1.1
Lagen om behandling av personuppgifter vid Gränsbevakningsväsendet
1 kap. Allmänna bestämmelser
1 §.Tillämpningsområde. Lagen tillämpas på behandlingen av personuppgifter vid skötseln av de uppgifter som föreskrivs för Gränsbevakningsväsendet i denna lag, om inte något annat föreskrivs någon annanstans i lag. Denna lag tillämpas endast på sådan behandling av personuppgifter som är helt eller delvis automatiserad och på annan behandling av personuppgifter, då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant.
I 3 § i gränsbevakningslagen föreskrivs det om Gränsbevakningsväsendets uppgifter. Enligt paragrafen är Gränsbevakningsväsendets uppgift att upprätthålla gränssäkerheten. I samarbete med andra myndigheter utför Gränsbevakningsväsendet också tillsynsuppgifter som anges särskilt samt vidtar åtgärder för förebyggande, avslöjande och utredning av brott samt förande av brott till åtalsprövning. Gränsbevakningsväsendet utför dessutom polis- och tulluppgifter, efterspanings- och räddningsuppdrag och prehospital akutsjukvård samt deltar i det militära försvaret. I sjöräddningslagen föreskrivs det om Gränsbevakningsväsendets uppgifter inom området för sjöräddningstjänsten.
Bestämmelsens tillämpningsområde skiljer sig från 1 § i den gällande lagen, enligt vilken lagen om behandling av personuppgifter vid gränsbevakningsväsendet tillämpas som speciallag på all behandling av personuppgifter vid Gränsbevakningsväsendet, med undantag av vissa personregister som det uttryckligen föreskrivs om i någon annan lag. Till lagens tillämpningsområde har därför också hört personalförvaltning och annan allmän förvaltning. Till denna del anses det dock inte längre finnas behov av bestämmelser som avviker från de allmänna bestämmelserna. Den föreslagna, nya lagen tillämpas således endast på behandling av personuppgifter vid uppgifter som uttryckligen föreskrivits för Gränsbevakningsväsendet i lag. Exempelvis på personuppgifter som behandlas inom personalförvaltningen och den allmänna förvaltningen tillämpas direkt dataskyddsförordningen, dataskyddslagen och annan eventuell speciallagstiftning, t.ex. lagen om integritetsskydd i arbetslivet (759/2004).
Om det någon annanstans i lag föreskrivs om sådan behandling av personuppgifter som är behövlig för utförandet av uppgifter som föreskrivs för Gränsbevakningsväsendet på ett sätt som avviker från lagen om behandling av personuppgifter vid Gränsbevakningsväsendet, tillämpas bestämmelserna i den lagen i stället för denna lag. Den mest centrala av dessa lagar är sjöräddningslagen, där det föreskrivs om sjöräddningsregistret och Gränsbevakningsväsendets rätt att få uppgifter inom sjöräddningstjänsten. Övrig personuppgiftslagstiftning som gäller Gränsbevakningsväsendet beskrivs närmare i avsnitt 2.1.4 i propositionen. Lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ska dock tillämpas kompletterande på all behandling av personuppgifter som sker för utförande av Gränsbevakningsväsendets uppgifter till den del det inte finns några bestämmelser som avviker från lagen om behandling av personuppgifter vid Gränsbevakningsväsendet i speciallagstiftningen.
I lagen om behandling av personuppgifter vid gränsbevakningsväsendet har det allmänt funnits bestämmelser också om Gränsbevakningsväsendets rätt att få uppgifter av myndigheter samt av privata sammanslutningar och personer. Bestämmelserna kompletterar också bestämmelser i andra lagar om Gränsbevakningsväsendets rätt att få uppgifter och de gäller också andra uppgifter än personuppgifter. I 2 mom. finns en bestämmelse som förtydligar detta.
Det föreskrivs dock separat om Gränsbevakningsväsendets befogenheter att inhämta de personuppgifter som avses i denna lag. Bestämmelser om Gränsbevakningsväsendet befogenheter att inhämta information för förhindrande av brott finns i lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018). Bestämmelser om befogenheter att inhämta den information som behövs för att utreda brott finns förutom i lagen om brottsbekämpning inom Gränsbevakningsväsendet också i tvångsmedelslagen (806/2011) och förundersökningslagen (805/2011). Bestämmelser om Gränsbevakningsväsendets befogenheter finns också i annan speciallagstiftning som gäller Gränsbevakningsväsendets uppgifter. Gränsbevakningsväsendet får dessutom personuppgifter i samband med sina uppgifter på sätt som inte kräver särskilda befogenheter, t.ex. vid iakttagelser som gjorts i samband med den lagstadgade verksamheten och vid sådan övervakning i det allmänna datanätet som inte är riktad mot en viss person.
2 §. Förhållande till annan lagstiftning. I paragrafen preciseras vilka andra allmänt tillämpliga rättsakter och författningar om behandling av personuppgifter som ska tillämpas på den i lagen avsedda behandlingen av personuppgifter. På merparten av Gränsbevakningsväsendets behandling av personuppgifter tillämpas dataskyddsförordningen som allmän rättsakt och den kompletterande dataskyddslagen som allmän författning. På en del av behandlingen tillämpas dock dataskyddslagen avseende brottmål genom vilken dataskyddsdirektivet genomförts. Lagen ombehandling av personuppgifter vid Gränsbevakningsväsendet föreslås vara en speciallag som kompletterar dessa allmänna rättsakter och författningar. Hur Gränsbevakningsväsendets lagstadgade uppgifter är fördelade mellan tillämpningsområdena för de olika allmänna rättsakterna och författningarna behandlas närmare i avsnitt 2.3.1.
I tillämpningsområdet för dataskyddsförordningen och dataskyddslagen ingår de ändamål med behandlingen av personuppgifter som anges i 5 § och den huvudsakliga delen av ändamålen i 13 §. Utöver de här paragraferna som kompletterar ändamålen med behandlingen och typen av uppgifter som ska behandlas, innehåller lagförslaget också andra i artikel 6 i dataskyddsförordningen avsedda särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. De här bestämmelserna gäller behandling av personuppgifter för andra ändamål än det ursprungliga, utlämnande, lagringstid, tillgodoseende av de registrerades rättigheter och inskränkningar av de registrerades rättigheter.
Till tillämpningsområdet för dataskyddslagen avseende brottmål hör de ändamål med behandlingen av personuppgifter som anges i 6, 8, 10 och 11 § samt en del av de ändamål som anges i 13 §.
Om personuppgifter behandlas för andra ändamål med behandlingen än det ursprungliga (14 och 15 § i lagförslaget) är det ändamål för vilket personuppgifterna behandlas som bestämmer vilken allmän författning som ska tillämpas.
I 2 mom. finns en informativ hänvisning till lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen). Enligt skäl 16 till dataskyddsdirektivet påverkar direktivet inte tillämpningen av principen om allmänhetens rätt att få tillgång till allmänna handlingar. Enligt artikel 86 i dataskyddsförordningen får personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter. Då uppgifter lämnas ut ur myndigheters personregister måste offentlighetsprincipen och sekretessbestämmelserna beaktas på det sätt som anges i offentlighetslagen, i synnerhet i 16 § 3 mom.
I 2 mom. hänvisas också till lagen om gränsbevakningens förvaltning där det föreskrivs om tystnadsplikt och utlämnande av uppgifter trots tystnadsplikt på ett sätt som kompletterar offentlighetslagen. Bestämmelserna tillämpas på utlämnandet av enskilda personuppgifter. I förslaget till lagen om behandling av personuppgifter vid Gränsbevakningsväsendet finns bestämmelser om utlämnande av uppgifter med hjälp av en teknisk anslutning eller som en datamängd samt de bestämmelser om utlämnande av personuppgifter till utlandet som behövs för att komplettera den allmänna lagstiftningen.
3 §. Definitioner. Paragrafen innehåller på motsvarande sätt som den gällande lagen definitioner av upprätthållande av gränssäkerheten och kodexen om Schengengränserna. Definitionen av upprätthållande av gränssäkerheten avviker dock från den motsvarande definitionen i gränsbevakningslagen till den delen att där ingår inte åtgärder i anknytning till förhindrande av brott eller upprätthållande av allmän ordning och säkerhet. Detta är ändamålsenligt med tanke på behandlingen av personuppgifter så att man tydligt kan skilja tillämpningsområdena för ändamålen med behandlingen av personuppgifter enligt dataskyddsförordningen och enligt dataskyddsdirektivet från varandra.
I lagen införs också på grund av den föreslagna 35 § definitioner av författningsgrunden för Schengens informationssystem och Europolförordningen.
Förutom de definitioner som avses i denna lag tillämpas också definitionerna i dataskyddsförordningen och dataskyddslagen avseende brottmål.
2 kap. Behandling av personuppgifter
I 2 kap. preciseras de ändamål med behandlingen för vilka Gränsbevakningsväsendet får behandla personuppgifter för att utföra sina uppgifter samt det uppgiftsinnehåll som är tillåtet för varje användningsändamål. Bestämmelserna om det uppgiftsinnehåll som får behandlas utgörs inte på samma sätt som den gällande lagen om behandling av personuppgifter vid Gränsbevakningsväsendet av detaljerade uppgiftsförteckningar, utan i bestämmelserna anges de uppgiftskategorier som får behandlas. Uppgiftskategoriernas innehåll definieras närmare på basis av ändamålet med behandlingen. Lagstiftningstekniken blir till denna del flexiblare än för närvarande. Bestämmelserna om ändamålen med behandlingen och det tillåtna uppgiftsinnehållet ska alltid tillämpas som en helhet och bestämmelserna gör det inte möjligt att behandla uppgifter som är obehövliga med tanke på ändamålet.
Bestämmelserna om behandling av överskottsinformation som erhållits med hemliga informationsinhämtningsmetoder i 14 a § och bestämmelserna om behandling av uppgifter som inte hänför sig till ett visst uppdrag i 15 § i Gränsbevakningsväsendets gällande personuppgiftslag slopas som obehövliga i och med ändringen i lagstiftningstekniken. De uppgifter som avses i de nämnda paragraferna får behandlas då de förutsättningar för behandling som anges i det föreslagna 2 kap. i lagen om brottsbekämpning inom Gränsbevakningsväsendet och i tvångsmedelslagen är uppfyllda. På motsvarande sätt slopas regleringen av Gränsbevakningsväsendets övriga personregister i 4 § i den gällande lagen som obehövlig.
Ett undantag från den allmännare lagstiftningstekniken utgörs av uppgifter som hör till särskilda kategorier av personuppgifter. Det föreskrivs exaktare om behandlingen av dem än om andra personuppgifter. Till särskilda kategorier av personuppgifter hör enligt dataskyddsförordningen och dataskyddsdirektivet personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt genetiska uppgifter och biometriska uppgifter för att unikt identifiera en fysisk person eller uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Det är i regel förbjudet att behandla uppgifter som enligt artikel 9 i dataskyddsförordningen hör till särskilda kategorier av personuppgifter. I artikel 9.2 i förordningen finns en uttömmande förteckning över undantag med stöd av vilka det är tillåtet att behandla sådana uppgifter. Med tanke på Gränsbevakningsväsendet är det artikel 9.2 g som är viktigast och enligt den är det tillåtet att behandla uppgifterna om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Enligt 11 § i dataskyddslagen avseende brottmål får särskilda kategorier av personuppgifter behandlas endast om det är nödvändigt och om det t.ex. föreskrivs om behandlingen i lag.
Uppgifter som hör till särskilda kategorier av personuppgifter behandlas vid Gränsbevakningsväsendet vid sådana uppgifter för Gränsbevakningsväsendet som hör till dataskyddsförordningens och dataskyddsdirektivets tillämpningsområde. Uppgifterna får behandlas endast om behandlingen av dem är nödvändig med tanke på ändamålet med behandlingen.
I det föreslagna 2 kap. finns också bestämmelser om behandling av personuppgifter för andra ändamål än det ursprungliga (14 och 15 §). Med de här bestämmelserna ersätts bestämmelserna i 25 § i gällande lag om användning av uppgifter för andra ändamål än de som uppgifterna har samlats in och registrerats för.
4 §. Behandling av grundläggande personuppgifter. Paragrafen innehåller en detaljerad förteckning över grundläggande personuppgifter som det är tillåtet att behandla i behövlig utsträckning för de ändamål som anges i 5, 6, 8, 10, 11 och 13 §. Förteckningen ska således tillämpas på alla sådana ursprungliga ändamål med behandlingen av personuppgifter som avses i 2 kap.
De grundläggande uppgifterna i förteckningen motsvarar rent innehållsmässigt i huvudsak de uppgifter gällande identitet som får registreras i Gränsbevakningsväsendets personregister enligt den gällande lagen. Det föreslås att det till förteckningen fogas nya punkter om uppgifter om kontaktspråk, utbildning, värnplikt och militärtjänst, militär utbildning och militär grad, uppgifter ur handlingar som behövs för att fastställa identiteten samt uppgift om intressebevakning, försättande i konkurs eller meddelande om näringsförbud. Dessa uppgifter har det i enlighet med den gällande lagen varit möjligt att behandla som övriga uppgifter, men för tydlighetens skull föreskrivs det i fortsättningen om dessa i bestämmelsen om grundläggande personuppgifter. De grundläggande personuppgifter som avses i paragrafen får behandlas för alla persongrupper i de fall då uppgifterna med tanke på ändamålet med behandlingen är behövliga.
I 5–13 § om det ursprungliga ändamålet med behandlingen av personuppgifter föreskrivs närmare krav för behandling av både grundläggande uppgifter och av övriga behövliga personuppgifter.
5 §. Behandling av personuppgifter vid gränskontroll samt för upprätthållande av gränssäkerheten och gränsordningen. I paragrafen föreskrivs det om behandlingen av personuppgifter vid gränskontroll samt för upprätthållande av gränssäkerheten och gränsordningen i enlighet med dataskyddsförordningen och dataskyddslagen.
Enligt 1 mom. får Gränsbevakningsväsendet behandla personuppgifter för utförande av gränskontroll i enlighet med kodexen om Schengengränserna, upprätthållande av gränssäkerheten och gränsordningen och för utförande av sådana utredningar som avses i 27 § i gränsbevakningslagen. Bestämmelsen ersätter uppgifterna i registret för tillståndsärenden som avses i 8 §, registret för övervakningsärenden som avses 9 § samt säkerhetsdataregistret som avses i 12 § i den gällande lagen till den del som det handlar om behandling av personuppgifter vid gränskontroll samt för upprätthållande av gränssäkerheten och gränsordningen. Bestämmelsen omfattar också behandling av personuppgifter i samband med administrativa beslut om avvisningar, nekad inresa och meddelande om inreseförbud.
I 2 mom. föreskrivs det närmare om de personuppgifter som Gränsbevakningsväsendet utöver de grundläggande personuppgifter som avses i 4 § dessutom får behandla. I momentets 1 punkt föreskrivs om behandlingen av behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser. I punkten ingår t.ex. de uppgifter om åtgärder som gäller gränskontroll i 9 § 3 mom. 7 punkten i den gällande lagen. I 2 punkten föreskrivs på motsvarande sätt som i 9 § 3 mom. 8 punkten i den gällande lagen uttryckligen om behandling av sådana uppgifter som avses i bilaga II till kodexen om Schengengränserna.
I 3 punkten föreskrivs det med avvikelse från den gällande lagen uttryckligen om upptagningar från sådan teknisk övervakning som avses i 29 § i gränsbevakningslagen. Upptagningarna anses för närvarande ingå i de uppgifter om övervakning av land- och sjögränsen som avses i 9 § 3 mom. 4 punkten i den gällande lagen och som det för motsvarande ändamål med behandlingen föreskrivs om i 4 punkten. Momentets 4 punkt innefattar också uppgifter om resande och besättning i persontrafik över gränserna motsvarande 9 § 3 mom. 5 punkten i den gällande lagen. Bestämmelsen innefattar också trafik över de inre gränserna till den del som Gränsbevakningsväsendet har rätt att behandla personuppgifter om trafiken över de inre gränserna. I 5 punkten föreskrivs om behövliga uppgifter för påförande av påföljdsavgift för transportör på motsvarande sätt som i 9 § 3 mom. 5 punkten i den gällande lagen.
Uppgiftskategorierna i registret för tillståndsärenden i 8 § i den gällande lagen ersätts av 6 och 7 punkten. Det är fråga om personuppgifter som behöver behandlas vid behandlingen av ärenden som gäller i gränsbevakningslagen avsett gränszonstillstånd och tillstånd att passera gränsen samt vid behandlingen av de anmälningar som ska göras till Gränsbevakningsväsendet i samband med de här tillstånden, såsom gränszonsanmälan. Det föreskrivs närmare om gränszonstillstånd och gränszonsanmälan i 7 kap. i gränsbevakningslagen. Däremot föreskrivs det om de uppgifter som ska framgå av en ansökan om tillstånd att passera gränsen i 4 § i Statsrådets förordning om gränsövergångsställen och fördelningen av gränskontrolluppgifter vid dem (901/2006).
Den 8 punkten innefattar de uppgifter om verksamheten för andra staters gränsbevakningsmyndigheter och deras sammansättning samt gränssituationen i Finland och Europeiska unionen som ska registreras i säkerhetsdataregistret i enlighet med 12 § 3 mom. 3, 4 och 6 punkten i den gällande lagen. Denna bestämmelse anknyter i synnerhet till det europeiska gränsövervakningssystemet (Eurosur), som det föreskrivs om i Europaparlamentets och rådets förordning (EU) nr 1052/2013 om inrättande av ett europeiskt gränsövervakningssystem (Eurosur).
Enligt 9 punkten får Gränsbevakningsväsendet behandla signalementsuppgifter som behövs för fastställande av identiteten. I dem ingår också fotografier som behandlas automatiskt i samband med gränskontroll. Det kan också vara fråga om behandling av fotografier som på det sätt som avses i skäl 51 till dataskyddsförordningen betraktas som behandling av biometriska uppgifter. Behandlingen av fotografier grundar sig på 28 § 1 mom. 10 punkten i gränsbevakningslagen, enligt vilken en gränsbevakningsman, för att genomföra gränskontroller enligt kodexen om Schengengränserna, har rätt att utan brottsmisstanke fotografera personer.
I 10 punkten föreskrivs det om behandlingen av s.k. säkerhetsuppgifter. Som en del av säkerhetsuppgifterna får Gränsbevakningsväsendet också behandla sådana uppgifter om ett objekts eller en persons farlighet eller oberäknelighet som inte hör till särskilda kategorier av personuppgifter samt uppgifter som beskriver eller är avsedda att beskriva brottsliga gärningar, straff eller andra påföljder för brott.
Till paragrafens tillämpningsområde hör också det register för Gränsbevakningsväsendets fältledning som inrättats i enlighet med 6 § i den gällande lagen. Det är i första hand fråga om uppgifter som behövs vid planeringen och utförandet av gränskontrollen och upprätthållandet av gränssäkerheten, såsom uppgifter om meddelanden, order och föreskrifter och uppgifter om uppdrag eller åtgärder samt om personer som deltar i uppdraget.
Gränsbevakningsväsendet får som en del av de uppgifter som avses i paragrafen behandla också i artikel 9 i dataskyddsförordningen avsedda uppgifter som hör till särskilda kategorier av personuppgifter. Dessa kan ingå i alla de kategorier av uppgifter som avses i 1 mom., men särskilt i upptagningar från teknisk övervakning som avses i 3 punkten, signalementsuppgifter som behövs för fastställande av identiteten i 9 punkten och säkerhetsuppgifterna i 10 punkten. Utgångspunkten är att det i princip kan vara fråga om vilka uppgifter som helst som hör till sådana särskilda kategorier av personuppgifter som avses i artikel 9 i dataskyddsförordningen. I 51 § föreskrivs det närmare om behandlingen av till resedokument fogade elektroniska identifikationsuppgifter som grundar sig på en persons fysiska egenskaper.
Behandling av särskilda kategorier av personuppgifter grundar sig på artikel 9.2 g i dataskyddsförordningen, enligt vilken särskilda kategorier av personuppgifter får behandlas när behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Behandlingen ska dessutom stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Dessa lämpliga och särskilda åtgärder är utöver de i dataskyddsförordningen och dataskyddslagen definierade skyddsåtgärderna också bl.a. de villkor som ställs för behandling av personuppgifter i 4 och 5 §, de villkor som ställs för behandling av personuppgifter för andra ändamål än det ursprungliga i 14 och 15 §, villkoren för utlämnande av uppgifter enligt 4 kap., samt bestämmelserna om bevaringstider i 5 kap.
6 §. Behandling av personuppgifter för utredning av brott samt upprätthållande av allmän ordning och säkerhet. I paragrafen föreskrivs det om behandling av personuppgifter för att utreda brott eller för att föra brott till åtalsprövning eller för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten i samband med utredning av brott i enlighet med dataskyddsdirektivet och dataskyddslagen avseende brottmål. Regleringen omfattar också handräckning i anslutning till de nämnda uppgifterna.
Enligt 1 mom. får Gränsbevakningsväsendet behandla personuppgifter vid utförandet av en uppgift i anknytning till utredning av brott eller en åtgärd i anknytning till att föra brott till åtalsprövning samt för upprätthållande av allmän ordning och säkerhet. Gränsbevakningsväsendet är en sådan förundersökningsmyndighet som avses i förundersökningslagen. Paragrafen omfattar dock också behandling av personuppgifter vid utredningar som föregår förundersökningar. Gränsbevakningsväsendet utför dessutom uppgifter för att upprätthålla allmän ordning och säkerhet både självständigt och på begäran av polisen eller som stöd för polisen på det sätt som föreskrivs i gränsbevakningslagen.
Enligt skäl 12 till dataskyddsdirektivet är brottsbekämpande myndigheters verksamhet främst inriktad på att förebygga, förhindra, utreda, avslöja och lagföra brott, inbegripet verksamhet där man inte på förhand vet om det inträffade utgör ett brott eller inte. Denna verksamhet omfattar också upprätthållande av lag och ordning som en uppgift som anförtros åt brottsbekämpande myndigheter när det är nödvändigt för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och mot i lag skyddade grundläggande allmänna intressen som kan leda till ett brott. Behandling av personuppgifter i samband med uppdrag för upprätthållande av allmän ordning och säkerhet hör till paragrafens tillämpningsområde när behandlingen på det sätt som avses i dataskyddsdirektivet och i 1 § 1 mom. i dataskyddslagen avseende brottmål har samband med förebyggande, avslöjande och utredning av brott.
Bestämmelsen ersätter de bestämmelser i den gällande lagen som gäller registrering i Gränsbevakningsväsendets undersöknings- och handräckningsregister av uppgifter som gäller en person som är misstänkt för ett brott eller är föremål för en förundersökning, andra åtgärder av Gränsbevakningsväsendet eller tvångsmedel, den som gjort anmälan, den som uppträder som vittne eller målsägande eller den som har något annat samband med ärendet. Paragrafen ersätter också sådana temporära register som inrättats med stöd av 4 § i den gällande lagen och som används för att utreda brott eller en helhet av brott som har samband med varandra. Bestämmelsen kompletteras av bestämmelserna i 14 och 15 § om behandling av personuppgifter för andra ändamål än det ursprungliga. Enligt dem får uppgifter som i enlighet med 2 kap. samlats in för andra ändamål med behandlingen användas för de ändamål med behandlingen som avses i denna paragraf.
I 2 mom. preciseras de persongrupper om vilka uppgifter får behandlas för de ändamål som anges i 1 mom. Till skillnad från bestämmelserna i den gällande lagen beaktas personer som är under 15 år och misstänkta för en brottslig gärning särskilt. Dessutom nämns personer som annars anknyter till de uppgifter som avses i 1 mom. som en egen kategori i förteckningen. Sådana är t.ex. personer vars personuppgifter Gränsbevakningsväsendet måste behandla vid barnskyddsanmälningar som görs i samband med Gränsbevakningsväsendets uppgifter. Med stöd av denna punkt kan vid behov också t.ex. personuppgifterna för sådana kontaktpersoner registreras som behövs för åtkomst till ett utrymme eller en lokal i anknytning till ett uppdrag. En person som annars anknyter till ett uppdrag kan också vara en sakkunnig eller en person som eventuellt ger ytterligare information, men som inte har ställning som vittne.
Den personuppgiftsansvarige ska i enlighet med kraven i 8 § i dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas.
I 3 mom. finns en ny bestämmelse. Den föreslagna bestämmelsen om bedömning av huruvida uppgifterna är av betydelse är knuten till en regleringsteknik baserad på ändamålet med behandlingen av uppgifterna, som ersätter den registerbaserade regleringen i den gällande lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. I lagen om behandling av personuppgifter vid Gränsbevakningsväsendet föreskrivs i fortsättningen om all behandling av personuppgifter för utförande av Gränsbevakningsväsendets uppgifter i stället för att det endast föreskrivs om registrering av uppgifterna i personregister som nämns i lagen och om användningen av uppgifterna i de namngivna registren.
I momentet handlar det om behandlingen av personuppgifter som Gränsbevakningsväsendet fått i samband med utförandet av uppgifter i de fall då det i inledningsskedet är oklart om alla personuppgifter man fått direkt hänför sig till ett aktuellt, enskilt uppdrag. Ett mål med bestämmelsen är att förtydliga nuläget i de situationer då personuppgifter som fåtts i samband med utförandet av Gränsbevakningsväsendets uppgifter ska behandlas med hjälp av automatisk informationsbehandling för bedömning av deras innehåll och om de är av betydelse.
Enligt skäl 18 till dataskyddsdirektivet bör skyddet för fysiska personer vara teknikneutralt och inte vara beroende av den teknik som används för att förhindra att det uppstår en allvarlig risk för att reglerna kringgås. Skyddet av fysiska personer ska också gälla automatisk databehandling av personuppgifter samt sådan manuell behandling av personuppgifter som utgör en del av ett register eller som är avsedda att utgöra en del av ett register.
Den automatiska behandlingen av personuppgifter omfattar förutom registrering, användning och utlämnande av de personuppgifter som regleras i den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet även de behandlingsåtgärder som utförs innan uppgifterna registreras i Gränsbevakningsväsendets informationssystem. Den gällande lagen innehåller inte bestämmelser som gäller detta skede av personuppgiftsbehandlingen, varför t.ex. den maximala bevaringstiden för personuppgifterna avgörs från fall till fall av den personuppgiftsansvarige. Bestämmelsen om bedömning av huruvida uppgifterna är av betydelse för med sig att behovsbedömningen blir en del av tillämpningsområdet för lagen. Samtidigt föreslås en enhetlig bevaringstid på sex månader för personuppgifter som behandlas för bedömning av deras betydelse.
Förutom att nuläget förtydligas, innebär 3 mom. också en utvidgning av Gränsbevakningsväsendets nuvarande behandling av personuppgifter. Med avvikelse från den gällande lagen gör bestämmelsen det uttryckligen möjligt att registrera personuppgifter i ett särskilt personregister för att utreda huruvida de i 6 och 7 § föreskrivna villkoren uppfylls för behandling av personuppgifterna. Personuppgifter får inte behandlas för utredning av brott och upprätthållande av allmän ordning och säkerhet, om det är oklart huruvida kriterierna för behandling av personuppgifter i 6 och 7 § uppfylls. Personuppgifter som med tanke på Gränsbevakningsväsendets uppgifter uppenbart saknar betydelse ska raderas omedelbart och får inte registreras eller annars behandlas med stöd av 3 mom.
Gränsbevakningsväsendets verksamhetsmiljö har förändrats betydligt sedan den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet stiftades. De sätt på vilka Gränsbevakningsväsendet traditionellt har bedömt om uppgifterna är av betydelse erbjuder inte tillräckliga möjligheter för behandlingen av de uppgifter som behövs inom brottsanalysen i den nuvarande digitala verksamhetsmiljön. För att analysverksamheten ska kunna utvecklas systematiskt krävs en möjlighet att med hjälp av modern teknik bedöma om uppgifterna är av betydelse. De uppgifter som ska behandlas enligt momentet kan också komma från offentliga källor, såsom bildmaterial eller text från internet eller myndigheternas offentliga register, och de kan innehålla stora mängder information om personer vilkas betydelse är oklar i registreringsögonblicket.
Uppgifterna kan med stöd av 3 mom. också jämföras med personuppgifter som Gränsbevakningsväsendet redan har registrerat för att klargöra om de uppfyller kriterierna för behandling av personuppgifter i 6 och 7 §. En förutsättning för behandlingen är emellertid att uppgifterna inhämtats eller på annat sätt fåtts i samband Gränsbevakningsväsendets uppgifter med stöd av befogenheter som anges någon annanstans i lag. Det kan t.ex. vara fråga om behandling av informationsmaterial som fåtts med hjälp av sådan genomsökning av utrustning som avses i 8 kap. i tvångsmedelslagen såsom behandling av information i datorer och mobiltelefoner. Gränsbevakningsväsendet får inte med stöd av 3 mom. inhämta sådana uppgifter som det inte har tillgång till utan fullmakter för inhämtande av information någon annanstans i lag.
Dataskyddslagstiftningen förutsätter att personuppgifter inte behandlas i onödan. I 3 mom. föreskrivs det att behövligheten gällande uppgifter som fåtts i samband med utförandet av uppdrag får bedömas för att säkerställa att uppgifterna är av betydelse innan de behandlas under en längre tid. I registret kommer det ofrånkomligen att registreras uppgifter som vid en behövlighetsbedömning kommer att visa sig vara betydelselösa med tanke på Gränsbevakningsväsendets uppgifter. I sista meningen i momentet understryks kravet i 6 § i dataskyddslagen avseende brottmål på att obehövliga personuppgifter ska utplånas utan obefogat dröjsmål. Kravet kompletteras av den tidsgräns på sex månader inom vilken bedömningen av om personuppgifterna är betydelsefulla ska ske.
Genom Gränsbevakningsväsendets förvaltning av användarrättigheterna begränsas åtkomsten till de uppgifter som avses i 3 mom. endast till de personer som har till uppgift att bedöma den betydelse som avses i momentet. Behandlingen av uppgifterna omfattas av samma kontroll, övervakning och skyldigheter att skydda uppgifterna som de andra ändamålen med behandlingen av personuppgifter. Behandlingen omfattas också av alla de skyldigheter som ålagts den personuppgiftsansvarige i lagen, t.ex. skyldigheten att sörja för dataskyddet för uppgifter som hör till särskilda kategorier av personuppgifter till de delar som det behandlade materialet innehåller sådana uppgifter. Den personuppgiftsansvarige ska också bevara logguppgifterna om behandlingen i enlighet med kraven i 19 § i dataskyddslagen avseende brottmål. De logguppgifter som gäller läsning och utlämnande ska göra det möjligt att utreda grund, datum och tidpunkt för läsning och utlämnande och i möjligaste mån vem som har läst eller lämnat ut personuppgifterna samt mottagarnas identitet. Logguppgifterna får användas för att kontrollera om behandlingen är lagenlig, för intern kontroll, för att säkerställa personuppgifternas integritet och säkerhet samt inom ramen för straffrättsliga förfaranden.
Den registrerade har inte rätt till insyn i de uppgifter som avses i 3 mom., men får be dataombudsmannen kontrollera lagenligheten i behandlingen av personuppgifterna i enlighet med 49 § 2 mom.
Den personuppgiftsansvarige ska i enlighet med kraven i 8 § i dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas.
7 §. Innehållet i personuppgifter som behandlas för utredning av brott samt upprätthållande av allmän ordning och säkerhet. I 1 mom. preciseras de personuppgifter som utöver de grundläggande personuppgifter som avses i 4 § får behandlas för ändamål som anges i 6 §. Innehållsmässigt motsvarar uppgifterna i huvudsak de personuppgifter som registreras i undersöknings- och handräckningsregistret i enlighet med 7 § i den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet samt de uppgifter om efterlysningar av personer, fordon och egendom, säkerhetsinformation och signalementsuppgifter som Gränsbevakningsväsendet registrerar för polisens registerföring i enlighet med 2 § och 14 § 1 mom. 4 punkten i den gällande lagen om behandling av personuppgifter i polisens verksamhet.
Enligt 1 punkten får behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser behandlas. En händelse är en helhet som hör till de uppgifter som föreskrivs för Gränsbevakningsväsendet och på vilken kan följa olika skyldigheter för myndigheten, såsom utredningsskyldighet eller handlingsskyldighet. En händelse kan också vara resultatet av verksamhet som Gränsbevakningsväsendet genomfört på eget initiativ. En uppgift är en insats som hör samman med en sådan händelse som avses ovan, t.ex. förundersökning eller upprätthållande av allmän ordning och säkerhet. En händelse kan vara förknippad med flera uppgifter. En åtgärd är en del av en uppgift och den är riktad mot någon eller något. Åtgärden kan vara riktad mot en fysisk person, en juridisk person, ett föremål, ett ämne eller egendom. Till en viss uppgift kan det höra flera olika åtgärder och olika nivåer av utövande av offentlig makt, såsom tvångsmedel riktade mot en person (gripande, anhållande, reseförbud och häktning) eller efterlysning av personer, fordon och egendom.
Det som i 1 punkten avses med behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser innefattar i synnerhet 1) uppgifter om anmälan om brott eller en anmälan om någon annan händelse, 2) uppgifter om Gränsbevakningsväsendets lagstadgade uppgifter att upprätthålla den allmänna ordningen och säkerheten, 3) uppgifter om tvångsmedel, Gränsbevakningsväsendets åtgärder samt olika faser i en förundersökning, 4) uppgifter som beskriver klassificeringen av gärningsmannen, händelsen eller gärningen samt uppgifter som behövs för sammanlänkning och teknisk undersökning av brott, 5) tillvägagångssätt och metoder som använts eller kan användas för att förbereda och begå brott, 6) de myndigheter som behandlar ärendet och de identifikationsuppgifter som de använder för ärendena samt 7) uppgifter om brott som fåtts av en person eller genom en person, vid behov även personernas förhållande till andra personer. Med stöd av 1 punkten får Gränsbevakningsväsendet också behandla uppgifter om den riktiga identiteten för den som missbrukat en identitet och för den vars identitet har missbrukats.
Till de signalementsuppgifter som behövs för fastställande av identiteten som avses i 2 punkten hör sådana uppgifter som ska registreras för polisens registerföring och de är 1) uppgifter om efterlysningar av personer bestående av fotografier, fingeravtryck, särskilda oföränderliga fysiska kännetecken bl.a. för att påträffa en person som är efterlyst, 2) identifieringsuppgifter som t.ex. består av fotografier, fingeravtryck och DNA-profiler för att personer som anmälts försvunna ska kunna hittas och för att okända avlidna ska kunna identifieras, samt 3) signalementsuppgifter bestående av fotografier, finger-, hand- och fotavtryck, handstils-, röst- och luktprov samt DNA-profiler för identifiering av personer som misstänks för brott, för utredning av brott och för registrering av gärningsmän. Bestämmelser om Gränsbevakningsväsendets befogenhet att samla in sådana uppgifter som avses i punkten finns annanstans i lagstiftningen, t.ex. i gränsbevakningslagen, tvångsmedelslagen och utlänningslagen (301/2004). Bestämmelserna berättigar därmed inte till behandling av personuppgifter i större omfattning än befogenhetsregleringen medger.
Med biometriska uppgifter avses på motsvarande sätt som i artikel 3.13 i dataskyddsdirektivet och 3 § 13 punkten i dataskyddslagen avseende brottmål personuppgifter som tagits fram genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter. Således hör t.ex. ansiktsbilder till de biometriska uppgifterna endast när de tagits fram genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken.
I dataskyddsdirektivet har särskild hänsyn tagits till behovet att begränsa sådan behandling av genetiska personuppgifter (skäl 23 till direktivet) som kan avslöja känsliga uppgifter bl.a. om någons hälsa. En DNA-profil som bestäms utifrån ett DNA-prov är dock en väsentlig signalementsuppgift för Gränsbevakningsväsendet när det utreder ett brott och med hjälp av den kan en person identifieras på ett tillförlitligt sätt då t.ex. inte fingeravtryck finns att tillgå.
Gränsbevakningsväsendet ska med iakttagande av nuvarande praxis registrera signalement, i synnerhet fingeravtryck och DNA-profiler för polisens registerföring. I lagen bör dock föreskrivas att Gränsbevakningsväsendet tillfälligt får behandla sådana uppgifter innan de överförs till polisens register.
I 3 punkten föreskrivs det om behandlingen av s.k. säkerhetsuppgifter. Punkten förblir oförändrad i fråga om innehållet. Som en del av säkerhetsuppgifterna får Gränsbevakningsväsendet också behandla sådana uppgifter om ett objekts eller en persons farlighet eller oberäknelighet som inte hör till särskilda kategorier av personuppgifter samt uppgifter som beskriver eller är avsedda att beskriva brottsliga gärningar, straff eller andra påföljder för brott.
I 4 punkten beaktas på motsvarande sätt som i den gällande lagen identifieringsuppgifter om avgörande av åklagare eller domstol och uppgifter om någon har dömts till straff, om det fattats beslut om åtalseftergift eller domseftergift, om ett åtal förkastats eller lämnats utan prövning eller avskrivits och uppgifter om ett avgörandes laga kraft.
Behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter begränsas på det sätt som krävs enligt dataskyddsdirektivet och dataskyddslagen avseende brottmål endast till behandling av nödvändiga uppgifter. Uppgifter som hör till särskilda kategorier av personuppgifter får ingå i alla de kategorier av uppgifter som anges i 1 mom., men särskilt i de signalementsuppgifter som behövs för fastställande av identiteten i 1 mom. 2 punkten och i säkerhetsuppgifterna i 3 punkten. Utgångspunkten är att det i princip kan vara fråga om vilka uppgifter som helst som hör till sådana särskilda kategorier av personuppgifter som avses i 11 § i dataskyddslagen avseende brottmål.
8 §. Behandling av personuppgifter för förebyggande och avslöjande av brott. I paragrafen föreskrivs det om behandling av personuppgifter i enlighet med dataskyddsdirektivet och dataskyddslagen avseende brottmål för att förebygga eller avslöja brott eller för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten i samband med förebyggande och avslöjande av brott. Regleringen innefattar också handräckning i anslutning till de nämnda uppgifterna.
Enligt 1 mom. får Gränsbevakningsväsendet behandla personuppgifter för utförandet av en uppgift i anknytning till förebyggande eller avslöjande av brott. Genom paragrafen ersätts bestämmelsen om Gränsbevakningsväsendets register över personer misstänkta för brott i den gällande lagen, vilken i sin nuvarande form inte på ett övergripande sätt betjänar Gränsbevakningsväsendets förebyggande verksamhet, prognostisering och utnyttjande av systematiskt insamlad och behandlad information på alla plan inom det beslutsfattande som leder till handling.
Paragrafen ersätter också sådana förvaltningsenhetsspecifika register som inrättats för brottsanalys med stöd av 4 § i den gällande lagen och som används för att förhindra eller avslöja brott eller en helhet av brott som har samband med varandra. Bestämmelsen gör det möjligt att behandla uppgifter på nationell nivå.
Enligt 2 § 2 punkten i lagen om brottsbekämpning inom Gränsbevakningsväsendet avses med förhindrande av brott åtgärder som syftar till att förhindra ett brott eller försök till och förberedelse till brott, när det utifrån iakttagelser av en persons verksamhet eller utifrån annan information om en persons verksamhet finns grundad anledning att anta att personen i fråga kommer att göra sig skyldig till brott, samt åtgärder som syftar till att avbryta ett redan påbörjat brott och begränsa den direkta skada eller fara som brottet medför. Det är frågan om förhindrande av brott när en gärning förhindras innan sådana åtgärder har vidtagits som uppfyller brottsrekvisitet.
Förebyggande av brott i 3 § 2 mom. i gränsbevakningslagen är dock ett vidare begrepp än förhindrande av brott. Förebyggande av brott hör också samman med överbegreppet brottsbekämpning, som innefattar avslöjande, utredning och överlämnande för åtalsprövning av brott, men också sådana egenskaper som säkerhet och känsla av trygghet.
Den brottsanalys som utförs för att förebygga brott kräver information i grunden. Identifieringen av olika hot redan med hjälp av svaga signaler och genom eventuell sammankoppling av uppgifter från olika källor effektiviserar Gränsbevakningsväsendets verksamhet och förbättrar Gränsbevakningsväsendets möjligheter att bekämpa brott och brottslighet i ett så tidigt skede som möjligt. Innan ett brott förhindrats finns inte alltid kännedom om exakta brottsrekvisit eller om brottsbeteckningen.
Med avslöjande av brott avses enligt 2 § 3 punkten i lagen om brottsbekämpning inom Gränsbevakningsväsendet åtgärder som syftar till att klarlägga om det för inledande av förundersökning av ett brott finns en i 3 kap. 3 § 1 mom. i förundersökningslagen avsedd grund, när det utifrån iakttagelser av en persons verksamhet eller utifrån annan information om en persons verksamhet kan antas att ett brott har begåtts. Definitionerna av förhindrande och avslöjande av brott inverkar på vilka metoder för inhämtande av information som Gränsbevakningsväsendet får använda i olika skeden när det gäller brott samt under vilka förutsättningar uppgifter som inhämtats med hjälp av olika metoder för inhämtande av information får behandlas och registreras.
Intresset vid behandlingen av uppgifter som sker för att förebygga och avslöja brott är underrättelsemässigt. Uppgifterna behandlas för inriktning av Gränsbevakningsväsendets verksamhet, men också i stor utsträckning för att upptäcka förändringar i säkerhetsmiljön i förebyggande syfte och för att upprätthålla säkerheten. Det centrala målet med det underrättelsemässiga intresset för uppgifterna är att få en bättre förståelse för att kunna kontrollera de situationsfaktorer som rör säkerhets- och verksamhetsmiljön. Inom underrättelseverksamheten är intresset för uppgifterna främst fokuserat på inriktning av verksamheten, medan motsvarande tyngdpunkt vid undersökningar ligger på uppgifternas straffprocessuella användningssyfte (bevisningssyfte för att trygga enskilda straffprocesser).
För att man ska kunna förutse händelseförlopp, upprätthålla lägesuppfattningen och identifiera svaga signaler och fenomen kräver den nödvändiga analysen att datalager utnyttjas på ett mångsidigt sätt och att information som fås från flera olika källor kopplas samman och bearbetas. De utmaningar som hör samman med verksamhetsmiljön och de ökande datamängderna förutsätter också att behandlingen av uppgifterna automatiseras allt mer bland annat genom utnyttjande av analysprogram. Bestämmelsen kompletteras av bestämmelserna i 14 och 15 § om behandling av personuppgifter för andra ändamål än det ursprungliga. Enligt dem får uppgifter som i enlighet med 2 kap. samlats in för andra ändamål med behandlingen användas för de ändamål med behandlingen som avses i denna paragraf.
I skäl 27 till dataskyddsdirektivet påpekas att, om behöriga myndigheter ska kunna förebygga, förhindra, utreda och lagföra brott, är det nödvändigt att de behandlar personuppgifter som insamlats inom ramen för förebyggande, förhindrande, utredning och lagföring av brott i ett bredare sammanhang för att utveckla förståelsen för kriminell verksamhet och göra kopplingar mellan olika upptäckta brott. Vid behandling av personuppgifter med syfte att förebygga och avslöja brott ska också beaktas principen om ändamålsbegränsning samt de övriga kraven på lagenlighet och proportionalitet som ställs i direktivet och dataskyddslagen avseende brottmål.
I 2 mom. föreskrivs det om de persongrupper vilkas personuppgifter i huvudsak får behandlas för det ändamål med behandlingen som det föreskrivs om i 1 mom. Vid utformningen av den föreslagna paragrafen har uppmärksamhet fästs vid förvaltningsutskottets anmärkningar i fråga om polisens informationssystem för misstänkta. Paragrafens förteckning över persongrupper som får behandlas för de ändamål som avses i paragrafen är uttömmande. Det fastställs särskilda behandlingskriterier för registrering i registret och för annan behandling av personuppgifter som gäller de här persongrupperna. När det gäller andra personer än sådana som antas ha anknytning till egentlig brottslig verksamhet får personuppgifterna behandlas endast när det är nödvändigt för att utföra ett uppdrag.
I den gällande lagen finns inga bestämmelser om personkategorier i fråga om vilka uppgifter får registreras i sådana förvaltningsenhetsvisa personregister som inrättas med stöd av 4 §. Till denna del förtydligar 2 mom. nuläget och där preciseras de personkategorier som kan behandlas för brottsanalys.
I momentet föreslås att behandlingströskeln ska vara knuten till uttrycket ”med fog kan antas”. Uttrycket beskriver en behandlingströskel som är ändamålsenlig med tanke på kriminalunderrättelseverksamheten och som är lägre än tröskeln för att inleda en förundersökning. Med uttrycket ”med fog kan antas ha gjort sig eller göra sig skyldig” hänvisas till en situation där man har fått tips om att ett brott redan har inträffat, men att tröskeln ”skäl att misstänka” för inledande av förundersökning ännu inte har nåtts, dvs. ett brott som planeras och pågår och kriminalunderrättelser inhämtas för att förhindra brottet. I momentet avses personer med en koppling till förmodad brottslig verksamhet, men där alla personers roll i ärendet inte nödvändigtvis är klar.
Till den persongrupp som avses i 1 punkten hör förutom de förmodade gärningsmännen också andra delaktiga enligt den straffrättsliga delaktighetsläran, det vill säga medhjälpare, anstiftare och medgärningsmän.
Det föreslås att det till lagen ska fogas en bestämmelse om en persongrupp som är ny i jämförelse med den gällande lagen. Den ska komplettera de personer som är delaktiga i ett brott med personer som har anknytning till ett brott. I 2 punkten föreskrivs det om personer som upprepade gånger har kontakt med en i 1 punkten avsedd person eller påträffas i dennes sällskap upprepade gånger, och kontakten eller sammanträffandena antas ha samband med ett brott. I artikel 6 i dataskyddsdirektivet föreskrivs det om åtskillnad mellan olika kategorier av registrerade. I artikel 6 d nämns personer med kontakter eller band. De här personerna ska anknyta till personer avseende vilka det finns tungt vägande skäl att anta att de har begått eller är på väg att begå ett brott eller personer som dömts för brott.
Betydelsen av relationen då en person upprepade gånger har kontakt med en person som antas göra sig skyldig till brott behöver bedömas redan då man under brottsanalysen finner flera kontakter mellan personer, varav den ena är en sådan person som avses i 1 punkten och den andra inte är det. Det kan finnas en naturlig förklaring till att det finns en sådan relation, t.ex. ett kundförhållande. I 2 punkten avses personer genom vilka det med tanke på analysen går att få betydelsefulla uppgifter om sådana personer som avses i 1 punkten. I bestämmelsen förutsätts det emellertid att även denna kategori av personer ska ha en koppling till ett förmodat brott, med beaktande av kriminalunderrättelseinhämtningens eventuella konsekvenser för personernas ställning och rättssäkerhet. Därmed är enbart ett antagande eller det faktum att sammanträffandena skett upprepade gånger inte tillräckligt för att överskrida tröskeln för att få registrera uppgifterna i registret.
I 3 punkten föreskrivs om personer som är föremål för observation i enlighet med 21 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet i ett uppdrag i anslutning till att förebygga eller avslöja brott. Med observation avses i enlighet med 21 § 1 mom. i lagen om brottsbekämpning inom Gränsbevakningsväsendet iakttagande av en viss person i hemlighet i syfte att inhämta information.
I 3 mom. föreskrivs det om sådana kategorier av personer som inte är det primära målet för Gränsbevakningsväsendets kriminalunderrättelseinhämtning. De här persongrupperna utgörs av brottsoffer eller den som uppträder som målsägande och de som anmält ett brott och vittnen till ett brott. Med vittnen avses i detta moment inte nödvändigtvis personer som redan åberopats som vittnen i en straffprocess. Vid behandlingen av personuppgifter ställs särskilda skyddsgarantier för de här grupperna. Behandlingen av personuppgifter som gäller dessa kategorier av personer får inte gå längre än vad som är nödvändigt för att nå målet, t.ex. att förebygga ett brott. Det kan vara nödvändigt att behandla personuppgifterna för dessa kategorier av personer t.ex. i situationer när man försöker förebygga ett brott mot ett vittne eller en målsägande i ett redan begånget brott. I fråga om brott som undersöks av Gränsbevakningsväsendet kan det gälla situationer i anslutning till t.ex. ordnande av olaglig inresa eller människohandel.
I den gällande lagstiftningen föreskrivs inte om kriminalunderrättelseinhämtning eller inledande av kriminalunderrättelseinhämtning. I praktiken kan kriminalunderrättelseinhämtning inledas om en person med fog kan antas ha gjort sig eller göra sig skyldig till brott. På motsvarande sätt kan ett brottmål där en misstänkt ännu inte identifierats utgöra grund för att inleda kriminalunderrättelseinhämtning och behandling av personuppgifter i anknytning till den. Utgångspunkten är att personuppgifterna behandlas på motsvarande sätt som i samband med brottsutredning. Eftersom det emellertid är fråga om användningen av Gränsbevakningsväsendets resurser får endast en anhållningsberättigad tjänsteman eller någon annan gränsbevakningsman i förmansställning fatta beslut om inledande av kriminalunderrättelseinhämtning. Om inledande av kriminalunderrättelseinhämtning görs i Gränsbevakningsväsendets personregister en anmälan om underrättelseärende som motsvarar en undersökningsanmälan i brottmål.
I 4 mom. föreskrivs det om inledande av behandling av personuppgifter i anknytning till en brottsanalys som behövs för förebyggande eller avslöjande av brott. Med brottsanalys avses planmässig och systematisk behandling av information som inhämtats med hjälp av metoder för inhämtande av information eller som fåtts från en annan informationskälla för att upptäcka likheter och olikheter mellan brott eller brottsfenomen i syfte att förutse och förhindra brott i framtiden. En effektiv brottsanalys är en nödvändig förutsättning för planmässig och systematisk brottsbekämpning. Ett sådant beslut som avses i momentet får fattas av den personuppgiftsansvarige eller av en annan förvaltningsenhet som den personuppgiftsansvarige har förordnat till uppgiften. Beslutet ska fattas skriftligt. I regel är det den personuppgiftsansvarige som fattar beslut om behandlingen av personuppgifter. I fortsättningen är det staben för Gränsbevakningsväsendet som personuppgiftsansvarig som beslutar om det ska inrättas riksomfattande, permanenta analysbaser.
I 5 mom. föreskrivs det om behandlingen av uppgifter om observationer. Till innehållet motsvarar bestämmelsen 7 § 3 mom. 3 punkten i den gällande lagen. Observationsuppgifterna kan innehålla observationer som gjorts av gränsbevakningsmän eller uppgifter som anmälts till Gränsbevakningsväsendet i anslutning till händelser eller personer som utifrån omständigheterna eller en persons hotelser eller uppträdande i övrigt kan bedömas ha samband med brottslig verksamhet. Det är fråga om uppgifter som en gränsbevakningsman får genom att iaktta sin omvärld eller uppgifter som en utomstående lämnat till Gränsbevakningsväsendet. Gränsbevakningsväsendet kan t.ex. få ett anonymt tips om personer som uppträder misstänkt eller om tvivelaktig verksamhet som i sig inte nödvändigtvis utgör lagstridig verksamhet. I kombination med andra faktorer eller omständigheter kan uppgifterna om observationerna dock ge signaler om brottslig verksamhet.
Registrering av enbart observationsuppgifter gör inte sådan behandling av personuppgifter som föreskrivs i 1–3 mom. möjlig. Registrering av observationsuppgifter gör dock sådan kriminalunderrättelseinhämtning möjlig där syftet är att klarlägga om det med fog kan antas att ett brott inträffat eller kommer att inträffa. Beslut om att verksamheten ska inledas fattas på samma sätt som när det gäller inledande av annan kriminalunderrättelseinhämtning.
I 6 mom. föreskrivs, på motsvarande sätt som i 6 § 3 mom., om Gränsbevakningsväsendets rätt att behandla personuppgifter för bedömning av om uppgifterna är av betydelse med tanke på ändamålet med behandlingen enligt 8 §.
Den personuppgiftsansvarige ska i enlighet med kraven i 8 § i dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas.
I 11 § 3 mom. i den gällande lagen som gäller Gränsbevakningsväsendets register över personer misstänkta för brott finns en begränsningsbestämmelse enligt vilken endast gränsbevakningsmän som förordnats till kriminalunderrättelse-, brottsanalys- och observationsuppdrag får använda registret. Avsikten är inte att genom den föreslagna paragrafen ändra behovet av att begränsa användarrättigheterna som en särskild skyddsgaranti. Det föreslås dock inte att motsvarande begränsningsbestämmelse ska tas med i paragrafen, utan bedömningen är att åtkomsten till registret kommer att begränsas av bestämmelserna om den allmänna informationssäkerheten. I 32 § i dataskyddslagen avseende brottmål föreskrivs det om informationssäkerhet. Enligt 5 punkten i den paragrafen ska den personuppgiftsansvarige säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till personuppgifter som omfattas av deras användarrättigheter. Användarrättigheter till Gränsbevakningsväsendets informationssystem beviljas på basis av arbetsuppgifterna.
9 §. Innehållet i personuppgifter som behandlas för förebyggande eller avslöjande av brott. I 1 mom. preciseras de personuppgifter som utöver de grundläggande personuppgifter som avses i 4 § får behandlas för ändamål som anges i 8 §.
Det som i 1 punkten avses med behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser innefattar i synnerhet uppgifter om underrättelseuppdrag och uppgifter om den förebyggande verksamheten, uppgifter om metoderna för inhämtande av information, Gränsbevakningsväsendets åtgärder och om de olika skedena för behandling av ärenden, uppgifter om brott som fåtts av en person eller genom en person, vid behov även personernas förhållande till andra personer.
Liknande bestämmelser har, när det gäller förebyggande och avslöjande verksamhet, tidigare delvis funnits i 7 § i den gällande lagen. Bestämmelserna lämnar rum för tolkning, vilket i någon mån har lett till ett otydligt rättsläge. Syftet med punkten är att skapa klarhet i det nuvarande rättsläget. En tillräcklig beskrivning av händelser och specificering av anknytande uppdrag och åtgärder är dock viktigt förutom med tanke på Gränsbevakningsväsendets verksamhetsmässiga behov också för laglighetskontrollen och tillsynen av de registrerades rättigheter. Genom dokumentering av verksamheten säkerställs både objektets rättsskydd och Gränsbevakningsväsendets förmåga att utföra sina uppgifter. Nertecknad information får också utnyttjas för att rikta Gränsbevakningsväsendets verksamhet på ett ändamålsenligt sätt i enlighet med den föreslagna 14 § 1 mom. 12 punkten.
Momentets 2 punkt är i själva verket mycket vid till innehållet och med stöd av den får Gränsbevakningsväsendet behandla behövliga uppgifter som gäller en persons verksamhet och beteende. Sådana uppgifter kan t.ex. gälla en persons kontakter, livsstil, ekonomiska situation, hobbyer och annat som är av intresse till den del de är behövliga med tanke på förebyggande och avslöjande av brott.
De signalementsuppgifter som avses i 3 punkten gäller bland annat en persons längd, vikt och ögonfärg. Signalementsuppgifterna innefattar bl.a. också tatueringar eller andra yttre signalement, som ärr och födelsemärken. Punkten innefattar också biometriska uppgifter såsom finger-, hand- och fotavtryck, ansiktsbild, röst-, lukt och handstilsprov samt fysiskt DNA-prov och den digitala eller någon annan DNA-profil som bestämts utifrån provet. Behandlingen av biometriska uppgifter som hör till särskilda kategorier av personuppgifter är begränsad, på samma sätt som när det gäller 7 § 1 mom. 2 punkten, till att gälla endast behandling av nödvändiga uppgifter. Med tanke på Gränsbevakningsväsendet och den registrerades rättsskydd är det nödvändigt att Gränsbevakningsväsendet kan bekräfta den registrerades identitet på ett tillförlitligt sätt. Signalementsuppgifter om en person behövs för att det ska gå att identifiera en person på ett tillförlitligt sätt och de kan också vara de enda individualiserings- och identifieringsuppgifterna om en person. Exempelvis är en bild av en person ofta en mera tillförlitlig identifieringsuppgift än det namn som personen använder. Förslaget ändrar inte det gällande rättsläget, utan innefattar närmast de preciseringar som krävs för EU:s reform av referensramen för dataskyddet. Utgångspunkten är att Gränsbevakningsväsendet i enlighet med nuvarande praxis ska registrera signalement, i synnerhet fingeravtryck och DNA-uppgifter, för polisens registerföring också i fortsättningen.
I 4 punkten föreskrivs det om behandlingen av s.k. säkerhetsuppgifter på motsvarande sätt som det som föreslås i 5 och 7 §.
Behandlingen av uppgifter som gäller särskilda kategorier av personuppgifter begränsas på det sätt som krävs enligt dataskyddsdirektivet och dataskyddslagen avseende brottmål endast till behandling av nödvändiga uppgifter. Uppgifter som hör till särskilda kategorier av personuppgifter får ingå i alla de kategorier av uppgifter som anges i 1 mom., men särskilt i de signalementsuppgifter som behövs för fastställande av identiteten i 1 mom. 3 punkten och i säkerhetsuppgifterna i 4 punkten. Utgångspunkten är att det i princip kan vara fråga om vilka uppgifter som helst som hör till sådana särskilda kategorier av personuppgifter som avses i 11 § i dataskyddslagen avseende brottmål.
I 2 mom. föreskrivs det om skyldigheten att om möjligt foga en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet till personuppgifterna. I praktiken handlar det om ett etablerat förfarande där Gränsbevakningsväsendet bedömer graden av uppgifternas tillförlitlighet. Genom bestämmelsen beaktas kravet enligt artikel 7.1 i dataskyddsdirektivet på att personuppgifter som grundar sig på fakta så långt det är möjligt ska åtskiljas från personuppgifter som grundar sig på personliga bedömningar. Bestämmelsen stöder också kravet i artikel 7.2 i direktivet om att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte lämnas ut eller görs tillgängliga.
10 §. Behandling av uppgifter om informationskällor. I 36 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet föreskrivs det om Gränsbevakningsväsendets användning av informationskällor. Enligt 1 mom. i den paragrafen avses med användning av informationskällor annat än sporadiskt konfidentiellt mottagande av information av betydelse för skötseln av uppgifter som gäller förhindrande och utredning av brott som Gränsbevakningsväsendet enligt lag ska undersöka av personer som inte hör till gränsbevakningsmyndigheten eller någon annan förundersökningsmyndighet. Enligt 2 mom. i den paragrafen får uppgifter om informationskällor registreras i ett personregister. I 7 § 3 mom. 4 punkten i den gällande lagen om behandling av personuppgifter vid Gränsbevakningsväsendet föreskrivs det om registreringen av uppgifter om informationskällor i Gränsbevakningsväsendets undersöknings- och handräckningsregister.
I paragrafen klargörs också att de uppgifter som lämnas av en informationskälla får behandlas som uppgifter om informationskällor. Bestämmelsen gör det också möjligt att med tanke på hur informationskällan har använts och tillsynen behandla uppgifter som rör bekräftandet av de behövliga uppgifter som en källa lämnat. Till sådana uppgifter hör t.ex. uppgifter i olika system som behandlats för att bekräfta identiteten hos någon som anmälts av källan.
Behandlingen av uppgifter som gäller särskilda kategorier av personuppgifter begränsas på det sätt som krävs enligt dataskyddsdirektivet och dataskyddslagen avseende brottmål endast till behandling av nödvändiga uppgifter. Det föreskrivs dessutom om registrering av informationskällor i 3 kap. 13 § 2 mom. och 14 § i statsrådets förordning om förundersökning, tvångsmedel och hemligt inhämtande av information (122/2014).
11 §. Behandling av personuppgifter inom militärrättsvården. I paragrafen föreskrivs det om behandlingen av personuppgifter i militärrättsvården i enlighet med dataskyddsdirektivet och dataskyddslagen avseende brottmål. Paragrafen ersätter bestämmelserna om registret för militärrättsvården och registret för disciplinavgöranden i den gällande lagen. Det föreslås att bestämmelserna slås samman så att ärenden som gäller militär disciplin och utredning av militärbrott kan behandlas i ett och samma personregister under ett ärendes hela livscykel. Bestämmelserna motsvarar till sakinnehållet bestämmelserna i lagen om behandling av personuppgifter inom Försvarsmakten.
Enligt 1 mom. får Gränsbevakningsväsendet behandla personuppgifter för utförande av uppgifter i anknytning till sådan förundersökning och sådant militärdisciplinförfarande som avses i 31 § 3 mom. i lagen om gränsbevakningsväsendets förvaltning. Ordalydelsen i bestämmelsen omfattar behandlingsbehov som anknyter både till förundersökning av militärbrott och till registrering av avgöranden. Till dessa hör bl.a. upprättande av militärjuristens disciplinutlåtande och fattande, registrering, verkställande och övervakning av avgöranden i militära brottmål. Ändamålet med behandlingen gäller både de avgöranden som förordnas i ett militärdisciplinförfarande och de avgöranden som träffats i ett ärende som behandlas som ett militärt rättegångsärende vid domstol.
Enligt 2 mom. är det ett krav att de personuppgifter som behandlas inom militärrättsvården ska anknyta till den som är eller har varit föremål för förundersökning eller tvångsmedel eller som gjort anmälan eller varit vittne, målsägande eller annars har hörts. Begreppet "annars har hörts" omfattar personer som hörs i förundersökningen, men vars ställning i den inte är klarlagd ännu i det skedet. Till övriga delar motsvarar persongrupperna de persongrupper som ska behandlas i registret för militärrättsvården och registret för disciplinavgöranden enligt den gällande lagstiftningen.
Det föreslås att upprätthållande av brotts- och påföljdsstatistik som ingår i den gällande bestämmelsen slopas i paragrafen som ett självständigt ändamål med behandlingen. Enbart statistiska behov kan inte anses godtagbara som en orsak för att behandla personuppgifter, utan för behandlingen av uppgifter måste det alltid finnas ett behov av att utföra egentliga förundersökningsuppgifter eller av att behandla avgöranden i militära brottmål. I 5 § 3 mom. i dataskyddslagen avseende brottmål föreskrivs om senare behandling för statistiska ändamål av personuppgifter som behandlas för de ändamål som nämns i paragrafen.
12 §. Innehållet i personuppgifter som behandlas inom militärrättsvården. I paragrafen preciseras de personuppgifter som utöver de grundläggande personuppgifter som avses i 4 § får behandlas för ändamål som avses i 11 §. Paragrafen motsvarar till sakinnehållet i huvudsak bestämmelserna i den gällande lagen.
De behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser som avses i 1 punkten innefattar särskilt numret på en anmälan om brott eller en anmälan om någon annan händelse, tid och plats för händelsen, anmälningstidpunkten, brottsbeteckningar och andra beteckningar, tidpunkten för åtalspreskription av det grövsta brottet, utredande förvaltningsenhet, utredarna, utredningsläget, undersökningsledare, militärjurist, disciplinär förman, de beslut som fattats för att avsluta ärendet samt uppgift om avgörandet i ärendet, uppgifter om tvångsmedel, förundersökningsfaser och militärjuristens utlåtande, uppgifter om egendom som någon har förlorat genom brott, eller som har omhändertagits, för att egendomen ska kunna hittas och återställas till ägaren eller innehavaren.
Bestämmelsen i 2 punkten är ny jämfört med den gällande lagen. Enligt den får Gränsbevakningsväsendet behandla signalementsuppgifter som behövs för fastställande av identiteten, inklusive röstprov och ansiktsbild. Vid förundersökningen av ett brott kan man behöva behandla bl.a. uppgifter om en persons längd och vikt eller foton på personer och de måste då också kunna registreras som uppgifter som gäller förundersökningen. Signalementsuppgifter behövs för en tillförlitlig identifiering av en person och de kan också vara de enda tillgängliga individualiserings- och identifieringsuppgifterna om en person. Eftersom det inom militärrättsvården behandlas främst uppgifter om personer som är anställda hos Gränsbevakningsväsendet, finns de oftast inte något behov av att behandla biometriska uppgifter som signalementsuppgifter.
Avsikten med att en ny punkt fogas till bestämmelsen är inte att ändra polisens och Gränsbevakningsväsendets verksamhetssätt, utan huvudregeln ska fortfarande vara att en persons identifieringsuppgifter förs in i polisens register. Det finns dock behov av att i lagen förskriva om Gränsbevakningsväsendets rätt att behandla dessa uppgifter.
I 3 punkten föreskrivs det om behandlingen av s.k. säkerhetsuppgifter på motsvarande sätt som det som föreslås i 5, 7 och 9 §.
Enligt 4 punkten får Gränsbevakningsväsendet behandla uppgifter om avgöranden som gäller disciplinära beslut samt om ärenden som åklagare och domstolar har behandlat som ett militärt rättegångsärende, uppgifter om delgivning av beslut eller dom och ändringssökande samt uppgifter om verkställande av påföljd. Däremot möjliggör 5 punkten behandlingen av uppgifter om övervakning som gäller militärdisciplinförfarande.
13 §. Behandling av personuppgifter i Gränsbevakningsväsendets övriga lagstadgade uppgifter. I paragrafen föreskrivs om sådan behandling av personuppgifter i Gränsbevakningsväsendets övriga lagstadgade uppgifter som det inte finns särskilda bestämmelser om någon annanstans i 2 kap. Det är fråga om sådan behandling av personuppgifter på vilken, beroende av ändamålet med behandlingen, tillämpas endera dataskyddsförordningen och dataskyddslagen eller dataskyddslagen avseende brottmål.
I 1 mom. preciseras att Gränsbevakningsväsendet får behandla personuppgifter för skötseln av för Gränsbevakningsväsendet föreskrivna tillsynsuppgifter, tulluppgifter samt efterspanings- och räddningsuppdrag och prehospital akutsjukvård samt för utförande av övriga uppgifter som föreskrivs för Gränsbevakningsväsendet. Uppgifterna hör i huvudsak till tillämpningsområdet för dataskyddsförordningen. Med stöd av paragrafen får personuppgifter dock behandlas t.ex. vid territorialövervakning, på vilken tillämpas dataskyddslagen avseende brottmål med stöd av dess 1 § 2 mom.
I 2 mom. preciseras de personuppgifter som utöver de grundläggande personuppgifter som avses i 4 § får behandlas för de ändamål som anges i 1 mom. De behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser enligt 1 punkten kan innefatta t.ex. uppgifter om utlänningar som har tagits i förvar (9 § 3 mom. 6 punkten i den gällande lagen), uppgifter om övervakning av den ekonomiska zonen (9 § 3 mom. 3 punkten i den gällande lagen), uppgifter om sjöfartsskydd (12 § 3 mom. 1 punkten i den gällande lagen), uppgifter om terrorismbekämpning (12 § 3 mom. 2 punkten i den gällande lagen) samt behandlingsuppgifter om ett tillståndsärende om andra tillstånd som beviljas av Gränsbevakningsväsendet än de som gäller gränskontroll och upprätthållande av gränssäkerheten. Till tillståndsuppgifter i enlighet med den här paragrafen hör t.ex. de tillstånd för användningen av nödsignaler som avses i 25 § i sjöräddningslagen.
I 2 punkten föreskrivs uttryckligen om uppgifter om sjötrafiken och vattenfarkosters position (9 § 3 mom. 3 punkten i den gällande lagen).
Momentets 3 punkt omfattar uppgifter behövliga för behandlingen av de administrativa påföljder som Gränsbevakningsväsendet påför. De administrativa påföljder som avses i momentet innefattar t.ex. sådan oljeutsläppsavgift som avses i 3 kap. i miljöskyddslagen för sjöfarten (1672/2009) samt sådan avgift för trafikförseelse som avses i 160 § och sådan fordonspecifik avgift för trafikförseelse som avses i 161 § i vägtrafiklagen (729/2018).
I 4 punkten föreskrivs det om behandlingen av s.k. säkerhetsuppgifter på motsvarande sätt som det som föreslås i 5, 7, 9 och 12 §.
Gränsbevakningsväsendet får som en del av de uppgifter som avses i paragrafen behandla också i artikel 9 i dataskyddsförordningen avsedda uppgifter som hör till särskilda kategorier av personuppgifter. De får ingå i samtliga uppgiftskategorier som avses i 2 mom., men i synnerhet i sådana säkerhetsuppgifter som avses i 4 punkten.
Behandling av särskilda kategorier av personuppgifter grundar sig på artikel 9.2 g i dataskyddsförordningen, enligt vilken särskilda kategorier av personuppgifter får behandlas när behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Behandlingen ska dessutom stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Dessa lämpliga och särskilda åtgärder är utöver de i dataskyddsförordningen och dataskyddslagen definierade skyddsåtgärderna också bl.a. de villkor som ställs för behandling av personuppgifter i 4 och 13 §, de villkor som ställs för behandling av personuppgifter för andra ändamål än det ursprungliga i 14 och 15 §, villkoren för utlämnande av uppgifter enligt 4 kap., samt bestämmelserna om bevaringstider i 5 kap.
I 13 § i den gällande lagen finns en begränsningsbestämmelse enligt vilken säkerhetsdataregistret endast får användas av gränsbevakningsmän som förordnats till kriminalunderrättelse-, brottsanalys- och observationsuppdrag samt av gränsbevakningsmän i uppdrag som gäller lägesuppföljning och riskanalys. Avsikten är inte att i propositionen ändra behovet av att begränsa användarrättigheterna som en särskild skyddsgaranti. Det föreslås dock inte att motsvarande begränsningsbestämmelse ska tas med i paragrafen, utan bedömningen är att åtkomsten till registret kommer att begränsas av bestämmelserna om den allmänna informationssäkerheten. Användarrättigheter till Gränsbevakningsväsendets informationssystem beviljas på basis av arbetsuppgifterna.
14 §. Behandling av personuppgifter för andra ändamål än det ursprungliga. EU:s dataskyddslagstiftning förutsätter att personuppgifter i regel endast behandlas för de särskilda lagstadgade ändamål som de samlats in för. Dataskyddslagstiftningen gör det dock möjligt att behandla personuppgifter också för andra ändamål om det föreskrivs om detta i lag och behandlingen är behövlig och står i proportion till ändamålet. Paragrafen motsvarar i huvudsak bestämmelserna i 25 § i den gällande lagen, men bestämmelserna utvidgas och preciseras till vissa delar.
I 1 mom. finns en förteckning över andra ändamål med behandlingen av personuppgifter än det ursprungliga för vilka Gränsbevakningsväsendet får behandla uppgifter. Bestämmelserna i momentet tillämpas om det inte någon annanstans i lag föreskrivs strängare villkor för behandlingen av en uppgift. Med detta avses t.ex. bestämmelserna om villkoren för användning av överskottsinformation som fåtts genom vissa åtgärder i 48 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet och 10 kap. 56 § i tvångsmedelslagen.
Enligt 1 punkten får Gränsbevakningsväsendet behandla uppgifter för att förebygga eller avslöja ett brott. I punkten beaktas att avslöjande av brott är ett nytt ändamål med behandlingen jämfört med 25 § i den gällande lagen och om det föreskrivs det i lagen om brottsbekämpning inom Gränsbevakningsväsendet. Det är tillåtet att behandla uppgifter för att förebygga brott också enligt 25 § 1 mom. i den gällande lagen, men till skillnad från den föreslagna 1 punkten är behandlingen begränsad till förebyggande av ett brott på vilket kan följa fängelse.
Momentets 2 punkt motsvarar till sitt sakinnehåll den gällande lagen. Behandlingen av uppgifter för att utreda brott är enligt 2 punkten endast möjlig när det handlar om att utreda ett brott på vilket kan följa fängelse på motsvarande sätt som enligt 25 § 1 mom. 3 punkten i den gällande lagen.
Jämfört med gällande lag är 3 och 4 punkten nya. I 3 punkten föreskrivs det om behandling av personuppgifter för att påträffa en efterlyst. Någon definition av en efterlysning finns inte i lagen. Med efterlysning avses ett meddelande som grundar sig på ett beslut av en behörig myndighet, som med hjälp av ett personregister förs för kännedom till myndigheterna och som innehåller en begäran om behövliga uppgifter för påträffandet av en viss person. Syftet med efterlysningen är att få den i efterlysningen specificerade tjänsteåtgärden inriktad på den eftersökta personen eller på egendom som är i hans eller hennes besittning. Det är behövligt att behandla personuppgifter för andra ändamål än det ursprungliga för att påträffa efterlysta personer t.ex. i situationer då behovet att påträffa en efterlyst hör samman med delgivningen av handlingar. Efterlysningen bör kunna lämnas för kännedom till alla de aktörer som eventuellt kan komma i kontakt med den efterlysta.
Momentets 5 punkt motsvarar till innehållet delvis 25 § 1 mom. 2 punkten i den gällande lagen, men i punkten föreskrivs det om förhindrande av betydande fara för någons liv, hälsa eller frihet i stället för om att avvärja allvarlig fara som omedelbart hotar den allmänna säkerheten. Till skillnad från tidigare innehåller punkten som grund för behandlingen också förhindrande av betydande miljö-, egendoms- eller förmögenhetsskada.
Innehållsmässigt motsvarar 6 punkten 25 § 1 mom. 1 punkten i den gällande lagen, men ordalydelsen i punkten ändras till att motsvara terminologin i dataskyddslagen avseende brottmål och övrig lagstiftning.
Jämfört med gällande lag är 7 punkten ny, men till sakinnehållet innebär bestämmelsen ingen ändring jämfört med nuläget. Enligt artikel 8 i kodexen om Schengengränserna ska det i samband med gränskontrollen göras sökningar i nationella och europeiska databaser bl.a. för att säkerställa att en person inte utgör ett hot mot den allmänna ordningen, den inre säkerheten, folkhälsan eller de internationella förbindelserna i medlemsstaterna. Den gällande lagens 7 och 8 § gör det möjligt att använda de personuppgifter som ska behandlas med stöd av de nämnda paragraferna också för utförande av gränskontroll.
Jämfört med gällande lag är bestämmelserna i 8–10 punkten nya. Bestämmelserna gör det också möjligt att använda de av Gränsbevakningsväsendet behandlade personuppgifterna för bestämmande av tjänsteduglighet samt planering och ordnande av tjänstgöringen, placering i uppgifter under undantagsförhållanden och för att skapa beredskap samt befordran till militär grad och belöning. Bestämmelserna gäller Gränsbevakningsväsendets uppgifter inom det militära försvaret och uppgifter för övrigt skyddande av den nationella säkerheten. För dessa ändamål med behandlingen är det behövligt att i första hand behandla i 6 § avsedda personuppgifter som behandlas för utredning av brott samt för upprätthållande av allmän ordning och säkerhet samt i 7 § avsedda personuppgifter som behandlas för att förebygga och avslöja brott.
Med 11 punkten ersätts 25 § 1 mom. 4 punkten i den gällande lagen. I 12 punkten finns en ny bestämmelse som gör det möjligt att behandla personuppgifter för inriktning av Gränsbevakningsväsendets verksamhet.
De ändamål med behandlingen som föreslås i 1, 4, 5 och 12 punkten motsvarar till sitt innehåll bestämmelserna om behandlingen av överskottsinformation som fåtts med hjälp av hemliga metoder för inhämtande av information och hemliga tvångsmedel i 48 § 4 och 5 mom. i lagen om brottsbekämpning inom Gränsbevakningsväsendet och 10 kap. 56 § 4 och 5 mom. i tvångsmedelslagen. Överskottsinformation får enligt de nämnda lagarna alltid användas för förhindrande av brott och inriktning av Gränsbevakningsväsendets verksamhet (tvångsmedelslagen) eller för förhindrande av brott som det ankommer på Gränsbevakningsväsendet att undersöka och för inriktning av Gränsbevakningsväsendets brottsbekämpningsverksamhet (lagen om brottsbekämpning inom Gränsbevakningsväsendet). Överskottsinformation får också användas för en utredning till stöd för att någon är oskyldig samt för att förhindra betydande fara för någons liv, hälsa eller frihet eller betydande miljö-, egendoms- eller förmögenhetsskada.
Med användningen av uppgifter för inriktning av Gränsbevakningsväsendets verksamhet avses enligt förslaget i 12 punkten också indirekt användning av uppgifterna, så att de inte används som bevis eller som grund för användning av en metod för inhämtande av information. Användningen av uppgifter för inriktning av Gränsbevakningsväsendets verksamhet kan gälla t.ex. förhindrande eller avslöjande av brott, analys, utredning av tröskeln för inledande av förundersökning eller inriktning av förundersökningen.
Dessutom beaktas i 2 mom. Gränsbevakningsväsendets behov av att behandla personuppgifter för laglighetsövervakning samt analys, planering och utveckling som är jämförbara med dem i 5 § 3 mom. i dataskyddslagen avseende brottmål. Personuppgifter får också på motsvarande sätt som för närvarande användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. I fråga om laglighetsövervakning, planering, utveckling och utbildning motsvarar det föreslagna momentet 25 § 2 mom. i den gällande lagen.
I den gällande lagen ändrades 25 § 2 mom. genom en lagändring som trädde ikraft vid ingången av 2014 så att användningen av uppgifterna i ett personregister för laglighetsövervakning uttryckligen nämns som ett användningsändamål. Det är viktigt att den här bestämmelsen bevaras också med hänsyn till behovet av att fastställa tillbörlig övervakning av Gränsbevakningsväsendets personregister. För tydlighetens skull föreslås det att det till momentet som en ny punkt fogas analys, som till sin karaktär liknar den planerings- och utvecklingsverksamhet som avses i 25 § 2 mom. i den gällande lagen. Med analys avses i synnerhet strategisk analys som utförs för att upprätthålla en lägesbild över brottsligheten och kunna förutse hotbilder i fråga om brottsligheten och en förutsättning för den är att det finns möjlighet att använda de personuppgifter som innehas av Gränsbevakningsväsendet. I fråga om de ändamål med behandlingen som avses i momentet är det inte fråga om att Gränsbevakningsväsendet utför ett visst uppdrag, utan om ett mer allmänt behov av att behandla personuppgifter för vissa ändamål.
I 3 mom. finns en informativ bestämmelse om en högre behandlingströskel för uppgifter som hör till särskilda kategorier av personuppgifter.
15 §. Behandling av personuppgifter vid tillståndsprövning. I paragrafen föreskrivs det om de förutsättningar under vilka Gränsbevakningsväsendet får behandla personuppgifter som avses i 5–7 och 11–13 § för andra ändamål med behandlingen än det ursprungliga ändamålet för utförandet av uppgifter som anknyter till tillståndsförvaltningen. Uppgifterna får i enlighet med bestämmelsen användas för beslut eller utlåtanden som gäller beviljande eller giltighet av ett tillstånd, när tillståndet enligt gällande bestämmelser är beroende av sökandens eller tillståndshavarens tillförlitlighet, lämplighet eller någon liknande egenskap, och det för bedömningen av egenskapen krävs uppgifter om sökandens eller tillståndshavarens hälsotillstånd, bruk av rusmedel, brottslighet eller våldsamma uppträdande.
Det föreskrivs om beviljande av tillstånd och dess giltighetstid i annan lagstiftning. Med tanke på den föreslagna bestämmelsen är i synnerhet de förutsättningar som anges för beviljandet och giltighetstiden för gränszonstillstånd viktiga och om dem föreskrivs det i 52–55 § i gränsbevakningslagen. I paragrafen avgränsas personuppgifter som behandlas för att förebygga och avslöja brott enligt 8 och 9 § till att stå utanför en sådan behandling. Till sitt sakinnehåll motsvarar bestämmelsen 25 § 1 mom. 5 punkten i den gällande lagen.
16 §. Personuppgiftsansvarig. Enligt paragrafen är staben för Gränsbevakningsväsendet personuppgiftsansvarig för de personuppgifter som avses i denna lag. Bestämmelsen innebär en ändring jämfört med nuläget enligt vilket antingen staben för Gränsbevakningsväsendet (för riksomfattande personregister) eller en förvaltningsenhet (för lokala register) är registeransvarig. Eftersom tillämpningsområdet för den nya lagen föreslås begränsas endast till behandling av personuppgifter vid skötseln av de uppgifter som föreskrivs för Gränsbevakningsväsendet i denna lag och eftersom det i lagen föreskrivs allmännare om ändamål med behandlingen av personuppgifter i stället för om namngivna register, är det motiverat att det endast finns en personuppgiftsansvarig för personuppgifterna. Lagstiftningen säkerställer också på ett bättre sätt än för närvarande att personuppgifter som anknyter till Gränsbevakningsväsendets lagstadgade uppgifter behandlas på ett enhetligt sätt inom hela Gränsbevakningsväsendet.
Gränsbevakningsväsendets förvaltningsenheter kommer fortsättningsvis att vara personuppgiftsansvariga till den del som de behandlar personuppgifter direkt med stöd av dataskyddsförordningen och dataskyddslagen.
3 kap. Rätt att få uppgifter
17 §. Rätt att få uppgifter av myndigheter. Paragrafen motsvarar till sitt sakinnehåll 17 § i den gällande lagen. Enligt 1 mom. har Gränsbevakningsväsendet trots tystnadsplikten rätt att för ett tjänsteuppdrag få behövliga uppgifter och handlingar av en myndighet och av en sådan sammanslutning eller person som tillsatts för att handha ett offentligt uppdrag, om inte lämnande av uppgiften eller handlingen till Gränsbevakningsväsendet eller användning av uppgiften såsom bevis förbjudits eller begränsats i lag. Med avvikelse från den gällande bestämmelsen föreskrivs det i fortsättningen om rätten att avgiftsfritt få uppgifter i 27 §, som gäller lämnande av uppgifter till Gränsbevakningsväsendet.
Enligt 2 mom. fattas beslut om inhämtande av sekretessbelagda uppgifter av en anhållningsberättigad tjänsteman, om inte något annat överenskoms med den som lämnar ut uppgifterna. Utgångspunkten är att beslutsnivån fortsättningsvis anses vara ändamålsenlig då uppgifterna begärs i enskilda fall. Enligt 4 kap. 2 § i polislagen är det en polisman som hör till befälet som beslutar om en begäran om motsvarande uppgifter. Momentet gör det dock möjligt att den som framställer begäran kan vara någon annan tjänsteman vid Gränsbevakningsväsendet, om man har kommit överens om detta med den som lämnar ut uppgifterna. Detta är ändamålsenligt i synnerhet när uppgifter lämnas ut till Gränsbevakningsväsendet genom en teknisk anslutning eller som en datamängd.
18 §. Rätt att få uppgifter av privata sammanslutningar och personer. Paragrafen motsvarar i huvudsak 18 § i den gällande lagen. Enligt 1 mom. har Gränsbevakningsväsendet till skillnad från i den gällande lagen på begäran av en anhållningsberättigad tjänsteman rätt att av privata sammanslutningar och personer få uppgifter som behövs också för att avslöja brott. Detta är motiverat, eftersom Gränsbevakningsväsendet också annars behandlar personuppgifter för detta ändamål utifrån det som föreslås i 8 och 9 §. Med avvikelse från den gällande bestämmelsen föreskrivs det dessutom i fortsättningen om rätten att avgiftsfritt få uppgifter i 27 §, som gäller lämnande av uppgifter till Gränsbevakningsväsendet.
Företagen har många uppgifter som omfattas av företagshemligheten och som är av betydelse för deras näringsverksamhet, t.ex. produktutvecklingsuppgifter. Med stöd av bestämmelsen har ett företag dock inte direkt skyldighet att lämna ut uppgifter av betydelse som gäller den egna företagsverksamheten eller en avtalspartner och som ingår i kärnan av företagshemligheten. I begäran om uppgifter är det vanligen fråga om uppgifter som specificerar kunder eller arbetstagare eller någon annan som står i ekonomisk relation till förtaget. Syftet med bestämmelsen är att göra det möjligt för en privat aktör att lämna en uppgift utan att göra sig skyldig till en straffbar gärning. Den som lämnar en uppgift som omfattas av företags-, bank- eller försäkringshemlighet ska vid lämnandet av uppgiften till Gränsbevakningsväsendet kunna vara övertygad om att han eller hon handlar på ett tillåtet sätt. Uppgifterna lämnas ut i enlighet med de interna verksamhetsprocesserna för den som lämnar ut uppgifterna.
I 2 mom. föreskrivs det på motsvarande sätt som i den gällande lagen om Gränsbevakningsväsendets rätt att i enskilda fall få uppgifter av ett teleföretag och av en sammanslutningsabonnent samt av en sammanslutning som bedriver postverksamhet.
I 3 mom. föreskrivs det på motsvarande sätt som i den gällande lagen om Gränsbevakningsväsendets rätt att för sin tillståndsförvaltning få uppgifter av en privat sammanslutning eller en privatperson med iakttagande av vad som föreskrivs i 17 §.
19 §. Vite. Paragrafen är ny jämfört med den gällande lagen. Enligt paragrafen får Gränsbevakningsväsendet kräva att privata sammanslutningar och personer lämnar de i 18 § avsedda uppgifterna inom en skälig tid, om uppgifterna behövs för att förebygga eller utreda ett brott som Gränsbevakningsväsendet undersöker. Gränsbevakningsväsendet kan förena åläggandet med vite. Beslutet om föreläggande av vite ska iakttas även om ändring i beslutet söks. Vite får dock inte föreläggas om det finns skäl att misstänka någon för brott och det begärda materialet har samband med brottsmisstanken. För vite gäller i övrigt bestämmelserna i viteslagen (1113/1990).
Syftet med bestämmelsen är att effektivisera erhållandet av behövliga uppgifter i enskilda fall samt att förhindra eventuell uppsåtlig eller avsiktlig tredska vid utlämnandet av uppgifter. Bestämmelsen bidrar till att stödja att Gränsbevakningsväsendet och de aktörer som lämnar ut uppgifter på förhand kommer överens om de sätt att utbyta information på som minst skadar den övriga verksamheten med avseende på båda parterna. Bestämmelsen motsvarar 2 kap. 14 § 5 mom. i lagen om brottsbekämpning inom Tullen (623/2015). När det gäller begäran om uppgifter och föreläggande av vite iakttas principerna enligt 2 kap. i gränsbevakningslagen, i synnerhet proportionalitetsprincipen (7 §), principen om minsta olägenhet (7 a §), principen om ändamålsbundenhet (7 b §) och allmänna principer som ska iakttas i förundersökningsuppgifter (10 §).
20 §. Rätt att få uppgifter ur vissa register och datasystem. Paragrafen ska komplettera de föreslagna 17–19 § samt de bestämmelser om myndigheternas rättigheter att lämna ut uppgifter ur sina personregister till Gränsbevakningsväsendet som finns i annan lagstiftning. Paragrafen är därför inte uttömmande till sin art. I den föreslagna paragrafen har den onödigt dubbla regleringen i 22 § i den gällande lagen strukits. Utgångspunkten är att det inte finns behov att föreskriva om Gränsbevakningsväsendets rätt att få uppgifter om lagstiftningen som gäller den aktör som lämnar ut uppgifterna gör det möjligt att lämna ut uppgifterna till Gränsbevakningsväsendet.
Det föreskrivs om utlämnande av personuppgifter till Gränsbevakningsväsendet t.ex. i lagen om behandling av personuppgifter i polisens verksamhet, lagen om behandling av personuppgifter inom Tullen (639/2015), förslaget till lag om behandling av personuppgifter inom Försvarsmakten, förslaget till lag om behandling av personuppgifter i migrationsförvaltningen, lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten (1069/2015) och lagen om transportservice (320/2017). Dessutom ger flera lagar rätt att lämna ut uppgifter för utförandet av en myndighets lagstadgade uppgifter.
Gränsbevakningsväsendet har rätt att få de uppgifter som avses i 1 mom. trots sekretessbestämmelserna. I 27 § föreskrivs det att det är avgiftsfritt att få uppgifter.
I 1 punkten föreskrivs det om Gränsbevakningsväsendets rätt att för utförande av de övervakningsuppdrag till havs som föreskrivs för Gränsbevakningsväsendet, av sjöfartsmyndigheterna och leverantörer av fartygstrafikservice ur informationssystemen för övervakning till havs, anmälningssystemet för fartyg, sjötrafiklednings- och informationssystemen, trafikinformationssystemen för fartyg, informationssystemen för hamntrafiken och ur andra informationssystem för fartygstrafikservice, få uppgifter om sjötrafiken och övervakning av den samt om vattenfarkosters position. Bestämmelsen ersätter 22 § 1 mom. 4 och 11 punkten i den gällande lagen. Bestämmelsen kompletterar också 30 a § 1 mom. i territorialövervakningslagen (RP 34/2018 rd), enligt vilken Gränsbevakningsväsendet för lägesbilden har rätt att av leverantören av fartygstrafikservice utan ersättning få uppgifter om sjötrafiken samt andra uppgifter som är av betydelse för territorialövervakningen.
Enligt 2 punkten har Gränsbevakningsväsendet rätt att för upprätthållande av gränssäkerheten, räddningsuppdrag samt för utförande av de övervakningsuppgifter till havs och vid landgränsen som föreskrivs för Gränsbevakningsväsendet av luftfarts-, fiske-, sjöfarts- miljö- och räddningsmyndigheterna samt av polisen, Tullen och Försvarsmakten, få uppgifter om fordon, trafik, myndigheternas aktionsberedskap och alarmering. Bestämmelsen motsvarar 22 § 1 mom. 8 punkten i den gällande lagen.
I 3 punkten föreskrivs det om Gränsbevakningsväsendets rätt att ur nödcentralsdatasystemet få uppgifter som med tanke på en persons egen säkerhet eller säkerheten i arbetet för Gränsbevakningsväsendets tjänstemän behövs för Gränsbevakningsväsendets lagstadgade uppgifter. Bestämmelsen motsvarar 22 § 1 mom. 22 punkten i den gällande lagen.
Enligt 50 § 2 mom. i lagen om verkställighet av böter (672/2002) får Rättsregistercentralen utan hinder av sekretessen på begäran lämna ut uppgifter till dem vilkas rätt att få nämnda uppgifter regleras särskilt genom lag. I 4 punkten finns sådana bestämmelser om rätten att få information. I 5 punkten föreskrivs om rätten att få information av andra justitieförvaltningsmyndigheter.
Enligt 6 punkten har Gränsbevakningsväsendet rätt att ur utrikesministeriets informationssystem, för upprätthållande av gränssäkerheten, förundersökning, annan undersökning och för utförande av de uppdrag som föreskrivs för Gränsbevakningsväsendet i utlänningslagen, få uppgifter om dem som hör till personalen vid diplomatiska beskickningar och konsulat som representerar den utsändande staten i Finland och om dem som hör till personalen vid en internationell organisations organ i Finland eller något annat internationellt organ i samma ställning samt om dessa personers familjemedlemmar och om dem som är i privat tjänst hos dessa personer. Bestämmelsen motsvarar 22 § 1 mom. 17 punkten i den gällande lagen.
I 7 punkten föreskrivs det om Gränsbevakningsväsendets rätt att ur det datasystem för övervakning som avses i 29 § i lagen om ett påföljdssystem för och tillsynen över den gemensamma fiskeripolitiken (1188/2014) få uppgifter för fiskeriövervakning, övervakning av sjötrafiken, upprätthållande av gränssäkerheten, förundersökning, annan undersökning, räddningsuppdrag, uppdrag som avses i lagen om sjöfartsskydd samt påförande av påföljdsavgift för transportörer. Datasystemet för övervakningen består av fångstregistret (30 §), registret för förstahandsuppköpare av fiskeriprodukter (31 §), registret över avräkningsnotor (32 §), det satellitbaserade fartygsövervakningssystemet (33 §), rapporterings- och tillståndsregistret som hänför sig till fiskeövervakning (34 §), registret över tillsynsåtgärder (35 §), fångstintygsregistret (36 §) och överträdelseregistret (64 §) i den nämnda lagen, det fiskefartygsregister som avses i lagen om registrering av fiskefartyg och vattenbruksfartyg som används till havs (690/2010) samt det fiskefartygsregister för insjövatten och de register över överlåtbara nyttjanderätter och aktörsspecifika fiskekvoter som avses i lagen om det nationella genomförandet av Europeiska unionens gemensamma fiskeripolitik (1048/2016).
Den motsvarande bestämmelsen i den gällande lagen hänvisar till den redan upphävda lagen om verkställighet av Europeiska gemenskapens gemensamma fiskeripolitik (1139/1994). Regleringen av Europeiska unionens fiskeripolitik har senare delats upp i flera olika lagar och antalet register som anknyter till den har ökat. Gränsbevakningsväsendet har i lag utsetts till användare av vissa av de här registren, men bestämmelserna är till denna del inte heltäckande. Den föreslagna bestämmelsen kompletterar således Gränsbevakningsväsendets rätt att få de uppgifter ur registren som behövs för dess lagstadgade uppgifter.
I 8 punkten finns en motsvarande bestämmelse som i 22 § 1 mom. 20 punkten i den gällande lagen om rätten att få uppgifter av den myndighet som har begärt handräckning.
Momentets 9 punkt är ny jämfört med den gällande lagen. Där föreskrivs om Gränsbevakningsväsendet rätt att av samfund och sammanslutningar få uppgifter om passagerare och fordons personal för utförandet av uppdrag som utförs i samverkan och som avses i PTG-lagen. Bestämmelsen förutsätter inte att en gränsbevakningsman som behandlar uppgifter om passagerare och besättning organisatoriskt är placerad i PTG-strukturen. Rätten att behandla uppgifterna ska dock uttryckligen vara bunden till samarbete enligt PTG-lagen, och uppgifterna får inte med stöd av den föreslagna bestämmelsen behandlas i Gränsbevakningsväsendets övriga lagstadgade uppgifter. Med stöd av bestämmelsen får Gränsbevakningsväsendet också genom direkt anslutning behandla uppgifter i transportörers informationssystem, t.ex. i reservationssystem, för utförande av gränskontroll och upprätthållande av gränssäkerheten. Gränsbevakningsväsendet får med stöd av bestämmelsen dessutom behandla uppgifter som en transportör redan har lämnat till en annan myndighet. På detta sätt säkerställs att transportören inte behöver lämna samma uppgifter flera gånger till olika myndigheter.
21 §. Uppgifter som andra myndigheter lämnar ut till Gränsbevakningsväsendet genom registrering via direkt anslutning. I paragrafen föreskrivs det om Gränsbevakningsväsendet möjlighet att bevilja en annan myndighet rätt att direkt registrera uppgifter i Gränsbevakningsväsendets personregister. Paragrafen motsvarar till sakinnehållet i huvudsak 23 § i den gällande lagen.
Enligt 1 mom. 1 punkten får Gränsbevakningsväsendet bevilja registreringsrätt till justitieförvaltningsmyndigheterna, Brottspåföljdsmyndigheten och Rättsregistercentralen. Dessa får registrera uppgifter t.ex. om efterlysta personer och Brottspåföljdsmyndigheten också signalementsuppgifter om personer som avtjänar eller har avtjänat straff som riktar sig mot friheten i Gränsbevakningsväsendets personregister.
Enligt 2 punkten får den personuppgiftsansvarige bevilja registreringsrätt till polisen, Tullen och Försvarsmakten. Med polisen avses också skyddspolisen. De här myndigheterna registrerar i enlighet med nuvarande praxis uppgifter t.ex. om efterlysta personer och polisen och Tullen även uppgifter i samband med sina genomförda gränskontroller i Gränsbevakningsväsendets personregister.
Enligt 3 punkten får den personuppgiftsansvarige bevilja också utrikesförvaltningen registreringsrätt. Däremot föreskrivs det i paragrafen inte längre på samma sätt som i den gällande lagen om arbets- och näringsministeriets rätt att registrera uppgifter, eftersom det inte har funnits något praktiskt behov av bestämmelsen.
Rätten till registrering vid direkt anslutning gäller alla ändamål med behandlingen av personuppgifter som det föreskrivs om i lag och den grundar sig på den registrerande myndighetens lagstadgade uppgifter. Bestämmelsen är inte förpliktande för Gränsbevakningsväsendet, utan gör det endast möjligt att bevilja tillstånd. Den personuppgiftsansvarige och den som registrerar uppgifterna ska sinsemellan särskilt komma överens om detaljerna och ansvarsfrågorna kring registreringen av uppgifterna. Bestämmelsen inverkar inte på den personuppgiftsansvariges ansvar, utan den personuppgiftsansvarige ansvarar inför den registrerade fullt ut också för de uppgifter som en annan myndighet har registrerat i registret. Syftet med paragrafen är främst att minska på sådant onödigt dubbelt arbete som orsakas av att uppgifterna först särskilt lämnas ut till Gränsbevakningsväsendet som sedan själv för in dem i sitt personregister. Parterna ska emellertid alltid försäkra sig om att dataskyddet tillgodoses och i synnerhet de införda uppgifternas riktighet och integritet.
22 §. Uppgifter om personer i fordon som passerar den yttre gränsen. Paragrafen motsvarar i huvudsak 19 § i den gällande lagen. Enligt paragrafens 1 mom. har Gränsbevakningsväsendet trots sekretessbestämmelserna rätt att få och behandla sådana uppgifter om samfunds och sammanslutningars passagerare och fordons personal som behövs för utförande av gränskontroll och upprätthållande av gränssäkerheten. Jämfört med den gällande lagen slopas i bestämmelsen rätten att få uppgifter som behövs för förebyggande och utredning av brott och för väckande av åtal, som överlappar rätten enligt den föreslagna 18 §.
Rätt att få information och behandla uppgifter gäller i enlighet med paragrafens rubrik endast uppgifter om passagerare och besättning i trafik över de yttre gränserna. Rätten sträcker sig dock inte till tilläggsuppgifterna enligt PNR-direktivet, som det föreskrivs om i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet (RP 55/2018 rd). Med stöd av bestämmelsen får Gränsbevakningsväsendet också genom direkt anslutning behandla uppgifter i transportörers informationssystem, t.ex. uppgifter i reservationssystem, för utförande av gränskontroll och upprätthållande av gränssäkerheten. Gränsbevakningsväsendet får med stöd av bestämmelsen dessutom behandla uppgifter som en transportör redan har lämnat till en annan myndighet. På detta sätt säkerställs att transportören inte behöver lämna samma uppgifter flera gånger till olika myndigheter.
I 2 mom. föreskrivs det att föraren av ett fordon som anländer till eller avgår från Finland och passerar den yttre gränsen till gränskontrollmyndigheten vid in- respektive utresestället ska lämna uppgifter om personerna i fordonet. På motsvarande sätt föreskrivs det att befälhavaren för ett fartyg eller luftfartyg samt ägaren eller innehavaren av ett tåg eller något annat trafikmedel eller dennes företrädare till gränskontrollmyndigheten vid in- eller utresestället ska lämna en passagerar- och besättningsförteckning eller i övrigt uppgifter om trafikmedlets personal och passagerare samt övriga personer i trafikmedlet, om inte uppgifterna redan har lämnats med stöd av 23 eller 24 §.
I 3 mom. finns närmare bestämmelser om vad som ska framgå av passagerar- och besättningsförteckningen.
Enligt 4 mom. ska paragrafen också tillämpas på trafik över de inre gränserna, om gränskontroll tillfälligt har återinförts vid dem i enlighet med kapitel 2 i avdelning III i kodexen om Schengengränserna och 15 § i gränsbevakningslagen. Bestämmelsen finns i regeringens proposition RP 201/2017 rd, som behandlas i riksdagen.
23 §. Uppgifter om passagerare inom flygtrafiken. Paragrafen motsvarar 20 § i den gällande lagen och de föreslagna ändringarna i paragrafen i regeringens proposition RP 201/2017 rd. Genom motsvarande paragraf i den gällande lagen har rådets direktiv 2004/82/EG om skyldighet för transportörer att lämna uppgifter om passagerare (nedan API-direktivet) genomförts nationellt.
I 1 mom. föreskrivs det om lufttrafikföretags skyldighet att till gränskontrollmyndigheten på dennas begäran lämna uppgifter om passagerare inom flygtrafiken över en yttre gräns.
I 2 mom. framkommer kraven på vilka uppgifter som uppgifterna om passagerarna i enlighet med API-direktivet ska inbegripa. Uppgifterna ska liksom för närvarande överlåtas elektroniskt eller, om detta inte är möjligt, på något annat adekvat sätt. Bestämmelsen i den gällande lagen om för vilka ändamål uppgifter om passagerare inom flygtrafiken och de uppgifter som avses i 22 § får användas flyttas till den föreslagna, nya 25 §. På motsvarande sätt flyttas bestämmelserna om radering av uppgifterna om passagerare inom flygtrafiken till den föreslagna, nya 39 §.
Enligt 3 mom. ska paragrafen också tillämpas på trafik över de inre gränserna, om gränskontroll tillfälligt har återinförts vid dem i enlighet med kapitel 2 i avdelning III i kodexen om Schengengränserna och 15 § i gränsbevakningslagen. Bestämmelsen finns i regeringens proposition RP 201/2017 rd, som behandlas i riksdagen.
24 §. Uppgifter om passagerare och besättning i fartygs- och tågtrafik. Paragrafen motsvarar 20 a § i den gällande lagen och de föreslagna ändringarna i paragrafen i regeringens proposition RP 201/2017 rd.
Enligt 1 mom. ska en fysisk eller juridisk person som bedriver yrkesmässig transport av personer eller varor sjövägen eller per järnväg lämna de uppgifter om passagerare och besättning som avses i 22 § 2 och 3 mom. till gränskontrollmyndigheten före ankomsten till gränskontrollen.
Enligt 2 mom. ska uppgifterna i tågtrafik lämnas senast när tåget har avgått från den sista station där passagerare stigit ombord på tåget. På skyldigheten att i fartygstrafik lämna förhandsuppgifter tillämpas bestämmelserna i kodexen om Schengengränserna samt andra bestämmelser och föreskrifter.
Enligt 3 mom. ska paragrafen också tillämpas på trafik över de inre gränserna, om gränskontroll tillfälligt har återinförts vid dem i enlighet med kapitel 2 i avdelning III i kodexen om Schengengränserna och 15 § i gränsbevakningslagen. Bestämmelsen finns i regeringens proposition RP 201/2017 rd, som behandlas i riksdagen.
25 §. Behandling av uppgifter om passagerare och besättning. Paragrafen är ny i jämförelse med den gällande lagen, men de föreslagna bestämmelserna motsvarar till sitt sakinnehåll den sista meningen i 20 § 2 mom. i den gällande lagen. Enligt 1 mom. får de i 22–24 § avsedda uppgifterna om passagerare och besättning i första hand behandlas för att underlätta gränskontroller samt bekämpa olaglig inresa och olaglig invandring. Bestämmelsen uttrycker det primära ändamålet med användningen av uppgifterna om passagerare och besättning. I fråga om uppgifterna om passagerare inom flygtrafiken gör API-direktivet det dock möjligt att i nationell lag föreskriva att passageraruppgifter får användas också för andra ändamål. Därför föreskrivs det på motsvarande sätt som i den gällande lagen att uppgifterna får behandlas i andra uppgifter som föreskrivs för Gränsbevakningsväsendet, polisen och Tullen. I fråga om de övriga trafikformerna och besättningsuppgifterna grundar sig regleringen på nationella behov. Regleringen ändras i praktiken inte till sitt sakinnehåll jämfört med den nuvarande regleringen.
Bestämmelsen i 2 mom. är ny. Den fastställer på lagnivå den praxis som redan används och där uppgifter om passagerare och besättning automatiskt jämförs med register och databaser som behövs med tanke på den behandling som avses i 1 mom. Jämförelsen sker i praktiken snart efter att uppgifterna om passagerare och besättning har fåtts.
26 §. Påföljder. Paragrafen innehåller informativa hänvisningar till bestämmelserna om påföljd i utlänningslagen. I 179 § i utlänningslagen föreskrivs det om påföljdsavgift för transportör som påförs bl.a. vid försummelse av transportörers skyldighet att lämna de uppgifter som avses i 23 och 24 § (tidigare 20 och 20 a §) i Gränsbevakningsväsendets personuppgiftslag. Enligt 185 § i den lagen döms för utlänningsförseelse även den som uppsåtligen eller av grov oaktsamhet försummar sin skyldighet enligt 22 § (tidigare 19 §) i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet.
27 §. Lämnande av uppgifter till Gränsbevakningsväsendet. Enligt 1 mom. har Gränsbevakningsväsendet rätt att få de uppgifter som avses i detta kapitel avgiftsfritt, om inte något annat föreskrivs i lag. Lagtekniskt sett är bestämmelsen ny, men rätten att få uppgifter avgiftsfritt finns också i de allmänna bestämmelserna om rätten att få uppgifter i 17 och 18 § i den gällande lagen. Bestämmelsen förtydligar dock att rätten att få uppgifter avgiftsfritt omfattar utöver enskilda utlämnanden av uppgifter även uppgifter som fås med hjälp av en teknisk anslutning.
I 1 mom. finns också en bestämmelse som motsvarar 43 § i den gällande lagen om att Gränsbevakningsväsendet har rätt att få de uppgifter som avses i detta kapitel också med hjälp av en teknisk anslutning eller som en datamängd enligt överenskommelse med den personuppgiftsansvarige. Med överenskommelse avses de praktiska förfaranden som krävs för att öppna en teknisk anslutning till en annan myndighets personregister.
Enligt 2 mom. ska Gränsbevakningsväsendet på begäran lämna uppgifter om behandlingen av de personuppgifter som det har fått med hjälp av en teknisk anslutning, som en datamängd eller genom registrering vid direkt anslutning till den personuppgiftsansvarige som lämnat ut uppgifterna. En motsvarande bestämmelse finns i 22 § 2 mom. och 23 § 2 mom. i den gällande lagen. Momentet innefattar dock inte den skyldighet som ställts på Gränsbevakningsväsendet i den gällande lagen om att säkerställa att de mottagna personuppgifterna är behövliga om personuppgifterna har lämnats ut utan begäran. Det föreskrivs om den personuppgiftsansvariges skyldighet att behandla endast adekvata och behövliga personuppgifter samt om skyldigheten att obehövliga personuppgifter ska utplånas utan obefogat dröjsmål i dataskyddsförordningen och dataskyddslagen avseende brottmål.
28 §. Europeiska unionens informationssystem för viseringar. I paragrafen föreskrivs det om Gränsbevakningsväsendets rätt att få uppgifter ur Europeiska unionens informationssystem för viseringar med hjälp av en teknisk anslutning. Paragrafens 1 mom. gäller mottagande av personuppgifter för skötseln av en uppgift som föreskrivs för Gränsbevakningsväsendet. I 2 mom. föreskrivs det om rätten att få uppgifter för att utreda terroristbrott och andra grova brott. Till sitt sakinnehåll motsvarar bestämmelserna 39 b § i den gällande lagen.
29 §.Behandling av uppgifter som erhållits i internationellt samarbete. Till innehållet motsvarar bestämmelsen delvis 39 d § i den gällande lagen. Det föreslås dock att gällande lydelse i 39 d § 3 och 4 mom. stryks som obehövlig, eftersom kraven i momenten finns i dataskyddslagen avseende brottmål. Den föreslagna paragrafen gäller endast behandlingen av personuppgifter som fåtts från ett tredjeland eller en internationell organisation eller myndighet.
I 1 mom. föreskrivs det på motsvarande sätt som i den gällande regleringen om sekretess och tystnadsplikt samt om skyldigheten att iaktta de begränsningar i användningen av personuppgifter som den som lämnat ut uppgifterna ställt. I momentet finns en huvudbestämmelse vars syfte är att säkerställa förtroendeskyddet i det internationella samarbetet.
I 2 mom. föreskrivs det om möjligheten att använda mottagna personuppgifter för andra ändamål med behandlingen än det ursprungliga när det inte ställts några sådana begränsningar som avses i 1 mom. Den strängare bestämmelsen om användningen av uppgifter för andra ändamål med behandlingen än det ursprungliga som finns i 39 d § 2 mom. i den gällande lagen grundade sig på EU:s upphävda dataskyddsrambeslut och gällde alla personuppgifter som fåtts från andra stater eller internationella organ, även behandlingen av personuppgifter som fåtts från andra EU-länder. Det föreslås att momentet justeras så att personuppgifter som fåtts från ett tredjeland eller en internationell organisation eller myndighet får behandlas för andra ändamål med behandlingen än det ursprungliga under de förutsättningar som föreslås i 14 § 1 mom. På behandlingen av personuppgifter som fåtts från en annan EU-medlemsstat tillämpas i de situationer som avses i 39 d § 2 mom. i den gällande lagen i fortsättningen dataskyddslagen avseende brottmål.
4 kap. Utlämnande av personuppgifter
I kapitlet föreskrivs om utlämnande av personuppgifter genom en teknisk anslutning eller som en datamängd till andra myndigheter samt om utlämnande av uppgifter via det allmänna datanätet. Kapitlet innehåller även bestämmelser som ansluter sig till internationellt informationsbyte.
Till den del det är fråga om behandling som hör till tillämpningsområdet av dataskyddsdirektivet och dataskyddslagen avseende brottmål ska 7 kap. i dataskyddslagen avseende brottmål som allmän författning tillämpas på utlämnandet av personuppgifter till tredjeländer och internationella organisationer. Det föreslagna 4 kap. ska innehålla de nödvändiga kompletterande bestämmelserna om utlämnandet av uppgifter till tredjeländer och internationella organisationer. I kapitlet ska även föreskrivas om utlämnandet av uppgifter till brottsbekämpande myndigheter i Europeiska unionens medlemsstater. Därtill ska det i kapitlet på samma sätt som i den gällande lagen tas hänsyn till de informationssystem inom EU som används av brottsbekämpande myndigheter. Till bestämmelserna om utlämnande av personuppgifter i anknytning till internationellt samarbete föreslås inga betydande innehållsmässiga ändringar jämfört med bestämmelserna i den gällande lagen.
Det föreslagna 4 kap. ska även innehålla bestämmelser om utlämnande av personuppgifter som hör till den allmänna dataskyddsförordningens tillämpningsområde. Till den här delen är det i regleringen fråga om särskilda bestämmelser som avses i artikel 6 i förordningen, med vilka tillämpningsområdet för bestämmelserna i förordningen anpassas. Enligt artikel 6 kan de särskilda bestämmelserna även gälla utlämnande av personuppgifter.
Personuppgifter får enligt bestämmelserna i 4 kap. lämnas ut trots sekretessbestämmelserna. Vid utlämnande av uppgifter ska man dock i alla situationer beakta bestämmelserna om skyddet av personuppgifter. På utlämnandet av personuppgifter i enskilda fall (annars än genom en teknisk anslutning eller som en datamängd) ska på samma sätt som nu tillämpas sekretessbestämmelserna i lagen om gränsbevakningsväsendets förvaltning, samt kompletterande lagstiftningen om personuppgifter när det gäller utlämnande av personuppgifter till tredjeland eller internationella organisationer.
30 §. Utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål. I paragrafen föreskrivs om utlämnande av personuppgifter till behöriga myndigheter som avses i dataskyddslagen avseende brottmål för ändamål som hör till nämnda lags tillämpningsområde. Dataskyddslagen avseende brottmål ska tillämpas på behandling av personuppgifter som utförs av polisen, åklagarna, de allmänna domstolarna, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter, när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åklagarverksamhet i samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av brott mot den allmänna säkerheten. Lagen ska tillämpas utifrån den nationella lösningen också när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten.
Med stöd av denna paragraf ska det vara möjligt att utlämna uppgifter till Försvarsmakten framför allt för förordnande av den värnpliktige till utbildning och uppdrag samt för ordnandet av tjänstgöringen, för förordnande till krishanteringsuppgifter och ordnande av krishanteringstjänsten, för skötsel av territoriala övervakningsuppgifter och militära spaningsuppgifter, för förebyggande och avslöjande av brott som avses i 9 kap. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten samt för skötseln av sådana förundersökningsuppdrag som avses i 5 kap. i nämnda lag samt för befordran till militär grad och belöning.
Personuppgifter får enligt förslaget lämnas till de i paragrafen avsedda myndigheterna genom en teknisk anslutning eller som en datamängd. I sådana situationer som avses i paragrafen är utlämnandet genom en teknisk anslutning i praktiken huvudregeln. Bestämmelsen är ny och mer allmänt formulerad än den gällande lagen, men i praktiken innebär den inga förändringar jämfört med nuläget.
Enligt 11 § i dataskyddslagen avseende brottmål får uppgifter som hör till särskilda kategorier av personuppgifter lämnas ut endast om detta är nödvändigt för att utföra en uppgift som myndigheten har enligt lag.
31 §. Övrigt utlämnande av personuppgifter till myndigheter. I paragrafen föreskrivs om utlämnande av personuppgifter genom en teknisk anslutning eller som en datamängd för andra ändamål än sådana som hör till tillämpningsområdet för dataskyddslagen avseende brottmål. Paragrafen ska även innehålla bestämmelser om utlämnande av personuppgifter till behöriga myndigheter som avses i dataskyddslagen avseende brottmål för ändamål på vilka nämnda lag inte tillämpas. I paragrafen har de ändringar som godkändes i samband med regeringens proposition RP 61/2018 rd samt de ändringar som föreslås i proposition RP 157/2018 rd.
I paragrafens 1 mom. finns en förteckning över de myndigheter till vilka Gränsbevakningsväsendet får lämna ut personuppgifter genom en teknisk anslutning. I momentet föreskrivs även om de ändamål för vilka personuppgifter får utlämnas. Till sitt innehåll motsvarar bestämmelserna huvudsakligen 28 § i den gällande lagen med undantag av vissa specificeringar.
Förteckningen i det föreslagna 1 mom. är inte uttömmande, och den ska inte heller begränsa tillämpandet av bestämmelserna om utlämnande av uppgifter eller erhållande av information annanstans i lag. Rätten att lämna ut uppgifter i enlighet med paragrafen förutsätter å andra sidan inte heller att det i lagstiftningen om den mottagande myndigheten föreskrivs om motsvarande rätt att få uppgifter, utan det är möjligt att lämna ut uppgifter med stöd av den föreslagna paragrafen även utan att det någon annanstans i lag föreskrivs om rätt för mottagaren att få uppgifter. Enligt grundlagsutskottets ställningstaganden ska det dock alltid föreskrivas genom lag om utlämnande av personuppgifter som behandlas av Gränsbevakningsväsendet eller om erhållande av information genom en teknisk anslutning. När uppgifter lämnas ut ska det alltid bedömas vilka uppgifter som behövs för skötseln av mottagarens lagstadgade uppgifter och om hanteringen av de uppgifter som ska lämnas ut eventuellt är föremål för begräsningar i enlighet med bestämmelser någon annanstans i lag. Paragrafen möjliggör alltså inte ett obegränsat utlämnande av alla personuppgifter som Gränsbevakningsväsendet hanterar för vilket ändamål med behandlingen som helst som nämns i paragrafen.
På utlämnandet av personuppgifter till andra myndigheter i enskilda fall ska även framöver tillämpas bestämmelserna i 17 och 17 a–17 d § i Gränsbevakningsväsendets förvaltningslag om utlämnade av sekretessbelagda uppgifter till myndighet eller en sammanslutning som sköter offentliga uppdrag. På basis av nämnda bestämmelser kan uppgifter även lämnas på eget initiativ. Offentliga uppgifter får dessutom lämnas ut till andra myndigheter som en datamängd även i andra fall än de som avses i 1 mom. Även i dessa situationer ska man dock ta hänsyn till bestämmelserna om skyddet för personuppgifter.
Med avvikelse från den gällande lagen innehåller paragrafens 2 mom. en bestämmelse enligt vilken Gränsbevakningsväsendet utöver vad som föreskrivs i 1 mom. av grundad anledning trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd får lämna ut till en myndighet personuppgifter som är nödvändiga för att utföra en uppgift som i lag föreskrivits för myndigheten. Genom detta görs det möjligt att lämna ut uppgifter som är nödvändiga för att utföra en myndighets i lagen föreskrivna uppgifter till den del det inte finns bestämmelser om utlämnanderätten i 1 mom.
I paragrafens 3 mom. föreskrivs om den högre tröskeln för utlämnande av uppgifter som hör till särskilda kategorier av personuppgifter. Bestämmelsen motsvarar det på vilka förutsättningar nämnda uppgifter överhuvudtaget kan behandlas av Gränsbevakningsväsendet.
32 §. Utlämnande av personuppgifter via det allmänna datanätet. Paragrafen är ny jämfört med gällande lag. I paragrafen föreskrivs om Gränsbevakningsväsendets rätt att lämna ut personuppgifter via det allmänna datanätet för att allmänheten ska kunna underrättas och tips från allmänheten ska kunna fås. Syftet med bestämmelsen är att möjliggöra upprätthållandet av gränssäkerheten och information om brottsbekämpning på Gränsbevakningsväsendets webbsida. Genom det allmänna datanätet får enbart lämnas ut sådana personuppgifter som motsvarar de uppgifter om informationsförmedling som avses i 7 § 3 mom. 2 punkten i den gällande lagen, om vilka det med anledning av att saken är brådskande, att det är fråga om en farosituation, för att brott ska kunna förebyggas, för upprätthållande av gränssäkerhet eller av skäl som har samband med en utredning är nödvändigt att särskilt informera. Mängden personuppgifter som lämnas ut till det allmänna datanätet ska dock begränsas så långt det är möjligt.
33 §. Utlämnande av personuppgifter till brottsbekämpande myndigheter i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet. I paragrafens 1 mom. beaktas den s.k. principen om tillgänglighet, enligt vilken personuppgifter och andra uppgifter ska vara tillgängliga till den brottsbekämpande myndigheten i en annan EU-stat på samma förutsättningar som de är tillgängliga till Gränsbevakningsväsendet för att förebygga, avslöja och utreda brott.
Innehållsmässigt motsvarar bestämmelsen i huvudsak 38 § i den gällande lagen. I den gällande lagen har utlämnandet av uppgifter till den brottsbekämpande myndigheten i en annan EU-stat dock till vissa delar begränsats strängare än Gränsbevakningsväsendets möjligheter att behandla personuppgifter för annat ändamål än det ursprungliga behandlingsändamålet. Uppgifter får därmed med stöd av den föreslagna bestämmelsen i vissa situationer lämnas ut i en vidare omfattning än enligt den gällande regleringen.
Utvidgningen avses t.ex. gälla utlämnandet av uppgifter som har samlats för att utföra uppdrag inom tillståndsförvaltningen. På grund av principen om tillgängligheten innebär även de i 14 och 15 § för Gränsbevakningsväsendet föreslagna mer omfattande möjligheter att behandla personuppgifter för annat än det ursprungliga ändamålet en mer omfattande möjlighet att lämna ut uppgifter. De brottsbekämpande myndigheterna i EU:s medlemsstater använder en skyddad kanal för informationsutbytet.
I 2 mom. föreskrivs om utlämnande av personuppgifter till Eurojust som inrättats för att stärka kampen mot grov brottslighet och andra institutioner som inrättats med stöd av fördraget om Europeiska unionens funktionssätt. Till sådana andra institutioner som avses i momentet hör utöver Eurojust också t.ex. Europeiska byrån för bedrägeribekämpning.
I 3 mom. preciseras att uppgifterna i de situationer som avses i 1 och 2 mom. får lämnas ut också som en datamängd.
I 4 mom. ingår en informativ hänvisning till lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009) för att säkerställa att rambeslutet har genomförts korrekt i fråga om utlämnandet av personuppgifter. Genomförandelagen av rambeslutet är en speciallag i förhållande till lagförslaget.
34 §. Utlämnande av personuppgifter inom Europeiska unionens gränskontrollsamarbete. Bestämmelsen är ny jämfört med gällande lag, men till sitt innehåll innebär den inga förändringar i nuläget. Regleringen ger Gränsbevakningsväsendet rätten att trots sekretessbestämmelserna lämna ut i 5–9 och 13 § avsedda personuppgifter.
Enligt paragrafens 1 mom. 1 punkten får Gränsbevakningsväsendet lämna ut personuppgifter till en myndighet som ansvarar för gränsövervakning i en annan medlemsstat i Europeiska unionen eller i andra stater som tillämpar kodexen om Schengengränserna för gränsövervakning. I sak motsvarar bestämmelsen 39 § 1 mom. 1 punkten i den gällande lagen. I enlighet med kodexen om Schengengränserna hör gränskontroller och övervakningen av gränser till gränsbevakningen.
Enligt 2 punkten får Gränsbevakningsväsendet lämna ut personuppgifter till Europeiska gräns- och kustbevakningsbyrån, byråns sambandsmän samt till de tjänstemän i en medlemsstat som deltar i av byrån samordnade insatser och pilotprojekt i Finland, med iakttagande av det som föreskrivs i EU-förordningen om inrättandet av byrån. Såsom det konstateras ovan i punkt 2.2.2 i den allmänna motiveringen, har Europeiska gräns- och kustbevakningsbyråns rätt att behandla personuppgifter begränsats till bara vissa situationer. Bestämmelserna motsvarar 39 § 1 mom. 3 punkten i den gällande lagen. Tillsammans med den föreslagna 1 punkten gör bestämmelsen det möjligt att lämna ut uppgifter också i enlighet med Europaparlamentets och rådets förordning (EU) nr 1052/2013 om inrättande av ett europeiskt gränsövervakningssystem (Eurosur).
Momentets 3 punkt innehåller en bestämmelse motsvarande 39 § 1 mom. 8 punkten i den gällande lagen beträffande utlämnandet av uppgifter till en sådan tjänsteman från en medlemsstat i Europeiska unionen som lämnar sådant gränssäkerhetsbistånd som avses i 15 d § 1 mom. i gränsbevakningslagen, för vidtagande av åtgärder som den biståndsbegäran som Finland framställt förutsätter.
Enligt paragrafens 2 mom. får de uppgifter som avses i paragrafen lämnas ut också som en datamängd. EU-staterna använder en elektronisk, skyddad informationsutbyteskanal.
35 §. Vissa internationella informationssystem. I paragrafens 1 mom. föreskrivs om Gränsbevakningsväsendets rätt att trots sekretessbestämmelserna lämna ut personuppgifter för registrering i Schengens informationssystem. Tilläggsinformation ska lämnas ut genom förmedling av centralkriminalpolisen. Uppgifterna får lämnas ut också som en datamängd. Regleringen motsvarar till sitt sakinnehåll gällande lagstiftning, men den materiella bestämmelsen om rätten att till systemet lämna Gränsbevakningsväsendets personuppgifter ska överföras från lagen om behandling av personuppgifter i polisens verksamhet till lagen om behandling av personuppgifter vid Gränsbevakningsväsendet.
I 2 mom. föreskrivs om Gränsbevakningsväsendets rätt att trots sekretessbestämmelserna lämna ut personuppgifter till de brottsbekämpande myndigheterna i Europeiska unionen med iakttagande av det som föreskrivs Europaparlamentet och rådets förordning (EU) 2016/794 och i den lag som kompletterar förordningen (214/2017).
36 §. Övrigt utlämnande av uppgifter till utlandet. På utlämnandet av personuppgifter till tredjeländer och internationella organisationer tillämpas till alla delar bestämmelserna i kapitel V i dataskyddsförordningen samt i 7 kap. i dataskyddslagen avseende brottmål. Paragrafen innehåller dock till denna del vissa preciserande bestämmelser. Regleringen motsvarar till sakinnehållet i huvudsak 39 § i den gällande lagen.
I 1 mom. finns en bestämmelse i fråga om personuppgifter som omfattas av tillämpningsområdet för dataskyddslagen avseende brottmål, som ger Gränsbevakningsväsendet rätt att trots sekretessbestämmelserna lämna ut uppgifter.
Paragrafens 2 mom. 1 punkten innehåller en bestämmelse motsvarande 39 § 1 mom. 5 punkten i den gällande lagen om utlämnande av uppgifter till myndigheter som avses i överenskommelsen angående ordningen på gränsen mellan Finland och Sovjetunionen och ordningen för utredning av gränstilldragelser (FördrS 32/1960) för utförande av de uppdrag som avses i överenskommelsen.
1 mom. 2 punkten ersätter 39 § 1 mom. 6 och 7 punkten i den gällande lagen och ger Gränsbevakningsväsendet rätten att trots sekretessbestämmelserna lämna ut personuppgifter till en myndighet som ansvarar för gränsövervakningen i en annan stat, om uppgifterna är nödvändiga med tanke på utförandet av gränsövervakningen.
I 3 punkten föreskrivs på samma sätt som i 39 § 1 mom. 4 punkten i den gällande lagen om utlämnande av personuppgifter till behöriga myndigheter som avses i internationella förpliktelser om återtagande av personer som olagligen inkommit och vistas i landet för utförande av de uppdrag som avses i de internationella förpliktelserna. I punkten infogas också ett omnämnande av andra arrangemang om återtagande för sådana situationer när en person återsänds till en stat som Finland inte har ett avtal om återtagande med.
Paragrafens 2 mom. innehåller en bestämmelse motsvarande 39 § 3 mom. i den gällande lagen om utlämnande av personuppgifter om förvärv, innehav, överföring, införsel och utförsel av skjutvapen, vapendelar, patroner och särskilt farliga projektiler till de myndigheter som ansvarar för vapentillsynen i en annan stat, om det för vapentillsynen är nödvändigt att uppgifterna lämnas ut. Bestämmelser gäller också överlåtelse av uppgifter till myndigheterna i EU:s medlemsstater. Bestämmelsen inbegriper också sådant utbyte av information som avses i artikel 13.4 i Europaparlamentets och rådets direktiv (EU) 2017/853 om ändring av rådets direktiv 91/477/EEG om kontroll av förvärv och innehav av vapen (nedan vapendirektivet). Enligt artikel 13.4 i vapendirektivet ska medlemsstaternas behöriga myndigheter på elektronisk väg utbyta information om tillstånd som beviljats för överföring av skjutvapen till en annan medlemsstat samt information om avslag på ansökningar om tillstånd av säkerhetsskäl eller med avseende på den berörda personens pålitlighet.
Enligt paragrafens 3 mom. får de uppgifter som avses i paragrafen lämnas ut också som en datamängd.
37 §. Förfarande när uppgifter lämnas ut. I paragrafen föreskrivs om beslutsfattandet som gäller rätten att lämna ut personuppgifter i Gränsbevakningsväsendets personregister, ifall utlämnandet sker genom en teknisk anslutning eller som en datamängd eller om det är fråga om att andra än enstaka uppgifter ska lämnas till utlandet (1 mom.). På utlämnandet av enskilda personuppgifter ska även framöver tillämpas 17 och 17 a – 17 d § i Gränsbevakningsväsendets förvaltningslag.
När uppgifter lämnas ut genom en teknisk anslutning, är det svårare för den personuppgiftsansvarige att övervaka skyddandet och användningen av personuppgifter. Om utlämnande av uppgifter med en teknisk anslutning ska man, såsom nu, alltid komma överens om separat mellan den personuppgiftsansvarige och utlämnaren eller mottagaren av informationen. Bestämmelserna i det föreslagna 4 kap. ger alltså inte som sådana mottagaren rätten att få personuppgifter som behandlas av Gränsbevakningsväsendet genom en teknisk anslutning utan ett separat beslut. Beslutet om utlämnandet av uppgifter ska fattas av den personuppgiftsansvarige eller den förvaltningsenhet som den personuppgiftsansvarige har förordnat till uppgiften. Den personuppgiftsansvarige kan i varje enskilt fall separat bedöma om det är motiverat att öppna en teknisk anslutning.
Enligt paragrafens 2 mom. ska uppgifternas art beaktas på samma sätt som enligt 29 § 2 mom. i den gällande lagen, när beslut om utlämnande fattas. I momentet ska även föreskrivas för mottagaren av uppgifterna en skyldighet att för den personuppgiftsansvarige lägga fram en tillförlitlig utredning om att personuppgifterna skyddas på behörigt sätt innan de lämnas ut.
Enligt paragrafens 3 mom. ska kvaliteten på de uppgifter som lämnas ut bekräftas och uppgifterna ska om möjligt förses med information som gör det möjligt för mottagaren att bedöma hur korrekta, fullständiga, aktuella och tillförlitliga uppgifterna är. Om det framgår att felaktiga uppgifter har lämnats ut eller att uppgifter lämnats ut i strid med lag, ska också detta utan dröjsmål meddelas mottagaren. Bestämmelsen motsvarar 28 § 4 mom. i den gällande lagen. Syftet med kraven är att både den personuppgiftsansvarige och mottagaren av uppgifterna har möjlighet att säkerställa att personuppgifter behandlas på det sätt som dataskyddslagstiftningen förutsätter. Vid utlämnanden ska den personuppgiftsansvarige även ta hänsyn till de särskilda förutsättningarna gällande behandlingen av personuppgifter som baserar sig på dataskyddsförordningen eller dataskyddslagen avseende brottmål. Sådana är bl.a. begränsningar i fråga om användningen av personuppgifter som fåtts från en annan myndighet eller stat och om vilka det ska göras en anteckning.
5 kap. Radering och arkivering av personuppgifter
Enligt artikel 5.1 e i dataskyddsförordningen och artikel 4.1 e i dataskyddsdirektivet får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. I kapitlet föreskrivs om de maximala bevaringstiderna för personuppgifter. Bestämmelserna i kapitlet begränsar inte tillämpningen av bestämmelser om radering av uppgifter eller bedömning av behövlighet någon annanstans i lag, utan de raderingstider som nämns i kapitlet ska iakttas ifall inte någon annan bestämmelse förutsätter att uppgifterna ska raderas redan tidigare.
I den gällande lagen hänvisas det i fråga om personuppgifter som samlas i informationssystem som upprätthålls av polisen till raderingsbestämmelserna i lagen om behandling av personuppgifter i polisens verksamhet och i fråga om personuppgifter som behandlas inom militärrättsvården till raderingsbestämmelserna i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. Med tanke på lagstiftningens tydlighet kan detta inte betraktas som en fungerande lösning, utan raderingstiderna för personuppgifter som behandlas enligt lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ska framgå av samma lag. Till den del det är fråga om personuppgifter som behandlas i system som upprätthålls av polisen och personuppgifter som behandlas inom militärrättsvården motsvarar de föreslagna raderingsbestämmelserna det som i lagen om behandling av personuppgifter i polisens verksamhet och den nya lagen om behandling av personuppgifter inom Försvarsmakten föreslås beträffande nämnda uppgifter.
38 §. Radering av personuppgifter som behandlas vid gränskontroll samt för upprätthållande av gränssäkerheten och gränsordningen. Enligt huvudregeln ska personuppgifter som behandlas vid gränsövervakning samt för upprätthållande av gränssäkerheten och gränsordningen raderas senast fem år efter att den sista uppgiften antecknades. Bestämmelsen motsvarar 32 § 2 mom. i den gällande lagen. Med stöd av bestämmelsen raderas behövliga uppgifter om specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser, uppgifter som avses i bilaga II till kodexen om Schengengränserna, uppgifter om personers och fordons rörelse och position i närheten av gränsen samt signalementsuppgifter som behövs för att konstatera identiteten.
Raderingsbestämmelsen på fem år ska även gälla uppgifterna i Gränsbevakningsväsendets register för fältledning, som grundats med stöd av 6 § i den gällande lagen. Till den här delen innebär bestämmelsen en ändring till gällande reglering, enligt vilken nämnda uppgifter ska raderas senast två år efter registreringen, om de inte fortfarande behövs för planeringen, genomförandet och övervakningen av verksamheten (30 § i den gällande lagen). Förlängningen av bevaringstiden gör behandlingen av personuppgifter vid gränsövervakning samt för upprätthållande av gränssäkerheten och gränsordningen enhetligare i situation där det avstås från reglering enligt register.
Paragrafens 2 mom. innehåller raderingstider som avviker från huvudregeln. Tillståndsuppgifter ska raderas tio år efter att ett tillstånd upphörde att gälla (1 punkten) och anmälningsuppgifter tio år efter att uppgiften antecknades i registret (2 punkten). Till den här delen motsvarar regleringen den gällande regleringen med undantag av vissa lagtekniska specifikationer.
2 mom. 3 punkten är ny jämfört med gällande lag. I punkten föreskrivs uttryckligen om raderingen av upptagningar från sådan teknisk övervakning som avses i 29 § i gränsbevakningslagen. Enligt den gällande lagen har upptagningar från teknisk övervakning ansetts vara en del av övervakningsuppgifter av land- och sjögränsen i registret för övervakningsärenden, vars raderingstid är fem år. Raderingstiden på fem år är emellertid onödigt lång för upptagningar från teknisk övervakning, och i praktiken har upptagningarna bevarats under en betydligt kortare tid, högst några månader. Enligt den föreslagna 3 punkten ska upptagningar från teknisk övervakning raderas senast sex månader efter att upptagningen uppkom. Detta kan betraktas som en operativt tillräcklig bevaringstid samt som rimlig även med tanke på skyddet för privatlivet.
Enligt 4 punkten ska uppgifter om påförande av påföljdsavgift för transportör raderas tio år efter att uppgifterna antecknades i registret. Regleringen motsvarar gällande lag. I 5 punkten ingår jämfört med den gällande lagen en ny bestämmelse, som gäller raderingen av uppgifter om inreseförbud. Bestämmelsen motsvarar det som i lagen om behandling av personuppgifter i polisens verksamhet förslås beträffande raderingen av nationella inreseförbud.
I 6 punkten föreskrivs om raderingen av uppgifter om andra gränsbevakningsmyndigheters verksamhet och deras sammansättning samt gränssituationen i Finland och Europeiska unionen. Bevaringstiden är, motsvarande 34 § i den gällande lagen, 25 år efter att den senaste uppgiften antecknats. Den långa bevaringstiden är ändamålsenlig, eftersom uppgifterna även har betydelse med tanke på tryggandet av den nationella säkerheten.
I 7 punkten föreskrivs om ett undantag som gäller raderingen av säkerhetsuppgifter. Med avvikelse från huvudregeln i första momentet ska säkerhetsuppgifter raderas senast ett år efter den registrerades död. Med detta möjliggörs bevarandet av uppgifter om t.ex. en persons farlighet eller hälsotillstånd så länge som det behövs för att garantera säkerheten för personen själv eller för personer som hör till Gränsbevakningsväsendets personal. Uppgifter som inte är nödvändiga eller som är felaktiga ska dock raderas omedelbart.
Enligt paragrafens 3 mom. får dock alla i 1 och 2 mom. avsedda uppgifter fortfarande bevaras, om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. Bevaringen av uppgifter ska därmed vara möjligt t.ex. under den tid en utredning om tjänstebrott pågår. I momentet föreskrivs också om skyldighet att bedöma behovet av att bevara uppgifter minst vart femte år. På motsvarande sätt som nu kan nödvändigheten av att fortfarande bevara information även bedömas enligt informationskategori så att man genom ett separat beslut kan radera t.ex. uppgifter som gäller vissa grupper utan att uppgifterna behöver genomgås individuellt. Bestämmelsen motsvarar den reglering som föreslås i 40–42 och 45 §.
39 §. Radering av uppgifter om passagerare inom flygtrafiken.Enligt paragrafens 1 mom. ska sådana passageraruppgifter som avses i 23 § raderas senast 24 timmar efter att de lämnades till gränskontrollmyndigheten när passagerarna reste in i eller ut ur landet, om inte uppgifterna behövs för någon annan uppgift som Gränsbevakningsväsendet, polisen eller Tullen enligt lag ska utföra. Till denna del motsvarar regleringen 20 § 3 mom. i den gällande lagen, som grundar sig på API-direktivet. Uppgifter om passagerare och besättning som gäller andra trafikformer raderas i enlighet med den bestämmelse om radering i 2 kap. som gäller ändamålet med behandlingen av uppgifterna.
Som en ny sak innehåller paragrafens 1 mom. en informativ hänvisning till hur de passageraruppgifter inom flygtrafiken (API-uppgifter) som avses i den föreslagna 23 § ska behandlas inom tillämpningsområdet för det s.k. PNR-direktivet (Europaparlamentets och rådets direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet). Enligt bilaga I till direktivet hör även API-uppgifter till PNR-uppgifter, ifall sådana har samlats. Till den här delen ska på behandlingen av API-uppgifter efter 24 timmar även tillämpas bestämmelserna i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet. I praktiken innebär detta att API-uppgifterna raderas från Gränsbevakningsväsendets personregister, ifall det inte finns en sådan grund för bevarandet av uppgifter som avses i 1 mom. Uppgifterna ska överföras som en datamängd till polisens registerföring, varefter de behandlas i enlighet med nämnda lag.
I paragrafens 2 mom. finns en bestämmelse som motsvarar 20 § 3 mom. i gällande. Enligt den ska den som lämnar passageraruppgifter inom flygtrafiken radera de personuppgifter som han eller hon har inhämtat och lämnat till gränskontrollmyndigheterna senast 24 timmar efter att det trafikmedel som har använts vid transporten har anlänt till destinationen, ifall inte något annat föreskrivs.
40 §. Radering av personuppgifter som anknyter till brottmål. I 31 § i den gällande lagen hänvisas det beträffande raderingen av uppgifter i anknytning till ett brottmål till 22 § i lagen om behandling av personuppgifter i polisens verksamhet. I den föreslagna paragrafen skrivs bestämmelserna ut och i dem görs de innehållsmässiga justeringar som föreslås till lagen om behandling av personuppgifter i polisens verksamhet. Till bevaringstider av personuppgifter föreslås inga stora förändringar.
Det är fråga om raderingen av brottsanmälningsuppgifter, uppgifter som ansluter sig till förundersökning av brottmål, signalementsuppgifter och andra personuppgifter som ansluter sig till brottmål. Med personuppgifter som ansluter sig till ett brottmål avses alla personuppgifter som samlats i förundersökningssyfte och vars raderingstider det är ändamålsenligt att harmonisera med raderingstider av uppgifter gällande brottsanmälan. Exempelvis efterlysningsuppgifter i anslutning till undersökningssyften samt meddelandeuppgifter som behandlas för att allmänheten ska kunna underrättas och för att tips från allmänheten ska kunna fås får eller för att rikta undersökningsmyndigheters övervakning ska framöver raderas med iakttagande av bevaringstiden för det brottmål till vilket uppgifterna ansluter sig. Bevaringstiderna ska alltjämt vara beroende av det hur grov gärningen är. I bestämmelsen beaktas dessutom den mer sårbara situationen för minderåriga personer som har begått ett brott.
Enligt paragrafens 1 mom. ska uppgifterna i ett brottmål raderas fem år efter att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till böter eller till ett fängelsestraff på högst ett år, tio år efter att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på högst fem år och tjugo år efter att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till fängelse i över fem år. Med de föreslagna bevaringstiderna ska man, på samma sätt som enligt den gällande regleringen, se till att uppgifterna bevaras i Gränsbevakningens personregister minst den tid det tar att ärendet har behandlats och ett en lagakraftvunnen lösning inom rättsväsendet har nåtts. Bevaringstiden avkortas från tio till fem år i fråga om sådana brottmål som överförts till åklagaren där det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på högst ett år. Den kortare bevaringstiden bedöms vara tillräcklig för att säkerställa att uppgifterna bevaras fram till ett lagakraftvunnet avgörande.
De uppgifter som avses i 1 mom. raderas enligt 2 mom. dock tidigast ett år efter det att åtalsrätten för brottet har preskriberats.
Uppgifter i övriga brottmål ska enligt 3 mom. raderas ett år efter att åtalsrätten för det sista misstänkta brottet preskriberats, dock tidigast fem år efter att brottmålet registrerades. En bevaringstid på minst fem år motsvarar preskriptionstiden för åtalsrätten för tjänstebrott och behövs för att garantera rättsskyddet både för målsäganden och för tjänstemän vid Gränsbevakningsväsendet.
I paragrafens 4 mom. föreskrivs om raderingen av signalementsuppgifter som har registrerats för att identifiera personer misstänkta för brott, för att utreda ett brott och för att registrera personer som begått brott. Uppgifterna ska raderas senast tio år efter att den sista uppgiften om en person misstänkt för brott infördes. Uppgifterna ska dock raderas senast tio år efter den registrerades död, om det strängaste föreskrivna straffet för det grövsta brott som använts som grund för registrering är fängelse i minst ett år. Med de föreslagna ändringarna förkortas raderingstiderna enligt den gällande lagen betydligt, när det gäller mindre grova brottmål. Om raderingen av registrerade spår från en okänd gärningsman, som inte har identifierats, i anslutning till ett brott ska inte längre föreskrivas separat utan uppgifterna ska med iakttagande av raderingstiden för övriga brottmål enligt 2 mom. raderas ett år efter att åtalsrätten för brottet preskriberats.
I 5 mom. beaktas minderåriga personer misstänkta för brott. Syftet med momentet är att trygga iakttagandet av barnets intressen enligt konventionen om barnets rättigheter. Enligt gällande reglering raderas uppgifter om en registrerad person som vid ingåendet brottet inte hade fyllt 15 år efter att personen fyllt 18 år, ifall han eller hon inte har gjort sig skyldig till ett brott efter att ha fyllt 15. Uppgifterna ska dock inte raderas på denna grund, om anmälan även gäller andra misstänkta för brottet och uppgifterna om dem ännu inte raderas eller om någon av anteckningarna gäller en brottslig gärning för vilken inte föreskrivs någon annan påföljd än fängelse. Det har dock visat sig vara problematisk att genomföra nämnda bestämmelse. Betydelsen av den gällande raderingsbestämmelsen med tanke på skyddet för den registrerades privatliv är dock liten, eftersom det i brottsanmälningar som gäller personer som inte fyllt 15 år ofta även finns andra registrerade, varför raderingsbestämmesen i praktiken bara leder till raderingen av uppgifterna för en bråkdel av de personer som registrerats när de inte hade fyllt 15 år.
Enligt det föreslagna 5 mom. ska signalementsuppgifterna för registrerade personer under 15 år raderas senast fem år efter att den sista uppgiften om den för brott misstänkta personen infördes, om inte någon av uppgifterna gäller ett brott för vilket det inte föreskrivs någon annan påföljd än fängelse. Annars raderas uppgifter om personer som var under 15 år när brottet begicks enligt de allmänna bestämmelserna som föreslagits till paragrafen. Exempelvis en brottsanmälan där enbart en person som inte fyllt 15 år har registrerats, ska enligt 2 mom. raderas fem år efter att brottmålet registrerades, eftersom brottmålet inte överförs till åklagaren.
För att trygga skyddet för den registrerades privatliv föreskrivs det i paragrafens 6 mom. om en undantagsbestämmelse. Enligt den ska de signalementsuppgifter som behövs för att fastställa identiteten raderas senast ett år efter att uppgiften infördes, om det vid utredningen har framgått att inget brott har begåtts eller att det inte längre finns skäl att misstänka personen för brott.
Enligt paragrafens 7 mom. får dock alla i 1–5 mom. avsedda personuppgifter som anknyter till brottmål dock fortfarande bevaras, om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. Bevaringen av uppgifter ska därmed vara möjligt t.ex. under den tid en utredning om tjänstebrott pågår. Det kan också finnas behov av att förlänga efterlysningstiden för t.ex. fordon för att det ska vara möjligt att returnera egendomen till ägaren.
Enligt 7 mom. ska det med avvikelse från nuläget även vara möjligt att bevara uppgifter av någon annan grundad anledning. En annan grundad anledning för att bevara uppgifterna kan vara t.ex. behov av att förlänga giltighetstiden för efterlysningen av ett försvunnet skjutvapen trots att undersökningen redan har avslutats. I momentet föreskrivs även om skyldigheten att bedöma nödvändigheten av fortsatt bevarande av uppgifterna minst vart femte år. Tiden för bedömningen av nödvändigheten (fem år) motsvarar den tiden som föreskrivits för bedömningen av nödvändigheten i 6 § i dataskyddslagen avseende brottmål. På motsvarande sätt som nu kan nödvändigheten av att bevara information vidare även bedömas enligt informationskategori så att man genom ett separat beslut till exempel kan radera uppgifter gällande vissa grupper utan att uppgifterna behöver genomgås individuellt. Bestämmelsen motsvarar den reglering som föreslås i 38, 41, 42 och 45 §.
41 §.Radering av andra personuppgifter som behandlas för utredning av brott och av personuppgifter som behandlas för upprätthållande av allmän ordning och säkerhet. I 31 § i den gällande lagen hänvisas beträffande raderingen av sådana personuppgifter som avses i paragrafen till 22 § i lagen om behandling av personuppgifter i polisens verksamhet. I den föreslagna paragrafen skrivs bestämmelserna ut och i dem görs de innehållsmässiga justeringar som föreslås till lagen om behandling av personuppgifter i polisens verksamhet. Genom bestämmelsen innefattas personuppgifter som behandlas för sådana syften som avses i 6 och 7 § och som inte anknyter till förundersökning. Med stöd av paragrafen raderas därmed i synnerhet personuppgifter som behandlas för upprätthållande av allmän ordning och säkerhet. Det kan t.ex. gälla radering av uppgifter i anmälningar som ansluter sig till nämnda uppgifter samt om radering av vissa efterlysningsuppgifter och säkerhetsuppgifter.
Enligt paragrafens 1 mom. ska personuppgifter som behandlas för andra syften än förundersökningssyften bevaras i fem års tid efter att anmälan eller ärendet registrerades, om inte de hänför sig till ett brottmål som utreds.
I paragrafens 2 mom.1 punkten föreskrivs om raderingen av personuppgifter som behandlas för att en person ska kunna påträffas, övervakas, observeras och skyddas i fråga om personer som är efterlysta eller har meddelats reseförbud. Bevaringstiderna av nämnda uppgifter baserar sig, med avvikelse från huvudregeln i 1 mom., på fastställande, annullering eller upphörande av en efterlysning eller ett förbud. En bevaringstid som baserar sig på registrering av en anmälan eller ett ärende kan leda till situationer i vilka personuppgifter som ansluter sig till ärendet ska raderas medan efterlysningen eller förbudet alltjämt är i kraft eller omedelbart efter att ikraftvarandet upphört. Om raderingen av inreseförbud föreskrivs i 38 §.
Med avvikelse från nuvarande bestämmelser föreslås det inte en separat bestämmelse angående raderingen av uppgifter om fordon som söks eller egendomsuppgifter utan efterlysningsuppgifter som ansluter sig till undersökningar ska raderas enligt bevaringstiden för den anmälan eller det ärende till vilken efterlysningsuppgifterna har anknytning. Uppgifterna ska raderas när de inte längre behövs för behandlingen av ett ärende, för utförande av ett uppdrag eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har.
I 2 punkten föreskrivs på samma sätt som i nuvarande lag om ett undantag som gäller raderingen av säkerhetsuppgifter. Med avvikelse från huvudregeln i första momentet ska säkerhetsuppgifter raderas senast ett år efter den registrerades död. Med detta möjliggörs bevarandet av uppgifter om t.ex. en persons farlighet eller hälsotillstånd så länge som det behövs för att garantera säkerheten för personen själv eller för personer som hör till Gränsbevakningsväsendets personal. Uppgifter som inte är nödvändiga eller som är felaktiga ska dock raderas omedelbart.
I paragrafens 3 mom. föreskrivs om ett undantag som gäller alla uppgifter som avses i 1 och 2 mom. Uppgifterna får fortfarande bevaras, om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. Bevaringen av uppgifter ska därmed vara möjligt t.ex. under den tid en utredning om tjänstebrott pågår. Med avvikelse från nuläget ska det även vara möjligt att bevara uppgifter av någon annan grundad anledning. I momentet ska det på motsvarande sätt som i 38, 40, 42, och 45 § föreskrivas om skyldigheten att bedöma nödvändigheten av fortsatt bevarande av uppgifterna minst vart femte år.
De uppgifter som avses i 6 § 3 mom., som behandlas för bedömning av deras betydelse, ska raderas genast efter att de har bedömts vara onödiga. Uppgifterna ska dock raderas senast sex månader efter att anteckningen infördes. Om raderingen av uppgifter ska det med anledning av behandlingens exceptionella natur föreskrivas direkt i samband med bestämmelsen om behandlingen i 6 § 3 mom. De uppgifter som anses vara behövliga och som uppfyller förutsättningarna för behandling enligt 6 och 7 § ska raderas med iakttagande av de raderingstider som föreskrivs för i 6 och 7 § avsedda uppgifter.
42 §. Radering av personuppgifter som behandlas för förbyggande och avslöjande av brott. Enligt det föreslagna 1 mom. ska personuppgifter som behandlas för förebyggande och avslöjande av brott raderas senast tio år efter att den sista uppgiften om ett brott, brottslig verksamhet eller ett uppdrag infördes. Den föreslagna huvudregeln motsvarar bestämmelsen i 33 § den gällande lagen, när det gäller raderingen av uppgifter ur Gränsbevakningsväsendets register över personer misstänkta för brott, men i fortsättningen ska bestämmelsen gälla alla personuppgifter som med stöd av 8 och 9 § behandlas för att förebygga och avslöja brott.
En kortare bevaringstid än den nuvarande ska gälla för observationsuppgifter. Uppgifterna ska raderas inom sex månader från anteckningen. Genom detta tar man hänsyn till det att observationsuppgifter till sin natur är opålitliga och ska inte bevaras längre än nödvändigt.
Säkerhetsuppgifter som behandlas för förbyggande och avslöjande av brott ska på samma sätt som de säkerhetsuppgifter som avses i 38 och 41 § raderas senast ett år efter den registrerades död. Med detta möjliggörs bevarandet av uppgifter som t.ex. ansluter sig till en persons farlighet eller hälsotillstånd så länge som det är nödvändigt för att trygga säkerheten för personen själv eller för personer som hör till Gränsbevakningsväsendets personal.
Exempelvis personuppgifter som ansluter sig en brottsanalys som genomförs för att förebygga eller avslöja brott och som behandlas i administrationsenhets- eller arbetsgruppsbundna personregister som inrättats enligt 4 § i den gällande lagen ska raderas enligt den föreslagna paragrafen. Enligt 35 § i den gällande lagen raderas uppgifter från personregister som har inrättats för en eller flera förvaltningsenheter eller för en arbetsgrupp, då tio år har förflutit sedan den gärning, åtgärd eller händelse som föranledde registreringen antecknades, om inte uppgifterna fortfarande behöver bevaras på grund av undersökning eller övervakning. Enligt den gällande lagen raderas personuppgifter dock inte om de inbegriper uppgifter som hänför sig till en persons egen säkerhet eller säkerheten i arbetet inom Gränsbevakningsväsendet.
Införandet av samma systematiska bevaringstider för alla personuppgifter som behandlas enligt 8 och 9 § för att förebygga och avslöja brott klarlägger och förenklar raderingen av uppgifter med tanke på såväl genomförandet av system som den registrerade personens rättsskydd. Samtidigt försäkrar man möjligheterna att förebygga och avslöja brott som med beaktande av hotpotentialen är större och allvarligare.
Det föreslagna 2 mom. ska innehålla en bestämmelse motsvarande 38 § 3 mom., 40 § 7 mom. och 41 § 3 mom., enligt vilken personuppgifter fortfarande får bevaras, om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. På samma sätt som i 38, 40, 41 och 45 § ska nödvändigheten av fortsatt bevarande av uppgifterna bedömas minst vart femte år. Som garanti på skyddet för privatlivet fungerar även de allmänt tillämpade bestämmelserna i 6 § i dataskyddslagen avseende brottmål, som gäller nödvändigheten av att behandla personuppgifter.
De uppgifter som avses i 8 § 6 mom., som behandlas för bedömning av deras betydelse, ska raderas genast efter att de har bedömts vara onödiga. Uppgifterna ska dock raderas senast sex månader efter att anteckningen infördes. Om raderingen av uppgifter ska det med anledning av behandlingens exceptionella natur föreskrivas direkt i samband med bestämmelsen om behandlingen i 8 § 6 mom. De uppgifter som anses vara behövliga och som uppfyller förutsättningarna för behandling enligt 8 och 9 § ska raderas med iakttagande av de raderingstider som föreskrivs för i 8 och 9 § avsedda uppgifter.
Regleringen motsvarar den reglering som föreslås i lagen om behandling av personuppgifter i polisens verksamhet.
43 §. Radering av uppgifter om informationskällor. Det föreslås att bestämmelserna om raderingen av informationsskällor ska finnas i en separat paragraf. Förslaget motsvarar de ändringar som föreslås till 2 kap. och genom vilka behandlingen av uppgifter om informationskällor överförs till en separat 10 §. Enligt den gällande lagen är uppgifterna om informationskällor en del av undersöknings- och handräckningsregistret, och på deras radering tillämpas 22 § 1 mom. 9 punkten i den gällande lagen om behandling av personuppgifter i polisens verksamhet. Enligt den gällande bestämmelsen ska uppgifter om en informationskälla utplånas då tio år har förflutit från den sista anteckningen om informationen. Regleringen föreslås bli ändrad så att det föreskrivs en maximal bevaringstid på tio år för uppgifterna. Genom ändringen beaktas att det ska vara möjligt att radera uppgifterna också tidigare än efter tio år, t.ex. om uppgifterna inte längre behövs med tanke på ändamålet med behandlingen.
44 §. Radering av personuppgifter som behandlas inom militärrättsvården. I den gällande lagen föreskrivs om raderingen av personuppgifter som behandlas inom militärrättsvården genom att hänvisa till lagen om militär disciplin och brottsbekämpning inom försvarsmakten. För att klarlägga regleringen ska raderingsbestämmelserna skrivas in i lagen. Regleringen motsvarar den reglering som föreslås i lagen om behandling av personuppgifter inom Försvarsmakten. De föreslagna raderingstiderna skiljer sig i någon mån från bestämmelserna i den föreslagna 40 § i fråga om uppgifter som gäller förundersökning.
I paragrafens 1 mom. föreskrivs om bevaringstiderna för uppgifter om anmärkning, extra tjänstgöring, utegångsförbud, disciplinbot och arrest. De föreslagna bevaringstiderna är de samma som bevaringstiderna för uppgifter i det nuvarande registret för militärdisciplinavgöranden, dvs. rättsläget ändras inte till den här delen.
I paragrafens 2 mom. föreskrivs om bevaringstiderna av straff som en domstol har påfört i ett militärrättegångsförfarande. Momentet täcker andra påföljder än de som avses i 1 mom. Till sin natur är bestämmelsen en hänvisning, dvs. bevaringstiderna i bestäms i den situation som avses i momentet med iakttagande av vad som föreskrivs i straffregisterlagen (770/1993) och i lagen om verkställighet av böter (672/2002). Den nuvarande lagen om militär disciplin och brottsbekämpning inom försvarsmakten innehåller inte en motsvarande hänvisningsbestämmelse, men i praktiken har lagstiftningen tolkats enligt den föreslagna bestämmelsen när det gäller bot- och fängelsestraff. Rättsläget ändras därmed inte, men det ska skrivas in i lagen på entydigt sätt.
Enligt 10 § i mom. 1 punkten i straffregisterlagen raderas uppgifter om villkorligt fängelse och om böter, samhällstjänst eller övervakning som har dömts ut utöver villkorligt fängelse, om ungdomsstraff, böter i stället för ungdomsstraff samt om avsättning och samfundsbot sedan fem år förflutit från det den lagakraftvunna domen gavs. Enligt 2 punkten raderas uppgifter om ovillkorligt fängelsestraff på högst två år, om övervakningsstraff och om samhällstjänst sedan tio år förflutit från det den lagakraftvunna domen gavs. Enligt 3 punkten raderas uppgifter om ovillkorligt fängelsestraff på över två och högst fem år samt om dom genom vilken någon lämnats obestraffad med stöd av 3 kap. 4 § 1 och 2 mom. i strafflagen sedan tjugo år förflutit från det den lagakraftvunna domen gavs. Enligt paragrafens 2 mom. raderas en uppgift om ett enskilt straff dock inte, om straffregistret innehåller sådana uppgifter om den registrerade som enligt 1 mom. ännu inte kan raderas. Alla uppgifter om den registrerade raderas dock ur straffregistret när han har avlidit eller då nittio år förflutit sedan hans födelse. Ett benådningsbeslut inverkar inte på raderingen av straffregisteruppgifter.
Enligt 52 § i lagen om verkställighet av böter ska uppgifterna i bötesregistret raderas fem år efter det att verkställigheten av den i nämnda lag avsedda påföljd som uppgifterna hänför sig till har slutförts.
I paragrafens 3 mom. föreskrivs att om en person har straffats genom ett beslut av domstol eller i ett militärdisciplinförfarande oftare än en gång, ska uppgifterna raderas ur registret för militärrättsvården fem år efter det sista disciplinära straffet. Bestämmelsen motsvarar gällande reglering.
I paragrafens 4 mom. föreskrivs om bevaringen av uppgifter som gäller en förundersökning. De föreslagna bevaringstiderna motsvarar den gällande regleringen med undantag av 5 punkten. Det föreslås att 5 punkten ändras så att begreppet ”den registrerade” ändras till ”den brottsmisstänkte”. En person som registrerats i registret för militärrättsvården kan utöver den brottsmisstänkte även vara t.ex. en sakägande eller ett vittne i ett brottmål. Den gällande bestämmelsen förutsätter t.ex. att personuppgifterna raderas ur registret när sakäganden dör, vilket klart är problematiskt med tanke på utredningen av brottet. Om en annan part dör, leder detta inte normalt till att ärendet är slutbehandlat, och det att en sådan annan part dör kan inte heller leda till skyldigheten att radera personuppgifterna om honom eller henne ur registret. Bevarandet av uppgifter tio år efter att den sista uppgiften om den registrerade infördes, som avses i 6 punkten, är alternativet i sista hand i situationer där ingen av punkterna 1–5 uppfylls.
Enligt 5 mom. ska säkerhetsinformation raderas senast ett år efter den registrerades död. Med detta möjliggörs bevarandet av uppgifter som t.ex. ansluter sig till en persons farlighet eller hälsotillstånd så länge som det är nödvändigt för att trygga säkerheten för personen själv eller för personer som hör till Gränsbevakningsväsendets personal. Uppgifter som inte är nödvändiga eller som är felaktiga ska dock raderas omedelbart.
45 §. Radering av andra personuppgifter. I paragrafen föreskrivs om raderingen av personuppgifter som behandlas i Gränsbevakningsväsendets övriga lagstadgade uppgifter, som avses i 13 §. Enligt paragrafens 1 mom. raderas personuppgifterna fem år efter att uppgifterna infördes i registret om det inte finns någon särskild orsak att fortsatt bevara dem med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. I momentet ska det på motsvarande sätt som i 38 och 40–42 § föreskrivas om skyldigheten att bedöma nödvändigheten av fortsatt bevarande av uppgifterna minst vart femte år.
Enligt 2 mom. ska personuppgifter som gäller utlänningar som tagits i förvar dock raderas fem år efter att den sista uppgiften antecknades, uppgifter om näringsförbud ska raderas fem år efter att näringsförbudet upphörde och de säkerhetsuppgifter som avses i 13 § 2 mom. 4 punkten senast ett år efter den registrerades död. Genom raderingsbestämmelsen om säkerhetsuppgifter möjliggörs bevaringen av uppgifter som t.ex. ansluter sig till en persons farlighet eller hälsotillstånd så länge som det är nödvändigt för att trygga säkerheten för personen själv eller för personer som hör till Gränsbevakningsväsendets personal. Onödiga eller felaktiga uppgifter ska dock raderas omedelbart.
Paragrafen ersätter bestämmelsen i 32 § 2 mom. i den gällande lagen, när det gäller raderingstiderna för uppgifter om övervakning av sjötrafiken och den ekonomiska zonen som sparas i registret för övervakningsärenden och uppgifter om utlänningar som har tagits i förvar samt bestämmelserna i 34 § om raderingen av uppgifter ur registret över säkerhetsuppgifter. Raderingstiderna ändras inte från det nuvarande läget.
46 §. Uppgifter som konstaterats vara felaktiga.Paragrafen motsvarar till sakinnehållet 36 § i den gällande lagen. Genom den föreslagna bestämmelsen blir det möjligt att bevara felaktiga uppgifter i registret tillsammans med den rättade uppgiften, om detta är nödvändigt för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har (1 mom.). Felaktiga uppgifter får inte användas för andra ändamål. Enligt 2 mom. ska en uppgift som konstaterats vara felaktig raderas genast när den inte längre behövs för att trygga rättigheterna.
Enligt artikel 5 i dataskyddsförordningen ska personuppgifterna vara korrekta och nödvändigt uppdaterade. Den personuppgiftsansvarige ska vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt artikel 16 i förordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Den föreslagna bestämmelsen ska beträffande de ändamål för behandling som avses i 5 och 13 § komplettera den rätt att få uppgifterna rättade som den registrerade enligt artikel 16 i dataskyddsförordningen har. Bestämmelsen avses inte begränsa nämnda rätt, men uppgifter som har konstaterats vara felaktiga ska i de situationer som avses i 1 mom. kunna bevaras tillsammans med de rättade uppgifterna.
Enligt 7 § i dataskyddslagen avseende brottmål ska de personuppgifter som behandlas vara korrekta och uppdaterade med hänsyn till ändamålet med behandlingen. Den personuppgiftsansvarige se till att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt 25 § 1 mom. i nämnda lag ska den personuppgiftsansvarige på eget initiativ eller på yrkande av den registrerade utan obefogat dröjsmål rätta eller komplettera sådana personuppgifter om den registrerade som är oriktiga eller bristfälliga med hänsyn till ändamålet med behandlingen. Paragrafen ska inte ersätta kravet om begränsandet av behandlingen av personuppgifter i 25 § 2 mom. i dataskyddslagen avseende brottmål, utan den problemfria övergången till reglering enligt den nya lagen ska säkerställas genom att bevarade paragrafen såsom den är.
47 §. Arkivering av uppgifter. Paragrafen innehåller en informativ bestämmelse som motsvarar 37 § i den gällande lagen om lagstiftning som tillämpas på arkivfunktionens uppgifter och om handlingar som ska arkiveras.
6 kap. Den registrerades rättigheter
Bestämmelserna om den registrerades rättigheter ingår huvudsakligen i III kap. i dataskyddsförordningen och i 4 kap. i dataskyddslagen avseende brottmål. I detta kapitel specificeras nämnda bestämmelser när det gäller genomförandet av den registrerades rätt till insyn och de inskränkningar som riktas till den registrerades rättigheter.
Den registrerades rättigheter gällande behandlingen av personuppgifter fastställs enligt en rättsgrund om vilken det delvis föreskrivs i dataskyddsförordningen. Rätten att radera uppgifter enligt artikel 17 i förordningen tillämpas inte när personuppgifter behandlas för att iaktta en lagstadgad skyldighet som förutsätter behandling och som tillämpas på den personuppgiftsansvarige på basis av unionsrätten eller en medlemsstats nationella rätt eller om behandlingen sker för att genomföra en uppgift gällande det allmänna intresset eller för utövande av offentlig makt tillhörande den personuppgiftsansvarige. Rätten att överföra uppgifter från ett system till ett annat enligt artikel 20 i förordningen tillämpas å sin sida enbart på behandling som baserar sig på samtycke eller avtal. Därtill täcker rätten att göra invändningar enligt artikel 21 enbart behandling som baserar sig på genomförandet en uppgift gällande det allmänna intresset, utövande av offentlig makt tillhörande den personuppgiftsansvarige eller på genomförande av den personuppgiftsansvariges eller tredje parts berättigade intressen. Eftersom den behandling av personuppgifter som avses i denna lag sker för att genomföra Gränsbevakningsväsendets i lagen föreskrivna uppgifter, tillämpas artikel 17, 20 eller 21 i förordningen inte på behandlingen.
48 §. Tillgodoseende av den registrerades rätt till insyn. I paragrafens 1 mom. specificeras att den personuppgiftsansvarige ansvarar för lämnandet av personuppgifter eller andra uppgifter som behövs för utövande av tillsyn, när det gäller den registrerades rätt till tillgång till uppgifter enligt artikel 15 i dataskyddsförordningen och den registrerades rätt till insyn enligt 23 i dataskyddslagen avseende brottmål. Den personuppgiftsansvarige kan även förordna en annan myndighet att sköta uppgiften, t.ex. en annan administrativ enhet inom Gränsbevakningsväsendet.
Enligt 23 § i dataskyddslagen avseende brottmål kan den registrerade presentera den personuppgiftsansvarige en begäran om att få kontrollera sina uppgifter med en egenhändigt undertecknad handling eller på motsvarande verifierat sätt eller personligen hos den personuppgiftsansvarige. I artikel 15 i dataskyddsförordningen föreskrivs inte uttryckligen om sätten att genomföra insynsrätten, men uppgifterna ska enligt artikeln tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade gör begäran i elektronisk form och inte begär något annat.
Det att begäran framställs med en egenhändigt undertecknad handling eller på motsvarande verifierat sätt räcker dock inte till för att säkerställa identiteten av den som lämnat begäran på ett sätt som med tanke på de personuppgifter som Gränsbevakningsväsendet behandlar är tillräckligt tillförlitligt. Därför föreskrivs det i 2 mom., med avvikelse från dataskyddslagen avseende brottmål, att en registrerad som vill utöva sin rätt till insyn ska framställa en personlig begäran om detta till den personuppgiftsansvarige eller någon annan i 1 mom. avsedd myndighet samt styrka sin identitet. En begäran kan alternativt framställas genom att tillförlitlig elektronisk identifiering används på ett bestyrkt sätt, om en sådan tjänst tillhandahålls av den personuppgiftsansvarige. Vid identifieringen ska iakttas kraven i lagstiftningen om elektronisk kommunikation i myndigheternas verksamhet. Tillhandahållandet av en elektronisk tjänst underlättar den registrerades möjlighet att utöva sin rätt till insyn på det sätt som det förutsätts enligt dataskyddsdirektivet och dataskyddsförordningen. I bestämmelsen tar man dock i beaktande att en elektronisk tjänst inte nödvändigtvis är i bruk genast då lagen träder i kraft utan tjänsten ska genomföras i mån av möjlighet vid en tidpunkt som den personuppgiftsansvarige närmare fastställer.
Ytterligare uppgifter som begärts för att styrka den registrerades identitet kan enligt skäl 41 till direktivet enbart behandlas för detta särskilda syfte och de får inte bevaras längre än detta särskilda syfte förutsätter.
49 §. Inskränkningar i rätten till insyn. Om inskränkandet av den registrerades rätt till insyn i enskilda fall föreskrivs i 24 och 28 § i dataskyddslagen avseende brottmål. I den föreslagna paragrafen föreskrivs på ett sätt som kompletterar nämnda bestämmelser om allmänna undantag avseende behandlingen av Gränsbevakningsväsendets personuppgifter till insynsrätten enligt 23 § i dataskyddslagen avseende brottmål. Beträffande inskränkningar i insynsrätten av personuppgifter som hör till dataskyddsförordningens tillämpningsområde gäller det som föreskrivs i dataskyddsförordningen och 34 § i dataskyddslagen.
Enligt paragrafens 1 mom. 1 punkten har den registrerade inte rätt till insyn i uppgifter som avses i 6 § 3 mom. och 8 § 6 mom., vars betydelse med tanke på Gränsbevakningsväsendets uppgifter ännu inte är klarlagd, och inte i sådana uppgifter om informationskällor som avses i 10 §, i fråga om vilka rätten till insyn är begränsad också enligt 42 § 1 mom. 4 punkten i den gällande lagen.
I 3 punkten utesluts insynsrätten gällande i 6–9 § avsedda personuppgifter i vilka uppgifter om Gränsbevakningsväsendets taktiska eller tekniska metoder, observationsuppgifter, uppgifter om informationskällor eller uppgifter som används för teknisk undersökning ingår. Punkten ersätter och innehåller i den tidigare omfattningen gällande 42 § 1 mom. 1 och 4 punkten, men bestämmelsen ska omformuleras för att iaktta de ändringar som föreslås till 2 kap. Samtidigt harmoniseras formuleringen med 24 § 1 mom. 5 punkten i offentlighetslagen, i vilken det föreskrivs om sekretessen gällande handlingar som innehåller uppgifter om polisens, Gränsbevakningsväsendets och tullverkets samt fångvårdsmyndigheternas taktiska och tekniska metoder och planer, samt med 17 b § i lagen om Gränsbevakningsväsendets förvaltning, enligt vilken de som hör till Gränsbevakningsväsendets personal inte är skyldiga att röja information om sekretessbelagda taktiska eller tekniska metoder.
Partens rätt att få information om de nämnda uppgifterna har även inskränkts på grund av ett synnerligen viktigt allmänt intresse enligt 11 § 2 mom. 1 punkten i offentlighetslagen. Avslöjandet av dessa uppgifter kan leda till farosituationer eller förlust av förtroendeförhållanden eller att metoder avslöjas och skadar förhindrandet och utredningen av brott eller upprätthållandet av allmän ordning och säkerhet.
I uppgifter om Gränsbevakningsväsendets taktiska och tekniska metoder ingår också uppgifterna om användningen av hemliga metoder för inhämtning av information samt om själva metoderna. Till dessa inhämtningsmetoders särkaraktär hör att behandlingen, beslutsfattande och genomförandet av ärendet gällande dem sker utan att personen som är föremålet vet om detta genom domstolens beslut, och det har separat föreskrivits om informeringen av personen i fråga. Det finns ett separat övervakningsförfarande för att övervaka användningen av dessa metoder. Till den som är föremål för hemliga tvångsmedel kan dock lämnas ut uppgifter om personen själv, med iakttagande av bestämmelserna i förundersökningslagen och offentlighetslagen.
Momentets 3 punkt avgränsar, på motsvarande sätt som i den gällande lagen, som taktisk information som står utanför insynsrätten uppgifter om en person vilka inverkar på personens egen säkerhet eller på säkerheten i arbetet inom Gränsbevakningsväsendet, efterlysningsuppgifter som registrerats i efterlysningsuppgifter för att iaktta personen, efterlysningsuppgifter om personer under uppsyn som rör sig med motorfordon som har registrerats i uppgifterna om motorfordon som söks, uppgifter om målpersonens säkerhet vid förvaring som har registrerats i uppgifter om anhållna, uppgifter om gärningssätt samt bland signalementsuppgifter t.ex. nyckelord, särskilda kännetecken och fotografier.
Enligt 2 mom. har den registrerade rätt att be dataombudsmannen kontrollera lagenligheten av sådana personuppgifter som avses i 1 mom. på det sätt som föreskrivs i 29 § i dataskyddslagen avseende brottmål. En begäran om utövning av rättigheterna ska lämnas till dataombudsmannen, den personuppgiftsansvarige eller en annan i 48 § 1 mom. avsedd myndighet på det sätt som föreskrivs i 2 mom. i den paragrafen. En begäran som lämnats till den personuppgiftsansvarige eller en annan myndighet ska utan dröjsmål överföras till dataombudsmannen. Den föreslagna bestämmelsen motsvarar nuvarande praxis, enligt vilken begäran till dataombudsmannen kan lämnas till Gränsbevakningsväsendet. Gränsbevakningsväsendet kan då verifiera personens identitet och kontrollera att personuppgifterna stämmer. Utöver den ovan i 48 § avsedda begäran gällande genomförandet av insynsrätten är det också nödvändigt att verifiera identiteten av den som lämnar en indirekt begäran om utnyttjandet av insynsrätten till dataombudsmannen, eftersom behandlingen av begäran ofta förutsätter omfattande behandling av personuppgifter.
50 §.Den registrerades rätt till begränsning av behandling. I paragrafen inskränks den registrerades rätt att med stöd av artikel 18 i dataskyddsförordningen begränsa behandlingen av sina personuppgifter. Inskränkningen baserar sig på det handlingsutrymme som i artikel 23 i dataskyddsförordningen ger åt medlemsstaterna.
Den registrerade har med stöd av artikel 18 i dataskyddsförordningen rätt att kräva att behandlingen av hans eller hennes personuppgifter begränsas t.ex. om den registrerade bestrider personuppgifternas korrekthet eller anser att behandlingen av uppgifterna är olaglig. Om behandlingen har begränsats, får personuppgifter endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat. Enligt skäl 67 till dataskyddsförordningen kan sätten att begränsa behandlingen av personuppgifter bl.a. inbegripa att man flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör klart anges inom systemet.
Genomförandet av den registrerades begränsningsrätt enligt artikel 18 har betydande inverkningar på behandlingen av personuppgifter inom gränsbevakningen och för att upprätthålla gränssäkerheten samt vid andra övervakningsuppgifter som föreskrivits för Gränsbevakningsväsendet. Med tanke på t.ex. uppgifter som ansluter sig till gränsbevakningen samt upprätthållandet av gränssäkerheten och gränsordningen kan det anses vara problematiskt om den registrerade kan begränsa behandlingen av en gränsbevakares observationer eller uppgifter som antecknats i samband med en gränskontroll. Med tanke på tillstånd som beviljas av Gränsbevakningsväsendet är framför allt sådana situationer problematiska där den registrerade bestrider giltigheten av en uppgift som gäller hinder för beviljandet eller ikraftvarande av ett tillstånd, och denna uppgift som eventuellt är väsentlig med tanke på tillståndsprövningen därmed inte kan användas i beslutsfattandet i anknytning till tillståndsförvaltningen. Gränsbevakningsväsendet har därmed ingen möjlighet på ett heltäckande sätt utnyttja de registeruppgifter som är nödvändiga för att tillståndsbeslut kan fattas eller förutsättningarna för tillståndets giltighet kan följas upp. Automatiseringen av de funktioner som krävs för begränsningen av behandlingen innebär dessutom betydande ändringsbehov i Gränsbevakningsväsendets informationssystem.
Genom den föreslagna bestämmelsen inskränks inte den registrerade personens rätt att på basis av artikel 16 i dataskyddsförordningen kräva att få felaktiga personuppgifter rättade. Som garanti för den registrerades rättsskydd fungerar även de rättigheter om vilka det föreskrivs i dataskyddsförordningens kapitel III om den registrerades rättigheter och kapitel VIII om rättsmedel, ansvar och sanktioner. Om den registrerade anser att behandlingen av personuppgifter som avser henne eller honom strider mot lagen, har den registrerade enligt artikel 77 i dataskyddsförordningen t.ex. rätt att lämna in ett klagomål till en tillsynsmyndighet. Den registrerade har även med stöd av förvaltningslagen rätt att anhängiggöra ett krav på att sådan behandling av personuppgifter som strider mot lagen ska avslutas. I det sist nämnda fallet ska den personuppgiftsansvarige avgöra ärendet enligt förfarandebestämmelserna i förvaltningslagen.
7 kap. Särskilda bestämmelser
51 §. Elektroniska identifikationsuppgifter som grundar sig på fysiska egenskaper. Paragrafen motsvarar till sakinnehållet 16 § i den gällande lagen. För att identifiera en person och säkerställa att ett dokument är äkta har Gränsbevakningsväsendet enligt paragrafens 1 mom. rätt att ta emot till resedokument fogade elektroniska identifikationsuppgifter som grundar sig på en persons fysiska egenskaper, om inte något annat föreskrivs.
Enligt paragrafens 2 mom. har Gränsbevakningsväsendet rätt att jämföra identifikationsuppgiften i ett dokument med personen i fråga. Om inte något annat föreskrivs, får elektroniska identifikationsuppgifter dock inte registreras. Paragrafen ska inte innehålla bestämmelsen i 16 § i den gällande lagen om att dataskyddet särskilt ska beaktas vid behandling av elektroniska identifikationsuppgifter som grundar sig på en persons fysiska egenskaper. Närmare bestämmelser om dataskyddet för särskilda kategorier av personuppgifter finns i dataskyddsförordningen och dataskyddslagen avseende brottmål.
52 §. Ikraftträdande. Det föreslås att lagen ska träda i kraft så snart som möjligt. Genom lagen upphävs lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005) av den 15 juli 2005. I 3 mom. ingår en övergångsbestämmelse som gäller raderingstider för personuppgifter. På radering av personuppgifter som avses i denna lag får de bestämmelser som gällde vid ikraftträdandet av denna lag tillämpas i fyra år från ikraftträdandet av lagen.
Under den nämnda tiden på fyra år tillämpas dock på radering av personuppgifter som avses i 6 och 7 § vad som föreskrivs i 61 § 3 mom. i polisens nya personuppgiftslag om radering av sådana personuppgifter som avses i 5 och 6 § i den lagen. En övergångstid krävs i synnerhet med tanke på radering av de personuppgifter som avses i 6 och 7 § samt uppgifterna i de personregister som inrättats i enlighet med 4 § i den gällande lagen. I den gällande lagen hänvisas i fråga om radering av personuppgifter som avses i 6 och 7 § till lagen om behandling av personuppgifter i polisens verksamhet, eftersom uppgifterna i fråga i huvudsak finns i det informationssystem som tekniskt underhålls av polisen. Av denna orsak ska det i övergångsbestämmelsen beaktas vad som föreskrivs i den nya lagen om behandling av personuppgifter i polisens verksamhet i fråga om raderingen av motsvarande personuppgifter som polisen behandlar.