1
1. Lagförslag
I den svenska lagtexten byts termen registeransvarige ut mot den i dataskyddsförordningen använda termen personuppgiftsansvarige. Denna ändring görs i 4 §, 6 § 2 mom., rubriken för 3 kap., inledande stycket i 23 §, 23 § 2 mom., inledande stycket i 24 §, 25 §, 26 § 1 mom., 27 §, 70 § 1 mom. och 75 §.
2 §.Lagens tillämpningsområde. På motsvarande sätt som i den gällande lagen ska paragrafen innehålla bestämmelser om tillämpningsområdet och den lagstiftning som ska tillämpas på befolkningsdatasystemet, den certifierade elektroniska kommunikationen och behandlingen av uppgifterna i certifikatregistret. I paragrafens 2 mom. 1 punkten stryks hänvisningen till den personuppgiftslag som ska upphävas. I 2 punkten i momentet stryks dessutom hänvisningen till lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003). Det är fråga om en allmän lag som i likhet med förvaltningslagen blir tillämplig utan särskilda bestämmelser.
Till paragrafens 2 mom. fogas en ny 3 punkt där det hänvisas till Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, nedan dataskyddsförordningen, och till dataskyddslagen. Även om dessa bestämmelser tillämpas automatiskt på behandlingen av personuppgifter, används i lagen delvis det nationella handlingsutrymme som avses i dataskyddsförordningen samt undantag från bestämmelserna i förordningen. Av den orsaken är det ändamålsenligt att föreskriva särskilt om att dataskyddsförordningen och dataskyddslagen ska tillämpas om inte något annat föreskrivs i lag. Hänvisningen finns i en separat 3 punkt i stället för i 1 punkten i den gällande paragrafen därför att dataskyddsförordningen kan tillämpas på all slags behandling av personuppgifter i enlighet med befolkningsdatalagen, inte enbart på personuppgifterna i befolkningsdatasystemet.
I den svenska paragrafens 2 mom. görs dessutom språkliga ändringar.
4 §.Personuppgiftsansvariga inom befolkningsdatasystemet. I den svenska paragrafens 1 mom. görs det språkliga ändringar. Paragrafens 2 mom. ändras inte.
Till paragrafen fogas ett nytt 3 mom. där det föreskrivs om hur de skyldigheter som ska härledas ur dataskyddsförordningen ska fördelas mellan registerförvaltningsmyndigheterna. Momentet innehåller en bestämmelse om en särskild uppgiftsfördelning som gäller vissa rättigheter hos den registrerade samt en allmän bestämmelse om fördelningen av de övriga skyldigheterna.
I nya 3 mom. föreskrivs det att magistraten ansvarar för att den registrerades rättigheter enligt artikel 15, 16 och 21 i dataskyddsförordningen tillgodoses i förhållande till den registrerade. I artikel 26.3 i dataskyddsförordningen föreskrivs det att den registrerade alltid får utöva sina rättigheter enligt förordningen med avseende på och emot var och en av de personuppgiftsansvariga, även om dessa genom ett ömsesidigt arrangemang har bestämt något annat om ansvarsområdena. Då ansvaret när det gäller tillgodoseendet av dessa rättigheter hos den registrerade ingår i lagen, är det möjligt att styra den registrerade till magistraten. Trots att det är Befolkningsregistercentralen som producerar de elektroniska tjänster som gör det lättare för den registrerade att utöva sina rättigheter, är det i sista hand magistraten som ansvarar för att den registrerades rättigheter tillgodoses.
Paragrafens 3 mom. innehåller också en allmän bestämmelse om att den personuppgiftsansvariges skyldigheter enligt dataskyddsförordningen i övriga fall ska fördelas enligt vad som förskrivs om ansvaren inom registerföringen. En gemensamt personuppgiftsansvarig som enligt befolkningsdatalagen ansvarar för ett visst delområde inom registerförvaltningen ansvarar även för att den personuppgiftsansvarige fullgör sina skyldigheter inom detta delområde. Exempelvis både magistraten och Befolkningsregistercentralen ansvarar var för sig för efterlevnaden av dataskyddsförordningen inom den verksamhet för utlämnande av uppgifter som hör till dem med stöd av 47 § i lagen. Bägge aktörer ansvarar även till exempel för de förfaranden som ska tillämpas när det görs undantag inom dataskyddet (artikel 33), om undantaget görs inom deras egen verksamhet eller i samband med en uppgift som har ålagts dem. Eftersom Befolkningsregistercentralen med stöd av 4 § 2 mom. ansvarar för den allmänna funktionsdugligheten, datatekniken och dataadministrationen i fråga om det riksomfattande befolkningsdatasystem som drivs med hjälp av automatisk databehandling samt för registerfunktionernas enhetlighet, ansvarar den på en allmän nivå för de skyldigheter för personuppgiftsansvariga som gäller systemet som helhet. Således ansvarar Befolkningsregistercentralen till exempel för inbyggt dataskydd och dataskydd som standard (artikel 25), samarbetet med tillsynsmyndigheten (artikel 31), systemets datasäkerhet (artikel 35), förfaranden vid dataintrång i fråga om personuppgifter (artikel 33) då intrånget gäller befolkningsdatasystemet samt för eventuella konsekvensbedömningar som gäller befolkningsdatasystemet (artikel 35). Om vissa ansvar föreskrivs det också mer konkret i befolkningsdatalagen. Skyldigheten att avföra uppgifter hör enligt 20 § till Befolkningsregistercentralen.
Båda registerförvaltningsmyndigheterna ansvarar i enlighet med artikel 5.2 och 24 för att de kan bevisa att den personuppgiftsansvariges skyldigheter fullgörs.
Syftet med bestämmelsen är inte att ändra den rådande uppgiftsfördelningen vad gäller de gällande skyldigheterna hos den personuppgiftsansvarige. Syftet är att säkerställa att de skyldigheter som preciseras i dataskyddsförordningen fördelas i enlighet med den gällande uppgiftsfördelningen och att uppgiftsfördelningen mellan magistraten och Befolkningsregistercentralen är effektiv även i förhållande till de registrerade.
9 §.Förutsättningar för registrering av utländska medborgare. I paragrafen föreskrivs det om förutsättningarna och förfarandet för registrering av utländska medborgare. Till paragrafens 1 mom. fogas en ny grund i en ny 1 punkt enligt vilken uppgifter om utländska medborgare får registreras i befolkningsdatasystemet om dessa har beviljats i utlänningslagen avsett uppehållstillstånd eller uppehållskort, dessas uppehållsrätt har registrerats eller om Migrationsverket har fattat ett annat positivt beslut om uppehållsrätt som gäller dem. Ordalydelsen gällande uppehållsrätten ändras jämfört med 22 § i den gällande lagen så att förfarandet möjliggör registrering av uppgifter även när en persons beslut om uppehållsrätten baserar sig på någon annan lagstiftning än utlänningslagen. Med stöd av nya 1 punkten kan Migrationsverket registrera uppgifterna i befolkningsdatasystemet samtidigt som den fattar ett positivt beslut om uppehållsrätten. Samma grund kan dock även tillämpas i magistraten eller någon annan myndighet som är behörig att registrera utländska medborgares uppgifter med stöd av befolkningsdatalagen, förutsatt att Migrationsverket före detta har fattat ett positivt beslut om uppehållsrätten. Med anledning av nya 1 punkten blir 1—3 punkterna i den gällande bestämmelsen 2—4 punkter. I den svenska paragrafen görs det dessutom en språklig ändring i 1 mom. 2 punkten. I övrigt motsvarar bestämmelsen 9 § 1 mom. i gällande lag.
I paragrafens 2 mom. föreskrivs det om de fall då en utländsk medborgare bör lägga fram en begäran till magistraten om registrering av uppgifter. Begäran bör läggas fram, om uppgifterna inte har registrerats i befolkningsdatasystemet med stöd av ett beslut om uppehållsrätten i de fall som avses i 1 mom. 1 punkten. Bestämmelsen ska tillämpas både på de fall i vilka den utländska medborgarens uppgifter inte har registrerats i befolkningsdatasystemet överhuvudtaget och på de fall i vilka de uppgifter som har registrerats med stöd av 1 mom. 1 punkten bör kompletteras. Migrationsverket kan med stöd av 22 § registrera endast de uppgifter om den utländska medborgaren som behövs för beviljandet av personbeteckningen samt sådana andra nödvändiga uppgifter om den utländska medborgaren som avses i 13 och 17 §. Sådana uppgifter som inte hör till Migrationsverkets behörighet ska den utländska medborgaren begära att få registrerade hos magistraten.
I paragrafens 3 mom. föreskrivs det om säkerställandet av den utländska medborgarens identitet. Vad gäller förfarandet motsvarar momentet 9 § 1 mom. 2 punkten i den gällande lagen. Det ska dock i stället för magistraten hänvisas till den myndighet som ska registrera uppgifterna. I stället för den som framställer begäran hänvisas det i 3 mom. till den utländska medborgaren, eftersom begäran inte längre ska vara en förutsättning för registrering av uppgifter när registrering sker med stöd av uppehållsrätten.
Paragrafens 4 mom. motsvarar 9 § 3 mom. i den gällande lagen, men hänvisningen till personuppgiftslagen ändras till en hänvisning till dataskyddsförordningen. Hänvisningen till 1 mom. 3 punkten ändras vad gäller numrorna.
13 §.Personuppgifter som registreras i systemet. I paragrafens 1 mom. 21 punkt stryks hänvisningen till den personuppgiftslag som ska upphävas. Det ska hänvisas till dataskyddsförordningen, i vilken det i artikel 21.2 föreskrivs om en persons rätt att förbjuda att hans eller hennes uppgifter behandlas för direktmarknadsföring.
Dessutom ersätts ordet begränsningar i den gällande bestämmelsen med ordet förbud. Syftet är inte att ändra det rådande rättsläget, utan att göra en förtydligande språklig ändring. För att artikel 18 i dataskyddsförordningen innehåller en separat bestämmelse om rätten att begränsa behandlingen av uppgifter, som skiljer sig från de förbud mot utlämnande av uppgifter som avses i paragrafen, är det ändamålsenligt att undanröja risken för att begränsningen av behandlingen förväxlas med förbudet mot utlämnande av uppgifter.
I den svenska paragrafen görs det dessutom en språklig ändring i 1 mom. 21 punkten.
22 §.Övriga myndigheters behörighet. I paragrafen ska det på motsvarande sätt som i den gällande paragrafen föreskrivas om den behörighet inom befolkningsdatasystemet som gäller andra myndigheter än magistraterna och Befolkningsregistercentralen. Bestämmelserna i paragrafens 1 mom. motsvarar i huvudsak gällande 22 § 1 mom., men hänvisningen till 9 § rättas så att den överensstämmer med de ändrade numrorna för punkterna i paragrafens 1 mom. I paragrafens 1 mom. hänvisas det i fortsättningen även till nya punkt 1 i 9 § 1 mom. En begäran om registrering av uppgifter kan i fortsättningen lämnas till Skatteförvaltningen då ett positivt beslut om uppehållsrätten har fattats av Migrationsverket, men Migrationsverket ännu inte har registrerat uppgifterna i befolkningsdatasystemet.
I paragrafens 2 mom. föreskrivs det om de skyldigheter som Folkpensionsanstalten och Skatteförvaltningen ska fullgöra då de tar emot begäranden om registrering av uppgifter om utländska medborgare. Innehållet i dessa skyldigheter ändras inte. Momentet ändras endast så att Migrationsverket och finska beskickningar inte längre ska ta emot begäranden om registrering av uppgifter om utländska medborgare. Således behöver det inte heller föreskrivas om förfarandena för begäran när det gäller dessa aktörer.
I paragrafens 3 mom. föreskrivs det om Skatteförvaltningens och Migrationsverkets behörighet att registrera uppgifter om utländska medborgare i befolkningsdatasystemet. Skatteförvaltningens behörighet ändras endast så att denna blir behörig att registrera uppgifter om utländska medborgare även i de fall som avses i 9 § 1 mom. 1 punkten, om Migrationsverket inte redan har registrerat uppgifterna. I paragrafens 3 mom. föreskrivs det att Migrationsverket får registrera uppgifter om utländska medborgare i befolkningsdatasystemet i de fall som avses i 9 § 1 mom. 1 punkten. När Migrationsverket registrerar uppgifter ska detta inte längre förutsätta en begäran av den utländska medborgaren. Ändringen inverkar inte på vilka uppgifter om utländska medborgare Migrationsverket har rätt att registrera. Även i fortsättningen ska Migrationsverket registrera endast de s.k. begränsade uppgifter som det föreskrivs om i 20 § i förordningen om befolkningsdatasystemet. Till övriga delar kompletteras uppgifterna hos magistraten. Dessutom ska det föreskrivas att finska beskickningar på Migrationsverkets vägnar får ta emot sådana personuppgifter och handlingar som en utländsk medborgare har lämnat in för registrering i befolkningsdatasystemet. Detta motsvarar nuläget. En finsk beskickning betraktas inte vara den instans som lämnar in uppgifterna, utan den förmedlar handlingarna vidare till Migrationsverket för registrering. De finska beskickningarna ska dock fortfarande försäkra sig om den utländska medborgarens identitet. Eftersom de finska beskickningarna inte omfattas av bestämmelserna i 22 § 2 mom. eller 9 § 3 mom. föreskrivs det särskilt i 3 mom. att en finsk beskickning ska försäkra sig om den utländska medborgarens identitet genom ett giltigt resedokument eller, om detta saknas, genom en annan handling eller utredning i enlighet med förfarandet i 19 §.
I paragrafen görs även tekniska ändringar som en följd av att momentstrukturen i 9 och 22 § ändras. Termen Folkpensionsanstaltens lokalbyrå ändras till termen Folkpensionsanstaltens byrå enligt termilonogin i lagen om Folkpensionsanstalten (731/2001). I den svenska paragrafen görs även språkliga ändringar. Till övriga delar motsvarar paragrafen den gällande bestämmelsen.
28 §.Allmänna förutsättningar för utlämnande av uppgifter. Paragrafen motsvarar den gällande lagen vad gäller syftet och det huvudsakliga innehållet. Paragrafen uppdelas i två moment. I 1 mom. föreskrivs det att uppgifter i befolkningsdatasystemet får lämnas ut endast om förutsättningarna för utlämnande av uppgifter enligt befolkningsdatalagen är uppfyllda och inte något annat följer av en persons rätt att förbjuda att uppgifter om honom eller henne lämnas ut. I detta moment föreskrivs det också om kravet om att uppgifterna ska vara behövliga. Syftet med paragrafen är inte att avvika från bestämmelserna i dataskyddsförordningen eller dataskyddslagen, utan dessa tillämpas till fullo på utlämnandet av uppgifter i befolkningsdatasystemet, om inte något annat föreskrivs någon annanstans i lag. Ett sådant undantag görs i föreslagna 74 a §. Syftet med första meningen i 28 §, enligt vilken uppgifter i befolkningsdatasystemet får lämnas ut endast om förutsättningarna för utlämnande av uppgifter enligt befolkningsdatalagen är uppfyllda, är att säkerställa att lagens förutsättningar till exempel i fråga om behandlingen av uppgifter som omfattas av spärrmarkering (37 §), om utlämnande av uppgifter som omfattas av särskilda begränsningar (38—42 §), om förfaranden och metoder för utlämnande av uppgifter (46 §) samt om skyddet av uppgifter (44 §) inte kringgås genom de rättigheter att erhålla uppgifter om vilka det föreskrivs i någon annan speciallagstiftning. Befolkningsdatalagen ska alltid tillämpas när uppgifter i befolkningsdatasystemet lämnas ut. Samtidigt ska dock också dataskyddsförordningen och dataskyddslagen tillämpas på behandlingen och utlämnandet av uppgifterna i befolkningsdatasystemet.
De bestämmelser i befolkningsdatalagen som gäller utlämnandet av uppgifter (29—34 §) innehåller utöver de allmänna förutsättningarna i 28 § även närmare bestämmelser om vilka användargrupper och vilka användningsändamål uppgifterna får utlämnas till. Enligt den allmänna grunden i lagens 34 § 3 mom. får dock uppgifter i befolkningsdatasystemet lämnas ut om sökanden är berättigad att behandla dessa uppgifter enligt dataskyddsförordningen, dataskyddslagen eller någon annan lag. De allmänna förutsättningarna för utlämnande av uppgifter ska alltid uppfyllas även i dessa fall.
Till paragrafens 1 mom. fogas en bestämmelse enligt vilken registerförvaltningsmyndigheten ska säkerställa att mottagaren har rätt att behandla uppgifterna då uppgifter som hör till särskilda kategorier av personuppgifter lämnas ut. Mottagarens rätt kan basera sig direkt på dataskyddsförordningen eller på de särskilda behandlingsgrunderna i 6 § i dataskyddslagen. Även i fortsättningen är det den registeransvarige i egenskap av mottagare av uppgifterna som ska ansvara för att dess behandling av uppgifterna följer dataskyddsförordningen och dataskyddslagen. Registerförvaltningsmyndigheten är till exempel inte skyldig att övervaka att grunden för behandlingen av de särskilda personuppgifterna tillämpas till alla delar på mottagarens faktiska verksamhet eller att mottagaren av uppgifterna har vidtagit de lämpliga och särskilda åtgärder som avses i 6 § 2 mom. i dataskyddslagen för att skydda den registrerades rättigheter.
I paragrafens 2 mom. ska fortsättningsvis föreskrivas att uppgifterna inte får lämnas ut, om utlämnandet av grundad anledning kan misstänkas kränka skyddet för en persons privatliv eller skyddet för hans eller hennes personuppgifter, kränka hans eller hennes intressen eller rättigheter eller äventyra statens säkerhet. I paragrafen preciseras dock att uppgifterna inte heller får utlämnas om samma risk gäller mottagarens verksamhet. Genom ändringen säkerställer man att registerförvaltningsmyndigheten kan neka utlämnande av uppgifter när själva utlämnandet av uppgifterna ur befolkningsdatasystemet inte i sig kränker skyddet av personuppgifterna men mottagaren har gjort sig skyldig exempelvis till dataintrång.
I den svenska paragrafen görs dessutom en språklig ändring.
30 §.Utlämnande av uppgifter för historisk och vetenskaplig forskning samt för sammanställning av statistik. Hänvisningen till den personuppgiftslag som upphävs stryks i paragrafen. I fortsättningen kräver behandling av uppgifter för historisk och vetenskaplig forskning, för sammanställning av statistik samt för en myndighets planerings- och utredningsuppgifter en sådan rättslig grund som avses i dataskyddsförordningen. Grunderna för behandling ska inte längre föreskrivas i personuppgiftslagen, och således är hänvisningen till den onödig. Syftet med bestämmelsen är även i fortsättningen att förtydliga registerförvaltningsmyndigheternas verksamhet. Uppgifter för historisk och vetenskaplig forskning, för sammanställning av statistik samt för myndigheters planerings- och utredningsuppgifter får fortfarande lämnas ut, om det finns en rättslig grund enligt dataskyddsförordningen. Kravet om den rättsliga grunden kan härledas ur de allmänna förutsättningar för utlämnande som finns i 28 § i lagen och vidare ur dataskyddsförordningen. Det behöver inte föreskrivas särskilt om detta.
32 §.Utlämnande av uppgifter för skötsel av kundrelationer och för marknadsföring. I 1 mom. i den svenska paragrafen görs det en språklig ändring. Till 2 mom. fogas en bestämmelse enligt vilken man utöver adress och kontaktuppgifter även kan lämna ut uppgifter om en persons kön, ålder och modersmål när det behövs som bakgrundsinformation för opinionsundersökningar med samhälleliga syften. Bakgrundsinformationen får inte användas för andra ändamål, utan de ska endast kunna utnyttjas inom opinionsundersökningen för att hitta rätt målgrupp och planera undersökningen.
33 §.Utlämnande av uppgifter för släktforskning och personmatriklar. Paragrafen upphävs. Personuppgiftslagen ska inte längre innehålla den rättsliga grunden för behandling av uppgifter för släktforskning och personmatriklar. Den rättsliga grund som kan härledas ur dataskyddsförordningen behövs i fortsättningen även för dessa ändamål. Uppgifter ur befolkningsdatasystemet ska även i framtiden kunna lämnas ut för släktforskning och personmatriklar när den som ska behandla uppgifterna har en saklig rättslig grund för det. Det mest sannolika är att denna rättsliga grund kommer att vara artikel 6.1 f) i dataskyddsförordningen, dvs. att behandlingen av uppgifterna är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen. Utlämnandet av uppgifter kan i fortsättningen dock ske med stöd av 34 § 3 mom., och således behövs ingen separat paragraf om detta.
34 §.Annat utlämnande av uppgifter. Paragrafens 3 mom. ändras så att det i stället för personuppgiftslagen hänvisas till dataskyddsförordningen och dataskyddslagen, i vilka de rättsliga grunderna samt förutsättningarna för behandling av uppgifter föreskrivs i fortsättningen. För tydlighetens skull ska det dessutom föreskrivas att de allmänna förutsättningarna i 28 § ska uppfyllas även då uppgifter utlämnas med stöd av 34 § 3 mom. Alla allmänna förutsättningar ska uppfyllas. Uppgifterna ska till exempel alltid vara behövliga för det ändamål för vilket uppgifterna lämnas ut. Uppgifter får inte lämnas ut ifall det finns skäl att misstänka att utlämnandet eller mottagarens verksamhet kan äventyra skyddet av personuppgifter. Dessutom ska även dataskyddsförordningen och dataskyddslagen tillämpas på utlämnandet. Med stöd av lagens 28 § ska man även tillämpa de övriga förutsättningar för utlämnande av uppgifter som finns i befolkningsdatalagen, som till exempel bestämmelserna om förfarandena och metoderna vid utlämnande.
35 §.Allmän förbudsrätt. På motsvarande sätt som i den gällande lagen föreskrivs det i paragrafens 1 mom. om de förbud som gäller utlämnande av personuppgifter. I momentet hänvisas det i stället för personuppgiftslagen till artikel 21 i dataskyddsförordningen i vilken det i fortsättningen föreskrivs om den registrerades rätt att förbjuda behandling av sina uppgifter för direktmarknadsföring. Hänvisningen förtydligar bestämmelsen.
Till paragrafen fogas ett nytt 2 mom. där det föreskrivs om personens rätt att förbjuda utlämnande av sina uppgifter för personmatriklar eller släktforskning. Detta förbud har tidigare funnits i personuppgiftslagen. Eftersom det även i fortsättningen ska vara möjligt att lämna ut uppgifter för dessa ändamål med stöd av 34 § 3 mom., behövs det föreskrivas särskilt om det förbud som gäller dessa ändamål. Förbudet ska grunda sig på befolkningsdatalagen, inte på personuppgiftslagen, men statusen för och tillämpningen av det inom befolkningsdatasystemet ändras inte.
I paragrafens 3 mom. ska det på motsvarande sätt som i gällande 35 § 2 mom. föreskrivas om de undantag som får göras i fråga om förbudet mot utlämnande av adresser och andra kontaktuppgifter. I fråga om undantaget ska det för tydlighetens skull tilläggas att förbudet inte heller på basis av 34 § 1 mom. hindrar utlämnande av uppgifter för sådan verksamhet där uppgifterna används för att en person, ett företag eller en organisation ska kunna göra sina rättigheter gällande eller fullgöra sina skyldigheter. I sådana situationer har uppgifter lämnats ut till exempel för bouppteckningar, och detta ändamål nämns också i de ursprungliga grunderna i bestämmelsen. Paragrafen har dock saknat en hänvisning till 34 § 1 mom. på vilket utlämnandet av dessa uppgifter i praktiken bygger. Till momentet fogas dessutom en bestämmelse med stöd av vilken Befolkningsregistercentralen på basis av 32 § 2 mom. får lämna ut uppgifter för verksamhet där det är fråga om en utredning eller undersökning som gäller det allmänna intresset eller personernas rättigheter eller intressen. Bestämmelsen hänvisar främst till sådana opinions- och enkätundersökningar som är nära kopplade till mottagarens intressen eller rättigheter. Det kan till exempel vara fråga om en enkät om bullerkonsekvenserna i ett bostadsområde. Förutsättningarna ska tolkas snävt. Bestämmelsen tillåter inga sådana enkäter vars egentliga ändamål kan anses vara direktmarknadsföring.
På motsvarande sätt som i gällande 35 § 3 mom. föreskrivs det i 4 mom. i paragrafen om lämnande av anmälan om förbudet. Bestämmelsen ändras så att förbudet kan anmälas till Befolkningsregistercentralen enbart genom en elektronisk tjänst. Ett förbud kan fortfarande anmälas hos magistraten också skriftligen eller på något annat tillförlitligt sätt som lämpar sig för ändamålet.
37 §.Behandling av uppgifter som omfattas av spärrmarkering. Paragrafens 3 mom. ändras så att hänvisningen till den rätt till insyn som avses i 26 § i personuppgiftslagen stryks och det i stället hänvisas till artikel 15 i dataskyddsförordningen där det föreskrivs om personens rätt att få tillgång till uppgifter.
43 §.Utlämnande av identifieringsuppgifter. I paragrafens 1 mom. ersätts hänvisningarna till personuppgiftslagen med hänvisningar till dataskyddslagen och till lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (/). I 1 mom. stryks dessutom omnämnandet om att personbeteckningar får behandlas på basis av vad som föreskrivs i någon annan lag. I fortsättningen ska samtliga förutsättningar för behandling av personbeteckningar finnas i dataskyddslagen och i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. De förutsättningar som anges i dataskyddslagen för behandling av personbeteckningar ska alltid uppfyllas även om det föreskrivs särskilt om behandlingen i någon annan lag. Även lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ska innehålla uttömmande bestämmelser om behandling av personbeteckningar inom lagens tillämpningsområde. Med stöd av denna paragraf är det till exempel möjligt att behandla personbeteckningar när detta är viktigt för att myndigheten ska kunna sköta en lagstadgad uppgift. Denna förutsättning ska prioriteras framom kravet om behovet. Således ska det i 43 § 1 mom. i fortsättningen inte hänvisas till andra lagar i samband med behandlingen av personbeteckningar, utan de förutsättningar som ska uppfyllas ska alltid finnas antingen i dataskyddslagen eller i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten.
I paragrafens 1 mom. stryks bestämmelsen om att en personbeteckning eller ett utländskt personnummer får antecknas i ett intyg eller utdrag ur befolkningsdatasystemet endast om intyget eller utdraget utfärdas för en specifik uppgift eller åtgärd som föreskrivs i lag eller i en förordning som utfärdats med stöd av lag. Både dataskyddslagen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ska i samband med förutsättningarna för behandling av personbeteckningar innehålla en bestämmelse om att personbeteckningar inte får antecknas i onödan i de handlingar som skrivs ut eller upprättas. Dessa bestämmelser tillsammans med de förutsättningar för behandlingen av uppgifter som finns i dessa två lagar ska i fortsättningen tillämpas direkt även på antecknandet av personbeteckningar i intyg eller utdrag. Även i dessa fall är det fråga om att lämna ut personbeteckningar.
Den föråldrade frasen i paragrafens 1 mom. om att lagen ska iakttas i tillämpliga delar ska strykas. Det som föreskrivs i dataskyddslagen om personbeteckningar ska också tillämpas på utlämnandet av utländska personnummer. Ändringen är språklig.
44 §.Redogörelse för användningen och skyddet av uppgifter. Till paragrafen fogas ett nytt 2 mom. där det föreskrivs om ett undantag från 1 mom. 1 punkten när det gäller de uppgifter som avses i 43 §. Då det är fråga om en situation som avses i 1 mom. 1 punkten, men utlämnandet inte innefattar andra sådana uppgifter som avses i 36—42 § än personbeteckning eller elektronisk kommunikationskod, är det inte obligatoriskt att lämna en redogörelse för skyddet av uppgifterna. Vid behov kan registerförvaltningsmyndigheten fortfarande kräva att användaren lämnar en redogörelse även i sådana situationer, men som ett alternativ blir det möjligt att ställa minimikrav på användaren i fråga om användningen och skyddet av uppgifterna. För att få ta emot uppgifterna ska då användaren förbinda sig till att uppfylla de minimikrav som registerförvaltningsmyndigheten ställer, men av sökanden krävs ingen separat försäkring eller utredning om uppfyllandet av kraven. I verkligheten får minimikraven inte kräva en skyddsnivå som är högre än den som registerförvaltningsmyndigheten skulle kräva av de aktörer som lämnar en redogörelse för användningen och skyddet av uppgifter. Det ankommer på registerförvaltningsmyndigheten att välja mellan dessa förfaranden. Särskilt när uppgifter lämnas ut till myndigheter kan det vara ändamålsenligt att tillämpa minimikrav.
47 §.Myndigheter som beslutar om utlämnande av uppgifter. Till paragrafen fogas ett nytt 4 mom. där det föreskrivs om produktionen av allmänt nödvändiga tjänster. Bestämmelsen medför varken ändringar av fördelningen av behörigheten mellan Befolkningsregistercentralen och magistraterna eller undantag från denna, utan det konstateras för tydlighetens skull att registerförvaltningsmyndigheten har till uppgift att inom ramen för sin behörighet producera sådana tjänster som gör det möjligt att utnyttja uppgifter i befolkningsdatasystemet. Registerförvaltningsmyndigheten ska tillämpa prövning vid tillhandahållandet av tjänsten, och de tjänster som tillhandahålls ska vara behövliga med tanke på samhällets informationsförsörjning.
50 a §.Upphörande med att lämna ut uppgifter. I paragrafen föreskrivs det att en registerförvaltningsmyndighet kan upphöra med utlämnandet av uppgifter, om de förutsättningar för utlämnande av uppgifter som föreskrivs i lagen inte längre uppfylls. Förutsättningarna i 28 § i lagen ska alltid uppfyllas när uppgifter i befolkningsdatasystemet lämnas ut. Vissa paragrafer innehåller dessutom särskilda förutsättningar för utlämnandet av uppgifter. När det handlar om enskilda fall av utlämnande av uppgifter, kan registerförvaltningsmyndigheten alltid neka att fortsätta lämna ut uppgifter, om mottagaren inte längre uppfyller förutsättningarna. Befolkningsregistercentralen producerar dock även sådana tjänster för vilka den beviljar permanenta tillstånd till uppgifter. I paragrafen ska för tydlighetens skull föreskrivas att registerförvaltningsmyndigheten även får bestämma att upphöra med utlämnandet av uppgifter.
I paragrafen föreskrivs att beslut om upphörande med utlämnandet av uppgifter ska fattas skriftligen. Rättelse i ett sådant beslut får sökas med stöd av 76 a §.
64 §.Ändring av elektroniska kommunikationskoder. I paragrafen föreskrivs om ändring av elektroniska kommunikationskoder. Trots det som föreskrivs i 64 § i den gällande lagen ska paragrafen inte innehålla en bestämmelse om rättelse av felaktiga elektroniska kommunikationskoder. I stället föreskrivs det i nya 1 mom. att en elektronisk kommunikationskod ska ändras på tjänstens vägnar när en personbeteckning ändras i de fall som avses i 12 § 2 mom. Eftersom personbeteckningen och den elektroniska koden utgör ett par på grund av deras tekniska koppling, är det ändamålsenligt att den elektroniska kommunikationskoden ändras alltid när personbeteckningen ändras. Ändringar ska fortfarande utgöra undantag, eftersom förutsättningarna för ändring av personbeteckningen även i fortsättningen uppfylls endast i särskilda undantagsfall och endast om det är uppenbart att det finns en grund för ändringen. I praktiken behöver den elektroniska kommunikationskoden dock alltid ändras när personbeteckningen ändras.
I paragrafens 2 och 3 mom. bevaras de bestämmelser i gällande paragraf som gäller ändring enbart av den elektroniska kommunikationskoden samt förfarandet angående detta.
66 §.Ansökan om och utfärdande av medborgarcertifikat. I paragrafens 2 och 3 mom. ersätts hänvisningarna till personuppgiftslagen med hänvisningar till dataskyddsförordningen och dataskyddslagen.
67 §.Ansökan om och utfärdande av andra certifikat. I paragrafens 1 mom. ersätts hänvisningen till personuppgiftslagen med en hänvisning till dataskyddsförordningen och dataskyddslagen. Till 1 mom. fogas dessutom en hänvisning till autentiseringslagen (617/2009). De certifikat i paragrafen som utgör verktyg för stark elektronisk autentisering omfattas även av bestämmelserna i autentiseringslagen. Då den i gällande bestämmelsen hänvisade EU-förordningen om elektronisk identifiering som gäller utfärdande av certifikat ska tillämpas ska även autentiseringslagens bestämmelser om det säkerställande av identiteten som staten garanterar tillämpas. Den tillfogade hänvisningen garanterar också att hänvisningarna i 66 och 67 § till den lagstiftning som ska tillämpas är enhetliga. Detta är ändamålsenligt med tanke på certifikatverksamheten i praktiken. Utöver detta görs det även språkliga ändringar i 1 mom.
74 a §.Rätt till begränsning av behandling. I paragrafen föreskrivs om undantag från artikel 18 i dataskyddsförordningen till den del personuppgifter behandlas i befolkningsdatasystemet eller i de system som hänför sig till verksamhet som bedrivs av Befolkningsregistercentralens certifikatutfärdare. Undantaget bygger på artikel 23.1 e) i dataskyddsförordningen.
76 §.Rättelse av uppgifter. I paragrafen stryks de bestämmelser som gäller den personuppgiftsansvariges skyldighet att rätta, avföra eller komplettera sådana uppgifter i befolkningsdatasystemet som är felaktiga, onödiga, bristfälliga eller föråldrade. Dessutom stryks bestämmelserna om det förfarande som ska iakttas när den personuppgiftsansvarige inte godkänner den registrerades krav om att rätta en uppgift eller när en uppgift rättas i strid med den redogörelse som den berörda personen har lämnat. Bestämmelserna är onödiga därför att den registrerades rättigheter, de personuppgiftsansvarigas skyldigheter och reglerna om förfarandena kan härledas direkt ur dataskyddsförordningen, nämligen ur artikel 12.4 och den registrerades rättigheter i artiklarna 16 och 17. I fortsättningen kan den registrerade med stöd av dataskyddsförordningen kräva att hans eller hennes uppgifter ska rättas, avföras eller kompletteras. Dataskyddsförordningen omfattar i tillräcklig omfattning även registerförvaltningsmyndighetens skyldighet att på eget initiativ rätta felaktiga uppgifter. I artikel 5.1 d) förutsätts det att de uppgifter som behandlas är exakta och uppdateras vid behov. Den personuppgiftsansvarige ska vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt punkterna c) och e) i artikel 5.1 i förordningen ska även onödiga uppgifter raderas omedelbart
I nya 1 mom. föreskrivs det på motsvarande sätt som i gällande 3 mom. att det ska begäras ett utlåtande om saken av Migrationsverket, om magistraten rättar en uppgift som gäller en registeranteckning om en utländsk medborgare. Formuleringen ändras på grund av att paragrafens struktur ändras, och förändrar således inte det rådande rättsläget.
Nya 2 mom. motsvarar den bestämmelse i gällande 1 mom. som gäller det förfarande som ska iakttas när den personuppgiftsansvarige rättar uppgifter på eget initiativ. Innehållet eller språket i bestämmelsen ändras inte.
78 §.Hänvisningar till straffbestämmelser. I paragrafens 2 mom. stryks hänvisningen till de personregisterförseelser som avses i personuppgiftslagen. Personuppgiftslagen upphävs, och i dataskyddslagen föreslås det ingen motsvarande bestämmelse. Dessutom ersätts hänvisningen till personregisterbrott i paragrafens 2 mom. med en hänvisning till dataintrång. Den terminologiska ändringen är en följd av den motsvarande ändring som föreslås i strafflagen.
3
3. Förhållande till grundlagen och lagstiftningsordning
Enligt grundlagens 10 § 1 mom. ska vars och ens privatliv tryggas och skyddet av personuppgifter föreskrivas i lag. Hänvisningen till grundlagen om skydd för personuppgifter förutsätter att det ska lagstiftas om denna rättighet, men detaljerna lämnas åt lagstiftarens prövning.
Enligt grundlagsutskottets etablerade praxis begränsas dock lagstiftarens handlingsutrymme av att skyddet av personuppgifter delvis ingår i det skydd för privatlivet som ingår i samma moment. Lagstiftaren ska trygga denna rättighet på ett sätt som kan anses godtagbart med tanke på systemet med de grundläggande fri- och rättigheterna. Utskottet har i sin avgörandepraxis åtminstone betraktat syftet med registreringen, innehållet i de personuppgifter som registreras, de tillåtna ändamålen för dem inklusive utlämnande av uppgifter samt förvaringstiden för uppgifter i ett personregister och den registrerades rättsskydd som viktiga aspekter att utfärda bestämmelser om med tanke på skyddet av personuppgifter. Dessutom ska regleringen av dessa faktorer på lagnivå vara omfattande och detaljerad (t.ex. GrUU 31/2017 rd, GrUU 13/2016 rd, s. 3—4).
I propositionen föreslås inga ändringar av ändamålet för och datainnehållet i befolkningsdatasystemet. I den bestämmelse i 13 § i befolkningsdatalagen som gäller datainnehållet görs en teknisk ändring som inte ändrar innehållet i bestämmelsen. I fråga om den registrerades rättsskydd och de bestämmelser om när uppgifter kan lämnas ut föreslås det några ändringar. Innehållet i dessa samt deras överensstämmelse med grundlagen beskrivs nedan.
Grundlagsutskottet har i sin praxis noterat vad och vem rätten att få uppgifter gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få uppgifter och möjlighet att lämna ut uppgifter har kunnat gälla ”behövliga uppgifter” för ett visst ändamål, om lagen ger en uttömmande förteckning över uppgiftsinnehållet. Om innehållet däremot inte anges i form av en förteckning, har det enligt utskottet krävts att det i lagstiftningen ingår ett krav på att "uppgifterna är nödvändiga" för ett visst syfte (se t.ex. GrUU 31/2017 rd, GrUU 17/2016 rd, s. 2—3 och de utlåtanden som nämns i det).
Utskottet har i sin praxis även bedömt den kärna i skyddet av personuppgifter som utgör en del av privatlivet och som gäller tillåtelse av behandling av känsliga personuppgifter (GrUU 37/2913 rd, s. 2/I). När utskottet har bedömt omfattningen, exaktheten och innehållet i fråga om regleringen om de uppgifter som ska fås och lämnas ut trots sekretessen har utskottet beaktat att de uppgifter som lämnas ut är av känslig natur (se t.ex. GrUU 38/2016 rd, s. 3).
Propositionen innehåller förslag till ändring av befolkningsdatalagens bestämmelser om utlämnande av uppgifter. När det gäller dessa bör det dock noteras att 13—17 § i befolkningsdatalagen innehåller detaljerade och noggrant avgränsade bestämmelser om de uppgifter som ska registreras i befolkningsdatasystemet. Det är endast en liten del av uppgifterna som kan klassificeras som känsliga. Befolkningsdatalagen innehåller även detaljerade bestämmelser om utlämnandet av uppgifterna och om de begränsningar som gäller behandlingen och utlämnandet av uppgifterna.
I propositionen föreslås det att paragrafen om det särskilda utlämnande av uppgifter som gäller personmatriklar och släktforskning upphävs. När uppgifter lämnas ut för dessa ändamål ska man tillämpa 34 § 3 mom. i befolkningsdatalagen, enligt vilket uppgifter får lämnas ut när mottagaren har rätt att behandla uppgifterna med stöd av dataskyddsförordningen, dataskyddslagen eller någon annan lag, och när de allmänna förutsättningarna, inklusive uppgifternas nödvändighet för ett visst ändamål, uppfylls. För personmatriklar och släktforskning får man inte lämna ut uppgifter som kan anses vara känsliga. Till exempel adoptionsuppgifter eller uppgifter om fastställande av könstillhörighet kan med stöd av 38 och 40 § i befolkningsdatalagen inte lämnas ut för personmatriklar eller släktforskning. Sådana uppgifter kan lämnas ut när det grundar sig på ett behov och när den som tar emot uppgifterna har rätt att behandla uppgifterna. Lagens 34 § 3 mom. motsvarar de krav som grundlagsutskottet har ställt för utlämnande av uppgifter för personmatriklar eller släktforskning.
I propositionen föreslås en ändring av bestämmelsen om utlämnande av uppgifter för historisk och vetenskaplig forskning, för sammanställning av statistik samt för myndigheters planerings- och utredningsuppgifter. I bestämmelsen stryks hänvisningen till personuppgiftslagen i fråga om förutsättningarna för behandling för dessa ändamål. Enligt förslaget ska det för dessa ändamål få lämnas ut sådana uppgifter som behövs för undersökningar, utredningar eller utförande av andra motsvarande uppgifter. På basis av de allmänna förutsättningarna i 28 § i befolkningsdatalagen krävs det dessutom att mottagaren har rätt att behandla uppgifterna enligt dataskyddsförordningen. Utlämnandet av känsliga uppgifter för dessa ändamål ska även i fortsättningen föreskrivas särskilt i 37—43 § i befolkningsdatalagen. För dessa ändamål får uppgifter lämnas ut när det grundar sig på ett behov och när den som tar emot uppgifterna har rätt att behandla uppgifterna enligt dataskyddsförordningen. Bestämmelsen motsvarar de krav som har ställts av grundlagsutskottet.
I föreslagna 32 § i befolkningsdatalagen föreskrivs det med avvikelse från den gällande lagen att man som bakgrundsinformation för opinionsundersökningar ska få lämna ut uppgifter om personers könstillhörighet, ålder och modersmål, om det är fråga om en undersökning som har samhälleliga syften. Denna detaljerade bestämmelse om utlämnande av uppgifter uppfyller de krav som ställts av grundlagsutskottet. Bestämmelsen ändras inte i övrigt.
Den ändring som föreslås i 43 § i befolkningsdatalagen är teknisk. Om förutsättningarna för behandling av personbeteckningar föreskrivs det i fortsättningen i dataskyddslagen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten i stället för personuppgiftslagen. Bestämmelsen ändras i enlighet med detta.
I Europeiska unionens allmänna dataskyddsförordning fastställs reglerna för skydd för fysiska personer med avseende på behandling av personuppgifter samt de regler som gäller personuppgifternas fria flöde. Grundlagsutskottet har inte ansett att det finns något hinder för att till vissa delar uppfylla kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet av personuppgifter genom en ändamålsenligt beredd allmän unionsförordning eller genom en allmän nationell lag (GrUU 31/2017 rd, GrUU 5/2017 rd, s. 9, GrUU 38/2016 rd, s. 4, GrUU 54/2010 rd, s. 2/I—II).
Enligt grundlagsutskottet är det viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se GrUU 31/2017 rd och 25/2005 rd). Utskottet har framhållit att det i regeringens proposition därför finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 31/2017 rd, GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2, GrUU 44/2016 rd, s. 4).
I artikel 23 i dataskyddsförordningen ges medlemsstater nationellt handlingsutrymme vad gäller tillämpningsområdet för de registrerades rättigheter. I medlemsstaternas lagstiftning kan man genom lagstiftningsåtgärder begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12—22, 34 och 5, om man i begränsningen iakttar de grundläggande fri- och rättigheterna till centrala delar, och om begränsningen utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle så att det rättsgoda som avses i artikel 23 kan garanteras. En av grunderna för begränsning är enligt artikel 23.1 e) att en medlemsstats viktiga mål av generellt allmänt intresse kan säkerställas. Dessa mål gäller särskilt en medlemsstats viktiga ekonomiska eller finansiella intressen, folkhälsa och sociala trygghet.
I propositionen föreslås det en bestämmelse genom vilken tillämpningsområdet i artikel 18 i dataskyddsförordningen begränsas så att den registrerade inte har rätt att begära begränsning av behandlingen av sina uppgifter i befolkningsdatasystemet eller i de system som hänför sig till verksamhet som bedrivs av Befolkningsregistercentralens certifikatutfärdare. Även om man inte gör undantag från artikeln, ska dess tillämpningsområde i befolkningsdatasystemet eller i de system som hänför sig till verksamhet som bedrivs av Befolkningsregistercentralens certifikatutfärdare begränsas så att en person kan begära att få behandlingen av uppgifterna begränsad om uppgifterna är felaktiga. Bestämmelsen är av betydelse även med tanke på den registrerades rättsskydd.
I befolkningsdatalagen föreskrivs det i detalj om datainnehållet i befolkningsdatasystemet, om administreringen av uppgifterna inklusive säkerställandet av riktigheten hos dem, om utlämnandet av uppgifter samt om uppgifternas offentliga tillförlitlighet. I fråga om certifikatregistren finns de detaljerade bestämmelserna om behandlingen av personuppgifterna i befolkningsdatalagen och i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009). Dessa lagar innehåller detaljerade bestämmelser om datainnehållet i certifikatregister, om insamlingen av uppgifter, om säkerställandet av uppgifternas aktualitet och om utlämnandet av uppgifter. Till övriga delar ska dataskyddsförordningen tillämpas på behandlingen av befolkningsdatasystemet och uppgifterna i register inom certifikatverksamheten. I befolkningsdatalagen och i autentiseringslagen föreskrivs det om den registrerades rättsskydd på det sätt som grundlagsutskottet kräver, och genom den föreslagna lagen görs det ett exakt avgränsat undantag från den registrerades rättigheter. Bestämmelsen hör till det nationella handlingsutrymme som det föreskrivs om i artikel 23.
I propositionen beaktas de allmänna förpliktelser och avgränsningar i lagstiftningen som gäller behandling av personuppgifter samt grundlagsutskottets avgörandepraxis som styr tolkningen av 10 § 1 mom. i grundlagen.
De allmänna grunderna för statsförvaltningens organ ska anges i lag i enlighet med 119 § 2 mom. i grundlagen, om deras uppgifter innebär utövning av offentlig makt. Med de allmänna grunderna avses närmast enhetens namn, bransch och huvudsakliga uppgifter samt dess behörighet (RP 1/1998 rd, s 174/II). Grunderna för statens regional- och lokalförvaltning ska enligt 119 § 2 mom. i grundlagen föreskrivas i lag. Syftet med denna allmänna bestämmelse i grundlagen är att möjliggöra en flexibel utveckling av statsförvaltningen (RP 1/1998 rd, s. 173/II). Med grunderna för statens regional- och lokalförvaltning avses den allmänna strukturen på förvaltningen, som t.ex. grunderna för administrativ indelning. Till övriga delar får det föreskrivas om myndigheter inom regional- och lokalförvaltning genom förordning (GrUU 12/2004 rd, GrUU 42/2006 rd, GrUU 5/2008 rd).
Grundlagsutskottet har i sin praxis förhållit sig restriktiv till sådan reglering som gör det möjligt att obegränsat överföra uppgifter till en annan myndighet. Utskottet har särskilt i samband med sådan reglering som har kopplingar till de grundläggande fri- och rättigheterna ansett att det är nödvändigt att den behöriga myndigheten framgår av lagen entydigt eller annars exakt eller att åtminstone utgångspunkten för myndigheternas behörighetsförhållanden och villkoren för att överföra behörighet ska framgå tillräckligt exakt av lagen (GrUU 18/2004 rd samt i denna nämnda GrUU 7/2001 rd, GrUU 21/2001 rd, GrUU 45/2001 rd, GrUU 47/2001 rd, GrUU 52/2001 rd och GrUU 17/2004 rd).
Det föreslås att de bestämmelser i 22 § i befolkningsdatalagen som gäller övriga myndigheters behörighet ändras så att Migrationsverket får registrera begränsade uppgifter om utländska medborgare i befolkningsdatasystemet utan att den utländska medborgaren begär om detta. Ändringen innebär inte att antalet myndigheter som är berättigade att registrera uppgifter och ta emot begäranden ökar. Ändringen är av teknisk natur och syftar till att förbättra de utländska medborgarnas ställning genom att försnabba tilldelandet av personbeteckningen när Migrationsverket fattar ett positivt beslut om uppehållsrätten. Migrationsverkets behörighet ändras inte i övrigt. Ändringen innebär endast att det i vissa situationer blir möjligt att registrera uppgifter utan personens begäran. Förslaget överensstämmer med de krav som ställs i 119 § i grundlagen och som framgår av grundlagsutskottets avgörandepraxis gällande tolkningen av grundlagen.
Enligt 80 § 1 mom. i grundlagen kan statsrådet och ministerierna utfärda förordningar med stöd av ett bemyndigande i grundlagen eller i någon annan lag. Bestämmelser om grunderna för individens rättigheter och skyldigheter samt om frågor som enligt grundlagen i övrigt hör till området för lag ska dock utfärdas genom lag. Bemyndiganden att utfärda förordning finns i föreslagna 22 och 32 §. Det föreslås dock inga ändringar av bemyndigandena att utfärda förordning. De bemyndiganden att utfärda förordning som föreslås motsvarar den gällande regleringen och uppfyller de villkor som anges i grundlagen.
På de grunder som nämns ovan kan lagförslaget enligt regeringens uppfattning behandlas i vanlig lagstiftningsordning.