Regeringens proposition
RP
13
2018 rd
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter inom Försvarsmakten och till vissa lagar som har samband med den
PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL
I propositionen föreslås att det ska stiftas en lag om behandling av personuppgifter inom Försvarsmakten. Lagen ska tillämpas på sådan behandling av personuppgifter som utförs av Försvarsmakten och för Försvarsmaktens räkning, och det föreslås att i den ska koncentreras de bestämmelser om behandling av personuppgifter som finns i andra lagar om försvarsförvaltningen. Förslaget sammanhänger med totalrevideringen av den finska dataskyddslagsstiftningen, som ska göras på grund av Europeiska unionens lagstiftning som gäller dataskydd. 
I förslaget ingår dessutom förslag till lagar om ändring av värnpliktslagen, lagen om militär krishantering, lagen om försvarsmakten, territorialövervakningslagen, lagen om militär disciplin och brottsbekämpning inom försvarsmakten samt lagen om hälsovården inom försvarsmakten. De bestämmelser som gäller behandling av personuppgifter och som ingår i de nämnda lagarna ska flyttas över till den föreslagna lagen om behandling av personuppgifter inom Försvarsmakten. Vidare ingår i propositionen förslag till lagar om ändring av lagen om frivilligt försvar och säkerhetsutredningslagen. 
Lagarna avses träda i kraft den 6 maj 2018.  
ALLMÄN MOTIVERING
1
Inledning
Syftet med propositionen är att stifta en ny lag om behandling av personuppgifter inom Försvarsmakten. I lagen ska sammanställas de bestämmelser om behandling av personuppgifter inom Försvarsmakten som finns i de lagar som innehåller försvarsförvaltningens befogenheter. Syftet med lagen är att säkerställa att kravet enligt 10 § 1 mom. i grundlagen, att lagstifta om skydd för personuppgifterna, blir uppfyllt på korrekt sätt i Försvarsmaktens verksamhet. 
Propositionen sammanhänger med totalrevideringen av den finska dataskyddslagstiftningen. Bakgrunden till revideringen är Europeiska unionens förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (nedan allmänna dataskyddsförordningen eller EU:s dataskyddsförordning) samt Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (nedan direktivet om dataskydd i brottmål). Allmänna dataskyddsförordningen och direktivet om dataskydd i brottmål börjar tillämpas i maj 2018. I samband med revideringen har det föreslagits att den allmänna personuppgiftslagen (523/1999), som sedan år 1999 har tillämpats på all behandling av personuppgifter i Finland, ska upphävas. Parallellt med allmänna dataskyddsförordningen ska den föreslagna allmänna dataskyddslagen (RP 9/2018 rp) tillämpas.  
Parallellt med den föreslagna lagen om behandling av personuppgifter inom Försvarsmakten ska också tillämpas lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten, som har föreslagits ingå som en allmän del i dataskyddslagstiftningen. På tillämpningsområdet för den helhet som dessa lagar bildar ska EU:s dataskyddsförordning och den föreslagna allmänna dataskyddslagen inte alls tillämpas.  
I propositionen ingår vidare ett förslag till lag om ändring av lagen om frivilligt försvar (556/2007). Genom det lagförslaget ska den personuppgiftsreglering som förpliktar Försvarsutbildningsföreningen harmoniseras med den föreslagna regleringen om Försvarsmakten och samtidigt ska det säkerställas att informationsutbytet mellan Försvarsmakten och Försvarsutbildningsföreningen går smidigt. På Försvarsutbildningsföreningens behandling av personuppgifter ska dessutom tillämpas allmänna dataskyddsförordningen och den föreslagna allmänna dataskyddslagen.  
2
Nuläget
2.1
Lagstiftning och praxis
2.1.1
2.1.1 Inledning
I grundlagens 10 § föreskrivs om skydd för privatlivet. Enligt 1 mom. utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Skyddet för privatlivet har av tradition medfört en skyldighet för staten att såväl själv avhålla sig från att kränka medborgarnas privatliv som också att aktivt agera mot kränkningar av privatlivet. Utgångspunkten för skyddet för privatlivet är individens rätt att leva sitt eget liv utan att myndigheter och andra utomstående godtyckligt eller grundlöst ingriper i hans eller hennes privatliv. 
Som allmän lag för behandling av personuppgifter tillämpas personuppgiftslagen (523/1999), genom vilken den lagstiftning som gäller behandling av personuppgifter har fåtts att motsvara dataskyddsdirektivet (95/46/EG) om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (nedan personuppgiftsdirektivet). Vid beredningen av personuppgiftslagen beaktades även den reform som trädde i kraft 1995 och gällde bestämmelserna om grundläggande fri- och rättigheter i regeringsformen.  
Utöver personuppgiftslagen finns det i Finland många speciallagar som gäller behandling av personuppgifter. Inom försvarsministeriets förvaltningsområde finns det för närvarande speciallagstiftning gällande behandling av personuppgifter i värnpliktslagen (1438/2007), lagen om försvarsmakten (551/2007), lagen om militär disciplin och brottsbekämpning inom försvarsmakten (255/2014), territorialövervakningslagen (755/2000) och lagen om militär krishantering (211/2006). Dessutom ingår i lagen om frivilligt försvar bestämmelser om Försvarsutbildningsföreningens behandling av personuppgifter. 
2.1.2
2.1.2 Allmänna personuppgiftslagen
Genom personuppgiftslagen infördes Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (nedan personuppgiftsdirektivet). Utanför tillämpningsområdet för detta direktiv har ställts sådana situationer där behandlingen av personuppgifter utförs i sådan verksamhet som inte hör till tillämpningsområdet för unionsrätten. Utanför personuppgiftsdirektivets tillämpningsområde står därmed bl.a. sådan behandling av personuppgifter som gäller den allmänna säkerheten, försvaret och statens säkerhet. Till följd av ett nationellt avgörande tillämpas personuppgiftslagen dock också på all sådan behandling av personuppgifter som inte hör till direktivets tillämpningsområde.  
Personuppgiftslagen tillämpas bland annat på automatisk behandling av personuppgifter. Lagen tillämpas också på annan behandling av personuppgifter då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. I 3 § i personuppgiftslagen definieras centrala begrepp i lagen. Enligt 1 punkten i paragrafen avses med personuppgifter alla slags anteckningar som beskriver en fysisk person eller hans egenskaper eller levnadsförhållanden som kan hänföras till honom själv eller till hans familj eller någon som lever i gemensamt hushåll med honom. Med behandling av personuppgifter avses igen alla åtgärder som vidtas i fråga om personuppgifter. 
I 8 § i personuppgiftslagen föreskrivs om allmänna förutsättningar för behandling av personuppgifter. Någon av de förutsättningar som nämns i paragrafen måste uppfyllas för att behandling av personuppgifter ska vara tillåten. I fråga om behandling av känsliga personuppgifter ska utöver detta också någon av förutsättningarna i 12 § vara uppfylld.  
I 2 kap. i personuppgiftslagen föreskrivs om de principer som ska följas vid behandlingen av personuppgifter. I enlighet med kapitlet ska den registeransvarige iaktta aktsamhet vid behandlingen av personuppgifter, behandlingen av uppgifterna ska vara motiverad med hänsyn till den registeransvariges verksamhet, de personuppgifter som behandlas ska vara behövliga med hänsyn till det angivna ändamålet med behandlingen av personuppgifterna, och oriktiga, ofullständiga eller föråldrade personuppgifter får inte behandlas. 
Enligt personuppgiftslagen är det förbjudet att behandla känsliga personuppgifter, med vissa undantag som nämns i lagen. Med känsliga personuppgifter avses personuppgifter som beskriver eller vilkas syfte är att beskriva bl.a. ras eller etniskt ursprung samt en brottslig gärning, ett straff eller någon annan påföljd för ett brott. I 4 kap. i personuppgiftslagen föreskrivs om behandling av personuppgifter för särskilda ändamål. Som ett sådant särskilt ändamål avses bl.a. behandling av personuppgifter för historisk eller vetenskaplig forskning samt för statistiska ändamål.  
I 5 kap. i personuppgiftslagen föreskrivs om översändande av personuppgifter till stater utanför Europeiska unionen. En allmän förutsättning för sådant översändande är att en tillräcklig dataskyddsnivå tryggas i staten i fråga. Huruvida dataskyddsnivån är tillräcklig ska bedömas med beaktande av uppgifternas art, syftet med den planerade behandlingen och hur länge den räcker, ursprungsland och slutlig destination, allmänna och branschspecifika rättsregler samt uppförandekodexar i landet i fråga och de skyddsåtgärder som ska iakttas. Följaktligen krävs inte t.ex. samma nivå som i personuppgiftslagen för att nivån ska vara tillräcklig. Det är möjligt att göra undantag från denna allmänna förutsättning på grunder enligt 23 §. 
I 6 kap. i personuppgiftslagen föreskrivs om den registrerades rättigheter. Kapitlet innehåller bestämmelser bl.a. om den registrerades rätt att få information om att hans eller hennes personuppgifter behandlas, rätt till insyn, rätt att få en rättelse av en uppgift samt rätt att förbjuda den registeransvarige att behandla den registrerades personuppgift för vissa syften. 
I 7 kap. i personuppgiftslagen föreskrivs om datasäkerhet och förvaring av uppgifter. Den registeransvarige ska vid skyddandet av uppgifter beakta tillgängliga tekniska möjligheter, de kostnader som orsakas av åtgärderna, uppgifternas art, mängd och ålder samt vilken betydelse behandlingen har med avseende på integritetsskyddet. På förvaring av ett register som anknyter till myndigheternas verksamhet tillämpas arkivlagen (831/1994). I 35 § i personuppgiftslagen föreskrivs om överföring av personuppgifter till arkiv. Med arkivverket avses i denna paragraf Riksarkivet.  
I 9 kap. i personuppgiftslagen har datasekretessmyndighetens uppgifter anvisats Dataombudsmannen och datasekretessnämnden. Bestämmelser om deras uppgifter finns i personuppgiftslagen och i lagen om datasekretessnämnden och dataombudsmannen (389/1994) samt i förordningen om datasekretessnämnden och dataombudsmannen (432/1994). Dataombudsmannens främsta uppgift är att vara en styrande och rådgivande myndighet. Till datasekretessnämndens uppgifter hör framför allt de beslut om tillstånd och föreskrifter vilka fastslås i personuppgiftslagen.  
I 48 § i personuppgiftslagen ingår straffbestämmelser. Genom paragrafen uppfylls skyldigheten för medlemsländerna i 24 artikeln i personuppgiftsdirektivet att fastställa sanktioner, som tillämpas i fall där det bryts mot bestämmelser som har stiftats i överensstämmelse med direktivet. Datasekretessmyndigheternas befogenheter omfattar inte påförande av administrativa böter eller andra administrativa påföljder av straffkaraktär. 
2.1.3
2.1.3 Särskilda bestämmelser i lagarna inom försvarsministeriets förvaltningsområde
Enligt 2 § 1 mom. i personuppgiftslagen ska personuppgiftslagen iakttas, om inte annat bestäms någon annanstans i lag. I flera lagar inom försvarsförvaltningens område finns bestämmelser som kompletterar personuppgiftslagen och i en del fall har man med dessa särskilda bestämmelser gjort undantag från bestämmelserna i personuppgiftslagen. Dessa speciallagar tillämpas därmed parallellt med personuppgiftslagen och delvis i stället för den.  
I 11 kap. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten föreskrivs om de personregister som ska upprätthållas på lagens tillämpningsområde. Av de permanenta personregister som ska upprätthållas på lagens tillämpningsområde anknyter informationssystemet för militärrättsvården och registret för disciplinavgöranden till skötseln av militärdisciplinärenden och säkerhetsdataregistret till förebyggande och utredning av brott. För skötsel av uppgifter med anknytning till förebyggande och utredning av brott är det dessutom möjligt att grunda tillfälliga personregister.  
Personregister som anknyter till skötseln av militärdisciplinärenden är informationssystemet för militärrättsvården och registret för disciplinavgöranden. I 106 § i lagen om militär disciplin och brottsbekämpning inom försvarsmakten föreskrivs om informationssystemet för militärrättsvården, som upprätthålls för skötseln av försvarsmaktens förundersökningsuppdrag. I paragrafen föreskrivs om ändamålet med registret, den registeransvarige och tillåtet datainnehåll i registret. Vidare föreskrivs i 107 § i lagen om rätten att använda informationssystemet för militärrättsvården. Bestämmelser om registret för disciplinavgöranden finns på motsvarande sätt i 118 och 119 § i lagen. Registret för disciplinavgöranden upprätthålls för registrering och övervakning av avgörandena i disciplinärenden som påförs i ett militärdisciplinförfarande, för utredning av tidigare disciplinbeslut och för upprätthållande av brotts- och påföljdsstatistik samt för registrering av avgörandena i ärenden som behandlats som militära rättegångsärenden vid domstol, inklusive disciplinstraff. Bestämmelser om behandling av personuppgifter i samband med militärdisciplinärenden ingår dessutom i 42–44 § (rätt att få uppgifter), i 111 § (behandling av uppgifter som inte hänför sig till ett enskilt uppdrag), 112 § 2 mom. (behandling av överskottsinformation som erhållits med hemliga tvångsmedel), i 113 och 114 § (utlämnande av uppgifter), i 115 och 120 § (utplåning av uppgifter), i 121 § (behandling av känsliga uppgifter) samt i 122 § (granskningsrätt).  
Behandling av personuppgifter som sammanhänger med förebyggande och avslöjande av brott sker huvudsakligen i säkerhetsdataregistret, om vilket föreskrivs i 108 och 109 § i lagen. I säkerhetsdataregistret får sådana uppgifter föras in som är nödvändiga för ett uppdrag som avses i 86 § 1 mom. Enligt nämnda bestämmelse sörjs det vid försvarsmaktens förebyggande och avslöjande av brott för att brott som anknyter till underrättelseverksamhet som riktar sig mot Finland och verksamhet som äventyrar syftet med det militära försvaret förebyggs och avslöjas. För skötsel av uppgifter med anknytning till förebyggande och avslöjande av brott är det dessutom möjligt att grunda temporära personregister i enlighet med 110 §. Bestämmelser om behandling av personuppgifter i samband med förebyggande och avslöjande av brott ingår dessutom i lagens 91–93 § (rätt att få uppgifter), i 111 § (behandling av personuppgifter som inte hänför sig till ett enskilt uppdrag), 112 § 1 mom. (behandling av överskottsinformation som erhållits med hemliga informationsinhämtningsmetoder), i 113 och 114 § (utlämnande av uppgifter), i 116 och 117 § (utplåning av uppgifter), i 121 § (behandling av känsliga uppgifter) samt i 122 och 123 § (granskningsrätt och begränsningar i den). 
I värnpliktslagen har bestämmelserna om personuppgifter koncentrerats till 10 kap., som innehåller bestämmelser om värnpliktsregistret. Värnpliktsregistret innehåller personuppgifter om nästan hela Finlands manliga befolkning, om dem som fullgör värnplikt i enlighet med lagen om frivillig militärtjänst för kvinnor och om andra personer som är anställda av Försvarsmakten eller Gränsbevakningsväsendet. Uppgifterna om de värnpliktiga bevaras i registret efter beväringstjänsten under den tid som personen hör till reserven eller den ersättande reserven. I enlighet med 91 § i värnpliktslagen förs värnpliktsregistret för bestämmande av tjänsteduglighet och förordnande till tjänst i fråga om dem som förts in i registret, för planering och ordnande av den nationella och internationella utbildningen och tjänstgöringen, för befordran och belöning samt för placering i uppgifter under undantagsförhållanden och för att skapa beredskap. I enlighet med 91 § 2 mom. i lagen ska i registret dessutom få föras in också personuppgifter som gäller andra än värnpliktiga för placering i och beredskap för uppgifter under mobilisering och undantagsförhållanden.  
Enligt 93 § i värnpliktslagen får militärmyndigheten behandla uppgifter som ingår i värnpliktsregistret i den omfattning uppgifterna behövs för skötseln av myndighetens uppgifter enligt 91 §. När det gäller uppgifter om en värnpliktigs hälsotillstånd, sjukdom, invaliditet eller en vårdåtgärd som gäller honom samt uppgifter om brottsmisstanke eller ett straff, är behandlingen av uppgifterna mera restriktiv.  
I värnpliktslagens 94 § föreskrivs om registrets datainnehåll och i 95 § om den värnpliktiges upplysningsplikt. Brott mot upplysningsplikten har kriminaliserats i 124 § i lagen. I 98 § bestäms om utplåning av uppgifter ur värnpliktsregistret. Vidare föreskrivs det i lagens 10 kap. om rätt att få uppgifter av en myndighet, en sammanslutning och en privatperson samt om utlämnande av uppgifter ur registret. Värnpliktslagen innehåller ingen bestämmelse om allmän rätt att få upplysningar för skötseln av värnpliktsärenden, utan i lagen finns endast uttryckligen uppräknat de instanser och register som Försvarsmakten har rätt att få uppgifter från för skötseln av sina uppdrag.  
I 16 § i lagen om försvarsmakten föreskrivs om registret för tillstånds- och övervakningsärenden, som är ett permanent personregister. Det är avsett för riksomfattande bruk och förs med hjälp av automatisk databehandling. I registret införs sådana uppgifter som det är nödvändigt att behandla för beviljande av de tillstånd som avses i lagen om försvarsmakten och som gäller rätten att röra sig samt för övervakning av förbud och begränsningar. De uppgifter om en person som får föras in i registret har räknats upp i 16 § 2 mom. I 17 § i lagen föreskrivs om den registeransvarige, som är huvudstaben samt respektive förvaltningsenhet inom sitt verksamhetsområde.  
I 36 a § i territorialövervakningslagen föreskrivs om ett register över territorialövervakningens tillstånds- och övervakningsärenden, som är ett permanent personregister, som är avsett för riksomfattande användning. Registret förs för handläggning av ansökan, anmälan, utlåtande och beslut som gäller ankomst till landet, uppehåll och rörelse i landet och annan tillståndspliktig verksamhet som avses i territorialövervakningslagen samt för övervakning av att förbud, begränsningar och tillståndsvillkor enligt den lagen iakttas. I registret får föras in uppgifter i fråga om en person som ankommer till finskt territorium, som uppehåller sig på ett skyddsområde eller någon annanstans där det krävs tillstånd för att uppehålla sig eller som bedriver tillståndspliktig verksamhet. Föremål för registrering är i synnerhet en främmande stats militärpersoner, vilkas uppgifter behöver behandlas i samband med tillståndsärenden som gäller inresa och vistelse i landet, vilka avses i 2 kap. i territorialövervakningslagen. En annan central grupp av registrerade är de personer som ansöker om tillstånd för sådan undersökning som avses i 3 kap. eller sådan tillståndspliktig verksamhet på ett skyddsområde som avses i 4 kap. i territorialövervakningslagen. Enligt 37 § i territorialövervakningslagen har en territorialövervakningsmyndighet, leverantören av flygtrafikledningstjänster och cellen för luftrumsplanering rätt att ge varandra uppgifter också ur sekretessbelagda dokument, om uppgifterna behövs för ett territorialövervakningsuppdrag.  
I 31–33 § i lagen om militär krishantering finns bestämmelser om ett register över krishanteringspersonal. Registret används för val av personer till militär krishantering och till ett militärt uppdrag i annan internationell krishantering samt vid planering och anordnande av utbildning och tjänstgöring. I 32 § i lagen om militär krishantering finns bestämmelser om registrets datainnehåll. Registret över krishanteringspersonal baserar sig huvudsakligen på de uppgifter som finns i värnpliktsregistret, men det innehåller uppgifter också om andra än värnpliktiga personer. I 33 § i lagen om militär krishantering föreskrivs om utlämnande av samt förvaringstiden för och annan behandling av uppgifter. Den maximala förvaringstiden för uppgifter i registret har år 2015 förlängts från tidigare två år till tio år för att möjligheten att utnyttja uppgifterna skulle utökas.  
I 8 kap. i lagen om frivilligt försvar föreskrivs om behandling av personuppgifter i Försvarsutbildningsföreningen. I enlighet med 39 § i lagen förs uppgifter om de personer som deltar i frivilligt försvar in i värnpliktsregistret och i enlighet med 40 § i lagen i Försvarsutbildningsföreningens register. På behandlingen av uppgifterna i värnpliktsregistret tillämpas bestämmelserna i värnpliktslagen. I 40 § föreskrivs om Försvarsutbildningsföreningens register, där uppgifter finns om dem som avgett förbindelse för en uppgift i föreningen samt dem som deltagit i utbildning. I paragrafen räknas de uppgifter upp som får föras in i registret. I enlighet med 5 mom. kan närmare bestämmelser om innehållet i dessa uppgiftskategorier och om registerföringen utfärdas genom förordning av statsrådet. I 41 § föreskrivs om Försvarsutbildningsföreningens rätt att få uppgifter ur värnpliktsregistret och å andra sidan lämna ut uppgifter ur Försvarsutbildningsföreningens register till försvarsmakten och räddningsmyndigheterna. 
Försvarsmakten behandlar personuppgifter också i samband med skötseln av uppdrag som gäller militär underrättelseverksamhet. I fråga om detta finns det dock ingen gällande speciallagstiftning, utan behandlingen av personuppgifter i uppdrag inom militär underrättelseverksamhet grundar sig på bestämmelserna i den allmänna personuppgiftslagen. Militär underrättelseverksamhet ingår i försvarsmaktens lagstadgade uppgifter utgående från 2 § 1 mom. 1 punkten i lagen om försvarsmakten. Den militära underrättelseverksamheten bevakar och analyserar utvecklingen i den finska säkerhetspolitiska omgivningen, fastställer ändringar i omgivningen och producerar information om rådande läge som stöd för beslutsfattandet. Syftet med systemet för militär underrättelseverksamhet är att ge en förvarning om att militära hot håller på att utvecklas. 
2.2
Den internationella utvecklingen samt lagstiftningen i utlandet och i EU
2.2.1
2.2.1. EU:s dataskyddsreform
Inledning 
EU-kommissionen gav ett förslag till allmän dataskyddsförordning och direktiv om dataskydd i brottmål i januari 2012. Förordningen och direktivet trädde i kraft i maj 2016 och de börjar tillämpas i maj 2018.  
Dataskyddsförordningen är en allmän rättsakt för behandling av personuppgifter, vilken tillämpas på största delen av behandlingen av personuppgifter. Dataskyddsförordningen är direkt tillämplig rätt i medlemsstaterna, vilket gör att någon särskild författning om sättande i kraft av den inte behövs. Förordningen ger emellertid medlemsstaterna prövningsrätt i fråga om direktivet och till denna del är avsikten att komplettera förordningen med den föreslagna allmänna dataskyddslagen. Förordningen tillämpas på behandling av personuppgifter både på offentliga och privata sektorn och den tillämpas i vissa situationer, som fastslås i förordningen, också på organisationer som har etablerat sig utanför EU. 
På behandling av personuppgifter som hänför sig till förebyggande, avslöjande och utredning av brott och till åtalsåtgärder som hänför sig till brott eller till verkställighet av straffrättsliga påföljder tillämpas emellertid inte dataskyddsförordningen, utan för dessa har ett särskilt direktiv om dataskydd i brottmål utfärdats. Direktivet gäller behandlingen av personuppgifter i samband med brottmål både mellan medlemsstaterna och inom dem. Direktivet ska genomföras separat i medlemsstaterna. 
Utanför tillämpningsområdet för båda de nya dataskyddsinstrumenten, förordningen och direktivet, har ställts behandling av personuppgifter i samband med sådan verksamhet som inte hör till tillämpningsområdet för unionsrätten. Eftersom den nationella säkerheten inte hör till tillämpningsområdet för unionsrätten, hör största delen av den behandling av personuppgifter som sker inom Försvarsmakten inte till tillämpningsområdet för någondera rättsakten. 
Allmänna dataskyddsförordningen 
Genom allmänna dataskyddsförordningen har man eftersträvat att besvara de utmaningar som bl.a. teknikutvecklingen och globaliseringen medför för skyddet av personuppgifter. Dataskyddsförordningen kan anses mera detaljerad än de nu gällande personuppgiftsdirektivet och personuppgiftslagen. I totalreformen av dataskyddslagstiftningen är avsikten att den allmänna personuppgiftslagen ska upphävas. Efter att personuppgiftslagen har upphävts ska förordningen kompletteras av en allmän dataskyddslag, som har föreslagits bli stiftad, och som ska vara allmän lag vid behandlingen av personuppgifter. Dataskyddsförordningen och den föreslagna dataskyddslagen ska tillämpas parallellt. Dataskyddslagen ska komplettera dataskyddsförordningen till den del som det finns möjlighet till detta inom ramen för det nationella spelrum som ges i dataskyddsförordningen.  
Utanför tillämpningen av förordningen har i artikel 2.2.a i dataskyddsförordningen ställts sådan behandling av personuppgifter som inte omfattas av unionsrätten och i artikel 2.2.b sådan behandling av personuppgifter som medlemsstaterna utför när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken. Bland annat allmän säkerhet, försvar och statens säkerhet är delområden som generellt har ställts utanför EU:s befogenheter och därmed också utanför tillämpningen av unionsrätten.  
Dataskyddsförordningen tillämpas i enlighet med dess artikel 2 på behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Utöver ovan nämnda verksamheter har sådan behandling av personuppgifter enligt artikel 2.2 i förordningen som en fysisk person utför som ett led i verksamhet av privat natur eller som har samband med hans eller hennes hushåll samt sådan behandling av personuppgifter som hör till tillämpningsområdet för direktivet om dataskydd i brottmål ställts utanför förordningens tillämpningsområde.  
Artikel 6 i dataskyddsförordningen innehåller bestämmelser om förutsättningarna för behandling av personuppgifter. Enligt den är behandling av personuppgifter laglig endast om något av villkoren i artikel 6.1 uppfylls.  
I förordningens II kapitel föreskrivs om principerna för behandling av personuppgifter, och de är bl.a. laglighet, korrekthet, öppenhet, ändamålsbegränsning och uppgiftsminimering. Enligt artikel 9 i förordningen ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning i regel vara förbjuden. Dessa uppgifter får endast behandlas i situationer som är förenliga med artikel 9.2. 
Principerna i förordningens II kapitel motsvarar till flera delar principerna enligt personuppgiftslagen, men en del av principerna är mera exakta i förordningen. Den personuppgiftsansvarige ska sörja för att dataskyddsprinciperna följs i alla faser av behandling av personuppgifter. Vidare ska den personuppgiftsansvarige i enlighet med artikel 5.2 kunna visa att principerna har följts. I artikel 25 i förordningen föreskrivs om inbyggt och standardiserat dataskydd, enligt vilket frågor om dataskydd ska identifieras och beaktas redan i den fasen då verksamheter som inbegriper behandling av personuppgifter planeras eller datasystem utvecklas. 
Kapitel III i dataskyddsförordningen gäller den registrerades rättigheter. Ett viktigt mål som ligger bakom dataskyddsförordningen är att förbättra den registrerades möjlighet att övervaka behandlingen av personuppgifterna. Den personuppgiftsansvarige ska tillhandahålla den registrerade information om behandlingen av personuppgifter i en koncis, klar och tydlig, begriplig och lätt tillgänglig form. Förordningen ställer tidsfrister för informerandet och för de åtgärder som ska vidtas utgående från den registrerades begäran. Enligt förordningen ska information om de åtgärder som vidtagits med anledning av den registrerades begäran ges utan oskäligt dröjsmål och senast inom en månad efter att begäran mottogs. Under vissa förutsättningar kan tidsfristen förlängas. Informeringsskyldigheten motsvarar till stor del skyldigheten enligt personuppgiftslagen, men är till sitt datainnehåll mera omfattande och detaljerad. Särskilt föreskrivs det om hur den registrerade bör informeras i situationer där personuppgifter samlas in från den registrerade (artikel 13) och i situationer där personuppgifterna inte har erhållits från den registrerade själv (artikel 14).  
Artikel 15 i förordningen gäller den registrerades rätt att få tillgång till uppgifter om sig själv. Den registrerade har i enlighet med artikeln rätt att få en kopia på de personuppgifter som gäller honom eller henne. Inga formkrav har fastställts för denna begäran. Utgångspunkten för tillgodoseendet av begäran är att den är avgiftsfri, men en personuppgiftsansvarig kan i ett undantagsfall ta ut de administrativa kostnader som orsakas av att åtgärden vidtas eller vägra vidta den begärda åtgärden, ifall den registrerades begäran är uppenbart ogrundad eller orimlig. Den personuppgiftsansvarige ska visa att begäran är uppenbart ogrundad eller orimlig. I enlighet med artikel 16 har en registrerad rätt till rättelse av uppgifter och i enlighet med artikel 17 rätt till radering av uppgifter, dvs. rätt att bli bortglömd.  
Bortsett från vissa undantag förbjuds i artikel 22 i dataskyddsförordningen fattandet av sådana automatiserade beslut som har rättsverkan för en registrerad eller som påverkar den registrerade på motsvarande sätt i betydande grad. En registrerad har rätt att åtminstone kräva att uppgifterna behandlas av en fysisk person för den personuppgiftsansvariges räkning, uttrycka sin åsikt och bestrida beslutet.  
I fråga om behandling av personuppgifter inom Försvarsmakten är artikel 23 i dataskyddsförordningen viktig. Enligt den kan det i unionsrätten eller i en medlemsstats nationella lagstiftning införas en lagstiftningsåtgärd som begränsar tillämpningsområdet för de rättigheter och skyldigheter som föreskrivs i III kapitlet, i artikel 24 och artikel 5 t.ex. för att garantera försvaret. I en dylik begränsning ska de grundläggande fri- och rättigheterna iakttas till centrala delar. Begränsningen ska utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. 
I IV kapitlet i dataskyddsförordningen föreskrivs bl.a. om den personuppgiftsansvarige och den som behandlar personuppgifter, säkerheten gällande personuppgifterna samt konsekvensbedömning avseende dataskydd och förhandssamråd. Artikel 24 i förordningen gäller den personuppgiftsansvariges ansvar. I artikeln har man tillägnat sig ett riskbaserat angreppssätt, dvs. den personuppgiftsansvarige ska ställa dataskyddsförordningen skyldigheter och korrekta skyddsåtgärder i proportion till den risk som behandlingen av personuppgifterna orsakar den registrerades rättigheter och friheter. På detta sätt undviks att en verksamhet som har en låg risk blir överreglerad och ställs de åtgärder som behövs i proportion till den risk som hänför sig till varje behandling av personuppgifter. I dataskyddsförordningen avses med risker fysiska, materiella eller immateriella skador som en registrerad eventuellt orsakas av behandling av personuppgifter t.ex. då behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomiska förluster, social skada eller hävande av pseudonymisering. 
Artikel 32 i förordningen gäller säkerhet vid behandlingen. Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. I alla faser av behandling ska det sörjas för att uppgifterna skyddas, ända från insamlingen av uppgifter till förstöringen av uppgifterna. I artikel 33 i förordningen ställs en skyldighet för den personuppgiftsansvarige att till tillsynsmyndigheten anmäla en personuppgiftsincident. En dylik skyldighet föreligger inte, om det är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. I artikel 34 i förordningen åläggs igen den personuppgiftsansvarige en informeringsskyldighet om en personuppgiftsincident till den registrerade när en dylik incident sannolikt orsakar en hög risk för fysiska personers rättigheter och skyldigheter. Någon motsvarande informeringsskyldighet finns inte i gällande personuppgiftslag. 
Vidare föreskrivs i kapitel IV i förordningen bl.a. om den personuppgiftsansvariges skyldighet att göra en konsekvensbedömning och samråda med tillsynsmyndigheten på förhand. I kapitlet föreskrivs också om utnämning av, ställning och uppgifter för dataskyddsombudet. 
I kapitel V i dataskyddsförordningen föreskrivs om överföring av personuppgifter till tredjeländer eller internationella organisationer. I artikel 44 föreskrivs om den allmänna principen för överföringar, enligt vilken överföring av sådana personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation får bara ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet uppfyller villkoren i kapitel V och om inget annat följer av bestämmelserna i dataskyddsförordningen. Principen gäller också vidareöverföring av personuppgifter från tredjelandet eller den internationella organisationen till ett annat tredjeland eller en annan internationell organisation.  
I kapitel VI i dataskyddsförordningen föreskrivs om oberoende tillsynsmyndigheter. I artikel 51 i förordningen åläggs medlemsstaterna att säkerställa att en eller flera oberoende myndigheter är ansvariga för att övervaka tillämpningen av förordningen i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandlingen samt att underlätta det fria flödet av personuppgifter i unionen. I kapitlet föreskrivs också bl.a. om tillsynsmyndighetens oberoende, allmänna villkor, behörighet, uppgifter och befogenheter.  
I kapitel VII i dataskyddsförordningen föreskrivs om samarbete mellan tillsynsmyndigheterna och om enhetlig tillämpning av förordningen. Artikel 60 i förordningen gäller samarbetet mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna. Genom samarbetsförpliktelsen har en enda kontaktpunkt skapats. I anknytning till samarbetet mellan tillsynsmyndigheterna föreskrivs i kapitlet också om tillsynsmyndigheternas ömsesidiga bistånd och gemensamma insatser. I kapitel VII i förordningen föreskrivs förutom om samarbete också om en mekanism för enhetlighet, genom vilken en enhetlig tillämpning av dataskyddsförordningen eftersträvas överallt i unionen. I kapitlet föreskrivs också om Europeiska dataskyddsstyrelsen. 
I dataskyddsförordningen ingår strängare sanktioner för behandling av personuppgifter i strid med förordningen än vad som ingår i personuppgiftslagen. I kapitel VIII i förordningen föreskrivs om rättsmedel, ansvar och sanktioner. I kapitlet föreskrivs om rätt till effektiva rättsmedel såväl mot tillsynsmyndigheten som också mot den personuppgiftsansvarige eller personuppgiftsbiträdet. I artikel 82 i förordningen föreskrivs om den personuppgiftsansvariges skadeståndsansvar och den registrerades rätt till ersättning och i artikel 84 ställs en skyldighet för medlemsstaterna att fastställa regler för de sanktioner som ska påföras för överträdelse av förordningen. 
Kapitel IX i förordningen innehåller bestämmelser om särskilda behandlingssituationer. I kapitlet föreskrivs bl.a. om behandling av personuppgifter i samband med ett anställningsförhållande samt behandling av nationella identifikationsnummer. 
Direktivet om dataskydd i brottmål 
Direktivet om dataskydd i brottmål gäller behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten. Dataskyddsförordningens och direktivets tillämpningsområden utesluter varandra, dvs. på behandling av personuppgifter som hör till direktivets tillämpningsområde tillämpas inte dataskyddsförordningen. Med direktivet har man strävat efter att å ena sidan underlätta fritt flöde av personuppgifter mellan behöriga myndigheter inom unionen bl.a. för att förebygga och avslöja brott, men å andra sidan har man samtidigt strävat efter att säkerställa ett högklassigt och konsekvent skydd för personuppgifterna. Genom direktivet om dataskydd i brottmål upphävs den 6 maj 2018 rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (nedan dataskyddsrambeslutet). Direktivet om dataskydd i brottmål är mera detaljerat än dataskyddsrambeslutet och direktivet tillämpas också på behandling av personuppgifter inom en medlemsstat. Direktivet tillämpas inte direkt inom medlemsstaterna, utan det ska genomföras med en nationell lag.  
I II kapitlet i direktivet föreskrivs om de principer som är tillämpliga på behandling av personuppgifter. I enlighet med artikel 4 i direktivet ska medlemsstaterna föreskriva bl.a. om att personuppgifter behandlas på ett lagligt och korrekt sätt, med iakttagande av ändamålsbundenhet och exakthet. Den personuppgiftsansvarige måste kunna visa att behandlingen har stämt överens med principerna. På grund av detta ska det enligt artikel 6 i tillämpliga fall och så långt det är möjligt göras en klar åtskillnad mellan personuppgifter som rör olika kategorier av registrerade. Som exempel på sådana från olika grupper ges bl.a. personer som på seriösa grunder kan antas ha gjort sig skyldiga eller stå i beråd att göra sig skyldiga till ett brott samt personer som dömts för brott. I enlighet med artikel 7 igen ska personuppgifter som grundar sig på fakta så långt det är möjligt åtskiljas från personuppgifter som grundar sig på personliga bedömningar.  
Kapitel III i direktivet gäller den registrerades rättigheter. I kapitlet föreskrivs det bl.a. om den personuppgiftsansvariges informeringsskyldighet och den registrerades rätt att få tillgång till sina uppgifter. I situationer enligt artikel 15 kan en registrerads rätt att få tillgång till sina uppgifter dock begränsas. Begränsningen kan göras i den utsträckning och så länge en partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen. Den registrerade har i enligt med kapitel III också rätt att få personuppgifterna rättade och raderade samt behandlingen begränsad under vissa förutsättningar.  
Kapitel IV i direktivet gäller personuppgiftsansvarig och personuppgiftsbiträde. I likhet med i dataskyddsförordningen utgår de personuppgiftsansvarigas skyldigheter i dataskyddsdirektivet också från riskerna. Följaktligen bör de personuppgiftsansvariga vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med direktivet, dock med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter. I likhet med i förordningen föreskrivs också i direktivet om ett inbyggt och standardiserat dataskydd.  
Artikel 24 förpliktar de personuppgiftsansvariga att föra ett register över alla kategorier av verksamheter i samband med behandling som de ansvarar för. I artikel 25 föreskrivs om hurdana behandlingsåtgärder det måste kvarstå loggar om. I kapitel IV i direktivet regleras också säkerhet i samband med behandling av personuppgifter. De personuppgiftsansvariga ska enligt artikel 29 vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med beaktande av den senaste tekniken och genomförandekostnader, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter. Förpliktelsen gäller i synnerhet de särskilda kategorier av personuppgifter som avses i artikel 10 i direktivet. I anknytning till personuppgifternas säkerhet föreskrivs också om att både tillsynsmyndigheten och den registrerade ska meddelas om ett inträffat datasäkerhetsintrång som gäller personuppgifter. Vidare föreskrivs i kapitel IV om den personuppgiftsansvariges skyldighet att utnämna ett dataskyddsombud.  
I kapitel V i direktivet föreskrivs om överföringar av personuppgifter till tredjeländer och internationella organisationer. Enligt artikel 35 är den allmänna principen som gäller överföringar att alla de överföringar av personuppgifter som behöriga myndigheter har gjort är sådana som håller på att behandlas eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation, inklusive för vidare överföring till ett annat tredjeland eller en annan internationell organisation, under förutsättning att de nationella bestämmelser som antas i enlighet med andra bestämmelser i direktivet respekteras och endast om de villkor som fastställs i kapitel V uppfylls.  
I kapitel VI i direktivet föreskrivs om oberoende tillsynsmyndigheter. I medlemsstaterna ska finnas en eller flera offentliga myndigheter som ska vara ansvariga för att övervaka tillämpningen av direktivet, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandlingen samt att underlätta det fria flödet av sådana uppgifter inom unionen. I direktivet föreskrivs bl.a. om de allmänna förutsättningarna för tillsynsmyndighetens ledamöter samt om myndighetens behörighet, uppgifter och befogenheter.  
Kapitel VII i direktivet, som gäller samarbete mellan myndigheterna, är centralt för direktivets mål att underlätta det fria flödet av personuppgifter mellan behöriga myndigheter inom unionen. I enlighet med artikel 50 i direktivet ska tillsynsmyndigheterna utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa direktivet på ett enhetligt sätt, och införa åtgärder som bidrar till ett verkningsfullt samarbete. Det ömsesidiga biståndet ska särskilt omfatta begäranden om information och tillsynsåtgärder, till exempel begäranden om att genomföra samråd, inspektioner och utredningar. I artikel 51 i direktivet föreskrivs om den genom dataskyddsförordningen inrättade dataskyddsstyrelsens uppgifter på direktivets tillämpningsområde.  
I kapitel VIII i direktivet föreskrivs om den registrerades rättsmedel, den personuppgiftsansvarigas ansvar och om de sanktioner som ska påföras med anledning av förbrytelser mot de bestämmelser som meddelats med stöd av direktivet. De registrerade ska ha rätt att lämna in ett klagomål till tillsynsmyndigheten, om de anser att behandling som avser dem står i strid med de bestämmelser som antas i enlighet med direktivet. Om den tillsynsmyndighet som mottagit klagomålet inte är behörig, ska myndigheten på eget initiativ överlämna klagomålet till den behöriga myndigheten. Både en fysisk och en juridisk person bör ha rätt till ett effektivt rättsmedel mot en tillsynsmyndighet. Var och en som lidit materiell eller immateriell skada till följd av olaglig behandling av personuppgifter eller av någon annan åtgärd som står i strid med de nationella bestämmelser som antas i enlighet med direktivet ska ha rätt till ersättning för denna skada från den personuppgiftsansvarige eller varje annan myndighet som är behörig enligt medlemsstaternas nationella rätt. Direktivet innehåller inte motsvarande bestämmelse som dataskyddsförordningen om administrativa sanktioner. 
2.2.2
2.2.2. Lagstiftningen i utlandet
Den lagstiftning i EU:s medlemsstater som gäller behandling av personuppgifter håller just nu på att ändras i betydande grad till följd av det nationella genomförandet av EU:s dataskyddspaket. Eftersom förordningen och direktivet dessutom ställer synnerligen omfattande och detaljerade krav på den kommande nationella lagstiftningen, är det inte ändamålsenligt att i denna proposition närmare beskriva andra länders dataskyddslagstiftning sådan den är innan dataskyddspaketet verkställs.  
Även om EU:s dataskyddspaket inte direkt tillämpas på den behandling av personuppgifter som sammanhänger med landets försvar, torde totalreformen trots detta i flera medlemsstater leda till omfattande lagstiftningsreformer också i fråga om försvarssektorn. Eftersom beredningen av den nya lagstiftningen dock i alla jämförbara stater först nu pågår, är det inte heller möjligt att göra en internationell jämförelse av den kommande lagstiftningen. 
2.3
Bedomning av nuläget
För närvarande finns det ingen koncentrerad lagstiftning om behandling av personuppgifter, vilken skulle gälla Försvarsmakten, utan specialbestämmelser om detta finns utspridda i flera olika lagar. Specialbestämmelser som gäller behandling av personuppgifter finns för närvarande i värnpliktslagen, lagen om försvarsmakten, lagen om militär disciplin och brottsbekämpning inom försvarsmakten, territorialövervakningslagen och lagen om militär krishantering. Dessutom ingår i lagen om frivilligt försvar bestämmelser om Försvarsutbildningsföreningens behandling av personuppgifter. Bestämmelserna gäller främst Försvarsmaktens permanenta personregister, de uppgifter som har införts i dem, rättigheter att få och lämna ut uppgifter samt vissa registervisa begränsningar i den registrerades rättigheter. Vidare tillämpas bestämmelserna i den allmänna personuppgiftslagen på den behandling av personuppgifter som Försvarsmakten utför. 
De bestämmelser som gäller Försvarsmaktens behandling av personuppgifter har beretts under olika tider och i olika sammanhang och därför är bestämmelserna delvis onödigt spridda och oenhetliga. Det att bestämmelserna har spritts ut i flera olika lagar har dessutom lett till att samma eller nästan samma bestämmelser måste upprepas i fråga om olika personregister i flera olika lagar. Försvarsmaktens register behandlas också i gällande lagstiftning mycket separat, och t.ex. någon bestämmelse om sekundära ändamål med behandlingen finns inte i dagens läge. Överföringen av personuppgifter från ett register till ett annat inom Försvarsmakten behandlas däremot för närvarande som överlåtelse av uppgifter till en annan myndighet, fastän samma förvaltningsenhet vid Försvarsmakten är personuppgiftsansvarig i fråga om både det utlämnande och det mottagande registret. För närvarande är det inte heller möjligt att reglera behandlingen av personuppgifter enligt uppgifternas livscykelmodell, och behandlingen av personuppgifter överlag bildar inte en enhetlig eller sammanlänkad helhet av bestämmelser vid Försvarsmakten.  
Av ovan nämnda skäl har det länge inom försvarsförvaltningen övervägts om bestämmelserna kunde koncentreras i en lag på motsvarande sätt som det har gjorts i fråga om bl.a. polisens, Gränsbevakningsväsendets, Tullens och Brottspåföljdsmyndighetens behandling av personuppgifter. Regleringen av behandlingen av personuppgifter inom Försvarsmakten avviker således till sin uppbyggnad i dagens läge betydligt från den reglering som tillämpas av övriga myndigheter som ansvarar för den nationella säkerheten. Bestämmelser om behandling av personuppgifter vid nämnda myndigheter finns i lagen om behandling av personuppgifter i polisens verksamhet (761/2003), lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005), lagen om behandling av personuppgifter inom Tullen (639/2015) och lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten (1069/2015). 
Bestämmelserna om datainnehållet i Försvarsmaktens permanenta personregister är för närvarande synnerligen detaljerade. I lagstiftningen föreskrivs huvudsakligen i fråga om varje register vilka enskilda uppgifter som får föras in i dem. Detta lagstiftningssätt är osmidigt, och det är utmanande att hålla de detaljerade förteckningarna uppdaterade. Ett undantag till den detaljerade regleringen utgör den datainnehållsförteckning som gäller registret över krishanteringspersonal. I stället för enskilda uppgifter innehåller förteckningen uppgiftskategorier, och personuppgifter som hör till dem får föras in i registret. 
För närvarande finns det ingen specialreglering av internationellt informationsutbyte i försvarsförvaltningens lagstiftning, vilket gör att på detta tillämpas bestämmelserna i personuppgiftslagen. De bestämmelser i personuppgiftslagen som gäller utlämnande av uppgifter baserar sig dock på principen om fritt flöde av personuppgifter inom EU:s område och på det att bestämmelser om utlämnande av uppgifter till tredjeländer finns särskilt. Rätten att lämna ut personuppgifter till tredjeländer grundar sig i sin tur huvudsakligen på Europeiska kommissionens beslut om dataskyddsnivån i tredjeländer. 
Den ovan beskrivna regleringen kan anses lämpa sig illa för Försvarsmaktens behov. Huvudsakligen är Försvarsmakten verksam utanför tillämpningsområdet för EU-lagstiftningen, och det fria flödet av personuppgifter gäller i praktiken inte till någon del de uppgifter som behandlas inom Försvarsmakten. Kommissionens behörighet att bedöma dataskyddsnivån i tredjeländer omfattar inte heller Försvarsmaktens verksamhet. I Försvarsmaktens informationsutbyte är åtskillnaden mellan EU:s inre marknad och tredjeländer således överhuvudtaget av ytterst liten betydelse. Försvarsmaktens internationella verksamhet och betydelsen av den ökar emellertid hela tiden och i anknytning till detta är det viktigt att också bestämmelserna om utlämnande av personuppgifter till andra stater och internationella organisationer uttryckligen är fungerande med tanke på Försvarsmaktens behov och sådana att de säkerställer en tillräcklig dataskyddsnivå. 
I fråga om den militära underrättelseinhämtning som Försvarsmakten bedriver och behandlingen av personuppgifter i samband med den finns för närvarande ingen som helst gällande lagstiftning. Militär underrättelseinhämtning hör emellertid till Försvarsmaktens lagstadgade uppgifter som en del av 2 § 1 mom. 1 punkten i lagen om försvarsmakten och därför är det skäl att genom lag föreskriva om behandlingen av personuppgifter i samband med denna verksamhet. Dagens oreglerade tillstånd kan anses problematiskt särskilt med tanke på förutsebarheten och öppenheten vid behandlingen av personuppgifter.  
EU:s dataskyddsreform ändrar i betydande grad rättsläget i fråga om lagstiftningen om Försvarsmaktens personuppgifter. Medan personuppgiftslagen är tillämplig på all behandling av personuppgifter i Finland, hör största delen av Försvarsmaktens behandling av personuppgifter varken till dataskyddsförordningens eller dataskyddsdirektivets tillämpningsområde. Någon egentlig, direkt tillämplig allmän del av personuppgiftslagstiftningen skulle därmed inte längre finnas i Försvarsmaktens verksamhet, ifall personuppgiftslagen i enlighet med vad som föreslås upphävs. Enligt 10 § i grundlagen ska emellertid bestämmelser om skydd för personuppgifter utfärdas genom lag, vilket gör att den lucka i lagstiftningen som detta medför måste åtgärdas. Samtidigt måste det säkerställas att den speciallagstiftning som gäller Försvarsmakten till alla delar är förenlig med den kommande allmänna personuppgiftslagstiftningen. 
3
Målsättning och de viktigaste förslagen
3.1
Målsättning
Den främsta målsättningen med propositionen är att säkerställa att om skydd för personuppgifter i Försvarsmaktens verksamhet föreskrivs korrekt och på ett sätt som uppfyller kraven i grundlagen efter den totalreform som gäller dataskyddslagstiftningen.  
Genom propositionen strävar man dessutom efter att förtydliga och samordna den lagstiftning som gäller behandling av personuppgifter inom försvarsförvaltningen. Av lagstiftningen bör det tydligt och i allt väsentligt framgå bl.a. vems och vilka personuppgifter Försvarsmakten behandlar, för vilka ändamål uppgifterna behandlas, till vem och för vilka ändamål de lämnas ut och hur länge uppgifterna bevaras. Lagstiftningen ska vara enhetlig, förståelig och den ska säkerställa en hög dataskyddsnivå. Samtidigt bör det emellertid säkerställas att Försvarsmakten har tillräckliga rättigheter för den behandling av personuppgifter som en effektiv skötsel av dess uppgifter förutsätter och i mån av möjlighet eftersträvas att minska på sådana bestämmelser som är för detaljerade.  
Lagstiftningen bör vara fungerande också om Försvarsmaktens befogenheter eventuellt ändras, såsom vid skötseln av de föreslagna militärunderrättelseuppdragen. Också till övriga delar bör man säkerställa tillräcklig flexibilitet i lagstiftningen så att den inte i onödan blir ett hinder i den föränderliga säkerhetspolitiska omgivningen. Personuppgiftslagstiftningen bör också hållas klart åtskild från den lagstiftning som gäller Försvarsmaktens befogenheter. 
3.2
Alternativ
3.2.1
3.2.1 En koncentrerad eller utspridd personuppgiftslagstiftning
I fråga om Försvarsmakten finns det i dagens läge ingen koncentrerad personuppgiftslag, utan de bestämmelser som gäller behandling av personuppgifter är utspridda över förvaltningsområdets lagar. I värnpliktslagen föreskrivs om värnpliktsregistret, i lagen om försvarsmakten om registret för tillstånds- och övervakningsärenden, i lagen om militär krishantering om registret över krishanteringspersonal, i territorialövervakningslagen om registret över territorialövervakningens tillstånds- och övervakningsärenden samt i lagen om militär disciplin och brottsbekämpning inom försvarsmakten om datasystemet för militärrättsvården, registret för disciplinavgöranden och säkerhetsdataregistret. Vidare ingår i nämnda lagar enskilda bestämmelser, där det inte egentligen föreskrivs om personregister, men vilka har konsekvenser för behandlingen av personuppgifter. 
Modellen med utspridda bestämmelser kan anses bra på så sätt att behandlingen av personuppgifter i den är logiskt sammanlänkad med de befogenheter som behandlingen grundar sig på. Till exempel i fråga om den reglering som gäller rätten att få upplysningar är det inte alls nödvändigtvis entydigt, huruvida det är fråga om en befogenhetsbestämmelse eller om en bestämmelse som gäller behandling av personuppgifter. Men de utspridda bestämmelserna har också lett till varierande lösningar i fråga om bestämmelsens innehåll. De bestämmelser som gäller försvarsförvaltningens behandling av personuppgifter är för närvarande inte till alla delar enhetliga och konsekventa sinsemellan, vilket i sin tur försvårar tillämpningen och tolkningen av bestämmelserna. Den utspridda regleringen leder också till att samma bestämmelser måste upprepas i flera lagar, vilket leder till totalt sett ett större antal paragrafer än i den koncentrerade modellen.  
Om personuppgiftsbestämmelserna koncentreras till en lag, minskar det effektivt de problem som nämns ovan och möjliggör i högre grad en personuppgiftsreglering som inom sig är konsekvent. Också ur den registrerades synvinkel är det klarare att den reglering som gäller hans personuppgifter finns i en enda lag som är uppdaterad. En koncentrerad lagstiftning möjliggör också att man bättre kan sörja för att bestämmelserna är uppdaterade och den motsvarar det lagstiftningssätt som redan nu i stor utsträckning är i användning hos andra myndigheter. En koncentrering av regleringen kan också anses motsvara målet att göra regleringen mera flexibel, vilket ingår i Juha Sipiläs regerings program. 
3.2.2
3.2.2 Personuppgiftslagstiftningens allmänna del
I bestämmelserna om tillämpningsområdet både för dataskyddsförordningen och direktivet om dataskydd i brottmål har behandlingen av personuppgifter i samband med sådan verksamhet som inte omfattas av unionsrätten uttryckligen ställts utanför dessa rättsakters tillämpningsområden. Största delen av Försvarsmaktens verksamhet omfattas inte av unionsrättens tillämpningsområde, och varken dataskyddsförordningen eller direktivet om dataskydd i brottmål ställer därmed några förpliktelser för Försvarsmakten i samband med skötseln av uppgifterna i fråga. Enligt 10 § i grundlagen ska emellertid bestämmelser om skydd för personuppgifter utfärdas genom lag. Således måste det säkerställas att all behandling av personuppgifter som Försvarsmakten utför står på laglig grund, om den allmänna personuppgiftslagen, i enlighet med vad som föreslås, upphävs. 
Frågan om vilken personuppgiftslagstiftning som ska tillämpas inom Försvarsmakten gäller i praktiken lagstiftningens s.k. allmänna del, där det föreskrivs bl.a. om de principer som ska följas vid behandlingen, om den personuppgiftsansvariges skyldigheter, den registrerades rättigheter samt om tillsyn och påföljder. De lagstiftningsalternativ som kan ersätta den allmänna personuppgiftslagen, som föreslås bli upphävd, är i praktiken tre: 1) en breddning av tillämpningen av dataskyddsförordningen nationellt så att den omfattar Försvarsmaktens verksamhet, 2) en breddning av tillämpningen av lagstiftningen om verkställigheten av direktivet om dataskydd i brottmål så att den omfattar Försvarsmaktens verksamhet och 3) att man föreskriver om den allmänna delen i personuppgiftslagstiftningen i en särskild lag som gäller Försvarsmakten. 
3.2.3
3.2.3 Den detaljerade reglering som gäller registrens datainnehåll
I fråga om datainnehållen i Försvarsmaktens permanenta personregister har i gällande lagstiftning i regel föreskrivits genom att de uppgifter som får föras in i registret har räknats upp i detalj. Ett undantag till detta regleringssätt är den reglering som gäller krishanteringsregistret, där det tillåtna datainnehållet har uttryckts i uppgiftskategorier med ytterst generella drag i stället för enskilda uppgifter. 
En detaljerad reglering kan ur lagtillämparens perspektiv anses klar och enkel, eftersom den ger mycket lite rum för tolkning av, vilka uppgifter som får behandlas i vilket register. Den detaljerade regleringen är klar och förutsebar också med tanke på den registrerades rättigheter. Mycket detaljerade förteckningar över datainnehåll är det emellertid svårt att hålla uppdaterade, vilket lätt leder till att förteckningarna å ena sidan innehåller uppgifter, som de facto inte behövs i verksamheten och å andra sidan saknar sådana uppgifter som Försvarsmakten faktiskt skulle behöva. Behovet av flexibilitet framhävs särskilt i den snabbt föränderliga världen, där det är viktigt att Försvarsmakten hela tiden har tillräckliga rättigheter att behandla personuppgifter med tanke på skötseln av sina uppdrag. Alla behov att behandla uppgifter är det omöjligt att förutse fullständigt detaljerat när lagen stiftas.  
3.2.4
3.2.4 Register-, ändamåls- eller informationssystembaserad reglering
I den finska personuppgiftslagstiftningen har det i typiska fall föreskrivits om enskilda register eller informationssystem, där personuppgifter behandlas. I fråga om flera myndigheter har det dock föreslagits att man helt avstår från en register- eller informationssystembaserad reglering och övergår till reglering enligt ändamål i samband med dataskyddsreformen. 
Regleringen av informationssystem kan anses vara en onödigt begränsande och stel regleringslösning. I personuppgiftslagstiftningen borde inte föreskrivas om tekniska lösningar, utan snarare om de bestämmelser och principer som styr de tekniska lösningarna. Inom försvarsförvaltningen finns det för närvarande informationssystembaserad reglering i lagen om militär disciplin och brottsbekämpning. 
Den registerbaserade regleringen och den föreslagna ändamålsbaserade regleringen, som är av en ny typ, skiljer sig i själva verket inte nödvändigtvis i betydande grad från varandra, utan det är främst fråga om ett annorlunda sätt att skriva bestämmelserna. Personregistret i sig antyder inte ett visst informationssystem, utan å ena sidan kan ett personregister fungera i flera olika informationssystem och å andra sidan kan det finnas uppgifter i flera olika personregister i samma informationssystem. Av Försvarsmaktens nuvarande permanenta personregister innehåller t.ex. värnpliktsregistret personuppgifter som behandlas i flera olika informationssystem. Men uppgifterna i registret över krishanteringspersonalen behandlas i samma informationssystem som uppgifterna i värnpliktsregistret. De separata personregistren bildas således i exempelfallen utgående från uppgifternas ändamål, och en registerbaserad reglering i sig binder inte behandlingen vid vissa tekniska lösningar.  
3.3
De viktigaste förslagen
3.3.1
3.3.1 Koncentrering av personuppgiftsbestämmelserna till en enda lag
I propositionen föreslås det att en ny personuppgiftslag för Försvarsmakten ska stiftas och att alla bestämmelser som gäller behandling av personuppgifter inom Försvarsmakten ska koncentreras till den lagen. I och med ändringen motsvarar den dataskyddslagstiftning som gäller Försvarsmakten till sin uppbyggnad den lösning som redan tidigare har gjorts i fråga om övriga motsvarande myndigheter. 
Om personuppgiftsbestämmelserna koncentreras till en enda lag, blir det möjligt att skapa en klarare och enhetligare livscykelmodell än den nuvarande för behandlingen av personuppgifter inom Försvarsmakten. I och med att bestämmelserna koncentreras kommer det av en enda lag att framgå bl.a. vilka personregister Försvarsmakten har, vilka uppgifter om människor Försvarsmakten behandlar, för vilka ändamål uppgifterna behandlas, till vem och för vilka ändamål uppgifterna lämnas ut och hur länge uppgifterna bevaras. De registrerade har på detta sätt möjlighet att via en enda lag få en helhetsbild av hur deras personuppgifter behandlas inom Försvarsmakten. En enhetlig reglering underlättar dessutom övervakningen av tillämpningen av lagen både i fråga om den interna och den externa övervakningen av verksamheten. En koncentrering av bestämmelserna till samma lag gör det dessutom enklare att hålla dem uppdaterade i samband med kommande behov av ändringar. 
3.3.2
3.3.2 Lagens tillämpningsområde och förhållande till annan lagstiftning
Den nya lagen om behandling av personuppgifter inom Försvarsmakten ska, enligt vad som föreslås, tillämpas på sådan behandling av personuppgifter som utförs för skötsel av uppgifter som anges i 2 § 1 mom. 1 punkten, 2 a punkten samt 3 och 4 punkten i lagen om försvarsmakten. I praktiken kommer lagens tillämpningsområde sålunda att omfatta Försvarsmaktens kärnuppgifter och samtidigt i stor utsträckning svara för de av Försvarsmaktens funktioner om vilka det finns gällande särskilda bestämmelser om behandlingen av personuppgifter.  
Den föreslagna lagen om behandling av personuppgifter inom Försvarsmakten ska ha karaktären av en särskild bestämmelse, som inte som sådan helt omfattar behovet att reglera behandlingen av personuppgifter. Enligt 10 § i grundlagen ska emellertid bestämmelser om skydd för personuppgifter utfärdas genom lag. Således måste det säkerställas att all behandling av personuppgifter som Försvarsmakten utför står på laglig grund, om den allmänna personuppgiftslagen, i enlighet med vad som föreslås, upphävs.  
Frågan om vilka bestämmelser i personuppgiftslagen som, utöver de föreslagna lagar som ingår i denna proposition, ska tillämpas gäller i praktiken lagstiftningens s.k. allmänna del, där det föreskrivs bl.a. om de principer som ska följas vid behandlingen, om den personuppgiftsansvariges skyldigheter, den registrerades rättigheter samt om tillsyn och påföljder. Den allmänna delen av regleringen i gällande lagstiftning utgörs av den allmänna personuppgiftslagen, som det emellertid nu har föreslagits att ska upphävas. De lagstiftningsalternativ som kan ersätta den allmänna personuppgiftslagen är i praktiken tre: 1) en breddning av tillämpningen av dataskyddsförordningen nationellt så att den omfattar Försvarsmaktens verksamhet, 2) en breddning av tillämpningen av lagstiftningen om verkställigheten av direktivet om dataskydd i brottmål så att den omfattar Försvarsmaktens verksamhet och 3) att man föreskriver om den allmänna delen i personuppgiftslagstiftningen i en särskild lag som gäller Försvarsmakten.  
Om den allmänna personuppgiftslagen, som tillämpas på all behandling av personuppgifter, ersätts delvis med dataskyddsförordningen och delvis med den lagstiftning som gäller verkställigheten av direktivet om dataskydd i brottmål, differentierar detta den finska personuppgiftslagstiftningen. Med tanke på att lagstiftningen ska vara enhetlig och tydlig och att det ska finnas möjligheter att övervaka den, kan differentieringen medföra vissa utmaningar, vilka sannolikt skulle öka ytterligare om man stiftade flera parallella allmänna lagar om behandlingen av personuppgifter. Det kan inte anses ändamålsenligt att om de bestämmelser som allmänt ska följas vid behandlingen av personuppgifter föreskrivs särskilt per myndighet och eventuellt i något olika form sinsemellan. Med Försvarsmaktens behandling av personuppgifter sammanhänger inte heller sådana särdrag som skulle föranleda att en helt separat personuppgiftslag behövde stiftas för den. Det kan således inte anses vara ett ändamålsenligt regleringsalternativ att stifta en separat lag för Försvarsmakten gällande den allmänna delen i personuppgiftslagstiftningen. 
En del av Försvarsmaktens verksamhet, med vilken sammanhänger behandling av personuppgifter, är till sin art ytterst nära de funktioner som hör till tillämpningsområdet för direktivet om dataskydd i brottmål. Försvarsmakten är förundersökningsmyndighet i militära brottmål, och dessutom ingår i dess uppgifter att förebygga och avslöja vissa brott som anknyter till landets försvar. Dessa uppdrag sköts så att samma lagstiftning som för de civila myndigheterna delvis följs, och Försvarsmakten samarbetar i synnerhet med polisen, men också med andra säkerhetsmyndigheter, när den sköter sina uppdrag. I den mån som Försvarsmaktens behandling av personuppgifter sammanhänger nära med verksamhet som omfattas av direktivets tillämpningsområde, är det klart ändamålsenligt att samma rättsakter i så omfattande grad som möjligt tillämpas också på Försvarsmaktens verksamhet. Den föreslagna lagstiftningen för verkställande av direktivet om dataskydd i brottmål lämpar sig också innehållsmässigt väl för de behov som anknyter till Försvarsmaktens militära disciplinärenden och brottsbekämpningsärenden, vilket gör att behovet av en speciallagstiftning för förvaltningsområdet är litet. 
Utöver ovan nämnda uppgifter behandlar Försvarsmakten vidsträckt personuppgifter också bl.a. i samband med skötseln av uppdrag som anknyter till värnplikt, militär krishantering, territorialövervakning och militär underrättelseverksamhet. Även om Försvarsmaktens verksamhet vad gäller skötseln av dessa uppdrag inte anknyter lika nära till tillämpningsområdet för direktivet om dataskydd i brottmål, har de dock vissa klara beröringspunkter. I praktiken behandlar Försvarsmakten personuppgifter endast för skötseln av sina lagstadgade uppgifter och största delen av dess behandling av personuppgifter anknyter direkt till garanterandet av Finlands nationella säkerhet. Ändamålen med behandlingen är därmed till sin art till flera delar av samma slag som de myndigheter har som är verksamma inom direktivets tillämpningsområde. I skötseln av sina uppdrag samarbetar Försvarsmakten också i hög grad med de myndigheter som är verksamma inom direktivets tillämpningsområde. Direktivet om dataskydd i brottmål har beretts uttryckligen med beaktande av behoven hos de myndigheter som svarar för säkerheten, vilket gör att dess bestämmelser är väl lämpade för Försvarsmaktens behandlingsbehov. 
Utöver det som nämns ovan kan det anses eftersträvansvärt att på behandlingen av personuppgifter inom Försvarsmakten tillämpas samma bestämmelser i så omfattande grad som möjligt. Försvarsmaktens olika uppdrag bildar en helhet och stöder varandra, och det är inte önskvärt att den personuppgiftslagstiftning som ska tillämpas i de olika uppdragen är särskilt differentierad. Det kan vidare anses ändamålsenligt att de ärenden som hänför sig till försvaret hålls inom ramen för den nationella lagstiftningen. Behandlingen av personuppgifter är central då det gäller att upprätthålla verksamhetsbetingelserna för det finska försvarssystemet, som grundar sig på värnplikt, och direkt tillämpning av EU:s förordning kunde för sin del minska Finlands möjligheter att själv besluta om frågor som anknyter till försvaret. 
På ovan beskrivna grunder föreslås det i propositionen att den föreslagna lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten också ska tillämpas på Försvarsmaktens behandling av personuppgifter till den del som behandlingen sker för skötsel av de uppgifter om vilka föreskrivs i 2 § 1 mom. 1 punkten, 2 a punkten samt 3 och 4 punkten i lagen om försvarsmakten. Tillämpningsområdena för det nämnda lagförslaget och detta lagförslag ska därmed för Försvarsmaktens del vara identiska och de ska tillämpas parallellt. Det nationella avgörandet av tillämpningsområdet ska till denna del inte påverka tillämpningsområdet för direktivet som ska verkställas med nämnda lag, utan för Försvarsmaktens del ska lagen tillämpas som en rent nationell lag. På Försvarsmaktens behandling av personuppgifter ska dock, enligt vad som föreslås, alla bestämmelserna i den nämnda lagen inte tillämpas, utan särskilt om Försvarsmaktens internationella informationsutbyte ska det föreskrivas separat i denna föreslagna lag. 
Utanför tillämpningsområdet för lagen om behandling av personuppgifter inom Försvarsmakten ska stå all sådan behandling av personuppgifter som inte grundar sig på skötseln av de uppgifter som anges i 2 § 1 mom. 1 punkten, 2 a punkten samt 3 och 4 punkten i lagen om försvarsmakten. I praktiken är den mest betydande behandlingshelhet som står utanför denna proposition den behandling av personuppgifter som sammanhänger med sedvanliga personärenden, såsom semestrar, löneutbetalning och arbetstider. På sådan behandling av personuppgifter på vilken den föreslagna lagen om behandling av personuppgifter inom Försvarsmakten inte ska tillämpas, ska i stället den allmänna dataskyddsförordningen och den föreslagna allmänna dataskyddslagen tillämpas. Den reglering som gäller Försvarsmaktens behandling av personuppgifter delas därmed i två delar beroende på grunden för behandlingen.  
3.3.3
3.3.3 Koncentrering av registerföringen till Huvudstaben
I propositionen föreslås det att Försvarsmaktens interna ansvarsfördelning i fråga om registerföringen ska ändras så att Huvudstaben ska vara personuppgiftsansvarig i fråga om alla permanenta personregister inom Försvarsmakten. Enligt gällande lagstiftning har registerföringen delvis koncentrerats till Huvudstaben, men delvis också spritts ut på truppförbanden och andra förvaltningsenheter. Försvarsmaktens truppförband och övriga förvaltningsenheter har dock inte nödvändigtvis det kunnande som behövs och möjligheter att säkerställa att behandlingen av personuppgifter sköts korrekt, och det är inte heller motiverat att det finns regionala skillnader i registerföringen av samma personregister. Följaktligen kan det antas att en koncentrering av den personuppgiftsansvariges förpliktelser till Huvudstaben förbättrar dataskyddsnivån inom Försvarsmakten. Övriga förvaltningsenheter ska i fortsättningen behandla personuppgifter endast enligt Huvudstabens anvisningar och under dess övervakning. 
3.3.4
3.3.4 En registerbaserad regleringsteknik
I propositionen föreslås det att bestämmelserna om tekniska informationssystem ska slopas. I lagen ska det föreskrivas informationssystemneutralt om Försvarsmaktens permanenta och tillfälliga personregister. Tvärt emot vad som har föreslagits i fråga om flera andra myndigheter, föreslås det emellertid inte i denna lag att man helt ska avstå också från personregister och övergå till en reglering endast enligt ändamålet. Skillnaden mellan ett personregister och en datamängd enligt ändamål är i själva verket inte särskilt betydande, om registret inte i lagen binds till ett visst informationssystem, eftersom också ett personregister härvid i praktiken bildas uttryckligen utgående från ändamålet med uppgifterna. Begreppet personregister är dock klarare och bekant från gällande lagstiftning och sannolikt därför i praktiken enklare att använda för den som tillämpar lagen. I Försvarsmaktens verksamhet har det inte heller kommit fram något behov att till denna del ändra regleringens uppbyggnad, utan det har allmänt upplevts att en registerbaserad regleringsteknik fungerar. 
Enligt den föreslagna lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten är behandling av personuppgifter inom lagens tillämpningsområde tillåten endast om det föreskrivs om detta i lag. I den föreslagna lagen ska det därför föreskrivas uttömmande om Försvarsmaktens permanenta register samt om för vilka ändamål det är möjligt att upprätta andra register. Till denna del kommer den nya regleringen att vara mera exakt och förutsebar än den nuvarande. 
3.3.5
3.3.5 Reglering av registrens datainnehåll
Det föreslås att det ska skrivas uttömmande, men samtidigt mera flexibelt än i dagens läge om vad som är tillåtet datainnehåll i Försvarsmaktens permanenta personregister. I praktiken ska detta genomföras så att det i lagen föreskrivs om de uppgiftskategorier som innehåller personuppgifter som får införas i registret. Det mera detaljerade innehållet i uppgiftskategorierna ska fastställas utgående från ändamålet med registret. För att personuppgifter ska få föras in i ett register ska de dessutom alltid vara behövliga med tanke på registrets ändamål och i fråga om särskilda personuppgiftskategorier nödvändiga. Eftersom skyddet för särskilda personuppgiftskategorier hör till integritetsskyddets kärnområde, ska om införande av sådana uppgifter i registren enligt förslaget fortsättningsvis föreskrivas mera detaljerat än om andra uppgifter. 
3.3.6
3.3.6 Reglering som gäller möjligheter att lämna ut personuppgifter och att få upplysningar om dem
Såvitt möjligt eftersträvas det att s.k. dubbel reglering ska gallras ur de bestämmelser som gäller möjligheten att lämna ut uppgifter och att få upplysningar om dem. Det är inte nödvändigt att föreskriva om att lämna ut en och samma uppgift både i den lag som gäller den uppgiftsutlämnande och i den som gäller den uppgiftsmottagande myndigheten, utan huvudregeln ska vara att om utlämnande av personuppgifter ska föreskrivas endast i den lag som gäller den myndighet som lämnar ut uppgiften. Det är dock inte möjligt att i samband med denna proposition genomföra en fullständig gallring av den dubbla regleringen, vilket framför allt beror på att behandlingen av polisens, Tullens och Gränsbevakningsväsendets nya personuppgiftslagar har fördröjts. De bestämmelser som gäller möjligheten att få upplysningar från myndigheterna i fråga kan inte avlägsnas från den lagstiftning som gäller Försvarsmakten innan nämnda lagar är i kraft och i dem bestäms på adekvat sätt om polisens, Tullens och Gränsbevakningsväsendets rätt att lämna ut uppgifter till Försvarsmakten. Det har emellertid eftersträvats att lagförslaget lagtekniskt ska genomföras så att onödiga dubbla bestämmelser enkelt kan upphävas i form av bifogade lagar till de nämnda projekten.  
De bestämmelser som gäller möjligheten att lämna ut personuppgifter strävar man samtidigt efter att förnya genom att i dem stryka bl.a. de föråldrade formuleringarna om utlämnande av uppgifter elektroniskt eller i maskinläsbar form. I allmänhet är metoden för utlämnande av uppgifter inte av betydelse med tanke på integritetsskyddet, och därför är det inte nödvändigt att i lagstiftningen ta ställning till vilken teknik som ska användas. Bestämmelsen om utlämnande av uppgifter genom att en annan myndighet eller en sammanslutning som upprättats för att sköta ett offentligt uppdrag ges en teknisk anslutning till Försvarsmaktens register ska dock fortfarande anges särskilt. I detta fall är det inte fråga om reglering av en teknisk överlåtelsemetod, utan om att den personuppgiftsansvarige delvis överlåter sin möjlighet att hantera användningen av personuppgifterna i registret. Denna reglering motsvarar den praxis som grundlagsutskottet vanligtvis förutsätter. 
Vidare föreslås det att till lagen om försvarsmakten ska fogas en ny rätt att få upplysningar som täcker alla uppdrag om vilka föreskrivs i lag om Försvarsmakten. Syftet med paragrafen är att säkerställa att en kasuistisk reglering av rättigheterna att få upplysningar inte leder till luckor i Försvarsmaktens rättigheter att få upplysningar. Försvarsmakten ska såväl under normala förhållanden som också under undantagsförhållanden trots sekretessbestämmelserna ha rätt att få de upplysningar som skötseln av dess uppgifter förutsätter. Bestämmelsen ska huvudsakligen motsvara polisens motsvarande rätt att få upplysningar, om vilken föreskrivs i polislagen (872/2011).  
3.3.7
3.3.7 Behandlingen av personuppgifter i militär underrättelseverksamhet
I propositionen ingår ett förslag till reglering gällande behandling av personuppgifter i samband med militära underrättelseuppdrag. Underrättelseverksamhet ingår i Försvarsmaktens lagstadgade uppgifter med stöd av 2 § 1 mom. 1 punkten samt 4 § i lagen om försvarsmakten. För Försvarsmaktens underrättelseverksamhet finns det emellertid inga direkta befogenheter föreskrivna, och ingen reglering som gäller behandlingen av personuppgifter i samband med underrättelseuppdrag. Personuppgifter behandlas därmed i samband med verksamheten med stöd av 8 § 1 mom. 4 punkten i personuppgiftslagen, vilken tillåter behandling av uppgifter för en myndighets skötsel av ett uppdrag, om vilket föreskrivs i lag. Om behandling av personuppgifter som myndigheterna utför, i synnerhet sådan som kan ha betydande konsekvenser för integritetsskyddet, ska dock föreskrivas täckande och i detalj genom lag, och nuläget kan därmed inte anses tillfredsställande. Också den föreslagna lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten förutsätter att om behandling av personuppgifter som utförs på lagens tillämpningsområde föreskrivs genom lag. Den föreslagna regleringen av den militära underrättelseverksamheten sammanhänger med ett förslag till lagstiftning om militär underrättelseverksamhet, som samtidigt har överlämnats till riksdagen.  
4
Propositionens konsekvenser
4.1
Ekonomiska konsekvenser
Reformeringen av dataskyddslagstiftningen orsakar Försvarsmakten obetydliga kostnader genom de ökande kraven på informationssystem och personal. I synnerhet skyldigheten att spara logguppgifter om all automatisk behandling av personuppgifter och andra preciserade krav på informationssystemen samt skyldigheten att utnämna en dataskyddsansvarig orsakar Försvarsmakten direkta kostnader. Någon reglering som orsakar kostnader ingår huvudsakligen dock inte i denna proposition, utan den ingår i den föreslagna lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten samt delvis också i den allmänna dataskyddsförordningen. De kan följaktligen inte anses som kostnader orsakade av denna regeringsproposition, och det är inte heller ändamålsenligt att behandla dem i mera omfattande grad här. 
De lagförslag som ingår i denna proposition innehåller inga krav gällande vilka informationssystem som ska användas vid behandling av personuppgifter, och av propositionen orsakas Försvarsmakten därmed inte informationssystemkostnader. 
I 45 § i den föreslagna lagen om behandling av personuppgifter inom Försvarsmakten ska det föreskrivas om förstöring av ett tillfälligt personregister och om skyldigheten att med tre års intervall bedöma om registret behövs. Bedömningen av om registret behövs, som ska göras med bestämda intervall, är som skyldighet ny och kan orsaka extra arbete i någon mån. Det kommer dock att finnas ytterst få tillfälliga personregister, vilket gör att den sysselsättande verkan av skyldigheten blir ytterst liten. 
I 31-32 § i den föreslagna lagen ska det föreskrivas mera exakt än för närvarande om utlämnande av personuppgifter till en annan stat eller till en internationell organisation. Uppfyllandet av de mera exakta villkoren kan i ett enskilt fall orsaka en liten mängd extra arbete och därmed kostnader. Utlämnande av personuppgifter i enlighet med paragraferna ska dock vara verksamhet av exceptionell karaktär och det kan därmed bedömas att kostnaderna blir ytterst små. 
4.2
Konsekvenserna för myndigheterna
Genom att den personuppgiftsreglering som gäller Försvarsmakten samlas i en enda lag, eftersträvas i första hand en enhetligare reglering och att av den ska skapas en klar helhet som är enkel att tillämpa. I propositionen strävar man också efter att underlätta informationsutbytet mellan myndigheterna genom att säkerställa tillräckliga rättigheter att få upplysningar för Försvarsmakten och möjligheter att vid behov lämna ut personuppgifter också genom en teknisk anslutning. Vidare strävas det i propositionen efter att säkerställa att Försvarsmakten har tillräckliga rättigheter att behandla personuppgifter enligt behov också för annat ändamål än det som de ursprungligen insamlades och infördes i registren för. Genom dessa förebyggs behovet att fråga efter samma uppgifter flera gånger och rivs onödiga hinder i lagstiftningen för informationsutbytet. Det föreslås dessutom att de bestämmelser som gäller datainnehållen i Försvarsmaktens personregister ska skrivas i en mera flexibel form än i gällande lagstiftning. Det kan bedömas att alla de ändringar som nämns ovan gör tillämpningen av lagstiftningen smidigare och förbättrar Försvarsmaktens möjligheter att behandla de uppgifter som behövs för dess verksamhet. 
4.3
Samhällskonsekvenser
Koncentreringen av bestämmelserna till en enda lag medför att en registrerad lättare än för närvarande kan forma sig en helhetsbild av i vilka register och för vilka ändamål Försvarsmakten behandlar uppgifterna om den registrerade, till vilka instanser uppgifterna kan lämnas ut och hur länge de bevaras. Detta gör det också enklare för den registrerade att använda sina rättigheter, vilket kan anses vara ett viktigt mål. I propositionen föreslås också att det ska föreskrivas mera detaljerat än i den nuvarande lagstiftningen om utlämnande av personuppgifter till utlandet, vilket kan bedömas förbättra nivån på skyddet för personuppgifter. 
Den lagstiftning som gäller försvarsförvaltningen riktar sig i själva verket i praktiken alltid mera mot män än mot kvinnor. Största delen av de personer vilkas uppgifter Försvarsmakten behandlar är män, vilket beror på det finska värnpliktssystemet. Propositionen kan dock inte anses ha några egentliga konsekvenser för jämställdheten mellan kvinnor och män. 
5
Beredningen av propositionen
5.1
Beredningsskeden och beredningsmaterial
Utkastet till proposition har beretts vid försvarsministeriet. För att stödja beredningen tillsattes en arbetsgrupp, där det har ingått representanter för försvarsministeriet, Försvarsmakten och staben för Gränsbevakningsväsendet. Arbetsgruppens mandatperiod har löpt från den 1 september 2016 till och med den 30 november 2017. 
5.2
Remissyttranden och hur de har beaktats
Försvarsministeriet fick totalt 30 remissyttranden över utkastet till regeringsproposition. I de remissyttranden som gavs fick koncentreringen av personuppgiftsbestämmelserna till en enda lag, en registerbaserad regleringsteknik samt tillämpningen av lagstiftningen om verkställande av direktivet om dataskydd i brottmål som allmän del av dataskyddsregleringen ett brett understöd. Likaså fick propositionens mål att göra regleringen mera flexibel och gallra i de bestämmelser som innebär dubbelt informationsutbyte ett brett understöd i utlåtandena. Därmed förhöll sig remissgivarna till största delen positiva till propositionens huvudlinjer. 
I de givna utlåtandena togs som sådana sakhelheter som kräver utveckling upp särskilt personuppgiftslagens relation till den föreslagna lagen om militär underrättelseverksamhet, regleringen av de sekundära ändamålen med personuppgifter, bestämmelserna om utlämnande av och erhållande av information om personuppgifter samt bestämmelserna om internationellt informationsutbyte. I flera utlåtanden betonades dessutom det allmänna behovet att sammanpassa de dataskyddsprojekt som samtidigt pågår vid flera ministerier.  
Dataombudsmannen och socialdemokratiska riksdagsgruppen förde i sina utlåtanden fram att paragraferna om den militära underrättelseinhämtningen helt borde avskiljas från personuppgiftslagen och inbegripas i den lag om militär underrättelseverksamhet som bereds just nu. Enligt dataombudsmannen utgör det att bestämmelserna om behandling av personuppgifter i samband med militär underrättelseinhämtning finns på samma ställer som befogenheterna till militär underrättelseinhämtning en förutsättning för att regleringen ska vara exakt och noggrant avgränsad. Av utlåtandet framgår emellertid inte hur avskiljandet av bestämmelserna om befogenheter och dataskydd till olika lagar påverkar regleringens exakthet och noggranna avgränsning eller varför just om militär underrättelseinhämtning till denna del borde stiftas med en annorlunda regleringsstruktur än om alla andra motsvarande funktioner hos Försvarsmakten eller övriga myndigheter som svarar för den nationella säkerheten. Den föreslagna regleringsuppbyggnaden motsvarar också den regleringsuppbyggnad som planeras för den civila underrättelseinhämtningen. 
Inbegripandet av bestämmelserna om militär underrättelseinhämtning i den föreslagna lagen om militär underrättelseverksamhet är också problematiskt av den anledningen att nämnda lag inte är avsedd som en lag som gäller all Försvarsmaktens militära underrättelseinhämtning, utan endast som en lag som gäller vissa nya befogenheter för den militära underrättelseinhämtningen. Försvarsmakten bedriver redan nu militär underrättelseinhämtning med stöd av lagen om försvarsmakten och syftet är att denna verksamhet ska fortgå som hittills oberoende av, om den nya lagen om militär underrättelseverksamhet träder i kraft eller inte. Också i den militära underrättelseverksamhet som bedrivs med stöd av lagen om försvarsmakten behandlas personuppgifter och också om detta ska det föreskrivas i den nya lagstiftningen. Det kan inte anses ändamålsenligt att samma bestämmelser inbegrips i båda lagarna. 
Dessutom skulle uppdelningen av den reglering som gäller militär underrättelseinhämtning på två lagar enligt Dataombudsmannen leda till att tillsynen över verksamheten skulle delas mellan två tillsynsmyndigheter. Behörighetsfördelningen mellan tillsynsmyndigheterna är emellertid oberoende av om det föreskrivs om behandling av personuppgifter som anknyter till militär underrättelseinhämtning i den nya lagen om militär underrättelseverksamhet eller i den nya personuppgiftslagen. Dataombudsmannens skyldighet att övervaka all behandling av personuppgifter som sker i Finland härrör från de nya allmänna författningarna om behandling av personuppgifter, den allmänna dataskyddslagen samt lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. I vilken lag specialbestämmelserna om behandling av personuppgifter i samband med militär underrättelseinhämtning finns, har ingen som helst verkan på Dataombudsmannens uppgifter eller fördelningen av ansvaren för tillsynen. 
Dataombudsmannen uppmärksammade i sitt utlåtande också regleringen av den sekundära användningen av personuppgifter. Förslaget har följaktligen i den fortsatta beredningen preciserats så att bestämmelser om Försvarsmaktens rätt att behandla de personuppgifter som finns i dess register för annat än det ändamål de ursprungligen registrerades för ska ingå per register och bestämmelserna ska vara betydligt exaktare än vad som var fallet i det utkast till lag som gick på remiss. 
Inrikesministeriet och staben för Gränsbevakningsväsendet uppmärksammade i sina remissyttranden regleringen av registerföringen i fråga om värnpliktsregistret. Till denna del har propositionen i den fortsatta beredningen ändrats så att i den personuppgiftslag som gäller Försvarsmakten inte alls ska föreskrivas om Gränsbevakningsväsendets roll i fråga om värnpliktsregistret. 
Flera remissgivare föreslog i sina remissyttranden preciseringar till de paragrafer som gäller datainnehållet i registren samt de paragrafer som gäller rätt att lämna ut personuppgifter. De föreslagna ändringarna har till flera delar varit befogade och bestämmelserna har preciserats i enlighet med dem vid den fortsatta beredningen. Också den reglering som gäller utlämnande av personuppgifter till utlandet har preciserats vid den fortsatta beredningen utgående från remissresponsen. 
I flera utlåtanden uppmärksammades den allmänna bestämmelse som föreslås ingå i lagen om försvarsmakten och som gäller rätt att få upplysningar. Flera remissgivare ansåg att utkastet till paragraf var för vidsträckt och inexakt och förslaget har följaktligen preciserats i den fortsatta beredningen. Den föreslagna paragrafen har vid den fortsatta beredningen omformats så att den bättre motsvarar polisens och Gränsbevakningsväsendets motsvarande gällande bestämmelser, i synnerhet genom att bestämmelsen har avgränsats så att den endast gäller erhållande av information från myndigheter och sammanslutningar som upprättats för att sköta ett offentligt uppdrag.  
Utkasten till paragrafer om den militära underrättelseinhämtningen sändes på remiss redan våren 2017 i samband med det utkast till regeringsproposition som gäller den militära underrättelseverksamheten. I utkasten till paragrafer gjordes då flera ändringar utgående från remissresponsen och de nya utkasten sändes på remiss i samband med detta projekt. I fråga om bestämmelserna om den militära underrättelseinhämtningen har remissgivarna således haft två tillfällen att avge remissyttranden. 
6
Samband med andra propositioner
Den föreslagna lagen innehåller endast de specialbestämmelser som gäller behandling av personuppgifter inom Försvarsmakten och parallellt med den ska som s.k. allmän del av personuppgiftslagstiftningen tillämpas den föreslagna lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. De föreslagna lagarna utgör en helhet och därför vore det skäl att de alla skulle träda i kraft så samtidigt som möjligt. 
I den föreslagna lagen ska det också föreskrivas om behandling av personuppgifter i anknytning till militär underrättelseverksamhet. Bestämmelserna ska först och främst gälla militär underrättelseverksamhet sådan Försvarsmakten bedriver den med stöd av 2 § 1 mom. och 4 § i lagen om försvarsmakten. Regeringen har dessutom till riksdagen överlåtit ett förslag till ny lag om militär underrättelseverksamhet (RP 203/2018 rd), där det mera i detalj ska föreskrivas om vissa nya befogenheter som gäller militär underrättelseverksamhet Ytterligare har det till riksdagen lämnats ett förslag till lag om övervakning av underrättelseverksamheten och lag om ändring av 7 § i statstjänstemannalagen (RP 199/2017 rd). Den föreslagna övervakningen av underrättelseverksamheten kunde vara tillämplig också på behandlingen av personuppgifter i samband med militär underrättelseverksamhet. I enlighet med denna proposition har de bestämmelser som gäller militär underrättelseverksamhet beretts så att de som sådana kan tillämpas också i samband med användningen av de föreslagna nya befogenheterna gällande militär underrättelseverksamhet. Bestämmelserna om militär underrättelseinhämtning i detta lagförslag grundar sig dock inte på antagandet om att nämnda lag om militär underrättelseverksamhet godkänns, och behovet av reglering är inte beroende av behandlingen av förslaget till lag om militär underrättelseverksamhet. Om behandling av personuppgifter som gäller militär underrättelseinhämtning bör föreskrivas i den föreslagna lagen, även om någon särskild lag om militär underrättelseverksamhet inte skulle stiftas. Försvarsmakten fortgår med att bedriva militär underrättelseinhämtning med stöd av 2 § 1 mom. och 4 § i lagen om försvarsmakten oberoende av om en ny särskild lag om militär underrättelseverksamhet stiftas eller inte.  
Flera bestämmelser i den föreslagna lagen har man dessutom försökt anpassa till lagarna om behandling av personuppgifter i polisens verksamhet, om behandling av personuppgifter vid Gränsbevakningsväsendet och om behandling av personuppgifter inom Tullen, vilka också bereds just nu. Syftet med sammanpassandet har i synnerhet varit att minska mängden onödig dubbel reglering i informationsutbytet mellan myndigheterna. Riksdagsbehandlingen och ikraftträdandet av de nämnda lagarna som gäller polisen, Tullen och Gränsbevakningsväsendet, har dock fördröjts så mycket att det inte är möjligt att fullständigt uppnå målet i samband med behandlingen av denna proposition. 
I riksdagen behandlas just nu också en regeringsproposition med förslag till lag om ändring av lagen om trafikens tjänster och vissa lagar som har samband med den (RP 145/2017 rd). I den ingår förslag till ändring av 96 § i värnpliktslagen samt ändring av 42 och 91 § i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. Alla de nämnda paragraferna föreslås bli upphävda i samband med den propositionen och innehållet i dem föreslås bli överfört till det första lagförslaget. Vid formuleringen av de nya bestämmelserna har ovan nämnda regeringsproposition beaktats och paragrafförslagen har utarbetats i enlighet med detta.   
DETALJMOTIVERING
1
Lagförslag
1.1
Lag om behandling av personuppgifter inom Försvarsmakten
1 kap. Allmänna bestämmelser.
1 §.Tillämpningsområde. I paragrafen ska det föreskrivas om lagens tillämpningsområde. Enligt paragrafen ska lagen tillämpas på sådan behandling av personuppgifter som utförs av Försvarsmakten och för Försvarsmaktens räkning, när detta görs för skötsel av uppgifter som anges i nämnda punkter i 2 § 1 mom. i lagen om försvarsmakten.  
Följaktligen avgränsas lagens tillämpningsområde utgående från i vilket syfte personuppgifterna behandlas. Om syftet med behandlingen hänför sig till skötseln av någon uppgift om vilken föreskrivs i den i paragrafen nämnda lagen om försvarsmakten, ska denna lag tillämpas på behandlingen. På motsvarande sätt, om behandlingen inte anknyter till skötseln av dessa uppgifter, utan grund för behandlingen är uppfyllandet av skyldigheterna t.ex. i arbetstidslagen (605/1996), semesterlagen (162/2005) eller i någon annan motsvarande lag, ska denna lag inte tillämpas på behandlingen, utan EU:s dataskyddsförordning och den föreslagna allmänna dataskyddslagen. I praktiken ska dataskyddsförordningen och den allmänna dataskyddslagen därmed tillämpas endast på sådan behandling av personuppgifter som inte behövs för skötsel av de uppgifter om vilka föreskrivs i lagen om försvarsmakten. Ifall behandling av vissa personuppgifter behövs både för skötsel av uppgifter om vilka föreskrivs i lagen om försvarsmakten och för skötsel av någon annan skyldighet, tillämpas denna lag på behandlingen. Till tillämpningsområdet för detta lagförslag ska utgående från den föreslagna bestämmelsen om tillämpningsområde inte alls höra sådan behandling av personuppgifter på vilken EU:s dataskyddsförordning tillämpas.  
I 2 § 1 mom. 1 punkten i lagen om försvarsmakten föreskrivs om försvarsmaktens huvuduppgift, som är det militära försvaret av Finland. Punkten delas upp på tre underpunkter, där det föreskrivs närmare om innehållet i uppgiften. 
I 2 § 1 mom. 1 a punkten i lagen om försvarsmakten föreskrivs att till försvarsmaktens uppgifter hör övervakning av Finlands landområden, vattenområden och luftrum samt tryggande av den territoriella integriteten. För tryggande av rikets territoriella integritet övervakas rikets land- och vattenområden samt luftrum i samverkan med övriga tillsynsmyndigheter. I territorialövervakningen förebyggs eller avslöjas och utreds territorieförseelser och territoriekränkningar. Närmare bestämmelser om Försvarsmaktens deltagande i övervakningen av land- och vattenområdena samt luftrummet finns i territorialövervakningslagen.  
Enligt 2 § 1 mom. 1 b punkten i lagen om försvarsmakten hör det till skötseln av det militära försvaret av landet också att trygga befolkningens livsbetingelser, de grundläggande fri- och rättigheterna och statsledningens handlingsfrihet samt att försvara den lagliga samhällsordningen. För att förebygga ett militärt hot måste man kunna höja Försvarsmaktens beredskap, uppbåda behövliga trupper till tjänstgöring, sprida ut material för de krigstida trupperna och skydda viktiga objekt. Försvarsmakten upprätthåller och utvecklar därmed försvarsberedskapen. För att forma och upprätthålla en militärstrategisk lägesbild, följer spanings- och övervakningssystemet utvecklingen i Finlands säkerhetspolitiska omgivning, fastställer ändringarna i omgivningen och producerar information om det rådande läget. Systemet ger en förvarning om att militära hot håller på att utvecklas, så att de motåtgärder som behövs kan inledas. I upprätthållandet och utvecklandet av försvarsberedskapen ingår också bl.a. upphandling, underhåll och lagring av försvarsmateriel, logistik, operativ planering, utvecklande av ledningssystemen, utbildning av personalen, beredskapsreglering, utvecklande av beredskapsförband och förberedelser inför informationskrigföring. 
I 2 § 1 mom. 1 c punkten i lagen om försvarsmakten föreskrivs att till försvarsmaktens uppgifter hör att ge militärutbildning, styra den frivilliga försvarsutbildningen och stärka försvarsviljan. Försvarsmakten producerar trupperna för det nationella försvaret. På grund av detta ger Försvarsmakten militärutbildning till beväringar, reservister och studerande vid de militära läroinrättningarna. Försvarsmakten stöder också det frivilliga försvaret som en del av Finlands försvar enligt vad som föreskrivs i lagen om frivilligt försvar. Försvarsmakten stärker försvarsviljan t.ex. genom att ge medborgarna möjligheter att delta i försvarsarbetet samt genom att engagera medborgarna i de värden och funktioner som främjar försvaret av landet. Också samarbetet med veteranorganisationerna och motsvarande anknyter till stärkandet av försvarsviljan. 
Enligt paragrafens 1 mom. 2 punkt hör det till försvarsmaktens uppgifter att stödja andra myndigheter. Uppgiften innefattar a) handräckning för upprätthållande av allmän ordning och säkerhet, förhindrande och avbrytande av terroristbrott samt skyddande av samhället i övrigt, samt b) deltagande i räddningsverksamheten genom att tillhandahålla utrustning, personalresurser och sakkunnigtjänster som behövs i räddningsverksamheten. Denna lag ska tillämpas endast i samband med skötseln av uppgifter enligt underpunkt a. Deltagande i räddningsverksamhet hör till tillämpningsområdet för EU:s dataskyddsförordning, och därför är det inte nödvändigt att i denna lag föreskriva om den behandling av personuppgifter som hänför sig till detta. 
Försvarsmaktens stöd till andra myndigheter behövs i situationer där de andra myndigheterna inte har t.ex. sådant kunnande eller sådan materiel som finns hos Försvarsmakten för att utföra uppdrag. Bakom samverkan finns lagstadgade förpliktelser samt samarbetsavtal mellan myndigheterna. Utöver traditionella militära hot utgör bl.a. hotet om massförstörelsevapen, terrorism, informationskrigföring samt hot som riktas mot informationssystem utmaningar som Försvarsmakten bevakar noga. Genom samverkan under normala förhållanden skapas grunder för en nära och fungerande samverkan såväl i störningssituationer som också i undantagsförhållanden. 
Försvarsmaktens tredje uppgift är att delta i bistånd, territorialövervakningssamarbete eller annat internationellt givande av bistånd eller annan internationell verksamhet enligt artikel 222 i fördraget om Europeiska unionens funktionssätt eller enligt artikel 42.7 i fördraget om Europeiska unionen, a) handräckning för upprätthållande av allmän ordning och säkerhet, förhindrande och avbrytande av terroristbrott samt för skyddande av samhället i övrigt. Internationellt bistånd kan med stöd av bestämmelsen ges en annan stat, Europeiska unionen eller en internationell organisation t.ex. i situationer som inkluderar EU:s solidaritetsklausul eller klausul om ömsesidigt bistånd eller vid territorialövervakning. Som exempel på annan internationell verksamhet som avses i bestämmelsen kan nämnas samverkan som utgår från Finlands egna behov t.ex. vid territorialövervakning på ett område som inte hör till någon stats suveränitet, såsom på öppet hav eller i internationellt luftrum eller vid evakuering av finländare från ett krisområde genom användning av Försvarsmaktens prestationsförmågor.  
Till Försvarsmaktens fjärde uppgift hör deltagande i internationell militär krishantering och i militära uppdrag i annan internationell krishantering. Närmare bestämmelser om deltagande i militär krishantering finns i lagen om militär krishantering. 
Enligt paragrafen ska lagen tillämpas också på annan behandling av personuppgifter än den som Försvarsmakten utför, när behandlingen sker för Försvarsmaktens räkning. Till exempel det att behandlingsåtgärderna gällande vissa personuppgifter läggs ut på entreprenad påverkar således inte de författningar som ska tillämpas, utan de som behandlar personuppgifter ska, när de verkar för Försvarsmaktens räkning, följa samma bestämmelser som Försvarsmakten själv tillämpar. Lagen tillämpas på automatisk behandling av personuppgifter samt på annan än automatisk behandling, då personuppgifterna utgör eller är avsedda att utgöra ett register eller en del av ett sådant. Bestämmelsen motsvarar till denna del gällande bestämmelse om tillämpningsområdet för personuppgiftslagen.  
2 §.Förhållande till annan lagstiftning. Enligt 1 mom. ska på den föreslagna lagens tillämpningsområde som s.k. allmän del av personuppgiftslagstiftningen tillämpas den föreslagna lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Av lagen ska dock dess 10 § 2 mom., 54 § och 7 kap. inte tillämpas, där det ska föreskrivas om utlämnande av personuppgifter till tredje länder, om fritt flöde av personuppgifter inom EU-området och om samarbete mellan tillsynsmyndigheterna. Försvarsmaktens ärenden som hör till tillämpningsområdet för denna lag, inklusive ärenden som gäller militär disciplin och brottsbekämpning, hör inte till tillämpningsområdet för direktivet om dataskydd i brottmål och därför är det möjligt att göra undantag från direktivets bestämmelser. Det fria flödet av personuppgifter inom unionsområdet gäller inte de uppgifter som Försvarsmakten behandlar i enlighet med denna lag, och särskiljandet mellan unionens medlemsstater och tredjeländer är därmed inte av betydelse. 
Lagen ska förutom de ovan nämnda undantagen som omfattar hela lagen också innehålla enskilda mera begränsade undantag från lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Dylika ska vara bl.a. undantag från en registrerads granskningsrätt gällande vissa register samt skyldigheten att offentliggöra en dataskyddsbeskrivning.  
Det informationsutbyte som Försvarsmakten bedriver med andra stater och med internationella organisationer är till sin art avsevärt annorlunda än de myndigheters som är verksamma på tillämpningsområdet för direktivet om dataskydd i brottmål, och bestämmelsen i 10 § 2 mom. och i 7 kap. i den föreslagna lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten lämpar sig därför inte för Försvarsmaktens behov. Bestämmelser om utlämnande av personuppgifter till utlandet och till internationella organisationer ska ingå i 4 kap. i detta lagförslag. 
Paragrafens 2 och 3 mom. ska innehåll informativa hänvisningar till lagen om offentlighet i myndigheternas verksamhet (621/1999) och säkerhetsutredningslagen (726/2014). 
2 kap. Försvarsmaktens personregister
I 2 kap. ska det föreskrivas om Försvarsmaktens permanenta, tillfälliga och andra personregister till den del som personuppgifter behandlas för sådana ändamål som avses i 1 § i lagen. Till det föreslagna 2 kap. ska de grundläggande bestämmelser som gäller Försvarsmaktens permanenta personregister flyttas från värnpliktslagen, lagen om militär krishantering, lagen om försvarsmakten, territorialövervakningslagen samt lagen om militär disciplin och brottsbekämpning inom försvarsmakten. Vidare ska i kapitlet ingå de grundläggande bestämmelserna om de register som gäller militär underrättelseverksamhet. De bestämmelser som gäller ändamålen med och datainnehållen i Försvarsmaktens permanenta personregister ska således alla koncentreras i samma kapitel och samtidigt ska deras skrivsätt förenhetligas och moderniseras. 
I kapitlet ska det föreskrivas om ändamålen med de olika registren och om tillåtna datainnehåll i dem. Enligt vad som föreslås ska de bestämmelser som gäller registrens datainnehåll skrivas i en flexiblare form är gällande bestämmelser om datainnehåll genom att man regleringstekniskt övergår från enskilda uppgifter som får registreras till vilka uppgiftskategorier som är tillåtna. I lagen ska därmed inte längre föreskrivas om vilka enskilda personuppgifter som får föras in i varje personregister, utan om uppgiftskategorier, och de personuppgifter som hör till dem får föras in i registret. Det exaktare innehållet i varje uppgiftskategori ska fastslås enligt registrets ändamål och tröskeln för registrering. Till exempel det vilka enskilda personuppgifter som ska få föras in i värnpliktsregistret utifrån uppgiftskategorins identifikationsuppgifter, ska enligt vad som föreslås basera sig på hurdana identifikationsuppgifter man behöver behandla med tanke på ändamålet med värnpliktsregistret. Regleringstekniken ska till denna del vara mera flexibel än i dagens läge, eftersom innehållet i uppgiftskategorierna kan förändras i och med behandlingsbehoven och t.ex. teknikutvecklingen. De bestämmelser som gäller registrets ändamål och tillåtna datainnehåll bör alltid tillämpas som en helhet, och personuppgifter som inte behövs med tanke på ändamålet med registret ska därför aldrig få föras in i registret, även om en bestämmelse om datainnehållet skulle tillåta det, om man läste den separat.  
Ett undantag till den mera generella regleringstekniken i fråga om datainnehållen, ska dock fortsättningsvis vara uppgifter som hör till särskilda personuppgiftskategorier, dvs. så kallade känsliga personuppgifter, och bestämmelserna om behandlingen av dem ska vara mera exakta än om andra personuppgifter. Till exempel uppgiftskategorin ”identifikationsuppgifter” ska inte i sig ge rätt att registrera biometriska identifikationsuppgifter eller andra uppgifter som hör till de särskilda kategorierna av personuppgifter, utan i fråga om de särskilda kategorierna av personuppgifter som ska få föras in i registret ska det föreskrivas närmare i samband med varje register. Sådana personuppgifter ska dessutom få behandlas endast om behandlingen av dem är nödvändig med tanke på ändamålet med registret, dvs. tröskeln för att registrera dem ska vara högre än för andra personuppgifter.  
Det föreslås att skrivsättet i kapitlet samtidigt ska förenhetligas i fråga om de bestämmelser som gäller permanenta personregisters ändamål samt att gällande bestämmelser om att registren är automatiska och riksomfattande ska strykas eftersom de är onödiga. Syftet med de terminologiska ändringarna är i första hand att övergå från reglering av informationssystem till reglering av personregister. Ett personregister är inte nödvändigtvis bundet till ett visst tekniskt informationssystem, utan t.ex. i värnpliktsregistret kan ingå personuppgifter i flera olika informationssystem. I samma tekniska informationssystem kan på motsvarande sätt behandlas uppgifter som hör till flera olika personregister. Syftet med behandlingen av personuppgifter avgör till vilket personregister uppgifterna i fråga hör. 
I kapitlet ska det föreskrivas uttömmande om de uppgiftskategorier, där de personuppgifter som ingår i dem får föras in i Försvarsmaktens permanenta personregister. De förteckningar över datainnehåll som ingår i kapitlet ska inte begränsa behandlingen av andra uppgifter i samma register och informationssystem till den del som de inte är personuppgifter. 
3 §.Försvarsmaktens permanenta personregister och personuppgiftsansvarig. I 1 mom. ska Försvarsmaktens permanenta personregister räknas upp, och om deras ändamål och datainnehåll ska föreskrivas mera exakt i kapitlets övriga paragrafer. Paragrafens 2 mom. ska innehålla bestämmelser om trösklar för att registrera och behandla personuppgifter, och de ska tillämpas på all behandling av personuppgifter enligt denna lag. Motsvarande bestämmelser om behandlingströsklar finns också i den föreslagna lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten, vilket gör att denna bestämmelse till sin art ska vara informativ. Eftersom rätten att behandla personuppgifter ska definieras enligt en helhet som består av ändamålet med registren, tillåtet datainnehåll och behandlingströsklar, underlättas tillämpningen av lagen av att behandlingströsklarna tydligt tas fram i samma sammanhang som ändamålen med registren och deras datainnehåll. I fråga om registret för militär underrättelseverksamhet och säkerhetsdataregistret ska det vara möjligt att tillfälligt avvika från de behandlingströsklar som stämmer överens med momentet på det sätt som det föreslås att om saken ska föreskrivas i 13 § 2 mom. och 15 § 2 mom.  
Enligt 3 mom. ska Försvarsmaktens huvudstab vara personuppgiftsansvarig i fråga om alla Försvarsmaktens permanenta personregister. Det föreslagna 3 mom. ändrar rättsläget genom att det koncentrerar ansvaret för Försvarsmaktens registerföring till huvudstaben, fastän i praktiken också Försvarsmaktens övriga förvaltningsenheter till flera delar upprätthåller och använder de personregister som nämns i paragrafen. I egenskap av personuppgiftsansvarig ska huvudstaben i fråga om de permanenta personregistren fastslå behandlingens syften och metoder samt svara för att registerföringen är laglig. Övriga förvaltningsenheter ska använda registren endast enligt huvudstabens anvisningar och under huvudstabens övervakning. I fråga om värnpliktsregistret ska ändringen också gälla Gränsbevakningsväsendet, som inte längre ska vara personuppgiftsansvarig i fråga om registret. Huvudstaben ska dock kunna bevilja Gränsbevakningsväsendet rätt att fortsättningsvis i registret föra in bl.a. uppgifter om de personer som fullgör värnplikt vid Gränsbevakningsväsendet i enlighet med den föreslagna 38 §. Huvudstaben och Gränsbevakningsväsendet kan därmed fortgå med den nuvarande verksamhetsmodellen också efter ändringen, ifall parterna kommer överens om detta.  
4 §.Värnpliktsregistrets ändamål. I paragrafen ska det föreskrivas om ändamålet med värnpliktsregistret. Bestämmelsen motsvarar i stort sett 91 § 1 mom. i den gällande värnpliktslagen. Ändamålet med registret ska dock skrivas med en formulering som är mera omfattande än för närvarande så att värnpliktsregistret också ska omfatta uppgifter i registret över krishanteringspersonalen vilket avses i 31 § i lagen om militär krishantering. Registret över krishanteringspersonalen ska därmed upphöra att vara ett självständigt personregister och innehållet i det ska sammanslås med värnpliktsregistret. Redan nu finns registren i samma informationssystem och deras ändamål sammanhänger nära med varandra. Ändamålet med värnpliktsregistret ska dessutom uppdateras med beaktande av Försvarsmaktens breddade befogenheter att ge och ta emot internationellt bistånd. Det föreslås att formuleringen av bestämmelsen ändras så att den tydligare får formen av en förteckning.  
Enligt 1 och 2 punkten i paragrafen ska värnpliktsregistret användas för att bestämmande av tjänsteduglighet och förordnande till tjänstgöring samt för placering i uppgifter under undantagsförhållanden och för att skapa beredskap. Punkterna ska helt motsvara gällande 91 § 1 mom. i värnpliktslagen. 
Enligt 3 punkten ska värnpliktsregistret dessutom användas för planering och ordnande av nationell och internationell utbildning och tjänstgöring och för val av personer till dem. Utgående från punkten ska i registret få föras in uppgifter vilkas behandling behövs utöver för nationella uppgifter också i krishanteringsuppdrag samt för internationellt bistånd eller mottagande av bistånd eller i anknytning till internationella övningar. Den föreslagna 3 punkten ska därmed omfatta registret över krishanteringspersonalen, vilket för närvarande är ett särskilt register.  
Det föreslås att formuleringen i 4 punkten samtidigt ska preciseras så att i registret får behandlas personuppgifter utöver för befordran och belöning också för beviljande av annat erkännande. Belöning kan anses vara för snävt som begrepp, vilket inte nödvändigtvis omfattar t.ex. erkännanden som ska ges en större trupp utgående från en prestation. När punkten tillämpas, ska det dock beaktas att denna lag, enligt dess 1 §, ska tillämpas endast på sådan behandling av personuppgifter som görs för att utföra Försvarsmaktens uppgifter som nämns i 1 §. All Försvarsmaktens belöning och beviljande av erkännande hör därmed inte nödvändigtvis alls till tillämpningsområdet för denna lag. Till den del som belöning eller beviljande av annat erkännande inte hör till tillämpningsområdet för denna lag, ska behandling av personuppgifter i anknytning till detta ske i enlighet med EU:s dataskyddsförordning. 
Värnpliktsregistrets ändamål ska vara relativt omfattande och också täcka personuppgifterna i fråga om Försvarsmaktens och Gränsbevakningsväsendets anställda till den del som dessa uppgifter behandlas för de ändamål som nämns i paragrafen. Likaså ska uppgifter om både beväringarnas och den anställda militärpersonalens hälsotillstånd behandlas som en del av värnpliktsregistret till den del som de behandlas i de syften som nämns i paragrafen. Värnpliktsregistret bildas därmed, liksom för närvarande, av flera delregister som finns i olika informationssystem. Till värnpliktsregistret ska också kunna höra delar som upprätthålls manuellt. 
5 §.Värnpliktsregistrets datainnehåll. I paragrafen ska det föreskrivas om de uppgifter som ska föras in i värnpliktsregistret och om de persongrupper vilkas uppgifter får behandlas i registret. Paragrafen motsvarar till största delen innehållet i gällande 94 § i värnpliktslagen. 
I paragrafens 1 mom. ska det föreskrivas om de persongrupper vilkas uppgifter får behandlas i värnpliktsregistret för de ändamål som nämns i 4 §. Momentets 1–3 punkt ska huvudsakligen motsvara gällande 91 § 1 och 2 mom. i värnpliktslagen, och 4 punkten igen ska omfatta de personer som deltar i militär krishantering. I momentets 4 punkt ska dock det föråldrade och onödiga begreppet fredsbevarande uppdrag strykas. Detta inverkar inte på tillämpningen av bestämmelsen. Uppgifter om den personal som deltar i givandet av internationellt bistånd ska få behandlas i registret med stöd av momentets 1 eller 3 punkt.  
I momentet ska det inte göras någon skillnad mellan militär- och civilpersonal, utan bådas uppgifter ska det vara möjligt att behandla i värnpliktsregistret. 
I 2 mom. ska det föreskrivas om datainnehållet i värnpliktsregistret per uppgiftskategori. Den föreslagna 2 punkten i 2 mom. ska till sitt innehåll vara ny och enligt den ska i värnpliktsregistret få föras in en persons DNA-prov och den DNA-profil som har fastställts utifrån provet. Med DNA-prov ska avses fysiskt salivprov, blodprov eller annat prov och med DNA-profil en digital eller annan identifikator som fastställts utifrån detta prov. Punkten i sig ska inte ge behörighet att samla in DNA-prov, utan om behörigheten ska föreskrivas särskilt i värnpliktslagen och i lagen om militär krishantering. Mera exakta bestämmelser om behandlingen av DNA-prov och DNA-profiler ska ingå i 21 § i lagen. 
De övriga identifikationsuppgifter som avses i 2 mom. 3 punkten i den föreslagna paragrafen ska innehålla bl.a. personens namn och kön. Utgående från punkten ska i registret som en persons kännetecken få föras in också identifikationsuppgifter som baserar sig på fysiska egenskaper, såsom personens längd, vikt och ögonfärg. Kännetecken är dock som begrepp mera vidsträckt än endast identifikationsuppgifter som baserar sig på fysiska egenskaper och de omfattar bl.a. en persons tatueringar eller andra motsvarande yttre kännetecken. Eftersom foton kan innehålla uppgifter som hör till särskilda kategorier av personuppgifter, ska det i 3 punkten i momentet föreskrivas särskilt om registrering av dem. 
De hemorts- och medborgarskapsuppgifter som avses i 5 punkten i momentet ska innehålla bl.a. uppgifter om personens medborgarskap, tidigare medborgarskap och hemort eller befolkningsregisterkommun.  
Den föreslagna 6 punkten ska omfatta alla uppgifter med anknytning till personens militära utbildning och uppgift om personens militära grad. Momentets 7 punkt ska innehålla uppgifter om personens civila utbildning och yrke till den del som dessa kan vara av betydelse för personens placering och ordnandet av tjänstgöring. 
Momentets 8 punkt ska omfatta alla de uppgifter son behövs för att personens tjänsteduglighet ska kunna fastställas, inklusive uppgifter om hälsotillståndet. Som en uppgift som gäller hälsan ska också anses personens tandkartor, vilka i själva verket också kan ha betydelse vid identifiering av en avliden. Uppgifterna som gäller hälsan är främst sådana som hör till särskilda kategorier av personuppgifter och behandlingen av dessa uppgifter omfattas alltså av den förhöjda behandlingströskeln enligt 3 §. Den föreslagna 9 punkten ska tillåta att en annan uppgift om en persons specialkunskaper och lämplighet införs i värnpliktsregistret än en sådan som direkt anknyter till 6 och 7 punkten, om uppgiften kan ha betydelse med tanke på personens placering och tjänstgöring. Till exempel uppgifter som gäller en säkerhetsutredning kan vara av betydelse med tanke på placeringen av personen. Med stöd av punkten ska i registret få föras in bl.a. uppgifter om lämplighetstest som en person har genomgått och bedömningar av dem. Med tjänstgöring ska i punkten avses utöver nationell tjänstgöring också krishanteringstjänstgöring och annan tjänstgöring med anknytning till internationella uppdrag, såsom givandet av internationellt bistånd. 
Utgående från 10 punkten i momentet vore det möjligt att i värnpliktsregistret föra in uppgifter som behövs för de praktiska arrangemangen kring tjänstgöringen, t.ex. uppgifter om matallergier. Med stöd av punkten ska man dessutom i registret få föra in bl.a. en uppgift om att en person förvaras i fängelse eller på en vårdanstalt.  
Momentets 11 punkt ska täcka uppgifter om straff och påföljder oberoende av i vilket förfarande de har förordnats eller huruvida det är fråga om ett vanligt brott eller ett militärbrott. Den nära anhöriga som avses i 12 punkten ska som begrepp vara relativt flexibel, dvs. en nära anhörig ska därmed inte alltid nödvändigtvis behöva vara en släkting till den registrerade. Den uppgift om resedokument som avses i den föreslagna 13 punkten är det nödvändigt att föra in i registret åtminstone i fråga om de personer som deltar i krishanteringsuppdrag utomlands. Samma person kan ha flera resedokument, vilka det är behövligt att föra in i registret. 
Enligt förslaget ska ur datainnehållet i värnpliktsregistret strykas de uppgifter om kyrkosamfund eller annat religionssamfund och dess församling, vilka nämns i gällande 93 § 1 mom. 10 punkten i värnpliktslagen. De uppgifter som gäller en persons religiösa övertygelse är i sig inte av betydelse vid fullgörandet av tjänstgöring enligt värnpliktslagen och därför kan det inte anses att registrering av uppgifterna behövs. Om en persons religiösa eller övriga övertygelse dock påverkar det praktiska ordnandet av tjänstgöringen t.ex. genom att den ställer begränsningar gällande maten eller andra motsvarande omständigheter, ska man ha rätt att i värnpliktsregistret behandla de uppgifter som behövs med stöd av 2 mom. 10 punkten. 
6 §. Passertillståndsregistrets ändamål. Paragrafen ska motsvara 16 § 1 mom. i lagen om försvarsmakten och i den ska föreskrivas om ändamålet med passertillståndsregistret. Registrets namn ska ändras till passertillståndsregistret som bättre beskriver registret än registret för tillstånds- och övervakningsärenden. Samtidigt gör namnändringen att registret tydligare skiljer sig från registret över territorialövervakningens tillstånds- och övervakningsärenden. Registrets ändamål ska bibehållas. 
7 §.Passertillståndsregistrets datainnehåll. Den föreslagna lagens 6 § ska till innehållet huvudsakligen motsvara gällande 16 § 2 mom. i lagen om försvarsmakten och de uppgiftskategorier som avses i bestämmelsen ska i princip motsvara uppgiftskategorierna i värnpliktsregistret. I fråga om en finsk registrerad ska principen vara att personen individualiseras utifrån personbeteckningen, och födelsetiden ska registreras främst i ett sådant fall där den registrerade inte har en finsk personbeteckning. 
Eftersom foton kan innehålla uppgifter som hör till särskilda kategorier av personuppgifter, ska det i paragrafens 2 punkt föreskrivas särskilt om registrering av dem. Rätten att behandla foton är nödvändig med tanke på ändamålet med registret. Registrering av uppgifter om resedokument, vilka nämns i 5 punkten, behövs i allmänhet närmast när det är fråga om utländska gäster. Utgående från 6 punkten ska i registret få föras in uppgifter bl.a. om farliga föremål som en person har eller andra motsvarande omständigheter som eventuellt påverkar säkerheten i arbetet för Försvarsmaktens personal. 
8 §.Ändamålet med registret över territorialövervakningens tillstånds- och övervakningsärenden. I paragrafen ska det föreskrivas om ändamålet med registret över territorialövervakningens tillstånds- och övervakningsärenden och den ska till sitt innehåll motsvara gällande 36 a § 1 mom. i territorialövervakningslagen. 
9 §.Datainnehållet i registret över territorialövervakningens tillstånds- och övervakningsärenden. I paragrafen ska det föreskrivas om datainnehållet i registret över territorialövervakningens tillstånds- och övervakningsärenden och den ska huvudsakligen motsvara nuvarande 36 a § 2 och 3 mom. i territorialövervakningslagen. De uppgiftskategorier som avses i paragrafen ska huvudsakligen innehålla samma personuppgifter som motsvarande uppgiftskategorier i värnpliktsregistret och passertillståndsregistret. 
10 §.Ändamålet med registret för militärrättsvården. I paragrafen ska det föreskrivas om ändamålet med registret för militärrättsvården. Registret för militärrättsvården ska vara ett nytt permanent personregister, som ska bildas av uppgifterna i det nuvarande informationssystemet för militärrättsvården och registret för disciplinavgöranden. Bestämmelser om informationssystemet för militärrättsvården finns i 106 § i lagen om militär disciplin och brottsbekämpning inom försvarsmakten och om registret för disciplinavgöranden i 118 § i nämnda lag. Det föreslås att de nämnda registren ska slås samman till ett personregister, varvid de ärenden som avses i del II i lagen om militär disciplin och brottsbekämpning inom försvarsmakten och som gäller militär disciplin och utredning av brott kan behandlas i ett enda personregister under hela deras livscykel.  
Samtidigt ska ändamålet med registret skrivas om så att registret omfattar behandlingsbehov som sammanhänger både med förundersökning av militärbrott och registrering av avgöranden. Paragrafens 1 mom. 1 punkt ska motsvara gällande ändamål med informationssystemet för militärrättsvården, om vilket föreskrivs i 106 § 2 mom. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. Det föreslås att formuleringen i punkten ska förenklas en aning, men detta har ingen inverkan på tillämpningen av punkten.  
Punkt 2 och 3 i det föreslagna 1 mom. ska för sin del i huvudsak motsvara ändamålen med det nuvarande registret för disciplinavgöranden, om vilka föreskrivs i 118 § 1 mom. i lagen om militärdisciplin och brottsbekämpning inom försvarsmakten. För tydlighetens skull föreslås det emellertid att ändamålen ska skrivas i form av en förteckning och samtidigt något mera omfattande än den nuvarande formuleringen. Bestämmelsen om ändamålet med registret för disciplinavgöranden i gällande lag gör det i någon mån mångtydigt, huruvida registret får användas för upprättande av militärjuristens disciplinutlåtande som avses i 33 § i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. För klarhetens skull ska det föreskrivas särskilt om detta utlåtande i momentets 2 punkt.  
Enligt 3 punkten i momentet ska registret dessutom användas för fattande, registrering, verkställande och övervakning av avgöranden i militära brottmål. Bestämmelsen ska omfatta både de avgöranden som förordnas i ett militärdisciplinförfarande och de avgöranden som getts i ett ärende som behandlats som ett militärt rättegångsärende vid domstol. Punkten ska skrivas i en mera omfattande form än gällande bestämmelse på så sätt att i registret enligt punkten också ska kunna föras in ett beslut av kommendören för ett truppförband i enlighet med 14 § i militära rättegångslagen om att förundersökningsmaterial ska tillställas åklagaren. Detta förblir i någon mån oklart till följd av formuleringen i gällande lag. 
Det självständiga ändamålet med registret att det kan användas för att upprätthålla brotts- och påföljdsstatistik, vilket sägs i gällande bestämmelse, föreslås bli struket ur paragrafen. Rena statistikbehov kan inte anses vara ett acceptabelt skäl att föra in personuppgifter i registret, utan för behandlingen av uppgifterna ska alltid finnas ett behov som anknyter till egentliga förundersökningsuppdrag eller behandling av avgöranden i militära brottmål. Om senare behandling i statistiksyfte av personuppgifter som registrerats för de syften som nämns i paragrafen ska föreskrivas särskilt i 5 § 3 mom. i den föreslagna lagen om verkställighet av direktivet om dataskydd i brottmål. 
11 §.Datainnehållet i registret för militärrättsvården. I paragrafen ska det föreskrivas om datainnehållet i registret för militärrättsvården och det ska delas upp på två delar. I 1 mom. ska det föreskrivas om basuppgifter om en person som ska föras in i registret och om de persongrupper vilkas uppgifter får föras in i registret. I 2 mom. ska det föreskrivas om uppgifter som ska föras in i registret i anknytning till ett enskilt fall. I synnerhet i de uppgifter som avses i 2 mom. kommer det att ingå också andra uppgifter än personuppgifter.  
I 1 mom. ska det föreskrivas om de basuppgifter om en person som får föras in i registret och dess innehåll ska i huvudsak motsvara 106 § 2 mom. och 118 § i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. I den inledande meningen i momentet ska det föreskrivas uttömmande om de persongrupper vilkas uppgifter ska få behandlas i registret. Det föreslås att uttrycket ”den som har något annat samband med ärendet” i den persongrupp som avses i 106 § 2 mom. i gällande lag om militär disciplin och brottsbekämpning inom försvarsmakten ska ersättas med det mera exakta begreppet ”annars har hörts”. Gällande begrepp kan anses vara alltför allmänt hållet och svårt att förutse med tanke på att personuppgiftslagen ska vara exakt och noggrant avgränsad. Begreppet ”annars har hörts” omfattar de personer som hörs vid en förundersökning, men vilkas ställning där ännu inte är klarlagd på det stadium då de hörs. Till övriga delar ska persongrupperna motsvara de persongrupper som enligt gällande lagstiftning behandlas i informationssystemet för militärrättsvården och i registret för disciplinavgöranden. 
De i 1 mom. 6 punkten avsedda uppgifterna som anknyter till en juridisk person ska utgöra en ny uppgiftskategori och ersätta formuleringen de uppgifter som behövs för specificering av en juridisk person, vilken används i gällande lag. De uppgifter som anknyter till en juridisk person ska som begrepp vara mera omfattande och med stöd av det ska i registret kunna föras in bl.a. personuppgifter som gäller en juridisk persons ägar- och bestämmanderättsförhållanden.  
I 2 mom. ska det föreskrivas om uppgifter som ska föras in i registret för militärrättsvården i anknytning till ett enskilt fall. Punkterna 1–3 och 5 i momentet ska till innehållet i huvudsak motsvara gällande 106 § 3 mom. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. Momentets 1 och 2 punkt ska dock kompletteras så att i registret ska kunna föras in en uppgift också om den militärjurist som gett ett utlåtande och om utlåtandet. Till övriga delar motsvarar paragrafen gällande bestämmelser.  
Momentets 4 punkt är ny och enligt den ska i registret få föras in identifikationsuppgifter som grundar sig på fysiska egenskaper hos en part i ett brott samt ljud- och bildupptagningar. Vid förundersökningen av ett brott kan man behöva behandla bl.a. fingeravtryck och foton och de måste då också kunna föras in i registret som uppgifter som gäller förundersökningen. Identifikationsuppgifter som grundar sig på fysiska egenskaper behövs för att det ska gå att identifiera en person på ett tillförlitligt sätt och de kan också vara de enda till buds stående individualiserings- och identifikationsuppgifterna om en person. I sig är det möjligt att tolka att de nämnda uppgifterna också ingår i 5 punkten i momentet, enligt vilken i registret får föras in uppgifter om andra nödvändiga beskrivningar, förhållanden och individualiseringar som sammanhänger med förundersökningsuppdraget, åtgärden och det inträffade. Eftersom det emellertid är fråga om uppgifter som delvis hör till särskilda kategorier av personuppgifter, får Försvarsmaktens rätt att föra in nämnda uppgifter i registret inte bli mångtydig, varför det är nödvändigt att skilja åt dem till en egen punkt. Syftet med att en ny punkt läggs till i bestämmelsen är inte att ändra polisens och Försvarsmaktens verksamhetssätt, utan huvudregeln ska fortfarande vara att en persons identifikationsuppgifter förs in i polisens register. Till exempel behandlingen av fingeravtryck och DNA-uppgifter ska kvarstå hos polisen. Med bestämmelsen ska man främst göra det möjligt att i ett enskilt fall föra in de uppgifter som avses i den också i Försvarsmaktens register, om detta är ändamålsenligt med tanke på utförandet av en förundersökning. 
Punkterna 6–9 i momentet ska motsvara innehållet i gällande 53 § samt 118 § 2 och 3 mom. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. 
12 §.Ändamålet med registret för militär underrättelseverksamhet. I paragrafen ska det föreskrivas om ändamålet med registret för militär underrättelseverksamhet. För närvarande har Försvarsmakten inget lagstadgat personregister som vore avsett att användas vid militär underrättelseverksamhet, vilket innebär att paragrafen är helt ny. Militär underrättelseverksamhet i sig ingår dock i Försvarsmaktens lagstadgade uppgifter utgående från 2 § 1 mom. 1 punkten i lagen om försvarsmakten. 
Den militära underrättelseverksamheten bevakar och analyserar utvecklingen i den finska säkerhetspolitiska omgivningen, fastställer ändringar i omgivningen och producerar information om rådande läge som stöd för beslutsfattandet. Systemet för militär underrättelseverksamhet ger en förvarning om att militära hot håller på att utvecklas. 
Genom spanings- och övervakningssystemet produceras och upprätthålls den omgivningsmedvetenhet som behövs för att försvarssystemet ska kunna ledas och beredskapen regleras och i detta ingår också geografiska uppgifter och uppgifter om förhållanden. Med systemet upprätthålls under normala förhållanden en lägesbild i realtid för övervakning och tryggande av den territoriella integriteten, stöds förmågan att ge en förvarning, skapas nödvändig datagrund för att inrikta verkan av gemensamma insatser samt ges grunderna för att anlägga, upprätthålla och utveckla försvarssystemet. De uppgifter som den militära underrättelseverksamheten behöver skaffas genom olika metoder för underrättelseinhämtning, genom övervakningssystemet samt genom samarbete med myndigheter och partner. Uppgifter skaffas också genom internationellt samarbete. 
För att skaffa sig uppgifter kan Försvarsmakten använda t.ex. de befogenheter som har föreskrivits för den i lag – såsom hemliga metoder för inhämtande av information, vilka är avsedda för uppdrag för att förebygga och avslöja brott eller sådana metoder för underrättelseinhämtning som inte kräver någon särskild befogenhetsreglering i lag. Sådana är bl.a. personbaserad underrättelseinhämtning i internationell verksamhet och geografisk underrättelseinhämtning. 
Ändamålet med registret ska inbegripa såväl behandling av personuppgifter som samlats in med befogenheter som förutsätter en exakt avgränsad reglering till följd av grundlagen och integritetsskyddet som också sådan behandling där det inte är nödvändigt att särskilt föreskriva i lag om myndighetens informationsinhämtning. I registret för militär underrättelseverksamhet ska det också kunna föras in uppgifter som behövs med tanke på uppdrag inom den militära underrättelseverksamheten och som har samlats in med olika metoder för underrättelseinhämtning, och dessa ska också kunna vara andra än personuppgifter. 
13 §.Datainnehållet i registret för militär underrättelseverksamhet. Paragrafen är ny och i den ska föreskrivas om datainnehållet i registret för militär underrättelseverksamhet. Till följd av den militära underrättelseverksamhetens art ska det datainnehåll som är tillåtet i registret vara mera omfattande än i Försvarsmaktens övriga permanenta personregister. Syftet med underrättelseverksamheten är att i vid omfattning samla in information av många olika slag och med tanke på verksamhetens effektivitet är det nödvändigt att Försvarsmakten har vidsträckt rätt att behandla personuppgifter som inhämtats ur olika källor. Rätten att behandla personuppgifter i enlighet med paragrafen skapar dock inte befogenheter att inhämta information, utan den befogenheten ska alltid kunna härledas ur annan lag.  
All den information som förs in i registret ska vara relevant med tanke på ändamålet med registret. Relevanskravet begränsar förutom de uppgifter som ska registreras, också den personkrets, vars uppgifter får föras in i registret. De registrerade ska vara av betydelse med tanke på utförandet av militärunderrättelseuppdrag.  
Enligt 1 mom. 2 punkten ska i registret få föras in identifikationsuppgifter som grundar sig på en persons fysiska egenskaper samt ljud- och bildupptagningar, på vilka en viss person kan identifieras eller vilka kan kopplas till en viss person. Identifikationsuppgifter som grundar sig på fysiska egenskaper ska vara bl.a. personens längd, vikt, ögonfärg och andra yttre kännetecken. Med stöd av denna punkt får det följaktligen också föras in sådana uppgifter i registret som hör till särskilda kategorier av personuppgifter. Uppgifter som avses i 8 punkten och anknyter till resande ska vara bl.a. uppgifter i resedokument samt andra behövliga uppgifter i anknytning till inresa och gränsöverskridande, såsom flygtrafikens passageraruppgifter.  
Utgående från 10 punkten i momentet ska i registret få införas identifikationsuppgifter, som kan vara t.ex. de IP-adresser och telefonnummer som personen använder och de förmedlingsuppgifter som hänför sig till kommunikationen. Identifikationsuppgifter ska också vara de fastighetsbeteckningar som ingår i fastighetsdatasystemet, när man uttryckligen har för avsikt att utgående från dem reda ut uppgifter om ägaren till en fastighet. Uppgifter i anknytning till en juridisk person enligt 10 punkten i paragrafen ska som begrepp vara omfattande och möjliggöra bl.a. att uppgifter som gäller en juridisk persons ägar- och bestämmanderättsförhållanden kan föras in i registret, om införandet av uppgifterna är relevant med tanke på ändamålet med registret.  
Med utredning och bedömning av pålitligheten i enlighet med 12 punkten ska i regel avses annat än ett sådant säkerhetsutredningsförfarande som avses i säkerhetsutredningslagen. Med begreppet ska avses bl.a. utredning av personens samarbetsförmåga och samarbetsvilja samt säkerställande av vilka motiv personen har att vara i kontakt med Försvarsmakten. Vid behov ska det dock också kunna införas uppgifter om säkerhetsutredningsförfarandet i registret, om uppgifterna är av betydelse med tanke på annan bedömning av pålitligheten som avses i punkten. Det kan vara nödvändigt att föra in uppgifter om säkerhetsutredningsförfarandet i registret t.ex. när uppgifterna gäller ett säkerhetsutredningsförfarande över en anställd vid Försvarsmakten eller om införandet av uppgifterna i det riksomfattande säkerhetsutredningsregistret kunde äventyra utförandet av eller skyddet för militära underrättelseuppdrag. 
Punkt 14 i momentet ska till sitt innehåll vara verkligt omfattande och med stöd av den ska i registret få föras in andra uppgifter om en persons verksamhet och beteende, vilka kan vara av betydelse med tanke på ändamålet med registret. Sådana uppgifter kan gälla t.ex. en persons kontakter, levnadssätt, hobbyer, andra intressen eller annat motsvarande. När uppgifter om en persons verksamhet och beteende förs in i registret, ska det särskilt uppmärksammas att uppgiften verkligen behövs med tanke på skötseln av uppdrag inom den militära underrättelseverksamheten. Med stöd av denna punkt kan det följaktligen med iakttagande av den högre behandlingströskeln som gäller sådana uppgifter också föras in uppgifter i registret som hör till särskilda kategorier av personuppgifter. 
Paragrafens 2 mom. möjliggör tillfällig avvikelse från den tröskel som allmänt ska tillämpas för införande av uppgifter i registret. Utförandet av uppdrag inom den militära underrättelseverksamheten förutsätter en omfattande informationsinhämtning, och det är inte nödvändigtvis möjligt att i fråga om alla tillgängliga informationsmassor omedelbart bedöma huruvida informationen är av betydelse eller inte med tanke på ett uppdrag. Därför ska i momentet tillåtas att de uppgifter som avses i 1 mom. tillfälligt får föras in i registret för att det ska kunna redas ut, huruvida en uppgift är av betydelse eller inte med tanke på ändamålet med registret. Med av betydelse ska det hänvisas till uppfyllandet av trösklarna för behandling, dvs. i fråga om uppgifter som hör till särskilda kategorier av personuppgifter att de ska vara nödvändiga och i fråga om andra personuppgifter behövliga. Huruvida uppgifterna är av betydelse ska bedömas utan dröjsmål, dock senast inom sex månader från den tidpunkt då de registrerades. Ifall en uppgift inte inom utsatt tid har konstaterats vara behövlig för skötseln av uppdragen, eller i fråga om de särskilda personuppgiftskategorierna nödvändig, ska den utplånas ur registret. Tiden på sex månader ska anses som en skälig bakre gräns med tanke på myndighetens uppgifter, inom ramen för vilken bedömningen senast ska göras.  
I 3 mom. ska det dessutom föreskrivas om en särskild skyldighet att registrera en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet. Skyldigheten ska dock inte var ovillkorlig, utan det ska bedömas om anteckningen behövs, beroende på vilket slags uppgift det är fråga om och vilken metod den har införskaffats med. Registrering av en bedömning behövs i synnerhet, om det väcks en misstanke om hur tillförlitlig en informationskälla eller riktig en uppgift är i ett enskilt fall. Syftet med bedömningen är att säkerställa integriteten och riktigheten i de personuppgifter som behandlas, men den betjänar samtidigt också Försvarsmaktens behov. 
14 §.Säkerhetsdataregistrets ändamål. I paragrafen ska det föreskrivas om ändamålet med säkerhetsdataregistret och det ska motsvara bestämmelsen om registrets ändamål i 108 § 2 mom. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. Enligt 86 § 1 mom. i nämnda lag sörjs det vid försvarsmaktens förebyggande och avslöjande av brott för att sådana brott kan förebyggas och avslöjas som anknyter till underrättelseverksamhet som riktas mot Finland och verksamhet som äventyrar det militära försvarets syfte. 
15 §.Datainnehållet i säkerhetsdataregistret. I paragrafen ska det föreskrivas om datainnehållet i säkerhetsdataregistret. Paragrafen ska huvudsakligen motsvara den paragraf som gäller datainnehållet i registret för militär underrättelseverksamhet.  
Med de identifikationsuppgifter som avses i 1 mom. 10 punkten ska i likhet med i fråga om registret för militär underrättelseverksamhet avses t.ex. de IP-adresser och telefonnummer som en person använder och förmedlingsuppgifter som anknyter till kommunikationen. Identifikationsuppgifter ska också vara de fastighetsbeteckningar som ingår i fastighetsdatasystemet, när man uttryckligen har för avsikt att utgående från dem reda ut uppgifter om ägaren till en fastighet. Paragrafens 1 mom. 12 punkt ska motsvara motsvarande bestämmelse om registret för militär underrättelseverksamhet. 
Enligt 1 mom. 13 punkten ska i registret få föras in uppgifter om att metoder för underrättelseinhämtning samt de hemliga metoder för inhämtande av information om vilka föreskrivs i 9 kap. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten har använts. Motsvarande bestämmelse finns inte i denna form i gällande lag, vilket har lett till ett i någon mån oklart rättsläge. Syftet med tillägget är därmed att skapa klarhet i det nuvarande rättsläget. Besluten om de hemliga metoderna för inhämtande av information och de protokoll som gäller dem upprättas skriftligen, men i gällande lagstiftning finns inga bestämmelser om införandet av uppgifterna i personregistren. Uppgifter om vilka metoder för informationsinhämtning, både hemliga och icke-hemliga, som har använts mot en person är emellertid viktiga för Försvarsmakten, för laglighetsövervakningen och för övervakningen av den registrerades rättigheter och dessa uppgifter bör därför kunna föras in i registret. Syftet med tillägget är därmed att skapa klarhet i rättsläget. Punkt 14 i paragrafens 1 mom. är också ny och ska motsvara motsvarande bestämmelse om registret för militär underrättelseverksamhet.  
Paragrafens 2 mom. möjliggör tillfällig avvikelse från den tröskel som allmänt ska tillämpas för införande av uppgifter i registret. Utförandet av uppdrag som gäller förebyggande och avslöjande av brott förutsätter en relativt omfattande informationsinhämtning, och det är inte nödvändigtvis möjligt att i fråga om alla tillgängliga informationsmassor omedelbart bedöma huruvida informationen är av betydelse eller inte med tanke på ett uppdrag. Därför ska i momentet tillåtas att de uppgifter som avses i 1 mom. tillfälligt får föras in i registret för att det ska kunna redas ut, huruvida en uppgift är av betydelse eller inte med tanke på ändamålet med registret. Med av betydelse ska det hänvisas till uppfyllandet av trösklarna för behandling, dvs. i fråga om uppgifter som hör till särskilda kategorier av personuppgifter att de ska vara nödvändiga och i fråga om andra personuppgifter behövliga. Huruvida uppgifterna är av betydelse ska bedömas utan dröjsmål, dock senast inom sex månader från den tidpunkt då de registrerades. Ifall en uppgift inte inom utsatt tid har konstaterats vara behövlig för skötseln av uppdragen, eller i fråga om de särskilda personuppgiftskategorierna nödvändig, ska den utplånas ur registret.  
I 3 mom. ska det i likhet med i fråga om registret för militär underrättelseverksamhet föreskrivas om en särskild skyldighet att registrera en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet. Skyldigheten ska dock inte var ovillkorlig, utan det ska bedömas om anteckningen behövs, beroende på vilket slags uppgift det är fråga om och vilken metod den har införskaffats med. Registrering av en bedömning behövs i synnerhet, om det väcks en misstanke om hur tillförlitlig en informationskälla eller riktig en uppgift är i ett enskilt fall. Syftet med bedömningen är att säkerställa integriteten och riktigheten i de personuppgifter som behandlas, men den betjänar samtidigt också Försvarsmaktens behov. 
Paragrafen ska motsvara gällande bestämmelse om säkerhetsdataregistret på så sätt att den personkrets som ska registreras inte uttryckligen begränsas i den. Försvarsmaktens uppdrag som gäller förebyggande och avslöjande av brott har definierats noggrant i lagen om militär disciplin och brottsbekämpning och de gäller endast underrättelseverksamhet som inriktas mot Finland inom området för det militära försvaret samt verksamhet som äventyrar syftet med det militära försvaret. Det allmänna relevanskravet som ska följas vid behandling av personuppgifter förutsätter dessutom att de personer som ska registreras är av betydelse för skötseln av uppdragen i fråga. De omständigheter som nämns ovan begränsar därmed de facto redan tillräckligt exakt den personkrets som registreringen kan gälla.  
16 §.Övriga personregister. Denna paragraf är ny och avser reglera Försvarsmaktens rätt att upprätta andra personregister än de som nämns i 3–15 §. Syftet med paragrafen är att till behövliga delar bevara nuvarande rättsläge och möjligheten att behandla personuppgifter till den del som bestämmelserna i 3–15 § eller annanstans i lag inte täcker alla Försvarsmaktens behandlingsbehov.  
Enligt 1 mom. ska Försvarsmakten få upprätta ett tillfälligt eller ett annat personregister för ett uppdrag inom den militära underrättelseverksamheten, ett uppdrag att förebygga och avslöja brott, ett förundersökningsuppdrag, ett handräckningsuppdrag eller för ett annat uppdrag som avses i 2 § 1 mom. 1 punkten, 2 a punkten eller 3 eller 4 punkten i lagen om försvarsmakten. Enligt gällande lagstiftning har Försvarsmakten motsvarande rätt att upprätta tillfälliga eller andra personregister för sådana uppdrag som avses i momentet med stöd av 8 § 1 mom. 4 punkten i allmänna personuppgiftslagen. Bestämmelsen innebär således ingen förändring i gällande rättsläge. 
Enligt 2 mom. ska i ett personregister som upprättas med stöd av paragrafen få införas personuppgifter som behövs för att ett uppdrag ska kunna utföras. Behandling av de särskilda personuppgiftskategorierna ska dock vara tillåten endast, om den är nödvändig med tanke på ändamålet med registret. Trösklarna för att behandla personuppgifter ska därmed motsvara de trösklar som gäller behandling i permanenta personregister. I 2 mom. ska det dessutom föreskrivas om en särskild skyldighet att registrera en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet i ett personregister som upprättats för ett uppdrag inom den militära underrättelseverksamheten eller ett uppdrag för att förebygga och avslöja brott. Skyldigheten ska dock inte var ovillkorlig, utan det ska bedömas om anteckningen behövs, beroende på vilket slags uppgift det är fråga om och vilken metod den har införskaffats med. Syftet med bedömningen är att säkerställa integriteten och riktigheten i de personuppgifter som behandlas, men den betjänar samtidigt också Försvarsmaktens behov.  
I 3 mom. ska det föreskrivas om den personuppgiftsansvarige i fråga om ett tillfälligt eller ett annat personregister och om vissa förfaranden i anknytning till upprättandet av ett sådant. Den förvaltningsenhet vid Försvarsmakten som svarar för verksamheten i fråga ska besluta om upprättandet av ett personregister som avses i paragrafen och vara personuppgiftsansvarig i fråga om det. Ifall någon annan förvaltningsenhet än huvudstaben är personuppgiftsansvarig, ska huvudstaben emellertid meddelas om upprättandet innan behandlingen av personuppgifter inleds genom att en dataskyddsbeskrivning över registret lämnas till huvudstaben. Också en väsentlig ändring av ett register och förstöring av ett register ska meddelas till huvudstaben. Syftet med denna bestämmelse är att säkerställa att huvudstaben hela tiden har en aktuell helhetsbild av all behandling av personuppgifter som sker inom Försvarsmakten och av de personregister som är i användning. Då kan huvudstaben på korrekt sätt styra och övervaka behandlingen av personuppgifter inom Försvarsmakten. 
3 kap. Behandling av personuppgifter.
17 §. Behandling av uppgifter i värnpliktsregistret för annat ändamål än det som de har samlats in och registrerats för. I paragrafen ska det föreskrivas om Försvarsmaktens rätt att behandla uppgifter som ingår i värnpliktsregistret senare för annat ändamål än det som de samlades in och registrerades för. Användningen av uppgifterna för annat ändamål än det som de ursprungligen registrerades för ska vara ett undantag, och behovet av det ska kunna motiveras i varje enskilt fall. Beslut om sekundär behandling av uppgifterna och om eventuell överföring av uppgifterna till ett annat av Försvarsmaktens personregister ska fattas av den personuppgiftsansvarige.  
Enligt 1 mom. 1 punkten ska uppgifter i värnpliktsregistret få användas sekundärt också i Försvarsmaktens förundersökningsuppdrag. Omfattande rätt att få upplysningar och möjligheter att behandla personuppgifter är nödvändiga för att förundersökningsuppdrag ska kunna skötas effektivt. Syftet med förundersökning är utredning av ett brottmål för ett disciplinärt beslut eller åtalsprövning och rättegång, och tillgång till de uppgifter som är nödvändiga med tanke på förundersökningen är en förutsättning för en effektiv straffprocess. Förundersökningsmyndigheten bör därför till sitt förfogande ha tillräckliga uppgifter för att kunna identifiera parter och vittnen. Värnpliktsregistret är Försvarsmaktens basregister, och de uppgifter som fås ur det kompletterar de uppgifter som fås ur befolkningsdatasystemet. Den föreslagna 1 punkten ska i praktiken ersätta bestämmelserna i 42 § 1 mom. 5 och 6 punkten i lagen om militär disciplin och brottsbekämpning inom försvarsmakten, enligt vilka uppgifter ur värnpliktsregistret och registret över krishanteringspersonal vid behov får överlåtas till informationssystemet för militärrättsvården. I bestämmelsen ska det endast vara fråga om en terminologisk ändring, som inte ändrar det faktiska rättsläget. I praktiken ska de basuppgifter om en person, vilka får föras in i registret för militärrättsvården och vilka avses i 13 § 1 mom., huvudsakligen fås uttryckligen ur värnpliktsregistret. 
Enligt 2 och 3 punkten i momentet ska det vara möjligt att sekundärt utnyttja värnpliktsregistrets uppgifter i militärunderrättelseuppdrag samt i uppdrag som gäller förebyggande och avslöjande av brott. Bestämmelserna i 91 § 1 mom. 12 och 13 punkten i lagen om militär disciplin och brottsbekämpning inom försvarsmakten, enligt vilka uppgifter ur värnpliktsregistret och registret över krishanteringspersonal vid behov får överlåtas till säkerhetsdataregistret, ska ersättas med den föreslagna 2 punkten. I fråga om den militära underrättelseinhämtningen är bestämmelsen ny. Omfattande rättigheter att få upplysningar är nödvändiga för att underrättelseuppdragen ska kunna skötas effektivt och tillträde till uppgifterna i värnpliktsregistret vid behov är därför också nödvändigt. 
Enligt momentets 4 punkt får uppgifter i värnpliktsregistret dessutom användas enligt behov i handräckningsuppdrag. Någon motsvarande uttrycklig bestämmelse finns inte, varför rättsläget kan anses oklart. Det är emellertid nödvändigt att kunna utnyttja uppgifter i värnpliktsregistret när de trupper bildas som ska delta i Försvarsmaktens handräckning.  
I 2 mom. ska det ingå en specialbestämmelse om DNA-uppgifter, enligt vilken det är förbjudet att behandla DNA-prov och DNA-profiler för något annat syfte än för att identifiera en avliden. DNA-uppgifter ska därmed inte få behandlas för de syften som nämns i 1 mom., utan endast för det syfte som de ursprungligen samlades in för. Bestämmelsen gäller också överlåtelse av uppgifter.  
18 §.Behandling av uppgifter i registret för militärrättsvården för annat ändamål än det som de har samlats in och registrerats för. I paragrafen ska det föreskrivas om Försvarsmaktens rätt att behandla uppgifter som ingår i registret för militärrättsvården senare för annat ändamål än det som de samlades in och registrerades för. Användningen av uppgifterna för annat ändamål än det som de ursprungligen registrerades för ska dock vara ett undantag, och behovet av det ska kunna motiveras i varje enskilt fall. Beslut om sekundär behandling av uppgifterna och om eventuell överföring av uppgifterna till ett annat av Försvarsmaktens personregister ska fattas av den personuppgiftsansvarige. 
Enligt 1 mom. 1 punkten ska uppgifter få användas för val till nationell och internationell tjänstgöring samt för ordnande av tjänstgöringen. Disciplinära påföljder som fastställts för en person kan ha konsekvenser t.ex. för val till utbildning eller för det, huruvida personen väljs till krishanteringstjänstgöring. Uppgifter om påföljder bör därför vid behov kunna flyttas över till värnpliktsregistret. På samma grunder som i 2 punkten ska uppgifter kunna utnyttjas också för annan placering i uppgifter under undantagsförhållanden och för beredskap. 
Enligt 3 och 4 punkten i momentet ska det vara möjligt att sekundärt utnyttja uppgifter i registret för militärrättsvården i militärunderrättelseuppdrag samt i uppdrag som gäller förebyggande och avslöjande av brott. Bestämmelserna i 91 § 1 mom. 11 punkten i lagen om militär disciplin och brottsbekämpning inom försvarsmakten, enligt vilka uppgifter ur värnpliktsregistret och registret över disciplinära avgöranden vid behov får överlåtas till säkerhetsdataregistret, ska ersättas med den föreslagna 2 punkten. I fråga om den militära underrättelseinhämtningen är bestämmelsen ny. Omfattande rättigheter att få information är nödvändiga för att underrättelseuppdragen ska kunna skötas effektivt och tillträde till uppgifterna i registret för militärrättsvården vid behov är därför också nödvändigt. Enligt 5 punkten ska det vara tillåtet att utnyttja uppgifter i registret för militärrättsvården också vid beslut om befordran, belöning eller annat erkännande. 
Paragrafens 2 mom. innehåller en informativ hänvisning till säkerhetsutredningslagen.  
19 §. Behandling av uppgifter i säkerhetsdataregistret för annat ändamål än det som de har samlats in och registrerats för.I paragrafen ska det föreskrivas om Försvarsmaktens rätt att behandla uppgifter som ingår i säkerhetsdataregistret senare för annat ändamål än det som de samlades in och registrerades för. Punkterna 1–3 i 1 mom. ska till innehållet motsvara 113 § 2 mom. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten med den skillnaden att i stället för om överlåtelse av uppgifter ska det i paragrafen föreskrivas om behandling av uppgifter. Ändringen ska endast vara terminologisk. Momentets 4 punkt ska vara ny och möjliggöra behandling av uppgifter också för utförande av militärunderrättelseuppdrag. Omfattande rättigheter att få information är nödvändiga för att underrättelseuppdragen ska kunna skötas effektivt och tillträde till uppgifterna i säkerhetsdataregistret vid behov är därför också nödvändigt. Användningen av uppgifterna för annat ändamål än det som de ursprungligen registrerades för ska vara ett undantag, och behovet av det ska kunna motiveras i varje enskilt fall. Beslut om sekundär behandling av uppgifterna och om eventuell överföring av uppgifterna till ett annat av Försvarsmaktens personregister ska fattas av den personuppgiftsansvarige.  
20 §. Behandling av uppgifter i passertillståndsregistret för annat ändamål än det som de har samlats in och registrerats för.I paragrafen ska det föreskrivas om Försvarsmaktens rätt att behandla uppgifter som ingår i säkerhetsdataregistret senare för annat ändamål än det som de samlades in och registrerades för. Paragrafens 1 och 2 punkt motsvarar gällande 16 § 4 mom. i lagen om försvarsmakten. Paragrafens 3 punkt ska vara ny och möjliggöra behandling av uppgifter för skötsel av militärunderrättelseuppdrag. Omfattande rättigheter att få information är nödvändiga för att underrättelseuppdragen ska kunna skötas effektivt och tillträde till uppgifterna i registret för militärrättsvården vid behov är därför också nödvändigt. Användningen av uppgifterna för annat ändamål än det som de ursprungligen registrerades för ska dock vara ett undantag, och behovet av det ska kunna motiveras i varje enskilt fall. Beslut om sekundär behandling av uppgifterna och om eventuell överföring av uppgifterna till ett annat av Försvarsmaktens personregister ska fattas av den personuppgiftsansvarige. 
21 §. Behandling av uppgifter i registret över territorialövervakningens tillstånds- och övervakningsärenden för annat ändamål än det som de har samlats in och registrerats för.Paragrafen ska till innehållet vara ny och i den ska det föreskrivas om Försvarsmaktens rätt att behandla uppgifter som ingår i registret över territorialövervakningens tillstånds- och övervakningsärenden senare för annat ändamål än det som de samlades in och registrerades för. Uppgifter ska enligt förslaget få behandlas för utförande av uppgifter som gäller förebyggande och avslöjande av brott som avses i 9 kap. i lagen om militär disciplin och brottsbekämpning samt för utförande av militärunderrättelseuppdrag. Omfattande rättigheter att få information är nödvändiga för att de nämnda uppdragen ska kunna skötas effektivt och tillträde till uppgifterna i säkerhetsdataregistret vid behov är därför också nödvändigt. Användningen av uppgifterna för annat ändamål än det som de ursprungligen registrerades för ska dock vara ett undantag, och behovet av det ska kunna motiveras i varje enskilt fall. Beslut om sekundär behandling av uppgifterna och om eventuell överföring av uppgifterna till ett annat av Försvarsmaktens personregister ska fattas av den personuppgiftsansvarige. 
22 §. Annan behandling av personuppgifter för annat ändamål än det som de har samlats in och registrerats för.I paragrafen ska det föreskrivas om annan användning av de uppgifter som finns i Försvarsmaktens personregister. Paragrafens 1 mom. ska komplettera det som föreskrivs i 5 § 3 mom. i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Enligt nämnda bestämmelse får samma eller en annan personuppgiftsansvarig behandla personuppgifter också för arkivändamål av allmänt intresse och för vetenskaplig, statistisk eller historisk användning, under förutsättning att lämpliga skyddsåtgärder för de registrerades rättigheter har vidtagits. I det föreslagna 1 mom. ska behandling av personuppgifter tillåtas också vid laglighetsövervakning, planering och utveckling. Vidare ska uppgifter få användas för utbildningsverksamhet, om de är nödvändiga för att utbildningen ska kunna genomföras. Bestämmelsen ska vid behov göra det möjligt att behandla personuppgifter bl.a. i samband med introduktion i arbetet och i andra utbildningssituationer, ifall det inte är möjligt att genomföra dessa effektivt på ett annat sätt eller om genomförandet av utbildningen på ett annat sätt skulle orsaka oskälig olägenhet eller kostnader. Vid den fortsatta behandlingen av uppgifter som avses i momentet bör man särskilt säkerställa att behandlingen inte orsakar fara för personuppgifternas integritet och informationssäkerheten.  
I 2 mom. ska det dessutom föreskrivas om sekundär användning av personuppgifter för vissa de facto sällsynta ändamål. Bestämmelsen ska komplettera det som föreskrivs i 17–21 §. Användning av personuppgifter för de syften som nämns i paragrafen ska vara bunden vid förutsättningen nödvändighet, dvs. tröskeln har ställts högre än i 17–21 §. 
23 §.Undantag gällande offentliggörande av dataskyddsbeskrivning. I paragrafen ska det föreskrivas om rätten att helt låta bli att offentliggöra en dataskyddsbeskrivning som avses i 22 § i lagen om verkställighet av direktivet om dataskydd i brottmål i fråga om ett tillfälligt personregister som upprättats för ett uppdrag inom den militära underrättelseverksamheten eller för ett uppdrag för att förebygga och avslöja brott. Det att tillfälliga personregister som ska upprättas för de nämnda uppdragen existerar är i typiska fall i sig en omständighet som ska hemlighållas, och därför är det inte möjligt att offentliggöra en dataskyddsbeskrivning utan att avslöja uppgifter som ska hemlighållas. Det att beskrivningen inte offentliggörs i de fall som avses i momentet kräver inga särskilda motiveringar. 
24 §.Undantag gällande en registrerads granskningsrätt. I paragrafen ska det föreskrivas om undantag som gäller den registrerades rättigheter vid Försvarsmakten. Bestämmelser om den registrerades granskningsrätt och de allmänna grunderna för att avvika från den finns i 4 kap. i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. 
I 3 mom. ska det föreskrivas om ovillkorliga begränsningar i den registrerades granskningsrätt. Enligt bestämmelsen ska ingen granskningsrätt alls finnas i fråga om registret för militär underrättelseverksamhet, säkerhetsdataregistret eller ett tillfälligt personregister som upprättats för ett underrättelseuppdrag. Den verksamhet som avses i momentet är till sin art sådan, att det inte är möjligt att till den ansluta rätt för en registrerad att få information om behandlingen av personens uppgifter utan att syftet med verksamheten äventyras. En registrerad ska dock alltid kunna be Dataombudsmannen för sin räkning granska att behandlingen av uppgifterna är lagenlig. 
25 §. Behandling av uppgifter som inte anknyter till ett enskilt uppdrag. I paragrafen ska det föreskrivas om Försvarsmaktens rätt att i registret för militär underrättelseverksamhet, säkerhetsdataregistret och i ett tillfälligt personregister föra in uppgifter som inte anknyter till ett enskilt uppdrag. Det ska vara fråga om uppgifter som Försvarsmakten får i samband med skötseln av ett uppdrag som nämns i paragrafen, men som inte anknyter till det uppdrag som utförs just då, och som därmed inte behövs för skötseln av uppdraget i fråga. Bestämmelsen ska inte ge rätt att registrera eller annars behandla en onödig uppgift, utan de uppgifter som behandlas ska vara behövliga i ett annat uppdrag. Med vilken metod uppgiften har inhämtats är inte av betydelse med tanke på behovet att behandla den och bestämmelsen är därmed fullständigt neutral i förhållande till den använda metoden för informationsinhämtning. Den uppgift som avses i paragrafen ska därmed också kunna vara t.ex. en uppgift som erhållits med hemliga metoder för inhämtande av information. Bestämmelsen ger dock inga befogenheter till informationsinhämtning.  
Bestämmelsen ska i fråga om förebyggandet och avslöjandet av brott huvudsakligen motsvara gällande 111 och 112 § i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. I bestämmelsen ska dock strykas det onödiga särskiljandet mellan en uppgift som inte hänför sig till ett enskilt uppdrag som avses i 111 § och överskottsinformation som avses i 112 §. Detta särskiljande behövs endast vid den fortsatta användningen av en uppgift och om detta ska föreskrivas särskilt i enlighet med 2 mom. I försvarsförvaltningens lagstiftning finns ingen särskild reglering i fråga om förebyggandet och avslöjandet av brott, utan på den fortsatta användningen av en uppgift som införts med stöd av paragrafen ska i enlighet med hänvisningen i 2 § i lagen om militär disciplin och brottsbekämpning inom försvarsmakten tillämpas bestämmelserna i polislagen. Det föreslås att tröskeln för att registrera uppgifter samtidigt ska höjas så att de uppgifter som ska registreras alltid ska vara behövliga, inte bara sannolikt behövliga. Bestämmelser om behandlingen av en sådan uppgift, vars behövlighet man inte genast kan bedöma, ska ingå separat i 13 § 2 mom. och 15 § 2 mom. i den föreslagna lagen. Ifall en uppgift som behandlas enligt nämnda bestämmelser, under den tidsfrist på sex månader som föreskrivs i dem, konstateras behövlig i ett annat uppdrag än det som uppgiften har inhämtats i, ska behandlingen av uppgiften med stöd av denna paragraf få fortgå som en uppgift som inte anknyter till ett enskilt uppdrag.  
I fråga om uppdrag inom den militära underrättelseverksamheten är bestämmelsen helt ny. På motsvarande sätt som vid förebyggande och avslöjande av brott, är det också i samband med skötseln av uppdrag inom militär underrättelseverksamhet behövligt att kunna registrera samt i övrigt behandla och kombinera dylika uppgifter. Informationsinhämtning inom militär underrättelseverksamhet är ofta ett långvarigt arbete, där också små detaljer senare kan visa sig ha betydelse.  
26 §. Behandling av uppgifter som konstaterats vara oriktiga. Paragrafen är ny och i den möjliggörs att en uppgift som konstaterats vara oriktig kan bevaras i ett personregister, om det behövs för att trygga rättigheterna för den registrerade, någon annan part eller en anställd vid Försvarsmakten. Paragrafen gör det möjligt att avvika från vad som föreskrivs i 7 och 25 § i den föreslagna lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Enligt 7 § i den föreslagna lagen ska de personuppgifter som behandlas vara felfria och uppdaterade med hänsyn till ändamålet med behandlingen. Enligt 25 § 1 mom. i den nämnda föreslagna lagen ska den personuppgiftsansvarige på eget initiativ eller på yrkande av den registrerade utan obefogat dröjsmål rätta eller komplettera sådana personuppgifter om den registrerade som är oriktiga eller bristfälliga med tanke på ändamålet med behandlingen. 
Det kan vara nödvändigt att bevara oriktiga uppgifter i registret i samband med den rättade uppgiften t.ex. i fall av identitetsstöld eller i en annan situation där samma person har använt flera identiteter. En uppgifts oriktighet ska dock alltid märkas ut tydligt och i möjligaste mån ska de uppgifter som konstaterats vara oriktiga i registret åtskiljas från andra personuppgifter. Bestämmelsen motsvarar i huvuddrag 27 § i gällande lag om behandling av personuppgifter i polisens verksamhet. 
27 §. De värnpliktigas rätt att använda Försvarsmaktens personregister. I paragrafen ska det föreskrivas om Försvarsmaktens rätt att av ett särskilt skäl ge en värnpliktig rätt att använda Försvarsmaktens personregister. Utgångspunkten är att rätt att använda en myndighets register endast kan ges en tjänsteman, som behöver denna rätt för att kunna sköta sina tjänsteuppdrag. Det finska försvarssystemet grundar sig emellertid på värnplikt och en väsentlig del av systemet utgörs av att också andra än de som innehar en tjänst vid Försvarsmakten utför centrala uppgifter som anknyter till försvaret av landet. Behovet att delegera uppgifter till reservister framhävs särskilt i undantagsförhållanden eller annars när beredskapen höjs, varvid det krav på ett särskilt skäl som avses i paragrafen i princip uppfylls relativt enkelt. 
Beviljandet av rätt att använda registren också till värnpliktiga kan å andra sidan inte begränsas till enbart störningssituationer under normala förhållanden, eftersom all verksamhet som försiggår då måste kunna övas redan under normala förhållanden. Ett särskilt skäl, som avses i paragrafen, ska också kunna vara t.ex. läkares tystnadsplikt i fråga om beväringsläkarna. En beväringsläkare måste kunna använda Försvarsmaktens personregister självständigt för att kunna utföra sina uppgifter utan att bryta mot tystnadsplikten.  
För beviljandet av rätt att använda registren i enlighet med paragrafen ska alltid den personuppgiftsansvarige ansvara, och den ska härvid särskilt sörja för att beviljandet av rätten till en värnpliktig inte äventyrar skyddet för personuppgifterna. De värnpliktiga ska dessutom få använda Försvarsmaktens register endast under ledning och övervakning av någon som är anställd av Försvarsmakten. Lednings- och övervakningsrollen ska dock alltid realiseras på ett sätt som inte äventyrar bl.a. läkarens tystnadsplikt. En värnpliktig ska i fråga om sekretessbelagda uppgifter vara bunden av tystnadsplikt i enlighet med 23 § i lagen om offentlighet i myndigheternas verksamhet.  
28 §. Behandling av personuppgifter som fåtts från en annan stat eller en internationell organisation. I paragrafen ska det föreskrivas om behandling av personuppgifter som fåtts från en annan stat eller en internationell organisation. Enligt 1 mom. ska vid behandlingen av personuppgifter i fråga om sekretess, tystnadsplikt, begränsningar i användningen av uppgifter, vidareöverlåtelse av uppgifter eller återsändande av utlämnat material iakttas vad som anges i de villkor som den som lämnat ut uppgifterna ställt. I momentet ska det därmed föreskrivas om en särskild grund för sekretess, som ska tillämpas när det inte föreligger någon grund för sekretess enligt lagen om offentlighet i myndigheternas verksamhet. Syftet med bestämmelsen är att säkerställa konfidentialitet i det internationella informationsutbytet och att Försvarsmakten har möjlighet att få de uppgifter den behöver också från andra stater och internationella organisationer.  
Paragrafens 2 mom. ska vara av informativ art, och det ska därmed i sig inte påverka Finlands internationella förpliktelser. De behandlingsregler som avses i momentet kan t.ex. finnas i ett datasäkerhetsavtal som ingåtts med en annan stat eller i en annan motsvarande internationell förpliktelse. 
4 kap. Utlämnande av personuppgifter och rätt att få upplysningar.
29 §.Rätt att lämna ut personuppgifter för fullgörande av lagstadgade uppgifter. I paragrafen ska det föreskrivas om Försvarsmaktens rätt att lämna ut personuppgifter ur sina register till andra myndigheter och sammanslutningar som har upprättats för att sköta ett offentligt uppdrag. I paragrafen ska de mottagare och ändamål samlas, för vilka personuppgifter får lämnas ut genom en teknisk anslutning. Paragrafen begränsar dock inte tillämpningen av bestämmelser om utlämnande av uppgifter eller rätt att få upplysningar, vilka finns någon annanstans i lag, och förteckningen är därmed inte nödvändigtvis fullständigt uttömmande. Utlämnande av personuppgifter genom en teknisk anslutning ska enligt 1 mom. vara tillåtet, om det är nödvändigt för att mottagaren ska kunna sköta ett uppdrag om vilket föreskrivs i lag och vilket nämns i 1 mom. Om givandet av en teknisk anslutning ska alltid överenskommas separat mellan den personuppgiftsansvarige och mottagaren av uppgifterna, och paragrafen i sig medför följaktligen ingen subjektiv rätt för nämnda mottagare att få upplysningar eller en teknisk anslutning till Försvarsmaktens register. Rätten att lämna ut uppgifter i enlighet med paragrafen förutsätter inte att det i den mottagande myndighetens lagstiftning föreskrivs om motsvarande rätt att få upplysningar, utan den rätt att lämna ut uppgifter om vilken föreskrivs i paragrafen skapar i sig också rätt att ta emot uppgifterna, vid behov också genom en teknisk anslutning. Tillämpningen av paragrafen förutsätter därmed inte till någon del dubbel lagstiftning om informationsutbytet. 
Största delen av de rättigheter att lämna ut personuppgifter som nämns i paragrafen grundar sig på gällande lagstiftning, och paragrafen breddar därmed inte till denna del Försvarsmaktens rätt att lämna ut personuppgifter till andra myndigheter jämfört med nuläget. En del av de nämnda syftena med utlämnandet av uppgifter står emellertid för närvarande i den lagstiftning som gäller den mottagande myndigheten, och det föreslås att de ska föras över därifrån till denna lag. Syftet med ändringen är att om informationsutbytet i regel ska föreskrivas uttryckligen i den lagstiftning som gäller den myndighet som lämnar ut personuppgifterna. I paragrafen ska rättigheterna att lämna ut uppgifter dessutom sammanställas i form av en förteckning över de myndigheter som uppgifterna får lämnas till. 
Paragrafens 1 mom. 2 punkt underpunkt c ska ersätta den särskilda bestämmelsen i gällande 97 a § i värnpliktslagen om utlämnande av uppgifter för prövning av vapentillstånd. Underpunkt d i momentet ska också vara ny och möjliggöra överlåtelse av personuppgifter till polisen för beviljande av pass eller identitetskort. Bestämmelsen möjliggör att polisen t.ex. direkt ur värnpliktsregistret kan få en uppgift om huruvida en person har fullgjort sin värnplikt. Underpunkterna d och e till 3 punkten i momentet är också nya i förhållande till gällande lagstiftning. Enligt den föreslagna underpunkt d ska den personuppgiftsansvarige få överlåta personuppgifter till Tullen för Tullens övriga uppdrag, som motsvarar de uppdrag för vilka personuppgifterna har samlats in samt enligt underpunkt c för stämning och annan delgivning.  
Formuleringen i underpunkt a till 4 punkten ska breddas så att den utöver anställning av personal, personalplanering och beviljande av utmärkelsetecken också omfattar belöning och annat erkännande. Annat erkännande kan vara t.ex. erkännande som ges en större trupp på basis av prestation, men där det ändå inte är fråga om egentlig belöning. I bestämmelsen ska samtidigt strykas rätten att överlåta uppgifter till försvarsministeriet för verkställande av värnplikt, eftersom den inte behövs. 
Punkterna 8 och 9 i paragrafens 1 mom. är nya i förhållande till gällande lagstiftning till den del som gäller att lämna ut uppgifter till åklagare och domstolar för skötsel av militära brottmål. I gällande lagstiftning omfattar rätten att lämna ut uppgifter i fråga om de nämnda myndigheterna endast uppgift om militär grad, vilket kan anses vara för snävt. Åklagare och domstolar måste ha möjlighet att få alla uppgifter de behöver om ett fall när de behandlar militära brottmål, och det kan vara ändamålsenligt att lämna ut uppgifterna också genom en teknisk anslutning. I 25 § i lagen om åklagarmyndigheten (439/2011) föreskrivs också om en omfattande rätt att få information för åklagarna, och den bestämmelse som nu föreslås har ingen verkan på tillämpningen av nämnda paragraf. 
Momentets 10 punkt ska kompletteras så att den personuppgiftsansvarige får överlåta uppgifter till Migrationsverket också för utredning av förutsättningarna för befrielse från finskt medborgarskap. I praktiken ska det i allmänhet vara fråga om endast en uppgift om huruvida värnplikten har fullgjorts.  
Punkterna 16 och 17 i momentet är nya och de ska möjliggöra att uppgifter om huruvida en person har fullgjort värnplikten kan överlåtas till universitet, yrkeshögskolor och yrkesutbildningsanordnare. Enligt 29 § 3 mom. i universitetslagen (558/2009) och 29 § 3 mom. i yrkeshögskolelagen (932/2014) ska en studerande som har tagit emot en studieplats kunna anmäla sig som frånvarande, om han eller hon under det första läsåret fullgör tjänstgöring enligt värnpliktslagen, civiltjänstlagen eller lagen om frivillig militärtjänst för kvinnor. I nuläget får universiteten och yrkeshögskolorna dock inte informationen om fullgörandet av tjänstgöring elektroniskt. Detta innebär att en studerande till högskolan måste lämna in ett skriftligt intyg på sin eventuella tjänstgöring. Förfarandet orsakar mycket besvär samt administrativt arbete som går att undvika och som inte är förenligt med förvaltningens serviceprinciper och kraven på effektivitet. Den värnpliktige är ofta samtidigt i tjänst, vilket försvårar hans eller hennes handlingsmöjligheter. 
Enligt 41 § i universitetslagen och 30 § i yrkeshögskolelagen inräknas i den tid det tar att avlägga examen inte frånvaro som beror på fullgörande av tjänstgöring enligt värnpliktslagen, civiltjänstlagen eller lagen om frivillig militärtjänst för kvinnor. Således behövs det också vid beräkningen av studietiden information om huruvida militärtjänst har fullgjorts. Vidare står det, delvis på motsvarande sätt som i fråga om högskolorna, i 96 § i den nya lagen om yrkesutbildning (531/2017) att en studerande har rätt att tillfälligt avbryta sin studierätt för den tid då han eller hon fullgör tjänstgöring i enlighet med värnpliktslagen, civiltjänstlagen eller lagen om frivillig militärtjänst för kvinnor. I yrkesutbildningen föreskrivs däremot inte på motsvarande sätt som i fråga om högskolorna om anmälan om frånvaro vid mottagandet av en studieplats. 
I yrkesutbildningen beaktas den studerande som finansieringsgrund från den dag då den studerandes studierätt börjar gälla fram till den dag då studierätten upphör. Den studerande beaktas dock inte som finansieringsgrund om den studerandes studierätt tillfälligt avbryts. När studierätten bestäms tillämpas de bestämmelser i lagen om yrkesutbildning som gäller inledande och avslutande av studierätten, tillfälligt avbrott i studierätten, indragning av studierätten och avstängning av en studerande för viss tid.  
Bestämmelser om inledande och avslutande av samt tillfälligt avbrott i studierätten finns i 96 § i lagen om yrkesutbildning. Enligt 3 mom. i nämnda paragraf har den studerande rätt att tillfälligt avbryta sin studierätt medan han eller hon fullgör tjänstgöring enligt värnpliktslagen, civiltjänstlagen (1446/2007) eller lagen om frivillig militärtjänst för kvinnor (194/1995). 
I paragrafens 2 mom. föreskrivs enligt förslaget om högre tröskel för behandling av uppgifter som hör till de särskilda personuppgiftskategorierna också när det gäller utlämnande av personuppgifter. Uppgifter som hör till de särskilda personuppgiftskategorierna ska få lämnas ut endast när det är nödvändigt för fullgörandet av ett myndighetsuppdrag eller en offentlig uppgift som en sammanslutning enligt 1 mom. har tillsatts för att sköta.  
I paragrafen ska det inte föreskrivas särskilt om ur vilka av Försvarsmaktens register uppgifter får lämnas ut eller till vilka register det är möjligt att ge en teknisk anslutning. Detta ska därmed bedömas från fall till fall utifrån den mottagande partens behov av upplysningar.  
30 §.Annat utlämnande av personuppgifter. I paragrafens 1 mom. ska det föreskrivas om annat utlämnande av personuppgifter än det som har specificerats i 29 § till en myndighet eller en sammanslutning som upprättats för att sköta ett offentligt uppdrag. Enligt bestämmelsen ska det vara tillåtet att lämna ut personuppgifter, om det är nödvändigt för att mottagaren ska kunna sköta ett enskilt uppdrag. I momentet ska det dessutom som en förutsättning för utlämnandet ställas, att det är uppenbart att utlämnandet av uppgifterna inte medför väsentlig olägenhet för de intressen för vilkas skyddande om sekretess har föreskrivits. Bestämmelsen ska till sin art vara öppen, och den ska inte begränsa de mottagare eller behandlingsändamål för vilka uppgifterna utifrån den ska få lämnas ut. Tillämpningen av bestämmelser om erhållandet av upplysningar från Försvarsmakten, vilka eventuellt finns någon annanstans i lag, ska inte heller begränsas med denna paragraf. 
I 2 mom. ska det föreskrivas om vissa specialfall som gäller utlämnande av personuppgifter. Momentets 1 och 2 punkt ska motsvara gällande 97 § 1 mom. 10 och 12 punkt i värnpliktslagen. Momentets 3 punkt är ny och den möjliggör att uppgifter kan lämnas ut också om detta är nödvändigt för att en betydande fara för någons liv, hälsa eller frihet eller en ansenlig miljö-, egendoms- eller förmögenhetsskada ska kunna förhindras. Avsikten är att punkten främst ska tillämpas i ytterst exceptionella situationer, där det inte är möjligt att tillämpa någon annan bestämmelse om informationsutbyte.  
31 §.Lämnande av uppgifter ur värnpliktsregistret och registret för militärrättsvården till en annan stat eller till en internationell organisation. Paragrafen är ny och i den ska föreskrivas om utlämnande av personuppgifter till en annan stat eller till en internationell organisation i samband med krishantering, internationellt bistånd, internationella övningar och förundersökningsuppdrag. I den personuppgiftslagstiftning som gäller Försvarsmakten finns inga bestämmelser om att lämna ut personuppgifter i samband med Försvarsmaktens internationella verksamhet. I 32 § ska ingå en särskild bestämmelse om lämnande av personuppgifter i samband med militär underrättelseverksamhet samt förebyggande och avslöjande av brott, vilka utförs av Försvarsmakten. 
Enligt paragrafens 1 mom. ska det vara tillåtet att ur värnpliktsregistret lämna ut personuppgifter till en annan stat eller en internationell organisation, om det är nödvändigt för fullgörande av ett krishanteringsuppdrag eller ett uppdrag som hänför sig till internationellt bistånd eller vid en internationell övning. Med internationellt bistånd avses i paragrafen de internationella uppdrag som nämns i 2 § 1 mom. 3 punkten i lagen om försvarsmakten. I praktiken gäller de personuppgifter som ska lämnas ut främst Försvarsmaktens personal som deltar i internationella uppdrag. Personuppgifter ska vid behov få lämnas ut till en annan stat eller en internationell organisation också i samband med ett förundersökningsuppdrag som Försvarsmakten fullgör. Bestämmelser om Försvarsmaktens förundersökningsuppdrag och förundersökningsbefogenheter ingår i 5 kap. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. I praktiken är de förundersökningar som Försvarsmakten utför oftast helt nationella och behovet att lämna ut personuppgifter i enlighet med paragrafen kommer därmed att vara sällsynt. 
Enligt 2 mom. ska nivån på dataskyddet hos mottagaren samt vilka konsekvenser för den registrerades rättigheter utlämnandet har beaktas, då beslut fattas om att lämna ut uppgifter. Uppgifter som hör till de särskilda personuppgiftskategorierna ska få lämnas ut till en annan stat eller en internationell organisation endast, om detta är nödvändigt för fullgörande av ett uppdrag. Således ska utlämnandet av sådana personuppgifter i princip undvikas. Till exempel i samband med krishanteringsuppdrag kan man trots detta behöva lämna ut uppgifter om hälsotillstånd bl.a. i fråga om den personal som deltar i uppdragen.  
32 §.Lämnande av en underrättelseuppgift till en annan stat eller till en internationell organisation. Paragrafen är ny och i den ska föreskrivas om utlämnande av personuppgifter till en annan stat eller till en internationell organisation i samband med militär underrättelseverksamhet samt förebyggande och avslöjande av brott. I praktiken är det fråga om uppgifter som ingår i registret för militär underrättelseverksamhet, säkerhetsdataregistret eller ett tillfälligt personregister som avses i 16 § 1 mom. 1 eller 2 punkten. Tröskeln för att lämna ut uppgifter ska i paragrafen ställas relativt högt och utlämnandet ska vara tillåtet endast, om det är nödvändigt för att garantera den nationella säkerheten eller för att utföra uppdrag i syfte att förebygga och avslöja brott. 
I 1 mom. ska det vidare föreskrivas om de omständigheter som åtminstone ska beaktas när utlämnandet av uppgifter övervägs. Dessa är uppgifter om människorättssituationen i den mottagande staten, vilken betydelse utlämnandet av uppgifter har för Finlands internationella relationer samt de internationella fördrag och andra förpliktelser som binder Finland och som eventuellt inverkar på utlämnandet eller behandlingen av uppgifterna i fråga. Innan uppgifter lämnas ut bör man alltså bland annat försäkra sig om att inte den registrerade på grund av de uppgifter som lämnas ut kan bli utsatt för tortyr eller annan omänsklig behandling. När beslut fattas om att lämna ut en underrättelseuppgift, ska det också annars särskilt säkerställas att utlämnandet av uppgiften inte direkt eller indirekt äventyrar den registrerades grundläggande fri- och rättigheter och mänskliga rättigheter. Vidare ska då beslut om att lämna ut uppgifter fattas, nivån på dataskyddet hos mottagaren beaktas samt vilka konsekvenser utlämnandet har för den registrerades rättigheter.  
Enligt 2 mom. ska det vara förbjudet att till en annan stat eller en internationell organisation i stor skala lämna ut uppgifter som hör till de särskilda personuppgiftskategorierna och också andra personuppgifter som är betydande med tanke på sådana personers integritetsskydd. Behandling av uppgifter som hör till de särskilda personuppgiftskategorierna ingriper i integritetsskyddets kärnområde och därmed ska man i princip förhålla sig restriktivt till att lämna ut sådana uppgifter till utlandet. Ifall det dock är nödvändigt att lämna ut sådana uppgifter på det sätt som avses i 1 mom., ska utlämnandet gälla en exakt avgränsad persongrupp. Andra med tanke på integritetsskyddet betydande uppgifter kunde vara t.ex. identifieringsuppgifter som anknyter till elektronisk kommunikation.  
Enligt 3 mom. ska det enligt behov eftersträvas att minska risken för att uppgifterna missbrukas genom att foga villkor till utlämnandet, vilka gäller ändamålet med personuppgifterna och vidareöverlåtelsen av dem. 
33 §. Beslut om utlämnande av uppgifter. Enligt 1 mom. ska den personuppgiftsansvarige besluta om att lämna ut personuppgifter genom teknisk anslutning eller som en datamängd. Bestämmelsen motsvarar gällande rättsläge. Några uttryckliga bestämmelser om saken finns dock inte i gällande lagstiftning. Beslut om ett enskilt utlämnande av personuppgifter ska en tjänsteman som förordnats till uppdraget också kunna fatta inom gränserna för sin rätt att använda registren. Det är emellertid den personuppgiftsansvarige som svarar för all behandling av uppgifterna, inklusive utlämnandet, och också de enskilda tjänstemännen ska därmed följa den personuppgiftsansvariges anvisningar när de lämnar ut personuppgifter. Detta ställer också en aktiv skyldighet för den personuppgiftsansvarige att ge de tjänstemän som behandlar personuppgifter tillräckliga anvisningar om behandlingen av uppgifterna. 
När beslut fattas om att lämna ut personuppgifter, ska enligt 2 mom. särskilt arten av de uppgifter som lämnas ut samt utlämnandets betydelse för skyddet av personuppgifter och för den registrerades rättigheter beaktas. Särskilt viktigt ska det vara att säkerställa riktigheten och integriteten hos de uppgifter som ska lämnas ut samt att beakta huruvida det bland dem finns uppgifter som hör till de särskilda personuppgiftskategorierna. Till de uppgifter som ska lämnas ut ska enligt behov fogas villkor som gäller ändamålet med uppgifterna och vidareöverlåtelse av dem.  
34 §.Rätt att få personuppgifter för skötsel av värnplikts- och krishanteringsärenden. I paragrafen ska det föreskrivas om Försvarsmaktens rätt att få uppgifter ur vissa register och informationssystem för skötsel av uppdrag om vilka föreskrivs i värnpliktslagen och lagen om militär krishantering. Paragrafen ska komplettera bestämmelser någon annanstans i lagstiftningen om myndigheternas rättigheter att lämna ut uppgifter till Försvarsmakten, och den är därmed inte uttömmande till sin art. Enligt närmare överenskommelse med den personuppgiftsansvarige ska uppgifterna också kunna fås genom teknisk anslutning eller som en datamängd. Bestämmelser om Försvarsmaktens rätt att få uppgifter för värnplikts- och krishanteringsuppdrag genom en teknisk anslutning eller som en datamängd ska dessutom ingå bl.a. i lagen om frivilligt försvar, lagen om behandling av personuppgifter i polisens verksamhet, lagen om behandling av personuppgifter vid gränsbevakningsväsendet och lagen om behandling av personuppgifter inom Tullen. 
Rätten att få uppgifter enligt paragrafens 1 mom. ska huvudsakligen motsvara gällande rättigheter att få uppgifter, om vilka föreskrivs någon annanstans i lag, och de ska som sådana flyttas över till denna lag. Ordalydelsen i 4 punkten i momentet ska dock breddas så att den omfattar utöver socialmyndigheterna också möjligheten att få uppgifter från Folkpensionsanstalten. En värnpliktig som får grundläggande försörjning är inte nödvändigtvis kund hos socialmyndigheterna och socialmyndigheterna har inte nödvändigtvis de uppgifter som Försvarsmakten behöver. I 10 punkten i momentet ska hänvisningen till fordonstrafikregistret strykas. I regeringens proposition 145/2017 ingår ett förslag om att registret i fråga och andra register som hör till det område som propositionen omfattar ska ersättas med ett register för trafik och transport. 
Bestämmelser om Försvarsmaktens allmänna rätt att få upplysningar, vilken omfattar rätten att få upplysningar för ett enskilt uppdrag på annat sätt än genom en teknisk anslutning eller som en datamängd, ska ingå i lagen om försvarsmakten. 
35 §.Rätt att få hälsouppgifter. I paragrafen ska det föreskrivas om rätt att få personuppgifter som gäller hälsan. Bestämmelser om Försvarsmaktens hälsovård finns i lagen om hälsovården inom försvarsmakten. Enligt 3 § 1 mom. i den lagen ansvarar försvarsmakten för hälsovården i fråga om dem som med stöd av värnpliktslagen och lagen om frivillig militärtjänst för kvinnor tjänstgör vid försvarsmakten och Gränsbevakningsväsendet under deras tjänstgöringstid samt i fråga om de studerande som ska utbildas för en militär tjänst. Den allmänna planeringen, styrningen och övervakningen av försvarsmaktens hälsovård hör enligt 5 § 1 mom. i lagen till huvudstaben och ordnandet av hälsovården enligt 5 § 2 mom. till logistikverket. 
Syftet med paragrafen är att på samma ställe samla de bestämmelser om rätt att få information som för närvarande finns i 96 § 1 mom. 2 och 3 punkten samt 3 mom. i värnpliktslagen. Paragrafens 1 mom. 2 punkt ska dock vara ny och göra det möjligt att få information direkt från det riksomfattande informationssystem som Folkpensionsanstalten upprätthåller. Ordalydelsen i bestämmelsen ska samtidigt preciseras så att rätt att få uppgifter om den som har sökt till frivillig militärtjänst för kvinnor uttryckligen ska nämnas där. Syftet med ändringen ska främst vara att entydigt skriva ut rättsläget som för närvarande i någon mån lämnar rum för tolkning. Möjligheten att i god tid få nödvändiga hälsouppgifter om den som anländer för tjänstgöring underlättar planeringen och ordnandet av tjänstgöringen och kan också bidra till att minska antalet som avbryter tjänstgöringen. Ändamålet med uppgifterna ska samtidigt preciseras så att man ska ha rätt att få uppgifterna förutom för fastställande av tjänsteduglighet också för upprätthållande av säkerheten vid tjänstgöringen samt för ordnande av undersökning och vård av en patient. Med stöd av 2 mom. ska uppgifterna också kunna fås genom teknisk anslutning eller som en datamängd enligt överenskommelse med den personuppgiftsansvarige.  
36 §. Rätt att få personuppgifter för skötseln av ärenden som gäller militärrättsvården. I paragrafen ska det föreskrivas om Försvarsmaktens rätt att få uppgifter ur vissa register och informationssystem för skötsel av förundersökningsuppdrag om vilka föreskrivs i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. Paragrafen ska komplettera bestämmelser någon annanstans i lagstiftningen om myndigheternas rätt att lämna ut uppgifter till Försvarsmakten, och den är därmed inte uttömmande till sin art. Enligt närmare överenskommelse med den personuppgiftsansvarige ska uppgifterna också kunna fås genom teknisk anslutning eller som en datamängd. Bestämmelser om Försvarsmaktens rätt att få uppgifter för skötsel av förundersökningsuppdrag ska dessutom ingå bl.a. i lagen om frivilligt försvar, lagen om behandling av personuppgifter i polisens verksamhet, lagen om behandling av personuppgifter vid gränsbevakningsväsendet och lagen om behandling av personuppgifter inom Tullen. 
Bestämmelser om Försvarsmaktens allmänna rätt att få upplysningar, vilken omfattar rätten att få upplysningar för ett enskilt uppdrag på annat sätt än genom en teknisk anslutning eller som en datamängd, ska ingå i lagen om försvarsmakten. I 44 § i lagen om militär disciplin och brottsbekämpning inom försvarsmakten föreskrivs dessutom om rätt att få upplysningar från en privat sammanslutning. 
37 §.Rätt att få personuppgifter för skötseln av militära underrättelseuppdrag och uppdrag för förebyggande och avslöjande av brott. I paragrafen ska det föreskrivas om Försvarsmaktens rätt att få uppgifter ur vissa register och informationssystem för skötsel av uppdrag för förebyggande och avslöjande av brott om vilka föreskrivs i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. Paragrafen ska komplettera bestämmelser någon annanstans i lagstiftningen om myndigheternas rätt att lämna ut uppgifter till Försvarsmakten, och den är därmed inte uttömmande till sin art. Enligt närmare överenskommelse med den personuppgiftsansvarige ska uppgifterna också kunna fås genom teknisk anslutning eller som en datamängd. Bestämmelser om Försvarsmaktens rätt att få uppgifter för skötsel av de uppdrag som avses i paragrafen genom en teknisk anslutning eller som en datamängd ska dessutom ingå bl.a. i lagen om frivilligt försvar, lagen om behandling av personuppgifter i polisens verksamhet, lagen om behandling av personuppgifter vid gränsbevakningsväsendet och lagen om behandling av personuppgifter inom Tullen. 
Bestämmelser om Försvarsmaktens allmänna rätt att få upplysningar, vilken omfattar rätten att få upplysningar för ett enskilt uppdrag på annat sätt än genom en teknisk anslutning, ska ingå i lagen om försvarsmakten. I 93 § i lagen om militär disciplin och brottsbekämpning inom försvarsmakten föreskrivs dessutom om rätt att få upplysningar från en privat sammanslutning. 
38 §.Utlämnande av uppgifter från en annan myndighet eller en sammanslutning som upprättats för att sköta ett offentligt uppdrag till Försvarsmakten genom direkt anslutning. I paragrafen ska det föreskrivas om den personuppgiftsansvariges möjlighet att ge en annan myndighet och en sammanslutning som upprättats för att sköta ett offentligt uppdrag rätt att själv föra in uppgifter direkt i Försvarsmaktens personregister. Bestämmelsen förpliktar inte Försvarsmakten, utan möjliggör endast att tillstånd kan ges. Om detaljer och ansvarsfrågor gällande registrering av uppgifter bör överenskommas särskilt mellan den personuppgiftsansvarige och den part som ska registrera uppgifterna. Bestämmelsen ska inte påverka den personuppgiftsansvariges ansvar, utan den personuppgiftsansvarige ska i förhållande till den registrerade fullt ut svara för också de uppgifter som en annan myndighet eller en sammanslutning som har upprättats för att sköta ett offentligt uppdrag har fört in i registret. Syftet med paragrafen är i första hand att minska onödigt dubbelt arbete, som orsakas av att uppgifterna först separat lämnas ut till Försvarsmakten som själv för in dem i registret. Parterna ska dock alltid försäkra sig om att dataskyddet genomförs och i synnerhet att de registrerade uppgifterna är korrekta och har integritet.  
Paragrafens 1 mom. ska gälla Gränsbevakningsväsendets införande av uppgifter i värnpliktsregistret genom direkt anslutning. Gränsbevakningsväsendet för i dagens läge in motsvarande uppgifter i värnpliktsregistret i egenskap av personuppgiftsansvarig. Genom bestämmelsen möjliggörs därmed att samma verksamhetssätt kan fortgå trots att Gränsbevakningsväsendet inte längre är personuppgiftsansvarig för värnpliktsregistret. 
Enligt 2 mom. ska den personuppgiftsansvarige kunna ge polisen, Gränsbevakningsväsendet och Tullen rätt att föra in uppgifter i dess personregister, vilka är nödvändiga för förordnande till tjänstgöring, fullgörande av militärunderrättelseuppdrag eller för fullgörande av uppdrag för förebyggande eller avslöjande av brott. I 3 mom. ska det dessutom möjliggöras att Försvarsutbildningsföreningen i värnpliktsregistret kan föra in uppgifter om deltagande i föreningens utbildning. Den utbildning som Försvarsutbildningsföreningen ordnar kan ha betydelse för en värnpliktigs repetitionsövningsdygn och placering.  
5 kap. Utplåning av personuppgifter ur Försvarsmaktens personregister.
I kapitlet ska det föreskrivas om maximala bevaringstider för personuppgifterna. Bestämmelserna i kapitlet ska inte till någon del begränsa tillämpningen av bestämmelser någon annanstans i lag om utplåning av uppgifter eller bedömning av hur behövliga uppgifterna är, utan de tider för utplåning av uppgifter som nämns i kapitlet ska följas, om ingen annan bestämmelse förutsätter att uppgifterna utplånas redan tidigare.  
Bevaringstiderna för personuppgifter ska utöver av bestämmelserna i detta kapitel också påverkas av i synnerhet 6 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten, i vilken föreskrivs om relevanskravet och tidsbestämda granskningar av om uppgifterna behövs. Enligt nämnda bestämmelse ska obehövliga personuppgifter utplånas utan obefogat dröjsmål. Dessutom ska behovet att bevara personuppgifterna bedömas vart femte år. Behovet av ett tillfälligt register ska enligt 39 § i denna lag bedömas vart tredje år. I 13 § 2 mom. och 15 § 2 mom. i den föreslagna lagen ska det dessutom föreskrivas om skyldigheten att utplåna vissa personuppgifter inom sex månader från det de registrerades. Motsvarande regler om utplåning kan också finnas någon annanstans i lag och de ska tillämpas i första hand och utplåningstiderna enligt detta kapitel i sista hand. Behovet av uppgifterna ska följaktligen dessutom bedömas i enlighet med nämnda bestämmelser med vissa intervall oberoende av de utplåningstider, om vilka föreskrivs i detta kapitel och vilka ska tillämpas i sista hand. 
Bestämmelserna i kapitlet ska endast tillämpas på utplåning av personuppgifter i Försvarsmaktens register. I registren kan ingå också andra uppgifter än personuppgifter. 
39 §.Utplåning av personuppgifter ur värnpliktsregistret. I paragrafen ska det föreskrivas om bevaringstiderna i värnpliktsregistret. Tidsfristerna ska vara maximitider för bevaringen av uppgifter, dvs. personuppgifter som inte längre behövs ska i vilket fall som helst omedelbart utplånas ur registret oberoende av tidsfristerna. Behovet av uppgifterna ska utgående från 6 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten bedömas vart femte år.  
Enligt 1 mom. ska personuppgifter om en värnpliktig och om den som fullgjort frivillig militärtjänst för kvinnor utplånas ur värnpliktsregistret senast när ett år har förflutit sedan den registrerade inte längre hörde till reserven eller den ersättande reserven. Bestämmelsen motsvarar nuvarande 98 § 1 mom. i värnpliktslagen. Paragrafens 1 mom. ska i själva verket omfatta största delen av dem som förts in i värnpliktsregistret. 
Enligt 2 mom. ska personuppgifterna om en sådan person som har deltagit i militär krishantering och som inte är värnpliktig utplånas ur värnpliktsregistret senast när tio år har förflutit sedan det sista anställningsförhållandet avslutades. Bestämmelsen motsvarar det nuvarande 2 mom. i 33 § i lagen om militär krishantering, men som en teknisk ändring ska i det strykas begreppet fredsbevarande uppdrag som är föråldrat och därmed onödigt. Tiden mellan anställningsförhållandena kan i en del fall vara relativt lång, och Försvarsmakten bör ha behövliga uppgifter till sitt förfogande om en persons tidigare anställning när ett nytt anställningsförhållande inleds. I praktiken ska dock bevaringstiden på tio år tillämpas relativt sällan, eftersom största delen av de personer som deltar i krishanteringsuppdrag är värnpliktiga, vilkas uppgifter ska bevaras i registret i enlighet med 1 mom.  
Enligt 3 mom. ska personuppgifterna om någon annan än en i 1 och 2 mom. avsedd person som är anställd vid Försvarsmakten eller Gränsbevakningsväsendet utplånas ur värnpliktsregistret senast när ett år har förflutit sedan anställningen avslutades. Bestämmelsen är ny och den ska främst gälla den civila personal som är anställd hos Försvarsmakten och Gränsbevakningsväsendet.  
Enligt 4 mom. ska brotts- och påföljdsuppgifter utplånas ur värnpliktsregistret senast när ett år har förflutit sedan den inryckningskontingent hemförlovades som den person om vilken uppgiften erhållits tillhör eller sedan den värnpliktige som uppgiften gäller hemförlovades. En uppgift som erhållits senare ska utplånas senast när fem år har förflutit sedan uppgiften infördes i värnpliktsregistret. Tidsfristerna ska till denna del motsvara de tidsfrister om vilka föreskrivs i 98 § 2 mom. i värnpliktslagen, dvs. rättsläget är oförändrat. 
Enligt 5 mom. ska uppgifter om en sådan förbindelse som avses i 28 § i lagen om frivilligt försvar utplånas ur värnpliktsregistret senast när ett år har förflutit sedan förbindelsetiden gick ut. Paragrafen ska motsvara 39 § 2 mom. i den nuvarande lagen om frivilligt försvar. En förbindelse enligt nämnda lag är helt frivillig och personen får återta den när som helst enligt 30 § i lagen. Sedan en förbindelse har återtagits, finns det inte längre någon grund för att behandla uppgifter om förbindelsen. Till följd av att en förbindelse har återtagits ska ur registret dock utplånas endast de uppgifter som gäller förbindelsen, och bestämmelsen påverkar därmed inte behandlingen av övriga uppgifter om en person till den del som personen är registrerad också på andra grunder. Till exempel andra personuppgifter om en värnpliktig ska därmed fortfarande få bevaras i registret i enlighet med det föreslagna 1 mom. 
Enligt 6 mom. ska DNA-uppgifter på begäran av den registrerade omedelbart förstöras. Enligt 63 a § i värnpliktslagen och 6 a § i lagen om militär krishantering har en person rätt att vägra ge ett DNA-prov. I praktiken ska rätten att vägra genom det föreslagna 2 mom. utsträckas till att gälla också tiden efter att ett prov har getts. Om inte den registrerade själv förbjuder behandling av DNA-uppgifter, ska uppgifterna utplånas i enlighet med 1–5 mom. 
40 §.Utplåning av personuppgifter ur passertillståndsregistret. Enligt paragrafen ska personuppgifter som gäller en registrerad utplånas ur passertillståndsregistret senast när två år har förflutit sedan den sista uppgiften infördes. Bevaringstiden för uppgifterna är enligt gällande 16 § 5 mom. i lagen om försvarsmakten fem år, dvs. det föreslås i denna paragraf att tiden ska förkortas. Passertillståndsregistrets art förutsätter inte att uppgifterna bevaras länge, utan olika passerkort och andra rättigheter att röra sig ska förnyas med regelbundna intervaller. En bevaringstid på fem år har därmed visat sig onödig med tanke på ändamålet med registret och tiden föreslås bli förkortad till två år. 
41 §.Utplåning av personuppgifter ur registret över territorialövervakningens tillstånds- och övervakningsärenden. Enligt paragrafen ska de personuppgifter som gäller en registrerad utplånas ur registret över territorialövervakningens tillstånds- och övervakningsärenden senast när fem år har förflutit sedan beslutet fattades, tillståndet förföll, den i beslutet angivna giltighetstiden gick ut eller den sista uppgiften infördes i registret. En bevaringstid på fem år motsvarar den huvudsakliga bevaringstiden i 36 b § i den nuvarande territorialövervakningslagen.  
Den nuvarande bestämmelsen i territorialövervakningslagen möjliggör också att uppgifterna bevaras en längre tid än de fem år som är huvudregeln, om de fortfarande behövs för skötseln av ett enskilt tjänsteuppdrag. Med tanke på ändamålet med registret har emellertid en bevaringstid på fem år visat sig vara tillräcklig och det föreslås därför att möjligheten att bevara uppgifterna längre ska strykas, eftersom den inte behövs. 
42 §.Utplåning av personuppgifter ur registret för militärrättsvården. I paragrafen ska det föreskrivas om utplåning av uppgifter ur registret för militärrättsvården. De föreslagna bevaringstiderna för uppgifter ska huvudsakligen motsvara vad som i 115 och 120 § i lagen om militär disciplin och brottsbekämpning inom försvarsmakten föreskrivs om bevaringstider för uppgifterna i informationssystemet för militärrättsvården och registret för disciplinavgöranden. 
I 1 mom. ska det föreskrivas om bevaringstider för uppgifter om anmärkning, extra tjänstgöring, utegångsförbud, disciplinära böter och arrest. De föreslagna bevaringstiderna ska vara de samma som bevaringstiderna för uppgifter i det nuvarande registret för disciplinavgöranden, dvs. rättsläget ska kvarstå.  
I 2 mom. ska det föreskrivas om bevaringstiderna för straff som en domstol påfört i ett förfarande med militär rättegång. Momentet ska omfatta andra än de påföljder som avses i 1 mom. Bestämmelsen ska ha karaktären av en hänvisning, dvs. bevaringstiderna ska i en situation som avses i momentet bestämmas i enlighet med straffregisterlagen (770/1993) och lagen om verkställighet av böter (672/2002). Den nuvarande lagen om militär disciplin och brottsbekämpning inom försvarsmakten innehåller ingen motsvarande hänvisningsbestämmelse, men i själva verket har lagstiftningen i fråga om bötes- och fängelsestraff av hävd tolkats i enlighet med den föreslagna bestämmelsen. Följaktligen ändras rättsläget inte i förslaget, men det skrivs mera entydigt in i lagen. 
Enligt 10 § 1 mom. 1 punkten i straffregisterlagen utplånas uppgifter om villkorligt fängelse och om böter, samhällstjänst eller övervakning, som har dömts ut utöver villkorligt fängelse, om ungdomsstraff, böter i stället för ungdomsstraff samt om avsättning och samfundsbot ur straffregistret sedan fem år förflutit från det den lagakraftvunna domen gavs. Enligt 2 punkten utplånas ur straffregistret uppgifter om ovillkorligt fängelsestraff på högst två år, om övervakningsstraff och om samhällstjänst sedan tio år förflutit från det den lagakraftvunna domen gavs. Enligt 3 punkten utplånas i straffregistret uppgifter om ovillkorligt fängelsestraff på över två och högst fem år samt om dom genom vilken någon lämnats ostraffad med stöd av 3 kap. 4 § 1 och 2 mom. i strafflagen sedan tjugo år förflutit från det den lagakraftvunna domen gavs. Enligt 2 mom. utplånas dock inte en uppgift om ett enskilt straff, om registret innehåller sådana uppgifter om den registrerade som enligt 1 mom. ännu inte kan utplånas. Alla uppgifter om den registrerade utplånas dock ur straffregistret när personen har avlidit eller då nittio år förflutit sedan personens födelse. Ett benådningsbeslut inverkar inte på utplåningen av straffregisteruppgifter. Enligt 52 § i lagen om verkställighet av böter utplånas de uppgifter som finns i bötesregistret när fem år har förflutit sedan verkställigheten av en påföljd gällande dem, vilken avses i lagen i fråga, har avslutats. 
Om en person har straffats genom ett beslut av domstol eller i ett disciplinärt förfarande oftare än en gång, ska uppgifterna enligt paragrafens 3 mom. utplånas ur registret för militärrättsvården när fem år har förflutit sedan det sista disciplinstraffet. Bestämmelsen ska motsvara 120 § 2 mom. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. 
I 4 mom. ska det föreskrivas om bevaring av förundersökningsuppgifter. De föreslagna bevaringstiderna ska med undantag av 5 punkten motsvara 115 § i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. Det föreslås emellertid för konsekvensens skull att ordningen i förteckningen ska ändras på så sätt att 1 punkten i nämnda paragraf flyttas över till momentets 6 punkt. Bevaring av uppgifterna i tio år efter att den sista uppgiften har registrerats ska vara det sista alternativet i situationer där ingen av 1–5 punkten uppfylls och det föreslås därför att detta ska flyttas till slutet av momentet för konsekvensens skull. Ändringen är av lagteknisk karaktär, och den har inga konsekvenser för tillämpningen av bestämmelsen. 
Det föreslås att 5 punkten i momentet ska ändras så att begreppet ”den registrerade” ändras till formen ”den brottsmisstänkte”. En person som har registrerats i registret för militärrättsvården kan utöver brottsmisstänkt också vara t.ex. målsägande i eller vittne till ett brott. Gällande bestämmelse förutsätter att personuppgifter utplånas ur registret också t.ex. när en målsägande har avlidit, vilket klart är problematiskt med tanke på utredningen av brottet. En annan målsägandes död leder i allmänhet inte till att behandlingen av ärendet avslutas, och en sådan annan målsägandes död leder därmed inte heller till skyldigheten att utplåna personuppgifterna om denna i registret.  
43 §.Utplåning av personuppgifter ur registret för militär underrättelseverksamhet. Personuppgifter som gäller en registrerad ska utplånas ur registret för militär underrättelseverksamhet senast när 50 år har förflutit sedan den sista uppgiften infördes. Bevaringstiden för uppgifterna ska vara exceptionellt lång. Till exempel i säkerhetsdataregistret, som är ett permanent personregister som är avsett att användas av Försvarsmaktens tjänstemän som sköter uppdrag för att förebygga och avslöja brott, ska uppgifter gällande en person utplånas när 25 år har förflutit sedan den sista uppgiften infördes.  
De analyser som produceras i den militära underrättelseverksamheten och upprätthållandet av förmågan till förvarning kan förutsätta att personuppgifter registreras under en avsevärt längre tid än t.ex. i brottsbekämpning. Tidsspannet i brottsbekämpning kan utan undantag knytas till bl.a. bestämmelserna om när gärningar preskriberas. I militär underrättelseverksamhet, där det inte är fråga om brott, förhindrande eller avslöjande av brott, är detta inte möjligt. De uppgifter som ska produceras och de analyser som ska göras av dem bör uppfattas som cykliska, som när de producerar en uppgift nästan alltid orsakar eventuella nya behov av uppgifter. Grunden för och behovet av att behandla uppgifterna bör dock med stöd av 6 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten bedömas vart femte år redan innan maximitiden på 50 år har nåtts. En uppgift som inte längre behövs med tanke på militärunderrättelsemyndighetens underrättelseuppdrag, ska utplånas ur registret, om det inte är nödvändigt att arkivera uppgiften. Till sina huvuddrag ska paragrafen motsvara gällande reglering av motsvarande typ hos andra myndigheter. 
44 §. Utplåning av personuppgifter ur säkerhetsdataregistret. Enligt 1 mom. ska personuppgifter som gäller en registrerad utplånas ur säkerhetsdataregistret senast när 25 år har förflutit sedan den sista uppgiften infördes. Enligt 2 mom. ska uppgifterna om en säkerhetsutredning utplånas inom ett år från det motsvarande nya utredning har avgetts och i vilket fall som helst senast när tio år har förflutit sedan utredningen gavs. De föreslagna bevaringstiderna för uppgifter ska motsvara de bevaringstider om vilka föreskrivs i 116 § i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. Bevaringstiden på 25 år enligt paragrafens 1 mom. är relativt lång, vilket beror på karaktären i Försvarsmaktens brottsbekämpning. Försvarsmaktens brottsbekämpning riktar sig inte mot traditionell brottslighet, utan endast mot exceptionellt allvarliga brott som hotar försvaret av landet. 
Grunden för och behovet av att behandla uppgifterna bör dock med stöd av 6 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten bedömas vart femte år redan innan maximitiden på 25 år har nåtts. 
45 §. Förstöring av ett tillfälligt personregister. I paragrafen ska det föreskrivas om skyldigheten att förstöra ett tillfälligt personregister. Med bestämmelsen ska 34 § i gällande allmänna personuppgiftslag ersättas. I den föreskrivs på motsvarande sätt om förstöring av ett personregister. Med stöd av 16 § ska det vara möjligt att upprätta tillfälliga personregister. Behovet av ett tillfälligt personregister ska enligt bestämmelsen bedömas minst vart tredje år. 
1.2
Värnpliktslagen
63 a §.DNA-prov. I paragrafen ska det föreskrivas om befogenhet att ta DNA-prov och fastställa DNA-profiler. DNA-prov har redan länge tagits inom Försvarsmakten i synnerhet av den personal som sänds på krishanteringsuppdrag, men för närvarande finns det inget uttryckligen föreskrivet om saken. Det kan finnas behov att ta prov också på andra än krishanteringspersonalen. För närvarande grundar sig provtagningen och behandlingen av proven på personens eget samtycke. Eftersom det i fortsättningen ska föreskrivas i lag om all behandling av personuppgifter, föreslås det att förfarandet med samtycke ska ersättas med en rätt att ta och behandla prov som grundar sig direkt på lag. Till samtycke som grund för behandling bör man annars också förhålla sig restriktivt när myndigheter sköter sina lagstadgade uppgifter. I paragrafen ska det endast föreskrivas om befogenheten att ta DNA-prov, och om behandlingen av dem ska föreskrivas mera exakt i lagen om behandling av personuppgifter inom Försvarsmakten. Paragrafen ska inte heller till någon del förplikta till provtagning, utan behovet ska till denna del övervägas av Försvarsmakten. Enligt 1 mom. ska en person alltid ha rätt att vägra ge ett prov. Vägran ska inte behöva motiveras särskilt, och den ska inte på något sätt påverka personens ställning eller t.ex. val till utbildning eller tjänstgöring. 
10 kap. Behandling av personuppgifter och upplysningsplikt
Det föreslås att de bestämmelser som gäller värnpliktsregistret i sin helhet ska flyttas över till den nya lagen om behandling av personuppgifter inom Försvarsmakten. Till följd av ändringen föreslås det att så gott som hela innehållet i gällande 10 kap. i värnpliktslagen ska upphävas och att kapitlets rubrik ska ändras så att det motsvarar det innehåll som blir kvar i kapitlet.  
I kapitlet kvarstår efter reformen endast en informativ hänvisning i 91 § till den lagstiftning som ska tillämpas på behandling av personuppgifter samt i 95 § en bestämmelse om den värnpliktiges upplysningsplikt. Enligt vad som föreslås ska kapitlets nya rubrik vara ”Behandling av personuppgifter och upplysningsplikt”.  
91 §. Behandling av personuppgifter. Gällande bestämmelse om värnpliktsregistret i paragrafen ska upphävas och i förnyad form flyttas över till den föreslagna lagen om behandling av personuppgifter inom Försvarsmakten. Efter ändringen ska paragrafen endast innehålla en informativ hänvisning till nämnda lag.  
95 §.Den värnpliktiges upplysningsplikt. I propositionen föreslås det att 2 mom. i paragrafen om den värnpliktiges upplysningsplikt ska ändras så att hänvisningen till 92 § i värnpliktslagen stryks ur momentet. Ändringen är helt teknisk och beror på att nämnda 92 § upphävs och dess innehåll flyttas över till den föreslagna lagen om behandling av personuppgifter inom Försvarsmakten.  
1.3
Lagen om militär krishantering
6 a §.DNA-prov. I paragrafen ska det föreskrivas om befogenhet att ta DNA-prov och fastställa DNA-profiler. DNA-prov har redan länge tagits inom Försvarsmakten i synnerhet av den personal som sänds på krishanteringsuppdrag, men för närvarande finns det inget uttryckligen föreskrivet om saken. För närvarande grundar sig provtagningen och behandlingen av proven följaktligen helt och hållet på personens eget samtycke. Eftersom det i fortsättningen emellertid ska föreskrivas i lag om all behandling av personuppgifter, föreslås det att förfarandet med samtycke ska ersättas med en rätt att ta och behandla prov som grundar sig direkt på lag. Till samtycke som grund för behandling bör man annars också förhålla sig restriktivt när myndigheter sköter sina lagstadgade uppgifter. I paragrafen ska det endast föreskrivas om befogenheten att ta DNA-prov, och om behandlingen av dem ska föreskrivas mera exakt i lagen om behandling av personuppgifter inom Försvarsmakten. Paragrafen ska inte heller till någon del förplikta till provtagning, utan behovet ska till denna del övervägas av Försvarsmakten. Enligt 1 mom. ska en person alltid ha rätt att vägra ge ett prov. Vägran ska inte behöva motiveras särskilt, och den ska inte på något sätt påverka personens ställning eller t.ex. val till utbildning eller tjänstgöring. 
31 §.Behandling av personuppgifter. Gällande bestämmelse om registret över krishanteringspersonal i paragrafen ska upphävas och i förnyad form flyttas över till den föreslagna lagen om behandling av personuppgifter inom Försvarsmakten. Efter ändringen ska paragrafen endast innehålla en informativ hänvisning till nämnda lag. 
1.4
Lagen om försvarsmakten
16 §. Behandling av personuppgifter. Gällande bestämmelse om registret för tillstånds- och övervakningsärenden i paragrafen ska upphävas och i förnyad form flyttas över till den föreslagna lagen om behandling av personuppgifter inom Försvarsmakten. Efter ändringen ska paragrafen endast innehålla en informativ hänvisning till nämnda lag. 
17 §.Rätt att få upplysningar. Det föreslås att i 17 § ska läggas till att Försvarsmakten har en allmän rätt att få de uppgifter som behövs för skötseln av tjänsteuppdrag. Uppgifternas art ska inte begränsas i paragrafen, dvs. den ska ge rätt att få också personuppgifter av en annan myndighet, en sammanslutning som upprättats för att sköta ett offentligt uppdrag eller av en person.  
Lagen om militär disciplin och brottsbekämpning inom försvarsmakten innehåller för närvarande motsvarande rättigheter till information, vilka gäller Försvarsmaktens förundersökningsuppdrag samt förebyggande och avslöjande av brott. Någon motsvarande rätt till information har emellertid inte föreskrivits för Försvarsmaktens övriga uppgifter, utan om rätten till information föreskrivs i form av detaljerade förteckningar, där det bestäms om vilka uppgifter och av vem Försvarsmakten har rätt att få för ett visst uppdrag. Enligt gällande lagstiftning har Försvarsmakten således inte ens i undantagsförhållanden en omfattande rätt att få de uppgifter den behöver för att kunna sköta sina tjänsteuppdrag. Andra jämförbara myndigheter, såsom polisen och Gränsbevakningsväsendet, har i regel en allmän rätt till information, vilket gör att bestämmelserna om Försvarsmakten till denna del är avvikande. Den föreslagna paragrafen ställer därmed Försvarsmaktens rätt till information på samma nivå som de nämnda myndigheternas. 
Enligt paragrafen ska Försvarsmakten ha rätt att för ett uppdrag som avses i denna lag av myndigheter samt sammanslutningar som upprättats för att sköta ett offentligt uppdrag, trots sekretessbestämmelser, få de uppgifter och handlingar som behövs, om inte givandet av en sådan uppgift eller handling till Försvarsmakten eller användning av uppgifterna som bevis har förbjudits eller begränsats i lag. Paragrafen ger inte som sådan rätt att få uppgifter genom en teknisk anslutning eller som en datamängd, utan det ska alltid vara fråga om en exakt avgränsad rätt att få information som gäller ett enskilt tjänsteuppdrag. Om rätt att få uppgifter genom en teknisk anslutning eller som en datamängd ska alltid föreskrivas särskilt, huvudsakligen i den föreslagna lagen om behandling av personuppgifter inom Försvarsmakten. Bestämmelser om de av Försvarsmaktens lagstadgade uppgifter som avses i paragrafen ska ingå bl.a. i denna lag, i värnpliktslagen, lagen om militär krishantering samt lagen om militär disciplin och brottsbekämpning inom försvarsmakten. Paragrafen ska också omfatta den föreslagna lagstiftningen om militär underrättelseverksamhet, om den träder i kraft. Paragrafen ska vara en allmän bestämmelse, som det ska vara möjligt att avvika från någon annanstans i lag. Därmed ska bestämmelsen inte åsidosätta en begränsning i en annan lag, vilken uttryckligen förbjuder att uppgifter lämnas ut till Försvarsmakten.  
1.5
Territorialövervakningslagen
36 a §.Behandling av personuppgifter. Gällande bestämmelse om registret över territorialövervakningens tillstånds- och övervakningsärenden i paragrafen ska upphävas och i förnyad form flyttas över till den föreslagna lagen om behandling av personuppgifter inom Försvarsmakten. Efter ändringen ska paragrafen endast innehålla en informativ hänvisning till nämnda lag. 
37 §.Utlämnande av sekretessbelagda uppgifter för ett territorialövervakningsuppdrag. Hänvisningen i 1 mom. ska ändras i och med att det inte längre ska föreskrivas om registret över territorialövervakningens tillstånds- och övervakningsärenden i 36 a §, utan i lagen om behandling av personuppgifter inom Försvarsmakten. Ändringen är helt och hållet teknisk. 
1.6
Lagen om militär disciplin och brottsbekämpning inom försvarsmakten
2 §.Förhållande till annan lagstiftning. Till paragrafen ska fogas ett nytt 2 mom. enligt vilket på behandling av personuppgifter inom lagens tillämpningsområde ska tillämpas lagen om behandling av personuppgifter inom Försvarsmakten. 
1.7
Lagen om frivilligt försvar
39 §.Registrering i värnpliktsregistret. Paragrafen ska ändras så att den motsvarar lagstiftningen om värnpliktsregistret som ska revideras. Det föreslås att de bestämmelser som gäller värnpliktsregistret i sin helhet ska flyttas över från värnpliktslagen till den nya lagen om behandling av personuppgifter inom Försvarsmakten, varför hänvisningen i 1 mom. i paragrafen bör ändras på motsvarande sätt.  
Paragrafens 2 mom., som innehåller bestämmelser om utplåning av uppgifter ur värnpliktsregistret, föreslås bli upphävd. Enligt vad som föreslås ska om utplåning av personuppgifter ur värnpliktsregistret i sin helhet föreskrivas i lagen om behandling av personuppgifter inom Försvarsmakten, och 2 mom. blir därmed onödigt. För utplåningen av personuppgifter ur registret svarar Försvarsmaktens huvudstab som är personuppgiftsansvarig i fråga om värnpliktsregistret, och det kan inte anses ändamålsenligt att för den föreskrivs om förpliktelser gällande registerföringen i en särskild lag som främst reglerar Försvarsutbildningsföreningens verksamhet. Däremot är det ändamålsenligt att koncentrera den personuppgiftsansvariges förpliktelser i sin helhet till samma lag. De ändringar som föreslås i paragrafen ändrar därmed inte rättsläget, utan gör endast regleringens uppbyggnad klarare.  
40 §. Registrering i Försvarsutbildningsföreningens register. I paragrafen ska det på motsvarande sätt som i nuläget föreskrivas om syftet med och datainnehållet i Försvarsutbildningsföreningens register, om den personuppgiftsansvarige och om bevaringstiden för uppgifterna. Skrivsättet och innehållet i paragrafen ska emellertid ändras till en mera lättläst form och samtidigt ska innehållet fås att motsvara bestämmelserna om Försvarsmaktens behandling av personuppgifter som ska förnyas.  
Enligt 1 mom. ska ändamålet med registret kvarstå, dvs. registret ska användas för skötsel av de uppgifter som det föreskrivs om i 7 och 27 §. I 7 § föreskrivs generellt om Försvarsutbildningsföreningens uppgifter och i 27 § om beredskapsuppdrag för föreningen och dem som avgett förbindelse. Personuppgiftsansvarig för registret ska liksom i nuläget vara Försvarsutbildningsföreningen.  
I paragrafens 1 mom. ska dessutom föreskrivas om tillåtet datainnehåll i registret. För att öka momentets läsbarhet föreslås det att det ska ges formen av en numrerad förteckning och dessutom föreslås det att om datainnehållet ska föreskrivas mera generellt än i gällande lag. I stället för enskilda uppgifter som ska föras in i registret ska det i paragrafen föreskrivas om uppgiftskategorier, och personuppgifter som hör till dem ska få föras in i registret. Det föreslagna regleringssättet stämmer överens med hur det föreslås att det ska föreskrivas om datainnehållen i Försvarsmaktens personregister. 
Enligt 2 mom. i paragrafen ska de personuppgifter som gäller en registrerad utplånas ur registret när ett år förflutit från det då den registrerades förbindelsetid gick ut. Bestämmelsen motsvarar gällande lag.  
Paragrafens 3 mom. ska innehålla en informativ hänvisning till den lagstiftning som utöver denna lag ska tillämpas vid behandling av personuppgifter. På behandlingen ska tillämpas EU:s allmänna dataskyddsförordning och som nationell lag som kompletterar förordningen den allmänna dataskyddslagen. Följaktligen ska på den behandling av personuppgifter som Försvarsutbildningsföreningen själv och för sin egen räkning utför huvudsakligen tillämpas annan lagstiftning än på den behandling som Försvarsmakten utför. I den mån som uppgifter som anknyter till det frivilliga försvaret i enlighet med 39 § ska behandlas i värnpliktsregistret, ska på behandlingen dock tillämpas de bestämmelser som gäller värnpliktsregistret.  
41 §. Utlämnande av uppgifter. I paragrafen ska det föreskrivas om utlämnande av personuppgifter till en myndighet ur Försvarsutbildningsföreningens register. Bestämmelser om införande av uppgifter direkt i värnpliktsregistret ska ingå särskilt i 39 §. Enligt 1 mom. ska Försvarsutbildningsföreningen ha rätt att lämna ut personuppgifter till Försvarsmakten och räddningsmyndigheterna för bedömning av placeringen i en uppgift under undantagsförhållanden. Bestämmelsen ska motsvara paragrafens gällande 2 mom., vilket gör att rättsläget inte ändras. 
Enligt 2 mom. ska Försvarsutbildningsföreningen dessutom ha rätt att till Försvarsmakten lämna ut personuppgifter för skötsel av ett uppdrag inom den militära underrättelseverksamheten, för ett förundersökningsuppdrag samt för ett uppdrag för förebyggande och avslöjande av brott. Utlämnandet av uppgifter för Försvarsmaktens förundersökningsuppdrag ska motsvara gällande 42 § 1 mom. 7 punkten i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. Utlämnandet av uppgifter för uppdrag att förebygga och avslöja brott motsvarar i sin tur gällande 91 § 1 mom. 14 punkten i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. I fråga om detta ändras rättsläget således inte, men bestämmelserna ska uppdateras lagtekniskt så att de följer huvudregeln om att om utlämnande av uppgifter ska föreskrivas i den lagstiftning som gäller den sammanslutning som lämnar ut uppgifterna. Rätten att lämna ut uppgifter för Försvarsmaktens uppdrag inom den militära underrättelseverksamheten är ny. För att underrättelseinhämtningen ska vara effektiv förutsätts omfattande rättigheter att få information och möjlighet att kombinera information som skaffats genom metoder för underrättelseinhämtning med information i olika register. I Försvarsutbildningsföreningens register kan det i ett enskilt fall finnas uppgifter som är väsentliga med tanke på ett underrättelseuppdrag. 
Det föreslås att 2 mom. samtidigt kompletteras så Försvarsutbildningsföreningen ska ha rätt att lämna ut personuppgifter också till polisen för prövning som gäller vapentillstånd. Deltagande i Försvarsutbildningsföreningens utbildning kan ha inverkan på tillståndsprövningen och informationsutbytet gällande utbildningsuppgifter mellan föreningen och polisen bör därmed vara så smidigt som möjligt. 
Enligt 3 mom. ska uppgifter kunna lämnas ut också genom att den mottagande myndigheten ges en tekniks anslutning till Försvarsutbildningsföreningens register. Uppgifterna ska lämnas ut avgiftsfritt eller mot ett vederlag som baserar sig på kostnaderna för framtagning av uppgifterna.  
1.8
Lagen om hälsovården inom försvarsmakten
9 a §. Det föreslås att hänvisningen i 2 mom. till gällande allmänna personuppgiftslag ska ändras till en hänvisning till den föreslagna lagen om behandling av personuppgifter inom Försvarsmakten samt i tillämpliga delar till EU:s dataskyddsförordning och den föreslagna allmänna dataskyddslagen. Vilken personuppgiftslagstiftning som ska tillämpas ska fastslås utifrån syftet med uppgiftsbehandlingen. 
1.9
Säkerhetsutredningslagen
25 §. Informationskällor vid normal säkerhetsutredning av person. Avsikten är att det informationssystem för militärrättsvården som avses i 106 § i lagen om militär disciplin och brottsbekämpning inom försvarsmakten ska ändras i samband med denna revidering till ett register för militärrättsvården, varför också hänvisningen i 25 § i säkerhetsutredningslagen bör ändras. Det är fråga om en helt teknisk ändring som inte inverkar på de informationskällor som kan användas i säkerhetsutredningar. 
2
Ikraftträdande
Lagarna föreslås träda i kraft den 6 maj 2018. 
3
Förhållande till grundlagen och lagstiftningsordning
Denna regeringsproposition är statsförfattningsrättsligt av betydelse särskilt med tanke på skyddet för personuppgifter enligt 10 § i grundlagen. Enligt 10 § 1 mom. i grundlagen ska närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Enligt grundlagsutskottets praxis begränsas lagstiftarens handlingsutrymme både av den här bestämmelsen och av att skyddet för personuppgifter delvis ingår i samma moment som skyddet för privatlivet (se t.ex. GrUU 71/2014 rd, s. 2). Grundlagsutskottet har av hävd ansett att lagstiftaren ska trygga skyddet för personuppgifter på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna överlag (se t.ex. GrUU 18/2012 rd, s. 2 och GrUU 71/2012, s. 2). Vid bedömningen av den typ av registerbestämmelser som nu föreslås har grundlagsutskottet normalt fäst uppmärksamhet särskilt vid att om syftena för registreringen, innehållet i de registrerade personuppgifterna, de tillåtna användningsområdena för uppgifterna, möjligheterna till överlåtelse av personuppgifter och i synnerhet utlämnande genom teknisk anslutning, uppgifternas förvaringstid och den registrerades rättsskydd bör föreskrivas i lagbestämmelser som ska vara heltäckande och detaljerade (se t.ex. GrUU 12/2002 rd, s. 5, 19/2012 rd, s. 2 och GrUU 71/2014 rd, s. 2). 
Artikel 8 i Europakonventionen om rätten till skydd för privat- och familjeliv har i Europadomstolens rättspraxis ansetts omfatta även skyddet för personuppgifter.  Europadomstolen har i flera repriser konstaterat att redan det att personuppgifter sparas i ett myndighetsregister innebär en begränsning av integritetsskyddet (se t.ex. S. och Marper mot Förenade kungariket, 4.12.2008, punkt 67 och Leander mot Sverige, 26.3.1987, punkt 48). För att en begränsning av integritetsskyddet ska vara tillåten, måste den grunda sig på lag, vara nödvändig i ett demokratiskt samhälle och stå i rätt proportion till det eftersträvade syftet. Exempelvis har upprätthållandet av den nationella säkerheten i rättspraxis allmänt ansetts vara en godtagbar grund för begränsning av integritetsskyddet (Segerstedt-Wiberg m.fl. mot Sverige, 6.6.2006, punkterna 87 och 88). 
I 2 kapitlet i den föreslagna lagen om behandling av personuppgifter inom Försvarsmakten (lagförslag 1)ska det föreskrivas om registreringens mål genom att för varje personregister i detalj föreskriva om ändamålet med registret. I fråga om permanenta personregister ska registreringens mål alltid motsvara ändamålet med personregistret i fråga. Det ska vara tillåtet att upprätta ett tillfälligt eller ett annat personregister endast för de syften om vilka föreskrivs i 16 § i lagen. I lagen ska därmed föreskrivas uttömmande om målen för behandlingen av personuppgifter. 
I kapitel 2 i propositionens lagförslag 1 ska det omfattande och detaljerat föreskrivas om det datainnehåll som ska vara tillåtet i Försvarsmaktens permanenta personregister. I huvudsak ska det inte föreskrivas om datainnehållen på nivån för enskilda personuppgifter, utan i lagen ska föreskrivas om uppgiftskategorier, och de personuppgifter som ingår i dem ska få föras in i registret. Bestämmelserna om införande av uppgifter som hör till de särskilda personuppgiftskategorierna i registren ska dock vara mera detaljerade. I 16 § i den föreslagna lagen ska det dessutom tillåtas att tillfälliga och andra personregister får upprättas för de syften om vilka föreskrivs i paragrafen. I fråga om övriga personregister ska det inte vara möjligt att i lag föreskriva lika detaljerat om de uppgifter som får föras in i dem. De syften för vilka andra register får upprättas, ska det dock föreskrivas uttömmande om och i de övriga registren ska endast få föras in personuppgifter som behövs med tanke på det ändamål som på förhand har fastställts för registret. Behandling av uppgifter som hört till de särskilda personuppgiftskategorierna är tillåten endast, om behandlingen är nödvändig med tanke på ändamålet med registret. Ändamålet med registret och de uppgifter som ska föras in i det ska fastställas innan ett dylikt register upprättas. Den reglering som gäller personuppgifter som ska registreras ska motsvara det etablerade regleringssättet och den kan anses vara tillräckligt detaljerad och omfattande. 
Enligt 13 och 15 § i propositionens lagförslag 1 ska personuppgifter få sparas i registret i högst sex månader för att utreda om uppgifterna är av betydelse för fullgörande av militära underrättelseuppdrag eller för uppdrag som ska förebygga och avslöja brott. Bestämmelserna gör det alltså möjligt att temporärt avvika från tröskeln för behandling av vanliga uppgifter. Underrättelseinhämtning i samband med fullgörande av militära underrättelseuppdrag eller uppdrag för att förebygga och avslöja brott avviker till sin karaktär från typiska myndighetsmetoder för informationssökning och det är därför inte alltid möjligt att genast utreda betydelsen av all den information som inhämtats i samband med utförandet av uppgifterna. Det är alltså fråga om en begränsning av integritetsskyddet som är nödvändig för att utföra uppgifter. Syftet med en maximitid på sex månader är att säkerställa att begränsningen av integritetsskyddet som helhet står i rätt proportion till det eftersträvade syftet.  
De syften för vilka personuppgifter får samlas in och registreras föreskrivs uttömmande i 2 kap. i lagförslag 1. I 3 kap. igen ska det föreskrivas om för vilka andra ändamål än det ursprungliga som Försvarsmakten senare ska få använda de personuppgifter som har förts in i registren. Regleringen motsvarar till innehållet de gällande bestämmelserna om utlämnande av personuppgifter från Försvarsmaktens register för ett annat ändamål till en militär myndighet. Som nytt sekundärt användningsändamål ska Försvarsmakten dock få utnyttja uppgifter som de har i sina andra personregister också för uppgifter inom militär underrättelseinhämtning. För uppdrag inom underrättelseinhämtning är det nödvändigt med omfattande rätt till information. Förteckningarna över tillåtna sekundära ändamål ska vara uttömmande och därmed uppfyller de kravet på att regleringen ska vara omfattande och detaljerad. 
I 4 kap. i lagförslag 1 ska det föreskrivas om utlämning av uppgifter till andra myndigheter, privatpersoner, andra stater eller internationella organisationer. I lagen ska det först och främst föreskrivas i detalj och uttömmande om till vem och i vilket syfte det ska vara tillåtet att lämna ut personuppgifter genom att till mottagaren av uppgifterna ge en teknisk anslutning till Försvarsmaktens personregister. I den mån möjligheten att lämna ut uppgifter binds vid en viss mottagare och ett visst ändamål, ska rätten till utlämnande bindas vid att uppgifterna behövs för att mottagaren ska kunna sköta en lagstadgad uppgift. I den mån om uppgifternas mottagare och ändamål inte föreskrivs i detalj, ska rätten att lämna ut personuppgifter igen vara bunden till att det är nödvändigt att få uppgifterna. Också till denna del ska i lagen på en allmän nivå föreskrivas om de ändamål för vilka uppgifter kan lämnas ut. Det ska vara tillåtet att lämna ut uppgifter som hör till de särskilda personuppgiftskategorierna till andra myndigheter endast om det är nödvändigt för att myndigheten i fråga ska kunna utföra sina lagstadgade uppgifter. Regleringen motsvarar därmed grundlagsutskottets vedertagna praxis (se t.ex. GrUU 62/2010 rd, s. 4 och GrUU 71/2014, s. 3). 
Vidare ska det i lagen föreskrivas om Försvarsmaktens rätt att lämna ut personuppgifter till andra stater och internationella organisationer. Eftersom Försvarsmaktens internationella verksamhet till sin karaktär är mycket annorlunda än andra myndigheters, och personuppgifternas fria flöde inom unionen till största delen inte gäller Försvarsmaktens verksamhet, är det skäl att för Försvarsmaktens del föreskriva särskilt om saken. I lagen ska det föreskrivas uttömmande om de ändamål för vilka uppgifter får lämnas ut samt om vissa skyddsåtgärder som hänger samman med utlämnandet. När man överväger utlämnande av uppgifter bör man bland annat beakta människorättsläget i mottagarstaten och de internationell överenskommelser som är bindande för Finland. Särskild uppmärksamhet bör fästas vid Förenta nationernas konvention mot tortyr eller annan grym, omänsklig eller förnedrande behandling eller bestraffning och andra fördrag om förbud mot tortyr som är bindande för Finland. Ytterligare är det meningen att i lagen separat förbjuda utlämning i stor skala till utlandet av uppgifter som hör till de särskilda personuppgiftskategorierna. Också till denna del kan det anses att regleringen totalt sett uppfyller kravet på att den ska vara tillräckligt detaljerad och övergripande. 
Det föreslås att en ny bestämmelse om Försvarsmaktens rätt att få de uppgifter som behövs för skötseln av ett uppdrag om vilket föreskrivs i lagen ska fogas till 17 § i lagen om försvarsmakten (lagförslag 4). Den rätt att få upplysningar som avses i paragrafen ska vara begränsad till de uppgifter som behövs i ett enskilt uppdrag, och inte ge rätt att få uppgifter genom en teknisk anslutning eller annars av masskaraktär. Bestämmelsen ska huvudsakligen motsvara 4 kap. 2 § i polislagen samt de bestämmelser om rätt att få upplysningar i 17 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet, vilka bådadera har antagits genom medverkan av grundlagsutskottet.  
Bestämmelser om den registrerades rättsskydd, om registerföring och de allmänna principerna för behandlingen ska ingå i den föreslagna lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten, vilken ska tillämpas parallellt med denna lag. I personuppgiftslagen för Försvarsmakten ska det dock föreskrivas om vissa nödvändiga och registervisa undantag från den registrerades rättigheter. Undantagen ska gälla behandling av personuppgifter i militär underrättelseverksamhet samt när uppdrag för att förebygga och avslöja brott utförs. Begränsningarna är nödvändiga till följd av uppdragens art och de ska motsvara de begränsningar om vilka föreskrivs i gällande lagstiftning. Det ska föreskrivas exakt och noggrant avgränsat om begränsningarna, och dessutom ska den registrerade alltid kunna använda sina rättigheter genom förmedling av tillsynsmyndigheten.  
Med stöd av vad som anförts ovan uppfyller den föreslagna lagen de krav på skydd för personuppgifter samt på att lagstiftningen ska vara omfattande och detaljerad vilka förutsätts i grundlagen. Lagförslagen kan följaktligen enligt regeringens uppfattning behandlas i vanlig lagstiftningsordning. Den föreslagna regleringen är dock i konstitutionellt hänseende betydelsefull med tanke på skyddet för privatlivet och skyddet för personuppgifter och därför är det skäl att överlämna propositionen till riksdagens grundlagsutskott för behandling. 
Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag:  
Lagförslag
1. 
Lag 
om behandling av personuppgifter inom Försvarsmakten 
I enlighet med riksdagens beslut föreskrivs: 
1 kap. 
Allmänna bestämmelser 
1 § 
Tillämpningsområde 
Denna lag tillämpas på sådan behandling av personuppgifter som utförs av Försvarsmakten och för Försvarsmaktens räkning, när uppgifterna behandlas för skötsel av uppgifter som anges i 2 § 1 mom. 1 punkten, 2 punkten underpunkt a eller 3 eller 4 punkten i lagen om försvarsmakten (551/2007). Denna lag tillämpas endast på sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där de uppgifter som behandlas utgör eller är avsedda att utgöra ett register eller en del av ett sådant. 
2 § 
Förhållande till annan lagstiftning 
På sådan behandling av personuppgifter som avses i 1 § tillämpas, om inte något annat föreskrivs i denna lag, utöver denna lag också lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ), med undantag av 10 § 2 mom., 53 § och 7 kap. 
Bestämmelser om sekretess och tystnadsplikt i fråga om personuppgifter finns i lagen om offentlighet i myndigheternas verksamhet (621/1999). 
Bestämmelser om behandling av personuppgifter i samband med säkerhetsutredningar finns i säkerhetsutredningslagen (726/2014). 
Bestämmelser om annan behandling av personuppgifter inom Försvarsmakten än sådan som avses i 1 § föreskrivs i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG och i dataskyddslagen ( / ).  
2 kap. 
Försvarsmaktens personregister 
3 § 
Försvarsmaktens permanenta personregister och personuppgiftsansvarig 
Försvarsmakten har följande permanenta personregister: 
1) värnpliktsregistret, 
2) passertillståndsregistret, 
3) registret över territorialövervakningens tillstånds- och övervakningsärenden, 
4) registret för militärrättsvården, 
5) registret för militär underrättelseverksamhet, 
6) säkerhetsdataregistret. 
I de register som nämns i 1 mom. får det i enlighet med detta kapitel föras in och i dem i övrigt behandlas personuppgifter som behövs med tanke på ändamålet med registret. Registrering och annan behandling av uppgifter som ingår i de särskilda kategorier av personuppgifter som avses i 11 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten är tillåten endast, om behandlingen är nödvändig med tanke på ändamålet med registret.  
Personuppgiftsansvarig i fråga om de register som nämns i 1 mom. är huvudstaben.  
4 § 
Värnpliktsregistrets ändamål 
Värnpliktsregistret används för 
1) bestämmande av tjänsteduglighet och förordnande till tjänstgöring, 
2) placering i uppgifter under undantagsförhållanden och för att skapa beredskap, 
3) planering och ordnande av samt val av personer till nationell och internationell utbildning och tjänstgöring, 
4) beslut som gäller befordringar, belöningar och andra uttryck för erkänsla.  
5 § 
Värnpliktsregistrets datainnehåll 
De personuppgifter som behandlas i värnpliktsregistret kan gälla  
1) en värnpliktig,  
2) den som sökt till tjänstgöring, tjänstgör eller har tjänstgjort enligt lagen om frivillig militärtjänst för kvinnor (194/1995), 
3) den som är anställd vid Försvarsmakten eller Gränsbevakningsväsendet, 
4) den som sökt till tjänstgöring, tjänstgör i eller har tjänstgjort i ett militärt krishanteringsuppdrag, 
5) den som avgett en förbindelse enligt lagen om frivilligt försvar (556/2007). 
I värnpliktsregistret får i fråga om de personer som avses i 1 mom. följande personuppgifter införas: 
1) personbeteckning, 
2) DNA-prov och DNA-profil, 
3) fotografi, signalement och andra identifikationsuppgifter, 
4) kontaktuppgifter, 
5) uppgifter om hemvist och medborgarskap, 
6) uppgifter om tjänstgöring, militär utbildning och militär grad, 
7) uppgifter om civil utbildning och körkort, 
8) hälsouppgifter och andra uppgifter gällande tjänstedugligheten, 
9) andra uppgifter om personens kunnande och lämplighet vilka påverkar personens placering och tjänstgöring, 
10) uppgifter som behövs för det praktiska organiserandet av tjänstgöringen,  
11) uppgifter om straff och disciplinära påföljder, 
12) familjerättslig ställning, kontaktuppgifter till en nära anhörig samt uppgifter om omyndighet, begränsning av handlingsbehörigheten och intressebevakare, 
13) uppgifterna i personens resedokument, 
14) uppgift om att personen avlidit eller förklarats död. 
6 § 
Passertillståndsregistrets ändamål 
Passertillståndsregistret används för beviljande av sådana tillstånd att röra sig som avses i lagen om försvarsmakten samt för övervakning av förbud och begränsningar. 
7 § 
Passertillståndsregistrets datainnehåll 
I fråga om en person som vistas på eller söker tillträde till Försvarsmaktens objekt får i passertillståndsregistret införas följande uppgifter: 
1) personbeteckning eller födelsetid, 
2) fotografi och andra identifikationsuppgifter, 
3) kontaktuppgifter, 
4) uppgifter om hemvist och medborgarskap, 
5) uppgifterna i personens resedokument, 
6) uppgifter som påverkar säkerheten i arbetet för Försvarsmaktens anställda. 
8 § 
Ändamålet med registret över territorialövervakningens tillstånds- och övervakningsärenden 
Registret över territorialövervakningens tillstånds- och övervakningsärenden används för i territorialövervakningslagen (755/2000) avsedd handläggning av ansökningar, anmälningar, utlåtanden och beslut om ankomst till, vistelse och färd i landet och annan tillståndspliktig verksamhet samt för övervakning av att förbud, begränsningar och tillståndsvillkor som avses i den lagen följs. 
9 § 
Datainnehållet i registret över territorialövervakningens tillstånds- och övervakningsärenden 
I registret över territorialövervakningens tillstånds- och övervakningsärenden får i fråga om en person som ankommer till finskt territorium, som uppehåller sig på ett skyddsområde eller någon annanstans där det krävs tillstånd för att uppehålla sig eller som bedriver tillståndspliktig verksamhet föras in 
1) personbeteckning eller födelsetid, 
2) andra identifikationsuppgifter, 
3) kontaktuppgifter, 
4) uppgifter om hemvist och medborgarskap, 
5) uppgifterna i personens resedokument, 
6) andra behövliga beskrivningar, omständigheter och specificeringar som har samband med en uppgift, åtgärd eller händelse inom territorialövervakningen. 
10 § 
Ändamålet med registret för militärrättsvården 
Registret för militärrättsvården används för  
1) skötsel av sådana förundersökningsuppgifter som avses i lagen om militär disciplin och brottsbekämpning inom försvarsmakten (255/2014), 
2) upprättande av militärjuristens utlåtande, 
3) avgöranden samt registrering, verkställande och övervakning av avgöranden i militära brottmål.  
11 § 
Datainnehållet i registret för militärrättsvården 
I registret för militärrättsvården får följande basuppgifter föras in i fråga om en person som är eller har varit föremål för förundersökning eller tvångsmedel eller som gjort anmälan eller varit vittne, målsägande eller annars har hörts: 
1) personbeteckning eller födelsetid, 
2) andra än i 1 punkten avsedda identifikationsuppgifter, 
3) kontaktuppgifter, 
4) uppgifter om hemvist och medborgarskap, 
5) uppgifter om tjänstgöring och militär utbildning, 
6) uppgifter som gäller en juridisk person, 
7) sådana uppgifter om personen som inverkar på personens egen säkerhet eller säkerheten i arbetet vid Försvarsmakten. 
I registret får vidare föras in 
1) numret på en anmälan om brott eller en anmälan om någon annan händelse, tid och plats för händelsen, anmälningstidpunkten, brottsbeteckningar och andra beteckningar, tidpunkten för åtalspreskription av det grövsta brottet, utredande förvaltningsenhet, utredarna, utredningsläget, undersökningsledare, militärjurist, disciplinär förman, de beslut som fattats för att avsluta ärendet samt uppgift om avgörandet i ärendet, 
2) uppgifter om tvångsmedel, förundersökningsfaser och militärjuristens utlåtande, 
3) uppgifter om egendom som någon har förlorat genom brott, eller som har omhändertagits, för att egendomen ska kunna hittas och återställas till ägaren eller innehavaren, 
4) identifikationsuppgifter som grundar sig på den brottsmisstänktes fysiska egenskaper samt ljud- och bildupptagningar, 
5) andra behövliga beskrivningar, omständigheter och specificeringar som har samband med ett förundersökningsuppdrag, en åtgärd eller en händelse inom Försvarsmakten, 
6) uppgifter om avgöranden som avser disciplinära beslut och sådana ärenden som åklagare och domstolar har behandlat som militära rättegångsärenden, 
7) uppgifter om delgivning och ändringssökande när det gäller beslut och dom, 
8) granskningsanteckningar och åtgärder som föranletts av tillsynen över disciplinära förfaranden, 
9) uppgifter om verkställigheten av påföljden. 
12 § 
Ändamålet med registret för militär underrättelseverksamhet 
Registret för militär underrättelseverksamhet används för uppdrag som avser militär underrättelseinhämtning. 
13 § 
Datainnehållet i registret för militär underrättelseverksamhet 
I registret för militär underrättelseverksamhet får det föras in 
1) personbeteckningar och födelsetider, 
2) identifikationsuppgifter som grundar sig på personers fysiska egenskaper samt ljud- och bildupptagningar, 
3) andra än i 1 och 2 punkten avsedda identifikationsuppgifter,  
4) uppgifter om medborgarskap och familjeförhållanden, 
5) uppgifter om bosättningsort, 
6) uppgifter om utbildning och yrke samt arbets- och anställningshistoria, 
7) kontaktuppgifter, 
8) uppgifter som gäller resor, 
9) uppgift om dödsfall och dödförklaringar, 
10) identifikationsuppgifter som kan kopplas till juridiska och fysiska personer, 
11) uppgifter om juridiska personer, 
12) uppgifter för utredning och bedömning av pålitligheten samt andra sådana uppgifter om en person som inverkar på personens egen säkerhet eller säkerheten i arbetet vid Försvarsmakten, 
13) uppgifter om användningen av metoder för underrättelseinhämtning, 
14) sådana uppgifter om personers förehavanden och beteende som har införskaffats med metoder för underrättelseinhämtning. 
Uppgifter som avses i 1 mom. får också införas i registret för militär underrättelseverksamhet för att det ska kunna bedömas om uppgifterna är betydelsefulla med tanke på registrets ändamål. Huruvida uppgifterna är betydelsefulla ska bedömas och onödiga uppgifter utplånas utan dröjsmål, dock senast sex månader efter att de registrerats. 
Till personuppgifter som förs in i registret ska det vid behov fogas en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet. 
14 § 
Säkerhetsdataregistrets ändamål 
Säkerhetsdataregistret används för skötseln av sådana uppgifter för förebyggande och avslöjande av brott som avses i 86 § 1 mom. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. 
15 § 
Datainnehållet i säkerhetsdataregistret 
I säkerhetsdataregistret får det föras in 
1) personbeteckningar och födelsetider, 
2) identifikationsuppgifter som grundar sig på personers fysiska egenskaper samt ljud- och bildupptagningar, 
3) andra än i 1 och 2 punkten avsedda identifikationsuppgifter,  
4) uppgifter om medborgarskap och familjeförhållanden, 
5) uppgifter om bosättningsort, 
6) uppgifter om utbildning och yrke samt arbets- och anställningshistoria, 
7) kontaktuppgifter, 
8) uppgifter som gäller resor, 
9) uppgift om dödsfall och dödförklaring, 
10) identifikationsuppgifter som kan kopplas till juridiska och fysiska personer, 
11) uppgifter om juridiska personer, 
12) uppgifter för utredning och bedömning av pålitligheten samt andra sådana uppgifter om en person som inverkar på personens egen säkerhet eller säkerheten i arbetet vid Försvarsmakten, 
13) uppgifter om användning av metoder för underrättelseinhämtning och användning av sådana hemliga metoder för inhämtande av information som avses i 89 § 1 mom. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten har använts, 
14) andra sådana uppgifter om personers förehavanden och beteende som inhämtats med metoder för underrättelseinhämtning eller med sådana hemliga metoder för inhämtande av information som avses i 89 § 1 mom. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. 
Uppgifter som avses i 1 mom. får också införas i säkerhetsdataregistret för att det ska kunna bedömas om uppgifterna är betydelsefulla med tanke på registrets ändamål. Huruvida uppgifterna är betydelsefulla ska bedömas och onödiga uppgifter utplånas utan dröjsmål, dock senast sex månader efter att de registrerats. 
Till personuppgifter som förs in i registret ska det vid behov fogas en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet. 
16 § 
Övriga personregister 
Utöver vad som föreskrivs i 3–15 § får Försvarsmakten upprätta ett tillfälligt eller ett annat personregister, om det behövs för 
1) ett uppdrag inom militär underrättelseinhämtning, 
2) ett uppdrag som avser förebyggande och avslöjande av brott, 
3) ett förundersökningsuppdrag, 
4) ett handräckningsuppdrag, 
5) ett uppdrag som avses i 2 § 1 mom. 1 punkten, 2 punkten underpunkt a eller 3 eller 4 punkten i lagen om försvarsmakten. 
I ett register som avses i 1 mom. får det införas personuppgifter som behövs för utförande av ett enskilt uppdrag inom Försvarsmakten. Uppgifter som ingår i särskilda kategorier av personuppgifter får dock föras in i ett sådant register endast om detta är nödvändigt för att uppdraget ska kunna utföras. Till personuppgifter som förs in i ett personregister som har inrättats med stöd av 1 mom. 1 eller 2 punkten ska det vid behov fogas en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet. 
Personuppgiftsansvarig i fråga om ett personregister som avses i denna paragraf är den förvaltningsenhet inom Försvarsmakten som svarar för verksamheten. Över inrättandet av registret ska det innan behandlingen inleds upprättas och lämnas till huvudstaben en dataskyddsbeskrivning enligt 22 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Huvudstaben ska också underrättas om en väsentlig ändring och förstöring av ett personregister som avses i denna paragraf.  
3 kap. 
Behandling av personuppgifter 
17 § 
Behandling av uppgifter i värnpliktsregistret för annat ändamål än det för vilket uppgifterna har samlats in och registrerats 
Försvarsmakten får behandla personuppgifter i värnpliktsregistret för annat ändamål än det som uppgifterna ursprungligen samlades in och registrerades för, om det behövs för 
1 ) sådana förundersökningsuppdrag som avses i 5 kap. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten, 
2) sådana uppdrag för förebyggande och avslöjande av brott som avses i 9 kap. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten, 
3) uppdrag inom militär underrättelseinhämtning, 
4) lämnande av handräckning. 
Det är förbjudet att behandla DNA-prov och ur sådana framtagna DNA-profiler i annat syfte än för att identifiera en avliden. 
18 § 
Behandling av uppgifter i registret för militärrättsvården för annat ändamål än det för vilket uppgifterna har samlats in och registrerats 
Försvarsmakten får behandla personuppgifter i registret för militärrättsvården för annat ändamål än det som uppgifterna ursprungligen samlades in och registrerades för, om det behövs för 
1) planering och ordnande av nationell och internationell utbildning och tjänstgöring samt val av personer till sådan, 
2) placering i uppgifter under undantagsförhållanden och skapande av beredskap, 
3) sådana uppdrag för förebyggande och avslöjande av brott som avses i 9 kap. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten, 
4) uppdrag inom militär underrättelseinhämtning, 
5) beslut som gäller befordringar och belöningar och andra uttryck för erkänsla. 
Bestämmelser om användning av uppgifterna i registret för militärrättsvården vid säkerhetsutredningar finns i säkerhetsutredningslagen. 
19 § 
Behandling av uppgifter i säkerhetsdataregistret för annat ändamål än det för vilket uppgifterna har samlats in och registrerats 
Försvarsmakten får behandla personuppgifter i säkerhetsdataregistret för annat ändamål än det som uppgifterna ursprungligen samlades in och registrerades för, om det behövs för 
1) garanterande av den nationella säkerheten,  
2) avvärjande av en betydande fara för någons liv, hälsa eller frihet eller en ansenlig miljö-, egendoms- eller förmögenhetsskada, 
3) förebyggande eller utredning av ett brott för vilket det föreskrivna strängaste straffet är fängelse i minst två år, 
4) uppdrag inom militär underrättelseinhämtning, 
Bestämmelser om användning av uppgifterna i säkerhetsdataregistret vid säkerhetsutredningar finns i säkerhetsutredningslagen. 
20 § 
Behandling av uppgifter i passertillståndsregistret för annat ändamål än det för vilket uppgifterna har samlats in och registrerats 
Försvarsmakten får behandla personuppgifter i passertillståndsregistret för annat ändamål än det som uppgifterna ursprungligen samlades in och registrerades för, om det behövs för 
1) sådana förundersökningsuppdrag som avses i 5 kap. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten, 
2) sådana uppdrag för förebyggande och avslöjande av brott som avses i 9 kap. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten, 
3) uppdrag inom militär underrättelseinhämtning. 
21 § 
Behandling av uppgifter i registret över territorialövervakningens tillstånds- och övervakningsärenden för annat ändamål än det för vilket uppgifterna har samlats in och registrerats 
Försvarsmakten får behandla personuppgifter i registret över territorialövervakningens tillstånds- och övervakningsärenden för annat ändamål än det som uppgifterna ursprungligen samlades in och registrerades för, om det behövs för 
1) sådana uppdrag för förebyggande och avslöjande av brott som avses i 9 kap. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten, 
2) uppdrag inom militär underrättelseinhämtning. 
22 § 
Annan behandling av personuppgifter för annat ändamål än det för vilket uppgifterna har samlats in och registrerats 
Utöver vad som föreskrivs i 17–21 § samt vad som föreskrivs i 5 § 3 mom. i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten får Försvarsmakten behandla de personuppgifter som ingår i dess register även för laglighetsövervakning och för planering och utveckling. Uppgifterna får dessutom användas i utbildningsverksamhet, om de är nödvändiga för genomförandet av utbildningen. 
Försvarsmakten får behandla de personuppgifter som ingår i dess register för annat än deras ursprungliga insamlings- och registreringsändamål också om det är nödvändigt för att garantera den nationella säkerheten eller för att avvärja en betydande fara för någons liv, hälsa eller frihet eller en ansenlig miljö-, egendoms- eller förmögenhetsskada. 
23 § 
Undantag beträffande offentliggörande av dataskyddsbeskrivning 
Bestämmelser om den personuppgiftsansvariges skyldighet att offentliggöra en dataskyddsbeskrivning finns i 22 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten.  
Skyldigheten att offentliggöra en dataskyddsbeskrivning gäller inte tillfälliga personregister som avses i 16 § 1 mom. 1 och 2 punkten.  
24 § 
Undantag beträffande en registrerads rätt till insyn 
Bestämmelser om de registrerades rätt till insyn och om begränsning av de registrerades rättigheter finns i 23–25 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten.  
Den registrerade har inte alls rätt till insyn i fråga om de uppgifter som finns i följande personregister: 
1) registret för militär underrättelseverksamhet, 
2) säkerhetsdataregistret, 
3) tillfälliga personregister som avses i 16 § 1 mom. 1 och 2 punkten. 
Bestämmelser om utövande av den registrerades rättigheter genom Dataombudsmannens förmedling finns i 29 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. 
25 § 
Behandling av uppgifter som inte anknyter till enskilda uppdrag 
Personuppgifter som erhållits i ett enskilt uppdrag inom militär underrättelseinhämtning eller i ett enskilt uppdrag som avses i 5 eller 9 kap. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten och som inte anknyter till uppdraget i fråga eller något annat pågående uppdrag men som behövs för utförande av ett annat uppdrag, får samlas in och föras in i registret för militär underrättelseverksamhet, i säkerhetsdataregistret eller i ett tillfälligt personregister under de förutsättningar som anges i 2 kap.  
I fråga om annan behandling av de personuppgifter som avses i 1 mom. gäller vad som föreskrivs särskilt. 
26 § 
Behandling av uppgifter som konstaterats vara oriktiga 
Oberoende av vad som föreskrivs i 7 och 25 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten, får en uppgift som konstaterats vara oriktig bevaras i registret i samband med den rättade uppgiften, om den behövs för att trygga rättigheterna för den registrerade, någon annan part eller en anställd vid Försvarsmakten. 
En uppgift som konstaterats vara oriktig och som bevaras med stöd av 1 mom. ska utplånas genast när den inte längre behövs. 
27 § 
De värnpliktigas rätt att använda Försvarsmaktens personregister 
Av särskilda skäl får Försvarsmakten bevilja en person som fullgör sin tjänstgöring med stöd av värnpliktslagen (1438/2007) rätt att använda Försvarsmaktens personregister. En värnpliktig får använda registret endast under ledning och övervakning av någon som innehar en tjänst hos Försvarsmakten, och beviljandet av användningsrätten får inte äventyra skyddet för personuppgifterna.  
28 § 
Behandling av personuppgifter som erhållits från en annan stat eller en internationell organisation 
Vid behandlingen av personuppgifter som erhållits från en annan stat eller en internationell organisation ska de villkor i fråga om sekretess, tystnadsplikt, begränsningar i användningen av uppgifter, vidareutlämning av uppgifter eller återsändande av utlämnat material iakttas som har ställts av den som lämnat ut uppgifterna. 
Dessutom ska vid behandlingen av personuppgifter som erhållits från en annan stat eller en internationell organisation iakttas vad som bestäms i internationella fördrag och andra förpliktelser som binder Finland. 
4 kap. 
Utlämnande av personuppgifter och rätt att få information 
29 § 
Rätt att lämna ut personuppgifter för fullgörande av lagstadgade uppgifter 
Trots sekretessbestämmelserna får Försvarsmakten genom en teknisk anslutning eller som en datamängd till en annan myndighet och till en sammanslutning som tillsatts för att sköta ett offentligt uppdrag lämna ut personuppgifter som behövs för fullgörande av dess lagstadgade uppgifter, enligt följande: 
1) till Gränsbevakningsväsendet,
a) för verkställande av värnplikten och för anställning av personal samt för personalplanering och för beviljande av utmärkelsetecken,
b) för att förebygga, avslöja och utreda brott och föra brott till åtalsprövning,
c) för övervakning av personers in- och utresa och för utförande av den gränskontroll som ingår i detta,
d) för uppgifter enligt territorialövervakningslagen,
e) för den övervakningsuppgift som det har föreskrivits att Gränsbevakningsväsendet ska utföra till havs,
 
2) till polisen
a) för uppdrag som anknyter till förrättandet av uppbåd samt för hämtning till tjänstgöring,
b) för de uppgifter enligt 1 kap. 1 § 1 mom. i polislagen (872/2011) vilka sammanhänger med att trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet samt att förebygga, avslöja och utreda brott och föra brott till åtalsprövning,
c) för bedömning av den personliga lämpligheten hos en person som söker eller innehar ett tillstånd som avses i skjutvapenlagen (1/1998) och en person för vilken ett godkännande enligt den lagen söks eller som har fått ett sådant godkännande,
d) för utredning av hinderslöshet hos sökande och innehavare av ett tillstånd enligt passlagen (671/2006) och lagen om identitetskort (663/2016).
 
3) till Tullen
a) för övervakning av utrikestrafiken enligt tullagen (304/2016),
b) för att förebygga, avslöja och utreda tullbrott och föra tullbrott till åtalsprövning,
c) för övervakning av personers in- och utresa och för utförande av den gränskontroll som ingår i detta,
d) för stämning och annan delgivning,
e) för fullgörande av sådana andra än i underpunkterna a–d avsedda uppdrag som motsvarar de uppdrag för vilka uppgifterna samlats in,
 
4) till försvarsministeriet
a) för anställning av personal, personalplanering samt beviljande av utmärkelsetecken, belöning och andra uttryck för erkänsla,
b) för prövning av tillståndsärenden enligt lagen om export av försvarsmateriel (282/2012),
 
5) till utrikesministeriet
a) för skötsel av ärenden som gäller värnplikt,
b) för val av personer till militär krishantering och till militära uppdrag i annan internationell krishantering,
c) för prövning av tillståndsärenden enligt lagen om kontroll av export av produkter med dubbel användning (562/1996),
 
6) till inrikesministeriet för val av personer till civil krishantering och till militära uppdrag i annan internationell krishantering, 
7) till räddningsmyndigheten uppgift om huruvida en värnpliktig är befriad från tjänstgöring i krigstid för att personal ska kunna reserveras för befolkningsskyddsuppgifter, 
8) till domstolarna uppgifter om militär grad och militära brottmål, för fullgörande av tjänsteuppdrag, 
9) till åklagarmyndigheterna uppgifter om militär grad och militära brottmål, för fullgörande av tjänsteuppdrag, 
10) till Migrationsverket för fastställande av medborgarskapsstatus samt för utredning av förutsättningarna för befrielse från finskt medborgarskap, 
11) till Folkpensionsanstalten för beviljande och verkställande av bidrag och understöd, 
12) till befolkningsdatasystemet uppgift om att beväringstjänst har fullgjorts, 
13) till civiltjänstcentralen för verkställigheten av civiltjänsten, 
14) till verkställaren av en krishanteringsinsats för val av personer till militär krishantering och till militära uppdrag i annan internationell krishantering, 
15) till Försvarsutbildningsföreningen för anordnande av frivillig försvarsutbildning, 
16) till finska universitet och yrkeshögskolor uppgift om huruvida en studerande har fullgjort eller fullgör tjänstgöring enligt värnpliktslagen eller lagen om frivillig militärtjänst för kvinnor samt uppgift om tjänstgöringens tidpunkt, 
17) till anordnare av yrkesutbildning uppgift om, huruvida en studerande fullgör tjänstgöring enligt värnpliktslagen eller lagen om frivillig militärtjänst för kvinnor samt uppgift om tidpunkten för tjänstgöringen för bedömning av grunderna för rätten att tillfälligt avbryta studierätten enligt 96 § 3 mom. i lagen om yrkesutbildning (531/2017). 
Uppgifter som hör till de särskilda personuppgiftskategorierna får lämnas ut endast, om det är nödvändigt för att ett uppdrag som avses i 1 mom. ska kunna utföras. 
30 § 
Annat utlämnande av personuppgifter 
Utöver vad som föreskrivs ovan i 29 § och annanstans i lag, får Försvarsmakten trots sekretessbestämmelserna till en myndighet eller en sammanslutning som tillsatts för att sköta en offentlig uppgift lämna ut uppgifter som är nödvändiga för fullgörandet av ett enskilt uppdrag, om det är uppenbart att utlämnandet av uppgiften inte orsakar väsentlig olägenhet för de intressen för vilkas skyddande sekretess har föreskrivits. 
Dessutom får Försvarsmakten trots sekretessen lämna ut uppgifter enligt följande:  
1) till myndigheter, sammanslutningar eller enskilda personer uppgift om militär grad för beviljande av utmärkelsetecken eller för annan belöning, 
2) till arbetsgivaren för en värnpliktig som fullgör eller som har fullgjort sin tjänstgöring uppgift om tidpunkten då tjänstgöringen avslutas eller avslutades för tillämpning av bestämmelserna om återgång till arbetet i 5 § i lagen om fortbestånd av arbetsavtals- och tjänsteförhållandet för den som fullgör skyldighet att försvara landet (305/2009), om arbetsgivaren visar att arbetsavtals- eller tjänsteförhållandet fortgår, 
3) till myndigheter, sammanslutningar och enskilda personer nödvändiga uppgifter för avvärjande av en betydande fara för någons liv, hälsa eller frihet eller en ansenlig miljö-, egendoms- eller förmögenhetsskada. 
31 § 
Utlämnande av uppgifter ur värnpliktsregistret och registret för militärrättsvården till en annan stat eller en internationell organisation 
Trots sekretessen får Försvarsmakten lämna ut uppgifter ur värnpliktsregistret till en annan stat eller till en internationell organisation, om det behövs för fullgörande av ett krishanteringsuppdrag eller ett uppdrag som hänför sig till internationellt bistånd eller i anknytning till en internationell övning. Trots sekretessen får Försvarsmakten dessutom ur registret för militärrättsvården lämna ut uppgifter till en annan stat eller en internationell organisation, om utlämnandet av uppgifterna behövs för fullgörande av ett förundersökningsuppdrag.  
När beslut fattas om utlämnande av uppgifter ska hänsyn tas till nivån på dataskyddet i den stat som är mottagare av personuppgifterna och vilken betydelse utlämnandet av uppgifterna har med tanke på den registrerades rättigheter. Utlämnande av uppgifter som ingår i kategorier av särskilda personuppgifter är tillåtet endast, om det är nödvändigt för att ett uppdrag som avses i 1 mom. ska kunna utföras. 
Till de personuppgifter som ska lämnas ut ska vid behov fogas villkor som gäller ändamålet med uppgifterna och vidareutlämningen av dem. 
32 § 
Lämnande av en underrättelseuppgift till en annan stat eller en internationell organisation 
Försvarsmakten får till en annan stat eller en internationell organisation lämna ut personuppgifter, som har erhållits i ett uppdrag inom militär underrättelseinhämtning eller ett uppdrag som gäller förebyggande eller avslöjande av brott, om det är nödvändigt för att garantera den nationella säkerheten eller att brott förebyggs och avslöjas. När beslut fattas om utlämnande av uppgifter ska hänsyn dessutom tas till människorättssituationen i den stat som är mottagare av personuppgifterna, utlämnandets betydelse för Finlands internationella relationer samt de internationella fördrag och andra förpliktelser som binder Finland. Dessutom ska nivån på dataskyddet i den stat som är mottagare av personuppgifterna och vilken betydelse utlämnandet har med tanke på den registrerades rättigheter beaktas.  
Det är förbjudet att i stor skala lämna ut uppgifter som ingår i kategorier av särskilda personuppgifter liksom också andra personuppgifter som är betydande med tanke på sådana personers integritetsskydd. 
Till de personuppgifter som ska lämnas ut ska vid behov fogas villkor som gäller ändamålet med uppgifterna och vidareutlämningen av dem. 
33 § 
Beslut om utlämnande av uppgifter 
Beslut om rätten att lämna ut uppgifter ur Försvarsmaktens personregister genom teknisk anslutning eller som en datamängd fattas av den personuppgiftsansvarige.  
När beslut fattas om att lämna ut personuppgifter ska hänsyn tas till arten av de uppgifter som lämnas ut och utlämnandets betydelse för skyddet av personuppgifter och den registrerades rättigheter. Till de personuppgifter som ska lämnas ut ska vid behov fogas villkor som gäller ändamålet med uppgifterna och vidareutlämningen av dem. 
34 § 
Rätt att få personuppgifter för skötsel av värnplikts- och krishanteringsärenden 
Utöver vad som föreskrivs någon annanstans i lag, har Försvarsmakten, trots sekretessbestämmelserna, för ändamålet med värnpliktsregistret rätt att få behövliga uppgifter enligt följande: 
1) ur befolkningsdatasystemet uppgifter om de värnpliktiga som det följande året fyller 18 år för uppbåd samt om andra värnpliktiga för förordnande till och placering i tjänst, 
2) av Folkpensionsanstalten och socialmyndigheterna uppgifter om den värnpliktiges sociala och ekonomiska situation, om uppgifterna är av betydelse när beslut om tjänstgöringsplats och tidpunkten för tjänstgöringen samt anordnandet av tjänstgöringen fattas, 
3) för bedömning av den värnpliktiges lämplighet för utbildning och uppgifter, för bedömning av den värnpliktiges lämplighet för placering eller för bedömning av förutsättningarna för belöning och befordran av den värnpliktige, ur bötesregistret de uppgifter om bötesstraff och verkställigheten av dem som införts i registret, ur det i justitieförvaltningens riksomfattande informationssystem ingående rikssystemet för behandling av diarie- och ärendehanteringsuppgifter uppgifter om brottmål som är eller har varit anhängiga hos åklagarmyndigheterna eller vid domstol och ur registret över avgöranden och meddelanden om avgöranden uppgifter om avgöranden i brottmål och om avgörandenas laga kraft,  
4) av civiltjänstmyndigheterna basuppgifter om civiltjänstgörarna samt om deras tjänstgöring och tjänsteduglighet med tanke på beredskap för uppgifter under undantagsförhållanden, 
5) av Migrationsverket uppgifter om en persons medborgarskap för klarläggande av om han är skyldig att fullgöra tjänstgöring med stöd av värnpliktslag, 
6) av social- eller hälsovårdsinrättningarna och andra motsvarande inrättningar uppgifter om utskrivningstidpunkten för uppbådspliktiga och till tjänstgöring förordnade som är intagna vid inrättningen, om personen i fråga inte fritt får avlägsna sig, med tanke på förordnandet till tjänstgöring och ordnandet av tjänstgöringen, 
7) av Folkpensionsanstalten uppgift om värnpliktiga som beviljats sjukpension enligt folkpensionslagen (568/2007) eller handikappbidrag enligt lagen om handikappförmåner (570/2007), med tanke på bedömningen av lämpligheten för placering i en uppgift som avses i denna lag och av tjänstedugligheten,  
8) av Trafiksäkerhetsverket uppgifter för behandling av körkorts- och körtillståndsärenden, 
9) av polisen uppgifter om tjänsteåtgärder som vidtagits mot den värnpliktige till följd av misstanke om brott och om påföljder för den värnpliktige, om uppgifterna är av betydelse för bedömningen av den värnpliktiges lämplighet för utbildning och uppgifter samt för bedömning av lämpligheten för placeringen av den värnpliktige och ordnandet av hans tjänstgöring, 
10) av Tullen uppgifter om tjänsteåtgärder som vidtagits mot den värnpliktige till följd av misstanke om brott och om påföljder för den värnpliktige, om uppgifterna är av betydelse för bedömningen av den värnpliktiges lämplighet för utbildning och uppgifter samt för bedömning av lämpligheten för placeringen av den värnpliktige och ordnandet av hans tjänstgöring, 
11) av Gränsbevakningsväsendet uppgifter om dem som fullgjort värnpliktstjänsten vid Gränsbevakningsväsendet, om deras tjänstgöring, tjänsteduglighet och grunderna för fastställandet av tjänstedugligheten och placeringsmöjligheterna för bedömning av lämpligheten för placering i en uppgift som avses i denna lag, 
Den personuppgiftsansvarige har rätt att få de uppgifter som avses i denna paragraf också genom teknisk anslutning eller som en datamängd. Den personuppgiftsansvarige har rätt att få uppgifterna avgiftsfritt eller mot ett vederlag som baserar sig på kostnaderna för framtagning av uppgifterna.  
Bestämmelser om Försvarsmaktens rätt att få hälsouppgifter finns i 35 §.  
35 § 
Rätt att få hälsouppgifter 
Utöver vad som föreskrivs någon annanstans i lag, har den personuppgiftsansvarige samt en sådan yrkesutbildad person inom hälso- och sjukvården som vid en hälsokontroll som föregår uppbådet, vid uppbådet eller under tjänstgöringen granskar hälsotillståndet hos en värnpliktig eller den som har sökt till frivillig militärtjänst för kvinnor, fullgör tjänstgöring eller har fullgjort tjänstgöring rätt att trots sekretessbestämmelserna få nödvändiga uppgifter enligt följande för fastställande av tjänsteduglighet, upprätthållande av säkerheten under tjänstgöringen samt ordnande av undersökning och vård av patienten: 
1) av en i 2 § 4 punkten i lagen om patientens ställning och rättigheter (785/1992) avsedd verksamhetsenhet för hälso- och sjukvården samt av yrkesutbildade personer inom hälso- och sjukvården uppgifter om hälsotillståndet hos en värnpliktig och den som har sökt till frivillig militärtjänst för kvinnor, 
2) av Folkpensionsanstalten från det riksomfattande informationssystem som avses i 14 § i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007) uppgifter om hälsotillståndet hos en värnpliktig och den som har sökt till frivillig militärtjänst för kvinnor, 
3) av hälsovårdscentraler, mentalvårdsbyråer, sjukhus och andra som utför mentalvårdsarbete uppgifter om sådana i mentalvårdslagen (1116/1990) avsedda mentalvårdstjänster som givits en värnpliktig och den som har sökt till frivillig militärtjänst för kvinnor, 
Den aktör som har rätt att få uppgifterna, har rätt att få dem också med en teknisk anslutning eller som en datamängd. Aktören har rätt att få uppgifterna avgiftsfritt eller mot ett vederlag som baserar sig på kostnaderna för framtagning av uppgifterna. 
36 § 
Rätt att få personuppgifter för skötseln av ärenden som gäller militärrättsvården 
Utöver vad som föreskrivs någon annanstans i lag, har Försvarsmakten för fullgörande av förundersökningsuppdrag som avses i 5 kap. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten trots sekretessbestämmelserna rätt att få behövliga uppgifter enligt följande: 
1) ur befolkningsdatasystemet uppgifter som avses i 13–17 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009),  
2) ur bötesregistret uppgifter om bötesstraff och verkställigheten av dem samt ur det i justitieförvaltningens riksomfattande informationssystem ingående rikssystemet för behandling av diarie- och ärendehanteringsuppgifter uppgifter om brottmål som är eller har varit anhängiga hos åklagarmyndigheterna eller vid domstol och ur registret över avgöranden och meddelanden om avgöranden uppgifter om avgöranden i brottmål och om avgörandenas laga kraft, 
3) av Trafiksäkerhetsverket uppgifter om ett fordons ägare eller innehavare, 
Den personuppgiftsansvarige har rätt att få de uppgifter som avses i denna paragraf också genom teknisk anslutning eller som en datamängd. Den personuppgiftsansvarige har rätt att få uppgifterna avgiftsfritt eller mot ett vederlag som baserar sig på kostnaderna för framtagning av uppgifterna enligt vad som avtalas med den personuppgiftsansvarige. 
37 § 
Rätt att få personuppgifter för skötseln av militärunderrättelseuppdrag och uppdrag för förebyggande och avslöjande av brott 
Utöver vad som föreskrivs någon annanstans i lag, har Försvarsmakten för fullgörande av uppdrag inom militär underrättelseinhämtning samt uppdrag för förebyggande och avslöjande av brott som avses i 86 § 1 mom. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten trots sekretessbestämmelserna rätt att få behövliga uppgifter enligt följande: 
1) uppgifter som avses i 13–17 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster,  
2) ur bötesregistret uppgifter om bötesstraff och verkställigheten av dem samt ur det i justitieförvaltningens riksomfattande informationssystem ingående rikssystemet för behandling av diarie- och ärendehanteringsuppgifter uppgifter om brottmål som är eller har varit anhängiga hos åklagarmyndigheterna eller vid domstol och ur registret över avgöranden och meddelanden om avgöranden uppgifter om avgöranden i brottmål och om avgörandenas laga kraft, 
3) ur utrikesministeriets informationssystem uppgifter om dem som hör till personalen vid diplomatiska beskickningar och konsulat som representerar den utsändande staten i Finland och dem som hör till personalen vid internationella organisationers organ i Finland och andra internationella organ i samma ställning och uppgifter om dessa personers familjemedlemmar och om dem som är i privat tjänst hos dessa personer, samt uppgifter om visumansökningar och visumbeslut ur det delregister för visumärenden som ingår i utlänningsregistret enligt lagen om utlänningsregistret (1270/1997),  
4) uppgifter ur det utsökningsregister som avses i utsökningsbalken (705/2007),  
5) av Trafiksäkerhetsverket uppgifter om ett fordons ägare eller innehavare,  
6) uppgifter ur de personlistor över passagerare som avses i lagen om passagerarfartygs personlistor (1038/2009),  
7) av utövare av inkvarteringsverksamhet i lagen om inkvarterings- och förplägnadsverksamhet (308/2006) avsedda behövliga uppgifter om resande,  
8) sådana uppgifter om användning av radiofrekvenser som avses i informationssamhällsbalken (917/2014),  
9) av försvarsministeriet uppgifter om tillståndsärenden som avses i lagen om export av försvarsmateriel (282/2012),  
10) av utrikesministeriet uppgifter om tillståndsärenden som avses i lagen om kontroll av export av produkter med dubbel användning,  
11) ur det farkostregister som avses i lagen om farkostregistret (424/2014) och ur Ålands fritidsbåtsregister uppgifter om båtar och om ägare och innehavare av båtar,  
12) ur Migrationsverkets informationssystem uppgifter om resedokument, visum, vistelse, internationellt skydd, avlägsnande ur landet, inreseförbud och medborgarskap,  
13) ur det luftfartygsregister som avses i luftfartslagen (864/2014) uppgifter om luftfartyg och om innehavare och ägare av luftfartyg,  
14) ur det fartygsregister, register över fartyg under byggnad och historikregister som avses i fartygsregisterlagen (512/1993) uppgifter om fartyg och om ägare och innehavare av fartyg,  
15) uppgifter ur det trafiktillståndsregister som avses i lagen om transportservice (320/2017),  
16) av trafik-, fiske- och miljömyndigheterna uppgifter om färdmedel och deras position samt om trafik,  
17) uppgifter av Skatteförvaltningen ur beskattningens datasystem, 
18) ur Patent- och registerstyrelsens handelsregister uppgifter om anmälningar och meddelanden som gäller näringsidkare, 
19) uppgifter ur Lantmäteriverkets register, 
20) uppgifter ur polisens, Tullens och Gränsbevakningsväsendets personregister.  
Den personuppgiftsansvarige har rätt att få de uppgifter som avses i denna paragraf också genom teknisk anslutning eller som en datamängd. Den personuppgiftsansvarige har rätt att få uppgifterna avgiftsfritt eller mot ett vederlag som baserar sig på kostnaderna för framtagning av uppgifterna enligt vad som avtalas med den personuppgiftsansvarige. 
38 § 
Registrering genom direkt anslutning i fråga om uppgifter som andra myndigheter samt sammanslutningar som upprättats för att sköta ett offentligt uppdrag lämnar ut till Försvarsmakten  
Den personuppgiftsansvarige får ge Gränsbevakningsväsendet rätt att i värnpliktsregistret genom direkt anslutning registrera personuppgifter som avses i 5 §.  
Den personuppgiftsansvarige får ge polisen, Gränsbevakningsväsendet och Tullen rätt att i sina personregister genom direkt anslutning registrera sådana uppgifter som behövs för förordnande till tjänstgöring eller för fullgörande av uppdrag inom militär underrättelseinhämtning eller uppdrag för förebyggande eller avslöjande av brott. 
Den personuppgiftsansvarige får ge Försvarsutbildningsföreningen rätt att i värnpliktsregistret genom direkt anslutning registrera uppgifter om dem som deltar i utbildning enligt lagen om frivilligt försvar. 
5 kap. 
Utplåning av personuppgifter ur Försvarsmaktens personregister 
39 § 
Utplåning av personuppgifter ur värnpliktsregistret 
Personuppgifter om en värnpliktig och om den som fullgjort frivillig militärtjänst för kvinnor ska utplånas ur värnpliktsregistret senast när ett år har förflutit sedan den registrerade inte längre hörde till reserven eller den ersättande reserven.  
Personuppgifterna om en sådan person som har deltagit i militär krishantering och som inte är värnpliktig ska utplånas ur värnpliktsregistret senast tio år från det att det sista anställningsförhållandet avslutades. 
Personuppgifterna om andra registrerade än sådana som avses i 1 eller 2 mom. ska utplånas ur värnpliktsregistret senast ett år från det att tjänstgöringen avslutades.  
Brotts- och påföljdsuppgifter ska utplånas ur värnpliktsregistret senast ett år från det att den inryckningskontingent hemförlovades som den om vilken uppgiften erhållits tillhör eller sedan den värnpliktige som uppgiften gäller hemförlovades. Uppgifter som erhållits senare ska utplånas senast fem år från det att uppgiften infördes i värnpliktsregistret. 
Uppgifter om förbindelser som avses i 28 § i lagen om frivilligt försvar ska utplånas ur värnpliktsregistret senast ett år från det att förbindelsetiden gick ut. 
På begäran av den registrerade ska ett DNA-prov och en DNA-profil som tagits fram ur ett sådant förstöras omedelbart. 
40 § 
Utplåning av personuppgifter ur passertillståndsregistret 
De personuppgifter som gäller en registrerad ska utplånas ur passertillståndsregistret senast två år från det att den sista uppgiften om den registrerade infördes. 
41 § 
Utplåning av personuppgifter ur registret över territorialövervakningens tillstånds- och övervakningsärenden 
De personuppgifter som gäller en registrerad ska utplånas ur registret över territorialövervakningens tillstånds- och övervakningsärenden senast fem år från det att beslutet fattades, tillståndet gick ut, den i beslutet angivna giltighetstiden gick ut eller den sista uppgiften om den registrerade infördes i registret. 
42 § 
Utplåning av personuppgifter ur registret för militärrättsvården 
Ur registret för militärrättsvården ska uppgifter utplånas enligt följande: 
1) en uppgift om anmärkning, extra tjänstgöring eller utegångsförbud på högst tio dygn när tre år har förflutit sedan personen dömdes till eller påfördes disciplinärt straff, om inte vederbörande under denna tid har straffats med ett beslut av domstol eller i ett militärdisciplinförfarande, 
2) en uppgift om varning, utegångsförbud på över tio dygn, disciplinbot eller arrest när fem år har förflutit sedan personen dömdes till eller påfördes disciplinärt straff, om inte vederbörande under denna tid har straffats med ett beslut av domstol eller i ett militärdisciplinförfarande. 
En uppgift om ett straff som en domstol har påfört i ett militärrättegångsförfarande ska utplånas ur registret för militärrättsvården med iakttagande av vad som föreskrivs i 10 § i straffregisterlagen (770/1993) och i 52 § i lagen om verkställighet av böter (672/2002). 
Om en person har straffats genom ett beslut av domstol eller i ett militärdisciplinförfarande oftare än en gång, ska uppgifterna utplånas ur registret för militärrättsvården när fem år har förflutit från det sista disciplinära straffet. 
Uppgifter som gäller en förundersökning ska utplånas ur registret för militärrättsvården 
1) senast ett år från det att åtalsrätten för brottet preskriberades, om preskriptionstiden för åtalsrätten för brottet är över tio år, 
2) senast ett år från det att den personuppgiftsansvarige fick kännedom om att åklagaren med stöd av 1 kap. 7 eller 8 § i lagen om rättegång i brottmål (689/1997) eller någon annan motsvarande bestämmelse har beslutat avstå från att vidta åtgärder för att väcka åtal mot den skyldige eller kännedom om ett beslut av åklagaren enligt vilket det inte i ärendet är fråga om ett brott eller inte finns bevis om ett brott, 
3) senast ett år från det att den personuppgiftsansvarige fick kännedom om åklagarens beslut om att brottet har preskriberats, 
4) senast ett år från det att den personuppgiftsansvarige fick kännedom om att åtalet har förkastats genom ett lagakraftvunnet beslut eller att ett väckt åtal har förkastats till följd av att åtalsrätten har preskriberats, 
5) senast ett år efter det att den misstänkte avled, 
6) senast tio år från det att den sista uppgiften om den registrerade infördes. 
43 § 
Utplåning av personuppgifter ur registret för militär underrättelseverksamhet 
De personuppgifter som gäller en registrerad ska utplånas ur registret för militär underrättelseverksamhet senast 50 år från det att den sista uppgiften om den registrerade infördes. 
44 § 
Utplåning av personuppgifter ur säkerhetsdataregistret 
De personuppgifter som gäller en registrerad ska utplånas ur säkerhetsdataregistret senast 25 år från det att den sista uppgiften om den registrerade infördes. 
Uppgifterna om en säkerhetsutredning ska utplånas inom ett år från det motsvarande nya utredning har avgetts och i vilket fall som helst senast tio år från det att utredningen gavs. 
45 § 
Förstöring av ett tillfälligt personregister 
Ett tillfälligt personregister ska förstöras omedelbart när det inte längre behövs med tanke på ändamålet med det. Behovet av ett tillfälligt personregister ska bedömas minst vart tredje år. 
6 kap. 
Ikraftträdande  
46 § 
Ikraftträdande 
Denna lag träder i kraft den 20 . 
2. 
Lag 
om ändring av värnpliktslagen 
I enlighet med riksdagens beslut 
upphävs i värnpliktslagen (1438/2007) 92—94, 96, 97, 97 a, 98 och 99 §, av dem 92 § sådan den lyder i lag 510/2013, 96 § sådan den lyder delvis ändrad i lagarna 147/2010, 404/2010, och 646/2015, 97 § sådan den lyder delvis ändrad i lag 306/2009 och 127/2011 och 97 a § sådan den lyder delvis ändrad i lag 127/2011, 
ändras rubriken för 10 kap. samt 91 § och 95 § 2 mom., och  
fogas till lagen en ny 63 a § som följer: 
63 a § 
DNA-prov 
Försvarsmakten får, med tanke på kommande identifiering av personer som avlidit vid tjänstgöring, utföra sådan kroppsbesiktning som behövs för att ta fram en DNA-profil från en värnpliktig eller från en person som fullgör tjänst enligt lagen om frivillig militärtjänst för kvinnor. En person har rätt att vägra lämna ett DNA-prov. 
Bestämmelser om behandlingen av DNA-prov och DNA-profiler finns i lagen om behandling av personuppgifter inom Försvarsmakten ( / ). 
10 kap. 
Behandling av personuppgifter samt upplysningsplikt 
91 § 
Behandling av personuppgifter 
Bestämmelser om behandling av personuppgifter med anknytning till värnplikten finns i lagen om behandling av personuppgifter inom Försvarsmakten.  
95 § 
Den värnpliktiges upplysningsplikt 
Den värnpliktige ska på förfrågan av Försvarsmakten lämna den de i 1 mom. avsedda uppgifterna samt besvara Försvarsmaktens skriftliga förfrågan inom 14 dagar räknat från den dag då han fick kännedom om förfrågan. 
Denna lag träder i kraft den 6 maj 2018. 
3. 
Lag 
om ändring av lagen om militär krishantering 
I enlighet med riksdagens beslut 
upphävs i lagen om militär krishantering (211/2006) 32 och 33 §, sådana de lyder, 32 § delvis ändrad i lag 1439/2007 och 33 § sådan den lyder i lagarna 1439/2007 och 576/2015, 
ändras 31 §, sådan den lyder delvis ändrad i lag 576/2015, samt  
fogas till lagen en ny 6 a § som följer: 
6 a § 
DNA-prov 
Försvarsmakten får, med tanke på kommande identifiering av personer som avlidit vid tjänstgöring, utföra sådan kroppsbesiktning som behövs för att ta fram en DNA-profil från en person som hör till eller ska antas till krishanteringspersonalen. En person har rätt att vägra lämna ett DNA-prov. 
Bestämmelser om behandlingen av DNA-profiler finns i lagen om behandling av personuppgifter inom Försvarsmakten ( / ). 
31 § 
Behandling av personuppgifter 
Bestämmelser om behandling av krishanteringspersonalens personuppgifter finns i lagen om behandling av personuppgifter inom Försvarsmakten.  
Denna lag träder i kraft den 20 . 
4. 
Lag 
om ändring av 16 och 17 § i lagen om försvarsmakten 
I enlighet med riksdagens beslut 
ändras i lagen om försvarsmakten (551/2007)16 och 17 §, av dem 16 § sådan den lyder delvis ändrad i lagarna 262/2014 och 744/2014, som följer:  
16 § 
Behandling av personuppgifter 
Bestämmelser om behandling av personuppgifter inom Försvarsmakten finns i lagen om behandling av personuppgifter inom Försvarsmakten ( / ). 
17 § 
Rätt att få information 
Försvarsmakten har rätt att av myndigheter och av sammanslutningar som inrättats för att sköta ett offentligt uppdrag få de uppgifter och handlingar som behövs för skötseln av uppdrag enligt denna lag, om inte lämnandet av uppgiften eller handlingen till Försvarsmakten eller användningen av uppgifterna som bevis har förbjudits eller begränsats i lag. 
Denna lag träder i kraft den 20 . 
5. 
Lag 
om ändring av territorialövervakningslagen 
I enlighet med riksdagens beslut 
upphävs i territorialövervakningslagen (755/2000) 36 a och 36 b §, sådana de lyder i lag 195/2015, samt  
ändras 37 § 1 mom., sådant det lyder i lag 195/2015, som följer: 
37 § 
Utlämnande av sekretessbelagda uppgifter för ett territorialövervakningsuppdrag  
En territorialövervakningsmyndighet, leverantören av flygtrafikledningstjänster och cellen för luftrumsplanering har trots sekretessbestämmelserna rätt att lämna varandra sådana i 30 a § avsedda uppgifter samt sådana i det register över territorialövervakningens tillstånds- och övervakningsärenden som avses i 9 § i lagen om behandling av personuppgifter inom Försvarsmakten ( / ) införda uppgifter som uppgiftsmottagaren behöver i sitt territorialövervakningsuppdrag. 
Denna lag träder i kraft den 20 . 
6. 
Lag 
om ändring av lagen om militär disciplin och brottsbekämpning inom försvarsmakten 
I enlighet med riksdagens beslut 
upphävs i lagen om militär disciplin och brottsbekämpning inom försvarsmakten (255/2014) 42 och 91 §, 133 § 3 och 4 mom. samt 11 kap., av dem 91 § sådan den lyder delvis ändrad i lag 653/2015, och 
fogas till 2 § ett nytt 2 mom. som följer: 
2 § 
Förhållande till annan lagstiftning 
Utöver vad som föreskrivs i denna lag, finns det bestämmelser om behandling av personuppgifter i lagen om behandling av personuppgifter inom Försvarsmakten ( / ). 
Denna lag träder i kraft den 20 . 
7. 
Lag 
om ändring av lagen om frivilligt försvar 
I enlighet med riksdagens beslut 
ändras i lagen om frivilligt försvar (556/2007) 39–41 §, av dem 39 § sådan den lyder delvis ändrad i lag 1440/2007, som följer:  
39 § 
Registrering i värnpliktsregistret 
Uppgifter om personer som på det sätt som anges i 28 § 2 mom. anmäler sig hos Försvarsmakten och avger en sådan förbindelse som avses i 1 mom. i den paragrafen om deltagande i Försvarsmaktens frivilliga övningar och i utbildning som Försvarsmakten beställer av Försvarsutbildningsföreningen samt i uppgifter som avses i 23 och 27 §, införs i enlighet med lagen om behandling av personuppgifter inom Försvarsmakten ( / ) i det värnpliktsregister som avses i 3 § 1 mom. i den lagen. 
40 § 
Registrering i Försvarsutbildningsföreningens register 
Försvarsutbildningsföreningen för ett register för skötseln av sina uppgifter enligt 7 och 27 §. I Försvarsutbildningsföreningens register får i fråga om dem som avgett förbindelse för en uppgift i föreningen samt dem som deltagit i utbildning föras in följande uppgifter: 
1) personbeteckning och andra identifikationsuppgifter, 
2) kontaktuppgifter, 
3) uppgifter om hemvist och medborgarskap, 
4) uppgifter om deltagande i utbildning och annan verksamhet som Försvarsutbildningsföreningen ordnar, 
5) uppgifter om tjänstgöring, militär utbildning och militär grad, 
6) uppgift om medlemskap i en försvarsorganisation och om erhållna uttryck för erkänsla, 
7) sådana uppgifter om förbindelsen, gällande tillstånd, utbildning och specialkunskaper som är av betydelse för utbildning och annan verksamhet som Försvarsutbildningsföreningen ordnar. 
Uppgifterna om förbindelsen ska utplånas ur registret senast ett år från det att den registrerades förbindelsetid gick ut.  
Bestämmelser om behandlingen av personuppgifter i Försvarsutbildningsföreningens register finns, förutom i denna lag, i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), och i dataskyddslagen ( / ). 
41 § 
Utlämnande av uppgifter 
Utöver vad som föreskrivs någon annanstans i lag, har Försvarsutbildningsföreningen trots sekretessbestämmelserna rätt att lämna ut personuppgifter till Försvarsmakten och räddningsmyndigheterna för bedömning av placeringen i en uppgift under undantagsförhållanden. 
Utöver vad som föreskrivs någon annanstans i lag, har Försvarsutbildningsföreningen trots sekretessbestämmelserna rätt att lämna ut personuppgifter till Försvarsmakten för skötsel av ett uppdrag inom militär underrättelseinhämtning och för ett förundersökningsuppdrag enligt 5 kap. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten (255/2014) och ett uppdrag för förebyggande och avslöjande av brott enligt 9 kap. i den lagen. Dessutom har Försvarsutbildningsföreningen trots sekretessbestämmelserna rätt att lämna ut personuppgifter till polisen för bedömning av den personliga lämpligheten hos en person som söker eller innehar ett tillstånd som avses i skjutvapenlagen (1/1998) och en person för vilken ett godkännande enligt den lagen söks eller som har fått ett sådant godkännande. 
De uppgifter som avses i 1 och 2 mom. får lämnas ut med hjälp av en teknisk anslutning eller som en datamängd. Uppgifterna kan lämnas ut avgiftsfritt eller mot ett vederlag som baserar sig på kostnaderna för framtagning av uppgifterna. 
Denna lag träder i kraft den 20 . 
8. 
Lag 
om ändring av 9 a § i lagen om hälsovården inom försvarsmakten 
I enlighet med riksdagens beslut 
ändras i lagen om hälsovården inom försvarsmakten (322/1987) 9 a § 2 mom., sådant det lyder i lag 513/2013, som följer:  
9 a § 
På behandlingen av personuppgifter tillämpas lagen om behandling av personuppgifter inom Försvarsmakten ( / ), om behandlingen av uppgifter behövs för skötsel av uppdrag som anges i 2 § 1 mom. 1 punkten, 2 punkten underpunkt a samt 3 och 4 punkten i lagen om försvarsmakten (551/2007). Bestämmelser om annan behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), och i dataskyddslagen ( / ). 
Denna lag träder i kraft den 20 . 
9. 
Lag 
om ändring av 25 § i säkerhetsutredningslagen 
I enlighet med riksdagens beslut 
ändras i säkerhetsutredningslagen (726/2014) 25 § 1 mom. 5 punkten som följer: 
25 § 
Informationskällor vid normal säkerhetsutredning av person 
En säkerhetsutredning av person får bygga enbart på registeruppgifter som finns i 
5) registret för militärrättsvården och säkerhetsdataregistret som förs av huvudstaben 
Denna lag träder i kraft den 20 . 
Helsingfors den 8 mars 2018 
Statsminister
Juha
Sipilä
Försvarsminister
Jussi
Niinistö
Senast publicerat 12.3.2018 10:39