1.1
Lagen om behandling av personuppgifter inom Tullen
1 kap. Allmänna bestämmelser
1 §.Tillämpningsområde. I paragrafen föreslås bestämmelser om lagens tillämpningsområde. Lagen tillämpas på behandling av personuppgifter som behövs för skötseln av de övervakningsuppdrag som i lag föreskrivs för Tullen och för att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning om behandlingen är helt eller delvis automatisk, eller personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. Dessutom föreskrivs det i lagen om den registrerades rättigheter, om Tullens rätt att få personuppgifter och andra uppgifter som behövs för skötseln av de uppdrag som i lag föreskrivs för Tullen samt om rätten att lämna ut personuppgifter och andra uppgifter.
Lagens huvudsakliga tillämpningsområde, dvs. behandling av personuppgifter, begränsas utifrån ändamålet med behandlingen av personuppgifterna. I fråga om behandling av personuppgifter omfattar lagen alltså inte behandlingen av personuppgifter i Tullens samtliga uppgifter. På den behandling av personuppgifter som står utanför tillämpningsområdet tillämpas dataskyddslagen och EU:s dataskyddsförordning. I den andra meningen i paragrafen föreskrivs att lagen ska tillämpas i större utsträckning än det tillämpningsområde som föreskrivs i första meningen, dvs. på registrerades rättigheter i fråga om Tullens samtliga uppgifter samt på Tullens rätt att få och lämna ut personuppgifter och andra uppgifter.
2 §. Förhållande till annan lagstiftning. I 1 och 2 mom. preciseras hur allmänt tillämpliga bestämmelser om behandling av personuppgifter tillämpas på sådan behandling av personuppgifter som avses i lagförslaget och på vilket sätt den behandling av personuppgifter som ingår i tillämpningsområdet för lagförslaget fördelas i förhållande till tillämpningsområdet för dessa allmänna bestämmelser.
I nuläget tillämpas personuppgiftslagen som allmän lag på Tullens behandling av personuppgifter. Genomförandet av EU:s dataskyddspaket spjälkar dock upp författningsgrunden så att samma rättsakt inte längre kan tillämpas på all behandling av personuppgifter. Dataskyddsförordningen tillämpas som allmän lag på en del av Tullens personuppgiftsbehandling och kompletteras av den nationella dataskyddslagen (RP 9/2018 rd). På den största delen av den behandling av personuppgifter som regleras genom lagförslaget tillämpas dock som allmän lag lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (RP 31/2018 rd, nedan dataskyddslagen avseende brottmål), genom vilken dataskyddsdirektivet genomförs. Den föreslagna lagen om behandling av personuppgifter inom Tullen är en speciallag som kompletterar de allmänna författningarna.
Dataskyddslagen avseende brottmål ska tillämpas vid sådan behandling av personuppgifter som utförs av de behöriga myndigheter (t.ex. Tullen) som anges i 1 § 1 mom. i lagen när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åtalsprövning och annan åklagarverksamhet som har samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med verksamhet som avses i 1 mom. 1—4 punkten.
Av bestämmelserna i 2 kap. i lagförslaget hör till tillämpningsområdet för dataskyddslagen avseende brottmål de ändamål med behandlingen av personuppgifter som anges i 5—8 och 11 § samt den behandling av uppgifter om informationskällor som avses i 9 § och behandling av personuppgifter som fåtts vid teknisk övervakning i 12 § när behandlingen är inriktad på de ändamål med behandlingen som föreskrivs i 5—8 §.
Utanför tillämpningsområdet för dataskyddsförordningen och dataskyddsdirektivet har avgränsats behandling av personuppgifter i samband med sådan verksamhet som inte hör till tillämpningsområdet för unionsrätten. Utanför unionsrätten står bland annat behandling av personuppgifter i samband med uppgifter i anknytning till säkerställande av den nationella säkerheten.
Paragrafens 1 mom. 2 punkten innehåller en hänvisningsbestämmelse till offentlighetslagen. Enligt skäl 16 till dataskyddsdirektivet påverkar direktivet inte tillämpningen av principen om allmänhetens rätt att få tillgång till allmänna handlingar. Enligt artikel 86 i dataskyddsförordningen får personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter. Då uppgifter lämnas ut ur myndigheters personregister måste offentlighetsprincipen och sekretessbestämmelserna beaktas på det sätt som anges i offentlighetslagen, i synnerhet i 16 § 3 mom.
Bestämmelser om tystnadsplikt och tystnadsrätt för Tullens personal finns förutom i offentlighetslagen också i 4 kap. i lagen om brottsbekämpning inom Tullen. Bestämmelserna i 4 kap. i lagen om brottsbekämpning inom Tullen ska också i fortsättningen tillämpas på utlämnande av enskilda personuppgifter ur Tullens personregister. I förslaget till lag om behandling av personuppgifter inom Tullen finns bestämmelser om utlämnande av uppgifter med hjälp av en teknisk anslutning eller som en datamängd samt de bestämmelser om utlämnande av personuppgifter till utlandet som behövs för att komplettera den allmänna lagstiftningen.
Också i artikel 15 i tullkodexen (rådets förordning (EEG) nr 2913/92) föreskrivs det om tystnadsplikt och utlämnande av personuppgifter. Enligt den ska alla upplysningar som är av konfidentiell natur eller som överlämnas på konfidentiell grund omfattas av kravet på tystnadsplikt. De skall inte yppas av tullmyndigheterna utan uttryckligt tillstånd av den person eller den myndighet som överlämnat dem. Utlämnande av upplysningar skall vara tillåtet om tullmyndigheterna är tvungna eller bemyndigade att göra detta enligt gällande bestämmelser, särskilt beträffande dataskydd eller i samband med rättsliga förfaranden.
Enligt skäl 12 till direktivet får medlemsstaterna åt behöriga myndigheter anförtro andra uppgifter som inte nödvändigtvis utförs för att förebygga, förhindra, utreda, avslöja eller lagföra brott, inklusive att skydda mot och förebygga hot mot den allmänna säkerheten. Behandlingen av personuppgifter för dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas således av tillämpningsområdet för dataskyddsförordningen.
Paragrafens 2 mom. innehåller en hänvisning till dataskyddsförordningen, som är direkt tillämplig lagstiftning för Tullen. När det gäller de uppgifter som föreskrivs för Tullen i lag, behandlas personuppgifter för att den personuppgiftsansvarige ska kunna uppfylla en i lag föreskriven skyldighet, vilket gör det möjligt att precisera och komplettera dataskyddsförordningen genom nationell lagstiftning. Det nationella handlingsutrymme som dataskyddsförordningen gör möjligt kan utöver för den föreslagna dataskyddslagen (RP 9/2018 rd) också användas för speciallagstiftning. Lagstiftning om personuppgiftsbehandling som gäller Tullens uppgifter och som hör till tillämpningsområdet för dataskyddsförordningen utgörs i fortsättningen av dataskyddsförordningen, den allmänna dataskyddslagen som kompletterar den, den föreslagna lagen om behandling av personuppgifter inom Tullen och övrig speciallagstiftning som gäller Tullen och som innehåller bestämmelser som utgör rättslig grund för personuppgiftsbehandling.
Av de föreslagna bestämmelserna i 2 kap. i lagförslag 1 hör till dataskyddsförordningens tillämpningsområde de ändamål med behandlingen som föreskrivs i 10 § samt den behandling av uppgifter om informationskällor som avses i 9 § när behandlingen är inriktad på de ändamål som föreskrivs i 11 §. Utöver preciseringarna i fråga om behandlingsändamål, kategorier av personer och typen av uppgifter i 11 § ingår i lagförslaget också andra särskilda bestämmelser som avses i artikel 6, genom vilka tillämpningen av bestämmelserna i dataskyddsförordningen anpassas. Dessa bestämmelser gäller behandling av personuppgifter för andra ändamål än det ursprungliga, utlämnande av uppgifter, lagringstid, tillgodoseende av den registrerades rättigheter och inskränkningar i den registrerades rättigheter.
Den allmänna författningen som ska tillämpas vid behandling av personuppgifter för ett annat ändamål än det ursprungliga (13 § i lagförslaget) bestäms utifrån för vilket ändamål som avviker från det ursprungliga ändamålet med behandlingen av personuppgifter man har för avsikt att behandla personuppgifterna. Behandling av personuppgifter för andra ändamål än det ursprungliga omfattas av tillämpningsområdet för dataskyddsdirektivets genomförandelagstiftning när det är fråga om de ändamål som föreskrivs i 1 § i dataskyddslagen avseende brottmål.
I 3 mom. finns ett informativt konstaterande enligt vilket bestämmelser om Tullens informationsinhämtning och befogenheter i anknytning till den utfärdas särskilt. Om Tullens befogenheter att inhämta den information som behövs för att förhindra och avslöja brott föreskrivs det i lagen om brottsbekämpning inom Tullen och om befogenheterna att inhämta den information som behövs för att utreda brott i tvångsmedelslagen (806/2011) och förundersökningslagen (805/2011). Reglering om Tullens befogenheter ingår även i annan speciallagstiftning som gäller Tullen uppgifter. Tullen får dessutom personuppgifter i samband med sina uppgifter på sätt som inte kräver några särskilda befogenheter, som vid observationer i samband med fältverksamhet och sådan observation i det allmänna datanätet som inte riktas mot någon viss person.
Lagförslagets 3 kap. innehåller också bestämmelser om Tullens rätt att få information. Dessa bestämmelser i 3 kap. preciserar rätten att få information enligt 2 kap. i lagen om brottsbekämpning inom Tullen till de delar det gäller att få uppgifter via en teknisk anslutning eller som en datamängd och kompletterar dem till den del det gäller Tullens övriga uppgifter.
3 §.Definitioner. I lagen används begrepp som allmänt används i tullverksamheten samt dessutom centrala begrepp inom det internationella informationsutbytet. I paragrafen definieras begreppen tullbrott och skattekontroll, som också definieras i tullagen. Dessutom definieras författningsgrunden för Schengens informationssystem, Schengens informationssystem och Europolförordningen. På behandling av personuppgifter i enlighet med lagförslaget tillämpas till övriga delar definitionerna i dataskyddslagen avseende brottmål och dataskyddsförordningen.
2 kap. Behandling av personuppgifter
I lagens 2 kap. preciseras de ändamål för vilka Tullen för att utföra sina uppgifter i enlighet med lagens tillämpningsområde får behandla personuppgifter samt det tillåtna datainnehållet för respektive behandlingsändamål. Bestämmelserna om det uppgiftsinnehåll som får behandlas innehåller inte motsvarande detaljerade förteckningar som bestämmelserna om Tullens riksomfattande informationssystem i den gällande lagen om behandling av personuppgifter i polisens verksamhet, utan i bestämmelserna föreskrivs om de uppgiftskategorier som får behandlas. Uppgiftskategoriernas innehåll definieras närmare på basis av ändamålet med behandlingen. Lagstiftningstekniken blir till denna del flexiblare än för närvarande. Bestämmelserna om ändamålen med behandlingen och det tillåtna uppgiftsinnehållet ska alltid tillämpas som en helhet och bestämmelserna gör det inte möjligt att behandla uppgifter som är obehövliga med tanke på ändamålet.
Bestämmelserna i 11 § om behandling av överskottsinformation som erhållits med hemliga metoder för inhämtande av information och i 12 § om behandling av uppgifter som inte hänför sig till ett visst uppdrag i den gällande lagen om behandling av personuppgifter inom Tullen slopas som onödiga i och med ändringen av regleringstekniken. De uppgifter som avses i de nämnda paragraferna får behandlas då de förutsättningar för behandling som anges i det föreslagna 2 kap., i lagen om brottsbekämpning inom Tullen och i tvångsmedelslagen är uppfyllda. På motsvarande sätt slopas regleringen av Tullens övriga personregister i 7 § i den gällande lagen som obehövlig. Bestämmelserna i 9 § i den gällande lagen om behandling av känsliga uppgifter ersätts med de för ändamålen med behandlingen specifika bestämmelser om datainnehållet i vilka ingår villkoren för behandling av personuppgifter som hör till särskilda kategorier av personuppgifter.
Det föreslagna 2 kap. innehåller också bestämmelser om behandling av personuppgifter för andra ändamål än det ursprungliga (13 §). Med de här bestämmelserna ersätts bestämmelserna om användning av uppgifter för andra ändamål än dem som uppgifterna har samlats in och registrerats för i 16 § i den gällande lagen.
4 §.Behandling av grundläggande personuppgifter. I paragrafen ingår en detaljerad förteckning över grundläggande personuppgifter som till behövliga delar får behandlas för de ändamål som föreskrivs i 5, 7 och 9—12 §. Förteckningen över grundläggande uppgifter tillämpas på alla ursprungliga ändamål med behandling av personuppgifter enligt 2 kap.
De grundläggande uppgifterna enligt förteckningen motsvarar till innehållet huvudsakligen de uppgifter om identitet som får registreras enligt informationssystemet för brottsbekämpning, underrättelseregistret och informationssystemet för tullövervakning i 3—5 § i den gällande lagen. Förteckningen ska enligt förslaget utökas med följande nya punkter: kontaktspråk, fordons registerbeteckning samt intressebevakning, försättande i konkurs och meddelande om näringsförbud. Uppgifter om intressebevakning är som grundläggande uppgift behövlig, eftersom det när Tullen utför förundersökning av tullbrott kan uppstå situationer där till exempel en parts talan i enlighet med 2 kap. 4 § i förundersökningslagen förs av dennes intressebevakare. Uppgifter om försättande i konkurs eller meddelande om näringsförbud behövs till exempel eftersom bland annat Tullen i enlighet med 21 a § 3 mom. i lagen om näringsförbud (1059/1985) i sin verksamhet ska uppmärksamma efterlevnaden av näringsförbud. Utöver dessa får Tullen som grundläggande uppgift behandla fordons registerbeteckning, som är behövlig information för Tullens övervakningsuppgift och den anslutande tullbrottsbekämpningen i fråga om utlandstrafiken. De grundläggande uppgifter som avses i paragrafen får behandlas för alla ändamål med behandlingen som avses i 5, 7 och 9—12 §.
I 5—11 § om det ursprungliga ändamålet med behandlingen av personuppgifter föreskrivs närmare kriterier för behandling av såväl grundläggande uppgifter som av övriga behövliga personuppgifter.
5 §.Behandling av personuppgifter inom undersökningsuppdrag. I paragrafen avses behandling i enlighet med dataskyddslagen avseende brottmål av personuppgifter för utredning av tullbrott eller för att föra brott till åtalsprövning. I 1 mom. preciseras de syften för vilka Tullen får behandla personuppgifter som är behövliga för att utföra undersökningsuppgifter. Bestämmelsen omfattar all möjlig utredning som Tullen utför inom brottsbekämpning, inklusive utredning som föregår förundersökning. Även teknisk undersökning som ingår i förundersökning hör till tillämpningsområdet för bestämmelsen. Bestämmelsen ersätter bestämmelserna i den gällande lagen, enligt vilka uppgifter om den som är misstänkt för brott eller den som är föremål för förundersökning, Tullens åtgärder eller tvångsmedel och den som gjort anmälan, den som uppträder som vittne eller målsägande eller den som har något annat samband med ett ärende får registreras i informationssystemet för brottsbekämpning.
Paragrafen ersätter också i 7 § i den gällande lagen avsedda temporära register inrättade för brottsanalys som behövs för att utreda ett brott eller en brottshelhet. Bestämmelsen kompletteras av bestämmelserna om behandling av personuppgifter för annat ändamål än det ursprungliga i 13 §, enligt vilka uppgifter som samlats in för behandling för andra ändamål med behandlingen i enlighet med 2 kap. får utnyttjas för ändamål som avses i 5 §. Bestämmelserna om temporära analysregister som inrättats för att förhindra eller avslöja ett brott eller en brottshelhet i 7 § i den gällande lagen ingår i fortsättningen i de föreslagna 7 och 8 §.
I 2 mom. preciseras de persongrupper om vilka uppgifter får behandlas för de ändamål som anges i 1 mom. Med avvikelse från 2 § i den gällande lagen beaktas personer under 15 år som misstänks för brott särskilt. Dessutom nämns personer som har direkt anknytning till Tullens förundersökningar som en egen kategori i förteckningen.
I 3 mom. finns en ny bestämmelse. Den föreslagna bestämmelsen om bedömning av huruvida uppgifterna är av betydelse är knuten till en regleringsteknik baserad på ändamålet med behandlingen av uppgifterna, som ersätter den registerbaserade regleringen i den gällande lagen om behandling av personuppgifter inom Tullen. I lagen om behandling av personuppgifter inom Tullen föreskrivs i fortsättningen om all behandling av personuppgifter som omfattas av lagens tillämpningsområde för utförande av Tullens uppgifter i stället för att det endast föreskrivs om registrering av uppgifterna i informationssystem som nämns i lagen och om användning av uppgifterna i de namngivna registren.
Enligt momentet får Tullen behandla sådana personuppgifter som en tullman inom tullbrottsbekämpningen inhämtat eller erhållit i enlighet med lagen om brottsbekämpning inom Tullen också för att bedöma om uppgifterna är av betydelse med tanke på det ändamål med behandlingen som avses i 1 mom. Enligt 1 kap. 2 § 6 punkten i lagen om brottsbekämpning inom Tullen avses med en tullman inom brottsbekämpningen tullmän som tjänstgör inom Tullens brottsbekämpning och andra tullmän när dessa utför tullbrottsbekämpningsuppgifter.
I momentet är det fråga om behandling av personuppgifter i fall där Tullen fått dem i samband med brottsbekämpningsuppdrag där personuppgifterna inte direkt har samband med det aktuella, enskilda uppdraget. Ett syfte med bestämmelsen är att klargöra nuläget i de fall där personuppgifter som Tullen fått i samband med utförda uppgifter ska behandlas med hjälp av automatisk databehandling för bedömning av deras innehåll och betydelse.
Enligt skäl 18 till dataskyddsdirektivet bör skyddet för fysiska personer vara teknikneutralt och inte vara beroende av den teknik som används för att förhindra att det uppstår en allvarlig risk för att reglerna kringgås. Skyddet av fysiska personer ska också gälla automatisk databehandling av personuppgifter samt sådan manuell behandling av personuppgifter som utgör en del av ett register eller som är avsedda att utgöra en del av ett register.
Utöver bestämmelserna om automatisk behandling av personuppgifter i fråga om registrering, användning och utlämnande av personuppgifter i den gällande lagen om behandling av personuppgifter inom Tullen regleras även de åtgärder som utförs innan uppgifter registreras i Tullens informationssystem. Den gällande lagen om behandling av personuppgifter inom Tullen innehåller inte bestämmelser som gäller detta skede av personuppgiftsbehandlingen, varför till exempel den maximala bevaringstiden för personuppgifterna avgörs från fall till fall av den personuppgiftsansvarige. Bestämmelsen om bedömning av huruvida uppgifterna är av betydelse för med sig att behovsbedömningen blir en del av tillämpningsområdet för lagen om behandling av personuppgifter inom Tullen. Samtidigt föreslås en enhetlig bevaringstid på sex månader för personuppgifter som behandlas för bedömning av deras betydelse. Den maximala bevaringstiden på sex månader för information från teknisk övervakning bestäms utifrån den ursprungliga registreringstidpunkten för uppgifterna så att uppgifterna ska raderas senast sex månader efter den ursprungliga tidpunkten när de samlades in.
Förutom att klarlägga nuläget innebär 3 mom. också en utvidgning av Tullens nuvarande behandling av personuppgifter. Bestämmelsen möjliggör med avvikelse från den gällande lagen att personuppgifterna registreras i ett särskilt personregister för utredning av om villkoren i 5 och 6 § uppfylls för behandlingen av uppgifterna. Personuppgifter får inte behandlas för undersökningsändamål om det är oklart om kriterierna för behandling av personuppgifter enligt 5 och 6 § uppfylls. Personuppgifter som fåtts i samband med Tullens brottsbekämpningsuppdrag får dock behandlas under högst sex månader för bedömning av om de kan ha betydelse med tanke på de ändamål som föreskrivs i 5 §. Personuppgifter som är uppenbart betydelselösa med tanke på Tullens utredningsuppgifter ska raderas omedelbart och får inte registreras eller behandlas på annat sätt med stöd av 3 mom.
Tullens verksamhetsbetingelser förändras hela tiden. De sätt på vilka Tullen traditionellt har bedömt om uppgifter har betydelse erbjuder inte tillräckliga möjligheter till behandling av de uppgifter som behövs för brottsanalyser i den nuvarande digitala verksamhetsmiljön. För att analysverksamheten ska kunna utvecklas systematiskt krävs en möjlighet att med hjälp av modern teknik bedöma om uppgifterna är av betydelse. De uppgifter som behandlas med stöd av momentet kan också vara bildmaterial eller text från offentliga källor, till exempel från internet och myndigheternas offentliga register, där det kan ingå också stora mängder information om personer vilkas betydelse är oklar i registreringsögonblicket.
Uppgifter får med stöd av 3 mom. också jämföras med personuppgifter som redan registrerats i Tullens egna informationssystem samt i system i sambruk inom brottsbekämpningen för att klargöra om kriterierna för behandling av uppgifterna enligt 5 och 6 § uppfylls. En förutsättning för behandlingen är emellertid att uppgifterna har inhämtats eller annars fåtts i samband med Tullens brottsbekämpningsuppdrag med stöd av befogenheter någon annanstans i lag. Tullen får därför inte med stöd av 3 mom. inhämta sådana uppgifter som den inte skulle ha tillgång till med stöd av befogenheter någon annanstans i lag att inhämta information.
Dataskyddslagstiftningen förutsätter att personuppgifter inte behandlas i onödan. I 3 mom. föreskrivs det att behövligheten gällande uppgifter som fåtts i samband med utförandet av brottsbekämpningsuppdrag får bedömas för att säkerställa att uppgifterna är av betydelse innan de behandlas under en längre tid. I momentets sista mening betonas kravet i 6 § i dataskyddslagen avseende brottmål enligt vilket obehövliga uppgifter ska utplånas utan obefogat dröjsmål. Kravet kompletteras av den tidsgräns på sex månader inom vilken bedömningen av om personuppgifterna är betydelsefulla ska ske.
Åtkomsten till de personuppgifter som avses i momentet begränsas i enlighet med kraven i den allmänna lagstiftningen via Tullens förvaltning av användarrättigheter till endast dem vars arbetsuppgifter innefattar sådan bedömning av uppgifternas betydelse som avses i bestämmelserna. Behandlingen av uppgifter ska liksom andra behandlingsändamål omfattas av de skyldigheter som gäller styrningen av behandlingen, tillsynen och skyddet av personuppgifter. Behandlingen omfattas också av alla de skyldigheter som ålagts den personuppgiftsansvarige i lagen, till exempel skyldigheten att sörja för dataskyddet för uppgifter som hör till särskilda kategorier av personuppgifter till de delar som det behandlade materialet innehåller sådana uppgifter. Den personuppgiftsansvarige ska också bevara logguppgifterna om behandlingen i enlighet med kraven i 19 § i dataskyddslagen avseende brottmål. De logguppgifter som gäller läsning och utlämnande ska göra det möjligt att utreda grund, datum och tidpunkt för läsning och utlämnande och i möjligaste mån vem som har läst eller lämnat ut personuppgifterna samt mottagarnas identitet. Logguppgifterna får användas för att kontrollera om behandlingen är lagenlig, för intern kontroll, för att säkerställa personuppgifternas integritet och säkerhet samt inom ramen för straffrättsliga förfaranden.
Den personuppgiftsansvarige ska i enlighet med kraven i 8 § i dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas.
6 §. Innehållet i personuppgifter som behandlas inom undersökningsuppdrag. I paragrafen preciseras de personuppgifter som utöver de grundläggande personuppgifter som avses i 4 § får behandlas för de ändamål som föreskrivs i 5 §. Till innehållet motsvarar uppgifterna i huvudsak de uppgifter som enligt 3 § i den gällande lagen om behandling av personuppgifter inom Tullen får registreras informationssystemet för brottsbekämpning samt de uppgifter om efterlysningar av personer, fordon och egendom, den säkerhetsinformation och de signalementsuppgifter som Tullen registrerar för polisens registerföring i enlighet med 2 § och 14 § 1 mom. 2 punkten i den gällande lagen om behandling av personuppgifter i polisens verksamhet.
Enligt 1 punkten får behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Tullens uppgifter, åtgärder och händelser behandlas. Med en händelse avses en helhet av ärenden som ingår i Tullens i lag föreskrivna uppgiftsområde och på vilken kan följa myndighetsförpliktelser, såsom utredningsskyldighet (t.ex. göra en hotbedömning i anknytning till ett hot) eller skyldighet att vidta en åtgärd (t.ex. skyldighet att utföra förundersökning). En händelse kan också uppkomma till följd av Tullens verksamhet på eget initiativ (t.ex. övervakningstillfällen och övervakningsplaner i anknytning till dem). Med uppgift avses en prestation i anslutning till en händelse som anknyter till Tullens i lag föreskrivna uppgiftsområde (t.ex. ett övervakningsuppdrag eller förundersökning). Till samma händelse kan hänföra sig flera uppgifter. En åtgärd är en del av en uppgift och den är riktad mot ett visst objekt, till exempel en fysisk person, en juridisk person, ett föremål, ett ämne eller egendom. Till en viss uppgift kan det höra flera olika åtgärder och olika nivåer av utövande av offentlig makt, såsom tvångsmedel riktade mot en person (gripande, anhållande, reseförbud och häktning) eller efterlysning av personer, fordon och egendom.
Sådana behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Tullens uppgifter, åtgärder och händelser som avses i 1 punkten inbegriper särskilt 1) uppgifter om en anmälan om brott eller en anmälan om någon annan händelse, 2) uppgifter om övervakningsuppgifter, 3) uppgifter om tvångsmedel, en tullmans åtgärder och olika faser i förundersökningen, 4) uppgifter som beskriver klassificeringen av gärningsmannen, händelsen eller gärningen samt uppgifter som behövs för sammanlänkning och teknisk undersökning av brott, 5) uppgifter om tillvägagångssätt och metoder som har använts eller kan användas vid förberedelse till brott eller vid brott, 6) uppgifter om de myndigheter som behandlar ett ärende och de identifieringsuppgifter för ett ärende som dessa använder samt 7) uppgifter om ett brott som fåtts av eller genom en person, och vid behov deras koppling till andra personer. Tullen får med stöd av 1 punkten även behandla uppgifter om den rätta identiteten för en person som har missbrukat identitet och för den vars identitet har missbrukats.
Sådana signalementsuppgifter som behövs för fastställande av identiteten som avses i 2 punkten och som registreras i informationssystemet för polisärenden inbegriper 1) uppgifter om efterlysningar av personer, dvs. fotografier, fingeravtryck och särskilda oföränderliga fysiska kännetecken, för att påträffa bland annat personer som är efterlysta eller som har meddelats nationellt inreseförbud och 2) signalementsuppgifter såsom fotografier, finger-, hand- och fotavtryck samt handstils-, röst- och luktprov samt DNA-profiler för att identifiera personer som misstänks för brott, utreda brott och registrera gärningsmän. Avsikten är inte att genom propositionen ändra på nuläget när det gäller ansvaret för registerföringen. Bestämmelser om Tullens befogenheter att samla in de uppgifter som avses i punkten finns annanstans i lag, t.ex. i tullagen, tvångsmedelslagen och lagen om brottsbekämpning inom Tullen. Bestämmelserna berättigar därmed inte till behandling av uppgifterna i större omfattning än befogenhetsregleringen medger.
Behandlingen av sådana biometriska och genetiska uppgifter som gäller särskilda kategorier av personuppgifter och som avses i 11 § i dataskyddslagen avseende brottmål begränsas på det sätt som krävs enligt dataskyddsdirektivet och dataskyddslagen avseende brottmål endast till behandling av nödvändiga uppgifter. Med biometriska uppgifter avses på motsvarande sätt som i artikel 3.13 i dataskyddsdirektivet och 3 § 13 punkten i dataskyddslagen avseende brottmål personuppgifter som tagits fram genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter. Således hör till exempel ansiktsbilder till de biometriska uppgifterna endast när de tagits fram genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken.
Till de uppgifter som avses i 2 punkten hör också identifieringsuppgifter för utlänningar, i vilka ingår fingeravtryck, fotografier och andra signalement i enlighet med 131 § i utlänningslagen (301/2004). Identifieringsuppgifter ska liksom nu få behandlas vid utförandet av de uppgifter som föreskrivs för Tullen i 31 § i tullagen, dvs. en tullman har rätt att genomföra in- eller utresekontroller med de befogenheter som föreskrivs för gränsbevakare i 28, 28 a och 36 § (samt 38 §) i gränsbevakningslagen (578/2005). Dessutom får Tullen använda bilder och ljud som genererats vid teknisk övervakning vid ett gränsövergångsställe enligt vad som föreskrivs om detta i fråga om Gränsbevakningsväsendet i 31 § i gränsbevakningslagen. Identifieringsuppgifterna får behandlas endast i fråga om de personkategorier som avses i 131 § i utlänningslagen.
I 3 punkten finns bestämmelser om behandling av s.k. säkerhetsinformation. Punkten förblir oförändrad i fråga om sakinnehållet, men de säkerhetsuppgifter som Tullen behandlar överförs från polisens registerföring till Tullens registerföring. Uppgifter som hör till särskilda kategorier av personuppgifter får behandlas endast när det är nödvändigt med tanke på ändamålet med behandlingen. Exempelvis är behandling av uppgifter om en persons hälsa nödvändigt för att trygga säkerheten för målpersonen vid utförandet av en undersökningsuppgift bland annat då det finns misstanke om smuggling av narkotika i tarmen. Inom ramen för säkerhetsinformation får Tullen dessutom behandla även sådana uppgifter om ett objekts eller en persons farlighet eller oberäknelighet som inte hör till de särskilda kategorierna av personuppgifter, liksom uppgifter som beskriver eller vars syfte är att beskriva en brottslig gärning, ett straff eller någon annan påföljd för ett brott.
I 4 punkten beaktas separat identifieringsuppgift om avgörande av åklagare eller domstol och uppgift om någon har dömts till straff, om det fattats beslut om åtalseftergift eller domseftergift, om ett åtal förkastats, lämnats därhän eller avskrivits samt uppgift om ett avgörandes laga kraft. Punkten ersätter 3 § 3 mom. 1 punkten underpunkt a i den gällande lagen.
I den föreslagna 11 § i dataskyddslagen avseende brottmål föreskrivs i enlighet med kraven i dataskyddsdirektivet om en högre behandlingströskel för personuppgifter som hör till särskilda kategorier av personuppgifter. Uppgifter som hör till särskilda kategorier av personuppgifter och som ingår i de uppgifter som avses i 1—4 punkten får behandlas endast om det är nödvändigt med tanke på ändamålet med behandlingen. Uppgifter som hör till särskilda kategorier av personuppgifter ingår utöver i signalementsuppgifter som behövs för fastställande av identitet i 2 punkten särskilt i de säkerhetsuppgifter som avses i 3 punkten.
7 §.Behandling av personuppgifter för förebyggande eller avslöjande av brott. I paragrafen avses behandling i enlighet med dataskyddsdirektivet och dataskyddslagen avseende brottmål av personuppgifter för förebyggande eller avslöjande av brott eller skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med förbyggande eller avslöjande av brott.
Enligt 1 mom. får Tullen behandla personuppgifter som anknyter till utförandet av en uppgift i anknytning till förebyggande eller avslöjande av tullbrott. Genom denna paragraf ersätts bestämmelsen om underrättelseregistret i den gällande lagen. Genom paragrafen ersätts även bestämmelsen om de temporära register för brottsanalys som avses i 7 § i den gällande lagen, som inrättats för att användas av en eller flera av Tullens verksamhetsenheter och vars syfte är att förhindra eller avslöja enskilda brott eller helheter som består av flera brott.
Med förhindrande av tullbrott avses enligt lagen om brottsbekämpning inom Tullen åtgärder som syftar till att förhindra tullbrott, försök till tullbrott och förberedelse till tullbrott, eller till att avbryta ett redan påbörjat tullbrott eller begränsa den direkta skada eller fara som brottet medför. Med avslöjande av tullbrott avses åtgärder som syftar till att klarlägga om det för inledande av förundersökning finns en i 3 kap. 3 § 1 mom. i förundersökningslagen avsedd grund. Med utredning av tullbrott avses förundersökning av tullbrott.
Intresset vid behandlingen av uppgifter som sker för att förebygga eller avslöja brott är underrättelsemässigt. Uppgifter behandlas i syfte att rikta in Tullens brottsförebyggande verksamhet, men även mera allmänt för att upptäcka förändringar i säkerhetsmiljön, med målet att förebygga brott och upprätthålla säkerheten. Det centrala målet med det underrättelsemässiga intresset för uppgifterna är att få en bättre förståelse för att kunna kontrollera de situationsfaktorer som rör säkerhets- och verksamhetsmiljön. Inom underrättelseverksamheten är intresset för uppgifterna främst fokuserat på inriktning av verksamheten, medan motsvarande tyngdpunkt vid undersökningar ligger på uppgifternas straffprocessuella användningssyfte (bevisningssyfte för att trygga enskilda straffprocesser).
För att man ska kunna förutse händelseförlopp, upprätthålla lägesuppfattningen och identifiera svaga signaler och fenomen kräver den nödvändiga analysen att datalager utnyttjas på ett mångsidigt sätt och att information som fås från flera olika källor kopplas samman och bearbetas. De utmaningar som hör samman med verksamhetsmiljön och de ökande datamängderna förutsätter också att behandlingen av uppgifterna automatiseras allt mer bland annat genom utnyttjande av analysprogram. Bestämmelsen kompletteras till denna del av bestämmelsen om behandling av personuppgifter för annat ändamål än det ursprungliga i 13 §, enligt vilken uppgifter som samlats in för andra ändamål med behandlingen i enlighet med 2 kap. får utnyttjas för sådana ändamål med behandlingen som avses i 7 §.
I skäl 27 till direktivet har beaktats att om behöriga myndigheter ska kunna förebygga, förhindra, utreda och lagföra brott är det nödvändigt att de behandlar personuppgifter som insamlats inom ramen för förebyggande, förhindrande, utredning och lagföring av specifika brott i ett bredare sammanhang för att utveckla förståelsen för kriminell verksamhet och göra kopplingar mellan olika upptäckta brott. Vid behandling av personuppgifter med syfte att förebygga eller avslöja brott ska också beaktas principen om ändamålsbegränsning samt de övriga kraven på lagenlighet och proportionalitet som ställs i direktivet och dataskyddslagen avseende brottmål.
I 2 mom. föreskrivs det om de persongrupper vilkas personuppgifter i huvudsak får behandlas för det ändamål med behandlingen som det föreskrivs om i 1 mom. Vid utformningen av den föreslagna paragrafen har uppmärksamhet fästs vid förvaltningsutskottets påpekanden om polisens register över misstänkta. Paragrafens förteckning över persongrupper som får behandlas för de ändamål som avses i paragrafen är uttömmande. Det fastställs särskilda behandlingskriterier för registrering i registret och för annan behandling av personuppgifter som gäller de här persongrupperna. När det gäller andra personer än sådana som antas ha anknytning till egentlig brottslig verksamhet får personuppgifterna behandlas endast när det är nödvändigt för att utföra ett uppdrag.
Den föreslagna 7 § ersätter utöver underrättelseregistret också i 7 § i den gällande lagen avsedda tillfälliga register för brottsanalys, vars syfte är att förhindra eller avslöja ett brott eller en brottshelhet som består av flera brott. I den gällande lagen om behandling av personuppgifter inom Tullen föreskrivs inte om personkategorier vars personuppgifter får registreras i tillfälliga register för brottsanalys. Till denna del förtydligar 2 mom. nuläget och där preciseras de personkategorier som får behandlas för brottsanalys.
I momentet föreslås att behandlingströskeln ska vara knuten till uttrycket ”med fog kan antas”. Uttrycket beskriver en behandlingströskel som är ändamålsenlig med tanke på kriminalunderrättelseverksamheten och som är lägre än tröskeln för att inleda en förundersökning. Med uttrycket ”med fog kan antas ha gjort sig eller göra sig skyldig” hänvisas till en situation där man har fått tips om att ett brott redan har inträffat, men att tröskeln ”skäl att misstänka” för inledande av förundersökning ännu inte har nåtts, dvs. ett brott som planeras och pågår och kriminalunderrättelser inhämtas för att förhindra brottet. I momentet avses personer med en koppling till förmodad brottslig verksamhet, men där alla personers roll i ärendet inte nödvändigtvis är klar.
Till den persongrupp som avses i 1 punkten hör förutom de förmodade gärningsmännen också andra delaktiga enligt den straffrättsliga delaktighetsläran, dvs. medhjälpare, anstiftare och medgärningsmän.
I momentet föreslås en, jämfört med den gällande lagen, ny kompletterande bestämmelse om en personkategori som anknyter till brott som gäller personer som medverkar till eller främjar brott. I 2 punkten föreskrivs om personer som har kontakt med en i 1 punkten avsedd person eller påträffas i dennes sällskap, och kontakten eller sammanträffandena på grund av att de har upprepats, omständigheterna eller personens beteende kan antas ha samband med ett tullbrott. I artikel 6 i dataskyddsdirektivet föreskrivs om åtskillnad mellan olika kategorier av registrerade. I artikel 6 d nämns personer med kontakter eller band till de aktuella personerna. De här personerna ska anknyta till personer avseende vilka det finns tungt vägande skäl att anta att de har begått eller är på väg att begå ett brott eller personer som dömts för brott.
Betydelsen av förhållandet för en person som är i kontakt med en person som är på väg att begå ett brott ska bedömas redan när det vid en brottsanalys upptäcks flera kontakter mellan personerna, av vilka den ena är en person i enlighet med 1 punkten och den andra inte är det. Det kan finnas en naturlig förklaring till att det finns en sådan relation, till exempel ett kundförhållande. I 2 punkten avses personer genom vilka det med tanke på analysen går att få betydelsefulla uppgifter om sådana personer som avses i 1 punkten. I bestämmelsen förutsätts det emellertid att även denna kategori av personer ska ha en koppling till ett förmodat brott, med beaktande av kriminalunderrättelseinhämtningens eventuella konsekvenser för personernas ställning och rättssäkerhet. Därmed är enbart ett antagande eller det faktum att sammanträffandena skett upprepade gånger inte tillräckligt för att överskrida tröskeln för att få registrera uppgifterna i registret.
I 3 punkten avses personer som är föremål för observation i enlighet med 3 kap. 9 § i lagen om brottsbekämpning inom Tullen i fråga om ett uppdrag som gäller att förebygga eller avslöja brott. Med observation avses i enlighet med 3 kap. 9 § 1 mom. i lagen om brottsbekämpning inom Tullen iakttagande av en viss person i hemlighet i syfte att inhämta information. Till i punkten avsedda personer hör sådana personer som är föremål för observation, vars uppgifter det inte är möjligt att behandla med stöd av 1—2 punkten.
I 3 mom. föreskrivs det om sådana kategorier av personer som inte i första hand är personer som är föremål för Tullens kriminalunderrättelseinhämtning. De här persongrupperna utgörs av brottsoffer eller den som uppträder som målsägande och de som anmält ett brott och vittnen till ett brott. Med vittnen avses i detta moment inte nödvändigtvis personer som redan åberopats som vittnen i en straffprocess. För behandlingen av personuppgifter i fråga om dessa kategorier ställs särskilda skyddsgarantier. Behandlingen av personuppgifter som gäller dessa kategorier av personer får inte gå längre än vad som är nödvändigt för att nå målet, t.ex. att förebygga ett brott. I tullbrott är i huvudsak staten målsägande. Andra brottsoffer är i praktiken enbart varumärkesinnehavare, som kan vara fysiska personer, men som i de flesta fall är juridiska personer.
I 4 mom. föreskrivs det om inledande av behandling av personuppgifter i anknytning till en brottsanalys som behövs för förebyggande eller avslöjande av tullbrott. Med brottsanalys avses planmässig och systematisk behandling av information som inhämtats med hjälp av metoder för inhämtande av information eller som fåtts från en annan informationskälla för att upptäcka likheter och olikheter mellan brott eller brottsfenomen i syfte att förutse och förhindra brott i framtiden. En effektiv brottsanalys är en nödvändig förutsättning för planmässig och systematisk brottsbekämpning.
Enligt 7 § i den gällande lagen beslutar Tullens bevakningsavdelning om inrättandet av underrättelseregister och den verksamhetsenhet vid Tullen som ansvarar för verksamheten om inrättandet av temporära analysregister. Enligt propositionen kan ett i 4 mom. avsett beslut fattas av chefen för Tullens brottsbekämpning, som i praktiken är chefen för Tullens bevakningsavdelning, eller av en av denne till uppgiften förordnad chef för en verksamhetsenhet inom Tullens brottsbekämpning. Beslutet ska fattas skriftligt. Om inledande av kriminalunderrättelseinhämtning görs i Tullens personregister en anmälan om underrättelseärende som motsvarar en undersökningsanmälan i brottmål. I den gällande lagen finns inga bestämmelser om inledande av en sådan behandling av personuppgifter i form av en underrättelsepromemoria som inte leder till inrättandet av ett personregister. Till denna del medför bestämmelsen i princip inga ändringar i det gällande rättsläget.
I 5 mom. föreskrivs det om behandlingen av uppgifter om observationer. Bestämmelsen motsvarar i sak 3 § 3 mom. 2 punkten i den gällande lagen. Observationsuppgifter kan omfatta uppgifter om sådant som observerats av tullmän eller som rapporterats till Tullen och som gäller händelser eller personer som utifrån omständigheterna, hot som en person framfört eller en persons beteende i övrigt kan bedömas ha koppling till kriminell verksamhet. Det är fråga om uppgifter som en tullman inhämtar när denne observerar sin omgivning eller uppgifter som en utomstående har lämnat till Tullen. Tullen kan till exempel få anonyma tips om personer som beter sig misstänkt eller om misstänkt verksamhet, som i sig inte nödvändigtvis behöver vara lagstridig. I kombination med andra faktorer eller omständigheter kan uppgifterna om observationerna dock ge signaler om brottslig verksamhet. Genom analys av informationen strävar man efter att förhindra, avslöja och utreda brott och planer som gäller brott samt att identifiera gärningsmännen.
I 6 mom. föreskrivs, på motsvarande sätt som i 5 § 3 mom., om Tullens rätt att behandla personuppgifter för bedömning av om uppgifterna är av betydelse med tanke på ändamålet med behandlingen enligt 7 §.
Bestämmelser om informationssäkerhet finns i 32 § i dataskyddslagen avseende brottmål. Enligt 5 punkten i den paragrafen har den personuppgiftsansvarige skyldighet säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till personuppgifter som omfattas av deras behörighet. Behörigheten till de informationssystem som används av Tullen fastställs på basis av arbetsuppgifterna.
Den personuppgiftsansvarige ska i enlighet med kraven i 8 § i dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas.
8 §.Innehållet i personuppgifter som anknyter till förbyggande eller avslöjande av brott. I 1 mom. preciseras de personuppgifter som utöver de grundläggande personuppgifter som avses i 4 § får behandlas för de ändamål som föreskrivs i 7 §.
Sådana behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Tullens uppgifter, åtgärder och händelser som avses i 1 punkten inbegriper särskilt uppgifter om arbetsuppgifter som gäller underrättelseinhämtning och förebyggande verksamhet, uppgifter om informationsinhämtningsmetoder som använts, uppgifter om Tullens åtgärder och ett ärendes behandlingsfaser, uppgifter om ett brott som fåtts av eller genom en person, och vid behov deras koppling till andra personer. Liknande bestämmelser har, när det gäller förebyggande eller avslöjande verksamhet, tidigare delvis funnits i 4 § i den gällande lagen om behandling av personuppgifter inom Tullen. Bestämmelserna lämnar rum för tolkning, vilket i någon mån har lett till ett otydligt rättsläge. Syftet med punkten är att skapa klarhet i det nuvarande rättsläget. Med tanke på Tullens behov, laglighetsövervakningen och övervakningen av de registrerades rättigheter är det viktigt att händelser beskrivs tillräckligt noggrant och att arbetsuppgifter och åtgärder som ansluter sig till dem specificeras och därför måste man kunna registrera dem på ett entydigt sätt. Genom dokumentering av verksamheten säkerställs både objektets rättsskydd och Tullens förmåga att utföra sina uppgifter. Nertecknad information får också utnyttjas för att rikta verksamheten inom Tullens brottsbekämpning på ett ändamålsenligt sätt i enlighet med den föreslagna 13 § 1 mom. 9 punkten.
Innehållet i 2 punkten är i praktiken omfattande och med stöd av denna punkt får Tullen behandla behövliga uppgifter som gäller en persons verksamhet och beteende. Sådana uppgifter kan gälla exempelvis en persons kontakter, levnadsvanor, ekonomiska situation, fritidsintressen och andra intressen till den del de behövs med tanke på förebyggandet och utredningen av tullbrott.
De signalementsuppgifter som avses i 3 punkten gäller bland annat en persons längd, vikt och ögonfärg. Signalementsuppgifterna innefattar bland annat också tatueringar eller andra yttre signalement, som ärr och födelsemärken. Dessutom innefattar punkten också biometriska uppgifter såsom finger-, hand- och fotavtryck, ansiktsbild, röst-, lukt och handstilsprov samt fysiskt DNA-prov och den digitala eller någon annan DNA-profil som bestämts utifrån provet. Behandlingen av biometriska uppgifter som hör till särskilda kategorier av personuppgifter är begränsad till endast behandling av nödvändiga uppgifter. Med tanke på rättssäkerheten för Tullen och den som ska registreras är det nödvändigt att en tullman på ett tillförlitligt sätt kan säkerställa identiteten för den som ska registreras. Signalementsuppgifter om en person behövs för att det ska gå att identifiera en person på ett tillförlitligt sätt och de kan också vara de enda individualiserings- och identifieringsuppgifterna om en person. Exempelvis är en bild av en person ofta en mera tillförlitlig identifieringsuppgift än det namn som personen använder. Förslaget ändrar inte det gällande rättsläget, utan innefattar närmast de preciseringar som krävs för EU:s reform av referensramen för dataskyddet. Utgångspunkten är att Tullen i enlighet med nuvarande praxis ska registrera signalement, i synnerhet fingeravtryck och DNA-uppgifter, för polisens registerföring också i fortsättningen.
I momentets punkt 4 föreskrivs om behandling av s.k. säkerhetsuppgifter på motsvarande sätt som i den föreslagna 6 § 3 punkten.
I 11 § i dataskyddslagen avseende brottmål föreskrivs i enlighet med kraven i dataskyddsdirektivet om en högre behandlingströskel för personuppgifter som hör till särskilda kategorier av personuppgifter. Uppgifter som hör till särskilda kategorier av personuppgifter och som ingår i de uppgifter som avses i 1—4 punkten får behandlas endast om det är nödvändigt med tanke på ändamålet med behandlingen. Uppgifter som hör till särskilda kategorier av personuppgifter ingår utöver i de signalementsuppgifter som behövs för fastställande av identiteten och som avses i 1 mom. 3 punkten dessutom i synnerhet i de säkerhetsuppgifter som avses i 4 punkten.
I 2 mom. föreskrivs det om skyldigheten att om möjligt foga en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet till personuppgifterna. I praktiken är det fråga om ett etablerat förfarande där Tullen bedömer hur tillförlitliga uppgifterna är. Genom bestämmelsen beaktas kravet i artikel 7.1 i dataskyddsdirektivet på att personuppgifter som grundar sig på fakta så långt det är möjligt ska åtskiljas från personuppgifter som grundar sig på personliga bedömningar. Genom bestämmelsen stöds kravet i artikel 7.2 på att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Tullen ska också i den mån det är praktiskt möjligt kontrollera kvaliteten på personuppgifterna innan dessa lämnas ut eller görs tillgängliga.
9 §.Behandling av uppgifter om informationskällor. I paragrafen föreslås bestämmelser om behandling av uppgifter om informationskällor. I 40 § i lagen om brottsbekämpning inom Tullen föreskrivs det att uppgifter om en informationskälla får registreras i ett personregister. Verksamheten med informationskällor och den styrda användningen av informationskällor skiljer sig emellertid från de flesta av bestämmelserna om informationsinhämtning i 3 kap. i lagen om brottsbekämpning inom Tullen på så sätt att de inhämtade uppgifterna kan vara av betydelse för skötseln av alla typer av uppgifter inom den tullbrottsbekämpning som föreskrivits för Tullen.
Enligt 39 § i lagen om brottsbekämpning inom Tullen avses med användning av informationskällor annat än sporadiskt konfidentiellt mottagande av information av betydelse för skötseln av uppgifter som gäller bekämpning av tullbrott och som föreskrivs för Tullen i lag, av personer som inte hör till tullmyndigheten eller någon annan förundersökningsmyndighet. Enligt 2 mom. i samma paragraf får Tullen be att en för ändamålet godkänd informationskälla som har lämpliga personliga egenskaper och är registrerad och har samtyckt till inhämtandet av information inhämtar information som avses i 1 mom.
I paragrafen klargörs ställningen för de uppgifter som informationskällan lämnat som uppgifter om en informationskälla. Bestämmelsen gör det också möjligt att med tanke på hur informationskällan har använts och tillsynen behandla uppgifter som rör bekräftandet av de behövliga uppgifter som en källa lämnat. Till sådana uppgifter hör till exempel uppgifter i olika system som behandlats för att bekräfta identiteten hos någon som anmälts av källan.
I paragrafen föreslås en hänvisning också till tvångsmedelslagen, där det i 10 kap. 39 § finns bestämmelser om användning av informationskällor för utredning av brott. Ytterligare bestämmelser om registreringen och övervakningen av informationskällor finns i 13 § 2 mom. och 14 § i statsrådets förordning om förundersökning, tvångsmedel och hemligt inhämtande av information (122/2014).
Uppgifter som hör till särskilda kategorier av personuppgifter får behandlas endast när det är nödvändigt med tanke på ändamålet med behandlingen.
10 §.Behandling av personuppgifter vid tullövervakning och skattekontroll. I paragrafen föreskrivs om behandling av personuppgifter vid den tullövervakning och skattekontroll som Tullen ska utföra. Paragrafen motsvarar till sitt innehåll i huvudsak bestämmelserna om informationssystemet för tullövervakning i 5 § i den gällande lagen om behandling av personuppgifter i Tullens verksamhet och avviker från den gällande regleringen på grund av det ändamålsbaserade regleringssättet i denna proposition. Personuppgifter som behandlas vid tullövervakning och skattekontroll omfattas av tillämpningsområdet för dataskyddsförordningen. Behandlingen av uppgifterna uppfyller villkoren enligt artikel 6.2 i dataskyddsförordningen, enligt vilken nationell kompletterande lagstiftning är nödvändig exempelvis i situationer där behandlingen av personuppgifter grundar sig på den personuppgiftsansvariges lagstadgade skyldighet eller där behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller för den personuppgiftsansvariges myndighetsutövning. Dessutom är enligt grundlagsutskottets ställningstagande (GrUU 14/2018 rd) mer detaljerade bestämmelser motiverade i synnerhet vid behandling av personuppgifter av denna art som innebär större risk för fysiska personers rättigheter och friheter samt ytterligare eftersom det kan gälla också känsliga personuppgifter.
Tullövervakning innefattar övervakning av efterlevnaden av alla lagar och bestämmelser vars verkställande Tullen ansvarar för. Typiska tullövervakningsåtgärder är olika kontroller av varor, handlingar, fordon och lager som ofta grundar sig på uppgifter som lämnats till Tullen eller som Tullen redan har. Syftet med den övervakning av förbud och begränsningar som ingår i tullövervakningsuppgifterna är utöver tullbeskattning och tullsäkerhet också att förhindra och avslöja tullbrott. Genom tullövervakningsåtgärder förhindras och avslöjas också tullbrott, trots att det inte sker till exempel med hjälp av kriminalunderrättelseinhämtning utan genom administrativa befogenheter i enlighet med tullagen. Skattekontroll definieras i 3 § 2 punkten i denna lag. Med skattekontroll avses utförande av en övervakningsuppgift som gäller ett visst skatteslag och som särskilt föreskrivits för Tullen. För Tullen har sådana övervakningsuppgifter föreskrivits i fråga om skatter på varor som uppbärs av Skatteförvaltningen.
I 1 mom. föreskrivs att Tullen får behandla sådana personuppgifter som behövs för tullövervakningen och skattekontrollen som gäller anmälningar och annan information som lämnats till Tullen med stöd av lag i enlighet med 1 punkten, som gäller tullövervaknings- och skattekontrollåtgärder som vidtagits och fortsatta åtgärder som framförts på basis av dem. Enligt 2 mom. får utöver vad som föreskrivs i 1 mom. behandlingen omfatta identifieringsuppgifter om en utredningsbegäran eller anmälan om brott som gjorts på basis av en inspektion eller om ett yrkande eller avgörande som avses i lagen om föreläggande av böter och ordningsbot (754/2010) i enlighet med 1 punkten och uppgifter som gäller riktande av tullövervakning och skattekontroll i enlighet med 2 punkten.
Informationssystemet för tullövervakning enligt 5 § i den gällande lagen effektiviserar tullövervakningen och skattekontrollen och säkerställer för sin del att tullar, skatter och avgifter är korrekta, att varors import- och exportrestriktioner iakttas samt att andra tullåtgärder riktas korrekt. Med hjälp av systemet genomförs också den riskanalys som görs med hjälp av elektronisk databehandlingsteknik som avses i artikel 13.2 i EU:s tullkodex och som andra tullkontroller än slumpvisa kontroller enligt unionens tullagstiftning ska baseras på. Systemet har gjort kontrollverksamheten snabbare och mer enhetlig och den har förbättrat utnyttjandet av kontrollresultaten samt Tullens samverkan med andra myndigheter och intressentgrupper.
Med stöd av den föreslagna 10 § behandlas personuppgifter behövliga för att utföra tullövervakning och skattekontroll. Paragrafens 1 mom. 1 punkten motsvarar gällande lag. Med tanke på 1 punkten får Tullen behandla personuppgifter när den tar emot anmälningar och annan information, när den registrerar uppgifterna i systemet och utför riskanalys utifrån de mottagna och registrerade uppgifterna. Med stöd av 1 mom. 1 punkten behandlas uppgifter i anmälningar och meddelanden i Tullens operativa system samt andra uppgifter som fåtts med stöd av lag eller förordning. Som exempel på den sistnämnda gruppen kan nämnas uppgifter som ansluter till granskningsuppdrag i anknytning till Europeiska garantifonden för jordbruket (EUGFJ) samt till import- och exportbegränsningar.
Paragrafens 1 mom. 2 punkt motsvarar bestämmelsen i den gällande lagen. Enligt 2 punkten får Tullen behandla behövliga personuppgifter i anknytning till tullövervaknings- och skattekontrollåtgärder som vidtagits och fortsatta åtgärder som framförts på basis av dem. Det finns en allmän riskanalysfunktion för behandling av uppgifter om uppgifter vid tullövervakning och skattekontroll, genom vilken uppgifter samlas in och analyseras för identifiering av eventuella risker och val av kontrollobjekt. Utifrån resultatet av uppgiftsanalyserna kan riskfaktorer, riskprofiler och riskregler ställas in genom vilka det för manuell behandling görs urval ur de elektroniska anmälningarna och meddelandena. I anknytning till behandlingen av uppgifter enligt 1 mom. 2 punkten kan resultatet av en riskanalys eventuellt utmynna i ett kontrolluppdrag, genom vilket granskningsåtgärder och rapportering styrs, samt i en granskningsrapport om utförd granskning. Granskningsrapporten innehåller närmare uppgifter om de tullåtgärder som vidtagits och fortsatta åtgärder som framförts på basis av dem, till exempel efterbeskattning eller återbäring. Andra fortsatta åtgärder på basis av tullövervakning är till exempel återkrav av stöd, felavgift, återkallande av tillstånd, skaffande av ny handling, upphävande av tulldeklaration, returnering av vara eller överlåtelse till staten för destruktion, anvisningar, användningsförbud eller ny kontroll. Med stöd av 1 mom. 2 punkten behandlas personuppgifter också vid tullkontroller, medräknat kroppsvisitation och kroppsbesiktning. På begäran ska ett intyg utfärdas till den som är föremål för dessa åtgärder. Personuppgifter som behandlas vid tullövervakning och skattekontroll används också vid objektval och inom brottsbekämpningen.
Paragrafens 2 mom. 1 punkt motsvarar bestämmelsen i den gällande lagen. Tullövervakning kan i vissa fall, där man upptäcker överträdelser av bestämmelserna, också leda till framförande av begäran om undersökning, anmälan om brott, böter eller ordningsbot. I dessa fall behöver Tullen behandla identifieringsuppgifterna för dessa åtgärder. Registreringen av framförda eller redan genomförda fortsatta åtgärder är viktig med tanke på utvecklandet av tullövervakningen eftersom det på så sätt är möjligt att utvärdera hur framgångsrikt tullövervakningens val av objekt har varit och om det finns behov av att precisera eller ändra objektvalskriterierna för att förbättra noggrannheten i fråga om objektvalen. Behandlingen av personuppgifter inom tullövervakning och skattekontroll omfattar också arkivering och distribution av kontrollrapporter.
Paragrafens 2 mom. 2 punkt är ny. De i punkten avsedda uppgifterna som gäller riktande av tullövervakning och skattekontroll gäller inte egentliga observationsuppgifter, om vilka det finns en egen bestämmelse i 7 § 4 mom. Genom 2 punkten ges däremot en möjlighet att anteckna till exempel en persons rörelser via oändamålsenliga inreseställen eller andra omständigheter, som är till hjälp vid inriktningen av kontroller på rätt objekt i enlighet med den tillåtna profileringen.
11 §. Behandling av personuppgifter i Tullens övriga lagstadgade uppgifter. I paragrafen föreskrivs om Tullens rätt att behandla i 4 § avsedda personuppgifter för gränskontrolluppgifter, utförande av handräckningsuppdrag samt upprätthållande av ordningen och säkerheten i förvaringslokaler. Den behandling av personuppgifter i Tullens övriga lagstadgade uppgifter som avses i paragrafen omfattas av tillämpningsområdet för dataskyddsförordningen.
Enligt 31 § i tullagen har en tullman rätt att genomföra in- eller utresekontroller med de befogenheter som föreskrivs för gränsbevakare i 28, 28 a, 36 och 38 § i gränsbevakningslagen. Uppgifter om in- eller utresekontroller registreras i enlighet med etablerad praxis i Gränsbevakningsväsendets personregister. Bestämmelser om handräckning finns i 100 § i tullagen och enligt den paragrafen kan Tullen inom ramen för sina befogenheter på begäran ge andra myndigheter handräckning för fullgörande av dessa myndigheters lagstadgade tillsynsskyldighet.
I 2 kap. 12 § i lagen om brottsbekämpning inom Tullen föreskrivs det om bemötande av personer som berövats sin frihet och som hålls i förvar hos Tullen. Enligt paragrafen ska, med de undantag som föreskrivs i 3 mom., lagen om behandling av personer i förvar hos polisen (841/2006) och häktningslagen (768/2005) iakttas i fråga om bemötandet av anhållna och gripna som hålls i förvar hos Tullen. Tullen har också fastställt ordningsstadgor för de förvaringslokaler som myndigheten administrerar. I paragrafen föreskrivs det också om behandling av personuppgifter i anknytning till dessa lagstadgade uppgifter för Tullen som gäller upprätthållande av ordningen och säkerheten i förvaringslokaler.
I detta lagförslag finns inte särskilda raderingsbestämmelser som gäller behandlingen av personuppgifter i Tullens övriga lagstadgade uppgifter. Uppgifter om personer som direkt anknyter till handräckningsuppgifter raderas med stöd av 26 § i detta lagförslag. Personuppgifter som anknyter till in- och utresekontroller och upprätthållande av ordning och säkerhet i förvaringslokaler raderas med stöd av 17.1 a i dataskyddsförordningen då personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.
12 §.Behandling av personuppgifter som erhållits genom teknisk övervakning. I paragrafen föreskrivs om Tullens rätt att behandla i 4 § avsedda personuppgifter som har erhållits genom teknisk övervakning, också biometriska uppgifter, för att övervaka att tullagstiftningen och annan lagstiftning som Tullens tillsynsbefogenhet omfattar iakttas och för identifiering av personer i enlighet med 28 § i tullagen. Till denna del omfattas den behandling av personuppgifter som avses i paragrafen av tillämpningsområdet för dataskyddsförordningen. Dessutom har Tullen rätt att behandla personuppgifter även vid automatisk ansiktsidentifiering för en åtgärd i anknytning till förebyggande, utredning eller avslöjande av brott eller till att föra brott till åtalsprövning eller för användning av tvångsmedel. Till den del som ansiktsbilder behandlas i den nämnda avsikten omfattas behandlingen av tillämpningsområdet för dataskyddsdirektivet.
Enligt 5 kap. 28 § 1 mom. i tullagen avses med teknisk övervakning fortlöpande eller upprepat iakttagande eller fortlöpande eller upprepad avlyssning av fordon, fordonsförare, föremål, fotgängare eller allmänheten med hjälp av en teknisk anordning samt automatisk upptagning av ljud eller bild. På gränsövergångsställen på Finlands riksgräns samt i passagerarterminaler, på hamnområden avsedda för godstrafik, i lagerlokaler avsedda för godstrafik och på andra liknande ställen och i liknande utrymmen som Tullen får övervaka har Tullen enligt 2 mom. i samma paragraf rätt att, efter att på förhand ha meddelat om detta, företa teknisk övervakning för att övervaka att tullagstiftningen och annan lagstiftning vars efterlevnad Tullen ska övervaka iakttas.
Med automatisk ansiktsidentifiering avses mätning av biometriska identifieringspunkter och deras relativa storlek och avstånd i en form som förstås av en dator. När det gäller ansiktsidentifiering kan man inte endast prata om modellering av ansiktsdrag och att presentera detta som jämförbar data, utan i identifieringen kan också andra faktorer än individuella mätpunkter i ett ansikte inbegripas (nässpetsen, munnens mätpunkter), såsom till exempel mätning av mittpunkten för axlarna och huvudet. På en allmän nivå kan man säga att det relativa avståndet mellan individuella punkter för närvarande utgör det normala teknologiska sättet att identifiera och utifrån identifieringen skapa jämförbar data som kan användas av en dator. Utöver mätning av fästpunkterna och bedömning av deras relativitet finns ansiktsidentifiering som utnyttjar 3d-modellering. I denna teknologi modelleras hela ansiktet och från modelleringen beräknas utifrån till exempel mätpunkterna i ansiktet en individuell form.
I den gällande lagen föreskrivs om uppgifter som fåtts från teknisk övervakning endast i 6 § som gäller systemet för identifiering av registreringsskyltar och containrar (nedan Lipre). Systemet är ett permanent för Tullens riksomfattande bruk avsett register som förs med hjälp av automatisk databehandling där identifieringsuppgifter som fåtts genom teknisk övervakning vid gränsövergångsställena vid Finlands riksgränser samt bilder på fordon och containrar som tagits i samband med teknisk övervakning registreras. I och med förslaget utvidgas Lipre-systemets användningsändamål till att gälla inte endast att förhindra och utreda brott samt föra dessa brott till åtalsprövning, såsom nu, utan även tullövervakning och skattekontroll. I praktiken kommer systemet i och med utvidgningen även att kunna utnyttjas för övervakning av att bestämmelserna om import- och exportrestriktioner samt beskattnings- och tullförfaranden iakttas. Ändringen bidrar till att förebygga tullbrott och gör dessutom övervakningen av efterlevnaden av bestämmelserna smidigare med hjälp av automation.
Lipre-systemet är också avsett att användas polisen och Gränsbevakningsväsendet. Rätten för dessa myndigheter att använda systemet grundar sig på 17 § i den gällande lagen. Enligt 1 mom. 5 och 6 punkten i den paragrafen får personuppgifter ur Tullens personregister lämnas ut till polisen och Gränsbevakningsväsendet även genom en teknisk anslutning för de användningsändamål som närmare anges i paragrafen. Förslaget innebär ingen förändring i polisens och Gränsbevakningsväsendets möjligheter att använda uppgifter i systemet och bestämmelser om detta finns i 18 § 1 mom. 1 punkten i lagförslaget.
Även om den gällande lagen om behandling av personuppgifter inom Tullen innehåller bestämmelser om flera olika register, dvs. platser där uppgifter registreras, anges det, förutom när det gäller systemet för identifiering av registreringsskyltar och containrar, emellertid inte i den lagen eller någon annanstans i lag i vilket registermaterial som upptagits med stöd av 28 § i tullagen får registreras.
Vid teknisk övervakning av personer inhämtas det i allmänhet material av vilket det framgår uppgifter som hör till sådana särskilda kategorier av personuppgifter som avses i artikel 10 i direktivet. Sådana uppgifter är enligt artikel 3.13 åtminstone ansiktsbilder, som kan möjliggöra eller bekräfta identifieringen av en fysisk person. När det gäller behandlingen av sådana personuppgifter ställs i artikel 10 särskilda krav om att den för det första ska vara absolut nödvändig och att det ska finnas lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. För det andra ska behandlingen vara tillåten enligt unionsrätten eller medlemsstatens lagstiftning.
För att övervaka att tullagstiftningen och andra bestämmelser som faller inom Tullens behörighet följs är det nödvändigt att man i upptagningarna från den tekniska övervakningen genom automatisk behandling kan identifiera till exempel personer som misstänks för tullbrott eller som på annat sätt har handlat i strid med de bestämmelser som Tullen ska övervaka. Genom den bestämmelse som ger rätt till detta som föreslås i lagen om behandling av personuppgifter inom Tullen blir det möjligt att nå det mål för den tekniska övervakningen som avses i 28 § i tullagen. Konsekvensen av automatisk ansiktsidentifiering för de grundläggande fri- och rättigheterna är till exempel att den som blir föremål för en åtgärd med stor säkerhet är rätt person.
De krav som artikel 10 i direktivet ställer i fråga om skyddsåtgärder för den registrerades rättigheter och friheter uppfylls redan med det att Tullens tekniska övervakning enligt 28 § 2 mom. i tullagen endast får bedrivas på avgränsade platser. Enligt bestämmelsen får teknisk övervakning bedrivas på gränsövergångsställen på Finlands riksgräns samt i passagerarterminaler, på hamnområden avsedda för godstrafik, i lagerlokaler avsedda för godstrafik och på andra liknande ställen och i liknande utrymmen som Tullen får övervaka. Skyddsåtgärderna för de registrerade främjas också av att det på förhand måste meddelas om den tekniska övervakningen.
De skyddsåtgärder för registrerade som anges i artikel 10 i direktivet säkerställs framför allt av att förvaringstiden för de upptagningar från den tekniska övervakningen som innehåller ansiktsbilder som kan identifieras är högst sex månader. Om det inte finns grund för att behandla dessa uppgifter, till exempel för undersökning eller underrättelseinhämtning, ska de raderas inom sex månader efter att de har konstaterats vara onödiga. Detta förfarande tillämpas också när exempelvis uppgifter om fordons registreringsskyltar som upptagits i samband med teknisk övervakning i enlighet med i 22 § i den gällande lagen får bevaras ett år efter utgången av det år då uppgiften registrerades.
13 §.Behandling av personuppgifter för andra ändamål än det ursprungliga. I 13 § föreskrivs om behandlingen av uppgifter som avses i 5—12 § för något annat är ändamål med behandlingen än det ursprungliga. Genom 13 § ersätts i huvudsak bestämmelserna i 16 § 1 och 2 mom. i den gällande lagen, men bestämmelserna utvidgas och preciseras till vissa delar.
I 1 mom. räknas de ändamål upp för vilka Tullen får behandla personuppgifter som samlats in för ett annat ändamål med behandlingen än det ursprungliga. Enligt 1 mom. får Tullen behandla uppgifter för att förebygga eller avslöja tullbrott. Behandling av uppgifter i syfte att förebygga brott är tillåten även med stöd av det gällande 16 § 1 mom., men behandlingen är begränsad till förhindrandet av brott som kan leda till fängelse.
Momentets 2 punkt motsvarar till sitt sakinnehåll den gällande lagen. Behandling av personuppgifter för att utreda ett brott är enligt 2 punkten möjlig, på samma sätt som i 16 § 1 mom. 3 punkten i den gällande lagen, endast när det är fråga om ett brott på vilket kan följa fängelse.
Jämfört med gällande lag är 3 och 4 punkten nya. I 3 punkten föreskrivs det om behandling av personuppgifter för att påträffa en efterlyst. Någon definition av en efterlysning finns inte i lagen. Enligt motiveringen till 3 § som gäller gripande av en efterlyst i polislagen avses med en efterlysning som utfärdas av polisen ett meddelande som är baserat på en behörig polismyndighets beslut och som med hjälp av polisens personregister delges myndigheterna med begäran om information som behövs för att påträffa en viss person. Syftet med efterlysningen är att få den i efterlysningen specificerade tjänsteåtgärden inriktad på den eftersökta personen eller på egendom som är i hans eller hennes besittning. (RP 224/2010 rd, s. 76). Behandling av personuppgifter för andra ändamål än det ursprungliga kan behövas för att påträffa en efterlyst. Efterlysningen bör kunna lämnas för kännedom till alla de aktörer som eventuellt kan komma i kontakt med den efterlysta.
Momentets 5 punkt motsvarar delvis till sitt innehåll 16 § 1 mom. 2 punkten i den gällande lagen, men i stället för avvärjande av en omedelbart förestående allvarlig fara som hotar den allmänna säkerheten föreskrivs det om förhindrande av betydande fara för någons liv, hälsa eller frihet. Till skillnad från tidigare innehåller punkten som grund för behandlingen också förhindrande av betydande miljö-, egendoms- eller förmögenhetsskada.
Momentets 6 punkt motsvarar till sitt innehåll 16 § 1 mom. 1 punkten i den gällande lagen, men ordalydelsen ändras så att den motsvarar den terminologi som används i dataskyddslagen avseende brottmål och i övrigt i lagstiftningen. Med momentets 7 punkt ersätts 16 § 1 mom. 4 punkten i den gällande lagen. Punkterna 8—10 innehåller nya bestämmelser. Genom 8 punkten möjliggörs användning av personuppgifter för handräckningsuppdrag, genom 9 punkten för att rikta Tullens brottsbekämpningsverksamhet och genom 10 punkten för Tullens indrivningsuppdrag.
De behandlingsändamål som anges i de föreslagna 1, 4, 5 och 9 punkterna motsvarar till innehållet bestämmelserna om behandling av överskottsinformation som fåtts med hjälp av hemliga metoder för inhämtande av information och tvångsmedel i 3 kap. 53 § 4 och 5 mom. i lagen om brottsbekämpning inom Tullen och 10 kap. 56 § 4 och 5 mom. i tvångsmedelslagen. Enligt lagen om brottsbekämpning inom Tullen och tvångsmedelslagen får överskottsinformation alltid användas för förhindrande av tullbrott, för inriktning av Tullens brottsbekämpningsverksamhet och som en utredning som stöder det att någon är oskyldig. Överskottsinformation får också användas för förhindrande av betydande fara för någons liv, hälsa eller frihet eller betydande miljö-, egendoms- eller förmögenhetsskada. Med användning av uppgifter för inriktning av Tullens brottsbekämpningsverksamhet avses i den föreslagna 9 punkten även indirekt användning av uppgifter på ett sådant sätt att informationen inte används som bevis eller grund för användning av en informationsinhämtningsmetod. Uppgifter kan användas för att rikta in Tullens brottsbekämpningsverksamhet till exempel när det gäller förhindrande eller avslöjande av brott, analysverksamhet, utredning av tröskeln för inledande av förundersökning eller inriktande av förundersökningen (RP 224/2010 rd, s. 139).
Paragrafens 2 mom. motsvarar i huvudsak 16 § 1 mom. 5 punkten i den gällande lagen. Enligt dataskyddsförordningens artikel 6.1 c och 6.3 krävs att grunderna för behandling i anknytning till tillståndsärenden ska fastställas genom lag. Det finns behov av att få uppgifter i anknytning till tillståndsärenden, också när en lagstadgad uppgift kräver det, av de ansvariga personerna hos den som ansöker om eller innehar ett tillstånd. Av denna orsak har paragrafen kompletterats med uppgifter om de ansvariga personerna hos den som ansöker om eller innehar ett tillstånd. Unionens tullkodex (EU) nr 952/2013, artikel 39 a utgör grunden för Tullens skyldighet att behandla personuppgifter och kommissionens genomförandeförordning (EU) 2015/2447, artikel 24 förutsätter analys av de ansvariga personernas brottslighet.
I 3 mom. föreskrivs om behandling av personuppgifter för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål. I 3 mom. beaktas även med dessa jämförbara behov för Tullen att behandla personuppgifter för laglighetsövervakning, analys, planering och utveckling. Personuppgifter får också på motsvarande sätt som för närvarande användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. Det föreslagna momentet motsvarar 16 § 2 mom. om laglighetsövervakning samt planerings-, utvecklings- och utbildningsverksamhet i den gällande lagen. Det är viktigt att man håller kvar denna bestämmelse, och att man även beaktar behovet av att stärka en behörig övervakning av Tullens informationssystem. För tydlighetens skull föreslås i momentet en ny punkt om analysverksamhet, som till sin karaktär är jämförbar med den planerings- och utvecklingsverksamhet som avses i 16 § 2 mom. i den gällande lagen. Med analysverksamhet som stöder en informationsstyrd verksamhet hos Tullen avses i synnerhet sådan strategisk analys som utförs i syfte att upprätthålla en lägesbild över brottsligheten och förutse hotbilder inom brottsligheten, vilket förutsätter möjlighet att utnyttja också de personuppgifter som Tullen har. När det gäller de ändamål med behandlingen som avses i momentet är det inte fråga om utförande av enskilda uppdrag vid Tullen, utan om ett mer allmänt behov av att behandla personuppgifter för vissa ändamål.
3 kap. Rätt att få uppgifter
14 §.Tullens rätt att få uppgifter ur vissa register och informationssystem. Det föreslås att bestämmelserna i 1 mom. i huvudsak ska ingå i den form de lyder i 13 § i Tullens gällande personuppgiftslag, med undantag av vissa preciseringar och ändringar som föreslås i författningshänvisningarna. I 1 mom. har 15 punkten i den gällande lagen strukits. Den punkten gäller rätten att få uppgifter ur Ålands fritidsbåtsregister, vilket hör till landskapet Ålands behörighet. Strykningen av denna punkt grundar sig på grundlagsutskottets utlåtande GrUU 2/2018 rd, enligt vilket det inte genom en rikslag går att föreskriva om rätten för en riksmyndighet att få uppgifter som gäller ett ärende som hör till landskapet Ålands behörighet. Det krävs i stället en landskapslag eller en överenskommelseförordning. I momentet föreslås en ny 19 punkt med bestämmelser om Tullens rätt att få uppgifter ur Lantmäteriverkets bostadsdatasystem och fastighetsdatasystem. Genom tillägget beaktas Tullens behov av att för att förhindra, förebygga och utreda brott få uppgifter ur bostadsdatasystemet, som föreslås i lagen om ett bostadsdatasystem (RP 127/2018 rd). Bestämmelsen kompletterar dessutom bestämmelsen om Lantmäteriverkets rätt med hjälp av en teknisk anslutning lämna ut uppgifter ur fastighetsdatasystemet till förundersökningsmyndigheter i 6 § i lagen om ett fastighetsdatasystem och anslutande informationstjänster (453/2002).
Paragrafens 1 mom. 1 punkten som gäller uppgifter om passagerare motsvarar 13 § 1 mom. 1 punkten i den gällande lagen, vilken kompletterar Tullens rätt att i enskilda fall få uppgifter om passagerare i syfte att förhindra, avslöja eller utreda brott. Rätten att få i punkten avsedda uppgifter om passagerare genom en teknisk anslutning eller som en datamängd gäller alla trafikidkare oberoende av trafikslag. Sådana registeruppgifter som avses i momentet spelar en central roll när det ska göras en riskanalys som ska användas exempelvis vid bekämpningen av tullbrott. Även vid förundersökningen av tullbrott är det ofta viktigt att få information ur dessa register. Uppgifter som fåtts med stöd av denna punkt får bevaras hos Tullen endast den korta tid som krävs för behandlingen av uppgifterna, och efter det ska uppgifterna raderas. För att behandlingen av uppgifter om passagerare ska få fortsätta krävs det framöver att de villkor för behandling som anges i 2 kap. uppfylls.
I 1 punkten om uppgifter som gäller passagerare föreslås det för tydlighetens skull en hänvisning till den föreslagna lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet (RP 55/2018 rd), där det föreskrivs om Tullens rätt att få uppgifter ur flygtrafikens passagerarregister. PNR-direktivet och dess föreslagna genomförandelag begränsar inte en sådan rätt att få information eller behandling av uppgifter som grundar sig på annan lagstiftning och inte heller utbytet av uppgifter om passagerare i utrikestrafiken, utan ålägger lufttrafikföretagen en preciserad skyldighet att lämna ut information.
I 4 punkten föreslås att uppgifter om anmälningar och meddelanden som gäller näringsidkare ur handelsregistret ska kunna användas i en större omfattning än enligt den gällande lagen, dvs. också för tillståndsprövning. Tullen behöver uppgifterna till exempel för att utreda solvensen för den som ansöker om tillstånd. Dessa uppgifter i handelsregistret är offentliga. I och med den föreslagna ändringen får Tullen uppgifterna också för tillståndsprövning genom en teknisk anslutning och avgiftsfritt.
En sak som talar för att man bör hålla kvar den rätt att få uppgifter som avses i 1 mom. i den form som föreslås är bland annat behovet av att bevara Tullens rätt enligt 13 § i den gällande lagen att få uppgifter avgiftsfritt. Bestämmelser om att få uppgifter avgiftsfritt ingår i regel inte i bestämmelserna om lämnande av uppgifter. Bestämmelser om avgiftsfrihet finns i 2 mom. i den föreslagna paragrafen. Enligt den har Tullen rätt att få de uppgifter som avses i 1 mom. avgiftsfritt, om inte något annat bestäms i lag. Bestämmelser om avgiftsbelagda och avgiftsfria informationstjänster i fråga om till exempel befolkningsdatasystemet finns i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009), nedan befolkningsdatalagen, samt i finansministeriets förordning om avgifterna för Befolkningsregistercentralens prestationer åren 2017 och 2018 (1396/2018). I 72 § befolkningsdatalagen föreskrivs att för prestationer och tjänster som en registerförvaltningsmyndighet tillhandahåller med stöd av befolkningsdatalagen ska myndigheten ta ut avgifter i enlighet med vad som bestäms eller föreskrivs särskilt. Ett slopande av den sammanställande regleringen om Tullens rätt att få information har till vissa delar bedömts som en problematisk lösning ur ett lagtekniskt perspektiv även med anledning av att det inte skulle vara möjligt att ta med en bestämmelse om utlämnande av information som motsvarar rätten att få uppgifter i någon av de gällande speciallagarna. En annan omständighet som stöder ett bevarande av bestämmelserna är möjligheten enligt 13 § i den gällande lagen att i vissa situationer förena rätten att få uppgifter med vite. Bestämmelser om vite finns i den föreslagna 15 §. Det är dock möjligt att en del av rätten att få information kan slopas i samband med senare projekt, om regleringen ses över på nytt till exempel i samband med att de föreslagna mer omfattande ändringarna av regleringen om informationshanteringen inom den offentliga förvaltningen genomförs (t.ex. projekt VM183:00/2017).
I 3 mom. åläggs Tullen skyldighet att ge den personuppgiftsansvarige som lämnat ut personuppgifter information om hur de uppgifter som Tullen fått kommer att behandlas. Med undantag för den ändrade formuleringen motsvarar bestämmelsen till denna del 13 § 4 mom. i den gällande lagen. I paragrafen ingår emellertid inte den skyldighet som ålagts Tullen i 13 § 4 mom. i den gällande lagen att kontrollera huruvida de uppgifter som tagits emot behövs, om personuppgifter har lämnats ut utan begäran. Det föreskrivs om den personuppgiftsansvariges skyldighet att behandla endast adekvata och behövliga personuppgifter samt om skyldigheten att obehövliga personuppgifter ska raderas utan obefogat dröjsmål i dataskyddsförordningen och dataskyddslagen avseende brottmål.
Med stöd av sin rätt att få uppgifter får Tullen med tanke på ändamålen med behandlingen enligt 2 kap. vid behov genom automatisk jämförelse klarlägga behovet av de personuppgifter som Tullen fått. Obehövliga uppgifter ska på det sätt som avses i 6 § i den föreslagna dataskyddslagen avseende brottmål raderas utan obefogat dröjsmål.
Den föreslagna 14 § medför inte ovillkorlig rätt för Tullen att få de i momentet avsedda uppgifterna, utan vid förverkligandet av rätten att få information ska också andra villkor för utlämnande av uppgifter som föreskrivs någon annanstans i lag beaktas.
15 §. Uppgifter som andra myndigheter lämnar ut till Tullen genom registrering vid direkt anslutning eller för registrering som en datamängd. I paragrafen föreskrivs om utlämnande av personuppgifter till Tullen genom direkt anslutning eller som en datamängd. Förteckningen i 1 mom. motsvarar i huvudsak förteckningen i 14 § 1 mom. i den gällande lagen. Med polisen i 1 mom. 2 punkten avses också skyddspolisen. I momentet införs en ny 3 punkt, enligt vilken Försvarsmakten får lämna ut uppgifter som behövs för att förhindra, avslöja och utreda tullbrott samt för att skydda den nationella säkerheten. Dessutom fogas ytterligare en ny 5 punkt till momentet, enligt vilken även Forststyrelsens jakt- och fiskeövervakare får lämna ut uppgifter till Tullen när det gäller sådana behövliga uppgifter om vidtagna åtgärder som registrerats vid jakt- och fiskeövervakning som hör till deras behörighet.
I 2 mom. åläggs i överensstämmelse med 14 § en skyldighet att ge den personuppgiftsansvarige som lämnat personuppgifterna information om behandlingen av uppgifterna. Momentet motsvarar till denna del med undantag för den ändrade formuleringen 14 § 2 mom. i den gällande lagen. I paragrafen ingår emellertid inte den skyldighet som ålagts Tullen i 14 § 2 mom. i den gällande lagen att kontrollera huruvida de uppgifter som tagits emot behövs, om personuppgifter har lämnats ut utan begäran. Bestämmelser om den personuppgiftsansvariges skyldighet att behandla enbart adekvata och behövliga personuppgifter samt skyldighet att radera obehövliga personuppgifter utan obefogat dröjsmål finns i dataskyddsförordningen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten.
16 §. Vite. Den föreslagna 16 § motsvarar 31 § i den gällande lagen. Tullen ska enligt 14 § 1 mom. 1 punkten ha rätt att ur samfunds och sammanslutningars register få behövliga uppgifter om passagerare och fordons personal samt fordon och varor som transporteras för förhindrande, avslöjande och utredning av tullbrott, för överlämnande till åtalsprövning samt för att nå efterlysta personer. För att tullbrottsbekämpningen i fråga om passagerare och varor i utrikestrafiken ska vara framgångsrik är det viktigt att få uppgifter och att få dem i rätt tid. På grund av praktiska svårigheter som ibland uppstår då uppgifter ska fås av trafikidkarna behöver man i överensstämmelse med den gällande lagen vid behov kunna förena Tullens begäran om att få uppgifter med vite och förelägga och utdöma vite i enlighet med paragrafen. Enligt den föreslagna 14 § 1 mom. 8 punkten ska Tullen ha rätt att av dem som utövar inkvarteringsverksamhet och av polisen få sådana uppgifter som avses i 6 § 1 mom. i lagen om inkvarterings- och förplägnadsverksamhet och som behövs för tullbrottsbekämpning. Vite ska kunna föreläggas sådana samfund och sammanslutningar som avses i 14 § 1 mom. 1 punkten eller sådana utövare av inkvarteringsverksamhet som avses i momentets 8 punkt som vägrar lämna ut sådana uppgifter som avses i paragrafen och som Tullen har begärt eller som utan grund försvårar åtkomsten till sådana uppgifter. Enligt 8 punkten kan Tullen få dessa uppgifter även av polisen.
Bestämmelser om vite tillämpas inte på passageraruppgifter som avses i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet (RP 55/2018 rd). För brott mot skyldigheten att överföra PNR-uppgifter påförs en påföljdsavgift i enlighet med bestämmelserna i den föreslagna lagen.
17 §. Behandling av personuppgifter som fåtts från en tredje stat eller en internationell organisation eller myndighet. Bestämmelsen motsvarar delvis 27 § i den gällande lagen. Det föreslås dock att 27 § 3—5 mom. i den gällande lagen slopas som obehövliga, eftersom regleringen i dem ingår i dataskyddslagen avseende brottmål. Den föreslagna 17 § gäller enbart behandling av personuppgifter som fåtts från en tredje stat eller en internationell organisation eller myndighet.
I 1 mom. föreskrivs, på samma sätt som i 27 § 1 mom. i den gällande lagen, om sekretess och tystnadsplikt samt om skyldighet att iaktta de begränsningar i fråga om användningen av personuppgifterna som den som lämnat ut uppgifterna ställt. Momentet innehåller en huvudregel vars syfte är att säkerställa förtroendet i det internationella samarbetet. I 2 mom. föreskrivs det om möjligheten att använda mottagna personuppgifter för andra ändamål med behandlingen än det ursprungliga när det inte ställts några sådana begränsningar som avses i 1 mom. Den strängare bestämmelsen om användningen av uppgifter för andra ändamål med behandlingen än det ursprungliga i 27 § 2 mom. i den gällande lagen grundar sig på EU:s upphävda dataskyddsrambeslut och gäller behandlingen av alla personuppgifter som fåtts från andra stater eller internationella organ, även personuppgifter som fåtts från andra EU-stater. Det föreslås att momentet justeras så att personuppgifter som fåtts från en tredje stat eller en internationell organisation eller myndighet får behandlas för andra ändamål med behandlingen än det ursprungliga under de förutsättningar som föreslås i 13 § 1 mom. På behandlingen av personuppgifter som fåtts från en annan EU-stat i situationer som avses i 27 § 2 mom. i den gällande lagen tillämpas i framtiden dataskyddslagen avseende brottmål.
4 kap. Utlämnande av personuppgifter
Kapitlet innehåller bestämmelser om utlämnande av personuppgifter genom en teknisk anslutning eller som en datamängd till andra myndigheter och om utlämnande av uppgifter via det allmänna datanätet. Kapitlet innehåller även bestämmelser som ansluter sig till internationellt informationsbyte.
Till den del det är fråga om behandling som hör till tillämpningsområdet för dataskyddsdirektivet och direktivets genomförandelag tillämpas 7 kap. i dataskyddslagen avseende brottmål på utlämnande av personuppgifter till tredjeländer och internationella organisationer. Det föreslagna 4 kap. innehåller de behövliga kompletterande bestämmelserna om utlämnandet av uppgifter till tredjeländer och internationella organisationer. I kapitlet ska även föreskrivas om utlämnandet av uppgifter till brottsbekämpande myndigheter i Europeiska unionens medlemsstater. Därtill ska det i kapitlet på samma sätt som i gällande lag tas hänsyn till de informationssystem inom EU som används av brottsbekämpande myndigheter. Jämfört med den gällande lagen om behandling av personuppgifter inom Tullen föreslås det inga betydande ändringar i innehållet i bestämmelserna om utlämnande av personuppgifter i anslutning till internationellt samarbete mellan tullmyndigheterna.
Det föreslagna 4 kap. innehåller också bestämmelser om utlämnande av personuppgifter inom tillämpningsområdet för dataskyddsförordningen. Till den här delen är det i regleringen fråga om särskilda bestämmelser som avses i artikel 6 i förordningen, med vilka tillämpningsområdet för bestämmelserna i förordningen anpassas. De särskilda bestämmelserna kan enligt artikel 6 gälla också utlämnandet av personuppgifter.
Enligt bestämmelserna i 4 kap. får personuppgifter lämnas ut trots sekretessbestämmelser. Vid utlämnande av uppgifter ska man dock i alla situationer beakta bestämmelserna om skyddet av personuppgifter. När det gäller utlämnande av personuppgifter i enskilda fall (på annat sätt än genom en teknisk anslutning eller som en datamängd) tillämpas som nu sekretessbestämmelserna i 4 kap. i lagen om brottsbekämpning inom Tullen samt kompletterande lagstiftningen om personuppgifter när det gäller utlämnande av personuppgifter till tredjeland eller internationella organisationer.
18 §.Utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål. I paragrafen föreskrivs om utlämnande av personuppgifter till behöriga myndigheter som avses i dataskyddslagen avseende brottmål för ändamål som hör till nämnda lags tillämpningsområde. Dataskyddslagen avseende brottmål ska tillämpas enligt 1 § 1 mom. i den lagen när polisen, åklagarna, de allmänna domstolarna, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter behandlar personuppgifter, då det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åklagarverksamhet i samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av brott mot den allmänna säkerheten i samband med annan verksamhet som avses i 1 § 1 mom.
Lagen ska tillämpas utifrån den nationella lösningen i enlighet med dess 1 § 2 mom. också när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten.
I paragrafen föreskrivs om utlämnande av personuppgifter till polisen och Gränsbevakningsväsendet för ändamål med behandlingen som gäller att förebygga, avslöja och utreda brott samt föra brott till åtalsprövning på det sätt som avses i 1 § 1 mom. i direktivets genomförandelag. Bestämmelsen gör det också möjligt att lämna ut personuppgifter till polisen och Gränsbevakningsväsendet i situationer som avses i 1 § 2 mom. i dataskyddslagen avseende brottmål. På motsvarande sätt får personuppgifter lämnas ut också till Försvarsmakten samt för ändamål med behandlingen som avses både i 1 § 1 mom. och i 2 mom. i direktivets genomförandelag.
I momentet beaktas även andra behöriga myndigheter inom tillämpningsområdet för dataskyddslagen avseende brottmål. I fråga om dessa myndigheter får personuppgifter lämnas ut för ändamål som föreskrivs i 1 § 1 mom. i dataskyddslagen avseende brottmål. Till denna del motsvarar bestämmelserna om lämnande av uppgifter i huvudsak 17 § 11, 12 och 14 punkten i den gällande lagen.
Personuppgifter får lämnas ut genom en teknisk anslutning eller som en datamängd till de myndigheter som avses i paragrafen. I de situationer som avses i paragrafen är utlämning av uppgifter genom en teknisk anslutning i praktiken huvudregel. Bestämmelsen är ny och mer allmänt formulerad än den gällande lagen, men i praktiken innebär den inga förändringar jämfört med nuläget.
Personuppgifter som hör till särskilda kategorier av personuppgifter får behandlas i enlighet med den tröskel för behandling som föreskrivs i 11 § endast om det är nödvändigt med tanke på ändamålet med behandlingen.
19 §. Övrigt utlämnande av personuppgifter till myndigheter. I paragrafen föreskrivs det om utlämnande av personuppgifter genom en teknisk anslutning eller som en datamängd för andra ändamål med behandlingen än de som hör till tillämpningsområdet för dataskyddslagen avseende brottmål. Paragrafen ska även innehålla bestämmelser om utlämnande av personuppgifter till behöriga myndigheter som avses i dataskyddslagen avseende brottmål för ändamål på vilka nämnda lag inte tillämpas.
I 1 mom. nämns de myndigheter till vilka Tullen får lämna ut personuppgifter genom en teknisk anslutning. I momentet föreskrivs även om de ändamål för vilka personuppgifter får utlämnas. Till sitt innehåll motsvarar bestämmelserna huvudsakligen 17 § i den gällande lagen med undantag av vissa specificeringar.
Förteckningen i det föreslagna 1 mom. är inte uttömmande, och den ska inte heller begränsa tillämpandet av bestämmelserna om utlämnande av uppgifter eller erhållande av information annanstans i lag. Rätten att lämna ut uppgifter i enlighet med paragrafen kräver å andra sidan heller inte att det i lagstiftningen för den mottagande myndigheten föreskrivs om motsvarande rätt att få uppgifter, utan uppgifter kan lämnas ut med stöd av den föreslagna 18 § även utan att det någon annanstans i lag föreskrivs om rätt för mottagaren att få uppgifter. Bestämmelser om när Tullen får lämna ut personuppgifter eller ta emot uppgifter genom en teknisk anslutning ska emellertid i enlighet med grundlagsutskottets ställningstaganden alltid utfärdas genom lag.
När uppgifter lämnas ut ska det alltid bedömas vilka uppgifter som behövs för skötseln av mottagarens lagstadgade uppgifter och om hanteringen av de uppgifter som ska lämnas ut eventuellt är föremål för begränsningar i enlighet med bestämmelser någon annanstans i lag. Paragrafen möjliggör alltså inte ett obegränsat utlämnande av alla personuppgifter som Tullen behandlar för vilket ändamål med behandlingen som helst som nämns i paragrafen.
När det gäller utlämnande av personuppgifter till andra myndigheter i enskilda fall (på annat sätt än genom en teknisk anslutning eller som en datamängd) är det inte den föreslagna lagen utan de bestämmelser om utlämnande av sekretessbelagd information till myndigheter och sammanslutningar som sköter offentliga uppdrag som finns i 4 kap. 2 § i lagen om brottsbekämpning inom Tullen som ska tillämpas även i fortsättningen. Offentliga uppgifter får dessutom lämnas ut till andra myndigheter också som datamängd även i andra fall än de som avses i 18 § 1 mom. Även i dessa situationer ska man dock ta hänsyn till bestämmelserna om skyddet för personuppgifter.
I förteckningens 1 mom. 14 punkten föreskrivs, med avvikelse från den gällande lagen, om utlämnande av personuppgifter till Strålsäkerhetscentralen (STUK) för tillsynsuppgiften i enlighet med 6 § i strålskyddslagen (592/1991). Mer detaljerad information (fotografier, fraktsedlar m.m.) behövs när något som avviker från det normala sker eller upptäcks. Genom att lämna ut uppgifter strävar man efter att STUK med uppgifterna som grund ska kunna dra mer tillförlitliga slutsatser och vidta eller rekommendera mer konkreta åtgärder. STUK:s uppgift är bland annat att utifrån den information som lämnats producera information i enlighet med sitt specialområde till stöd för Tullens hotanalyser och vid behov utarbeta olika konsekvensanalyser och ge rekommendationer om skyddsåtgärder.
I paragrafens 2 mom. föreskrivs om en högre tröskel för utlämnande av uppgifter som hör till särskilda kategorier av personuppgifter. Uppgifter får endast lämnas ut när det är nödvändigt för att genomföra en uppgift som myndigheten enligt lag ska sköta.
I 3 mom. föreskrivs om skyldigheten för mottagaren av personuppgifterna att för den personuppgiftsansvarige lägga fram en tillförlitlig utredning om att de skyddas på behörigt sätt.
I 4 mom. föreskrivs att kvaliteten på de uppgifter som lämnas ut om möjligt ska bekräftas och uppgifterna vid behov förses med information som gör det möjligt för mottagaren att bedöma hur korrekta, fullständiga, aktuella och tillförlitliga uppgifterna är. Om det framgår att felaktiga uppgifter har lämnats ut eller att uppgifter lämnats ut i strid med lag, ska också detta utan dröjsmål meddelas mottagaren. Syftet med kraven är att både den personuppgiftsansvarige och mottagaren av uppgifterna har möjlighet att säkerställa att personuppgifter behandlas på det sätt som dataskyddslagstiftningen förutsätter. Vid utlämnandet av uppgifter ska den personuppgiftsansvarige också iaktta de särskilda krav på behandlingen av personuppgifter som grundar sig på den lag som ska utfärdas om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten eller på dataskyddsförordningen. Sådana är till exempel användningsbegränsningar av personuppgifter som erhållits från en annan myndighet eller från en annan stat, om vilka det ska göras en anteckning.
20 §.Utlämnande av personuppgifter via det allmänna datanätet. Paragrafen innehåller bestämmelser om Tullens rätt att lämna ut personuppgifter via det allmänna datanätet. Uppgifterna får trots bestämmelserna i 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet lämnas ut i de situationer som avses i den föreslagna paragrafen.
Bestämmelsen är i sin helhet ny för Tullen. Tullen får med stöd av den föreslagna bestämmelsen lämna ut personuppgifter via det allmänna datanätet för att allmänheten ska kunna underrättas och för att tips från allmänheten ska kunna fås i situationer där utlämnandet behövs för att brott ska kunna förebyggas, egendom ska kunna återställas till ägaren eller av skäl som har samband med en utredning. För att skyddet för privatlivet ska garanteras begränsas sättet på vilket uppgifter får lämnas ut till enskilda sökningar. Tullen får lämna ut personuppgifter med stöd av 1 mom. endast så att uppgifterna kan sökas via en tjänst i det allmänna datanätet i enlighet med på förhand definierade sökvillkor. Grundlagsutskottet har i sina utlåtanden (GrUU 2/2017 och de utlåtanden som nämns där) tolkat avgränsningen till enskilda sökningar som ett ändamålsenligt sätt att skydda utlämnandet av uppgifter via det allmänna datanätet.
Ett exempel på Tullens behov av 1 mom. är att Tullen ska ha möjlighet att på grund av intressen som har samband med undersökningar be allmänheten om information. Detta anknyter till exempel till kartläggningar av mängden produkter som nått konsumenterna och skador orsakade på grund av brott, om tillförlitlig information om en produkts utbredning inte utan svårighet kan fås på något annat sätt. Detta förfaringssätt är motiverat med beaktande av mångfalden av distributions- och betalningssätt, i synnerhet de problem som är förbundna med undersökningen av de sistnämnda (t.ex. dark web och bitcoin). Ett annat exempel anknyter till situationer där Tullen i anslutning till en pågående utredning kan be allmänheten meddela iakttagelser till exempel om ett fordon med vissa kännetecken som rört sig i ett område eller om verksamhet eller kontakter som rör ett visst företag. Dessutom kan det också uppstå betydande behov av att informera allmänheten om observationer i anknytning till aktuella fenomen inom tullövervakningen. Detta kan gälla situationer som i sig inte anknyter till något olagligt (t.ex. produkter som köps för privat bruk från kinesiska nätbutiker), men det är synnerligen viktigt att informera allmänheten till exempel med tanke på identifieringen av risker i anslutning till konsumentsäkerheten.
I 2 mom. föreskrivs om Tullens rätt att annat än som enskilda sökningar lämna ut personuppgifter via det allmänna datanätet för att allmänheten ska kunna underrättas och tips från allmänheten ska kunna fås. Syftet med bestämmelsen är att göra det möjligt att informera om brott på Tullens webbplats. Endast personuppgifter som måste tillkännages särskilt på grund av att saken är brådskande, att det är fråga om en farosituation, för att brott ska kunna förebyggas, egendom ska kunna återställas till ägaren eller av skäl som har samband med en utredning får lämnas ut via det allmänna datanätet. Utlämnandet av uppgifterna har begränsats snävare än i 1 mom., eftersom det utlämnande av uppgifter som gör med stöd av momentet inte föreslås vara begränsat till enskilda sökningar. Mängden personuppgifter som lämnas till det allmänna datanätet ska dock begränsas så långt det är möjligt.
I Tullens verksamhet kan det uppstå ett brådskande behov av att med stöd av momentet lämna ut personuppgifter via det allmänna datanätet. Ett informationsbehov kan anknyta till en situation där det är fråga om liv eller hälsa eller när det krävs på grund av ett annat synnerligen viktigt enskilt intresse. Ett exempel på detta är en situation där Tullen av en internationell sammanslutning eller genom ett tips har fått kännedom om ett nytt, farligt ämne som man väntar att ska komma ut på marknaden i Finland (t.ex. livsfarliga nya psykoaktiva ämnen). Tullen har då ett uppenbart behov av att snabbt informera allmänheten och råda den att undvika ämnet. I stället för ett farligt ämne kan det också vara fråga om till exempel en livsmedelsförfalskning eller en läkemedelssats som konstaterats vara farlig, men en del har redan hunnit komma ut på marknaden. Exempelvis kan det vid Tullaboratoriets kontroll upptäckas att en sats av en substans som redan kommit in i landet och distribuerats och som har använts i den fortsatta produktionen för olika konsumtionsnyttigheter innehåller ett synnerligen hälsovådligt ämne. Det kan vidare gälla till exempel en situation då man fått information om att ett ämne som eventuellt avger strålning är på väg in i en industriell process, och i stället för hälsa hotas då ett viktigt enskilt intresse. Eftersom informering på det beskrivna sättet kan anses anknyta till Tullens i lag föreskrivna uppgift bland annat i fråga om tullövervakning, avslöjande och förhindrande av brott samt övervakning av förbud och restriktioner, får uppgifterna lämnas ut också annat än som enskilda sökningar.
Sättet för att lämna uppgifterna kan ske som enskilda sökningar till exempel på Tullens offentliga webbsida (www.tulli.fi) i enlighet med villkoren i lagen, dvs. på samma sätt som polisen har ordnat saken (www.poliisi.fi/om_polisen/meddelande). Även sociala medier (t.ex. Twitter) och andra nyhetskanaler kan användas för att offentliggöra dessa meddelanden.
21 §.Utlämnande av personuppgifter till de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet. I paragrafens 1 mom. beaktas den s.k. tillgänglighetsprincipen för uppgifter, enligt vilken personuppgifter och andra uppgifter ska vara tillgängliga för de brottsbekämpande myndigheterna i andra medlemsstater i EU och i stater som hör till Europeiska ekonomiska samarbetsområdet på samma villkor som de är tillgängliga för Tullen för förebyggande, avslöjande och utredning av brott.
I 2 mom. föreskrivs om utlämnande av personuppgifter till Eurojust som inrättats för att stärka kampen mot grov brottslighet och andra institutioner som inrättats med stöd av fördraget om Europeiska unionens funktionssätt. Till sådana andra institutioner som avses i momentet hör utöver Eurojust också t.ex. Europeiska byrån för bedrägeribekämpning.
I 3 mom. preciseras att uppgifterna i situationer som avses i 1 och 2 mom. får lämnas ut också som en datamängd.
Bestämmelserna motsvarar till sitt innehåll i huvudsak 26 § i den gällande lagen. I den gällande lagen är utlämnandet av uppgifter till de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet emellertid till vissa delar strängare begränsat än Tullens möjligheter att behandla personuppgifter för andra ändamål med behandlingen än det ursprungliga. Med stöd av den föreslagna bestämmelsen får uppgifter därmed i vissa situationer lämnas ut på ett mer omfattande sätt än enligt gällande reglering. En mer omfattande möjlighet att lämna ut uppgifter innebär på grund av tillgänglighetsprincipen också större möjligheter för Tullen att behandla uppgifterna för andra ändamål än de ursprungliga, som det föreslås i 13 §. Uppgifter får lämnas ut också som en datamängd. EU-medlemsstaternas tullmyndigheter och andra brottsbekämpande myndigheter använder en skyddad kanal för utbytet av information.
I 4 mom. ingår en informativ hänvisning till lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009) för att säkerställa att rambeslutet har genomförts korrekt i fråga om utlämnandet av personuppgifter. Genomförandelagen av rambeslutet är en speciallag i förhållande till lagförslaget.
22 §. Utlämnande av personuppgifter till stater som använder Schengens informationssystem och till Schengens informationssystem. Paragrafen innehåller bestämmelser om Tullens rätt att lämna ut personuppgifter till de behöriga myndigheterna i de stater som använder Schengens informationssystem samt för registrering i Schengens informationssystem. Tilläggsinformation ska lämnas ut genom förmedling av centralkriminalpolisens Sirenekontor. Bestämmelsen är informativ till sin karaktär.
23 §. Utlämnande av personuppgifter till Europol. Paragrafen innehåller en informativ hänvisning till Europolförordningen och lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning (214/2017), som kompletterar förordningen.
24 §.Beslut om utlämnande av uppgifter. I paragrafen föreskrivs det om beslut som gäller rätten att lämna ut uppgifter ur Tullens personregister som en datamängd eller genom en teknisk anslutning samt om rätten för de myndigheter som avses i 3 kap. att på detta sätt lämna ut personuppgifter till Tullens informationssystem (1 mom.).
När uppgifter lämnas ut genom en teknisk anslutning, är det svårare för den personuppgiftsansvarige att övervaka skyddandet och användningen av personuppgifter. Om utlämnande av uppgifter med en teknisk anslutning ska man, såsom nu, alltid komma överens om separat mellan den personuppgiftsansvarige och utlämnaren eller mottagaren av informationen. Bestämmelserna i det föreslagna 4 kap. medför på så sätt inte i sig exempelvis rätt för en mottagare att få Tullens personuppgifter genom en teknisk anslutning utan ett särskilt beslut. Beslut om utlämnande av uppgifter fattas av den personuppgiftsansvarige eller av en verksamhetsenhet inom Tullen som den personuppgiftsansvarige har förordnat till uppgiften. Den personuppgiftsansvarige kan i varje enskilt fall separat bedöma om det är motiverat att öppna en teknisk anslutning.
Enligt paragrafens 2 mom. ska uppgifternas art beaktas på samma sätt som enligt 18 § 2 mom. i den gällande lagen, när beslut om utlämnande fattas.
5 kap. Radering och arkivering av personuppgifter
Enligt artikel 5.1 e i dataskyddsförordningen och artikel 4.1 e i dataskyddsdirektivet får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. I kapitlet föreskrivs om de maximala bevaringstiderna för personuppgifter. Bestämmelserna i kapitlet begränsar inte tillämpningen av bestämmelser om radering av uppgifter eller bedömning av behövlighet någon annanstans i lag, utan de raderingstider som nämns i kapitlet ska iakttas ifall inte någon annan bestämmelse förutsätter att uppgifterna ska raderas redan tidigare.
Det föreslås inte några särskilda bestämmelser om raderingen av personuppgifter som i enlighet med den föreslagna 11 § behandlas i Tullens övriga lagstadgade uppgifter, utan dessa uppgifter ska raderas i enlighet med ändamålet med behandlingen.
25 §.Radering av personuppgifter som anknyter till brottmål. Genom paragrafen ersätts de bestämmelser i 19 § i den gällande lagen som gäller utplåning av uppgifter som anknyter till förundersökning av brott och signalementsuppgifter. Det föreslås inga stora ändringar i bevaringstiderna för personuppgifter jämfört med den gällande lagen. Det föreslås dock att bestämmelserna om radering av uppgifter ytterligare ska förenklas och förtydligas. I förslaget har också beaktats de ändringsbehov som den nya dataskyddslagstiftningen kräver.
Utöver radering av uppgifter om brottsanmälningar och signalementsuppgifter föreskrivs i den föreslagna 25 § även om radering av andra personuppgifter som anknyter till brottmål. Med personuppgifter som ansluter sig till ett brottmål avses alla personuppgifter som samlats i förundersökningssyfte och vars raderingstider det är ändamålsenligt att harmonisera med raderingstider av uppgifter gällande brottsanmälan. Exempelvis efterlysningsuppgifter som anknyter till ändamål som har samband med en utredning ska framöver raderas i överensstämmelse med den bevaringstid som gäller för det brottmål till vilket uppgifterna anknyter. Bevaringstiderna ska alltjämt vara beroende av det hur grov gärningen är. Därtill ska det i bestämmelserna tas hänsyn till den mer sårbara situationen av minderåriga personer som begått ett brott.
Enligt 1 mom. ska uppgifterna i ett brottmål raderas efter att brottmålet överfördes till åklagaren enligt följande: efter 5 år om det grövsta misstänkta brottet i brottmålet kan leda till böter eller när ärendet har överförts till åklagaren för utfärdande av ett strafföreläggande, efter tio år om det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på över ett och högst fem år och efter 20 år om det grövsta misstänkta brottet i brottmålet kan leda till fängelse i över fem år. Med de föreslagna bevaringstiderna ska man, på samma sätt som enligt den gällande lagen, se till att uppgifterna bevaras i Tullens informationssystem minst den tid det tar att behandla ärendet och nå en lagakraftvunnen lösning inom rättsväsendet. Bevaringstiden avkortas från tio till fem år i fråga om sådana brottmål som överförts till åklagaren där det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på högst ett år. Den kortare bevaringstiden bedöms vara tillräcklig för att säkerställa att uppgifterna bevaras fram till ett lagakraftvunnet avgörande.
De uppgifter som avses i 1 mom. raderas enligt 2 mom. dock tidigast ett år efter det att åtalsrätten för brottet har preskriberats. Med detta säkerställs, på motsvarande sätt som i dagsläget, att uppgifter som anknyter till allvarliga brott förblir tillgängliga för Tullen.
Uppgifter om andra brottmål ska enligt 3 mom. raderas ett år efter att åtalsrätten för det sista misstänkta brottet preskriberats, dock tidigast 5 år efter att brottmålet registrerades. En bevaringstid på minst fem år motsvarar preskriptionstiden för åtalsrätten för tjänstebrott och behövs för att garantera rättsskyddet både för målsäganden och för tjänstemän vid Tullen.
Enligt 4 mom. får alla de uppgifter som avses i 1—5 mom. dock fortfarande bevaras, om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Tullens personal har. Bevaringen av uppgifter ska därmed vara möjlig till exempel under den tid en utredning om tjänstebrott pågår.
Enligt 4 mom. ska det med avvikelse från de gällande bestämmelserna också vara möjligt att bevara uppgifter av någon annan grundad anledning. I momentet föreskrivs även om skyldigheten att bedöma nödvändigheten av fortsatt bevarande av uppgifterna minst vart femte år. Tiden för bedömningen av nödvändigheten, fem år, motsvarar den tidsfrist som föreskrivits för bedömningen i 6 § i dataskyddslagen avseende brottmål. På motsvarande sätt som nu kan nödvändigheten av att bevara information vidare även bedömas enligt informationskategori så att man genom ett separat beslut till exempel kan radera uppgifter gällande vissa grupper utan att uppgifterna behöver genomgås individuellt.
26 §.Radering av andra personuppgifter som behandlas i undersökningsuppgifter. Genom bestämmelsen innefattas personuppgifter som behandlas för sådana syften som avses i 5 och 6 § och som inte anknyter till förundersökning. Med stöd av denna paragraf raderas alltså exempelvis uppgifter om personer som är direkt anknutna till övervakningsuppgifter och handräckningsuppgifter i anslutning till Tullens brottsbekämpning. Genom paragrafen ersätts bestämmelserna i 19 § i den gällande lagen om utplåning av uppgifterna i övriga anmälningar, utplåning av identifieringsuppgifter och säkerhetsinformation samt utplåning av vissa uppgifter som gäller efterlysta personer. Också i fråga om andra utrednings- och övervakningsuppgifter föreslås det att bestämmelserna om radering görs enklare och tydligare jämfört med 19 § i den gällande lagen.
Enligt paragrafens 1 mom. ska personuppgifter som behandlas för andra än förundersökningssyften bevaras i fem års tid efter att anmälan eller ärendet registrerades, om inte de hänför sig till ett brottmål som utreds. Utredning av förutsättningarna för ett näringsförbud är ett typiskt exempel på omständigheter som ska utredas i samband med undersökningen av ett brottmål.
I 2 mom. 1 och 2 punkten beaktas avvikande bevaringstider som anknyter till annan lagstiftning. Momentets 1 punkt gäller näringsförbud. I 2 punkten föreskrivs det om radering av andra uppgifter för att en person ska kunna påträffas, övervakas, observeras och skyddas när det gäller personer som är efterlysta eller som har meddelats reseförbud. Bevaringstiderna för sådana uppgifter som avses i 1 och 2 punkten grundar sig med avvikelse från huvudregeln i 1 mom. på när efterlysningen eller förbudet meddelades, återkallades eller upphörde. En bevaringstid som baserar sig på registrering av en anmälan eller ett ärende kan leda till situationer i vilka personuppgifter som ansluter sig till ärendet ska raderas medan efterlysningen eller förbudet alltjämt är i kraft eller omedelbart efter att ikraftvarandet upphört.
I 3 mom. finns i överensstämmelse med den gällande lagen ett undantag som gäller radering av säkerhetsinformation. Med avvikelse från huvudregeln i 1 mom. ska säkerhetsinformation raderas senast ett år efter den registrerades död. På så sätt blir det möjligt att bevara uppgifter som gäller exempelvis en persons farlighet eller hälsotillstånd så länge som det behövs för att garantera säkerheten för personen själv eller för personer som hör till Tullens personal. För att säkerställa att säkerhetsinformationen behövs ska den enligt de föreskrifter som Tullen tillämpar uppdateras så att den motsvarar användningsändamålet minst en gång om året. I samband med granskningen ska det göras en anteckning om att en granskning har utförts. Onödiga eller felaktiga uppgifter ska omedelbart raderas ur systemet.
I 4 mom. föreskrivs det om ett undantag som ska gälla alla de uppgifter som avses i 1—3 mom. Man får fortsätta att bevara uppgifterna om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Tullens personal har. Bevaringen av uppgifter ska därmed vara möjlig till exempel under den tid en utredning om tjänstebrott pågår. Enligt 4 mom. ska det med avvikelse från de gällande bestämmelserna också vara möjligt att bevara uppgifter av någon annan grundad anledning. I momentet föreskrivs det på motsvarande sätt som i 24 § i den gällande lagen om skyldighet att bedöma behovet av att bevara uppgifterna minst vart femte år.
De uppgifter som avses i 5 § 3 mom., som behandlas för bedömning av deras betydelse, ska raderas genast efter att de har bedömts vara onödiga. Uppgifterna ska dock raderas senast sex månader efter att anteckningen infördes. Om raderingen av uppgifter ska det med anledning av behandlingens exceptionella natur föreskrivas direkt i samband med bestämmelsen om behandlingen i 5 § 3 mom. De uppgifter som anses vara behövliga och som uppfyller förutsättningarna för behandling enligt 5 och 6 § ska överföras till de aktuella ändamålen med behandlingen och beträffande dem ska de raderingstider som föreskrivs för i 5 och 6 § avsedda uppgifter iakttas.
27 §. Radering av personuppgifter som anknyter till förbyggande eller avslöjande av brott. Personuppgifter i anknytning till förebyggande och avslöjande av brott ska enligt det föreslagna 1 mom. raderas senast 10 år efter att den sista anteckningen om ett brott, brottslig verksamhet eller ett uppdrag infördes. Den föreslagna huvudregeln motsvarar i huvudsak bestämmelsen om utplåning av uppgifter i underrättelseregistret i 20 § i den gällande lagen, men bestämmelsen ska i fortsättningen gälla alla personuppgifter som behandlas med stöd av 7 och 8 § i syfte att förebygga och avslöja brott. För observationsuppgifter gäller en kortare bevaringstid som motsvarar 19 § 1 mom. 2 punkten i den gällande lagen. Uppgifterna ska raderas inom sex månader från anteckningen. Genom detta tar man hänsyn till det att observationsuppgifter till sin natur är opålitliga och ska inte bevaras längre än nödvändigt.
Säkerhetsinformation som behandlas i syfte att förebygga och avslöja brott ska på motsvarande sätt som sådan säkerhetsinformation som avses i 26 § raderas senast ett år efter den registrerades död. På så sätt blir det möjligt att bevara uppgifter som gäller exempelvis en persons farlighet eller hälsotillstånd så länge som det behövs för att garantera säkerheten för personen själv eller för personer som hör till Tullens personal.
Exempelvis sådana personuppgifter som hänför sig till brottsanalyser som görs i syfte att förebygga eller avslöja brott och som behandlas i sådana temporära analysregister som avses i 7 § 2 mom. i den gällande lagen ska raderas i enlighet med den föreslagna paragrafen. Enligt 23 § 2 mom. i den gällande lagen ska uppgifter i sådana personregister som avses i 7 § 2 mom. utplånas efter fem år. Enligt 23 § 4 mom. i den gällande lagen ska personuppgifter emellertid inte utplånas om de inbegriper uppgifter som hänför sig till en persons egen säkerhet eller Tullens säkerhet i arbetet.
Införandet av samma systematiska bevaringstider för alla personuppgifter som behandlas enligt 7 och 8 § för att förebygga och avslöja brott klarlägger och förenklar raderingen av uppgifter med tanke såväl på genomförandet av systemen som på den registrerade personens rättsskydd. Samtidigt försäkrar man möjligheterna att förebygga och avslöja brott som med beaktande av hotpotentialen är större och allvarligare.
Det föreslagna 2 mom. innehåller en bestämmelse som motsvarar bestämmelsen i 25 § 7 mom. och 26 § 4 mom., enligt vilken personuppgifter fortfarande får bevaras om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Tullens personal har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. Som garanti för den personliga integriteten fungerar även de allmänt tillämpliga bestämmelserna om behovet av att behandla personuppgifter i 6 § i dataskyddslagen avseende brottmål.
Den kortare bevaringstiden ska även gälla i 7 § 6 mom. avsedda uppgifter som inte ansluter sig till ett enskilt uppdrag och som behandlas för att bedöma deras nödvändighet. Uppgifterna ska raderas omedelbart efter att det har bedömts att de inte är nödvändiga, dock senast inom sex månader från antecknandet. Om raderingen av uppgifter ska det emellertid med anledning av behandlingens exceptionella natur föreskrivas direkt i samband med bestämmelsen om behandlingen i 7 § 6 mom. De uppgifter som anses vara behövliga och som uppfyller förutsättningarna för behandling enligt 5—8 § ska överföras till de aktuella ändamålen med behandlingen och beträffande dem ska de raderingstider som föreskrivs för i 5—8 § avsedda uppgifter iakttas.
28 §.Radering av uppgifter om informationskällor. Det föreslås att bestämmelserna om raderingen av informationsskällor ska finnas i en separat paragraf. Förslaget motsvarar de ändringar som föreslås i 2 kap. och som innebär att bestämmelserna om behandlingen av uppgifter om informationskällor överförs till separat 9 §. Uppgifterna ska raderas 10 år efter att den sista uppgiften infördes.
29 §. Radering av personuppgifter som anknyter till tullövervakning och skattekontroll. Paragrafen motsvarar huvudsakligen den gällande 21 § i Tullens personuppgiftslag. Personuppgifter som anknyter till tullövervakning och skattekontroll raderas vid utgången av det sjätte kalenderår som följer på registreringen av uppgiften. De identifieringsuppgifter som avses i 10 § 2 mom. 1 punkten raderas dock med iakttagande av bestämmelserna i 25 och 26 §. Dessa identifieringsuppgifter är identifieringsuppgifter om en utredningsbegäran eller anmälan om brott som gjorts på basis av en inspektion eller om ett yrkande eller avgörande som avses i lagen om föreläggande av böter och ordningsbot. Dessa identifieringsuppgifter är samma uppgifter som registreras i de undersökningsuppdrag som avses i 5 § och vid utförandet av sådan handräckning som avses i 11 §.
30 §. Radering av personuppgifter som erhållits genom teknisk övervakning. I 1 mom. föreskrivs det att bild- och ljudupptagningar som erhållits genom teknisk övervakning ska raderas sex månader efter att anteckningen infördes i datasystemet. I 2 mom. föreskrivs det i enlighet med 22 § i den gällande lagen att uppgifter som gäller identifiering av registreringsskyltar ska raderas vid utgången av det kalenderår som följer på registreringen av uppgiften. I det fallet att grunden för behandlingen av de nämnda uppgifterna som ursprungligen fåtts genom teknisk övervakning blir till exempel ett undersökningsuppdrag som avses i 5 §, bestäms raderingstiderna i enlighet med vad som föreskrivs i 25 och 26 §. Detta innebär t.ex. att om det på en upptagning från teknisk övervakning har registrerats uppgifter i anslutning till medverkan i ett brott som är betydande med tanke på utredningen av ett tullbrott, så behöver inte dessa uppgifter raderas tidigare än vad personuppgifterna i anslutning till det aktuella brottmålet ska raderas. Egentligen är det då alltså inte längre fråga om uppgifter som erhållits vid teknisk övervakning, utan om sådana uppgifter om den som medverkat till ett tullbrott som avses i 5 §.
31 §.Uppgifter som konstaterats vara felaktiga. Paragrafen motsvarar till sitt innehåll 24 § i den gällande lagen. Genom den föreslagna bestämmelsen blir det möjligt att bevara en felaktig uppgift i registret tillsammans med den korrigerade uppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Tullens personal har (1 mom.). Felaktiga uppgifter får inte användas för något annat ändamål.
I 7 § i dataskyddslagen avseende brottmål föreskrivs att de personuppgifter som behandlas ska vara korrekta och uppdaterade med hänsyn till ändamålet med behandlingen. Den personuppgiftsansvarige se till att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt 25 § 1 mom. i den nämnda lagen ska den personuppgiftsansvarige på eget initiativ eller på yrkande av den registrerade utan obefogat dröjsmål rätta eller komplettera sådana personuppgifter om den registrerade som är oriktiga eller bristfälliga med tanke på ändamålet med behandlingen. Paragrafen ersätter inte kravet på begränsning av behandlingen av personuppgifter i enlighet med 25 § 2 mom. i dataskyddslagen avseende brottmål, utan genom att bevara paragrafen som den är säkerställs en problemfri övergång till regleringen enligt den nya lagen
Enligt artikel 5 i dataskyddsförordningen ska personuppgifter vara korrekta och om nödvändigt uppdaterade och alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt artikel 16 i förordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Den föreslagna bestämmelsen kompletterar den registrerades rätt i fråga om de ändamål med behandlingen som föreskrivs i 11 § att få uppgifter rättade i enlighet med artikel 16 i dataskyddsförordningen. Bestämmelsen avses inte begränsa denna rätt, men det ska vara möjligt att bevara uppgifter som konstaterats vara felaktiga tillsammans med de rättade uppgifterna i sådana situationer som avses i 1 mom.
Enligt 2 mom. ska en uppgift som konstaterats vara felaktig raderas genast när den inte längre behövs för att trygga rättigheterna.
32 §. Arkivering av uppgifter. Paragrafen innehåller en informativ bestämmelse där det hänvisas till arkivlagen (831/1994). Bestämmelsen motsvarar 25 § i den gällande lagen.
6 kap. Den registrerades rättigheter
Bestämmelser om de registrerades rättigheter ingår främst i 4 kap. i dataskyddslagen avseende brottmål och i kapitel III i dataskyddsförordningen. I detta kapitel specificeras nämnda bestämmelser när det gäller genomförandet av den registrerades rätt till insyn och de inskränkningar som riktas till den registrerades rättigheter.
I dataskyddsförordningen är det delvis den rättsliga grunden för behandlingen som avgör vilka rättigheter för en registrerad som ska tillämpas på behandlingen av personuppgifter. Rätten att radera uppgifter enligt artikel 17 i förordningen tillämpas inte när personuppgifter behandlas för att iaktta en lagstadgad skyldighet som förutsätter behandling och som tillämpas på den personuppgiftsansvarige på basis av unionsrätten eller en medlemsstats nationella rätt eller om behandlingen sker för att genomföra en uppgift gällande det allmänna intresset eller för utövande av offentlig makt tillhörande den personuppgiftsansvarige. Rätten till dataportabilitet enligt artikel 20 i förordningen tillämpas för sin del endast på behandling som grundar sig på samtycke eller ett avtal. Därtill täcker rätten att göra invändningar enligt artikel 21 enbart behandling som baserar sig på genomförandet en uppgift gällande det allmänna intresset, utövande av offentlig makt tillhörande den personuppgiftsansvarige eller på genomförande av den personuppgiftsansvariges eller tredje parts berättigade intressen. Eftersom den behandling av personuppgifter som avses i denna lag sker för att genomföra Tullens i lagen föreskrivna uppgifter, tillämpas artikel 17, 20 och 21 i förordningen inte på behandlingen.
33 §.Tillgodoseende av den registrerades rätt till insyn. I 1 mom. preciseras att den personuppgiftsansvarige svarar för att lämna ut de behövliga personuppgifterna och andra uppgifter för utövande av insyn när det är fråga om sådan rätt till insyn som avses i 23 § i dataskyddslagen avseende brottmål samt den registrerades rätt till tillgång till uppgifter enligt artikel 15 i dataskyddsförordningen. Den personuppgiftsansvarige kan också förordna en verksamhetsenhet inom Tullen att sköta uppgiften.
Enligt 23 § i dataskyddslagen avseende brottmål kan den registrerade presentera den personuppgiftsansvarige en begäran om att få kontrollera sina uppgifter med en egenhändigt undertecknad handling eller på motsvarande verifierat sätt eller personligen hos den personuppgiftsansvarige. En begäran genom en egenhändigt undertecknad handling eller på ett därmed jämförbart bestyrkt sätt räcker emellertid inte för att man ska kunna säkerställa identiteten på den som framförde begäran på ett tillräckligt tillförlitligt sätt med tanke på de personuppgifter som behandlas av Tullen. I 2 mom. föreskrivs med avvikelse från dataskyddslagen avseende brottmål att en registrerad som vill utöva sin rätt till insyn ska framställa en personlig begäran om detta till den personuppgiftsansvarige eller någon annan i 1 mom. avsedd verksamhetsenhet inom Tullen samt styrka sin identitet. En begäran kan alternativt framställas genom att tillförlitlig elektronisk identifiering används på ett bestyrkt sätt, om en sådan tjänst tillhandahålls av den personuppgiftsansvarige. Vid identifieringen ska iakttas kraven i lagstiftningen om elektronisk kommunikation i myndigheternas verksamhet. Tillhandahållandet av en elektronisk tjänst underlättar den registrerades möjligheter att utöva sin rätt till insyn på det sätt som det förutsätts enligt dataskyddsdirektivet och dataskyddsförordningen. I bestämmelsen beaktas emellertid att en elektronisk tjänst eventuellt kan införas vid en senare tidpunkt som närmare anges av den personuppgiftsansvarige.
Ytterligare information som begärts för att bekräfta den registrerades identitet bör enligt skäl 41 till direktivet endast behandlas för detta specifika ändamål och bör inte lagras längre än vad som krävs för detta ändamål.
34 §. Inskränkningar i rätten till insyn. Om inskränkandet av den registrerades rätt till insyn i enskilda fall föreskrivs i 24 och 28 § i dataskyddslagen avseende brottmål. Genom den föreslagna 34 § kompletteras dessa bestämmelser med bestämmelser om allmänna undantag som gäller Tullens behandling av personuppgifter när det gäller den rätt till insyn för en registrerad som det föreskrivs om i 23 § i dataskyddslagen avseende brottmål. Enligt paragrafens 1 mom. 1 punkten har den registrerade inte rätt till insyn i uppgifter som avses i 5 § 3 mom. och 7 § 6 mom., vars betydelse med tanke på Tullens uppgifter ännu inte är klarlagd, och inte i sådana uppgifter om informationskällor som avses i 9 §.
I 2 punkten utesluts insynsrätten gällande i 5—8 och 10 § avsedda personuppgifter i vilka uppgifter om Tullens taktiska eller tekniska metoder, observationsuppgifter, uppgifter om informationskällor eller uppgifter som används för teknisk undersökning ingår. Punkten ersätter och innehåller i samma omfattning som tidigare 29 § 1 mom. 4 punkten i den gällande lagen, men omformuleras så att den beaktar de ändringar som föreslås i 2 kap. Samtidigt harmoniseras formuleringen med 24 § 1 mom. 5 punkten i offentlighetslagen, där det föreskrivs om sekretessen gällande handlingar som innehåller uppgifter om polisens, Gränsbevakningsväsendets och Tullens samt fångvårdsmyndigheternas taktiska och tekniska metoder och planer, samt med 4 kap. 1 § 1 mom. i lagen om brottsbekämpning inom Tullen, enligt vilken de som hör till Tullens personal är inte skyldiga att lämna ut information om sekretessbelagda taktiska eller tekniska metoder. Partens rätt att få information om de nämnda uppgifterna har även inskränkts på grund av ett synnerligen viktigt allmänt intresse enligt 11 § 2 mom. 1 punkten i offentlighetslagen. Avslöjandet av dessa uppgifter kan leda till att metoder avslöjas samt skada förebyggandet och utredningen av brott. I Tullens taktiska och tekniska metoder ingår också uppgifterna om användningen av hemliga metoder för inhämtning av information enligt 4 punkten samt om själva metoderna. Till dessa inhämtningsmetoders särkaraktär hör att behandlingen, beslutsfattande och genomförandet av ärendet gällande dem sker utan att personen som är föremålet vet om detta genom domstolens beslut, och det har separat föreskrivits om informeringen av personen i fråga. Det finns ett separat övervakningsförfarande för att övervaka användningen av dessa metoder. Eftersom de hemliga tvångsmedlen genomförs utan att personen som är föremålet för dem vet om detta, kan uppgifter inte heller ämnas till honom eller henne på basis av personuppgiftslagen.
I 2 punkten inskränks, på motsvarande sätt som i den gällande lagen, insynsrätten så att den inte omfattar i Tullens informationssystem registrerade uppgifter om en person vilka inverkar på personens egen säkerhet eller på säkerheten i arbetet för en tullman, efterlysningsuppgifter som registrerats i efterlysningsuppgifter för att iaktta personen, efterlysningsuppgifter om personer under uppsyn som rör sig med motorfordon som har registrerats i uppgifterna om motorfordon som söks, uppgifter om målpersonens säkerhet vid förvaring som har registrerats i uppgifter om anhållna, uppgifter om gärningssätt samt bland signalementsuppgifter nyckelord, särskilda kännetecken, fotografier, finger- och handavtryck, DNA-prov och klassificeringsuppgifter för dem samt fotavtryck.
Enligt 3 punkten ska rätten till insyn inte gälla sådana uppgifter för identifiering av registreringsskyltar som erhållits genom teknisk övervakning enligt 11 §. Punkten motsvarar 29 § 1 mom. 2 punkten i den gällande lagen. Bestämmelser om inskränkning av rätten till insyn är motiverade för att trygga integritetsskyddet, så att den som är antecknad som ett fordons ägare eller innehavare i registret inte kan utnyttja sin rätt till insyn för att ta reda på var en person som med lov har använt fordonet har rört sig.
Momentets 4 punkt, som motsvarar 29 § 1 mom. 5 punkten i den gällande lagen, utesluter insynsrätten för en registrerad när det gäller personuppgifter som fåtts genom de inhämtningsmetoder som avses i 2 kap. 14 § 1 och 2 mom. och 3 kap. i lagen om brottsbekämpning inom Tullen och 10 kap. i tvångsmedelslagen samt med stöd av 19 kap. 157 § i lagen om tjänster inom elektronisk kommunikation (917/2014).
Enligt 2 mom. har den registrerade rätt att be dataombudsmannen kontrollera lagenligheten av behandlingen av sådana personuppgifter som avses i 1 mom. på det sätt som föreskrivs i 29 § i dataskyddslagen avseende brottmål. Den registrerade ska lämna en begäran om utövning av rättigheterna till dataombudsmannen eller Tullen i enlighet med 33 § 2 mom. Tullen ska därefter utan dröjsmål överföra begäran till dataombudsmannen. Tullen kan då verifiera personens identitet och kontrollera att personuppgifterna stämmer. Förutom när det gäller en sådan begäran om att rätten till insyn ska tillgodoses som avses i 31 § är det också nödvändigt att säkerställa identiteten på en person som framfört en sådan begäran om att få utnyttja sin indirekta rätt till insyn som ska överföras till dataombudsmannen eftersom behandlingen av begäran ofta förutsätter omfattande behandling av personuppgifter.
Konsekvenserna av de förslag som gäller inskränkningar i rätten till insyn för skyddet av personlig integritet bedöms närmare i det avsnitt som gäller propositionens förhållande till grundlagen.
35 §.Den registrerades rätt till begränsning av behandling. Genom den föreslagna 35 § inskränks den registrerades rätt med stöd av artikel 18 i dataskyddsförordningen att begränsa behandlingen av sina personuppgifter. Inskränkningen grundar sig på det handlingsutrymme som medlemsstaterna ges i artikel 23 i dataskyddsförordningen.
Den registrerade har med stöd av artikel 18 i dataskyddsförordningen rätt att kräva att behandlingen av hans eller hennes personuppgifter begränsas till exempel om den registrerade bestrider personuppgifternas korrekthet eller anser att behandlingen av uppgifterna är olaglig. Om behandlingen har begränsats, får personuppgifter endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat. Enligt skäl 67 till dataskyddsförordningen kan sätten att begränsa behandlingen av personuppgifter bland annat inbegripa att man flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör klart anges inom systemet.
Propositionens inverkan på skyddet av personlig integritet bedöms mer ingående i den del som gäller propositionens förhållande till grundlagen.
7 kap. Särskilda bestämmelser
36 §. Personuppgiftsansvarig. I paragrafen preciseras att det är Tullen som är personuppgiftsansvarig för de personuppgifter som Tullen behandlar. I fråga om de signalementsuppgifter som avses i 6 § 2 punkten och 8 § 1 mom. 3 punkten föreskrivs dock särskilt om den personuppgiftsansvarige. För närvarande är signalementsuppgifterna uppgifter i informationssystemet för polisärenden som registerförs av polisen. Syftet är inte att till denna del ändra på nuläget när det gäller personuppgiftsansvaret. I fråga om personuppgiftsansvaret föreslås endast att de säkerhetsuppgifter som avses i 6 § 3 punkten och 8 § 1 mom. 4 punkten som Tullen behandlar flyttas från polisens registerföring till Tullens registerföring.
37 §.Ikraftträdande. I paragrafen föreskrivs om lagens ikraftträdande. Det föreslås att lagen ska träda i kraft så snart som möjligt. Genom lagen upphävs lagen av den 22 maj 2015 om behandling av personuppgifter inom Tullen. I 3 mom. ingår en övergångsbestämmelse om raderingstider för personuppgifter som avses i 5—8, 10 och 11 §. Raderingen av uppgifterna ska genomföras i enlighet med denna lag inom fyra år från lagens ikraftträdande.
På radering av de personuppgifter som avses i 5—8, 10 och 11 § tillämpas under övergångstiden 19—23 § som gällde vid ikraftträdandet av denna lag.