MOTIVERING
1
Bakgrund och beredning
1.1
Bakgrund
särskilt tillåter det. Dessutom vill man förbereda sig på att överföringar av uppgifter mellan olika system Inom området för inrikes frågor har det inrättats tre fonder för Europeiska unionens programperiod 2021–2027: Asyl-, migrations- och integrationsfonden, Fonden för inre säkerhet och, som en del av fonden för integrerad gränsförvaltning, instrumentet för ekonomiskt stöd för gränsförvaltning och viseringspolitik (nedan fonderna inom området för inrikes frågor). Inrikesministeriet är förvaltande myndighet för fonderna inom området för inrikes frågor och svarar bland annat för genomförandet och förvaltningen av programmen för fonderna.
Regeringspropositionen grundar sig på Europaparlamentets och rådets förordning (EU) 2021/1060 om fastställande av gemensamma bestämmelser för Europeiska regionala utvecklingsfonden, Europeiska socialfonden+, Sammanhållningsfonden, Fonden för en rättvis omställning och Europeiska havs-, fiskeri- och vattenbruksfonden samt finansiella regler för dessa och för Asyl-, migrations- och integrationsfonden, Fonden för inre säkerhet samt instrumentet för ekonomiskt stöd för gränsförvaltning och viseringspolitik (nedan den allmänna förordningen), som kräver kompletterande bestämmelser. Genom Europeiska unionens allmänna förordning om fonderna inom området för inrikes frågor utfärdas allmänna finansiella regler som gäller alla fonder. I den allmänna förordningen föreskrivs det också om informationsutbytet mellan stödmottagarna och programmyndigheterna.
Europeiska unionens allmänna förordning, som ligger till grund för propositionen, är direkt tillämplig rätt i Europeiska unionens medlemsstater. I den nationella lagen är det dock behövligt att ta in bestämmelser om att understöd söks och betalas ut via informationssystemet och att ansökan kan göras på en separat blankett endast om den förvaltande myndigheten även kan ske med hjälp av gränssnitt. I den nationella lagen är det behövligt att föreskriva om vilka uppgifter som ska behandlas i informationssystemet, vilka myndigheter som ska använda systemet, om den personuppgiftsansvarige och om att inrikesministeriet svarar för informationssystemet i enlighet med lagen om informationshantering inom den offentliga förvaltningen (906/2019, nedan informationshanteringslagen). I förslaget föreskrivs det också om stark autentisering vid användning av informationssystemet och om behövliga övergångsbestämmelser.
Regeringspropositionen och fonderna inom området för inrikes frågor hänför sig till skrivningarna om Europapolitiken och särskilt till skrivningarna ”Finland ─ större än sin storlek i världen” och ”Den trygga rättsstaten Finland” i regeringsprogrammet för statsminister Sanna Marins regering, ”Ett inkluderande och kunnigt Finland”. Förvaltningen och behandlingen av understödsärenden som gäller fonderna inom området för inrikes frågor med hjälp av ett elektroniskt informationssystem effektiviserar genomförandet av fonderna.
1.2
Beredning
Beredningen av EU-rättsakten
I maj 2018 lade Europeiska kommissionen fram ett förslag till en flerårig budgetram för 2021–2027 och ett förslag till allmänna bestämmelser och finansiella regler för fonder som förvaltas gemensamt. Angående förslaget till allmän förordning lämnade kommissionen två ändrade förslag, i januari 2020 lämnades ett ändrat förslag (COM(2020) 23 final) om gemensamma bestämmelser och finansiella regler för fonden för en rättvis omställning som ska fogas till den allmänna förordningen. I maj 2020 lämnades ett ändrat förslag till allmän förordning (COM (2020) 450 final) som en del av kommissionens stimulanspaket.
Den allmänna förordningen antogs i juni 2021 och trädde i kraft den 1 juli 2021.
Ärendets behandlingsinfo i riksdagen
Beredningen av propositionen
Inrikesministeriet tillsatte den 10 januari 2022 ett lagstiftningsprojekt för att bereda de lagstiftningsändringar som behövs för att göra det möjligt att införa ett elektroniskt e-tjänst- och behandlingssystem vid behandlingen av understöd för åtgärder inom ramen för programmen för Europeiska unionens fonder inom området för inrikes frågor.
Syftet med projektet var att bereda behövliga ändringar i den nationella lagen om fonderna inom området för inrikes frågor under programperioden 2021–2027 (1125/2021), nedan fondlagen. Genom de ändringar föreslås i lagstiftningen föreskrivs det om de uppgifter som ska föras in i informationssystemet, om det digitala understödsförfarandet, om stark autentisering, om tillgång till och utlämnande av uppgifter i informationssystemet, om offentlighet för och offentliggörande av uppgifter som förts in i informationssystemet samt om lagring och bevaring av personuppgifter.
Behovet av ändringar i lagstiftningen har preciserats under arbetets gång.
Beredningen genomfördes som tjänsteuppdrag vid inrikesministeriets enhet för internationella frågor. Utgångspunkten för arbetet var Europeiska unionens allmänna förordning.
Lagändringen föreslås träda i kraft så snart som möjligt efter att den antagits av riksdagen.
Beredningsunderlaget till regeringens proposition finns i den offentliga tjänsten på adressen:
Projektets basuppgifter
I 14 § 4 mom. i grundlagen föreskrivs att det allmänna ska främja den enskildes möjligheter att delta i samhällelig verksamhet och att påverka beslut som gäller honom eller henne själv. Under arbetets gång har denna förpliktelse fullgjorts bland annat genom att det hösten 2021 ordnades en möjlighet för dem som genomför projektet att ge återkoppling om det system som användes under programperioden 2014–2020 och framföra önskemål om det nya systemet. I februari 2022 bjöds dessutom de kommande användarna av systemet in till ett användarråd och de ombads ge respons på utkastbilder av användargränssnittet. För dem som anmälde sig till användarrådet i februari 2022 presenterades genomförda funktioner och vissa av systemets funktionaliteter. Utkastet till proposition var på remiss den 8 juni–22 juli 2022. För Ålands landskapsregering ordnades det ytterligare en separat remissbehandling den 26 juli–6 september 2022 efter det att den svenska översättningen av regeringens utkast till proposition blev klar. Inrikesministeriet har informerat om projektet på webbplatsen för fonderna inom området för inrikes frågor. Sakkunniga har hörts i samband med beredningen av projektet.
Bedömningen av alternativa handlingsvägar och konsekvenser gjordes som tjänsteuppdrag i samband med beredningen av regeringspropositionen.
Den föreslagna lagändringen har inga konsekvenser för landskapet Åland.
2
EU-rättsaktens målsättning och huvudsakliga innehåll
Enligt artikel 69 i den allmänna förordningen ska medlemsstaterna säkerställa att allt informationsutbyte mellan stödmottagarna och programmyndigheterna sker genom elektroniska system för datautbyte i enlighet med bilaga XIV till den allmänna förordningen. Enligt artikeln ska medlemsstaterna lyfta fram fördelarna med elektroniskt datautbyte och tillhandahålla allt nödvändigt stöd till stödmottagarna i detta avseende. I bilagan finns mer detaljerade regler om bland annat egenskaperna hos de elektroniska systemen för datautbyte samt mer detaljerade regler för översändande av handlingar och uppgifter i allt informationsutbyte.
Enligt bilaga XIV ska programmyndigheterna säkerställa datasäkerhet, dataintegritet, datasekretess och autentisering av avsändaren i enlighet med EU:s allmänna förordning. Programmyndigheterna ska säkerställa tillgänglighet och drift under och utanför kontorstid (förutom vid tekniskt underhåll). Dessutom ska myndigheterna säkerställa att systemet är inriktat på att använda logiska, enkla och intuitiva funktioner och gränssnitt. I bilagan finns också mer detaljerade regler om hurdana funktioner informationssystemet ska innehålla och hurdana tekniska egenskaper det ska ha. Programmyndigheterna ska säkerställa registrering och lagring av uppgifter i systemet för att möjliggöra både administrativa kontroller av betalningsansökningar som lämnas in av stödmottagarna i enlighet med artikel 74.2 och revisioner. Myndigheterna ska också säkerställa skydd av personuppgifter för enskilda personer och av affärshemligheter för rättsliga enheter i enlighet med Europaparlamentets och rådets direktiv 2002/58/EG (2) och förordning (EU) 2016/679 (EU:s allmänna dataskyddsförordning).
I den allmänna förordningen föreskrivs det att förvaltningsmyndigheten, på uttrycklig begäran av en stödmottagare, undantagsvis får godta informationsutbyte i pappersformat, utan att det påverkar skyldigheten att registrera och lagra uppgifter i enlighet med artikel 72.1 e. Enligt artikel 72.1 e ska den förvaltande myndigheten elektroniskt registrera och lagra de uppgifter om varje insats som behövs för övervakning, utvärdering, ekonomisk förvaltning, kontroller och revisioner i enlighet med bilaga XVII samt säkerställa uppgifternas säkerhet, integritet och konfidentialitet och autentisering av användare. I bilagan redogörs det närmare för de uppgifter som ska registreras och lagras.
Enligt den allmänna förordningen ska kravet på ett elektroniskt system för datautbyte tillämpas i fråga om program som får understöd från fonderna inom området för inrikes frågor från och med den 1 januari 2023.
Enligt bilaga XI till den allmänna förordningen är ett nyckelkrav på förvaltnings- och kontrollsystemet bland annat att förvaltningsmyndigheten säkerställer att ett tillförlitligt elektroniskt system används för registrering och lagring av uppgifter för övervakning, utvärdering, ekonomisk förvaltning, kontroller och revisioner, inbegripet lämpliga processer för att säkerställa uppgifternas säkerhet, integritet och konfidentialitet och autentisering av användarna.
3
Nuläge och bedömning av nuläget
3.1
Det system som användes tidigare
Under programperioden 2014–2020 har ett så kallat EUSA-system använts i samband med Europeiska unionens fonder inom området för inrikes frågor (EUSA-fonderna). Det var ett webbaserat informationssystem för förvaltning av projekt och åtgärder som stöds av fonderna. Genom att ansöknings- och förvaltningsprocesserna för EUSA-fonderna blev elektroniska blev ansöknings- och rapporteringsprocesserna avsevärt snabbare och effektivare och kvaliteten på dem förbättrades. Stödansökningar, stödbeslut och ansökningar om ändring av dem samt ansökningar om utbetalning och beslut om utbetalning har utarbetats i systemet. Även rapporteringen har skötts via systemet. Systemet har gjort det möjligt att uträtta ärenden helt elektroniskt med hjälp Suomi.fi-identifikationen för stark autentisering. Myndigheten för digitalisering och befolkningsdata svarar för Suomi.fi-tjänstens informationssäkerhet. Systemet har ett officiellt certifikat och det använder 256 bits SSL-kryptering.
Utvecklingen av EUSA-systemet grundade sig på Polisens lösning för e-tjänster. Behandlingssystemet byggdes upp på inrikesministeriets ärendehanteringssystem Acta. Systemet har funnits inom förvaltningens säkerhetsnät (det så kallade TUVE-nätet). Det har alltså funnits en tjänst för säker anslutning mellan e-tjänsterna och behandlingen som Polisens informationsteknologicentral (POL IT-centralen) och Statens center för informations- och kommunikationsteknik (Valtori) har svarat för. Både Polisens informationsteknologicentral och Statens center för informations- och kommunikationsteknik har svarat förvaltningen av systemhelheten.
EUSA-systemet togs i bruk i juni 2015 och dess livscykel tar slut senast 2024 efter det att alla de sista rapporterna från projekten under programperioden 2014–2020 har behandlats. Det genomfördes en användarenkät om EUSA-systemet 2017 och på basis av den har systemet utvecklats under årens lopp.
Den systemhelhet som har använts är inte lämplig för användning under programperioden 2021–2027 bland annat på grund av att den produkt som ligger till grund för tjänsteplattformen är tekniskt föråldrad. Inrikesministeriet har dessutom övergått till att använda statsrådets gemensamma ärendehanteringssystem.
3.2
Behandling av uppgifter, tillgång till och utlämnande av information samt skyldighet att iaktta sekretess under programperioden 2021–2027
I början av programperioden 2021–2027 har den förvaltande myndigheten organiserat ansökningar ur fonderna som separata elektroniska blankettansökningar utanför informationssystemet. Vid behandlingen av de uppgifter som hänför sig till ansökan har den förvaltande myndigheten använt statsrådets gemensamma ärendehanteringssystem. Den behandling av ansökningar som sker utan det informationssystem som utvecklats för fondernas behov har medfört ytterligare arbete för förvaltningsmyndigheterna och understödssökandena.
I enlighet med fondlagen för programperioden 2021–2027 behandlas uppgifter om fonderna inom området för inrikes frågor i statsrådets gemensamma ärendehanteringssystem, som används av inrikesministeriet. Ärendehanteringssystemet används för skötseln av sådana uppgifter i samband med program och genomförandeplaner som avses i Europeiska unionens lagstiftning och i fondlagen.
I ärendehanteringssystemet behandlar den förvaltande myndigheten sådana uppgifter som gäller programmet och förvaltningen, övervakningen och kontrollen av programmet och som förutsätts i Europeiska unionens lagstiftning, samt genomförandeplanen för programmet. I ärendehanteringssystemet behandlas dessutom sådana uppgifter som gäller understödssökanden och understödstagaren, det projekt eller den verksamhet som understöds, beslutet om understöd, utbetalningen och rapporteringen av understödet, utförda granskningar och återkrav. Av de uppgifter som förs in i ärendehanteringssystemet bildas en gemensam informationsresurs och ett elektroniskt myndighetsarkiv för projekthantering för den förvaltande myndigheten och revisionsmyndigheten.
Då statsrådets gemensamma ärendehanteringssystem används, finns det inte behov av att i den gällande lagen föreskriva om informationshantering eller en personuppgiftsansvarig. I den gällande lagen föreskrivs det inte heller separat om offentlighet eller dataskydd i fråga om de uppgifter som förs in i ärendehanteringssystemet, eftersom lagen om offentlighet i myndigheternas verksamhet (621/1999) samt EU:s dataskyddsförordning och dataskyddslagen (1050/2018) tillämpas på dem.
I 2 § 3 mom. i lagen om statsrådet föreskrivs det att i fråga om informationshantering som hänför sig till statsrådets och ministeriernas gemensamma verksamhet och tillvägagångssätt samt gemensamma informationslager och informationssystem är statsrådets kansli i lagen om informationshantering inom den offentliga förvaltningen (906/2019) avsedd informationshanteringsenhet och svarar i fråga om detta för informationshanteringen och för i 13 § 2–5 mom., 14–18 § och 5 kap. i den lagen föreskrivna myndighetsuppgifter. Statsrådets kansli styr och samordnar tillvägagångssätten med avseende på de gemensamma förvaltnings- och sakkunnigtjänsterna samt den gemensamma informationshanteringen.
Bestämmelser om bevarandet av uppgifter finns i EU:s allmänna förordning och i fondlagen. I fråga om dessa föreslås inga ändringar i förslaget.
I 25 § i den gällande fondlagen föreskrivs det om rätten få och lämna ut information. På sekretess och offentlighet när det gäller information tillämpas lagen om offentlighet i myndigheternas verksamhet.
3.3
Behandling av personuppgifter och dataskydd
Enligt den gällande fondlagen behandlas uppgifter om fonderna inom området för inrikes frågor i statsrådets gemensamma ärendehanteringssystem. I systemet får också personuppgifter behandlas. Inrikesministeriet är personuppgiftsansvarig för ärendehanteringssystemet i fråga om de personuppgifter som ministeriet har fört in. Vid behandlingen av personuppgifter iakttas dataskyddsförordningen och dataskyddslagen samt den gällande fondlagen till den del den innehåller bestämmelser om behandling av personuppgifter. På behandlingen av personuppgifter tillämpas principen om uppgiftsminimering i enlighet med artikel 5.1 c i dataskyddsförordningen. I enlighet med artikel 6.1 c i den allmänna dataskyddsförordningen är behandlingen av personuppgifter behövlig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Enligt artikel 4 i Europeiska unionens allmänna förordning får medlemsstaterna endast behandla personuppgifter om det är nödvändigt för att de ska kunna fullgöra sina respektive skyldigheter enligt den allmänna förordningen, särskilt när det gäller övervakning, rapportering, kommunikation, offentliggörande, utvärdering, ekonomisk förvaltning, kontroll och revision samt, i tillämpliga fall, fastställande av deltagarnas stödberättigande.
Personuppgifter är till exempel understödssökandens, understödstagarens och dennes kontaktpersons namn, e-postadress, telefonnummer, namn, födelsetid och personbeteckning för understödssökandens och understödstagarens verkliga huvudmän bland annat när det är viktigt att entydigt kunna identifiera personen, uppgifter om sammansättningen av projektens styrgrupper, löneuppgifter i samband med ansökningar och rapporter och andra personuppgifter som understödssökanden och understödstagaren har inkluderat i ansökan eller rapporten. De personuppgifter som behandlas är inte sådana särskilda personuppgifter som avses i artikel 9.1 i dataskyddsförordningen.
4
Förslagen och deras konsekvenser
4.1
De viktigaste förslagen
I denna proposition föreslås det att lagen om fonderna inom området för inrikes frågor under programperioden 2021–2027 ändras så att ärendehanteringen och behandlingen av understödsärenden för program som hänför sig fonderna kan skötas via ett elektroniskt informationssystem. Skyldigheten att använda informationssystemet har sitt ursprung i Europeiska unionens allmänna förordning och i fråga om fonderna inom området för inrikes frågor förutsätter den allmänna förordningen att ett elektroniskt system för datautbyte införs senast från och med den 1 januari 2023.
Införandet av ett informationssystem förutsätter ändringar i de paragrafer i fondlagen om Europeiska unionens fonder inom området för inrikes frågor som gäller ansökan om understöd, beviljande av understöd och beslutets innehåll, ansökan om utbetalning och rapportering, rätt att få och lämna ut information samt behandling av uppgifter. I den föreslagna lagen behöver det föreskrivas om den personuppgiftsansvarige för informationssystemet och om att inrikesministeriet svarar för informationssystemet i enlighet med informationshanteringslagen.
Det föreslås att lagen ändras så att den förvaltande myndigheten får rätt att lämna ut information till revisionsmyndigheten och till den aktör som utvärderar programmet för skötseln av deras lagstadgade uppgifter.
I enlighet med den allmänna förordningen förbereder man sig genom förslaget på att uppgifter kan överföras via ett tekniskt gränssnitt. I det första skedet är avsikten att det skapas gränssnitt inom Handi-tjänsten och att göra det möjligt för den förvaltande myndigheten att logga in i systemet med hjälp av Virtu-inloggning. Dessa integrationer förutsätter en anslutning till statens integrationsplattform VIA. Användningen av Suomi.fi-fullmakter bör möjliggöras omedelbart i samband med att systemet införs. I ett senare skede är avsikten att integrera informationssystemet i statsförvaltningens gemensamma ärendehanteringssystem, SFC-systemet som förvaltas av kommissionen samt i tjänsterna sokunderstod.fi och granskaunderstod.fi som i framtiden eventuellt förvaltas av Statskontoret.
4.1.1
Tillgång till och utlämnande av information samt inloggning i informationssystemet
I 25 § i fondlagen föreskrivs det om rätten för den förvaltande myndigheten och revisionsmyndigheten att få och lämna ut information. Det föreslås att paragrafen om tillgång till och utlämnande av information utökas med en bestämmelse om den förvaltande myndighetens rätt att trots sekretessbestämmelserna till revisionsmyndigheten lämna ut uppgifter som är nödvändiga för skötseln av myndighetens granskningsuppgifter som avses i fondlagen och Europeiska unionens lagstiftning. Revisionsmyndigheten ska ansvara för systemrevisioner, insatsrevisioner och räkenskapsrevisioner. Dessutom föreslås det att den förvaltande myndigheten trots sekretessbestämmelserna har rätt att till de aktörer som i enlighet med artikel 44 i den allmänna förordningen utvärderar programmen lämna ut information som är nödvändig för utvärderingen av programmen. Den allmänna förordningen förutsätter att den förvaltande myndigheten säkerställer att nödvändiga förfaranden har inrättats för att ta fram och samla in de uppgifter som krävs för utvärderingarna. Därför bör det också i lag föreskrivas om rätten att få information för dem som utför utvärderingar. Det är behövligt att i fondlagen föreskriva om rätten att få information för revisionsmyndigheten och de aktörer som utvärderar programmet, för att det ska vara möjligt för dem att sköta sina lagstadgade uppgifter.
Den förvaltande myndigheten, som är den som behandlar ärenden i systemet, ska logga in i systemet med hjälp av Virtu-identifiering. De övriga användarna av systemet ska logga in med hjälp av identifiering via Suomi.fi och Suomi.fi-fullmakter, eftersom man på detta sätt bland annat kan försäkra sig om att den organisation som ansöker har bemyndigat personen i fråga att för organisationens del sköta ärenden i informationssystemet. Revisionsmyndigheten och den som utvärderar programmet och som inte har rätt redigera i systemet ska logga in i systemet med hjälp av tvåstegsverifiering. Användarrättigheterna till systemet förvaltas av huvudanvändaren av informationssystemet.
4.1.2
Behandling av personuppgifter och personuppgiftsansvar
På behandlingen av personuppgifter tillämpas EU:s allmänna dataskyddsförordning och dataskyddslagen samt fondlagen till den del det föreskrivs om behandlingen av personuppgifter i den. Enligt artikel 4.1 i dataskyddsförordningen avses med personuppgifter upplysningar som avser en identifierad eller identifierbar fysisk person. Som identifierbar betraktas en fysisk person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Med behandling av personuppgifter avses enligt artikel 4.2 i dataskyddsförordningen en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
I samband med införandet av det nya informationssystemet är det behövligt att föreskriva om den personuppgiftsansvarige för systemet, eftersom personuppgifter behandlas i informationssystemet. Det är möjligt att utfärda bestämmelser om den personuppgiftsansvarige med stöd av det nationella handlingsutrymme som artikel 4.7 i dataskyddsförordningen medger. Den personuppgiftsansvarige svarar för att behandlingen av personuppgifter är lagenlig under hela livscykeln för behandlingen och ansvarar för att dataskyddsbestämmelserna iakttas. Inrikesministeriet ska vara personuppgiftsansvarig för informationssystemet och svara för informationssystemet i enlighet med informationshanteringslagen. Det förslås att inrikesministeriet ska äga informationssystemet och ansvara för att systemet uppfyller de lagstadgade krav som ställs på medlemsstaterna i den allmänna förordningen och fondlagen. I 6 § i fondlagen föreskrivs det om inrikesministeriets behörighet att vara förvaltande myndighet för programmet. I artikel 72 i den allmänna förordningen föreskrivs det att den förvaltande myndigheten bland annat ska utföra programförvaltningsuppgifter i enlighet med artikel 74 samt elektroniskt registrera och lagra de uppgifter om varje insats som behövs för övervakning, utvärdering, ekonomisk förvaltning, kontroller och revisioner i enlighet med bilaga XVII samt säkerställa uppgifternas säkerhet, integritet och konfidentialitet samt autentisering av användare. Den förvaltande myndigheten har i den allmänna förordningen fått som uppgift att vidta behövliga tekniska och organisatoriska åtgärder för att säkerställa att dataskyddsförordningen iakttas vid behandlingen. Med tanke på tydligheten är det motiverat att inrikesministeriets ställning som personuppgiftsansvarig fastställs entydigt i lagen.
Vid behandlingen av understödsansökningar och rapporter samt ansökningar om utbetalning i samband med rapporterna i informationssystemet behandlar den förvaltande myndigheten namnuppgifter, födelsetider, personbeteckningar, medborgarskapsuppgifter och löneuppgifter. Personuppgifter kan vara till exempel understödssökandens, understödstagarens och deras kontaktpersoners namn, e-postadress, telefonnummer, namn och personbeteckning för understödssökandens och understödstagarens verkliga huvudmän bland annat när det är viktigt att entydigt kunna identifiera personen, uppgifter om sammansättningen av projektens styrgrupper samt löneuppgifter i samband med ansökningar och rapporter och andra personuppgifter som understödssökanden och understödstagaren har inkluderat i ansökan eller rapporten, såsom uppgifter om en sjukfrånvaros längd samt de uppgifter som behövs i samband med upphandlingar och som förutsätts i den allmänna förordningen. Revisionsmyndigheten ska ha rätt att granska uppgifterna i systemet. Bestämmelser om behörigheten och uppgifterna för finansministeriet, som är revisionsmyndighet, finns i 7 § i fondlagen och i den allmänna förordningen. I artikel 77 i den allmänna förordningen föreskrivs det bland annat att revisionsmyndigheten ska ha ansvaret att genomföra systemrevisioner, insatsrevisioner och räkenskapsrevisioner i syfte att ge kommissionen en oberoende försäkran om att förvaltnings- och kontrollsystemen fungerar effektivt och att utgifterna i de räkenskaper som lämnas till kommissionen är lagliga och korrekta. Rätten att få information för dem som utvärderar programmet grundar sig på artikel 44 i den allmänna förordningen.
Enligt artikel 5 i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt. Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål (ändamålsbegränsning), dessutom ska principen om uppgiftsminimering iakttas vida behandlingen av uppgifterna. Uppgifterna ska vara korrekta och förvaringen av personuppgifter ska begränsas tidsmässigt och behandlingen ska säkerställa uppgifternas integritet och konfidentialitet. I den gällande lagen om fonderna inom området för inrikes frågor föreskrivs det ingående om de uppgifter som behandlas. I lagförslaget föreslås inga ändringar av innehållet i de uppgifter som behandlas. Förslaget innebär att dessa uppgifter i fortsättningen ska behandlas i ett nytt informationssystem.
I artikel 6.1 i dataskyddsförordningen finns det bestämmelser om grunderna för behandling av personuppgifter. Lagligheten i behandlingen av personuppgifter grundar sig i enlighet med artikel 6.1 c i Europeiska unionens allmänna dataskyddsförordning på fullgörande av en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Enligt artikel 4 i Europeiska unionens allmänna förordning får medlemsstaterna endast behandla personuppgifter om det är nödvändigt för att de ska kunna fullgöra sina respektive skyldigheter enligt den allmänna förordningen, särskilt när det gäller övervakning, rapportering, kommunikation, offentliggörande, utvärdering, ekonomisk förvaltning, kontroll och revision samt, i tillämpliga fall, fastställande av deltagarnas stödberättigande. Närmare bestämmelser om den registrerades rättigheter finns i kapitel III i dataskyddsförordningen. Den personuppgiftsansvarige ansvarar för att den registrerades rättigheter tillgodoses. I Finland införs bestämmelser om skydd av personuppgifter alltid i lag.
I artikel 9 i dataskyddsförordningen föreskrivs det om behandling av särskilda kategorier av personuppgifter. Enligt artikel 9.1 är det förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Det är också förbjudet att behandla genetiska eller biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. De personuppgifter som behandlas i samband med EU:s fonder inom området för inrikes frågor är inte sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen.
Om en understödstagare behöver sända säkerhetsklassificerat informationsmaterial (TL I-III) till den förvaltande myndigheten, ordnas det ett undantagsarrangemang för mottagandet av sådant material vid inrikesministeriets registratorskontor och materialet överförs via det till statsrådets ärendehanteringssystem. På sekretess och offentlighet när det gäller information tillämpas lagen om offentlighet i myndigheternas verksamhet. Till denna del föreslås det inga ändringar i propositionen.
4.1.3
Bevaring av uppgifter och handlingar
Programmet för fonderna inom området för inrikes frågor, förvaltningen, övervakningen och kontrollen av programmet och genomförandeplanen för programmet ska även i fortsättningen bevaras i statsrådets gemensamma ärendehanteringssystem. I statsrådets gemensamma ärendehanteringssystem ska även bevaras handlingar och uppgifter som gäller understödssökanden och understödstagaren, det projekt eller den verksamhet som understöds, beslutet om understöd, rapporteringen, utbetalningen av understödet, utförda granskningar och återkrav.
Det föreskrivs inte separat om offentlighet eller dataskydd i fråga om de uppgifter som förs in i ärendehanteringssystemet, eftersom lagen om offentlighet i myndigheternas verksamhet samt EU:s dataskyddsförordning och dataskyddslagen ska tillämpas på dem.
Reformen medför inga ändringar i behovet av eller sättet att bevara myndighetshandlingar. Bevaringstiderna för dokumentär information som gäller EU:s fonder inom området för inrikes frågor har fastställts i statsrådets informationshanteringsplan, som har godkänts av Riksarkivet. De handlingar som behandlas i systemet ska bevaras en viss tid och den typiska bevaringstiden är 20 år. För att säkerställa bevaringen av den dokumentära informationen bevaras handlingarna i statsrådets gemensamma ärendehanteringssystem. Överföringen av den dokumentära informationen automatiseras med hjälp av robotiserad processautomatisering.
4.1.4
Finansiering
Avsikten är att kostnaderna för att bygga upp och utveckla systemet ska täckas med tekniskt bistånd från programmen för Europeiska unionens fonder inom området för inrikes frågor. Kostnaderna täcks både med separata anslag för tekniskt bistånd för programperioden 2014–2020 och med tekniskt bistånd för programperioden 2021–2027. Det tekniska biståndet har i statsbudgeten inkluderats under momenten 26.01.24 (EU:s andel i hanteringen av den inre säkerheten och migrationen under programperioden 2014–2020) och 26.01.26 (EU:s andel i hanteringen av den inre säkerheten och migrationen under programperioden 2021—2027) utanför ramen.
4.2
De huvudsakliga konsekvenserna
De föreslagna lagändringarna gäller i huvudsak den förvaltande myndighet som svarar för genomförandet, förvaltningen och utvärderingen av programmen för EU:s fonder inom området för inrikes frågor, den revisionsmyndighet som utför granskningar samt aktörer som ansöker om understöd. Fysiska personer kan inte ansöka om understöd från fonderna inom området för inrikes frågor.
Syftet med införandet av informationssystemet är att underlätta ansökningar om understöd från EU:s fonder inom området för inrikes frågor, behandlingen av ansökningar, förvaltningen och rapporteringen av projekt och åtgärder samt behandlingen av rapporter och att underlätta uträttandet av ärenden med den förvaltande myndigheten genom att möjliggöra bland annat interaktiva och av systemet förhandsifyllda blanketter, automatiska beräkningar samt olika automatiska inbyggda granskningsfunktioner som minskar ett upprepat utbyte av handlingar och uppgifter i så stor utsträckning som möjligt. Systemet genererar också meddelanden med hjälp av vilka understödstagaren informeras om när vissa åtgärder kan utföras. I systemet finns det en övervakningsfunktion med hjälp av vilken understödstagaren kan övervaka hur projektet framskrider. I systemet finns också alla tidigare tillgängliga uppgifter och handlingar som har behandlats i informationssystemet. Det föreslås att behandlingen av ärenden som har inletts före ikraftträdandet av denna lag slutförs i det nya informationssystemet. Detta innebär att uppgifter som redan en gång sänts in inte behöver sändas in eller sparas i informationssystemet igen av understödstagarna. Den förvaltande myndigheten svarar för överföringen av uppgifterna till det nya systemet.
Den förvaltande myndigheten föreslås använda informationssystemet för skötseln av sådana uppgifter i samband med program och genomförandeplaner som anges i EU-lagstiftningen och i fondlagen. De föreslagna ändringarna har inga konsekvenser för belopp, ändamål eller inriktningen av de understöd som beviljas ur EU:s fonder inom området för inrikes frågor.
4.2.1
Ekonomiska konsekvenser
Uppbyggnaden av det nya informationssystemet har ökat den förvaltande myndighetens kostnader. Anskaffningskostnaderna för informationssystemet uppgår till cirka 900 000 euro. Summan innehåller inte driftskostnaderna för de integrationer som ska göras i informationssystemet. Dessa beräknas uppgå till 80 000–100 000 euro beroende på deras slutgiltiga omfattning. De årliga kostnaderna för förvaltningen av systemet har beräknats uppgå till cirka 90 000 euro. En stor del av de årliga förvaltningskostnaderna består av licenskostnader, plattformen för molntjänster och kostnader som föranleds av stödtjänster för produktionen. Av de årliga förvaltningskostnaderna beräknas de kostnader som beror på integrationen uppgå till cirka 15 000 euro. När det gäller förvaltningskostnaderna har man försökt uppskatta prishöjningarna till följd av inflationen.
Uppbyggnaden av informationssystemet inleddes under våren 2022. Anskaffningskostnaderna för informationssystemet kommer i fråga om 2022 att täckas med separata anslag för tekniskt bistånd för programperioden 2014–2020. Detta tekniska bistånd används redan vid inrikesministeriet. För finansieringen av förvaltningskostnaderna för informationssystemet kommer tekniskt bistånd för programperioden 2021–2027 att användas. Enligt den allmänna förordningen är den procentuella andel för ett fondprogram som ersätts som tekniskt bistånd sex procent för varje fond inom området för inrikes frågor. Utbetalningen av tekniskt bistånd till medlemsstaterna binds under programperioden 2021–2027 till framskridandet av genomförandet av programmet så, att tekniskt bistånd betalas som en procentuell andel av de utbetalningar som ansökts hos kommissionen. Således kommer kostnaderna för tekniskt bistånd åtminstone delvis att ersättas retroaktivt till medlemsstaterna. Risken är att om de åtgärder som understöds genom programmet inte medför fulla kostnader eller om det konstateras att kostnaderna inte är understödsberättigande, minskar detta de utbetalningar som söks hos kommissionen och samtidigt beloppet av det tekniska biståndet. Erfarenheterna från tidigare programperioder visar dock att programmen har genomförts nästan fullt ut och att felprocenten har varit låg, vilket innebär att risken är liten. En stor del av kostnaderna för informationssystemet har täckts med tekniskt bistånd för programperioden 2014–2020.
Innan införandet av det nya informationssystemet har den förvaltande myndigheten organiserat understöd och rapportering samt de ansökningar om utbetalning som ingår i dem i elektronisk form på blanketter som den förvaltande myndigheten godkänt. Kostnaderna för att bygga upp ett blankettsystem som en temporär lösning var cirka 25 000 euro. Kostnaderna för utarbetandet av blankettsystemet har täckts med tekniskt bistånd ur fonderna för programperioden 2014–2020.
Avsikten är att i det nya informationssystemet skapa integrationer till andra informationssystem. I integrationen är avsikten att använda statens gemensamma befintliga gränssnitt och statens gemensamma tjänster. I det första skedet är avsikten att skapa en anslutning till Handi-tjänsten, så att utbetalningen av understöden kan automatiseras och eventuella fel i utbetalningen av understöden kan minskas. Handi-tjänsten används dessutom för att återställa uppgifter om bland annat betalningsdagen. Även Virtu-inloggningen, det vill säga AD-integrationen, för den förvaltande myndigheten ska genomföras i det inledande skedet. Dessa integrationer förutsätter en anslutning till statens integrationsplattform VIA som gör det möjligt att överföra uppgifter mellan informationssystemet och både Handi-tjänsten och Virtu-tjänsten. Användningen av identifiering via Suomi.fi och Suomi.fi-fullmakter bör möjliggöras omedelbart i samband med att systemet införs. Avsikten är att skapa en anslutning mellan det nya informationssystemet och SFC-systemet som förvaltas av kommissionen och till vilket ansökningar om utbetalning kommer att sändas.
I ett senare skede av informationssystemets livscykel är avsikten att skapa en integration med statsförvaltningens gemensamma ärendehanteringssystem Vahva, där allt behövligt material från informationssystemet arkiveras projektvis. Dessutom är avsikten att senare skapa en integrationsanslutning till tjänsterna sokunderstod.fi och granskaunderstöd.fi (regeringens proposition RP 88/2022 rd som för närvarande behandlas i riksdagen) som förvaltas av Statskontoret. Det föreslås att det inte skapas integrationer med arbets- och näringsministeriets kundinformationsresurs för företagstjänster eller Patent- och registerstyrelsens handels-, förenings, eller stiftelseregister, eftersom kostnaderna för dessa skulle vara för stora i jämförelse med fördelarna med integrationen. Dessutom bedöms antalet användare av de sistnämnda systemen vara ganska begränsat, vilket innebär att nyttan av att organisationernas tillgängliga uppgifter samlas in automatiskt blir liten. Enligt förslaget förs organisationsuppgifterna in i systemet som en egen informationshelhet, varvid uppgifter som redan förts in en gång är tillgängliga under hela finansieringsperioden.
Det uppstår kostnader till följd av att systemet utvecklas vidare under dess livscykel. Det är inte möjligt att exakt uppskatta merkostnaderna i detta skede. Därför utgår man i regeringspropositionen från att ändringarna genomförs inom ramen för rambesluten för statsfinanserna och anslagen och antalet årsverken i statsbudgetarna. Kostnaderna för informationssystemet täcks med tekniskt bistånd ur fonderna.
De föreslagna ändringarna har inte några omfattande konsekvenser för de offentliga finanserna.
4.2.2
Konsekvenser för myndigheternas verksamhet
Syftet med informationssystemet är att effektivisera förvaltningen av fonderna och deras verksamhetsprocesser. I början av programperioden innan det nya informationssystemet tas i bruk har den förvaltande myndigheten organiserat ansökningar ur fonderna som separata elektroniska blankettansökningar utanför informationssystemet. Vid behandlingen av uppgifter i anslutning till ansökan har den förvaltande myndigheten använt ministeriets ärendehanteringssystem. Den behandling av ansökningar som sker utan det informationssystem som utvecklats för fondernas behov har medfört ytterligare arbete för förvaltningsmyndigheterna och understödssökandena.
Under programperioden 2021–2027 har den förvaltande myndigheten förberett sig på behov av tilläggsresurser för att fullgöra skyldigheter som följer av den allmänna förordningen och för att bygga upp och utveckla ett informationssystem. Arbetet med att definiera systemet inleddes hösten 2021. Under 2022 har två årsverken reserverats för utvecklandet av informationssystemet. Uppbyggnaden och utvecklandet informationssystemet kräver arbetsinsatser av alla som arbetar vid den förvaltande myndigheten.
Informationssystemet påverkar inte den förvaltande myndighetens och revisionsmyndighetens inbördes uppgifter eller behörighetsförhållanden. Införandet av informationssystemet förutsätter att den förvaltande myndigheten har resurser för att utbilda understödssökande och understödstagare i användningen av informationssystemet. Den förvaltande myndigheten har förberett sig på att arbetsmängden ökar genom omorganiseringar av arbetsuppgifterna.
4.2.3
Samhälleliga konsekvenser
Enligt artikel 69.8 i EU:s allmänna förordning ska medlemsstaterna lyfta fram fördelarna med elektroniskt datautbyte och tillhandahålla allt nödvändigt stöd till stödmottagarna i detta avseende. Syftet med införandet av ett nytt informationssystem är att underlätta uträttande av ärenden mellan de myndigheter som svarar för genomförandet av programmet och understödssökande och understödstagare.
Reformen förbättrar understödssökandenas och understödstagarnas möjligheter att sköta ärenden elektroniskt, eftersom e-tjänsten tidsmässigt täcker hela projektets livscykel och möjliggör aktuellt informationsutbyte mellan understödssökandena och understödstagarna och myndigheterna. Målet är att åstadkomma ett användarvänligt system som också uppfyller de villkor som tillgängligheten ställer.
4.2.4
Konsekvenser av ändringarna i informationshanteringen
Enligt 8 § i informationshanteringslagen ska de statliga ämbetsverken och inrättningarna utvärdera de ekonomiska konsekvenserna av förändringar som är relevanta för informationshanteringen när de planerar väsentliga administrativa reformer som påverkar innehållet i informationshanteringsmodellen och införande av informationssystem. Införandet av det nya informationssystemet når inte upp till de krav som anges i 2 § i statsrådets förordning om utlåtandeförfarandet i ärenden som gäller förändringar i informationshanteringen (1301/2019). Vid inrikesministeriet har det dock gjorts en bedömning av konsekvenserna av förändringarna i informationshanteringen i fråga om det nya informationssystemet. Informationssystemet har inte sådana konsekvenser för myndigheternas uppgifter, verksamhetsprocesser eller uppgifter och tjänster i informationslager som avses i 2 kap. i informationshanteringslagen. Ändringen gäller inte heller myndigheternas gemensamma tjänster eller ansvar för informationshanteringen.
Såsom det konstateras ovan har man strävat efter att förbereda sig på olika slags integrationer med informationssystem. På grund av den snäva tidsramen för införandet av systemet har en del av integrationerna flyttats fram för fortsatt utveckling.
De föreslagna ändringarna påverkar inte handlingarnas offentlighet eller sekretess.
4.2.5
Konsekvenser för de grundläggande fri- och rättigheterna och de mänskliga rättigheterna
Europaparlamentets och rådets direktiv (EU) 2016/2102 om tillgänglighet avseende offentliga myndigheters webbplatser och mobila applikationer trädde i kraft den 22 december 2016. I direktivet anges en miniminivå för tillgängligheten hos den offentliga förvaltningens webbtjänster och medel för att övervaka att tillgänglighetskraven uppfylls. Syftet med tillgänglighetsdirektivet är att främja vars och ens möjligheter att på lika villkor agera i det digitala samhället, skapa enhetliga minimikrav i hela Europa för tillgängligheten hos den offentliga förvaltningens webbplatser och mobila applikationer, förbättra kvaliteten på de digitala tjänsterna och förbättra Europeiska unionens inre marknad för tillgänglighetslösningar. Vid genomförandet av systemet beaktas kraven i tillgänglighetsdirektivet i fråga om portalen för uträttande av ärenden och i samband med utformningen av blanketter och handlingar.
Beaktandet av tillgänglighetsaspekter förbättrar uppnåendet av likabehandling när understöds söks och förvaltas. I systemet förverkligas uträttandet av ärenden så att det är möjligt att göra det på både finska och svenska.
5
Alternativa handlingsvägar
5.1
Handlingsalternativen och deras konsekvenser
Avsikten var ursprungligen att informationssystemet för EU:s fonder inom området för inrikes frågor under programperioden 2021–2027 skulle genomföras via informationsresursen för statsunderstödsverksamheten med tillhörande tjänster i anknytning till den gemensamma och enhetliga verksamhetsmodellen för statsunderstödsverksamheten. Statsförvaltningens gemensamma understöds- och hanteringssystem har beretts under finansministeriets ledning (RP 88/2022 rd). Under arbetets gång framgick det att de krav som EU:s allmänna förordning ställde på det elektroniska informationssystemet var svåra att samordna med statsförvaltningens gemensamma informationssystem. Dessutom fördröjdes statsförvaltningens gemensamma informationssystem jämfört med den ursprungliga tidsplanen, och därför var inrikesministeriet tvunget att börja utveckla ett nytt eget informationssystem.
Projektet för genomförande av det nya informationssystemet inleddes under våren 2021 i form av utarbetande av en projektplan och en kartläggning av olika alternativ för upphandlingsförfarandet. Som alternativ till upphandlingsförfarandet fanns i planeringsskedet Hansels IT-konsultering 2021–2025 som är en konkurrensutsättning som görs genom ett dynamiskt inköpssystem, det alternativ som framkommit på basis av en marknadsdialog och som innebär att bygga upp en konkurrensutsättning genom att utnyttja källkoden för det digitala systemet för hantering av EU:s fonder för regional- och strukturpolitik (EURA2021) samt anslutning till tjänsten Toimi som förvaltas av Statens center för informations- och kommunikationsteknik och via det anskaffning av ett system som baserar sig på lösningen ServiceNow.
Den upphandling som baserar sig på utnyttjande av den öppna källkoden i systemet EURA2021 utreddes tillsammans med arbets- och näringsministeriet, men efter utredningsarbetet konstaterades det att ett genomförande av detta slag inte nödvändigtvis ger synergifördelar av det slag som önskas på grund av den brådskande tidsramen. Dessutom hade genomförandet av systemet EURA2021 framskridit så långt att det inte längre var möjligt att inkludera en ny del om fonderna inom området för inrikes frågor i systemet.
De frågor som gällde utredningen om en anslutning till tjänsten Toimi som förvaltas av Statens center för informations- och kommunikationsteknik och därigenom utnyttjande av lösningen ServiceNow blev lösta i slutet av 2021, varefter en förutredningsfas inleddes. Vid inrikesministeriet genomfördes det en konkurrensutsättning och en analys av de risker och fördelar som är förknippade med att utnyttja de tjänster som Statens center för informations- och kommunikationsteknik erbjuder. I Europeiska unionens allmänna förordning, som reglerar fonderna inom området för inrikes frågor, förutsätts det att informationsutbytet mellan myndigheterna för fonderna och understödstagarna genomförs med hjälp av ett elektroniskt informationssystem senast från och med den 1 januari 2023, vilket innebär en mycket stort risk när det gäller tidsramen.
Det nya informationssystemet ska vara tillgängligt till utgången av 2030, så de risker som hänför sig till systemets livscykel ska beaktas. Tjänsten Toimi används redan av flera av statens ämbetsverk, till exempel i regionförvaltningsverkens e-tjänster från och med 2022, och Statens center för informations- och kommunikationsteknik har inte för avsikt att lägga ned tjänsten. Statens center för informations- och kommunikationsteknik konkurrensutsätter leverantörerna av tjänsten Toimi regelbundet, nästa gång under 2022. De projekt som pågår slutförs dock tillsammans med den nuvarande leverantören.
Fördelarna med tjänsten Toimi, som förvaltas av Statens center för informations- och kommunikationsteknik, accentuerades med tanke på avtalshanteringen och informationssäkerheten samt leverantörens revision. Vid konkurrensutsättningen av systemleverantörerna var inrikesministeriet och myndigheten för fonderna för inrikes frågor tvungna att beakta kompetens- och resursbehoven med anknytning till avtalshanteringen och informationssäkerheten. Under den nuvarande programperioden har Polisens informationsteknologicentral svarat för den avtalshantering som hänför sig till leverantörerna och bland annat informationssäkerhetsfrågor, och det administrativa arbete och ansvar som hänför sig till dessa har varit utlagt utanför inrikesministeriet till Polisens informationsteknologicentral.
Mellan Statens center för informations- och kommunikationsteknik och systemleverantören har det ingåtts databehandlingsavtal i vilka det avtalas om de åtgärder som ska tillämpas på behandlingen av personuppgifter. Databehandlingsavtalet för tjänsten följer EU:s allmänna dataskyddsförordning och nationell lagstiftning. Utifrån systemleverantörens sätt att producera tjänster har bedömningsorganet KPMG IT Certifiering Ab, som fått myndighetsgodkännande, låtit utföra en informationssäkerhetsbedömning i fråga om den administrativa och tekniska informationssäkerheten i enlighet med kraven på basnivå i VAHTI-anvisningen.
5.2
Handlingsmodeller som används eller planeras i andra medlemsstater
Under beredningen har man strävat efter att utreda andra medlemsstaters situation i fråga om utvecklandet av elektroniska informationssystem. Det har knappt funnits någon närmare tillgänglig information alls.
I Sverige söks finansiering ur Europeiska unionens fonder inom området för inrikes frågor via den elektroniska tjänsten Min Ansökan, och där kan företag och offentliga aktörer ansöka om nationella stödformer och EU-stödformer och utbetalningar som fås via dem.
Den förvaltande myndigheten i Nederländerna meddelade att utvecklingen av ett nytt system har inletts, men att man ändå inte har för avsikt att göra egentliga förändringar i det tidigare systemet.
Europeiska unionens allmänna förordning ställer vissa krav på det informationssystem som används. I dataskyddsförordningen anges exakta gränser för hur till exempel personuppgifter får behandlas. På nationell nivå sker den egentliga utvecklingen av systemet och beslutsfattandet om systemets tekniska egenskaper. Det görs få internationella jämförelser när det gäller det aktuella ärendet.
6
Remissvar
6.1
Remissvar från remissbehandlingen
Inrikesministeriet ordnade en remissbehandling om ändringen av lagen om fonderna inom området för inrikes frågor under programperioden 2021–2027 den 8 juni–22 juli 2022. Utlåtanden begärdes av sammanlagt 43 myndigheter och organisationer. För Ålands landskapsregering ordnades det ytterligare en separat remissbehandling den 26 juli– 6 september 2022 efter det att den svenska översättningen av regeringens utkast till proposition blev klar. Inrikesministeriet fick sammanlagt 19 utlåtanden i ärendet. Sju av remissinstanserna konstaterade att det inte har något särskilt att yttra sig om i frågan. Utlåtandena finns i Statsrådets projektportal, med projektnumret SM002:00/2022 och ärendenumret VN/230/2022. I projektportalen finns också ett sammandrag av utlåtandena.
Utlåtanden lämnades av Ålands landskapsregering, kommunikationsministeriet, jord- och skogsbruksministeriet, justitieministeriet, undervisnings- och kulturministeriet, försvarsministeriet, inrikesministeriets enhet för nationell säkerhet, migrationsavdelning, polisavdelning, räddningsavdelning och gränsbevakningsavdelning, finansministeriet, miljöministeriet, statsrådets kansli, Migrationsverket, Polisstyrelsen, Tullen, Statskontoret och Helsingfors stadskansli.
I utlåtandena ansågs förslaget allmänt taget vara värt att understödja och motiverat.
I sitt utlåtande fäste justitieministeriet vikt vid beskrivningen av det nationella handlingsutrymmet, fastställandet av den personuppgiftsansvarige, frågor som gäller tillgången till och utlämnande av information och vid det att det i motiveringen inte redogörs tillräckligt för den dataskyddsrättsliga rollen för finansministeriet som är revisionsmyndighet. Justitieministeriet konstaterade att det vid den fortsatta beredningen är skäl att ytterligare säkerställa att den föreslagna registerföringen grundar sig på faktiska situationer.
Finansministeriet rekommenderade i sitt utlåtande att inrikesministeriet ytterligare säkerställer att den bedömning av förändringar i informationshanteringen som förutsätts i 8 § informationshanteringslagen har gjorts med tillräcklig noggrannhet och att åtminstone ändringarna i informationshanteringsmodellen enligt 5 § i informationshanteringslagen har beaktats. Finansministeriet konstaterade också att kostnaderna för eventuella integrationer mellan systemen inte har beaktats i propositionen och att de totala kostnaderna ytterligare kan stiga märkbart i och med dem.
I Polisstyrelsens utlåtande fästes det särskild uppmärksamhet vid de uppgifter som begärs av understödssökandena i ansökningsskedet, i synnerhet vid upphandlingar som överstiger EU-tröskelvärdet. Samma synpunkter togs också upp i Tullens och gränsbevakningsavdelningens utlåtanden. Polisstyrelsen konstaterade i fråga om de anslutna systemen att det av lagförslaget och dess motivering inte framgår vilka förändringar förslaget innebär för informationssystemen i praktiken, vilka informationssystem propositionen gäller och om detta kan föranleda eventuella kostnader för de organisationer som äger de anslutna systemen bland annat som kostnader för skapande av ett tekniskt gränssnitt. Dessa frågor bör enligt Polisstyrelsen förtydligas och bedömas närmare.
6.2
Centrala ändringar utgående från remissvaren
Inrikesministeriet har strävat efter att vid den fortsatta beredningen beakta de förslag och brister som framförts i utlåtandena. Bestämmelserna om personuppgifter har bedömts utifrån de nämnda utlåtandena. Bestämmelserna och motiven har preciserats och kompletterats. Även bedömningen enligt informationshanteringslagen har förbättrats och propositionens ekonomiska konsekvenser har preciserats. På samma sätt har man strävat efter att närmare beskriva gränssnittslösningarna i propositionen och bedöma de kostnader som de medför. De frågor som uppmärksammades av Polisstyrelsen, Tullen och gränsbevakningsavdelningen och som gällde de uppgifter som begärs på ansökningsblanketten har strukits helt i samband med ansökan om understöd. De synpunkter som framfördes var motiverade och det är inte befogat att begära dessa uppgifter i samband med ansökan om understöd. Den sistnämnda frågan har inga egentliga konsekvenser för själva regeringspropositionen.
Efter remissbehandlingen har det till 16 § 3 mom. i lagförslaget fogats bestämmelser om förfarandet för ändring av ett beslut om understöd. Avsikten är att ändring av ett beslut om understöd söks hos den förvaltande myndigheten i det informationssystem som avses i 26 § eller, om den förvaltande myndigheten särskilt tillåter det, elektroniskt på en blankett som godkänts av den förvaltande myndigheten. Dessutom föreslås det att det till 25 § i lagförslaget fogas nya 3 och 4 mom. där den förvaltande myndigheten trots sekretessbestämmelserna får rätt att till revisionsmyndigheten lämna ut uppgifter som är nödvändiga för skötseln myndighetens granskningsuppgifter och till de aktörer som utvärderar programmet lämna ut uppgifter som är nödvändiga för utvärderingen. Tilläggen behövs för att det ska vara möjligt att säkerställa att revisionsmyndigheten och den som utvärderar programmet har rätt att granska och inspektera uppgifter i informationssystemet för skötseln av sina uppgifter.
7
Specialmotivering
15 §.Ansökan om understöd. Det föreslås att det till 15 § 1 mom. i lagförslaget fogas en bestämmelse om att understöd söks hos den förvaltande myndigheten i det informationssystem som avses i 26 § eller, om den förvaltande myndigheten särskilt tillåter det, i elektroniskt på en blankett som godkänts av den förvaltande myndigheten. Enligt den gällande fondlagen har det varit möjligt att ansöka om understöd endast på en blankett som godkänts av den förvaltande myndigheten. I enlighet med Europeiska unionens allmänna förordning ska informationsutbytet mellan stödmottagarna och programmyndigheterna i sin helhet ske genom elektroniska system för datautbyte. När det gäller Europeiska unionens fonder inom området för inrikes frågor tillämpas denna skyldighet från och med den 1 januari 2023. Enligt förslaget stryks omnämnandet i 1 mom. om att den undertecknade ansökan och dess bilagor ska sändas till den förvaltande myndigheten, motsvarande krav föreslås ingå i 4 och 5 mom.
I paragrafens 4 mom. föreslås en precisering om att ansökan ska undertecknas om den har gjorts på en blankett som godkänts av den förvaltande myndigheten. Underskriften kan göras med hjälp av stark autentisering, elektroniskt på en blankett i pdf-format eller fysiskt.
Till paragrafens 5 mom. föreslås det att det fogas en bestämmelse om att ansökan blir anhängig när den gjorts i informationssystemet på så sätt att den förvaltande myndigheten har tillgång till den inom utsatt tid. I momentet ska det även i fortsättningen föreskrivas om att en ansökan blir anhängig också när en ansökan som har gjorts elektroniskt på en blankett har kommit in till den förvaltande myndigheten inom utsatt tid.
16 §.Beviljande av understöd och beslutets innehåll. Det föreslås att 16 § 3 mom. i lagförslaget ändras så att den förvaltande myndigheten på ansökan kan ändra beslutet om understöd för projektet eller verksamheten. Det föreslås att det till momentet fogas en bestämmelse om att ändring ska sökas hos den förvaltande myndigheten i det informationssystem som avses i 26 § eller, om den förvaltande myndigheten särskilt tillåter det, elektroniskt på en blankett som godkänts av den förvaltande myndigheten. Vid sökandet av ändring av ett beslut om understöd är det motiverat att följa samma förfarande som i samband med ansökan om understöd, och därför föreslås det ett tillägg i 3 mom.
18 §. Ansökan om utbetalning samt rapportering. Det föreslås att det till 18 § 1 mom. i lagförslaget fogas en bestämmelse om att utbetalning av understöd söks hos den förvaltande myndigheten i det informationssystem som avses i 26 § eller, om den förvaltande myndigheten särskilt tillåter det, elektroniskt på en blankett som godkänts av den förvaltande myndigheten. Ansökan om utbetalning och rapportering överförs också i enlighet med Europeiska unionens allmänna förordning till det nya informationssystemet.
25 §. Rätt att få och lämna ut information. I 25 § i fondlagen föreskrivs det om rätten att få och lämna ut information. Det föreslås att det till paragrafen fogas nya 3 och 4 mom. där det föreskrivs om rätten för den förvaltande myndigheten att lämna ut uppgifter till revisionsmyndigheten och den aktör som utvärderar programmet. I 3 mom. föreslås det bestämmelser om att den förvaltande myndigheten trots sekretessbestämmelserna har rätt att till revisionsmyndigheten lämna ut information som är nödvändig för skötseln av myndighetens granskningsuppgifter som avses i fondlagen och Europeiska unionens lagstiftning. Revisionsmyndigheten ska ha rätt att granska uppgifterna i programmen för fonderna för att säkerställa att principerna om en sund ekonomisk förvaltning iakttas samt för att fullgöra sina lagstadgade uppgifter. I artiklarna 77–79 i den allmänna förordningen och i 7 och 22 § i fondlagen föreskrivs det om revisionsmyndighetens uppgifter och rätt att behandla uppgifter. I artikel 77 i den allmänna förordningen föreskrivs det bland annat att revisionsmyndigheten ska ha ansvaret att genomföra systemrevisioner, insatsrevisioner och räkenskapsrevisioner i syfte att ge kommissionen en oberoende försäkran om att förvaltnings- och kontrollsystemen fungerar effektivt och att utgifterna i de räkenskaper som lämnas till kommissionen är lagliga och korrekta.
I 4 mom. föreslås det bestämmelser om att den förvaltande myndigheten trots sekretessbestämmelserna ska ha rätt att till aktörer som i enlighet med artikel 44 i den allmänna förordningen utvärderar program lämna ut information som är nödvändig för utvärderingen av programmen. I artikel 44 i den allmänna förordningen föreskrivs det att den förvaltande myndigheten ska utvärdera programmen mot ett eller flera av följande kriterier: ändamålsenlighet, effektivitet, relevans, samstämmighet och mervärde för unionen. Syftet med utvärderingen är att förbättra kvaliteten när det gäller utformning och genomförande av program. Enligt den allmänna förordningen och fondlagen är den förvaltande myndigheten ansvarig för utvärderingarna. I artikel 44.3 i den allmänna förordningen föreskrivs det att utvärderingarna ska utföras av interna eller externa experter som är funktionellt oberoende. Den förvaltande myndigheten ska säkerställa att den som utför utvärderingen har rätt till den information som behövs för att utföra utvärderingen. Enligt den allmänna förordningen ska den förvaltande myndigheten säkerställa att nödvändiga förfaranden har inrättats för att ta fram och samla in de uppgifter som krävs för utvärderingarna. Det föreslagna tillägget behövs för att det den förvaltande myndigheten, som är personuppgiftsansvarig, ska kunna fullgöra sin lagstadgade förpliktelse. Det är fråga om utnyttjande av det handlingsutrymme som anges i artikel 6.3 i dataskyddsförordningen och tryggande av att den som utvärderar programmet har rätt till tillräcklig information för skötseln av sina uppgifter.
Det föreslås att det gällande 25 § 3 mom. flyttas och blir 5 mom. och ändras så att information som erhållits med stöd av 1–4 mom. inte får användas för andra ändamål än de för vilka informationen har begärts.
Genom lagförslaget vill man förbereda sig på att uppgifter som avses i 25 § 1 och 2 mom. i den gällande fondlagen också kan överföras till det nya informationssystemet med hjälp av ett tekniskt gränssnitt. Därför föreslås det att det till 25 § fogas ett nytt 6 mom. där det föreskrivs att om information som avses i 1 eller 2 mom. i överförs via ett tekniskt gränssnitt från ett annat system till det informationssystem som avses i 26 §, ska ägaren till det system från vilket informationen överförs (anslutet system) iaktta det som i Europeiska unionens bestämmelser om den ekonomiska förvaltningen föreskrivs om det elektroniska systemet och kraven på dess innehåll på det sätt som den förvaltande myndigheten förutsätter. Ägaren till det anslutna systemet ska för den förvaltande myndigheten och revisionsmyndigheten öppna ett tekniskt gränssnitt för åtkomst till sådan information i det anslutna systemet som dessa myndigheter med stöd av fondlagen eller den allmänna förordningen har rätt till för att sköta sina lagstadgade uppgifter. Förberedelser inför integrationslösningar innebär inte någon ändring av innehållet i de uppgifter som behandlas eller någon ändring av vilka uppgifter som kan överföras mellan den förvaltande myndigheten och revisionsmyndigheten och andra myndigheter eller aktörer som sköter offentliga uppdrag.
Vidare föreslås det att det till 25 § fogas ett nytt 7 mom. där det föreskrivs att information får lämnas ut ur informationssystemet med hjälp av ett tekniskt gränssnitt till andra än i denna lag avsedda myndigheter och till Europeiska unionens institutioner, om myndigheterna och organisationerna har lagstadgad rätt att få uppgifterna. Uppgifter ur informationssystemet får lämnas ut med tillämpning av vad som i den allmänna förordningen och i Europeiska unionens bestämmelser om den ekonomiska förvaltningen föreskrivs om det elektroniska systemet och kraven på dess innehåll. Med detta avses utlämnande av information till SFC-informationssystemet (System for Fund Management in the European Union) som används av Europeiska kommissionen och medlemsstaterna. Information kan också överföras till statsrådets gemensamma ärendehanteringssystem samt till den informationsresurs för statsunderstödsverksamheten som är under beredning, om de förutsättningar som nämns i lagen uppfylls. Inte heller i detta fall innebär förberedelser inför integrationslösningar någon ändring av innehållet i de uppgifter som behandlas eller någon ändring av vilka uppgifter som kan lämnas ut mellan den förvaltande myndigheten och revisionsmyndigheten och andra myndigheter eller aktörer som sköter offentliga uppdrag.
Det föreslås att det till 25 § i fondlagen fogas ett nytt 8 mom. enligt vilket närmare bestämmelser om kraven på innehållet i anslutna system får utfärdas genom förordning av statsrådet.
26 §. E-tjänst- och behandlingssystemet för programmet för fonderna inom området för inrikes frågor samt behandling av uppgifter. I 26 § i lagförslaget föreslås det behövliga ändringar i fråga om behandlingen av uppgifter om Europeiska unionens fonder inom området för inrikes frågor e-tjänst- och behandlingssystemet för programmet för fonderna. Det föreslås att 26 § 1 mom. ändras så att uppgifter om fonderna inom området för inrikes frågor behandlas i e-tjänst- och behandlingssystemet för programmet för fonderna inom området för inrikes frågor. Enligt den gällande lagen behandlas uppgifter om fonderna inom området för inrikes frågor i statsrådets gemensamma ärendehanteringssystem som används av inrikesministeriet. Momentet ska preciseras så att den förvaltande myndigheten ska använda det nya informationssystemet för skötseln av sådana uppgifter i samband med program och genomförandeplaner som anges i Europeiska unionens lagstiftning och i fondlagen. I momentet föreslås det dessutom bestämmelser om att informationssystemet ska vara ett sådant elektroniskt system som avses i artikel 69 i den allmänna förordningen, att inrikesministeriet ska vara personuppgiftsansvarig för informationssystemet och att ministeriet svarar för informationssystemet i enlighet med informationshanteringslagen.
I den gällande lagen har det inte tidigare funnits något behov av att föreskriva om den personuppgiftsansvarige, eftersom den förvaltande myndigheten använde statsrådets gemensamma ärendehanteringssystem för behandlingen av uppgifterna. Det är möjligt att utfärda bestämmelser om den personuppgiftsansvarige med stöd av det nationella handlingsutrymme som artikel 4.7 i dataskyddsförordningen medger. Det föreslås att inrikesministeriet ska äga e-tjänst- och behandlingssystemet och svara för att informationssystemet uppfyller de lagstadgade kraven på medlemsstaterna enligt den allmänna förordningen och fondlagen. I det informationssystem som avses i paragrafen ska också personuppgifter behandlas. För tydlighetens skull är det motiverat att inrikesministeriets ansvarsställning som personuppgiftsansvarig fastställs separat i lagen.
Det föreslås att 2 mom. i lagförslaget ändras så att den förvaltande myndigheten ska behandla behövliga uppgifter som nämns i momentet. I den gällande lagen föreskrivs det att de dokument som nämns i momentet behandlas av den förvaltande myndigheten ärendehanteringssystemet. De uppgifter som behandlas i momentet innehåller också personuppgifter. Enligt artikel 4 i Europeiska unionens allmänna förordning får medlemsstaterna endast behandla personuppgifter om det är nödvändigt för att de ska kunna fullgöra sina respektive skyldigheter enligt förordningen, särskilt när det gäller övervakning, rapportering, kommunikation, offentliggörande, utvärdering, ekonomisk förvaltning, kontroll och revision samt, i tillämpliga fall, fastställande av deltagarnas stödberättigande. I förslaget föreslås inga ändringar när det gäller den som behandlar personuppgifter, som också i fortsättningen ska vara den förvaltande myndigheten. Rätten för den förvaltande myndigheten att behandla personuppgifter grundar sig i enlighet med artikel 6.1 c i EU:s allmänna dataskyddsförordning på fullgörande av en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Enligt artikel 6.3 i dataskyddsförordningen ska den grund för behandlingen som avses i artikel 6.1 c fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Det föreskrivs om den förvaltande myndighetens behörighet och uppgifter inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger i 6 § i fondlagen samt i den allmänna förordningen och i synnerhet i artiklarna 72—76 i den förordningen.
Informationssystemet ska inte vara ett elektroniskt arkiv för understödssökandena eller för understödstagarna. Understödstagarna ska bevara bokföringsmaterial och övrigt material i anslutning till det projekt eller den verksamhet som understöds på det sätt som föreskrivs i 17 § 3 mom. Understödstagarnas skyldighet att bevara materialet grundar sig på behovet av att kontrollera användningen av understödet. I Europeiska unionens allmänna förordning, som är förpliktande för fonderna, föreskrivs det att materialet ska bevaras i fem år från och med den 31 december det år då den sista betalningsposten för projektet eller verksamheten betalades till understödstagaren.
Det föreslås att det till 26 § fogas ett nytt 3 mom. enligt vilket varje användare av informationssystemet ska identifiera sig med hjälp av sådan stark autentisering som avses i 2 § 1 mom. 1 punkten i lagen om stark autentisering och betrodda elektroniska tjänster. E-tjänsterna hos organisationer inom den offentliga förvaltningen i Finland förutsätter i regel stark autentisering för att användarens identitet ska kunna styrkas. Vid användning av informationssystemet för programmet för Europeiska unionens fonder inom området för inrikes frågor är det inte tillräckligt att enbart identifiera personen utan det gäller dessutom att styrka personens koppling till organisationen och personens rätt att företräda organisationen i den aktuella kommunikationen. Stark autentisering ska förutsättas av företrädare för de organisationer som ansöker om understöd och av de organisationer som får understöd, av de myndigheter som använder systemet och till exempel av de aktörer som utvärderar programmet.
Bestämmelser om offentlighet för uppgifter som lagrats i informationssystemet finns i lagen om offentlighet i myndigheternas verksamhet och bestämmelser om skydd för personuppgifter som lagrats i systemet i Europeiska unionens allmänna dataskyddsförordning och i dataskyddslagen.
31 §. Ändringssökande. I lagförslaget föreslås det att det till 31 § fogas ett nytt 2 mom. enligt vilket omprövning av ett beslut av den förvaltande myndigheten begärs i det informationssystem som avses i 26 §. Begäran om omprövning kan också lämnas till inrikesministeriets registratorskontor.
8
Bestämmelser på lägre nivå än lag
Det föreslås att det till 25 § i lagförslaget fogas ett nytt 6 mom. enligt vilket bestämmelser om kraven på innehållet i anslutna system får utfärdas genom förordning av statsrådet.
9
Ikraftträdande
Det föreslås att lagen träder i kraft så snart som möjligt efter att den har antagits av riksdagen. Den allmänna förordningen förutsätter att ett elektroniskt system för datautbyte införs senast från och med den 1 januari 2023.
10
Verkställighet och uppföljning
Europeiska unionens fonder inom området för inrikes frågor verkar programperiodsvis. Medlemsstaterna för en kontinuerlig dialog med kommissionen om fondernas funktion under hela programperioden. Kommissionen granskar fonderna under programperioden och gör sina egna bedömningar på grundval av efterhandsutvärderingar, samråd med berörda parter och konsekvensbedömningar. Vid efterhandsutvärderingen fokuserar man på att utreda vilken inverkan fonderna har haft. När kommissionen förbereder sig inför beredningen av en ny programperiod gör den en halvtidsutvärdering av fonderna.
Europeiska unionens rättsakter om fonderna förutsätter att genomförandet av fondprogrammen följs upp under programperioden, särskilt med tanke på resultaten. Samtidigt utvärderas också hur det nationella förvaltnings- och övervakningssystemet fungerar. Den allmänna förordningen förpliktar medlemsstaterna att upprätta en resultatram som gör det möjligt att övervaka, utvärdera och rapportera om programmets resultat under genomförandet.
11
Förhållande till andra propositioner
Propositionen hänför sig inte till andra propositioner av regeringen som är under behandling i riksdagen. De bestämmelser som föreslås har inte heller några konsekvenser för budgetpropositionen.
12
Förhållande till grundlagen samt lagstiftningsordning
Skyddet för personuppgifter
Behandlingen av fysiska personers personuppgifter och behovet av speciallagstiftning har granskats och bedömts utifrån en riskbedömning med tanke på hur förvaltnings- och kontrollsystemet för programmet för EU:s fonder inom området för inrikes frågor, som förutsätts i den allmänna förordningen, fungerar samt med tanke på målen för verksamheten. Enligt artikel 69.1 i den allmänna förordningen ska medlemsstaterna ha ett förvaltnings- och kontrollsystem för programmet och säkerställa att förvaltnings- och kontrollsystemet fungerar i enlighet med principen om sund ekonomisk förvaltning och de nyckelkrav som förtecknas i bilaga XI till den allmänna förordningen.
Enligt artikel 69.4 i den allmänna förordningen ska medlemsstaterna säkerställa att övervakningssystemet och uppgifterna om indikatorerna är tillförlitliga, exakta och av god kvalitet. Enligt artikel 69.8 i den allmänna förordningen ska medlemsstaterna säkerställa att allt informationsutbyte mellan stödmottagarna och programmyndigheterna sker genom elektroniska system för datautbyte i enlighet med bilaga XIV till den allmänna förordningen. I den allmänna förordningen föreskrivs det vidare att förvaltningsmyndigheten, på uttrycklig begäran av en stödmottagare, undantagsvis får godta informationsutbyte i pappersformat, men att utbytet av information i pappersformat dock inte påverkar skyldigheten att registrera och lagra uppgifter i enlighet med artikel 72.1 e. Understödsförfarandet för Europeiska unionens fonder inom området för inrikes frågor ska i fortsättningen skötas via det föreslagna informationssystemet. I lagen ska det även i fortsättningen föreskrivas att om förvaltningsmyndigheten särskilt tillåter det ska understöd kunna sökas och rapportering och ansökan om utbetalning i samband med det kunna göras elektroniskt på en blankett som godkänts av den förvaltande myndigheten. Även när ansökan sker på en blankett ska den förvaltande myndigheten elektroniskt registrera och lagra de uppgifter om varje insats som behövs för övervakning, utvärdering, ekonomisk förvaltning, kontroller och revisioner i enlighet med bilaga XVII till den allmänna förordningen samt säkerställa uppgifternas säkerhet, integritet och konfidentialitet och autentisering av användare. Den föreslagna regleringen ska bedömas utifrån den grundlagsskyddade bestämmelsen om skydd för personuppgifter.
Det föreslås att bestämmelser om utlämnande av information fogas till 25 § i lagförslaget. Den förvaltande myndighetens ska trots sekretessbestämmelserna ha rätt att till revisionsmyndigheten lämna ut uppgifter som är nödvändiga för skötseln av myndighetens granskningsuppgifter som avses i fondlagen och Europeiska unionens lagstiftning. I 7 och 22 § i fondlagen och i artikel 77 i den allmänna förordningen föreskrivs det om revisionsmyndighetens uppgifter och granskningsrätt. Revisionsmyndigheten ska ha rätt att granska uppgifter för att säkerställa att principerna om en sund ekonomisk förvaltning iakttas samt för att fullgöra sina lagstadgade uppgifter. I den föreslagna lagen föreslås inga ändringar av revisionsmyndighetens gällande dataskyddsrättsliga ställning eller uppgifter, men i och med införandet av det nya informationssystemet är det dock behövligt att i lagen föreskriva om revisionsmyndighetens rätt att få tillräcklig information.
Vidare föreslås det bestämmelser i paragrafen om att den förvaltande myndigheten trots sekretessbestämmelserna har rätt att till aktörer som i enlighet med artikel 44 i den allmänna förordningen utvärderar programmen lämna ut information som är nödvändig för utvärderingen av programmen. I artikel 44 i den allmänna förordningen föreskrivs det att den förvaltande myndigheten ska utvärdera programmen mot ett eller flera av följande kriterier: ändamålsenlighet, effektivitet, relevans, samstämmighet och mervärde för unionen. Syftet med utvärderingen är att förbättra kvaliteten när det gäller utformning och genomförande av program. Utvärderingarna får också omfatta andra relevanta kriterier, såsom inkludering, icke-diskriminering och synlighet. Enligt den allmänna förordningen och fondlagen är den förvaltande myndigheten ansvarig för utvärderingarna. I artikel 44.3 i den allmänna förordningen föreskrivs det att utvärderingarna ska utföras av interna eller externa experter som är funktionellt oberoende. Den aktör som utför utvärderingarna kan alltså vara någon annan än en myndighet. Utvärderingen utförs utifrån en utvärderingsplan som den förvaltande myndigheten utarbetat och övervakningskommittén godkänt. Den förvaltande myndigheten ska säkerställa att den som utför utvärderingen har rätt att granska informationen i informationssystemet så att den kan utföra utvärderingen. Enligt den allmänna förordningen ska den förvaltande myndigheten säkerställa att nödvändiga förfaranden har inrättats för att ta fram och samla in de uppgifter som krävs för utvärderingarna. Det föreslagna tillägget behövs för att det den förvaltande myndigheten, som är personuppgiftsansvarig, ska kunna fullgöra sin lagstadgade förpliktelse. Det är fråga om utnyttjande av det handlingsutrymme som anges i artikel 6.3 i dataskyddsförordningen och tryggande av att den som utvärderar programmet har rätt att granska information i informationssystemet för skötseln av sina uppgifter.
Grundlagsutskottet har i sina utlåtanden analyserat bestämmelser om myndigheternas rätt att få och skyldighet att lämna ut information trots sekretessbestämmelserna med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen, och då fäst uppmärksamhet vid bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet. Rätten att få och möjligheten att lämna ut information kan enligt utskottet gälla ”behövliga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att ”uppgifterna är nödvändiga” för ett visst syfte (se t.ex. GrUU 10/2014 rd, s. 6/II, GrUU 17/2016 rd och GrUU 73/2018 rd). I sina analyser av exakthet och innehåll har grundlagsutskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. De uppgifter som avses i paragrafen innefattar inte personuppgifter som hör till särskilda kategorier av personuppgifter. Det är emellertid inte möjligt att i bestämmelsen uttömmande räkna upp innehållet i de uppgifter som är föremål för utlämnandet, och därför får uppgifter enligt paragrafen lämnas ut trots sekretessbestämmelserna endast när uppgifterna är nödvändiga (GrUU 17/2016 rd och GrUU 38/2016 rd). Den föreslagna lagen innehåller inga särskilda risker med tanke på skyddet av personuppgifter, men den behövs för att den förvaltande myndigheten ska kunna lämna ut också eventuella sekretessbelagda uppgifter för utförande av granskningar och utvärderingar.
Grundlagsutskottet har också ansett att rätten till information, som går före sekretessbestämmelserna, i sista hand går ut på att den myndighet som är berättigad till informationen i och med sina egna behov åsidosätter de grunder och intressen som är skyddade med hjälp av den sekretess som gäller den myndighet som innehar informationen. Ju mer generella bestämmelserna om rätt till information är, desto större är risken att sådana intressen lätt kan åsidosättas. Ju fullständigare bestämmelserna kopplar rätten till information till villkor i sak, desto mer sannolikt är det att en begäran om information måste motiveras. Då kan också den som lämnar ut informationen bedöma en begäran med avseende på de lagliga villkoren för att lämna ut den. Genom att verkligen vägra lämna ut informationen kan den som innehar den få till stånd ett läge, där en utomstående myndighet måste undersöka skyldigheten att lämna ut information, det vill säga tolka bestämmelserna. Denna möjlighet är viktig då det gäller att anpassa tillgången till information och sekretessintressena till varandra (GrUU 62/2010 rd, s. 3/II–4/I och de utlåtanden som nämns där).
Till 26 § i lagförslaget föreslås det att det fogas bestämmelser om e-tjänst- och behandlingssystemet för programmet för fonderna. I paragrafen föreslås bestämmelser om att uppgifter om fonderna inom området för inrikes frågor behandlas i e-tjänst- och behandlingssystemet för programmet för fonderna inom området för inrikes frågor. Den förvaltande myndigheten ska använda informationssystemet för skötseln av sådana uppgifter i samband med program och genomförandeplaner som anges Europeiska unionens lagstiftning och i fondlagen. Den förvaltande myndigheten ska i informationssystemet behandla sådana uppgifter som gäller programmet och förvaltningen, övervakningen och kontrollen av programmet och som förutsätts i Europeiska unionens lagstiftning, samt genomförandeplanen för programmet. Personuppgifterna i EU:s fonder inom området för inrikes frågor hänför sig till inkomna understödsansökningar och rapporter samt behandlingen av dessa. Uppgifterna ska vara tillgängliga för de myndigheter som svarar för förvaltningen för förvaltning och kontroll av projekt. De uppgifter som förts in i informationssystemet är skyddade mot obehörig åtkomst, ändring och förstöring. Skyddet föreslås bygga på behörighetskontroll, tekniska skyddsåtgärder för databaser och servrar, passerkontroll, skyddad datakommunikation och säkerhetskopiering av uppgifter. Åtkomsten till informationssystemet ska basera sig på stark autentisering via den gemensamma identifieringstjänsten Suomi.fi för den offentliga förvaltningens e-tjänster och på Suomi.fi-fullmakter. Den förvaltande myndigheten ska använda Virtu-identifiering när den loggar in i informationssystemet.
Personuppgifter kan vara till exempel namn, e-postadress och telefonnummer för kontaktpersonen för understödssökanden och understödstagaren, namn- och födelsetidsuppgifter samt eventuellt personbeteckningar för understödstagarens verkliga huvudmän, om identifieringen av personen förutsätter det, uppgifter om sammansättningen av projektens styrgrupper, löneuppgifter i samband med rapporter, handlingar som gäller upphandlingar och andra personuppgifter som understödssökanden och understödstagaren har inkluderat i ansökan eller rapporten, såsom uppgifter om medborgarskap eller uppehållstillstånd. Behandlingen av uppgifter om medborgarskap och uppehållstillstånd baserar sig på att genom en del av fondernas projekt och åtgärder stöds åtgärder för mottagande och integration av tredjelandsmedborgare som lagligen vistas i Europeiska unionen samt åtgärder som hänför sig till frivillig återresa. Det är nödvändigt att registrera personuppgifter med tanke på genomförandet och kontrollen i anslutning till fonderna. I informationssystemet lagras dessutom namnen på och kontaktuppgifterna till kontaktpersonerna för de andra organisationer som deltar i projekten. Det är motiverat att registrera kontaktpersonernas personuppgifter, eftersom de behövs för kontakterna mellan understödssökanden och understödstagaren samt de myndigheter som svarar för förvaltningen av fonderna vid behandlingen av ett anhängigt ärende. De personuppgifter som behandlas i informationssystemet är inte sådana som hör till de särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen. Behandlingen av personbeteckningar ska basera sig på identifieringssyften enligt 29 § i dataskyddslagen. Identifieringen är viktig för att tillgodose den personuppgiftsansvariges rättigheter och uppfylla dess skyldigheter, för att säkerställa att Europeiska unionens lagstiftning har iakttagits.
Enligt grundlagsutskottet är det i regel tillräckligt med tanke på 10 § 1 mom. i grundlagen att bestämmelserna uppfyller kraven enligt EU:s allmänna dataskyddsförordning. Enligt utskottet bör skyddet för personuppgifter i första hand tryggas med stöd av EU:s allmänna dataskyddsförordning och den nationella allmänna lagstiftningen. Lagstiftaren bör alltså vara restriktiv när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (GrUU 14/2018 rd). Enligt 10 § 1 mom. i grundlagen utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Grundlagsutskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme begränsas både av denna bestämmelse och av att skyddet för personuppgifter delvis ingår i skyddet för privatlivet, som tryggas i samma moment. Det är alltså fråga om att lagstiftaren ska trygga denna rättighet på ett sätt som kan anses godtagbart med hänsyn till de grundläggande fri- och rättigheterna. Om man ser till skyddet för personuppgifter har grundlagsutskottet ansett det viktigt att reglera åtminstone syftet med registreringen av uppgifterna, uppgifternas innehåll, det tillåtna användningsändamålet inklusive rätten att överlåta registrerade uppgifter, den tid uppgifterna finns kvar i registret och den registrerades rättsskydd. Dessutom ska regleringen av dessa faktorer på lagnivå vara heltäckande och detaljerad (GrUU 2/2018 rd, s. 5).
Grundlagsutskottet har särskilt påpekat att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (GrUU 14/2018 rd, s. 5 och de utlåtanden som nämns där). Det är relevant att grundlagsutskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som tryggas i samma moment i 10 § i grundlagen. Lagstiftaren bör tillgodose denna rätt på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna överlag. Utskottet har därför ansett att särskilt tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2), vilket inneburit att inrättandet av register med sådana uppgifter måste bedömas mot villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (GrUU 29/2016 rd, GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). De personuppgifter som behandlas enligt fondlagen är inte uppgifter som hör till särskilda kategorier av personuppgifter. Enligt artikel 6.1 c i dataskyddsförordningen är behandlingen av personuppgifter laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Enligt artikel 6.3 i dataskyddsförordningen ska den grund för behandlingen som avses i artikel 6.1 c fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Bestämmelser om den rättsliga grunden för behandlingen finns i den allmänna förordningen. Bestämmelser om den nationella rättsliga grunden för behandling av personuppgifter inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger finns i lagen om fonderna inom området för inrikes frågor under programperioden 2021–2027 som tillämpas på den personuppgiftsansvarige. Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Genomförandet av och tillsynen över lagstiftningen om Europeiska unionens fonder inom området för inrikes frågor förutsätter att de myndigheter som ansvarar för genomförandet av fonderna försäkrar sig om att understödet fördelas korrekt och att man kan försäkra sig om att det understöd som beviljats ur fonden används för att främja situationen, till exempel integrationen, för sådana personer som i enlighet med målen för fonden ska stödjas med finansieringen.
Den personuppgiftsansvarige
Med stöd av den allmänna dataskyddsförordningen är det möjligt att föreskriva om den personuppgiftsansvarige inom ramen för det nationella handlingsutrymmet. Enligt artikel 4.7 i den förordningen kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt, om ändamålen och medlen för behandlingen av personuppgifter bestäms av unionsrätten eller medlemsstaternas nationella rätt. Det kan anses vara särskilt motiverat att föreskriva om den personuppgiftsansvarige när den personuppgiftsansvarige är en myndighet eller det annars kan råda oklarhet om vem som är personuppgiftsansvarig. Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. För lagar gäller det allmänna kravet på att en lag ska vara exakt och noga avgränsad. Detta har också betonats i grundlagsutskottets utlåtandepraxis. Utskottet har bland annat förutsatt att målgruppen för regleringen utan svårighet bör kunna tillämpa bestämmelserna (t.ex. GrUU 60/2014 rd, s. 2/II). Dessutom har grundlagsutskottet inte minst i samband med bestämmelser som har kopplingar till de grundläggande fri- och rättigheterna ansett det nödvändigt att den behöriga myndigheten entydigt ska framgå av lagen (GrUU 21/2001 rd, s. 4/I) eller annars exakt (GrUU 47/2001 rd, s. 3/II) eller att åtminstone principerna för myndigheternas behörighetsförhållanden (GrUU 45/2001 rd, s. 5/I) och villkoren för delegering av behörighet framgår tillräckligt exakt av lagen (GrUU 7/2001 rd, GrUU 65/2002 rd, s. 4/II).
Ansvaret för behandlingen av personuppgifter ska ligga hos den myndighet som det de facto hör till. En myndighet som behandlar personuppgifter och gör det för skötseln av sina lagstadgade uppgifter för egna självständiga ändamål är personuppgiftsansvarig. Det är viktigt att specificera vem som är personuppgiftsansvarig i lagstiftningen, eftersom dataskyddsförordningen medför flera skyldigheter för den personuppgiftsansvarige, och därför bör det i fråga om de specialbestämmelser som gäller behandlingen av personuppgifter vara klart vilken aktör som ansvarar för den personuppgiftsansvariges skyldigheter. För tydlighetens skull är de föreslagna bestämmelserna om registerföring motiverade. Det förslås att inrikesministeriet i egenskap av personuppgiftsansvarig ska svara för att systemet uppfyller de lagstadgade krav som ställs på medlemsstaterna i den allmänna förordningen och fondlagen. I 6 § 1 mom. i fondlagen föreskrivs det om inrikesministeriets behörighet att vara förvaltande myndighet för programmet. I artikel 72 i den allmänna förordningen föreskrivs det att den förvaltande myndigheten bland annat ska utföra programförvaltningsuppgifter i enlighet med artikel 74 samt elektroniskt registrera och lagra de uppgifter om varje insats som behövs för övervakning, utvärdering, ekonomisk förvaltning, kontroller och revisioner samt säkerställa uppgifternas säkerhet, integritet och konfidentialitet och autentisering av användare. Den förvaltande myndigheten har i den allmänna förordningen fått som uppgift att vidta behövliga tekniska och organisatoriska åtgärder för att säkerställa att dataskyddsförordningen iakttas vid behandlingen.
Bemyndiganden att utfärda förordningar
Enligt 80 § 1 mom. i grundlagen ska det genom lag utfärdas bestämmelser om grunderna för individens rättigheter och skyldigheter samt om frågor som enligt grundlagen i övrigt hör till området för lag. Om det inte särskilt anges vem som ska utfärda en förordning, utfärdas den av statsrådet. Lagförslaget innehåller ett bemyndigande enligt vilket närmare bestämmelser om kraven på innehållet i anslutna system får utfärdas genom förordning av statsrådet. Grundlagsutskottet har betonat att bestämmelsen i 80 § 1 mom. i grundlagen direkt begränsar tolkningen av bemyndiganden och likaså innehållet i bestämmelser och föreskrifter som utfärdas med stöd av bemyndiganden. Genom förordning kan sålunda inte utfärdas allmänna rättsregler till exempel om grunderna för individens rättigheter eller skyldigheter och inte heller om frågor som enligt grundlagen i övrigt hör till området för lag (GrUU 48/2001 rd, GrUU 16/2002 rd och GrUU 40/2002 rd). I propositionen avgränsas bemyndigandet att utfärda förordning så noggrant och exakt som möjligt. Eftersom det är fråga om noggrant avgränsade bestämmelser om tillämpning av lagstiftningen står bemyndigandet i lagförslaget inte i konflikt med 80 § i grundlagen.
Lagförslaget kan på de grunder som anges ovan behandlas i vanlig lagstiftningsordning.