personbeteckningen används relativt ofta inom samhällets olika tjänster som en uppgift av samma typ som ett lösenord, med hjälp av vilken man identifierar den person som uträttar ärenden. Vanligtvis ber man till exempel i samband med besök för uträttande av ärenden om personens personbeteckning eller dess slutdel. Likaså är det typiskt att vid skötsel av ärenden över telefon identifiera kunden genom att fråga om personens personbeteckning eller dess slutdel och andra motsvarande personuppgifter. Användningen av personbeteckningen på samma sätt som ett lösenord baserar sig på antagandet att utomstående inte känner till beteckningen och att det att man känner till beteckningen således verifierar personens identitet. I själva verket känner dock nästan alltid också andra personer till personbeteckningen, varför beteckningarna kan användas som redskap vid identitetsstölder. Det beskrivna användningssättet betonar ytterligare behovet att genom att skydda beteckningen förebygga att personbeteckningarna hamnar i fel händer. 

I praktiken är det dock mycket svårt att skydda personbeteckningen. Personbeteckningen frågas ofta i samband med uträttande av ärenden och den antecknas i mycket stor utsträckning i olika avtal och blanketter samt registreras i informationssystem. Beteckningen används och sprids således i stor utsträckning i samhället och den kan trots skyddsåtgärder hamna i fel händer till exempel i samband med dataintrång. Till exempel i samband med dataintrånget i Vastaamo slutet av 2020 stals tiotusentals personbeteckningar och andra personuppgifter. Skyddandet av beteckningen kan å andra sidan förhindra att den används vid sådana funktioner där en specificerande kod behövs. På grund av 29 § i dataskyddslagen, som begränsar de ändamål för vilka personbeteckningar får användas, använder flera organisationer i sin verksamhet konstgjorda beteckningar också för personer med en finsk personbeteckning. 

Målsättning

Syftet med propositionen är för det första att möjliggöra registrering av utländska personer i befolkningsdatasystemet i ett tidigare skede och i en mer omfattande utsträckning än för närvarande. Målet är således att underlätta för utländska personer att sköta sina ärenden i Finland med hjälp av en finsk personbeteckning samt att göra det smidigare för personer som flyttar till Finland till exempel för att arbeta eller studera att integrera sig i samhället. Målet är samtidigt att underlätta specificeringen av personer i de organisationer där utlänningar sköter sina ärenden och att minska på antalet organisationsspecifika konstgjorda beteckningar samt dubbla registeridentiteter. 

Målet om en mer omfattande registrering av utlänningar i befolkningsdatasystemet än för närvarande har också samband med den strävan som angetts i regeringsprogrammet för statsminister Sanna Marins regering att öka invandringen av kunnig arbetskraft. För att uppnå detta mål har man inrättat det tväradministrativa åtgärdsprogrammet Talent Boost, vars fokus dels ligger på sådana experter som är väsentliga med tanke på företagens tillväxt och internationalisering samt spets- och tillväxtbranscherna inom forskning, utveckling och innovationer (FUI), dels på branscher där det råder brist på arbetskraft. Målet med programmet är att lyfta upp Finlands attraktionskraft för experter och deras familjer till en ny nivå. Ett mål för denna proposition är att underlätta rekryteringen och integreringen i Finland av utländska experter och andra arbetstagare genom att tilldela dem en finsk personbeteckning snabbare och lättare än för närvarande. 

Propositionen syftar dessutom till att utveckla befolkningsdatasystemets identitetshantering, tillförlitlighet och uppgiftskvalitet genom att ta i bruk nya källor till de grundläggande uppgifterna om en person samt uppgifter som beskriver sättet för identifiering eller specificering av en person. Målet är att genom att utveckla befolkningsdatasystemets identitetshantering minska antalet dubbla registreringar och förbättra den allmänna kvaliteten på uppgifterna i befolkningsdatasystemet. Propositionen syftar samtidigt till att göra förfarandena för registrering och upprätthållande av uppgifter i befolkningsdatasystemet smidigare. 

Propositionen syftar också till att förbättra skyddet för människors privatliv och dataskydd samt förebygga diskriminering på grund av kön genom att den uppgift som anger kön i personbeteckningen slopas. Propositionen syftar dessutom till att i befolkningsdatasystemet vid sidan av personbeteckningen införa en identifikationskod som inte innehåller innehavarens födelsetid, kön eller andra personuppgifter. Identifikationskoden gör det möjligt att i samhället specificera personer på ett sätt som bättre än för närvarande tillgodoser dataskyddskraven. 

Den föreslagna identifikationskoden har också ett nära samband med målbilden på längre sikt om en av staten garanterad centraliserad identitetshantering. I målbilden är rollen för en centraliserad specificerande kod endast att entydigt specificera dess innehavare och koppla samman personuppgifterna i och mellan olika register. En registrerad får inte identifieras med identifikationskoden, utan han eller hon ska alltid identifieras till exempel med hjälp av officiella handlingar eller stark autentisering. Av koden i sig själv ska inte framgå några personuppgifter, och den behöver inte ändras, även om de uppgifter som kopplats till personen ändras. Födelsetiden, uppgiften om kön och andra behövliga uppgifter i enskilda situationer kan anges separat till exempel med en e-legitimation eller ett e-tjänstverktyg för utlänningar. Ett centralt mål för propositionen är att finna lösningar genom vilka man stegvis och kostnadseffektivt kan uppnå den beskrivna målbilden. 

Dessutom ska behandlingen av personbeteckningen i samband med identifiering av en fysisk person begränsas. Genom ändringen eftersträvas en precisering av syftet med gällande lag på lagnivå. Såsom ovan konstaterats har syftet med gällande bestämmelser om personbeteckningen varit att avgränsa behandlingen endast till sådana situationer där en entydig specificering av en person är viktig för utförande av en uppgift som nämns i bestämmelsen. Således är syftet att precisera den gällande bestämmelsen så att en registrerad inte får identifieras uteslutande med personbeteckningen eller en kombination av personbeteckningen och personens namn. 

Förslagen och deras konsekvenser

4.1  De viktigaste förslagen

4.1.1  Mer omfattande registrering av utländska medborgare i befolkningsdatasystemet

I propositionen föreslås att uppgifterna om en utländsk medborgare som är kund hos Migrationsverket kunde registreras i befolkningsdatasystemet tidigare och i större omfattning än för närvarande. Personens uppgifter kunde enligt förslaget registreras i befolkningsdatasystemet redan i det skedet då han eller hon i utlandet eller exceptionellt i Finland sökt uppehållstillstånd, internationellt skydd i Finland, registrering av uppehållsrätt som unionsmedborgare, uppehållskort som familjemedlem till en unionsmedborgare eller annat tillstånd eller annan registrering hos Migrationsverket som berättigar till vistelse i Finland. Särskilt de som ansöker om uppehållstillstånd i utlandet och de som ansöker om internationellt skydd i Finland får enligt förslaget en finsk personbeteckning tidigare än för närvarande. Med stöd av gällande bestämmelser registreras en utländsk persons uppgifter i princip i befolkningsdatasystemet först efter det att ärendet gällande tillstånd eller registrering som berättigar till vistelse i Finland har avgjorts. 

Uppgifterna om den som ansökt om internationellt skydd kan om förslaget genomförs registreras i befolkningsdatasystemet, även om man inte kunnat försäkra sig om personens identitet med hjälp av ett giltigt resedokument eller någon annan handling eller utredning. För registreringen av uppgifterna ska det vara tillräckligt att polisen eller gränsbevakningsmyndigheten med stöd av 131 § i utlänningslagen för ansökan om internationellt skydd tagit och registrerat fingeravtryck, fotografier och andra signalement i det register som polisen för. Dessutom ska det förutsättas att personens ansökan om internationellt skydd prövas i sak av Migrationsverket och att Migrationsverket i samband med prövningen av ansökan om internationellt skydd på tillräckligt sätt försäkrar sig om den utländska medborgarens identitet och tillförlitligheten för de uppgifter som registreras. För närvarande registreras uppgifter om personer som sökt internationellt skydd i princip inte i befolkningsdatasystemet innan personen har fått asyl, alternativt skydd eller uppehållstillstånd på någon annan grund. I praktiken tidigarelägger den föreslagna ändringen vanligtvis registreringen och beviljandet av personbeteckning med flera månader och ibland till och med år. 

I anslutning till det förslag som beskrivs i föregående stycke föreslås det att identitetshanteringen inom befolkningsdatasystemet ska utvecklas genom att man tar i bruk ett nytt fält för tilläggsuppgifter som beskriver källan till de grundläggande uppgifterna om personen. Med uppgiften som beskriver källan för uppgifterna om personens namn, födelsetid, kön och medborgarskap kan man särskilja om de grundläggande uppgifterna i samband med en persons registeridentitet har införts i befolkningsdatasystemet utifrån en officiell handling eller genom att personen själv meddelat dem. 

4.1.2  Möjlighet att utnyttja en annan Schengenstats beskickningar och externa tjänsteleverantörer

Utöver genom ovan beskrivna förslag föreslås det att registreringen av utlänningar i befolkningsdatasystemet ska underlättas genom att göra det möjligt att utnyttja andra Schengenstaters beskickningar och externa tjänsteleverantörer. I propositionen föreslås att inte bara finska beskickningar utan också en annan Schengenstats beskickning eller en extern tjänsteleverantör ska kunna försäkra sig om en utländsk medborgares identitet samt ta emot de personuppgifter och handlingar som han eller hon lämnar för registrering i befolkningsdatasystemet. Detta ska endast vara möjligt i situationer där utrikesministeriet har överfört en finsk beskicknings uppgifter som gäller uppehållstillstånd till en annan Schengenstats beskickning eller en extern tjänsteleverantör i enlighet med 69 b § i utlänningslagen. I och med den föreslagna ändringen ska uppgifterna om en utländsk medborgare med ett giltigt resedokument kunna antecknas i befolkningsdatasystemet i samband med behandlingen av hans eller hennes ansökan om uppehållstillstånd oberoende av hur de uppgifter som gäller uppehållstillstånd har anordnats i det område där personen har lämnat in sin ansökan om uppehållstillstånd. 

En utländsk medborgare som ansöker om uppehållstillstånd i Finland från utlandet sköter i regel sitt ärende vid en finsk beskickning. Den finländska utrikesrepresentationen tar till exempel emot ansökan om uppehållstillstånd och uppgifter för ansökan om uppehållstillstånd, kontrollerar personens identitet och tar samt registrerar personens biometriska kännetecken. När beskickningen försäkrat sig om den sökandes identitet för ansökan om uppehållstillstånd kan Migrationsverket registrera den utländska medborgarens uppgifter i befolkningsdatasystemet i samband med att personen får ett positivt beslut i fråga om sin ansökan om uppehållstillstånd. Efter den ändring av utlänningslagen (675/2015) som trädde i kraft i början av juni 2015 har i lagen specificerade uppgifter som gäller uppehållstillstånd vid sidan av beskickningarna också kunnat skötas av en annan Schengenstats beskickning eller av en extern tjänsteleverantör. Den som ansöker om uppehållstillstånd kan alltså också sköta sitt ärende som gäller uppehållstillstånd hos en extern tjänsteleverantör i de stater och på de orter där den sköter uppgifter som gäller uppehållstillstånd i stället för eller vid sidan av en finsk beskickning. Sådana uppgifter har inte lagts ut på en annan Schengenstats beskickning. 

I 22 § i BDS-lagen förutsätts för närvarande att den finska beskickningen ska försäkra sig om identiteten hos en person som i utlandet ansöker om uppehållstillstånd innan personens uppgifter införs i befolkningsdatasystemet. I de fall när den sökandes identitet i ett ärende som gäller uppehållstillstånd endast kontrolleras av en extern tjänsteleverantör, kan Migrationsverket på basis av gällande lagstiftning således inte registrera personens uppgifter i befolkningsdatasystemet när personen får uppehållstillstånd. Enligt förslaget ska förfarandet förenklas genom att det möjliggörs att en annan Schengenstats beskickning eller en extern tjänsteleverantör som sköter ett ärende som gäller uppehållstillstånd i samma sammanhang också kan försäkra sig om personens identitet för BDS-registrering och ta emot behövliga personuppgifter och handlingar. En förutsättning ska vara att den andra Schengenstatens beskickning eller den externa tjänsteleverantören kan försäkra sig om identiteten hos den som ansöker om uppehållstillstånd från ett giltigt resedokument. En utlänning som ansöker om uppehållstillstånd behöver då inte längre ta kontakt med en beskickning eller någon annan instans som sköter registreringar i befolkningsdatasystemet för att få sina uppgifter registrerade i befolkningsdatasystemet och för att tilldelas en personbeteckning, utan hela ärendet kan skötas på en och samma gång. 

4.1.3  Ändringar i Migrationsverkets och Skatteförvaltningens uppgifter

I propositionen föreslås att Skatteförvaltningens och Migrationsverkets uppgifter i samband med registreringen av utländska medborgares uppgifter i befolkningsdatasystemet ska utvidgas så, att de i fortsättningen också ska kunna ändra och tillfoga uppgifter om en tidigare registrerad utländska medborgare i befolkningsdatasystemet. De uppgifter som registreras ska dock vara sådana personuppgifter som samlats in i samband med skötseln av myndighetsuppgifter som grundar sig på övrig lagstiftning. Uppgiften innebär på samma sätt som nu att uppgifter överlåts till befolkningsdatasystemet med hjälp av ett tekniskt gränssnitt som myndigheterna har tillgång till. Skatteförvaltningens och Migrationsverkets rätt att ändra och tillfoga uppgifter om en tidigare registrerad person i befolkningsdatasystemet ska avgränsas till att endast gälla de uppgifter som de, om förslaget genomförs, har rätt att registrera i befolkningsdatasystemet också vid en första registrering. Utanför Skatteförvaltningens och Migrationsverkets uppdateringsrätt avgränsas dessutom uppdateringen av sådana uppgifter som påverkar bildandet av en personbeteckning. Myndigheten för digitalisering och befolkningsdata ska i egenskap av personuppgiftsansvarig för befolkningsdatasystemet således fortfarande alltid svara för ändringar och rättelser av personbeteckningar. Skatteförvaltningen och Migrationsverket ska fortfarande verka i enlighet med de anvisningar som Myndigheten för digitalisering och befolkningsdata i egenskap av personuppgiftsansvarig meddelar, framför allt i situationer där de informerar den registrerade om registrering av uppgifter i befolkningsdatasystemet för de personuppgiftsansvarigas räkning. 

Målet är att i första hand ge Migrationsverket rätt att uppdatera uppgifter som ändrats eller kompletteras i takt med att behandlingen av ansökan om uppehållstillstånd framskridit. Målet är också att göra det möjligt för Skatteförvaltningen och Migrationsverket att tillfoga och ändra uppgiften som beskriver sättet för identifiering eller specificering av personen samt uppgiften som beskriver källan för uppgifterna om namn, födelsetid, kön och medborgarskap för personer, som föreslås bli registrerade i befolkningsdatasystemet. Det är nödvändigt att ändra uppgifterna till exempel när en utländsk medborgare som ursprungligen registrerat sina uppgifter i befolkningsdatasystemet genom förfarandet för distansregistrering senare sköter sina ärenden hos Skatteförvaltningen, Migrationsverket, en beskickning eller en extern tjänsteleverantör. 

Genom de föreslagna ändringarna av bestämmelserna om Skatteförvaltningens och Migrationsverkets uppgifter försöker man säkerställa att uppgifterna i befolkningsdatasystemet är uppdaterade och smidigt upprätthållna. Målet är att personen själv inte ska behöva ha kontakt med flera myndigheter, utan att upprätthållandet av uppgifterna i befolkningsdatasystemet så ofta som möjligt ska kunna skötas i samband med övriga kontakter med myndigheter. En utlänning som sköter sina ärenden hos Migrationsverket eller Skatteförvaltningen ska samtidigt få en personbeteckning tidigare. 

4.1.4  Förfarandet för distansregistrering

I propositionen föreslås att det ska skapas en möjlighet att registrera sig i befolkningsdatasystemet genom ett nytt förfarande för distansregistrering. Genom förfarandet för distansregistrering kunde en utländsk person registrera sig i befolkningsdatasystemet genom att använda en mobilapplikation redan innan personen anländer till Finland. En person som distansregistrerar sig i befolkningsdatasystemet får en finsk personbeteckning och ett i lagen om de tjänster för digital identitet som tillhandahålls av Myndigheten för digitalisering och befolkningsdata avsett e-tjänstverktyg för utlänningar med hjälp av vilka han eller hon snabbare och lättare än för närvarande kan börja integrera sig i det finländska samhället. Verifieringen av identiteten hos den som registrerar sig ska inom förfarandet grunda sig på utnyttjande av ett program för ansiktsidentifiering och läsning av ett pass som är försett med ett chip, och i förfarandet ingår ingen personlig fysisk identifiering hos en myndighet. Distansregistreringen på ska åtminstone under de närmaste åren i första hand vara avsedd som ett förstadium till en registrering på basis av 9 § i BDS-lagen, på basis av vilket personen i ett tidigare skede får en centraliserad registeridentitet i Finland. Distansregistreringsförfarandet är dock inte tillräckligt, eftersom det endast möjliggör begränsad tillgång till samhälles tjänster, men tillsammans med e-tjänstverktyget för utlänningar blir det lättare för personen själv att inleda skötseln av vissa ärenden i Finland och minskar samtidigt behovet av att skapa organisationsspecifika konstgjorda beteckningar. Registreringen av uppgifter i befolkningsdatasystemet genom förfarandet för distansregistrering ska vara gratis för användaren, men för det e-tjänstverktyg för utlänningar som beviljas samtidigt tas det ut en prestationsavgift av användaren. 

Distansregistreringen av en person i befolkningsdatasystemet ska inte omfatta någon behovsprövning, vartill den kontroll av identiteten som ingår i förfarandet i fråga om sin tillförlitlighet inte riktigt når upp till samma nivå som en traditionell fysisk identifiering, eftersom identifieringen grundar sig på en automatisk ansiktsidentifieringsmetod. BDS-identiteter som registrerats på distans ska därför kunna särskiljas från övriga BDS-identiteter. I propositionen föreslås därför att till befolkningsdatasystemet ska fogas ett nytt fält med tilläggsuppgifter som beskriver sättet för identifiering eller specificering av personen, av vilket framgår att registeridentiteten grundar sig på distansregistrering. Personens möjlighet att utnyttja samhällstjänster enbart på basis av en distansregistrering ska i praktiken vara begränsad och uppgiften om distansregistrering ska enligt förslaget lämnas ut ur befolkningsdatasystemet alltid när uppgifter om en distansregistrerad person lämnas ut. En distansregistrerad person ska senare personligen kunna besöka en myndighet för att identifieras, på basis av vilket han eller hon kan registreras i befolkningsdatasystemet som fysiskt identifierad när förutsättningarna för registrering enligt 9 § i BDS-lagen uppfylls. I lagen ska inte föreskrivas om vilka tjänster en distansregistrering ger tillgång till, utan detta ska bedömas enligt tjänst. I praktiken ska distansregistrering under systemets första år tillsammans med e-tjänstverktyget för utlänningar dock i första hand möjliggöra inledande av uträttande av olika ärenden hos myndigheter. 

Tekniken och regleringen gällande elektronisk autentisering utvecklas för närvarande snabbt, varför ovannämnda begränsningar kan komma att bli temporära. Det är möjligt att det på grund av utvecklingen i framtiden inte är nödvändigt med personlig identifiering ens i ett senare skede, och att personen då inte alls personligen behöver besöka myndigheten. Det behov som identifierats i samband med beredningen av propositionen att i all verksamhet kunna särskilja mellan registeridentiteter som grundar sig på distansregistrering och registeridentiteter som identifierats fysiskt kan komma att bli temporärt. 

4.1.5  Slopande av uppgiften om kön ur personbeteckningen

I propositionen föreslås att strukturen för det individuella nummer som ingår i personbeteckningen ska ändras så att personens könstillhörighet inte längre framgår av det. Det individuella numret ska efter ändringen vara ett tresiffrigt tal som är oberoende av personens kön. Nya personbeteckningar ska enligt förslaget vara könsneutrala från och med år 2027. De personbeteckningar som tilldelas före detta bibehåller sin nuvarande form. Uppgiften om kön ska dock inte längre efter det att ändringen träder i kraft direkt kunna härledas ur de gamla personbeteckningarna, utan uppgiften ska efter ändringen behandlas som en uppgift som är separat från personbeteckningen. Uppgift om kön ska fortfarande registreras i befolkningsdatasystemet och lämnas ut till dem som utnyttjar uppgifterna i systemet i överensstämmelse med de allmänna förutsättningarna i 4 kap. i BDS-lagen. 

Slopandet av uppgiften om kön ur personbeteckningen på det sätt som föreslås utan att de gamla personbeteckningarna ändras innebär att man av de personbeteckningar som tilldelats före 2027 de facto fortfarande kan härleda om en beteckning tilldelats en man eller en kvinna. För en person som genomgått könskorrigering leder detta till den problematiska situationen att uppgiften om att personen är en transperson eller interkönad kan härledas ur personbeteckningen. I propositionen föreslås därför att en person som genomgår könskorrigering på motsvarande sätt som nu på basis av fastställande eller korrigering av kön ska ha rätt att få en ny personbeteckning, vars individuella nummer är udda för män och jämnt för kvinnor enligt nuvarande praxis. Det ska vara fullständigt frivilligt att ändra personbeteckningen, och det fastställs ingen särskild tidsfrist för det. 

De förslag som ingår i propositionen ska inte påverka antalet juridiska kön, utan som uppgift om kön registreras i befolkningsdatasystemet fortfarande alltid antingen kvinna eller man. Beslut om införande av en eventuell tredje eller flera könskategorier ska fattas separat. 

4.1.6  Identifikationskoden

I propositionen föreslås att det ska skapas en identifikationskod vid sidan av personbeteckningen. Identifikationskoden ska uttryckligen vara avsedd för entydig specificering av en registrerad, och den ska tilldelas personer som registrerats i befolkningsdatasystemet.  

I motsats till personbeteckningen ska identifikationskoden inte innehålla några obehövliga personuppgifter på innehavaren. Identifikationskoden ska dock vara en personuppgift i sig. Av koden ska således inte framgå den registrerades födelsetid eller kön och användningen av den möjliggör således skapandet av förfaranden som bättre stämmer överens med dataskyddskraven. Identifikationskoden ska kunna fås ur befolkningsdatasystemet i omfattande utsträckning och det ska enligt förslaget vara fullständigt frivilligt att ta den i bruk. Varje organisation beslutar själv om den i sin egen verksamhet vill ta i bruk identifikationskoden vid sidan av eller i stället för personbeteckningen. Man är tvungen att ändra en personbeteckning om till exempel en persons födelsetid har antecknats felaktigt i beteckningen. Eftersom identifikationskoden inte innehåller personuppgifter, är koden betydligt med permanent än personbeteckningen, och i fråga om den gäller inga motsvarande ändrings- eller korrigeringsbehov. 

Det är inte ändamålsenligt att identifikationskoden endast ska vara en version av personbeteckningen som inte är beroende av personuppgifter. Det föreslås att identifikationskoden ska vara en offentlig uppgift på samma sätt som namnet, som får behandlas utan särskilda verksamhetsområdesvisa begränsningar i överensstämmelse med de allmänna dataskyddsprinciperna. Kodens ställning påminner delvis om personbeteckningens, men dess ändamål begränsas direkt i lagen till att endast vara entydig specificering av en registrerad i ett informationssystem, för att utföra en i lag angiven uppgift eller för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsansvariges skyldigheter. I praktiken ska det således endast vara möjligt att med koden koppla samman en viss persons personuppgifter i och mellan register, och koden lämnas inte överhuvudtaget ut för identifiering av registrerade. Som en specificerande uppgift på samma sätt som namnet ska identifikationskoden oftast kunna användas också inom de verksamhetsområden där det för närvarande inte är möjligt att behandla personbeteckningar. Med identifikationskoden kan man således också ersätta behandlingen av organisationsspecifika beteckningar. 

I denna proposition föreslås att det ska skapas en identifikationskod vid sidan av personbeteckningen och att det ska vara fullständigt frivilligt att använda koden i samhället. Den föreslagna identifikationskoden har således inga konsekvenser för de organisationer som inte tar koden i bruk. En organisation som tar i bruk identifikationskoden ansvarar för informationsutbytet med de organisationer som i sin egen verksamhet inte behandlar identifikationskoder.  

Det frivilliga införandet av identifikationskoden skapar dock en grund för möjligheterna att använda koden inom samhällets olika sektorer. Senare kunde man särskilt bedöma om det finns mer omfattande användningsmöjligheter för identifikationskoden i samhället.  

4.1.7  Begränsande av användningen av personbeteckningen vid identifiering av den registrerade

I propositionen föreslås att den registrerade inte ska få identifieras uteslutande med personbeteckningen eller en kombination av personbeteckningen och den registrerades namn. Genom propositionen preciseras och förtydligas personbeteckningens ursprungliga syfte att fungera som redskap för entydig specificering av en person. Det har blivit ett problem när det gäller personbeteckningen att beteckningen utöver för sitt syfte, det vill säga en entydig specificering av personen, används för identifiering av en person. På grund av det ovanstående föreslås det i propositionen att användningen av personbeteckningen vid identifiering av registrerade ska begränsas.  

Förslaget motsvarar de gällande anvisningarna på dataombudsmannens byrås webbplats, enligt vilken en personuppgiftsansvarig inte får bygga upp sin identifieringspraxis uteslutande kring frågor om personbeteckningen och namnet. Vidare konstateras i anvisningarna att det dock är tillåtet att fråga om personbeteckningen som en uppgift bland andra, då en person ringer till exempel till ett företags kundbetjäning, en verksamhetsenhet inom hälso- och sjukvården eller till en myndighet. Det är dock möjligt att i speciallagstiftningen i närmare detalj föreskriva till exempel om förfarandet för igenkänning av kunden eller utredande av kundens identitet. Inom dataskyddslagstiftningen föreskrivs det endast om förutsättningarna för behandling av personbeteckningar, vilket är en annan sak än förfarandena för igenkänning eller identifiering av kunden, förfarandena för kontroll av identiteten eller behörigheterna och förfarandena för utredande av identiteten. Specialbestämmelser om förfarandena ingår till exempel i lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017, nedan penningtvättslagen) och i polislagen (872/2011) samt i autentiseringslagen. 

4.2  De huvudsakliga konsekvenserna

4.2.1  Metoder

Propositionens konsekvenser har bedömts i flera skeden som en del av projektet för reformering av personbeteckningen. Konsekvenserna av olika ändringar i personbeteckningssystemet bedömdes redan i det första skedet av beredningsprojektet och bedömningarna har delvis utnyttjats också i denna regeringsproposition. Nyttan av och kostnaderna för att minska mängden organisationsspecifika konstgjorda beteckningar och övergå till en könsneutral beteckning bedömdes för sin del i två separata konsultutredningar som genomfördes i slutet av 2020. Utredningarna genomfördes genom att man intervjuade de centrala intressegrupper inom den offentliga förvaltningen och den privata sektorn som verkar i branscher som ofta behandlar personbeteckningar. Sommaren 2021 genomfördes dessutom en omfattande webropolenkät om propositionens alla delområden, vars resultat utnyttjats i konsekvensbedömningen.  

Under den fortsatta beredningen våren 2022 utredde finansministeriet kostnadsverkningarna av lagstiftningen för revidering av personbeteckningen genom att sända statens ämbetsverk och inrättningar, oberoende offentligrättsliga organ, kommuner, högskolor, blivande välfärdsområden, aktörer som sköter offentliga förvaltningsuppgifter samt andra privata företag och sammanslutningar och den offentliga förvaltningens myndigheter en begäran om information för att bedöma den nytta och de kostnader som reformens delhelheter medför för dem. Av reformens delhelheter valdes som föremål för begäran om information förfarandet för distansregistrering, slopandet av uppgiften om kön ur personbeteckningen och identifikationskoden. Finansministeriet tog emot sammanlagt 73 svar på begäran om information. 

I fråga om de viktigaste myndighetsaktörerna har kostnads- och personalverkningarna huvudsakligen bedömts tillsammans med myndigheterna i fråga. 

4.2.2  Beviljande av personbeteckning till utlänningar tidigare och i större utsträckning än för närvarande

Ett av målen med propositionen är att möjliggöra en mer omfattande registrering av uppgifter om andra än finska medborgare i befolkningsdatasystemet och på detta sätt också möjliggöra tilldelning av personbeteckning till utlänningar i större omfattning än för närvarande. I propositionen föreslås för det första att registreringen i befolkningsdatasystemet av personer som söker uppehållstillstånd ska tidigareläggas så att personens uppgifter i regel kan registreras redan i samband med ansökan om uppehållstillstånd. För närvarande registreras uppgifterna i regel först på basis av ett positivt beslut. Dessutom föreslås att en annan Schengenstats beskickning eller en extern tjänsteleverantör i samband med behandlingen av ett ärende som gäller uppehållstillstånd ska kunna ta emot utlänningens personuppgifter och kontrollera identiteten också för registrering av uppgifterna i befolkningsdatasystemet. Propositionen medför en måttlig utökning av Migrationsverkets och Skatteförvaltningens uppgifter vad gäller upprätthållandet av befolkningsdatasystemets uppgifter. 

Utöver ovan beskrivna ändringar föreslås det att till BDS-lagen ska fogas bestämmelser om ett helt nytt förfarande för distansregistrering. Inom förfarandet för distansregistrering kan en utländsk medborgare genom självbetjäning med en mobilapplikation få sina uppgifter registrerade i befolkningsdatasystemet och på så sätt skaffa sig en finsk personbeteckning och få ett e-tjänstverktyg för utlänningar. Förfarandet för distansregistrering fungerar som ett slags inledande skede vid registreringen i befolkningsdatasystemet och möjliggör tillsammans med e-tjänstverktyget till exempel inledande av uträttande av vissa myndighetsärenden i ett tidigare skede än för närvarande. 

Allmänt om eftersträvade fördelar

Den föreslagna möjligheten att tilldela andra än finska medborgare en personbeteckning tidigare och i större utsträckning än för närvarande bedöms möjliggöra en effektivisering av verksamheten och informationshanteringsmässiga fördelar för en stor mängd samhällsaktörer. Sådan nytta kan i princip uppnås i alla de organisationer som i sin verksamhet behandlar personbeteckningar och i vilka å andra sidan också sådana utlänningar som enligt gällande lagstiftning inte kan tilldelas en personbeteckning uträttar sina ärenden. De största fördelarna kan uppnås inom statliga myndigheter och kommuner, men också inom näringslivet. 

Avsikten är att förfarandet för distansregistrering ska tas i bruk så att uppgiften om distansregistrering alltid lämnas ut ur befolkningsdatasystemet som en separat tilläggsuppgift tillsammans med registeridentiteten. Den elektroniska identifiering som sker vid distansregistrering är inte tillräcklig för alla samhällets tjänster. Användningen av distansregistrerade BDS-identiteter beräknas öka småningom, vilket också innebär att den nytta som fås av distansregistreringen småningom ökar i takt med att ibruktagandet sprider sig i samhället. Under de närmaste åren uppstår största delen av de positiva verkningarna av de föreslagna ändringarna sannolikt av det, att beviljandet av personbeteckning tidigareläggs i fråga om dem som ansöker om uppehållstillstånd till att i regel ske redan i samband med ansökan om uppehållstillstånd. 

Den nytta som de föreslagna ändringarna möjliggör behandlas nedan genom att man först ger en allmän beskrivning av de mekanismer genom vilka nyttan kan uppnås, och därefter lyfter upp vissa branschspecifika exempel på de föreslagna ändringarnas konsekvenser. Det är inte möjligt att på ett uttömmande sätt behandla de branscher som drar nytta av de föreslagna ändringarna, utan de branscher som nämns nedan är endast exempel. Mekanismerna för uppnåendet av nyttan är dock mycket likartade också inom andra branscher. 

Personbeteckningens användningsändamål inom organisationernas informationssystem är vanligtvis att koppla samman en viss persons uppgifter. Om personen inte har en personbeteckning, är organisationen tvungen att sammankoppla hans eller hennes uppgifter på något annat sätt, såsom genom att skapa en organisationsspecifik konstgjord beteckning eller någon annan specificerande kod för personen. Detta förutsätter att organisationen upprätthåller parallella kodsystem i sina informationssystem och sin informationshantering. Eftersom det inte är möjligt att uppdatera uppgifterna om en person som saknar personbeteckning ur befolkningsdatasystemet, är uppgifterna nödvändigtvis inte lika tillförlitliga och aktuella. En person kan på så sätt också få flera parallella registeridentiteter inom samma organisation. Dubbla eller i värsta fall flerdubbla registeridentiteter försvårar märkbart hanteringen av personens uppgifter och orsakar mycket manuellt utrednings- och samordningsarbete. 

Samordningen av uppgifterna för personer som saknar personbeteckning mellan olika organisationer är också vanligtvis betydligt mer arbetsam och utmanande, eftersom man inte kan använda en enda beteckning som sammankopplar personens uppgifter. I praktiken ska den organisation som tar emot uppgifterna i allmänhet då manuellt anteckna uppgifterna på sin egen kod. På motsvarande sätt ska uppgifter som antecknats på personens organisationsspecifika beteckning överföras på personbeteckningen efter det att personen i enlighet med BDS-lagen fått en egentlig personbeteckning. Också detta arbetsskede orsakar vanligtvis manuellt arbete. 

I och med de föreslagna ändringarna uträttar betydligt färre sådana personer som inte har en personbeteckning ärenden vid finländska myndigheter och andra organisationer. Detta minskar ovan beskrivna utmaningar för informationshanteringen samt mängden manuellt utrednings- och samordningsarbete. När mängden manuellt arbete minskar, minskar också mängden fel i samband med det. Ändringarna förbättrar då allmänt kvaliteten på de uppgifter som behandlas och minskar samtidigt antalet flerdubbla registeridentiteter hos samma person. Behovet av organisationsspecifika konstgjorda beteckningar kan i och med ändringarna bedömas minska till i allmänhet hälften av nuvarande nivå, även om variationen mellan olika branscher och aktörer är stor. Inom en del branscher kan antalet organisationsspecifika koder i och med genomförandet av förslagen minska till om med mer än det.  

Minskningen av det manuella arbetet i samband med organisationsspecifika konstgjorda beteckningar och behandlingen av dem medför också direkta inbesparingar för flera organisationer. Till exempel inom Skatteförvaltningen utför fyra personer dagligen identifiering av personer och sammankoppling av konstgjorda beteckningar med personbeteckningar. De personalresurser som koncentrerats på dessa uppgifter kan efter ändringarna till stor del överföras på andra uppgifter. Inbesparingen är vanligtvis inte stor för enskilda myndigheter, företag eller andra organisationer, men inbesparingar kan uppnås i mycket omfattande grad i samhället. Som helhet bedöms ändringen således kunna medföra betydande fördelar. Nedan beskrivna bedömningar av nyttan för enskilda branscher baserar sig huvudsakligen på de uppskattningar som de organisationer som behandlar personbeteckningar själva gett. 

Hälso- och sjukvården

Inom hälso- och sjukvården uträttar ett stort antal personer som inte har en finsk personbeteckning sina ärenden. Inom olika system skapas för dessa personer organisationsspecifika beteckningar som behandlingen av deras uppgifter baserar sig på. Uppgifterna sammankopplas då inte nödvändigtvis effektivt, utan en person kan ha olika systemspecifika beteckningar till och med vid en och samma hälso- och sjukvårdsenhet. Till exempel Helsingfors och Nylands sjukvårdsdistrikt tilldelar årligen sina patienter omkring 23 000–25 000 konstgjorda beteckningar. Största delen av dessa tilldelas personer som väntar på uppehållstillstånd i Finland, som enligt förslaget i fortsättningen ska kunna ges en personbeteckning ur befolkningsdatasystemet. Det är dock inte möjligt att slippa alla konstgjorda beteckningar, utan sådana ska fortfarande vid behov tilldelas till exempel patienter som inte är vid medvetande när de anländer till jouren och vars identitet inte kan säkerställas. Likaså kommer till exempel personer som vistas i Finland som turister knappast att ha en finsk personbeteckning ens efter de föreslagna ändringarna. 

Inom hälso- och sjukvården orsakar behandlingen och utredningen av konstgjorda beteckningar och flerdubbla registeridentiteter hos samma person mycket manuellt arbete, vartill sannolikheten för fel i detta sammanhang alltid ökar. Dessutom innebär sammankopplingen av uppgifter mycket arbete i samband med att personen får en personbeteckning ur befolkningsdatasystemet. I värsta fall kan en patients avsaknad av personbeteckning leda till att hans eller hennes tidigare patientuppgifter eller till exempel medicinering inte alls kommer till känna och således till att patientsäkerheten äventyras. Dessutom kunde man inom hälso- och sjukvården få en bättre uppfattning om patientens helhetssituation, om hans eller hennes uppgifter i sin helhet kan sökas i Kantatjänsten med personbeteckningen. 

Beviljande av personbeteckning i ett tidigare skede på det sätt som föreslås kunde också underlätta apotekens verksamhet och förbättra läkemedelssäkerheten. För närvarande skrivs recepten ut med namn och födelsetid, om personen inte har en finsk personbeteckning. Utan personbeteckning kan recept som skrivits ut till samma person inte sammanslås till personens läkemedelsförteckning i Kantatjänsterna och patientens sammanlagda medicinering kan inte följas upp genom Kantatjänsterna. Likaså leder de föreslagna ändringarna i blodcentralsverksamheten till att blodgruppen inte behöver fastställs på nytt vid varje besök, utan att det räcker med en gång. Samtidigt blir personens blodtransfusionshistoria tillförlitligare. 

Som helhet kan man bedöma att avsaknad av personbeteckning inom hälso- och sjukvården medför särskilt stora utmaningar och branschen bedöms vara en av dem som drar störst fördel, om de föreslagna ändringarna träder i kraft i föreslagen form. Birkalands sjukvårdsdistrikt har bedömt att nyttan av utnyttjandet av uppgifter som grundar sig på distansregistrering är större än kostnaderna för ändringen. De eventuella fördelarna för branschen är delvis desamma som inom andra branscher och hänger samman med ett minskat manuellt samordnings- och utredningsarbete. Inom hälso- och sjukvården bedöms ändringarna dock dessutom inverka positivt på patient- och läkemedelssäkerheten för utländska kunder hos hälso- och sjukvården. Till exempel utländska studerandes tillträde till studenthälsovårdens tjänster skulle underlättas och bli smidigare, om den studerande hade en finsk personbeteckning redan när han eller hon första gången söker till studenternas hälsovårdsstiftelses tjänster.  

Undervisnings- och utbildningssektorn

Utbildningsstyrelsen ger dem som ansökt om studieplats ett studentnummer. Om den sökande har en personbeteckning, identifieras personen automatiskt på basis av BDS-uppgifterna. Om den sökande saknar personbeteckning görs en manuell specificering, i samband med vilken en tjänsteman vid Utbildningsstyrelsen i det enskilda fallet beslutar om det är fråga om samma eller en ny person. Detta utredningsarbete har uppskattats ta cirka 66 dagsverken bara vid Utbildningsstyrelsen. Detta arbete kan man i stor utsträckning frångå, om största delen av de utlänningar som för närvarande saknar personbeteckning kan tilldelas en sådan redan i ansökningsskedet.  

Utöver utbildningsstyrelsen drar också alla sådana läroanstalter nytta av ändringarna där utländska personer som saknar personbeteckning studerar, undervisar eller annars arbetar. Till exempel inom småbarnspedagogiken och i grundskolorna är det lättare och snabbare att registrera en elev som har en personbeteckning i systemen. Universiteten gagnas av de föreslagna ändringarna till exempel i samband med skapandet av en användarkod vid universitetet och överhuvudtaget vid antagningen av utländska studerande samt vid anställning av utländska personer. Till exempel vid Åbo universitet går användarkoden, om personen inte har en personbeteckning, genom en manuell behandling där man säkerställer att personen inte redan har en användarkod. I fråga om de personer som har en personbeteckning skapas användarkoden automatiskt utan manuellt arbete. Också registreringen av prestationer i nationella register och informationsutbytet med det övriga samhället i allmänhet kan underlättas och påskyndas genom ändringarna. 

Rättsväsendet

I domstolarnas, åklagarväsendets, rättshjälpsbyråernas och utsökningsväsendets informationssystem specificeras personer i första hand med hjälp av personbeteckningen. När det gäller utlänningar som saknar personbeteckning är detta dock inte möjligt, varför de olika aktörerna inom rättsväsendet har olika alternativa förfaranden till förfogande. Utmaningarna i samband med de alternativa förfarandena kan effektivt minskas genom att utlänningar som uträttar sina ärenden vid rättsväsendet i större utsträckning än för närvarande har en personbeteckning. 

Inom domstolsförfarandet och åklagarväsendets verksamhet är det avgörande att åtgärderna entydigt kan inriktas på rätt person. Detta betonas särskilt i brottmål där utlänningar som saknar personbeteckning ofta är parter, som man är tvungen att specificera endast på basis av namn och födelsetid. En osäker specificering av en part, särskilt en misstänkt, åtalad eller dömd person, kan medföra utmaningar såväl vid polisen, åklagarväsendet och domstolen som i verkställighetsskedet av straffet. Personbeteckningen förhindrar effektivt sammanblandning av personer till exempel i situationer där personen har ett allmänt förekommande namn. Ju tidigare parterna i brottsprocessen kan identifieras säkert, desto säkrare kan förfarandet anses vara. 

I samband med utsökning förhindrar avsaknad av personbeteckning ofta indrivning av skulden hos objektet för utsökningen helt och hållet. I praktiken måste alla utredningar i samband med utsökningsförfarandet i fråga om en person som saknar personbeteckning göras manuellt, varvid det är tidskrävande och osäkert att koppla samman uppgifterna. Personens skulder som är föremål för utsökning kan då helt bli oindrivna endast på grund av problem med specificering av personen, vilket kan anses ohållbart ur jämlikhetssynvinkel.  

Också bland dem som söker rättshjälp finns det många utlänningar som inte har en personbeteckning. Uppgifterna om personer som söker rättshjälp hämtas i regel direkt ur befolkningsdatasystemet. Detta är dock inte möjligt när det gäller utlänningar som saknar personbeteckning, utan deras uppgifter måste alltid registreras manuellt i rättshjälpens system. Att få en personbeteckning i ett tidigt skede skulle underlätta registreringen av ansökningarna om rättshjälp och behandlingen av rättshjälpsansökningar som privata biträden lämnar för utländska kunder. Möjligheten att kontrollera uppgifterna i befolkningsdatasystemet skulle också förbättra uppgifternas tillförlitlighet och överensstämmelse till exempel med uppgifterna vid Migrationsverket. Likaså skulle antalet dubbla registeridentiteter och det utredningsarbete som de medför minska. Motsvarande utmaningar föranleds också inom den allmänna intressebevakningen, där avsaknaden av personbeteckning kan försvåra till exempel öppnande av ett bankkonto för kunden. 

Folkpensionsanstalten

Vid Folkpensionsanstalten skapas för personer som saknar personbeteckning en konstgjord personbeteckning som till formen motsvarar en personbeteckning, men vars individuella nummer börjar med siffran 9. De konstgjorda personbeteckningarna har dock tagit slut för vissa dagar, varför personer numera också tilldelas FPA-beteckningar för engångsbruk. Folkpensionsanstalten har bedömt att den huvudsakligen kunde frångå sina egna konstgjorda beteckningar, om de föreslagna ändringarna träder i kraft. Detta skulle betydligt minska mängden manuellt arbete som hänger samman med behandlingen och sammankopplingen av konstgjorda beteckningar och minska den mängd fel som orsakas av detta.  

Att tilldelas en personbeteckning redan på basis av ansökan om tillstånd eller registrering gör behandlingen av förmånsansökningar vid Folkpensionsanstalten smidigare och snabbare. Tilldelning av personbeteckning på basis av distansregistrering kan i vissa fall vara tillräckligt också för fattande av ett förmånsavgörande. 

Arbets- och näringsbyråernas tjänster

En utländsk person registreras i arbets- och näringsbyråernas kundsystem med en konstgjord beteckning, om han eller hon inte ännu fått en personbeteckning. Av detta följer ofta att kunden efter det att han eller hon fått en personbeteckning registrerar sig på nytt och att det uppstår dubbla uppgifter om kunden i systemet. Sådana situationer faller bort, om kunden kan få en personbeteckning ur befolkningsdatasystemet snabbare. Avsaknaden av personbeteckning försvårar också uträttandet av ärenden med andra myndigheter, utarbetandet av ett arbetskraftspolitiskt utlåtande och sökande till yrkesinriktad arbetskraftsutbildning framför allt från utlandet. Genom de föreslagna ändringarna kunde man svara på alla dessa utmaningar och eventuellt också främja sysselsättningen av invandrare i Finland. 

Lantmäteriverket, Skatteförvaltningen och övervakningen av utländska fastighetsköp

Lantmäteriverket registrerar bostadsaktier och fastigheter som ägs av personer som saknar personbeteckning utan personbeteckning. Om personen senare får en personbeteckning, förs den inte automatiskt in i registret, utan personen måste själv anmäla den. Uppgifterna kopplas inte samman efter det att personbeteckningen tilldelats, utan de tidigare registeruppgifterna förblir bristfälliga i fråga om beteckningen. Om personen saknar personbeteckning, ger Skatteförvaltningen honom eller henne en konstgjord beteckning, men förmedlar inte den till Lantmäteriverket. Skatteförvaltningen specificerar också personen i samband med att den konstgjorda beteckningen tilldelas med hjälp av pass eller en annan handling samt samlar in personens specificerande uppgifter. Den specificerande uppgiften stannar endast hos Skatteförvaltningen. För Lantmäteriverket påverkar inte ett minskat antal konstgjorda beteckningar direkt arbetsmängden, men förbättrar informationshanteringen av utländska fastighetsinnehav och förmedlingen av uppgifter mellan myndigheter. 

Fastighetsköpare från länder utanför EU- och EES-området har sedan ingången av 2020 behövt tillstånd av försvarsministeriet för att skaffa en fastighet i Finland. För tillståndsprocessen används ett elektroniskt ärendehanteringssystem. En smidig användning av det elektroniska ärendehanteringssystemet förutsätter en personbeteckning och stark autentisering. Möjligheten för en person från länder utanför EU- och EES-området att få en finsk personbeteckning antingen genom förfarandet för distansregistrering eller annars tidigare än för närvarande skulle göra tillståndsförfarandet smidigare för såväl den tillståndssökande som försvarsministeriet. 

Trafiktillståndsärenden och kollektivtrafiken

En tidigareläggning av tilldelningen av personbeteckningen skulle ha positiva konsekvenser också för vägtrafikens chaufförstjänster, trafiktillståndstjänsterna samt fordonsregistreringstjänsterna och fordonsskattetjänsterna. Innehavare av körrätt, tillståndshavare och personer som ansvarar för trafiken, fordons ägare och innehavare antecknas i regel i Transport- och kommunikationsverket Traficoms register på basis av personbeteckningen. I och med personbeteckningen kopplas uppgifterna i informationssystemen i ett tidigare skede samman med befolkningsdatasystemets uppgifter, vilket minskar behovet av tekniska konstgjorda beteckningar som skapas i de interna systemen. 

Inom Helsingforsregionens kollektivtrafik förhindrar avsaknaden av personbeteckning helt anskaffande av säsongsbiljetter. Likaså är det möjligt att på ett säkrare sätt rikta en kontrollavgift inom kollektivtrafiken till rätt person med hjälp av personbeteckningen. 

Konsekvenser för näringslivet

Näringslivets aktörer har fört fram att rekryteringen av utländska personer på praktisk nivå kan underlättas, om han eller hon redan har en personbeteckning vid ankomsten till Finland. På så sätt kan man genom de föreslagna ändringarna delvis också underlätta rekryteringen av kvalificerad utländsk personal till finländska företag, högskolor och andra sammanslutningar. 

En finsk personbeteckning gör det lättare och snabbare att bli kund i en finländsk bank och omfattas av tjänster. En mer omfattande tilldelning av personbeteckning räcker dock inte ensamt till för att bli kund och få tillträde till tjänster tidigare än för närvarande. En personbeteckning tillsammans med en handling som används för påvisande av personens identitet som personen har tillgång till, naturen av personens vistelse i Finland och ett tillstånd eller en registrering som påvisar den samt hemkommun och adressuppgifter påverkar utlänningens möjligheter att bli kund i en finländsk bank och tillträdet till dess tjänster.  

Enligt 5 § 1 mom. i BDS-lagen är syftet med befolkningsdatasystemet att möjliggöra, genomföra och trygga samhällets funktioner och informationsförsörjning och att trygga möjligheterna för samhällsmedlemmarna att göra sina rättigheter gällande och fullgöra sina skyldigheter. Enligt 11 § i BDS-lagen har en person rätt att få en finsk personbeteckning när hans eller hennes uppgifter första gången registreras i befolkningsdatasystemet. Personbeteckningen i sig ger inte personen rättigheter eller skyldigheter i någon större utsträckning, men att tilldelas en sådan har faktisk central betydelse för tillgodoseendet av personens rättigheter och skyldigheter i det finländska samhället. Avsaknad av personbeteckning försvårar personens verksamhet inom många av samhällets delområden och försätter på så sätt personen i en ojämlik ställning jämfört med dem som har en personbeteckning. 

De föreslagna ändringarnas nytta för människorna grundar sig huvudsakligen på samma mekanismer genom vilka de organisationer som behandlar personbeteckningar kan dra nytta av dem. Dessa fördelar och mekanismerna för hur de uppstår har behandlats ovan i avsnitt 4.2.2.2. Även om avsaknaden av personbeteckning åtminstone inte i princip får förhindra uträttande av ärenden inom den offentliga eller privata sektorns tjänster, har den dock i praktiken ofta en betydande inverkan på tillgången på tjänster. Att uträtta ärenden utan personbeteckning är ofta långsammare och besvärligare, vartill till exempel risken för olika fel i samband med behandlingen av personuppgifter ökar. Typiskt är till exempel det, att en person som saknar personbeteckning är tvungen att besöka myndigheten fysiskt, medan en kund med personbeteckning kan sköta samma ärende per telefon eller elektroniskt. Uppgifterna om en person som saknar personbeteckning uppdateras inte heller i de olika organisationernas system via befolkningsdatasystemet, varför personen i allmänhet är tvungen att ge samma uppgifter separat till varje myndighet eller annan aktör. 

I praktiken finns det dock exempel på situationer där personbeteckningen har mer direkta verkningar än vad som beskrivs ovan. Det är inte möjligt att utan personbeteckning få ett sådant identifieringsverktyg som avses i autentiseringslagen, vilket gör det betydligt svårare för personen att verka i en elektronisk miljö. Också många informationssystemslösningar som grundar sig på personbeteckningen kan i själva verket leda till att en viss tjänst inte alls kan användas utan personbeteckning. Som ett exempel på detta kan nämnas Helsingforsregionens kollektivtrafik, där det inte är möjligt att skaffa säsongsbiljett utan personbeteckning. Tilldelning av personbeteckning tidigare än för närvarande kan också underlätta en persons sysselsättning och grundande av företag. 

Två- eller flerdubbla registeridentiteter kan orsaka problem för en person inom många tjänster, men särskilt stor risk kan de anses medföra inom hälso- och sjukvården. Om det skapas fler registeridentiteter för en person vid samma eller olika verksamhetsenheter inom hälso- och sjukvården, sammanslås uppgifterna nödvändigtvis inte alls. Personens patienthistoria och tidigare förskriven medicinering kommer därför nödvändigtvis inte till exempel till den vårdande läkarens kännedom. Detta kan i värsta fall äventyra en ändamålsenlig vård av personen samt patient- och läkemedelssäkerheten. I den informationshanteringstjänst för patientdata, läkemedelsrecept och samtycken och förbud inom hälso- och sjukvården (Kanta), som upprätthålls av Folkpensionsanstalten, specificeras människorna och deras uppgifter alltid med personbeteckningen. Om man inte känner till personbeteckningen, skrivs läkemedelsreceptet ut med namn och födelsedatum och kan ges till kunden endast i pappersform. Till exempel asylsökande besöker producenter av hälso- och sjukvårdstjänster utanför flyktingförläggningarna. I och med reformen kan asylsökande specificeras i patientdatasystemen med personbeteckningen och deras uppgifter arkiveras i Kanta. Också elektroniska recept blir möjliga för asylsökande.  

Genom de föreslagna ändringarna kan man i betydande utsträckning minska på antalet personer som saknar personbeteckning i det finländska samhället och på så sätt underlätta deltagandet i samhällets verksamhet för de personer som omfattas av ändringarna. Den föreslagna tidigareläggningen av tilldelningen av personbeteckning påverkar framför allt de utlänningar som redan vistas i Finland, såsom asylsökande. I fråga om en enskild asylsökande kan ändringen tidigarelägga tilldelningen av personbeteckning med flera månader och ibland till och med år. En asylsökande uträttar under denna tid vanligtvis ärenden hos flera myndigheter och tjänsteleverantörer inom den privata sektorn. Möjligheten för asylsökande att få sina uppgifter registrerade i befolkningsdatasystemet tidigare än för närvarande tidigarelägger också deras möjligheter att få finskt medborgarskap. I enlighet med 6 § i medborgarskapslagen kan en persons identitet anses vara utredd när personen åtminstone de senaste tio åren har använt endast den identitet som framgår av befolkningsdatasystemet. Denna tioårsperiod inleds tidigare än för närvarande, om personens uppgifter kan registreras i befolkningsdatasystemet redan i samband med asylansökan. 

Det föreslagna förfarandet för distansregistrering påverkar för sin del närmast utlänningar utanför Finland, som med hjälp av förfarandet kan registrera sina uppgifter i befolkningsdatasystemet och skaffa sig en finsk personbeteckning. Ändringen påverkar i det inledande skedet sannolikt övervägande personer som kommer till landet på grund av arbete eller studier samt utländska fastighetsköpare, som genom förfarandet för distansregistrering utöver en finsk personbeteckning också får ett e-tjänstverktyg för utlänningar som fungerar som identifieringsverktyg. Med identifieringsverktyget kan personen inleda vissa myndighetsärenden före ankomsten till Finland. Regleringen av e-tjänstverktyget för utlänningar bereds vid sidan av föreliggande proposition vid finansministeriet, och avsikten är att lagstiftningen om verktyget ska träda i kraft samtidigt med regleringen av distansregistreringen. 

Registreringen av uppgifter i befolkningsdatasystemet genom förfarandet för distansregistrering ska vara gratis för användaren. Myndigheten för digitalisering och befolkningsdata ska dock ta ut en avgift för beviljande av ett e-tjänstverktyg för utlänningar till ett belopp som motsvarar de totala kostnader som orsakas staten av produktionen av verktyget, det vill säga det så kallade självkostnadsvärdet. Eftersom rättsverkningen av förfarandet för distansregistrering i regel är beviljande av ett e-tjänstverktyg, begränsas användningen av förfarandet för distansregistrering huvudsakligen till personer som vill ha ett e-tjänstverktyg för utlänningar och som är redo att betala för beviljandet av det.  

Förslaget till en möjlighet att använda en extern tjänsteleverantör för mottagande av uppgifter för befolkningsdatasystemet och säkerställande av identiteten påverkar ställningen för alla de utlänningar som söker uppehållstillstånd i Finland genom att besöka en extern tjänsteleverantör. Före covid-19-pandemin skötte den externa tjänsteleverantören sammanlagt 5 963 ansökningar om uppehållstillstånd på åtta orter. Fram till juli 2021 hade den externa tjänsteleverantören skött sammanlagt över 2 000 ansökningar om uppehållstillstånd på tio orter och fram till utgången av maj 2022 hade den externa tjänsteleverantören tagit emot 6 484 ansökningar på elva orter. Den föreslagna ändringen påverkar nästan alla dessa personer så att de på basis av samma identifiering får en finsk personbeteckning och i detta avseende inte längre särskilt behöver besöka Myndigheten för digitalisering och befolkningsdata eller Migrationsverket. Ändringen leder således i praktiken till att ett skede i förfarandet för tilldelning av personbeteckning faller bort. 

I sin helhet kan det bedömas att de föreslagna ändringarna får konsekvenser för en stor mängd människor. Att förskjuta tilldelningen av personbeteckning till början av ansökan om uppehållstillstånd leder till att uppskattningsvis omkring 10 000 sådana personer som annars inte skulle få en personbeteckning får en sådan. Dessutom får cirka 25 000–30 000 personer en personbeteckning tidigare än för närvarande. Eftersom förfarandet för distansregistrering inte omfattar någon behovsprövning är det i princip tillgängligt för alla personer som fyllt 15 år och som innehar ett resedokument som förutsätts för förfarandet. I praktiken kan man dock anta att det årligen görs omkring 10 000–30 000 distansregistreringar. 

Tidigareläggningen av tidpunkten för beviljande av personbeteckning

Tidigareläggningen av tidpunkten för beviljande av personbeteckning påverkar framför allt Migrationsverkets verksamhet. Reformen påverkar också förfarandena och informationshanteringen för Statens ämbetsverk på Åland, Myndigheten för digitalisering och befolkningsdata och Skatteförvaltningen.  

Migrationsverket kan, om förslaget genomförs, registrera utländska medborgares uppgifter i befolkningsdatasystemet redan när personen hos Migrationsverket ansöker om uppehållstillstånd, uppehållskort, registrering av sin uppehållsrätt eller annat tillstånd eller registrering som berättigar till vistelse i Finland. Dessa ändringar medför merarbete för Migrationsverket, eftersom verket redan i ansökningsskedet ska bedöma om personens uppgifter kan registreras i befolkningsdatasystemet. Å andra sidan minskas merarbetet av de krav på säkerställande av identiteten och bedömning av tillförlitligheten för personuppgifter för personer som sökt internationellt skydd som skiljer sig från 9 och 19 § i BDS-lagen. 

Migrationsverket ska genomföra ändringar i flera olika ärendegrupper i ärendehanteringssystemet för utlänningsärenden som möjliggör registrering av personens uppgifter i befolkningsdatasystemet och tilldelning av personbeteckning också i andra skeden av behandlingen än i samband med beslutsfattande i enlighet med gällande lagstiftning som påverkar uppehållsrätten. Migrationsverket ska också genomföra de ändringar genom vilka kunderna informeras om registrering av deras uppgifter i befolkningsdatasystemet i alla situationer. 

Registreringen av den asylsökandes uppgifter i befolkningsdatasystemet ökar arbetsmängden för Myndigheten för digitalisering och befolkningsdata och, i liten utsträckning, Statens ämbetsverk på Åland i situationer där Migrationsverket inte av tekniska eller andra orsaker lyckats registrera uppgifterna. Statens ämbetsverk på Åland beslutar inom sitt verksamhetsområde om sådana registeranteckningar i befolkningsdatasystemet som gäller tillägg, ändringar eller rättelser av uppgifter om en enskild person. I det fallet ska den asylsökande styras till att registrera sig vid Myndigheten för digitalisering och befolkningsdata eller Statens ämbetsverk på Åland. I det sammanhanget ska Myndigheten för digitalisering och befolkningsdata och Statens ämbetsverk på Åland på ett särskilt överenskommet sätt få en försäkran av Migrationsverket att de ytterligare förutsättningarna för registrering av uppgifter enligt 22 § 2 mom. har uppfyllts. Bestämmelser om detta finns i 9 § 2 mom. 

Tilldelningen av personbeteckning i ett tidigare skede än för närvarande leder sannolikt också till att man oftare än nu blir tvungen att korrigera eller ändra uppgifterna i befolkningsdatasystemet. För närvarande registreras personuppgifterna om personer som sökt internationellt skydd i allmänhet i befolkningsdatasystemet när personen beviljas asyl, alternativt skydd eller uppehållstillstånd på någon annan grund. I ansökningsskedet registreras uppgifterna om den som sökt internationellt skydd för närvarande endast i exceptionella situationer och härvid är förutsättningen framläggande av en tillförlitlig utredning på basis av handlingar. Uppgifterna om den som sökt internationellt skydd kan, om förslaget genomförs, registreras i befolkningsdatasystemet redan i samband med asylansökan utan att uppgifterna grundar sig på ett giltigt resedokument eller ursprungliga legaliserade handlingar. I praktiken är det ganska vanligt att den asylsökandes personuppgifter preciseras under asylansökningsprocessen eller att de till vissa delar visar sig vara bristfälliga eller felaktiga. Till exempel uppfattningen om en persons födelsetid kan under processen ändras eller preciseras. Av dessa orsaker ökar genomförandet av förslaget sannolikt i viss mån antalet begäranden om rättelse, tillägg och ändringar. 

Enligt förslaget kan Migrationsverket och Skatteförvaltningen i fortsättningen ändra och lägga till sådana uppgifter i befolkningsdatasystemet som inte påverkar utformningen av personbeteckningen. Myndigheten för digitalisering och befolkningsdata och Statens ämbetsverk på Åland ska i egenskap av personuppgiftsansvariga för befolkningsdatasystemet svara för behandlingen av alla de begäranden om ändringar och tillägg som Migrationsverket eller Skatteförvaltningen inte behandlar. Myndigheten för digitalisering och befolkningsdata och Statens ämbetsverk på Åland ska behandla alla begäranden om korrigering av uppgifter som påverkar fastställandet av personbeteckningen. Eftersom särskilt begärandena om korrigering av födelsetiden kan antas öka i viss mån, bedöms också arbetsmängden för Myndigheten för digitalisering och befolkningsdata och, i liten utsträckning, Statens ämbetsverk på Åland öka till följd av behandlingen av dem. Den ökade arbetsmängden påverkas framför allt av Migrationsverkets och Skatteförvaltningens tekniska möjligheter att lägga till och ändra uppgifter samt mängden uppgifter som registreras utan en tillförlitlig utredning på basis av handlingar. Den ökade arbetsmängden påverkas också i enlighet med det föreslagna 22 § 2 mom. av den tidpunkt när uppgifter som grundar sig på annan utredning än ett resedokument eller ursprungliga och legaliserade handlingar registreras i befolkningsdatasystemet och på basis av en hurdan utredning uppgifterna registreras. När Migrationsverket vid behandlingen av en asylansökan uppdagar behov av att korrigera, lägga till eller ändra uppgifter som registrerats i befolkningsdatasystemet, underrättar Migrationsverket Myndigheten för digitalisering och befolkningsdata eller Statens ämbetsverk på Åland om detta. En betydande andel av anmälningarna sänds sannolikt åtminstone i början av förfarandet från Migrationsverket på annat sätt än med hjälp av ett tekniskt gränssnitt, varvid Myndigheten för digitalisering och befolkningsdata eller Statens ämbetsverk på Åland granskar uppgifterna i anmälan och registrerar uppgifterna i befolkningsdatasystemet. Detta förfarande orsakar merarbete framför allt för Migrationsverket och Myndigheten för digitalisering och befolkningsdata.  

Utvidgande av Migrationsverkets och Skatteförvaltningens uppgifter till uppdatering av uppgifter

För Migrationsverket och Skatteförvaltningen föreslås en rätt att i begränsad utsträckning ändra i befolkningsdatasystemet registrerade uppgifter om en person samt att lägga till saknade uppgifter i systemet. Om förfarandet för distansregistrering tas i bruk fogas till befolkningsdatasystemet nya grupper av uppgifter som Migrationsverket och Skatteförvaltningen deltar i att upprätthålla och uppdatera. Nya uppgiftsgrupper är framför allt en uppgift som beskriver sättet för identifiering eller specificering av personen samt en uppgift som beskriver källan för uppgifterna om personens namn, födelsetid, kön och medborgarskap. 

Man strävar efter att med hjälp av tekniska gränssnitt så täckande som möjligt uppdatera uppgifterna från Migrationsverkets och Skatteförvaltningens informationssystem till befolkningsdatasystemet. Migrationsverket och Skatteförvaltningen ska genomföra integreringar i sina informationssystem till de tekniska gränssnitt som Myndigheten för digitalisering och befolkningsdata genomför, med vilka befolkningsdatasystemets uppgifter uppdateras. Uppdatering av uppgifter genom tekniska gränssnitt förutsätter satsningar på utveckling av system vid Myndigheten för digitalisering och befolkningsdata, Migrationsverket och Skatteförvaltningen samt tid för genomförandet. De gränssnitt som används för uppdateringar omfattar framför allt i inledningsskedet av förfarandet inte alla uppdateringssituationer och dessa brister blir man tvungen att täcka genom mindre automatiserade förfaranden som orsakar merarbete vid Skatteförvaltningen, Migrationsverket, Myndigheten för digitalisering och befolkningsdata samt Statens ämbetsverk på Åland. Ett smidigt ibruktagande av dessa metoder förutsätter framför allt av Myndigheten för digitalisering och befolkningsdata satsningar på stöd till Migrationsverkets och Skatteförvaltningens personal. En utländsk medborgare behöver dock inte i dessa situationer särskilt besöka Myndigheten för digitalisering och befolkningsdata eller Statens ämbetsverk på Åland, eftersom uppdateringen av uppgifter kan göras i samband med uträttande av skatte- eller uppehållsrättsärenden. Ändringar i uppgifterna för de aktörer som deltar i medborgares identitetshantering medför ändringsbehov med kostnadsverkningar också i fråga om andra tjänster som Myndigheten för digitalisering och befolkningsdata tillhandahåller än befolkningsdatasystemet. 

Det föreslagna förfarandet för distansregistrering är ett nytt förfarande för registrering av utländska medborgares uppgifter i befolkningsdatasystemet. Förfarandet för distansregistrering grundar sig på identifiering av personen genom självbetjäning, som avviker från den nuvarande huvudregeln, där en myndighet i samband med ett personligt besök ska säkerställa identiteten hos en person som begär registrering. Ibruktagandet av förfarandet har därför identifierats vara behäftat med risker för missbruk som har samband med skapandet av registeridentiteter. Minskandet av de risker för missbruk som förfarandet för distansregistrering medför orsakar merarbete för såväl beskickningar, externa tjänsteleverantörer och Migrationsverket som för Skatteförvaltningen när de försäkrar sig om utländska medborgares identitet i samband med ett personligt besök och bedömer ändring och tillfogande av tidigare distansregistrerade personers uppgifter i befolkningsdatasystemet.  

I samband med att uppgifter registreras, ändras och läggs till i befolkningsdatasystemet ska man säkerställa att förfarandena inte utnyttjas för att försumma skyldigheter som gäller beskattningen eller för brottsliga ändamål. De åtgärder som vidtas för att minska riskerna, som till exempel granskningar av registret för att förebygga flera registreringar av samma person samt för att säkerställa uppehållsrätten och rätten att arbeta medför arbete för Skatteförvaltningen som kan bedömas öka när mängden registreringar av utländska personer ökar. På motsvarande sätt är det Migrationsverkets uppgift att tillse att utlänningslagen iakttas och på så sätt bekämpa till exempel olaglig invandring så att förfarandena för att registrera, lägga till och ändra uppgifter i befolkningsdatasystemet inte används för invandring på felaktiga grunder. Också Migrationsverkets arbetsmängd vad gäller riskhantering kan antas öka i takt med att mängden registreringar av utländska personer ökar. Ökningen av Migrationsverkets bestående arbetsmängd beräknas uppgå till cirka tre årsverken. Skatteförvaltningens arbetsmängd beräknas öka i mindre utsträckning. 

Utnyttjande av externa tjänsteleverantörer

En annan Schengenstats beskickning eller en extern tjänsteleverantör kan, om förslaget genomförs, fastställa identiteten hos en person som från utlandet ansöker om uppehållstillstånd också för registrering av personens uppgifter i befolkningsdatasystemet. Den nya uppgiften ska ingå i aktörernas nuvarande uppgifter när de kontrollerar identiteten hos en person som ansöker om uppehållstillstånd för behandlingen av ansökan om uppehållstillstånd. Förslaget har inte heller några direkta myndighetskonsekvenser för utrikesministeriet, som samordnar utläggningen av uppgifter som gäller uppehållstillstånd, eller för de beskickningar som sköter uppgifter som gäller uppehållstillstånd, som till exempel sörjer för kvalitetskontrollen av de identitetskontroller som utförs av den externa tjänsteleverantören.  

När en utländsk medborgares uppgifter vid Migrationsverket kan registreras i befolkningsdatasystemet också på basis av en annan Schengenstats beskicknings eller en extern tjänsteleverantörs fastställande av identiteten, minskar antalet begäranden om registrering av utländska medborgares uppgifter som riktas till Skatteförvaltningen, Myndigheten för digitalisering och befolkningsdata och Statens ämbetsverk på Åland i motsvarande utsträckning. Den minskade arbetsmängden är dock obetydlig särskilt för Myndigheten för digitalisering och befolkningsdata eller Statens ämbetsverk på Åland, eftersom de fortfarande i fråga om alla personer ansvarar för kompletteringen av uppgifterna om familjeförhållanden och hemkommun i befolkningsdatasystemet. 

Migrationsverket ska ansvara för registreringen av utländska medborgares uppgifter i befolkningsdatasystemet inom uppehållsrättsprocessen. Om förslaget genomförs registrerar Migrationsverket en utländsk persons uppgifter i befolkningsdatasystemet också när en annan Schengenstats beskickning eller en extern tjänsteleverantör kontrollerat identiteten hos en person som ansöker om uppehållstillstånd. Migrationsverket ska verifiera de uppgifter om en person som ansöker om uppehållstillstånd som kan registreras innan de registreras. Det merarbete som orsakas Migrationsverket minskas av att denna uppgift avgränsas till situationer där den utländska medborgaren presenterar ett giltigt resedokument. Fogande av en annan Schengenstats beskickning och en extern tjänsteleverantör till de aktörer som kan försäkra sig om identiteten hos dem som ansöker om uppehållstillstånd också för registrering, ändring eller tillfogande av uppgifter i befolkningsdatasystemet kan orsaka ändringsbehov för Migrationsverket i ärendehanteringssystemet för utlänningsärenden.  

När en annan Schengenstats beskickning eller en extern tjänsteleverantör försäkrar sig om identiteten hos den som ansöker om uppehållstillstånd också för registrering av personens uppgifter i befolkningsdatasystemet, ska Myndigheten för digitalisering och befolkningsdata i efterskott kunna säkerställa att en annan Schengenstats beskickning eller den externa tjänsteleverantören har identifierat den som ansöker om uppehållstillstånd i överensstämmelse med kraven i 9 § i BDS-lagen. För att garantera denna möjlighet till säkerställande i efterskott ska Myndigheten för digitalisering och befolkningsdata på begäran kunna få de handlingar och upptagningar som bevarats över den identifiering som utförts av den andra Schengenstatens beskickning eller den externa tjänsteleverantören. I detta syfte ska utrikesministeriet, Migrationsverket och Myndigheten för digitalisering och befolkningsdata skapa och etablera förfaranden för kontrollen. 

Förfarandet för distansregistrering och befolkningsdatasystemets nya uppgifter

I denna proposition föreslås det att det ska skapas en möjlighet för utländska medborgare att registrera sina uppgifter i befolkningsdatasystemet och få en personbeteckning inom det förfarande för distansregistrering som grundar sig på självbetjäning med hjälp av en mobilapplikation, där man försäkrar sig om identiteten genom att använda sig av ett ansiktsigenkänningsprogram och den ansiktsbild som ingår i resedokumentets tekniska del. I samband med införandet av förfarandet börjar man i befolkningsdatasystemet registrera nya uppgifter genom vilka man beskriver sättet för identifiering eller specificering av personen samt uppgift som beskriver källan för uppgifterna om personens namn, födelsetid, kön och medborgarskap. Dessutom börjar man i samband med införandet av förfarandet att i systemet registrera specifikations- och giltighetstidsuppgifter om det resedokument som använts för säkerställande av identiteten samt, i större utsträckning än för närvarande, utomlands tilldelade nationella identifikationsnummer och andra allmänna identifikationskoder.  

Myndigheten för digitalisering och befolkningsdata svarar för genomförandet av den mobilapplikation som är avsedd för distansregistrering. Myndigheten för digitalisering och befolkningsdata ansvarar också för de övriga informationssystemstillämpningar som införandet av förfarandet för distansregistrering förutsätter, såsom tillämpningar som möjliggör tjänstemannabehandling av begäranden som gjorts inom förfarandet för distansregistrering, tekniska gränssnitt för överföring av uppgifter samt ändringar i befolkningsdatasystemets databas. Myndigheten för digitalisering och befolkningsdata ansvarar också för genomförandet av de ändringar som behövs i fråga om utlämnande av uppgifter ur befolkningsdatasystemet, det vill säga i informationstjänsterna på grund av införandet av förfarandet för distansregistrering och de nya uppgifterna. Införandet av förfarandet för distansregistrering och registreringen av nya uppgifter medför dessutom behov av ändringar i Myndigheten för digitalisering och befolkningsdatas andra tjänster än befolkningsdatasystemet. 

Behandlingen av begäranden om registrering som anhängiggjorts inom förfarandet för distansregistrering och som styrts till tjänstemannabehandling vid Myndigheten för digitalisering och befolkningsdata är en ny uppgift för myndigheten som kompletterar förfarandena för behandling av övriga begäranden om registrering av uppgifter i befolkningsdatasystemet och som ökar arbetsmängden för Myndigheten för digitalisering och befolkningsdata. Likaså är det förfarande där en tidigare distansregistrerad persons uppgifter ändras eller läggs till i befolkningsdatasystemet när den utländska medborgaren personligen besöker Myndigheten för digitalisering och befolkningsdata ett nytt förfarande för myndigheten som kompletterar andra förfaranden för ändring och tillfogande av uppgifter i befolkningsdatasystemet. Det är också möjligt att ibruktagandet av förfarandet för distansregistrering ökar antalet korrigeringar, ändringar och tillägg av distansregistrerade personers uppgifter i befolkningsdatasystemet som görs vid Myndigheten för digitalisering och befolkningsdata. 

Ekonomiska inbesparingar

Ovan i avsnitten 4.2.2.2 och 4.2.2.3 behandlas den nytta som samhällets olika områden och människor kan dra av de föreslagna ändringarna. De fördelar som förslagen eftersträvar är till största delen kvalitativa, men delvis också sådana att de kan antas medföra ekonomiska inbesparingar. I praktiken blir de ekonomiska inbesparingarna i fråga om enskilda organisationer oftast relativt små, men det är möjligt att uppnå sådana i mycket omfattande utsträckning. Allmänt taget möjliggör ändringarna en effektivare allokering av personalresurser, när behovet av manuellt utrednings- och samordningsarbete i samband med behandlingen av konstgjorda beteckningar samt behovet av att korrigera fel minskar. På grund av inbesparingarnas karaktär är det mycket svårt att bedöma hur stora de blir i euro, men som helhet betraktat kan det dock antas att besparingarna är större än de tilläggsresurser som genomförandet av de föreslagna ändringarna förutsätter. 

Kostnader för Myndigheten för digitalisering och befolkningsdata och Statens ämbetsverk på Åland

Uppnåendet av propositionens mål förutsätter en mer utvecklad hantering av uppgifterna om personers identitet som byggs i samband med befolkningsdatasystemet och som möjliggör distansregistrering av personer liksom registrering i ett tidigare skede av processerna för uträttande av ärenden. I samband med införandet av förfarandet för distansregistrering skapas i befolkningsdatasystemet en möjlighet att registrera nya bakgrundsuppgifter, av vilka uppgiften om identifiering av personen eller sättet för specificering också visar på att uppgiften distansregistrerats. Förvaltningen av befolkningsdatasystemet och dess informationstjänster bör dessutom revideras så att de stöder hanteringen av distansregistrerade personers identiteter. Möjligheten att tilldela en utländsk medborgare en personbeteckning i ett tidigare skede, ändringarna i uppgifterna för de aktörer som deltar i utländska medborgares identitetshantering och införandet av nya uppgifter medför ändringsbehov även i andra tjänster som Myndigheten för digitalisering och befolkningsdata tillhandahåller än befolkningsdatasystemet. De omedelbara engångskostnaderna för ändringarna i de tjänster och system som Myndigheten för digitalisering och befolkningsdata äger är sammanlagt 793 200 euro år 2022 och 206 000 euro år 2023.  

Åtgärderna för utvecklande av befolkningsdatasystemets identitetshantering förutsätter när antalet utlänningar som registreras ökar bestående personalökningar vid Myndigheten för digitalisering och befolkningsdata för hantering av det nya registreringsförfarandet samt för säkerställande av tillförlitligheten för uppgifterna i befolkningsdatasystemet. Förfarandet för distansregistrering och dess stödfunktioner, förhindrande av flera registreringar av samma personer och utredningar av sådana i efterskott, det ökade behovet av att korrigera, ändra och lägga till uppgifter samt stödjandet av Skatteförvaltningen, beskickningarna och Migrationsverket i deras ändrade uppgifter ökar arbetsmängden vid Myndigheten för digitalisering och befolkningsdata. Arbetsmängden börjar öka redan år 2022 och medför ytterligare kostnader om 64 000 euro. Dessutom medför upprätthållandet av det informationssystem som förfarandet för distansregistrering förutsätter fasta kostnader för Myndigheten för digitalisering och befolkningsdata. Den ökande arbetsmängden och kostnaderna för förvaltning av informationssystemet medför från och med 2023 en årlig fast tilläggskostnad på sammanlagt 1 060 000 euro i omkostnaderna för Myndigheten för digitalisering och befolkningsdata. 

När det gäller Statens ämbetsverk på Åland medför beviljande av personbeteckning till utlänningar tidigare och i större utsträckning än för närvarande en mindre ökning av arbetsmängden och medför inget behov av tilläggsanslag för ämbetsverket. 

Kostnader för Migrationsverket

Migrationsverket orsakas kostnader av engångsnatur i samband med ibruktagandet av alla i detta avsnitt behandlade ändringar. Tidigareläggningen av det skede när personbeteckningen beviljas, införandet av distansregistreringen och systemändringarna i samband med förändringarna i Migrationsverkets uppgifter beräknas föranleda Migrationsverket en engångskostnad på sammanlagt 680 500 euro.  

Utöver ovannämnda kostnader av engångsnatur ökar Migrationsverkets uppgifter för att upprätthålla befolkningsdatabasens uppgifter. Skötseln av uppgifterna förutsätter ett bestående behov av tilläggsanslag motsvarande fem till åtta årsverken vid Migrationsverket, vilket kräver ett årligt tilläggsanslag på högst cirka 480 000 euro. Resursbehovet påverkas emellertid i stor utsträckning av innehållet i den kommande allmänna lagstiftningen om automatiserat beslutsfattande och den möjlighet att automatisera verksamheten som följer av den. 

Kostnader för Skatteförvaltningen

Förslagen om en mer omfattande registrering av utlänningar i befolkningsdatasystemet än för närvarande har ekonomiska följder också för Skatteförvaltningen. Enligt en preliminär uppskattning föranleder ett genomförande av de föreslagna ändringarna i Skatteförvaltningens beskattningsverksamhet en engångskostnad på omkring 550 000 euro åren 2022–2024. Inkomstregisterverksamheten orsakas engångskostnader på cirka 680 000 euro åren 2022–2023, vilket omfattar kostnaderna för projektet med det positiva kreditupplysningsregistret. Uppskattningen omfattar behövliga ändringar av informationssystemen och personalresurserna. Utöver kostnaderna av engångsnatur uppskattar Skatteförvaltningen att dess uppgifter för att upprätthålla befolkningsdatabasens uppgifter fördubblas.  

Kostnader för Polisen

Beviljande av personbeteckning till utlänningar tidigare och i större utsträckning än för närvarande medför enligt Polisstyrelsens uppskattning en omedelbar engångskostnad för köpta tjänster på omkring 360 000 euro. Om ändringen beaktas i större utsträckning i polisens verksamhet och informationssystem, kan totalkostnaderna enligt Polisstyrelsens preliminära bedömning under de kommande åren uppgå till omkring två miljoner euro i form av kostnader för köpta tjänster samt tillfälliga ökningar av personalkostnaderna motsvarande tre eller fyra årsverken. Också Centralkriminalpolisen har bedömt att utnyttjandet av uppgifter om distansregistrerade kräver ändringar i informationssystemen. Skyddspolisen har bedömt att den föranleds liknande kostnader som polisen i övrigt. 

Polisstyrelsen upprätthåller och driver ett system med vilket administreras de certifikat och spärrlistor som används för kontroll av underskrifterna på identifieringshandlingars chip. Systemet används för närvarande av säkerhetsmyndigheterna, som för sitt eget bruk automatiskt uppdaterar de kontinuerligt uppdaterade listorna över tillförlitliga certifikat. Polisstyrelsen kunde i enlighet med de principer som man kommer överens om med Myndigheten för digitalisering och befolkningsdata i samma system också upprätthålla en lista över certifikat som godkänts för distansregistrering. De tekniska ändringar som krävs är små. Den arbetsmängd som behövs, som också omfattar sakkunnigarbete i samband med genomförandet och den vidareutvecklandet av distansregisteringen, uppgår till en bestående kostnad på ett årsverke, och bör anvisas som tillägg till Polisens omkostnader. 

Kostnader för organisationer som behandlar BDS-uppgifter som grundar sig på distansregistrering

Befolkningsdatasystemets uppgifter som grundar sig på distansregistrering utlämnas enligt förslaget endast tillsammans med den uppgift som beskriver sättet för identifiering eller specificering av personen. Dessutom är det en förutsättning för utlämnande av uppgifter att den organisation som tar emot uppgifterna kan särskilja mellan uppgifterna om personer som identifierats inom förfarandet för distansregistrering och uppgifterna om personer som identifierats på annat sätt. På grund av kraven förutsätter utnyttjandet av BDS-identiteter som grundar sig på distansregistrering i allmänhet ändringar av engångsnatur i informationssystemen. Framför allt bedömer aktörerna att ändringen av behandlingslogiken för systemens uppgifter till att motsvara de krav som uppställts för behandlingen av uppgifter som baserar sig på distansregistrering är ett föremål för ändring. Också verkställandet eller ändringen av informationssystemens gränssnitt ansågs medföra kostnader. Behandlingen av BDS-identiteter som grundar sig på distansregistrering ansågs också medföra andra processändringar i samband med informationshanteringen som föranleder kostnader vid de organisationer som tar emot uppgifter.  

De organisationer som i fortsättningen behandlar BDS-uppgifter som grundar sig på distansregistrering föranleds kostnader vars storleksklass i stor utsträckning är beroende av bransch, de informationssystem som används och deras ålder samt övriga motsvarande faktorer. På basis av svaren på den begäran om information som gjordes våren 2022 är det inte möjligt att bilda ett enhetligt enhetspris för det resursbehov som krävs för utnyttjande av distansregistrerade uppgifter och avskiljande av dem från övriga uppgifter. Kostnaderna för ändringen är långt beroende av i vilka uppgifter informationen utnyttjas och vilka informationssystem och deras gränssnitt som stöder uppgifterna som ska ändras. Kostnadsberäkningarna från de statliga myndigheter som utnyttjar distansregistrerades uppgifter varierar från några tiotals tusen till cirka 500 000 euro. I fråga om de svar som inkommit på begäran om information är den sammanlagda ändringskostnaden för de statliga ämbetsverk och inrättningar som utnyttjar uppgifterna uppskattningsvis omkring 2,2 miljoner euro. I summan ingår inte ovannämnda kostnader som orsakas de myndigheter som deltar i upprätthållandet av utlänningars uppgifter i befolkningsdatasystemet. I fråga om övriga myndigheter inom den offentliga förvaltningen och offentligrättsliga organ kan man lyfta fram Folkpensionsanstaltens bedömning av den kostnad på cirka 700 000 euro som den föranleds av utnyttjandet av uppgifter som grundar sig på distansregistrering. Universitetens och högskolornas uppskattningar uppgår till mellan 50 000 och 120 000 euro för de enskilda läroanstalterna. Den sammanräknade uppskattningen för Pensionsskyddscentralen och Sysselsättningsfonden, som sköter offentliga förvaltningsuppgifter, på cirka 200 000 euro har gjorts för hela arbetspensionsområdet. I de svar som inkommit från kommuner och samkommuner varierar kostnadsberäkningarna mellan 3 000 och 650 000 euro. På grund av det låga antalet svar är det på basis av svaren inte möjligt att ge en allmän bedömning för hela kommunsektorn. Också välfärdsområdenas bedömningar varierade stort, vilket inte berodde på välfärdsområdets eller landskapens social- och hälsovårdssamkommuners storleksklass. Av de fyra välfärdsområden och samkommuner av ungefär samma storlek och motsvarande uppgifter som besvarade begäran om information uppskattade två att kostnaderna för ändringen rör sig i storleksklassen 16–17,5 miljoner euro, medan de två andra uppskattade kostnaderna till ungefär 400 000 euro. På basis av svaren från privata företag och sammanslutningar hade användningen av uppgifter som grundar sig på distansregistrering närmast övervägts i företag inom energibranschen. De detaljerade beräkningarna varierar från cirka 15 000 euro till 230 000 euro. 

Utnyttjande av BDS-identiteter som grundar sig på distansregistrering ska vara frivilligt, vilket innebär att det i sista hand hör till de organisationer som tar emot uppgifter att bedöma kostnaderna och ställa dem i relation till den nytta som uppnås. Myndigheterna och de privata aktörer som getts i uppdrag att sköta i lag föreskrivna uppgifter ska mot bakgrund av genomförandet av sina uppgifter bedöma behovet av att ta emot och behandla distansregistrerade personers BDS-uppgifter. Av denna anledning fördelar sig också kostnaderna över flera år. Också i de svar som lämnats på begäran om information våren 2022 beaktades att de ändringar som medför kostnader infaller under åren 2022–2027. 

De övriga förslag om en mer omfattande BDS-registrering av utlänningar som ingår i propositionen föranleder inte kostnader för de organisationer som utnyttjar uppgifterna i befolkningsdatasystemet. 

Konsekvenser för befolkningsdatasystemets ställning, dess allmänna tillförlitlighet och personbeteckningarnas tillräcklighet

I propositionen föreslås det att den krets av personer som registreras i befolkningsdatasystemet ska utvidgas betydligt. Likaså föreslås det i propositionen att de förfaranden där registreringar kan göras ska utvidgas och att identifiering av personer för registrering i befolkningsdatasystemet med ansiktsigenkänningssystem samt av externa tjänsteleverantörer ska möjliggöras. I praktiken ska i befolkningsdatasystemet i och med ändringarna i fortsättningen registreras fler sådana utländska personer som inte identifierats personligen vid en finländsk myndighet eller vilkas identitet inte kunnat säkerställas ur lämpliga handlingar. 

De ändringar som föreslås i propositionen förväntas dock inte påverka befolkningsdatasystemets ställning, tillförlitlighet eller användbarhet som samhällets grundregister. I propositionen föreslås utöver ovan beskrivna utvidgningar att till befolkningsdatasystemet ska fogas nya fält med tilläggsuppgifter som beskriver källan till personens grundläggande uppgifter samt sättet för identifiering eller specificering. Med hjälp av de nya uppgifterna är det möjligt att vid behov särskilja mellan de registeridentiteter som registreras genom olika förfaranden. I själva verket registreras i befolkningsdatasystemet dessutom för närvarande också uppgifter om sådana personer vars identitet man inte kunnat försäkra sig om med hjälp av officiella handlingar och personer som registreras i systemet på basis av en myndighets begäran med mycket bristfälliga uppgifter. Enligt förslagen ska BDS-identiteter baserade olika säkerhetsnivåer avvikande från nuläget vara möjliga att särskilja från varandra, vilket allmänt taget kan bedömas förbättra kvaliteten på systemets uppgifter. Dessutom ska man alltid kunna särskilja registeridentiteter som grundar sig på distansregistrering från de registeridentiteter som grundar sig på en personlig identifiering av personen. 

Ändringarna leder också till att i befolkningsdataregistret registreras betydligt fler personer som aldrig permanent flyttar till Finland eller vilkas vistelse i Finland blir kortvarig. Dessa personers uppgifter används dock inte i omfattande utsträckning i det finländska samhället på grund av att personerna inte verkar i Finland. Dessa personers uppgifter lämnas i praktiken knappt alls ut ur befolkningsdatasystemet och det att deras uppgifter inte är uppdaterade är således inte något betydande problem för dem som använder befolkningsdatasystemets uppgifter. Eftersom uppgifterna i själva verket bara stannar i befolkningsdatasystemet, antas ändringen inte orsaka särskilda problem eller risk för missbruk. 

De föreslagna ändringarna möjliggör registrering av utländska personers uppgifter i befolkningsdatasystemet i en betydligt större utsträckning än för närvarande, varför de också betydligt ökar förbrukningen av personbeteckningar. Varje person vars uppgifter registreras i befolkningsdatasystemet ska ges en unik personbeteckning. Eftersom personbeteckningen är bunden till födelsetiden finns det ett begränsat antal beteckningar för varje dag. Personbeteckningarnas tillräcklighet har från och med ingången av 2023 lösts för en lång tid i framtiden genom att man tagit i bruk nya skiljetecken för århundraden. Den tillräcklighetslösning som uppnåtts ökar antalet beteckningar så mycket jämfört med nuläget, att de ändringar som föreslås i denna proposition inte förutspås medföra några problem vad gäller beteckningarnas tillräcklighet. 

Konsekvenser för säkerheten och brottsbekämpningen

Framför allt i det föreslagna förfarandet för distansregistrering kan antas ingå större risker än i de nuvarande förfarandena vad gäller identifieringen av personer som registreras i befolkningsdatasystemet. Inom förfarandet för distansregistrering säkerställs identiteten automatiskt med hjälp av ett ansiktsigenkänningsprogram och det resedokument som visas upp inom tillämpningen utan att personen personligen behöver besöka myndigheten. När en extern tjänsteleverantör sköter uppgifter som för närvarande hör till en finsk beskickning försäkrar man sig däremot om identiteten fysiskt, men endast vid det privata företag som sköter uppgiften. I förfarandet ingår inte heller då säkerställande av identiteten vid en finländsk myndighet.  

De myndigheter som ansvarar för säkerheten har vid beredningen av ärendet påpekat de risker som hänger samman med en osäker identifiering av en person särskilt vid förfarandet för distansregistrering. Genom falska identiteter som skapas i befolkningsdatasystemet och de identifieringsverktyg och handlingar som beviljas på basis av dem kan man försöka främja underrättelseåtgärder och terrorhandlingar som äventyrar den nationella säkerheten. Det förändrade nationella säkerhetsläget har för sin del också accentuerat riskerna för missbruk av befolkningsdatasystemet. Även om personbeteckningen inte i sig medför rättigheter eller skyldigheter för innehavaren, utnyttjas den de facto ofta som ett redskap för identifiering av en person och med hjälp av den kan också ingås vissa rättsliga åtaganden. Möjligheten att skapa en personbeteckning med hjälp av en annan persons personuppgifter kan således också skapa möjligheter att ingå rättsliga åtaganden i en annan persons namn. Samma person kan genom att agera på detta sätt få tillgång till flera identiteter som registrerats i befolkningsdatasystemet. Säkerställandet av identiteten hos den som registrerar sig på ett så säkert sätt som möjligt i samband med registreringen i befolkningsdatasystemet är ett viktigt sätt att förebygga utnyttjande av personbeteckningar och andra uppgifter i befolkningsdatasystemet i samband med missbruk. Personbeteckningen kan också tilldelas den riktiga innehavaren av resedokumentet, som därefter överlämnar uppgifterna vidare och möjliggör ingående av rättsliga åtaganden. I princip kunde de föreslagna ändringarna i förfarandena för registrering i befolkningsdatasystemet på så sätt öka möjligheterna till bedrägeribrott och annat missbruk med hjälp av personbeteckningar och andra uppgifter i systemet. 

Det automatiska ansiktsigenkänningssystem som ingår i förfarandet för distansregistrering når åtminstone under de närmaste åren inte upp till samma säkerhetsnivå som identifiering som utförs av en människa. Ansiktsigenkänningsprogrammen är i sig redan nu mycket exakta, men det är under vissa förutsättningar möjligt att vilseleda dem i samband med sådana identifieringssituationer som distansregistreringsförfarandet till exempel med så kallad deep fake-teknik. Det är därför ändamålsenligt att följa med utvecklingen av ansiktsigenkänningstekniken för upptäckande av videomanipulationstekniker och upprätthålla bästa möjliga förmåga att upptäcka försök till missbruk. Genom att manipulera videobilden kunde det vara möjligt att skapa en registeridentitet och få en personbeteckning i en annans namn. I praktiken minskas den beskrivna risken dock väsentligt av att förfarandet för distansregistrering alltid omfattar säkerställande av äktheten och integriteten hos de uppgifter som registrerats i den tekniska delen av det resedokument som används vid registreringen. Sannolikheten för att man lyckas registrera samma persons uppgifter flera gånger minskas dessutom väsentligt av en omfattande innehållsmässig kvalitetskontroll av uppgifterna inom tjänsten, genom vilka i befolkningsdatasystemet endast registreras granskade uppgifter som insamlats från resedokument samt uppgifter som jämförts med uppgifter som tidigare registrerats i befolkningsdatasystemet. Det är därför endast möjligt att registrera sina uppgifter en gång med ett och samma resedokument. Dessutom för och utnyttjar Myndigheten för digitalisering och befolkningsdata en förteckning över resedokument som på grund av misstankar om missbruk inte kan användas inom förfarandet för distansregistrering. Skapande av en BDS-identitet i en annans namn förutsätter alltså alltid att den som registrerar sig först får tillgång till den berörda andra personens giltiga och tekniskt läsbara resedokument som saknas i Myndigheten för digitalisering och befolkningsdatas ovannämnda förteckning. Förfarandet för distansregistrering gör det därför inte möjligt att i stor utsträckning fabricera falska identiteter i befolkningsdatasystemet med mindre än att man fått flera resedokument i sin besittning eller en utländsk stats åtgärder för omfattande fabricering av falska identiteter. Betalningen av e-tjänstverktyget för utlänningar i det inledande skedet av förfarandet för distansregistrering är också ägnat att minska risken för missbruk. 

Via förfarandet för distansregistrering är det dock på ovan beskrivna sätt möjligt att skapa en enskild BDS-identitet i någon annans namn genom att till exempel använda ett stulet resedokument och exempelvis ovannämnda deep fake-teknik. Användning av deep fake-teknik eller motsvarande metoder kommer dock knappast att vara den till antalet mest allmänna formen av missbruk. Som den centrala formen av missbruk kvarstår sannolikt den metod som utnyttjas redan inom de nuvarande registreringsförfarandena, där resedokumentets rättmätiga innehavare begär registrering, men där innehavaren efter registreringen av uppgifterna överlåter sina registrerade uppgifter och andra uppgifter som kan utnyttjas vid missbruk till en annan person för att utnyttjas till exempel för att begå bedrägeribrott eller andra ekonomiska brott.  

Oberoende av missbruksmetoden ska brottsundersökningsmyndigheten kunna utreda vem som registrerat uppgifterna samt de handlingar som utnyttjats vid registreringen av uppgifterna. De uppgifter som registrerats i befolkningsdatasystemet, liksom även kopiorna på de handlingar som ligger till grund för registreringen bevaras permanent. De bilder och videoupptagningar som personen tagit av sig själv i samband med förfarandet för distansregistrering förvaras dock endast en kort tid och förvaringstiden möjliggör i princip inte att dessa uppgifter som använts för ansiktsigenkänning utnyttjas vid utredande av brott i efterhand. Myndigheten för digitalisering och befolkningsdata kan dock i egenskap att personuppgiftsansvarig för förfarandet för distansregistrering övervaka användningen av förfarandet och vid behov också göra en polisanmälan om brottsmisstanken till förundersökningsmyndigheten genast på basis av en begäran om registrering inom förfarandet för distansregistrering. I dessa situationer kunde förundersökningsmyndigheten utöver uppgifter som bevaras permanent också utnyttja bilder och videoinspelningar från förfarandet för distansregistrering vid utredande av brott. Eftersom personen som försöker registrera uppgifter sannolikt befinner sig utomlands är det särskilt viktigt att sträva efter att förebygga och förhindra missbruk, eftersom undersökningen av brottsmisstankar i typfallen är svårare, långsammare och dyrare än undersökningen av brottsmisstankar i situationer där personen vistas i Finland. Vid förebyggande av missbruk betonas effektiviteten hos de tekniska kontrollerna inom den tjänst som Myndigheten för digitalisering och befolkningsdata använder för distansregistrering och myndighetens tillsynsåtgärder. Till exempel för säkerställande av en tillräcklig informationssäkerhet och tillförlitligheten vad gäller säkerställande av identiteten har behandlingen och analysen av de uppgifter som anges i samband med distansregistreringen separerats mellan den terminal som personen använder och den bakgrundstjänst som Myndigheten för digitalisering och befolkningsdata besitter. Inom den tjänst som används för distansregistrering genomförs också andra egenskaper genom vilka man försöker säkerställa kvaliteten på tjänsten. Myndigheten för digitalisering och befolkningsdata beaktar i de tekniska kontrollerna och tillsynsåtgärderna också hanteringen av stora antal begäranden om distansregistrering i störningssyfte. 

De facto är den centrala riskhanteringsmetoden i efterhand att ingripa i möjligheterna att utnyttja en annan persons identitet som ett redskap för missbruk. I praktiken har man redan vidtagit många åtgärder i detta syfte. När det gäller distansregistreringen begränsas möjligheterna till missbruk ytterligare betydligt av bestämmelsen i 34 a § i det första lagförslaget, enligt vilken uppgifter om en person som identifierats genom förfarandet för distansregistrering ska få lämnas ut ur befolkningsdatasystemet endast tillsammans med i 13 § 1 mom. 22 punkten i lagen avsedda uppgift som beskriver sättet för identifiering eller specificering. Den som tar emot uppgifterna ska också kunna särskilja mellan uppgifterna för distansregistrerade personer och uppgifterna för personer som identifierats på annat sätt. Nämnda krav begränsar de faktiska möjligheterna att utnyttja en personbeteckning och andra uppgifter som grundar sig på distansregistrering betydligt och begränsar på så sätt samtidigt möjligheterna att utnyttja förfarandet för distansregistrering som ett medel för missbruk. Till exempel inom ärendehanteringstjänsterna kunde det fastställas vilka e-tjänster det e-tjänstverktyg för utlänningar som fås i samband med distansregistrering berättigar till och hur fastställande av identiteten personligen påverkar möjligheterna att utnyttja e-tjänster. Dessa avgöranden förutsätter dock att de organisationer och ärendehanteringstjänster som utnyttjar distansregistrerade personers uppgifter är medvetna om riskerna för missbruk. 

I externa tjänsteleverantörers verksamhet kontrolleras eventuell osäkerhet i samband med säkerställande av identiteten i första hand genom de förfaranden som föreskrivs i 69 c–69 f § i utlänningslagen. Den externa tjänsteleverantören kan redan för närvarande kontrollera identiteten hos den som ansöker om uppehållstillstånd på de orter, där utrikesministeriet har avtalat om utläggning av uppgifter som gäller uppehållstillstånd med bolaget VFS Global. För villkoren för utläggning av uppgifter som gäller uppehållstillstånd redogörs i 69 e § i utlänningslagen. Sådana villkor är bland annat att de personer som ansvarar för verksamheten och de anställda har konstaterats vara tillförlitliga och utbildade att sköta uppgifter som avses i 69 c §. I paragrafen förutsätts också iakttagande av en effektiv datasäkerhet och utrikesministeriets anvisningar. Bestämmelsen innehåller också närmare datasäkerhetskrav vid överföring och bevarande av personuppgifter.  

Enligt 69 f § i utlänningslagen ska utrikesministeriet och de finska beskickningarna övervaka den verksamhet som lagts ut. Utrikesministeriet har avtalat med bolaget VFS Global om säkerställande av enhetligheten och kvaliteten vad gäller de processer som läggs ut. De uppgifter som gäller uppehållstillstånd sköts på orten i fråga även efter utläggningen av den finska beskickningen, som genom de åtgärder som anges i utläggningsavtalet övervakar den externa tjänsteleverantörens verksamhet i fråga om uppgifter som gäller uppehållstillstånd, såsom kontroll av identiteten. Övervakningen kan till exempel skötas genom på förhand anmälda auditeringsbesök, oanmälda kontrollbesök, genom att en tjänsteman vid beskickningen deltar i kontrollen av identiteten hos dem som ansöker om uppehållstillstånd i den externa tjänsteleverantörens lokaler, genom övrigt dagligt samarbete och genom samarbetsmöten. Utrikesministeriets processägare får samarbetsmötenas protokoll samt information om processavvikelser. Också all information som uppdateras på den externa tjänsteleverantörens internetsidor ska godkännas av processägaren innan uppgifterna uppdateras. Enskilda servicesituationer kan granskas i efterhand från videoupptagningar och det identifikationsdokument som den externa tjänsteleverantören fyller i i samband med kontrollen av identiteten och som utarbetats i samarbete med Gränsbevakningsväsendet. I avtalen förutsätts det av åtgärderna i samband med kontroll av identiteten delvis en mer täckande kvalitetssäkring än när en tjänsteman eller anställd vid beskickningen försäkrar sig om identiteten hos en utländsk medborgare som ansöker om uppehållstillstånd. Utlänningslagens 69 g § ger utrikesministeriet rätt att häva avtalet om utläggning, om den andra Schengenstatens beskickning eller den externa tjänsteleverantören inte längre uppfyller de krav som anges i 69 e §. 

På ovan beskrivna grunder och med beaktande av de riskhanteringsåtgärder som ingår i propositionen kan det konstateras, att även om identifieringen av en person framför allt inom förfarandet för distansregistrering nödvändigtvis inte når upp till samma säkerhetsnivå som en personlig identifiering vid en myndighet, är det inte skäl att anta att detta åtminstone i betydenade utsträckning ökar mängden missbruk som grundar sig på BDS-uppgifter. Polisstyrelsen har emellertid bedömt att ibruktagandet av förfarandet för distansregistrering eventuellt ökar bedrägeribrotten och det vad gäller det är ändamålsenligt att följa verkningarna av ändringen efter införandet. Utnyttjandet av en extern tjänsteleverantör kan öka de former av brottlighet som har samband med erhållande av uppehållsrätt i Finland. Nya förfaranden kan vara behäftade med ovan beskrivna risker för missbruk, men som helhet betraktat finns det inga skäl att anta att förslagen har betydande konsekvenser för säkerheten eller brottsbekämpningen.  

4.2.3  Slopande av uppgiften om kön ur personbeteckningen

Ett centralt mål för förslaget är att förebygga diskriminering på basis av kön och könsuttryck. Personbeteckningen innehåller för närvarande uppgift om personens juridiska kön, som alltid är antingen man eller kvinna, och det är inte möjligt att i beteckningen beakta andra könsidentiteter eller personens egen upplevelse av sitt kön. Som en uppgift som ingår i personbeteckningen behandlas uppgiften om kön de facto i samhället i betydligt större utsträckning än det finns ett verkligt behov för. Uppgiften om kön ingår i beteckningens struktur i alla de åtgärder där man behöver specificera en person med hjälp av personbeteckningen, oberoende av om det finns ett äkta behov för behandlingen av uppgiften om kön i tjänsten. 

Uppgiften om kön som ingår i personbeteckningen kan konkret orsaka problem bland annat för en person vars juridiska kön inte motsvarar personens upplevda könsidentitet eller vars kropps fysiska könsdrag uppfattas som något annat än deras juridiska kön. Dessutom kan uppgiften om kön i personbeteckningen orsaka problem för personer, vars personbeteckning har ändrats i och med fastställande av könstillhörighet. Likaså ska till exempel ett interkönat barns kön genast när det föds juridiskt fastställas som antingen pojke eller flicka för tilldelning av personbeteckningen. Utöver personer som hör till könsminoriteter kan könsuppgiften som ingår i personbeteckningen utsätta vem som helst för könsdiskriminering till exempel i samband med en anställning. 

En könsneutral personbeteckning skulle underlätta livet för särskilt för ickebinära personer eller personer som till sitt kön annars inte direkt passar i den binära uppdelningen samt transpersoner. Ur jämlikhetssynvinkel har ändringen positiva konsekvenser för könsminoriteters välfärd och praktiska liv. Ändringen kan också ha verkningar som förebygger och minskar diskriminering på basis av kön och könsuttryck.  

Eftersom man i propositionen inte föreslår ändringar i personbeteckningar som tilldelats före år 2027, förverkligas de ovan beskrivna fördelarna i praktiken gradvis. Den föreslagna ändringen leder inte till att den faktiska uppgiften i gamla personbeteckningar att könet tilldelats en man eller en kvinna omedelbart utgår. Säkerheten för uppgiften om kön som ingår i gamla personbeteckningar minskar dock småningom, varigenom fördelarna förverkligas i mer omfattande utsträckning på längre sikt. 

I och med förslaget ändras personbeteckningen inte automatiskt i samband med fastställande av könstillhörighet, även om det fortfarande ska vara möjligt. Det är avgiftsfritt och relativt lätt att ändra personbeteckningen, men förutsätter i själva verket av personen flera olika åtgärder som också orsakar kostnader. Ur befolkningsdatasystemet förmedlas uppgiften om ändring av personbeteckningen till olika myndigheter och bland annat banker och försäkringsanstalter. Personen är dock själv tvungen att säkerställa och anmäla ändringen av sin personbeteckning till mindre företag där personen är kund samt till de myndigheter som inte för ett kundregister med befolkningsdatasystemets uppgifter. Uppgifter om ändrade personuppgifter i befolkningsdatasystemet förmedlas som en ändringsdatatjänst till myndigheterna och samarbetsparter inom den privata sektorn, som förmedlar ändringarna vidare till de personuppgiftsansvariga som har rätt att behandla personbeteckningar.  

Personen ska dessutom utföra flera nödvändiga åtgärder till följd av ändringen av personbeteckningen, som myndigheterna inte kan göra för honom eller henne. Nedan ges exempel på åtgärder som personen själv ska vidta till följd av att personbeteckningen ändrats. 

Personen ska förnya sitt identitetskort, sitt pass och sitt körkort. 

Personen ska kontakta sin bank för att stänga ned sina bankkoder med de gamla uppgifterna och få nya bankkoder. Man är oftast förhindrad att utföra sina bankärenden tills man fått de nya koderna. Personen kan inte lyfta pengar i bankautomater eller betala inköp med sina kort, så han eller hon måste också förbereda sig med tillräckligt med kontanter. 

Personen ska begära stängning av sitt elektroniska medborgarcertifikat på sitt identitetskort hos Myndigheten för digitalisering och befolkningsdata. Stängningen görs inte automatiskt på tjänstens vägnar i samband med en ansökan om ändring av personbeteckningen, eftersom man inte vet om personen har några anhängiga elektroniska processer som då skulle avbrytas, och som inte senare kan fortsättas med nya certifikat.  

Stängningen av mobilcertifikat förutsätter att personen kontaktar sin egen teleoperatör, där man dessutom ska hämta ett nytt SIM-kort till mobiltelefonen. Detta förutsätter uträttande av ärenden personligen och stark autentisering, vilket inte lyckas innan personen har ett nytt elektroniskt identitetskort eller pass. 

I FPA:s tjänst MinKanta överförs personens historiska uppgifter inte automatiskt på den nya personbeteckningen. Uppgifterna i personens patientberättelse söks med den gamla personbeteckningen, men personen själv får inte tillgång till den genom elektronisk autentisering, förrän de historiska uppgifterna har kopplats till den nya personbeteckningen. Av denna anledning är personen tvungen att uträtta sina ärenden för sig själv och dem som de ska försörja personligen vid hälso- och sjukvårdens verksamhetsställen. 

Personen får automatiskt ett nytt FPA-kort med de nya uppgifterna, men recepten på den gamla identitetsbeteckningen överförs inte automatiskt på den ändrade personbeteckningen, varför personen ska vara i kontakt med den läkare som skrivit ut recepten. Ändringar görs inte automatiskt, utan för det krävs patientens samtycke. Läkemedelsrecepten som skrivits ut på den gamla personbeteckningen makuleras och läkemedelsrecepten för patienten skrivs på den nya personbeteckningen. Läkaren kan inte korrigera personbeteckningen på receptet. Inte heller elektroniska recept överförs automatiskt på den nya personbeteckningen. Detta orsakar personen vars personbeteckning har ändrats tidsåtgång av att kontakta läkaren för att få nya recept samt andra ansträngningar under den tid då uppgifterna inte finns i elektronisk form. Personen ska också vidta förberedelser i fråga om sina nödvändiga läkemedel, så att han eller hon inte får slut på dem. 

Netposti får inte automatiskt kännedom om ändringar i personbeteckningen. I fråga om detta ska personen vara i kontakt med Postens kundservice. Därefter kan man koppla kundens Netpostikonto till den nya ändrade personbeteckningen.  

Om personen vill få sina gamla skolbetyg eller arbetsintyg med den nya personbeteckningen, måste personen begära ett nytt av utbildningsanordnaren eller arbetsgivaren med sina nya personuppgifter. 

Om ändringen av personbeteckningen infaller vid valtid, och beroende på om personbeteckningen ändras innan rösträttsregistret upprättas eller efter det, leder detta till vissa åtgärder. Om ändringen av personbeteckningen sker innan rösträttsregistret inrättas, ska personen ha en ny identitetshandling för att få rösta. Om ändringen av personbeteckningen sker efter det att rösträttsregistret inrättats, ingår den gamla personbeteckningen i rösträttsregistret, varvid personen ska identifiera sig med sin gamla identitetshandling på röstningsstället. Om personen dock vill få sin personbeteckning korrigerad också i rösträttsregistret, vilket är nödvändigt om personen avser att ställa upp som kandidat i valet, måste rösträttsregistret korrigeras. Om personen vid kandidatuppställningen dock har en ny personbeteckning, men beteckningen i rösträttsregistret fortfarande är den gamla, saknar personen enligt registret rösträtt och är inte heller godtagbar som kandidat. I den situationen bör personen beakta att han eller hon hinner få en ny handling som styrker identiteten för att kunna rösta. Rättelsen kan göras antingen på ansökan av personen eller som självrättelse av Myndigheten för digitalisering och befolkningsdata.  

I samband med ovan beskrivna ändringar är det dessutom skäl att utöver den tid som åtgår till att ändra personbeteckningen beakta det, att ändringen av personbeteckning kommer till väldigt många aktörers kännedom och kan orsaka icke önskvärd uppmärksamhet. Dessutom bör personen kunna bedöma en för sin livssituation lämplig tidpunkt, från och med vilken ändringen av personbeteckningen träder i kraft, så att ändringen föranleder så lite merarbete och eventuella andra menliga följder som möjligt för personen själv, till exempel att uträttande av ärenden förhindras. 

Eftersom personens juridiska kön enligt gällande lagstiftning antecknas i personbeteckningen, läser många informationssystem som myndigheterna, företag och andra organisationer använder av uppgiften om kön och behandlar den i sina informationssystem direkt på basis av personbeteckningen. Det att uppgiften om kön ingår i personbeteckningen betyder å andra sidan också det, att varje organisation som i sin verksamhet behandlar personbeteckningar oberoende av behov också blir tvungen att behandla uppgiften om personens kön. I och med den föreslagna ändringen kan uppgiften om kön inte längre läsas ut av personbeteckningen, utan varje organisation måste separat bedöma, om dess verksamhet förutsätter att uppgiften om den registrerades kön behandlas. Vid bedömningen ska man särskilt beakta den allmänna dataskyddsförordningens krav på minimering av de personuppgifter som behandlas och att behandlingen avgränsas till vad som är nödvändigt med avseende på ändamålet. 

Ändringen påverkar verksamhetsmetoderna och informationshanteringen vid de organisationer som fortfarande har ett behov av att behandla uppgifter om människors kön. De är tvungna att göra sådana ändringar i sina informationssystem att uppgiften om kön tas emot och annars behandlas som en uppgift som är separat från personbeteckningen. Vanligtvis innebär detta närmast skapande av ett separat uppgiftsfält för uppgiften om kön i informationssystemen. Inrättandet av ett separat uppgiftsfält är inte i sig en särskilt omfattande eller kostsam åtgärd, men kostnaderna kan stiga på grund av det stora antalet olika system och testningen av systemen. Organisationerna ska på motsvarande sätt separat bedöma omfattningen av och ändamålen med behandlingen av uppgiften om kön och fastställa de förfaranden i enlighet med vilka uppgiften om kön i fortsättningen behandlas i deras verksamhet.  

På basis av de utredningar och enkäter som genomfördes i samband med beredningen av propositionen behöver många av de organisationer som behandlar personbeteckningar inte överhuvudtaget uppgifter om kön och behandlar inte heller sådana uppgifter. För sådana organisationer har den föreslagna ändringen inga konsekvenser. Likaså läser många av de organisationer som i sin verksamhet behandlar uppgiften om kön inte heller för närvarande ut uppgiften ur personbeteckningen, utan behandlar den som en helt separat uppgift. Inte heller för dessa organisationer har ändringen några konsekvenser. 

Inom många områden behöver man dock behandla uppgiften om kön, och många härleder också uppgiften direkt ur personbeteckningen. I en omfattande enkät i samband med beredningen av propositionen betonades i detta hänseende särskilt hälso- och sjukvården och försäkringsbranschen, men också inom andra områden finns det enskilda behov av att behandla uppgiften om kön och läsa ut den ur personbeteckningen. I enkäten framkom dessutom ett övergripande behov för företag och läroanstalter att behandla uppgiften om arbetstagares och studerandes kön för fullgörande av i lag föreskrivna skyldigheter. Framför allt de statistikförings- och rapporteringsskyldigheter som föreskrivs i diskrimineringslagen förutsätter att uppgiften om kön antecknas i arbetsgivarnas och läroanstalternas personregister. Väldigt många organisationer berättade i enkäten att organisationen inte har något behov att för sin egen verksamhet anteckna uppgiften i personregistren, utan att den endast behandlas för att fullgöra de i lag föreskrivna statistikförings- och rapporteringsskyldigheterna. 

Den föreslagna ändringen minskar sannolikt också i någon mån antalet ändringar av personbeteckningen på grund av fastställande av könstillhörighet. För närvarande ändras årligen omkring 150–200 personbeteckningar på grund av fastställande av könstillhörighet. De i föregående avsnitt beskrivna åtgärder som beror på ändring av personbeteckningen orsakar omfattande manuellt arbete också för de organisationer som behandlar personbeteckningar, som då måste kunna koppla de uppgifter som antecknats under den gamla beteckningen till den nya personbeteckningen. Ett minskat antal ändringar av personbeteckningen minskar således också på den arbetsmängd som de organisationer som behandlar personbeteckningar orsakas av behandlingen av ändringar. 

Allmänt om kostnadsberäkningar

Slopande av uppgiften om kön ur personbeteckningen medför kostnader för sådana organisationer som för närvarande behandlar uppgiften om kön som en del av personbeteckningen och som också i fortsättningen har ett behov av att behandla uppgiften om kön som en uppgift som är separat från personbeteckningen. Dessa organisationer måste uppdatera sina informationssystem så att de inte längre läser uppgiften om kön direkt ur personbeteckningen, utan behandlar den som ett separat uppgiftsfält. Det är således fråga om engångskostnader som orsakas av ändringar i informationssystemen. Varje organisation ska med beaktande av dataskyddskraven själv bedöma behovet av att behandla uppgiften om kön i sin verksamhet. Eventuella ändringar ska enligt förslaget genomföras före ingången av 2027, vilket innebär att övergångstiden för genomförande av dem är cirka fyra år. 

Kostnadsberäkningarna för en könsneutral personbeteckning för den privata sektorn samt för kommuner och samkommuner grundar sig delvis på en utredning som genomfördes i slutet av 2020 och början av 2021. Samtidigt utreddes också kostnaderna för införande av nya skiljetecken i samband med personbeteckningarnas tillräcklighet. Utredningen genomfördes med hjälp av intervjuer och en enkät om kostnadsverkningarna, och i den inkluderades sådana branscher där personbeteckningen behandlas i omfattande utsträckning och för vilka konsekvenserna därför bedömdes vara betydliga. De branscher som bedömdes var finansbranschen, energiindustrin, handeln, arbetspensionsbranschen, telekommunikationsbranschen och den offentliga och privata social- och hälsovården samt kommunerna och städerna. Utredningen genomfördes i samarbete med organisationer som representerar de nämnda branscherna, vartill leverantörer av kund- och patientdatasystem samt personalförvaltningssystem intervjuades, så att man fick en uppfattning av ändringsbehoven inom dessa centrala system och uppdateringscyklerna för kundkretsen.  

På basis av utredningen behöver många organisationer som behandlar personbeteckningar i sin verksamhet inte överhuvudtaget uppgiften om kön eller härleder åtminstone den inte ur personbeteckningen. Denna uppfattning bekräftades i den webropolenkät som genomfördes sommaren 2021, där en stor de av de som svarade meddelade att de inte har något behov av att läsa ut uppgiften om kön ur personbeteckningen. För dessa aktörer har den föreslagna ändringen inga ekonomiska eller andra konsekvenser. Inom många branscher behöver man dock behandla uppgiften om kön. I den utredning och den enkät som genomförts togs i fråga om detta framför allt upp hälso- och sjukvården och försäkringsverksamheten, men i mindre utsträckning också andra branscher. Många organisationer har dessutom ett behov av att behandla sin personals uppgifter om kön i personregister för att fullgöra sin i lag föreskrivna statistikförings- och rapporteringsskyldighet. Till denna del läses uppgiften dock för det mesta inte direkt ur personbeteckningen. 

Utöver ovannämnda utredningar utreddes de ekonomiska konsekvenserna av bestämmelserna om en könsneutral personbeteckning genom en begäran om information våren 2022 som riktades till statens ämbetsverk och inrättningar, oberoende offentligrättsliga organ, kommuner, högskolor, blivande välfärdsområden, aktörer som sköter offentliga förvaltningsuppgifter samt andra privata företag och sammanslutningar. 

På basis av alla ovan beskrivna utredningar skulle den föreslagna ändringen medföra kostnader bland annat i form av utredningar, fastställande, testning och genomförande. All programvara, interna och externa rapporter samt statistik där uppgiften om kön behandlas ska gås igenom och i behövlig utsträckning ändras. Kostnaderna påverkas på basis av utredningen särskilt av mängden informationssystem, integrationer och gränssnitt samt slutlednings- och kontrollregler. Också de nya uppgiftsfält som eventuellt behövs för behandling av uppgiften om kön och integreringen med BDS-gränssnittet för söktjänsten för uppgiften om kön medför kostnader. Dessutom föranleder utbildning, anvisningar och kommunikation kostnader. 

Kostnaderna för enskilda aktörer och branscher påverkas utöver av mängden informationssystem också i betydande utsträckning av åldern på de informationssystem som används och det skede av livscykeln de befinner sig i. Det är vanligtvis dyrt att uppdatera äldre informationssystem i slutet av sin livscykel jämfört med nyare system. Det är möjligt att sänka kostnaderna betydligt, om ändringarna kan genomföras med beaktande av systemens livscykel i samband med att ett nytt system byggs upp eller en mer omfattande uppdatering genomförs. Längden på den övergångstid som medges för genomförandet av ändringen har en betydande inverkan på ändringens totalkostnader, eftersom en längre övergångstid oftare möjliggör ett genomförande av ändringen med beaktande av systemens livscykel. 

Kostnadernas exakta storleksklass för hela samhället har inte kunnat bedömas, för det första eftersom man inte fått kostnadsberäkningar i tillräckligt omfattande utsträckning och för det andra eftersom genomförandet sträcker sig över flera år. Nedan beskrivna mer exakt specificerade kostnadsberäkningar kan anses vara riktgivande bedömningar av storleksklassen. 

Kostnader för den privata sektorn

De branschspecifika kostnadsberäkningar som lagts fram före begäran om information våren 2022 har huvudsakligen gjorts genom att ställa omsättningen eller någon annan relevant skalningsfaktor för de företag eller andra organisationer som lämnat en bedömning i relation till hela branschens storlek. I skalningsmetoderna försökte man så väl som möjligt beakta de olika branschernas särdrag, men de kostnadsberäkningar som gjorts på detta sätt är oundvikligen behäftade med osäkerhetsfaktorer. Den föreslagna ändringen påverkar en så stor mängd företag, sammanslutningar och deras informationssystem, att de totala kostnadsberäkningarna oundvikligen endast är kalkylerade och man därför bör förhålla sig till dem som värden som anger storleksklass. De uppskattningar som fåtts under utredningen grundar sig dessutom endast på egna anmälningar av dem som svarat, och i dem ingår nödvändigtvis inte ännu någon detaljerad uppskattning av hur omfattande behandling av uppgiften om kön i framtiden överhuvudtaget behövs inom varje bransch. I verkligheten torde kostnaderna inom många branscher därför bli lägre än vad som beskrivits. De siffror som presenteras till följd av begäran om information våren 2022 utgörs av beräkningar över de kostnader som ändringen föranleder som lämnats av dem som svarat på begäran.  

De största kostnaderna för informationssystem uppskattas föranledas inom finansbranschen, där det är nödvändigt att behandla uppgiften om kön framför allt inom försäkringsverksamheten. I tidigare utredningar uppskattade finansbranschen att kostnaderna inom branschen kan komma att uppgå till sammanlagt omkring 41 miljoner euro. 

Enligt Finanssiala ry:s bedömning våren 2022 behöver försäkringsbolagen uppgiften om kundens kön och använder den bland annat vid fastställandet av avgifterna för vissa livförsäkringar samt vid beräkningen av gruppförsäkringar och försäkringstekniska avsättningar. Ibruktagandet av en könsneutral personbeteckning beräknas kräva ändringar i informationssystemens databaser, gränssnitt, användargränssnitt samt anslutningarna mellan övriga system. Ändringskostnaderna av engångsnatur beräknas variera enligt bolag och bolagsgrupp från knappt en miljon euro till cirka fem miljoner euro. Utöver ändringarna i informationssystemen beräknas också uppdateringen av kundtjänstprocesserna och utbildningen av personal föranleda kostnader. Enligt Finanssiala ry:s uppskattning kommer förslaget inte att öka försäkringsbolagens årliga utgifter. I fråga om finansinstituten beräknar Finanssiala ry att kostnaderna stiger till över fem miljoner euro. 

Inom övriga branscher inom den privata sektorn där uppskattningar gjorts bedöms kostnaderna bli betydligt lägre än inom finanssektorn. Inom handelsbranschen har kostnaderna i tidigare utredningsskeden uppskattats till 8,2 miljoner euro.  

Kostnaderna för energiindustrin har under tidigare utredningsskeden uppskattats till 5,7 miljoner euro.  

Den privata social- och hälsovården uppskattade under tidigare skeden kostnaderna för ändringen till 2,2 miljoner euro. I sitt svar på den begäran om information som genomfördes våren 2022 uppskattade det ena av de företag som svarade att kostnaderna för ändringen för dess del uppgår till två miljoner euro och det andra att dess kostnader uppgår till cirka tre miljoner euro. Den ena av de svarande uppskattade att ändringarna i informationssystemen bland annat gäller en ändring av behandlingen av uppgifterna i patientdatasystemet så att uppgiften om kön inte längre härleds ur personbeteckningen. Dessutom uppskattade de svarande att kostnader uppstår för att den manuella administreringen av uppgiften om kundens kön ökar till ett belopp av 20 000–50 000 euro per år. 

Kostnaderna för telekommunikationsbranschen har under tidigare skeden uppskattats till 1,7 miljoner euro. I den begäran om information som genomfördes våren 2022 inkom specifika uppskattningar av kostnaderna för telekommunikationsbranschen endast från en aktör, som bedömde att det inte förväntas att bolaget orsakas kostnader på grund av ändringen. 

Av de företag som erbjuder tjänster för den offentliga förvaltningen uppskattade en aktör i sitt svar på begäran om information våren 2022 att ändringen av den härledning av uppgiften om kön ur personbeteckningen som används för närvarande förutsätter ändringar i informationssystemen och blanketterna för insamling av information. Aktören uppskattade att ändringen föranleder kostnader av engångsnatur på omkring 96 000 euro. Ett annat företag som erbjuder motsvarande tjänster uppskattade att ändringen gällande behandlingen av uppgifter föranleder kostnader på omkring 380 000 euro, som framför allt orsakas av genomförande av integrationer mellan informationssystem. Företaget bedömer att reformen också orsakar merarbete på grund av ändringsbehov i fråga om processerna, kundbetjäningen och intressegruppssamarbetet.  

De arbetsmarknadsorganisationer som svarade bedömde att deras medlemsorganisationer i sina medlemsregister använder uppgifter om kön som härleds ur personbeteckningarna, som bland annat används för granskningar av jämlikheten mellan könen samt för statistikföring. Att inhämta uppgiften om kön ur befolkningsdatasystemet och att fråga om uppgiften i samband med att en medlem ansluter sig bedöms dock inte medföra några större kostnader. 

Kostnader för kommunerna och välfärdsområdena

Kostnadsverkningarna av slopandet av uppgiften om kön ur personbeteckningen bedömdes i tidigare utredningar också för kommuner och sjukvårdsdistrikt. På basis av utredningen uppgår de sammanlagda kostnaderna av den könsneutrala personbeteckningen för kommunerna till omkring 2,1 miljoner euro och för sjukvårdsdistrikten till omkring 33,1 miljoner euro. När det gäller kostnadsberäkningen för kommunerna bör det dock beaktas att den baserar sig på en konsultutredning, i vilken till denna del endast deltog två kommuner. Urvalet av svarande var så litet, att den inte som sådan kan anses som tillförlitlig.  

Även om ovan beskrivna bedömningar som gjorts genom skalning kan anses vara delvis inexakta, stöder svaren på webropolenkäten sommaren 2021 den allmänna bild av allokeringen av kostnaderna som utredningen gett vid handen. På basis av svaren har kommunerna mycket litet behov av att behandla uppgifter om människors kön, varför kommunernas kostnader av motiverade skäl kan bedömas bli relativt låga. Inom hälso- och sjukvården finns det däremot ett behov av att behandla uppgiften om kön i praktiskt taget all verksamhet, varför kostnaderna inom området uppskattas bli höga. Social- och hälsovårdens systeminfrastruktur är också mycket komplicerad och med klient- och patientdatasystemen har integrerats till och med flera hundra olika anslutande system. Dessa integrationer orsakar största delen av kostnaderna för ändringarna i systemmiljön. Till exempel systemet Apotti har integrerats med över 200 andra system, såsom laboratoriesystem samt systemen för den specialiserade sjukvården, bilddiagnostik, medicinsk apparatur och ekonomiförvaltning. Personbeteckningen är den enda gemensamma faktor som förenar alla integrationer och uppgiften om patienternas kön läses allmänt uttryckligen direkt ur personbeteckningen. 

Samkommunerna för sjukvårdsdistrikten och specialomsorgsdistrikten överförs i och med social- och hälsovårdsreformen vid ingången av 2023 till välfärdsområdena, det vill säga att deras egendom, ansvar och förpliktelser överförs som universalsuccession till välfärdsområdena. Även om kostnadsberäkningarna gjorts för de nuvarande sjukvårdsdistrikten, ansvarar således de nya välfärdsområden som inrättas för det faktiska genomförandet av ändringarna. Överföringen av ansvaret påverkar dock inte kostnadsberäkningarnas omfattning. 

Kostnaderna för kommunerna och samkommunerna utreddes också i samband med begäran om information våren 2022. I kommunernas och samkommunernas bedömningar upprepades samma mönster som i fråga om statliga ämbetsverk vad gäller de behov av ändringar som ändringarna i informationssystemen föranleder. På grund av det låga antalet svar är det inte möjligt att dra några allmänna slutsatser för hela kommunsektorn. Kommuner och samkommuner med ett stort invånarantal uppskattade att ändringen kommer att medföra kostnader på ungefär en miljon euro. De mindre kommunernas uppskattningar rörde sig mellan 20 000 och 120 000 euro.  

Bedömningarna av kostnaderna för ibruktagandet av den könsneutrala personbeteckningen varierade stort mellan de kommuner som besvarade begäran om information våren 2022. En del kommuner bedömde att ändringen förutsätter betydande ändringar i de informationssystem som kommunen använder för att behandlingen av uppgiften om kön, som för närvarande härleds ur personbeteckningen, ska kunna ändras så att den grundar sig på en annan behandlingslogik. På basis av svaren gäller ändringsbehovet bland annat de informationssystem som används inom ekonomi- och personalförvaltningen, utbildningsväsendet samt småbarnspedagogiken samt de integrationer som ansluter till dessa. Ändringen konstaterades också påverka kommunernas statistikföringsuppgifter. 

Införandet av en könsneutral personbeteckning bedömdes i kommunernas svar orsaka endast smärre ändringar i kommunens löpande kostnader. På basis av det låga antalet svar på begäran om information från kommunerna och samkommunerna är det dock inte möjligt att bilda sig en uppfattning om de kostnader som införandet av en könsneutral personbeteckning orsakar enskilda kommuner eller kommunsektorn i sin helhet. 

På basis av svaren på den begäran om information som sändes till välfärdsområdena våren 2022 bedöms införandet av en könsneutral personbeteckning förutsätta betydande ändringar i de informationssystem inom social- och hälsovården där uppgiften om kön för närvarande härleds ur personbeteckningen. På basis av svaren finns det många system som ska ändras bland de informationssystem som verkställer social- och hälsovårdens uppgifter samt uppföljningen av verksamheten och faktureringen. Uppgiften om kön bedömdes i svaren vara en väsentlig uppgift för social- och hälsovårdens uppgifter, vilket gör att det är nödvändigt att göra de ändringar som krävs. De kostnader av engångsnatur som ändringen medför beräknades i svaren uppgå till mellan 300 000 och 22,8 miljoner euro. Variationsintervallet är stort, trots att uppgifterna och storleksklassen för de organisationer som svarade motsvarade varandra. Multiplicerad med standardavvikelsen för de fyra svaren blir ändringskostnaden för välfärdsområdena sammanlagt ungefär 200 miljoner euro, vilket infaller under ett tidsintervall på omkring sex år. Talet är förenat med stor osäkerhet bland annat på grund av att svaret från en välfärdssamkommun avviker mycket från de övriga svaren. Till exempel bedömde två sjukvårdsdistrikt för sin del att införandet av en könsneutral personbeteckning inte har några betydande ekonomiska konsekvenser. 

I svaren från social- och hälsovårdsmyndigheterna bedömdes införandet av en könsneutral personbeteckning öka de löpande kostnaderna för förvaltning av verksamheten och informationssystemen. På basis av de svar som inkommit är variationsintervallet vad gäller ökningen av den årliga kostnaden mellan 50 000 euro och över en miljon euro. Med standardavvikelsen för de årliga genomsnittskostnaderna i svaren innebär ändringen en årlig tilläggskostnad på cirka 500 000 euro per välfärdsområde. 

Kostnader för statsförvaltningen

De kostnader som de statliga myndigheterna och Folkpensionsanstalten föranleds av den könsneutrala personbeteckningen har uppskattats av Myndigheten för digitalisering och befolkningsdata under 2020. För utredningen ombads Myndigheten för digitalisering och befolkningsdata, Skatteförvaltningen, Utbildningsstyrelsen, Pensionsskyddscentralen, Lantmäteriverket, Migrationsverket och Folkpensionsanstalten inkomma med en kostnadsberäkning. Svaren från nämnda organisationer skalades upp till kostnadsberäkningar för hela statsförvaltningen genom att deras IKT-budgetar anpassades till hela statsförvaltningens sammanräknade IKT-anskaffningar. Genom denna metod uppskattades statsförvaltningens sammanlagda kostnader till cirka 8,3 miljoner euro. 

På basis av svaren på den begäran om information som genomfördes våren 2022 har bedömningen av de kostnader som orsakas statsförvaltningen för den könsneutrala personbeteckningen kompletterats. Enligt uppskattningar från statens ämbetsverk och inrättningar påverkas resursbehovet på grund av införandet av en könsneutral personbeteckning väsentligt av antalet informationssystem som ska ändras. De ämbetsverk som använder informationssystem som härleder personens kön ur personbeteckningen uppskattar kostnaden till mellan 100 000 och 2 000 000 euro. De myndigheter som använder informationssystem som inte härleder personens kön ur personbeteckningen bedömde att ändringskostnaden uppgår till några tiotals tusen euro. 

De statliga ämbetsverk och inrättningar som svarade på begäran om information bedömde att införandet av en könsneutral personbeteckning inte ökar utgifterna för verksamheten eller kostnaderna för förvaltningen av informationssystem efter det att de ändringsarbeten som behandlingen av uppgifter kräver har slutförts. I fråga om bedömningen av förvaltningskostnaderna gjordes reservationer på grund av att de som svarade inte hade någon möjlighet att bedöma ändringsbehoven i fråga om samtliga processer. 

På basis av de svar som inkom förutsätter införandet av en könsneutral personbeteckning tilläggsresurser på mellan cirka 2 000 och 2 000 000 euro av de statliga ämbetsverken för verkställande av ändringen. De sammanlagda kostnaderna för ändringen i svaren uppgår till omkring 4,53 miljoner euro, framför allt under de tre första åren efter lagens ikraftträdande. I svaren beräknas största delen av kostnaderna för ändringen utgöras av ändringar i informationssystemen, genom vilka nuvarande behandlingsregler där könsuppgiften härleds ur personbeteckningen ersätts med regler genom vilka uppgiften om kön som erhållits som en separat uppgift behandlas i enlighet med kraven. Ändringen beräknades också förutsätta ytterligare arbete vad gäller gränssnitt, särskilt befolkningsdatasystemets gränssnitt. 

I svaren på begäran om information antogs införandet av en könsneutral personbeteckning inte öka de statliga ämbetsverkens och inrättningarnas löpande kostnader. I fråga om beräkningen är det skäl att beakta att det i flera svar nämns att man inte hunnit kartlägga all verksamhet där personbeteckningen används och att också uppskattningen i euro av den kartlagda verksamheten förutsätter närmare analyser av processerna och de informationssystem som används i dem. 

I sitt svar på begäran om information våren 2022 i fråga om finansministeriets förvaltningsområde bedömde Myndigheten för digitalisering och befolkningsdata att förslaget medför en ändringskostnad om cirka 184 000 euro för myndigheten år 2026.Rätten att fortfarande byta personbeteckning i samband med processen för fastställande av könstillhörighet och korrigering av en felaktig uppgift om kön i befolkningsdatasystemet föranleder dessutom en engångskostnad för Myndigheten för digitalisering och befolkningsdata på högst 100 000 euro. Engångskostnaden föranleds av att det i det informationssystem som tilldelar personbeteckningen ska skapas en funktion, genom vilken det ur systemet i enskilda fall ska vara möjligt att i stället för ett slumpmässigt individuellt nummer tilldela antingen eller udda eller jämnt sista nummer av det individuella numret. 

Inom inrikesministeriets förvaltningsområde medför införandet av en könsneutral personbeteckning en kostnad på uppskattningsvis 350 000 euro för Migrationsverket, en kostnad på uppskattningsvis 200 000 euro för Gränsbevakningsväsendet samt en kostnad på 150 000 euro för Skyddspolisen. Kostnaderna består huvudsakligen av de ändringsarbeten som krävs i informationssystemen. Enligt Centralkriminalpolisens åsikt är identifieringen av personers kön på basis av personbeteckningen centralt för polisverksamheten. Utredande av uppgiften om kön på annat sätt, såsom ur befolkningsdatasystemet, är möjligt men ökar det konkreta arbetet för dem som använder informationssystemen samt kräver bland annat anskaffande av användarkoder för befolkningsdatasystemet eller något annat motsvarande system för alla personer som utför operativ polisverksamhet samt behövliga ändringar i informationssystemet. Centralkriminalpolisen har bedömt att alla tre delområden som ingår i lagförslaget medför ändringskostnader på sammanlagt omkring 750 000–2 000 000 euro. 

Inom justitieministeriets förvaltningsområde föranleds Rättsregistercentralen ett resursbehov på omkring 300 000 euro, vilket utöver centralen även omfattar en uppskattning av ändringens kostnader för förvaltningsområdets gemensamma tjänster. Inom försvarsministeriets förvaltningsområde beräknas den könsneutrala personbeteckningen orsaka en ändringskostnad för Finlands försvarsmakt på cirka 250 000 euro på grund av ändringar i värnpliktsregistret och försvarsmaktens informationssystem. Uppskattningen grundar sig på en ändring av befintliga system och omfattar de ändringsarbeten som dataöverföringen förutsätter samt testning av systemen. 

Inom kommunikationsministeriets förvaltningsområde har Transport- och kommunikationsverket bedömt att övergången till att använda en könsneutral personbeteckning förutsätter en satsning på 210 000 euro för genomförande av de ändringar i informationssystemen amt allmänna komponenter som behandlingen av personbeteckningen kräver samt testning av ändringarna. Inom arbets- och näringsministeriets förvaltningsområde beräknas förslaget medföra en kostnad för NTM-centralerna (inklusive UF-centret) på sammanlagt 400 000 euro fördelat över tre år och för Säkerhets- och kemikalieverket en kostnad på 220 000 euro fördelat över två år. 

Kostnadsberäkningarna på grund av ändringen för övriga aktörer inom statsförvaltningen varierade från några tusen till några tiotals tusen euro. 

Övriga aktörers kostnader 

På basis av svaren på begäran om information våren 2022 meddelade Folkpensionsanstalten i egenskap av oberoende offentligrättsligt organ i sitt svar att den redan börjat genomföra de ändringar som en könsneutral personbeteckning förutsätter i sina informationssystem som ett led i lösningen för säkerställande av personbeteckningarnas tillräcklighet, varför FPA inte lade fram någon separat kostnadsberäkning för ändringen. Enligt Folkpensionsanstaltens uppskattning förutsätter förslaget också ändringar i Kanta-tjänsterna och de gränsöverskridande recepttjänsterna. Vad gäller Kanta-tjänsterna beräknas ändringen medföra smärre kostnader om cirka 100 000 euro och gälla framför allt befolkningsdatagränssnitten. 

Inom Keva används uppgiften om kön som härleds ur personbeteckningen bland annat vid statistikföring och beräkningar och även i fortsättningen ska uppgiften om kön som fås till pensionssystemet kunna kombineras med andra uppgifter. Keva uppskattar kostnaderna för ändringen till cirka 180 000 euro från och med 2023. Dessutom har jord- och skogsbruksministeriet i sitt svar uppskattat att införandet av en könsneutral personbeteckning medför en kostnad av engångsnatur på ungefär 30 000 euro för Finlands viltcentral. Ur svaren från de sju universitet och högskolor som svarade på begäran om information våren 2022 framgår att personbeteckningens uppgift om kön används i varierande utsträckning i de olika organisationerna. Två av de svarande meddelade att de inte överhuvudtaget använder uppgiften om kön i sin verksamhet. På basis av utlåtandena kommer ändringen inte att orsaka några betydande kostnader för universiteten och högskolorna. Uppskattningarna av kostnaderna av engångsnatur varierade mellan 5 000 euro och 30 000 euro.  

Av de sammanslutningar som sköter offentliga förvaltningsuppdrag uppskattade Pensionsskyddscentralen att införandet av en könsneutral personbeteckning kommer att kräva ändringar i arbetspensionsbranschens gemensamma informationssystem för omkring fem miljoner euro. Pensionsskyddscentralen har uppskattat att könet inom arbetspensionsbranschen för närvarande härleds ur personbeteckningen. Inom branschen finns flera processer där könet ska beaktas och personens kön påverkar processens slutresultat bland annat vid beräkningen av pensionsansvar och pensionsavgifter. Registreringen och behandlingen av en separat uppgift om kön bedöms medföra ändringar i flera system inom arbetspensionsbranschen samt i deras interna och externa gränssnitt. Bland övriga privata aktörer som sköter offentliga förvaltningsuppdrag kan man lyfta fram Finnvera Abp:s uppskattning om kostnader på cirka 100 000 euro, Sysselsättningsfondens uppskattning om kostnader på cirka 50 000 euro och Teknologiska forskningscentralen VTT Ab:s uppskattning om kostnader på några tiotals tusen euro. 

4.2.4  Identifikationskoden

I propositionen föreslås det att det i befolkningsdatasystemet ska tas i bruk en identifikationskod vid sidan av personbeteckningen. Koden kunde användas i specificeringssyfte huvudsakligen på samma sätt som personbeteckningen, men den innehåller inga uppgifter om sin innehavare. Ibruktagandet av identifikationskoden i organisationer som utnyttjar befolkningsdatasystemets uppgifter ska vara frivilligt. Tillfogandet av identifikationskoden i befolkningsdatasystemet ska till sin karaktär vara en möjliggörande ändring som inte till någon del förpliktar myndigheter, företag och andra organisationer som i sin verksamhet utnyttjar befolkningsdatasystemets uppgifter.  

Av de statliga myndigheterna är Myndigheten för digitalisering och befolkningsdata tvungen att skapa ett uppgiftsfält för identifikationskoden och de funktioner som behövs för upprätthållande och utlämnande av koden i befolkningsdatasystemet. De kostnader av engångsnatur som detta medför beräknas uppgå till 682 000 euro. Dessa kostnader för införande av identifikationskoden i befolkningsdatasystemet och dess tjänster är nödvändiga för att aktörerna ska kunna ta i bruk identifikationskoden. Av de statliga myndigheterna presenterade Transport- och kommunikationsverket, Lantmäteriverket, Patent- och registerstyrelsen, Försvarsmakten och Skattestyrelsen betydande kostnadsberäkningar, det vill säga kostnadsberäkningar på över en miljon euro, i svaren på den begäran om information som genomfördes våren 2022. I fråga om övriga statliga myndigheter som besvarade enkäten varierade kostnadsberäkningarna mellan 50 000 och 600 000 euro. På basis av svaren bedömde de statliga myndigheterna de kalkylerade kostnaderna för införandet till sammanlagt 10 982 000 euro, vilket även innefattar de nödvändiga genomförandekostnaderna för Myndigheten för digitalisering och befolkningsdata. Av svaren framgick att kostnaderna för identifikationskoden enligt planerna kommer att utfalla över flera år. Av svaren kunde man inte dra slutsatser om huruvida alla myndigheter som lagt fram en kostnadsberäkning redan fattat beslut om införande av identifikationskoden, och den slutliga summan i beräkningarna kan således inte anses vara den slutliga uppskattningen av de faktiska kostnaderna för införandet. Alla nämnda kostnader är kostnader av engångsnatur. 

Kommunerna, samkommunerna och de kommande välfärdsområdena orsakas kostnader endast om de beslutar ta i bruk identifikationskoden. Från dessa aktörer inkom endast fyra svar på den begäran om information som genomfördes våren 2022, och även i dem var variationsintervallet också mellan aktörer av samma typ betydande. De lägsta uppskattningarna av kostnaderna av engångsnatur uppgick till endast några tiotusen euro. Den högsta beräkningen av kostnaderna av engångsnatur från en kommun var fem miljoner euro. Uppskattningarna från samkommunen för social- och hälsovården samt det kommande välfärdsområdet om kostnaderna av engångsnatur var 17,8 miljoner euro och 300 000 euro. På basis av svaren från kommunerna, samkommunerna och de framtida välfärdsområdena är det inte möjligt att bilda en uppfattning om de totala kostnaderna av införandet av identifikationskoden för kommunerna och de framtida välfärdsområdena. 

De oberoende offentligrättsliga organ, sammanslutningar som sköter offentliga förvaltningsuppdrag och andra företag och sammanslutningar samt universitet och högskolor som besvarade begäran om information lämnade kostnadsberäkningar på mellan 16 000 euro och 23 miljoner euro. Största delen av dem meddelade att de inte kommer att ta i bruk identifikationskoden eller att de inte ser något omedelbart behov av att ta i bruk koden i detta skede. En myndighet, ett företag eller en sammanslutning som beslutar att ta i bruk identifikationskoden måste vanligtvis skapa ett nytt uppgiftsfält för den i sina informationssystem. Om koden tas i bruk som den primära specificerande faktorn och nyckel till informationsutbyte, förutsätter ändringen vanligtvis större reformer än ett enskilt uppgiftsfält i såväl organisationens informationssystem som dess förfaranden. Om identifikationskoden skulle ersätta personbeteckningen som nyckel för informationsutbyte vid informationsutbytet mellan organisationer, förutsätter ändringen en överenskommelse om det nya förfarandet mellan parterna och ersättandet är inte möjligt utan bägge parters samtycke. Eftersom ibruktagandet av koden inte är obligatoriskt och det inte fastställs någon tidsfrist för det, är det i allmänhet mest ändamålsenligt att ta i bruk identifikationskoden i samband med ibruktagandet av nya informationssystem eller andra större reformer av informationshanteringen. 

Identifikationskoden kunde användas i de organisationer där man för närvarande av dataskyddsskäl inte kan eller vill behandla personbeteckningar överhuvudtaget. Till exempel inom utbildningsbranschen behandlas personbeteckningar knappt alls, utan i stället används ett särskilt studentnummer för att specificera studerande, lärare och annan personal. En identifikationskod som kan fås ur befolkningsdatasystemet och verifieras via det kunde i vissa situationer vara ett mer ändamålsenligt sätt att specificera människor än organisationsspecifika koder.  

Användningen av koden som en ersättare för personbeteckningen genast efter den föreslagna ikraftträdandetidpunkten för ändringen blir sannolikt mycket obetydlig och ökar småningom. På basis av svaren på den begäran om information som gjordes våren 2022 kan det antas att största delen av de svarande som tar i bruk identifikationskoden tar i bruk den vid sidan av personbeteckningen. Av samma orsak har ändringen åtminstone under de första åren sannolikt en mycket begränsad inverkan på myndigheternas verksamhet samt för privata företag och sammanslutningar. Identifikationskoden medför inga kostnader eller andra verkningar för de organisationer som inte själva beslutar ta i bruk den. Konsekvenserna av införandet av identifikationskoden är alltså betydligt mer begränsade och mer beroende av organisationernas egna beslut än vad konsekvenserna av förslaget i det första skedet av projektet från den arbetsgrupp för att utreda förnyandet av personbeteckningssystemet och den av staten garanterade identitetshanteringen om en beteckning som skulle ersätta personbeteckningen hade varit. 

Identifikationskoden ska tas i bruk i det bevis för kärnidentitet enligt 3 kap. i lagen om de tjänster för digital identitet som tillhandahålls av Myndigheten för digitalisering och befolkningsdata som ska ingå i e-tjänstverktyget för utlänningar och i e-legitimationen. Införandet av identifikationskoden bidrar alltså till uppnåendet av målet att utveckla fungerande identifieringslösningar och erbjuda möjlighet till elektronisk identifiering i enlighet med tidtabellen i statsminister Sanna Marins regeringsprogram. Framför allt utlänningar kan, om lagstiftningen om en digital identitet verkställs, i större utsträckning än för närvarande få tillgång till ett verktyg för finländska e-tjänster. 

När identifikationskoden tas i bruk inom befolkningsdatasystemet är nyttan av den för människorna i huvudsak mycket likartad som nyttan av den könsneutrala personbeteckningen som beskrivs ovan i avsnitt 4.2.3.1. Utöver könsdiskriminering kan en övergång till att använda identifikationskoden dock också förebygga åldersdiskriminering och onödigt omfattande behandling av uppgiften om ålder. Målen gällande skyddet för privatlivet och förebyggande av diskriminering kan dessutom uppnås i betydligt större omfattning genom identifikationskoden än endast genom den nya könsneutrala formen av personbeteckningarna. Eftersom identifikationskoden inte innehåller potentiellt felaktiga personuppgifter och den nödvändigtvis inte behöver ändras i samband med fastställande av könstillhörighet, är koden i praktiken mer permanent än personbeteckningen. På så sätt uppstår inte heller de i avsnitt 4.2.3.1. beskrivna negativa konsekvenserna av ändring av koden överhuvudtaget. 

Eftersom identifikationskoden inte innehåller innehavarens personuppgifter, möjliggör den specificering av en person i samband med uträttande av ärenden på ett sätt som bättre än för närvarande beaktar dataskyddskraven. Identifikationskoden anger inte innehavarens ålder eller kön, utan specificerar endast personen på ett entydigt sätt. Uppgiften om ålder och kön samt övriga personuppgifter ska i det fallet med beaktande av principen om uppgiftsminimering behandlas endast i den omfattning som det enskilda ärendet förutsätter. Motsvarande nytta av identifikationskoden kunde i framtiden också uppnås vid uträttande av ärenden över gränserna, om en eller flera av identifieringslösningarna enligt lagstiftningen om digital identitet anmäls i enlighet med förfarandet i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (nedan eIDAS-förordningen). I det fallet kan en kod som härletts ur identifikationskoden förmedlas till en utländsk ärendehanteringstjänst som en kod som specificerar användaren vid uträttandet av ärenden över gränserna utan att uppgifter om användarens födelsetid eller kön förmedlas i onödan.  

I och med ibruktagandet av identifikationskoden förbättras skyddet för individens personuppgifter i alla de situationer, där det inte är nödvändigt att samtidigt behandla uppgiften om kön och födelsetid. När det gäller uppgiften om kön eftersträvas motsvarande nytta också genom ibruktagandet av den könsneutrala personbeteckningen från ingången av 2027. I själva verket finns det mycket få sådana situationer där båda de nämnda uppgifterna samtidigt behövs i samma tjänst åtminstone med den noggrannhet som de ingår i personbeteckningen. Det ökade dataskydd som identifikationskoden medför sträcker sig således till nästan alla tjänster inom den offentliga och den privata sektorn. Till exempel myndighetsåldern är till sin natur en fråga som i allmänhet inte förutsätter uppgift om personens födelsetid med en dags noggrannhet. Till utredande av myndighetsåldern ansluter dessutom extremt sällan något behov att samtidigt få veta personens kön. Genom lagstiftningen om digital identitet strävar man också efter att uppnå samma nytta genom att genomföra de första lösningarna som stöder en självägd digital identitet. 

I propositionen föreslås dock endast att identifikationskoden ska skapas vid sidan av personbeteckningen i befolkningsdatasystemet. Detta har i sig inga praktiska konsekvenser för människorna, utan sådana uppstår först om de organisationer som utnyttjar befolkningsdatasystemets uppgifter tar koden i bruk i sin egen verksamhet antingen internt eller till exempel vid informationsutbyte mellan organisationer. Även i det fallet förutsätter de positiva konsekvenserna oftast att identifikationskoden ersätter behandlingen av personbeteckningen i organisationens verksamhet. I praktiken förväntas detta inte ske i någon större utsträckning på en lång tid. Ovan behandlade fördelar med identifikationskoden är till sin karaktär närmast potentiella fördelar, vars utfall i praktiken är helt avhängigt av eventuella framtida beslut om användning av identifikationskoden. 

I praktiken förväntas att användningen av identifikationskoden i samhället långsamt utvidgas, varför även den nytta som koden möjliggör för människorna sannolikt blir rätt så liten under de närmaste åren. På längre sikt möjliggör identifikationskoden dock betydligt bättre än personbeteckningen behandling av människors uppgifter med beaktande av skyddet för privatlivet och dataskyddet. 

4.2.5  Begränsande av behandling av personbeteckningar vid identifiering av en registrerad

I en utredning som Myndigheten för digitalisering och befolkningsdata beställt (Digi- ja väestötietovirasto – henkilötunnuksen käyttö tunnistamisessa – loppuraportti 18.6.2021) kartlades hur personbeteckningen används för identifiering inom olika former av uträttande av ärenden. Utredningen gällde den offentliga, den privata och den tredje sektorn. I dessa ingick detaljhandeln gällande apoteks- och kemikalievaror, den offentliga förvaltningen, utbildningen, finansierings- och försäkringsverksamheten, social- och hälsovården samt försörjningen av el, gas, värme och kyla (energiindustrin). Utredningen omfattar dock inte alla samhällsområden. Enligt rapporten används personbeteckningen i stor utsträckning vid identifieringen av en person, men dock endast sällan ensam. I samband med e-tjänster är stark autentisering det mest allmänna sättet att identifiera en kund. Den allmännaste metoden för att identifiera en kund i samband med uträttande av ärenden över telefon är att be om personbeteckningen och andra preciserande uppgifter. I samband med besök är den mest allmänna metoden att identifiera kunden ett officiellt dokument, såsom pass eller identitetskort. Enligt rapporten framgick i samband med skötsel av ärenden över telefon vissa fall där kunden identifieras endast med hjälp av personbeteckningen, till exempel inom apoteksbranschen och social- och hälsovårdsbranschen. Som orsaker till användningen av personbeteckningen som enda metod för identifiering ses bland annat lättheten, de låga kostnaderna, upplevd tillförlitlighet, saknade tilläggsuppgifter eller bristande beredskap hos kunden att ta i bruk alternativa identifieringsmetoder. Dessutom krävs personbeteckningen till exempel inom apoteksbranschen och social- och hälsovårdsbranschen för tillgång till kundens uppgifter. Den föreslagna ändringen påverkar nämnda områden framför allt så, att anvisningarna för identifieringspraxis i samband med skötsel av ärenden över telefon bör preciseras.  

Vid konsekvensbedömningarna har man utöver den utredning som Myndigheten för digitalisering och befolkningsdata låtit göra utnyttjat remissvaren, som i större utsträckning omfattar sådana aktörer som inte deltagit i utredningen. Remissvaren stöder i huvudsak det bedömningar som framförts i utredningen, även om enskilda remissinstanser ansåg konsekvenserna vara mer omfattande. En del av remissinstanserna anser dock att bedömningen försvåras av att begreppen specificering och identifiering samt kontroll och verifiering av identiteten inte på ett täckande sätt definierats i lagstiftningen och av att de också används inkonsekvent i samhället. Vid bedömningen av lagändringarnas genomslag har man dock beaktat att dataskyddslagstiftningens bestämmelser endast gäller behandling av personbeteckningar och inte till exempel identifieringsförfaranden i en mer omfattande utsträckning. 

Konsekvenserna riktar sig framför allt till så kallade svaga autentiseringssituationer, där kundens identitet i allmänhet inte fastställs ur en källa som anses tillförlitlig, såsom en officiell handling som påvisar identiteten. Konsekvenserna antas vara mest betydande särskilt för mindre organisationer, om i deras kundregister inte finns stora mängder uppgifter om kunderna. Dessutom kunde förslaget påverka enskilda myndigheters eller andra organisationers behov att som personuppgiftsansvariga bedöma på vilket sätt man kunde påvisa att man vid behandling av personbeteckningar iakttagit kraven på behandling av personbeteckningar enligt dataskyddsförordningen och dataskyddslagen avseende brottmål. Detta kunde i vissa fall också medföra ett behov av att granska i artikel 30 i dataskyddsförordningen och 18 § i dataskyddslagen avseende brottmål avsedda register över behandling, också med beaktande av ändamålet för behandlingen av personbeteckningen. Eftersom förslaget dock inte ändrar på omfattningen av ansvarsskyldigheten och inte innebär en mer detaljerad dokumenteringsskyldighet än för närvarande, bedöms konsekvenserna bli små. Konsekvenserna kunde vara större i det fall att den personuppgiftsansvariga inte tillsett en med tanke på ansvarsskyldigheten tillräcklig dokumentation på det sätt som dataskyddslagstiftningen redan för närvarande förutsätter.  

Dataombudsmannen övervakar personuppgiftsansvarigas och personuppgiftsbiträdes behandling av personbeteckningar på basis av uppgifterna och behörigheterna i artikel 55–59 i dataskyddsförordningen, dataskyddslagen och dataskyddslagen avseende brottmål. Dataskyddsförordningen möjliggör till exempel utfärdande av reprimander till en personuppgiftsansvarig eller utfärdande av ett föreläggande för en personuppgiftsansvarig att göra åtgärderna för behandling lagliga. Dessutom möjliggör dataskyddslagstiftningen vad gäller personuppgiftsansvariga och personuppgiftsbiträden inom den privata sektorn påförande av en administrativ påföljdsavgift. Det förekommer endast få klagomål och andra kontakter till dataombudsmannens byrå om användningen av personbeteckningen som enda uppgift för identifiering av en person. Dataombudsmannens byrå tar årligen emot ett antal sådana kontakter. Framför allt i de situationer, där en personuppgiftsansvarig anser det vara nödvändigt att precisera registren över behandling eller i övrigt bedöma sin praxis, kan de nya bestämmelserna medföra vissa kontakter. Eftersom de föreslagna bestämmelserna motsvarar dataombudsmannens anvisningar, bedöms dock det eventuella merarbete som förslaget föranleder för dataombudsmannen bli relativt litet. 

Förslaget ökar inom vissa områden antalet identifieringsuppgifter som frågas i samband med skötsel av ärenden över telefon. Detta förlänger kundsamtalens längd i liten utsträckning. Eftersom personbeteckningen redan för närvarande endast sällan används ensam för identifiering av en registrerad bedöms förslaget inte ha några betydande konsekvenser för myndigheterna eller näringslivet. 

Propositionen anses ha positiva konsekvenser för skyddet för personuppgifter och privatlivet och på så sätt förstärks de rättigheter som tryggas i 10 § i grundlagen och artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Användning av uteslutande personbeteckningen eller en kombination av personbeteckningen och den registrerades namn vid identifiering ska förbjudas. Propositionen minskar risken för att falla offer för identitetsstöld, eftersom man med personbeteckningen eller en kombination av personbeteckningen och namnet inte längre kan framföra påståenden om identiteten på samma sätt som med ett lösenord. Genom propositionen förbättras framför allt skyddet för personuppgifter som omfattas av tystnadsplikt genom att inhämtandet av sådana uppgifter otillbörligen försvåras. Genom förslaget avhjälps dock inte helt riskerna för identitetsstöld, utan i fråga om identitetsstölder är uppnåendet av målet beroende av att de övriga uppgifter utöver personbeteckning och namn som används i identifieringssyfte inte känns till eller kan utredas av andra personer. Med tanke på uppnåendet av målet är det också väsentligt, att en fysisk person i situationer med hög risk identifieras på ett annat, mer tillförlitligt sätt. 

Utnyttjandet av e-tjänster har ökat och förslaget kunde i vissa fall uppmuntra till en utökad användning av e-tjänster och stark autentisering jämfört med nuläget, framför allt i situationer där till behandlingen av personuppgifter kan bedömas ansluta särskilda risker. I sådana situationer kunde den föreslagna lagändringen försvåra uträttandet av ärenden för sådana äldre personer, minderåriga och andra som inte använder digitala tjänster. Förslaget förutsätter dock inte en utökad användning av stark autentisering eller e-tjänster, och förhindrar inte heller användningen av personbeteckningen som en uppgift bland andra vid identifieringen av en person. Konsekvenserna bedöms därför bli små. 

Bestämmelsen om begränsning av behandlingen av personbeteckningen bedöms inte förutsätta betydande ändringar i de personuppgiftsansvarigas informationssystem eller andra förfaranden, i vilka ingår behandling av personuppgifter. Avsikten med förslaget ör att precisera och förtydliga lagens ursprungliga syfte. Förslaget motsvarar gällande anvisningar från dataombudsmannens byrå. Också i praktiken förekommer det sällan situationer där personbeteckningen är den enda uppgiften eller den enda uppgiften i kombination med personens namn som frågas i samband med identifiering av en person. Således bedöms förslaget inte ha några betydande ekonomiska konsekvenser. 

4.2.6  Sammanfattning av de viktigaste konsekvenserna

Den sänkta tröskeln för beviljande av personbeteckning och de föreslagna ändringarna i befolkningsdatasystemets registreringsförfaranden gör det betydligt lättare för utländska medborgare att få en finsk personbeteckning. Genom de föreslagna ändringarna förbättras andra än finska medborgares lika möjligheter att verka som en del av det finländska samhället. Konsekvenserna av ändringarna berör årligen tiotals tusen människor. 

Slopandet av uppgiften om kön ur personbeteckningen minskar en onödigt omfattande behandling av uppgiften om kön i samhället och möjliggör bättre än för närvarande en minimering av de personuppgifter som behandlas. Genom ändringen kan man också förebygga diskriminering på basis av kön och förbättra ställningen särskilt för personer som hör till en könsminoritet. 

Identifiering av en registrerad uteslutande med personbeteckningen eller en kombination av personbeteckningen och personens namn ska förbjudas. Ändringen är ägnad att stärka skyddet för människors personuppgifter och privatliv. 

De förslag som ingår i propositionen medför inga direkta kostnader för enskilda personer eller hushållen. Det att e-tjänstverktyget för utlänningar är avgiftsbelagt medför dock en indirekt kostnad för utlänningar som distansregistrerar sig. 

En lägre tröskel för beviljande av personbeteckning kan bedömas få likartade konsekvenser för företagen som för myndigheterna. Befolkningsdatasystemets uppgifter utnyttjas i stor utsträckning också inom den privata sektorn, och till exempel med tanke på finansbranschens informationshantering är det oftast tydligare och lättare, att så många kunder som möjligt har en personbeteckning. Sänkningen av tröskeln för beviljande av personbeteckning och den förenkling av förfarandet som hänger samman med det minskar också för sin del byråkratin i samband med inflyttningen för arbetskraftsinvandrare, vilket bedöms få positiva konsekvenser för rekryteringen av utländska experter till det finländska näringslivet. Genom de föreslagna ändringarna kompletteras på så sätt de åtgärder som genomförts inom ramen för åtgärdsprogrammet Talent Boost.  

Det föreslagna utvidgandet av den krets av utlänningar som tilldelas en personbeteckning möjliggör som motvikt till kostnaderna en effektivisering av verksamheten och därigenom inbesparingar för en mycket stor grupp organisationer inom såväl den privata som den offentliga sektorn. De totala inbesparingarna av effektiviseringen av funktionerna kan på längre sikt uppskattas bli större än de omedelbara kostnaderna. För kostnadsberäkningarna redogörs närmare i avsnitt 4.2.2.5. 

Av de förslag som ingår i propositionen har slopandet av uppgiften om kön ur personbeteckningen de klart största kostnadsverkningarna. Kostnaderna fördelar sig på en mycket stor grupp myndigheter, kommuner och organisationer inom den privata sektorn, men koncentrerar sig i praktiken särskilt till hälso- och sjukvården och försäkringsverksamheten. Kostnadernas exakta storleksklass för hela samhället har inte kunnat bedömas, för det första eftersom man inte fått kostnadsberäkningar i tillräckligt omfattande utsträckning och för det andra eftersom genomförandet sträcker sig över flera år. Kostnaderna sjunker om genomförandena kan ske vid tidpunkter då systemen även i övrigt förnyas eller uppdateras. Om genomförandena sker samtidigt överallt, är en grov uppskattning av kostnadernas storleksklass för samhället tiotals miljoner euro. För kostnadsberäkningarna redogörs närmare i avsnitt 4.2.3.3. 

Utöver ovan beskrivna kostnader innehåller propositionen till sin karaktär möjliggörande förslag, om vilkas utnyttjande de organisationer som i sin verksamhet utnyttjat BDS-uppgifter själva får besluta. Sådana förslag är utnyttjande av distansregistrerade personers BDS-identiteter och av den nya identifikationskoden. Eftersom det är frivilligt att utnyttja nämnda nya BDS-identiteter och BDS-uppgifter, bör varje organisation separat bedöma kostnaderna för införandet av dem när den beslutar om ett eventuellt ibruktagande. Den föreslagna identifikationskodens faktiska konsekvenser för näringslivet kan med de åtgärder som föreslås i denna proposition antas bli små. 

Propositionen hänför sig till statens budgetproposition för 2023 och avses bli behandlad i samband med den. De förslag som ingår i propositionen påverkar statsbudgeten åren 2022–2026. För ibruktagande av de reformer som ingår i propositionen blir Myndigheten för digitalisering och befolkningsdata, Migrationsverket, Polisstyrelsen och Skatteförvaltningen tvungna att genomföra nödvändiga ändringar av informationssystemen och verksamhetsmetoderna som medför kostnader.  

Redan under beredningen av propositionen har det varit behövligt att inleda för ibruktagande av lösningarna nödvändig utveckling av informationssystemen. Som nödvändiga kostnader för 2022 bedömdes för Myndigheten för digitalisering och befolkningsdata 1 175 200 euro för kostnader för köpta tjänster och 64 000 euro för personalkostnader, för Migrationsverket 793 500 euro för kostnader för köpta tjänster och personalkostnader, för Polisstyrelsen 360 000 euro och för Skatteförvaltningen 250 000 euro för beskattningsverksamhet. Dessa kostnader täcks med anslag som beviljades i den andra tilläggsbudgeten för 2022 och delvis med befintliga anslag. 

År 2023 bedöms Myndigheten för digitalisering och befolkningsdata orsakas kostnader för köpta tjänster av engångsnatur på 506 000 euro, som inriktas på moment 28.30.03, Omkostnader för Myndigheten för digitalisering och befolkningsdata (reservationsanslag 2 år), inom finansministeriets förvaltningsområde. Dessutom orsakas Myndigheten för digitalisering och befolkningsdata från och med 2023 bestående årliga kostnader om 1 060 000 euro under ovannämnda moment. För Migrationsverket orsakas från och med 2023 bestående årliga kostnader om 480 000 euro under moment 26.40.01, Migrationsverkets och statliga förläggningars omkostnader (reservationsanslag 2 år), inom inrikesministeriets förvaltningsområde. År 2023 bedöms Skatteförvaltningen orsakas kostnader av engångsnatur på 200 000 euro, som täcks med redan befintliga anslag.  

För reformerna nödvändiga utvecklingskostnader av engångskaraktär orsakas också efter 2023. För Skatteförvaltningens beskattningsverksamhet beräknas orsakas utvecklingskostnader av engångsnatur om 100 000 euro år 2024. För Myndigheten för digitalisering och befolkningsdata beräknas orsakas utvecklingskostnader av engångsnatur om 184 000 euro år 2026. Kostnaderna ingår inte i planen för de offentliga finanserna och de bör bedömas separat i samband med kommande ramar.  

Införandet av de reformer som ingår i propositionen i andra myndigheter och i ovannämnda myndigheters andra än nödvändiga tjänster förutsätter utvecklingsåtgärder som medför kostnader. Dessa kostnader och allokeringen av dem har till exempel vad gäller distansregistreringen presenterats i punkt 4.2.2.5 och i fråga identifikationskoden i punkt 4.2.4.1. Kostnaderna grundar sig dock på behovsprövat ibruktagande av lösningar, så de kan anses vara indirekta ur propositionens synvinkel. Övriga myndigheters anslagsbehov bör behandlas separat som en del av planen för de offentliga finanserna och budgetberedningen. 

Genom de reformer som ingår i propositionen föreslås för kommunerna eller välfärdsområdena inga nya statsandelsuppgifter eller statsandelsskyldigheter och inte heller utvidgas nuvarande uppgifter eller skyldigheter. Reformerna förutsätter dock att kommunerna och välfärdsområdena utvecklar framför allt sina informationssystem, åtminstone i situationer där en persons kön härleds ur personbeteckningen. Utnyttjandet av distansregistrerade utlänningars uppgifter och införandet av identifikationskoden kräver utvecklingssatsningar, om kommunen eller välfärdsområdet beslutar sig för att ta i bruk dessa. De kostnader som reformen orsakar kommunerna och välfärdsområdena behöver inte täckas med nya anslag eller höjningar av statsandelarna. I kommunernas statsandelar har man beaktat de sedvanliga utvecklingskostnaderna i anslutning till skötseln av de lagstadgade uppgifterna, till vilka slopandet av uppgiften om kön ur personbeteckningen kan anses höra. 

I lagen om informationshantering inom den offentliga förvaltningen (906/2019, nedan informationshanteringslagen) föreskrivs bland annat om ordnande och beskrivning av informationshantering, interoperabiliteten mellan informationslager, genomförande av tekniska gränssnitt och elektroniska förbindelser som möjliggör visning av informationsmaterial samt tillgodoseendet av informationssäkerheten. Genom informationshanteringslagen säkerställs en enhetlig hantering samt informationssäker behandling av myndigheternas informationsmaterial så att offentlighetsprincipen förverkligas. 

I propositionen föreslås ändringar framför allt i befolkningsdatasystemets datainnehåll, föremålen för registrering och de förfaranden som iakttas vid registrering. Genom propositionen ändras dock inte befolkningsdatasystemets ändamål, de allmänna principerna för utlämnande eller bevarande av uppgifter eller andra centrala principer med tanke på användbarheten för de uppgifter som ingår i systemet. Uppgifterna i befolkningsdatasystemet bevaras fortsättningsvis i huvudsak permanent. Också bestämmelserna om befolkningsdatasystemets personuppgiftsansvar ska enligt förslaget bibehållas. Myndigheten för digitalisering och befolkningsdata och Statens ämbetsverk på Åland ska fortfarande vara personuppgiftsansvariga, och de ska på samma sätt som nu fortfarande ansvara för att kraven enligt informationshanteringslagen uppfylls. 

I propositionen föreslås att Migrationsverket och Skatteförvaltningen ska få rätt att ändra och lägga till uppgifter i befolkningsdatasystemet. Migrationsverket och Skatteförvaltningen utför för närvarande endast första registreringar i systemet, vilket betyder att deras uppgifter utvidgas jämfört med nuläget. Det är dock fortfarande endast fråga om registrering av uppgifter via tekniska gränssnitt, och ändringen påverkar inte ansvaret för förvaltningen av befolkningsdatasystemet. Migrationsverket och Skatteförvaltningen ska genomföra integreringar i sina informationssystem till de tekniska gränssnitt som Myndigheten för digitalisering och befolkningsdata genomför, med vilka befolkningsdatasystemets uppgifter uppdateras. Uppdatering av uppgifter genom tekniska gränssnitt förutsätter satsningar på utveckling av system vid Myndigheten för digitalisering och befolkningsdata, Migrationsverket och Skatteförvaltningen samt tid för genomförandet. Ett smidigt ibruktagande av metoderna förutsätter framför allt av Myndigheten för digitalisering och befolkningsdata satsningar på stöd till Migrationsverkets och Skatteförvaltningens personal. 

Enligt förslaget ska det från och med september 2023 vara möjligt att registrera sig genom ett förfarande för distansregistrering som fungerar enligt självbetjäningsprincipen. Förfarandet är helt nytt och grundar sig på ett annat förfaringssätt än de registreringsförfaranden som används för närvarande. De BDS-identiteter som registrerats i befolkningsdatasystemet genom förfarandet för distansregistrering bör kunna särskiljas från personer som registrerats på traditionellt sätt såväl i befolkningsdatasystemet som i de organisationer som i sin verksamhet utnyttjar befolkningsdatasystemets uppgifter. Även om personens uppgifter enligt förslaget inom förfarandet för distansregistrering registreras i befolkningsdatasystemet, kan det anses att de i själva verket utgör ett nytt och separat datalager i systemet. Myndigheten för digitalisering och befolkningsdata ansvarar ensamt för förfarandet för distansregistrering och för hantering och utlämnande av de uppgifter som registrerats inom det på ändamålsenligt sätt. 

Eftersom avsikten är att förfarandet för distansregistrering ska genomföras med en mobil applikation och det i förfarandet ingår behandling av biometriska uppgifter som gäller den person som registrerar sig, kan till förfarandet också anses ansluta större krav på informationssäkerhet. Det har dock inte ansetts behövligt att i propositionen ta med specialbestämmelser om förfarandets informationssäkerhet, utan i förfarandet tillämpas bestämmelserna om informationssäkerhet i 4 kap. i informationshanteringslagen. Det bör dock beaktas att i 2 kap. i lagen om de tjänster för digital identitet som tillhandahålls av Myndigheten för digitalisering och befolkningsdata föreslås kompletterande specialbestämmelser om informationssäkerhet angående de centrala kvalitets- och datasäkerhetskraven gällande informationssystemet för digital identitet. Informationssäkerhetskraven sträcker sig i regel också till produktionen och utnyttjandet av e-tjänstverktyget för utlänningar som skapas inom förfarandet för distansregistrering. Då beaktas de även vid genomförandet och produktionen av det informationssystem som används för förfarandet för distansregistrering.  

I propositionen föreslås att befolkningsdatasystemets datainnehåll ska utvidgas med nya uppgifter som beskriver sättet för identifiering eller specificering av en person och källan till de grundläggande uppgifterna om en person. De föreslagna nya uppgiftsgrupperna är i viss mån exceptionella till sin karaktär och sitt syfte såtillvida att de inte egentligen hänför sig till den fysiska person som registrerats i befolkningsdatasystemet, utan de uppgifter om personen som registrerats i systemet. Genom de nya uppgiftsgrupperna kan man förbättra den allmänna kvaliteten på och tillförlitligheten för uppgifterna i systemet. De nya uppgiftsgrupperna möjliggör även en kontrollerad användning i samhället av de uppgifter som registrerats i systemet genom förfarandet för distansregistrering. 

Utnyttjandet av befolkningsdatasystemets uppgifter som grundar sig på distansregistrering förutsätter att uppgifterna i fråga kan särskiljas från övriga uppgifter i befolkningsdatasystemet. I praktiken ska den som tar emot uppgifterna planera informationssystemen, informationsresursernas datastrukturer och den informationsbehandling som hänför sig till dem så att särskiljandet mellan de uppgifter som krävs kan genomföras utan problem. Bestämmelser om det särskilda kravet på utlämnande av uppgifter finns i 34 a § i föreslagna BDS-lagen och det fullgörs i praktiken genom utnyttjande av ovannämnda uppgift som beskriver sättet för identifiering eller specificering av en person. En myndighet som beslutar att ta emot uppgifter som grundar sig på distansregistrering ska således skapa tillräckliga förfaranden för särskiljande av uppgifterna. Dessa förfaranden utvärderas i samband med beslutet om utlämnande av uppgifter ur befolkningsdatasystemet. När en myndighet som verkar som informationshanteringsenhet planerar sätten för genomförande av ett förfarande som möjliggör särskiljande av uppgifterna ska den bedöma ändringens konsekvenser för sin informationshantering i enlighet med 5 § 3 mom. i informationshanteringslagen. Statliga ämbetsverk och inrättningar ska också utvärdera ändringens ekonomiska konsekvenser i enlighet med 8 § i informationshanteringslagen och, i fråga om ändringar med funktionella konsekvenser, behovet att begära utlåtande av finansministeriet i frågan i enlighet med 9 § i informationshanteringslagen. Genom propositionen ändras inte till övriga delar bestämmelserna om utlämnande av uppgifter ur befolkningsdatasystemet, och den har inga konsekvenser för utnyttjandet av systemets övriga uppgifter i samhället. 

En informationshanteringsenhet som beslutar att ta i bruk den föreslagna identifikationskoden i sin verksamhet ska i samband med planeringen av ändringen bedöma dess konsekvenser för informationshanteringen i enlighet med 5 § 3 mom. i informationshanteringslagen. Statliga ämbetsverk och inrättningar ska också utvärdera ändringens ekonomiska konsekvenser i enlighet med 8 § i informationshanteringslagen och, i fråga om ändringar med funktionella konsekvenser, behovet att begära utlåtande av finansministeriet i frågan i enlighet med 9 § i informationshanteringslagen. Konsekvenserna av ibruktagandet av identifikationskoden är i praktiken i betydande grad beroende av, om koden tas i bruk endast som en kompletterande specificerande uppgift eller som huvudsaklig nyckel som kopplar samman personens uppgifter. En myndighet som tar i bruk identifikationskoden ska också vidta behövliga åtgärder i fråga om informationsutbyte och utlämnande av uppgifter. Ibruktagandet av identifikationskoden i befolkningsdatasystemet påverkar inte möjligheten att utnyttja personbeteckningen. 

Slopande av uppgiften om kön ur personbeteckningen leder till att uppgiften från och med 2027 utlämnas ur befolkningsdatasystemet som en separat uppgift med iakttagande av principerna i 4 kap. i BDS-lagen. De myndigheter som för närvarande använder personbeteckningen som källa för uppgiften om kön ska skapa sådana behandlingsförfaranden för uppgiften som är separata från personbeteckningen. 

I propositionen föreslås inga ändringar i de gällande bestämmelserna om offentlighet och sekretess i fråga om handlingar. Genom de förslag som ingår i propositionen ändras inte heller bestämmelserna om befolkningsdatasystemets ärendehantering eller ärenderegister. 

Alternativa handlingsvägar

5.1  Handlingsalternativen och deras konsekvenser

5.1.1  Totalreform av personbeteckningens struktur

Reformen av personbeteckningssystemet har beretts i två skeden, av vilka det första inleddes den 1 september 2017 när finansministeriet tillsatte en arbetsgrupp för att utreda förnyandet av personbeteckningssystemet och den av staten garanterade identitetshanteringen. Arbetsgruppens slutrapport offentliggjordes den 6 april 2020. Arbetsgruppen föreslog i sin slutrapport att den nuvarande personbeteckningen stegvis skulle ersättas med en ny form av personbeteckning som inte anger personens ålder, födelsetid, kön eller andra personuppgifter. I slutrapporten föreslogs att den nya formen av beteckning skulle tas i bruk i samhället fullt ut från och med 2027, då den skulle ersätta den nuvarande personbeteckningen som den primära specificerande beteckningen. Beteckningen skulle enligt förslaget i slutrapporten till sin längd och uppbyggnad i övrigt vara likadan som den nuvarande personbeteckningen. 

Den modell som föreslogs i slutrapporten skulle effektivt avhjälpa de dataskyddsproblem som hänför sig till den nuvarande personbeteckningen. Av beteckningen skulle inte framgå personens ålder eller kön och det skulle inte vara möjligt att härleda andra uppgifter om innehavaren ur den, såsom till exempel det, att personen kommit till Finland som invandrare. Till denna del skulle den nytta som uppnås genom en totalreform av personbeteckningens struktur vara betydligt större än den som de reformer som föreslås i denna regeringsproposition medför. Den version att slopa uppgiften om kön som föreslås i denna proposition hindrar inte från att härleda personens kön ur beteckningar som tilldelats före reformen, vartill man genom den inte helt slipper behovet av att ändra personbeteckningen till följd av könskorrigering och fastställande av könstillhörighet. De nya skiljetecken som togs i bruk i samband med den lösning för säkerställande av personbeteckningarnas tillräcklighet som beskrivs ovan i avsnitt 1 ges dessutom under den närmaste framtiden i praktiken endast till invandrare, det vill säga att det är möjligt att av dem härleda att det är fråga om en invandrares beteckning. Man skulle effektivt slippa de dataskyddsproblem av denna art som eventuellt leder till diskriminering genom en totalreform av personbeteckningens struktur. I och med totalreformen skulle det inte heller finnas något behov av olika separata delreformer, utan både personbeteckningarnas tillräcklighet och beteckningens könsneutrala form kunde genomföras samtidigt. 

Arbetsgruppens ovannämnda slutrapport var på en omfattande remissrunda sommaren 2020. I remissutlåtandena såg man i stor utsträckning totalreformens nytta, men kostnaderna för den bedömdes samtidigt bli mycket höga för samhället. Ändringen påverkar alla aktörer inom den offentliga och den privata sektorn som behandlar personbeteckningen, varför det är mycket svårt att göra en exakt kostnadsberäkning för den. På basis av den fortsatta beredningen vid finansministeriet var det på basis av totalreformens kostnader inte ändamålsenligt att genomföra den på det sätt och med den tidtabell som planerats. 

5.1.2  Ett system med en centraliserad konstgjord beteckning

I samband med beredningen av propositionen utreddes också ett alternativ där ett system med en centraliserad konstgjord beteckning som upprätthålls av Myndigheten för digitalisering och befolkningsdata ersätter de nuvarande organisationsspecifika konstgjorda beteckningarna. I befolkningsdatasystemet utformas i modellen en helt ny kod som specificerar personen och som är helt oberoende av personuppgifter. De organisationsspecifika konstgjorda beteckningarna ersätts så att man i stället för dem kan begära en ny kod centraliserat ur befolkningsdatasystemet också för dem som för närvarande inte får en personbeteckning och för vilka man därför är tvungen att använda organisationsspecifika koder. Alternativet påminner i viss mån bland annat om det samordningsnummer som används i Sverige och som behandlas i avsnitt 5.2.1.2. 

Ett system med en centraliserad konstgjord beteckning bedömdes dock vara ett oproportionellt dyrt alternativt jämfört med de åtgärder som föreslås i denna proposition. Systemets kostnader skulle i vissa organisationer motsvara det att man i stället för personbeteckningen skulle tilldela beteckningen i ny form till alla som registreras. Eftersom en del människor enligt modellen skulle ha en personbeteckning och en del den nya konstgjorda beteckningen, borde de flesta informationssystem kunna behandla båda. I alternativet stöter man dessutom på nuvarande utmaningar att sammankoppla uppgifter från den konstgjorda beteckningen med personbeteckningen i det skede då personen tilldelas en personbeteckning. 

Av dessa skäl har det åtminstone inte i detta skede ansetts vara ändamålsenligt att i befolkningsdatasystemet skapa ett system med en centraliserad konstgjord beteckning vid sidan av personbeteckningen. Systemet kunde bli nästan lika dyrt som en övergång till en helt ny beteckning som är oberoende av personuppgifter. Genom det förslag att utvidga BDS-registreringen av utlänningar som ingår i denna proposition kan man dessutom redan i betydande utsträckning på ett mer kostnadseffektivt sätt minska behovet av att använda organisationsspecifika konstgjorda beteckningar. Konstgjorda beteckningar kommer dock även att behövas i fortsättningen, varför det är nödvändigt att personbeteckningar där det individuella numret efter skiljetecknet börjar med siffran 9 fortsättningsvis inte beviljas ur befolkningsdatasystemet, utan att de reserveras endast för testbruk och konstgjorda beteckningar. 

5.1.3  Gemensamt personuppgiftsansvar för befolkningsdatasystemet

I propositionen föreslås vissa utvidgningar av Migrationsverkets och Skatteförvaltningens uppgifter som registrerare och upprätthållare av befolkningsdatasystemets uppgifter. För Migrationsverket och Skatteförvaltningen föreslås en rätt att ändra uppgifter om utländska medborgare som tidigare registrerats i befolkningsdatasystemet samt att lägga till saknade uppgifter i systemet. Vid beredningen av propositionen bedömdes därför också, om personuppgiftsansvaret för befolkningsdatasystemet på grund av ändringarna borde anordnas i form av ett gemensamt personuppgiftsansvar för dessa myndigheter och Myndigheten för digitalisering och befolkningsdata på det sätt som avses i artikel 26 i dataskyddsförordningen. Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de enligt artikel 26.1 i dataskyddsförordningen vara gemensamt personuppgiftsansvariga. Personuppgiftsansvarig för befolkningsdatasystemet är enligt 4 § 1 mom. i BDS-lagen i Fastlandsfinland endast Myndigheten för digitalisering och befolkningsdata i Fastlandsfinland samt i landskapet Åland Statens ämbetsverk på Åland. 

Riksdagens grundlagsutskott har tagit ställning till förslag till bestämmelser om gemensamt personuppgiftsansvar när det bedömt regleringen av behandlingen av personuppgifter i migrationsförvaltningen (GrUU 62/2018 rd, s. 4–5 och GrUU 7/2019 rd. s. 5–8). Utskottet menade att en lösning där en stor grupp myndigheter definieras som personuppgiftsansvariga i stället för att deras rätt att få behövliga uppgifter säkerställts till exempel genom bestämmelser om utlämnande av och rätt till information avviker från det normala. Utskottet menade att en motsvarande reglering kan innebära att sådana känsliga uppgifter som nämns i bestämmelsen, trots sekretessbestämmelser kan överföras mellan de myndigheter som är gemensamt personuppgiftsansvariga, om exempelvis känsliga och sekretessbelagda uppgifter (”behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse”) som registreras i det syfte som nämns i 1 § 1 mom. 1 punkten i lagförslaget i ett senare skede behandlas i samma syfte men av en annan gemensamt personuppgiftsansvarig myndighet. Utskottet ansåg att regleringen till denna del var bristfällig och uppmanade riksdagens förvaltningsutskott att noggrant granska ändamålsenligheten hos regleringen och dess förenlighet med bestämmelserna i dataskyddsförordningen, särskilt med tanke på varje personuppgiftsansvarigs ansvar och tillgodoseendet av den registrerades rättigheter. 

Även om det föreslås att Migrationsverkets och Skatteförvaltningens rätt att upprätthålla befolkningsdatasystemets uppgifter ska utökas, är deras uppgifter fortfarande mycket mer begränsade än befogenheterna hos Myndigheten för digitalisering och befolkningsdata. Migrationsverket och Skatteförvaltningen får genom att lämna uppgifter till befolkningsdatasystemet via ett tekniskt gränssnitt som tillhandahålls av Myndigheten för digitalisering och befolkningsdata registrera och uppdatera endast uttryckligen föreskrivna uppgifter i befolkningsdatasystemet. Deras uppgifter begränsar sig dessutom till situationer där den registrerade av någon annan orsak uträttar ärenden hos myndigheten i fråga. Migrationsverkets och Skatteförvaltningens uppgifter i samband med registreringen av utlänningar jämställs med uppgifterna för dem som meddelar uppgifter i enlighet med 3 kap. i BDS-lagen. Aktörer som meddelar uppgifter till befolkningsdatasystemet i enlighet med 3 kap. kan också genom utlämnande av uppgifter ändra uppgifter som andra aktörer registrerat i befolkningsdatasystemet och meddela nya uppgifter. Myndigheten för digitalisering och befolkningsdata har däremot fortfarande en övergripande befogenhet att registrera, ändra, lägga till och rätta alla uppgifter i befolkningsdatasystemet samt att behandla begäranden om rättelse av uppgifter. Endast Myndigheten för digitalisering och befolkningsdata får uppdatera sådana personuppgifter som påverkar fastställandet av personbeteckningen och ändra eller rätta personbeteckningen. 

Befolkningsdatasystemet är ett av samhällets basregister och dess uppgifter utnyttjas i mycket omfattande grad inom såväl den offentliga som den privata sektorn. Uppgifterna i systemet är därför behäftade med särskilt accentuerade krav och ansvaret för förvaltningen av det ska vara entydigt och exakt definierat. På grund av systemets karaktär är det också mycket viktigt att det inte finns någon oklarhet i fråga om tillgodoseendet av de registrerades rättigheter och kontaktpunkten. Vid beredningen av propositionen har man därför ansett det ändamålsenligt att bibehålla de befintliga bestämmelserna om personregisteransvaret för befolkningsdatasystemet. Den enda personregisteransvariga i Fastlandsfinland är därför fortfarande Myndigheten för digitalisering och befolkningsdata och på Åland Statens ämbetsverk på Åland. 

5.1.4  Alternativ för genomförande av en könsneutral personbeteckning

I propositionen föreslås att de nya personbeteckningarna från och med den 1 januari 2027 ska vara könsneutrala. De personbeteckningar som tilldelats före nämnda datum ändras inte, varför man av dem fortfarande kan härleda, om beteckningen tilldelats en man eller en kvinna. I beteckningen kvarstår fortfarande också födelsetiden, på basis av vilken man relativt säkert kan härleda, om beteckningen tilldelats i enlighet med den gamla eller den nya lagstiftningen. 

Den föreslagna ändringen i sig leder till att uppgiften om könskorrigering ofta kan härledas ur personbeteckningen. Till exempel det, att en person som är född före år 2027 har ett kvinnonamn av finsk härkomst och en udda sista siffra av det individuella numret innebär i allmänhet att personens kön har fastställts. Ändringen kunde således i denna form till och med anses försvaga ställningen och skyddet för privatlivet för transpersoner och interkönade jämfört med nuläget, vilket i beredningen av propositionen inte har ansetts vara godtagbart. I propositionen har således ansetts att man inte kan slopa rätten för en person att byta sin personbeteckning i dessa situationer, även om beteckningarna formellt sett blir könsneutrala enligt propositionen. Likaså har en interkönad person i samband med rättelse av uppgiften om kön efter det att reformen trätt i kraft rätt att på ansökan få sin personbeteckning ändrad. 

Som ett alternativ till det föreslagna genomförandesättet övervägdes också en mer omfattande rätt att ändra personbeteckningen endast på basis av en viljeyttring. I detta alternativ hade rätten att byta personbeteckning inte endast begränsats till juridiskt fastställande av könstillhörigheten och korrigering av uppgiften om kön, utan den skulle ha varit en möjlighet för alla. En omfattande rätt att ändra personbeteckningen hade dock varit en betydande förändring mot bakgrund av den grundläggande principen för personbeteckningssystemet att beteckningen är avsedd att vara permanent. Även på praktisk nivå bygger nästan alla funktioner där personbeteckningen används för specificering av en person på att personbeteckningen i princip är permanent. En obegränsad eller annars mycket omfattande rätt att ändra personbeteckningen medför således mycket betydande kostnader inom såväl den privata som den offentliga sektorn, och detta alternativ kan därför inte anses vara en ändamålsenlig och proportionell lösning på problemet. 

5.1.5  Utlämnande av BDS-identiteter som grundar sig på distansregistrering ur befolkningsdatasystemet

I propositionen föreslås det att man ska ta i bruk ett nytt förfarande för distansregistrering, genom vilket en utländsk person enligt självbetjäningsprincipen kan låta registrera sina uppgifter i befolkningsdatasystemet. I samband med distansregistreringen registreras i befolkningsdatasystemet som nya uppgifter uppgift som beskriver sättet för identifiering eller specificering av personen samt uppgift som beskriver källan för personens grundläggande uppgifter. I samband med beredningen av propositionen har man bedömt principerna för utlämnande av BDS-uppgifter som grundar sig på distansregistrering på basis av följande alternativ: 1. Uppgifterna lämnas ut enligt ändamål utan specialbestämmelser. 2. Uppgifterna lämnas ut enligt ändamål, men endast tillsammans med en uppgift som beskriver sättet för identifiering eller specificering av personen. 3. Uppgifterna lämnas endast ut till en begränsad grupp enligt ändamål. Alternativen granskades genom att man bedömde behovet av att använda de uppgifter som grundar sig på distansregistrering för att uppnå propositionens mål och med tanke på riskhanteringen. Det förslag som ingår i propositionen motsvarar alternativ 2. 

Distansregistreringen är ett nytt förfarande och omfattningen av användningen av den kan inte ännu helt uppskattas. Åtminstone i inledningsskedet ska förfarandet för distansregistrering i princip endast fungera som en första registrering och ett mellanskede innan BDS-identiteten säkerställs hos registermyndigheten. Målet är att utländska personer som kommer till Finland för att arbeta eller studera kan börja uträtta ärenden hos myndigheterna redan från sitt hemland. För att detta mål ska uppnås ska distansregistrerade personers uppgifter kunna användas åtminstone av myndigheterna. Vid konsekvensbedömningen av projektet tog man också upp andra än myndigheters informationsbehov vad gäller distansregistrerade identiteter. Sådana aktörer är till exempel banker, som har behov av information på grund av sina egna lagstadgade skyldigheter. En person kan ofta ha behov av att uträtta ärenden i banker redan i ett tidigt skede efter ankomsten till Finland. Personen kunde då som distansregistrerad identifiera sig med pass och visa upp den personbeteckning som personen tilldelats. Banken bör i en sådan situation ha en möjlighet att kontrollera personens uppgifter i befolkningsdatasystemet och få information om på vilket sätt personen registrerat sig. Vid bedömningen av alternativen konstaterades också, att det inte är ändamålsenligt att begränsa användningen av nya distansregistrerade identiteter endast till myndigheter. Avgränsande av distansregistrerade personers uppgifter endast till myndighetsbruk skulle minska utnyttjandet av uppgifterna, märkbart försvåra uträttandet av ärenden och bromsa upp utvecklandet av tjänster inom den privata sektorn. 

Under beredningen av propositionen bedömdes också, om det är behövligt att särskilja de BDS-identiteter som identifierats genom förfarandet för distansregistrering från dem som identifierats på annat sätt. En distansregistrerad person får enligt förslaget på basis av registreringen en personbeteckning av samma form som de som identifierats på annat sätt, och det är därför inte möjligt att av beteckningen i sig avgöra, om den grundar sig på distansregistrering eller traditionella identifieringsmetoder. På basis av en riskbedömning ansågs det dock nödvändigt att distansregistrerade personer kan särskiljas från övriga personer. På så sätt försöker man förebygga möjligheter till missbruk vid användningen av distansregistrerade personers identiteter, såsom brottslig verksamhet genom näthandelsbedrägerier och motsvarande. Uppgiften behövs för att mottagaren ska kunna bedöma för vilka ändamål personens uppgifter kan användas. Användningen av BDS-uppgifter som grundar sig på distansregistrering är också som helhet mer kontrollerad, när de distansregistrerade identiteterna kan särskiljas från personer som identifierats på annat sätt. Om man inte har tillgång till uppgiften om det sätt på vilket personen identifierats eller specificerats, ökar det särskilt i det inledande skedet av ändringen risken för missbruk av distansregistrerade personers identiteter.  

Grunderna för utlämnande av distansregistrerade personers uppgifter bedöms inom ramen för processen för tillstånd för utlämnande av uppgifter av Myndigheten för digitalisering och befolkningsdata, där man bedömer uppgifternas nödvändighet för det ändamål för vilket de genom beslutet om utlämnande av uppgifter utlämnas. Den som tar emot uppgifterna bär risken för den senare användningen av dem, till exempel när uppgifter utbyts mellan organisationer. Den som tar emot uppgifterna ska också bland annat se till att uppgifterna är aktuella. 

5.1.6  Identifikationskodens form

Den föreslagna identifikationskoden ska till sin struktur vara en teckenrad bestående av 11 tecken, där det sista tecknet är ett kontrolltecken. Som alternativ till den struktur som föreslås i föreliggande proposition bedömdes också möjligheten att som identifikationskod utnyttja den elektroniska kommunikationskod som avses i 63 § i BDS-lagen samt några andra kodalternativ som till sin struktur något avviker från varandra.  

Den elektroniska kommunikationskoden togs i bruk i befolkningsdatasystemet år 1999 som en del av ikraftträdandet av de bestämmelser som förutsatte ibruktagande av statsförvaltningens identitetskort för elektronisk kommunikation. Syftet med den har varit att specificera den elektroniska kommunikationens parter. Den elektroniska kommunikationskoden är en individuell kod som består av åtta siffror (0–9) och ett kontrolltecken. Kodens första tecken kan inte vara siffran 0 eller 9. Med nuvarande teckenantal är det teoretiska maximiantalet individuella koder 80 miljoner. 

För varje levande person vid lagens ikraftträdande samt varje person som därefter registrerats i befolkningsdatasystemet har det skapats en teknisk identifieringskod enligt 63 § 1 mom. i BDS-lagen. Den tekniska identifieringskoden ombildas till elektronisk kommunikationskod genom en särskild aktiveringsåtgärd, som görs när personen beviljas Myndigheten för digitalisering och befolkningsdatas personcertifikat (till exempel ett medborgarcertifikat som tagits i bruk i samband med ett identitetskort som beviljats av polisen ) eller när en annan i Finland etablerad certifikatutfärdare använder koden som en uppgift som identifierar certifikatets innehavare i certifikat som avses i autentiseringslagen eller i motsvarande certifikat som används i identifieringssyfte. Sådana certifikatutfärdare är mobiloperatörer som erbjuder mobilcertifikattjänster.  

I nuläget har den elektroniska kommunikationskoden endast aktiverats för en del av de personer som registrerats i befolkningsdatasystemet och utlämnandet av den är noggrant avgränsat i 43 § i BDS-lagen. På grund av att den nuvarande användningen av den elektroniska kommunikationskoden är etablerad, föreslås det i detta sammanhang inte att användningen ska utvidgas till att utgöra den nya identifikationskoden. Också teknologin för behandlingen av den elektroniska kommunikationskoden i befolkningsdatasystemet är omkring 20 år gammal, och utnyttjandet av den för identifikationskoden är inte ändamålsenligt eller kostnadseffektivt. Dessutom har man i samband med beredningen av propositionen bedömt att det begränsade antalet koder kan bli ett problem på lång sikt.  

Andra former av identifikationskoden som utvärderats är en kod liknande den elektroniska kommunikationskoden bestående av decimaltal med skiljetecken samt de tekniska allmänna kodformaten UUID och OID. Nämnda alternativ är kodformat som används i omfattande grad och som används för universell specificering av många slags objekt. UUID och OID konstaterades dock vara dåligt lämpade som identifikationskod framför allt på grund av sin längd (25–36 tecken). Även om den föreslagna identifikationskoden inte i första hand är avsedd att förmedlas av människor eller vara lätt att komma ihåg, kan en alltför lång kod dock de facto försvåra användningen av den och begränsa även användbara användningssätt. 

5.1.7  Begränsande av behandling av personbeteckningar vid identifiering av en registrerad

Som alternativ till förslaget har man bedömt att bestämmelserna om behandling av personbeteckningen fortsättningsvis kunde vara avhängiga av nuvarande reglering. Detta är dock inte motiverat med beaktande av att ett syfte med identifikationskoden enligt propositionen är att vara ett alternativ till personbeteckningen och att regleringen av behandlingen av personbeteckningen och identifikationskoden utan en precisering av den gällande bestämmelsen förblir oproportionell. Eftersom det i propositionen föreslås att identifikationskoden inte ska få användas för identifiering av en registrerad, kan de föreslagna bestämmelserna leda till en meningslös motsatt slutsats om behandlingen av personbeteckningar. Även i praktiken har det förekommit vissa situationer där personbeteckningen har använts för identifiering av en person, antingen som ensam uppgift eller i kombination endast med personens namn. Av dessa anledningar ska det anses vara behövligt att precisera lagen. 

Behandling av personbeteckningar i samband med identifiering av en registrerad kunde också förbjudas helt genom ovillkorlig förbudsreglering. Detta kan dock inte anses vara motiverat med beaktande av att personbeteckningen används i stor utsträckning som en del av identifieringen av kunder (Digi- ja väestötietovirasto – henkilötunnuksen käyttö tunnistamisessa – loppuraportti 18.6.2021 s. 42). Ett absolut förbud skulle dock sannolikt ha betydande och oförutsägbara ekonomiska konsekvenser. Ett absolut förbud mot behandling av personbeteckningar skulle också kunna leda till ett resultat som motsäger sitt syfte, såsom till exempel vid behandling med låg risk till att den registrerade i stället för med personbeteckningen identifieras med andra personuppgifter som kan fås ur offentliga informationskällor.  

Behandling av personbeteckningar vid identifiering av en registrerad kunde utöver en kombination av den registrerades namn och personbeteckning också begränsas när det gäller andra kombinationer av personuppgifter, såsom till exempel en kombination av personbeteckningen, den registrerades namn och den registrerades stadigvarande adress. I den allmänna lagstiftningen ska dock också beaktas de register som endast innehåller vissa personuppgifter och i fråga om vilka risknivån för behandlingen av personuppgifter är låg. Sådana kunde till exempel vara små föreningars medlemsregister. Således kunde en ytterligare begränsning av behandlingen genom olika kombinationer av personuppgifter som fås ur offentliga informationskällor i vissa fall leda till ett sådant rättsläge där den personuppgiftsansvariga blir tvungen att samla in fler personuppgifter i registret endast för identifiering av en registrerad. Sådan insamling av uppgifter kan inte anses vara kompatibel med dataskyddsförordningens princip om uppgiftsminimering. 

5.2  Lagstiftning och andra handlingsmodeller i utlandet

5.2.1  Regleringen om nationella identifikationsnummer i andra länder

I jämförelsen har man utrett identitetshanteringssystemen i de nordiska och baltiska länderna, Kroatien, Förenade kungariket och Spanien. I Norden och Baltikum fungerar det centraliserade befolkningsregistrets uppgifter som grundpelare för de nationella myndigheternas och den privata sektorns informationsförsörjning. Vid jämförelsen har man huvudsakligen fäst vikt vid identifikationskodernas struktur och befolkningsregistrens datainnehåll samt förfarandet för skapande av identitet, fastställande av identiteten, användningen av biometri och förfaranden för elektronisk autentisering vid registreringen av utlänningar. I flera länder har man gjort ändringar i formen för personbeteckningarna och planeras eller används redan en möjlighet att registrera utlänningar som så kallade e-invånare. Av dessa granskas vid jämförelsen närmare Estlands och Litauens program för e-invånare (andra länder är åtminstone Portugal, Sydafrika, Förenade Arabemiraten, Brasilien, Singapore, Thailand, Japan, Ukraina och Förenta staterna). Av de länder som granskas använder Förenade kungariket elektronisk distansidentifiering från biometriskt pass med hjälp av en smarttelefonapplikation vid visumansökningar. Också inom Estlands e-Notaari-självbetjäningstjänst används ett system för biometrisk ansiktsidentifiering 

Sverige har av historiska orsaker ett mycket likartat system som Finland. I centrum av systemet finns ett centraliserat elektroniskt informationssystem med rötter i de kyrkböcker som förts sedan 1500-talet. I folkbokföringsdatabasen som förs av Skatteverket finns uppgifter om i Sverige stadigvarande bosatta, dvs. folkbokförda personer som tilldelas ett personnummer. I folkbokföringsdatabasen registreras med mycket små undantag samma uppgifter som i befolkningsdatasystemet i Finland. En person som flyttar till landet ska personligen besöka Skatteverkets servicekontor och visa upp sitt resedokument (lag om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet 2001:182, folkbokföringslag 1991:481 och folkbokföringsförordning 1991:749). 

I Sverige har informationstjänsterna separerats från folkbokföringsdatabasen till egna informationssystem, Navet och SPAR. Navet är en informationstjänst som endast är avsedd för staten, kommunerna och regionala myndigheter, där de kan söka uppdaterade folkbokföringsuppgifter digitalt. Den privata sektorn får inte direkta användarrättigheter till Navet-registret, utan de får uppgifter ur SPAR-registret. SPAR är ett separat statligt personadressregister som förs av Skatteverket, där man utöver de centrala personuppgifterna och uppgifterna om familjeförhållanden även kan finna vissa beskattningsuppgifter. Personadressregistrets uppgifter får användas för att uppdatera och kontrollera kunduppgifter samt till exempel för direktmarknadsföring. Utöver de som tilldelats ett personnummer antecknas i personadressregistret uppgifter om de personer som tilldelats ett samordningsnummer, dock under förutsättning att det inte råder osäkerhet om personernas identitet. Bestämmelser om personadressregistret finns i lagen om det statliga personadressregistret (1998:527). 

Sedan år 2000 har personer som saknar hemkommun i Sverige tilldelats ett så kallat samordningsnummer. Med samordningsnumret specificeras alltså i Sverige en person som inte är införd i Sveriges folkbokföringsregister. Numret kan tilldelas av Skatteverket på begäran av en annan statlig myndighet eller en privat utbildningsanordnare (till exempel ett universitet). Begäran om beviljande av numret kan framföras av vilken som helst statlig myndighet där personen uträttar ärenden. Skatteverket kan också tilldela numret på eget initiativ, om personen ska registreras i beskattningsdatabasen. Samordningsnumret är en tillfällig personbeteckning och det gäller i fem år, om inte personen eller den myndighet eller läroanstalt som begärt numret ansöker om förnyande hos skattemyndigheten. Samordningsnumret berättigar inte till sociala trygghetsförmåner i Sverige.  

Den instans bom begärt samordningsnumret ansvarar för fastställandet av personens identitet. Skatteverket kan utfärda närmare föreskrifter om fastställande av identiteten. För att samordningsnummer ska kunna tilldelas kräver Skatteverket att namn, kön, födelsetid, födelseort och medborgarskap utreds. Den myndighet eller privata utbildningsanordnare som begär tilldelning eller förnyande av ett samordningsnummer ska fastställa personens identitet från ett pass, ett resedokument, ett främlingspass eller nationellt id-kort från en EES-stat eller Schweiz i original eller en tillförlitligt styrkt kopia av handlingen. Om identitetsbevis saknas ska identiteten fastställas med hjälp av andra bevis på basis av en totalbedömning av om identiteten kan anses vara fastställd. Från och med den 18 juni 2021 kan också enskilda personer själva ansöka om ett samordningsnummer. Den sökande ska kunna visa sin anknytning till Sverige och besöka skattemyndigheten för att personligen styrka sin identitet. Till exempel ägare till ett fritidsboende i Sverige kan få ett svenskt samordningsnummer. Detta underlättar för utomlands bosatta personer att få el-, telefon- och internetanslutningar till ett fritidsboende i Sverige samt att försäkra egendom. Om personen senare registreras i folkbokföringsdatabasen ersätts samordningsnumret med ett personnummer.  

Personnumret används i Sverige i stor utsträckning som identifikationskod i olika instansers register. Personnumret är inte en sekretessbelagd uppgift i Sverige, varför det är relativt lätt att utreda en annan persons personnummer, till och med ur kommersiella webbtjänster. Personnumret används trots det i Sverige ibland för att påvisa identiteten på samma sätt som personbeteckningen i Finland. På motsvarande sätt som i Finland har man i Sverige föreskrivit att personnumret och samordningsnumret får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. 

I folkbokföringsdatabasen kan också antecknas grunden för tilldelning av personnumret eller samordningsnumret samt, i fråga om en person som tilldelats ett samordningsnummer, om identiteten inte kunnat fastställas med säkerhet. 

Till sin utformning är personnumret och samordningsnumret huvudsakligen likadana. Först kommer födelsetiden uttryckt med sex siffror i ordningen år–månad–dag, därefter ett skiljetecken, sedan ett individuellt nummer (mellan 001 och 999) och i slutet en kontrollsiffra. Det individuella numret är udda för män och jämnt för kvinnor, på samma sätt som i Finland. I informationssystem antecknas personnumret utan skiljetecken. Samordningsnumret avviker till sin form från personnumret genom att till det tal som anger dagen har adderats talet 60. Således kunde personnumret för en kvinna som är född den 13 oktober 1952 vara till exempel 521013-3087 och samordningsnumret 521073-3084.  

Det svenska personnumret togs i bruk år 1946. Numret bestod till en början endast av födelsetiden, ett bindestreck och ett tresiffrigt individuellt nummer. År 1967 fogades en kontrollsiffra till slutet. Genom nuvarande folkbokföringslag ändrades inte numrets struktur, men bindestrecket byts mot ett plustecken det år en person fyller 100 år. Sedan 1998 har Skatteverket till dem som använder uppgifterna förmedlat uppgiften om århundrade med fyra nummer, så att man undviker sammanblandning mellan två personer som fötts på olika århundrade. Om den äldre personen är vid liv när personnumret tilldelas en person med samma födelsedag följande århundrade, förhindras samma personnummer (på samma sätt som i Finland). En del av numren har reserverats för användning i skatteförvaltningens utbildningsdatabaser och testning av systemen, och de tilldelas därför inte. 

Enligt de bestämmelser som trädde i kraft i juni 2021 vilandeförklaras samordningsnumret, om det inte förnyas vid utgången av det femte året efter tilldelningsåret. Enligt ikraftträdandebestämmelsen ska alla samordningsnummer som tilldelats före 2016 och som inte förnyats på det sätt som lagen förutsätter vilandeförklaras före 2022. Anteckningen om vilandeförklaring kan dock återtas, om innehavaren visar att förutsättningarna för beviljande av samordningsnummer uppfylls och samma nummer bibehålls. Uppgiften om vilandeförklaring är alltså en tilläggsuppgift som fogas till numret om att numret inte varit i aktivt bruk på fem år. Före samordningsnumren togs i bruk användes i Sverige ett så kallat tilldelat personnummer (TP-nummer). TP-nummer beviljades en person utan hemort i Sverige men vars uppgifter registrerades till exempel i ärenden i samband med rättssystemet, skatteregistret eller körkortsregistret. Det finns över 500 000 TP-nummer och de behandlas fortfarande i Sveriges folkbokföringsdatabas. När födelsetiden eller könet ändras, ersätts det gamla TP-numret med ett samordningsnummer. Det har även föreslagits att oanvända TP-nummer ska förklaras vilande efter en viss tid på samma sätt som samordningsnumren. 

För varje dag finns det ungefär samma mängd personnummer för bägge könen som i Finland. Till följd av den ökade invandringen har antalet personer vilkas exakta födelsetid inte är känd ökat, vilket lett till att personbeteckningarnas tillräcklighet är äventyrad i Sverige av samma orsaker som i Finland. Från 1996 skärpte Skatteverket övervakningen av de invandrares födelsetider, som anmält sig vara födda kritiska dagar, det vill säga den 1 januari eller 1 juli ett visst år.  

Från och med 2009 (Regeringens proposition 2008/09:111) har födelsetiden i Sverige kunnat antecknas med endast en månads noggrannhet. Början av numret tilldelas med rätt födelsemånad, men datumet kan antecknas på en närliggande dag samma månad, om det inte längre finns lediga individuella nummer på den egna födelsedagen. Rätt födelsetid kan vid behov fås som en separat uppgift och den antecknas på identitetsbevisen. När denna lösning togs i bruk, förutsattes inga ändringar i informationssystemen hos de organisationer som använder uppgifterna. Av de sammanlagt över 10 miljoner nummer som används i Sverige har cirka 25 000 personer ett nummer med en inexakt födelsetid. 

I Sverige offentliggjordes sommaren 2021 en omfattande utredning om åtgärder som siktar till att förbättra förutsättningarna för att registreringen av personuppgifter är tillförlitlig och korrekt samt till att förhindra missbruk av folkbokföringsuppgifter (Statens Offentliga Utredningar SOU 2021:57, betänkande av utredningen om folkbokföring och samordningsnummer). De reformer som föreslås i utredningen föreslås träda i kraft 2023.  

De förslag som gjorts i Sverige går i fråga om sina syften och verkningar i samma riktning som i Finland. Syftet är att göra de nummer som tilldelas mer tillförlitliga och användbara för olika aktörer framför allt vad gäller utredande av den sökandes identitet. Syftet är dessutom att numret ska kunna tilldelas asylsökande redan i ansökningsskedet samt till exempel dem som arbetar i kortvariga anställningsförhållanden. Dessutom föreslås åtgärder för att höja kvaliteten på uppgifterna om en persons bostadsort. Den allmänna avsikten har varit att skapa en regleringsram som ökar folkbokföringsregistrets tillförlitlighet och förhindrar missbruk av uppgifterna i registret. För att effektivisera kontrollen av identiteten hos de personer som ska registreras föreslås att biometriska uppgifter ska användas i samband med kontrollen av identiteten också vid Skatteverket samt att i folkbokföringsdatabasen införs en tilläggsuppgift om huruvida personens uppgifter kunnat styrkas på ett tillförlitligt sätt eller inte. Det föreslås också att myndigheternas anmälningsskyldighet ska utvidgas i fråga om fel och brister som upptäcks i folkbokföringsuppgifterna. 

I Sverige har det blivit ett problem att kvaliteten på identifieringen av en person varierar i samband med begäran om ett samordningsnummer. Vissa myndigheter kan identifiera personerna på ett tillförlitligt sätt, medan andra endast behandlar ett fåtal fall och inte förutsätter ett personligt besök. Detta skapar osäkerhet för myndigheter och andra aktörer, eftersom de inte kan veta med vilken säkerhet personen identifierats. Största delen av myndigheterna gör ingen skillnad mellan samordningsnummer och kontrollerar inte uppgifterna hos Skatteverket, vilket har gjort det möjligt för icke styrkta samordningsnummer att sprida sig i samhället på ett sätt som inte är önskat. Detta har i sin tur minskat förtroendet för systemet med samordningsnummer och på så sätt lett till att numren blivit mindre användbara. För att svara mot de statliga myndigheternas och enskilda personers behov att få en säkrare, mer tillförlitlig och användbar personbeteckning än samordningsnumret, föreslås vid sidan av de nuvarande beteckningarna ett helt nytt identitetsnummer. Det nya identitetsnumret ska inte automatiskt tilldelas alla registrerade, utan det kan endast tilldelas personer som kan identifieras personligen och vars identitet kan säkerställas ur en officiell identitetshandling. Vid identifieringen kan enligt förslaget utnyttjas de biometriska uppgifter som lagrats i resedokument också vid Skatteverket. Det nya identitetsnumret bildas genom att talet 60 adderas till det tal som anger datum och talet 70 adderas till det tal som anger månad. I övrigt motsvarar regleringen i huvudsak nuvarande bestämmelser om samordningsnumret.  

Enligt Sveriges utlänningslag (2015:716) och passlag (1978:302) ska biometriska kännetecken raderas ur informationssystem omedelbart när passet, identitetskortet eller uppehållstillståndskortet har lämnats till kunden eller på ansökan lämnats ett negativt beslut, det vill säga kännetecknen bevaras efter behandlingen av ansökningsärendet endast på identifieringsverktygen. Samma krav gäller situationer där polisen eller någon annan i lag föreskriven tjänsteman har tagit biometriska kännetecken (fingeravtryck eller ansiktsbild) av personen och jämfört dem med uppgifterna på passet eller kortet. För övriga ändamål får biometriska kännetecken som lagrats på identifieringsverktyg inte användas.  

I den rapport som det redogörs för ovan ingår ett förslag till behandling av biometriska data i samband med kontroll av identiteten vid behandling av anmälan om inflyttning till landet eller begäran av ändring av de grundläggande uppgifterna. Personen ska enligt förslaget på begäran åläggas att lämna fingeravtryck och en ansiktsbild till skattemyndigheten, som kan jämföra dem med de uppgifter som finns lagrade på den handling som uppvisats i samband med identifieringen i syfte att säkerställa handlingens äkthet och innehavarens identitet (med undantag för barn under sex år eller personer som är permanent fysiskt förhindrade att lämna fingeravtryck). Efter kontrollen ska ansiktsbilden och fingeravtrycken samt de biometriska data som behandlats dock omedelbart förstöras. En utvidgad användning av biometri och en samordning av identitetshanteringen anses i Sverige dock förutsätta ytterligare utredningar. 

I Norge används ett centraliserat, elektroniskt befolkningsregister (Folkeregisteret). Befolkningsregistret upprätthålls för hela landet av Skattedirektoratet, men kundtjänsten och upprätthållandet av uppgifterna sker vid de lokala skattekontoren. I befolkningsregistret antecknas de personer som är stadigvarande bosatta i Norge. De som föds i Norge får ett födelsenummer (F-nummer, fødselsnummer) och invandrare får ett så kallat D-nummer. Födelsenumret kan också tilldelas norska medborgare som är bosatta utanför Norge.  

En person som flyttar till Norge ska besöka ett skattekontor och visa upp sitt resedokument, och om förutsättningarna för stadigvarande boende uppfylls får personen ett födelsenummer. D-nummer tilldelas personer som inte anses vara stadigvarande bosatta i Norge, men som man behöver specificera i myndighetsregister eller andra register till exempel på grund av skattskyldighet, bedrivande av näring, fastighetsägande eller hälsovård, i fråga om asylsökande och andra personer av vilka förutsätts uppehållstillstånd samt personal vid utlandsbeskickningar och internationella organisationer. D-nummer tilldelas på begäran av en myndighet, ett företag eller ett finansinstitut som behöver D-numret för specificering av personen i de fall som räknas upp i lagen. D-nummer beviljas aldrig på personens egen begäran. I regel förutsätts för tilldelning av ett D-nummer att till myndighetens begäran fogas en kopia av resedokumentet, men skatteverket kan bevilja undantag från identifieringskraven. Den myndighet som begär D-numret kan också förutsätta att personen besöker ett skattekontor för att identifieras. D-numret är tillfälligt och det är i kraft i fem år.  

Formen på födelsenumret och D-numret är i huvudsak densamma: Först kommer födelsetiden uttryckt med sex siffror i ordningen dag–månad–år (ddmmåå), därefter ett femsiffrigt personnummer som består av individnummer och två kontrollsiffror. Individnumrets sista siffra anger könet på samma sätt som i Finland. Personer som är födda på olika århundraden ges individnummer i olika serier: serien 749–500 används för personer som är födda 1854–1899 i sjunkande ordning, serien 499–000 för personer som är födda 1900–1999, för personer som är födda 1940–1999 används också serien 999–900, och serien 999–500 används i sjunkande ordning för personer födda 2000–2039. Kontrollsiffrorna påverkar varandra och räknas ut med den så kallade modulus 11-formeln. D-numret skiljer sig från födelsenumret genom att talet 4 adderats till den första siffran. Födelsenumret för en kvinna som är född den 13 oktober 1952 kunde således vara till exempel 13105230855 och D-numret 53105230849. 

I befolkningsregistret registreras med mycket små undantag samma uppgifter som i befolkningsdatasystemet i Finland. Till exempel om de handlingar och utredningar som behövs för registrering av utomlands födda barn eller utomlands ingångna äktenskap föreskrivs dock i Norges befolkningsregisterförordning (forskrift til folkeregisterloven FOR-2017-07-14-1201) betydligt mer detaljerat än i Finland. Bestämmelser om förande av befolkningsregistret och om definitionen på stadigvarande boende finns i den nya befolkningsregisterlagen (lov om folkeregistrering LOV-2016-12-09-88). 

I Norges befolkningsregister antecknas även uppgift om huruvida personen identifierats på ett tillförlitligt sätt och om de registrerade personuppgifterna kunnat kontrolleras ur tillförlitliga handlingar. Det finns tre olika nivåer av uppgifter: Unik, kontrollerad eller icke kontrollerad. Om personens identitet har kontrollerats personligen hos skatteförvaltningen eller migrationsmyndigheterna genom uppvisande av pass eller motsvarande officiellt identitetsbevis, registreras identiteten som kontrollerad. I annat fall antecknas att uppgiften inte är kontrollerad. En unik identitet betyder att identiteten har säkerställts med biometriska kännetecken. Nivån unik identitet har inte ännu tagits i bruk i Norge, utan den är under beredning. 

I och med en lagändring som trädde i kraft år 2017 är födelsenumret och en stor del av de övriga personuppgifterna i befolkningsregistret i regel inte längre sekretessbelagda. Uppgifter som fastställts som icke sekretessbelagda kan utöver till den offentliga sektorn och privata aktörer som sköter offentliga förvaltningsuppgifter också utlämnas till enskilda personer och aktörer inom den privata sektorn. Trots det ovanstående föreskrivs det i Norges personuppgiftslagstiftning fortfarande att födelsenumret endast får behandlas när det finns ett behörigt behov av exakt specificering och detta kan göras endast med hjälp av personnumret, i praktiken inom den offentliga sektorn och vid bank-, försäkrings- och indrivningsverksamhet samt när den privata aktören är anmälningsskyldig till myndigheterna. Övriga uppgifter i Norges befolkningsregister är enligt lagen sekretessbelagda. Dessa uppgifter kan endast utlämnas till aktörer, om den lagstiftning som gäller dem innehåller en bestämmelse om rätt att få uppgifter trots sekretessbestämmelserna. 

Norges befolkningsregistermyndighet kan behandla insamlade personuppgifter för utvecklande och testning av informationssystem, om det är omöjligt eller oskäligt svårt att uppnå syftet med anonyma eller fiktiva uppgifter. Ministeriet får utfärda föreskrifter om fullgörande och genomförande av denna del. 

Också i Norge är tillräckligheten vad gäller personnummer enligt beräkningar hotad från och med år 2032. Antalet personnummer för vissa dagar är särskilt litet på samma sätt som i Sverige och Finland. När man inte känner till den riktiga födelsedagen för en person som flyttar till landet, används därför inte längre årets första dag, utan födelse- eller D-numret bildas så att de fyra första siffrorna bildas av den dagen då födelse- eller D-numret tilldelades. På samma sätt förfar man, om den födelsetid som antecknats i migrationsverkets register är den 1 januari ett visst år, som ser fiktivt ut eller som grundar sig på muntliga uppgifter eller handlingar med litet bevisvärde. Födelseåret bildas dock på basis av personens riktiga födelseår.  

För att lösa tillräcklighetsproblemet har man i Norge utrett en revidering av formen på födelsenumret och D-numret och föreslagit att numrens slutdel ändras så att man frångår kontrollfunktionen för numrets nästsista siffra och gör den till en del av individnumret. Dessutom kommer man att frångå individnumrets könsberoende. Ett könsneutralt nummer ska enligt planerna införas tidigast år 2032 och senast år 2036.  

I Norge vistas ett betydande antal personer som saknar personbeteckning, eftersom kriterierna för beviljande av norska personnummer är strikta, och alla inte tilldelas ett födelse- eller D-nummer. Till exempel i Norges skolor finns ett betydande antal barn som saknar födelse- eller D-nummer och personer som kommer till Norge för att studera kan bli tvungna att vänta upp till tre månader innan de tilldelas ett D-nummer. Också i Norge används sektorsspecifika koder för personer som saknar personnummer, och framför allt inom hälso- och sjukvården är detta ett problem. Dessa personer faller också helt utanför e-tjänsterna, vilket i praktiken orsakar manuellt tilläggsarbete för både den offentliga och den privata sektorns aktörer. I Norge har man diskuterat olika alternativ för att lösa detta problem. Som en lösningsmodell har man i Norge övervägt inrättandet av ett nytt register, där man kunde samla alla sektorsspecifika beteckningar, medan de uppgifter som registrerats på beteckningarna lämnas utanför registret i de sektorsspecifika informationssystemen. Med det nya registret strävar man efter att sammanslå de uppgifter som gäller en och samma person.  

I Norge utgår man i princip från att kretsen av dem som tilldelas födelse- eller D-nummer inte kommer att utvidgas. Alternativt har man i Norge föreslagit att det ska införas ett helt nytt, tredje personnummer. Det nya personnumret kunde användas som alternativ till de sektorsspecifika beteckningarna eller för mycket kortvariga specificeringsbehov. Till denna lösning kunde även anknyta en möjlighet att radera uppgifter ur befolkningsregistret när registreringsbehovet upphört, såsom till exempel inom hälso- och sjukvården (till exempel covid-testning), om behovet av att bevara uppgifterna endast är tillfälligt. Skapandet av ett helt nytt personnummer antas inte orsaka alltför stora kostnader för Norges skatteverk, men skulle ha större konsekvenser för övriga samhälleliga system som använder befolkningsdata. Kostnaderna för införande av den nya beteckningen ska dock enligt utredningar ställas i proportion till kostnaderna för förvaltningen av befintliga, till exempel sektorsspecifika system med konstgjorda beteckningar, som möjligtvis sparas in i och med att den nya beteckningen tas i bruk. 

I uppehållstillståndskorten lagras en ansiktsbild och fingeravtryck såväl i chippet som i utlänningsregistret, men fråga om i pass endast i chippet och raderas ur passregistret efter det att ärendet behandlats. Norge har som mål att ta i bruk ett nationellt digitalt id-kort och reformera identitetshanteringen så att det säkerställs att en person endast har en unik identitet i Norge och att alla som studerar i Norge kan utöva sina rättigheter och fullgöra sina skyldigheter, även om den ursprungliga identiteten i hemlandet är mer osäker. Målet är att koppla identiteten i befolkningsregistret till den biometriskt verifierade identiteten i utlänningsregistret. I den nya befolkningsregisterlagen har man redan föreskrivit om en möjlighet att i fråga om en person antecknas uppgiften "unik identitet", vilket betyder att biometriska kännetecken tagits av personen och dessa uppgifter har jämförts med uppgifterna i övriga register som innehåller biometriska data. Man har ännu inte fattat beslut om den behövliga tekniska lösningen och ärendet utreds i samarbete med polis- och migrationsmyndigheterna. 

Också i Danmark används ett centraliserat elektroniskt befolkningsregister (Folkeregistret). Danmarks skattemyndighet är personuppgiftsansvarig. Danmarks skatteverk beviljar ett centralt personregisternummer (CPR-nummer). Det centrala personregisternumret innehåller tio tecken, till exempel 1310521234. De sex första siffrorna anger födelsetiden (ddmmåå) och de fyra följande siffrorna bildar individnumret. Det centrala personregisternumrets sista siffra anger personens kön. Det centrala personregisternumret tilldelas när personen bosätter sig i Danmark, men också för administrativa ändamål, såsom för beskattning. Det centrala personregisternumret är en permanent beteckning och också när numret inledningsvis endast beviljats för administrativa ändamål, det vill säga om samma person senare bosätter sig i Danmark, bibehålls samma centrala personregisternummer. Registreringen av befolkningen i befolkningsregistret sker antingen hos kommunen eller hos ICS-tjänsten (International Citizen Service), som finns i fyra städer. Genom ICS-tjänsten kan en utlänning också sköta alla andra övriga behövliga myndighetsärenden i Danmark. Registreringsprocessen kan anhängiggöras genom att behövliga uppgifter på förhand lämnas till registermyndigheten elektroniskt, men personen ska trots det göra ett personligt besök för att identifiera sig, innan han eller hon får ett centralt personregisternummer. För kortvarigt arbete räcker det med ett skattekort. Man kan ansöka om skattekort och det administrativa centrala personregisternumret elektroniskt, varvid till ansökan fogas bland annat en kopia av passfotot och anställningskontraktet samt vid behov även kopior av arbetstillståndet och intyg över familjeförhållanden. 

Det centrala personregisternumret får endast användas för specificering personer, inte för kontroll av identiteten. I Danmark används det elektroniska identifieringssystemet NemID, med hjälp av vilket man kan sköta ärenden inom såväl den offentliga som den privata sektorns tjänster. Under 2021 och 2022 ska MitID stegvis ersätta NemID. För det elektroniska identifieringssystemet ansvarar Danmarks digitaliseringsmyndighet (Digitaliseringsstyrelsen) som verkar under Danmarks finansministerium. NemID (senare MitID) beviljas danska medborgare som vistas i Danmark eller utomlands samt personer som vistas i Danmark med uppehållstillstånd och studerande. Den sökandes identitet fastställs ur passet eller identitetskortet. Med den elektroniska koden kan man uträtta sina ärenden hos danska myndigheter och använda e-tjänster, såsom nätbank eller näthandel. En förutsättning är minst 15 års ålder. Det elektroniska identifieringssystemet omfattar Danmarks samtliga e-tjänster som tillhandahålls av bank- och försäkringssektorn samt andra privata tjänster. Med hjälp av dem kan man också använda tjänsterna på adressen borger.dk, som är den officiella portalen med en enda kontaktpunkt till i praktiken alla Danmarks offentliga tjänster (inklusive en elektronisk postlåda för brev från myndigheterna, ifyllande av ansökningar och andra blanketter, ansökan om studieplats, skatteförvaltningens tjänster, uppgifter om pension och hälsouppgifter).  

Det centrala personregisternumrets sista siffra fungerade fram till 2007 också som kontrollsiffra. Formeln för beräkning av kontrollsiffran och den dubbla uppgiften för individnumrets sista siffra som både kontrollsiffra och könsangivelse orsakade sammanlagt att det för varje dag endast fanns omkring 240 användbara personbeteckningar för vardera könet. För att säkerställa systemets tillräcklighet ändrades det år 2007 så att en person också kan tilldelas sådana individnummer där den sista siffran inte iakttog formeln för beräkning av kontrollsiffran. Sedan dess kan man inte längre med hjälp av kontrollsiffran försäkra sig om att ett danskt personregisternummer har rätt form. Det centrala personregisternumrets sista siffras könsangivande egenskap kvarstod dock, och numret ändras på basis av könskorrigering. Det beräknas att Danmarks nuvarande centrala personregisternummer räcker till fram till utgången av 2057, och därför planeras för närvarande inga ändringar i numrets struktur.  

För att förhindra identitetsstölder har det i Danmark från och med den 1 januari 2017 varit möjligt att för personer som fyllt 15 år foga en anteckning om kreditvarning (kreditadvarsel) i befolkningsregistret. Man kan anmäla en varningsanteckning till sina befolkningsdata till exempel om man tappat sitt pass eller körkort och är oroad för att handlingen kommer att användas i samband med identitetsstölder eller om sådant missbruk redan skett och man vill förhindra ytterligare missbruk. Man kan själv elektroniskt införa anteckningen i sina egna uppgifter eller begära detta genom ett besök hos en myndighet. Varningsanteckningen lämnas ut ur det centrala personregistret till alla de myndigheter och privatföretag som har ett berättigat behov av den. Varningen uppmanar företagen att fästa särskild vikt vid kontrollen av de sökandes identitet innan en kredit beviljas. I många fall är det mest ändamålsenligt att vägra ge kredit, eftersom det finns skäl att misstänka att den som ansöker om kredit inte är den han eller hon utger sig för. På så sätt kan man förebygga vissa missbruk av identiteten. Det är frivilligt för en myndighet eller ett företag att använda uppgiften, eftersom den kräver ändringar i organisationernas egna system. Eftersom många företag som erbjuder krediter dock lider förluster på grund av identitetsstölder, ligger det ofta i deras intresse att få tillgång till varningsanteckningarna och användningen av dem förväntas öka i takt med att företagen anpassar sina informationssystem. Anteckningen kan i princip också försämra personens egna möjligheter att ingå vissa rättsliga åtaganden, men problemet kan i praktiken undvikas genom att man avlägsnar anteckningen ur sina uppgifter innan man ansöker om lån eller kredit och genom att återinföra anteckningen på nytt i systemet efter det. 

Också på Island används ett nationellt elektroniskt centralt befolkningsregister. Endast Islands centrala registermyndighet (Registers Iceland) är behörig att bevilja personbeteckningar (kennitala). I de fall där personen inte är medborgare i ett nordiskt land eller ett EES/EFTA-land, kan migrationsverket be om en personbeteckning och registrering av hemorten på Island.  

Islands befolkningsregister indelas i två delar, systembeteckningsregistret och det nationella registret. Om en person inte har hemort på Island, reserveras beteckningen som en så kallad systembeteckning (kerfiskennitala), men till det yttre kan beteckningen inte särskiljas från en personbeteckning. Beteckningen består av tio siffror. De sex första av dessa är personens födelsetid (ddmmåå). Den sjunde och åttonde siffran väljs slumpmässigt när beteckningen tilldelas och den nionde siffran är en kontrollsiffra. Beteckningens sista siffra visar födelseåret så att man med siffran nio anger dem som är födda 1900–1999 medan noll som sista siffra anger att personen är född år 2000 eller efter det. Beteckningen skrivs ofta med bindestreck efter de sex första siffrorna, till exempel 120174-3389. Könet framgår inte av den isländska personbeteckningen. På Island används förutom könen man och kvinna ett tredje kön, x. 

Rätten till offentlig service är beroende av hemorten. Hemorten för personer med systembeteckning är inte på Island, och tilldelning av en systembeteckning motsvarar inte uppehållstillstånd på Island och ger inte heller andra rättigheter, såsom rätt till isländsk social trygghet. Endast organisationer kan ansöka om en systembeteckning. Personbeteckning tilldelas vid födseln alla barn som föds på Island och alla utomlands födda isländska medborgare. Personbeteckning tilldelas också alla personer som registrerar sin hemort på Island. Födelseanmälan sänds till registret av förlossningsavdelningen eller barnmorskan. Barn till isländska medborgare får personbeteckning. Om barnets föräldrar är utlänningar, registreras barnet om barnets mor är registrerad. Om barnets mor inte är registrerad, tilldelas barnet en systembeteckning, men förs inte in i det nationella registret. Systembeteckningen överförs från systembeteckningsregistret till det nationella registret, när förutsättningarna för tilldelning av en personbeteckning uppfylls. 

Estlands system bygger på Finlands modell, men har till vissa delar utvecklats vidare. Estlands inrikesministerium är personregisteransvarig för det elektroniska centraliserade befolkningsregister som används i Estland. Alla som arbetar eller bor i Estland har rätt till personbeteckning. Personbeteckningen (isikukood) beviljas när personen registrerats i befolkningsregistret. Registreringen görs i samband med att personens vistelse (flyttningsanmälan) registreras. Av dem som kommer för att arbeta krävs registrering inom fem dagar från det att arbetet inleddes. Personer som kommer från EU, EES och Schweiz får vistas i Estland i tre månader utan att registrera sig, medan det av personer som kommer från andra länder i regel förutsätts visum eller uppehållstillstånd. Registreringen kan göras vid en estnisk beskickning i utlandet, vid en lokal statlig myndighet eller vid International House of Estonia i Ülemiste. Ansökan kan göras elektroniskt, men personen ska det oaktat personligen besöka någon av ovannämnda myndigheter innan personbeteckningen beviljas. I samband med registrering beviljas unionsmedborgare automatiskt ett tidsbestämt uppehållstillstånd på fem år i Estland. Ett identitetsbevis som bevisar uppehållsrätten söks hos polis- och gränsbevakningsväsendet på den registrerade bostadsorten. Man ska anmäla när man flyttar från landet, varvid uppehållstillståndet dras in.  

Den estniska personbeteckningen består av 11 siffror. Av den första siffran framgår personens födelseårhundrade och kön. De sex följande siffrorna anger födelsetiden börjande med årtalets två sista siffror (ååmmdd). De tre följande siffrorna anger ordningsnumret för dem som fötts samma dag, på samma sätt som i Finland. Den sista siffran är ett kontrolltecken. Av den första siffran framgår personens födelseårhundrade och kön på följande sätt: 

1 = man född 1800–1899 

2 = kvinna född 1800–1899 

3 = man född 1900–1999 

4 = kvinna född 1900–1999 

5 = man född 2000–2099  

6 = kvinna född 2000–2099 

Om personbeteckningen till exempel är 4891020xxxx, är personen en kvinna född på 1900-talet vars födelsedag är den 20 oktober 1989 (de fyra sista tecknen xxxx är ordningsnumret och kontrolltecknet). 

För de estniska myndigheterna är det obligatoriskt att använda befolkningsregistrets personuppgifter, det vill säga myndigheten får i sin verksamhet inte använda andra än befolkningsregistrets personuppgifter. Personen ska sörja för ändring eller rättelse av sina egna uppgifter i befolkningsregistret, om de enligt personen är felaktiga. 

Estland tog som den första staten i världen i bruk ett e-invånarprogram (elektronisk invånare, e-residentsus) i december 2014. När status som e-invånare beviljas, tilldelas personen i fråga också en estnisk personbeteckning. Personbeteckningen är densamma under resten av personens liv, även om hans eller hennes personuppgifter ändras eller personen ansöker om till exempel uppehållstillstånd eller visum i Estland. Genom tjänsten kommer e-invånarna åt estniska webbtjänster från hela världen och kan till exempel grunda företag i Estland. Det huvudsakliga användningsändamålet för ansökan om status som e-invånare har varit att sköta företagsverksamhet och fram till sommaren 2022 har e-invånare redan grundat över 21 000 företag i Estland. Som e-invånare i Estland hade i juni 2022 registrerats över 92 000 personer från 179 länder. Antalet registrerade ökar med omkring 1 000 personer per månad.  

E-invånare beviljas ett elektroniskt identitetskort (e-resident digi-ID) som uteslutande används i en elektronisk miljö för identifiering och digitala underskrifter inom offentliga och privata tjänster i Estland. En e-invånare kan oberoende av var personen befinner sig grunda ett företag på nätet, leda företaget, sköta företagets penningärenden, använda internationella betalningstjänster (PayPal, Braintree osv.), underteckna handlingar digitalt samt sköta skatteärenden i Estland via nätet, men kan inte öppna ett bankkonto i en estnisk bank på elektronisk väg. Till e-invånarens identitetskort ansluter ingen rätt att resa till eller uppehållsrätt i Estland. Estlands polis- och gränsbevakningsväsende administrerar applikationsplattformen för e-invånares digitala identitetsbevis. Godkännande som e-invånare förutsätter att den sökanden är laglydig och tillförlitlig. Användningsändamålet ska vara godtagbart och tillräckligt noggrant specificerat i ansökan. Programmet är riktat framför allt till personer som grundar företag och frilansar, men det ålägger inte de sökande att grunda ett företag i Estland. Det görs en bakgrundskontroll av de sökande, där man bland annat utreder deras straffregister i samarbete mellan Estlands polis- och gränsbevakningsväsende, skatte- och tullverket, Estlands interna säkerhetstjänst och andra myndigheter. Om ansökan godkänns, ska den sökande dessutom personligen besöka antingen Estlands närmaste beskickning eller en bestämd avhämtningspunkt, där den sökandes identitet verifieras genom personlig identifiering och biometriska kännetecken.  

Inom ansökningsprocessen för Estlands e-invånarprogram skapar den sökande först per e-post ett användarkonto, genom vilket all kommunikation som ansluter till processen sker, och betalar en ansökningsavgift (100–120 euro). Ansökningarna om elektronisk vistelse behandlas av Estlands polis- och gränsbevakningsväsende (PBGB). Processen från det att ansökan lämnas in tills handlingarna kan hämtas tar cirka 4–9 veckor. Ansökan och den sökandes bakgrund kontrolleras, varvid det är möjligt att det behövs ytterligare uppgifter, som man ber om per e-post. Vid behov håller PBGB en videointervju. Till ansökan ska fogas en elektronisk meritförteckning och uppgifter om eventuell tidigare affärsverksamhet. Dessutom behövs en kopia av ett identitetsbevis. Som sådant godkänns ett resedokument för det land personen är medborgare i eller Europeiska unionens identitetskort. Av den sökande krävs också en ansiktsbild som uppfyller vissa krav samt ett kreditkort för betalning av avgifterna. När beslutet har fattats får den sökande veta det per e-post. Om ansökan godkänns, levereras identitetskortet och den USB-kortläsare som behövs för det till avhämtningsstället (Estlands ambassad eller ett angivet avhämtningsställe för handlingarna, e-residency collection centre), som sänder en anmälan till den sökande. Handlingarna ska hämtas personligen, varvid man ska ha med sig samma identitetsbevis vars uppgifter meddelats i samband med ansökan. Av de sökande tas fingeravtryck i samband med att handlingarna hämtas. 

I Estlands används också en elektronisk e-Notaari-tjänst som fungerar enligt självbetjäningsprincipen. Tjänsten fungerar så, att personen avtalar om ett möte med någon av de notarier som erbjuder distansverifieringstjänster, och tjänsten tillhandahålls genom distansförbindelse med videoöverföring. För det behöver personen till exempel ett digitalt identitetskort för e-invånare, med vilket han eller hon skriver in sig på portalen. För identifieringen behövs dessutom ett nationellt officiellt identitetsbevis, såsom ett pass. Vid identifieringen används ett biometriskt ansiktsigenkänningssystem. 

Från och med januari 2021 har en utlänning också kunnat beviljas status som e-invånare (e-resident) i Litauen, varvid personen med det elektroniska identitetsbevis som beviljas kan skriva under handlingar samt använda elektroniska administrativa, offentliga eller kommersiella tjänster i Litauen, såsom uträtta vissa dagliga ärenden (till exempel tidsbeställning till läkare), skatteärenden, öppna bankkonto eller grunda ett företag. Ansökan lämnas in via Litauens migrationsinformationssystem (the Lithuanian Migration Information System MIGRIS). Giltighetstiden är tre år. Den sökande ska ha fyllt 18 år. Den sökande ska dessutom personligen besöka antingen migrationsavdelningen eller en extern tjänsteleverantör för att bevisa sin identitet med hjälp av officiella handlingar samt för att lämna biometriska kännetecken (ansiktsbild och två fingeravtryck). När bakgrunden kontrollerats fattas ett automatiskt beslut att bevilja status som e-invånare och personens uppgifter antecknas i utlänningsregistret. Det elektroniska identifierings- och underteckningsverktyget (det elektroniska identitetskortet) levereras till avhämtningsstället senast inom fem arbetsdagar från det att beställningen tagits emot, varvid även kortets aktiveringsuppgifter sänds till sökandens MIGRIS-konto och ett meddelande att hämta handlingen sänds till sökanden. Ansökningsavgiften är 90 euro, och den ska betalas på förhand när ansökan lämnas in. 

Beviljande av status som e-invånare förhindras, om sökanden har inreseförbud till Litauen eller on någon annan Schengenstat meddelat om inreseförbud till Schengens informationssystem, vilket kontrolleras automatiskt. Ett positivt beslut återkallas också, om det meddelats felaktiga uppgifter, använts förfalskade eller på olaglig väg erhållna handlingar, sökanden dömts för ett allvarligt brott eller om det finns skäl att misstänka att personen varit delaktig i korruptions- eller penningtvättsbrott eller något annat motsvarande brott. Precis som i Estlands e-invånarprogram, ska sökanden också i Litauen skapa ett personligt konto på webbplatsen och sker kontakterna per e-post. I samband med lämnandet av en elektronisk ansökan ska den sökande reservera tid hos migrationsverkets regionenhet för kontroll av originalen till de handlingar som bifogats ansökan elektroniskt och för lämnande av biometriska kännetecken. Efter ett positivt beslut ska personen själv eller en person som han eller hon befullmäktigat hämta identitetskortet senast inom sex månader från det att det beviljades samt aktivera kortet. Ställningen som e-invånare som beviljats en utlänning ger inte personen rätt till inresa i Litauen eller något annat Schengenland, utan är endast en metod för en utlänning att använda offentliga eller kommersiella e-tjänster som tillhandahålls i Litauen. Av utlänningar krävs i normalfall handlingar som visar att personen har uppehållsrätt. Tredjelandsmedborgares ansökningar om uppehållstillstånd samt ansökningar om unionsmedborgares och deras familjemedlemmars uppehållsrätt kan dock lämnas till Litauens migrationsavdelning också via informationssystemet MIGRIS. 

Den personbeteckning (personas kods) som tidigare användes i Lettland påminde mycket om Finlands beteckning, och innehöll bland annat uppgift om personens födelsetid och kön. Från och med den 1 juli 2017 tilldelas emellertid inte längre sådana beteckningar, utan man har tagit i bruk en neutral beteckning som inte avslöjar innehavarens personuppgifter. Den nya beteckningen är i övrigt lika lång som den gamla och består av 11 siffror, men börjar alltid med siffran 3, varför den nya beteckningen kan särskiljas från den gamla. Resterande siffror tilldelas slumpmässigt mellan 0 och 9. Beteckningen innehåller inget kontrolltecken. De sex första siffrorna kan separeras med ett bindestreck från de fem övriga siffrorna. Den nya beteckningen tilldelas från och med den 1 juli 2017 dem som registreras i Lettlands befolkningsregister (nyfödda och invandrare), men dessutom har de som tilldelats den gamla beteckningen getts en möjlighet att byta ut den gamla beteckningen mot den nya. 

Kroatiens allmänna medborgarnummer (matični broj graďana, MBG), som härrör från Jugoslavientiden och som togs i bruk 1977, byttes år 2010 till ett nytt personidentifieringsnummer (osobni identifikacijski broj, OIB). Det gamla numret påminde om den finska beteckningen till sin utformning, och angav personens födelsetid och kön. Den nya beteckningen är neutral till sin utformning, och avslöjar inga personuppgifter, men sättet för ibruktagandet avviker från den litauiska modellen. De nya beteckningarna skapade i informationssystemen under 2009 och togs i bruk som primära identifikationskoder den 1 januari 2010. Användningen av de gamla beteckningarna förbjöds med vissa undantag från och med den 1 januari 2011. 

Som nationell specificerande beteckning används i Förenade kungariket det nationella försäkringsnumret (National Insurance number, NI number, NINo). En i landet bosatt 19-årig eller yngre person får i allmänhet ett nationellt försäkringsnummer automatiskt innan han eller hon fyller 16 år. En invandrare behöver ett försäkringsnummer när han eller hon ämnar arbeta i landet i över sex månader, när personen ansöker om förmåner eller studielån eller när personen betalar frivilliga pensionsavgifter. Det nationella försäkringsnumret beviljas aldrig på förhand före ankomsten till landet, utan först efter inresan. För beviljandet av försäkringsnummer ansvarar Skatte- och tullverket (HM Revenue and Custom, HMRC). Det nationella försäkringsnumret består av bokstäver och siffror och är en permanent beteckning. Det nationella försäkringsnumret används utöver av HMRC av arbetsgivare, arbets- och pensionsministeriet (Jobcentre Plus and the Pension, Disability and Carers Service), de myndigheter som beviljar förmåner, valmyndigheter, finansinstitut och pensionsanstalter. En invandrare får försäkringsnumret i vissa fall automatiskt i samband med beviljandet av uppehållstillstånd och numret finns på uppehållstillståndskortet (BRP), som fungerar som bevis på innehavarens rätt att vistas, arbeta eller studera i Förenade kungariket. Det biometriska uppehållsrättskortet kan också användas om identitetsbevis (till exempel om man vill öppna ett bankkonto). Om en invandrare inte i något sammanhang redan automatiskt fått ett nationellt försäkringsnummer, ska han eller hon ansöka om det själv. Man använder ett elektroniskt migrationssystem, genom vilket man kan ansöka om nationellt försäkringsnummer efter inresan. Via systemet kan man också ansöka om de tillstånd som krävs före inresan (visum, arbetstillstånd och uppehållstillstånd) samt betala den hälsovårdsavgift som i vissa fall är obligatorisk för dem som vistas i landet. Tillstånd och beslut som man ansökt om elektroniskt levereras till den sökandes ärendekonto i elektronisk form. 

En nödvändig del av de ansökningar som görs via det elektroniska migrationssystemet är verifiering av identiteten, vilket i vissa fall kan skötas med hjälp av en smarttelefonapp (UK Immigration: ID Check). När den sökande inleder sin ansökan, meddelas honom eller henne hur identiteten ska verifieras beroende på från vilket land den sökande kommer och vilken typ av pass personen har. Om en identifiering via smarttelefonapplikationen inte är tillräcklig, uppmanas den sökande att boka tid för ett besök hos visumansökningscentralen, där den sökandes identitet fastställs genom att det också tas biometriska kännetecken (fingeravtryck och ansiktsbild). Applikationen godkänner EU-områdets, Islands, Liechtensteins, Norges eller Schweiz, Förenade kungarikets samt den särskilda administrativa regionen Hongkongs eller Europeiska ekonomiska samarbetsområdets (EES) biometriska pass samt EU-länders, Norges, Liechtensteins eller Schweiz nationella identitetskort och Förenade kungarikets biometriska uppehållstillstånd. Applikationen fungerar endast om den startas på adressen gov.uk och applikationen är endast tillgänglig på engelska. Vid ansökan om tillstånd i samband med brexit-arrangemangen används en egen EU Exit: ID Document Check-applikation. Om man inte lyckas verifiera identiteten via applikationen, ska för verifieringen bokas ett personligt besök hos servicestället för visum- och medborgarskapsansökningstjänster (Visa Application Centre, VAC), där identiteten fastställs genom ett fysiskt besök. Vid ansökan om visum eller uppehållstillstånd från utlandet före ankomsten till landet, sköts fastställandet av identiteten och mottagandet av de handlingar som ansluter till det av en extern tjänsteleverantör som befullmäktigats av Förenade kungariket migrationsmyndighet (UK Visa and Immigration). Som tjänsteleverantör verkar företaget TLScontact, som har serviceställen i hela världen. TLScontact deltar inte i bedömningen eller behandlingen av ansökningar, utan tar endast emot ansökningarna och handlingarna samt registrerar den sökandes biometriska data (fingeravtryck och foto) och överför ansökningarna till Förenade kungarikets migrationsmyndighet för behandling.  

Identifieringsapplikationen kan användas med mobiltelefoner som uppfyller vissa förutsättningar, som har en NFC-funktion (Near-Field Communication) för skannande av handlingar. På webbplatsen gov.uk finns noggranna anvisningar, bilder och videor som handleder i användningen av applikationen ID Document Check. Ansökningen inleds genom att man skapar ett elektroniskt ärendehanteringskonto på adressen gov.uk. Därefter ska den sökande skriva in sig på sitt konto med en länk som sänds per e-post och ladda ner applikationen ID Document Check på sin mobiltelefon. Om den sökande använder dator för ansökan, använder applikationen för fastställande av identiteten en QR-kod eller kontaktkod som fås via kontot för att koppla fastställandet av identiteten via mobiltelefonen med den sökandes ansökan. Applikationen styr den sökande till att med hjälp av sin mobiltelefon läsa av uppgifterna från chippet på passet. Dessutom ska den sökande ta ett foto av passets personuppgiftssida med de maskinläsbara textraderna nere på sidan samt skanna sitt eget ansikte med hjälp av mobiltelefonen. När identiteten har fastställts, kan personen fylla i resten av visumansökan eller någon annan ansökan antingen med apparaten i fråga eller med vilken som helst smarttelefon, tablett, bärbar dator eller bordsdator. Beslutet levereras till dem som uträttat ärendet personligen med brev och till dem som uträttat ärendet via det elektroniska systemet per e-post och samtidigt meddelas behövliga tilläggsanvisningar om vad den sökande ska göra härnäst. Om ansökan godkänns, får den sökande ett viseringsmärke för sitt pass för att kunna resa in i landet. En person som reser in i landet för över sex månader ska dessutom hämta ut ett biometriskt uppehållstillståndskort inom en viss tid efter inresan.  

Personer som skött sina ärenden elektroniskt med smarttelefonapplikationen får inget viseringsmärke eller något fysiskt uppehållstillståndskort, utan får tillgång till sina invandringsuppgifter elektroniskt via sitt ärendehanteringskonto, varifrån uppgifterna också kan delas till de instanser som behöver dem, såsom till arbetsgivare eller läroanstalter. Via ärendehanteringskontot kan personen också uppdatera sina uppgifter, såsom passnummer och e-postadress. För att skriva in sig på kontot behövs uppgifterna på resedokumentet och födelsetiden. Inskrivningskoden levereras antingen till telefonnumret eller till den e-postadress som användes i samband med ansökan. I vissa fall ska den som flyttar till landet dessutom efter inresan inom en viss tid personligen besöka kungarikets polismyndighet för att registrera sig. 

För det civilregister (Registro Civil) som motsvarar Finlands befolkningsuppgifter ansvarar i Spanien den centrala registermyndighet (Oficina Central del Registro Civil) som verkar under justitieministeriet och under myndigheten svarar civilregisterbyråerna (Oficinas del Registro Civil) på lokal nivå för det praktiska förandet av registret och registreringen av personer samt övrigt kundbetjäningsarbete i anslutning till registret (Ley 20/2011, de 21 de julio, del Registro Civil). Registret är offentligt och till exempel andra personers födelseattest kan begäras i skriftlig form eller som elektroniska utdrag ur registret. Om det intyg som begärs innehåller uppgifter som klassificeras som känsliga (såsom könskorrigering eller uppgifter om adoption), kan endast den person som intyget gäller få intyget. Också aktörer inom den offentliga förvaltningen har rätt till uppgifterna för utförande av de uppgifter som hör till dem. I civilregistret antecknas utöver de grundläggande personuppgifterna om en individ också uppgifter om personens rättsliga ställning samt förändringar i dem, såsom insolvens eller konkurs samt dödsorsak. 

Vid sidan av civilregistret finns i Spanien ett motsvarande register, som dock innehåller mer begränsade uppgifter, nämligen det kommunala invånarregistret (El Padre). För dess nationella samordning ansvarar den nationella statistikmyndigheten. En person ska registrera sig i sin egen bostadskommuns invånarregister, om han eller hon bor i Spanien längre än sex månader. De handlingar som krävs för registreringen varierar enligt kommun. En person som vistas i Spanien i över tre månader ska registrera sig i det utlänningsregister (Registro Central de Extranjeros) som förs av polisen för att får en NIE-beteckning, som motsvarar den DNI-beteckning som tilldelas spanska medborgare. Både myndigheterna och företagen utnyttjar i stor utsträckning identifikationskoden (DNI eller utlänningars NIE) för identifiering och specificering av personer. Det uppskattas att DNI-beteckningen förekommer i väldigt många offentliga och privata aktörers datalager samt fungerar som personens huvudsakliga identifieringsuppgift.  

Till spanska medborgare beviljar det egna bostadsområdets polis DNI-beteckningen och DNI-kortet (Documento Nacional de Identidad). Beteckningen fungerar som både personbeteckning och skattenummer. Beteckningen består av åtta siffror, vartill de beteckningar som beviljats från och med 1992 har en kontrollbokstav i slutet (till exempel 12345678A). Beteckningen innehåller inte innehavarens personuppgifter. Varje spansk medborgare över 14 år är skyldig att ansöka om ett DNI-kort och således registrera sig i polisens register. Medborgarna är också enligt lag skyldiga att medföra identitetsbeviset. Kortet innehåller fingeravtryck i form av biometriska data som polisen har rätt att läsa av från kortets chip. DNI-kortet är medborgarens primära grund för identiteten och metod för identifiering. Som en utländsk persons personbeteckning och skattenummer fungerar däremot den så kallade NIE-beteckningen (Número de Identidad de Extranjero), som beviljas av bostadsområdets polis eller av utlänningsverket. Beteckningen bildas av bokstäverna X, Y eller Z, sju siffror och en konstrollbokstav (till exempel X1234567B). Beteckningen innehåller inga andra personuppgifter än att det är fråga om en utländsk person. Som biometriska kännetecken vid ansökan om NIE-intyg insamlas personens fingeravtryck. 

För sociala trygghetsförmåner och för sökande till hälso- och sjukvård behövs i Spanien förutom personbeteckning också ett socialskyddsnummer (Número de Seguridad Social). Numret har formen aa/bbbbbbbb/cc, varav den inledande delen anger var registreringen gjorts, den mellersta delen är personbeteckningen och slutdelen är en kontrolldel som beräknas med en viss formel ur den inledande delen och slutdelen. Dessutom ansluter till den elektroniska förmedlingen av socialskyddsinformation mellan olika myndigheter den så kallade IPF-beteckningen, som fungerar som personens nyckeluppgift. När en person registreras i det sociala trygghetsregistret, bildas den alfanumeriska IPF-beteckningen som består av 15 tecken av personens DNI-beteckning och till den fogas tecken med vilka beteckningen specificeras och tecken som anger om beteckningen gäller en eller flera personer. Beteckningen kan gälla flera än en person, om personen är förmyndare eller har minderåriga barn. 

I Spanien används för officiell identifiering av en person i första hand identitetskortet med DNI-beteckningen, som dessutom tjänar som officiellt resedokument. För utländska personer används för identifieringen personens NIE-nummer och det egna landets identitetsbevis (för EU- eller EES-länders medborgare) eller det TIE-kort som innehåller NIE-numret (för medborgare i länder utanför EU eller EES). Vid behov kan som alternativ identifieringsmetod även användas en giltig födelseattest som begärts ur civilregistret samt ett registreringsintyg som begärts ur det kommunala invånarregistret, vilka i många fall också behövs utöver ett officiellt identitetsbevis vid uträttande av ärenden hos myndigheter. Vid elektronisk identifiering används uttryckligen det elektroniska identitetskortet med DNI-nummer och chip. Från och med 2015 har DNI-korten också kunnat läsas på distans (version 3.0). I och med det chipförsedda identitetskortet har spanska medborgare således en digital identitet och möjlighet att identifiera sig och underteckna avtal elektroniskt. 

5.2.2  Europeiska unionens lagstiftning

Det finns ingen lagstiftning på EU-nivå om anordnande av folkbokföring eller användningsändamålet för eller utformningen av eventuella nationella specificerande beteckningar. De olika medlemsstaternas förfaranden och de beteckningar de använder avviker betydligt från varandra, och det finns inte heller några planer på att på EU-nivå sträva efter en harmonisering av dem. Alla medlemsstater har inte något centraliserat befolkningsregister eller någon allmänt använd personbeteckning. 

EU har däremot utfärdat eIDAS-förordningen. Förordningen gäller i fråga om elektronisk identifiering av medlemsstaterna anmälda, dvs. notifierade system för elektronisk identifiering. Ett nationellt system för identifiering kan anmälas till Europeiska kommissionen i enlighet med eIDAS-förordningen. I samband med notifieringen säkerställs att redskapet och identifieraren till sina tekniska lösningar, verksamhetsprocesser och system uppfyller kraven enligt den tillitsnivå (Level of Assurance) som eftersträvas. Finland har tills vidare inte anmält något eget system för identifiering till kommissionen. Syftet med förordningen är att möjliggöra användning av nationella verktyg för stark autentisering i andra medlemsstaters offentliga förvaltningars e-tjänster. I samband med identifieringen förmedlas över en starkt autentiserad person via nationella knutpunkter personuppgifter till en annan medlemsstats tjänst. Av dessa är födelsetiden, för- och efternamn samt den eIDAS-beteckning som specificerar personen obligatoriska. Beteckningen består av en del som medlemsstaten specificerar, där till personens specificerande uppgifter fogas uppgift om det sändande landets identifieringsredskap och identifieringstjänst. 

Kommissionen antog i juni 2021 ett förslag till Europaparlamentets och rådets förordning om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av en ram för europeisk digital identitet (COM (2021) 281 final). Det är alltså fråga om ett förslag till ändring av eIDAS-förordningen. I förslaget till ändring av eIDAS-förordningen skapas en enhetlig lagstiftningsram för en app för en europeisk e-identitetsplånbok. En av de viktigaste funktionerna för plånboken är att möjliggöra elektronisk identifiering för användaren. Alla medlemsstater ska enligt förslaget vara skyldiga att tillhandahålla åtminstone en app för en europeisk e-identitetsplånbok enligt förordningen. Plånboken ska enligt förslaget kunna användas i möjligast omfattande utsträckning inom såväl den offentliga som den privata sektorn. Tidtabellen för behandling av eIDAS-ändringsförslaget och således också tidtabellen för förordningens ikraftträdande är fortfarande osäker. 

Utöver de certifikat som tillhandahålls av Myndigheten för digitalisering och befolkningsdata erbjuds redskap för stark autentisering av flera i Finland verksamma banker och teleoperatörer samt av olika förmedlingstjänster för identifiering. I autentiseringslagen har stark autentisering definierats i överensstämmelse med eIDAS-förordningen. Transport- och kommunikationsverket är den myndighet som i Finland övervakar stark autentisering och verket har utfärdat föreskrifter och anvisningar som kompletterar lagstiftningen, vilka delvis utarbetats i samarbete med det nationella förtroendenätverket för stark autentisering. De redskap för stark autentisering som hör till det nationella förtroendenätverket utnyttjar också BDS-uppgifter för att skapa och upprätthålla identifieringsredskap. I Finland tillhandahåller Suomi.fi-identifieringen centraliserat en stark autentiseringstjänst för den offentliga förvaltningen. 

EU:s allmänna dataskyddsförordning började tillämpas i medlemsstaterna våren 2018. Förordningen är direkt tillämplig lagstiftning i medlemsstaterna, men den fastställer samtidigt vissa specialvillkor för medlemsstaternas lagstiftning om behandling av personuppgifter. Om den rättsliga grunden för behandlingen av personuppgifter är artikel 6.1 c eller e, kan medlemsstaten utfärda särskilda bestämmelser för komplettering av den rättsliga grunden (artikel 6.3). Lagstiftningen ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Handlingsutrymmet ingår i flera artiklar i den allmänna dataskyddsförordningen. Den rättsliga grunden för behandlingen av personuppgifter i BDS-lagen är artikel 6.1 c i den allmänna dataskyddsförordningen (den personuppgiftsansvariges rättsliga förpliktelse), som möjliggör utfärdande av särskilda bestämmelser enligt artikel 6.3 för anpassning av bestämmelserna i den allmänna dataskyddsförordningen. Sådana särskilda bestämmelser kan till exempel utgöras av bestämmelser om de personuppgifter som registreras och utlämnande av personuppgifter. Också bestämmelserna om principer för behandling av personuppgifter i artikel 5 i den allmänna dataskyddsförordningen ställer specialvillkor för lagstiftningen om behandling av personuppgifter. Enligt artikel 5.1 c i den allmänna dataskyddsförordningen ska personuppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). Principen om uppgiftsminimering ska beaktas också i bestämmelserna om nationella identifikationsnummer. Artikel 9 i dataskyddsförordningen reglerar behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter, såsom de biometriska uppgifter som behandlas inom förfarandet för distansregistrering. Behandling av uppgifter som hör till särskilda kategorier av personuppgifter är i exceptionella fall möjlig till exempel med stöd av nationell lagstiftning som står i proportion till det eftersträvade syftet och innehåller lämpliga skyddsåtgärder. Artikel 22 i dataskyddsförordningen reglerar den registrerades ställning i förhållande till automatiserade beslut som i begränsad utsträckning kan fattas till exempel på basis av en medlemsstats lagstiftning. Det föreslagna förfarandet för distansregistrering utgör automatiserat beslutsfattande, som också baserar sig på behandling av uppgifter som hör till särskilda kategorier av personuppgifter med stöd av artikel 22.4.  

Remissvar

6.1  Begäranden om utlåtande

Finansministeriet begärde den 10 januari 2022 utlåtanden om det utkast till regeringsproposition som utarbetats inom projektet för att förnya personbeteckningssystemet och utveckla den av staten garanterade identitetshanteringen, som innehöll ett förslag till lag om ändring av lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata och till vissa lagar som har samband med den. Utlåtanden begärdes av ministerier, statliga myndigheter, kommuner samt andra myndighetsaktörer, organisationer och medborgarorganisationer. Remissrundan genomfördes med hjälp av justitieministeriets tjänst utlåtande.fi. Remissinstanserna ombads fästa särskild vikt vid propositionens viktigaste förslag, det vill säga ett mer omfattande och täckande införande av utlänningars uppgifter i befolkningsdatasystemet, slopandet av uppgiften om kön ur personbeteckningen samt införandet av identifikationskoden. Remissrundan avslutades den 4 mars 2022.  

Justitieministeriet bad den 15 juni 2022 om utlåtande om paragrafändringarna i de lagar som fogas till regeringens proposition och som innehåller förslag till ändring av 29 § i dataskyddslagen och 12 § i dataskyddslagen avseende brottmål. Förslagen ingick inte i det utkast till regeringsproposition som sändes på utlåtande mellan den 10 januari och den 4 mars 2022, varför man beslutade anordna en separat remissrunda om de nämnda paragraferna. Remisstiden var på grund av ärendets brådskande karaktär kortare än vanligt och avslutades redan den 13 juli 2022. Den föreslagna lagstiftningen har efter remissrundan fogats till föreliggande regeringsproposition till riksdagen som bereds av finansministeriet. Denna proposition hänför sig till statens budgetproposition för 2023 och avses föredras för statsrådet vecka 37/2022. Av denna anledning har den fortsatta beredningen av ärendet förutsatt en brådskande beredning och följaktligen även en kortare remisstid. 

6.2  Utlåtanden och beaktandet av dem

6.2.1  Allmänt

Sammanlagt 123 aktörer lämnade ett utlåtande med anledning av finansministeriets begäran om utlåtande. Allmänt taget har remissinstanserna ansett propositionens syften vara behövliga, viktiga och värda att understödja.  

Tidtabellen för de föreslagna ändringarna ansågs av flera remissinstanser vara strikt, särskilt i fråga om de tekniska ändringar som krävs i informationssystemen. Framför allt aktörerna in social- och hälsovården samt kommunerna tog upp de behov av ändringar som de föreslagna reformerna kräver och de kostnader som föranleds av dem framför allt i fråga om informationssystemen. Remissinstanserna tog samtidigt upp de andra reformer som genomförs samtidigt och som kräver betydande satsningar. Den föreslagna tidpunkten för ikraftträdande av lagarna har på basis av utlåtandena inte ändrats under den fortsatta beredningen jämfört med den målsatta tidtabellen för projektet, eftersom de flesta aktörerna själva kan besluta om tidtabellen för ibruktagande av de viktigaste reformer som kräver ändringar i informationssystemen. På grund av att de målsatta tidtabellerna för projektet ändrats föreslås det dock att den huvudsakliga ikraftträdandetidpunkten för ändringarna ska senareläggas med några månader. Det föreslås också att ikraftträdandetidpunkten för lagförslagen om digital identitet ska senareläggas på motsvarande sätt. Det efterlystes en komplettering av propositionens konsekvensbedömningar särskilt vad gäller propositionens kostnadsverkningar. Konsekvensbedömningarna har kompletterats bland annat på basis av resultaten av den begäran om information som genomfördes under den fortsatta beredningen. 

Sammanlagt 52 aktörer lämnade ett utlåtande med anledning av justitieministeriets begäran om utlåtande. Inställningen till förslaget om ändring av bestämmelserna om behandling av personbeteckningar var i huvudsak positiv. Framför allt önskades exempel på godtagbar identifieringspraxis samt preciseringar till konsekvensbedömningen. På basis av remissutlåtandena har bestämmelserna om behandling av personbeteckningar preciserats samt konsekvensbedömningen och specialmotiveringen kompletterats till flera delar. 

Utlåtandena och det referat över utlåtandena som utarbetats vid finansministeriet kan läsas i den offentliga tjänsten på adressen https://vm.fi/sv/projekt-och-lagberedning med identifieringskoden VM183:00/2020. Utlåtandena om precisering av bestämmelserna om behandling av personbeteckningar finns på samma tjänst med identifieringskoden OM044/2022. 

6.2.2  Beviljande av personbeteckning till utlänningar tidigare och i större utsträckning än för närvarande

Framför allt i kommunernas och företagens utlåtanden understöddes alla de delområden av reformen genom vilka tilldelningen av personbeteckningar för utlänningar tidigareläggs och utvidgas. Det ansågs att propositionen minskar behovet av organisations- och systemspecifika koder som specificerar personen samt effektiviserar specificeringen på basis av personbeteckningen, informationsutbytet och samkörning av uppgifter. Även om införandet av förfarandet för distansregistrering av utlänningar och den externa tjänsteleverantörens säkerställande av identiteten i ett uppehållstillståndsärende understöddes i utlåtandena, fäste man i remissvaren uppmärksamhet vid riskerna med och möjligheterna till missbruk av förfarandet för distansregistrering samt eventuella problem vid användningen av den externa tjänsteleverantören. Framför allt distansregistreringsförfarandets konsekvenser för brottsbekämpningen och säkerheten har kompletterats och preciserats på basis av remissutlåtandena. Man har också kompletterat metoderna för bedömning av den externa tjänsteleverantörens tillförlitlighet. 

Justitieministeriet lade fram täckande preciseringar till det sätt på vilket det får föreskrivas om utläggning av ett offentligt förvaltningsuppdrag. Förslaget till ändring av 22 § i BDS-lagen kompletterades vid den fortsatta beredningen i överensstämmelse med justitieministeriets utlåtande. Regleringen om utläggning av beskickningens uppgifter på en annan Schengenstats beskickning eller en extern tjänsteleverantör avskildes till ett eget moment i 22 §. De uppehållstillståndsuppgifter som kan läggas ut preciserades i bestämmelsen och bestämmelsen om avgränsning av en uppgift som läggs ut förtydligades. Bestämmelsen kompletterades av tydlighetsskäl också med ett omnämnande enligt vilket på en annan Schengenstats beskickning och en extern tjänsteleverantör ska tillämpas bestämmelserna om villkor för utläggning av verksamhet i 69 e § och övervakning av verksamhet som lagts ut i 69 f § i utlänningslagen.  

I remissutlåtandena uppmanades till att säkerställa att bestämmelserna om behandling av biometriska uppgifter inom förfarandet för distansregistrering stämmer överens med dataskyddslagstiftningen och grundlagsutskottets utlåtandepraxis. Delvis på grund av detta har 9 c § i BDS-lagen ändrats. Dessutom har motiveringen till förfarandet för distansregistrering kompletterats med motivering om bestämmelsernas överensstämmelse med dataskyddslagstiftningen och grundlagsutskottets utlåtandepraxis. Förslagen till bestämmelser om förfarandet för distansregistrering har preciserats och kompletterats också till övriga delar delvis på basis av remissvaren. På grund av remissutlåtandena har man vid den fortsatta beredningen preciserat regleringen av uppgifterna för Myndigheten för digitalisering och befolkningsdata i 9 §. 

6.2.3  Slopande av uppgiften om kön ur personbeteckningen

Största delen av dem som lämnade utlåtande ansåg att slopande av uppgiften om kön ur personbeteckningen är ett mål som är värt att understödja. Ändringen ansågs till exempel förebygga diskrimination på basis av könsidentiteten och förbättra skyddet för privatlivet. Nyttan av en könsneutral personbeteckning i förhållande till de beräknade kostnaderna väckte kritik bland remissinstanserna.  

Man ville möjliggöra en ändring av en personbeteckning också för andra än transpersoner som fastställt sitt kön. Vid den fortsatta beredningen har man kompletterat BDS-lagens 12 § som föreslås bli ändrad så att ändring av personbeteckningen är möjlig utöver för dem som fastställt sitt kön också för personer vilkas kön i befolkningsdatasystemet korrigerats efter det att reformen trätt i kraft. Också ikraftträdandebestämmelsen i 12 § i BDS-lagen har kompletterats delvis på basis av remissutlåtandena. 

6.2.4  Identifikationskoden

I remissutlåtandena var responsen på den nya identifikationskoden delad. Identifikationskoden ansågs förbättra dataskyddet och skyddet för privatlivet, men å andra sidan ansågs motiveringarna för ibruktagande av den vara svaga och nyttan av den oklar. Dessutom togs i utlåtandena också upp oron över de kostnader som ibruktagandet av den nya identifikationskoden medför samt eventuell förvirring till följd av att personbeteckningen och identifikationskoden används sida vid sida.  

Dataombudsmannen noterade det problematiska med att det föreskrivs olika om förutsättningarna för behandling av identifikationskoder och av personbeteckningar. Förutsättningarna för behandling av identifikationskoden har under den fortsatta beredningen preciserats genom kompletteringar i 29 a § i dataskyddslagen och 12 a § i dataskyddslagen avseende brottmål. 

Dessutom fäste dataombudsmannen uppmärksamhet vid den föreslagna 29 a § i dataskyddslagen och 12 a § i dataskyddslagen avseende brottmål, som förbjuder fastställande av identiteten på basis av identifikationskoden, vilket kan leda till tolkningen att identiteten kan fastställas med personbeteckningen. Justitiekanslersämbetet, Finanssiala ry och Folkpensionsanstalten hade också observationer angående behandling av personbeteckningen för identifiering av en person. Dataskyddslagens 29 § och 12 § i dataskyddslagen avseende brottmål har under den fortsatta beredningen ändrats genom att till bägge paragrafer fogats ett nytt moment där behandling av personbeteckningar i samband med identifiering av en registrerad begränsas.  

6.2.5  Förutsättningar för behandling av personbeteckningar

Största delen av remissinstanserna förhöll sig positiva till den föreslagna begränsningen, som gäller användning av personbeteckningen i identifieringssyfte. Mot bakgrund av utlåtandena är det ovanligt att uteslutande personbeteckningen eller en kombination av personbeteckningen och namnet används i identifieringssyfte. Remissutlåtandena stöder också i huvudsak förslagets konsekvensbedömning. I utlåtandena från vissa representanter för näringslivet tog man dock upp frågor gällande sådana situationer, där personbeteckningen för närvarande används som en uppgift som tillfrågas i identifieringssyfte. I en del utlåtanden fäste man uppmärksamhet vid terminologiska inkonsekvenser och vid att Finlands lagstiftning inte innehåller täckande definitioner på identifiering av en fysisk person eller kontroll av identiteten. De föreslagna bestämmelserna om personbeteckningen och identifikationskoden har med anledning av remissutlåtandena kompletterats framför allt i förhållande till penningtvättslagen, som redan innehåller definitioner på och bestämmelser om identifiering av en person och kontroll av identiteten. Däremot anses det inte vara möjligt att i dataskyddslagstiftningen införa mer detaljerade bestämmelser om identifieringsförfaranden, eftersom paragraferna i dataskyddslagen och dataskyddslagen avseende brottmål endast gäller förutsättningarna för behandling av personbeteckningar. Specialmotiveringen har preciserats för att förtydliga hur begreppen skiljer sig från varandra, och för att betona den riskbaserade behandlingen. Dessutom har terminologin i och motiveringen till de föreslagna bestämmelserna preciserats genom att begreppet innehavare av en personbeteckning ersatts med dataskyddslagstiftningens begrepp registrerad. 

Särskilda frågor som togs upp var eventuella konsekvenser för den personuppgiftsansvariges ansvarsskyldighet enligt dataskyddslagstiftningen, och i samband med det, de eventuella behoven av att precisera registret över behandling och anvisningarna. I flera utlåtanden fäste man även uppmärksamhet vid att de föreslagna begränsningarna inte helt eliminerar risken för identitetsstölder. Förslagets konsekvensbedömning har kompletterats till dessa delar. Bland annat i dataombudsmannens utlåtande ansågs det att bestämmelserna kan bedömas närmare först som en helhet, när man även känner till det slutliga förslaget om behandling av identifikationskoder. 

Med anledning av utlåtandet från Riksdagens justitieombudsmans kansli har 29 § 2 mom. i dataskyddslagen preciserats för förtydligande av dess syfte samt för säkerställande av att momentets förhållande till det nya 5 mom. inte förblir oklart. 

Specialmotivering

7.1  Lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata

9 §. Förutsättningar för registrering av utländska medborgare.I paragrafen föreskrivs om förutsättningarna och förfarandena för registrering av utländska medborgare. Den rättsliga grunden för registrering av en utländsk persons uppgifter i befolkningsdatasystemet är den rättsliga förpliktelse som åvilar den personuppgiftsansvarige som avses i artikel 6.1 c i dataskyddsförordningen. Vid det detaljerade föreskrivandet om förutsättningarna för registrering av utländska medborgare är det fråga om utnyttjande av det nationella handlingsutrymmet enligt artiklarna 6.2 och 6.3 i dataskyddsförordningen, som möjliggör närmare bestämmelser i nationell lagstiftning om de allmänna förutsättningarna för behandlingen, typer av behandling och förfaranden. 

Det föreslås att 1 mom. 1 punkten i paragrafen ska ändras så att uppgifter om utländska medborgare kan registreras i befolkningsdatasystemet, om de har ansökt om uppehållstillstånd, uppehållskort, registrering av uppehållsrätt eller annat tillstånd eller annan registrering som berättigar till vistelse i Finland hos Migrationsverket eller det beslutats att de ska tas till Finland inom flyktingkvoten eller på basis av 93 § i utlänningslagen och de på basis av flyktingstatus eller den nämnda paragrafen beviljats uppehållstillstånd. Bestämmelsen ger fortsättningsvis inte en utländsk medborgare en ovillkorlig rätt att registreras i befolkningsdatasystemet. 

Bestämmelsen gör det möjligt att registrera uppgifter om utländska medborgare i befolkningsdatasystemet tidigare än för närvarande, eftersom uppgifterna om en utländsk medborgare enligt gällande bestämmelse kan registreras i befolkningsdatasystemet när Migrationsverket har fattat ett positivt beslut om uppehållsrätt som gäller personen. I den föreslagna 9 § 1 mom. 1 punkten ska inte längre hänvisas till i utlänningslagen avsett uppehållstillstånd eller uppehållskort. Ändringen föranleds av att utformningen av bestämmelsen ändras. Bestämmelsen omfattar alla ansökningar till Migrationsverket om tillstånd eller registrering som berättigar till vistelse i Finland, oberoende av om de grundar sig på utlänningslagen eller annan lagstiftning. Avsikten är att den föreslagna ändrade bestämmelsen på samma sätt som nu också ska omfatta personer som tas till Finland inom den flyktingkvot som avses i 90 § i utlänningslagen och utlänningar som på basis av 93 § i utlänningslagen tas till Finland på särskilda humanitära grunder eller för uppfyllande av internationella förpliktelser, vilka inte ansöker om tillstånd eller registrering hos Migrationsverket. Av denna anledning föreslås i 1 mom. 1 punkten en bestämmelse på basis av vilken uppgifterna om utländska personer som tagits till Finland inom flyktingkvoten eller som på basis av 93 § i utlänningslagen och på basis av flyktingstatus eller den nämnda paragrafen beviljats uppehållstillstånd kan registreras i befolkningsdatasystemet. Personerna beviljas uppehållstillstånd enligt 112 eller 113 § i utlänningslagen. 

Det föreslås att paragrafens 2 mom. ändras så att Myndigheten för digitalisering och befolkningsdata när en person som söker internationellt skydd begär att hans eller hennes uppgifter ska registreras av myndigheten innan uppgifterna registreras ska försäkra sig om att förutsättningarna enligt 22 § 2 mom. uppfylls. En person som söker internationellt skydd kan bli tvungen att begära att Myndigheten för digitalisering och befolkningsdata ska registrera hans eller hennes uppgifter i befolkningsdatasystemet till exempel i en situation där Migrationsverket inte har kunnat registrera personens uppgifter i befolkningsdatasystemet eftersom systemets automatiska kontrollregler förhindrar en registrering. Myndigheten för digitalisering och befolkningsdata åläggs i dessa situationer säkerställa hos Migrationsverket att signalement för ansökan om internationellt skydd om personen har upptagits och införts i det register som polisen för i enlighet med 131 § i utlänningslagen, att Migrationsverket prövar personens ansökan om internationellt skydd i sak och att Migrationsverket på tillräckligt sätt försäkrat sig om den utländska medborgarens identitet och tillförlitligheten för de personuppgifter som registreras. Myndigheten för digitalisering och befolkningsdata och Migrationsverket ska innan dessa uppgifter registreras i befolkningsdatasystemet komma överens om de praktiska förfarandena för erhållande av uppgifterna.  

Det föreslås inga ändringar i paragrafens 3 mom. Det ska vara möjligt att registrera uppgifterna i befolkningsdatasystemet efter det att den myndighet som registrerar uppgifterna försäkrat sig om den utländska medborgarens identitet i enlighet med 9 eller 19 §. Det föreslås att bestämmelser om säkerställande av identiteten hos utländska medborgare som sökt internationellt skydd och om övriga förutsättningar för registreringen av uppgifter ska införas i 22 §. 

9 a §.Förfarande för distansregistrering av utländska medborgare. Paragrafen är ny och i den föreskrivs om registrering av uppgifter om andra än finska medborgare i befolkningsdatasystemet genom förfarandet för elektronisk distansregistrering. Den rättsliga grunden för behandlingen av personuppgifter vid förfarandet för distansregistrering är den rättsliga förpliktelse som åvilar den personuppgiftsansvarige som avses i artikel 6.1 c i dataskyddsförordningen. I fråga om det detaljerade föreskrivandet om förfarandet för distansregistrering är det fråga om utnyttjande av det nationella handlingsutrymmet enligt artiklarna 6.2 och 6.3 i dataskyddsförordningen, som möjliggör närmare bestämmelser i nationell lagstiftning om de allmänna förutsättningarna för behandlingen, typer av behandling och förfaranden.  

Det föreslagna förfarandet för distansregistrering kompletterar nuvarande registreringsförfaranden och möjliggör en smidigare och lättare första registrering i befolkningsdatasystemet. Förfarandet för distansregistrering genomförs i praktiken som självbetjäning med en applikation som erbjuds av Myndigheten för digitalisering och befolkningsdata och som laddas till en smart enhet. I samband med att uppgifterna registreras får personen en finsk personbeteckning i enlighet med 11 § och en identifikationskod i enlighet med den 11 a § som föreslås i denna proposition. Avsikten är att förfarandet i praktiken ska vara automatiserat, men med tanke på den föreslagna regleringen är detta inte nödvändigt. 

En registeridentitet som baserar sig på distansregistrering i befolkningsdatasystemet motsvarar till sitt datainnehåll och delvis också till sina verkningar övriga registeridentiteter i befolkningsdatasystemet. I samband med skapandet av en registeridentitet som grundar sig på distansregistrering i befolkningsdatasystemet beviljas ett e-tjänstverktyg för utlänningar. Förslagen till bestämmelser om detta ingår i regeringens proposition till riksdagen med förslag till lagstiftning om digital identitet. Registreringen av uppgifter i befolkningsdatasystemet inom förfarandet för distansregistrering är inte behäftad med motsvarande behovsprövning som den som föreskrivs i lagens 9 § för registrering av utlänningar i samband med de traditionella registreringsmetoderna. I systemet ska därför i samband med registreringen registreras uppgift om att man försäkrat sig om identiteten genom distansregistrering, och att man inte försäkrat sig om identiteten genom ett personligt besök. I praktiken registreras uppgifterna om distansregistrerade personer i befolkningsdatasystemet i en databas som inrättas för dem. 

I paragrafens 1 mom. föreskrivs om de materiella förutsättningarna för distansregistrering. Förfarandet för distansregistrering inleds genom att personen själv ber om registrering av sina uppgifter i befolkningsdatasystemet. Uppgifter om en utländsk medborgare kan i enlighet med den föreslagna paragrafen på begäran registreras i befolkningsdatasystemet, om 1) personen fyllt femton år, 2) personens identitet har fastställts med en elektronisk identifieringsmetod som godkänts av Myndigheten för digitalisering och befolkningsdata, 3) uppgifterna om personens namn, födelsedatum och kön har lästs elektroniskt från den tekniska delen av ett giltigt resedokument, och 4) personens uppgifter inte tidigare registrerats i befolkningsdatasystemet. Den åldersgräns som avses i 1 punkten, ett lyckat säkerställande av identiteten som avses i 2 punkten och det tekniskt läsbara resedokument som avses i 3 punkten är förutsättningar för att en begäran om registrering överhuvudtaget kan anhängiggöras. Den förutsättning som föreskrivs i 4 punkten är däremot en materiell förutsättning för att en anhängig begäran om registrering ska kunna godkännas. För att begäran om registrering ska kunna godkännas ska förutsättningarna i momentet uppfyllas vid tidpunkten för registrering. Registreringen av uppgifter i befolkningsdatasystemet genom förfarandet för distansregistrering ska inte förutsätta att förutsättningarna enligt 9 § uppfylls. 

I 2 mom. föreskrivs närmare om hur man inom förfarandet för distansregistrering försäkrar sig om identiteten hos den person som begär registrering. Den största skillnaden mellan förfarandet för distansregistrering och traditionella registreringsförfaranden är att personen vid distansregistrering inte alls identifieras personligen hos en myndighet. Förfarandet grundar sig däremot på ansiktsidentifiering som görs med en mobilapplikation. Förfarandet förutsätter att den som begär registrering har ett resedokument från vars tekniska del elektroniskt kan läsas personens ansiktsbild och övriga uppgifter som förutsätts vid registreringen. 

Den som begär registrering ska enligt förslaget ta åtminstone en ansiktsbild och göra en videoinspelning av sig själv och lämna dem till Myndigheten för digitalisering och befolkningsdata med hjälp av en elektronisk identifieringsmetod. Bilderna och videoinspelningarna framställs och lämnas direkt med den mobilapplikation som Myndigheten för digitalisering och befolkningsdata erbjuder för distansregistrering. Identiteten hos den som begär registrering säkerställs genom att de foton och videoinspelningar som personen gjort i samband med förfarandet jämförs med den ansiktsbild som kan läsas från resedokumentets chip. Avsikten är att jämförelsen ska göras med ett automatiskt ansiktsigenkänningsprogram. Syftet med den videoinspelning som lämnas inom förfarandet är utöver ansiktsidentifiering att säkerställa att begäran om registrering lämnas av en fysisk, levande person. 

I 3 mom. föreskrivs närmare om det resedokument som används inom förfarandet för distansregistrering. Det resedokument som avses i bestämmelsen kan till exempel vara ett pass eller identitetskort och det ska uppfylla minimikraven enligt Internationella civila luftfartsorganisationens (ICAO, International Civil Aviation Organization) definitioner på resedokument. Enligt förslaget ska det för att dokumentet ska godkännas dessutom förutsättas att äktheten och integriteten hos de uppgifter som registrerats på resedokumentets tekniska del kan säkerställas med en giltig och fullständig certifikatkedja. Myndigheten för digitalisering och befolkningsdata ska i egenskap av personuppgiftsansvarig för befolkningsdatasystemet upprätthålla en förteckning över de resedokument som uppfyller förutsättningarna enligt bestämmelsen och som kan godkännas inom förfarandet för distansregistrering. 

Resedokument är huvudsakligen avsedda för situationer där identiteten säkerställs i samband med ett personligt besök och inte vid förfaranden enligt detta förslag, där den som försäkrar sig om identiteten inte har tillgång till dokumentet i original. Av denna anledning är så gott som alla säkerhetsfunktioner i det fysiska dokumentet sådana att de inte kan kontrolleras med ett foto av dokumentet. Största delen av resedokumenten innehåller emellertid numera också en teknisk del, det vill säga ett chip. Enligt ICAO:s definitioner är alla uppgifter på ett resedokuments chip digitalt signerade av den myndighet som beviljat dokumentet. Ett rotcertifikat och en aktuell spärrlista som på tillförlitligt sätt fåtts av den stat som beviljat resedokumentet möjliggör säkerställande av den digitala underskriften på chippet och av att de uppgifter som chippet innehåller är äkta och oförändrade. Chippet innehåller innehavarens namn, födelsetid, uppgift om könstillhörighet och en ansiktsbild av god kvalitet. 

En kontroll av den tekniska delen, det vill säga av att uppgifterna är äkta och oförändrade, innebär å andra sidan inte att man nödvändigtvis kan lita på de personuppgifter som kan läsas från dokumentet. Det finns till exempel länder vilkas process för beviljande av resedokument inte är tillförlitlig, varför utrikesministeriet för en förteckning över de resedokument som godkänns för inresa. När ett resedokuments godtagbarhet bedöms, prövas godtagbarheten som helhet, och för det räcker det inte med ett dokument som enbart är tekniskt högklassigt och säkert. Polisen administrerar dessutom de rotcertifikat och spärrlistor som används för kontroll av uppgifterna på såväl Finlands som andra länders resedokuments chip. Utifrån detta system förs till exempel listan över tillförlitliga certifikat som är godkända för gränskontroll. Myndigheten för digitalisering och befolkningsdata kunde vid bedömningen av för förfarandet för distansregistrering godtagbara resedokument i praktiken utnyttja nämnda informationsresurser som utrikesministeriet och polisen redan för närvarande upprätthåller. 

Varje person har enligt de grundläggande principerna för registrering av befolkningen endast en registeridentitet i befolkningsdatasystemet. När en persons uppgifter registreras i systemet ska man därför alltid försäkra sig om att personens uppgifter inte redan tidigare har registrerats i systemet. Enligt 1 mom. 4 punkten ska också godkännande av en registreringsbegäran inom förfarandet för distansregistrering förutsätta att personens uppgifter inte tidigare registrerats i befolkningsdatasystemet. Enligt 4 mom. säkerställs detta genom jämförelse av de uppgifter som kan läsas från den tekniska delen av det resedokument som används vid förfarandet för distansregistrering och de uppgifter som personen själv meddelat med de personuppgifter och registeridentiteter som sedan tidigare finns i befolkningsdatasystemet. Förfarandet motsvarar till sina principer förfarandet för hur flera registreringar av samma person förhindras inom andra registreringsförfaranden. I samband med första registrering sker jämförelsen dock i regel helt automatiskt. I jämförelsen används endast uppgifterna i befolkningsdatasystemet, det vill säga den ansiktsbild eller den videoinspelning som föreslås ingå i förfarandet används inte. 

Förfarandet för distansregistrering tas i bruk för att möjliggöra att en utlänning kan påvisa i befolkningsdatasystemet registrerade uppgifter om honom eller henne i e-tjänster. Vidare föreslås det att i den lag om de tjänster för digital identitet som tillhandahålls av Myndigheten för digitalisering och befolkningsdata som ingår i en separat regeringsproposition ska föreskrivas om ett e-tjänstverktyg för utlänningar samt om det bevis för kärnidentitet som ingår i det. Eftersom förfarandet för distansregistrering är avsett som ett inledande skede som föregår beviljande av ett e-tjänstverktyg för utlänningar, ska som rättsverkan av förfarandet för distansregistrering i paragrafens 5 mom. föreskrivas beviljande av ett e-tjänstverktyg.  

När det gäller förfarandet för distansregistrering är det fråga om ett förvaltningsförfarande, och till den del som inte annat anges i den föreslagna lagen ska på det tillämpas förvaltningslagen (434/2003). Bland annat 16 § i förvaltningslagen är av betydelse, eftersom det enligt den paragrafen i en handling som tillställs en myndighet ska antecknas de kontaktuppgifter som behövs för att ärendet ska kunna skötas. På förfarandet för distansregistrering ska också tillämpas de allmänna krav beträffande behandlingen av ärenden som föreskrivs i 5 kap., de bestämmelser om utredning av ärenden och hörande av parter som föreskrivs i 6 kap. och de bestämmelser om avgörande av ärenden som föreskrivs i 7 kap. i förvaltningslagen. Om en begäran om distansregistrering godkänns, räcker det som avgörande av ärendet oftast att uppgifterna registreras i befolkningsdatasystemet och en personbeteckning i och med det tilldelas den utländska medborgare som begärt registrering.  

Även om den föreslagna regleringen inte förutsätter det är det föreslagna förfarandet i praktiken avsett att vara fullständigt automatiserat och i det deltar i allmänhet överhuvudtaget inte någon tjänsteman vid Myndigheten för digitalisering och befolkningsdata eller någon annan myndighet. I den föreslagna 9 a § ska dock inte föreskrivas om att förfarandet är automatiskt, utan också till denna del tillämpas på förfarandet de bestämmelser om automatisk behandling av ett förvaltningsärende i förvaltningslagen som är under beredning. Eftersom det vid förfarandet för distansregistrering är fråga om automatiserat individuellt beslutsfattande enligt artikel 22.2 b i dataskyddsförordningen, ska man dessutom beakta de lämpliga åtgärder som punkten i fråga förutsätter åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen. Dataskyddsförordningen lämnar det närmare fastställandet av åtgärder till den nationella lagstiftningen, men på basis av skäl 71 i ingressen ska de inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet. Ändring i ett beslut som meddelats inom förfarandet för distansregistrering får sökas i enlighet med 7 kap. i BDS-lagen på samma sätt som i andra förvaltningsbeslut som gäller registrering. Beslutet med anvisningar om sökande av ändring ges dock endast i ärenden som kan inledas genom förfarandet för distansregistrering. Om det till exempel vid automatisk ansiktsigenkänning inom förfarandet för distansregistrering inte kan säkerställas att den rättmätiga innehavaren av resedokumentet begär registrering av uppgifterna eller om den elektroniska avläsningen från resedokumentets tekniska del inte lyckas, avbryts förfarande och ärendet blir inte anhängigt. Personen styrs på basis av det avbrutna förfarandet till att registrera sina uppgifter enligt det förfarande som anges i 9 §. Enligt 76 a § i BDS-lagen får omprövning av förvaltningsbeslut som fattats med stöd av lagen begäras på det sätt som anges i förvaltningslagen. Enligt lagens 76 b § finns bestämmelser om sökande av ändring hos förvaltningsdomstolen i lagen om rättegång i förvaltningsärenden (808/2019). 

Enligt artikel 22,4 i dataskyddsförordningen får automatiserade individuella beslut enligt punkt 2 inte grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9.1, såvida inte artikel 9.2 a eller g gäller och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits. I samband med ansiktsigenkänning inom förfarandet för distansregistrering behandlas biometriska uppgifter som hör till särskilda kategorier av personuppgifter för entydig identifiering av en person. I 9 c § i propositionen möjliggörs behandlingen av dessa uppgifter inom förfarandet för distansregistrering i enlighet med artikel 9.2 g i dataskyddsförordningen. För skyddande av den registrerades rättigheter, friheter och berättigade intressen ska på förfarandet för distansregistrering tillämpas de bestämmelser om automatiserat beslutsfattande som beretts för förvaltningslagen och informationshanteringslagen. På så sätt och genom förvaltningslagens allmänna krav på förvaltningsförfarandet tillgodoses de krav på skyddsåtgärder som förutsätts i artikel 22.2 b i dataskyddsförordningen. Eftersom det är fråga om en myndighets behandling av uppgifter, blir dessutom kraven på informationssäkerhet i 4 kap. i informationshanteringslagen tillämpliga. 

Behandlingen av uppgifterna om utlänningar som registreras via den e-tjänst som skapas för förfarandet för distansregistrering ska inte höra till Statens ämbetsverk på Ålands behörighet, eftersom Åland aldrig kan bara behörigt i fråga om vistelse eller boende vad gäller en person som begär registrering från utlandet. För förfarandet för distansregistrering svarar således alltid Myndigheten för digitalisering och befolkningsdata i egenskap av personuppgiftsansvarig för de personuppgifter som behandlas inom förfarandet för distansregistrering. 

9 b §.Uppgifter som registreras i befolkningsdatasystemet i samband med förfarandet för distansregistrering. Paragrafen är ny och i den ska föreskrivas om de uppgifter som registreras i befolkningsdatasystemet i samband med förfarandet för distansregistrering. I paragrafens 1 mom. föreskrivs om de uppgifter som läses direkt från den tekniska delen av resedokumentet eller som den utländska medborgare som begär registrering själv meddelar. Paragrafens 2 mom. innehåller bestämmelser om de uppgifter som Myndigheten för digitalisering och befolkningsdata lämnar i samband med att uppgifterna registreras i befolkningsdatasystemet. Vid fastställande av det detaljerade innehållet i de uppgifter som förs in i befolkningsdatasystemet inom förfarandet för distansregistrering är det fråga om utnyttjande av det nationella handlingsutrymmet enligt artiklarna 6.2 och 6.3 i dataskyddsförordningen, som möjliggör närmare bestämmelser om typen av de personuppgifter som behandlas i nationell lag. 

I befolkningsdatasystemet ska enligt den föreslagna paragrafens 1 mom. för det första registreras personens fullständiga namn, födelsetid och kön, som enligt 9 a § 1 mom. 3 punkten ska kunna läsas från den tekniska delen av det resedokument som används vid förfarandet för att registreringen ska kunna godkännas. Uppgiften om födelsetid och kön behövs för att specificera personen och för att personen i enlighet med 11 § 1 mom. ska kunna tilldelas en personbeteckning som registreras i systemet. Utöver den finska personbeteckning och den föreslagna identifikationskod som tilldelas inom förfarandet ska i befolkningsdatasystemet kunna registreras ett eventuellt nationellt identifikationsnummer i en annan stat eller en annan allmän identifikationskod. En annan allmän identifikationskod kan till exempel utgöras av en eIDAS-beteckning. Dessutom ska i befolkningsdatasystemet registreras nummer, utfärdande stat och giltighetstid för det resedokument som använts vid registreringen. De uppgifter som gäller resedokumentet har en central betydelse särskilt vid säkerställandet av att samma persons uppgifter inte registreras i befolkningsdatasystemet två gånger. 

Utöver de uppgifter som läses från resedokumentets tekniska del ska personen själv inom förfarandet meddela för specificering av personen behövliga obligatoriska tilläggsuppgifter. Dessa är födelseort, födelsestat och kontaktuppgifter. De kontaktuppgifter som införs i befolkningsdatasystemet i samband med förfarandet för distansregistrering är e-postadress och postadress. 

I befolkningsdatasystemet ska enligt paragrafens 2 mom. alltid registreras uppgift som beskriver sättet för identifiering eller specificering av personen samt uppgift som beskriver källan för uppgifterna om namn, födelsetid, kön och medborgarskap. När det gäller registreringar som grundar sig på förfarandet för distansregistrering ska av dessa tilläggsuppgifter framgå att personen inte har identifierats personligen, utan inom förfarandet för distansregistrering, och att de grundläggande uppgifterna om personen har fåtts från det officiella resedokument som använts i förfarandet. Paragrafens 2 mom. ska dessutom av tydlighetsskäl innehålla en informativ hänvisning till de bestämmelser som gäller tilldelning av personbeteckning och identifikationskod. 

9 c §.Behandling av biometriska uppgifter som samlas in vid förfarandet för distansregistrering. Paragrafen är ny och i den ska föreskrivas om behandlingen av biometriska uppgifter som samlas in vid förfarandet för distansregistrering. Enligt artikel 9.1 i dataskyddsförordningen är behandling av biometriska uppgifter för att entydigt identifiera en fysisk person förbjuden på samma sätt som behandlingen av övriga i punkten uppräknade personuppgifter som hör till särskilda kategorier av personuppgifter. Enligt artikel 9.2 g är behandling av sådana uppgifter som nämns i 1 punkten dock tillåten på grundval av medlemsstaternas nationella rätt, om den står i proportion till det eftersträvade syftet, är förenligt med det väsentliga innehållet i rätten till dataskydd och innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Enligt 6 § 1 mom. i dataskyddslagen tillämpas förbudet mot att behandla uppgifter som hör till särskilda kategorier av personuppgifter med stöd av det nationella handlingsutrymmet inte på sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag. Vid behandling av personuppgifter på basis av 6 § 1 mom. ska en personuppgiftsansvarig och ett personuppgiftsbiträde vidta lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter. Dessutom ska i lagen föreskrivas om förvaringstiden för biometriska uppgifter som använts i samband med ansiktsigenkänning, som ska vara kortare än för andra personuppgifter. Eftersom det är fråga om en myndighets behandling av uppgifter, blir dessutom kraven på informationssäkerhet i 4 kap. i informationshanteringslagen tillämpliga. 

Det är nödvändigt att behandla biometriska uppgifter i samband med den ansiktsigenkänning som ingår i förfarandet för distansregistrering. I samband med ansiktsigenkänningen jämförs de foton och videoinspelningar som personen gjort i samband med förfarandet med den ansiktsbild som kan läsas från personens resedokument och säkerställs på så sätt identiteten hos den person som begär registrering av sina uppgifter. Genom ansiktsigenkänning försöker man försäkra sig om att det är resedokumentets rättmätiga innehavare som begär registrering av uppgifterna. Nödvändigheten, proportionaliteten och ändamålsenligheten för den registrerades särskilda skyddsåtgärder i fråga om behandlingen av biometriska uppgifter har motiverats närmare i punkt 11.3 i motiveringen av lagstiftningsordningen i denna proposition. 

I fråga om de detaljerade bestämmelserna om biometriska uppgifter som behandlas inom förfarandet för distansregistrering är det fråga om utnyttjande av det nationella handlingsutrymmet enligt artiklarna 6.2 och 6.3 i dataskyddsförordningen, som möjliggör närmare bestämmelser i nationell lagstiftning om förutsättningarna för behandlingen, typen av uppgifter som behandlas, utlämnande av uppgifter och ändamålsbegränsningar. 

I paragrafens 1 mom. föreskrivs om användningsändamålet för bilder, videoinspelningar och de uppgifter som bildas av den tekniska jämförelsen av dem. Enligt förslaget ska de nämnda uppgifterna få behandlas vid förfarandet endast för kontroll av identiteten hos den person som begärt registrering. Bilderna och videoinspelningarna ska således inte registreras i befolkningsdatasystemet och de ska inte få användas eller utlämnas för andra ändamål. För ansiktsigenkänning inom förfarandet för distansregistrering använda bilder och videor ska inte heller få utnyttjas vid en jämförelse enligt 9 a § 1 mom. 4 punkten. 

I paragrafens 2 mom. föreskrivs om radering av de biometriska uppgifter som använts i samband med ansiktsidentifieringen. Personuppgifterna ska raderas utan obehörigt dröjsmål när de blivit onödiga med tanke på användningsändamålet. Förutsättningen för behandling av uppgifter som hör till särskilda kategorier av personuppgifter och med dem jämförbara i konstitutionellt hänseende känsliga uppgifter är att behandlingen är nödvändig. De uppgifter som används vid ansiktsidentifiering ska därför raderas så snart behandlingen av dem inte längre är nödvändig för kontroll av identiteten hos en utländsk medborgare som begärt registrering av sina uppgifter i befolkningsdatasystemet genom förfarandet för distansregistrering. Myndigheten för digitalisering och befolkningsdata kommer att använda biometriska uppgifter endast inom den automatiserade ansiktsigenkänningen. Tjänstemännen vid Myndigheten för digitalisering och befolkningsdata behandlar alltså inte uppgifterna ens i de fall där begäranden om registrering inom förfarandet för distansregistrering i övrigt behandlas av tjänstemännen. Av denna anledning är behandling av biometriska uppgifter för ansiktsigenkänning nödvändig endast under den tid då uppgifterna jämförs automatiserat, varefter de ska raderas. Uppgifterna ska raderas senast två månader efter begäran om registrering. Myndigheten för digitalisering och befolkningsdata ska sörja för tillförlitliga förfaranden genom vilka man kan säkerställa att uppgifterna raderas helt inom två månader från begäran om registrering. Avgörandet i fråga om en begäran om registrering är antingen registrering av den utländska medborgarens uppgifter i befolkningsdatasystemet eller att begäran om registrering avvisas. Förfarandet för distansregistrering kan också avbrytas innan begäran om registrering blir anhängig, om det till exempel vid den automatiserade ansiktsjämförelse som görs inom förfarandet för distansregistrering inte kan säkerställas att det är resedokumentets rättmätiga innehavare som begär registrering av uppgifterna. Om förfarandet för distansregistrering avbryts under ansiktsigenkänningsskedet, är det inte nödvändigt att efter avbrottet längre kunna behandla de uppgifter som använts för ansiktsigenkänningen.  

9 d §.Ändring eller tillfogande av uppgifter som beskriver sättet för identifiering eller specificering och källan för uppgifterna. Paragrafen har samband med de föreslagna nya tilläggsuppgifter om beskriver sättet för identifiering eller specificering av en person som registrerats i befolkningsdatasystemet och källan för de grundläggande uppgifterna. Eftersom nämnda uppgifter kan påverka personens faktiska möjligheter att utnyttja sin BDS-identitet i samband med samhällets tjänster, har uppgifternas aktualitet särskilt stor betydelse för den registrerade. 

Den rättsliga grunden för behandling av personuppgifter vid ändring och tillfogande av uppgifter är den rättsliga förpliktelse som åvilar den personuppgiftsansvarige som avses i artikel 6.1 c i dataskyddsförordningen också när en annan myndighet registrerar uppgifter i befolkningsdatasystemet. Även om Migrationsverket och Skatteförvaltningen samlar in de uppgifter som ska registreras i samband med skötseln av sina uppgifter som föreskrivs annanstans i lag, grundar sig också deras rätt att behandla uppgifter på skyldigheten för befolkningsdatasystemets personuppgiftsansvariga att möjliggöra, genomföra och trygga samhällets funktioner och informationsförsörjning samt rättigheterna och skyldigheterna för dess medlemmar i enlighet med 5 § i BDS-lagen. Migrationsverkets och Skatteförvaltningens behandlingsåtgärder säkerställer tillförlitligheten för uppgifterna i befolkningsdatasystemet i enlighet med 18 § i BDS-lagen. I fråga om de detaljerade bestämmelserna om förfarandet för ändring och tillfogande av uppgifter samt om förutsättningarna för ändring och tillfogande är det fråga om utnyttjande av det nationella handlingsutrymmet enligt artiklarna 6.2 och 6.3 i dataskyddsförordningen, som möjliggör närmare bestämmelser i nationell lagstiftning om de allmänna förutsättningarna för behandlingen, typer av behandling och förfaranden.  

I paragrafens 1 mom. föreskrivs det om ändring eller tillfogande av uppgiften som beskriver sättet för identifiering eller specificering av en person. Enligt momentet ska en myndighet som registrerar uppgifterna i befolkningsdatasystemet ändra eller lägga till uppgift som beskriver sättet för identifiering eller specificering av en person i befolkningsdatasystemet när man för första gången försäkrat sig om en utländsk medborgares identitet på det sätt som avses i 9, 22 och 22 a § i samband med ett personligt besök. De myndigheter som avses i momentet är Myndigheten för digitalisering och befolkningsdata, Migrationsverket och Skatteförvaltningen. I praktiken blir bestämmelsen oftast tillämplig när en utlänning som distansregistrerat sig i befolkningsdatasystemet i enlighet med den föreslagna 9 a § för första gången fysiskt besöker någon av de nämnda myndigheterna eller en finländsk utrikesrepresentation, en annan Schengenstats beskickning eller en extern tjänsteleverantör försäkrar sig om personens identitet i överensstämmelse med den föreslagna 22 §. Anteckningen i personens BDS-uppgifter om distansregistrering ska då uppdateras till en anteckning om personlig identifiering. En förutsättning för ändringen är dessutom att någon av de i 9 § 1 mom. föreskrivna förutsättningarna för registrering uppfylls. Till följd av ändringen ska på utlämnande av personens uppgifter ur befolkningsdatasystemet inte längre tillämpas den föreslagna 34 a § och eventuella begränsningar av användningen av personens personbeteckning och BDS-uppgifter slopas. 

I paragrafens 2 mom. föreskrivs på motsvarande sätt om ändring eller tillfogande av den uppgift som beskriver källan för uppgifterna om personens namn, födelsetid, kön och medborgarskap. Enligt bestämmelsen ska den myndighet som registrerar uppgifterna i befolkningsdatasystemet ändra eller lägga till uppgift som beskriver källan för uppgifterna om personens namn, födelsetid, kön och medborgarskap i befolkningsdatasystemet när en utländsk medborgare för första gången visat upp ett giltigt resedokument eller en i 19 § 1 eller 2 mom. avsedd utredning på det sätt som avses i 19, 22 och 22 a §. Också de myndigheter som avses i 2 mom. är Myndigheten för digitalisering och befolkningsdata, Migrationsverket och Skatteförvaltningen. 

De uppgifter som avses i paragrafen bevaras i befolkningsdatasystemet i enlighet med lagens 20 § 1 mom. permanent som så kallade historiska uppgifter om personen även efter det att uppgiften ändrats i enlighet med paragrafen. Till exempel uppgiften om att personen har registrerats i befolkningsdatasystemet genom förfarandet för distansregistrering ska således bevaras i systemet som en historisk uppgift även efter det att personen personligen besökt någon av myndigheterna och den uppdaterade uppgiften i befolkningsdatasystemet har ändrats i enlighet med 1 mom. En persons historiska uppgifter är inte föremål för omfattande utlämning ur systemet, men de kan fortfarande i vissa situationer ha betydelse till exempel vid bedömningen av uppgifternas tillförlitlighet eller utredning av personens personhistoria. Andra motsvarande historiska uppgifter som bevaras i systemet är till exempel personens tidigare namn och postadresser, som också bevaras permanent i befolkningsdatasystemet. 

11 §.Personbeteckningen och hur den tilldelas. Det föreslås att paragrafens 2 mom. ändras så att personens kön från och med den 1 januari 2027 inte längre ska framgå av personbeteckningen. I momentet stryks bestämmelsen om att det individuella nummer som ingår i personbeteckningen innehåller uppgift om personens kön. I och med ändringen slutar det individuella numret slumpmässigt så att innehavarens kön inte längre kan härledas på basis av att siffran är udda eller jämn. De personbeteckningar som tilldelats före ikraftträdandet av den föreslagna ändringen ändras inte, men inte heller av en personbeteckning som tilldelats före den 1 januari 2027 ska längre på ett juridiskt bindande sätt kunna härledas personens kön, utan även de ska anses vara könsneutrala. Ändringen gäller således också de personbeteckningar som tilldelats före ikraftträdandet. De personer och organisationer som behandlar personbeteckningar får således efter ändringen inte heller härleda personens kön ur de personbeteckningar som tilldelats på basis av de bestämmelser som gällde före ändringen. Dessutom har språkdräkten för bemyndigandet att utfärda förordning ändrats så att den motsvarar det etablerade skrivsättet. 

Bestämmelser om ett undantag från tilldelning av ett slumpmässigt individuellt nummer finns i lagens 12 § 3 mom. 

11 a §.Identifikationskoden och hur den tilldelas. Paragrafen är ny och i den ska föreskrivas om identifikationskodens form och hur den tilldelas. Identifikationskoden är en ny kod för specificering av en person som skapas vid sidan av personbeteckningen samtidigt som personens uppgifter första gången registreras i befolkningsdatasystemet. Koden består av sammanlagt 11 tecken, av vilka det sista är ett kontrolltecken. Med hjälp av kontrolltecknet kan man till exempel upptäcka mänskliga misstag vid inmatningen av identifikationskoden i system. Identifikationskoden ska med avvikelse från personbeteckningen inte innehålla uppgift om ålder eller kön eller innehavarens andra personuppgifter. Identifikationskoden är dock i sig själv en sådan personuppgift och identifierare som ansluter till personen som avses i artikel 4.1 i dataskyddsförordningen. På behandlingen av den ska därför tillämpas bestämmelserna om behandling av personuppgifter. Identifikationskoden ska som en kod som kan användas allmänt också vara ett sådant nationellt identifikationsnummer som avses i artikel 87 i den allmänna dataskyddsförordningen. 

Identifikationskoden ska vara fullständigt individuell och samma kod kan aldrig ges två eller flera personer. Inte heller en identifikationskod som ändrats med stöd av den föreslagna 12 a § ska få användas igen. Förfarandet för tilldelning av identifikationskoden motsvarar med undantag av dess struktur förfarandet för tilldelning av personbeteckning. Den föreslagna bestämmelsen innehåller ett bemyndigande att utfärda förordning, enligt vilket närmare bestämmelser om identifikationskodens struktur ska utfärdas genom förordning av statsrådet på motsvarande sätt som det nu föreskrivs om personbeteckningen. 

Identifikationskoden ska tas i bruk i det bevis för kärnidentitet enligt 3 kap. i lagen om de tjänster för digital identitet som tillhandahålls av Myndigheten för digitalisering och befolkningsdata som ska ingå i e-tjänstverktyget för utlänningar och i e-legitimationen. Beviset för kärnidentitet ska fungera som ett tekniskt tillförlitligt sätt att binda innehavaren till den hemliga nyckeln till beviset till den kärnidentitet som förvaltas inom befolkningsdatasystemet. Identifikationskoden fungerar som en beteckning som specificerar personen på beviset för kärnidentitet.  

12 §.Rättelse och ändring av en personbeteckning. Det föreslås att i paragrafen görs de ändringar som gäller personbeteckningens könsneutralitet som ska träda i kraft den 1 januari 2027. Det föreslås att bestämmelsen i paragrafens 1 mom., enligt vilken en personbeteckning ska rättas, om uppgiften om könstillhörighet är felaktig, ska strykas. Av personbeteckningen framgår inte längre efter de ändringar som föreslås i 11 § personens kön, och i 1 mom. nämnda bestämmelse om rättelse av beteckningen behövs således inte längre. Till övriga delar kvarstår 1 mom., det vill säga att personbeteckningen fortfarande kan rättas, om den är tekniskt felaktig eller om uppgiften om födelsetid är oriktig. 

Det föreslås att innehållet i paragrafens 2 mom. 3 punkt flyttas i något ändrad form till det nya 3 mom. Enligt det nya 3 mom. ska en personbeteckning ändras på ansökan, om det i enlighet med lagen om fastställande av könstillhörighet har fastställts att personen ska tillhöra det andra könet. Avsikten är att lagen om fastställande av transsexuella personers könstillhörighet ska upphävas i det lagprojekt som pågår samtidigt, där man har för avsikt att stifta en ny lag om fastställande av könstillhörighet. Utöver stiftandet av lagen om fastställande av könstillhörighet avser man inom projektet göra ändringar i 12 § 2 mom. 3 punkten och 12 § 3 mom. i BDS-lagen. I detta sammanhang ska lagens namn och nummer samt terminologi ändras så att de stämmer överens med den nya lagen om fastställande av könstillhörighet. Termen transsexuell slopas och terminologiskt ska efter ändringen talas om fastställande att en person ska tillhöra det andra könet och inte det motsatta könet. Avsikten är att de nämnda ändringarna ska träda i kraft den 1 januari 2023. Avsikten är att de ändringar i 12 § som föreslås i denna proposition ska träda i kraft den 1 januari 2027. 

I fråga om ändring av personbeteckningen föreskrivs i paragrafens 3 mom. om ett undantag enligt vilket personbeteckningens individuella nummer i de fall som avses i momentet på ansökan ska kunna tilldelas i enlighet med den praxis som gällde före lagändringen, det vill säga enligt nuvarande praxis gällande kön. En person som är född före den 1 januari 2027 som fastställs som man ska således i personbeteckningen ges ett udda individuellt nummer och en person som fastställts som kvinna ett jämnt individuellt nummer. Syftet med bestämmelsen har beskrivits närmare ovan i avsnitt 4.1.5. Även om beteckningen i de situationer som avses i momentet ändras så att den motsvarar tidigare praxis för det individuella numret, avviker den inte till sin struktur eller datainnehåll från övriga personbeteckningar. Inte heller ett individuellt nummer som tilldelas enligt 3 mom. innehåller alltså uppgift om personens könstillhörighet. Om den uppgiften om könstillhörighet som registrerats vid en interkönad persons födsel senare visar sig vara felaktig, ska personbeteckningen också i de fallen i enlighet med detta moment kunna ändras på ansökan. Enligt gällande lag korrigeras en interkönad persons personbeteckning i samband med korrigeringen av en i befolkningsdatasystemet införd felaktig uppgift om könstillhörighet med stöd av 12 § 1 mom. När uppgiften om kön den 1 januari 2027 slopas bland de uppgifter som kan härledas ur personbeteckningen, ska personbeteckningen inte längre korrigeras på basis av en ändring av uppgiften om kön, men i dessa sällsynta fall ska personen om han eller hon så vill ha en möjlighet att be om en ny personbeteckning. Avsikten är inte att i dessa fall ändra på praxis i samband med den utredning som läggs fram i samband med begäran. I bägge fall som avses i 3 mom. ska det vara frivilligt att ändra personbeteckningen, och det fastställs ingen särskild tidsfrist för inlämnande av ansökan. Personen kan fastställa sitt kön från ett kön till det andra könet flera gånger än en. Personbeteckningen ska på basis av fastställande av könet kunna ändras endast en gång för varje enskilt fastställande av könet. För det nya 12 § 3 mom. gäller en begränsning om vilken det föreskrivs genom lagens ikraftträdandebestämmelse så att momentet endast tillämpas på personer som fötts före den 1 januari 2027. 

Paragrafens gällande 3 mom. blir samtidigt i ändrad lydelse paragrafens 4 mom. Beslutet om ändring av en personbeteckning ska enligt den ändrade bestämmelsen alltid fattas av Myndigheten för digitalisering och befolkningsdata. Statens ämbetsverk på Åland föreslås inte ges behörighet att ändra personbeteckningen på basis av det förväntade låga antalet fall. Om ändring av personbeteckningen ska fortfarande alltid ansökas skriftligen. Momentets språkdräkt ändras samtidigt så att den stämmer överens med bestämmelserna om ändring av de koder som tilldelas ur befolkningsdatasystemet, det vill säga 12 a § och 64 §. 

12 a §.Ändring av en identifikationskod. Paragrafen är ny och i den ska föreskrivas om ändring av den identifikationskod som avses i 11 a §. Paragrafen motsvarar till sitt syfte 12 § om ändring av en personbeteckningen, men är betydligt mer begränsad till sitt innehåll. På grund av identifikationskodens form och användningsändamål är det inte behövligt att ändra den på motsvarande grunder som personbeteckningen. Enligt 1 mom. får en identifikationskod som registrerats i befolkningsdatasystemet ändras endast om ändringen är absolut nödvändig för att skydda personen i sådana situationer där hans eller hennes hälsa eller säkerhet är uppenbart och varaktigt hotad. Bestämmelsen motsvarar 12 § 2 mom. 1 punkten och avsikten är att den ska tillämpas på samma sätt.  

I motsats till personbeteckningen ska den föreslagna identifikationskoden inte innehålla några personuppgifter om sin innehavare. Koden kan därför inte heller vara felaktig i fråga om sitt datainnehåll, och man behöver därför inte i lagen föreskriva om rättelse av identifikationskoden. Eftersom koden inte heller innehåller någon uppgift om personens könstillhörighet medför till exempel fastställande av könstillhörighet inte något behov av att ändra identifikationskoden. 

Identifikationskoden är endast avsedd för entydig specificering av en person i ett informationssystem, att utföra en i lag angiven uppgift eller för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsansvariges skyldigheter och den lämnas enligt förslaget inte ut ur befolkningsdatasystemet för andra ändamål. Koden ska således inte kunna användas för identifiering i samband med uträttande av ärenden, och det ska således inte vara möjligt att med koden ingå rättsliga åtaganden i en annan persons namn. Koden behöver därför inte ändras med motiveringen att den kommit i fel persons besittning och missbrukats. Därför föreslås i paragrafen ingen ändringsgrund i samband med missbruk som motsvarar 12 § 2 mom. 2 punkten i lagen. Enligt nämnda punkt kan en personbeteckning som registrerats i befolkningsdatasystemet ändras, om någon annan än den som innehar personbeteckningen upprepade gånger har missbrukat beteckningen och missbruket har orsakat betydande ekonomiska eller andra olägenheter för den rätta innehavaren och fortsatta skadliga verkningar på grund av missbruket faktiskt kan förhindras genom att personbeteckningen ändras. 

I 2 mom. föreskrivs om de förfaranden som ska iakttas vid ändring av identifikationskoden. Ett ärende som gäller ändring av identifikationskoden behandlas och avgörs alltid av Myndigheten för digitalisering och befolkningsdata på motsvarande sätt som ett ärende som gäller ändring av personbeteckningen på basis av 12 § 2 mom. 1 punkten. Ändring av en identifikationskod ska således inte höra till uppgifterna för Statens ämbetsverk på Åland eller övriga myndigheter som deltar i förvaltningen av befolkningsdatasystemet. Ansökan om ändring av koden ska göras skriftligen. Den föreslagna regleringen motsvarar förfarandet vid ändring av personbeteckningen. 

13 §.Personuppgifter som registreras i systemet. Det föreslås att bestämmelsen i paragrafens 1 mom. om befolkningsdatasystemets datainnehåll ska kompletteras med flera nya grupper av uppgifter. För det första ska momentets 2 punkt ändras så att i befolkningsdatasystemet utöver personbeteckning, teknisk identifieringskod och elektronisk kommunikationskod också ska registreras den identifikationskod som avses i den föreslagna nya 11 a §. Dessutom föreslås det att 2 punkten ska kompletteras så att i den särskilt ska nämnas också födelsetiden. Födelsetiden ingår redan i bestämmelsen som en del av personbeteckningen. Kompletteringen gällande födelsetid är en precisering av motsvarande slag som uppgiften om kön, som det föreslås att ska fogas till 15 punkten i detta moment. Födelsetiden införs redan för närvarande i befolkningsdatasystemet i ett eget uppgiftsfält, varför man genom denna precisering inte ändrar det nuvarande datainnehållet i befolkningsdatasystemet. Ett särskilt omnämnande av uppgiften om födelsetid behövs eftersom det också i den nya 23 punkten som föreslås nedan hänvisas till uppgiften om födelsetid. 

Vidare föreslås att momentets 15 punkt ska kompletteras med uppgift om personens kön. Uppgiften om kön registreras redan för närvarande i befolkningsdatasystemet separat i ett eget uppgiftsfält, och den ingår i bestämmelsen som en del av den personbeteckning som avses i momentets 2 punkt, varför denna komplettering inte ändrar på befolkningsdatasystemets nuvarande datainnehåll. Ett särskilt omnämnande av uppgiften om kön behövs eftersom det också i den nya 23 punkten som föreslås nedan hänvisas till uppgiften om kön. I och med att uppgiften om könstillhörighet slopas ur personbeteckningen ska det dock föreskrivas separat om registrering av den i befolkningsdatasystemet. Med uppgift om kön avses i bestämmelsen personens juridiska kön. Det föreslås samtidigt att punktens språkdräkt uppdateras så att i punkten slopas ordet transsexuell. Transsexuell är en föråldrad term som hänvisar till en transperson och som ger en felaktig uppfattning av att transpersoners könsidentitet skulle ha att göra med deras sexualitet. Ändringen är terminologisk och påverkar inte tillämpningen av bestämmelsen. 

Till förteckningen i paragrafens 1 mom. fogas nya 22 och 23 punkter, varvid den nuvarande 22 punkten blir 24 punkt. I de nya punkterna ska föreskrivas om registrering av uppgift som beskriver sättet för identifiering eller specificering av personen samt uppgift som beskriver källan för uppgifterna om personens namn, födelsetid, kön och medborgarskap i befolkningsdatasystemet. 

Enligt den nya 22 punkten som föreslås till paragrafens 1 mom. ska i befolkningsdatasystemet registreras uppgift som beskriver sättet för identifiering eller specificering av personen. I praktiken kan man med hjälp av den nya bakgrundsinformationen vid behov särskilja mellan om personen för registrering av sina uppgifter i befolkningsdatasystemet har identifierats personligen vid en myndighet eller inte eller om registreringen av uppgifterna grundar sig till exempel på en anmälan som gjorts i samband med personens födelse. I samband med födelsen sker ingen egentlig identifiering av personen, utan barnet som föds specificeras endast för registrering av dess uppgifter i befolkningsdatasystemet. Den föreslagna nya bakgrundsinformationen har särskild betydelse till den del att man genom den kan särskilja till exempel registeridentiteter som baserar sig på distansregistrering och registeridentiteter som baserar sig på en myndighets initiativ från övriga registeridentiteter. Enligt den föreslagna 34 a § ska uppgifter som grundar sig på distansregistrering lämnas ut ur befolkningsdatasystemet endast tillsammans med den uppgift som avses i denna punkt. Enligt paragrafens 2 mom. utfärdas närmare bestämmelser om registreringen av den uppgift som beskriver sättet för identifiering eller specificering av en person genom förordning av statsrådet. I praktiken är det nödvändigt att utfärda närmare bestämmelser om det detaljerade innehållet i uppgiften som beskriver sättet för identifiering eller specificering och om registreringen av uppgifterna. 

Enligt den nya 23 punkten som föreslås till paragrafens 1 mom. ska i befolkningsdatasystemet registreras uppgift som beskriver källan för uppgifterna om personens namn, födelsetid, kön och medborgarskap. På motsvarande sätt som i den föreslagna 22 punkten är det i bestämmelsen fråga om ny bakgrundsinformation till uppgifterna i befolkningsdatasystemet. Med hjälp av uppgiften kan man vid behov till exempel särskilja, om de grundläggande uppgifter om personen som nämns i bestämmelsen fåtts direkt ur en officiell handling eller om de helt eller till vissa delar baserar sig på personens egen anmälan. Uppgiften om källan till uppgifterna gäller endast de grundläggande uppgifter om personen som nämns i bestämmelsen, och utsträcks alltså inte till alla uppgifter om personen som registreras i befolkningsdatasystemet. Uppgiften är inte heller uppgiftsspecifik, utan gäller de grupper av uppgifter som nämns i bestämmelsen som helhet. Enligt paragrafens 2 mom. får närmare bestämmelser om registreringen av den uppgift som beskriver källan för uppgifterna om personens namn, födelsetid, kön och medborgarskap utfärdas genom förordning av statsrådet. På motsvarande sätt som i fråga om 22 punkten är det nödvändigt att genom förordning utfärda närmare bestämmelser åtminstone om det detaljerade datainnehållet i uppgiften och om registreringen av uppgifterna. 

17 §. Andra uppgifter som registreras i systemet. Paragrafens 1 mom. 1 punkt ska ändras så att i befolkningsdatasystemet som uppgifter om personer som är föremål för registrering utöver utländskt personnummer också ska kunna registreras en annan allmän identifieringskod för en person. En sådan annan allmän identifikationskod kunde till exempel utgöras av personens eIDAS-beteckning. Samtidigt föreslås det att terminologin i 1 mom. 1 punkten ändras så att begreppet utländskt personnummer ändras till ett nationellt identifikationsnummer i en annan stat. Bestämmelsens terminologi motsvarar på så sätt det begrepp som används i den föreslagna 9 b § och i den allmänna dataskyddsförordningen, men den påverkar inte tillämpningen av bestämmelsen. 

Det föreslås att till paragrafens 1 mom. fogas en ny 5 punkt, enligt vilken i befolkningsdatasystemet ska kunna registreras en utländsk medborgares resedokuments nummer, utfärdande stat och giltighetstid. Vid distansregistrering ska det vara möjligt att läsa av uppgifterna direkt från den tekniska delen av det resedokument som används för registreringen. Uppgifter ska också kunna föras in i samband med uträttande av andra ärenden. Uppgifterna behövs framför allt för specificering av utländska medborgare och för att förhindra att samma persons uppgifter förs in i befolkningsdatasystemet upprepade gånger. Uppgifterna om resedokumentets nummer, utfärdande stat och giltighetstid utlämnas ur befolkningsdatasystemet endast i mycket begränsad utsträckning, såsom till polisen exempelvis för utredande av brott.  

18 §.Tillförlitligheten hos uppgifterna i systemet. Det föreslås att hänvisningen i paragrafens första mening ändras på grund av de föreslagna ändringarna i 13 §. Enligt förslaget fogas till förteckningen i 13 § 1 mom. nya 22 och 23 punkter, varvid förteckningens nuvarande 22 punkt blir 24 punkt. Hänvisningen i bestämmelsen ändras på motsvarande sätt. Den uppgift som beskriver sättet för identifiering eller specificering av personen som avses i den nya 22 punkten och den uppgift som beskriver källan för uppgifterna om personens namn, födelsetid, kön och medborgarskap som avses i den nya 23 punkten i 13 § 1 mom. är således i princip offentligt tillförlitliga uppgifter. Av personen lämnad uppgift om postadress och andra kontaktuppgifter samt yrke lämnas däremot på samma sätt som för närvarande utanför den offentliga tillförlitligheten. Den föreslagna ändringen i 18 § är således till denna del av teknisk karaktär. 

Utanför den offentliga tillförlitlighet som avses i paragrafen lämnas dessutom av den registrerade i samband med ett förfarande för distansregistrering meddelade uppgifter om födelseort och födelsestat. Förslaget motsvarar den utgångspunkt som beskrivs i förarbetena till paragrafen, enligt vilken status av offentlig tillförlitlighet i princip endast beviljas för sådana personuppgifter vars tillförlitlighet särskilt fastställts av en myndighet i samband med registeranteckningen, eller för uppgifter vars tillförlitlighet kan anses följa av ett beslut eller ett avgörande som en myndighet fattat vid behandlingen av ett domstols- eller förvaltningsärende (RP 89/2008 rd, s. 88). Om uppgifterna om födelseort och födelsestat endast baserar sig på personen egen anmälan, har de således i princip inte status av offentlig tillförlitlighet. I praktiken avses med detta att nämnda uppgifter får användas vid beslutsfattande som gäller en person bara om han eller hon i samband med beslutsfattandet får en uttrycklig redogörelse för innehållet i uppgifterna och om hur de har använts. I tillståndet att lämna ut nämnda uppgifter ska också alltid klargöras att det är fråga om uppgifter som personen själv lämnat. 

20 §.Bevarande och utplåning av uppgifter. I den finska språkdräkten i 1 mom. 1 punkten föreslås en smärre språklig ändring. Ändringen påverkar inte tillämpningen av bestämmelsen. 

Det föreslås att till paragrafens 1 mom. fogas en ny 3 punkt om utplånande av uppgifter om ett resedokuments nummer, utfärdande stat och giltighetstid ur befolkningsdatasystemet. Uppgifterna om resedokumentets nummer, utfärdande stat och giltighetstid samlas i det inledande skedet in vid det förfarande för distansregistrering som avses i 9 a § och med hjälp av dem kan man försäkra sig om att personens uppgifter inte registreras flera gånger i befolkningsdatasystemet. Enligt förslaget ska de nämnda uppgifterna utplånas ur befolkningsdatasystemet senast fem år efter det att resedokumentets giltighetstid löpt ut. I praktiken har resedokumentets uppgifter ingen betydelse efter detta, och det finns därför ingen orsak att bevara dem i systemet permanent. Det är fråga om ett undantag från den utgångspunkt som föreskrivs i 1 mom. enligt vilken uppgifter som registrerats i befolkningsdatasystemet ska bevaras permanent. Uppgifterna om resedokumentets nummer, utfärdande stat och giltighetstid utnyttjas när en utländsk medborgares uppgifter registreras för första gången vid jämförelse av dem med uppgifter som redan finns i befolkningsdatasystemet. Införandet av uppgifter på nytt med samma resedokument förhindras och uppgifterna kan utnyttjas också vid utredning av brott i samband med registreringen. Den gällande 3 punkten i paragrafens 1 mom. blir samtidigt 4 punkt och 4 punkten blir 5 punkt. Innehållet i punkterna ändras inte.  

21 §.Statens ämbetsverk på Ålands behörighet. I paragrafen görs ändringar av teknisk karaktär som beror på de ändringar som föreslås i denna proposition, det vill säga uppdelningen av den nuvarande 22 § i de separata 22 § om Migrationsverkets och vissa andra aktörers uppgifter och 22 a § om Skatteförvaltningens uppgifter. 

22 §.Migrationsverkets och vissa andra aktörers uppgifter. Det föreslås att den gällande bestämmelsen om behörigheten för övriga myndigheter som deltar i upprätthållandet av uppgifterna i befolkningsdatasystemet ska delas upp på två olika paragrafer. Det föreslås att möjligheten i den gällande 22 §, att Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata kan komma överens om att utländska medborgare kan framställa en begäran om registrering av uppgifter i befolkningsdatasystemet hos Folkpensionsanstalten, ska slopas. Eftersom i paragrafen då endast återstår bestämmelser om Skatteförvaltningens och Migrationsverkets och vissa andra aktörers uppgifter, föreslås det för att förtydliga lagstiftningen att bestämmelserna om Migrationsverkets och vissa andra aktörers respektive Skatteförvaltningens uppgifter ska avskiljas i egna paragrafer.  

Ordet "behörighet" i den nuvarande rubriken för 22 § ska enligt förslaget ändras till "uppgifter". Det är fråga om en teknisk ändring för att tydligare separera Migrationsverkets och vissa andra aktörers uppgifter från behörigheten hos befolkningsdatasystemets personuppgiftsansvariga. Ordet behörighet används även i fortsättningen i 21 § som reglerar behörigheten för Statens ämbetsverk på Åland. Ordet "saa" i den nuvarande finska versionen av 22 § ska av konsekvensskäl ändras till "voi" i den nya 22 §. Om förslaget verkställs påverkas inte tillämpningen av bestämmelsen. 

I paragrafen föreskrivs om uppgifterna för Migrationsverket, en finsk beskickning, en annan Schengenstats beskickning och en extern tjänsteleverantör som deltar i behandlingen av ärenden som gäller tillstånd eller registrering som berättigar till vistelse i Finland. Den rättsliga grunden för deras behandling av personuppgifter i de uppgifter som anges i denna paragraf är den rättsliga förpliktelse som åvilar den personuppgiftsansvarige som avses i artikel 6.1 c i dataskyddsförordningen att registrera och uppdatera utländska medborgares uppgifter i befolkningsdatasystemet i enlighet med 7, 9 och den föreslagna 9 a § i denna lag. I fråga om det detaljerade föreskrivandet om uppgifterna för de aktörer som specificeras i denna paragraf är det fråga om utnyttjande av det nationella handlingsutrymmet enligt artiklarna 6.2 och 6.3 i dataskyddsförordningen, som möjliggör närmare bestämmelser i nationell lagstiftning om de allmänna förutsättningarna för behandlingen, typer av behandling och förfaranden.  

Migrationsverket ska även i fortsättningen kunna registrera uppgifter om utländska medborgare första gången i befolkningsdatasystemet i de fall som avses i 9 § 1 mom. 1 punkten. Det föreslås i detta sammanhang att 9 § 1 mom. 1 punkten i BDS-lagen ska ändras så att en utländsk medborgares uppgifter ska kunna registreras i befolkningsdatasystemet redan i det skede när personen har ansökt om uppehållstillstånd, uppehållskort, registrering av uppehållsrätt eller annat tillstånd eller annan registrering som berättigar till vistelse i Finland hos Migrationsverket. Precis som för närvarande ska den utländska medborgarens uppgifter kunna registreras på basis av 9 § 1 mom. 1 punkten även när den utländska medborgaren har tagits till Finland inom flyktingkvoten eller på basis av 93 § i utlänningslagen och på basis av flyktingstatus eller den nämnda paragrafen beviljats uppehållstillstånd. 

Migrationsverket kan på basis av den första meningen i 1 mom. i befolkningsdatasystemet registrera sådana uppgifter om utländska medborgare som behövs för att dessa ska kunna tilldelas en personbeteckning samt övriga i 13 och 17 § avsedda behövliga och nödvändiga uppgifter när en utländsk medborgares uppgifter registreras i befolkningsdatasystemet första gången. Den föreslagna bestämmelsen motsvarar till sitt innehåll nuläget. Migrationsverket kan på basis av den andra meningen i det föreslagna 1 mom. ändra i befolkningsdatasystemet tidigare registrerade uppgifter om utländska medborgare samt foga till uppgifter som saknas. Migrationsverkets rätt att ändra eller tillfoga uppgifter ska begränsas till situationer där Migrationsverket behandlar ärenden enligt 1 § 1 mom. 1 punkten i lagen om behandling av personuppgifter i migrationsförvaltningen, det vill säga ärenden som gäller utlänningars inresa och utresa samt vistelse. Sådana ärenden är till exempel ansökningar om uppehållstillstånd, registreringar av unionsmedborgares uppehållsrätt eller ärenden som gäller uppehållstillstånd för personer som tagits till Finland inom flyktingkvoten. Genom förordning av statsrådet kan det utfärdas närmare bestämmelser om de uppgifter som Migrationsverket kan registrera, tillfoga eller ändra i befolkningsdatasystemet, men i 1 mom. föreslås en bestämmelse som avgränsar ändring av uppgifter som påverkar personbeteckningen, det vill säga ändring av uppgifter om födelsetid och kön utanför Migrationsverkets uppgifter. Myndigheten för digitalisering och befolkningsdata ska fortsättningsvis vara den som ensam ansvarar för rättelse av personbeteckningar och andra uppgifter som felaktigt förts in i befolkningsdatasystemet. Genom den föreslagna bestämmelsen som ger Migrationsverket möjlighet att ändra och tillfoga uppgifter i befolkningsdatasystemet ändras inte Migrationsverkets anmälningsskyldighet enligt 3 kap. när uppgifter tillfogas, ändras eller rättas. 

I 2 mom. ska föreskrivas om de förutsättningar under vilka Migrationsverket i befolkningsdatasystemet kan registrera uppgifter om en utländsk medborgare som sökt internationellt skydd. En utländsk medborgare som sökt internationellt skydd kan enligt 35 § beviljas asyl eller uppehållsrätt på basis av behov av alternativt skydd, även om personen inte har ett giltigt resedokument. Man kan således inte alltid försäkra sig om en utländsk medborgares identitet för befolkningsdatasystemet med hjälp av ett giltigt resedokument. Innan ansökan om internationellt skydd avgjorts försäkrar man sig inte heller om sökandens identitet med det förfarande som anges i 19 §. Av denna anledning föreslås till den första meningen i 2 mom. en bestämmelse som gör det möjligt att i sista hand försäkra sig om identiteten hos en utländsk medborgare som sökt internationellt skydd för befolkningsdatasystemet med hjälp av de signalement som upptagits och registrerats för ansökan om internationellt skydd. Med signalementen kan man utöver deras övriga ändamål koppla samman en person som sökt internationellt skydd med de personuppgifter som registrerats om personen och till den registeridentitet som de bildar. Fingeravtryck, fotografier och anda signalement tas på basis av 131 § i utlänningslagen av den som sökt internationellt skydd och uppgifterna införs i ett register som polisen för. Signalementen ska inte behandlas i befolkningsdatasystemet eller för registrering i befolkningsdatasystemet av uppgifter om en utländsk medborgare som sökt internationellt skydd. Upptagning och registrering av signalement för behandling av en ansökan om internationellt skydd ska endast vara en sistahandsmetod för kontroll av identiteten i syfte att registrera uppgifterna om en utländsk medborgare som sökt internationellt skydd i befolkningsdatasystemet. 

I 2 mom. andra meningen i paragrafen föreslås det att registrering i befolkningsdatasystemet av uppgifter om en utländsk medborgare som sökt internationellt skydd ska begränsas till situationer där Migrationsverket prövar personens ansökan om internationellt skydd i sak. Uppgifterna om den som sökt internationellt skydd ska registreras i befolkningsdatasystemet först när det säkerställts att ansökan inte på basis av 101 § i utlänningslagen förkastas på grund av att den är uppenbart ogrundad eller att den inte avvisas utan prövning på basis av 103 § i utlänningslagen. Migrationsverket fattar i samband med behandlingen av en ansökan om internationellt skydd ett avgörande om överföring av ärendet till prövning i sak, varefter den sökandes uppgifter kan registreras i befolkningsdatasystemet. Genom bestämmelsen strävar man efter att minska registreringen av uppgifter vars tillförlitlighet inte säkerställts i situationer där ansökan om internationellt skydd leder till ett negativt slutresultat. I dessa fall är det för såväl Migrationsverkets verksamhet som befolkningsdatasystemet oändamålsenligt att sådana personers uppgifter registreras i befolkningsdatasystemet.  

I tredje meningen i 2 mom. föreslås det en bestämmelse med en avvikelse från 9 § 3 mom. vad gäller säkerställande av identiteten hos en utländsk medborgare som sökt internationellt skydd i sådana situationer där Migrationsverket beslutar om registrering av uppgifterna i befolkningsdatasystemet. På det sätt som beskrivits ovan kan den som sökt internationellt skydd inte alltid visa upp ett giltigt resedokument för myndigheterna. Eftersom man innan ansökan om internationellt skydd avgjorts inte heller försäkrar sig om sökandens identitet med det förfarande som anges i 19 §, ska det föreskrivas särskilt om förutsättningarna för säkerställande av den sökandes identitet för registrering av uppgifterna i befolkningsdatasystemet. Inom asylprocessen försäkrar man sig om identiteten hos en utländsk medborgare som sökt internationellt skydd på många olika sätt, av vilka ovannämnda upptagning och registrering av signalement är ett. Fingeravtryck registreras också i den EU-omfattande biometriska databasen Eurodac, där de i enlighet med Europaparlamentets och rådets förordning (EU) nr 603/2013 också jämförs med övriga fingeravtryck i databasen. Migrationsverket utreder identiteten hos en person som sökt internationellt skydd som ett led i sin beslutsprocess i enlighet med 97 § i utlänningslagen. Migrationsverket kan föra muntliga samtal med den sökande, utreda äktheten hos de handlingar som visas upp för påvisande av identiteten, kontrollera olika register och handlingar samt utnyttja landinformation vid utredningen av identiteten hos en person som söker internationellt skydd och bedömningen av personuppgifternas tillförlitlighet. 

På basis av utredningen av identiteten i samband med ansökan om internationellt skydd kan Migrationsverket på ett tillräckligt sätt försäkra sig om den sökandes identitet för befolkningsdatasystemet och i befolkningsdatasystemet registrera personuppgifterna hos den som sökt internationellt skydd. Om den ändring som föreslås i 13 § i BDS-lagen genomförs kunde Migrationsverket i befolkningsdatasystemet registrera uppgift om källan för uppgifterna om namn, födelsetid, kön och medborgarskap i fråga om den som sökt internationellt skydd, som ger dem som utnyttjar befolkningsdatasystemets uppgifter information om huruvida dessa uppgifter grundar sig på ett resedokument eller någon annan officiell handling eller någon annan utredning. Den bestämmelse som föreslås gör det också möjligt att i befolkningsdatasystemet ändra och tillfoga uppgifter om den som sökt internationellt skydd på basis av motsvarande kontroll av identiteten och bedömning av uppgifternas tillförlitlighet som vid registreringen av uppgifterna.  

När en person ansöker om uppehållstillstånd från utlandet, tar en finsk beskickning emot ansökan om uppehållstillstånd i enlighet med 69 § i utlänningslagen. En finsk beskickning kan redan för närvarande för registrering i befolkningsdatasystemet ta emot personuppgifter och handlingar som en utländsk medborgare visar upp i situationer där Migrationsverket registrerar personens uppgifter i befolkningsdatasystemet. Det föreslås att till paragrafens 3 mom. ska fogas en uppgift för finska beskickningar att ta emot utländska medborgares uppgifter även i situationer där Migrationsverket kan ändra eller tillfoga en utländsk medborgares uppgifter i befolkningsdatasystemet. Den utländska medborgarens uppgifter har kunnat registreras i befolkningsdatasystemet första gången genom ett förfarande för distansregistrering enligt 9 a §. När personen efter detta ansöker om uppehållstillstånd och personens identitet kontrolleras vid en finsk beskickning, kan Migrationsverket på basis av detta ändra uppgiften om sättet för identifiering eller specificering av den utländska medborgaren i befolkningsdatasystemet samt ändra andra personuppgifter som registrerats genom förfarandet för distansregistrering och tillfoga saknade uppgifter i befolkningsdatasystemet. Den finska beskickningen ska för registrering, ändring och tillfogande av uppgifter i befolkningsdatasystemet försäkra sig om identiteten hos den utländska medborgaren med hjälp av ett giltigt resedokument eller, om detta saknas, i enlighet med det förfarande som föreskrivs i 19 § samt utan dröjsmål sända personuppgifterna och handlingarna till Migrationsverket. Den finska beskickningen registrerar, ändrar eller tillfogar inte uppgifter om utlänningen i befolkningsdatasystemet. 

Det föreslås att till 4 mom. ska fogas en bestämmelse som gör det möjligt för en annan Schengenstats beskickning eller en extern tjänsteleverantör att i de uppgifter som specificeras i 3 mom. agera i stället för en finsk beskickning. Med Schengenstat avses en stat enligt 3 § 1 mom. 19 punkten i utlänningslagen. I enlighet med 69 b § i utlänningslagen kan utrikesministeriet avtala om att överföra i 69 c § i utlänningslagen specificerade uppgifter som hör till en finsk beskickning som gäller uppehållstillstånd till en annan Schengenstats beskickning eller till en extern tjänsteleverantör. Till en annan Schengenstats beskickning eller en extern tjänsteleverantör får enligt 69 c § i utlänningslagen av uppgifter som gäller uppehållstillstånd ges mottagande av ansökningar om uppehållstillstånd och uppgifter, kontroll av sökandes identitet samt tagande och registrering av biometriska kännetecken. Den externa tjänsteleverantören kan enligt detaljmotiveringen till 69 c § i utlänningslagen kontrollera identiteten hos en person som ansöker om uppehållstillstånd också utifrån andra tillförlitliga handlingar än ett giltigt resedokument. I praktiken kontrollerar den externa tjänsteleverantören på det sätt som avtalats med utrikesministeriet identiteten hos den som ansöker om uppehållstillstånd endast utifrån ett resedokument som Finland godkänt. Med ett resedokument som Finland godkänt avses ett sådant av Finland erkänt resedokument som det hänvisas till i 13 och 14 § i utlänningslagen, som ingår i förteckningen över resehandlingar enligt Europeiska unionens beslut om resehandlingar. Enligt 69 c § 2 mom. i utlänningslagen hänvisas sökanden till den finska beskickningen, om det uppstår misstankar om tillförlitligheten hos den handling som styrker sökandens identitet eller trovärdigheten hos någon annan uppvisad handling. 

Enligt momentets andra mening blir det möjligt för en annan Schengenstas beskickning eller en extern tjänsteleverantör att när den sköter uppgifter som gäller uppehållstillstånd i stället för en finsk beskickning ta emot personuppgifter och handlingar som en utlänning visar upp för registrering i befolkningsdatasystemet. Rätten att ta emot uppgifter och handlingar begränsas endast till situationer där en utländsk medborgare visar upp ett giltigt resedokument för en annan Schengenstats beskickning eller en extern tjänsteleverantör. Den andra Schengenstatens beskickning eller den externa tjänsteleverantören får inte själv registrera, ändra eller tillfoga uppgifter om den utländska medborgaren i befolkningsdatasystemet. I den tredje meningen i momentet ska av tydlighetsskäl föreskrivas att på en annan Schengenstats beskickning och en extern tjänsteleverantör ska tillämpas bestämmelserna om villkor för utläggning av verksamhet i 69 e § och övervakning av verksamhet som lagts ut i 69 f § i utlänningslagen.  

Med undantag för den första meningen i 5 mom. motsvarar regleringen i 5 mom. gällande bestämmelser. Det föreslås att den första meningen kompletteras jämfört med gällande bestämmelse så att man vid skötseln av de uppgifter som avses i 1–4 mom. också ska iaktta vad som föreskrivs om kontroll av tillförlitligheten hos de handlingar som visas upp. Samtidigt föreslås det att bestämmelsen i den sista meningen i gällande 22 § 3 mom., enligt vilken den myndighet som har registrerat uppgifterna svarar för att de uppgifter som den har registrerat i befolkningsdatasystemet är tillförlitliga och korrekta, ska slopas. Genom kompletteringen av bestämmelsen och genom att slopa bestämmelsen i den sista meningen i gällande 22 § 3 mom. försöker man förtydliga den gällande regleringen och tydligt avskilja Migrationsverkets och vissa andra aktörers uppgifter från det ansvar som hör till Myndigheten för digitalisering och befolkningsdata och Statens ämbetsverk på Åland i egenskap av personuppgiftsansvariga. Befolkningsdatasystemets personuppgiftsansvariga ansvarar för att de registrerades rättigheter enligt kapitel III i dataskyddsförordningen görs gällande på det sätt som i 4 § i BDS-lagen konstateras. De personuppgiftsansvariga ansvarar inför de registrerade också för att uppgifterna är korrekta och för rättande av felaktiga uppgifter. Migrationsverket ansvarar för att de uppgifter som anmäls till de personuppgiftsansvariga är tillförlitliga och hålls aktuella.  

Den gällande 22 § innehåller särskilda bemyndiganden att utfärda förordning om de uppgifter som mottagaren av begäran ska fullgöra, de förfaranden som ska iakttas vid skötseln av uppgiften samt de uppgifter som ska registreras på basis av paragrafen. Det föreslås att nuvarande bemyndiganden att utfärda förordning i 22 § slås samman till ett särskilt 6 mom. i den paragrafen som reglerar Migrationsverkets och vissa andra aktörers uppgifter. Samtidigt föreslås det att bemyndigandet att utfärda förordning om de uppgifter som ska registreras ändras från en förpliktande till en möjliggörande bestämmelse samt genom att bemyndigandet att utfärda förordning om de uppgifter som mottagaren av begäran ska fullgöra inkluderas som en del av bemyndigandet att utfärda förordning om de förfaranden som ska iakttas vid skötseln av uppgiften. 

22 a §.Skatteförvaltningens uppgifter. I denna paragraf föreslås det bestämmelser om Skatteförvaltningens uppgifter att upprätthålla uppgifter om utländska medborgare i befolkningsdatasystemet. Den rättsliga grunden för Skatteförvaltningens behandling av personuppgifter i de uppgifter som anges i denna paragraf är den rättsliga förpliktelse som åvilar den personuppgiftsansvarige som avses i artikel 6.1 c i dataskyddsförordningen att registrera och uppdatera utländska medborgares uppgifter i befolkningsdatasystemet i enlighet med 7, 9 och den föreslagna 9 a § i denna lag. I fråga om det detaljerade föreskrivandet om Skatteförvaltningens uppgifter är det fråga om utnyttjande av det nationella handlingsutrymmet enligt artiklarna 6.2 och 6.3 i dataskyddsförordningen, som möjliggör närmare bestämmelser i nationell lagstiftning om de allmänna förutsättningarna för behandlingen, typer av behandling och förfaranden. Det föreslås att den nuvarande bestämmelsen om behörigheten för övriga myndigheter som deltar i upprätthållandet av uppgifterna i befolkningsdatasystemet av de orsaker som specificeras ovan i 22 § ska delas upp på två olika paragrafer.  

Ordet "behörighet" i den nuvarande rubriken för 22 § ska enligt förslaget ändras till "uppgifter" i rubriken för såväl 22 som 22 a §. Det är fråga om en teknisk ändring för att tydligare separera Skatteförvaltningens uppgifter från behörigheten hos befolkningsdatasystemets personuppgiftsansvariga. Ordet behörighet används även i fortsättningen i 21 § som reglerar behörigheten för Statens ämbetsverk på Åland. Ordet "saa" i den nuvarande finska versionen av 22 § ska av konsekvensskäl ändras till "voi" i 22 a §. Om förslaget verkställs påverkas inte tillämpningen av bestämmelsen. 

En utländsk medborgare ska enligt den första meningen i det föreslagna 1 mom. på samma sätt som nu även i fortsättningen kunna framställa en begäran om registrering av sina uppgifter i befolkningsdatasystemet hos Skatteförvaltningen i de fall som avses i 9 § 1 mom. Skatteförvaltningen ska på basis av den andra meningen i 1 mom. på basis av begäran registrera uppgifterna i befolkningsdatasystemet i situationer där den utländska medborgaren uträttar sina ärenden vid Skatteförvaltningen i de i 2 § i lagen om Skatteförvaltningen (503/2010) specificerade ärenden som gäller verkställande av beskattningen, utövande av skattekontroll samt uppbörd, indrivning och redovisning av skatter och avgifter. Avgränsningen av Skatteförvaltningens uppgifter till skötseln av Skatteförvaltningens beskattningsuppgifter är ny i bestämmelsen, men motsvarar nuvarande registreringspraxis. En utländsk medborgare kan alltså inte få sina uppgifter registrerade i befolkningsdatasystemet vid Skatteförvaltningen utan att det finns ett behov att sköta beskattningsärenden. Skatteförvaltningen kan på basis av den föreslagna andra meningen i 1 mom. i befolkningsdatasystemet registrera sådana uppgifter om utländska medborgare som behövs för att dessa ska kunna tilldelas en personbeteckning samt övriga i 13 och 17 § avsedda behövliga och nödvändiga uppgifter när den utländska medborgarens uppgifter registreras i befolkningsdatasystemet första gången. Den föreslagna bestämmelsen motsvarar till sitt innehåll nuläget. 

Skatteförvaltningen kan på basis av den tredje meningen i det föreslagna 1 mom. ändra i befolkningsdatasystemet tidigare registrerade uppgifter om utländska medborgare samt foga till uppgifter som saknas. Skatteförvaltningens rätt att ändra eller tillfoga uppgifter ska på samma sätt som för registrering av uppgifter begränsas till situationer där en utländsk medborgare uträttar sina ärenden vid Skatteförvaltningen i sådana beskattningsärenden enligt 2 § i lagen om Skatteförvaltningen som specificeras ovan. Genom förordning av statsrådet kan det utfärdas närmare bestämmelser om de uppgifter som Skatteförvaltningen kan registrera, tillfoga eller ändra i befolkningsdatasystemet, men i 1 mom. föreslås en bestämmelse som avgränsar ändring av uppgifter som påverkar personbeteckningen, det vill säga uppgifter om födelsetid och kön, utanför Skatteförvaltningens uppgifter. Myndigheten för digitalisering och befolkningsdata ska fortsättningsvis vara den som ensam ansvarar för rättelse av personbeteckningar och andra uppgifter som felaktigt förts in i befolkningsdatasystemet.  

Med undantag för den första meningen i 2 mom. motsvarar regleringen i 2 mom. nuvarande bestämmelser. Det föreslås att den första meningen kompletteras jämfört med gällande bestämmelse så att man vid skötseln av de uppgifter som avses i 1 mom. också ska iaktta vad som föreskrivs om kontroll av tillförlitligheten hos de handlingar som visas upp. Samtidigt föreslås det att bestämmelsen i den sista meningen i gällande 22 § 3 mom., enligt vilken den myndighet som har registrerat uppgifterna svarar för tt de uppgifter som den har registrerat i befolkningsdatasystemet är tillförlitliga och korrekta, ska slopas. Genom kompletteringen av bestämmelsen och genom att slopa bestämmelsen i den sista meningen i gällande 22 § 3 mom. försöker man förtydliga den gällande regleringen och tydligt avskilja det ansvar som hör till Skatteförvaltningens uppgifter från det ansvar som hör till Myndigheten för digitalisering och befolkningsdata och Statens ämbetsverk på Åland i egenskap av personuppgiftsansvariga. Befolkningsdatasystemets personuppgiftsansvariga ansvarar för att de registrerades rättigheter enligt kapitel III i dataskyddsförordningen görs gällande på det sätt som i 4 § i BDS-lagen konstateras. De personuppgiftsansvariga ansvarar inför de registrerade också för att uppgifterna är korrekta och för rättande av felaktiga uppgifter. Skatteförvaltningen ansvarar för att de uppgifter som anmäls till den personuppgiftsansvarige är tillförlitliga och hålls aktuella.  

Nuvarande 22 § innehåller särskilda bemyndiganden att utfärda förordning om de uppgifter som mottagaren av begäran ska fullgöra, de förfaranden som ska iakttas vid skötseln av uppgiften samt de uppgifter som ska registreras på basis av paragrafen. Det föreslås att nuvarande bemyndiganden att utfärda förordning i 22 § slås samman till ett särskilt 3 mom. i den paragraf som reglerar Skatteförvaltningens uppgifter. Samtidigt föreslås det att bemyndigandet att utfärda förordning om de uppgifter som ska registreras ändras från en förpliktande till en möjliggörande bestämmelse samt genom att bemyndigandet att utfärda förordning om de uppgifter som mottagaren av begäran ska fullgöra inkluderas som en del av bemyndigandet att utfärda förordning om de förfaranden som ska iakttas vid skötseln av uppgiften. 

31 a §.Utlämnande av uppgifter till elföretag. I paragrafen föreskrivs om de uppgifter som lämnas ut ur befolkningsdatasystemet till distributionsnätsinnehavare och detaljförsäljare av el som avses i elmarknadslagen (588/2013). Det föreslås att identifikationskoden ska fogas till förteckningen över de uppgifter som får lämnas ut. 

34 a §. Utlämnande av uppgifter som grundar sig på distansregistrering. Paragrafen är ny och i den ska föreskrivas om utlämnande av uppgifter som grundar sig på förfarandet för distansregistrering ur befolkningsdatasystemet. Paragrafen ska tillämpas utöver vad som i övrigt föreskrivs i 4 kap. om offentlighet för uppgifterna i befolkningsdatasystemet och utlämnande av uppgifter. Genom de specialförutsättningar för utlämnande av uppgifter som ingår i paragrafen försöker man säkerställa en ändamålsenlig behandling i samhället av de personuppgifter som registrerats i befolkningsdatasystemet genom förfarandet för distansregistrering. Bakgrunden till att bestämmelsen behövs är att den identifiering som sker vid distansregistrering nödvändigtvis inte når upp till samma tillförlitlighetsnivå som identifieringen av en person personligen. På grund av den större osäkerheten i anslutning till identifieringen ska distansregistrerade personer vid behov kunna särskiljas från de personer vilkas registrering i befolkningsdatasystemet innefattat en identifiering av personen personligen. Betydelsen av de olika identifieringssätten är beroende av uppgifternas användningsändamål och i sista hand ska den som använder uppgifterna därför dock själv kunna bedöma den. Om det i samband med uträttandet av ett ärende inte finns någon uppgift att tillgå om sättet för identifieringen eller specificeringen, är det omöjligt att på annat sätt få kännedom om personbeteckningens tillförlitlighetsnivå. Ett exempel på detta är ett bankbesök, där det resedokument som använts som grund för registreringen och personbeteckningen visas upp. När ett kundförhållande inrättas är det viktigt att med hjälp av en förfrågan till befolkningsdatasystemet kontrollera att personen i fråga har identifierats genom förfarandet för distansregistrering. 

Enligt förslaget ska uppgifter om en person som identifierats genom förfarandet för distansregistrering få lämnas ut ur befolkningsdatasystemet endast tillsammans med i 13 § 1 mom. 22 punkten i lagen avsedda uppgift som beskriver sättet för identifiering eller specificering. Ett villkor för utlämnande av uppgifter är dessutom att den som tar emot uppgifterna kan särskilja mellan de uppgifter som grundar sig på distansregistrering och uppgifterna om personer som identifierats på annat sätt. I praktiken ska den som tar emot uppgifterna planera informationssystemen, informationsresursernas datastrukturer och den informationsbehandling som hänför sig till dem så att särskiljandet mellan de uppgifter som krävs kan genomföras utan problem. På så sätt säkerställs uppgifternas integritet och minskas risken för missbruk i samband med förfarandet för distansregistrering. En sammanblandning av befolkningsdatasystemets uppgifter om personer som identifierats på olika sätt kunde med tiden försvaga tilltron till uppgifterna i befolkningsdatasystemet, som i regel anses vara tillförlitliga.  

Uppgifter som grundar sig på distansregistrering behöver inte nödvändigtvis avskiljas i separata informationssystem eller delar av sådana, utan det räcker att i informationssystemen i samband med uppgifterna införs en anteckning om distansregistrering för avskiljande av uppgifterna. I samband med uträttande av ärenden eller behandling av personens uppgifter kunde uppgifterna kontrolleras i befolkningsdatasystemet. Genom villkoren för dataanvändningstillstånden för Myndigheten för digitalisering och befolkningsdata strävar man efter att säkerställa att aktörer som tar emot distansregistrerade personers personbeteckningar också i sina egna utlämnanden av uppgifter beaktar att uppgifterna om en person som identifierats genom förfarandet för distansregistrering kan utlämnas endast tillsammans med i 13 § 1 mom. 22 punkten avsedda uppgift som beskriver sättet för identifiering eller specificering. Myndigheten för digitalisering och befolkningsdata ska vid behov i samband med dataanvändningstillståndsförfarandet be om utredning om hur mottagaren till uppgifterna uppfyller de förutsättningar som föreskrivs i paragrafen. 

Förfarandet för distansregistrering fungerar i de flesta fall endast som första registrering på basis av vilken en person kan börja uträtta olika ärenden i Finland. I allmänhet utgår man från att personen i samband med ankomsten till Finland personligen besöker myndigheten för identifiering, på basis av vilket sättet för identifiering eller specificering i befolkningsdatasystemet ändras så att personen i stället för genom distansregistrering är personligen identifierad. Den föreslagna 34 a § ska inte längre tillämpas efter det, utan personens uppgifter kan efter den personliga identifieringen utlämnas ur befolkningsdatasystemet utan särskilda begränsningar. Särskilda bestämmelser om ändring av uppgiften om sättet för identifiering eller specificering finns i 9 d §. Enligt artikel 5.1 d i den allmänna dataskyddsförordningen ska personuppgifter vara riktiga och om nödvändigt uppdaterade. Det är därför viktigt att den som utnyttjar uppgifterna ser till att felaktiga, ofullständiga eller föråldrade personuppgifter inte behandlas. Genom att uppgiften som beskriver sättet för identifiering eller specificering av en person ändras från distansregistrerad till personligen identifierad kan ha betydande följder för att personen ska kunna göra sina rättigheter gällande och fullgöra sina skyldigheter.  

Till övriga delar tillämpas på utlämnande av uppgifter som grundar sig på förfarandet för distansregistrering ur befolkningsdatasystemet samma bestämmelser som på utlämnande av andra uppgifter ur systemet. Om utlämnande av uppgifter ur befolkningsdatasystemet ansöks skriftligen. Myndigheten för digitalisering och befolkningsdata utfärdar ett beslut om utlämnande av uppgifter, vars villkor den som tar emot uppgifterna ska förbinda sig till. I beslutet om utlämnande av uppgifter antecknas uppgifternas användningsändamål och andra centrala villkor för utlämnandet av uppgifterna, såsom ansvaret i samband med utlämnandet, användarens rättigheter och skyldigheter, förfarandena och sätten för att lämna ut uppgifter, villkor gällande dataskydd och datasäkerhet samt prissättning. Dessutom hänvisas i tillståndet till den gällande dataskyddslagstiftningen och utöver ovannämnda centrala villkor kan till uppgiftstillståndet också fogas andra behövliga uppgifter eller villkor. Genom sin praxis för utlämnande av uppgifter strävar Myndigheten för digitalisering och befolkningsdata efter att komplettera och precisera tillämpningen och tolkningen av bestämmelserna om utlämnande av uppgifter. Genom praxis för utlämnande av uppgifter förtydligas utlämnandet av uppgifter i praktiken. 

40 §.Begränsningar som gäller utlämnande av uppgifter om fastställande av könstillhörighet. Det föreslås att paragrafens språkdräkt uppdateras så att ordet transsexuell slopas i punkten. Transsexuell är en föråldrad term som hänvisar till en transperson och som ger en felaktig uppfattning av att transpersoners könsidentitet skulle ha att göra med deras sexualitet. Ändringen är terminologisk och påverkar inte tillämpningen av bestämmelsen. 

43 §.Utlämnande av identifieringsuppgifter. Det föreslås att till paragrafen fogas ett nytt 2 mom., där det föreskrivs om utlämnande av identifikationskoder ur befolkningsdatasystemet. Om utlämnande av identifikationskoder ska enligt förslaget huvudsakligen föreskrivas på motsvarande sätt som det i 1 mom. föreskrivs om utlämnande av personbeteckningar. Förutsättningen för utlämnande ska vara att mottagaren enligt dataskyddslagen eller dataskyddslagen avseende brottmål har rätt att behandla beteckningarna och koderna. Om förutsättningarna för behandling av identifikationskoder föreskrivs i nämnda lagar. Paragrafens gällande 2 mom. blir samtidigt 3 mom. och paragrafens 3 mom. blir 4 mom. Innehållet i momenten ändras inte. 

53 §.Användarregister. I paragrafen föreskrivs om skyldigheten för Myndigheten för digitalisering och befolkningsdata att föra ett användarregister över behandlingen av uppgifter i befolkningsdatasystemet. Enligt 1 mom. 1 punkten i paragrafen kan i användarregistret föras in användarens fullständiga namn och personbeteckning, personnummer eller födelsedatum. Det föreslås att punkten ändras så att i användarregistret också kan föras in identifikationskoden. Dessutom har punktens ordalydelse förtydligats för att betona att de uppgifter som enligt förteckningen kan föras in är alternativa. 

I den svenska språkdräkten för 1 mom. 1 punkten föreslås dessutom en smärre språklig ändring. 

63 §. Tekniska identifieringskoder och elektroniska kommunikationskoder samt skapande av dessa. I paragrafen föreskrivs om elektroniska kommunikationskoder och de tekniska identifikationskoder som behövs vid tilldelningen av dem. Det föreslås att i 2 mom. 2 punkten görs en ändring av teknisk karaktär på grund av den ändring som föreslås i 43 §. I bestämmelsen ska i fortsättningen hänvisas till den certifikatutfärdare som avses i 43 § 3 mom. 2 punkten. 

64 §.Ändring av elektroniska kommunikationskoder. I paragrafens 1 mom. görs en ändring av teknisk natur som beror på de föreslagna ändringar i 12 § om ändring av personbeteckningar som föreslås i föreliggande proposition. Dessutom föreslås en mindre språklig ändring i den finskspråkiga texten. Ändringarna påverkar inte tillämpningen av bestämmelsen.  

7.2  Dataskyddslagen

29 §.Behandling av personbeteckningar. I 1 mom. i den svenskspråkiga paragrafen föreslås en språklig ändring så att uttrycket "entydigt identifiera" i momentet ändras till "entydigt specificera". 

Det föreslås att paragrafens 2 mom. ska ändras så att dess avsikt att möjliggöra behandling av personbeteckningar för specificering av en registrerad framgår tydligare av lagen på samma sätt som i 1 mom. Momentet behöver preciseras för säkerställande av att bestämmelsens syfte är tydligt och motsvarar dess ursprungliga syfte. Den gällande paragrafens 2 mom. innehåller inte uttryckliga bestämmelser om beteckningens användningsändamål inom de branscher och de användningssituationer som nämns i momentet, utan användningen i specificeringssyfte framgår endast ur förarbetena till bestämmelsen. I förarbetena till den gällande lagen konstateras att behandling av personbeteckningen i tillämpningspraxis i de funktioner som räknas upp i 2 mom. i allmänhet betraktats som behövlig för att en person entydigt ska kunna specificeras. I dessa fall är en tillförlitlig specificering av personen ofta nödvändig redan utifrån den registrerades rättssäkerhet (RP 9/2018 rd, s. 116). 

Det föreslås att till paragrafen ska fogas ett nytt 5 mom. där det ska föreskrivas om en begränsning för behandling av personbeteckningen i samband med identifiering av en registrerad. I momentet förbjuds identifiering av en registrerad uteslutande med personbeteckningen eller en kombination av personbeteckningen och den registrerades namn. Avsikten är inte att genom bestämmelsen ändra på nuläget. Genom bestämmelsen preciseras och förtydligas personbeteckningens ursprungliga ändamål att fungera som metod för specificering av registrerade genom att begränsa behandlingen av personbeteckningar i samband med identifiering. 

Av förarbetena till den gällande 29 § i dataskyddslagen framgår att ändamålet med en personbeteckning uttryckligen är att specificera en person bland andra. I förarbetena konstateras att en personbeteckning är avsedd att särskilja en person från andra, men att det att en personbeteckning uppges eller visas upp inte nödvändigtvis garanterar att det är fråga om den person som personbeteckningen avser. Vidare konstateras i förarbetena att det grundläggande villkoret för behandling av en personbeteckning i samtliga fall som avses i 1 mom. är att det är viktigt att entydigt specificera den registrerade för utförande av den uppgift som anges i bestämmelsen. På grund av detta berättigar till exempel inte enbart det faktum att en lagstadgad uppgift skulle kunna utföras lättare eller snabbare med hjälp av personbeteckningen till behandling av personbeteckningen, utan behandlingen är tillåten endast när det är viktigt att entydigt specificera den registrerade för att utföra uppgiften (RP 9/2018 rd, s. 116). Vidare ger motiveringen till paragrafens 2 mom. i förarbetena uttryck för personbeteckningens ändamål för specificering av en person. 

Också i detaljmotiveringen till bestämmelserna om tilldelning av personbeteckning i BDS-lagen tar man upp att det ska beaktas att en person aldrig får identifieras uteslutande med hjälp av beteckningen, utan för identifiering bör alltid också andra uppgifter och iakttagelser om personen användas (RP 89/2008 rd, s. 76). 

Det har blivit ett problem när det gäller personbeteckningen att beteckningen utöver för sitt syfte, en entydig specificering av personen, dessutom i vissa situationer används för identifiering av en person antingen som sådan eller tillsammans med personens namn. Användningen av personbeteckningen på samma sätt som ett lösenord grundar sig på antagandet att förmågan att ange beteckningen visar att kunden är den rättmätiga innehavaren till beteckningen i fråga. I praktiken grundar det sig också i stor utsträckning på att människor i allmänhet kommer ihåg sin egen personbeteckning, vartill man allmänt är av uppfattningen att det endast är den rättmätiga innehavaren till personbeteckningen som känner till den. I själva verket kan dock flera personer känna till personbeteckningen, varför det är möjligt att med en annan persons personbeteckning utge sig för att vara den personen. Till exempel inom hälso- och sjukvårdstjänsterna och framför allt inom telefontjänster är det möjligt att få andra personers sekretessbelagda hälsouppgifter genom att använda personens personbeteckning. Med personbeteckningen kan man också identifiera sig i vissa webbtjänster. I den gällande 29 § i dataskyddslagen förbjuds inte användning av personbeteckningen på ovan beskrivna sätt, även om detta varit lagens syfte.  

Enligt den utredning som beställts av Myndigheten för digitalisering och befolkningsdata (Digi- ja väestötietovirasto – henkilötunnuksen käyttö tunnistamisessa – loppuraportti (Slutrapport från Myndigheten för digitalisering och befolkningsdata om användning av personbeteckningen vid identifiering) 18.6.2021 s. 12) har många organisationer svårt att skilja mellan specificering och identifiering. Med specificering av en person avses till exempel separering av en kund och hans eller hennes uppgifter från andra uppgifter i samma register. Personbeteckningen används ofta för specificering av personer till exempel i kundregister. Med identifiering avses till exempel en situation där en funktionär identifierar kunden genom att jämföra de identifieringsuppgifter som kunden ger med uppgifterna i registret. Identifiering och specificering har olika syfte, varför åtgärderna för behandling alltid ska noteras som åtgärder som skiljer sig från varandra.  

Finlands lagstiftning innehåller inte definitioner på specificering eller identifiering av en fysisk person eller verifiering eller kontroll av identiteten som omfattar all verksamhet. Däremot innehåller penningtvättslagen definitioner på identifiering av en kund och kontroll av identiteten och i lagen föreskrivs också om förfarandena gällande dessa. Enligt 1 kap. 4 § 1 mom. 6 punkten i penningtvättslagen avses med identifiering utredning av en kunds identitet på grundval av uppgifter som kunden tillhandahållit. Enligt 7 punkten avses med kontroll av identiteten säkerställande av en kunds identitet utifrån handlingar och uppgifter från en tillförlitlig och oberoende källa. I praktiken betyder detta till exempel pass eller identitetskort. I det föreslagna 5 mom. ska utgångspunkten för definitionen på identifiering vara densamma som i penningtvättslagen. 

I dataskyddslagen ska inte föreskrivas om hurudan identifieringspraxis den personuppgiftsansvarige ska använda eller om i vilka situationer identiteten utöver genom identifiering av en person ska kontrolleras till exempel med hjälp av ett identitetskort eller ett pass. Bestämmelserna i 29 § i dataskyddslagen gäller endast förutsättningarna för behandling av personbeteckningar. Vid identifiering av en kund stärker användningen av personbeteckningen som en identifieringsuppgift identifieringen i vissa situationer, men en säker och tillförlitlig identifiering av en fysisk person kan inte enbart grunda sig på personbeteckningen eller en kombination av personbeteckningen och namnet. Identifieringen är starkare, ju fler personuppgifter som används för ändamålet.  

Vid skötsel av ärenden över telefon kan i en identifieringssituation av den registrerade frågas till exempel om kundnummer, adress, personbeteckning och säkerhetsfrågor. I samband med uträttande av ärenden på plats kan av den registrerade i vissa situationer förutsättas en officiell handling som styrker identiteten. Andra typiska metoder för identifiering av en registrerad är bland annat i autentiseringslagen avsedd stark autentisering eller inmatning av ett lösenord i systemet. Stark autentisering är den hållbaraste och tryggaste lösningen vad gäller ersättande av användningen av personbeteckningen för identifiering i behandlingssituationer till vilka ansluter särskilt höga risker. De personuppgiftsansvariga har tillgång till tjänster som fås av banker och mobiloperatörer. Syftet med alla dessa förfaranden är att säkerställa att den fysiska person som uträttar sina ärenden är den som han eller hon utger sig för att vara.  

Den personuppgiftsansvarige får för identifiering av en registrerad fortsättningsvis använda personbeteckningen som en uppgift bland andra. Den personuppgiftsansvarige får dock inte bygga sin identifieringspraxis uteslutande på att fråga om personbeteckningen och namnet. Den personuppgiftsansvarige ska till exempel bygga upp identifieringen i samband med uträttande av ärenden över telefon så att av den som identifieras också frågas andra identifieringsuppgifter, såsom kundnummer eller andra för kundförhållandet typiska tilläggsuppgifter, som inte är lättillgängliga för alla. Till exempel uppgiften om hemkommun eller adress kan inte anses som tillräckliga tilläggsuppgifter vad gäller en säker och tillförlitlig identifiering av en person. Om tillfrågande av personbeteckningen anses som behövligt vid identifiering i samband med uträttande av ärenden på plats kunde en registrerad identifieras genom att utöver personbeteckningen till exempel tillfrågas om andra tilläggsuppgifter som ansluter till uträttandet av ärenden, såsom kundkort eller kundnummer. Den personuppgiftsansvarige ska dock bedöma lämpliga tilläggsuppgifter från fall till fall, med beaktande av riskerna i anslutning till behandlingssituationen. I en situation där en kund blivit föremål för ett dataintrång eller en identitetsstöld ger inte heller kundnumret ytterligare säkerhet vid identifiering, om det är sannolikt att en person utanför kundförhållandet på brottslig väg fått kännedom om det. God praxis kunde till exempel vara att kunden i samband med uträttande av ärenden över telefon utöver personbeteckningen tillfrågas om fler än en sak som har samband med kundens ärende inom tjänsten i fråga. Å andra sidan kan det i vissa fall med uträttande av ärenden över telefon vara fråga om enbart en tidsbokning för att få tillträde till en tjänst. Också i dessa situationer ska den personuppgiftsansvarige riskbaserat bedöma vilka uppgifter som förutsätts av den registrerade. Användning av personbeteckningen för identifiering av en person kan också grunda sig på en speciallag. 

När den personuppgiftsansvarige bygger sin identifieringspraxis ska det fästas särskild vikt vid om det är fråga om en så kallad första skedets identifiering till exempel för inledande av ett kundförhållande, där det beroende på ärendets natur kan finnas en högre risk för identitetsstölder än vid identifiering i samband med skötseln av ett befintligt kundförhållande eller där utnyttjandet av en annan persons identitet leder till särskild olägenhet eller skada, såsom ekonomiska förluster. Vid första skedets identifiering kan det ofta vara behövligt att identifiera personen genom att kontrollera identiteten till exempel från en handling som styrker identiteten eller genom att förutsätta stark autentisering. Den personuppgiftsansvarige ska också fästa vikt vid att det vid valet av identifieringspraxis och identifieringsmetoder ska beaktas det i EU:s allmänna dataskyddsförordning tillägnade riskbaserade tillvägagångssättet, som förutsätter att den personuppgiftsansvarige bedömer risknivån för behandlingen av personuppgifter, som särskilt påverkas av känsligheten för de personuppgifter som behandlas och av om de uppgifter som behandlas i samband med uträttandet av ärenden är sekretessbelagda. I behandlingssituationer med hög risk bör man i princip inte använda identifieringspraxis som grundar sig på att man frågar om personuppgifter. Å andra sidan kan den personuppgiftsansvarige också bli tvungen att bedöma, om det kan uppstå skada ifall man inte samtycker till en åtgärd som den registrerade begär med hjälp av en enkel identifiering som bygger på kontroll av personuppgifter. Användningen av metoden kunde således vara behövlig till exempel vid brådskande begäranden om passivering eller spärrning av en tjänst, och syftet med den föreslagna lagändringen är inte att begränsa den. Också i en sådan situation ska den personuppgiftsansvarige dock kunna bedöma vilka personuppgifter den anser vara tillräckliga. Förslaget begränsar inte heller sådana spärr- och passiveringstjänster, där personbeteckningen endast behandlas för specificering av den registrerade, och det inte är nödvändigt att identifiera användaren av tjänsten.  

Den föreslagna regleringen påverkar inte behandlingen av personbeteckningen till exempel i samband med tillhandahållande av tjänster för stark autentisering. Autentiseringslagen förutsätter att leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller betrodda tjänster ska kontrollera sökandens personbeteckning när de kontrollerar sökandens identitet. 

29 a §.Behandling av identifikationskoder. Paragrafen är ny och i den ska föreskrivas om behandlingen av den identifikationskod som avses i 11 a § i BDS-lagen. Identifikationskoden ges enligt nämnda paragraf till alla personer när deras uppgifter första gången registreras i befolkningsdatasystemet. Koden ska vara individuell och samma kod kan aldrig ges två personer. Identifikationskoden är avsedd som en kod motsvarande personbeteckningen som entydigt specificerar en person men som med avvikelse från personbeteckningen dock inte innehåller uppgift om innehavarens födelsetid eller kön eller några andra personuppgifter om sin innehavare. Identifikationskoden är dock i sig själv en sådan personuppgift och identifierare som avses i artikel 4.1 i dataskyddsförordningen. Eftersom identifikationsbeteckningen ska vara en kod som kan användas allmänt, är det skäl att föreskriva om behandlingen av den på det sätt som avses i artikel 87 i den allmänna dataskyddsförordningen. Enligt artikeln får medlemsstaterna närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen. Den föreslagna allmänna bestämmelsen om förutsättningarna för behandling av identifikationskoden minskar samtidigt behovet av specialbestämmelser om behandlingen av koden i speciallagstiftningen om specifika områden. 

Enligt förslaget ska det föreskrivas om behandlingen av identifikationskoden på ett annat sätt än vad som i 29 § i dataskyddslagen föreskrivs om behandlingen av personbeteckningen. Det är inte nödvändigt att i paragrafen definiera de verksamhetsområden i samband med vilka identifikationskoden får behandlas, utan i paragrafen ska föreskrivas om kodens användningsändamål och allmänt om behandlingssituationen. Enligt förslaget ska koden få behandlas, om behandlingen behövs för entydig specificering av den registrerade i ett informationssystem, för att utföra en i lag angiven uppgift eller för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsansvariges skyldigheter. Enligt 2 § 3 punkten i informationshanteringslagen avses med informationssystem ett helhetsarrangemang som består av databehandlingsutrustning, programvara och annan databehandling. Identifikationskoden ska kunna behandlas i de situationer där det behövs en entydig specificering och avskiljande av registrerade antingen i enskilda program och i informationsresurser som behandlas med hjälp av informationssystem eller vid utlämnande och kombination av uppgifter mellan olika informationssystem. Förslaget till bestämmelse ska av de grunder för behandling som ingår i de nuvarande bestämmelserna om förutsättningarna för behandling av personbeteckningar innehålla möjligheten att behandla personbeteckningar för att utföra en i lag angiven uppgift eller för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsansvariges skyldigheter, om behandlingen behövs för entydig specificering av den registrerade.  

I den föreslagna bestämmelsen förbjuds uttryckligen användning av identifikationskoden för identifiering av en registrerad. Identifieringssyftet och användningen för identifiering och problemen med att använda dem i fråga om personbeteckningen har beskrivits ovan i motiveringen till 29 §. Ett uttryckligt förbud mot användning för identifiering föreslås för att användningssätten för identifikationskoden ska styras i önskad riktning, det vill säga specificering av en person. Således får identifikationskoden inte behandlas för att identifiera en registrerad ens som en uppgift bland andra. Bestämmelsen utgör till exempel inget hinder för att fråga en fysisk person om hans eller hennes identifikationskod, om den behövs för att specificera en registrerad, men den registrerade som är kopplad till koden ska i detta fall identifieras med någon annan metod. Identifikationskoden kan således utöver namnet frågas till exempel vid skötsel av ärenden med ett företag över telefon, om kunden i fråga på så sätt entydigt kan specificeras jämfört med andra personer med samma namn i företagets kundregister. Det att identifikationskoden meddelas i ett sådant sammanhang bevisar dock på inget sätt att den person som uträttar ärendet är innehavaren till koden i fråga. Den föreslagna bestämmelsen avviker från den föreslagna bestämmelsen som begränsar behandlingen av personbeteckningar och som förbjuder identifiering av en registrerad uteslutande med personbeteckningen eller en kombination av personbeteckningen och den registrerades namn.  

Identifikationskoden ska tas i bruk i det bevis för kärnidentitet enligt 3 kap. i lagen om de tjänster för digital identitet som tillhandahålls av Myndigheten för digitalisering och befolkningsdata som ska ingå i e-tjänstverktyget för utlänningar och i e-legitimationen. Beviset för kärnidentitet ska fungera som ett tekniskt tillförlitligt sätt att binda innehavaren till den hemliga nyckeln till beviset till den kärnidentitet som förvaltas inom befolkningsdatasystemet. Identifikationskoden fungerar som en beteckning som specificerar personen på beviset för kärnidentitet. Identifikationskoden ska på basis av den föreslagna paragrafen kunna utnyttjas i beviset för kärnidentitet och ändamålen i enlighet med det, såsom vid förmedling av uppgifter om en offentlig nyckel till tredje parter. Av denna anledning kan i beviset inte användas personbeteckningen, om vars förutsättningar för behandling det föreskrivits på ett mer begränsande sätt.  

I praktiken ska som en mer betydande faktor för att förhindra icke önskade användningssätt anses det att identifikationskoden inte är lätt att komma ihåg samt den tydligare offentliga ställning som koden har. Identifikationskoden ska inte innehålla onödiga personuppgifter om sin innehavare, och man ska med hjälp av den inte i praktiken kunna ingå rättsliga åtaganden i en annan persons namn, varför koden ska kunna användas som en mer offentlig och öppen uppgift än personbeteckningen. Den föreslagna uttryckliga bestämmelsen om förbudet mot att identifiera den registrerade kompletterar de användningsbegränsningar som följer direkt av kodens egenskaper. I själva verket bedöms det att identifikationskoden används framför allt för ovannämnda användningsändamål för beviset för kärnidentitet samt, på lång sikt, i informationssystem vid kombination och utlämnande av personuppgifter som en kod som specificerar personen i fråga. Behandling av koden i förehavanden mellan människor kommer således sannolikt i vilket fall som helst att bli obetydlig. 

Paragrafen fungerar som den rättsliga grund för behandlingen av identifikationskoden som avses i artikel 6 i den allmänna dataskyddsförordningen, och om rätten att behandla identifikationskoden behöver således i princip inte föreskrivas särskilt i speciallagstiftningen. Genom paragrafen uppfylls samtidigt de krav på reglering av behandlingen av nationella identifikationsnummer som föreskrivs i artikel 87 i den allmänna dataskyddsförordningen.  

7.3  Lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten

12 §.Behandling av personbeteckningar. I 1 mom. i den svenskspråkiga paragrafen föreslås en språklig ändring så att uttrycket "entydigt identifiera" i momentet ändras till "entydigt specificera". 

Det föreslås att till paragrafen ska fogas ett nytt 3 mom. där det ska föreskrivas om en begränsning för behandling av personbeteckningen i samband med identifiering av en registrerad. I momentet förbjuds identifiering av en registrerad uteslutande med personbeteckningen eller en kombination av personbeteckningen och den registrerades namn. Bestämmelsen ska tillämpas vid behandling av personbeteckningar som i stället för till tillämpningsområdet för EU:s allmänna dataskyddsförordning och dataskyddslagen hör till tillämpningsområdet för dataskyddslagen avseende brottmål. Momentet motsvarar till sitt innehåll 29 § 5 mom. i dataskyddslagen, vars detaljmotivering presenteras ovan. 

Inte heller bestämmelserna i dataskyddslagen avseende brottmål påverkar de metoder som används för identifiering av en fysisk person eller kontroll eller utredande av identiteten, om vilka föreskrivs annanstans i lag. Till exempel i 2 kap. 1 § i polislagen föreskrivs om polisens behörighet för utredande av identitet. Bestämmelserna i 2 § 1 mom. i dataskyddslagen avseende brottmål möjliggör också avvikelser från lagen i speciallagstiftningen. I momentet föreskrivs att om det i någon annan lag finns bestämmelser som avviker från denna lag, ska de tillämpas i stället för den lagen. Till den del det är fråga om genomförandebestämmelser för direktiv (EU) 2016/680 är det dock inte möjligt att i speciallagstiftning avvika från den dataskyddsnivå som direktivet förutsätter. 

12 a §.Behandling av identifikationskoder. Paragrafen är ny och i den ska föreskrivas om behandlingen av den identifikationskod som avses i 11 a § i BDS-lagen. Paragrafen motsvarar till sitt innehåll den föreslagna 29 a § i dataskyddslagen, som beskrivits närmare ovan. 

7.4  Lagen om behandling av personuppgifter i migrationsförvaltningen

15 §.Radering av uppgifter. Det föreslås att till 1 mom. 1 punkten fogas en teknisk ändring på grund av övergången till en könsneutral personbeteckning. Eftersom uppgiften om kön inte längre från och med ingången av 2027 ska kunna läsas ut av personbeteckningen, ska den i migrationsförvaltningens personregister behandlas som en uppgift som är separat från personbeteckningen. Av denna anledning ska i bestämmelsen om tiden för radering av uppgifter också införas en bestämmelse om radering av uppgiften om kön. 

7.5  Lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten

16 §.Rätt att få uppgifter av andra myndigheter och uppgiftsskyldiga. I 1 mom. 2 punkten i paragrafen föreskrivs om de uppgifter som gäller en brottsmisstänkt, en dömd, en fånge, en häktad och en person som avtjänar samhällspåföljd som Brottspåföljdsmyndigheten trots sekretessbestämmelserna har rätt att få ur befolkningsdatasystemet och som behövs för skötseln av en uppgift som hör till Brottspåföljdsmyndigheten. I momentets 2 punkt räknar man upp att rätten att få uppgifter omfattar uppgifter om personens namn, personbeteckning, medborgarskap, hemkommun, adress, släktskap, medboende, död och intressebevakning samt om hans eller hennes minderåriga barn och vårdnad, boende och umgängesrätt i fråga om dem. Det föreslås att punkten ändras genom att till förteckningen fogas uppgiften om identifikationskod. 

7.6  Aktiebolagslagen

3 kap. Aktier 

15 §.Aktieägarförteckning. Enligt paragrafens 3 mom. ska det för de aktier som hör till värdeandelssystemet för en sådan tillfällig anteckning som avses i 5 kap. 6 a § i aktiebolagslagen uppges aktieägarens namn och adress, det antal aktier specificerade enligt aktieslag som ska antecknas i aktieägarförteckningen samt personbeteckning eller annan identifikationskod i enlighet med värdepapperscentralens föreskrifter. Det föreslås att momentet ändras genom att till det utöver personbeteckning eller annan identifikationskod i enlighet med värdepapperscentralens föreskrifter som en alternativ uppgift som ska uppges fogas i 11 a § i BDS-lagen avsedd identifikationskod. Styrelsen, som på basis av bestämmelsen svarar för att föra aktieägarförteckningen, ska kunna besluta om antecknande av den föreslagna nya koden i förteckningen utöver eller i stället för personbeteckningen. 

7.7  Lagen om andelslag

4 kap. Andelar, andelskapital, aktier och aktiekapital 

14 §.Medlems- och ägarförteckning. Enligt paragrafens 3 mom. ska det för de andelar och aktier som hör till värdeandelssystemet för en sådan tillfällig anteckning som avses i 5 kap. 7 a § uppges andelsägarens eller aktieägarens namn och adress, det antal aktier specificerade enligt andelsslag och aktieslag som ska antecknas i aktieägarförteckningen samt personbeteckning eller annan identifikationskod i enlighet med värdepapperscentralens föreskrifter. Det föreslås att momentet ändras genom att till det utöver personbeteckning eller annan identifikationskod i enlighet med värdepapperscentralens föreskrifter som en alternativ uppgift som ska uppges fogas i 11 a § i BDS-lagen avsedd identifikationskod. Styrelsen, som på basis av bestämmelsen svarar för att föra medlems- och ägarförteckningen, ska kunna besluta om antecknande av den föreslagna nya koden i förteckningen utöver eller i stället för personbeteckningen. Dessutom föreslås smärre språkliga ändringar i momentets svenska språkdräkt. 

7.8  Lagen om behandling av personuppgifter vid Gränsbevakningsväsendet

6 §.Behandling av grundläggande personuppgifter. I paragrafen föreskrivs om olika grundläggande personuppgifter som Gränsbevakningsväsendet får behandla. Enligt 2 punkten i paragrafen får Gränsbevakningsväsendet behandla personbeteckningar för de ändamål som anges i 7, 8, 10, 12, 13 och 15 § i lagen. Det föreslås att punkten ändras så att i Gränsbevakningsväsendet utöver personbeteckningar också ska få behandla identifikationskoder. 

7.9  Sjöräddningslagen

13 §.Uppgifter i sjöräddningsregistret. I paragrafens 2 mom. föreskrivs om de uppgifter om lämnandet och mottagandet av nödmeddelanden som kan föras in i sjöräddningsregistret. Enligt momentets 1 punkt kan i sjöräddningsregistret föras in namn, personbeteckning eller födelsetid, födelseort och födelseland, kön, medborgarskap eller nationalitet samt andra identifierings- och kontaktuppgifter för specificering av den person som lämnat ett nödmeddelande. Det föreslås att punkten ändras så att i sjöräddningsregistret också kan föras in identifikationskoden. Dessutom föreslås smärre språkliga ändringar i punktens svenska språkdräkt. 

I paragrafens 3 mom. föreskrivs om de uppgifter som kan föras in i sjöräddningsregistret med anledning av ett kritiskt läge. Enligt momentets 1 punkt kan i sjöräddningsregistret föras in namn, personbeteckning eller födelsetid, födelseort och födelseland, kön, medborgarskap eller nationalitet samt andra identifierings- och kontaktuppgifter för specificering av den person som är föremål för ett nödmeddelande eller har räddats ur ett kritiskt läge. Det föreslås att punkten ändras så att i sjöräddningsregistret också kan föras in identifikationskoden. Dessutom föreslås smärre språkliga ändringar i punktens svenska språkdräkt. 

7.10  Lagen om behandling av personuppgifter i polisens verksamhet

4 §.Behandling av grundläggande personuppgifter. I paragrafen föreskrivs om de grundläggande uppgifter som polisen får behandla för de ändamål som anges i 5, 7, 9 och 11 § i lagen. Enligt 3 punkten i paragrafen får polisen för dessa ändamål behandla personbeteckningar. Det föreslås att punkten ändras så att polisen också ska få behandla identifikationskoder. 

10 §.Behandling av personuppgifter i anknytning till kvalitetssäkring av DNA-prov. I paragrafen föreskrivs om behandling av personuppgifter i anknytning till kvalitetssäkring av DNA-prov. Enligt 1 mom. 2 punkten får polisen för kvalitetssäkring av DNA-prov som upptagits i polisens undersökningar behandla personbeteckningen för andra personer än brottsmisstänkta och okända gärningsmän i anslutning till brott. Det föreslås att punkten ändras så att polisen också ska få behandla identifikationskoder. 

7.11  Lagen om behandling av personuppgifter inom Tullen

6 §. I paragrafen föreskrivs om de personuppgifter som Tullen får behandla för de ändamål som anges i 7, 9 och11–13 § i lagen. Enligt 3 punkten i paragrafen får Tullen behandla personbeteckningar. Det föreslås att punkten ändras så att Tullen också ska få behandla identifikationskoder. 

Bestämmelser på lägre nivå än lag

Propositionen innehåller ett förslag till ett nytt bemyndigande att utfärda förordning, vartill flera av de förslag som ingår i den förutsätter att den gällande BDS-förordningen ändras. 

Slopandet av uppgiften om kön ur personbeteckningen förutsätter utöver att 11 § i BDS-lagen ändras också en ändring av 2 § 3 mom. i BDS-förordningen. Enligt det gällande momentet registreras för givande av det individuella numret personens könstillhörighet i befolkningsdatasystemet som antingen man eller kvinna. Det individuella numret fastställs som ett tresiffrigt tal, som är udda för män och jämnt för kvinnor. Bestämmelsen i förordningen bör i och med den ändring som föreslås till lagen ändras så att den motsvarar det faktum att personens kön inte längre framgår av personbeteckningen. I och med ändringen behöver man också i förordningen särskilt föreskriva om anteckning av uppgiften om kön i befolkningsdatasystemet. 

Det föreslås i 11 § att närmare bestämmelser om identifikationskodens struktur ska utfärdas genom förordning av statsrådet på motsvarande sätt som det nu föreskrivs om personbeteckningen. Bemyndigandet att utfärda förordning är nytt. 

I propositionen föreslås det att till 13 § 1 mom. i BDS-lagen fogas nya 22 och 23 punkter, enligt vilka i befolkningsdatasystemet som nya uppgiftsgrupper ska registreras uppgift som beskriver sättet för identifiering eller specificering av personen samt uppgift som beskriver källan för uppgifterna om namn, födelsetid, kön och medborgarskap som registreras på basis av identifieringen eller specificeringen av personen. Närmare bestämmelser om innehållet i de nya punkterna ska enligt paragrafens gällande 2 mom. kunna utfärdas genom förordning av statsrådet. Det är nödvändigt att genom förordning utfärda närmare bestämmelser om det detaljerade innehållet i och registreringssättet för uppgiftsfälten om källan för uppgifterna samt sättet för identifiering eller specificering i olika situationer. 

Den gällande 22 § i BDS-lagen innehåller särskilda bemyndiganden att utfärda förordning om de uppgifter som mottagaren av begäran ska fullgöra, de förfaranden som ska iakttas vid skötseln av uppgiften samt de uppgifter som ska registreras på basis av paragrafen. Det föreslås att de separata bemyndiganden att utfärda förordning som ingår i paragrafen ska sammanslås. Samtidigt föreslås det att bemyndigandet att utfärda förordning om de uppgifter som ska registreras ändras från en förpliktande till en möjliggörande bestämmelse samt genom att bemyndigandet att utfärda förordning om de uppgifter som mottagaren av begäran ska fullgöra inkluderas som en del av bemyndigandet att utfärda förordning om de förfaranden som ska iakttas vid skötseln av uppgiften. Eftersom det föreslås att bestämmelserna i den nuvarande 22 § ska avskiljas till en separat 22 § om Migrationsverkets och vissa andra aktörers uppgifter och en 22 a § om Skatteförvaltningens uppgifter, införs också i 22 a § motsvarande bemyndiganden att utfärda förordning som de som beskrivs ovan för 22 §. Det ska vara möjligt att genom förordning föreskriva om de uppgifter som ska registreras, ändras och läggas till enligt uppgift samt om de förfaranden som ska iakttas vid emottagande och registrering av utlänningars uppgifter i befolkningsdatasystemet. 

Ikraftträdande och övergångsbestämmelser

Det föreslås att lagarna huvudsakligen ska träda i kraft den 1 september 2023. Ikraftträdandet av lagarna förutsätter betydande ändringar i informationssystemen och andra förberedande åtgärder, för vilkas genomförande måste reserveras tillräckligt med tid. Det föreslås att den krets av personer som ska registreras i befolkningsdatasystemet ska utvidgas från och med den 1 september 2023 och att det nya förfarandet för distansregistrering ska tas i bruk samtidigt. Alla bestämmelser som gäller utvidgningen av kretsen av registrerade och distansregistrering föreslås således träda i kraft den 1 september 2023. 

Bestämmelserna om identifikationskoden avses likaledes träda i kraft den 1 september 2023. Identifikationskoden ska från nämnda datum tilldelas en person, när hans eller hennes uppgifter första gången införs i befolkningsdatasystemet. Det är dock behövligt att som en engångsåtgärd ge en kod också till de personer vilkas uppgifter införts i befolkningsdatasystemet före bestämmelserna om identifikationskoden trätt i kraft. I propositionen ingår därför ett förslag till en separat övergångsbestämmelse, enligt vilken identifikationskoden vid ikraftträdandet av ändringen tilldelas de personer vilkas uppgifter före ikraftträdandet införts i befolkningsdatasystemet. 

Den föreslagna lagändringen för att slopa uppgiften om kön ur personbeteckningen avses träda i kraft den 1 januari 2027. 

Ändringen av personbeteckningen så att den blir könsneutral förutsätter omfattande ändringar av informationssystemen hos flera aktörer i samhället, varför det är nödvändigt att reservera en tillräcklig och jämfört med de övriga föreslagna ändringarna längre övergångstid för ändringen. I denna proposition är övergångstiden fyra år. Det fjärde lagförslaget ansluter till den könsneutrala personbeteckningen och ska på motsvarande sätt träda i kraft först den 1 januari 2027. 

I propositionen ingår ett förslag till en särskild övergångsbestämmelse också i fråga om exceptionell tilldelning av personbeteckningen som jämn eller udda i de fall som föreskrivs i 12 § 3 mom. Bestämmelsen ska tillämpas i begränsad utsträckning endast på personer som fötts före ikraftträdandet av bestämmelsen i fråga den 1 januari 2017. Personbeteckningarna för de personer som föds efter ikraftträdandet tilldelas utan undantag som könsneutrala. 

10  Förhållande till andra propositioner

10.1  Samband med andra propositioner

Propositionen har samband med regeringens proposition med förslag till lagstiftning om digital identitet som beretts vid finansministeriet. Avsikten med den propositionen är att möjliggöra produktion och användning av en e-legitimation och ett e-tjänstverktyg för utlänningar från ingången av september 2023. I föreliggande proposition ingår förslag till utvidgning av den personkrets som ska registreras i befolkningsdatasystemet, utvecklande av befolkningsdatasystemets identitetshantering och den nya identifikationskoden som har samband med det övergripande målet att utveckla en av staten garanterad digital identitet. Dessa är delvis en förutsättning för förslagen till lagstiftning om en digital identitet.  

E-tjänstverktyget för utlänningar grundar sig på en av staten garanterad centraliserad identitet som fås ur befolkningsdatasystemet, vars utvecklande föreliggande proposition gäller. Eftersom e-tjänstverktyget alltid grundar sig på befolkningsdatasystemets uppgifter, kan det beviljas en utlänning endast om hans eller hennes uppgifter först registrerats i befolkningsdatasystemet. Det förslag till utvidgning av den krets av utlänningar som ska registreras i befolkningsdatasystemet och den distansregistreringsmöjlighet som ingår i denna proposition är således nära förknippade med lagstiftningsprojektet om en digital identitet.  

Användningen av ett e-tjänstverktyg för utlänningar och en e-legitimation ska förutsätta ett gällande bevis för kärnidentitet. Beviset för kärnidentitet ska också innehålla den identifikationskod som i denna proposition fogas som en uppgift till befolkningsdatasystemet, eftersom man inte kan använda personbeteckningen i beviset.  

Vid justitieministeriet har beretts en regeringsproposition med förslag till allmän lagstiftning om automatiserat beslutsfattande inom den offentliga förvaltningen. Avsikten är att propositionen ska innehålla ett förslag till ny allmän lagstiftning om användning av automatiserat beslutsfattande vid behandling av förvaltningsärenden, särskilt vad gäller fattande och beredning av förvaltningsbeslut. I förslaget till reglering ska ingå behövliga bestämmelser om det tillåtna användningsområdet för automatiseringen, krav på informationssystem, godkännande och övervakning av informationssystem, tillgodoseende av insyn och handlingars offentlighet övriga behövliga bestämmelser för säkerställande av en god förvaltning, rättsskyddet och övriga grundläggande rättigheter. 

Avsikten är att det förfarande för distansregistrering som föreslås i föreliggande proposition i första hand ska genomföras som ett helt automatiserat förfarande utan behandling av tjänstemän. Automatiseringen av förfarandet ska grunda sig på den allmänna lagstiftning om automatiserat beslutsfattande som beretts för förvaltningslagen och informationshanteringslagen. Även om de förslag till lagstiftning som ingår i denna proposition inte förutsätter automatisering av förfarandet, förutsätter införandet av förfarandet för distansregistrering inom den föreslagna tidtabellen i praktiken en möjlighet att avgöra ärenden automatiskt. Om den allmänna lagstiftningen om automatiserat beslutsfattande inte träder i kraft såsom planerat i början av 2023, är man sannolikt även tvungen att skjuta upp ikraftträdandet i fråga om förslagen till lagstiftning om förfarandet för distansregistrering antingen tills den allmänna lagstiftningen om automatiserat beslutsfattande träder i kraft eller tills Myndigheten för digitalisering och befolkningsdata kan genomföra förfarandet som en separat lösning utan automatisering,  

Vid social- och hälsovårdsministeriet har beretts en proposition med förslag till lag om fastställande av könstillhörighet, som avses upphäva lagen om fastställande av transsexuella personers könstillhörighet. Avsikten är att man i de lagar som bifogats till propositionen ska föreskriva om vissa ändringar i paragrafer i BDS-lagen som det också i föreliggande proposition föreslås ändringar i. I propositionen avser man på grund av upphävande av lagen ändra hänvisningen till lagen om fastställande av transsexuella personers könstillhörighet i 12 § 2 mom. 3 punkten i BDS-lagen. Dessutom avser man uppdatera terminologin i punkten så att den motsvarar terminologin i den föreslagna lagen om fastställande av könstillhörighet så att termen "det motsatta könet" ändras till "det andra könet". Dessutom föreslås ändringar i 12 § 3 mom., 13 § 1 mom. 8 punkten och 40 §. 

Vid arbets- och näringsministeriet bereds för närvarande ett förslag till ändring av utlänningslagen. Avsikten med förslaget är bland annat att ändra 69 b § i utlänningslagen så att företrädesordningen för utläggning enligt den gällande lagstiftningen slopas och utrikesministeriet kan ingå avtal med en extern tjänsteleverantör utan att man först försökt lägga ut uppgifterna som gäller uppehållstillstånd på en annan Schengenstats beskickning. Dessutom ska utrikesministeriet utöver inrikesministeriet höra arbets- och näringsministeriet innan man avtalar om utläggning av uppgifter som gäller uppehållstillstånd och som hör till en finsk beskickning på en extern tjänsteleverantör eller en annan Schengenstats beskickning.  

En åtgärdshelhet inom åtgärdsprogrammet Talent Boost som presenteras närmare i punkt 3 är påskyndandet av förfarandena för uppehållstillstånd på grund av arbete eller studier mot expressfilsprocesser, där tiden för behandling av tillstånden är en månad för specialsakkunniga och tillväxtföretagare och två veckor för deras familjemedlemmar. Genom lagstiftningsändringarna har nationellt visum, det vill säga ett så kallat D-visum från och med den 1 juni 2022 möjliggjorts för specialsakkunniga, tillväxtföretagare samt deras familjemedlemmar. I fortsättningen kan användningen av D-visum genom ändringar i lagstiftningen utvidgas även till andra grupper av personer. Man försöker också underlätta påskyndandet av etableringen av experter och tillväxtföretagare och deras familjemedlemmar i Finland genom att göra befolkningsdataförvaltningens processer smidigare ur kundernas synvinkel. I föreliggande proposition föreslås att etablering i Finland utöver genom att möjliggöra distansregistrering även ska underlättas genom att göra det möjligt att tilldelas en personbeteckning redan i samband med ansökan om uppehållstillstånd och också på basis av en kontroll av identiteten som utförs av en extern tjänsteleverantör i ett ärende som gäller uppehållstillstånd. 

10.2  Förhållande till budgetpropositionen

Propositionen hänför sig till budgetpropositionen för 2023 och avses bli behandlad i samband med den. 

11  Förhållande till grundlagen samt lagstiftningsordning

11.1  Inledning

De föreslagna ändringarna är av betydelse med avseende på den jämlikhet och jämställdhet mellan könen som tryggas i 6 § i grundlagen, skyddet för privatlivet och skyddet för personuppgifter som tryggas i 10 § i grundlagen samt det rättsskydd och de garantier för en god förvaltning som tryggas i 21 § i grundlagen. Dessutom bör propositionen bedömas med avseende på den bestämmelse om överföring av offentliga förvaltningsuppgifter på andra än myndigheter som ingår i 124 § i grundlagen. De förslag som ingår i propositionen kan anses ha positiva konsekvenser framför allt för tillgodoseendet av jämlikheten, jämställdheten mellan könen och skyddet för personuppgifter i samhället. 

11.2  Jämlikhet och jämställdhet mellan könen

Enligt 6 § i grundlagen är alla lika inför lagen och får ingen utan godtagbart skäl särbehandlas på grund av kön, ålder, ursprung, språk, religion, övertygelse, åsikt, hälsotillstånd eller handikapp eller av någon annan orsak som gäller hans eller hennes person. Barn ska bemötas som jämlika individer och de ska ha rätt till medinflytande enligt sin utvecklingsnivå i frågor som gäller dem själva. Jämställdhet mellan könen i samhällelig verksamhet och i arbetslivet främjas enligt vad som närmare bestäms genom lag, särskilt vad gäller lönesättning och andra anställningsvillkor. 

Närmare bestämmelser om jämlikhet och förbud mot diskriminering finns i diskrimineringslagen (1325/2014), i vars 2 kap. såväl direkt som indirekt diskriminering förbjuds. Enligt lagens 13 § är diskriminering indirekt, när regler, kriterier eller förfaringssätt som framstår som jämlika kan komma att missgynna någon på grund av en omständighet som gäller honom eller henne som person, om inte regeln, kriteriet eller förfaringssättet har ett godtagbart syfte och medlen för att nå detta syfte är lämpliga och behövliga. Också grundlagsutskottet har betonat att diskrimineringsförbudet också gäller åtgärder som indirekt leder till ett diskriminerande resultat (GrUU 31/2014 rd, s. 3). 

Diskriminering förbjuds också uttryckligen i Europakonventionen och EU:s stadga om de grundläggande rättigheterna. Enligt artikel 14 i Europakonventionen ska åtnjutandet av de fri- och rättigheter som anges i konventionen säkerställas utan diskriminering på någon grund såsom kön, ras, hudfärg, språk, religion, politisk eller annan åsikt, nationellt eller socialt ursprung, tillhörighet till nationell minoritet, förmögenhet, börd eller ställning i övrigt. Inom EU-rätten har jämställdhetsprincipen fastställts i artikel 20 i EU:s stadga om de grundläggande rättigheterna, enligt vilken alla människor är lika inför lagen. Diskrimineringsförbudet ingår i artikel 21.1 i stadgan, där man förbjuder all diskriminering på grund av bland annat kön, ras, hudfärg, etniskt eller socialt ursprung, genetiska särdrag, språk, religion eller övertygelse, politisk eller annan åskådning, tillhörighet till nationell minoritet, förmögenhet, börd, funktionshinder, ålder eller sexuell läggning. I artikel 21.2 förbjuds dessutom diskriminering på grund av nationalitet. 

Enligt 5 § i BDS-lagen är syftet med befolkningsdatasystemet att möjliggöra, genomföra och trygga samhällets funktioner och informationsförsörjning och att trygga möjligheterna för samhällsmedlemmarna att göra sina rättigheter gällande och fullgöra sina skyldigheter. Med samhällets funktioner avses samtliga lagliga och allmänt accepterade funktioner som samhället utför eller sörjer för och för vars genomförande det krävs befolkningsdata. Med samhällsmedlemmarnas rättigheter och skyldigheter avses primärt de grundläggande fri- och rättigheterna enligt grundlagen, men också de rättigheter och skyldigheter som kan härledas ur annan lagstiftning eller vedertagen tolkningspraxis för sådan. Även om detta inte särskilt nämns i bestämmelsen, har i förarbetena till lagen dessutom tagits upp att personuppgifterna i befolkningsdatasystemet också används för att specificera och identifiera en person samt klarlägga dennes personrättsliga och familjerättsliga ställning och handlingsbehörighet (RP 89/2008 rd, s. 70). 

Även om personbeteckningen i sig inte ger upphov till rättigheter eller skyldigheter, är beviljandet av den en central del av befolkningsdatasystemets verksamhet för möjliggörande av en persons rättigheter och skyldigheter. Personbeteckningen har således i själva verket betydelse för tillgodoseendet av de grundläggande rättigheterna. Avsaknad av personbeteckning försvårar personens verksamhet inom många av samhällets delområden och försätter på så sätt personen i en ojämlik ställning jämfört med dem som har en personbeteckning. De förslag som ingår i propositionen möjliggör tilldelandet av personbeteckning till andra än finska medborgare i en betydligt mer omfattande utsträckning än för närvarande. Detta underlättar deltagandet för de människor som omfattas av utvidgningen i samhällets funktioner inom såväl den privata som den offentliga sektorn och försätter dem i en mer jämlik ställning med de personer som har en möjlighet att få en personbeteckning med stöd av gällande lagstiftning. 

Även om propositionen skulle möjliggöra tilldelning av personbeteckning också till andra än finska medborgare i betydligt större utsträckning än för närvarande, är tilldelningen av personbeteckning också i fortsättningen behäftad med vissa begränsningar. I enlighet med den föreslagna regleringen ska en utlänning för att kunna tilldelas en personbeteckning ha ett biometriskt resedokument som grundar sig på de specifikationer och de minimikrav på säkerhet som fastställts av civila luftfartsorganisationen ICAO samt förutsättningar att använda teknik. Dessa förutsättningar uppfylls inte för alla utlänningar, framför allt medborgare i tredjeländer. Kravet på ett resedokument som uppfyller kriterierna hänger samman med befolkningsdatasystemets roll som ett grundregister och med att man ska kunna lita på de uppgifter som registrerats i befolkningsdatasystemet. Av denna anledning är det inte ändamålsenligt att i befolkningsdatasystemet registrera betydande uppgifter med rättsverkningar, såsom namnuppgifter, vilkas källa man inte kan försäkra sig om med tillräcklig exakthet. Propositionen kan trots detta till denna del anses förbättra uppfyllandet av den jämlikhetsprincip som avses i 6 § i grundlagen. 

Syftet med lagen om jämställdhet mellan kvinnor och män (609/1986, nedan jämställdhetslagen) att förebygga diskriminering på grund av kön, könsidentitet eller könsuttryck. Bestämmelserna om diskriminering på basis av könsidentitet eller könsuttryck finns i jämställdhetslagen särskilt för att förebygga diskriminering av könsminoriteter, såsom transpersoner och intersexpersoner. Enligt 4 § i jämställdhetslagen ska myndigheterna i all sin verksamhet främja jämställdheten mellan kvinnor och män på ett målinriktat och planmässigt sätt. Enligt 6 c § i jämställdhetslagen ska myndigheterna dessutom på ett målinriktat och planmässigt sätt förebygga diskriminering på grund av könsidentitet eller könsuttryck. 

Genom att slopa uppgiften om kön ur personbeteckningen är det möjligt att förebygga diskriminering på basis av könsidentitet och könsuttryck samt förbättra skyddet för privatlivet för transpersoner och intersexpersoner. Personbeteckningen används ofta i situationer där identifiering av en person som man eller kvinna inte behövs. När könet har betydelse, kan uppgiften fortfarande fås på annat sätt än ur personbeteckningen. Det att könet framgår ur personbeteckningen orsakar även problem för dem vars könsidentitet eller könsuttryck inte motsvarar deras juridiska kön. Slopandet av anteckningen om kön ur personbeteckningen förbättrar således skyddet för privatlivet hos människor som hör till en könsminoritet, vilket samtidigt skyddar dem mot diskriminering. Ändringens positiva verkningar för de grundläggande fri- och rättigheterna begränsas dock i viss mån av att uppgiften om kön utgår ur de beteckningar som tilldelats före 2027 närmast formellt. I själva verket kan man ur de gamla personbeteckningarna en viss tid relativt säkert fortfarande härleda könet på den person beteckningen tilldelats. Också säkerheten gällande uppgiften om kön i gamla beteckningar minskar dock småningom med åren, varvid verkningarna av ändringen småningom ökar.  

Syftet att förebygga diskriminering betjänas också av möjligheten att ta i bruk en identifikationskod som är helt oberoende av personuppgifter. Av den föreslagna identifikationskoden framgår inte kön och inte heller personens ålder, och det är av koden omöjligt att dra några slutsatser om innehavarens egenskaper. I och med identifikationskoden uppfylls också kodens könsneutralitet fullt ut. Den föreslagna identifikationskoden tilldelas i befolkningsdatasystemet alla de människor som också har en personbeteckning, men utnyttjandet av den i samhället förblir frivilligt. Omfattningen av de positiva konsekvenserna för de grundläggande fri- och rättigheterna är således de facto beroende av i hur stor utsträckning koden börjar utnyttjas i samhället. Ibruktagandet av identifikationskoden föranleder ofta ändringar i informationssystem som medför kostnader, varför det uppskattas att användningen av koden kommer att öka i långsam takt.  

11.3  Skyddet för personuppgifter

11.3.1  Inledning

Enligt 10 § i grundlagen är vars och ens privatliv, heder och hemfrid tryggade. Närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Grundlagsutskottet har när den bedömt regleringen av behandlingen av personuppgifter i sin etablerade praxis ansett att regleringen ska granskas med avseende på 10 § i grundlagen. Enligt paragrafens 1 mom. ska närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Enligt grundlagsutskottets praxis begränsas lagstiftarens handlingsutrymme utöver av denna bestämmelse också av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment. Det är sammantaget fråga om att lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Om man ser till skyddet för personuppgifter har grundlagsutskottet ansett det viktigt att reglera åtminstone syftet med registreringen av uppgifterna, uppgifternas innehåll, de tillåtna användningsändamålen inklusive rätten att överlåta registrerade uppgifter, den tid uppgifterna finns kvar i registret och den registrerades rättsskydd. Dessutom ska regleringen av dessa faktorer på lagnivå vara heltäckande och detaljerad (till exempel GrUU 14/1998 rd, s. 2, GrUU 1/2018 rd, s. 2 och GrUU 14/2018 rd, s. 2–3). 

Grundlagsutskottet har efter den allmänna dataskyddsförordningens ikraftträdande vid bedömningen av regleringsbehovet särskilt betonat den allmänna dataskyddsförordningens riskbaserade synsätt. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (GrUU 14/2018 rd, s. 5).  

Behandlingen av personuppgifter i befolkningsdatasystemet baserar sig på den rättsliga förpliktelse som åvilar den personuppgiftsansvarige som avses i artikel 6.1 c i den allmänna dataskyddsförordningen. I regleringen av befolkningsdatasystemet är det fråga om användning av det nationella handlingsutrymme som tillåts i artikel 6.2 och 6.3. Lagstiftningen om befolkningsdatasystemet har stiftats innan den allmänna dataskyddsförordningen trädde i kraft, och dess regleringssätt och regleringens detaljnivå har inte bedömts på ett övergripande sätt efter den allmänna dataskyddsförordningens ikraftträdande. Genom lagen om ändring av lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (55/2019, RP 19/2018 rd) har man dock försökt säkerställa att BDS-lagens bestämmelser är förenliga med dataskyddsförordningen och dataskyddslagen samt säkerställa att de förutsättningar för behandling av uppgifter som dataskyddsförordningen preciserat kan uppfyllas inom verksamheten vid de myndigheter som deltar i förvaltningen av befolkningsdatasystemet. Befolkningsdatasystemet är dock ett av samhällets basregister vars uppgifter utnyttjas i mycket omfattande grad inom samhällets funktioner och till vilket således kan ansluta särskilt stora risker vad gäller skyddet för personuppgifter. Av den anledningen ska exakt och omfattande specialreglering om befolkningsdatasystemet fortfarande anses vara behövlig. 

11.3.2  Nödvändigheten och proportionaliteten för de personuppgifter som behandlas

Enligt artikel 5.1 c i den allmänna dataskyddsförordningen ska personuppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). Grundlagsutskottet har av hävd fäst särskild vikt vid att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (GrUU 14/2018 rd, s. 5 och de utlåtanden som nämns där). I konstitutionellt hänseende är den uppgiftsminimering som avses i den allmänna dataskyddsförordningen framför allt kopplad till nödvändigheten och proportionaliteten för de personuppgifter som behandlas. Grundlagsutskottet har ansett att också rätten att bestämma över information om sig själv bör anses vara central med avseende på skyddet av personuppgifter (se till exempel GrUU 23/2020 rd, s. 9, GrUU 2/2018 rd, s. 8). Utskottet har ansett att självbestämmanderätten är kopplad till ett flertal grundläggande fri- och rättigheter, särskilt till 7 § om personlig frihet och integritet och 10 § om skydd för privatlivet i grundlagen (GrUU 48/2014 rd, s. 2/II).  

Av personbeteckningen framgår såväl personens juridiska kön som personens ålder med en dags noggrannhet. Varje organisation som behandlar personbeteckningar för specificering av till exempel sina arbetstagare eller kunder är därför samtidigt tvungen att behandla också deras ålders- och könsuppgifter, oberoende av om det finns ett äkta behov av att behandla dessa uppgifter. Personbeteckningens nuvarande struktur passar således oundvikligen dåligt samman med såväl kravet på nödvändighet och proportionalitet i samband med behandlingen av personuppgifter som den informerade självbestämmanderätten. 

Man försöker i propositionen främja syftet och möjligheterna att minimera de personuppgifter som behandlas genom att göra personbeteckningen könsneutral och vid sidan av personbeteckningen skapa en identifieringskod som inte innehåller några personuppgifter. I och med att den könsneutrala personbeteckningen tas i bruk blir de nya personbeteckningarnas individuella nummer slumpmässigt, och av beteckningarna kan inte längre härledas innehavares kön. De beteckningar som tilldelats före ändringen kvarstår, men inte heller av dem får längre könet härledas. I och med ändringen bör varje organisation överväga, om den har ett faktiskt behov av att fortfarande behandla uppgifter om kön och vid behov tillse behandlingen av den uppgiften separat från personbeteckningen. 

Identifikationskoden möjliggör nödvändigheten och proportionaliteten för de personuppgifter som behandlas betydligt bättre än den könsneutrala personbeteckningen. Identifikationskoden innehåller inga obehövliga uppgifter om innehavaren, vilket innebär att behovet av att behandla uppgiften om såväl ålder som kön alltid ska bedömas separat från koden. Av kodens struktur kan man inte heller dra några slutsatser om när den tilldelats och på så sätt till exempel om personen har invandrarbakgrund. 

11.3.3  Behandling av biometriska uppgifter

I propositionen föreslås en möjlighet att registrera sig i befolkningsdatasystemet genom ett nytt förfarande för distansregistrering. Inom förfarandet försäkrar man enligt förslaget sig om den registrerades identitet genom att ansikts- och videobilder som personen gjort jämförs med den ansiktsbild som kan läsas från det chip som finns på personens resedokument. Förfarandet förutsätter behandling av biometriska uppgifter. 

Enligt artikel 9.1 i den allmänna dataskyddsförordningen ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden. Enligt artikel 9.2 g är behandling av sådana uppgifter som nämns i 1 punkten dock tillåten på grundval av medlemsstaternas nationella rätt, om den står i proportion till det eftersträvade syftet, är förenligt med det väsentliga innehållet i rätten till dataskydd och innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. 

Särskilda kategorier av personuppgifter är samtidigt sådana känsliga personuppgifter som avses i grundlagens tolkningspraxis (se framför allt GrUU 14/2018 rd, s. 5–6) Grundlagsutskottet har såväl före den allmänna dataskyddsförordningens ikraftträdande som efter det av hävd betonat de hot som hänger samman med behandlingen av känsliga personuppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd, s. 4, GrUU 14/2009 rd, s. 3/I). Också enligt den allmänna dataskyddsförordningen bör särskilda personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna (se till exempel GrUU 14/2018 rd, s. 5–6). Grundlagsutskottet har fäst särskild vikt vid att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (GrUU 14/2018 rd, s. 5 och de utlåtanden som nämns där). Det har varit av betydelse att lagstiftarens handlingsutrymme enligt utskottets vedertagna praxis i synnerhet i fråga om behandling av känsliga personuppgifter begränsas särskilt av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför ansett att särskilt tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2/II), vilket innebär att till exempel inrättandet av register med sådana uppgifter måste bedömas mot villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (GrUU 20/2020 rd, s.4, GrUU 29/2016 rd, s. 4–5 och till exempel GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). 

Förfarandet för distansregistrering ska ske utan att den som begär registrering fysiskt har kontakt med en finsk myndighet eller en sådan instans som kan försäkra sig om personens identitet personligen. Det är därför nödvändigt att i förfarandet ingår ett element med vilket det säkerställs att identiteten hos en person som begär registrering stämmer överens med det resedokument som används vid registreringsförfarandet. Om man inte på något sätt försäkrade sig om identiteten är det möjligt att göra registreringen med en annan persons resedokument och personuppgifter. I praktiken är det inte möjligt att i tillräcklig utsträckning försäkra sig om identiteten utan behandling av biometriska uppgifter som läses från resedokumentet och andra biometriska uppgifter som utnyttjas vid förfarandet. Det är således nödvändigt att vid förfarandet för distansregistrering behandla uppgifter som hör till i artikel 9 i den allmänna dataskyddsförordningen avsedda särskilda kategorier av personuppgifter. 

Förslaget innehåller förslag till bestämmelser om lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen på det sätt som förutsätts i artikel 9.2 g i dataskyddsförordningen. Förslagen till bestämmelser möjliggör endast behandling av biometriska uppgifter som är nödvändiga för ändamålet. Biometriska uppgifter ska enligt förslaget behandlas inom förfarandet endast för att försäkra sig om personens identitet. Det är således inte tillåtet att utnyttja uppgifterna för andra ändamål, och de ska inte registreras i befolkningsdatasystemet. Bevaringstiden för uppgifterna ska avgränsas i enlighet med samma nödvändighetsprincip så att uppgifterna ska raderas genast när behandlingen av dem inte längre är nödvändig. Inom förfarandet för distansregistrering överförs aldrig biometriska uppgifter eller andra personuppgifter till tredjeländer och utlämnande av uppgifter möjliggörs inte genom bestämmelser som tas in i propositionen. Den föreslagna behandlingen av biometriska uppgifter kan således anses inte bara nödvändig utan också proportionell.  

Enligt dataskyddsförordningen ska man vid behandlingen av personuppgifter som hör till särskilda kategorier av personuppgifter sörja för lämpliga skyddsåtgärder. Enligt artikel 25 i dataskyddsförordningen ska man i fråga om skyddsåtgärderna beakta den senaste utvecklingen och genomförandekostnaderna. Dessutom ska man beakta behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter. På basis av dessa faktorer ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra dataskyddsprinciper. Som dataskyddsprinciper nämns i förordningen till exempel uppgiftsminimering och lämpliga tekniska och organisatoriska åtgärder. Med de tekniska och organisatoriska åtgärderna säkerställs att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. 

Rättigheterna att behandla biometriska uppgifter avgränsas vid Myndigheten för digitalisering och befolkningsdata till de nödvändiga. Biometriska uppgifter kan endast behandlas av ett fåtal tjänstemän som utbildats för uppgiften och uppgifterna är inte tillgängliga för alla tjänstemän som behandlar begäranden om registrering inom förfarandet för distansregistrering. Vem som behandlat uppgifterna kan utredas i efterhand med hjälp av logguppgifter, Myndigheten för digitalisering och befolkningsdata tillser också det tekniska dataskyddet för informationsresurser som innehåller biometriska uppgifter och de tillämpningar som är avsedda för behandlingen. Utöver vad som föreskrivs i dataskyddsförordningen och dataskyddslagen ska på behandlingen av uppgifter tillämpas informationssäkerhetskraven inom den offentliga förvaltningen enligt 4 kap. informationshanteringslagen. Myndigheten för digitalisering och befolkningsdata genomför också den konsekvensbedömning avseende dataskydd som avses i artikel 35 i dataskyddsförordningen i fråga om behandlingsåtgärderna för de biometriska uppgifter som behandlas inom förfarandet för distansregistrering. 

Med beaktande av de krav som följer av dataskyddsförordningen och den registrerades rättigheter, de skyddsåtgärder som föreskrivs i 6 § 2 mom. i dataskyddslagen och skyldigheten för Myndigheten för digitalisering och befolkningsdata att iaktta kraven på informationssäkerhet enligt 4 kap. i informationshanteringslagen, är de skyddsåtgärder som tillämpas på förfarandet för distansregistrering som utnyttjar biometriska ansiktsbilder tillräckliga. 

11.3.4  Automatiserat beslutsfattande

I propositionen ingår ett förslag om ibruktagande av ett nytt förfarande för distansregistrering. Genom förfarandet för distansregistrering kan en utländsk person genom självbetjäning registrera sina uppgifter i befolkningsdatasystemet med en mobilapplikation och, även om regleringen inte förutsätter detta, är avsikten i praktiken att registreringen i princip ska genomföras som ett automatiserat förfarande. I regel ska distansregistreringen således kunna utföras utan behandling av en tjänsteman. 

Riksdagens grundlagsutskott har i flera färska utlåtanden ansett att regleringen av automatiserat beslutsfattande är viktig i synnerhet i skenet av principerna för god förvaltning enligt grundlagens 21 § och bestämmelserna i grundlagens 118 § om tjänsteansvar (till exempel 62/2018 rd, s. 7 och GrUU 7/2019 rd, s. 8). Grundlagsutskottet har betonat vikten av att grunderna för god förvaltning och rättsskyddet prioriteras i förhållande till förvaltningens resultat. Grundlagsutskottet har i sina utlåtanden uppmärksammat statsrådet på att automatiserat beslutsfattande förefaller inkludera ett flertal frågor som inte har reglerats i de allmänna lagarna för förvaltningen. Det finns skäl att utreda detta och behovet av en översyn av den allmänna lagstiftningen på området, där justitieministeriet har beredningsansvaret. I utredningen bör man undersöka hur regleringen av automatiserat förvaltningsförfarande och beslutsfattande uppfyller de krav som följer av förvaltningens lagbundenhet, offentlighetsprincipen och rättsprinciperna för förvaltningen, som ligger till grund för en god förvaltning, samt hur rättstryggheten tillgodoses och tjänstemännens ansvar förverkligas (GrUU 62/2018 rd, s. 8). 

Vid justitieministeriet har beretts en regeringsproposition med förslag till lagstiftning om automatiserad behandling inom förvaltningen. I utkastet till regeringsproposition föreslås det att till förvaltningslagen ska fogas ett nytt 8 b kap. om automatiskt avgörande av ärenden. Förslaget innehåller dessutom tillägg till lagen om informationshantering inom den offentliga förvaltningen i form av bestämmelser om tjänsteansvaret vid automatiserat beslutsfattande och främjande av uppfyllandet av principerna om god förvaltning samt ändringsförslag till dataskyddslagen avseende brottmål och lagen om tillhandahållande av digitala tjänster (306/2019). Till förvaltningslagen ska enligt förslaget fogas bestämmelser om användningsområdet för automatiserat beslutsfattande, rättsskyddsförutsättningen i samband med automatiserat beslutsfattande samt myndighetens skyldighet att meddela berörda parter om att ett ärende avgörs genom automatiserat beslutsfattande. Avsikten är att propositionen ska behandlas i samband med statens budgetproposition för 2023 och träda i kraft så snart som möjligt, dock tidigast år 2023. 

Föreliggande proposition har beretts under antagandet att det i förvaltningslagen kommer att föreskrivas om tillämpningsområdet för automatiserat beslutsfattande och andra faktorer i samband med det i överensstämmelse med den proposition som beretts vid justitieministeriet. Användningen av automatiserat beslutsfattande inom förfarandet för distansregistrering ska grunda sig på den föreslagna regleringen om automatiskt avgörande av ärenden i förvaltningslagen. Om förvaltningslagens bestämmelse om användningsområde som möjliggör automatiserat beslutsfattande genomförs i enlighet med förslaget är det möjligt att i fråga om en persons begäran om registrering inom förfarandet för distansregistrering fatta ett avgörande som avslutar behandlingen av ärendet. Det avgörande som avslutar behandlingen av ärendet kunde vara införande av uppgifter i befolkningsdatasystemet eller avvisande av begäran om registrering i en situation där man inte kunnat försäkra sig om att personens uppgifter inte redan tidigare införts i befolkningsdatasystemet utan att avgörandet kontrolleras eller godkänns av en fysisk person.  

Bestämmelserna om förvaltningsförfarandet blir tillämpliga också i begäranden om registrering som avgörs automatiskt. De ärenden som ska avgöras automatiskt inom förfarandet för distansregistrering ska till sina drag vara sådana som återkommer som likadana, det vill så kallade typfall som alltid kan avgöras enligt samma behandlingsregler. Begäranden om distansregistrering som avgörs automatiskt förutsätter inte prövning från fall till fall, eftersom registreringen av uppgifter inte ska förutsätta uppfyllande av behovsprövade grunder av samma typ som enligt 9 §. De föreslagna förutsättningarna för distansregistrering, såsom förutsättningen att personens uppgifter inte tidigare har registrerats i befolkningsdatasystemet, ska kunna fastställas som obligatoriska bestämmelser. Utnyttjande av automatisering i samband med dessa begäranden om registrering påskyndar behandlingen av dem vid Myndigheten för digitalisering och befolkningsdata och främjar således den i 21 § i grundlagen föreskrivna rätten för var och en att på behörigt sätt och utan ogrundat dröjsmål få sin sak behandlad av en domstol som är behörig. Utnyttjandet av automatiseringen tryggar också människors i 6 § i grundlagen tryggade rätt till jämlik behandling inför lagen och genomför i 6 § i förvaltningslagen föreskrivna krav på opartiskt bemötande. 

Den automatiska behandlingen av begäranden om registrering inom förfarandet för distansregistrering ska grunda sig på de behandlingsregler enligt förutsättningarna i den föreslagna 9 a § som Myndigheten för digitalisering och befolkningsdata utarbetat. Dessa regler ska dokumenteras, beskrivas och publiceras som en del av beredningen av den allmänna lagstiftningen om automatiserat beslutsfattande i enlighet med ändringar som föreslås i förvaltningslagen, informationshanteringslagen och lagen om offentlighet i myndigheternas verksamhet (621/1999). Ett automatiserat avgörande av begäranden om registrering inom förfarandet för distansregistrering förutsätter dessutom att vid ibruktagandet av det automatiserade avgörandet på det sätt som förutsätts i 118 § i grundlagen också har iakttagits den reglering som föreslås i informationshanteringslagen för säkerställande av att tjänsteansvaret faktiskt uppfylls eller genomförts de ändringar som informationshanteringslagen förutsätter under den föreslagna övergångstiden.  

Förfarandet för distansregistrering kan avbrytas redan i det skedet då identiteten verifieras till exempel om avläsningen av uppgifterna på den tekniska delen av resedokumentet eller ansiktsjämförelsen misslyckas. På personens resedokument kan den tekniska delen saknas helt eller den tekniska delen kunnat skadas så att det inte går att läsa av den. Ansiktsjämförelsen kan för sin del misslyckas till exempel på grund av ett fel i personens terminal. Personen kunde innan förfarandet avbryts få personlig rådgivning av den personuppgiftsansvariges representant på distans till exempel för att ta foton eller göra videoinspelningar korrekt eller för att hjälpa till vid läsningen av den tekniska delen av resedokumentet. Om förfarandet inte lyckas ens med bistånd, kan personen försöka göra registreringen senare till exempel efter att han eller hon skaffat ett sådant resedokument som förfarandet för distansregistrering förutsätter. Om förfarandet avbryts får personen veta varför avbrottet skett och anvisas att låta identifiera sig till exempel vid en utlandsbeskickning i samband med behandlingen av personens ansökan om uppehållstillstånd, varvid personen får sina uppgifter registrerade i befolkningsdatasystemet. De faktorer som leder till att förfarandet avbryts kan påverkas av personen själv eller åtminstone av någon annan än den myndighet som ansvarar för distansregistreringen och är därmed i allmänhet sådana att det inte är möjligt för en finländsk myndighet att ompröva dem i en situation där personen och personens handlingar befinner sig i utlandet. Således har personen inte vid en avbrottssituation behov av rättsskydd mot den myndighet som ansvarar för distansregistreringen och den myndighetens agerande. 

Avsikten är att förfarandet för distansregistrering ska vara ett snabbt och lätt förfarande som ska föregå personens inresa och främja hans eller hennes etablering i Finland. Det att förfarandet avbryts leder således inte till en situation där personen inte alls får sina uppgifter införda i befolkningsdatasystemet, utan införandet av uppgifter kan i regel skötas inom ramen för förfarandet enligt 9 § i BDS-lagen, när personen sköter till exempel sitt uppehållstillståndsärende genom ett personligt besök på en myndighet.  

När förfarandet för distansregistrering avbryts genom att säkerställandet av identiteten misslyckas avslutas inte behandlingen av ärendet med ett avgörande som avslutar behandlingen av ärendet i överensstämmelse med den bestämmelse om användningsområde som föreslås till förvaltningslagen. Härvid tillämpas på avbrottet inte den rättsskyddsförutsättning i samband med automatiserat beslutsfattande som föreslås till förvaltningslagen. Avbrytandet av förfarandet för distansregistrering har inte heller rättsverkningar enligt artikel 22 i dataskyddsförordningen och påverkar inte personen betydligt på något annat motsvarande sätt. Avbrottet säkerställer att det i befolkningsdatasystemet inte behandlas sådana uppgifter om personen, vilkas integritet och felfrihet inte kunnat säkerställas. Personen ska dock ha med tanke på förfarandets särdrag och verkningar lämpliga metoder genom vilka han eller hon kan skydda sina rättigheter och intressen. Personen ska kunna be om registrering av uppgifterna i befolkningsdatasystemet på nytt inom ramen för förfarandet för distansregistrering eller förfarandet enligt 9 §. Förfarandet enligt 9 § i BDS-lagen grundar sig på personligt besök och på en fysisk persons avgörande av ärendet. I ett förfarande enligt 9 § i BDS-lagen har personen rätt att få ett skriftligt beslut och en möjlighet att utan avgift begära omprövning i det enligt 76 a § i lagen.  

11.3.5  Dataskyddskraven på nationella identifikationsnummer

Bestämmelser om dataskyddskrav på nationella identifikationsnummer finns i artikel 87 i den allmänna dataskyddsförordningen. Enligt artikeln får medlemsstaterna närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen. 

Den föreslagna identifikationskoden ska kunna användas allmänt och är till sin betydelse jämförbar med personbeteckningen. Identifikationskoden är således avsedd som ett sådant nationellt identifikationsnummer som avses i artikel 87 i dataskyddsförordningen och regleringen om den ska uppfylla de förutsättningar som avses i den artikeln. Som en specificerande kod som kan användas allmänt i samhället kan det i fråga om koden också anses gälla särskilda krav till följd av 10 § i grundlagen.  

I regleringen om identifikationskoden bör man undvika de problem som ansluter till regleringen om personbeteckningen. Utöver personbeteckningens struktur och datainnehåll kan regleringen av behandlingen av den och dess offentlighet inte till alla delar längre anses vara alltför lämpad för dagens behov. Det har inte föreskrivits att personbeteckningen ska vara en egentlig sekretessbelagd uppgift, men i själva verket behandlas beteckningen till många delar som om den är en sekretessbelagd uppgift eller en uppgift som annars kräver särskilt skydd. Till exempel riksdagens biträdande justitieombudsman har ansett att det att en personbeteckning, som i sig är en offentlig uppgift, hamnar i obehöriga händer medför många riskfaktorer, som om de förverkligas kan skada den berörda personen på många sätt (EOAK/2455/2016, s. 4). Om behandlingen av beteckningen föreskrivs relativt exakt i 29 § i dataskyddslagen, vartill det finns många specialbestämmelser om behandlingen av den. Om personbeteckningens användningsändamål har däremot inte föreskrivits allmänt och uttömmande i lag.  

Ovan beskrivna strävan att begränsa behandlingen av personbeteckningen har i själva verket lett till också sådana användningssätt som äventyrar människors skydd för personuppgifter och utsätter människor för identitetsstöld. Personbeteckningen behandlas i samhället ofta som en uppgift av samma typ som ett lösenord, som det antas att endast innehas av sin rättmätiga innehavare. Det är till exempel typiskt att en persons identitet i samband med uträttande av ärenden säkerställs genom att man frågar om personens personbeteckning eller dess slutdel. Sådana användningsändamål kan delvis anses bero närmast på en stark strävan efter att skydda personbeteckningen från utomstående. 

I fråga om identifikationskoden föreslås det därför att skyddet för personuppgifter byggs på en annan verksamhetsmodell. Det föreslås inga särskilda begränsningar i fråga om de områden och situationer där koden får behandlas. Som de centrala mekanismerna för säkerställande av skyddet för personuppgifter fungerar i stället ändamålen för användning av koden, som ska avgränsas till en entydig specificering av den registrerade i ett informationssystem, att utföra en i lag angiven uppgift eller för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsansvariges skyldigheter. Dessutom ska det att koden entydigt är offentlig och svårare att komma ihåg fungera som mekanismer för säkerställande av skyddet för personuppgifter. Genom att koden är svårare att komma ihåg och offentlig kan man förebygga sådana användningssätt som uttryckligen grundar sig på kodens karaktär av ett lösenord. Det ska inte vara möjligt att i praktiken använda koden för annat än specificering av den registrerade, och med den kan således inte heller ageras i någon annans namn. Det uppskattas att man genom kodens egenskaper och den föreslagna regleringen effektivare kan förebygga identitetsstölder och tillgodose skyddet för personuppgifter än genom strävan att begränsa behandlingen av koden och antecknande av den i handlingar. 

Det är också möjligt att utfärda den föreslagna regleringen som begränsar behandlingen av personbeteckningar inom ramen för det nationella handlingsutrymme som artikel 87 i dataskyddsförordningen medger. Den föreslagna regleringen har positiva verkningar för skyddet för de registrerades personuppgifter framför allt i situationer där så kallad svag autentisering används. 

11.4  Tryggandet av garantierna för en god förvaltning

I propositionen föreslås att det ska skapas en möjlighet att genom ett förfarande för distansregistrering registrera sig i befolkningsdatasystemet med en mobilapplikation. Det är fråga om ett förvaltningsförfarande som genomförs genom självbetjäning, som i regel ska genomföras automatiserat utan traditionell behandling av en tjänsteman. 

Utöver vad som i den föreslagna 9 a § i BDS-lagen föreskrivs ska på förfarandet för distansregistrering tillämpas bestämmelserna i förvaltningslagen. Med den föreslagna regleringen ska således inte avvikas från förvaltningslagens bestämmelser som garanterar parternas rättssäkerhet. Det ska vara möjligt att i enlighet med 76 a § i BDS-lagen begära omprövning i fråga om ett avgörande som ges inom förfarandet för distansregistrering och som avslutar behandlingen av ärendet och på motsvarande sätt som i fråga om andra registreringsärenden föra dem till förvaltningsdomstol för behandling. 

11.5  Överföring av förvaltningsuppgifter på andra än myndigheter

I propositionen föreslås att inte bara finska beskickningar utan också en annan Schengenstats beskickning eller en extern tjänsteleverantör för registrering i befolkningsdatasystemet ska kunna ta emot en utländsk medborgares personuppgifter och handlingar som han eller hon lämnar. Om ändringen genomförs ska uppgifterna om den utländska medborgaren kunna antecknas i befolkningsdatasystemet i samband med behandlingen av hans eller hennes ansökan om uppehållstillstånd oberoende av hur de uppgifter som gäller uppehållstillstånd har anordnats i det område där personen har lämnat in sin ansökan om uppehållstillstånd. 

Enligt förslaget ska en annan Schengenstats beskickning eller en extern tjänsteleverantör kunna sköta nämnda uppgifter, om utrikesministeriet överfört en finsk beskicknings uppgifter som gäller uppehållstillstånd till en annan Schengenstats beskickning eller en extern tjänsteleverantör i enlighet med 69 b § i utlänningslagen. Enligt 69 b § 1 mom. i utlänningslagen kan utrikesministeriet efter att ha hört inrikesministeriet avtala om att till en annan Schengenstats beskickning överföra uppgifter som gäller uppehållstillstånd och som hör till en finsk beskickning. Om det inte är möjligt att överföra uppgifterna till en annan Schengenstats beskickning, kan utrikesministeriet enligt 2 mom. efter att ha hört inrikesministeriet under särskilda omständigheter eller av orsaker som beror på lokala förhållanden avtala om att överföra uppgifterna till en i 28 § avsedd extern tjänsteleverantör. Närmare bestämmelser om uppgifter som får läggas ut finns i utläggningslagens 69 c §, om villkor för utläggning av verksamhet i 69 e § och om övervakning av verksamhet som lagts ut i 69 f §. Lagens 69 e § innehåller specialbestämmelser om dataskyddskraven i fråga om utläggningar. 

Enligt 124 § i grundlagen kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Uppgifter som innebär betydande utövning av offentlig makt får dock ges endast myndigheter. Enligt förarbetena till bestämmelsen hänvisas med offentlig förvaltningsuppgift i detta sammanhang till en rätt omfattande helhet av förvaltningsuppgifter till vilken hör uppgifter som till exempel ansluter sig till genomförandet av lagar samt till uppgifter som har samband med beslutsfattande som gäller privatpersoners rättigheter, skyldigheter och fördelar (RP 1/1998 s. 179). 

I sin tolkningspraxis har grundlagsutskottet ansett att det för att kraven på rättssäkerhet och god förvaltning ska anses vara uppfyllda i den bemärkelse som avses i 124 § i grundlagen krävs att ärendena behandlas i enlighet med de allmänna förvaltningslagarna och att de som behandlar ärendena handlar under tjänsteansvar (till exempel GrUU 3/2009 rd, s. 4/II och GrUU 20/2006 rd, s. 2/I). Grundlagens 124 § kräver dock inte att det i lag alltid hänvisas till de allmänna förvaltningslagarna, eftersom dessa med stöd av de i dem ingående bestämmelserna om tillämpningsområde, definition på myndighet eller enskildas skyldighet att ge språklig service också tillämpas på enskilda när de utför ett offentligt förvaltningsuppdrag (GrUU 73/2018 rd, s. 5, GrUU 42/2005 rd, s. 3/II). 

Grundlagsutskottet har bedömt ovan beskrivna bestämmelser i 69 b–69 f § i utlänningslagen i sitt utlåtande 62/2014. Grundlagsutskottet ansåg i sitt utlåtande att uppgifterna inte innefattar någon betydande utövning av offentlig makt utan att det är fråga om mottagning av ansökningar om uppehållstillstånd och rutinmässig hantering och förmedling av information, och det ingår ingen prövnings- eller beslutanderätt. Grundlagsutskottet ansåg i sitt utlåtande att de föreslagna bestämmelserna och de avtal som ingås med stöd av dem med beaktande av uppgifternas art är förenliga med grundlagens 124 § i och med att de säkerställer de grundläggande fri- och rättigheterna, rättssäkerheten och god förvaltning. Utskottet ansåg det dock vara viktigt att finska myndigheter övervakar de utlagda tjänsterna och att man vid övervakningen fäster särskild vikt vid behandlingen av i konstitutionellt hänseende känsliga uppgifter (GrUU 62/2014 rd, s. 2). 

Grundlagsutskottet har på motsvarande sätt tidigare också bedömt förslag gällande medborgarskapslagen, enligt vilka vissa ansökningar och anmälningar också kan lämnas in till honorärkonsulat. Utskottet ansåg att det att ta emot ansökningar och anmälningar, kontrollera deras identitet som lämnar in ansökningar och anmälningar och att inledningsvis kontrollera anmälan för att säkerställa att väsentliga uppgifter inte saknas är det slag av offentliga förvaltningsuppgifter som avses i 124 § i grundlagen. Grundlagsutskottet ansåg dock att nämnda uppgifter i anslutning till beviljande av medborgarskap är möjligt att ges till någon annan än en myndighet (GrUB 8/2002 rd, s. 3–4). I sitt utlåtande GrUU 55/2010 rd ansåg grundlagsutskottet på motsvarande sätt att det vid överlåtande av vissa biträdande uppgifter i samband med viseringsansökningar till externa tjänsteleverantörer är fråga om utövande av en offentlig förvaltningsuppgift, men att uppgiftshelheten inte innebär betydande utövning av offentlig makt (GrUU 55/2010 rd, s. 2). 

Enligt förslaget ska en annan Schengenstats beskickning och en extern tjänsteleverantör endast kunna ta emot personuppgifter och handlingar som en utländsk medborgare lämnar för registrering i befolkningsdatasystemet samt försäkra sig om identiteten hos den som ansöker om registrering. Möjligheten att lägga ut uppgifter i samband med registreringen ska kopplas till den utläggning som föreskrivs i 69 b § i utlänningslagen och som behandlats i ovan beskrivna grundlagsutskottets utlåtande GrUU 62/2014 rd. I de situationer där utrikesministeriet med stöd av nämnda bestämmelse i utlänningslagen har lagt ut uppgifter i anslutning till ansökan om uppehållstillstånd kan samma beskickning för en annan Schengenstat eller externa tjänsteleverantör enligt förslaget i samband med samma uträttande av ärenden också utföra de i bestämmelsen nämnda uppgifterna i samband med BDS-registreringen av den som ansöker om uppehållstillstånd. Eftersom rätten att lägga ut uppgifter för BDS-registrering ska kopplas till utläggning på basis av 69 b § i utlänningslagen, ska i ärendet alltid också tillämpas de skyddsåtgärder som föreskrivs i 69 e och 69 f § i utlänningslagen. Man behöver därför inte föreskriva om skyddsåtgärderna på nytt i BDS-lagen. På grund av förtydligandet av rättssäkerheten i samband med utläggningen föreslås det dock att i 22 § 4 mom. i BDS-lagen ska hänvisas till 69 e och 69 f § i utlänningslagen. 

Den andra Schengenstatens beskickning eller den externa tjänsteleverantören kan enligt förslaget aldrig själv registrera uppgifterna i befolkningsdatasystemet, utan Migrationsverket utför registreringen på det sätt som anges i 22 §. Förslagets syfte är att göra det lättare för utländska personer att få sina uppgifter registrerade i befolkningsdatasystemet redan innan de anländer till Finland och på så sätt förbättra de jämlika möjligheterna att delta i det finländska samhällets tjänster. Grundlagsutskottet har tidigare påpekat att ändamålsenlighetskravet i 124 § i grundlagen är ett juridiskt villkor och att det måste bedömas från fall till fall huruvida kravet uppfylls. I detta sammanhang måste bland annat förvaltningsuppgiftens karaktär beaktas (till exempel GrUU 5/2014 rd, s. 3/I och GrUU 16/2016 rd, s. 3). Enligt förarbetena till grundlagen ska man vid bedömning av ändamålsenligheten uppmärksamma dels förvaltningens effektivitet och övriga interna behov, dels enskilda personers och sammanslutningars behov (RP 1/1998 rd, s. 179/II). I praktiken minskar de föreslagna bestämmelser som möjliggör utläggning personens behov av att kontakta flera olika myndigheter och förbättrar en jämlik tillgång på tjänster i samband med BDS-registrering i världen. När man dessutom beaktar att det är fråga om uppgifter av teknisk karaktär utan egentlig prövningsrätt och att BDS-registreringen inte har några betydande direkta konsekvenser för personens rättigheter eller skyldigheter, är de föreslagna bestämmelserna enligt regeringens uppfattning förenliga med kraven i 124 § i grundlagen. 

På ovan beskrivna grunder anser regeringen att lagförslagen kan behandlas i vanlig lagstiftningsordning. 

Kläm 

Kläm 

Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 

1. Lag om ändring av lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata 

I enlighet med riksdagens beslut  
ändras i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009) 9 §, 11 § 2 mom., 12 §, 13 § 1 mom., 17 § 1 mom., 18 §, 20 § 1 mom., 21 § 1 mom., 22 §, 31 § 2 mom., 31 a och 40 §, 53 § 1 mom. 1 punkten, 63 § 2 mom. och 64 § 1 mom., 
av dem 9 § sådan den lyder i lagarna 55/2019 och 1175/2019, 12 § sådan den lyder i lag 1175/2019, 13 § 1 mom. sådant det lyder delvis ändrat i lagarna 29/2012, 251/2016, 55/2019 och 1175/2019, 17 § 1 mom. sådant det lyder i lag 145/2014, 20 § 1 mom., 21 § 1 mom., 22 §, 53 § 1 mom. 1 punkten och 63 § 2 mom. sådana de lyder i lag 1175/2019, 31 a § sådan den lyder i lag 110/2019 och 64 § 1 mom. sådant det lyder i lag 55/2019, samt 
fogas till lagen nya 9 a–9 d §, 11 a, 12 a, 22 a och 34 a § och till 43 § ett nytt 2 mom., varvid det nuvarande 2 och 3 mom. blir 3 och 4 mom., som följer: 
2 kap. 
Befolkningsdatasystemets datainnehåll och uppdatering av uppgifterna 
9 § Förutsättningar för registrering av utländska medborgare 
Uppgifter om utländska medborgare ska registreras i befolkningsdatasystemet, om dessa har hemkommun i Finland och bostad där enligt lagen om hemkommun (201/1994). Uppgifter om andra utländska medborgare kan registreras i befolkningsdatasystemet, om 
1) de har ansökt om uppehållstillstånd, uppehållskort, registrering av uppehållsrätt eller annat tillstånd eller annan registrering som berättigar till vistelse i Finland hos Migrationsverket eller det beslutats att de ska tas till Finland inom flyktingkvoten eller på basis av 93 § i utlänningslagen (301/2004) och de på basis av flyktingstatus eller den nämnda paragrafen beviljats uppehållstillstånd, 
2) dessa har en sådan tillfällig bostad i Finland som avses i lagen om hemkommun och registreringen behövs för att de ska kunna göra sina rättigheter gällande och fullgöra sina skyldigheter när det gäller arbete, studier eller andra motsvarande omständigheter, 
3) registreringen krävs för fullgörandet av skyldigheter enligt ett internationellt avtal som är bindande för Finland, eller 
4) registreringen behövs för att dessa utländska medborgare ska kunna göra sina rättigheter gällande och fullgöra sina skyldigheter eller av andra motsvarande särskilda och motiverade skäl. 
Om uppgifter om en utländsk medborgare inte har registrerats i befolkningsdatasystemet i ett fall som avses i 1 mom. 1 punkten, ska han eller hon lägga fram en motiverad begäran om registrering av uppgifterna hos Myndigheten för digitalisering och befolkningsdata.Myndigheten för digitalisering och befolkningsdata ska innan uppgifter om en utländsk medborgare som sökt internationellt skydd registreras försäkra sig om att förutsättningarna enligt 22 § 2 mom. uppfylls. 
Den myndighet som i befolkningsdatasystemet registrerar uppgifter om en utländsk medborgare ska försäkra sig om den utländska medborgarens identitet med hjälp av ett giltigt resedokument eller, om detta saknas, med hjälp av en annan handling eller utredning i enlighet med det förfarande som föreskrivs i 19 §. 
9 a § Förfarande för distansregistrering av utländska medborgare 
Uppgifter om en utländsk medborgare ska på den berörda personens begäran registreras i befolkningsdatasystemet genom förfarandet för distansregistrering, om  
1) personen fyllt femton år, 
2) personens identitet har fastställts med en elektronisk identifieringsmetod som godkänts av Myndigheten för digitalisering och befolkningsdata, 
3) uppgifterna om personens namn, födelsedatum och kön har lästs elektroniskt från den tekniska delen av ett giltigt resedokument, och 
4) personens uppgifter inte tidigare registrerats i befolkningsdatasystemet. 
Identiteten hos en person som begär registrering verifieras genom att foton och videoinspelningar som personen gjort i samband med registreringsförfarandet jämförs med den ansiktsbild som kan läsas på den tekniska delen av personens resedokument. 
Ett resedokument som används i samband med förfarandet för distansregistrering ska grunda sig på de specifikationer och de minimikrav på säkerhet som fastställts i civila luftfartsorganisationen ICAO:s dokument Doc 9303. Äktheten och integriteten hos de uppgifter som registrerats på resedokumentets tekniska del ska säkerställas med en giltig och fullständig certifikatkedja. Myndigheten för digitalisering och befolkningsdata ska föra en förteckning över de resedokument som godkänns i förfarandet för distansregistrering.  
Myndigheten för digitalisering och befolkningsdata ska kontrollera att uppgifterna för en person som begär registrering inte tidigare registrerats i befolkningsdatasystemet genom att jämföra de uppgifter på personens resedokument som kan läsas elektroniskt samt de personuppgifter som personen själv meddelat med personuppgifterna för de personer som tidigare registrerats i befolkningsdatasystemet. 
När en utländsk medborgares uppgifter har registrerats i befolkningsdatasystemet genom förfarandet för distansregistrering, beviljas han eller hon ett i 4 kap. i lagen om de tjänster för digital identitet som tillhandahålls av Myndigheten för digitalisering och befolkningsdata ( / ) avsett e-tjänstverktyg för utlänningar.  
9 b § Uppgifter som registreras i befolkningsdatasystemet i samband med förfarandet för distansregistrering 
I samband med förfarandet för distansregistrering registreras i befolkningsdatasystemet följande uppgifter om personer som begärt registrering: 
1) fullständigt namn, 
2) födelsetid, 
3) kön, 
4) medborgarskap, 
5) ett eventuellt nationellt identifikationsnummer i en annan stat eller en annan allmän identifikationskod, 
6) resedokumentets nummer, utfärdande stat och giltighetstid, 
7) den födelseort, den födelsestat, den postadress och den e-postadress som personen uppgett. 
Utöver vad som föreskrivs i 1 mom. registreras i befolkningsdatasystemet uppgift som beskriver sättet för identifiering eller specificering av personen samt uppgift som beskriver källan för uppgifterna om namn, födelsetid, kön och medborgarskap. Bestämmelser om tilldelning av personbeteckning finns i 11 § och bestämmelser om tilldelning av identifikationskod i 11 a §. 
9 c § Behandling av biometriska uppgifter som samlas in vid förfarandet för distansregistrering 
Myndigheten för digitalisering och befolkningsdata får enkom för verifiering av identiteten hos en person som begärt registrering behandla sådana i samband med ansiktsidentifiering insamlade uppgifter som består av bilder eller videoinspelningar som personen själv framfört eller sådana uppgifter som uppstår vid en med tekniska metoder utförd jämförelse av dem. Bilder och videoinspelningar som behandlats i samband med ansiktsidentifiering och de uppgifter som uppstått vid jämförelse av dem med tekniska metoder ska raderas så snart behandlingen av dem inte längre är nödvändig. Uppgifterna ska raderas senast två månader efter det att en utländsk medborgares begäran om registrering genom förfarandet för distansregistrering har lämnats in. 
9 d § Ändring eller tillfogande av uppgifter som beskriver sättet för identifiering eller specificering och källan för uppgifterna 
Den myndighet som registrerar uppgifterna i befolkningsdatasystemet ska ändra eller lägga till uppgift som beskriver sättet för identifiering eller specificering av en person i befolkningsdatasystemet när man för första gången försäkrat sig om en utländsk medborgares identitet på det sätt som avses i 9, 22 eller 22 a § i samband med ett personligt besök. Anteckningen om distansregistrering ändras dock endast om förutsättningarna enligt 9 § för registrering av uppgifterna i befolkningsdatasystemet uppfylls. 
Den myndighet som registrerar uppgifterna i befolkningsdatasystemet ska ändra eller lägga till uppgift som beskriver källan för uppgifterna om personens namn, födelsetid, kön och medborgarskap i befolkningsdatasystemet när en utländsk medborgare för första gången visat upp ett giltigt resedokument eller en i 19 § 1 eller 2 mom. avsedd utredning på det sätt som avses i 9, 22 eller 22 a §. 
11 § Personbeteckningen och hur den tilldelas 
Kläm 
Personbeteckningen är individuell och består av födelsetid, individuellt nummer och kontrollbeteckning. Det individuella numret särskiljer personer som är födda samma dag. Närmare bestämmelser om det detaljerade innehållet i personbeteckningen utfärdas genom förordning av statsrådet. 
11 a § Identifikationskoden och hur den tilldelas 
När uppgifter om en person första gången registreras i befolkningsdatasystemet ska personen tilldelas en identifikationskod. Identifikationskoden tilldelas automatiskt ur befolkningsdatasystemet. Identifikationskoden är individuell och består av 11 tecken, av vilka det sista är ett kontrolltecken. Identifikationskoden får inte innehålla några identifieringsuppgifter som anknyter till personen i fråga. En identifikationskod som ändrats med stöd av 12 a § får inte tilldelas någon annan person. 
Närmare bestämmelser om fastställande av identifikationskoden utfärdas genom förordning av statsrådet. 
12 § Rättelse och ändring av en personbeteckning 
En personbeteckning som registrerats i befolkningsdatasystemet ska rättas, om den är tekniskt felaktig eller om uppgiften om födelsetid är oriktig. Beslut om rättelsen fattas av Myndigheten för digitalisering och befolkningsdata. Myndigheten för digitalisering och befolkningsdata ska ge den berörda personen eller dennes lagliga företrädare tillfälle att framföra sin åsikt i ärendet. Denna person ska informeras om rättelsen. 
En personbeteckning som registrerats i befolkningsdatasystemet får ändras, om 
1) ändringen är absolut nödvändig för att skydda personen i sådana situationer där hans eller hennes hälsa eller säkerhet är uppenbart och varaktigt hotad, 
2) någon annan än den som innehar personbeteckningen upprepade gånger har missbrukat beteckningen och missbruket har orsakat betydande ekonomiska eller andra olägenheter för den rätta innehavaren och fortsatta skadliga verkningar på grund av missbruket faktiskt kan förhindras genom att personbeteckningen ändras. 
En personbeteckning som registrerats i befolkningsdatasystemet ska dessutom ändras på ansökan, om det i enlighet med lagen om fastställande av transsexuella personers könstillhörighet (563/2002) har fastställts att personen ska tillhöra det motsatta könet eller om den uppgift om personens kön som registrerats i befolkningsdatasystemet har rättats.Den nya personbeteckningens individuella nummer ska i de fall som avses i detta moment vara jämnt för kvinnor och udda för män. Den berörda personen ska skriftligen ansöka hos Myndigheten för digitalisering och befolkningsdata om att få personbeteckningen ändrad. 
12 a § Ändring av en identifikationskod 
En identifikationskod som registrerats i befolkningsdatasystemet får ändras, om ändringen är absolut nödvändig för att skydda personen i sådana situationer där hans eller hennes hälsa eller säkerhet är uppenbart och varaktigt hotad. 
Den berörda personen ska skriftligen ansöka hos Myndigheten för digitalisering och befolkningsdata om att få identifikationskoden ändrad. 
13 § Personuppgifter som registreras i systemet 
Följande uppgifter om personer som är föremål för registrering ska registreras i befolkningsdatasystemet: 
1) fullständigt namn, 
2) födelsetid, personbeteckning och identifikationskod samt teknisk identifieringskod och elektronisk kommunikationskod, 
3) hemkommun och bostad där, tillfällig bostad samt sådana uppgifter om en fastighet, byggnad och lägenhet som specificerar personens hemkommun och bostad där, 
4) föräldrarnas fullständiga namn och personbeteckningar, 
5) civilstånd samt uppgifter om ingående och upplösning av äktenskap eller registrering av partnerskap, upplösning av registrerat partnerskap och omvandling av registrerat partnerskap till äktenskap,  
6) makens eller makans eller den registrerade partnerns fullständiga namn och personbeteckning, 
7) barnens fullständiga namn och personbeteckningar, 
8) uppgifter om barns och föräldrars familjerättsliga ställning, 
9) uppgifter om vårdnad om barn och om vad vårdnaden omfattar, 
10) uppgifter om fastställd adoption,  
11) uppgifter om begränsning av handlingsbehörigheten, intressebevakning och intressebevakningsfullmakt samt intressebevakarens eller fullmäktigens identifieringsuppgifter, 
12) uppgifter om omhändertagande av barn, 
13) födelsehemkommun eller födelseort och födelsestat, 
14) medborgarskap, 
15) kön och uppgift om fastställande av könstillhörighet, 
16) uppgifter om dödsdag eller dag för dödförklaring, 
17 ) uppgifter om registermyndigheten,  
18) sådana uppgifter om rösträtt som behövs för val och folkomröstningar, 
19) uppgifter om medlemskap i ett religionssamfund som avses i religionsfrihetslagen (453/2003), 
20) modersmål och kontaktspråk som personen har uppgett, 
21) enligt denna lag eller annan lagstiftning anmälda förbud mot att lämna ut uppgifter ur befolkningsdatasystemet,  
22) uppgift som beskriver sättet för identifiering eller specificering av personen, 
23) uppgift som beskriver källan för uppgifterna om personens namn, födelsetid, kön och medborgarskap,  
24) av personen lämnad uppgift om postadress och andra kontaktuppgifter samt yrke. 
 En icke ändrad del av lagtexten har utelämnats 
17 § Andra uppgifter som registreras i systemet 
Följande uppgifter får också registreras i befolkningsdatasystemet som uppgifter om personer som är föremål för registrering: 
1) ett eventuellt nationellt identifikationsnummer i en annan stat eller en annan allmän identifieringskod för en person som avses i 13–16 §, 
2) uppgifter om i lagen om hemkommun avsedd folkbokföringskommun för finska medborgare som är stadigvarande bosatta utomlands, 
3) fullständigt namn, födelsetid, kön, civilstånd, medborgarskap, adress och dödsdag för en sådan i utlandet bosatt person som är make, barn eller förälder till den som avses i 13 § och som inte har tilldelats någon personbeteckning, 
4) uppgifter om arten av uppehållstillstånd för utländska medborgare och uppgifter om tillståndens varaktighet eller andra motsvarande uppgifter, 
5) en utländsk medborgares resedokuments nummer, utfärdande stat och giltighetstid. 
 En icke ändrad del av lagtexten har utelämnats 
18 § Tillförlitligheten hos uppgifterna i systemet 
De personuppgifter som avses i 13 § 1 mom. 1–23 punkten och som registrerats i befolkningsdatasystemet ska anses vara offentligt tillförlitliga, om det inte påvisas att de är felaktiga eller bristfälliga. Andra uppgifter som registrerats i systemet än de som avses ovan samt av utländska medborgare meddelade uppgifter om födelseort och födelsestat som registrerats genom förfarandet för distansregistrering får användas vid beslutsfattande som gäller en person bara om han eller hon i samband med beslutsfattandet får en uttrycklig redogörelse för innehållet i uppgifterna och om hur de har använts. 
20 § Bevarande och utplåning av uppgifter 
Personuppgifter som registrerats i befolkningsdatasystemet ska bevaras permanent. Myndigheten för digitalisering och befolkningsdata ska dock ur systemet utplåna följande uppgifter om personer: 
1) de uppgifter om omhändertagande av barn som avses i 13 § 1 mom. 12 punkten omedelbart efter det att omhändertagandet har upphört, 
2) de uppgifter om uppehållstillstånd för utländska medborgare som avses i 17 § 1 mom. 4 punkten omedelbart efter det att personen har fått finskt medborgarskap, 
3) de uppgifter om ett resedokuments nummer, utfärdande stat och giltighetstid som avses i 17 § 1 mom. 5 punkten senast fem år efter det att resedokumentets giltighetstid löpt ut, 
4) de uppgifter i användarregistret som avses i 53 § senast tio år efter det att åtkomsträttigheten har upphört, 
5) de uppgifter i loggregistret som avses i 56 § och de händelseuppgifter som avses i 59 § senast fem år efter det att uppgifterna registrerades. 
 En icke ändrad del av lagtexten har utelämnats 
21 § Statens ämbetsverk på Ålands behörighet 
Vad som i 9 § 2 mom., 10 §, 12 § 1 mom., 19 §, 22 § 5 mom., 22 a § 2 mom. samt 35–37, 44, 50 a och 72 § föreskrivs om Myndigheten för digitalisering och befolkningsdata tillämpas på Statens ämbetsverk på Åland inom dess verksamhetsområde. 
Kläm 
22 § Migrationsverkets och vissa andra aktörers uppgifter 
Migrationsverket får i de fall som avses i 9 § 1 mom. 1 punkten i befolkningsdatasystemet registrera sådana uppgifter om utländska medborgare som behövs för att dessa ska kunna tilldelas en personbeteckning samt övriga i 13 och 17 § avsedda nödvändiga uppgifter om utländska medborgare. Migrationsverket får i samband med behandling av ärenden som avses i 1 § 1 mom. 1 punkten i lagen om behandling av personuppgifter i migrationsförvaltningen ändra i befolkningsdatasystemet registrerade andra uppgifter om utländska medborgare än sådana som behövs för att dessa ska kunna tilldelas en personbeteckning samt foga till uppgifter som saknas.  
Migrationsverket får i befolkningsdatasystemet registrera uppgifter om sådana utländska medborgare som sökt internationellt skydd, när signalement för ansökan om internationellt skydd om personen har upptagits och införts i det register som polisen för i enlighet med 131 § i utlänningslagen. Uppgifter om den som sökt internationellt skydd kan registreras i befolkningsdatasystemet, om Migrationsverket prövar personens ansökan om internationellt skydd i sak. Migrationsverket ska innan uppgifter om en utländsk medborgare som sökt internationellt skydd registreras, ändras och tillfogas på tillräckligt sätt försäkra sig om den utländska medborgarens identitet och tillförlitligheten för de personuppgifter som registreras, ändras och tillfogas. 
En finsk beskickning kan för Migrationsverket ta emot de personuppgifter och handlingar som har lagts fram av en utländsk medborgare för registrering, ändring och tillfogande i befolkningsdatasystemet. Den finska beskickningen ska försäkra sig om identiteten hos den utländska medborgaren med hjälp av ett giltigt resedokument eller, om detta saknas, i enlighet med det förfarande som föreskrivs i 19 § samt utan dröjsmål sända personuppgifterna och handlingarna till Migrationsverket. 
En annan Schengenstats beskickning eller en extern tjänsteleverantör kan utföra de uppgifter som specificeras i 3 mom. i stället för en finsk beskickning, om utrikesministeriet genom ett avtal som ingåtts med stöd av 69 b § i utlänningslagen överfört en finsk beskicknings uppgifter som gäller uppehållstillstånd till en annan Schengenstats beskickning eller en extern tjänsteleverantör. En annan Schengenstats beskickning eller en extern tjänsteleverantör kan ta emot de personuppgifter och handlingar som har lagts fram av en utländsk medborgare endast om man kan försäkra sig om identiteten hos den utländska medborgaren med hjälp av ett giltigt resedokument. På en annan Schengenstats beskickning och en extern tjänsteleverantör tillämpas bestämmelserna om villkor för utläggning av verksamhet i 69 e § och övervakning av verksamhet som lagts ut i 69 f § i utlänningslagen.  
Vid skötseln av de uppgifter som avses i 1–4 mom. ska iakttas vad som i denna lag föreskrivs om förutsättningarna för registrering av utländska medborgare, kontroll av identiteten, verifiering av tillförlitligheten hos de handlingar som visas upp och bevarande av uppgifter. Migrationsverket ska i stället för Myndigheten för digitalisering och befolkningsdata se till att kopior av handlingar som hänför sig till registreringen av utländska medborgare utfärdas i sådana situationer där verket registrerat, ändrat eller tillfogat en utländsk medborgares uppgifter i befolkningsdatasystemet.  
Närmare bestämmelser om de förfaranden som ska iakttas vid skötseln av uppgifterna samt om de uppgifter som avses i 1 mom. får utfärdas genom förordning av statsrådet. 
22 a § Skatteförvaltningens uppgifter 
I de fall som avses i 9 § 1 mom. kan utländska medborgare framställa en begäran om registrering av uppgifter hos Skatteförvaltningen. Skatteförvaltningen får i samband med skötseln av uppgifterna enligt 2 § i lagen om Skatteförvaltningen (503/2010) i befolkningsdatasystemet registrera sådana uppgifter om utländska medborgare som behövs för att dessa ska kunna tilldelas en personbeteckning samt övriga i 13 och 17 § i denna lag avsedda nödvändiga uppgifter om utländska medborgare. Skatteförvaltningen får i samband med skötseln av ovannämnda uppgifter ändra i befolkningsdatasystemet registrerade andra uppgifter om utländska medborgare än sådana som behövs för att dessa ska kunna tilldelas en personbeteckning samt foga till uppgifter som saknas. 
Vid skötseln av de uppgifter som avses i 1 mom. ska iakttas vad som i denna lag föreskrivs om förutsättningarna för registrering av utländska medborgare, kontroll av identiteten, verifiering av tillförlitligheten hos de handlingar som visas upp och bevarande av uppgifter. Skatteförvaltningen ska i stället för Myndigheten för digitalisering och befolkningsdata se till att kopior av handlingar som hänför sig till registreringen av utländska medborgare utfärdas i sådana situationer där den registrerat, ändrat eller tillfogat en utländsk medborgares uppgifter i befolkningsdatasystemet. 
Närmare bestämmelser om de förfaranden som ska iakttas vid skötseln av uppgifterna samt om de uppgifter som avses i 1 mom. får utfärdas genom förordning av statsrådet. 
31 § Utlämnande av uppgifter för finansierings- och försäkringsverksamhet och annan motsvarande verksamhet 
Kläm 
Ur befolkningsdatasystemet får dessutom lämnas ut uppgifter som behövs för kreditupplysningsverksamhet enligt kreditupplysningslagen (527/2007) och för indrivningsverksamhet enligt lagen om indrivning av fordringar (513/1999) och som gäller den person som är föremål för verksamheten och som avser för- och efternamn, personbeteckning eller födelsetid, identifikationskod, adressuppgifter och övriga kontaktuppgifter, födelsehemkommun och födelseort, intressebevakning i förmyndarverksamheten och dess innehåll samt dödsdag eller dag för dödförklaring. 
Kläm 
31 a § Utlämnande av uppgifter till elföretag 
Ur befolkningsdatasystemet får det till distributionsnätsinnehavare och detaljförsäljare av el som avses i elmarknadslagen (588/2013) lämnas ut sådana uppgifter som behövs för entydig specificering av en kund och för säkerställande av att kunden har rättslig handlingsförmåga och som avser kundens för- och efternamn, personbeteckning eller födelsetid, identifikationskod, adressuppgifter och övriga kontaktuppgifter, rättsliga handlingsförmåga samt dödsdag eller dagen för dödförklaring. 
34 a § Utlämnande av uppgifter som grundar sig på distansregistrering 
Uppgifter om en person som identifierats genom förfarandet för distansregistrering får lämnas ut ur befolkningsdatasystemet endast tillsammans med i 13 § 1 mom. 22 punkten avsedda uppgift som beskriver sättet för identifiering eller specificering. Den som tar emot uppgifterna ska kunna särskilja mellan uppgifterna för de personer som avses i detta moment och uppgifterna för personer som identifierats på annat sätt. 
40 § Begränsningar som gäller utlämnande av uppgifter om fastställande av könstillhörighet 
Uppgifter i befolkningsdatasystemet som gäller fastställande av persons könstillhörighet och uppgifter om en tidigare personbeteckning och ett eventuellt tidigare förnamn som personen hade omedelbart före fastställandet av könstillhörigheten får lämnas ut endast 
1) till en myndighet vars rätt att behandla uppgifterna grundar sig på att den ska utföra en arbetsuppgift, en åtgärd eller ett uppdrag som föreskrivs i eller med stöd av lag och som gäller den berörda personens rättigheter eller skyldigheter, och 
2) till andra personer, företag eller organisationer som begär uppgifterna för ett specifikt syfte och som nödvändigt behöver uppgifterna för att identifiera personen i fråga eller för att klarlägga hans eller hennes person- och familjerättsliga ställning eller handlingsbehörighet. 
43 § Utlämnande av identifieringsuppgifter 
Kläm 
Identifikationskoder i befolkningsdatasystemet får lämnas ut, om den som använder uppgifterna har rätt att behandla identifikationskoderna med stöd av dataskyddslagen eller lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. 
Kläm 
53 § Användarregister 
Myndigheten för digitalisering och befolkningsdata ska föra ett användarregister över sådan behandling av uppgifter i befolkningsdatasystemet som sker via ett tekniskt gränssnitt eller en elektronisk förbindelse. I användarregistret får följande registreras: 
1) användarens fullständiga namn samt personbeteckning, personnummer, födelsedatum eller identifikationskod, 
 En icke ändrad del av lagtexten har utelämnats 
63 § Tekniska identifieringskoder och elektroniska kommunikationskoder samt skapande av dessa 
Kläm 
Myndigheten för digitalisering och befolkningsdata ska ändra en teknisk identifieringskod till en individuell elektronisk kommunikationskod när 
1) ett medborgarcertifikat eller ett annat certifikat som Myndigheten för digitalisering och befolkningsdata utfärdar för fysiska personer första gången utfärdas för en person, eller 
2) en person vars uppgifter registrerats i befolkningsdatasystemet inte har en elektronisk kommunikationskod och Myndigheten för digitalisering och befolkningsdata av en i 43 § 3 mom. 2 punkten avsedd certifikatutfärdare får en begäran om att ändra personens tekniska identifieringskod till en elektronisk kommunikationskod. 
 En icke ändrad del av lagtexten har utelämnats 
64 § Ändring av elektroniska kommunikationskoder 
När det fattas beslut om ändring av personbeteckning i sådana situationer som avses i 12 § 2 eller 3 mom., ändras den elektroniska kommunikationskoden på tjänstens vägnar. Anmälan om att den elektroniska kommunikationskoden ändras ska göras till den som innehar koden. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
Lagens 11 § 2 mom., 12 § och 64 § 1 mom. träder i kraft den 1 januari 2027. 
Den identifikationskod som avses i 11 a § tilldelas vid ikraftträdandet av denna lag alla personer vilkas uppgifter före ikraftträdandet av denna lag införts i befolkningsdatasystemet. 
Bestämmelserna i 12 § 3 mom. i denna lag tillämpas endast på personer som fötts före den 1 januari 2027. 
 Slut på lagförslaget 

2. Lag om ändring av dataskyddslagen 

I enlighet med riksdagens beslut 
ändras i dataskyddslagen (1050/2018) 29 § och 
fogas till lagen en ny 29 a § som följer: 
29 § Behandling av personbeteckningar 
En personbeteckning får behandlas med den registrerades samtycke eller när behandlingen regleras i lag. Dessutom får en personbeteckning behandlas, om det är viktigt att entydigt specificera den registrerade 
1) för att utföra en i lag angiven uppgift, 
2) för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsskyldiges skyldigheter, eller 
3) för historisk eller vetenskaplig forskning eller för statistikföring. 
En personbeteckning får behandlas för entydig specificering av den registrerade vid kreditgivning och indrivning av fordringar, i försäkrings-, kreditinstituts-, betaltjänst-, uthyrnings- och utlåningsverksamhet, i kreditupplysningsverksamhet, inom hälso- och sjukvården, inom socialvården och inom annan verksamhet för att tillförsäkra social trygghet samt i ärenden som gäller tjänste- och arbetsavtalsförhållanden och andra anställningsförhållanden och förmåner som har samband med dessa. 
Utöver vad som i 1 och 2 mom. föreskrivs om behandling av personbeteckningar får en personbeteckning lämnas ut för sådan databehandling som sker i syfte att uppdatera adressuppgifter eller undvika mångfaldig postning, om mottagaren redan har tillgång till personbeteckningen. 
En personbeteckning får inte onödigtvis antecknas i handlingar som skrivs ut eller upprättas på basis av ett personregister. 
En registrerad får inte identifieras uteslutande med personbeteckningen eller en kombination av personbeteckningen och den registrerades namn. 
29 a § Behandling av identifikationskoder 
Den identifikationskod som avses i 11 a § i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009) får behandlas, om behandlingen behövs för entydig specificering av den registrerade i ett informationssystem, för att utföra en i lag angiven uppgift eller för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsansvariges skyldigheter. Den registrerade får inte identifieras med identifikationskoden. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

3. Lag om ändring av lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten 

I enlighet med riksdagens beslut  
ändras i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018) 12 § och  
fogas till lagen en ny 12 a § som följer: 
12 § Behandling av personbeteckningar 
En personbeteckning får behandlas endast om det är viktigt att entydigt specificera den registrerade 
1) för att en behörig myndighet ska kunna utföra en i lag angiven uppgift, 
2) för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter eller uppfylla den registrerades eller den personuppgiftsansvariges skyldigheter, eller 
3) för sådan historisk eller vetenskaplig forskning eller sådan statistikföring som avses i 5 § 3 mom. 
En personbeteckning får inte onödigtvis antecknas i handlingar som skrivs ut eller upprättas på basis av ett register.  
En registrerad får inte identifieras uteslutande med personbeteckningen eller en kombination av personbeteckningen och den registrerades namn. 
12 a § Behandling av identifikationskoder 
Den identifikationskod som avses i 11 a § i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009) får behandlas, om behandlingen behövs för entydig specificering av den registrerade i ett informationssystem, för att utföra en i lag angiven uppgift eller för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsansvariges skyldigheter. Den registrerade får inte identifieras med identifikationskoden. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

4. Lag om ändring av 15 § i lagen om behandling av personuppgifter i migrationsförvaltningen 

I enlighet med riksdagens beslut  
ändras i lagen om behandling av personuppgifter i migrationsförvaltningen (615/2020) 15 § som följer: 
15 § Radering av uppgifter 
Om inte något annat följer av internationella förpliktelser eller av lag, raderas personuppgifter som behandlats med stöd av denna lag enligt följande: 
1) av identifikationsuppgifterna för en person ska kundnummer, namn, födelsetid, kön, personbeteckning, utländsk personbeteckning, någon annan utländsk beteckning för identifiering av personen, medborgarskap och uppgifter om personens familjeband raderas tio år efter att personen har avlidit eller fått finskt medborgarskap eller uppgifterna om ärenden i anknytning till personen har raderats, 
2) andra personuppgifter än de som avses i 1 punkten och uppgifter om ärenden som anknyter till en person ska raderas senast fem år efter att uppehållsrätten upphörde eller den sista uppgiften antecknades i det sista anhängiga ärendet, 
3) personuppgifter som hör till särskilda kategorier av personuppgifter ska raderas genast när de inte längre behövs, 
4) uppgifter om iakttagelser ska raderas sex månader efter att de antecknades. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

5. Lag om ändring av 16 § i lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten 

I enlighet med riksdagens beslut  
ändras i lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten (1301/2021) 16 § 1 mom. 2 punkten som följer: 
16 § Rätt att få uppgifter av andra myndigheter och uppgiftsskyldiga 
Utöver vad som föreskrivs någon annanstans i lag har Brottspåföljdsmyndigheten trots sekretessbestämmelserna rätt att av andra myndigheter få uppgifter som gäller en brottsmisstänkt, en dömd, en fånge, en häktad och en person som avtjänar samhällspåföljd och som behövs för skötseln av en uppgift som gäller verkställigheten av straff eller av häktning, eller för skötseln av någon annan uppgift som ankommer på Brottspåföljdsmyndigheten, enligt följande: 
 En icke ändrad del av lagtexten har utelämnats 
2) ur befolkningsdatasystemet uppgifter om personens namn, personbeteckning, identifikationskod, medborgarskap, hemkommun, adress, släktskap, medboende, död och intressebevakning samt om hans eller hennes minderåriga barn och vårdnad, boende och umgängesrätt i fråga om dem, 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 1 januari 2023. 
 Slut på lagförslaget 

6. Lag om ändring av 3 kap. 15 § i aktiebolagslagen 

I enlighet med riksdagens beslut  
ändras i aktiebolagslagen (624/2006) 3 kap. 15 § 3 mom., sådant det lyder i lag 349/2017, som följer: 
3 kap. 
Aktier 
15 § Aktieägarförteckning 
Kläm 
För de aktier som hör till värdeandelssystemet ska det för en sådan tillfällig anteckning som avses i 5 kap. 6 a § uppges aktieägarens namn och adress, det antal aktier specificerade enligt aktieslag som ska antecknas i aktieägarförteckningen samt personbeteckning, i 11 a § i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009) avsedd identifikationskod eller annan identifikationskod i enlighet med värdepapperscentralens föreskrifter. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

7. Lag om ändring av 4 kap. 14 § i lagen om andelslag 

I enlighet med riksdagens beslut  
ändras i lagen om andelslag (421/2013) 4 kap. 14 § 3 mom., sådant det lyder i lag 357/2017, som följer: 
4 kap. 
Andelar, andelskapital, aktier och aktiekapital 
14 § Medlems- och ägarförteckning 
Kläm 
För de andelar och aktier som hör till värdeandelssystemet ska det för en sådan tillfällig anteckning som avses i 5 kap. 7 a § uppges andelsägarens eller aktieägarens namn och adress, det antal andelar och aktier specificerade enligt andelsslag och aktieslag som ska antecknas i medlems- och ägarförteckningen samt personbeteckning, i 11 a § i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009) avsedd identifikationskod eller annan identifikationskod i enlighet med värdepapperscentralens föreskrifter. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

8. Lag om ändring av 6 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet 

I enlighet med riksdagens beslut  
ändras i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (639/2019) 6 § 2 punkten som följer: 
6 § Behandling av grundläggande personuppgifter 
Gränsbevakningsväsendet får för de ändamål som anges i 7, 8, 10, 12, 13 och 15 § behandla följande grundläggande personuppgifter: 
 En icke ändrad del av lagtexten har utelämnats 
2) personbeteckning och identifikationskod, 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 1 januari 2023. 
 Slut på lagförslaget 

9. Lag om ändring av 13 § i sjöräddningslagen 

I enlighet med riksdagens beslut  
ändras i sjöräddningslagen (1145/2001) 13 § 2 mom. 1 punkten och 3 mom. 1 punkten som följer: 
13 § Uppgifter i sjöräddningsregistret 
Kläm 
I sjöräddningsregistret kan följande uppgifter föras in om lämnandet och mottagandet av ett nödmeddelande: 
1) namn, personbeteckning eller födelsetid, identifikationskod, födelseort och födelseland, kön, medborgarskap eller nationalitet samt andra identifierings- och kontaktuppgifter för specificering av den person som lämnat ett nödmeddelande, 
 En icke ändrad del av lagtexten har utelämnats 
Med anledning av ett kritiskt läge kan följande uppgifter föras in i sjöräddningsregistret: 
1) namn, personbeteckning eller födelsetid, identifikationskod, födelseort och födelseland, kön, medborgarskap eller nationalitet samt andra identifierings- och kontaktuppgifter för specificering av den person som är föremål för ett nödmeddelande eller har räddats ur ett kritiskt läge, 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

10. Lag om ändring av 4 och 10 § i lagen om behandling av personuppgifter i polisens verksamhet 

I enlighet med riksdagens beslut  
ändras i lagen om behandling av personuppgifter i polisens verksamhet (616/2019) 4 § 3 punkten och 10 § 1 mom. 2 punkten som följer: 
4 § Behandling av grundläggande personuppgifter 
Polisen får för de ändamål som anges i 5, 7, 9 och 11 § behandla följande grundläggande personuppgifter: 
 En icke ändrad del av lagtexten har utelämnats 
3) personbeteckning och identifikationskod, 
 En icke ändrad del av lagtexten har utelämnats 
10 § Behandling av personuppgifter i anknytning till kvalitetssäkring av DNA-prov 
Polisen får för kvalitetssäkring av DNA-prov som upptagits i polisens undersökningar, i fråga om andra personer än brottsmisstänkta och okända gärningsmän i anslutning till brott, behandla följande uppgifter: 
 En icke ändrad del av lagtexten har utelämnats 
2) personbeteckning och identifikationskod, 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

11. Lag om ändring av 6 § i lagen om behandling av personuppgifter inom Tullen 

I enlighet med riksdagens beslut  
ändras i lagen om behandling av personuppgifter inom Tullen (650/2019) 6 § 3 punkten som följer: 
6 § Behandling av grundläggande personuppgifter 
Tullen får för de ändamål som anges i 7, 9 och 11–13 § behandla följande grundläggande personuppgifter: 
 En icke ändrad del av lagtexten har utelämnats 
3) personbeteckning och identifikationskod, 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 
 
Statsminister Sanna Marin 
Kommunminister Sirpa Paatero