Regeringens proposition
RP
241
2018 rd
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter vid Gränsbevakningsväsendet och till vissa lagar som har samband med den
PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL
I denna proposition föreslås att det stiftas en ny lag om behandling av personuppgifter vid Gränsbevakningsväsendet, som ersätter den gällande lagen med samma namn. Lagen kompletterar Europeiska unionens allmänna dataskyddsförordning och den allmänna lagstiftningen om genomförande av dataskyddsdirektivet avseende brottmål. Bestämmelserna om Gränsbevakningsväsendets personregister i den gällande lagen ersätts med bestämmelser om ändamålet med behandlingen av personuppgifter behövliga för utförandet av Gränsbevakningsväsendets uppgifter samt innehållet i de personuppgifter som behandlas. Dessutom innehåller lagen bestämmelser om nationellt och internationellt informationsutbyte, radering av uppgifter, tillgodoseende av den registrerades rätt till insyn och vissa inskränkningar av den registrerades rättigheter.  
Syftet med propositionen är att uppdatera lagstiftningen om behandling av personuppgifter vid Gränsbevakningsväsendet. I bestämmelserna beaktas Europeiska unionens reformerade dataskyddslagstiftning samt nationella ändringsbehov. Syftet är att i synnerhet göra den gällande lagstiftningen tydligare och enklare. 
I bestämmelserna om behandling av personuppgifter i sjöräddningslagen görs också de ändringar som behövs. I propositionen föreslås det dessutom ändringar i ytterligare 14 lagar. Ändringarna är i huvudsak lagtekniska. 
Lagarna avses träda i kraft så snart som möjligt. 
ALLMÄN MOTIVERING
1
Inledning
Syftet med denna proposition är att uppdatera lagstiftningen om behandling av personuppgifter vid Gränsbevakningsväsendet. I propositionen föreslås en ny lag om behandling av personuppgifter vid Gränsbevakningsväsendet. Den nya lagen föreslås ersätta den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005, nedan även Gränsbevakningsväsendets personuppgiftslag). Vidare föreslås preciseringar som gäller behandlingen av personuppgifter med stöd av sjöräddningslagen samt preciseringar av vissa andra lagar som innehåller bestämmelser om behandling av personuppgifter. 
Till följd av flera partiella reformer har Gränsbevakningsväsendets personuppgiftslag fått en struktur och ett innehåll som innebär att lagen till många delar är svårtolkad. Lagen innehåller också onödiga bestämmelser som är överlappande med allmänna lagar och vissa andra lagar. Lagens struktur och till många delar även dess innehåll grundar sig på lagen om behandling av personuppgifter i polisens verksamhet (761/2003, nedan även polisens personuppgiftslag).År 2013 förutsatte riksdagen (RSv 216/2013 rd) att regeringen snarast möjligt påbörjar en totalrevidering av polisens personuppgiftslag och att man på samma gång också justerar bestämmelserna i Gränsbevakningsväsendets personuppgiftslag. Den regeringsproposition om totalreformen av lagen om behandling av personuppgifter i polisens verksamhet som överlämnas samtidigt med denna proposition har beaktats vid utarbetandet av denna proposition. 
Denna proposition anknyter också till reformen av Europeiska unionens dataskyddslagstiftning. Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan dataskyddsdirektivet. Dataskyddsförordningen började tillämpas den 25 maj 2018, och fristen för det nationella genomförandet av dataskyddsdirektivet var den 6 maj 2018. Syftet med propositionen är att ändra Gränsbevakningsväsendets personuppgiftslagstiftning så att den stämmer överens med kraven i dataskyddsförordningen och dataskyddsdirektivet. 
2
Nuläge
2.1
Lagstiftning och praxis
2.1.1
2.1.1 Allmänt
Enligt 10 § i grundlagen är vars och ens privatliv tryggat. Utgångspunkten för skyddet för privatlivet är att individen har rätt att leva sitt eget liv utan godtycklig eller ogrundad inblandning av myndigheter eller andra utomstående (RP 309/1998 rd). Ur skyddet för privatlivet har traditionellt härletts skyldighet för staten att såväl själv avstå från att kränka medborgarnas privatliv som att aktivt agera mot kränkningar av privatlivet. 
Enligt 10 § 1 mom. i grundlagen ska närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Grundlagsutskottets tolkningspraxis har varit att lagstiftarens handlingsutrymme begränsas både av den bestämmelsen och av att skyddet för personuppgifter delvis ingår i samma moment som skyddet av privatlivet. Lagstiftaren måste följaktligen tillgodose rätten till skydd för personuppgifter på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna över lag. Grundlagsutskottet har i sin utlåtandepraxis på sistone konstaterat att kraven räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet av personuppgifter kan uppfyllas också genom en ändamålsenligt beredd allmän unionsförordning eller genom en allmän nationell lag. Europeiska unionens dataskyddsreform behandlas närmare längre fram. 
Även lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen) tillämpas som en allmän lag på myndigheternas behandling av personuppgifter. Offentlighetslagens bestämmelser om hemlighållande av uppgifter är särskilt betydelsefulla för behandlingen av personuppgifter. Även en parts rätt att ta del av en handling bestäms med stöd av offentlighetslagen. 
2.1.2
2.1.2 Gränsbevakningsväsendets personuppgiftslag
Gränsbevakningsväsendets personuppgiftslag är en speciallag som vid sidan om de allmänna lagarna om behandling av personuppgifter tillämpas på behandling av personuppgifter vid Gränsbevakningsväsendet. Lagen utfärdades 2005 i samband med totalreformen av gränsbevakningslagstiftningen. I lagen samlades de bestämmelser om behandling om personuppgifter som hade funnits i den tidigare lagen om gränsbevakningsväsendet (320/1999). Bestämmelser om behandling av personuppgifter vid Gränsbevakningsväsendet finns också i vissa andra speciallagar, som beskrivs längre fram. 
I 1 kap. finns utöver allmänna bestämmelser också bestämmelser om Gränsbevakningsväsendets centrala personregister. Bestämmelser om Gränsbevakningsväsendets funktionella informationssystem finns i 3 §. Informationssystemet är ett permanent personregister avsett för Gränsbevakningsväsendets riksomfattande bruk. Delregister avsedda för riksomfattande bruk inom det funktionella informationssystemet är undersöknings- och handräckningsregistret (7 §), registret för tillståndsärenden (8 §), registret för övervakningsärenden (9 §), Gränsbevakningsväsendets register över personer misstänkta för brott (11 §), säkerhetsdataregistret (12 §), registret för militärrättsvården (13 a §) och registret för disciplinavgöranden (13 b §). Utöver det kan vid Gränsbevakningsväsendet inrättas personregister som behövs för Gränsbevakningsväsendets riksomfattande bruk, att användas av en eller flera förvaltningsenheter samt att användas av en arbetsgrupp som har tillsatts vid Gränsbevakningsväsendet (4 §).  
Bestämmelser om uppgifter som behövs för planering och utförande av uppdrag som föreskrivs för Gränsbevakningsväsendet finns i 6 §. Med stöd av den paragrafen har Gränsbevakningsväsendet fått ett riksomfattande register som gäller fältledning. I 10 § ingår en informativ bestämmelse om användning av polisens personregister vid utförande av Gränsbevakningsväsendets uppdrag. 
Rent tekniskt har undersöknings- och handräckningsregistret till övervägande del genomförts inom polisens informationssystem, men delar av det finns även i Gränsbevakningsväsendets eget informationssystem. Gränsbevakningsväsendets register över personer misstänkta för brott finns i sin helhet i polisens informationssystem för misstänkta. 
Registret för tillståndsärenden, registret för övervakningsärenden, säkerhetsdataregistret samt Gränsbevakningsväsendets riksomfattande och förvaltningsenhetsvisa personregister ingår tekniskt i de informationssystem eller tillämpningar som Gränsbevakningsväsendet ansvarar för. Registret för militärrättsvården och registret för disciplinavgöranden har ännu inte fått någon elektronisk form. 
I 2 kap. finns bestämmelser om behandling av känsliga uppgifter (14 §), behandling av överskottsinformation som erhållits med hemliga informationsinhämtningsmetoder (14 a §), behandling av uppgifter som inte hänför sig till ett visst uppdrag (15 §), elektroniska identifikationsuppgifter som grundar sig på fysiska egenskaper och skydd av dessa uppgifter (16 §), Gränsbevakningsväsendets rätt att få uppgifter av myndigheter och privata (17, 18, 22 och 23 §) samt transportörers skyldigheter att lämna uppgifter om passagerare och besättning (19, 20, 20 a och 21 §). 
I 3 kap. finns närmare bestämmelser om användning av uppgifter för det ändamål som uppgifterna har samlats in och registrerats för samt för andra användningsändamål än det ursprungliga användningsändamålet. Kapitlet innehåller också bestämmelser om Gränsbevakningsväsendets rätt att lämna ut uppgifter till andra myndigheter samt om tillsynen över personregister och över behandlingen av uppgifterna i dem. 
I 4 kap. föreskrivs det om utplåning av uppgifter och arkivering av uppgifter i olika personregister. Kapitlet innehåller också bestämmelser om behandling av personuppgifter i samband med Gränsbevakningsväsendets internationella samarbete samt om den registrerades rättigheter. I 5 kap. ingår vissa kompletterande bestämmelser, och 6 kap. innehåller ikraftträdande- och övergångsbestämmelser. 
2.1.3
2.1.3 Sjöräddningslagen
I sjöräddningslagen (1145/2001) föreskrivs det om behandling av personuppgifter i anknytning till sjöräddningsverksamhet. Gränsbevakningsväsendet är ledande sjöräddningsmyndighet och svarar för organisering av sjöräddningstjänsten. Övriga sjöräddningsmyndigheter är Nödcentralsverket, Meteorologiska institutet, det lokala räddningsväsendet, Trafiksäkerhetsverket, Trafikverket, polisen, Försvarsmakten, social- och hälsovårdsmyndigheterna, Tullen och miljömyndigheterna. 
Sjöräddningsregistret är ett riksomfattande personregister som staben för Gränsbevakningsväsendet för i syfte att på ett ändamålsenligt sätt kunna sköta uppgifterna inom sjöräddningstjänsten samt i efterhand utreda händelser i kritiska lägen och efterspanings- och räddningsåtgärder i anslutning till dessa (12 §). I sjöräddningsregistret införs uppgifter om handlingsplaner för kritiska lägen samt mottagna nödmeddelanden och de åtgärder som vidtagits med anledning av dem. Närmare bestämmelser om innehållet i sjöräddningsregistret finns i 13 §, och bestämmelser om utplåning av personuppgifter ur sjöräddningsregistret finns i 18 §. 
Enligt 19 § kan övriga sjöräddningsmyndigheter föra in uppgifter i sjöräddningsregistret och använda uppgifterna i registret med hjälp av teknisk anslutning, om det är nödvändigt för skötseln av uppgifter inom sjöräddningstjänsten. Uppgifter som gäller det militära försvarets aktionsberedskap och prestationsförmåga får dock inte behandlas av några andra myndigheter än Försvarsmakten och Gränsbevakningsväsendet. Den myndighet som har fört in uppgifter i sjöräddningsregistret svarar vid skötseln av sina egna åligganden för att de införda uppgifterna är korrekta samt för att registreringen och användningen har laga grund. 
I 14 § föreskrivs det om Gränsbevakningsväsendets rätt att av myndigheter få uppgifter för planeringen av sjöräddningstjänstens beredskap samt i kritiska lägen för att utföra uppgifter inom sjöräddningstjänsten. I 15 § föreskrivs det om rätt att få uppgifter av privata företag och sammanslutningar och i 16 § om rätt att få uppgifter av teleföretag. 
Om inte något annat föreskrivs i sjöräddningslagen, ska personuppgiftslagen tillämpas på behandlingen av personuppgifter i sjöräddningsregistret (20 §). Vid behandlingen av personuppgifter i sjöräddningsregistret iakttas dessutom internationella avtal som är bindande för Finland. På offentligheten av uppgifter i sjöräddningsregistret tillämpas vad som bestäms om myndighetshandlingars offentlighet. 
2.1.4
2.1.4 Annan personuppgiftslagstiftning om Gränsbevakningsväsendet
Utöver Gränsbevakningsväsendets personuppgiftslag och sjöräddningslagen innehåller flera andra lagar bestämmelser om behandlingen av personuppgifter vid Gränsbevakningsväsendet. Som de viktigaste kan nämnas följande: 
Lagen om gränsbevakningsväsendets förvaltning (577/2005, nedan även Gränsbevakningsväsendets förvaltningslag) innehåller bestämmelser om behandling av vissa känsliga uppgifter vid Gräns- och sjöbevakningsskolan (28 c §) samt bestämmelser om tystnadsplikt för tjänstemän vid Gränsbevakningsväsendet och om rätt att lämna ut uppgifter trots tystnadsplikten (17 och 17 a–17 d §). När det gäller utlämnande av personuppgifter är det fråga om en enskild tjänstemans rätt att lämna ut uppgifter i enskilda fall. 
I polisens personuppgiftslag föreskrivs det om rätt för Gränsbevakningsväsendet att till polisens personregister genom direkt anslutning lämna uppgifter som ska behandlas för utförande av de åligganden enligt 1 kap. 1 § 1 och 2 mom. i polislagen som föreskrivs för Gränsbevakningsväsendet i lag. Till polisens registerföring lämnas i praktiken uppgifter om efterlysta personer och föremål samt signalementsuppgifter om personer, såsom fingeravtryck och DNA-profiler. 
En PTG-myndighet som är företrädd i en PTG-kriminalunderrättelseenhet kan enligt 6 § i lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet (687/2009, nedan PTG-lagen) inrätta ett personregister för ett enskilt brottsbekämpningsuppdrag som gäller allvarlig eller omfattande brottslighet enligt vad som föreskrivs i respektive myndighets egen personuppgiftslag. Gränsbevakningsväsendets personuppgiftslag tillämpas på behandlingen av personuppgifter i de personregister som inrättats av Gränsbevakningsväsendet. 
Enligt 3 § i lagen om utlänningsregistret (1270/1997) är Gränsbevakningsväsendet en av de registeransvariga (personuppgiftsansvariga) för utlänningsregistret. I utlänningsregistret för Gränsbevakningsväsendet in uppgifter för behandling av, beslut om och övervakning av utlänningars inresa och utresa. Gränsbevakningsväsendet för också i regel in samma personuppgifter i sina egna personregister. Regeringen har överlämnat en proposition där bestämmelserna om behandling av personuppgifter i migrationsförvaltningen samlas i en enda lag (RP 224/2018 rd). I det sammanhanget granskas även frågorna om de personuppgiftsansvariga på nytt. 
Värnpliktsregisteransvariga är enligt 92 § i värnpliktslagen (1438/2007) Huvudstaben, staben för respektive försvarsgren och regionalbyrån inom sitt verksamhetsområde samt truppförbandet i fråga om dem som tjänstgör vid truppförbandet. För Gränsbevakningsväsendet innebär detta att staben för Gränsbevakningsväsendet (staben för respektive försvarsgren) och Gränsbevakningsväsendets förvaltningsenheter (truppförbandet) är registeransvariga (personuppgiftsansvariga). Bestämmelserna om värnpliktsregistret håller på att överföras till en ny lag om behandling av personuppgifter inom Försvarsmakten (nedan även Försvarsmaktens personuppgiftslag). I det sammanhanget granskas även frågorna om de personuppgiftsansvariga på nytt (RP 13/2018 rd). 
Enligt 16 § i lagen om nödcentralsverksamhet (692/2010) har Gränsbevakningsväsendet rätt att använda nödcentralsdatasystemet och att där lagra information om sitt eget ansvarsområde. Gränsbevakningsväsendet är inte personuppgiftsansvarig för de uppgifter det har lagrat, utan Nödcentralsverket svarar för registerföringen. Enligt 18 § 2 mom. ska Gränsbevakningsväsendet i nödcentralsdatasystemet lagra information om enheter och aktörer inom Gränsbevakningsväsendet i anknytning till beredskap och resurser samt anvisningar och planer om uppgifter inom sjöräddningstjänsten. I nödcentralsdatasystemet kan Gränsbevakningsväsendet också lagra uppgifter om myndigheternas arbetarskydd. 
I 30 § i territorialövervakningslagen (755/2000) föreskrivs det om Gränsbevakningsväsendets rätt att företa teknisk övervakning som en del av territorialövervakningen samt för att förebygga brott i anknytning till territorialövervakning, för att identifiera personer som är misstänkta för sådana brott samt för att bevaka särskilda övervakningsobjekt. I paragrafen finns också en bestämmelse om behandling av upptagningar som uppkommer vid teknisk övervakning. På behandlingen av sådana personuppgifter i Gränsbevakningsväsendets personregister som uppkommer vid teknisk övervakning enligt territorialövervakningslagen tillämpas i övrigt Gränsbevakningsväsendets personuppgiftslag. 
I 17 § i lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet (485/2004, nedan lagen om sjöfartsskydd) föreskrivs det om Gränsbevakningsväsendets rätt att inom området för en finsk hamn företa teknisk övervakning för genomförande av sjöfartsskyddet. Automatisk upptagning av ljud eller bild med hjälp av en teknisk anordning får göras om detta behövs i syfte att förhindra brott som avses i 34 a kap. i strafflagen (39/1889) eller i syfte att identifiera personer som är efterlysta för brott som avses i det kapitlet eller som på sannolika skäl misstänks för sådana brott. På behandling av uppgifter som erhållits med hjälp av teknisk övervakningsutrustning tillämpas enligt paragrafen bestämmelserna i Gränsbevakningsväsendets personuppgiftslag. 
Enligt 38 § i lagen om ett påföljdssystem för och tillsynen över den gemensamma fiskeripolitiken (1188/2014) är Gränsbevakningsväsendet en av registerförarna för de register som nämns i den lagen, nämligen fångstregistret (30 §), registret för förstahandsuppköpare av fiskeriprodukter (31 §), registret över avräkningsnotor (32 §), det satellitbaserade fartygsövervakningssystemet (33 §), rapporterings- och tillståndsregistret som hänför sig till fiskeövervakning (34 §) samt registret över tillsynsåtgärder (35 §). Huvudansvarig registerförare är den behöriga närings-, trafik- och miljöcentralen, och därutöver styr jord- och skogsbruksministeriet utvecklandet av datasystemet samt förvaltandet och förandet av registren. Gränsbevakningsväsendet svarar dock för att de uppgifter som det har fört in är korrekta samt för att registreringen och användningen sker på ett lagligt sätt vid skötseln av de egna uppgifterna. 
2.2
Den internationella utvecklingen samt lagstiftningen i utlandet och i EU
2.2.1
2.2.1 EU:s dataskyddslagstiftning
Rätt till skydd av personuppgifter är en grundläggande rättighet som fastställs i artikel 16.1 i fördraget om Europeiska unionens funktionssätt och i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna, där det sägs att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs. Respekt för privatlivet tryggas i artikel 7 i stadgan om de grundläggande rättigheterna. Enligt artikeln har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Skyddet av personuppgifter har beröringspunkter även med andra grundläggande rättigheter som fastställs i EU:s stadga om de grundläggande rättigheterna. 
Varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan om de grundläggande rättigheterna ska enligt artikel 52.1 i stadgan vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter. 
Dataskyddsförordningen 
Dataskyddsförordningen är en allmän rättsakt om behandling av personuppgifter och direkt tillämplig rätt i medlemsstaterna. Dataskyddsförordningen började tillämpas den 25 maj 2018. Utanför tillämpningen av dataskyddsförordningen faller enligt dess artikel 2.2 a sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Dataskyddsförordningen tillämpas inte heller på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. På behandling av personuppgifter för dessa ändamål tillämpas dataskyddsdirektivet. 
Bestämmelser om principer för behandling av personuppgifter finns i artikel 5 i dataskyddsförordningen. Principerna gäller exempelvis laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, korrekthet och lagringsminimering. Närmare bestämmelser om laglig behandling av personuppgifter finns i artikel 6. I enlighet med artikel 6.1 är följande grunder för behandling av personuppgifter de viktigaste när det gäller myndigheter: fullgörande en rättslig förpliktelse (led c), utförande av en uppgift av allmänt intresse (led e) och ett led i den personuppgiftsansvariges myndighetsutövning (led e). 
Dataskyddsförordningen medger ett visst mått av nationellt spelrum. Den rättsliga grunden för behandlingen av personuppgifter och innehållet i behandlingen kan preciseras genom en nationell lag, och exempelvis under vissa omständigheter är undantag i fråga om den registrerades rättigheter tillåtna. När nationell speciallagstiftning bedöms gäller det för det första att försäkra sig om att lagstiftningen över lag är möjlig inom ramen för det nationella spelrum som ges i dataskyddsförordningen. Vid bedömningen bör avseende fästas särskilt vid den rättsliga grunden för behandlingen av personuppgifter. För det andra gäller det att bedöma om nationell speciallagstiftning är nödvändig för att komplettera bestämmelserna i förordningen. Om nationell speciallagstiftning är nödvändig, gäller det för det tredje att ytterligare försäkra sig om att den nationella speciallagstiftningen även i övrigt är förenlig med förordningen. 
Bestämmelserna i dataskyddsförordningen kompletteras av dataskyddslagen (RP 9/2018 rd). Lagen innehåller bestämmelser om bland annat laglig behandling av personuppgifter, behandling av särskilda kategorier av personuppgifter, tillsynsmyndigheten och tillsynsmyndighetens uppgifter och befogenheter, rättssäkerhet och påföljder, behandling av personbeteckningar samt behandling av personuppgifter för vetenskapliga och historiska forskningsändamål samt statistiska ändamål. 
Dataskyddslagen tillämpas i enlighet med dataskyddsförordningens bestämmelse om tillämpningsområdet. Med stöd av dataskyddslagen tillämpas dataskyddsförordningen, med undantag för vissa bestämmelser i den, även på exempelvis sådan behandling av personuppgifter som inte omfattas av tillämpningsområdet för Europeiska unionens lagstiftning, om inte något annat föreskrivs någon annanstans i lag. Dataskyddslagen tillämpas dock inte på sådan behandling av personuppgifter om vilken det föreskrivs i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (RP 31/2018 rd, nedan dataskyddslagen avseende brottmål). 
Dataskyddsdirektivet 
Dataskyddsdirektivet gäller behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot eller förebygga och förhindra hot mot den allmänna säkerheten inom unionen. Genom dataskyddsdirektivet upphävdes rådets rambeslut 2008/977/RIF om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (nedan dataskyddsrambeslutet). Dataskyddsdirektivet är mer detaljerat än dataskyddsrambeslutet och tillämpas även på behandling av personuppgifter inom medlemsstaterna. Också när det gäller dataskyddsdirektivet har behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten ställts utanför tillämpningsområdet. 
Enligt artikel 4 ska medlemsstaterna föreskriva bland annat att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas på ett sätt som står i strid med dessa ändamål. Personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas. Dessutom ska personuppgifterna vara korrekta och, om nödvändigt, uppdaterade. Den personuppgiftsansvarige ska vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. 
I artikel 8.2 sägs att medlemsstaternas nationella rätt som reglerar behandling av personuppgifter inom tillämpningsområdet för direktivet åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. Artikel 20 innehåller bestämmelser om inbyggt dataskydd och om bland annat uppgiftsminimering. 
Enligt skäl 26 till direktivet bör de specifika ändamål som personuppgifterna behandlas för vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Personuppgifterna bör vara adekvata och relevanta för de ändamål som de behandlas för. Det bör i synnerhet säkerställas att de uppgifter som insamlats inte är orimligt omfattande och att de inte sparas längre än vad som är nödvändigt för det ändamål för vilket uppgifterna behandlas. 
Dataskyddsdirektivet genomförs nationellt genom dataskyddslagen avseende brottmål. Lagen tillämpas vid sådan behandling av personuppgifter som utförs av behöriga myndigheter när det är fråga om 1) förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, 2) åtalsprövning och annan åklagarverksamhet som har samband med brott, 3) handläggning av brottmål i domstol, 4) verkställighet av straffrättsliga påföljder, eller 5) skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med verksamhet som avses i 1–4 punkten. Dessutom tillämpas lagen när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållandet av den nationella säkerheten. 
Utöver allmänna bestämmelser (1 kap.) innehåller dataskyddslagen avseende brottmål bestämmelser om principer för behandling av personuppgifter (2 kap.), personuppgiftsansvarig och personuppgiftsbiträde (3 kap.), de registrerades rättigheter (4 kap.), informationssäkerhet (5 kap.), dataskyddsombud (6 kap.), överföringar av personuppgifter till tredjeländer och internationella organisationer (7 kap.), tillsynsmyndighet (8 kap.), rättsskydd (9 kap.), skadestånd, straff och tystnadsplikt (10 kap.) samt ikraftträdande och övergångsperiod för logguppgifter (11 kap.). Inom den allmänna lagens tillämpningsområde kan även utfärdas speciallagstiftning för myndigheter. 
2.2.2
2.2.2 Europeiska unionens gränsövervakningssamarbete
Bestämmelser om behandling av personuppgifter finns också i Europaparlamentets och rådets förordning (EU) 2016/399 om en unionskodex om gränspassage för personer (kodex om Schengengränserna). Enligt artikel 8 gäller det att i samband med in- och utresekontroller säkerställa äktheten hos resehandlingar bland annat genom att i relevanta databaser kontrollera uppgifter om stulna, förskingrade, förkomna och ogiltigförklarade handlingar. Vidare gäller det att försäkra sig om att personen inte äventyrar den inre säkerheten, den allmänna ordningen eller internationella förbindelser i någon av medlemsstaterna eller att han eller hon inte utgör ett hot mot folkhälsan. I detta syfte ska behövliga sökningar göras i nationella och europeiska databaser. 
Enligt Europaparlamentets och rådets förordning (EU) 2016/1624 om en europeisk gräns- och kustbevakning har Europeiska gräns- och kustbevakningsbyrån rätt att i begränsad utsträckning behandla personuppgifter. Enligt artikel 46 får byrån behandla personuppgifter för att utföra sina uppgifter att organisera och samordna gemensamma insatser, pilotprojekt, snabba gränsinsatser och inom ramen för stödgrupperna för migrationshantering, för att utföra sina uppgifter att organisera och samordna återvändandeinsatser och återvändandeinterventioner, för att underlätta informationsutbyte med medlemsstaterna och EU-byråer, för att utföra riskanalyser, för att identifiera och spåra fartyg samt för administrativa uppgifter.  
I artikel 46 i förordningen anges också att en medlemsstat som överför personuppgifter till byrån ska fastställa för vilket eller vilka ändamål uppgifterna ska behandlas i enlighet med artikeln. Byrån får behandla sådana personuppgifter för annat ändamål, som också omfattas av artikeln, endast om uppgiftslämnaren samtyckt därtill. I samband med överföring av personuppgifter kan medlemsstaterna ange eventuella allmänna eller specifika begränsningar för åtkomst till eller användning av dem, inbegripet vad avser överföring, radering eller förstöring av dem. I artiklarna 47–49 preciseras vilka personuppgifter som får behandlas och på vilket sätt för de aktuella ändamålen. 
Artikel 13 i Europaparlamentets och rådets förordning (EU) nr 1052/2013 om inrättande av ett europeiskt gränsövervakningssystem (Eurosur) gör det möjligt att använda den nationella situationsbilden för behandling av personuppgifter så som föreskrivs i EU:s dataskyddslagstiftning. Den europeiska situationsbilden och den gemensamma underrättelsebilden av situationen före gränserna får användas enbart för att behandla sådana personuppgifter som rör identifieringsnummer för fartyg. I artikeln föreskrivs det också om syftena för behandling av identifieringsnummer för fartyg och om när uppgifterna ska raderas. 
2.2.3
2.2.3 Europarådets konventioner
Enligt artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (FördrS 19/1990, nedan Europakonventionen) har var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Myndigheterna får inte ingripa i denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten eller landets ekonomiska välstånd, till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter. 
Även om skydd för personuppgifter inte nämns separat i artikel 8 i Europakonventionen har Europeiska domstolen för de mänskliga rättigheterna (nedan Europadomstolen) i sin rättspraxis sett skyddet för personuppgifter som en väsentlig del av skyddet för privat- och familjeliv enligt artikel 8, samtidigt som skyddet för personuppgifter har konsekvenser för utövande av yttrandefrihet enligt artikel 10. Europadomstolen har i sina avgöranden betonat bland annat att lagstiftningen måste innehålla lämpliga garantier för att personuppgifter inte behandlas i strid med artikel 8. De uppgifter som behandlas ska vara behövliga samt till både innehåll och lagringstid begränsade i förhållande till ändamålet med registreringen. Regleringen ska likaså innehålla tillräckliga garantier som förhindrar att personuppgifter används i strid med lag. 
Inom Europarådet ingicks konventionen om skydd för personuppgifter nr 108 år 1981, till vilken det hänvisas i skäl 68 till dataskyddsdirektivet. Europarådets konvention och lagen om godkännande av vissa bestämmelser i den (269/1992) har trätt i kraft i kraft i Finland genom förordning (270/1992). I situationer mellan medlemsstaterna i Europeiska unionen tillämpas i första hand EU:s dataskyddslagstiftning, men alla EU-medlemsstater har ratificerat konvention nr 108. Hittills har sammanlagt 50 stater ratificerat konventionen. Konventionen åtföljs av tilläggsprotokoll (nr 181) om tillsynsmyndigheter och gränsöverskridande uppgiftsflöden. Bestämmelserna i konventionen erbjuder alla personer som befinner sig inom de staters territorium som ratificerat den ett minimiskydd i fråga om behandlingen av personuppgifter samt ett minimiskydd i fråga om gränsöverskridande flöden av personuppgifter. När det gäller överföring av personuppgifter ska Europarådets konvention tillämpas utöver förordningens och direktivets bestämmelser om tredjeländer exempelvis i sådana situationer där en behörig myndighet i en EU-medlemsstat överför personuppgifter till ett tredjeland. Det kan dock också bli aktuellt att tillämpa ett bilateralt avtal som ingåtts med landet i fråga och som innehåller bestämmelser om dataskydd eller bestämmelser där det hänvisas till nationell lagstiftning. 
Europarådets konvention revideras som bäst, och den nya konventionen kommer att ersätta konvention nr 108 när tillräckligt många av Europarådets medlemsstater har ratificerat den. Tillämpningen av bestämmelserna i konventionen får begränsas av ett betydande allmänt intresse, exempelvis med anledning av den nationella säkerheten eller av försvarsskäl. 
2.2.4
2.2.4 Övriga internationella bestämmelser
Bestämmelser om behandling av personuppgifter finns även i vissa EU-rättsakter inom dataskyddsdirektivets tillämpningsområde och i deras genomförandelagar. Sådan rättsakter är i synnerhet 
Europaparlamentets och rådets förordning (EG) nr 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), rådets beslut 2007/533/RIF om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) samt Europaparlamentets och rådets förordning (EG) nr 1986/2006 om tillträde till andra generationen av Schengens informationssystem (SIS II) för de enheter i medlemsstaterna som ansvarar för att utfärda registreringsbevis för fordon, 
Europaparlamentets och rådets förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning (214/2017), 
Europaparlamentets och rådets förordning (EU) nr 603/2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål (Eurodac-förordningen), 
rådets beslut 2008/615/RIF om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet och rådets beslut 2008/616/RIF om genomförande av beslut 2008/615/RIF, 
rådets rambeslut 2006/960/RIF om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009). 
Gränsbevakningsväsendet tillämpar de ovannämnda författningarna till den del det deltar i samarbetet mellan Europeiska unionens brottsbekämpande organ. 
2.2.5
2.2.5 Lagstiftningen i utlandet
EU-medlemsstaternas lagstiftning om behandling av personuppgifter förändras som bäst med anledning av det nationella genomförandet av EU:s dataskyddsreform. Dataskyddsförordningen och dataskyddsdirektivet uppställer mycket noggranna kriterier för den nationella lagstiftningen. 
Inom Gränsbevakningsväsendets förvaltningsområde anses det inte finnas några särskilda behov av att harmonisera speciallagstiftningen om behandling av personuppgifter med lagstiftningen i andra EU-stater. Det beror framför allt på att Gränsbevakningsväsendet har ett stort antal lagstadgade uppgifter som i en annan EU-stat kan ingå i uppgifterna för någon annan myndighet, såsom polisen eller Försvarsmakten. Dessutom baserar sig Gränsbevakningsväsendets huvuduppgift, att upprätthålla gränssäkerheten, till centrala delar på EU-förordningar som ska tillämpas direkt i alla medlemsstater. Det har därför ansetts vara oändamålsenligt att i denna proposition bedöma andra EU-staters eventuella speciallagstiftning om behandling av personuppgifter inom Gränsbevakningsväsendets förvaltningsområde. 
2.3
Bedömning av nuläget
2.3.1
2.3.1 EU:s dataskyddslagstiftning
I propositionen gäller det att säkerställa att speciallagstiftningen om behandling av personuppgifter vid Gränsbevakningsväsendet till alla delar är förenlig med den nya dataskyddslagstiftningen. I dagsläget tillämpas personuppgiftslagen som en allmän lag på behandlingen av personuppgifter vid Gränsbevakningsväsendet. Reformen av EU:s dataskyddslagstiftning differentierar dock rättsgrunden så att det inte längre går att tillämpa en och samma författning på all behandling av personuppgifter. Gränsbevakningsväsendets lagstadgade uppgifter är fördelade på tillämpningsområdet för både dataskyddsförordningen och dataskyddsdirektivet. Dessutom gäller att en del av Gränsbevakningsväsendets uppgifter inte alls omfattas av tillämpningsområdet för EU-rätten. 
Dataskyddsförordningen och dataskyddslagen, som kompletterar förordningen, tillämpas vid Gränsbevakningsväsendet på behandling av personuppgifter i anknytning till exempelvis gränskontroll, ett flertal tillsynsuppgifter som föreskrivits för Gränsbevakningsväsendet, tulluppgifter och räddningsuppdrag. 
Dataskyddsförordningen gäller som direkt tillämplig lagstiftning i medlemsstaterna. Artikel 6.2 i dataskyddsförordningen gör det dock möjligt att utfärda mer specifika bestämmelser för att anpassa bestämmelserna i förordningen när behandlingen av personuppgifter är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Artikel 6.3 förutsätter att grunden för behandlingen av personuppgifter i dessa situationer ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. En sådan lagstiftning kan innehålla bestämmelser om bland annat vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling. När det är fråga om uppgifter som i lag föreskrivits för Gränsbevakningsväsendet, behandlas personuppgifter för fullgörandet av en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Det gör det möjligt att precisera och komplettera dataskyddsförordningen med nationell lagstiftning. Med stöd av artikel 9 i dataskyddsförordningen kan närmare bestämmelser utfärdas också om behandling av personuppgifter inom särskilda kategorier av personuppgifter. 
Inom Gränsbevakningsväsendets personuppgiftslagstiftning bör det nationella spelrum som dataskyddsförordningen möjliggör användas och bör preciserande bestämmelser utfärdas i synnerhet om behandling av uppgifter inom särskilda kategorier av personuppgifter och om utövande av den registrerades rättigheter. I bestämmelserna gäller det att säkerställa att begränsningar av rättigheterna är nödvändiga och proportionella. 
Vid Gränsbevakningsväsendet omfattas följande uppgifter av tillämpningsområdet för dataskyddsdirektivet: förebyggande, avslöjande och utredning av brott samt förande av brott till åtalsprövning samt relaterade åtgärder för upprätthållande av den allmänna ordningen och säkerheten. 
I artikel 8.2 sägs att medlemsstaternas nationella rätt som reglerar behandling av personuppgifter inom tillämpningsområdet för direktivet åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. Gränsbevakningsväsendets personuppgiftslag bör således innehålla bestämmelser av detta slag som gäller personuppgifter som Gränsbevakningsväsendet behandlar inom dataskyddsdirektivets tillämpningsområde. I regleringen gäller det att fästa avseende vid att den miniminivå på dataskyddet som anges i direktivet inte försämras. 
Sjöräddningsverksamhet och uppgifter som hänför sig till upprätthållande av den nationella säkerheten omfattas inte av tillämpningsområdet för EU-rätten, och följaktligen inte heller av tillämpningsområdet för dataskyddsförordningen eller dataskyddsdirektivet. För de personuppgifter som behandlas inom ramen för sådana uppdrag handlar det om nationella lösningar. 
Dataskyddslagen avseende brottmål, genom vilken dataskyddsdirektivet genomförs nationellt, tillämpas enligt 1 § 2 mom. 3 punkten i lagen på sådan behandling av personuppgifter som utförs av Gränsbevakningsväsendet, när uppgifterna behandlas inom ramen för en i 3 § 2 och 3 mom. i gränsbevakningslagen (578/2005) avsedd uppgift som hänför sig till skyddet av den nationella säkerheten. Under begreppet nationell säkerhet kan inom Gränsbevakningsväsendet anses sortera framför allt territorialövervakning och militärt försvar, men även inom Gränsbevakningsväsendets övriga verksamhet kan det bli aktuellt att behandla personuppgifter med anknytning till upprätthållande av den nationella säkerheten. 
I denna proposition bör det föreslås en nationell lösning i fråga om behandlingen av personuppgifter i anknytning till sjöräddningsverksamhet. Till denna del gäller det att beakta att med stöd av 2 § 1 mom. i dataskyddslagen tillämpas dataskyddsförordningen, med undantag för dessa artikel 56 och kapitel VII, också på verksamhet som inte omfattas av EU:s behörighet, om inte något annat föreskrivs någon annanstans i lag. 
Beträffande tillämpningsområdet för dataskyddsförordningen bör det i bestämmelserna säkerställas att den relaterade behandlingen av personuppgifter har en godtagbar rättslig grund och att begränsningarna av den registrerades rättigheter är nödvändiga och proportionella. 
2.3.2
2.3.2 Strukturen för Gränsbevakningsväsendets personuppgiftslag
Gränsbevakningsväsendets personuppgiftslag har ändrats 18 gånger efter att den ursprungliga lagen trädde i kraft, och även för tillfället är ändringar av lagen aktuella. Ändringsbehoven har till många delar varit lagtekniska och föranletts av det detaljerade regleringssättet i lagen. Till följd av de många partiella reformerna har det till vissa delar blivit svårt att förstå lagens struktur och innehåll. 
Den gällande lagen bygger på reglering av olika register och informationssystem. Bestämmelserna är mycket detaljerade och uttömmande. Regleringssättet är osmidigt, och det är en krävande uppgift att hålla bestämmelserna uppdaterade. Till följd av de många ändringarna har regleringen blivit rätt svårläslig, vilket har skapat oklarhet i konkreta tillämpningssituationer. Inte heller bestämmelserna om Gränsbevakningsväsendets funktionella informationssystem och dess delregister kan längre anses vara ändamålsenliga, utan det viktiga är att det bör finnas bestämmelser om de personuppgifter som Gränsbevakningsväsendet får behandla. 
Den gällande lagen innehåller bestämmelser som delvis är överlappande med bestämmelserna i allmänna lagar. Dessutom innehåller lagen sådana bestämmelser om rätt att få information och om utlämnande av uppgifter som redan finns någon annanstans i lag. Enligt allmän praxis har bestämmelser om utlämnande av uppgifter och om rätt att få information tagits in i både den överlåtande myndighetens och den mottagande myndighetens lagstiftning. Regleringssättet har dock inte varit heltäckande, vilket i vissa situationer kan ha medfört tolkningsproblem för lagtillämparna. Bestämmelserna är även onödigt detaljerade och oenhetliga för olika parter. Utgångspunkten är att det inte kan anses behövas dubbel reglering. Eftersom den personuppgiftsansvarige ansvarar för att behandlingen av personuppgifter är laglig, bör bestämmelserna om utlämnande av information i regel finnas i lagstiftningen om den personuppgiftsansvarige, om det inte finns någon grundad anledning till en annan lösning. 
Gränsbevakningsväsendets personuppgiftslag bygger till sin struktur och även på många punkter till sitt innehåll på polisens personuppgiftslag. Grundlagsutskottet har i sitt utlåtande GrUU 18/2012 rd konstaterat att polisens personuppgiftslag bland annat som en följd av de många ändringarna och tilläggen har blivit mycket komplicerad till såväl struktur som innehåll. Lagen innehåller också ett flertal överlappningar med personuppgiftslagen och offentlighetslagen. 
I riksdagens svar (RSv 216/2013 rd) på regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om behandling av personuppgifter i polisens verksamhet och lagen om behandling av personuppgifter vid gränsbevakningsväsendet samt av vissa lagar som har samband med dem förutsatte riksdagen att regeringen snarast möjligt påbörjar en totalrevidering av polisens personuppgiftslag och att man i samband därmed också beaktar det slutliga innehållet i den nya dataskyddslagstiftning som är under beredning i EU och vilka krav den ställer på den nationella lagstiftningen. Avseende ska dessutom fästas vid de anmärkningar beträffande lagens struktur och innehåll som framgår av förvaltningsutskottets betänkande FvUB 26/2013 rd. Riksdagen förutsatte också att även bestämmelserna i Gränsbevakningsväsendets personuppgiftslag ska justeras på samma gång. 
I fråga om utplåning av vissa personuppgifter hänvisar Gränsbevakningsväsendets personuppgiftslag i gällande lydelse till vad som föreskrivs i polisens personuppgiftslag eller i lagen om militär disciplin och brottsbekämpning inom försvarsmakten (255/2014). Inte heller den lösningen kan anses fungera med tanke på att lagstiftningen bör vara tydlig. Tiderna för radering av personuppgifter som behandlas i enlighet med Gränsbevakningsväsendets personuppgiftslag bör framgå av samma lag. 
Samtidigt med denna proposition överlämnas också regeringens proposition om reformen av lagstiftningen om polisens behandling av personuppgifter. I den propositionen föreslås det betydande ändringar av strukturen för och innehållet i polisens personuppgiftslag. Eftersom Gränsbevakningsväsendet behandlar delvis samma typ av uppgifter som polisen, och eftersom en del av behandlingen av personuppgifter vid Gränsbevakningsväsendet genomförs rent tekniskt i de system som polisen förvaltar, bör Gränsbevakningsväsendets personuppgiftslag i synnerhet till denna del revideras så att den motsvarar polisens personuppgiftslag. 
2.3.3
2.3.3 Gränsbevakningsväsendets register över personer misstänkta för brott
Så som redogjorts i det föregående utgör Gränsbevakningsväsendets register över personer misstänkta för brott tekniskt sett en del av polisens informationssystem för misstänkta. I registret får uppgifter registreras under samma förutsättningar som i polisens motsvarande register. De ställningstaganden av riksdagens utskott som beskrivs längre fram lämpar sig således i princip även för Gränsbevakningsväsendets register över personer misstänkta för brott. Det bör emellertid noteras att Gränsbevakningsväsendet har mer begränsade befogenheter än polisen när det gäller att förebygga och avslöja brott. 
Förvaltningsutskottet har i ett utlåtande fäst avseende vid bristerna i behandlingen av personuppgifter om personer misstänka för brott (FvUU 40/2014 rd). Personer kan registreras endast som misstänka och medverkande. Förvaltningsutskottet har i ett betänkande konstaterat att när uppgifter om en person förs in i registret över misstänkta måste kriterierna uppfyllas, det vill säga att personen kan misstänkas göra sig eller ha gjort sig skyldig alternativt medverka eller ha medverkat till ett brott (FvUB 16/2014 rd). Tröskeln för ”skäl att misstänka” är densamma som tröskeln för att inleda förundersökning av brott enligt förundersökningslagen (805/2011). 
Att det inte är så enkelt att tillämpa bestämmelserna om registret över misstänkta framgår enligt förvaltningsutskottets åsikt av att registret inte bara innehåller uppgifter om misstänkta personer som har gjort sig skyldiga eller har medverkat till ett brott som nämns i bestämmelsen, utan också om ett sådant brott som personen kan göra sig skyldig eller medverka till i framtiden. Det är enligt utskottets mening uppenbart att misstanken i sådana fall måste grunda sig på konkreta iakttagelser som ger anledning att sluta sig till att personen kommer att handla så att kravet ”skäl att misstänka” uppfylls på ett godtagbart sätt. Att bedöma hur en person kommer att bete sig i framtiden är kopplad till en så osäker slutledningskedja att risken för felbedömning är mycket stor. 
Förvaltningsutskottet har också fäst avseende vid att det i en kompletterande ”förklaringsdel” dessutom kan ha funnits anteckning om till exempel den mot vilken den misstänkte riktat eller kan rikta hot om våld (FvUU 40/2014 rd). Även grundlagsutskottet har redan tidigare fäst avseende vid att det i motiveringen till bestämmelsen anges att i registret också får införas uppgifter om potentiella eller verkliga brottsoffer så som uppgifter som hänför sig till brottet. Det att registreringen av namnen på offren framgår enbart av motiveringen kan inte anses vara sådan noggrant avgränsad reglering som förutsätts i grundlagsutskottets tolkningspraxis (GrUU 51/2002 rd). 
Bestämmelserna om registret över misstänkta för brott har ansetts vara oändamålsenliga och bristfälliga också med tanke på Gränsbevakningsväsendets verksamhet. Personorienterad kriminalunderrättelse tycks ligga till grund för paragrafens ordalydelse på så sätt att Gränsbevakningsväsendet ska känna till en konkret misstanke om brott visavi en enskild person, och regleringen täcker inte i mera omfattande grad exempelvis brottsanalys som gäller organiserad brottslighet eller kriminella sammanslutningar. I likhet med polisen har Gränsbevakningsväsendet upplevt det som ett problem att ordalydelsen i regleringen inte direkt har omfattat exempelvis införande av uppgifter om potentiella eller verkliga brottsoffer, trots att den möjligheten har påpekats i motiveringen till paragrafen. 
3
Målsättning och de viktigaste förslagen
3.1
Målsättning
Syftet med denna proposition är att uppdatera lagstiftningen om behandling av personuppgifter vid Gränsbevakningsväsendet. Dessutom är syftet att i enlighet med det som riksdagen förutsatt skapa större klarhet i strukturen och innehållet i förhållande till Gränsbevakningsväsendets gällande personuppgiftslag. Avsikten är i synnerhet att inom de gränser som grundlagen tillåter minska detaljrikedomen i bestämmelserna för att de inte ska utgöra ett onödigt hinder i en omvärld som förändras. Ett syfte är också att slopa onödig reglering som överlappar med annan lagstiftning. Vidare är syftet att säkerställa att lagstiftningen om behandling av personuppgifter vid Gränsbevakningsväsendet uppfyller kraven i den nya dataskyddslagstiftningen. 
3.2
Alternativ
3.2.1
3.2.1 Bestämmelserna om behandling av personuppgifter i en enda lag
Strukturen för och innehållet i Gränsbevakningsväsendets personuppgiftslag bör bli betydligt tydligare, på det sätt som förutsattes i riksdagens svar RSv 216/2013 rd. Rent konkret kan detta göras på ett ändamålsenligt sätt endast genom att lagen omarbetas fullständigt. Samtidigt med denna proposition överlämnas också regeringens proposition om reformen av lagen om behandling av personuppgifter i polisens verksamhet. Eftersom Gränsbevakningsväsendet behandlar delvis samma typ av uppgifter som polisen, och eftersom en del av behandlingen av personuppgifter vid Gränsbevakningsväsendet genomförs rent tekniskt i de system som polisen förvaltar, är det med tanke på den praktiska verksamheten och myndigheternas samarbete nödvändigt att strukturen för Gränsbevakningsväsendets personuppgiftslag revideras så att den motsvarar polisens personuppgiftslag. 
Gränsbevakningsväsendets gällande personuppgiftslag innehåller bestämmelser om Gränsbevakningsväsendets viktigaste personregister. Bestämmelser om Gränsbevakningsväsendets registerföring finns dessutom i sjöräddningslagen, lagen om utlänningsregistret och värnpliktslagen. Reglering som gäller det nuvarande utlänningsregistret behandlas i regeringens proposition om behandling av personuppgifter i migrationsförvaltningen (RP 224/2018 rd), och därför behandlas den frågan inte i denna proposition. När det gäller värnpliktsregistret föreslår försvarsministeriet att bestämmelserna överförs från värnpliktslagen till Försvarsmaktens nya personuppgiftslag (RP 13/2018 rd), och Gränsbevakningsväsendets ställning kommer att behandlas på samma gång. 
I samband med beredningen har det konstaterats vara oändamålsenligt att den personuppgiftsreglering som gäller sjöräddningstjänsten överförs från sjöräddningslagen till Gränsbevakningsväsendets personuppgiftslag. Även om Gränsbevakningsväsendet är ledande sjöräddningsmyndighet och enda personuppgiftsansvarig, är det motiverat att alla bestämmelser om sjöräddningsverksamheten finns i en enda lag. Sjöräddningslagen innehåller också vissa bestämmelser om erhållande och utlämnande av information. Regleringen blir inte tydligare av att bestämmelserna flyttas till Gränsbevakningsväsendets personuppgiftslag. Det har inte heller i praktiken upplevts vara problematiskt att bestämmelserna om behandling av personuppgifter finns i flera olika lagar.  
3.2.2
3.2.2 Registerbaserad reglering och reglering baserad på ändamålen med behandlingen
Gränsbevakningsväsendets gällande personuppgiftslag och den gällande sjöräddningslagen baserar sig på reglering av olika personregister. Fördelen med den registerbaserade regleringen kan anses vara att den är tydlig, noggrant avgränsad och detaljerad på det sätt som grundlagsutskottet har förutsatt. Av registerbestämmelserna i den gällande lagen framgår i detalj vilka uppgifter som får föras in i respektive register. Det kan anses att den detaljerade regleringen är tydlig och förutsägbar för lagtillämparna och de registrerade. Däremot är det svårt att hålla de detaljerade förteckningarna över uppgifter uppdaterade, eftersom det när lagen stiftas är omöjligt att i detalj förutse alla behov att behandla uppgifter. Den registerbaserade regleringen begränsar också i onödan möjligheterna att införa tekniska lösningar inom behandlingen av personuppgifter. 
I samband med beredningen har lagberedarna bedömt i vilken mån det skulle gå att förenkla lagbestämmelserna, dock så att det samtidigt säkerställs att regleringen är tillräckligt noggrant avgränsad. EU:s nya dataskyddslagstiftning kräver inte registerbaserad reglering, utan regleringen kan grunda sig på ändamål med användningen med utgångspunkt i en myndighets behörighet och de uppgifter som föreskrivs för myndigheten.  
Registerbaserad och ändamålsbaserad reglering avviker de facto inte i någon avsevärd mån från varandra i fråga om exakthet och noggrann avgränsning. De villkor relaterade till bestämmelserna om behandling av personuppgifter som framgår av grundlagsutskottets tolkningspraxis bedöms vara möjliga att uppfylla likaväl genom registerbaserad reglering som genom reglering baserad på ändamålen med behandlingen. Reglering baserad på ändamålen med behandlingen är dock enklare till sin natur. 
En eventuell nackdel med reglering baserad på ändamålen med behandlingen kan anses vara att lagbestämmelserna inte ger tillämparna entydigt klara besked om i vilka delar av ett informationssystem eller i vilka register personuppgifterna ska föras in, vilket kan öka risken för fel. Den nya regleringen förutsätter att den personuppgiftsansvarige ger handledning och utbildning, vilket å andra sidan behövs i samband med att lagstiftningen revideras, oavsett vilken regleringslösning man går in för. 
I samband med totalreformen av lagen om behandling av personuppgifter i polisens verksamhet föreslås en övergång från registerbaserad reglering till reglering som baserar sig på ändamålen med behandlingen. Eftersom Gränsbevakningsväsendet behandlar delvis samma typ av uppgifter som polisen, och eftersom en del av behandlingen av personuppgifter vid Gränsbevakningsväsendet rent tekniskt genomförs i de system som polisen förvaltar, är det motiverat att gå in för samma lagtekniska regleringslösning i Gränsbevakningsväsendets personuppgiftslag. 
3.2.3
3.2.3 Allmänna bestämmelser om rätt att få information
Gränsbevakningsväsendets gällande personuppgiftslag innehåller bestämmelser om Gränsbevakningsväsendets allmänna rätt att få uppgifter av myndigheter och av en sådan sammanslutning eller person som tillsatts för att handha ett offentligt uppdrag (17 §) samt av en privat sammanslutning eller en privatperson (18 §). Bestämmelserna har funnits i lagen ända sedan den stiftades. Motsvarande bestämmelser för polisen finns i polislagen (872/2011) och för Tullen i lagen om brottsbekämpning inom Tullen (623/2015). I samband med revideringen av Försvarsmaktens personuppgiftslagstiftning föreslås en likartad bestämmelse i lagen om försvarsmakten (RP 13/2018 rd). 
I samband med beredningen har lagberedarna övervägt möjligheten att överföra de allmänna bestämmelserna om Gränsbevakningsväsendets rätt att få uppgifter till gränsbevakningslagen. Fördelen med alternativet kan anses vara att det harmonierar med motsvarande bestämmelser för andra myndigheter. Inom vissa andra förvaltningsområden har man ansett att de aktuella bestämmelserna står närmare behörighetsregleringen, vilket innebär att deras naturliga plats i lagstiftningen är den lag som gäller myndighetens befogenheter. När det gäller lagstiftningen inom Gränsbevakningsväsendets förvaltningsområde har de aktuella rättigheterna att få uppgifter dock ansetts ha en närmare anknytning till behandlingen av personuppgifter, trots att även andra än personuppgifter får begäras med stöd av bestämmelserna. Regleringssättet har ansetts vara motiverat också eftersom personuppgiftslagstiftningen innehåller liknande rättigheter att få uppgifter såväl av myndigheter som av privata. 
I samband med beredningen har det bedömts att båda dessa lagtekniska lösningar är juridiskt tänkbara och motiverade. Eftersom bestämmelserna vedertaget har funnits i Gränsbevakningsväsendets personuppgiftslag och eftersom bestämmelserna i den föreslagna nya lagen kopplas allt starkare till andra bestämmelser om behandling av personuppgifter, anses det inte vara ändamålsenligt att överföra bestämmelserna till gränsbevakningslagen. 
3.3
De viktigaste förslagen
I propositionen föreslås det att det stiftas en ny lag om behandling av personuppgifter vid Gränsbevakningsväsendet. Den nya lagen föreslås ersätta Gränsbevakningsväsendets gällande personuppgiftslag. Lagens struktur och innehåll revideras så som riksdagen har förutsatt, och Europeiska unionens nya dataskyddslagstiftning beaktas. Lagens tillämpningsområde ändras från den gällande lagens tillämpningsområde på så sätt att tillämpningsområdet föreslås omfatta endast behandlingen av personuppgifter för skötseln av de uppgifter som uttryckligen föreskrivs för Gränsbevakningsväsendet. På behandlingen av personuppgifter i anknytning till Gränsbevakningsväsendets förvaltning ska dataskyddsförordningen och dataskyddsdirektivet tillämpas direkt. 
I propositionen föreslås också ändringar i den reglering som gäller sjöräddningsregistret samt av vissa andra lagar som gäller behandling av personuppgifter vid Gränsbevakningsväsendet. 
3.3.1
3.3.1 Reglering baserad på ändamålen med behandlingen
Det föreslås att regleringen av olika register enligt Gränsbevakningsväsendets gällande personuppgiftslag ersätts med reglering som gäller ändamålen med behandlingen av personuppgifter. Dataskyddsförordningen förutsätter kompletterande nationell lagstiftning när behandlingen av personuppgifter bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. På motsvarande sätt förutsätter dataskyddsdirektivet att medlemsstaternas nationella rätt ska specificera åtminstone syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. Av EU:s dataskyddslagstiftning följer dock inga restriktioner för om den nationella lagstiftningen ska bestå av registerbaserad reglering eller reglering baserad på ändamålen med behandlingen. 
För att Gränsbevakningsväsendets nya personuppgiftslag inte ständigt ska behöva ändras till sin struktur och med avseende på strukturen och tydligheten föreslås de detaljerade förteckningarna över personuppgifter som ska behandlas bli ersatta med exakt reglering som gäller syftet med registreringen av personuppgifter och ändamålen med behandlingen av personuppgifter. Det föreslås dock alltjämt detaljerade bestämmelser om grundläggande personuppgifter som behandlas och om kategorier av personer. Till skillnad från den gällande lagen föreslås det att bestämmelserna om behandling av grundläggande personuppgifter ska finnas i en enda paragraf (4 §), som enligt förslaget gäller alla ursprungliga ändamål med behandlingen av personuppgifter inom lagens tillämpningsområde. 
För sjöräddningstjänsten kvarstår enligt förslaget alltjämt den registerspecifika regleringen av sjöräddningsregistret. Under beredningen har detta alternativ ansetts vara motiverat eftersom sjöräddningsregistret är en tydlig, separat helhet om vilken det föreskrivs i en egen speciallag. 
Avsikten har varit att de föreslagna bestämmelserna inte i onödan ska vara överlappande med den allmänt tillämpliga dataskyddslagstiftningen och att de inte ska vara onödigt detaljerade. Till vissa delar har det dock ansetts vara befogat att precisera de allmänna bestämmelserna om behandling av personuppgifter. EU:s dataskyddslagstiftning förutsätter exempelvis preciserande lagstiftning när det gäller behandling av uppgifter inom särskilda kategorier av personuppgifter. 
3.3.2
3.3.2 Koncentrering av registerföringen till staben för Gränsbevakningsväsendet
Enligt Gränsbevakningsväsendets gällande personuppgiftslag är antingen staben för Gränsbevakningsväsendet eller en förvaltningsenhet vid Gränsbevakningsväsendet registeransvarig (personuppgiftsansvarig). Det föreslås att staben för Gränsbevakningsväsendet i fortsättningen ska vara personuppgiftsansvarig för personuppgifter som omfattas av lagens tillämpningsområde. Regleringen enligt den nya lagen föreslås bygga på ändamålen med behandlingen av personuppgifter i stället för på reglering av olika register, och därför är det inte motiverat att det finns regionala skillnader i registerföringen av personuppgifter som behandlas för samma ändamål. En koncentrering av den personuppgiftsansvariges förpliktelser till staben för Gränsbevakningsväsendet antas följaktligen höja nivån på dataskyddet vid Gränsbevakningsväsendet. 
Till denna del bör det noteras att tillämpningsområdet för den föreslagna lagen omfattar endast de uppgifter som föreskrivs för Gränsbevakningsväsendet i 3 § i gränsbevakningslagen. Frågan om vem som är personuppgiftsansvarig för personuppgifter inom exempelvis personalförvaltningen och den allmänna förvaltningen kommer således att avgöras från fall till fall med tillämpning av den allmänna dataskyddsförordningen. 
3.3.3
3.3.3 Behandling av personuppgifter för förebyggande och avslöjande av brott
I 11 § i Gränsbevakningsväsendets gällande personuppgiftslag föreskrivs det om Gränsbevakningsväsendets register över personer misstänkta för brott. Det föreslås att paragrafen ersätts med en ändamålsbegränsad paragraf som gäller behandling av personuppgifter i anknytning till förebyggande och avslöjande av brott. Formuleringen i den föreslagna paragrafen motsvarar formuleringen i den paragraf som föreslås i polisens personuppgiftslag, och avseende har då fästs vid förvaltningsutskottets anmärkningar om polisens informationssystem för misstänkta (FvUU 40/2014 rd och FvUB 16/2014 rd). Avsikten är att förenhetliga behandlingen av personuppgifter för förebyggande och avslöjande av brott. 
I bestämmelsen anges de personkategorier vars uppgifter får behandlas. Det kan vara fråga om personer som med fog kan antas ha gjort sig skyldiga eller göra sig skyldiga till brott, som har kontakt med en sådan person eller som är föremål för sådan observation som avses i lagen om brottsbekämpning inom Gränsbevakningsväsendet. När det gäller vittnen till brott, offer eller personer som uppträder som målsägande samt personer som anmält ett brott eller någon annan iakttagelse är behandlingen möjlig endast om det är nödvändigt för att förebygga eller avslöja ett brott. 
I likhet med den gällande lagen föreslås det att Gränsbevakningsväsendet ska ha rätt att registrera uppgifter om observationer som gjorts av gränsbevakningsmän eller uppgifter som anmälts till Gränsbevakningsväsendet i anslutning till händelser eller personer som utifrån omständigheterna eller en persons hotelser eller uppträdande i övrigt med fog kan bedömas ha samband med brottslig verksamhet (observationsuppgifter). Den föreslagna regleringen av observationsuppgifter motsvarar till alla delar den gällande lagen. 
Enligt den nuvarande lagen gäller den registrerades rätt till insyn inte uppgifterna i Gränsbevakningsväsendets register över personer misstänkta för brott eller observationsuppgifter. Dataombudsmannen kan dock på begäran av den registrerade kontrollera att uppgifterna om den registrerade är lagenliga. Enligt propositionen ska en registrerad i framtiden delvis ha rätt till direkt insyn i personuppgifter som behandlas för förebyggande och avslöjande av brott. Delvis kvarstår den registrerades rätt till insyn i form av indirekt rätt. 
3.3.4
3.3.4 Reglering som gäller utlämnande av information
I propositionen gallras i möjligaste mån så kallad dubbel reglering av utlämnande av information. Utgångspunkten är att bestämmelser om utlämnande av samma uppgifter inte behöver finnas både i de lagar som gäller den som lämnar ut uppgifterna och i de lagar som gäller den som tar emot uppgifterna. Huvudregeln föreslås vara att bestämmelser om utlämnande av personuppgifter med hjälp av en teknisk anslutning eller som en datamängd ska finnas endast i den lag som gäller den som lämnar ut uppgifterna. Däremot ska andra bestämmelser tillämpas på rätten att lämna ut och få enskilda personuppgifter, exempelvis 17 a § i Gränsbevakningsväsendets förvaltningslag och bestämmelser om andra myndigheters rätt att få information. 
4
Propositionens konsekvenser
4.1
Ekonomiska konsekvenser
Gränsbevakningsväsendets nya personuppgiftslag kompletterar EU:s dataskyddslagstiftning och dess allmänt tillämpliga genomförandelagstiftning. Direkta ekonomiska konsekvenser följer av de krav i dataskyddsförordningen och dataskyddsdirektivet som det är obligatoriskt att uppfylla samt av vissa nya ändamål med behandlingen som föreslås i den nya lagen och av ändringar i bestämmelserna om radering av personuppgifter. Indirekta ekonomiska konsekvenser kan anses följa av behoven att utveckla tillsynen och datasystemen även i övrigt så att nivån på dataskyddet och datasäkerheten förbättras. 
De extra kostnader som propositionen medför kan täckas inom de nuvarande ramarna för statsfinanserna och den godkända statsbudgeten genom att vid behov omfördela anslag. Kostnadseffekterna beskrivs närmare i det följande. 
4.1.1
4.1.1 Administrativa förpliktelser
Dataskyddsförordningen och dataskyddslagen avseende brottmål innehåller många nya förpliktelser för de personuppgiftsansvariga. Ur perspektivet för ekonomiska konsekvenser kan utnämning av dataskyddsombudet och personalutbildning nämnas som de viktigaste administrativa förpliktelserna. De övriga skyldigheterna för den personuppgiftsansvarige, såsom skyldigheterna att rapportera, dokumentera och upprätta ett register över behandling, beräknas inte ha några direkta ekonomiska konsekvenser. 
Årskostnaderna för Gränsbevakningsväsendets nya dataskyddsombud rör sig kring 50 000 euro år 2018 och kring 80 000 euro per år från och med 2019. Kostnaderna för personalutbildning rör sig i sin tur kring 30 000 euro. I utbildningen ingår en för alla obligatorisk del och en fördjupad del avsedd för dem som regelbundet behandlar personuppgifter i sitt arbete. 
Den nya formen av reglering i lagförslag 1 innebär ändringar också i verksamheten för dataombudsmannen, som är nationell tillsynsmyndighet. En effektiv tillsyn av den föreslagna lagstiftningen bedöms orsaka ett behov av tilläggsresurser på ca 0,5 årsverken för dataombudsmannen. 
4.1.2
4.1.2 Konsekvenser av EU:s dataskyddsreform för informationssystemen
EU:s dataskyddslagstiftning har direkta och indirekta konsekvenser för de nationella informationssystemen. Gränsbevakningsväsendets funktionella informationssystem är det mest omfattande informationssystem för riksomfattande bruk som Gränsbevakningsväsendet ansvarar för. I systemet behandlas endast personuppgifter som omfattas av tillämpningsområdet för dataskyddsförordningen, exempelvis personuppgifter i anknytning till gränskontroll och övriga övervakningsuppgifter som föreskrivs för Gränsbevakningsväsendet. Informationssystemet är sådant att det redan i nuvarande form i hög grad uppfyller dataskyddsförordningens krav på inbyggt dataskydd och dataskydd som standard samt krav på trygg och säker behandling. Kostnadseffekter kan dock uppkomma, om ändringsbehov följer av uppdateringen av statsförvaltningens gemensamma dataskyddsanvisningar och dataskyddskrav eller av ändrade hotbildsbedömningar för säkerheten. De konsekvensbedömningar som artikel 35 i dataskyddsförordningen förutsätter kan också medföra kostnader, om konsekvensbedömningarna resulterar i att informationssystemens skyddsfunktioner måste utvecklas. 
Gränsbevakningsväsendets behandling av personuppgifter i anknytning till förebyggande, avslöjande och utredning av brott och förande av brott till åtalsprövning ska liksom för närvarande till övervägande del ske i de informationssystem som polisen förvaltar. Tekniskt sett kommer Gränsbevakningsväsendets personregister i polisens informationssystem att helt motsvara polisens register. Polisen svarar för att informationssystemen stämmer överens med kraven och för kostnaderna för detta. Konsekvenserna för informationssystemen har till denna del presenterats i regeringens proposition om en reform av polisens personuppgiftslagstiftning. 
I anslutning till militärrättsvården behandlas personuppgifter för närvarande i huvudsak manuellt. Under de närmaste åren kommer även dessa personuppgifter att börja behandlas i första hand elektroniskt. Informationssystemet genomförs som ett led i reformen av polisens informationssystem (Vitja) i samarbete med Försvarsmakten så att kraven i den nya dataskyddslagstiftningen beaktas. Kostnaderna för det nya systemet beror inte direkt på denna proposition, och därför behöver det inte redogöras närmare för dem här. 
Personuppgifter i anknytning till sjöräddningstjänsten behandlas för närvarande tekniskt i en separat tillämpning avsedd för sjöräddningstjänsten i Gränsbevakningsväsendets funktionella informationssystem. Sjöräddningstjänstens informationssystem förnyas som bäst i sin helhet, och i ändringsarbetet beaktas kraven i den nya dataskyddslagstiftningen. Systemförnyelsen hör dock inte samman med denna proposition, och projektfinansieringen har ordnats separat. 
Enligt nuvarande bedömning kommer reformen av dataskyddslagstiftningen sannolikt att ha konsekvenser även för alla andra system eller tekniska tillämpningar som Gränsbevakningsväsendet ansvarar för, eller åtminstone för verksamhetssätten och anvisningarna med anknytning till hanteringen av systemen eller tillämpningarna och de register som de innehåller. I systemen och tillämpningarna kan behandlas både personuppgifter inom dataskyddsförordningens tillämpningsområde och personuppgifter inom dataskyddsdirektivets tillämpningsområde. 
Direkta och indirekta kostnadseffekter för systemen och tillämpningarna följer framför allt av dataskyddsdirektivets krav som gäller åtskillnad mellan olika kategorier av personer, strävan att så långt det är möjligt åtskilja personuppgifter som grundar sig på fakta från personuppgifter som grundar sig på personliga bedömningar, anteckning om begränsning av användningen av personuppgifter (på begäran av någon annan myndighet eller en myndighet i en annan medlemsstat), logguppgifter och precisare krav på informationssäkerhet. 
Kostnaderna för de ändringar i informationssystemen som följer av EU:s dataskyddslagstiftning uppgår till omkring 250 000 euro år 2018 och till omkring 250 000 euro år 2019. 
4.1.3
4.1.3 Konsekvenser för informationssystemen till följd av nationell reglering
Av de ändringar som föreslås i Gränsbevakningsväsendets personuppgiftslag har i synnerhet bestämmelserna om behandling av personuppgifter för förebyggande och avslöjande av brott direkta konsekvenser för informationssystemen. De föreslagna bestämmelserna breddar området för behandling av personuppgifter i jämförelse med det som gäller för Gränsbevakningsväsendets nuvarande register över personer misstänkta för brott. Dessutom har vissa föreslagna ändringar av bestämmelserna om radering konsekvenser för informationssystemen. Så som konstaterats i det föregående försiggår behandling av personuppgifter för förebyggande, avslöjande och utredning av brott samt för förande av brott till åtalsprövning till övervägande del i de informationssystem som polisen förvaltar. Till denna del har de ekonomiska konsekvenserna för informationssystemen behandlats i regeringens proposition om revidering av polisens personuppgiftslagstiftning. 
De föreslagna ändringarna av bestämmelserna om radering av personuppgifter som behandlas i tillämpningar och informationssystem som förvaltas av Gränsbevakningsväsendet, såsom Gränsbevakningsväsendets funktionella informationssystem, är relativt små, och därför har de inte några betydande konsekvenser för informationssystemen eller några betydande kostnadseffekter. Ändringarna kan genomföras inom ramen för planen för de offentliga finanserna och den godkända statsbudgeten. 
4.1.4
4.1.4 Konsekvenser för företagen
Propositionen beräknas inte ha några betydande konsekvenser för företagen. Till den del det är fråga om Gränsbevakningsväsendets rätt att få uppgifter av inhemska företag motsvarar de föreslagna bestämmelserna i huvudsak den gällande regleringen. I 19 § i lagförslag 1 föreslås som en ny bestämmelse möjligheten att ålägga privata aktörer vite, om aktören inte inom en rimlig tid som Gränsbevakningsväsendet meddelat lämnar uppgifter som behövs för att förhindra eller utreda ett brott som Gränsbevakningsväsendet undersöker. Detta är en åtgärd i sista hand med syftet att förebygga eventuell tredska. I första hand ska man på samma sätt som för närvarande i samförstånd komma överens om hur och när uppgifterna ska lämnas. 
Dataskyddslagen avseende brottmål tillämpas på inhämtande av information från privata aktörer i tredjeländer. 
4.2
Konsekvenser för myndigheterna
Dataskyddsförordningen och dataskyddsdirektivet medför nya förpliktelser för den personuppgiftsansvarige exempelvis när det gäller att tillgodose de registrerades rättigheter, och striktare villkor för utlämnande av uppgifter till tredjeländer medför en administrativ börda framför allt när regelverket börjar tillämpas. Den administrativa bördan konkretiseras exempelvis i form av upprättande och uppdatering av register över behandling av personuppgifter samt i form av utarbetande av anvisningar om behandlingen av personuppgifter. Dessutom krävs administrativt arbete för utnämning av ett dataskyddsombud och för övrig organisering av behandlingen av dataskyddsärenden vid Gränsbevakningsväsendet. 
Ett syfte med lagförslag 1 är emellertid att underlätta Gränsbevakningsväsendets gränsöverskridande samarbete med de brottsbekämpande myndigheterna i EU:s medlemsstater. I enlighet med den nya dataskyddslagstiftningen jämställs dessa i lagförslaget med finländska personregisteransvariga, vilket kan innebära ett effektivare utbyte av personuppgifter än tidigare. 
I enlighet med EU:s nya dataskyddsbestämmelser ska de personuppgiftsansvariga uttryckligen visa att de följer regelverket om behandling av personuppgifter. Enligt den nya regleringen har de personuppgiftsansvariga också mer detaljerade registreringsskyldigheter än tidigare när det gäller behandlingen av personuppgifter, inbegripet skyldighet att dokumentera vilken typ av personuppgifter som har lämnats ut och till vem eller vilka. De personuppgiftsansvariga ska genomföra en konsekvensbedömning avseende dataskydd beträffande åtgärderna för behandling av personuppgifter, vilket inte ingår som en explicit skyldighet i den gällande regleringen. I likhet med den gällande regleringen ålägger de nya bestämmelserna skyldighet att höra dataombudsmannen i vissa situationer, men också dessa bestämmelser är mer detaljerade än tidigare. Förutom att informera de registrerade om en personuppgiftsincident är den personuppgiftsansvarige i sådana situationer också skyldig att anmäla incidenten till tillsynsmyndigheten. 
Det ändrade nationella regleringssättet, i synnerhet det att regleringen förenklas och att den registerbaserade regleringen ersätts med reglering baserad på ändamålen med behandlingen, medför en administrativ börda för både den personuppgiftsansvarige och de tjänstemän som tillämpar lagen. Rent konkret innebär detta exempelvis att de dokument som används för att informera de registrerade måste uppdateras. Dessutom gäller det att förnya alla de beslut genom vilka en annan myndighet har beviljats tillgång till Gränsbevakningsväsendets personuppgifter genom teknisk anslutning. Det ändrade regleringssättet medför dock inte några direkta förändringar i fråga om i vilket system eller i vilken teknisk tillämpning personuppgifterna registreras. 
De mer detaljerade och de striktare allmänna kraven på behandlingen av personuppgifter, skillnaderna i tillämpningsområdena för EU:s dataskyddsförordning och dataskyddsdirektiv och ändringarna i den nationella regleringen av behandlingen av personuppgifter vid Gränsbevakningsväsendet, såsom övergång till reglering baserad på ändamålen med behandlingen, medför oundvikligen att det behövs ny vägledning och utbildning. De nationella regleringslösningarna och den övergripande reformen av dataskyddsregleringen innebär i praktiken att hela personalen måste introduceras i de nya bestämmelserna. 
De som utövar intern laglighetskontroll hos den personuppgiftsansvarige och vid Gränsbevakningsväsendet måste också följa att kravbestämmelserna iakttas, vilket medför en administrativ börda. Enligt den interna föreskriften om laglighetsövervakning vid Gränsbevakningsväsendet (RVLPAK A.22) ska särskild uppmärksamhet ägnas bl.a. åt användningen av personregister och genomförandet av personregistreringen. 
Enligt föreskriften ansvarar förvaltningsenhetens chef och de honom underställda förmännen för övervakningen av de underlydande tjänstemännen så, att särskild uppmärksamhet ägnas åt att användningen av personregister har att göra med tjänsteåliggandena och att de används endast för godkända användningsändamål. Förvaltningsenhetens chef svarar för att de användarrättigheter som är förenade med registrens användning är a jour och att deras omfattning svarar mot de behov tjänsteuppdraget förutsätter. Förmännen ska utan dröjsmål ta befattning med observerade fel, försummelser, missbruk eller andra missförhållanden i behandlingen av personuppgifter och användningen av personregister. Förvaltningsenhetens chef ansvarar för att det vid förvaltningsenheten inte förs register, vars användningsändamål eller innehåll inte överensstämmer med dataskyddslagstiftningen. 
Avdelningarna och enheterna vid staben för Gränsbevakningsväsendet fungerar som stöd för dataskyddsombudet inom sina verksamhetsområden och ser till att övervakningen i deras verksamhetsområden är tillräcklig och att det ges anvisningar om användningen av informationssystemen och att användningen övervakas. Dataskyddsombud som utses vid andra förvaltningsenheter styr och övervakar behandlingen av personuppgifter vid förvaltningsenheten vid sidan av sina övriga uppgifter i dataskyddsorganisationen. 
Registrens användning bör övervakas också med hjälp av logguppgifter med stickprov eller i anknytning till en enskild person eller ett ärende. Ifall det observeras att registren missbrukas eller att det förekommer dataskyddsintrång, ska denna information förmedlas till förvaltningsenhetens dataskyddsorganisation och därifrån till myndighetens dataskyddsombud. Dataskyddsombudet ser till att det yrkas på fortsatta åtgärder och att den övervakande myndigheten underrättas. Dataskyddsombudet ser även till att informationen förmedlas till den tjänsteman som handhar laglighetsövervakningen vid juridiska avdelningen vid staben för Gränsbevakningsväsendet. 
Med stöd av dataskyddsförordningen och dataskyddslagen samt dataskyddslagen avseende brottmål ska den nationella tillsynsmyndigheten dataombudsmannen bland annat kontrollera att uppgiftsbehandlingen är lagenlig, om den registrerades rätt till insyn har inskränkts, samt utföra undersökningar, verifieringar och granskningar. Skyldigheterna konkretiseras när de föreslagna lagarna tillämpas. I synnerhet de föreslagna ändringarna i regleringstekniken i lagförslag 1, såsom behandling av personuppgifter baserad på ändamålen med behandlingen, och ändringar i behandlingen av personuppgifter för förebyggande och avslöjande av brott kommer efter lagens ikraftträdande att förutsätta de tillsynsåtgärder som nämns ovan. Också den behandling av personuppgifter för bedömning av uppgifternas betydelse som föreslås i 6 och 8 § innebär ytterligare behov av övervakning och styrning. En effektiv tillsyn av den nya formen av lagstiftning bedöms orsaka ett behov av tilläggsresurser för dataombudsmannen på ca 0,5 årsverken. 
4.3
Samhälleliga konsekvenser
De förenklade bestämmelserna i Gränsbevakningsväsendets personuppgiftslag främjar den registrerades rättssäkerhet och avhjälper för sin del, på det sätt som grundlagsutskottet förutsatt, problemet med otydliga, tungrodda och komplicerade bestämmelser om behandling av personuppgifter (exempelvis GrUU 31/2017 rd, GrUU 46/2016 rd, GrUU 71/2014 rd). 
Propositionen antas säkerställa att den registrerades rättigheter tryggas bättre än tidigare i Gränsbevakningsväsendets verksamhet. Till detta bidrar förutom bestämmelserna om ändamålsbegränsning för personuppgifterna, en högre behandlingströskel för uppgifter som hör till särskilda kategorier av personuppgifter, skyldighet att informera den registrerade och direkt eller indirekt rätt till insyn också framför allt bestämmelserna om tillsyn över registerföringen. Den personuppgiftsansvariges accentuerade ansvar kan antas förbättra nivån på skyddet för personuppgifter och underlätta den registrerades möjligheter att utöva sina rättigheter. Den registrerades rättigheter tryggas också av att dataskyddsmyndigheterna har enhetliga och vidsträckta befogenheter, som delvis är gränsöverskridande, samt av att EU-domstolens behörighet omfattar lagstiftningen om behandling av personuppgifter. 
Som ett led i genomförandet av dataskyddsförordningen och dataskyddsdirektivet har lagförslag 1 indirekta konsekvenser för hur kraven på likabehandling uppfylls. Närmare bestämmelser än tidigare om behandling av uppgifter som hör till särskilda kategorier av personuppgifter hänför sig till likabehandling. I artikel 11 i dataskyddsdirektivet föreskrivs det dessutom om förbud mot så kallad etnisk profilering. Profilering som leder till att fysiska personer diskrimineras på basis av sådana personuppgifter som är särskilt känsliga med tanke på de grundläggande fri- och rättigheterna ska var förbjuden i enlighet med regleringen av de grundläggande fri- och rättigheterna. Exempelvis behandling av genetiska uppgifter ska inte få leda till att utsatta grupper diskrimineras i samhället. Rent konkret stärker bestämmelserna det ovillkorliga diskrimineringsförbud som gäller redan utifrån bestämmelserna om de grundläggande fri- och rättigheterna. Bestämmelsen hindrar däremot inte Gränsbevakningsväsendet från att utföra profilering av personer misstänkta för brottslig verksamhet, utan den säkerställer att profilering inte får leda till diskriminering. 
Både dataskyddsförordningen och dataskyddsdirektivet ålägger den personuppgiftsansvarige skyldighet att informera de registrerade om deras rättigheter med användning av ett klart och tydligt språk med särskild fokus på utsatta grupper såsom barn. Denna skyldighet konkretiseras när bestämmelserna i lagförslag 1 tillämpas. I enlighet med lagstiftningen i Finland handlar det i princip om alla personer under 18 år. Den personuppgiftsansvariges skyldigheter gäller även för Gränsbevakningsväsendet till exempel när de registrerade är minderåriga brottsoffer, personer som gjort sig skyldiga till brott eller personer som ansöker om tillstånd. 
I 40 § i lagförslag 1 har minderåriga personer som gjort sig skyldiga till brott beaktats på samma sätt som i den gällande lagen. Den föreslagna paragrafen gäller radering av personuppgifter som anknyter till brottmål. Uppgifter om minderåriga personer ska inte få bevaras lika länge som personuppgifter om dem som uppnått myndighetsåldern. Avsikten är att begränsa de negativa konsekvenser som behandling av personuppgifter i anknytning till brott har för barnets liv och att beakta principen om barnets bästa. 
5
Beredningen av propositionen
5.1
Beredningsskeden och beredningsmaterial
Propositionen har beretts som tjänsteuppdrag vid inrikesministeriets gränsbevakningsavdelning. Beredningen har inkluderat nära samarbete med inrikesministeriets polisavdelning och migrationsavdelning samt med försvarsministeriet, finansministeriet och justitieministeriet. Propositionen har i möjligaste mån sammanjämkats med motsvarande lagstiftningsprojekt inom dessa förvaltningsområden. 
5.2
Remissyttranden och hur de har beaktats
Regeringens proposition sändes på remiss till 48 myndigheter, organisationer och sammanslutningar. 
Yttrande lämnades av inrikesministeriet, kommunikationsministeriet, jord- och skogsbruksministeriet, justitieministeriet, försvarsministeriet, social- och hälsovårdsministeriet, utrikesministeriet, statsrådets kansli, finansministeriet, miljöministeriet, justitiekanslersämbetet, Nödcentralsverket, Meteorologiska Institutet, centralkriminalpolisen, Trafikverket, Trafiksäkerhetsverket Trafi, Rättsregistercentralen, Polisstyrelsen, Kajanalands gränsbevakningssektion, Lapplands gränsbevakningssektion, Västra Finlands sjöbevakningssektion, Gräns- och sjöbevakningsskolan, Brottspåföljdsmyndigheten, dataombudsmannens byrå, Tullen, Kommunikationsverket, Befolkningsregistercentralen, Air Navigation Services Finland Oy, Finlands näringsliv rf, Förbundet för den offentliga sektorn och välfärdsområdena JHL rf, Befälsförbundet rf, Gränssäkerhetsunionen rf, Finlands Advokatförbund r.f., Finlands Kommunförbund och Resebyråbranschens förbund i Finland rf. Ett sammandrag av remissyttrandena finns tillgängligt på statsrådets projektsidor (SM057:00/2016). 
Remissinstanserna understödde propositionens målsättning att uppdatera den lagstiftning som gäller behandling av personuppgifter vid Gränsbevakningsväsendet, skapa klarhet i regleringen och slopa onödig dubbelreglering. 
I synnerhet justitieministeriet och dataombudsmannen ansåg att det i lagförslag 1 tydligare bör framgå vilken behandling av personuppgifter som hör till tillämpningsområdet för dataskyddsförordningen och vilken till tillämpningsområdet för dataskyddsdirektivet. Också inrikesministeriets polisavdelning och Polisstyrelsen fäste med tanke på detta uppmärksamhet vid begreppet upprätthållande av gränssäkerheten. Bestämmelserna och motiveringen i propositionen har preciserats till denna del. 
Gräns- och sjöbevakningsskolan och Befälsförbundet ansåg att lagförslag 1 ska tillämpas också på personaladministration och allmän förvaltning. Under den fortsatta beredningen konstaterades dock att detta inte är ändamålsenligt. 
En regleringslösning som grundar sig på ändamålet med behandlingen understöddes i yttrandena i synnerhet av inrikesministeriets polisavdelning och migrationsavdelning, finansministeriet, Polisstyrelsen och skyddspolisen. I justitieministeriets, dataombudsmannens och justitiekanslerns yttranden betonades att en ändring av regleringstekniken inte får leda till en rättslig eller faktisk försvagning av dataskyddet eller att exaktheten och den noggranna avgränsningen i regleringen försvagas. 
I flera yttranden fästes uppmärksamhet vid allmänt hållna bestämmelser och flertydighet. I yttrandena fördes fram behovet av att noggrannare än i förslaget reglera behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter. Vid beredningen borde också beaktas om det i de behandlade personuppgifterna kan ingå också sådana känsliga personuppgifter som inte ingår i de särskilda kategorier av personuppgifter som avses i EU:s dataskyddslagstiftning. Enligt justitieministeriets yttrande förverkligas inte en tydlig reglering och noggrann avgränsning till alla delar i propositionen. Justitieministeriet och dataombudsmannen lyfte i sina yttranden också fram att det föreslagna regleringssättet kräver mer noggranna anvisningar än tidigare. 
Dessutom fäste justitieministeriet också uppmärksamhet vid användningen av handlingsutrymmet, målsättningen att undvika dubbel reglering med den allmänna lagstiftningen, kraven på proportionalitet i lagstiftningen samt bedömningen av konsekvenserna för de grundläggande fri- och rättigheterna. Även justitiekanslern ansåg att det i propositionen närmare bör beskrivas hur propositionen motsvarar kraven enligt dataskyddsdirektivet och dataskyddsförordningen. 
Vid den fortsatta beredningen har strävan varit att samordna propositionen med den allmänna lagstiftningen om dataskydd genom att bl.a. slopa överlappande bestämmelser. Dessutom har bestämmelserna om behandling av uppgifter som hör till särskilda kategorier av personuppgifter preciserats både på paragrafnivå och i motiveringen till propositionen. Motiveringen till bestämmelserna, förslagens förhållande till grundlagen och konsekvensbedömningarna har preciserats till många delar. 
Inrikesministeriets polisavdelning och Polisstyrelsen ansåg att de uppgifter som för närvarande förs in i polisens register också i fortsättningen ska omfattas av polisens registerföring. En splittring av uppgifterna på olika register skulle innebära att den praktiska verksamheten försvåras och kan orsaka ändringar också i informationssystemen. Motiveringen till propositionen har preciserats till denna del. 
Inrikesministeriets polisavdelning och Polisstyrelsen ansåg att bestämmelserna om bedömning av uppgifternas betydelse i lagförslag 1 är viktiga. Dataombudsmannen och justitiekanslern konstaterade i sina yttranden att bestämmelserna innebär en betydande utvidgning av Gränsbevakningsväsendets nuvarande behandling av personuppgifter. Justitieministeriet och dataombudsmannen ansåg att Gränsbevakningsväsendet inte har befogenhet att behandla och registrera personuppgifter på det föreslagna sättet. I yttrandena från justitieministeriet, dataombudsmannen och justitiekanslern betonades behovet av att vid den fortsatta beredningen bedöma bestämmelsens förhållande till kraven enligt dataskyddslagstiftningen, rättspraxis och grundlagsutskottets tolkningspraxis. Vid den fortsatta beredningen har motiveringen i propositionen preciserats så att där tydligare framgår syftet med den föreslagna bestämmelsen. 
I yttrandena lyftes fram många brister och utvecklingsförslag i fråga om de förslag som gäller förebyggande och avslöjande av brott. Problematiska ansågs bl.a. de föreslagna ändringarna av trösklarna för behandlingen, brister i motiveringen till de föreslagna ändringarna, de allmänt hållna bestämmelserna och deras tolkbarhet samt att begreppet kriminalunderrättelseinhämtning inte har definierats i lagstiftningen och att bestämmelser om befogenheter i fråga om inhämtningen saknas. Enligt justitiekanslern ser bestämmelserna ut att försvagas på ett problematiskt sätt i jämförelse med den gällande regleringen när det gäller noga avgränsning och exakthet samt ändamålsbegränsning. Enligt dataombudsmannens yttrande kan en effektiv övervakning av behandling av personuppgifter för förebyggande och avslöjande av brott i praktiken vara nästan övermäktig, eftersom den föreslagna regleringen är vag, tröskeln för registrering är låg och den lämnar stort utrymme för tolkning för dem som tillämpar lagen. Bestämmelserna och motiveringen i propositionen har preciserats vid den fortsatta beredningen. 
Justitieministeriet ansåg att vissa bestämmelser om informationsutbyte är så vaga att de är problematiska. Enligt ministeriet är de bestämmelser särskilt problematiska där det förskrivs om skyldigheter för enskilda aktörer. Finlands näringsliv ansåg att företag i regel ska ersättas i enlighet med de kostnader som orsakas av behandlingen av myndigheternas begäran och leverans av uppgifterna. Regleringen ska inte heller vara förpliktande för privata aktörer, och det vite som föreslås kan inte anses vara motiverat. Vid den fortsatta beredningen har bestämmelserna om detta och motiveringarna i propositionen preciserats. 
Justitieministeriet och dataombudsmannen betonade att nya befogenheter inte kan införas genom regleringen av behandlingen av personuppgifter. Justitieministeriet ansåg att gränsen mellan regleringen av behandling av personuppgifter och befogenhetsregleringen i någon mån har fördunklats i propositionen. Vid den fortsatta beredningen har det första lagförslagets förhållande till befogenhetsregleringen preciserats i motiveringen till propositionen. 
I yttrandena kommenterades dessutom bl.a. behandlingen av uppgifter för andra ändamål än de ursprungliga, regleringen av informationsutbytet mellan myndigheter, förslagen till bestämmelser om radering av personuppgifter samt bestämmelserna om inskränkningar av rätten till insyn. De synpunkter och ändringsförslag som framförts i remissyttrandena har i mån av möjlighet beaktats vid den fortsatta beredningen av propositionen. 
Inrikesministeriets polisavdelning ansåg det vara ändamålsenligt om bevaringstiderna för personuppgifter som behandlas inom militärrättsvården med tanke på förundersökning är enhetliga med den reglering som gäller polisen. Ändringen kunde inte genomföras vid den fortsatta behandlingen, eftersom de föreslagna bestämmelserna anknyter till de bestämmelser i lagen om behandling av personuppgifter inom Försvarsmakten som redan behandlas i riksdagen. 
Utifrån centralkriminalpolisens och Tullens yttranden slopades förslaget om ändring av lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet och en bestämmelse om Gränsbevakningsväsendets rätt att inom PTG-samarbete få och behandla uppgifter om passagerare och besättning i trafik över de inre gränserna infördes i lagförslag 1. 
Enligt justitieministeriets bedömning har den administrativa börda som orsakas av en förenklad regleringslösning som grundar sig enbart på användningsändamål inte till alla delar identifierats i konsekvensbedömningen. I utkastet till proposition hade inte heller propositionens konsekvenser för dataombudsmannen bedömts. Vid den fortsatta beredningen har konsekvensbedömningen kompletterats till denna del. På grund av dataombudsmannens yttrande har också övervakningen av användningen av personuppgifter vid Gränsbevakningsväsendet behandlats i propositionen. 
Kommunikationsministeriet ansåg att även regleringens konsekvenser för skyddet för hemligheten i fråga om förtroliga meddelanden bör bedömas i propositionen. Detta ansågs dock inte vara ändamålsenligt, eftersom bedömningen har gjorts i samband med regleringen av befogenheter som ingriper i skyddet för förtroliga meddelanden. 
Inrikesministeriet, finansministeriet, Polisstyrelsen, centralkriminalpolisen, skyddspolisen och Tullen ansåg att det är viktigt att lagförslag 1 är enhetligt i synnerhet med den lagstiftning om behandling av personuppgifter som gäller polisen och Tullen. Inrikesministeriets immigrationsavdelning ansåg att förhållandet mellan tillämpningsområdena för lagförslag 1 och lagen om behandling av personuppgifter i migrationsförvaltningen också bör klarläggas. Vid den fortsatta beredningen har nära samarbete gjorts för att samordna propositionerna om lagstiftningen om behandling av personuppgifter inom de olika förvaltningsområdena. 
6
Samband med andra propositioner
Propositionen och framför allt lagförslag 1 har samband med flera sådana propositioner med anknytning till dataskyddslagstiftningen som riksdagen behandlar eller kommer att behandla. Propositionen innehåller hänvisningar till den föreslagna lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (RP 31/2018 rd). Strukturen och innehållet i lagförslag 1 har till centrala delar samband med totalreformen av polisens personuppgiftslag. Bestämmelserna om utbyte av information mellan myndigheter har i förslaget så långt som det är möjligt sammanjämkats även med den föreslagna lagen om behandling av personuppgifter inom Försvarsmakten (RP 13/2018 rd) och med den föreslagna nya lagen om behandling av personuppgifter inom Tullen (VM059:00/2016). Propositionen har också samband med förslaget till en ny lag om behandling av personuppgifter i migrationsförvaltningen (RP 224/2018 rd) samt med finansministeriets lagstiftningsprojekt för beredning av en ny lag om informationshantering inom den offentliga förvaltningen (VM183:00/2017). 
För lagförslagen i alla de propositioner som nämns ovan gäller att det under riksdagsbehandlingen måste säkerställas att hänvisningarna till författningar och paragrafer samt terminologin sammanjämkas där det behövs. Därtill innehåller propositionerna lagförslag som gäller ändringar av samma lagar. 
Riksdagen behandlar regeringens proposition med förslag till lagar om ändring av gränsbevakningslagen och utlänningslagen och till vissa lagar som har samband med dem (RP 201/2017 rd), där det föreslås att 19, 20 och 20 a § i Gränsbevakningsväsendets personuppgiftslag och 2 kap. 21 § i polislagen ska ändras. De föreslagna ändringarna har beaktats i denna proposition. 
Riksdagen har i anslutning till inrättandet av Transport- och kommunikationsverket (RP 61/2018 rd) godkänt lagarna om ändring av i 13 och 28 § i Gränsbevakningsväsendets personuppgiftslag samt av sjöräddningslagen. Bestämmelser om ikraftträdandet av lagarna utfärdas särskilt genom lag. De föreslagna ändringarna har beaktats i denna proposition. Riksdagen behandlar också regeringens proposition med förslag till lag om ändring av lagen om transportservice och till vissa lagar som har samband med den (RP 157/2018 rd), där det föreslås att 28 § i lagen om behandling av personuppgifter inom Gränsbevakningsväsendet ska ändras. De föreslagna ändringarna har beaktats i denna proposition. 
Riksdagen behandlar regeringens proposition till riksdagen med förslag till lag om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet och till vissa lagar som har samband med den (RP 55/2018 rd). Denna proposition anknyter till 7 § i lagförslag 1 i den nämnda propositionen. 
DETALJMOTIVERING
1
Lagförslag
1.1
Lagen om behandling av personuppgifter vid Gränsbevakningsväsendet
1 kap. Allmänna bestämmelser
1 §.Tillämpningsområde. Lagen tillämpas på behandlingen av personuppgifter vid skötseln av de uppgifter som föreskrivs för Gränsbevakningsväsendet i denna lag, om inte något annat föreskrivs någon annanstans i lag. Denna lag tillämpas endast på sådan behandling av personuppgifter som är helt eller delvis automatiserad och på annan behandling av personuppgifter, då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. 
I 3 § i gränsbevakningslagen föreskrivs det om Gränsbevakningsväsendets uppgifter. Enligt paragrafen är Gränsbevakningsväsendets uppgift att upprätthålla gränssäkerheten. I samarbete med andra myndigheter utför Gränsbevakningsväsendet också tillsynsuppgifter som anges särskilt samt vidtar åtgärder för förebyggande, avslöjande och utredning av brott samt förande av brott till åtalsprövning. Gränsbevakningsväsendet utför dessutom polis- och tulluppgifter, efterspanings- och räddningsuppdrag och prehospital akutsjukvård samt deltar i det militära försvaret. I sjöräddningslagen föreskrivs det om Gränsbevakningsväsendets uppgifter inom området för sjöräddningstjänsten. 
Bestämmelsens tillämpningsområde skiljer sig från 1 § i den gällande lagen, enligt vilken lagen om behandling av personuppgifter vid gränsbevakningsväsendet tillämpas som speciallag på all behandling av personuppgifter vid Gränsbevakningsväsendet, med undantag av vissa personregister som det uttryckligen föreskrivs om i någon annan lag. Till lagens tillämpningsområde har därför också hört personalförvaltning och annan allmän förvaltning. Till denna del anses det dock inte längre finnas behov av bestämmelser som avviker från de allmänna bestämmelserna. Den föreslagna, nya lagen tillämpas således endast på behandling av personuppgifter vid uppgifter som uttryckligen föreskrivits för Gränsbevakningsväsendet i lag. Exempelvis på personuppgifter som behandlas inom personalförvaltningen och den allmänna förvaltningen tillämpas direkt dataskyddsförordningen, dataskyddslagen och annan eventuell speciallagstiftning, t.ex. lagen om integritetsskydd i arbetslivet (759/2004). 
Om det någon annanstans i lag föreskrivs om sådan behandling av personuppgifter som är behövlig för utförandet av uppgifter som föreskrivs för Gränsbevakningsväsendet på ett sätt som avviker från lagen om behandling av personuppgifter vid Gränsbevakningsväsendet, tillämpas bestämmelserna i den lagen i stället för denna lag. Den mest centrala av dessa lagar är sjöräddningslagen, där det föreskrivs om sjöräddningsregistret och Gränsbevakningsväsendets rätt att få uppgifter inom sjöräddningstjänsten. Övrig personuppgiftslagstiftning som gäller Gränsbevakningsväsendet beskrivs närmare i avsnitt 2.1.4 i propositionen. Lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ska dock tillämpas kompletterande på all behandling av personuppgifter som sker för utförande av Gränsbevakningsväsendets uppgifter till den del det inte finns några bestämmelser som avviker från lagen om behandling av personuppgifter vid Gränsbevakningsväsendet i speciallagstiftningen. 
I lagen om behandling av personuppgifter vid gränsbevakningsväsendet har det allmänt funnits bestämmelser också om Gränsbevakningsväsendets rätt att få uppgifter av myndigheter samt av privata sammanslutningar och personer. Bestämmelserna kompletterar också bestämmelser i andra lagar om Gränsbevakningsväsendets rätt att få uppgifter och de gäller också andra uppgifter än personuppgifter. I 2 mom. finns en bestämmelse som förtydligar detta. 
Det föreskrivs dock separat om Gränsbevakningsväsendets befogenheter att inhämta de personuppgifter som avses i denna lag. Bestämmelser om Gränsbevakningsväsendet befogenheter att inhämta information för förhindrande av brott finns i lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018). Bestämmelser om befogenheter att inhämta den information som behövs för att utreda brott finns förutom i lagen om brottsbekämpning inom Gränsbevakningsväsendet också i tvångsmedelslagen (806/2011) och förundersökningslagen (805/2011). Bestämmelser om Gränsbevakningsväsendets befogenheter finns också i annan speciallagstiftning som gäller Gränsbevakningsväsendets uppgifter. Gränsbevakningsväsendet får dessutom personuppgifter i samband med sina uppgifter på sätt som inte kräver särskilda befogenheter, t.ex. vid iakttagelser som gjorts i samband med den lagstadgade verksamheten och vid sådan övervakning i det allmänna datanätet som inte är riktad mot en viss person. 
2 §. Förhållande till annan lagstiftning. I paragrafen preciseras vilka andra allmänt tillämpliga rättsakter och författningar om behandling av personuppgifter som ska tillämpas på den i lagen avsedda behandlingen av personuppgifter. På merparten av Gränsbevakningsväsendets behandling av personuppgifter tillämpas dataskyddsförordningen som allmän rättsakt och den kompletterande dataskyddslagen som allmän författning. På en del av behandlingen tillämpas dock dataskyddslagen avseende brottmål genom vilken dataskyddsdirektivet genomförts. Lagen ombehandling av personuppgifter vid Gränsbevakningsväsendet föreslås vara en speciallag som kompletterar dessa allmänna rättsakter och författningar. Hur Gränsbevakningsväsendets lagstadgade uppgifter är fördelade mellan tillämpningsområdena för de olika allmänna rättsakterna och författningarna behandlas närmare i avsnitt 2.3.1. 
I tillämpningsområdet för dataskyddsförordningen och dataskyddslagen ingår de ändamål med behandlingen av personuppgifter som anges i 5 § och den huvudsakliga delen av ändamålen i 13 §. Utöver de här paragraferna som kompletterar ändamålen med behandlingen och typen av uppgifter som ska behandlas, innehåller lagförslaget också andra i artikel 6 i dataskyddsförordningen avsedda särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. De här bestämmelserna gäller behandling av personuppgifter för andra ändamål än det ursprungliga, utlämnande, lagringstid, tillgodoseende av de registrerades rättigheter och inskränkningar av de registrerades rättigheter. 
Till tillämpningsområdet för dataskyddslagen avseende brottmål hör de ändamål med behandlingen av personuppgifter som anges i 6, 8, 10 och 11 § samt en del av de ändamål som anges i 13 §. 
Om personuppgifter behandlas för andra ändamål med behandlingen än det ursprungliga (14 och 15 § i lagförslaget) är det ändamål för vilket personuppgifterna behandlas som bestämmer vilken allmän författning som ska tillämpas. 
I 2 mom. finns en informativ hänvisning till lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen). Enligt skäl 16 till dataskyddsdirektivet påverkar direktivet inte tillämpningen av principen om allmänhetens rätt att få tillgång till allmänna handlingar. Enligt artikel 86 i dataskyddsförordningen får personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter. Då uppgifter lämnas ut ur myndigheters personregister måste offentlighetsprincipen och sekretessbestämmelserna beaktas på det sätt som anges i offentlighetslagen, i synnerhet i 16 § 3 mom.  
I 2 mom. hänvisas också till lagen om gränsbevakningens förvaltning där det föreskrivs om tystnadsplikt och utlämnande av uppgifter trots tystnadsplikt på ett sätt som kompletterar offentlighetslagen. Bestämmelserna tillämpas på utlämnandet av enskilda personuppgifter. I förslaget till lagen om behandling av personuppgifter vid Gränsbevakningsväsendet finns bestämmelser om utlämnande av uppgifter med hjälp av en teknisk anslutning eller som en datamängd samt de bestämmelser om utlämnande av personuppgifter till utlandet som behövs för att komplettera den allmänna lagstiftningen. 
3 §. Definitioner. Paragrafen innehåller på motsvarande sätt som den gällande lagen definitioner av upprätthållande av gränssäkerheten och kodexen om Schengengränserna. Definitionen av upprätthållande av gränssäkerheten avviker dock från den motsvarande definitionen i gränsbevakningslagen till den delen att där ingår inte åtgärder i anknytning till förhindrande av brott eller upprätthållande av allmän ordning och säkerhet. Detta är ändamålsenligt med tanke på behandlingen av personuppgifter så att man tydligt kan skilja tillämpningsområdena för ändamålen med behandlingen av personuppgifter enligt dataskyddsförordningen och enligt dataskyddsdirektivet från varandra. 
I lagen införs också på grund av den föreslagna 35 § definitioner av författningsgrunden för Schengens informationssystem och Europolförordningen. 
Förutom de definitioner som avses i denna lag tillämpas också definitionerna i dataskyddsförordningen och dataskyddslagen avseende brottmål. 
2 kap. Behandling av personuppgifter
I 2 kap. preciseras de ändamål med behandlingen för vilka Gränsbevakningsväsendet får behandla personuppgifter för att utföra sina uppgifter samt det uppgiftsinnehåll som är tillåtet för varje användningsändamål. Bestämmelserna om det uppgiftsinnehåll som får behandlas utgörs inte på samma sätt som den gällande lagen om behandling av personuppgifter vid Gränsbevakningsväsendet av detaljerade uppgiftsförteckningar, utan i bestämmelserna anges de uppgiftskategorier som får behandlas. Uppgiftskategoriernas innehåll definieras närmare på basis av ändamålet med behandlingen. Lagstiftningstekniken blir till denna del flexiblare än för närvarande. Bestämmelserna om ändamålen med behandlingen och det tillåtna uppgiftsinnehållet ska alltid tillämpas som en helhet och bestämmelserna gör det inte möjligt att behandla uppgifter som är obehövliga med tanke på ändamålet. 
Bestämmelserna om behandling av överskottsinformation som erhållits med hemliga informationsinhämtningsmetoder i 14 a § och bestämmelserna om behandling av uppgifter som inte hänför sig till ett visst uppdrag i 15 § i Gränsbevakningsväsendets gällande personuppgiftslag slopas som obehövliga i och med ändringen i lagstiftningstekniken. De uppgifter som avses i de nämnda paragraferna får behandlas då de förutsättningar för behandling som anges i det föreslagna 2 kap. i lagen om brottsbekämpning inom Gränsbevakningsväsendet och i tvångsmedelslagen är uppfyllda. På motsvarande sätt slopas regleringen av Gränsbevakningsväsendets övriga personregister i 4 § i den gällande lagen som obehövlig. 
Ett undantag från den allmännare lagstiftningstekniken utgörs av uppgifter som hör till särskilda kategorier av personuppgifter. Det föreskrivs exaktare om behandlingen av dem än om andra personuppgifter. Till särskilda kategorier av personuppgifter hör enligt dataskyddsförordningen och dataskyddsdirektivet personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt genetiska uppgifter och biometriska uppgifter för att unikt identifiera en fysisk person eller uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. 
Det är i regel förbjudet att behandla uppgifter som enligt artikel 9 i dataskyddsförordningen hör till särskilda kategorier av personuppgifter. I artikel 9.2 i förordningen finns en uttömmande förteckning över undantag med stöd av vilka det är tillåtet att behandla sådana uppgifter. Med tanke på Gränsbevakningsväsendet är det artikel 9.2 g som är viktigast och enligt den är det tillåtet att behandla uppgifterna om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Enligt 11 § i dataskyddslagen avseende brottmål får särskilda kategorier av personuppgifter behandlas endast om det är nödvändigt och om det t.ex. föreskrivs om behandlingen i lag. 
Uppgifter som hör till särskilda kategorier av personuppgifter behandlas vid Gränsbevakningsväsendet vid sådana uppgifter för Gränsbevakningsväsendet som hör till dataskyddsförordningens och dataskyddsdirektivets tillämpningsområde. Uppgifterna får behandlas endast om behandlingen av dem är nödvändig med tanke på ändamålet med behandlingen. 
I det föreslagna 2 kap. finns också bestämmelser om behandling av personuppgifter för andra ändamål än det ursprungliga (14 och 15 §). Med de här bestämmelserna ersätts bestämmelserna i 25 § i gällande lag om användning av uppgifter för andra ändamål än de som uppgifterna har samlats in och registrerats för. 
4 §. Behandling av grundläggande personuppgifter. Paragrafen innehåller en detaljerad förteckning över grundläggande personuppgifter som det är tillåtet att behandla i behövlig utsträckning för de ändamål som anges i 5, 6, 8, 10, 11 och 13 §. Förteckningen ska således tillämpas på alla sådana ursprungliga ändamål med behandlingen av personuppgifter som avses i 2 kap. 
De grundläggande uppgifterna i förteckningen motsvarar rent innehållsmässigt i huvudsak de uppgifter gällande identitet som får registreras i Gränsbevakningsväsendets personregister enligt den gällande lagen. Det föreslås att det till förteckningen fogas nya punkter om uppgifter om kontaktspråk, utbildning, värnplikt och militärtjänst, militär utbildning och militär grad, uppgifter ur handlingar som behövs för att fastställa identiteten samt uppgift om intressebevakning, försättande i konkurs eller meddelande om näringsförbud. Dessa uppgifter har det i enlighet med den gällande lagen varit möjligt att behandla som övriga uppgifter, men för tydlighetens skull föreskrivs det i fortsättningen om dessa i bestämmelsen om grundläggande personuppgifter. De grundläggande personuppgifter som avses i paragrafen får behandlas för alla persongrupper i de fall då uppgifterna med tanke på ändamålet med behandlingen är behövliga. 
I 5–13 § om det ursprungliga ändamålet med behandlingen av personuppgifter föreskrivs närmare krav för behandling av både grundläggande uppgifter och av övriga behövliga personuppgifter. 
5 §. Behandling av personuppgifter vid gränskontroll samt för upprätthållande av gränssäkerheten och gränsordningen. I paragrafen föreskrivs det om behandlingen av personuppgifter vid gränskontroll samt för upprätthållande av gränssäkerheten och gränsordningen i enlighet med dataskyddsförordningen och dataskyddslagen. 
Enligt 1 mom. får Gränsbevakningsväsendet behandla personuppgifter för utförande av gränskontroll i enlighet med kodexen om Schengengränserna, upprätthållande av gränssäkerheten och gränsordningen och för utförande av sådana utredningar som avses i 27 § i gränsbevakningslagen. Bestämmelsen ersätter uppgifterna i registret för tillståndsärenden som avses i 8 §, registret för övervakningsärenden som avses 9 § samt säkerhetsdataregistret som avses i 12 § i den gällande lagen till den del som det handlar om behandling av personuppgifter vid gränskontroll samt för upprätthållande av gränssäkerheten och gränsordningen. Bestämmelsen omfattar också behandling av personuppgifter i samband med administrativa beslut om avvisningar, nekad inresa och meddelande om inreseförbud. 
I 2 mom. föreskrivs det närmare om de personuppgifter som Gränsbevakningsväsendet utöver de grundläggande personuppgifter som avses i 4 § dessutom får behandla. I momentets 1 punkt föreskrivs om behandlingen av behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser. I punkten ingår t.ex. de uppgifter om åtgärder som gäller gränskontroll i 9 § 3 mom. 7 punkten i den gällande lagen. I 2 punkten föreskrivs på motsvarande sätt som i 9 § 3 mom. 8 punkten i den gällande lagen uttryckligen om behandling av sådana uppgifter som avses i bilaga II till kodexen om Schengengränserna. 
I 3 punkten föreskrivs det med avvikelse från den gällande lagen uttryckligen om upptagningar från sådan teknisk övervakning som avses i 29 § i gränsbevakningslagen. Upptagningarna anses för närvarande ingå i de uppgifter om övervakning av land- och sjögränsen som avses i 9 § 3 mom. 4 punkten i den gällande lagen och som det för motsvarande ändamål med behandlingen föreskrivs om i 4 punkten. Momentets 4 punkt innefattar också uppgifter om resande och besättning i persontrafik över gränserna motsvarande 9 § 3 mom. 5 punkten i den gällande lagen. Bestämmelsen innefattar också trafik över de inre gränserna till den del som Gränsbevakningsväsendet har rätt att behandla personuppgifter om trafiken över de inre gränserna. I 5 punkten föreskrivs om behövliga uppgifter för påförande av påföljdsavgift för transportör på motsvarande sätt som i 9 § 3 mom. 5 punkten i den gällande lagen. 
Uppgiftskategorierna i registret för tillståndsärenden i 8 § i den gällande lagen ersätts av 6 och 7 punkten. Det är fråga om personuppgifter som behöver behandlas vid behandlingen av ärenden som gäller i gränsbevakningslagen avsett gränszonstillstånd och tillstånd att passera gränsen samt vid behandlingen av de anmälningar som ska göras till Gränsbevakningsväsendet i samband med de här tillstånden, såsom gränszonsanmälan. Det föreskrivs närmare om gränszonstillstånd och gränszonsanmälan i 7 kap. i gränsbevakningslagen. Däremot föreskrivs det om de uppgifter som ska framgå av en ansökan om tillstånd att passera gränsen i 4 § i Statsrådets förordning om gränsövergångsställen och fördelningen av gränskontrolluppgifter vid dem (901/2006). 
Den 8 punkten innefattar de uppgifter om verksamheten för andra staters gränsbevakningsmyndigheter och deras sammansättning samt gränssituationen i Finland och Europeiska unionen som ska registreras i säkerhetsdataregistret i enlighet med 12 § 3 mom. 3, 4 och 6 punkten i den gällande lagen. Denna bestämmelse anknyter i synnerhet till det europeiska gränsövervakningssystemet (Eurosur), som det föreskrivs om i Europaparlamentets och rådets förordning (EU) nr 1052/2013 om inrättande av ett europeiskt gränsövervakningssystem (Eurosur). 
Enligt 9 punkten får Gränsbevakningsväsendet behandla signalementsuppgifter som behövs för fastställande av identiteten. I dem ingår också fotografier som behandlas automatiskt i samband med gränskontroll. Det kan också vara fråga om behandling av fotografier som på det sätt som avses i skäl 51 till dataskyddsförordningen betraktas som behandling av biometriska uppgifter. Behandlingen av fotografier grundar sig på 28 § 1 mom. 10 punkten i gränsbevakningslagen, enligt vilken en gränsbevakningsman, för att genomföra gränskontroller enligt kodexen om Schengengränserna, har rätt att utan brottsmisstanke fotografera personer. 
I 10 punkten föreskrivs det om behandlingen av s.k. säkerhetsuppgifter. Som en del av säkerhetsuppgifterna får Gränsbevakningsväsendet också behandla sådana uppgifter om ett objekts eller en persons farlighet eller oberäknelighet som inte hör till särskilda kategorier av personuppgifter samt uppgifter som beskriver eller är avsedda att beskriva brottsliga gärningar, straff eller andra påföljder för brott. 
Till paragrafens tillämpningsområde hör också det register för Gränsbevakningsväsendets fältledning som inrättats i enlighet med 6 § i den gällande lagen. Det är i första hand fråga om uppgifter som behövs vid planeringen och utförandet av gränskontrollen och upprätthållandet av gränssäkerheten, såsom uppgifter om meddelanden, order och föreskrifter och uppgifter om uppdrag eller åtgärder samt om personer som deltar i uppdraget. 
Gränsbevakningsväsendet får som en del av de uppgifter som avses i paragrafen behandla också i artikel 9 i dataskyddsförordningen avsedda uppgifter som hör till särskilda kategorier av personuppgifter. Dessa kan ingå i alla de kategorier av uppgifter som avses i 1 mom., men särskilt i upptagningar från teknisk övervakning som avses i 3 punkten, signalementsuppgifter som behövs för fastställande av identiteten i 9 punkten och säkerhetsuppgifterna i 10 punkten. Utgångspunkten är att det i princip kan vara fråga om vilka uppgifter som helst som hör till sådana särskilda kategorier av personuppgifter som avses i artikel 9 i dataskyddsförordningen. I 51 § föreskrivs det närmare om behandlingen av till resedokument fogade elektroniska identifikationsuppgifter som grundar sig på en persons fysiska egenskaper. 
Behandling av särskilda kategorier av personuppgifter grundar sig på artikel 9.2 g i dataskyddsförordningen, enligt vilken särskilda kategorier av personuppgifter får behandlas när behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Behandlingen ska dessutom stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Dessa lämpliga och särskilda åtgärder är utöver de i dataskyddsförordningen och dataskyddslagen definierade skyddsåtgärderna också bl.a. de villkor som ställs för behandling av personuppgifter i 4 och 5 §, de villkor som ställs för behandling av personuppgifter för andra ändamål än det ursprungliga i 14 och 15 §, villkoren för utlämnande av uppgifter enligt 4 kap., samt bestämmelserna om bevaringstider i 5 kap. 
6 §. Behandling av personuppgifter för utredning av brott samt upprätthållande av allmän ordning och säkerhet. I paragrafen föreskrivs det om behandling av personuppgifter för att utreda brott eller för att föra brott till åtalsprövning eller för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten i samband med utredning av brott i enlighet med dataskyddsdirektivet och dataskyddslagen avseende brottmål. Regleringen omfattar också handräckning i anslutning till de nämnda uppgifterna. 
Enligt 1 mom. får Gränsbevakningsväsendet behandla personuppgifter vid utförandet av en uppgift i anknytning till utredning av brott eller en åtgärd i anknytning till att föra brott till åtalsprövning samt för upprätthållande av allmän ordning och säkerhet. Gränsbevakningsväsendet är en sådan förundersökningsmyndighet som avses i förundersökningslagen. Paragrafen omfattar dock också behandling av personuppgifter vid utredningar som föregår förundersökningar. Gränsbevakningsväsendet utför dessutom uppgifter för att upprätthålla allmän ordning och säkerhet både självständigt och på begäran av polisen eller som stöd för polisen på det sätt som föreskrivs i gränsbevakningslagen. 
Enligt skäl 12 till dataskyddsdirektivet är brottsbekämpande myndigheters verksamhet främst inriktad på att förebygga, förhindra, utreda, avslöja och lagföra brott, inbegripet verksamhet där man inte på förhand vet om det inträffade utgör ett brott eller inte. Denna verksamhet omfattar också upprätthållande av lag och ordning som en uppgift som anförtros åt brottsbekämpande myndigheter när det är nödvändigt för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och mot i lag skyddade grundläggande allmänna intressen som kan leda till ett brott. Behandling av personuppgifter i samband med uppdrag för upprätthållande av allmän ordning och säkerhet hör till paragrafens tillämpningsområde när behandlingen på det sätt som avses i dataskyddsdirektivet och i 1 § 1 mom. i dataskyddslagen avseende brottmål har samband med förebyggande, avslöjande och utredning av brott. 
Bestämmelsen ersätter de bestämmelser i den gällande lagen som gäller registrering i Gränsbevakningsväsendets undersöknings- och handräckningsregister av uppgifter som gäller en person som är misstänkt för ett brott eller är föremål för en förundersökning, andra åtgärder av Gränsbevakningsväsendet eller tvångsmedel, den som gjort anmälan, den som uppträder som vittne eller målsägande eller den som har något annat samband med ärendet. Paragrafen ersätter också sådana temporära register som inrättats med stöd av 4 § i den gällande lagen och som används för att utreda brott eller en helhet av brott som har samband med varandra. Bestämmelsen kompletteras av bestämmelserna i 14 och 15 § om behandling av personuppgifter för andra ändamål än det ursprungliga. Enligt dem får uppgifter som i enlighet med 2 kap. samlats in för andra ändamål med behandlingen användas för de ändamål med behandlingen som avses i denna paragraf. 
I 2 mom. preciseras de persongrupper om vilka uppgifter får behandlas för de ändamål som anges i 1 mom. Till skillnad från bestämmelserna i den gällande lagen beaktas personer som är under 15 år och misstänkta för en brottslig gärning särskilt. Dessutom nämns personer som annars anknyter till de uppgifter som avses i 1 mom. som en egen kategori i förteckningen. Sådana är t.ex. personer vars personuppgifter Gränsbevakningsväsendet måste behandla vid barnskyddsanmälningar som görs i samband med Gränsbevakningsväsendets uppgifter. Med stöd av denna punkt kan vid behov också t.ex. personuppgifterna för sådana kontaktpersoner registreras som behövs för åtkomst till ett utrymme eller en lokal i anknytning till ett uppdrag. En person som annars anknyter till ett uppdrag kan också vara en sakkunnig eller en person som eventuellt ger ytterligare information, men som inte har ställning som vittne. 
Den personuppgiftsansvarige ska i enlighet med kraven i 8 § i dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. 
I 3 mom. finns en ny bestämmelse. Den föreslagna bestämmelsen om bedömning av huruvida uppgifterna är av betydelse är knuten till en regleringsteknik baserad på ändamålet med behandlingen av uppgifterna, som ersätter den registerbaserade regleringen i den gällande lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. I lagen om behandling av personuppgifter vid Gränsbevakningsväsendet föreskrivs i fortsättningen om all behandling av personuppgifter för utförande av Gränsbevakningsväsendets uppgifter i stället för att det endast föreskrivs om registrering av uppgifterna i personregister som nämns i lagen och om användningen av uppgifterna i de namngivna registren. 
I momentet handlar det om behandlingen av personuppgifter som Gränsbevakningsväsendet fått i samband med utförandet av uppgifter i de fall då det i inledningsskedet är oklart om alla personuppgifter man fått direkt hänför sig till ett aktuellt, enskilt uppdrag. Ett mål med bestämmelsen är att förtydliga nuläget i de situationer då personuppgifter som fåtts i samband med utförandet av Gränsbevakningsväsendets uppgifter ska behandlas med hjälp av automatisk informationsbehandling för bedömning av deras innehåll och om de är av betydelse.  
Enligt skäl 18 till dataskyddsdirektivet bör skyddet för fysiska personer vara teknikneutralt och inte vara beroende av den teknik som används för att förhindra att det uppstår en allvarlig risk för att reglerna kringgås. Skyddet av fysiska personer ska också gälla automatisk databehandling av personuppgifter samt sådan manuell behandling av personuppgifter som utgör en del av ett register eller som är avsedda att utgöra en del av ett register. 
Den automatiska behandlingen av personuppgifter omfattar förutom registrering, användning och utlämnande av de personuppgifter som regleras i den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet även de behandlingsåtgärder som utförs innan uppgifterna registreras i Gränsbevakningsväsendets informationssystem. Den gällande lagen innehåller inte bestämmelser som gäller detta skede av personuppgiftsbehandlingen, varför t.ex. den maximala bevaringstiden för personuppgifterna avgörs från fall till fall av den personuppgiftsansvarige. Bestämmelsen om bedömning av huruvida uppgifterna är av betydelse för med sig att behovsbedömningen blir en del av tillämpningsområdet för lagen. Samtidigt föreslås en enhetlig bevaringstid på sex månader för personuppgifter som behandlas för bedömning av deras betydelse. 
Förutom att nuläget förtydligas, innebär 3 mom. också en utvidgning av Gränsbevakningsväsendets nuvarande behandling av personuppgifter. Med avvikelse från den gällande lagen gör bestämmelsen det uttryckligen möjligt att registrera personuppgifter i ett särskilt personregister för att utreda huruvida de i 6 och 7 § föreskrivna villkoren uppfylls för behandling av personuppgifterna. Personuppgifter får inte behandlas för utredning av brott och upprätthållande av allmän ordning och säkerhet, om det är oklart huruvida kriterierna för behandling av personuppgifter i 6 och 7 § uppfylls. Personuppgifter som med tanke på Gränsbevakningsväsendets uppgifter uppenbart saknar betydelse ska raderas omedelbart och får inte registreras eller annars behandlas med stöd av 3 mom. 
Gränsbevakningsväsendets verksamhetsmiljö har förändrats betydligt sedan den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet stiftades. De sätt på vilka Gränsbevakningsväsendet traditionellt har bedömt om uppgifterna är av betydelse erbjuder inte tillräckliga möjligheter för behandlingen av de uppgifter som behövs inom brottsanalysen i den nuvarande digitala verksamhetsmiljön. För att analysverksamheten ska kunna utvecklas systematiskt krävs en möjlighet att med hjälp av modern teknik bedöma om uppgifterna är av betydelse. De uppgifter som ska behandlas enligt momentet kan också komma från offentliga källor, såsom bildmaterial eller text från internet eller myndigheternas offentliga register, och de kan innehålla stora mängder information om personer vilkas betydelse är oklar i registreringsögonblicket. 
Uppgifterna kan med stöd av 3 mom. också jämföras med personuppgifter som Gränsbevakningsväsendet redan har registrerat för att klargöra om de uppfyller kriterierna för behandling av personuppgifter i 6 och 7 §. En förutsättning för behandlingen är emellertid att uppgifterna inhämtats eller på annat sätt fåtts i samband Gränsbevakningsväsendets uppgifter med stöd av befogenheter som anges någon annanstans i lag. Det kan t.ex. vara fråga om behandling av informationsmaterial som fåtts med hjälp av sådan genomsökning av utrustning som avses i 8 kap. i tvångsmedelslagen såsom behandling av information i datorer och mobiltelefoner. Gränsbevakningsväsendet får inte med stöd av 3 mom. inhämta sådana uppgifter som det inte har tillgång till utan fullmakter för inhämtande av information någon annanstans i lag. 
Dataskyddslagstiftningen förutsätter att personuppgifter inte behandlas i onödan. I 3 mom. föreskrivs det att behövligheten gällande uppgifter som fåtts i samband med utförandet av uppdrag får bedömas för att säkerställa att uppgifterna är av betydelse innan de behandlas under en längre tid. I registret kommer det ofrånkomligen att registreras uppgifter som vid en behövlighetsbedömning kommer att visa sig vara betydelselösa med tanke på Gränsbevakningsväsendets uppgifter. I sista meningen i momentet understryks kravet i 6 § i dataskyddslagen avseende brottmål på att obehövliga personuppgifter ska utplånas utan obefogat dröjsmål. Kravet kompletteras av den tidsgräns på sex månader inom vilken bedömningen av om personuppgifterna är betydelsefulla ska ske. 
Genom Gränsbevakningsväsendets förvaltning av användarrättigheterna begränsas åtkomsten till de uppgifter som avses i 3 mom. endast till de personer som har till uppgift att bedöma den betydelse som avses i momentet. Behandlingen av uppgifterna omfattas av samma kontroll, övervakning och skyldigheter att skydda uppgifterna som de andra ändamålen med behandlingen av personuppgifter. Behandlingen omfattas också av alla de skyldigheter som ålagts den personuppgiftsansvarige i lagen, t.ex. skyldigheten att sörja för dataskyddet för uppgifter som hör till särskilda kategorier av personuppgifter till de delar som det behandlade materialet innehåller sådana uppgifter. Den personuppgiftsansvarige ska också bevara logguppgifterna om behandlingen i enlighet med kraven i 19 § i dataskyddslagen avseende brottmål. De logguppgifter som gäller läsning och utlämnande ska göra det möjligt att utreda grund, datum och tidpunkt för läsning och utlämnande och i möjligaste mån vem som har läst eller lämnat ut personuppgifterna samt mottagarnas identitet. Logguppgifterna får användas för att kontrollera om behandlingen är lagenlig, för intern kontroll, för att säkerställa personuppgifternas integritet och säkerhet samt inom ramen för straffrättsliga förfaranden. 
Den registrerade har inte rätt till insyn i de uppgifter som avses i 3 mom., men får be dataombudsmannen kontrollera lagenligheten i behandlingen av personuppgifterna i enlighet med 49 § 2 mom. 
Den personuppgiftsansvarige ska i enlighet med kraven i 8 § i dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. 
7 §. Innehållet i personuppgifter som behandlas för utredning av brott samt upprätthållande av allmän ordning och säkerhet. I 1 mom. preciseras de personuppgifter som utöver de grundläggande personuppgifter som avses i 4 § får behandlas för ändamål som anges i 6 §. Innehållsmässigt motsvarar uppgifterna i huvudsak de personuppgifter som registreras i undersöknings- och handräckningsregistret i enlighet med 7 § i den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet samt de uppgifter om efterlysningar av personer, fordon och egendom, säkerhetsinformation och signalementsuppgifter som Gränsbevakningsväsendet registrerar för polisens registerföring i enlighet med 2 § och 14 § 1 mom. 4 punkten i den gällande lagen om behandling av personuppgifter i polisens verksamhet. 
Enligt 1 punkten får behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser behandlas. En händelse är en helhet som hör till de uppgifter som föreskrivs för Gränsbevakningsväsendet och på vilken kan följa olika skyldigheter för myndigheten, såsom utredningsskyldighet eller handlingsskyldighet. En händelse kan också vara resultatet av verksamhet som Gränsbevakningsväsendet genomfört på eget initiativ. En uppgift är en insats som hör samman med en sådan händelse som avses ovan, t.ex. förundersökning eller upprätthållande av allmän ordning och säkerhet. En händelse kan vara förknippad med flera uppgifter. En åtgärd är en del av en uppgift och den är riktad mot någon eller något. Åtgärden kan vara riktad mot en fysisk person, en juridisk person, ett föremål, ett ämne eller egendom. Till en viss uppgift kan det höra flera olika åtgärder och olika nivåer av utövande av offentlig makt, såsom tvångsmedel riktade mot en person (gripande, anhållande, reseförbud och häktning) eller efterlysning av personer, fordon och egendom. 
Det som i 1 punkten avses med behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser innefattar i synnerhet 1) uppgifter om anmälan om brott eller en anmälan om någon annan händelse, 2) uppgifter om Gränsbevakningsväsendets lagstadgade uppgifter att upprätthålla den allmänna ordningen och säkerheten, 3) uppgifter om tvångsmedel, Gränsbevakningsväsendets åtgärder samt olika faser i en förundersökning, 4) uppgifter som beskriver klassificeringen av gärningsmannen, händelsen eller gärningen samt uppgifter som behövs för sammanlänkning och teknisk undersökning av brott, 5) tillvägagångssätt och metoder som använts eller kan användas för att förbereda och begå brott, 6) de myndigheter som behandlar ärendet och de identifikationsuppgifter som de använder för ärendena samt 7) uppgifter om brott som fåtts av en person eller genom en person, vid behov även personernas förhållande till andra personer. Med stöd av 1 punkten får Gränsbevakningsväsendet också behandla uppgifter om den riktiga identiteten för den som missbrukat en identitet och för den vars identitet har missbrukats. 
Till de signalementsuppgifter som behövs för fastställande av identiteten som avses i 2 punkten hör sådana uppgifter som ska registreras för polisens registerföring och de är 1) uppgifter om efterlysningar av personer bestående av fotografier, fingeravtryck, särskilda oföränderliga fysiska kännetecken bl.a. för att påträffa en person som är efterlyst, 2) identifieringsuppgifter som t.ex. består av fotografier, fingeravtryck och DNA-profiler för att personer som anmälts försvunna ska kunna hittas och för att okända avlidna ska kunna identifieras, samt 3) signalementsuppgifter bestående av fotografier, finger-, hand- och fotavtryck, handstils-, röst- och luktprov samt DNA-profiler för identifiering av personer som misstänks för brott, för utredning av brott och för registrering av gärningsmän. Bestämmelser om Gränsbevakningsväsendets befogenhet att samla in sådana uppgifter som avses i punkten finns annanstans i lagstiftningen, t.ex. i gränsbevakningslagen, tvångsmedelslagen och utlänningslagen (301/2004). Bestämmelserna berättigar därmed inte till behandling av personuppgifter i större omfattning än befogenhetsregleringen medger. 
Med biometriska uppgifter avses på motsvarande sätt som i artikel 3.13 i dataskyddsdirektivet och 3 § 13 punkten i dataskyddslagen avseende brottmål personuppgifter som tagits fram genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter. Således hör t.ex. ansiktsbilder till de biometriska uppgifterna endast när de tagits fram genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken. 
I dataskyddsdirektivet har särskild hänsyn tagits till behovet att begränsa sådan behandling av genetiska personuppgifter (skäl 23 till direktivet) som kan avslöja känsliga uppgifter bl.a. om någons hälsa. En DNA-profil som bestäms utifrån ett DNA-prov är dock en väsentlig signalementsuppgift för Gränsbevakningsväsendet när det utreder ett brott och med hjälp av den kan en person identifieras på ett tillförlitligt sätt då t.ex. inte fingeravtryck finns att tillgå. 
Gränsbevakningsväsendet ska med iakttagande av nuvarande praxis registrera signalement, i synnerhet fingeravtryck och DNA-profiler för polisens registerföring. I lagen bör dock föreskrivas att Gränsbevakningsväsendet tillfälligt får behandla sådana uppgifter innan de överförs till polisens register. 
I 3 punkten föreskrivs det om behandlingen av s.k. säkerhetsuppgifter. Punkten förblir oförändrad i fråga om innehållet. Som en del av säkerhetsuppgifterna får Gränsbevakningsväsendet också behandla sådana uppgifter om ett objekts eller en persons farlighet eller oberäknelighet som inte hör till särskilda kategorier av personuppgifter samt uppgifter som beskriver eller är avsedda att beskriva brottsliga gärningar, straff eller andra påföljder för brott. 
I 4 punkten beaktas på motsvarande sätt som i den gällande lagen identifieringsuppgifter om avgörande av åklagare eller domstol och uppgifter om någon har dömts till straff, om det fattats beslut om åtalseftergift eller domseftergift, om ett åtal förkastats eller lämnats utan prövning eller avskrivits och uppgifter om ett avgörandes laga kraft. 
Behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter begränsas på det sätt som krävs enligt dataskyddsdirektivet och dataskyddslagen avseende brottmål endast till behandling av nödvändiga uppgifter. Uppgifter som hör till särskilda kategorier av personuppgifter får ingå i alla de kategorier av uppgifter som anges i 1 mom., men särskilt i de signalementsuppgifter som behövs för fastställande av identiteten i 1 mom. 2 punkten och i säkerhetsuppgifterna i 3 punkten. Utgångspunkten är att det i princip kan vara fråga om vilka uppgifter som helst som hör till sådana särskilda kategorier av personuppgifter som avses i 11 § i dataskyddslagen avseende brottmål. 
8 §. Behandling av personuppgifter för förebyggande och avslöjande av brott. I paragrafen föreskrivs det om behandling av personuppgifter i enlighet med dataskyddsdirektivet och dataskyddslagen avseende brottmål för att förebygga eller avslöja brott eller för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten i samband med förebyggande och avslöjande av brott. Regleringen innefattar också handräckning i anslutning till de nämnda uppgifterna. 
Enligt 1 mom. får Gränsbevakningsväsendet behandla personuppgifter för utförandet av en uppgift i anknytning till förebyggande eller avslöjande av brott. Genom paragrafen ersätts bestämmelsen om Gränsbevakningsväsendets register över personer misstänkta för brott i den gällande lagen, vilken i sin nuvarande form inte på ett övergripande sätt betjänar Gränsbevakningsväsendets förebyggande verksamhet, prognostisering och utnyttjande av systematiskt insamlad och behandlad information på alla plan inom det beslutsfattande som leder till handling. 
Paragrafen ersätter också sådana förvaltningsenhetsspecifika register som inrättats för brottsanalys med stöd av 4 § i den gällande lagen och som används för att förhindra eller avslöja brott eller en helhet av brott som har samband med varandra. Bestämmelsen gör det möjligt att behandla uppgifter på nationell nivå. 
Enligt 2 § 2 punkten i lagen om brottsbekämpning inom Gränsbevakningsväsendet avses med förhindrande av brott åtgärder som syftar till att förhindra ett brott eller försök till och förberedelse till brott, när det utifrån iakttagelser av en persons verksamhet eller utifrån annan information om en persons verksamhet finns grundad anledning att anta att personen i fråga kommer att göra sig skyldig till brott, samt åtgärder som syftar till att avbryta ett redan påbörjat brott och begränsa den direkta skada eller fara som brottet medför. Det är frågan om förhindrande av brott när en gärning förhindras innan sådana åtgärder har vidtagits som uppfyller brottsrekvisitet. 
Förebyggande av brott i 3 § 2 mom. i gränsbevakningslagen är dock ett vidare begrepp än förhindrande av brott. Förebyggande av brott hör också samman med överbegreppet brottsbekämpning, som innefattar avslöjande, utredning och överlämnande för åtalsprövning av brott, men också sådana egenskaper som säkerhet och känsla av trygghet. 
Den brottsanalys som utförs för att förebygga brott kräver information i grunden. Identifieringen av olika hot redan med hjälp av svaga signaler och genom eventuell sammankoppling av uppgifter från olika källor effektiviserar Gränsbevakningsväsendets verksamhet och förbättrar Gränsbevakningsväsendets möjligheter att bekämpa brott och brottslighet i ett så tidigt skede som möjligt. Innan ett brott förhindrats finns inte alltid kännedom om exakta brottsrekvisit eller om brottsbeteckningen. 
Med avslöjande av brott avses enligt 2 § 3 punkten i lagen om brottsbekämpning inom Gränsbevakningsväsendet åtgärder som syftar till att klarlägga om det för inledande av förundersökning av ett brott finns en i 3 kap. 3 § 1 mom. i förundersökningslagen avsedd grund, när det utifrån iakttagelser av en persons verksamhet eller utifrån annan information om en persons verksamhet kan antas att ett brott har begåtts. Definitionerna av förhindrande och avslöjande av brott inverkar på vilka metoder för inhämtande av information som Gränsbevakningsväsendet får använda i olika skeden när det gäller brott samt under vilka förutsättningar uppgifter som inhämtats med hjälp av olika metoder för inhämtande av information får behandlas och registreras. 
Intresset vid behandlingen av uppgifter som sker för att förebygga och avslöja brott är underrättelsemässigt. Uppgifterna behandlas för inriktning av Gränsbevakningsväsendets verksamhet, men också i stor utsträckning för att upptäcka förändringar i säkerhetsmiljön i förebyggande syfte och för att upprätthålla säkerheten. Det centrala målet med det underrättelsemässiga intresset för uppgifterna är att få en bättre förståelse för att kunna kontrollera de situationsfaktorer som rör säkerhets- och verksamhetsmiljön. Inom underrättelseverksamheten är intresset för uppgifterna främst fokuserat på inriktning av verksamheten, medan motsvarande tyngdpunkt vid undersökningar ligger på uppgifternas straffprocessuella användningssyfte (bevisningssyfte för att trygga enskilda straffprocesser). 
För att man ska kunna förutse händelseförlopp, upprätthålla lägesuppfattningen och identifiera svaga signaler och fenomen kräver den nödvändiga analysen att datalager utnyttjas på ett mångsidigt sätt och att information som fås från flera olika källor kopplas samman och bearbetas. De utmaningar som hör samman med verksamhetsmiljön och de ökande datamängderna förutsätter också att behandlingen av uppgifterna automatiseras allt mer bland annat genom utnyttjande av analysprogram. Bestämmelsen kompletteras av bestämmelserna i 14 och 15 § om behandling av personuppgifter för andra ändamål än det ursprungliga. Enligt dem får uppgifter som i enlighet med 2 kap. samlats in för andra ändamål med behandlingen användas för de ändamål med behandlingen som avses i denna paragraf. 
I skäl 27 till dataskyddsdirektivet påpekas att, om behöriga myndigheter ska kunna förebygga, förhindra, utreda och lagföra brott, är det nödvändigt att de behandlar personuppgifter som insamlats inom ramen för förebyggande, förhindrande, utredning och lagföring av brott i ett bredare sammanhang för att utveckla förståelsen för kriminell verksamhet och göra kopplingar mellan olika upptäckta brott. Vid behandling av personuppgifter med syfte att förebygga och avslöja brott ska också beaktas principen om ändamålsbegränsning samt de övriga kraven på lagenlighet och proportionalitet som ställs i direktivet och dataskyddslagen avseende brottmål. 
I 2 mom. föreskrivs det om de persongrupper vilkas personuppgifter i huvudsak får behandlas för det ändamål med behandlingen som det föreskrivs om i 1 mom. Vid utformningen av den föreslagna paragrafen har uppmärksamhet fästs vid förvaltningsutskottets anmärkningar i fråga om polisens informationssystem för misstänkta. Paragrafens förteckning över persongrupper som får behandlas för de ändamål som avses i paragrafen är uttömmande. Det fastställs särskilda behandlingskriterier för registrering i registret och för annan behandling av personuppgifter som gäller de här persongrupperna. När det gäller andra personer än sådana som antas ha anknytning till egentlig brottslig verksamhet får personuppgifterna behandlas endast när det är nödvändigt för att utföra ett uppdrag. 
I den gällande lagen finns inga bestämmelser om personkategorier i fråga om vilka uppgifter får registreras i sådana förvaltningsenhetsvisa personregister som inrättas med stöd av 4 §. Till denna del förtydligar 2 mom. nuläget och där preciseras de personkategorier som kan behandlas för brottsanalys. 
I momentet föreslås att behandlingströskeln ska vara knuten till uttrycket ”med fog kan antas”. Uttrycket beskriver en behandlingströskel som är ändamålsenlig med tanke på kriminalunderrättelseverksamheten och som är lägre än tröskeln för att inleda en förundersökning. Med uttrycket ”med fog kan antas ha gjort sig eller göra sig skyldig” hänvisas till en situation där man har fått tips om att ett brott redan har inträffat, men att tröskeln ”skäl att misstänka” för inledande av förundersökning ännu inte har nåtts, dvs. ett brott som planeras och pågår och kriminalunderrättelser inhämtas för att förhindra brottet. I momentet avses personer med en koppling till förmodad brottslig verksamhet, men där alla personers roll i ärendet inte nödvändigtvis är klar. 
Till den persongrupp som avses i 1 punkten hör förutom de förmodade gärningsmännen också andra delaktiga enligt den straffrättsliga delaktighetsläran, det vill säga medhjälpare, anstiftare och medgärningsmän. 
Det föreslås att det till lagen ska fogas en bestämmelse om en persongrupp som är ny i jämförelse med den gällande lagen. Den ska komplettera de personer som är delaktiga i ett brott med personer som har anknytning till ett brott. I 2 punkten föreskrivs det om personer som upprepade gånger har kontakt med en i 1 punkten avsedd person eller påträffas i dennes sällskap upprepade gånger, och kontakten eller sammanträffandena antas ha samband med ett brott. I artikel 6 i dataskyddsdirektivet föreskrivs det om åtskillnad mellan olika kategorier av registrerade. I artikel 6 d nämns personer med kontakter eller band. De här personerna ska anknyta till personer avseende vilka det finns tungt vägande skäl att anta att de har begått eller är på väg att begå ett brott eller personer som dömts för brott. 
Betydelsen av relationen då en person upprepade gånger har kontakt med en person som antas göra sig skyldig till brott behöver bedömas redan då man under brottsanalysen finner flera kontakter mellan personer, varav den ena är en sådan person som avses i 1 punkten och den andra inte är det. Det kan finnas en naturlig förklaring till att det finns en sådan relation, t.ex. ett kundförhållande. I 2 punkten avses personer genom vilka det med tanke på analysen går att få betydelsefulla uppgifter om sådana personer som avses i 1 punkten. I bestämmelsen förutsätts det emellertid att även denna kategori av personer ska ha en koppling till ett förmodat brott, med beaktande av kriminalunderrättelseinhämtningens eventuella konsekvenser för personernas ställning och rättssäkerhet. Därmed är enbart ett antagande eller det faktum att sammanträffandena skett upprepade gånger inte tillräckligt för att överskrida tröskeln för att få registrera uppgifterna i registret. 
I 3 punkten föreskrivs om personer som är föremål för observation i enlighet med 21 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet i ett uppdrag i anslutning till att förebygga eller avslöja brott. Med observation avses i enlighet med 21 § 1 mom. i lagen om brottsbekämpning inom Gränsbevakningsväsendet iakttagande av en viss person i hemlighet i syfte att inhämta information. 
I 3 mom. föreskrivs det om sådana kategorier av personer som inte är det primära målet för Gränsbevakningsväsendets kriminalunderrättelseinhämtning. De här persongrupperna utgörs av brottsoffer eller den som uppträder som målsägande och de som anmält ett brott och vittnen till ett brott. Med vittnen avses i detta moment inte nödvändigtvis personer som redan åberopats som vittnen i en straffprocess. Vid behandlingen av personuppgifter ställs särskilda skyddsgarantier för de här grupperna. Behandlingen av personuppgifter som gäller dessa kategorier av personer får inte gå längre än vad som är nödvändigt för att nå målet, t.ex. att förebygga ett brott. Det kan vara nödvändigt att behandla personuppgifterna för dessa kategorier av personer t.ex. i situationer när man försöker förebygga ett brott mot ett vittne eller en målsägande i ett redan begånget brott. I fråga om brott som undersöks av Gränsbevakningsväsendet kan det gälla situationer i anslutning till t.ex. ordnande av olaglig inresa eller människohandel. 
I den gällande lagstiftningen föreskrivs inte om kriminalunderrättelseinhämtning eller inledande av kriminalunderrättelseinhämtning. I praktiken kan kriminalunderrättelseinhämtning inledas om en person med fog kan antas ha gjort sig eller göra sig skyldig till brott. På motsvarande sätt kan ett brottmål där en misstänkt ännu inte identifierats utgöra grund för att inleda kriminalunderrättelseinhämtning och behandling av personuppgifter i anknytning till den. Utgångspunkten är att personuppgifterna behandlas på motsvarande sätt som i samband med brottsutredning. Eftersom det emellertid är fråga om användningen av Gränsbevakningsväsendets resurser får endast en anhållningsberättigad tjänsteman eller någon annan gränsbevakningsman i förmansställning fatta beslut om inledande av kriminalunderrättelseinhämtning. Om inledande av kriminalunderrättelseinhämtning görs i Gränsbevakningsväsendets personregister en anmälan om underrättelseärende som motsvarar en undersökningsanmälan i brottmål. 
I 4 mom. föreskrivs det om inledande av behandling av personuppgifter i anknytning till en brottsanalys som behövs för förebyggande eller avslöjande av brott. Med brottsanalys avses planmässig och systematisk behandling av information som inhämtats med hjälp av metoder för inhämtande av information eller som fåtts från en annan informationskälla för att upptäcka likheter och olikheter mellan brott eller brottsfenomen i syfte att förutse och förhindra brott i framtiden. En effektiv brottsanalys är en nödvändig förutsättning för planmässig och systematisk brottsbekämpning. Ett sådant beslut som avses i momentet får fattas av den personuppgiftsansvarige eller av en annan förvaltningsenhet som den personuppgiftsansvarige har förordnat till uppgiften. Beslutet ska fattas skriftligt. I regel är det den personuppgiftsansvarige som fattar beslut om behandlingen av personuppgifter. I fortsättningen är det staben för Gränsbevakningsväsendet som personuppgiftsansvarig som beslutar om det ska inrättas riksomfattande, permanenta analysbaser. 
I 5 mom. föreskrivs det om behandlingen av uppgifter om observationer. Till innehållet motsvarar bestämmelsen 7 § 3 mom. 3 punkten i den gällande lagen. Observationsuppgifterna kan innehålla observationer som gjorts av gränsbevakningsmän eller uppgifter som anmälts till Gränsbevakningsväsendet i anslutning till händelser eller personer som utifrån omständigheterna eller en persons hotelser eller uppträdande i övrigt kan bedömas ha samband med brottslig verksamhet. Det är fråga om uppgifter som en gränsbevakningsman får genom att iaktta sin omvärld eller uppgifter som en utomstående lämnat till Gränsbevakningsväsendet. Gränsbevakningsväsendet kan t.ex. få ett anonymt tips om personer som uppträder misstänkt eller om tvivelaktig verksamhet som i sig inte nödvändigtvis utgör lagstridig verksamhet. I kombination med andra faktorer eller omständigheter kan uppgifterna om observationerna dock ge signaler om brottslig verksamhet. 
Registrering av enbart observationsuppgifter gör inte sådan behandling av personuppgifter som föreskrivs i 1–3 mom. möjlig. Registrering av observationsuppgifter gör dock sådan kriminalunderrättelseinhämtning möjlig där syftet är att klarlägga om det med fog kan antas att ett brott inträffat eller kommer att inträffa. Beslut om att verksamheten ska inledas fattas på samma sätt som när det gäller inledande av annan kriminalunderrättelseinhämtning. 
I 6 mom. föreskrivs, på motsvarande sätt som i 6 § 3 mom., om Gränsbevakningsväsendets rätt att behandla personuppgifter för bedömning av om uppgifterna är av betydelse med tanke på ändamålet med behandlingen enligt 8 §. 
Den personuppgiftsansvarige ska i enlighet med kraven i 8 § i dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. 
I 11 § 3 mom. i den gällande lagen som gäller Gränsbevakningsväsendets register över personer misstänkta för brott finns en begränsningsbestämmelse enligt vilken endast gränsbevakningsmän som förordnats till kriminalunderrättelse-, brottsanalys- och observationsuppdrag får använda registret. Avsikten är inte att genom den föreslagna paragrafen ändra behovet av att begränsa användarrättigheterna som en särskild skyddsgaranti. Det föreslås dock inte att motsvarande begränsningsbestämmelse ska tas med i paragrafen, utan bedömningen är att åtkomsten till registret kommer att begränsas av bestämmelserna om den allmänna informationssäkerheten. I 32 § i dataskyddslagen avseende brottmål föreskrivs det om informationssäkerhet. Enligt 5 punkten i den paragrafen ska den personuppgiftsansvarige säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till personuppgifter som omfattas av deras användarrättigheter. Användarrättigheter till Gränsbevakningsväsendets informationssystem beviljas på basis av arbetsuppgifterna. 
9 §. Innehållet i personuppgifter som behandlas för förebyggande eller avslöjande av brott. I 1 mom. preciseras de personuppgifter som utöver de grundläggande personuppgifter som avses i 4 § får behandlas för ändamål som anges i 8 §. 
Det som i 1 punkten avses med behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser innefattar i synnerhet uppgifter om underrättelseuppdrag och uppgifter om den förebyggande verksamheten, uppgifter om metoderna för inhämtande av information, Gränsbevakningsväsendets åtgärder och om de olika skedena för behandling av ärenden, uppgifter om brott som fåtts av en person eller genom en person, vid behov även personernas förhållande till andra personer. 
Liknande bestämmelser har, när det gäller förebyggande och avslöjande verksamhet, tidigare delvis funnits i 7 § i den gällande lagen. Bestämmelserna lämnar rum för tolkning, vilket i någon mån har lett till ett otydligt rättsläge. Syftet med punkten är att skapa klarhet i det nuvarande rättsläget. En tillräcklig beskrivning av händelser och specificering av anknytande uppdrag och åtgärder är dock viktigt förutom med tanke på Gränsbevakningsväsendets verksamhetsmässiga behov också för laglighetskontrollen och tillsynen av de registrerades rättigheter. Genom dokumentering av verksamheten säkerställs både objektets rättsskydd och Gränsbevakningsväsendets förmåga att utföra sina uppgifter. Nertecknad information får också utnyttjas för att rikta Gränsbevakningsväsendets verksamhet på ett ändamålsenligt sätt i enlighet med den föreslagna 14 § 1 mom. 12 punkten. 
Momentets 2 punkt är i själva verket mycket vid till innehållet och med stöd av den får Gränsbevakningsväsendet behandla behövliga uppgifter som gäller en persons verksamhet och beteende. Sådana uppgifter kan t.ex. gälla en persons kontakter, livsstil, ekonomiska situation, hobbyer och annat som är av intresse till den del de är behövliga med tanke på förebyggande och avslöjande av brott. 
De signalementsuppgifter som avses i 3 punkten gäller bland annat en persons längd, vikt och ögonfärg. Signalementsuppgifterna innefattar bl.a. också tatueringar eller andra yttre signalement, som ärr och födelsemärken. Punkten innefattar också biometriska uppgifter såsom finger-, hand- och fotavtryck, ansiktsbild, röst-, lukt och handstilsprov samt fysiskt DNA-prov och den digitala eller någon annan DNA-profil som bestämts utifrån provet. Behandlingen av biometriska uppgifter som hör till särskilda kategorier av personuppgifter är begränsad, på samma sätt som när det gäller 7 § 1 mom. 2 punkten, till att gälla endast behandling av nödvändiga uppgifter. Med tanke på Gränsbevakningsväsendet och den registrerades rättsskydd är det nödvändigt att Gränsbevakningsväsendet kan bekräfta den registrerades identitet på ett tillförlitligt sätt. Signalementsuppgifter om en person behövs för att det ska gå att identifiera en person på ett tillförlitligt sätt och de kan också vara de enda individualiserings- och identifieringsuppgifterna om en person. Exempelvis är en bild av en person ofta en mera tillförlitlig identifieringsuppgift än det namn som personen använder. Förslaget ändrar inte det gällande rättsläget, utan innefattar närmast de preciseringar som krävs för EU:s reform av referensramen för dataskyddet. Utgångspunkten är att Gränsbevakningsväsendet i enlighet med nuvarande praxis ska registrera signalement, i synnerhet fingeravtryck och DNA-uppgifter, för polisens registerföring också i fortsättningen. 
I 4 punkten föreskrivs det om behandlingen av s.k. säkerhetsuppgifter på motsvarande sätt som det som föreslås i 5 och 7 §. 
Behandlingen av uppgifter som gäller särskilda kategorier av personuppgifter begränsas på det sätt som krävs enligt dataskyddsdirektivet och dataskyddslagen avseende brottmål endast till behandling av nödvändiga uppgifter. Uppgifter som hör till särskilda kategorier av personuppgifter får ingå i alla de kategorier av uppgifter som anges i 1 mom., men särskilt i de signalementsuppgifter som behövs för fastställande av identiteten i 1 mom. 3 punkten och i säkerhetsuppgifterna i 4 punkten. Utgångspunkten är att det i princip kan vara fråga om vilka uppgifter som helst som hör till sådana särskilda kategorier av personuppgifter som avses i 11 § i dataskyddslagen avseende brottmål. 
I 2 mom. föreskrivs det om skyldigheten att om möjligt foga en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet till personuppgifterna. I praktiken handlar det om ett etablerat förfarande där Gränsbevakningsväsendet bedömer graden av uppgifternas tillförlitlighet. Genom bestämmelsen beaktas kravet enligt artikel 7.1 i dataskyddsdirektivet på att personuppgifter som grundar sig på fakta så långt det är möjligt ska åtskiljas från personuppgifter som grundar sig på personliga bedömningar. Bestämmelsen stöder också kravet i artikel 7.2 i direktivet om att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte lämnas ut eller görs tillgängliga. 
10 §. Behandling av uppgifter om informationskällor. I 36 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet föreskrivs det om Gränsbevakningsväsendets användning av informationskällor. Enligt 1 mom. i den paragrafen avses med användning av informationskällor annat än sporadiskt konfidentiellt mottagande av information av betydelse för skötseln av uppgifter som gäller förhindrande och utredning av brott som Gränsbevakningsväsendet enligt lag ska undersöka av personer som inte hör till gränsbevakningsmyndigheten eller någon annan förundersökningsmyndighet. Enligt 2 mom. i den paragrafen får uppgifter om informationskällor registreras i ett personregister. I 7 § 3 mom. 4 punkten i den gällande lagen om behandling av personuppgifter vid Gränsbevakningsväsendet föreskrivs det om registreringen av uppgifter om informationskällor i Gränsbevakningsväsendets undersöknings- och handräckningsregister.  
I paragrafen klargörs också att de uppgifter som lämnas av en informationskälla får behandlas som uppgifter om informationskällor. Bestämmelsen gör det också möjligt att med tanke på hur informationskällan har använts och tillsynen behandla uppgifter som rör bekräftandet av de behövliga uppgifter som en källa lämnat. Till sådana uppgifter hör t.ex. uppgifter i olika system som behandlats för att bekräfta identiteten hos någon som anmälts av källan. 
Behandlingen av uppgifter som gäller särskilda kategorier av personuppgifter begränsas på det sätt som krävs enligt dataskyddsdirektivet och dataskyddslagen avseende brottmål endast till behandling av nödvändiga uppgifter. Det föreskrivs dessutom om registrering av informationskällor i 3 kap. 13 § 2 mom. och 14 § i statsrådets förordning om förundersökning, tvångsmedel och hemligt inhämtande av information (122/2014). 
11 §. Behandling av personuppgifter inom militärrättsvården. I paragrafen föreskrivs det om behandlingen av personuppgifter i militärrättsvården i enlighet med dataskyddsdirektivet och dataskyddslagen avseende brottmål. Paragrafen ersätter bestämmelserna om registret för militärrättsvården och registret för disciplinavgöranden i den gällande lagen. Det föreslås att bestämmelserna slås samman så att ärenden som gäller militär disciplin och utredning av militärbrott kan behandlas i ett och samma personregister under ett ärendes hela livscykel. Bestämmelserna motsvarar till sakinnehållet bestämmelserna i lagen om behandling av personuppgifter inom Försvarsmakten. 
Enligt 1 mom. får Gränsbevakningsväsendet behandla personuppgifter för utförande av uppgifter i anknytning till sådan förundersökning och sådant militärdisciplinförfarande som avses i 31 § 3 mom. i lagen om gränsbevakningsväsendets förvaltning. Ordalydelsen i bestämmelsen omfattar behandlingsbehov som anknyter både till förundersökning av militärbrott och till registrering av avgöranden. Till dessa hör bl.a. upprättande av militärjuristens disciplinutlåtande och fattande, registrering, verkställande och övervakning av avgöranden i militära brottmål. Ändamålet med behandlingen gäller både de avgöranden som förordnas i ett militärdisciplinförfarande och de avgöranden som träffats i ett ärende som behandlas som ett militärt rättegångsärende vid domstol. 
Enligt 2 mom. är det ett krav att de personuppgifter som behandlas inom militärrättsvården ska anknyta till den som är eller har varit föremål för förundersökning eller tvångsmedel eller som gjort anmälan eller varit vittne, målsägande eller annars har hörts. Begreppet "annars har hörts" omfattar personer som hörs i förundersökningen, men vars ställning i den inte är klarlagd ännu i det skedet. Till övriga delar motsvarar persongrupperna de persongrupper som ska behandlas i registret för militärrättsvården och registret för disciplinavgöranden enligt den gällande lagstiftningen. 
Det föreslås att upprätthållande av brotts- och påföljdsstatistik som ingår i den gällande bestämmelsen slopas i paragrafen som ett självständigt ändamål med behandlingen. Enbart statistiska behov kan inte anses godtagbara som en orsak för att behandla personuppgifter, utan för behandlingen av uppgifter måste det alltid finnas ett behov av att utföra egentliga förundersökningsuppgifter eller av att behandla avgöranden i militära brottmål. I 5 § 3 mom. i dataskyddslagen avseende brottmål föreskrivs om senare behandling för statistiska ändamål av personuppgifter som behandlas för de ändamål som nämns i paragrafen. 
12 §. Innehållet i personuppgifter som behandlas inom militärrättsvården. I paragrafen preciseras de personuppgifter som utöver de grundläggande personuppgifter som avses i 4 § får behandlas för ändamål som avses i 11 §. Paragrafen motsvarar till sakinnehållet i huvudsak bestämmelserna i den gällande lagen. 
De behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser som avses i 1 punkten innefattar särskilt numret på en anmälan om brott eller en anmälan om någon annan händelse, tid och plats för händelsen, anmälningstidpunkten, brottsbeteckningar och andra beteckningar, tidpunkten för åtalspreskription av det grövsta brottet, utredande förvaltningsenhet, utredarna, utredningsläget, undersökningsledare, militärjurist, disciplinär förman, de beslut som fattats för att avsluta ärendet samt uppgift om avgörandet i ärendet, uppgifter om tvångsmedel, förundersökningsfaser och militärjuristens utlåtande, uppgifter om egendom som någon har förlorat genom brott, eller som har omhändertagits, för att egendomen ska kunna hittas och återställas till ägaren eller innehavaren. 
Bestämmelsen i 2 punkten är ny jämfört med den gällande lagen. Enligt den får Gränsbevakningsväsendet behandla signalementsuppgifter som behövs för fastställande av identiteten, inklusive röstprov och ansiktsbild. Vid förundersökningen av ett brott kan man behöva behandla bl.a. uppgifter om en persons längd och vikt eller foton på personer och de måste då också kunna registreras som uppgifter som gäller förundersökningen. Signalementsuppgifter behövs för en tillförlitlig identifiering av en person och de kan också vara de enda tillgängliga individualiserings- och identifieringsuppgifterna om en person. Eftersom det inom militärrättsvården behandlas främst uppgifter om personer som är anställda hos Gränsbevakningsväsendet, finns de oftast inte något behov av att behandla biometriska uppgifter som signalementsuppgifter. 
Avsikten med att en ny punkt fogas till bestämmelsen är inte att ändra polisens och Gränsbevakningsväsendets verksamhetssätt, utan huvudregeln ska fortfarande vara att en persons identifieringsuppgifter förs in i polisens register. Det finns dock behov av att i lagen förskriva om Gränsbevakningsväsendets rätt att behandla dessa uppgifter. 
I 3 punkten föreskrivs det om behandlingen av s.k. säkerhetsuppgifter på motsvarande sätt som det som föreslås i 5, 7 och 9 §. 
Enligt 4 punkten får Gränsbevakningsväsendet behandla uppgifter om avgöranden som gäller disciplinära beslut samt om ärenden som åklagare och domstolar har behandlat som ett militärt rättegångsärende, uppgifter om delgivning av beslut eller dom och ändringssökande samt uppgifter om verkställande av påföljd. Däremot möjliggör 5 punkten behandlingen av uppgifter om övervakning som gäller militärdisciplinförfarande. 
13 §. Behandling av personuppgifter i Gränsbevakningsväsendets övriga lagstadgade uppgifter. I paragrafen föreskrivs om sådan behandling av personuppgifter i Gränsbevakningsväsendets övriga lagstadgade uppgifter som det inte finns särskilda bestämmelser om någon annanstans i 2 kap. Det är fråga om sådan behandling av personuppgifter på vilken, beroende av ändamålet med behandlingen, tillämpas endera dataskyddsförordningen och dataskyddslagen eller dataskyddslagen avseende brottmål. 
I 1 mom. preciseras att Gränsbevakningsväsendet får behandla personuppgifter för skötseln av för Gränsbevakningsväsendet föreskrivna tillsynsuppgifter, tulluppgifter samt efterspanings- och räddningsuppdrag och prehospital akutsjukvård samt för utförande av övriga uppgifter som föreskrivs för Gränsbevakningsväsendet. Uppgifterna hör i huvudsak till tillämpningsområdet för dataskyddsförordningen. Med stöd av paragrafen får personuppgifter dock behandlas t.ex. vid territorialövervakning, på vilken tillämpas dataskyddslagen avseende brottmål med stöd av dess 1 § 2 mom. 
I 2 mom. preciseras de personuppgifter som utöver de grundläggande personuppgifter som avses i 4 § får behandlas för de ändamål som anges i 1 mom. De behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser enligt 1 punkten kan innefatta t.ex. uppgifter om utlänningar som har tagits i förvar (9 § 3 mom. 6 punkten i den gällande lagen), uppgifter om övervakning av den ekonomiska zonen (9 § 3 mom. 3 punkten i den gällande lagen), uppgifter om sjöfartsskydd (12 § 3 mom. 1 punkten i den gällande lagen), uppgifter om terrorismbekämpning (12 § 3 mom. 2 punkten i den gällande lagen) samt behandlingsuppgifter om ett tillståndsärende om andra tillstånd som beviljas av Gränsbevakningsväsendet än de som gäller gränskontroll och upprätthållande av gränssäkerheten. Till tillståndsuppgifter i enlighet med den här paragrafen hör t.ex. de tillstånd för användningen av nödsignaler som avses i 25 § i sjöräddningslagen. 
I 2 punkten föreskrivs uttryckligen om uppgifter om sjötrafiken och vattenfarkosters position (9 § 3 mom. 3 punkten i den gällande lagen). 
Momentets 3 punkt omfattar uppgifter behövliga för behandlingen av de administrativa påföljder som Gränsbevakningsväsendet påför. De administrativa påföljder som avses i momentet innefattar t.ex. sådan oljeutsläppsavgift som avses i 3 kap. i miljöskyddslagen för sjöfarten (1672/2009) samt sådan avgift för trafikförseelse som avses i 160 § och sådan fordonspecifik avgift för trafikförseelse som avses i 161 § i vägtrafiklagen (729/2018). 
I 4 punkten föreskrivs det om behandlingen av s.k. säkerhetsuppgifter på motsvarande sätt som det som föreslås i 5, 7, 9 och 12 §. 
Gränsbevakningsväsendet får som en del av de uppgifter som avses i paragrafen behandla också i artikel 9 i dataskyddsförordningen avsedda uppgifter som hör till särskilda kategorier av personuppgifter. De får ingå i samtliga uppgiftskategorier som avses i 2 mom., men i synnerhet i sådana säkerhetsuppgifter som avses i 4 punkten. 
Behandling av särskilda kategorier av personuppgifter grundar sig på artikel 9.2 g i dataskyddsförordningen, enligt vilken särskilda kategorier av personuppgifter får behandlas när behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Behandlingen ska dessutom stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Dessa lämpliga och särskilda åtgärder är utöver de i dataskyddsförordningen och dataskyddslagen definierade skyddsåtgärderna också bl.a. de villkor som ställs för behandling av personuppgifter i 4 och 13 §, de villkor som ställs för behandling av personuppgifter för andra ändamål än det ursprungliga i 14 och 15 §, villkoren för utlämnande av uppgifter enligt 4 kap., samt bestämmelserna om bevaringstider i 5 kap. 
I 13 § i den gällande lagen finns en begränsningsbestämmelse enligt vilken säkerhetsdataregistret endast får användas av gränsbevakningsmän som förordnats till kriminalunderrättelse-, brottsanalys- och observationsuppdrag samt av gränsbevakningsmän i uppdrag som gäller lägesuppföljning och riskanalys. Avsikten är inte att i propositionen ändra behovet av att begränsa användarrättigheterna som en särskild skyddsgaranti. Det föreslås dock inte att motsvarande begränsningsbestämmelse ska tas med i paragrafen, utan bedömningen är att åtkomsten till registret kommer att begränsas av bestämmelserna om den allmänna informationssäkerheten. Användarrättigheter till Gränsbevakningsväsendets informationssystem beviljas på basis av arbetsuppgifterna. 
14 §. Behandling av personuppgifter för andra ändamål än det ursprungliga. EU:s dataskyddslagstiftning förutsätter att personuppgifter i regel endast behandlas för de särskilda lagstadgade ändamål som de samlats in för. Dataskyddslagstiftningen gör det dock möjligt att behandla personuppgifter också för andra ändamål om det föreskrivs om detta i lag och behandlingen är behövlig och står i proportion till ändamålet. Paragrafen motsvarar i huvudsak bestämmelserna i 25 § i den gällande lagen, men bestämmelserna utvidgas och preciseras till vissa delar. 
I 1 mom. finns en förteckning över andra ändamål med behandlingen av personuppgifter än det ursprungliga för vilka Gränsbevakningsväsendet får behandla uppgifter. Bestämmelserna i momentet tillämpas om det inte någon annanstans i lag föreskrivs strängare villkor för behandlingen av en uppgift. Med detta avses t.ex. bestämmelserna om villkoren för användning av överskottsinformation som fåtts genom vissa åtgärder i 48 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet och 10 kap. 56 § i tvångsmedelslagen. 
Enligt 1 punkten får Gränsbevakningsväsendet behandla uppgifter för att förebygga eller avslöja ett brott. I punkten beaktas att avslöjande av brott är ett nytt ändamål med behandlingen jämfört med 25 § i den gällande lagen och om det föreskrivs det i lagen om brottsbekämpning inom Gränsbevakningsväsendet. Det är tillåtet att behandla uppgifter för att förebygga brott också enligt 25 § 1 mom. i den gällande lagen, men till skillnad från den föreslagna 1 punkten är behandlingen begränsad till förebyggande av ett brott på vilket kan följa fängelse. 
Momentets 2 punkt motsvarar till sitt sakinnehåll den gällande lagen. Behandlingen av uppgifter för att utreda brott är enligt 2 punkten endast möjlig när det handlar om att utreda ett brott på vilket kan följa fängelse på motsvarande sätt som enligt 25 § 1 mom. 3 punkten i den gällande lagen. 
Jämfört med gällande lag är 3 och 4 punkten nya. I 3 punkten föreskrivs det om behandling av personuppgifter för att påträffa en efterlyst. Någon definition av en efterlysning finns inte i lagen. Med efterlysning avses ett meddelande som grundar sig på ett beslut av en behörig myndighet, som med hjälp av ett personregister förs för kännedom till myndigheterna och som innehåller en begäran om behövliga uppgifter för påträffandet av en viss person. Syftet med efterlysningen är att få den i efterlysningen specificerade tjänsteåtgärden inriktad på den eftersökta personen eller på egendom som är i hans eller hennes besittning. Det är behövligt att behandla personuppgifter för andra ändamål än det ursprungliga för att påträffa efterlysta personer t.ex. i situationer då behovet att påträffa en efterlyst hör samman med delgivningen av handlingar. Efterlysningen bör kunna lämnas för kännedom till alla de aktörer som eventuellt kan komma i kontakt med den efterlysta. 
Momentets 5 punkt motsvarar till innehållet delvis 25 § 1 mom. 2 punkten i den gällande lagen, men i punkten föreskrivs det om förhindrande av betydande fara för någons liv, hälsa eller frihet i stället för om att avvärja allvarlig fara som omedelbart hotar den allmänna säkerheten. Till skillnad från tidigare innehåller punkten som grund för behandlingen också förhindrande av betydande miljö-, egendoms- eller förmögenhetsskada. 
Innehållsmässigt motsvarar 6 punkten 25 § 1 mom. 1 punkten i den gällande lagen, men ordalydelsen i punkten ändras till att motsvara terminologin i dataskyddslagen avseende brottmål och övrig lagstiftning. 
Jämfört med gällande lag är 7 punkten ny, men till sakinnehållet innebär bestämmelsen ingen ändring jämfört med nuläget. Enligt artikel 8 i kodexen om Schengengränserna ska det i samband med gränskontrollen göras sökningar i nationella och europeiska databaser bl.a. för att säkerställa att en person inte utgör ett hot mot den allmänna ordningen, den inre säkerheten, folkhälsan eller de internationella förbindelserna i medlemsstaterna. Den gällande lagens 7 och 8 § gör det möjligt att använda de personuppgifter som ska behandlas med stöd av de nämnda paragraferna också för utförande av gränskontroll. 
Jämfört med gällande lag är bestämmelserna i 8–10 punkten nya. Bestämmelserna gör det också möjligt att använda de av Gränsbevakningsväsendet behandlade personuppgifterna för bestämmande av tjänsteduglighet samt planering och ordnande av tjänstgöringen, placering i uppgifter under undantagsförhållanden och för att skapa beredskap samt befordran till militär grad och belöning. Bestämmelserna gäller Gränsbevakningsväsendets uppgifter inom det militära försvaret och uppgifter för övrigt skyddande av den nationella säkerheten. För dessa ändamål med behandlingen är det behövligt att i första hand behandla i 6 § avsedda personuppgifter som behandlas för utredning av brott samt för upprätthållande av allmän ordning och säkerhet samt i 7 § avsedda personuppgifter som behandlas för att förebygga och avslöja brott. 
Med 11 punkten ersätts 25 § 1 mom. 4 punkten i den gällande lagen. I 12 punkten finns en ny bestämmelse som gör det möjligt att behandla personuppgifter för inriktning av Gränsbevakningsväsendets verksamhet. 
De ändamål med behandlingen som föreslås i 1, 4, 5 och 12 punkten motsvarar till sitt innehåll bestämmelserna om behandlingen av överskottsinformation som fåtts med hjälp av hemliga metoder för inhämtande av information och hemliga tvångsmedel i 48 § 4 och 5 mom. i lagen om brottsbekämpning inom Gränsbevakningsväsendet och 10 kap. 56 § 4 och 5 mom. i tvångsmedelslagen. Överskottsinformation får enligt de nämnda lagarna alltid användas för förhindrande av brott och inriktning av Gränsbevakningsväsendets verksamhet (tvångsmedelslagen) eller för förhindrande av brott som det ankommer på Gränsbevakningsväsendet att undersöka och för inriktning av Gränsbevakningsväsendets brottsbekämpningsverksamhet (lagen om brottsbekämpning inom Gränsbevakningsväsendet). Överskottsinformation får också användas för en utredning till stöd för att någon är oskyldig samt för att förhindra betydande fara för någons liv, hälsa eller frihet eller betydande miljö-, egendoms- eller förmögenhetsskada. 
Med användningen av uppgifter för inriktning av Gränsbevakningsväsendets verksamhet avses enligt förslaget i 12 punkten också indirekt användning av uppgifterna, så att de inte används som bevis eller som grund för användning av en metod för inhämtande av information. Användningen av uppgifter för inriktning av Gränsbevakningsväsendets verksamhet kan gälla t.ex. förhindrande eller avslöjande av brott, analys, utredning av tröskeln för inledande av förundersökning eller inriktning av förundersökningen. 
Dessutom beaktas i 2 mom. Gränsbevakningsväsendets behov av att behandla personuppgifter för laglighetsövervakning samt analys, planering och utveckling som är jämförbara med dem i 5 § 3 mom. i dataskyddslagen avseende brottmål. Personuppgifter får också på motsvarande sätt som för närvarande användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. I fråga om laglighetsövervakning, planering, utveckling och utbildning motsvarar det föreslagna momentet 25 § 2 mom. i den gällande lagen. 
I den gällande lagen ändrades 25 § 2 mom. genom en lagändring som trädde ikraft vid ingången av 2014 så att användningen av uppgifterna i ett personregister för laglighetsövervakning uttryckligen nämns som ett användningsändamål. Det är viktigt att den här bestämmelsen bevaras också med hänsyn till behovet av att fastställa tillbörlig övervakning av Gränsbevakningsväsendets personregister. För tydlighetens skull föreslås det att det till momentet som en ny punkt fogas analys, som till sin karaktär liknar den planerings- och utvecklingsverksamhet som avses i 25 § 2 mom. i den gällande lagen. Med analys avses i synnerhet strategisk analys som utförs för att upprätthålla en lägesbild över brottsligheten och kunna förutse hotbilder i fråga om brottsligheten och en förutsättning för den är att det finns möjlighet att använda de personuppgifter som innehas av Gränsbevakningsväsendet. I fråga om de ändamål med behandlingen som avses i momentet är det inte fråga om att Gränsbevakningsväsendet utför ett visst uppdrag, utan om ett mer allmänt behov av att behandla personuppgifter för vissa ändamål. 
I 3 mom. finns en informativ bestämmelse om en högre behandlingströskel för uppgifter som hör till särskilda kategorier av personuppgifter. 
15 §. Behandling av personuppgifter vid tillståndsprövning. I paragrafen föreskrivs det om de förutsättningar under vilka Gränsbevakningsväsendet får behandla personuppgifter som avses i 5–7 och 11–13 § för andra ändamål med behandlingen än det ursprungliga ändamålet för utförandet av uppgifter som anknyter till tillståndsförvaltningen. Uppgifterna får i enlighet med bestämmelsen användas för beslut eller utlåtanden som gäller beviljande eller giltighet av ett tillstånd, när tillståndet enligt gällande bestämmelser är beroende av sökandens eller tillståndshavarens tillförlitlighet, lämplighet eller någon liknande egenskap, och det för bedömningen av egenskapen krävs uppgifter om sökandens eller tillståndshavarens hälsotillstånd, bruk av rusmedel, brottslighet eller våldsamma uppträdande. 
Det föreskrivs om beviljande av tillstånd och dess giltighetstid i annan lagstiftning. Med tanke på den föreslagna bestämmelsen är i synnerhet de förutsättningar som anges för beviljandet och giltighetstiden för gränszonstillstånd viktiga och om dem föreskrivs det i 52–55 § i gränsbevakningslagen. I paragrafen avgränsas personuppgifter som behandlas för att förebygga och avslöja brott enligt 8 och 9 § till att stå utanför en sådan behandling. Till sitt sakinnehåll motsvarar bestämmelsen 25 § 1 mom. 5 punkten i den gällande lagen. 
16 §. Personuppgiftsansvarig. Enligt paragrafen är staben för Gränsbevakningsväsendet personuppgiftsansvarig för de personuppgifter som avses i denna lag. Bestämmelsen innebär en ändring jämfört med nuläget enligt vilket antingen staben för Gränsbevakningsväsendet (för riksomfattande personregister) eller en förvaltningsenhet (för lokala register) är registeransvarig. Eftersom tillämpningsområdet för den nya lagen föreslås begränsas endast till behandling av personuppgifter vid skötseln av de uppgifter som föreskrivs för Gränsbevakningsväsendet i denna lag och eftersom det i lagen föreskrivs allmännare om ändamål med behandlingen av personuppgifter i stället för om namngivna register, är det motiverat att det endast finns en personuppgiftsansvarig för personuppgifterna. Lagstiftningen säkerställer också på ett bättre sätt än för närvarande att personuppgifter som anknyter till Gränsbevakningsväsendets lagstadgade uppgifter behandlas på ett enhetligt sätt inom hela Gränsbevakningsväsendet. 
Gränsbevakningsväsendets förvaltningsenheter kommer fortsättningsvis att vara personuppgiftsansvariga till den del som de behandlar personuppgifter direkt med stöd av dataskyddsförordningen och dataskyddslagen. 
3 kap. Rätt att få uppgifter
17 §. Rätt att få uppgifter av myndigheter. Paragrafen motsvarar till sitt sakinnehåll 17 § i den gällande lagen. Enligt 1 mom. har Gränsbevakningsväsendet trots tystnadsplikten rätt att för ett tjänsteuppdrag få behövliga uppgifter och handlingar av en myndighet och av en sådan sammanslutning eller person som tillsatts för att handha ett offentligt uppdrag, om inte lämnande av uppgiften eller handlingen till Gränsbevakningsväsendet eller användning av uppgiften såsom bevis förbjudits eller begränsats i lag. Med avvikelse från den gällande bestämmelsen föreskrivs det i fortsättningen om rätten att avgiftsfritt få uppgifter i 27 §, som gäller lämnande av uppgifter till Gränsbevakningsväsendet. 
Enligt 2 mom. fattas beslut om inhämtande av sekretessbelagda uppgifter av en anhållningsberättigad tjänsteman, om inte något annat överenskoms med den som lämnar ut uppgifterna. Utgångspunkten är att beslutsnivån fortsättningsvis anses vara ändamålsenlig då uppgifterna begärs i enskilda fall. Enligt 4 kap. 2 § i polislagen är det en polisman som hör till befälet som beslutar om en begäran om motsvarande uppgifter. Momentet gör det dock möjligt att den som framställer begäran kan vara någon annan tjänsteman vid Gränsbevakningsväsendet, om man har kommit överens om detta med den som lämnar ut uppgifterna. Detta är ändamålsenligt i synnerhet när uppgifter lämnas ut till Gränsbevakningsväsendet genom en teknisk anslutning eller som en datamängd. 
18 §. Rätt att få uppgifter av privata sammanslutningar och personer. Paragrafen motsvarar i huvudsak 18 § i den gällande lagen. Enligt 1 mom. har Gränsbevakningsväsendet till skillnad från i den gällande lagen på begäran av en anhållningsberättigad tjänsteman rätt att av privata sammanslutningar och personer få uppgifter som behövs också för att avslöja brott. Detta är motiverat, eftersom Gränsbevakningsväsendet också annars behandlar personuppgifter för detta ändamål utifrån det som föreslås i 8 och 9 §. Med avvikelse från den gällande bestämmelsen föreskrivs det dessutom i fortsättningen om rätten att avgiftsfritt få uppgifter i 27 §, som gäller lämnande av uppgifter till Gränsbevakningsväsendet. 
Företagen har många uppgifter som omfattas av företagshemligheten och som är av betydelse för deras näringsverksamhet, t.ex. produktutvecklingsuppgifter. Med stöd av bestämmelsen har ett företag dock inte direkt skyldighet att lämna ut uppgifter av betydelse som gäller den egna företagsverksamheten eller en avtalspartner och som ingår i kärnan av företagshemligheten. I begäran om uppgifter är det vanligen fråga om uppgifter som specificerar kunder eller arbetstagare eller någon annan som står i ekonomisk relation till förtaget. Syftet med bestämmelsen är att göra det möjligt för en privat aktör att lämna en uppgift utan att göra sig skyldig till en straffbar gärning. Den som lämnar en uppgift som omfattas av företags-, bank- eller försäkringshemlighet ska vid lämnandet av uppgiften till Gränsbevakningsväsendet kunna vara övertygad om att han eller hon handlar på ett tillåtet sätt. Uppgifterna lämnas ut i enlighet med de interna verksamhetsprocesserna för den som lämnar ut uppgifterna. 
I 2 mom. föreskrivs det på motsvarande sätt som i den gällande lagen om Gränsbevakningsväsendets rätt att i enskilda fall få uppgifter av ett teleföretag och av en sammanslutningsabonnent samt av en sammanslutning som bedriver postverksamhet. 
I 3 mom. föreskrivs det på motsvarande sätt som i den gällande lagen om Gränsbevakningsväsendets rätt att för sin tillståndsförvaltning få uppgifter av en privat sammanslutning eller en privatperson med iakttagande av vad som föreskrivs i 17 §. 
19 §. Vite. Paragrafen är ny jämfört med den gällande lagen. Enligt paragrafen får Gränsbevakningsväsendet kräva att privata sammanslutningar och personer lämnar de i 18 § avsedda uppgifterna inom en skälig tid, om uppgifterna behövs för att förebygga eller utreda ett brott som Gränsbevakningsväsendet undersöker. Gränsbevakningsväsendet kan förena åläggandet med vite. Beslutet om föreläggande av vite ska iakttas även om ändring i beslutet söks. Vite får dock inte föreläggas om det finns skäl att misstänka någon för brott och det begärda materialet har samband med brottsmisstanken. För vite gäller i övrigt bestämmelserna i viteslagen (1113/1990). 
Syftet med bestämmelsen är att effektivisera erhållandet av behövliga uppgifter i enskilda fall samt att förhindra eventuell uppsåtlig eller avsiktlig tredska vid utlämnandet av uppgifter. Bestämmelsen bidrar till att stödja att Gränsbevakningsväsendet och de aktörer som lämnar ut uppgifter på förhand kommer överens om de sätt att utbyta information på som minst skadar den övriga verksamheten med avseende på båda parterna. Bestämmelsen motsvarar 2 kap. 14 § 5 mom. i lagen om brottsbekämpning inom Tullen (623/2015). När det gäller begäran om uppgifter och föreläggande av vite iakttas principerna enligt 2 kap. i gränsbevakningslagen, i synnerhet proportionalitetsprincipen (7 §), principen om minsta olägenhet (7 a §), principen om ändamålsbundenhet (7 b §) och allmänna principer som ska iakttas i förundersökningsuppgifter (10 §). 
20 §. Rätt att få uppgifter ur vissa register och datasystem. Paragrafen ska komplettera de föreslagna 17–19 § samt de bestämmelser om myndigheternas rättigheter att lämna ut uppgifter ur sina personregister till Gränsbevakningsväsendet som finns i annan lagstiftning. Paragrafen är därför inte uttömmande till sin art. I den föreslagna paragrafen har den onödigt dubbla regleringen i 22 § i den gällande lagen strukits. Utgångspunkten är att det inte finns behov att föreskriva om Gränsbevakningsväsendets rätt att få uppgifter om lagstiftningen som gäller den aktör som lämnar ut uppgifterna gör det möjligt att lämna ut uppgifterna till Gränsbevakningsväsendet. 
Det föreskrivs om utlämnande av personuppgifter till Gränsbevakningsväsendet t.ex. i lagen om behandling av personuppgifter i polisens verksamhet, lagen om behandling av personuppgifter inom Tullen (639/2015), förslaget till lag om behandling av personuppgifter inom Försvarsmakten, förslaget till lag om behandling av personuppgifter i migrationsförvaltningen, lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten (1069/2015) och lagen om transportservice (320/2017). Dessutom ger flera lagar rätt att lämna ut uppgifter för utförandet av en myndighets lagstadgade uppgifter. 
Gränsbevakningsväsendet har rätt att få de uppgifter som avses i 1 mom. trots sekretessbestämmelserna. I 27 § föreskrivs det att det är avgiftsfritt att få uppgifter. 
I 1 punkten föreskrivs det om Gränsbevakningsväsendets rätt att för utförande av de övervakningsuppdrag till havs som föreskrivs för Gränsbevakningsväsendet, av sjöfartsmyndigheterna och leverantörer av fartygstrafikservice ur informationssystemen för övervakning till havs, anmälningssystemet för fartyg, sjötrafiklednings- och informationssystemen, trafikinformationssystemen för fartyg, informationssystemen för hamntrafiken och ur andra informationssystem för fartygstrafikservice, få uppgifter om sjötrafiken och övervakning av den samt om vattenfarkosters position. Bestämmelsen ersätter 22 § 1 mom. 4 och 11 punkten i den gällande lagen. Bestämmelsen kompletterar också 30 a § 1 mom. i territorialövervakningslagen (RP 34/2018 rd), enligt vilken Gränsbevakningsväsendet för lägesbilden har rätt att av leverantören av fartygstrafikservice utan ersättning få uppgifter om sjötrafiken samt andra uppgifter som är av betydelse för territorialövervakningen. 
Enligt 2 punkten har Gränsbevakningsväsendet rätt att för upprätthållande av gränssäkerheten, räddningsuppdrag samt för utförande av de övervakningsuppgifter till havs och vid landgränsen som föreskrivs för Gränsbevakningsväsendet av luftfarts-, fiske-, sjöfarts- miljö- och räddningsmyndigheterna samt av polisen, Tullen och Försvarsmakten, få uppgifter om fordon, trafik, myndigheternas aktionsberedskap och alarmering. Bestämmelsen motsvarar 22 § 1 mom. 8 punkten i den gällande lagen. 
I 3 punkten föreskrivs det om Gränsbevakningsväsendets rätt att ur nödcentralsdatasystemet få uppgifter som med tanke på en persons egen säkerhet eller säkerheten i arbetet för Gränsbevakningsväsendets tjänstemän behövs för Gränsbevakningsväsendets lagstadgade uppgifter. Bestämmelsen motsvarar 22 § 1 mom. 22 punkten i den gällande lagen. 
Enligt 50 § 2 mom. i lagen om verkställighet av böter (672/2002) får Rättsregistercentralen utan hinder av sekretessen på begäran lämna ut uppgifter till dem vilkas rätt att få nämnda uppgifter regleras särskilt genom lag. I 4 punkten finns sådana bestämmelser om rätten att få information. I 5 punkten föreskrivs om rätten att få information av andra justitieförvaltningsmyndigheter. 
Enligt 6 punkten har Gränsbevakningsväsendet rätt att ur utrikesministeriets informationssystem, för upprätthållande av gränssäkerheten, förundersökning, annan undersökning och för utförande av de uppdrag som föreskrivs för Gränsbevakningsväsendet i utlänningslagen, få uppgifter om dem som hör till personalen vid diplomatiska beskickningar och konsulat som representerar den utsändande staten i Finland och om dem som hör till personalen vid en internationell organisations organ i Finland eller något annat internationellt organ i samma ställning samt om dessa personers familjemedlemmar och om dem som är i privat tjänst hos dessa personer. Bestämmelsen motsvarar 22 § 1 mom. 17 punkten i den gällande lagen. 
I 7 punkten föreskrivs det om Gränsbevakningsväsendets rätt att ur det datasystem för övervakning som avses i 29 § i lagen om ett påföljdssystem för och tillsynen över den gemensamma fiskeripolitiken (1188/2014) få uppgifter för fiskeriövervakning, övervakning av sjötrafiken, upprätthållande av gränssäkerheten, förundersökning, annan undersökning, räddningsuppdrag, uppdrag som avses i lagen om sjöfartsskydd samt påförande av påföljdsavgift för transportörer. Datasystemet för övervakningen består av fångstregistret (30 §), registret för förstahandsuppköpare av fiskeriprodukter (31 §), registret över avräkningsnotor (32 §), det satellitbaserade fartygsövervakningssystemet (33 §), rapporterings- och tillståndsregistret som hänför sig till fiskeövervakning (34 §), registret över tillsynsåtgärder (35 §), fångstintygsregistret (36 §) och överträdelseregistret (64 §) i den nämnda lagen, det fiskefartygsregister som avses i lagen om registrering av fiskefartyg och vattenbruksfartyg som används till havs (690/2010) samt det fiskefartygsregister för insjövatten och de register över överlåtbara nyttjanderätter och aktörsspecifika fiskekvoter som avses i lagen om det nationella genomförandet av Europeiska unionens gemensamma fiskeripolitik (1048/2016). 
Den motsvarande bestämmelsen i den gällande lagen hänvisar till den redan upphävda lagen om verkställighet av Europeiska gemenskapens gemensamma fiskeripolitik (1139/1994). Regleringen av Europeiska unionens fiskeripolitik har senare delats upp i flera olika lagar och antalet register som anknyter till den har ökat. Gränsbevakningsväsendet har i lag utsetts till användare av vissa av de här registren, men bestämmelserna är till denna del inte heltäckande. Den föreslagna bestämmelsen kompletterar således Gränsbevakningsväsendets rätt att få de uppgifter ur registren som behövs för dess lagstadgade uppgifter. 
I 8 punkten finns en motsvarande bestämmelse som i 22 § 1 mom. 20 punkten i den gällande lagen om rätten att få uppgifter av den myndighet som har begärt handräckning. 
Momentets 9 punkt är ny jämfört med den gällande lagen. Där föreskrivs om Gränsbevakningsväsendet rätt att av samfund och sammanslutningar få uppgifter om passagerare och fordons personal för utförandet av uppdrag som utförs i samverkan och som avses i PTG-lagen. Bestämmelsen förutsätter inte att en gränsbevakningsman som behandlar uppgifter om passagerare och besättning organisatoriskt är placerad i PTG-strukturen. Rätten att behandla uppgifterna ska dock uttryckligen vara bunden till samarbete enligt PTG-lagen, och uppgifterna får inte med stöd av den föreslagna bestämmelsen behandlas i Gränsbevakningsväsendets övriga lagstadgade uppgifter. Med stöd av bestämmelsen får Gränsbevakningsväsendet också genom direkt anslutning behandla uppgifter i transportörers informationssystem, t.ex. i reservationssystem, för utförande av gränskontroll och upprätthållande av gränssäkerheten. Gränsbevakningsväsendet får med stöd av bestämmelsen dessutom behandla uppgifter som en transportör redan har lämnat till en annan myndighet. På detta sätt säkerställs att transportören inte behöver lämna samma uppgifter flera gånger till olika myndigheter. 
21 §. Uppgifter som andra myndigheter lämnar ut till Gränsbevakningsväsendet genom registrering via direkt anslutning. I paragrafen föreskrivs det om Gränsbevakningsväsendet möjlighet att bevilja en annan myndighet rätt att direkt registrera uppgifter i Gränsbevakningsväsendets personregister. Paragrafen motsvarar till sakinnehållet i huvudsak 23 § i den gällande lagen. 
Enligt 1 mom. 1 punkten får Gränsbevakningsväsendet bevilja registreringsrätt till justitieförvaltningsmyndigheterna, Brottspåföljdsmyndigheten och Rättsregistercentralen. Dessa får registrera uppgifter t.ex. om efterlysta personer och Brottspåföljdsmyndigheten också signalementsuppgifter om personer som avtjänar eller har avtjänat straff som riktar sig mot friheten i Gränsbevakningsväsendets personregister. 
Enligt 2 punkten får den personuppgiftsansvarige bevilja registreringsrätt till polisen, Tullen och Försvarsmakten. Med polisen avses också skyddspolisen. De här myndigheterna registrerar i enlighet med nuvarande praxis uppgifter t.ex. om efterlysta personer och polisen och Tullen även uppgifter i samband med sina genomförda gränskontroller i Gränsbevakningsväsendets personregister. 
Enligt 3 punkten får den personuppgiftsansvarige bevilja också utrikesförvaltningen registreringsrätt. Däremot föreskrivs det i paragrafen inte längre på samma sätt som i den gällande lagen om arbets- och näringsministeriets rätt att registrera uppgifter, eftersom det inte har funnits något praktiskt behov av bestämmelsen. 
Rätten till registrering vid direkt anslutning gäller alla ändamål med behandlingen av personuppgifter som det föreskrivs om i lag och den grundar sig på den registrerande myndighetens lagstadgade uppgifter. Bestämmelsen är inte förpliktande för Gränsbevakningsväsendet, utan gör det endast möjligt att bevilja tillstånd. Den personuppgiftsansvarige och den som registrerar uppgifterna ska sinsemellan särskilt komma överens om detaljerna och ansvarsfrågorna kring registreringen av uppgifterna. Bestämmelsen inverkar inte på den personuppgiftsansvariges ansvar, utan den personuppgiftsansvarige ansvarar inför den registrerade fullt ut också för de uppgifter som en annan myndighet har registrerat i registret. Syftet med paragrafen är främst att minska på sådant onödigt dubbelt arbete som orsakas av att uppgifterna först särskilt lämnas ut till Gränsbevakningsväsendet som sedan själv för in dem i sitt personregister. Parterna ska emellertid alltid försäkra sig om att dataskyddet tillgodoses och i synnerhet de införda uppgifternas riktighet och integritet. 
22 §. Uppgifter om personer i fordon som passerar den yttre gränsen. Paragrafen motsvarar i huvudsak 19 § i den gällande lagen. Enligt paragrafens 1 mom. har Gränsbevakningsväsendet trots sekretessbestämmelserna rätt att få och behandla sådana uppgifter om samfunds och sammanslutningars passagerare och fordons personal som behövs för utförande av gränskontroll och upprätthållande av gränssäkerheten. Jämfört med den gällande lagen slopas i bestämmelsen rätten att få uppgifter som behövs för förebyggande och utredning av brott och för väckande av åtal, som överlappar rätten enligt den föreslagna 18 §. 
Rätt att få information och behandla uppgifter gäller i enlighet med paragrafens rubrik endast uppgifter om passagerare och besättning i trafik över de yttre gränserna. Rätten sträcker sig dock inte till tilläggsuppgifterna enligt PNR-direktivet, som det föreskrivs om i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet (RP 55/2018 rd). Med stöd av bestämmelsen får Gränsbevakningsväsendet också genom direkt anslutning behandla uppgifter i transportörers informationssystem, t.ex. uppgifter i reservationssystem, för utförande av gränskontroll och upprätthållande av gränssäkerheten. Gränsbevakningsväsendet får med stöd av bestämmelsen dessutom behandla uppgifter som en transportör redan har lämnat till en annan myndighet. På detta sätt säkerställs att transportören inte behöver lämna samma uppgifter flera gånger till olika myndigheter. 
I 2 mom. föreskrivs det att föraren av ett fordon som anländer till eller avgår från Finland och passerar den yttre gränsen till gränskontrollmyndigheten vid in- respektive utresestället ska lämna uppgifter om personerna i fordonet. På motsvarande sätt föreskrivs det att befälhavaren för ett fartyg eller luftfartyg samt ägaren eller innehavaren av ett tåg eller något annat trafikmedel eller dennes företrädare till gränskontrollmyndigheten vid in- eller utresestället ska lämna en passagerar- och besättningsförteckning eller i övrigt uppgifter om trafikmedlets personal och passagerare samt övriga personer i trafikmedlet, om inte uppgifterna redan har lämnats med stöd av 23 eller 24 §. 
I 3 mom. finns närmare bestämmelser om vad som ska framgå av passagerar- och besättningsförteckningen. 
Enligt 4 mom. ska paragrafen också tillämpas på trafik över de inre gränserna, om gränskontroll tillfälligt har återinförts vid dem i enlighet med kapitel 2 i avdelning III i kodexen om Schengengränserna och 15 § i gränsbevakningslagen. Bestämmelsen finns i regeringens proposition RP 201/2017 rd, som behandlas i riksdagen. 
23 §. Uppgifter om passagerare inom flygtrafiken. Paragrafen motsvarar 20 § i den gällande lagen och de föreslagna ändringarna i paragrafen i regeringens proposition RP 201/2017 rd. Genom motsvarande paragraf i den gällande lagen har rådets direktiv 2004/82/EG om skyldighet för transportörer att lämna uppgifter om passagerare (nedan API-direktivet) genomförts nationellt. 
I 1 mom. föreskrivs det om lufttrafikföretags skyldighet att till gränskontrollmyndigheten på dennas begäran lämna uppgifter om passagerare inom flygtrafiken över en yttre gräns. 
I 2 mom. framkommer kraven på vilka uppgifter som uppgifterna om passagerarna i enlighet med API-direktivet ska inbegripa. Uppgifterna ska liksom för närvarande överlåtas elektroniskt eller, om detta inte är möjligt, på något annat adekvat sätt. Bestämmelsen i den gällande lagen om för vilka ändamål uppgifter om passagerare inom flygtrafiken och de uppgifter som avses i 22 § får användas flyttas till den föreslagna, nya 25 §. På motsvarande sätt flyttas bestämmelserna om radering av uppgifterna om passagerare inom flygtrafiken till den föreslagna, nya 39 §. 
Enligt 3 mom. ska paragrafen också tillämpas på trafik över de inre gränserna, om gränskontroll tillfälligt har återinförts vid dem i enlighet med kapitel 2 i avdelning III i kodexen om Schengengränserna och 15 § i gränsbevakningslagen. Bestämmelsen finns i regeringens proposition RP 201/2017 rd, som behandlas i riksdagen. 
24 §. Uppgifter om passagerare och besättning i fartygs- och tågtrafik. Paragrafen motsvarar 20 a § i den gällande lagen och de föreslagna ändringarna i paragrafen i regeringens proposition RP 201/2017 rd. 
Enligt 1 mom. ska en fysisk eller juridisk person som bedriver yrkesmässig transport av personer eller varor sjövägen eller per järnväg lämna de uppgifter om passagerare och besättning som avses i 22 § 2 och 3 mom. till gränskontrollmyndigheten före ankomsten till gränskontrollen. 
Enligt 2 mom. ska uppgifterna i tågtrafik lämnas senast när tåget har avgått från den sista station där passagerare stigit ombord på tåget. På skyldigheten att i fartygstrafik lämna förhandsuppgifter tillämpas bestämmelserna i kodexen om Schengengränserna samt andra bestämmelser och föreskrifter. 
Enligt 3 mom. ska paragrafen också tillämpas på trafik över de inre gränserna, om gränskontroll tillfälligt har återinförts vid dem i enlighet med kapitel 2 i avdelning III i kodexen om Schengengränserna och 15 § i gränsbevakningslagen. Bestämmelsen finns i regeringens proposition RP 201/2017 rd, som behandlas i riksdagen. 
25 §. Behandling av uppgifter om passagerare och besättning. Paragrafen är ny i jämförelse med den gällande lagen, men de föreslagna bestämmelserna motsvarar till sitt sakinnehåll den sista meningen i 20 § 2 mom. i den gällande lagen. Enligt 1 mom. får de i 22–24 § avsedda uppgifterna om passagerare och besättning i första hand behandlas för att underlätta gränskontroller samt bekämpa olaglig inresa och olaglig invandring. Bestämmelsen uttrycker det primära ändamålet med användningen av uppgifterna om passagerare och besättning. I fråga om uppgifterna om passagerare inom flygtrafiken gör API-direktivet det dock möjligt att i nationell lag föreskriva att passageraruppgifter får användas också för andra ändamål. Därför föreskrivs det på motsvarande sätt som i den gällande lagen att uppgifterna får behandlas i andra uppgifter som föreskrivs för Gränsbevakningsväsendet, polisen och Tullen. I fråga om de övriga trafikformerna och besättningsuppgifterna grundar sig regleringen på nationella behov. Regleringen ändras i praktiken inte till sitt sakinnehåll jämfört med den nuvarande regleringen. 
Bestämmelsen i 2 mom. är ny. Den fastställer på lagnivå den praxis som redan används och där uppgifter om passagerare och besättning automatiskt jämförs med register och databaser som behövs med tanke på den behandling som avses i 1 mom. Jämförelsen sker i praktiken snart efter att uppgifterna om passagerare och besättning har fåtts. 
26 §. Påföljder. Paragrafen innehåller informativa hänvisningar till bestämmelserna om påföljd i utlänningslagen. I 179 § i utlänningslagen föreskrivs det om påföljdsavgift för transportör som påförs bl.a. vid försummelse av transportörers skyldighet att lämna de uppgifter som avses i 23 och 24 § (tidigare 20 och 20 a §) i Gränsbevakningsväsendets personuppgiftslag. Enligt 185 § i den lagen döms för utlänningsförseelse även den som uppsåtligen eller av grov oaktsamhet försummar sin skyldighet enligt 22 § (tidigare 19 §) i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
27 §. Lämnande av uppgifter till Gränsbevakningsväsendet. Enligt 1 mom. har Gränsbevakningsväsendet rätt att få de uppgifter som avses i detta kapitel avgiftsfritt, om inte något annat föreskrivs i lag. Lagtekniskt sett är bestämmelsen ny, men rätten att få uppgifter avgiftsfritt finns också i de allmänna bestämmelserna om rätten att få uppgifter i 17 och 18 § i den gällande lagen. Bestämmelsen förtydligar dock att rätten att få uppgifter avgiftsfritt omfattar utöver enskilda utlämnanden av uppgifter även uppgifter som fås med hjälp av en teknisk anslutning. 
I 1 mom. finns också en bestämmelse som motsvarar 43 § i den gällande lagen om att Gränsbevakningsväsendet har rätt att få de uppgifter som avses i detta kapitel också med hjälp av en teknisk anslutning eller som en datamängd enligt överenskommelse med den personuppgiftsansvarige. Med överenskommelse avses de praktiska förfaranden som krävs för att öppna en teknisk anslutning till en annan myndighets personregister. 
Enligt 2 mom. ska Gränsbevakningsväsendet på begäran lämna uppgifter om behandlingen av de personuppgifter som det har fått med hjälp av en teknisk anslutning, som en datamängd eller genom registrering vid direkt anslutning till den personuppgiftsansvarige som lämnat ut uppgifterna. En motsvarande bestämmelse finns i 22 § 2 mom. och 23 § 2 mom. i den gällande lagen. Momentet innefattar dock inte den skyldighet som ställts på Gränsbevakningsväsendet i den gällande lagen om att säkerställa att de mottagna personuppgifterna är behövliga om personuppgifterna har lämnats ut utan begäran. Det föreskrivs om den personuppgiftsansvariges skyldighet att behandla endast adekvata och behövliga personuppgifter samt om skyldigheten att obehövliga personuppgifter ska utplånas utan obefogat dröjsmål i dataskyddsförordningen och dataskyddslagen avseende brottmål. 
28 §. Europeiska unionens informationssystem för viseringar. I paragrafen föreskrivs det om Gränsbevakningsväsendets rätt att få uppgifter ur Europeiska unionens informationssystem för viseringar med hjälp av en teknisk anslutning. Paragrafens 1 mom. gäller mottagande av personuppgifter för skötseln av en uppgift som föreskrivs för Gränsbevakningsväsendet. I 2 mom. föreskrivs det om rätten att få uppgifter för att utreda terroristbrott och andra grova brott. Till sitt sakinnehåll motsvarar bestämmelserna 39 b § i den gällande lagen. 
29 §.Behandling av uppgifter som erhållits i internationellt samarbete. Till innehållet motsvarar bestämmelsen delvis 39 d § i den gällande lagen. Det föreslås dock att gällande lydelse i 39 d § 3 och 4 mom. stryks som obehövlig, eftersom kraven i momenten finns i dataskyddslagen avseende brottmål. Den föreslagna paragrafen gäller endast behandlingen av personuppgifter som fåtts från ett tredjeland eller en internationell organisation eller myndighet. 
I 1 mom. föreskrivs det på motsvarande sätt som i den gällande regleringen om sekretess och tystnadsplikt samt om skyldigheten att iaktta de begränsningar i användningen av personuppgifter som den som lämnat ut uppgifterna ställt. I momentet finns en huvudbestämmelse vars syfte är att säkerställa förtroendeskyddet i det internationella samarbetet. 
I 2 mom. föreskrivs det om möjligheten att använda mottagna personuppgifter för andra ändamål med behandlingen än det ursprungliga när det inte ställts några sådana begränsningar som avses i 1 mom. Den strängare bestämmelsen om användningen av uppgifter för andra ändamål med behandlingen än det ursprungliga som finns i 39 d § 2 mom. i den gällande lagen grundade sig på EU:s upphävda dataskyddsrambeslut och gällde alla personuppgifter som fåtts från andra stater eller internationella organ, även behandlingen av personuppgifter som fåtts från andra EU-länder. Det föreslås att momentet justeras så att personuppgifter som fåtts från ett tredjeland eller en internationell organisation eller myndighet får behandlas för andra ändamål med behandlingen än det ursprungliga under de förutsättningar som föreslås i 14 § 1 mom. På behandlingen av personuppgifter som fåtts från en annan EU-medlemsstat tillämpas i de situationer som avses i 39 d § 2 mom. i den gällande lagen i fortsättningen dataskyddslagen avseende brottmål. 
4 kap. Utlämnande av personuppgifter
I kapitlet föreskrivs om utlämnande av personuppgifter genom en teknisk anslutning eller som en datamängd till andra myndigheter samt om utlämnande av uppgifter via det allmänna datanätet. Kapitlet innehåller även bestämmelser som ansluter sig till internationellt informationsbyte. 
Till den del det är fråga om behandling som hör till tillämpningsområdet av dataskyddsdirektivet och dataskyddslagen avseende brottmål ska 7 kap. i dataskyddslagen avseende brottmål som allmän författning tillämpas på utlämnandet av personuppgifter till tredjeländer och internationella organisationer. Det föreslagna 4 kap. ska innehålla de nödvändiga kompletterande bestämmelserna om utlämnandet av uppgifter till tredjeländer och internationella organisationer. I kapitlet ska även föreskrivas om utlämnandet av uppgifter till brottsbekämpande myndigheter i Europeiska unionens medlemsstater. Därtill ska det i kapitlet på samma sätt som i den gällande lagen tas hänsyn till de informationssystem inom EU som används av brottsbekämpande myndigheter. Till bestämmelserna om utlämnande av personuppgifter i anknytning till internationellt samarbete föreslås inga betydande innehållsmässiga ändringar jämfört med bestämmelserna i den gällande lagen. 
Det föreslagna 4 kap. ska även innehålla bestämmelser om utlämnande av personuppgifter som hör till den allmänna dataskyddsförordningens tillämpningsområde. Till den här delen är det i regleringen fråga om särskilda bestämmelser som avses i artikel 6 i förordningen, med vilka tillämpningsområdet för bestämmelserna i förordningen anpassas. Enligt artikel 6 kan de särskilda bestämmelserna även gälla utlämnande av personuppgifter. 
Personuppgifter får enligt bestämmelserna i 4 kap. lämnas ut trots sekretessbestämmelserna. Vid utlämnande av uppgifter ska man dock i alla situationer beakta bestämmelserna om skyddet av personuppgifter. På utlämnandet av personuppgifter i enskilda fall (annars än genom en teknisk anslutning eller som en datamängd) ska på samma sätt som nu tillämpas sekretessbestämmelserna i lagen om gränsbevakningsväsendets förvaltning, samt kompletterande lagstiftningen om personuppgifter när det gäller utlämnande av personuppgifter till tredjeland eller internationella organisationer. 
30 §. Utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål. I paragrafen föreskrivs om utlämnande av personuppgifter till behöriga myndigheter som avses i dataskyddslagen avseende brottmål för ändamål som hör till nämnda lags tillämpningsområde. Dataskyddslagen avseende brottmål ska tillämpas på behandling av personuppgifter som utförs av polisen, åklagarna, de allmänna domstolarna, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter, när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åklagarverksamhet i samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av brott mot den allmänna säkerheten. Lagen ska tillämpas utifrån den nationella lösningen också när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten. 
Med stöd av denna paragraf ska det vara möjligt att utlämna uppgifter till Försvarsmakten framför allt för förordnande av den värnpliktige till utbildning och uppdrag samt för ordnandet av tjänstgöringen, för förordnande till krishanteringsuppgifter och ordnande av krishanteringstjänsten, för skötsel av territoriala övervakningsuppgifter och militära spaningsuppgifter, för förebyggande och avslöjande av brott som avses i 9 kap. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten samt för skötseln av sådana förundersökningsuppdrag som avses i 5 kap. i nämnda lag samt för befordran till militär grad och belöning. 
Personuppgifter får enligt förslaget lämnas till de i paragrafen avsedda myndigheterna genom en teknisk anslutning eller som en datamängd. I sådana situationer som avses i paragrafen är utlämnandet genom en teknisk anslutning i praktiken huvudregeln. Bestämmelsen är ny och mer allmänt formulerad än den gällande lagen, men i praktiken innebär den inga förändringar jämfört med nuläget. 
Enligt 11 § i dataskyddslagen avseende brottmål får uppgifter som hör till särskilda kategorier av personuppgifter lämnas ut endast om detta är nödvändigt för att utföra en uppgift som myndigheten har enligt lag. 
31 §. Övrigt utlämnande av personuppgifter till myndigheter. I paragrafen föreskrivs om utlämnande av personuppgifter genom en teknisk anslutning eller som en datamängd för andra ändamål än sådana som hör till tillämpningsområdet för dataskyddslagen avseende brottmål. Paragrafen ska även innehålla bestämmelser om utlämnande av personuppgifter till behöriga myndigheter som avses i dataskyddslagen avseende brottmål för ändamål på vilka nämnda lag inte tillämpas. I paragrafen har de ändringar som godkändes i samband med regeringens proposition RP 61/2018 rd samt de ändringar som föreslås i proposition RP 157/2018 rd. 
I paragrafens 1 mom. finns en förteckning över de myndigheter till vilka Gränsbevakningsväsendet får lämna ut personuppgifter genom en teknisk anslutning. I momentet föreskrivs även om de ändamål för vilka personuppgifter får utlämnas. Till sitt innehåll motsvarar bestämmelserna huvudsakligen 28 § i den gällande lagen med undantag av vissa specificeringar. 
Förteckningen i det föreslagna 1 mom. är inte uttömmande, och den ska inte heller begränsa tillämpandet av bestämmelserna om utlämnande av uppgifter eller erhållande av information annanstans i lag. Rätten att lämna ut uppgifter i enlighet med paragrafen förutsätter å andra sidan inte heller att det i lagstiftningen om den mottagande myndigheten föreskrivs om motsvarande rätt att få uppgifter, utan det är möjligt att lämna ut uppgifter med stöd av den föreslagna paragrafen även utan att det någon annanstans i lag föreskrivs om rätt för mottagaren att få uppgifter. Enligt grundlagsutskottets ställningstaganden ska det dock alltid föreskrivas genom lag om utlämnande av personuppgifter som behandlas av Gränsbevakningsväsendet eller om erhållande av information genom en teknisk anslutning. När uppgifter lämnas ut ska det alltid bedömas vilka uppgifter som behövs för skötseln av mottagarens lagstadgade uppgifter och om hanteringen av de uppgifter som ska lämnas ut eventuellt är föremål för begräsningar i enlighet med bestämmelser någon annanstans i lag. Paragrafen möjliggör alltså inte ett obegränsat utlämnande av alla personuppgifter som Gränsbevakningsväsendet hanterar för vilket ändamål med behandlingen som helst som nämns i paragrafen. 
På utlämnandet av personuppgifter till andra myndigheter i enskilda fall ska även framöver tillämpas bestämmelserna i 17 och 17 a–17 d § i Gränsbevakningsväsendets förvaltningslag om utlämnade av sekretessbelagda uppgifter till myndighet eller en sammanslutning som sköter offentliga uppdrag. På basis av nämnda bestämmelser kan uppgifter även lämnas på eget initiativ. Offentliga uppgifter får dessutom lämnas ut till andra myndigheter som en datamängd även i andra fall än de som avses i 1 mom. Även i dessa situationer ska man dock ta hänsyn till bestämmelserna om skyddet för personuppgifter. 
Med avvikelse från den gällande lagen innehåller paragrafens 2 mom. en bestämmelse enligt vilken Gränsbevakningsväsendet utöver vad som föreskrivs i 1 mom. av grundad anledning trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd får lämna ut till en myndighet personuppgifter som är nödvändiga för att utföra en uppgift som i lag föreskrivits för myndigheten. Genom detta görs det möjligt att lämna ut uppgifter som är nödvändiga för att utföra en myndighets i lagen föreskrivna uppgifter till den del det inte finns bestämmelser om utlämnanderätten i 1 mom. 
I paragrafens 3 mom. föreskrivs om den högre tröskeln för utlämnande av uppgifter som hör till särskilda kategorier av personuppgifter. Bestämmelsen motsvarar det på vilka förutsättningar nämnda uppgifter överhuvudtaget kan behandlas av Gränsbevakningsväsendet. 
32 §. Utlämnande av personuppgifter via det allmänna datanätet. Paragrafen är ny jämfört med gällande lag. I paragrafen föreskrivs om Gränsbevakningsväsendets rätt att lämna ut personuppgifter via det allmänna datanätet för att allmänheten ska kunna underrättas och tips från allmänheten ska kunna fås. Syftet med bestämmelsen är att möjliggöra upprätthållandet av gränssäkerheten och information om brottsbekämpning på Gränsbevakningsväsendets webbsida. Genom det allmänna datanätet får enbart lämnas ut sådana personuppgifter som motsvarar de uppgifter om informationsförmedling som avses i 7 § 3 mom. 2 punkten i den gällande lagen, om vilka det med anledning av att saken är brådskande, att det är fråga om en farosituation, för att brott ska kunna förebyggas, för upprätthållande av gränssäkerhet eller av skäl som har samband med en utredning är nödvändigt att särskilt informera. Mängden personuppgifter som lämnas ut till det allmänna datanätet ska dock begränsas så långt det är möjligt. 
33 §. Utlämnande av personuppgifter till brottsbekämpande myndigheter i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet. I paragrafens 1 mom. beaktas den s.k. principen om tillgänglighet, enligt vilken personuppgifter och andra uppgifter ska vara tillgängliga till den brottsbekämpande myndigheten i en annan EU-stat på samma förutsättningar som de är tillgängliga till Gränsbevakningsväsendet för att förebygga, avslöja och utreda brott. 
Innehållsmässigt motsvarar bestämmelsen i huvudsak 38 § i den gällande lagen. I den gällande lagen har utlämnandet av uppgifter till den brottsbekämpande myndigheten i en annan EU-stat dock till vissa delar begränsats strängare än Gränsbevakningsväsendets möjligheter att behandla personuppgifter för annat ändamål än det ursprungliga behandlingsändamålet. Uppgifter får därmed med stöd av den föreslagna bestämmelsen i vissa situationer lämnas ut i en vidare omfattning än enligt den gällande regleringen. 
Utvidgningen avses t.ex. gälla utlämnandet av uppgifter som har samlats för att utföra uppdrag inom tillståndsförvaltningen. På grund av principen om tillgängligheten innebär även de i 14 och 15 § för Gränsbevakningsväsendet föreslagna mer omfattande möjligheter att behandla personuppgifter för annat än det ursprungliga ändamålet en mer omfattande möjlighet att lämna ut uppgifter. De brottsbekämpande myndigheterna i EU:s medlemsstater använder en skyddad kanal för informationsutbytet. 
I 2 mom. föreskrivs om utlämnande av personuppgifter till Eurojust som inrättats för att stärka kampen mot grov brottslighet och andra institutioner som inrättats med stöd av fördraget om Europeiska unionens funktionssätt. Till sådana andra institutioner som avses i momentet hör utöver Eurojust också t.ex. Europeiska byrån för bedrägeribekämpning. 
I 3 mom. preciseras att uppgifterna i de situationer som avses i 1 och 2 mom. får lämnas ut också som en datamängd. 
I 4 mom. ingår en informativ hänvisning till lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009) för att säkerställa att rambeslutet har genomförts korrekt i fråga om utlämnandet av personuppgifter. Genomförandelagen av rambeslutet är en speciallag i förhållande till lagförslaget. 
34 §. Utlämnande av personuppgifter inom Europeiska unionens gränskontrollsamarbete. Bestämmelsen är ny jämfört med gällande lag, men till sitt innehåll innebär den inga förändringar i nuläget. Regleringen ger Gränsbevakningsväsendet rätten att trots sekretessbestämmelserna lämna ut i 5–9 och 13 § avsedda personuppgifter. 
Enligt paragrafens 1 mom. 1 punkten får Gränsbevakningsväsendet lämna ut personuppgifter till en myndighet som ansvarar för gränsövervakning i en annan medlemsstat i Europeiska unionen eller i andra stater som tillämpar kodexen om Schengengränserna för gränsövervakning. I sak motsvarar bestämmelsen 39 § 1 mom. 1 punkten i den gällande lagen. I enlighet med kodexen om Schengengränserna hör gränskontroller och övervakningen av gränser till gränsbevakningen. 
Enligt 2 punkten får Gränsbevakningsväsendet lämna ut personuppgifter till Europeiska gräns- och kustbevakningsbyrån, byråns sambandsmän samt till de tjänstemän i en medlemsstat som deltar i av byrån samordnade insatser och pilotprojekt i Finland, med iakttagande av det som föreskrivs i EU-förordningen om inrättandet av byrån. Såsom det konstateras ovan i punkt 2.2.2 i den allmänna motiveringen, har Europeiska gräns- och kustbevakningsbyråns rätt att behandla personuppgifter begränsats till bara vissa situationer. Bestämmelserna motsvarar 39 § 1 mom. 3 punkten i den gällande lagen. Tillsammans med den föreslagna 1 punkten gör bestämmelsen det möjligt att lämna ut uppgifter också i enlighet med Europaparlamentets och rådets förordning (EU) nr 1052/2013 om inrättande av ett europeiskt gränsövervakningssystem (Eurosur). 
Momentets 3 punkt innehåller en bestämmelse motsvarande 39 § 1 mom. 8 punkten i den gällande lagen beträffande utlämnandet av uppgifter till en sådan tjänsteman från en medlemsstat i Europeiska unionen som lämnar sådant gränssäkerhetsbistånd som avses i 15 d § 1 mom. i gränsbevakningslagen, för vidtagande av åtgärder som den biståndsbegäran som Finland framställt förutsätter. 
Enligt paragrafens 2 mom. får de uppgifter som avses i paragrafen lämnas ut också som en datamängd. EU-staterna använder en elektronisk, skyddad informationsutbyteskanal. 
35 §. Vissa internationella informationssystem. I paragrafens 1 mom. föreskrivs om Gränsbevakningsväsendets rätt att trots sekretessbestämmelserna lämna ut personuppgifter för registrering i Schengens informationssystem. Tilläggsinformation ska lämnas ut genom förmedling av centralkriminalpolisen. Uppgifterna får lämnas ut också som en datamängd. Regleringen motsvarar till sitt sakinnehåll gällande lagstiftning, men den materiella bestämmelsen om rätten att till systemet lämna Gränsbevakningsväsendets personuppgifter ska överföras från lagen om behandling av personuppgifter i polisens verksamhet till lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
I 2 mom. föreskrivs om Gränsbevakningsväsendets rätt att trots sekretessbestämmelserna lämna ut personuppgifter till de brottsbekämpande myndigheterna i Europeiska unionen med iakttagande av det som föreskrivs Europaparlamentet och rådets förordning (EU) 2016/794 och i den lag som kompletterar förordningen (214/2017). 
36 §. Övrigt utlämnande av uppgifter till utlandet. På utlämnandet av personuppgifter till tredjeländer och internationella organisationer tillämpas till alla delar bestämmelserna i kapitel V i dataskyddsförordningen samt i 7 kap. i dataskyddslagen avseende brottmål. Paragrafen innehåller dock till denna del vissa preciserande bestämmelser. Regleringen motsvarar till sakinnehållet i huvudsak 39 § i den gällande lagen. 
I 1 mom. finns en bestämmelse i fråga om personuppgifter som omfattas av tillämpningsområdet för dataskyddslagen avseende brottmål, som ger Gränsbevakningsväsendet rätt att trots sekretessbestämmelserna lämna ut uppgifter.  
Paragrafens 2 mom. 1 punkten innehåller en bestämmelse motsvarande 39 § 1 mom. 5 punkten i den gällande lagen om utlämnande av uppgifter till myndigheter som avses i överenskommelsen angående ordningen på gränsen mellan Finland och Sovjetunionen och ordningen för utredning av gränstilldragelser (FördrS 32/1960) för utförande av de uppdrag som avses i överenskommelsen. 
1 mom. 2 punkten ersätter 39 § 1 mom. 6 och 7 punkten i den gällande lagen och ger Gränsbevakningsväsendet rätten att trots sekretessbestämmelserna lämna ut personuppgifter till en myndighet som ansvarar för gränsövervakningen i en annan stat, om uppgifterna är nödvändiga med tanke på utförandet av gränsövervakningen. 
I 3 punkten föreskrivs på samma sätt som i 39 § 1 mom. 4 punkten i den gällande lagen om utlämnande av personuppgifter till behöriga myndigheter som avses i internationella förpliktelser om återtagande av personer som olagligen inkommit och vistas i landet för utförande av de uppdrag som avses i de internationella förpliktelserna. I punkten infogas också ett omnämnande av andra arrangemang om återtagande för sådana situationer när en person återsänds till en stat som Finland inte har ett avtal om återtagande med. 
Paragrafens 2 mom. innehåller en bestämmelse motsvarande 39 § 3 mom. i den gällande lagen om utlämnande av personuppgifter om förvärv, innehav, överföring, införsel och utförsel av skjutvapen, vapendelar, patroner och särskilt farliga projektiler till de myndigheter som ansvarar för vapentillsynen i en annan stat, om det för vapentillsynen är nödvändigt att uppgifterna lämnas ut. Bestämmelser gäller också överlåtelse av uppgifter till myndigheterna i EU:s medlemsstater. Bestämmelsen inbegriper också sådant utbyte av information som avses i artikel 13.4 i Europaparlamentets och rådets direktiv (EU) 2017/853 om ändring av rådets direktiv 91/477/EEG om kontroll av förvärv och innehav av vapen (nedan vapendirektivet). Enligt artikel 13.4 i vapendirektivet ska medlemsstaternas behöriga myndigheter på elektronisk väg utbyta information om tillstånd som beviljats för överföring av skjutvapen till en annan medlemsstat samt information om avslag på ansökningar om tillstånd av säkerhetsskäl eller med avseende på den berörda personens pålitlighet. 
Enligt paragrafens 3 mom. får de uppgifter som avses i paragrafen lämnas ut också som en datamängd. 
37 §. Förfarande när uppgifter lämnas ut. I paragrafen föreskrivs om beslutsfattandet som gäller rätten att lämna ut personuppgifter i Gränsbevakningsväsendets personregister, ifall utlämnandet sker genom en teknisk anslutning eller som en datamängd eller om det är fråga om att andra än enstaka uppgifter ska lämnas till utlandet (1 mom.). På utlämnandet av enskilda personuppgifter ska även framöver tillämpas 17 och 17 a – 17 d § i Gränsbevakningsväsendets förvaltningslag. 
När uppgifter lämnas ut genom en teknisk anslutning, är det svårare för den personuppgiftsansvarige att övervaka skyddandet och användningen av personuppgifter. Om utlämnande av uppgifter med en teknisk anslutning ska man, såsom nu, alltid komma överens om separat mellan den personuppgiftsansvarige och utlämnaren eller mottagaren av informationen. Bestämmelserna i det föreslagna 4 kap. ger alltså inte som sådana mottagaren rätten att få personuppgifter som behandlas av Gränsbevakningsväsendet genom en teknisk anslutning utan ett separat beslut. Beslutet om utlämnandet av uppgifter ska fattas av den personuppgiftsansvarige eller den förvaltningsenhet som den personuppgiftsansvarige har förordnat till uppgiften. Den personuppgiftsansvarige kan i varje enskilt fall separat bedöma om det är motiverat att öppna en teknisk anslutning. 
Enligt paragrafens 2 mom. ska uppgifternas art beaktas på samma sätt som enligt 29 § 2 mom. i den gällande lagen, när beslut om utlämnande fattas. I momentet ska även föreskrivas för mottagaren av uppgifterna en skyldighet att för den personuppgiftsansvarige lägga fram en tillförlitlig utredning om att personuppgifterna skyddas på behörigt sätt innan de lämnas ut. 
Enligt paragrafens 3 mom. ska kvaliteten på de uppgifter som lämnas ut bekräftas och uppgifterna ska om möjligt förses med information som gör det möjligt för mottagaren att bedöma hur korrekta, fullständiga, aktuella och tillförlitliga uppgifterna är. Om det framgår att felaktiga uppgifter har lämnats ut eller att uppgifter lämnats ut i strid med lag, ska också detta utan dröjsmål meddelas mottagaren. Bestämmelsen motsvarar 28 § 4 mom. i den gällande lagen. Syftet med kraven är att både den personuppgiftsansvarige och mottagaren av uppgifterna har möjlighet att säkerställa att personuppgifter behandlas på det sätt som dataskyddslagstiftningen förutsätter. Vid utlämnanden ska den personuppgiftsansvarige även ta hänsyn till de särskilda förutsättningarna gällande behandlingen av personuppgifter som baserar sig på dataskyddsförordningen eller dataskyddslagen avseende brottmål. Sådana är bl.a. begränsningar i fråga om användningen av personuppgifter som fåtts från en annan myndighet eller stat och om vilka det ska göras en anteckning.  
5 kap. Radering och arkivering av personuppgifter
Enligt artikel 5.1 e i dataskyddsförordningen och artikel 4.1 e i dataskyddsdirektivet får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. I kapitlet föreskrivs om de maximala bevaringstiderna för personuppgifter. Bestämmelserna i kapitlet begränsar inte tillämpningen av bestämmelser om radering av uppgifter eller bedömning av behövlighet någon annanstans i lag, utan de raderingstider som nämns i kapitlet ska iakttas ifall inte någon annan bestämmelse förutsätter att uppgifterna ska raderas redan tidigare. 
I den gällande lagen hänvisas det i fråga om personuppgifter som samlas i informationssystem som upprätthålls av polisen till raderingsbestämmelserna i lagen om behandling av personuppgifter i polisens verksamhet och i fråga om personuppgifter som behandlas inom militärrättsvården till raderingsbestämmelserna i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. Med tanke på lagstiftningens tydlighet kan detta inte betraktas som en fungerande lösning, utan raderingstiderna för personuppgifter som behandlas enligt lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ska framgå av samma lag. Till den del det är fråga om personuppgifter som behandlas i system som upprätthålls av polisen och personuppgifter som behandlas inom militärrättsvården motsvarar de föreslagna raderingsbestämmelserna det som i lagen om behandling av personuppgifter i polisens verksamhet och den nya lagen om behandling av personuppgifter inom Försvarsmakten föreslås beträffande nämnda uppgifter. 
38 §. Radering av personuppgifter som behandlas vid gränskontroll samt för upprätthållande av gränssäkerheten och gränsordningen. Enligt huvudregeln ska personuppgifter som behandlas vid gränsövervakning samt för upprätthållande av gränssäkerheten och gränsordningen raderas senast fem år efter att den sista uppgiften antecknades. Bestämmelsen motsvarar 32 § 2 mom. i den gällande lagen. Med stöd av bestämmelsen raderas behövliga uppgifter om specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser, uppgifter som avses i bilaga II till kodexen om Schengengränserna, uppgifter om personers och fordons rörelse och position i närheten av gränsen samt signalementsuppgifter som behövs för att konstatera identiteten.  
Raderingsbestämmelsen på fem år ska även gälla uppgifterna i Gränsbevakningsväsendets register för fältledning, som grundats med stöd av 6 § i den gällande lagen. Till den här delen innebär bestämmelsen en ändring till gällande reglering, enligt vilken nämnda uppgifter ska raderas senast två år efter registreringen, om de inte fortfarande behövs för planeringen, genomförandet och övervakningen av verksamheten (30 § i den gällande lagen). Förlängningen av bevaringstiden gör behandlingen av personuppgifter vid gränsövervakning samt för upprätthållande av gränssäkerheten och gränsordningen enhetligare i situation där det avstås från reglering enligt register. 
Paragrafens 2 mom. innehåller raderingstider som avviker från huvudregeln. Tillståndsuppgifter ska raderas tio år efter att ett tillstånd upphörde att gälla (1 punkten) och anmälningsuppgifter tio år efter att uppgiften antecknades i registret (2 punkten). Till den här delen motsvarar regleringen den gällande regleringen med undantag av vissa lagtekniska specifikationer. 
2 mom. 3 punkten är ny jämfört med gällande lag. I punkten föreskrivs uttryckligen om raderingen av upptagningar från sådan teknisk övervakning som avses i 29 § i gränsbevakningslagen. Enligt den gällande lagen har upptagningar från teknisk övervakning ansetts vara en del av övervakningsuppgifter av land- och sjögränsen i registret för övervakningsärenden, vars raderingstid är fem år. Raderingstiden på fem år är emellertid onödigt lång för upptagningar från teknisk övervakning, och i praktiken har upptagningarna bevarats under en betydligt kortare tid, högst några månader. Enligt den föreslagna 3 punkten ska upptagningar från teknisk övervakning raderas senast sex månader efter att upptagningen uppkom. Detta kan betraktas som en operativt tillräcklig bevaringstid samt som rimlig även med tanke på skyddet för privatlivet. 
Enligt 4 punkten ska uppgifter om påförande av påföljdsavgift för transportör raderas tio år efter att uppgifterna antecknades i registret. Regleringen motsvarar gällande lag. I 5 punkten ingår jämfört med den gällande lagen en ny bestämmelse, som gäller raderingen av uppgifter om inreseförbud. Bestämmelsen motsvarar det som i lagen om behandling av personuppgifter i polisens verksamhet förslås beträffande raderingen av nationella inreseförbud. 
I 6 punkten föreskrivs om raderingen av uppgifter om andra gränsbevakningsmyndigheters verksamhet och deras sammansättning samt gränssituationen i Finland och Europeiska unionen. Bevaringstiden är, motsvarande 34 § i den gällande lagen, 25 år efter att den senaste uppgiften antecknats. Den långa bevaringstiden är ändamålsenlig, eftersom uppgifterna även har betydelse med tanke på tryggandet av den nationella säkerheten. 
I 7 punkten föreskrivs om ett undantag som gäller raderingen av säkerhetsuppgifter. Med avvikelse från huvudregeln i första momentet ska säkerhetsuppgifter raderas senast ett år efter den registrerades död. Med detta möjliggörs bevarandet av uppgifter om t.ex. en persons farlighet eller hälsotillstånd så länge som det behövs för att garantera säkerheten för personen själv eller för personer som hör till Gränsbevakningsväsendets personal. Uppgifter som inte är nödvändiga eller som är felaktiga ska dock raderas omedelbart. 
Enligt paragrafens 3 mom. får dock alla i 1 och 2 mom. avsedda uppgifter fortfarande bevaras, om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. Bevaringen av uppgifter ska därmed vara möjligt t.ex. under den tid en utredning om tjänstebrott pågår. I momentet föreskrivs också om skyldighet att bedöma behovet av att bevara uppgifter minst vart femte år. På motsvarande sätt som nu kan nödvändigheten av att fortfarande bevara information även bedömas enligt informationskategori så att man genom ett separat beslut kan radera t.ex. uppgifter som gäller vissa grupper utan att uppgifterna behöver genomgås individuellt. Bestämmelsen motsvarar den reglering som föreslås i 40–42 och 45 §. 
39 §. Radering av uppgifter om passagerare inom flygtrafiken.Enligt paragrafens 1 mom. ska sådana passageraruppgifter som avses i 23 § raderas senast 24 timmar efter att de lämnades till gränskontrollmyndigheten när passagerarna reste in i eller ut ur landet, om inte uppgifterna behövs för någon annan uppgift som Gränsbevakningsväsendet, polisen eller Tullen enligt lag ska utföra. Till denna del motsvarar regleringen 20 § 3 mom. i den gällande lagen, som grundar sig på API-direktivet. Uppgifter om passagerare och besättning som gäller andra trafikformer raderas i enlighet med den bestämmelse om radering i 2 kap. som gäller ändamålet med behandlingen av uppgifterna. 
Som en ny sak innehåller paragrafens 1 mom. en informativ hänvisning till hur de passageraruppgifter inom flygtrafiken (API-uppgifter) som avses i den föreslagna 23 § ska behandlas inom tillämpningsområdet för det s.k. PNR-direktivet (Europaparlamentets och rådets direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet). Enligt bilaga I till direktivet hör även API-uppgifter till PNR-uppgifter, ifall sådana har samlats. Till den här delen ska på behandlingen av API-uppgifter efter 24 timmar även tillämpas bestämmelserna i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet. I praktiken innebär detta att API-uppgifterna raderas från Gränsbevakningsväsendets personregister, ifall det inte finns en sådan grund för bevarandet av uppgifter som avses i 1 mom. Uppgifterna ska överföras som en datamängd till polisens registerföring, varefter de behandlas i enlighet med nämnda lag. 
I paragrafens 2 mom. finns en bestämmelse som motsvarar 20 § 3 mom. i gällande. Enligt den ska den som lämnar passageraruppgifter inom flygtrafiken radera de personuppgifter som han eller hon har inhämtat och lämnat till gränskontrollmyndigheterna senast 24 timmar efter att det trafikmedel som har använts vid transporten har anlänt till destinationen, ifall inte något annat föreskrivs. 
40 §. Radering av personuppgifter som anknyter till brottmål. I 31 § i den gällande lagen hänvisas det beträffande raderingen av uppgifter i anknytning till ett brottmål till 22 § i lagen om behandling av personuppgifter i polisens verksamhet. I den föreslagna paragrafen skrivs bestämmelserna ut och i dem görs de innehållsmässiga justeringar som föreslås till lagen om behandling av personuppgifter i polisens verksamhet. Till bevaringstider av personuppgifter föreslås inga stora förändringar. 
Det är fråga om raderingen av brottsanmälningsuppgifter, uppgifter som ansluter sig till förundersökning av brottmål, signalementsuppgifter och andra personuppgifter som ansluter sig till brottmål. Med personuppgifter som ansluter sig till ett brottmål avses alla personuppgifter som samlats i förundersökningssyfte och vars raderingstider det är ändamålsenligt att harmonisera med raderingstider av uppgifter gällande brottsanmälan. Exempelvis efterlysningsuppgifter i anslutning till undersökningssyften samt meddelandeuppgifter som behandlas för att allmänheten ska kunna underrättas och för att tips från allmänheten ska kunna fås får eller för att rikta undersökningsmyndigheters övervakning ska framöver raderas med iakttagande av bevaringstiden för det brottmål till vilket uppgifterna ansluter sig. Bevaringstiderna ska alltjämt vara beroende av det hur grov gärningen är. I bestämmelsen beaktas dessutom den mer sårbara situationen för minderåriga personer som har begått ett brott. 
Enligt paragrafens 1 mom. ska uppgifterna i ett brottmål raderas fem år efter att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till böter eller till ett fängelsestraff på högst ett år, tio år efter att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på högst fem år och tjugo år efter att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till fängelse i över fem år. Med de föreslagna bevaringstiderna ska man, på samma sätt som enligt den gällande regleringen, se till att uppgifterna bevaras i Gränsbevakningens personregister minst den tid det tar att ärendet har behandlats och ett en lagakraftvunnen lösning inom rättsväsendet har nåtts. Bevaringstiden avkortas från tio till fem år i fråga om sådana brottmål som överförts till åklagaren där det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på högst ett år. Den kortare bevaringstiden bedöms vara tillräcklig för att säkerställa att uppgifterna bevaras fram till ett lagakraftvunnet avgörande.  
De uppgifter som avses i 1 mom. raderas enligt 2 mom. dock tidigast ett år efter det att åtalsrätten för brottet har preskriberats. 
Uppgifter i övriga brottmål ska enligt 3 mom. raderas ett år efter att åtalsrätten för det sista misstänkta brottet preskriberats, dock tidigast fem år efter att brottmålet registrerades. En bevaringstid på minst fem år motsvarar preskriptionstiden för åtalsrätten för tjänstebrott och behövs för att garantera rättsskyddet både för målsäganden och för tjänstemän vid Gränsbevakningsväsendet. 
I paragrafens 4 mom. föreskrivs om raderingen av signalementsuppgifter som har registrerats för att identifiera personer misstänkta för brott, för att utreda ett brott och för att registrera personer som begått brott. Uppgifterna ska raderas senast tio år efter att den sista uppgiften om en person misstänkt för brott infördes. Uppgifterna ska dock raderas senast tio år efter den registrerades död, om det strängaste föreskrivna straffet för det grövsta brott som använts som grund för registrering är fängelse i minst ett år. Med de föreslagna ändringarna förkortas raderingstiderna enligt den gällande lagen betydligt, när det gäller mindre grova brottmål. Om raderingen av registrerade spår från en okänd gärningsman, som inte har identifierats, i anslutning till ett brott ska inte längre föreskrivas separat utan uppgifterna ska med iakttagande av raderingstiden för övriga brottmål enligt 2 mom. raderas ett år efter att åtalsrätten för brottet preskriberats. 
I 5 mom. beaktas minderåriga personer misstänkta för brott. Syftet med momentet är att trygga iakttagandet av barnets intressen enligt konventionen om barnets rättigheter. Enligt gällande reglering raderas uppgifter om en registrerad person som vid ingåendet brottet inte hade fyllt 15 år efter att personen fyllt 18 år, ifall han eller hon inte har gjort sig skyldig till ett brott efter att ha fyllt 15. Uppgifterna ska dock inte raderas på denna grund, om anmälan även gäller andra misstänkta för brottet och uppgifterna om dem ännu inte raderas eller om någon av anteckningarna gäller en brottslig gärning för vilken inte föreskrivs någon annan påföljd än fängelse. Det har dock visat sig vara problematisk att genomföra nämnda bestämmelse. Betydelsen av den gällande raderingsbestämmelsen med tanke på skyddet för den registrerades privatliv är dock liten, eftersom det i brottsanmälningar som gäller personer som inte fyllt 15 år ofta även finns andra registrerade, varför raderingsbestämmesen i praktiken bara leder till raderingen av uppgifterna för en bråkdel av de personer som registrerats när de inte hade fyllt 15 år. 
Enligt det föreslagna 5 mom. ska signalementsuppgifterna för registrerade personer under 15 år raderas senast fem år efter att den sista uppgiften om den för brott misstänkta personen infördes, om inte någon av uppgifterna gäller ett brott för vilket det inte föreskrivs någon annan påföljd än fängelse. Annars raderas uppgifter om personer som var under 15 år när brottet begicks enligt de allmänna bestämmelserna som föreslagits till paragrafen. Exempelvis en brottsanmälan där enbart en person som inte fyllt 15 år har registrerats, ska enligt 2 mom. raderas fem år efter att brottmålet registrerades, eftersom brottmålet inte överförs till åklagaren. 
För att trygga skyddet för den registrerades privatliv föreskrivs det i paragrafens 6 mom. om en undantagsbestämmelse. Enligt den ska de signalementsuppgifter som behövs för att fastställa identiteten raderas senast ett år efter att uppgiften infördes, om det vid utredningen har framgått att inget brott har begåtts eller att det inte längre finns skäl att misstänka personen för brott. 
Enligt paragrafens 7 mom. får dock alla i 1–5 mom. avsedda personuppgifter som anknyter till brottmål dock fortfarande bevaras, om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. Bevaringen av uppgifter ska därmed vara möjligt t.ex. under den tid en utredning om tjänstebrott pågår. Det kan också finnas behov av att förlänga efterlysningstiden för t.ex. fordon för att det ska vara möjligt att returnera egendomen till ägaren. 
Enligt 7 mom. ska det med avvikelse från nuläget även vara möjligt att bevara uppgifter av någon annan grundad anledning. En annan grundad anledning för att bevara uppgifterna kan vara t.ex. behov av att förlänga giltighetstiden för efterlysningen av ett försvunnet skjutvapen trots att undersökningen redan har avslutats. I momentet föreskrivs även om skyldigheten att bedöma nödvändigheten av fortsatt bevarande av uppgifterna minst vart femte år. Tiden för bedömningen av nödvändigheten (fem år) motsvarar den tiden som föreskrivits för bedömningen av nödvändigheten i 6 § i dataskyddslagen avseende brottmål. På motsvarande sätt som nu kan nödvändigheten av att bevara information vidare även bedömas enligt informationskategori så att man genom ett separat beslut till exempel kan radera uppgifter gällande vissa grupper utan att uppgifterna behöver genomgås individuellt. Bestämmelsen motsvarar den reglering som föreslås i 38, 41, 42 och 45 §. 
41 §.Radering av andra personuppgifter som behandlas för utredning av brott och av personuppgifter som behandlas för upprätthållande av allmän ordning och säkerhet. I 31 § i den gällande lagen hänvisas beträffande raderingen av sådana personuppgifter som avses i paragrafen till 22 § i lagen om behandling av personuppgifter i polisens verksamhet. I den föreslagna paragrafen skrivs bestämmelserna ut och i dem görs de innehållsmässiga justeringar som föreslås till lagen om behandling av personuppgifter i polisens verksamhet. Genom bestämmelsen innefattas personuppgifter som behandlas för sådana syften som avses i 6 och 7 § och som inte anknyter till förundersökning. Med stöd av paragrafen raderas därmed i synnerhet personuppgifter som behandlas för upprätthållande av allmän ordning och säkerhet. Det kan t.ex. gälla radering av uppgifter i anmälningar som ansluter sig till nämnda uppgifter samt om radering av vissa efterlysningsuppgifter och säkerhetsuppgifter. 
Enligt paragrafens 1 mom. ska personuppgifter som behandlas för andra syften än förundersökningssyften bevaras i fem års tid efter att anmälan eller ärendet registrerades, om inte de hänför sig till ett brottmål som utreds. 
I paragrafens 2 mom.1 punkten föreskrivs om raderingen av personuppgifter som behandlas för att en person ska kunna påträffas, övervakas, observeras och skyddas i fråga om personer som är efterlysta eller har meddelats reseförbud. Bevaringstiderna av nämnda uppgifter baserar sig, med avvikelse från huvudregeln i 1 mom., på fastställande, annullering eller upphörande av en efterlysning eller ett förbud. En bevaringstid som baserar sig på registrering av en anmälan eller ett ärende kan leda till situationer i vilka personuppgifter som ansluter sig till ärendet ska raderas medan efterlysningen eller förbudet alltjämt är i kraft eller omedelbart efter att ikraftvarandet upphört. Om raderingen av inreseförbud föreskrivs i 38 §. 
Med avvikelse från nuvarande bestämmelser föreslås det inte en separat bestämmelse angående raderingen av uppgifter om fordon som söks eller egendomsuppgifter utan efterlysningsuppgifter som ansluter sig till undersökningar ska raderas enligt bevaringstiden för den anmälan eller det ärende till vilken efterlysningsuppgifterna har anknytning. Uppgifterna ska raderas när de inte längre behövs för behandlingen av ett ärende, för utförande av ett uppdrag eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. 
I 2 punkten föreskrivs på samma sätt som i nuvarande lag om ett undantag som gäller raderingen av säkerhetsuppgifter. Med avvikelse från huvudregeln i första momentet ska säkerhetsuppgifter raderas senast ett år efter den registrerades död. Med detta möjliggörs bevarandet av uppgifter om t.ex. en persons farlighet eller hälsotillstånd så länge som det behövs för att garantera säkerheten för personen själv eller för personer som hör till Gränsbevakningsväsendets personal. Uppgifter som inte är nödvändiga eller som är felaktiga ska dock raderas omedelbart. 
I paragrafens 3 mom. föreskrivs om ett undantag som gäller alla uppgifter som avses i 1 och 2 mom. Uppgifterna får fortfarande bevaras, om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. Bevaringen av uppgifter ska därmed vara möjligt t.ex. under den tid en utredning om tjänstebrott pågår. Med avvikelse från nuläget ska det även vara möjligt att bevara uppgifter av någon annan grundad anledning. I momentet ska det på motsvarande sätt som i 38, 40, 42, och 45 § föreskrivas om skyldigheten att bedöma nödvändigheten av fortsatt bevarande av uppgifterna minst vart femte år. 
De uppgifter som avses i 6 § 3 mom., som behandlas för bedömning av deras betydelse, ska raderas genast efter att de har bedömts vara onödiga. Uppgifterna ska dock raderas senast sex månader efter att anteckningen infördes. Om raderingen av uppgifter ska det med anledning av behandlingens exceptionella natur föreskrivas direkt i samband med bestämmelsen om behandlingen i 6 § 3 mom. De uppgifter som anses vara behövliga och som uppfyller förutsättningarna för behandling enligt 6 och 7 § ska raderas med iakttagande av de raderingstider som föreskrivs för i 6 och 7 § avsedda uppgifter. 
42 §. Radering av personuppgifter som behandlas för förbyggande och avslöjande av brott. Enligt det föreslagna 1 mom. ska personuppgifter som behandlas för förebyggande och avslöjande av brott raderas senast tio år efter att den sista uppgiften om ett brott, brottslig verksamhet eller ett uppdrag infördes. Den föreslagna huvudregeln motsvarar bestämmelsen i 33 § den gällande lagen, när det gäller raderingen av uppgifter ur Gränsbevakningsväsendets register över personer misstänkta för brott, men i fortsättningen ska bestämmelsen gälla alla personuppgifter som med stöd av 8 och 9 § behandlas för att förebygga och avslöja brott. 
En kortare bevaringstid än den nuvarande ska gälla för observationsuppgifter. Uppgifterna ska raderas inom sex månader från anteckningen. Genom detta tar man hänsyn till det att observationsuppgifter till sin natur är opålitliga och ska inte bevaras längre än nödvändigt. 
Säkerhetsuppgifter som behandlas för förbyggande och avslöjande av brott ska på samma sätt som de säkerhetsuppgifter som avses i 38 och 41 § raderas senast ett år efter den registrerades död. Med detta möjliggörs bevarandet av uppgifter som t.ex. ansluter sig till en persons farlighet eller hälsotillstånd så länge som det är nödvändigt för att trygga säkerheten för personen själv eller för personer som hör till Gränsbevakningsväsendets personal. 
Exempelvis personuppgifter som ansluter sig en brottsanalys som genomförs för att förebygga eller avslöja brott och som behandlas i administrationsenhets- eller arbetsgruppsbundna personregister som inrättats enligt 4 § i den gällande lagen ska raderas enligt den föreslagna paragrafen. Enligt 35 § i den gällande lagen raderas uppgifter från personregister som har inrättats för en eller flera förvaltningsenheter eller för en arbetsgrupp, då tio år har förflutit sedan den gärning, åtgärd eller händelse som föranledde registreringen antecknades, om inte uppgifterna fortfarande behöver bevaras på grund av undersökning eller övervakning. Enligt den gällande lagen raderas personuppgifter dock inte om de inbegriper uppgifter som hänför sig till en persons egen säkerhet eller säkerheten i arbetet inom Gränsbevakningsväsendet.  
Införandet av samma systematiska bevaringstider för alla personuppgifter som behandlas enligt 8 och 9 § för att förebygga och avslöja brott klarlägger och förenklar raderingen av uppgifter med tanke på såväl genomförandet av system som den registrerade personens rättsskydd. Samtidigt försäkrar man möjligheterna att förebygga och avslöja brott som med beaktande av hotpotentialen är större och allvarligare. 
Det föreslagna 2 mom. ska innehålla en bestämmelse motsvarande 38 § 3 mom., 40 § 7 mom. och 41 § 3 mom., enligt vilken personuppgifter fortfarande får bevaras, om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. På samma sätt som i 38, 40, 41 och 45 § ska nödvändigheten av fortsatt bevarande av uppgifterna bedömas minst vart femte år. Som garanti på skyddet för privatlivet fungerar även de allmänt tillämpade bestämmelserna i 6 § i dataskyddslagen avseende brottmål, som gäller nödvändigheten av att behandla personuppgifter. 
De uppgifter som avses i 8 § 6 mom., som behandlas för bedömning av deras betydelse, ska raderas genast efter att de har bedömts vara onödiga. Uppgifterna ska dock raderas senast sex månader efter att anteckningen infördes. Om raderingen av uppgifter ska det med anledning av behandlingens exceptionella natur föreskrivas direkt i samband med bestämmelsen om behandlingen i 8 § 6 mom. De uppgifter som anses vara behövliga och som uppfyller förutsättningarna för behandling enligt 8 och 9 § ska raderas med iakttagande av de raderingstider som föreskrivs för i 8 och 9 § avsedda uppgifter. 
Regleringen motsvarar den reglering som föreslås i lagen om behandling av personuppgifter i polisens verksamhet. 
43 §. Radering av uppgifter om informationskällor. Det föreslås att bestämmelserna om raderingen av informationsskällor ska finnas i en separat paragraf. Förslaget motsvarar de ändringar som föreslås till 2 kap. och genom vilka behandlingen av uppgifter om informationskällor överförs till en separat 10 §. Enligt den gällande lagen är uppgifterna om informationskällor en del av undersöknings- och handräckningsregistret, och på deras radering tillämpas 22 § 1 mom. 9 punkten i den gällande lagen om behandling av personuppgifter i polisens verksamhet. Enligt den gällande bestämmelsen ska uppgifter om en informationskälla utplånas då tio år har förflutit från den sista anteckningen om informationen. Regleringen föreslås bli ändrad så att det föreskrivs en maximal bevaringstid på tio år för uppgifterna. Genom ändringen beaktas att det ska vara möjligt att radera uppgifterna också tidigare än efter tio år, t.ex. om uppgifterna inte längre behövs med tanke på ändamålet med behandlingen. 
44 §. Radering av personuppgifter som behandlas inom militärrättsvården. I den gällande lagen föreskrivs om raderingen av personuppgifter som behandlas inom militärrättsvården genom att hänvisa till lagen om militär disciplin och brottsbekämpning inom försvarsmakten. För att klarlägga regleringen ska raderingsbestämmelserna skrivas in i lagen. Regleringen motsvarar den reglering som föreslås i lagen om behandling av personuppgifter inom Försvarsmakten. De föreslagna raderingstiderna skiljer sig i någon mån från bestämmelserna i den föreslagna 40 § i fråga om uppgifter som gäller förundersökning. 
I paragrafens 1 mom. föreskrivs om bevaringstiderna för uppgifter om anmärkning, extra tjänstgöring, utegångsförbud, disciplinbot och arrest. De föreslagna bevaringstiderna är de samma som bevaringstiderna för uppgifter i det nuvarande registret för militärdisciplinavgöranden, dvs. rättsläget ändras inte till den här delen. 
I paragrafens 2 mom. föreskrivs om bevaringstiderna av straff som en domstol har påfört i ett militärrättegångsförfarande. Momentet täcker andra påföljder än de som avses i 1 mom. Till sin natur är bestämmelsen en hänvisning, dvs. bevaringstiderna i bestäms i den situation som avses i momentet med iakttagande av vad som föreskrivs i straffregisterlagen (770/1993) och i lagen om verkställighet av böter (672/2002). Den nuvarande lagen om militär disciplin och brottsbekämpning inom försvarsmakten innehåller inte en motsvarande hänvisningsbestämmelse, men i praktiken har lagstiftningen tolkats enligt den föreslagna bestämmelsen när det gäller bot- och fängelsestraff. Rättsläget ändras därmed inte, men det ska skrivas in i lagen på entydigt sätt. 
Enligt 10 § i mom. 1 punkten i straffregisterlagen raderas uppgifter om villkorligt fängelse och om böter, samhällstjänst eller övervakning som har dömts ut utöver villkorligt fängelse, om ungdomsstraff, böter i stället för ungdomsstraff samt om avsättning och samfundsbot sedan fem år förflutit från det den lagakraftvunna domen gavs. Enligt 2 punkten raderas uppgifter om ovillkorligt fängelsestraff på högst två år, om övervakningsstraff och om samhällstjänst sedan tio år förflutit från det den lagakraftvunna domen gavs. Enligt 3 punkten raderas uppgifter om ovillkorligt fängelsestraff på över två och högst fem år samt om dom genom vilken någon lämnats obestraffad med stöd av 3 kap. 4 § 1 och 2 mom. i strafflagen sedan tjugo år förflutit från det den lagakraftvunna domen gavs. Enligt paragrafens 2 mom. raderas en uppgift om ett enskilt straff dock inte, om straffregistret innehåller sådana uppgifter om den registrerade som enligt 1 mom. ännu inte kan raderas. Alla uppgifter om den registrerade raderas dock ur straffregistret när han har avlidit eller då nittio år förflutit sedan hans födelse. Ett benådningsbeslut inverkar inte på raderingen av straffregisteruppgifter. 
Enligt 52 § i lagen om verkställighet av böter ska uppgifterna i bötesregistret raderas fem år efter det att verkställigheten av den i nämnda lag avsedda påföljd som uppgifterna hänför sig till har slutförts. 
I paragrafens 3 mom. föreskrivs att om en person har straffats genom ett beslut av domstol eller i ett militärdisciplinförfarande oftare än en gång, ska uppgifterna raderas ur registret för militärrättsvården fem år efter det sista disciplinära straffet. Bestämmelsen motsvarar gällande reglering. 
I paragrafens 4 mom. föreskrivs om bevaringen av uppgifter som gäller en förundersökning. De föreslagna bevaringstiderna motsvarar den gällande regleringen med undantag av 5 punkten. Det föreslås att 5 punkten ändras så att begreppet ”den registrerade” ändras till ”den brottsmisstänkte”. En person som registrerats i registret för militärrättsvården kan utöver den brottsmisstänkte även vara t.ex. en sakägande eller ett vittne i ett brottmål. Den gällande bestämmelsen förutsätter t.ex. att personuppgifterna raderas ur registret när sakäganden dör, vilket klart är problematiskt med tanke på utredningen av brottet. Om en annan part dör, leder detta inte normalt till att ärendet är slutbehandlat, och det att en sådan annan part dör kan inte heller leda till skyldigheten att radera personuppgifterna om honom eller henne ur registret. Bevarandet av uppgifter tio år efter att den sista uppgiften om den registrerade infördes, som avses i 6 punkten, är alternativet i sista hand i situationer där ingen av punkterna 1–5 uppfylls. 
Enligt 5 mom. ska säkerhetsinformation raderas senast ett år efter den registrerades död. Med detta möjliggörs bevarandet av uppgifter som t.ex. ansluter sig till en persons farlighet eller hälsotillstånd så länge som det är nödvändigt för att trygga säkerheten för personen själv eller för personer som hör till Gränsbevakningsväsendets personal. Uppgifter som inte är nödvändiga eller som är felaktiga ska dock raderas omedelbart. 
45 §. Radering av andra personuppgifter. I paragrafen föreskrivs om raderingen av personuppgifter som behandlas i Gränsbevakningsväsendets övriga lagstadgade uppgifter, som avses i 13 §. Enligt paragrafens 1 mom. raderas personuppgifterna fem år efter att uppgifterna infördes i registret om det inte finns någon särskild orsak att fortsatt bevara dem med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. I momentet ska det på motsvarande sätt som i 38 och 40–42 § föreskrivas om skyldigheten att bedöma nödvändigheten av fortsatt bevarande av uppgifterna minst vart femte år. 
Enligt 2 mom. ska personuppgifter som gäller utlänningar som tagits i förvar dock raderas fem år efter att den sista uppgiften antecknades, uppgifter om näringsförbud ska raderas fem år efter att näringsförbudet upphörde och de säkerhetsuppgifter som avses i 13 § 2 mom. 4 punkten senast ett år efter den registrerades död. Genom raderingsbestämmelsen om säkerhetsuppgifter möjliggörs bevaringen av uppgifter som t.ex. ansluter sig till en persons farlighet eller hälsotillstånd så länge som det är nödvändigt för att trygga säkerheten för personen själv eller för personer som hör till Gränsbevakningsväsendets personal. Onödiga eller felaktiga uppgifter ska dock raderas omedelbart. 
Paragrafen ersätter bestämmelsen i 32 § 2 mom. i den gällande lagen, när det gäller raderingstiderna för uppgifter om övervakning av sjötrafiken och den ekonomiska zonen som sparas i registret för övervakningsärenden och uppgifter om utlänningar som har tagits i förvar samt bestämmelserna i 34 § om raderingen av uppgifter ur registret över säkerhetsuppgifter. Raderingstiderna ändras inte från det nuvarande läget. 
46 §. Uppgifter som konstaterats vara felaktiga.Paragrafen motsvarar till sakinnehållet 36 § i den gällande lagen. Genom den föreslagna bestämmelsen blir det möjligt att bevara felaktiga uppgifter i registret tillsammans med den rättade uppgiften, om detta är nödvändigt för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har (1 mom.). Felaktiga uppgifter får inte användas för andra ändamål. Enligt 2 mom. ska en uppgift som konstaterats vara felaktig raderas genast när den inte längre behövs för att trygga rättigheterna. 
Enligt artikel 5 i dataskyddsförordningen ska personuppgifterna vara korrekta och nödvändigt uppdaterade. Den personuppgiftsansvarige ska vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt artikel 16 i förordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Den föreslagna bestämmelsen ska beträffande de ändamål för behandling som avses i 5 och 13 § komplettera den rätt att få uppgifterna rättade som den registrerade enligt artikel 16 i dataskyddsförordningen har. Bestämmelsen avses inte begränsa nämnda rätt, men uppgifter som har konstaterats vara felaktiga ska i de situationer som avses i 1 mom. kunna bevaras tillsammans med de rättade uppgifterna. 
Enligt 7 § i dataskyddslagen avseende brottmål ska de personuppgifter som behandlas vara korrekta och uppdaterade med hänsyn till ändamålet med behandlingen. Den personuppgiftsansvarige se till att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt 25 § 1 mom. i nämnda lag ska den personuppgiftsansvarige på eget initiativ eller på yrkande av den registrerade utan obefogat dröjsmål rätta eller komplettera sådana personuppgifter om den registrerade som är oriktiga eller bristfälliga med hänsyn till ändamålet med behandlingen. Paragrafen ska inte ersätta kravet om begränsandet av behandlingen av personuppgifter i 25 § 2 mom. i dataskyddslagen avseende brottmål, utan den problemfria övergången till reglering enligt den nya lagen ska säkerställas genom att bevarade paragrafen såsom den är. 
47 §. Arkivering av uppgifter. Paragrafen innehåller en informativ bestämmelse som motsvarar 37 § i den gällande lagen om lagstiftning som tillämpas på arkivfunktionens uppgifter och om handlingar som ska arkiveras. 
6 kap. Den registrerades rättigheter
Bestämmelserna om den registrerades rättigheter ingår huvudsakligen i III kap. i dataskyddsförordningen och i 4 kap. i dataskyddslagen avseende brottmål. I detta kapitel specificeras nämnda bestämmelser när det gäller genomförandet av den registrerades rätt till insyn och de inskränkningar som riktas till den registrerades rättigheter. 
Den registrerades rättigheter gällande behandlingen av personuppgifter fastställs enligt en rättsgrund om vilken det delvis föreskrivs i dataskyddsförordningen. Rätten att radera uppgifter enligt artikel 17 i förordningen tillämpas inte när personuppgifter behandlas för att iaktta en lagstadgad skyldighet som förutsätter behandling och som tillämpas på den personuppgiftsansvarige på basis av unionsrätten eller en medlemsstats nationella rätt eller om behandlingen sker för att genomföra en uppgift gällande det allmänna intresset eller för utövande av offentlig makt tillhörande den personuppgiftsansvarige. Rätten att överföra uppgifter från ett system till ett annat enligt artikel 20 i förordningen tillämpas å sin sida enbart på behandling som baserar sig på samtycke eller avtal. Därtill täcker rätten att göra invändningar enligt artikel 21 enbart behandling som baserar sig på genomförandet en uppgift gällande det allmänna intresset, utövande av offentlig makt tillhörande den personuppgiftsansvarige eller på genomförande av den personuppgiftsansvariges eller tredje parts berättigade intressen. Eftersom den behandling av personuppgifter som avses i denna lag sker för att genomföra Gränsbevakningsväsendets i lagen föreskrivna uppgifter, tillämpas artikel 17, 20 eller 21 i förordningen inte på behandlingen. 
48 §. Tillgodoseende av den registrerades rätt till insyn. I paragrafens 1 mom. specificeras att den personuppgiftsansvarige ansvarar för lämnandet av personuppgifter eller andra uppgifter som behövs för utövande av tillsyn, när det gäller den registrerades rätt till tillgång till uppgifter enligt artikel 15 i dataskyddsförordningen och den registrerades rätt till insyn enligt 23 i dataskyddslagen avseende brottmål. Den personuppgiftsansvarige kan även förordna en annan myndighet att sköta uppgiften, t.ex. en annan administrativ enhet inom Gränsbevakningsväsendet. 
Enligt 23 § i dataskyddslagen avseende brottmål kan den registrerade presentera den personuppgiftsansvarige en begäran om att få kontrollera sina uppgifter med en egenhändigt undertecknad handling eller på motsvarande verifierat sätt eller personligen hos den personuppgiftsansvarige. I artikel 15 i dataskyddsförordningen föreskrivs inte uttryckligen om sätten att genomföra insynsrätten, men uppgifterna ska enligt artikeln tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade gör begäran i elektronisk form och inte begär något annat. 
Det att begäran framställs med en egenhändigt undertecknad handling eller på motsvarande verifierat sätt räcker dock inte till för att säkerställa identiteten av den som lämnat begäran på ett sätt som med tanke på de personuppgifter som Gränsbevakningsväsendet behandlar är tillräckligt tillförlitligt. Därför föreskrivs det i 2 mom., med avvikelse från dataskyddslagen avseende brottmål, att en registrerad som vill utöva sin rätt till insyn ska framställa en personlig begäran om detta till den personuppgiftsansvarige eller någon annan i 1 mom. avsedd myndighet samt styrka sin identitet. En begäran kan alternativt framställas genom att tillförlitlig elektronisk identifiering används på ett bestyrkt sätt, om en sådan tjänst tillhandahålls av den personuppgiftsansvarige. Vid identifieringen ska iakttas kraven i lagstiftningen om elektronisk kommunikation i myndigheternas verksamhet. Tillhandahållandet av en elektronisk tjänst underlättar den registrerades möjlighet att utöva sin rätt till insyn på det sätt som det förutsätts enligt dataskyddsdirektivet och dataskyddsförordningen. I bestämmelsen tar man dock i beaktande att en elektronisk tjänst inte nödvändigtvis är i bruk genast då lagen träder i kraft utan tjänsten ska genomföras i mån av möjlighet vid en tidpunkt som den personuppgiftsansvarige närmare fastställer. 
Ytterligare uppgifter som begärts för att styrka den registrerades identitet kan enligt skäl 41 till direktivet enbart behandlas för detta särskilda syfte och de får inte bevaras längre än detta särskilda syfte förutsätter. 
49 §. Inskränkningar i rätten till insyn. Om inskränkandet av den registrerades rätt till insyn i enskilda fall föreskrivs i 24 och 28 § i dataskyddslagen avseende brottmål. I den föreslagna paragrafen föreskrivs på ett sätt som kompletterar nämnda bestämmelser om allmänna undantag avseende behandlingen av Gränsbevakningsväsendets personuppgifter till insynsrätten enligt 23 § i dataskyddslagen avseende brottmål. Beträffande inskränkningar i insynsrätten av personuppgifter som hör till dataskyddsförordningens tillämpningsområde gäller det som föreskrivs i dataskyddsförordningen och 34 § i dataskyddslagen. 
Enligt paragrafens 1 mom. 1 punkten har den registrerade inte rätt till insyn i uppgifter som avses i 6 § 3 mom. och 8 § 6 mom., vars betydelse med tanke på Gränsbevakningsväsendets uppgifter ännu inte är klarlagd, och inte i sådana uppgifter om informationskällor som avses i 10 §, i fråga om vilka rätten till insyn är begränsad också enligt 42 § 1 mom. 4 punkten i den gällande lagen. 
I 3 punkten utesluts insynsrätten gällande i 6–9 § avsedda personuppgifter i vilka uppgifter om Gränsbevakningsväsendets taktiska eller tekniska metoder, observationsuppgifter, uppgifter om informationskällor eller uppgifter som används för teknisk undersökning ingår. Punkten ersätter och innehåller i den tidigare omfattningen gällande 42 § 1 mom. 1 och 4 punkten, men bestämmelsen ska omformuleras för att iaktta de ändringar som föreslås till 2 kap. Samtidigt harmoniseras formuleringen med 24 § 1 mom. 5 punkten i offentlighetslagen, i vilken det föreskrivs om sekretessen gällande handlingar som innehåller uppgifter om polisens, Gränsbevakningsväsendets och tullverkets samt fångvårdsmyndigheternas taktiska och tekniska metoder och planer, samt med 17 b § i lagen om Gränsbevakningsväsendets förvaltning, enligt vilken de som hör till Gränsbevakningsväsendets personal inte är skyldiga att röja information om sekretessbelagda taktiska eller tekniska metoder. 
Partens rätt att få information om de nämnda uppgifterna har även inskränkts på grund av ett synnerligen viktigt allmänt intresse enligt 11 § 2 mom. 1 punkten i offentlighetslagen. Avslöjandet av dessa uppgifter kan leda till farosituationer eller förlust av förtroendeförhållanden eller att metoder avslöjas och skadar förhindrandet och utredningen av brott eller upprätthållandet av allmän ordning och säkerhet. 
I uppgifter om Gränsbevakningsväsendets taktiska och tekniska metoder ingår också uppgifterna om användningen av hemliga metoder för inhämtning av information samt om själva metoderna. Till dessa inhämtningsmetoders särkaraktär hör att behandlingen, beslutsfattande och genomförandet av ärendet gällande dem sker utan att personen som är föremålet vet om detta genom domstolens beslut, och det har separat föreskrivits om informeringen av personen i fråga. Det finns ett separat övervakningsförfarande för att övervaka användningen av dessa metoder. Till den som är föremål för hemliga tvångsmedel kan dock lämnas ut uppgifter om personen själv, med iakttagande av bestämmelserna i förundersökningslagen och offentlighetslagen. 
Momentets 3 punkt avgränsar, på motsvarande sätt som i den gällande lagen, som taktisk information som står utanför insynsrätten uppgifter om en person vilka inverkar på personens egen säkerhet eller på säkerheten i arbetet inom Gränsbevakningsväsendet, efterlysningsuppgifter som registrerats i efterlysningsuppgifter för att iaktta personen, efterlysningsuppgifter om personer under uppsyn som rör sig med motorfordon som har registrerats i uppgifterna om motorfordon som söks, uppgifter om målpersonens säkerhet vid förvaring som har registrerats i uppgifter om anhållna, uppgifter om gärningssätt samt bland signalementsuppgifter t.ex. nyckelord, särskilda kännetecken och fotografier. 
Enligt 2 mom. har den registrerade rätt att be dataombudsmannen kontrollera lagenligheten av sådana personuppgifter som avses i 1 mom. på det sätt som föreskrivs i 29 § i dataskyddslagen avseende brottmål. En begäran om utövning av rättigheterna ska lämnas till dataombudsmannen, den personuppgiftsansvarige eller en annan i 48 § 1 mom. avsedd myndighet på det sätt som föreskrivs i 2 mom. i den paragrafen. En begäran som lämnats till den personuppgiftsansvarige eller en annan myndighet ska utan dröjsmål överföras till dataombudsmannen. Den föreslagna bestämmelsen motsvarar nuvarande praxis, enligt vilken begäran till dataombudsmannen kan lämnas till Gränsbevakningsväsendet. Gränsbevakningsväsendet kan då verifiera personens identitet och kontrollera att personuppgifterna stämmer. Utöver den ovan i 48 § avsedda begäran gällande genomförandet av insynsrätten är det också nödvändigt att verifiera identiteten av den som lämnar en indirekt begäran om utnyttjandet av insynsrätten till dataombudsmannen, eftersom behandlingen av begäran ofta förutsätter omfattande behandling av personuppgifter. 
50 §.Den registrerades rätt till begränsning av behandling. I paragrafen inskränks den registrerades rätt att med stöd av artikel 18 i dataskyddsförordningen begränsa behandlingen av sina personuppgifter. Inskränkningen baserar sig på det handlingsutrymme som i artikel 23 i dataskyddsförordningen ger åt medlemsstaterna. 
Den registrerade har med stöd av artikel 18 i dataskyddsförordningen rätt att kräva att behandlingen av hans eller hennes personuppgifter begränsas t.ex. om den registrerade bestrider personuppgifternas korrekthet eller anser att behandlingen av uppgifterna är olaglig. Om behandlingen har begränsats, får personuppgifter endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat. Enligt skäl 67 till dataskyddsförordningen kan sätten att begränsa behandlingen av personuppgifter bl.a. inbegripa att man flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör klart anges inom systemet. 
Genomförandet av den registrerades begränsningsrätt enligt artikel 18 har betydande inverkningar på behandlingen av personuppgifter inom gränsbevakningen och för att upprätthålla gränssäkerheten samt vid andra övervakningsuppgifter som föreskrivits för Gränsbevakningsväsendet. Med tanke på t.ex. uppgifter som ansluter sig till gränsbevakningen samt upprätthållandet av gränssäkerheten och gränsordningen kan det anses vara problematiskt om den registrerade kan begränsa behandlingen av en gränsbevakares observationer eller uppgifter som antecknats i samband med en gränskontroll. Med tanke på tillstånd som beviljas av Gränsbevakningsväsendet är framför allt sådana situationer problematiska där den registrerade bestrider giltigheten av en uppgift som gäller hinder för beviljandet eller ikraftvarande av ett tillstånd, och denna uppgift som eventuellt är väsentlig med tanke på tillståndsprövningen därmed inte kan användas i beslutsfattandet i anknytning till tillståndsförvaltningen. Gränsbevakningsväsendet har därmed ingen möjlighet på ett heltäckande sätt utnyttja de registeruppgifter som är nödvändiga för att tillståndsbeslut kan fattas eller förutsättningarna för tillståndets giltighet kan följas upp. Automatiseringen av de funktioner som krävs för begränsningen av behandlingen innebär dessutom betydande ändringsbehov i Gränsbevakningsväsendets informationssystem. 
Genom den föreslagna bestämmelsen inskränks inte den registrerade personens rätt att på basis av artikel 16 i dataskyddsförordningen kräva att få felaktiga personuppgifter rättade. Som garanti för den registrerades rättsskydd fungerar även de rättigheter om vilka det föreskrivs i dataskyddsförordningens kapitel III om den registrerades rättigheter och kapitel VIII om rättsmedel, ansvar och sanktioner. Om den registrerade anser att behandlingen av personuppgifter som avser henne eller honom strider mot lagen, har den registrerade enligt artikel 77 i dataskyddsförordningen t.ex. rätt att lämna in ett klagomål till en tillsynsmyndighet. Den registrerade har även med stöd av förvaltningslagen rätt att anhängiggöra ett krav på att sådan behandling av personuppgifter som strider mot lagen ska avslutas. I det sist nämnda fallet ska den personuppgiftsansvarige avgöra ärendet enligt förfarandebestämmelserna i förvaltningslagen. 
7 kap. Särskilda bestämmelser
51 §. Elektroniska identifikationsuppgifter som grundar sig på fysiska egenskaper. Paragrafen motsvarar till sakinnehållet 16 § i den gällande lagen. För att identifiera en person och säkerställa att ett dokument är äkta har Gränsbevakningsväsendet enligt paragrafens 1 mom. rätt att ta emot till resedokument fogade elektroniska identifikationsuppgifter som grundar sig på en persons fysiska egenskaper, om inte något annat föreskrivs. 
Enligt paragrafens 2 mom. har Gränsbevakningsväsendet rätt att jämföra identifikationsuppgiften i ett dokument med personen i fråga. Om inte något annat föreskrivs, får elektroniska identifikationsuppgifter dock inte registreras. Paragrafen ska inte innehålla bestämmelsen i 16 § i den gällande lagen om att dataskyddet särskilt ska beaktas vid behandling av elektroniska identifikationsuppgifter som grundar sig på en persons fysiska egenskaper. Närmare bestämmelser om dataskyddet för särskilda kategorier av personuppgifter finns i dataskyddsförordningen och dataskyddslagen avseende brottmål. 
52 §. Ikraftträdande. Det föreslås att lagen ska träda i kraft så snart som möjligt. Genom lagen upphävs lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005) av den 15 juli 2005. I 3 mom. ingår en övergångsbestämmelse som gäller raderingstider för personuppgifter. På radering av personuppgifter som avses i denna lag får de bestämmelser som gällde vid ikraftträdandet av denna lag tillämpas i fyra år från ikraftträdandet av lagen. 
Under den nämnda tiden på fyra år tillämpas dock på radering av personuppgifter som avses i 6 och 7 § vad som föreskrivs i 61 § 3 mom. i polisens nya personuppgiftslag om radering av sådana personuppgifter som avses i 5 och 6 § i den lagen. En övergångstid krävs i synnerhet med tanke på radering av de personuppgifter som avses i 6 och 7 § samt uppgifterna i de personregister som inrättats i enlighet med 4 § i den gällande lagen. I den gällande lagen hänvisas i fråga om radering av personuppgifter som avses i 6 och 7 § till lagen om behandling av personuppgifter i polisens verksamhet, eftersom uppgifterna i fråga i huvudsak finns i det informationssystem som tekniskt underhålls av polisen. Av denna orsak ska det i övergångsbestämmelsen beaktas vad som föreskrivs i den nya lagen om behandling av personuppgifter i polisens verksamhet i fråga om raderingen av motsvarande personuppgifter som polisen behandlar. 
1.2
Sjöräddningslagen
12 §.Sjöräddningsregister. Enligt den gällande paragrafen för staben för Gränsbevakningsväsendet ett sjöräddningsregister över sina handlingsplaner för kritiska lägen samt mottagna nödmeddelanden och de åtgärder som vidtagits med anledning av dem. Ordalydelsen i bestämmelsen justeras så att staben för Gränsbevakningsväsendet enbart nämns som den personuppgiftsansvarige. Uppgifterna registreras i princip i sjöräddningsregistret annanstans än vid staben för Gränsbevakningsväsendet. Exempelvis nödmeddelanden tas emot av sjöräddningens ledningscentraler. 
14 §.Rätt att få uppgifter av myndigheter samt av leverantörer av fartygstrafikservicetjänster och flygtrafikledningstjänster. I paragrafen föreskrivs det om Gränsbevakningsväsendets rätt att få uppgifter för planeringen av sjöräddningstjänstens beredskap samt i kritiska lägen för att utföra uppgifter inom sjöräddningstjänsten. I paragrafen har beaktats de ändringar som godkändes i samband med regeringens proposition RP 61/2018 rd, om vars ikraftträdande det särskilt föreskrivs genom lag. 
I rätten av få uppgifter enligt paragrafen ska i regel göras motsvarande avveckling av dubbel reglering som föreslås i 20 § i lagförslag 1. I paragrafen föreskrivs därmed bara om de rättigheter att få uppgifter om vilka det inte föreskrivs i lagstiftningen gällande den utlämnande parten. Utöver paragrafen ska bestämmelserna om rätten att få uppgifter enligt 3 kap. i lagförslag 1 tillämpas på kompletterande sätt. Innehållsmässigt förblir rättigheterna att få uppgifter oförändrade. 
För att undvika dubbel reglering om utlämnande av uppgifter ska ur paragrafen strykas bl.a. rätten att få de uppgifter från Befolkningsregistercentralen som avses i 13–17 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009). Nämnda lag gör det möjligt att utlämna uppgifterna i fråga till en myndighet, och dessutom håller man på att även för övrigt förnya förvaltningssektorns lagstiftning. Därtill stryks bestämmelserna om erhållandet av säkerhetsuppgifter från polisens och Tullens personregister, eftersom det i nämnda myndigheters egen personuppgiftslagstiftning föreskrivs om Gränsbevakningsväsendets rätt att få uppgifter på ett heltäckande sätt. I paragrafen ska även göras vissa lagtekniska ändringar. 
Enligt 3 mom. i den gällande paragrafen kan uppgifter i Gränsbevakningsväsendets funktionella informationssystem i kritiska lägen vid behov användas för organisering av efterspanings- och räddningsåtgärder. Ordalydelsen i paragrafen ska specificeras i överensstämmelse med lagförslag 1. Dessutom hänvisas det till i 30 § i territorialövervakningslagen (755/2000) avsedda upptagningar som uppkommer vid teknisk övervakning vid Gränsbevakningsväsendet. 
15 §. Rätt att få uppgifter av privata företag och sammanslutningar. Till paragrafen ska fogas ett nytt 2 mom., som innehåller en informativ hänvisning till 321 § i lagen om tjänster inom elektronisk kommunikation (917/2014). I nämnda paragraf föreskrivs om teleföretagens skyldighet att lämna uppgifter till sjöräddningscentralen och sjöräddningsundercentralen. Med anledning av ändringen föreslås det att 16 § i lagen ska upphävas. 
16 §.Rätt att få uppgifter av teleföretag. Paragrafen ska upphävas med anledning av den ändring som föreslås till 15 § samt för att undvika dubbel reglering om utlämnandet av uppgifter. Om teleföretagens skyldighet att lämna uppgifter till sjöräddningscentralen och sjöräddningsundercentralen föreskrivs i 321 § i lagen om tjänster inom elektronisk kommunikation. 
17 §. Hur uppgifter lämnas. I paragrafen görs en lagteknisk ändring med anledning av upphävandet av 16 §. 
20 §.Bestämmelser om behandlingen av personuppgifter i sjöräddningsregistret och om uppgifternas offentlighet. Sjöräddningen hör inte till tillämpningsområdet av Euroepiska unionsrätten, och därför finns det skäl att nationellt föreskriva vilken dataskyddsreglering som tillämpas på behandlingen av personuppgifter inom sjöräddningen. Det är ändamålsenligt att välja dataskyddsförordningen som grund för regleringen för att dataskyddsbestämmelserna ska vara så enhetliga som möjligt med regleringen om den övriga räddningsverksamheten. Enligt dataskyddslagen, som kompletterar dataskyddsförordningen, tillämpas dataskyddsförordningen även på verksamhet som inte omfattas av Europeiska unionsrätten, ifall inte annat föreskrivs. När det gäller Sjöräddningsväsendet finns det dock skäl att i lagstiftningen separat poängtera att tillämpningen av dataskyddsförordningen är ett medvetet val. Motsvarande princip iakttas även vid upprätthållandet av den nationella säkerheten, som också faller utanför EU:s befogenheter och beträffande vilket tillämpningen av dataskyddsdirektivet uttryckligen valts. 
Med anledning av detta finns det i paragrafen en hänvisningsbestämmelse om att ifall inte något annat föreskrivs i sjöräddningslagen, tillämpas på behandlingen av personuppgifter i sjöräddningsregistret dataskyddsförordningen, med undantag av artikel 56 och kapitel VII, samt dataskyddslagen. I artikel 56 och kapitel VII i dataskyddsförordningen föreskrivs om den s.k. mekanismen med en lucka och om enhetlighetsmekanismen. De gäller situationer där den personuppgiftsansvarige behandlar personuppgifter inom flera medlemsstaters områden och målet är att dataskyddsförordningen ska tillämpas enhetligt inom Europeiska unionen. Eftersom sjöräddningsväsendet inte hör till tillämpningsområdet för EU-rätten, behövs dessa bestämmelser inte. 
På behandlingen av personuppgifter inom sjöräddningsväsendet tillämpas därtill lagförslag 1 på kompletterande sätt. Till den här är det t.ex. fråga om bestämmelser som gäller den registrerades rättigheter, såsom rätten till insyn när det gäller de egna uppgifterna och begräsningen av behandlingen av personuppgifter, samt bestämmelser om Gränsbevakningsväsendets rätt att få uppgifter, till den del det inte föreskrivs om dessa i sjöräddningslagen. 
Kvar i paragrafen finns den gällande paragrafens hänvisningar till offentlighetslagen och internationella avtal som tillämpas inom sjöräddningsväsendet. 
1.3
Lagen om gränsbevakningsväsendets förvaltning
18 §. Hänvisning till bestämmelser om utlämnande av uppgifter. Paragrafen är ny och den kompletterar 17 a § i den gällande lagen om rätten för tjänstemän som hör till Gränsbevakningsväsendets personal trots tystnadsplikt utlämna uppgifter i enskilda fall. Rätten att lämna ut uppgifter med stöd av 17 a § gäller även personuppgifter. Enligt den föreslagna nya paragrafen finns bestämmelser om utlämnande av uppgifter som registrerats i Gränsbevakningsväsendets personregister genom en teknisk anslutning eller som en datamängd och till utlandet dock i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
Enligt den 37 § som föreslås i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ska den personuppgiftsansvarige eller den förvaltningsenhet som den personuppgiftsansvarige har förordnat till uppgiften fatta beslut om utlämnande av personuppgifter, om utlämnandet sker genom en teknisk anslutning eller som en datamängd eller det är fråga om att andra än enstaka uppgifter ska lämnas till utlandet. I Gränsbevakningsväsendets förvaltningslag ska alltså 17 a § alltjämt tillämpas på utlämnandet av enstaka uppgifter såväl i Finland som utomlands. Enligt den föreslagna nya paragrafen ska det vid utlämnandet av uppgifter till utlandet dock iakttas de förutsättningar om vilka det föreskrivs i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet och den allmänna lagstiftningen om dataskydd. Regleringen motsvarar 7 kap. 6 § i polislagen. 
28 c §. Behandling av uppgifter som hör till särskilda kategorier av personuppgifter. Hänvisningen till behandlingen av känsliga uppgifter som avses i 11 § 3 och 4 punkten i personuppgiftslagen, som finns i paragrafens 1 mom., ändras tillen bestämmelse om behandling av personuppgifter i anknytning till hälsotillstånd och fällande domar i brottmål och överträdelser och som gäller studerande och personer som ansöker om att bli antagna som studerande. Sakinnehållet i bestämmelsen ändras inte. Paragrafens rubrik ändras så att den motsvarar terminologin i dataskyddsförordningen, och i 2 och 3 mom. görs lagtekniska ändringar. 
31 a §.Granskning av militärdisciplinavgöranden. Enligt den gällande lagen ska staben för Gränsbevakningsväsendet granska förvaltningsenheternas register för disciplinavgöranden minst en gång om året. I praktiken betyder bestämmelsen övervakningen av att innehållet i militärdisciplinavgöranden är lagenligt, inte så mycket övervakningen i anknytning till registerhållandet. Ordalydelsen i paragrafen ska specificeras i överensstämmelse med detta. 
1.4
Gränsbevakningslagen
1 §.Tillämpningsområde. I paragrafens 2 mom. görs en lagteknisk ändring, i vilken det hänvisas till lagförslag 1 i stället för den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet. 
28 §. Befogenheter i fråga om gränskontroll. I paragrafens 1 mom.11 punkten görs en lagteknisk ändring i namnet på lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
28 a §. Kroppsvisitation vid gränskontroll. Hänvisningen till registret för övervakningsärenden enligt 9 § i den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet i paragrafens 2 mom. ska ersättas med en mer allmän bestämmelse om registreringen av uppgifter om kroppsvisitationer i Gränsbevakningsväsendets personregister. 
31 §.Användning av bild- och ljudupptagningar som skapas vid teknisk övervakning på ett gränsövergångsställe. Enligt den gällande paragrafen har Gränsbevakningsväsendet rätt att på ett gränsövergångsställe använda bild- och ljudupptagningar som skapas vid teknisk övervakning för automatisk identifiering av personer som enligt efterlysning som har utfärdats av en behörig myndighet ska delges stämning, gripas, anhållas, tas i förvar, häktas eller tas under observation av myndigheterna. Enligt 29 §, som gäller teknisk övervakning, finns bestämmelser om registreringen av uppgifter från den tekniska övervakningen i personregister i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. Paragrafen ska upphävas, eftersom det om behandling av uppgifter vid teknisk övervakning uttryckligen ska föreskrivas i lagförslag 1. 
I 5 och 38 § i lagförslag 1 ingår en bestämmelse om behandlingen av upptagningar från teknisk övervakning och om deras raderingstid. Jämfört med 31 § i den gällande gränsbevakningslagen avses regleringen utvidgas så att det också är möjligt att identifiera personer i realtid med upptagningar från teknisk övervakning utanför gränsövergångsställen. I 29 § i gränsbevakningslagen föreskrivs dock alltjämt gränserna för var det överhuvudtaget är tillåtet att utföra teknisk övervakning i anknytning till gränsbevakning. Därtill ska det i 14 § i lagförslag 1 föreskrivas om behandlingen av uppgifter för något annat är deras ursprungliga ändamål. Ett sådant ändamål är enligt 14 § 1 mom. 3 punkten att nå efterlysta personer. Regleringen ska även gälla inspelningar från teknisk övervakning. Kodexen om Schengengränserna förutsätter att det vid gränskontroller görs de nödvändiga justeringarna i nationella och internationella register bl.a. för att märka eventuella efterlysningar. Med en bild från teknisk övervakning är det möjligt att identifiera efterlysta personer vars namn inte är kända. Identifieringen lyckas även då den efterlysta har ändrat sina personuppgifter. 
35 f §. Övriga rättigheter och skyldigheter för en tjänsteman från en EU-medlemsstat som lämnar gränssäkerhetsbistånd. I paragrafens 4 mom. görs en lagteknisk ändring i namnet på den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet. 
1.5
Lagen om brottsbekämpning inom Gränsbevakningsväsendet
1 §.Tillämpningsområde. I paragrafens 1 mom. görs en lagteknisk ändring, i vilken det hänvisas till lagförslag 1 i stället för den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet. 
6 §. En gränsbevakningsmans uppgifter och befogenheter vid brottsbekämpning. I paragrafens 1 mom. görs en lagteknisk ändring gällande namnet på lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
49 §.Utplåning av information. I paragrafens 2 mom. görs en lagteknisk ändring gällande namnet på lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. Om överskottsinformation har registrerats i Gränsbevakningsväsendets personregister ska bestämmelserna i Gränsbevakningsväsendets personuppgiftslag iakttas vid utplåningen av informationen. 
54 §.Begränsning av partsoffentlighet i vissa fall. Paragrafens 1 mom. ändras så att det i stället för personuppgiftslagen och den gällande lagen om behandling av personuppgifter i gränsbevakningsväsendet verksamhet hänvisas till dataskyddslagen avseende brottmål, som ska tillämpas på den registrerades rätt till insyn. 
1.6
Utlänningslagen
174 §.Anmälnings- och övervakningsskyldighet för fordonsförare och transportörer. Hänvisningarna i paragrafens 2 mom. till bestämmelserna i den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet ska ändras till hänvisningar till bestämmelser i lagförslag 1. Till sitt sakinnehåll motsvarar regleringen gällande lag. 
179 §.Påföljdsavgift för transportör. Hänvisningarna i paragrafens 1 och 3 mom. till bestämmelserna i den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet ska ändras till hänvisningar till bestämmelser i lagförslag 1. Till sitt sakinnehåll motsvarar regleringen gällande lag. 
181 §.Påförande av påföljdsavgift för transportör. Hänvisningarna i paragrafens 1 mom. till bestämmelserna i den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet ska ändras till hänvisningar till bestämmelser i lagförslag 1. Till sitt sakinnehåll motsvarar regleringen gällande lag. 
182 §.Avlyftande av påföljdsavgift för transportör. Hänvisningarna i paragrafens 2 mom. till bestämmelserna i den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet ska ändras till hänvisningar till bestämmelser i lagförslag 1. Till sitt sakinnehåll motsvarar regleringen gällande lag. 
185 §.Utlänningsförseelse. Hänvisningen i paragrafens 2 mom. till bestämmelsen i den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet ska ändras till en hänvisning till bestämmelsen i lagförslag 1. Till sitt sakinnehåll motsvarar regleringen gällande lag. 
1.7
Förundersökningslagen
11 kap. Särskilda bestämmelser
8 §.Rätt att få information från myndigheter, privata sammanslutningar och fysiska personer. Hänvisningarna i paragrafen till bestämmelserna i den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet ska ändras till hänvisningar till bestämmelser i lagförslag 1. Till sitt sakinnehåll motsvarar regleringen gällande lag. 
1.8
Lagen om genomförande av vissa bestämmelser i beslutet om Eurojust
10 §.Utlämnande av personuppgifter till Eurojust. Hänvisningen i paragrafens 2 mom. till 38 § i den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet ska ersättas med en hänvisning till 33 § i lagförslag 1, som ska tillämpas på utlämnandet av uppgifter i Gränsbevakningsväsendets personregister till Eurojust. 
1.9
Lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet.
3 §.Definition av information och underrättelser. Hänvisningarna i paragrafen till bestämmelserna i den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet ska ändras till hänvisningar till bestämmelser i lagförslag 1. Till sitt sakinnehåll motsvarar regleringen gällande lag. 
5 §.Utlämnande av information och underrättelser på begäran. Hänvisningarna i paragrafens 2 och 3 mom. till bestämmelserna i den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet ska ändras till hänvisningar till de bestämmelser i lagförslag 1 i vilka det föreskrivs om förutsättningar för utlämnandet av information och om beslutsfattandet om utlämnande. 
6 §.Utlämnande av information och underrättelser på eget initiativ. Hänvisningarna i paragrafens 2 och 3 mom. till bestämmelserna i den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet ska ändras till hänvisningar till de bestämmelser i lagförslag 1 i vilka det föreskrivs om förutsättningar för utlämnandet av information och om beslutsfattandet om utlämnande. 
1.10
Lagen om Enheten för utredning av grå ekonomi
12 §.Behandling av personuppgifter och rätt till insyn. Hänvisningen i paragrafens 2 mom. till 42 § i den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet ska ersättas med en hänvisning till 49 § i lagförslag 1, som innehåller bestämmelser om inskränkningar av rätten till insyn. 
1.11
Lagen om nödcentralsverksamhet
19 §.Rätt att få information ur registren. Hänvisningen i paragrafens 1 mom.12 punkten till 28 § 1 mom. 2 punkten i den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet ska ersättas med en hänvisning till 31 § 1 mom. 4 punkten i lagförslag 1. Till sitt sakinnehåll motsvarar bestämmelsen gällande lag. 
20 §.Utlämnande av uppgifter. Hänvisningen i paragrafens 4 mom. till 22 § i den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet ska ersättas med en hänvisning till 20 § i lagförslag 1. Till sitt sakinnehåll motsvarar bestämmelsen gällande lag. 
1.12
Tvångsmedelslagen
10 kap. Hemliga tvångsmedel
57 §.Utplåning av information. I paragrafens 1 mom. görs en lagteknisk ändring, i vilken det hänvisas till lagförslag 1 i stället för den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet. 
1.13
Polislagen
2 kap. Allmänna befogenheter
21 §.Gränskontroll och tullåtgärder. Enligt 1 mom. i den gällande paragrafen har en polisman samma befogenheter att använda bild- och ljudupptagningar som skapats vid teknisk övervakning på ett gränsövergångsställe som Gränsbevakningsväsendet har med stöd av 31 § i gränsbevakningslagen. Eftersom det föreslås att 31 § i gränsbevakningslagen ska upphävas, stryks bestämmelsen. Behandlingen av uppgifter från teknisk övervakning baserar sig på personuppgiftslagstiftningen. I praktiken ändras inte polisens rätt att använda upptagningar som skapats vid teknisk övervakning på ett gränsövergångsställe. 
Såsom det ovan i samband med 31 § i gränsbevakningslagen har beskrivits ska användningen av upptagningar som skapas vid teknisk övervakning vid ett gränsövergångsställe för automatisk identifiering av personer som enligt efterlysning som har utfärdats av en behörig myndighet ska delges stämning, gripas, anhållas, tas i förvar, häktas eller tas under observation av myndigheterna enligt 14 § 1 mom. 3 punkten i lagförslag 1 vara ett annat tillåtet ändamål. Till den del det är fråga om användningen av upptagningar som skapas vid Gränsbevakningsväsendet tekniska övervakning i polisens verksamhet föreskrivs det om detta i 30 och 31 § i lagförslag 1. 
1.14
Lagen om tjänster inom elektronisk kommunikation
322 §.Vissa andra myndigheters rätt att få information. I paragrafens 1 mom. görs en lagteknisk ändring, i vilken det hänvisas till lagförslag 1 i stället för den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet. 
1.15
Tullagen
31 §.In- och utresekontroller. Enligt 1 mom. i den gällande paragrafen får Tullen använda bilder och ljud som genererats vid teknisk övervakning vid ett gränsövergångsställe enligt vad som föreskrivs om detta i fråga om Gränsbevakningsväsendet i 31 § i gränsbevakningslagen. Eftersom det föreslås att 31 § i gränsbevakningslagen ska upphävas, stryks bestämmelsen. Behandlingen av uppgifter från teknisk övervakning baserar sig på personuppgiftslagstiftningen. I praktiken ändras inte Tullens rätt att använda upptagningar som skapats vid teknisk övervakning på ett gränsövergångsställe. 
Såsom det ovan i samband med 31 § i gränsbevakningslagen har beskrivits ska användningen av upptagningar som skapas vid teknisk övervakning vid ett gränsövergångsställe för automatisk identifiering av personer som enligt efterlysning som har utfärdats av en behörig myndighet ska delges stämning, gripas, anhållas, tas i förvar, häktas eller tas under observation av myndigheterna enligt 14 § 1 mom. 3 punkten i lagförslag 1 vara ett annat tillåtet ändamål. Till den del det är fråga om användningen av upptagningar som skapas vid Gränsbevakningsväsendet tekniska övervakning i Tullens verksamhet ska det föreskrivas om detta i 30 och 31 § i lagförslag 1. 
I paragrafens svenska språkdräkt görs dessutom en språklig korrigering. 
1.16
Säkerhetsutredningslagen
25 §.Informationskällor vid normal säkerhetsutredning av person. Hänvisningen i paragrafens 1 mom.6 punkten till Gränsbevakningsväsendets undersöknings- och handräckningsregister, registret för tillståndsärenden och registret för övervakningsärenden ska ersättas med en hänvisning till bestämmelser i lagförslag 1. En normal säkerhetsutredning av person kan grunda sig på uppgifter i Gränsbevakningsväsendets personregister som innehåller sådana uppgifter som avses i 5 §, 6 § 1 och 2 mom. och 7, 11 och 12 § i lagförslag 1 och sådana uppgifter som behandlas för skötseln av tillsynsuppgifter enligt 13 § i lagförslaget. 
I sak motsvarar punkten till största delen den gällande lagen. De uppgifter som avses i 5 § i lagförslag 1 ingår i huvudsak i det nuvarande registret för övervakningsärenden och registret för tillståndsärenden. Nytt innehåll i 5 § är uppgifterna i Gränsbevakningsväsendets register för fältledning (6 § i den gällande lagen) samt uppgifterna om verksamheten för andra staters gränsbevakningsmyndigheter och deras sammansättning samt gränssituationen i Finland och Europeiska unionen (5 § 2 mom. 8 punkten) som för närvarande registreras i säkerhetsdataregistret. I registret för fältledning registreras uppgifter som behövs för planeringen och genomförandet av gränskontroller och upprätthållandet av gränssäkerheten. Av dem är för säkerhetsutredningar väsentliga t.ex. de grundläggande personuppgifterna och andra identifieringsuppgifter för personer som anknyter t.ex. till anmälningar som gjorts till Gränsbevakningsväsendet och de åtgärder som vidtagits med dem som grund samt händelse- och åtgärdsbeskrivningar i anslutning till uppdrag och åtgärder. Uppgifter om andra staters gränsmyndigheter och om gränssituationen ska normalt inte vara primära informationskällor när säkerhetsutredningar görs. 
De uppgifter som avses i 6 och 7 i lagförslag 1 finns i huvudsak i det nuvarande undersöknings- och handräckningsregistret. Dessutom finns motsvarande uppgifter i anslutning till utredning av brott eller att föra brott till åtalsprövning i sådana temporära eller för en eller flera förvaltningsenheter inrättade personregister som inrättats i enlighet med 4 § i den gällande lagen. En normal säkerhetsutredning av person får dock inte grunda sig på uppgifter som behandlas för bedömning av deras betydelse med stöd av 6 § 3 mom. och inte heller på uppgifter vars behandling har begränsats någon annanstans i lagstiftningen. Sådana begränsningar gäller t.ex. behandling av överskottsinformation som erhållits med stöd av lagen om brottsbekämpning inom Gränsbevakningsväsendet eller tvångsmedelslagen. 
Uppgifter som behandlas för utförande av tillsynsuppgifter och som avses i 13 § i lagförslag 1 är uppgifter som med stöd av den gällande lagen får registreras i registret för övervakningsärenden. Till övriga delar står de uppgifter som avses i 13 § som behandlas för utförande av Gränsbevakningsväsendets andra lagstadgade uppgifter fortsättningsvis utanför säkerhetsutredningarna. 
Ändringarna i personkategorier som Gränsbevakningsväsendet behandlar med stöd av 5 §, 6 § 1 och 2 mom. samt 7 och 13 § och i informationsinnehållet jämfört med den gällande lagen beskrivs närmare i detaljmotiveringen till lagförslag 1. 
Informationskällorna vid normal säkerhetsutredning av person utökas med de personuppgifter som behandlas vid militärrättsvården och som avses i 11 och 12 § i lagförslag 1. I sak är det inte fråga om någon stor förändring, eftersom dessa uppgifter redan för närvarande delvis kan komma att ingå i säkerhetsutredningar, i det fallet att polisen ansvarar för utredningen av militärbrott. Enligt 25 § 1 mom. 5 punkten i den gällande lagen får som informationskälla vid normal säkerhetsutredning av person användas motsvarande personuppgifter som behandlas av Försvarsmakten. Det är motiverat att till informationskällorna vid normal säkerhetsutredning av person foga uppgifter inom militärrättsvården som behandlas av Gränsbevakningsväsendet för att säkerställa en jämlik behandling av personer som tjänstgör i militära tjänster. 
2
Ikraftträdande
Dataskyddsförordningen började tillämpas den 25 maj 2018, och den utsatta tiden för det nationella genomförandet av dataskyddsdirektivet var den 6 maj 2018. De lagar som ingår i denna proposition föreslås träda i kraft så fort som möjligt efter att de allmänna lagarna har trätt i kraft. 
I lagförslag 1 ingår en övergångsbestämmelse som gäller raderingstider för personuppgifter. Raderingen av personuppgifter ska genomföras i enlighet med den föreslagna lagen inom fyra år från lagens ikraftträdande. 
3
Förhållande till grundlagen samt lagstiftningsordning
3.1
Behandling av personuppgifter
Enigt 10 § 1 mom. i grundlagen utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Grundlagsutskottets praxis har varit att lagstiftarens handlingsutrymme begränsas därtill av att skyddet för personuppgifter delvis ingår i samma moment som skyddet för privatlivet. Lagstiftaren måste tillgodose denna rätt på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna överlag. Om man ser till skyddet för personuppgifter har grundlagsutskottet ansett det viktigt att reglera åtminstone om syftet med registreringen, uppgifternas innehåll, det tillåtna ändamålet för användningen inklusive rätten att utlämna registrerade uppgifter samt den tid uppgifterna finns kvar i registret och den registrerades rättsskydd (till exempel GrUU 31/2017 rd, GrUU 13/2016 rd). Kravet på att bestämmelserna ska utfärdas genom lag sträcker sig även till möjligheten att lämna ut personuppgifter genom en teknisk anslutning. Även om möjligheten att sammanslå registeruppgifter ska föreskrivas genom lag (GrUU 17/2007 rd och GrUU 30/2005 rd). Dessutom ska regleringen av dessa faktorer på lagnivå vara heltäckande, exakt och noggrant avgränsad. 
Europadomstolen har i sin rättspraxis ansett att registreringen av personuppgifter som ansluter sig till skyddet för privatlivet hör till tillämpningsområdet av artikel 8 i Europakonventionen, som gäller skyddet för privatlivet. Domstolen har konstaterat en överträdelse av konventionen bland annat för att den nationella lagstiftningen inte hade innehållit bestämmelser om datainnehåll, bevaringstider och de persongrupper om vilka uppgifter fick samlas (till exempel Rotaru mot Rumänien 4.5.2000, punkterna 45–63). Europadomstolen har i flera sammanhang konstaterat att enbart det att personuppgifter införs i myndighetsregister innebär att skyddet för privatlivet begränsas (till exempel S. och Marper mot Förenade kungariket, 4.12.2008, punkt 67 och Leander mot Sverige, 26.3.1987, punkt 48). För att det ska vara tillåtet att begränsa skyddet för privatlivet, ska detta basera sig på lagen, vara nödvändigt i ett demokratiskt samhälle och i rätt proportion med det eftersträvade syftet. Exempelvis har upprätthållandet av den nationella säkerheten i rättspraxis allmänt ansetts vara en godtagbar grund för begränsning av integritetsskyddet (Segerstedt-Wiberg m.fl. mot Sverige, 6.6.2006, punkterna 87 och 88). 
Grundlagsutskottet har i sin nyare praxis ansett att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän unionsförordning eller genom en allmän nationell lag (GrUU 14/2018 rd och de i det nämnda utlåtanden). Utskottet anser att korrekt tolkade och tillämpade svarar bestämmelserna i dataskyddsförordningen också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Enligt utskottet ska skyddet för personuppgifter härefter i första hand tillgodoses med stöd av dataskyddsförordningen och dataskyddslagen. I det sammanhanget bör man undvika nationell speciallagstiftning, som bör reserveras för situationer då den är dels tillåten enligt dataskyddsförordningen och dels nödvändig för att tillgodose skyddet för personuppgifter (GrUU 14/2018 rd, GrUU 2/2018 rd). 
Däremot innehåller dataskyddsdirektivet inte sådan detaljerad reglering som bildar en tillräcklig regleringsgrund med tanke på skyddet för privatlivet och personuppgifter, som tryggas i 10 § i grundlagen. När det gäller behandlingen av personuppgifter som hör till tillämpningsområdet för dataskyddsdirektivet och dataskyddslagen avseende brottmål, ska man därför alltjämt ta i beaktande grundlagsutskottets ovannämnda utlåtandepraxis. Enligt grundlagsutskottet förutsätter tydligheten av lagstiftningen gällande personuppgifter dock att det inte i speciallagstiftningen ingår sådana regleringehelheter om vilka det föreskrivs tillräckligt exakt och noggrant i dataskyddaslagen avseende brottmål. 
Grundlagsutskottet har i sitt utlåtande (GrUU 14/2018 rd) särskilt lyft fram behovet av reglering i de fall där personuppgifterna behandlas av en myndighet. Enligt artikel 6 c i dataskyddsförordningen är behandling tillåten om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Enligt grundlagsutskottet är det i princip tillräckligt att regleringen om skyddet för personuppgifter och deras behandling överensstämmer med dataskyddsförordningen. Enligt utskottet gör de detaljerade bestämmelserna i dataskyddsförordningen det också möjligt att i fråga om myndighetsverksamhet lagstifta betydligt mer generellt om skydd för och behandling av personuppgifter jämfört med vår nuvarande nationella regleringsmodell. 
Grundlagsutskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (GrUU 14/2018 rd). 
Grundlagsutskottet har påpekat att lagstiftningen om behandling av personuppgifter är tungrodd och komplicerad (till exempel GrUU 14/2018 rd, GrUU 2/2018 rd, GrUU 49/2017 rd, GrUU 31/2017 rd, och GrUU 71/2014 rd). I Gränsbevakningsväsendets gällande personuppgiftslag finns i viss mån drag av överreglering. Lagen innehåller rätt detaljerad reglering i situationer där det inte är nödvändigt, och därtill föreskrivs det i lagen om rätten att få information även då bestämmelser om detta redan finns i annan lag. Till de personuppgifter som behandlas av Gränsbevakningsväsendet ansluter sig dock ofta även uppgifter som hänför sig till särskilda grupper av personuppgifter. För att genomföra en individs fri- och rättigheter samt med tanke på rättsskyddet är det nödvändigt att föreskriva om behandlingen av personuppgifter inom Gränsbevakningsväsendet på ett sätt som kompletterar dataskyddsförordningen och dataskyddslagen. Propositionen innehåller också bestämmelser om behandlingen av personuppgifter som hör till tillämpningsområdet för dataskyddsdirektivet och dataskyddslagen avseende brottmål. Till den här delen är det nödvändigt att specificera behandlingens rättsgrund och datainnehållet av behandlingen av personuppgifter genom speciallagstiftning. 
Grundlagsutskottet har ansett att sådan reglering där de uppgifter som införs i personregister är tillräckligt exakt definierade är tillräckligt noggrant avgränsad (GrUU 51/2002 rd och GrUU 18/2012 rd). Däremot har grundlagsutskottet ansett att det är problematiskt om bestämmelsens formulering i sista hand ger myndigheten rätten att själv bestämma innehållet av de personuppgifter som ska registreras (GrUU 18/2012 rd). Grundlagsutskottet har ansett att regleringen i lagen i det stora hela ska vara så pass exakt att man genom den kan erbjuda tillräcklig förutsägbarhet om myndigheternas verksamhet (GrUU 15/1996 rd). Såsom i gällande lag ska det i 2 kap. i Gränsbevakningsväsendets personuppgiftslag föreskrivas om de ursprungliga ändamålen för behandlingen av personuppgifter och om deras behandling för andra ändamål än det ursprungliga. Om de personuppgifter som registreras ska föreskrivas på ett heltäckande och detaljerat sätt, men regleringstekniken avviker från gällande lag. Regleringen kan anses uppfylla grundlagsutskottets förutsättningar. I sjöräddningslagen bevaras regleringen enligt register på samma sätt som i gällande lag. 
På samma sätt som i gällande lag ska det också föreskrivas detaljerat om personuppgifternas bevaringstider när det gäller de olika ändamålen för behandlingen. Europadomstolen har påpekat att även bevaringstiderna ska stå i rätt proportion till ändamålet för behandlingen av personuppgifter och att bevaringstiderna ska begränsas (S. och Marper mot Förenade kungariket, punkterna 107 och 108). Även grundlagsutskottet har ansett att regleringen om bevaringstiden på lagnivån ska vara heltäckande och detaljerad och att det i bestämmelserna om bevaringstiden ska ingå en tidsbestämmelse (till exempel GrUU 20/2006 rd). I bestämmelserna om bevaringstider i lagförslag 1 har behovet av att bevara uppgifterna om ett ärende tillräckligt länge för att garantera både den registrerades och Gränsbevakningsväsendets rättsskydd. 
I lagförslag 1 i propositionen föreslås ny reglering enligt vilken Gränsbevakningsväsendet får behandla personuppgifter även innan betydelsen av dem har säkerställts (6 § 3 mom. och 8 § 6 mom.). Det är oundvikligt att det i registret också införs uppgifter som efter bedömningen av nödvändigheten visar sig vara betydelselösa med tanke på Gränsbevakningsväsendets uppgifter. Det är fråga om en åtgärd som begränsar skyddet för privatlivet. Den registrerades rättsskydd förbättras dock av att uppgifterna får bevaras under högst sex månader och att uppgifter som inte har bedömts vara nödvändiga ska raderas utan dröjsmål redan innan det utsatta tiden på sex månader har gått ut. Enligt kraven i den allmänna dataskyddslagstiftningen ska onödiga personuppgifter raderas utan obefogat dröjsmål. Genom den föreslagna bevaringstiden på sex månader preciseras detta krav enligt den allmänna lagstiftningen och säkerställs att det nödvändiga förberedande behandlingsskedet för personuppgifterna pågår bara en begränsad tid. Till denna del kan propositionen för sin del också anses förbättra skyddet av personlig integritet jämfört med nuläget, som saknar uttryckliga bestämmelser om hur länge det förberedande behandlingsskedet får pågå. 
3.2
Behandlingen av personuppgifter som hör till särskilda kategorier av personuppgifter
Dataskyddsförordningen och dataskyddsdirektivet innehåller bestämmelser om behandlingen av personuppgifter som hör till särskilda kategorier av personuppgifter. I dem ställs strängare krav på behandlingen av dessa uppgifter, inklusive kraven på skyddandet av personuppgifter. Grundlagsutskottet har påpekat att behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter som gäller privatlivet, varför bestämmelser som tillåter behandlingen av dylika uppgifter ska vara exakta (GrUU 25/1998 rd, GrUU 51/2002 rd). Beträffande polisens behandling av personuppgifter har grundlagsutskottet även ansett att det om befogenheter att behandla känsliga uppgifter ska föreskrivas exakt genom lag, eftersom den allmänna lagstiftningen inte skapar sådana befogenheter (GrUU 51/2002 rd). 
Grundlagsutskottet har i sitt utlåtande 15/2018 rd noterat att de känsliga uppgifter som avses i 11 § i personuppgiftslagen inte är direkt jämförbara med de särskilda kategorier av personuppgifter som beskrivs i artikel 9 i dataskyddsförordningen. Inte heller de uppgifter som i grundlagsutskottets praxis bedömts vara känsliga, exempelvis på grundval av de risker och hot som behandlingen medför, motsvarar till sina områden helt bestämmelserna i personuppgiftslagen. Grundlagsutskottet har ansett att exempelvis biometriska identifieringsuppgifter kan jämställas med känsliga uppgifter (t.ex. GrUU 13/2016 rd). Till följd av att tillämpningen av EU:s dataskyddsförordning inletts och man i dess artikel 9 använder begreppet särskilda kategorier av personuppgifter, ska den nationella lagstiftningen för tydlighetens skull undvika att använda begreppet känsliga uppgifter (GrUU 15/2018 rd, GrUU 14/2018 rd). Likväl menar utskottet att det fortfarande är motiverat att i konstitutionellt hänseende beskriva vissa grupper av personuppgifter uttryckligen som känsliga. Också i skäl 51 till dataskyddsförordningen betonas den särskilda känsligheten i fråga om särskilda kategorier av personuppgifter. 
Känsliga personuppgifter behandlas inom Gränsbevakningsväsendet för att de uppgifter som hör till direktivets och förordningens tillämpningsområde ska kunna skötas. Dataskyddsförordningen och dataskyddsdirektivet innehåller bestämmelser om behandlingen av personuppgifter som hör till särskilda kategorier av personuppgifter. I dem ställs strängare krav på behandlingen av dessa uppgifter, inklusive kraven på skyddandet av personuppgifter. Strängare krav än tidigare i den allmänna lagstiftningen i fråga om behandling av uppgifter som hör till särskilda kategorier av personuppgifter förbättrar de registrerades rättigheter. Detta har betydelse speciellt när behandlingen gäller biometriska och genetiska uppgifter, som på tillämpningsområdet för dataskyddsdirektivet och dataskyddslagen avseende brottmål får behandlas enbart när det är nödvändigt. Villkoren för behandling av känsliga personuppgifter skärps också inom förordningens tillämpningsområde. Det är i regel förbjudet att behandla sådana personuppgifter som hör till de särskilda kategorier av personuppgifter som avses i artikel 9 i förordningen. Artikel 9.1 i förordningen innehåller en uttömmande förteckning över de undantag med stöd av vilka det är tillåtet att behandla dessa uppgifter. Inom bägge dataskyddsrättsakternas tillämpningsområde ställs också särskilda krav på skyddet av känsliga personuppgifter. 
Gränsbevakningsväsendets behov att behandla uppgifter som hör till särskilda kategorier av personuppgifter ansluter sig till nästan alla ändamål för behandlingen enligt lagförslag 1. Till exempel biometriska uppgifter behandlas inom gränsövervakningen och i upprätthållandet av gränssäkerheten samt i brottmål. Därtill behandlar Gränsbevakningsväsendet för utförande av sina uppgifter även andra uppgifter som hör till särskilda kategorier av personuppgifter, till exempel uppgifter om hälsotillstånd eller uppgifter som beskriver en persons etniska ursprung. Även i sjöräddningsregistret enligt lagförslag 2 får behandlas uppgifter som hör till särskilda kategorier av personuppgifter. 
Beträffande ändamål som hör till dataskyddsförordningens tillämpningsområde baserar sig behandlingen av särskilda kategorier av personuppgifter i lagförslagen 1 och 2 på artikel 9.2 g i förordningen, enligt viken särskilda kategorier av personuppgifter kan behandlas när behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Regleringen ska även stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande fri- och rättigheter och intressen. När det gäller ändamål som hör till tillämpningsområdet för dataskyddslagen avseende brottmål kompletterar regleringen 11 § i nämnda lag. Behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter är i lagförslagen 1 och 2 bunden till Gränsbevakningsväsendets lagstadgade uppgifter och nödvändighet. Utöver de skyddsåtgärder som definieras i den allmänna lagstiftningen preciseras behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter bl.a. av de kriterier som ställs för behandlingen av personuppgifterna, villkoren för utlämnade av uppgifter samt bevaringstiderna för uppgifterna. 
Behandling av personuppgifter som hör till särskilda kategorier av personuppgifter ska begränsas med beaktande av EU:s dataskyddslagstiftning, lagstiftningen om grundläggande fri- och rättigheter och grundlagsutskottets ställningstaganden till vad som är nödvändigt med tanke på ändamålet med behandlingen. Bestämmelser om nödvändighetskriterierna finns i dataskyddslagen avseende brottmål. 
3.3
Behandling av personuppgifter för förebyggande och avslöjande av brott
Det föreslås att bestämmelsen om Gränsbevakningsväsendets register över personer misstänkta för brott ska ersättas med en bestämmelse om behandlingen av personuppgifter för förebyggande och avslöjande av brott. De föreslagna 8 och 9 § innebär en utvidgning av behandlingen av personuppgifter avseende såväl datainnehållet som de kategorier av personer som behandlas. Även med tanke på tillämpande av denna bestämmelse ska man fästa uppmärksamhet vid kraven på rätt proportionalitet och iakttagandet av ändamålet för behandlingen, enligt vilka skyddet för den registrerades privatliv enbart får begränsas i den mån det är nödvändigt och i rätt proportion till det eftersträvade syftet. I bestämmelsen föreslås att de kategorier av personer gällande vilka uppgifter för ändamålet i fråga får registreras och behandlas ska specificeras. Dessutom föreskrivs om uppgiftskategorier som får behandlas för ändamålet i fråga. Till de behandlade uppgifterna ska det om möjligt fogas en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet. 
I den föreslagna bestämmelsen om behandling av personuppgifter för förebyggande och avslöjande av brott har särskild uppmärksamhet ägnats de kriterier för registrering och behandling som gäller olika kategorier av personer. I bestämmelsen föreslås en lägre tröskel för registrering och behandling av uppgifter till den del det är fråga om personer med en faktisk koppling till brottslig verksamhet. Genom bestämmelsen blir det möjligt att i stor omfattning på olika sätt behandla uppgifter för personer som anknyter till brottslig verksamhet för att t.ex. klarlägga kopplingarna mellan dem. 
Grundlagsutskottet har tidigare fäst uppmärksamhet vid att det i motiveringen anges att i polisens informationssystem för misstänkta, som till innehållet motsvarar Gränsbevakningsväsendets register för över personer misstänkta för brott, får också uppgifter om potentiella eller verkliga brottsoffer införas såsom uppgifter som hänför sig till brottet. Ordalydelsen i de gällande bestämmelserna omfattar dock inte detta syfte (GrUU 51/2002 rd). Det att registrering av namn på offer framgår endast av motiveringen till bestämmelsen kan inte anses vara noggrant avgränsad reglering på det sätt som framgår av grundlagsutskottet tolkningspraxis. 
Gränsbevakningsväsendet behöver i vissa situationer också behandla uppgifterna för sådan personer som är utsatta eller kan utsättas för hot om våld från en misstänkt. Det kan vara nödvändigt att behandla uppgifterna för att garantera att Gränsbevakningsväsendet vid behov kan ge en person som ska betraktas som målsägande, offer eller vittne skydd. För dessa gäller dock enligt den föreslagna paragrafen en högre tröskel för behandlingen av personuppgifter. Genom en högre tröskel för behandlingen säkerställs att skyddet för privatlivet begränsas endast till den del det är nödvändigt för att förhindra, avslöja eller utreda den antagna brottsliga verksamheten. Med tanke på dessa personkategorier ska också särskild uppmärksamhet fästas vid garantierna för rättsskyddet. Den personuppgiftsansvarige ska för att garantera rättsskyddet bl.a. i enlighet med kraven i dataskyddsdirektivet och dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. 
När det gäller observationsuppgifter föreslås ingen ändring jämfört med gällande reglering. Grundlagsutskottet har beträffande observationsuppgifter konstaterat att det potentiellt handlar om en mycket omfattande datamängd som berör privatlivet (GrUU 18/2012 rd). Observationsuppgifter är dessutom ofta av otillförlitligt slag och det finns risk för att oskyldiga personer stämplas. Grundlagsutskottet har tidigare vid behandlingen av uppgifter av denna typ utöver de ovan relaterade allmänna iakttagelserna påpekat vikten av att försäkra sig om uppgifternas korrekthet och tillförlitlighet (GrUU 27/2006 rd) och behovet att komplettera uppgifterna med en bedömning av uppgiftslämnarens tillförlitlighet och uppgifternas riktighet (GrUU 51/2002 rd). Därtill avses bevaringstiden av observationsuppgifter vara kort, vilket gör att behandlingen av personuppgifter som inte har verifierats eller vars betydelse är osäker bara begränsar skyddet för privatlivet till den del detta är nödvändigt för att Gränsbevakningsväsendet kan utföra sin uppgift. Grundlagsutskottet har inte ansett att regleringen, när det på det här sättet begränsas beträffande datainnehåll, ändamål och bevaringstid, med tanke på skyddet för personuppgifter är problematiskt. Med tanke på observationsuppgifternas natur är det ändå viktigt att förutsättningarna för registrering av uppgifter tolkas strikt och i synnerhet så att observationsuppgifter kan registreras endast om det finns misstanke om anknytning till kriminell verksamhet (GrUU 18/2012 rd). 
3.4
Behandling av personuppgifter för anda ändamål än det ursprungliga ändamålet med behandlingen och utlämnande av personuppgifter
I artikel 5.1 b i dataskyddsförordningen föreskrivs om ändamålsbegränsning när det gäller personuppgifter. Enligt den ska de samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Enligt skäl 50 till förordningen kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. För att kunna säkerställa huruvida ändamålet för ytterligare behandling är förenligt med det ändamål för vilket personuppgifterna ursprungligen samlades, ska den personuppgiftsansvarige, efter att ha uppfyllt alla krav som gäller lagligheten av den ursprungliga behandlingen, bland annat beakta sambanden mellan dessa ändamål och ändamålen för den panerade ytterligare användningen, den situation i vilken personuppgifterna har samlats, i synnerhet den registrerades rimliga förväntningar i anknytning till den ytterligare behandlingen som baserar sig på förhållandet mellan de registrerade och den personuppgiftsansvarige, personuppgifternas natur, den planerade ytterligare användningens konsekvenser för den registrerade samt det att ändamålsenliga skyddsåtgärder vidtas både i den ursprungliga och i den ytterligare behandlingen. 
När behandlingen av personuppgifter baserar sig på artikel 6.1 c eller e i förordningen, kan man inom det nationella handlingsutrymmet i enlighet med artikel 6.3 föreskriva om de parter och ändamål för vilka personuppgifter får lämnas ut. Om det anses att ändamålet för behandlingen av uppgifter ändras till följd av att de lämnas ut, ska förutsättningarna för utlämnandet bedömas utifrån principen om ändamålsbegränsning såsom det föreskrivs i artikel 6.4 i dataskyddsförordningen. Bestämmelsen om utlämnande ska vara nödvändig och i rätt proportion med tanke på tryggandet av de mål som avses i artikel 23.1. 
Enligt artikel 4 i dataskyddsdirektivet ska medlemsstaterna bland annat föreskriva att personuppgifter ska behandlas enligt lagen och att de samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Behandling som utförs av samma eller annan personuppgiftsansvarig för annat ändamål än det ursprungliga är dock tillåten, om det föreskrivs om behandlingen i lagen och användningen för detta andra ändamål är nödvändig och i rätt proportion. Kravet på att behandlingen överensstämmer med lag specificeras i artikel 8 i direktivet, enligt vilken behandlingen är laglig enbart om och bara till den del den är nödvändig för att en behörig myndighet kan genomföra en uppgift inom direktivets tillämpningsområde och om den baserar sig på lagen. 
Om principen om ändamålsbegränsning föreskrivs i 5 § i dataskyddslagen avseende brottmål. Enligt 1 mom. i nämnda paragraf får den personuppgiftsansvarige samla in personuppgifter endast för särskilda, uttryckligt angivna och berättigade ändamål och får inte behandla dem på ett sätt som står i strid med dessa ändamål. Enligt 2 mom. i nämnda paragraf får personuppgifter som har samlats in för ett ändamål som anges i 1 § 1 eller 2 mom. i dataskyddslagen avseende brottmål behandlas för något annat än ett i momentet angivet ändamål endast om det föreskrivs om behandlingen i lag. 
Grundlagsutskottet har framhävt behovet att försäkra sig om att principen om ändamålsbegränsning genomförs vid behandlingen av personuppgifter (GrUU 20/2016 rd, GrUU 13/2016 rd, GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 25/2009 rd). I lagförslag 1 i propositionen definieras och specificeras det för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Bestämmelserna om behandlingen av uppgifter för något annat är deras ursprungliga ändamål utvidgas till vissa delar. Syftet med bestämmelserna är att säkerställa Gränsbevakningsväsendets verksamhetsbetingelser till exempel i sådana situationer i vilka det är svårt att på förhand fastställa om det gäller säkerställandet av allmän ordning och säkerhet eller förebyggande, avslöjande och utredning av ett brott, samt i situationer i vilka effektivt förebyggande, avslöjande och utredning av ett brott förutsätter att personuppgifter kontrolleras i flera olika personregister. I regleringen har även beaktats användningen av uppgifter som ursprungligen samlats och registrerats för ändamål som överensstämmer med dataskyddsdirektivet och dataskyddslagen avseende brottmål för beviljandet av tillstånd eller utredning av förutsättningar för ikraftvarande. På samma sätt som den gällande lagen säkerställer bestämmelserna också registerförfrågningar som är nödvändiga med anledning av gränskontrollen enligt kodexen om Schengengränserna. 
Framför allt i samband med bedömningen av den nationella regleringen när det gäller behandlingen av biometriska uppgifter har grundlagsutskottet poängterat att det finns skäl att förhålla sig negativt till att uppgifter används för andra ändamål än det ursprungliga, när det gäller omfattande register som innehåller biometriska uppgifter. Från principen om ändamålsbegränsning har enligt utskottet bara kunnat göras exakt avgränsade avvikelser som kan betraktas som mycket små. Regleringen har inte fått leda till att annan verksamhet än sådan som är förknippad med det ursprungliga ändamålet blir registrets huvudsakliga eller ens ett viktigt användningssätt (till exempel GrUU 47/2010 rd). Enligt lagförslag 1 har Gränsbevakningsväsendet rätt att behandla också biometriska uppgifter. I praktiken registreras det i Gränsbevakningsväsendets informationssystem närmast fotografier på personer, eftersom fingeravtryck och DNA-identifikationer även framöver ska införas i polisens register. På samma sätt som enligt gällande lagstiftning ska Gränsbevakningsväsendet för att identifiera en person och säkerställa att ett dokument är äkta rätt att ta emot till resedokument fogade elektroniska identifikationsuppgifter som grundar sig på en persons fysiska egenskaper, men identifikationsuppgifterna får inte registreras (51 § i lagförslag 1). I praktiken används eller utlämnas biometriska identifieringsuppgifter som Gränsbevakningsväsendet behandlar därmed inte i någon större grad för andra ändamål. 
Grundlagsutskottet har i sin praxis lyft fram det till vilka uppgifter och uppgifter gällande vilka personer rätten att få information sträcker sig och hur rätten att få information binds till uppgifternas nödvändighet. Myndigheternas rätt att få uppgifter och möjligheter att lämna ut uppgifter har kunnat vara i anknytning till uppgifter som med tanke på ett visst ändamål är nödvändiga, om man har strävat efter att i lag lista datainnehållet på ett uttömmande sätt. Om datainnehållet inte på samma sätt har listats, måste det enligt utskottet i regleringen ingå ett krav på uppgifternas nödvändighet med tanke på ett visst ändamål (till exempel GrUU 31/2017 rd samt GrUU 17/2016 rd och de utlåtanden till vilka det hänvisas i det). Å andra sidan har utskottet ansett att grundlagen inte tillåter en generös och ospecificerad rätt att få uppgifter, inte ens om den är förenad med nödvändighetskriteriet (till exempel GrUU 71/2014 rd, GrUU 62/2010 rd och GrUU 59/2010 rd). Utskottet har i praktiken bedömt att även tillåtandet av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter som gäller privatlivet (GrUU 37/2013 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (till exempel GrUU 38/2016 rd). 
På samma sätt som i de gällande lagarna ska det i lagförslagen 1 och 2 ingå detaljerade bestämmelser om till vilka myndigheter och för vilka ändamål personuppgifter får lämnas ut. Uppgifter som hör till särskilda kategorier av personuppgifter får bara lämnas ut när det är nödvändigt för att genomföra en för myndigheten i lagen föreskriven uppgift. Enligt grundlagsutskottets praxis sträcker sig kravet på att bestämmelserna ska utfärdas genom lag även till möjligheten att lämna ut personuppgifter genom en teknisk anslutning. Den föreslagna regleringen gäller, på samma sätt som gällande lag, uttryckligen utlämnandet av personuppgifter genom en teknisk anslutning eller som en datamängd. Grundlagsutskottet har även ansett det vara nödvändigt att på den som begär uppgifter på förhand innan den tekniska anslutning öppnas ställa ett krav på att lägga fram information som visar att uppgifterna skyddas på behörigt sätt (GrUU 12/2002 rd). I lagförslag 1 ska ingå en bestämmelse avseende detta. Med tanke på den personuppgiftsansvariges övervakningsskyldighet måste den personuppgiftsansvarige även i fortsättningen separat bedöma de villkor på vilka en teknisk anslutning kan öppnas. 
3.5
Rättsskydd och den registrerades rättigheter
Grundlagsutskottet har ansett det vara viktigt att det i den mån som EU-lagstiftningen möjliggör reglering på det nationella planet tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (GrUU 31/2017 rd och GrUU 25/2005 rd). Utskottet har framhållit att det i regeringens proposition finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 14/2018 rd, GrUU 31/2017 rd, GrUU 26/2017 rd, GrUU 2/2017 rd och GrUU 44/2016 rd). 
Enligt artikel 23 i dataskyddsförordningen ska det om vissa förutsättningar uppfylls vara möjligt att i en medlemsstats nationella rätt inskränka den registrerades rättigheter. Genom nationell lag kan bestämmelser om begränsningar som gäller bl.a. artiklarna 12–22 i förordningen införas. I dataskyddsförordningens artikel 23.2 förutsätts det att lagstiftningsåtgärder som innehåller undantag i förekommande fall innehåller särskilda bestämmelser åtminstone avseende ändamålen med behandlingen eller kategorierna av behandling, kategorierna av personuppgifter, omfattningen av de införda begränsningarna, skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga, lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling, riskerna för de registrerades rättigheter och friheter och de registrerades rätt att bli informerade om begränsningen. Även dataskyddslagen avseende brottmål gör det möjligt att avvika från den registrerades rättigheter i speciallagstiftningen. 
Den registrerades rätt till insyn 
De huvudsakliga bestämmelserna om den registrerades rätt till insyn finns i dataskyddslagen avseende brottmål samt i dataskyddsförordningen och den dataskyddslag som kompletterar förordningen. I lagförslag 1 föreslås det att det ska föreskrivas om inskränkningar av den registrerades insynsrätt till den del det gäller behandlingen av personuppgifter som hör till tillämpningsområdet för dataskyddslagen avseende brottmål. I situationer som hör till dataskyddsförordningens tillämpningsområde ska den allmänna regleringen i dataskyddslagen tillämpas på inskränkandet av den registrerades rätt till insyn. 
Det föreslås att inskränkningarna av rätten till insyn preciseras jämfört med nuläget så att av personuppgifter som behandlas för förebyggande och avslöjande av brott ska uppgifter om Gränsbevakningsväsendets taktiska och tekniska metoder, observationsuppgifter och uppgifter från informationskällor, uppgifter som används för teknisk undersökning direkt stå utanför insynsrätten. I dessa uppgifter har den registrerade sådan indirekt rätt till insyn via dataombudsmannen som avses i 29 § i dataskyddslagen avseende brottmål. Övriga uppgifter som behandlas för förebyggande och avslöjande av brott omfattas av den registrerades rätt till insyn. 
Dessutom ska de personuppgifter som behandlas med stöd av 6 § 3 mom. och 8 § 6 mom. i lagförslag 1 enligt förslaget omfattas av indirekt rätt till insyn. I fråga om dessa uppgifter ska den direkta rätten till insyn begränsas, eftersom uppgifterna normalt innehåller uppgifter om Gränsbevakningsväsendets taktiska och tekniska metoder. Efter att uppgifternas betydelse med tanke på Gränsbevakningsväsendets uppgifter har bedömts, tillämpas på begränsningen av rätten till insyn samma bestämmelser som på övriga uppgifter som avses i 6–9 §. 
Det ska finnas ett godtagbart samhälleligt intresse i en inskränkning av skyddet för privatlivet och inskränkningen ska stå i rätt proportion till det eftersträvade målet. Det betyder att inskränkningarna måste vara nödvändiga för att ett godtagbart syfte ska nås. En inskränkning av en grundläggande fri- eller rättighet är tillåten enbart om målet inte kan nås med medel som intervenerar mindre i de grundläggande fri- och rättigheterna. En inskränkning får inte vara mer genomgripande än vad som är motiverat med hänsyn till hur tungt vägande det bakomliggande intresset är i relation till det rättsobjekt som ska inskränkas (GrUB 25/1994 rd och t.ex. GrUU 56/2014 rd och GrUU 18/2013 rd). 
Begränsningarna i lagförslag 1 anknyter till förebyggande, avslöjande och utredning av brott. I Europadomstolens och EU-domstolens samt högsta domstolens etablerade rättspraxis har detta av tradition betraktats som tungt vägande samhälleliga intressen där målen inte kan nås med medel som intervenerar mindre i de grundläggande fri- och rättigheterna. Det ska föreskrivas exakt och noggrant avgränsat om begränsningarna och dessutom ska den registrerade alltid kunna använda sina rättigheter genom förmedling av tillsynsmyndigheten. Den registrerade nekas inte helt möjligheten att övervaka behandlingen av sina personuppgifter, utan även när rättigheterna inskränks kan den registrerade utnyttja sin rätt indirekt via dataombudsmannen. Inskränkningarna sträcker sig inte längre än vad som är nödvändigt för att målet ska nås. 
Artikel 18 i dataskyddsförordningen 
I propositionen föreslås även ett undantag från artikel 18 i dataskyddsförordningen, enigt vilken den registrerade har rätt att kräva att behandlingen av hans eller hennes personuppgifter begränsas till exempel om den registrerade bestrider personuppgifternas korrekthet. Bestämmelsen är motiverad i synnerhet vid behandlingen av personuppgifter som ansluter sig till gränsövervakning och upprätthållande av gränssäkerheten. 
Bestämmelsen ska inte inskränka den registrerades rätt att med stöd av artikel 16 i dataskyddsförordningen kräva att felaktiga uppgifter rättas. Som garanti för den registrerades rättsskydd fungerar även de rättigheter om vilka det föreskrivs i dataskyddsförordningens kapitel III om den registrerades rättigheter och kapitel VIII om rättsmedel, ansvar och sanktioner. Om den registrerade anser att behandlingen av personuppgifter som avser henne eller honom strider mot lagen, har den registrerade enligt artikel 77 i dataskyddsförordningen t.ex. rätt att lämna in ett klagomål till en tillsynsmyndighet. Den registrerade har även med stöd av förvaltningslagen rätt att anhängiggöra ett krav på att sådan behandling av personuppgifter som strider mot lagen ska avslutas. I det sist nämnda fallet ska den personuppgiftsansvarige avgöra ärendet enligt förfarandebestämmelserna i förvaltningslagen. Det föreslagna undantaget kan därmed anses vara av ringa betydelse med tanke på den registrerades rättsskydd, när man tar i beaktande hur god förvaltning och rättsskydd för övrigt tryggas vid den personuppgiftsansvariges behandling av personuppgifter. 
Rättsmedel 
Enligt 21 § i grundlagen har var och en rätt att på behörigt sätt och utan ogrundat dröjsmål få sin sak behandlad av en domstol eller någon annan myndighet som är behörig enligt lag samt att få ett beslut som gäller hans eller hennes rättigheter och skyldigheter behandlat vid domstol eller något annat oavhängigt rättskipningsorgan. Offentligheten vid handläggningen, rätten att bli hörd, rätten att få motiverade beslut och rätten att söka ändring samt andra garantier för en rättvis rättegång och god förvaltning ska tryggas genom lag. 
I dataskyddsförordningen ingår strängare sanktioner för behandling av personuppgifter i strid med förordningen än vad som ingår i personuppgiftslagen. I kapitel VIII i förordningen föreskrivs om rättsmedel, ansvar och sanktioner. I kapitlet föreskrivs om rätt till effektiva rättsmedel såväl mot tillsynsmyndigheten som också mot den personuppgiftsansvarige eller personuppgiftsbiträdet. I artikel 82 i förordningen föreskrivs om den personuppgiftsansvariges skadeståndsansvar och den registrerades rätt till ersättning och i artikel 84 ställs en skyldighet för medlemsstaterna att fastställa regler för de sanktioner som ska påföras för överträdelse av förordningen. 
I kapitel VIII i dataskyddsdirektivet föreskrivs om den registrerades rättsmedel, den personuppgiftsansvariges ansvar och om de sanktioner som ska påföras med anledning av överträdelser mot de bestämmelser som meddelats med stöd av direktivet. De registrerade ska ha rätt att lämna in ett klagomål till tillsynsmyndigheten, om de anser att behandlingen av personuppgifter som avser dem står i strid med de bestämmelser som utfärdas med stöd av direktivet. Om den tillsynsmyndighet som mottagit klagomålet inte är behörig, ska myndigheten på eget initiativ överlämna klagomålet till den behöriga myndigheten. Både fysiska och juridiska personer ska ha rätt till effektiva rättsmedel mot tillsynsmyndigheten. Var och en som lidit materiell eller immateriell skada till följd av olaglig behandling av personuppgifter eller av någon annan åtgärd som står i strid med de nationella bestämmelser som antas i enlighet med direktivet ska ha rätt till ersättning för denna skada från den personuppgiftsansvarige eller varje annan myndighet som är behörig enligt medlemsstaternas nationella rätt. 
Bestämmelserna i dataskyddsförordningen kompletteras med dataskyddslagen, där det föreskrivs om rättssäkerhet och påföljder. I dataskyddslagen föreskrivs bl.a. om den registrerades rätt att föra ärendet till dataombudsmannens behandling, om den registrerade anser att lagstiftningen överträds i fråga om behandlingen av hans eller hennes personuppgifter. I lagen ingår dessutom bestämmelser om dataombudsmannens rätt att förelägga vite i fråga om vissa beslut och viss rätt att få uppgifter. I lagen föreskrivs också om ändringssökande i dataombudsmannens beslut. Överklagbarheten för beslutet bestäms utifrån förvaltningsprocesslagen. Dataombudsmannens beslut får överklagas genom besvär hos förvaltningsdomstolen på det sätt som föreskrivs i förvaltningsprocesslagen. Över förvaltningsdomstolens beslut får, som i fråga om den gällande personuppgiftslagen, besvär anföras hos högsta förvaltningsdomstolen endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. I dataombudsmannens beslut får det bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat. På detta sätt säkerställs att dataombudsmannen har möjlighet att på ett effektivt sätt ingripa i lagstridig behandling av personuppgifter. 
Dataombudsmannen är också tillsynsmyndighet för efterlevnaden av den föreslagna dataskyddslagen avseende brottmål. Dataombudsmannen utövar tillsyn över efterlevnaden av lagen både på eget initiativ och på basis av begäranden om åtgärder som lämnas in till ombudsmannen. Dataombudsmannen kan göra utredningar av hur lagen följs och behandla begäranden om åtgärder som lämnats in till ombudsmannen. Ombudsmannen kan i fall av lagstridigt förfarande t.ex. meddela den personuppgiftsansvarige en anmärkning eller uppställa ett tillfälligt eller bestående förbud eller någon annan tillfällig eller bestående begränsning av behandlingen av personuppgifter. Ombudsmannen får också förena sitt rättsligt förpliktande beslut med vite. 
I dataskyddslagen föreskrivs att administrativa påföljdsavgifter enligt dataskyddsförordningen inte får påföras statliga myndigheter, t.ex. Gränsbevakningsväsendet. I regleringen är det fråga om utnyttjande av det nationella handlingsutrymmet. Inte heller i dataskyddslagen avseende brottmål föreskrivs det om administrativa påföljdsavgifter för de behöriga myndigheter som avses i lagen. Rättsordningen ställer andra specialkrav på den offentliga förvaltningen, vilka för sin del motiverar denna regleringslösning. Myndigheterna är bundna av förvaltningens lagbundenhetsprincip, och myndigheterna ska iaktta de allmänna förvaltningslagarna. En lagenlig behandling av personuppgifter inom myndigheterna ingår i tjänsteplikten för dem som arbetar vid myndigheterna. En tjänstemans ställning är förbunden med ett större ansvar för fel som gjorts i arbetet än när det gäller andra personer. Tjänsteansvaret kan för det första utmynna i ett straffrättsligt tjänsteansvar, disciplinärt tjänsteansvar samt som skadeståndsansvar. Över en myndighets verksamhet kan också förvaltningsklagan göras till den högre myndigheten. En myndighet ska i alla situationer sköta sina lagstadgade uppgifter. Grundlagsutskottet har inte haft något att invända mot propositionsmotiveringarna i den nämnda dataskyddslagen (GrUU 14/2018 rd). 
3.6
Jämlikhet
Enligt 6 § i grundlagen är alla lika inför lagen. Ingen får utan godtagbart skäl särbehandlas på grund av kön, ålder, ursprung, språk, religion, övertygelse, åsikt, hälsotillstånd, handikapp eller av någon annan orsak som gäller hans eller hennes person. Den allmänna bestämmelsen om jämlikhet kompletteras med förbudet för diskriminering. 
Den allmänna bestämmelsen om jämlikhet riktas även till lagstiftaren. Genom lag kan människor eller människogrupper inte godtyckligt ställas i en mer eller mindre förmånlig situation än andra. Genom bestämmelsen förutsätts dock inte lika behandling av alla människor i alla förhållanden, om de omständigheter som påverkar saken inte är likadana. Grundlagsutskottets etablerade ståndpunkt har varit att den allmänna jämlikhetsprincipen inte kan sätta stränga gränser för lagstiftarens prövning när lagstiftningen ska anpassas efter samhällsutvecklingen vid en viss tidpunkt (till exempel GrUU 11/2012 rd, GrUU 2/2011 rd, GrUU 64/2010 rd och GrUU 35/2010 rd). Det som är centralt är huruvida skillnaderna kan motiveras på ett sätt som är acceptabelt med tanke på systemet med grundläggande fri- och rättigheter (GrUU 46/2006 rd, GrUU 16/2006 rd och GrUU 73/2002 rd). Utskottet har i olika sammanhang på basis av grundlagens bestämmelser om jämlikhet krävt att särbehandlingen inte får vara godtycklig och skillnaderna oskäliga (till exempel GrUU 11/2012 rd, GrUU 37/2010 rd, GrUU 11/2009 rd och GrUU 18/2006 rd). 
I 6 § 2 mom. i grundlagen finns en förteckning över förbjudna grunder för särbehandling. Förteckningen är dock inte uttömmande. Med separat nämnda förbjudna grunder för särbehandling jämställs andra orsaker som gäller personen. Utom att bedöma om grunden kan godtas har utskottet också fäst avseende vid om den valda lösningen står i rätt proportion till det eftersträvade målet (GrUU 38/2006 rd och GrUU 23/2012 rd). 
I synnerhet bestämmelserna om insamlandet av uppgifter som hör till särskilda kategorier av personuppgifter har betydelse när genomförandet av jämlikhetsprincipen bedöms. Gränsbevakningsväsendet kan vara tvunget att behandla känsliga personuppgifter också i stor omfattning för förebyggande, avslöjande och utredning av brott, t.ex. uppgifter om en brottsmisstänkts nationella eller etniska ursprung eller uppgifter beträffande hälsotillstånd eller genetiska uppgifter (DNA-spår) och fingeravtrycksuppgifter. Gränsbevakningsväsendets åtgärder gällande behandlingen av personuppgifter får inte leda till diskriminerande behandling. I propositionen har strävan varit att säkerställa detta genom att behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter har kopplats samman med behandlingens nödvändighet. 
3.7
Bedömning av lagstiftningsordningen
I propositionen har det tagits hänsyn till de allmänna förutsättningar som föranleds av lagstiftningen om behandlingen av personuppgifter samt grundlagsutskottets praxis som styr tolkningen av 10 § 1 mom. i grundlagen. 
Enligt regeringens uppfattning kan de föreslagna lagarna behandlas i vanlig lagstiftningsordning. Eftersom propositionen dock innehåller betydande ändringar i gällande lag med tanke på genomförandet av de grundläggande fri- och rättigheterna, anser regeringen det vara motiverat att grundlagsutskottets utlåtande begärs om propositionen. 
Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 
Lagförslag
1. 
Lag 
om behandling av personuppgifter vid Gränsbevakningsväsendet 
I enlighet med riksdagens beslut föreskrivs: 
1 kap. 
Allmänna bestämmelser 
1 § 
Tillämpningsområde 
Denna lag tillämpas, om inte annat föreskrivs någon annanstans i lag, på behandlingen av personuppgifter vid skötseln av de uppgifter som Gränsbevakningsväsendet har enligt lag, om 
1) behandlingen är helt eller delvis automatisk, eller 
2) personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. 
Utöver vad som föreskrivs någon annanstans i lag, innehåller denna lag också bestämmelser om Gränsbevakningsväsendets rätt att få uppgifter av myndigheter och av privata sammanslutningar och personer. 
2 § 
Förhållande till annan lagstiftning 
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och i dataskyddslagen ( / ). 
Om inte något annat föreskrivs i denna lag 
1) tillämpas på behandlingen av personuppgifter i syfte att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning, samt för att skydda mot eller förebygga hot mot den allmänna säkerheten, skydda den nationella säkerheten samt inom militärrättsvården lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ), nedan dataskyddslagen avseende brottmål, 
2) tillämpas på sekretess och tystnadsplikt i fråga om personuppgifter lagen om offentlighet i myndigheternas verksamhet (621/1999) och lagen om gränsbevakningens förvaltning (577/2005). 
3 § 
Definitioner 
I denna lag avses med 
1) upprätthållande av gränssäkerheten åtgärder som vidtas i Finland och utomlands för att förhindra brott mot bestämmelserna om passerande av riksgränsen och den yttre gränsen, 
2) upprätthållande av gränsordningen verkställighet av bestämmelser som gäller riksgränsen och gränsövergångsställen samt av bestämmelser och föreskrifter som gäller internationellt samarbete mellan gränsmyndigheter samt tillsyn över att de iakttas, 
3) kodexen om Schengengränserna Europaparlamentets och rådets förordning (EG) nr 2016/399 om en unionskodex om gränspassage för personer (kodex om Schengengränserna), 
4) författningsgrunden för Schengens informationssystem Europaparlamentets och rådets förordning (EG) nr 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), rådets beslut 2007/533/RIF om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) samt Europaparlamentets och rådets förordning (EG) nr 1986/2006 om tillträde till andra generationen av Schengens informationssystem (SIS II) för de enheter i medlemsstaterna som ansvarar för att utfärda registreringsbevis för fordon, 
5) Europolförordningen Europaparlamentets och rådets förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF. 
2 kap. 
Behandling av personuppgifter 
4 § 
Behandling av grundläggande personuppgifter 
Gränsbevakningsväsendet får för de ändamål som anges i 5, 6, 8, 10, 11 och 13 § behandla följande behövliga grundläggande personuppgifter: 
1) namn, 
2) personbeteckning, 
3) kön, 
4) födelsedatum och födelseort, 
5) medborgarskap eller avsaknad av medborgarskap samt nationalitet, 
6) modersmål, 
7) kontaktspråk, 
8) civilstånd, 
9) hemvist och bostadsort, 
10) yrke och utbildning, 
11) värnplikt och militärtjänst, 
12) militär utbildning och militär grad, 
13) kontaktuppgifter, 
14) uppgifter ur handlingar som behövs för att fastställa identiteten, 
15) klientnummer som en myndighet gett, 
16) uppgifterna i ett resedokument samt övrig behövlig information som gäller passerande av gräns, 
17) i fråga om en utländsk person föräldrarnas namn, medborgarskap och nationalitet samt kontaktuppgifter, 
18) uppgift om att personen avlidit eller förklarats död, 
19) uppgift om intressebevakning, försättande i konkurs eller meddelande om näringsförbud. 
5 § 
Behandling av personuppgifter vid gränskontroll samt för upprätthållande av gränssäkerheten och gränsordningen 
Gränsbevakningsväsendet får behandla personuppgifter för utförande av gränskontroll i enlighet med kodexen om Schengengränserna, upprätthållande av gränssäkerheten och gränsordningen samt för utförande av sådana utredningar som avses i 27 § i gränsbevakningslagen (578/2005). 
Gränsbevakningsväsendet får i en uppgift som avses i 1 mom. utöver de grundläggande personuppgifter som avses i 4 § dessutom behandla följande personuppgifter: 
1) behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser, 
2) de uppgifter som avses i bilaga II till kodexen om Schengengränserna, 
3) upptagningar från sådan teknisk övervakning som avses i 29 § i gränsbevakningslagen, 
4) behövliga uppgifter om personers och fordons rörelser och position i närheten av gränsen samt om resande och besättning i persontrafik över gränserna, 
5) behövliga uppgifter för påförande av påföljdsavgift för transportör, 
6) behövliga uppgifter för behandling av ärenden som gäller i gränsbevakningslagen avsett gränszonstillstånd och tillstånd att passera gränsen, 
7) uppgifter om gränszonsanmälningar och andra anmälningar som gjorts till Gränsbevakningsväsendet, 
8) behövliga uppgifter om verksamheten för andra staters gränsbevakningsmyndigheter och deras sammansättning samt gränssituationen i Finland och Europeiska unionen, 
9) signalementsuppgifter som behövs för fastställande av identiteten, inklusive ansiktsbild, 
10) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård och andra uppgifter som hör till särskilda kategorier av personuppgifter. 
6 § 
Behandling av personuppgifter för utredning av brott samt upprätthållande av allmän ordning och säkerhet 
Gränsbevakningsväsendet får behandla personuppgifter för utförandet av en uppgift som anknyter till utredning av brott eller till att föra brott till åtalsprövning samt för upprätthållande av allmän ordning och säkerhet. 
Dessutom krävs det att de i 1 mom. avsedda uppgifterna anknyter till personer som 
1) är misstänkta för brott eller för medverkan till brott, 
2) är under 15 år och misstänkta för en brottslig gärning, 
3) är föremål för förundersökning eller en åtgärd av Gränsbevakningsväsendet, 
4) har anmält ett brott eller uppträder som målsägande, 
5) är vittnen, 
6) är offer, 
7) på något annat sätt än vad som anges i 1–6 punkten har anknytning till ett ärende som avses i 1 mom. 
Gränsbevakningsväsendet får behandla personuppgifter också för att bedöma om uppgifterna är av betydelse med tanke på ändamålet med behandlingen enligt 1 mom. Huruvida uppgifterna är av betydelse ska bedömas och onödiga uppgifter raderas utan dröjsmål, dock senast sex månader från det att de har registrerats. 
7 § 
Innehållet i personuppgifter som behandlas för utredning av brott samt upprätthållande av allmän ordning och säkerhet 
Utöver de grundläggande personuppgifter som avses i 4 § får Gränsbevakningsväsendet i fråga om personer som avses i 6 § behandla följande personuppgifter: 
1) behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser, 
2) signalementsuppgifter som behövs för fastställande av identiteten, inklusive finger-, hand- och fotavtryck, handstils-, röst- och luktprov, DNA-profil, ansiktsbild och andra biometriska uppgifter, 
3) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård och andra uppgifter som hör till särskilda kategorier av personuppgifter, 
4) identifieringsuppgift om avgörande av åklagare eller domstol och uppgift om någon har dömts till straff, om det fattats beslut om åtalseftergift eller domseftergift, om ett åtal förkastats, lämnats utan prövning eller avskrivits samt uppgift om ett avgörandes laga kraft. 
8 § 
Behandling av personuppgifter för förebyggande och avslöjande av brott 
Gränsbevakningsväsendet får behandla personuppgifter för utförandet av en uppgift i anknytning till förebyggande eller avslöjande av brott. 
Dessutom krävs det att de i 1 mom. avsedda uppgifterna anknyter till personer som 
1) med fog kan antas ha gjort sig eller göra sig skyldiga till brott, 
2) har kontakt med en i 1 punkten avsedd person eller påträffas i dennes sällskap, och kontakten eller sammanträffandena på grund av att de har upprepats, omständigheterna eller personens beteende kan antas ha samband med ett brott, eller 
3) är föremål för sådan observation som avses i 21 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018). 
Gränsbevakningsväsendet får behandla i 1 mom. avsedda uppgifter också om vittnen till brott, brottsoffer eller den som uppträder som målsägande samt om den som anmält ett brott eller någon annan iakttagelse, om detta är nödvändigt för att förebygga eller avslöja ett brott. 
Beslut om inledande av behandling av personuppgifter i anknytning till en brottsanalys som behövs för att förebygga eller avslöja brott fattas av den personuppgiftsansvarige eller av en annan förvaltningsenhet som den personuppgiftsansvarige har förordnat till uppgiften. 
Gränsbevakningsväsendet får dessutom behandla uppgifter om observationer som gjorts av gränsbevakningsmän eller uppgifter som anmälts till Gränsbevakningsväsendet i anslutning till händelser eller personer som utifrån omständigheterna eller en persons uppträdande med fog kan bedömas ha samband med brottslig verksamhet. 
Gränsbevakningsväsendet får behandla personuppgifter också för att bedöma om uppgifterna är av betydelse med tanke på ändamålet med behandlingen enligt 1 mom. Huruvida uppgifterna är av betydelse ska bedömas och onödiga uppgifter raderas utan dröjsmål, dock senast sex månader från det att de har registrerats. 
9 § 
Innehållet i personuppgifter som behandlas för förbyggande eller avslöjande av brott 
Utöver de grundläggande personuppgifter som avses i 4 § får Gränsbevakningsväsendet i fråga om personer som avses i 8 § behandla följande personuppgifter: 
1) behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser, 
2) behövliga uppgifter som gäller en persons verksamhet och beteende, 
3) signalementsuppgifter som behövs för fastställande av identiteten, inklusive röstprov, ansiktsbild och andra biometriska uppgifter, 
4) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård och andra uppgifter som hör till särskilda kategorier av personuppgifter. 
Till personuppgifterna ska det om möjligt fogas en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet. 
10 § 
Behandling av uppgifter om informationskällor 
Gränsbevakningsväsendet får behandla uppgifter om en i 36 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet avsedd informationskälla, uppgifter om hur informationskällan har använts och om tillsynen samt uppgifter om det huvudsakliga innehållet i de uppgifter som informationskällan lämnat. 
11 § 
Behandlingen av personuppgifter inom militärrättsvården 
Gränsbevakningsväsendet får behandla personuppgifter för utförande av uppgifter i anknytning till sådan förundersökning och sådant militärdisciplinförfarande som avses i 31 § 3 mom. i lagen om gränsbevakningsväsendets förvaltning (militärrättsvård). 
Dessutom krävs det att de i 1 mom. avsedda uppgifterna anknyter till den som är eller har varit föremål för förundersökning eller tvångsmedel eller som gjort anmälan eller varit vittne, målsägande eller annars har hörts. 
12 § 
Innehållet i personuppgifter som behandlas inom militärrättsvården 
Utöver de grundläggande personuppgifter som avses i 4 § får Gränsbevakningsväsendet i fråga om personer som avses i 11 § behandla följande personuppgifter: 
1) behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser, 
2) signalementsuppgifter som behövs för fastställande av identiteten, inklusive röstprov och ansiktsbild, 
3) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård och andra uppgifter som hör till särskilda kategorier av personuppgifter, 
4) uppgifter om avgöranden som gäller disciplinära beslut samt ärenden som åklagare och domstolar har behandlat som ett militärt rättegångsärende samt uppgifter om delgivning av beslut och domar, om ändringssökande och om verkställande av påföljder, 
5) uppgifter om övervakning som gäller militärdisciplinförfarande. 
13 § 
Behandling av personuppgifter i Gränsbevakningsväsendets övriga lagstadgade uppgifter 
Gränsbevakningsväsendet får behandla personuppgifter för utförande av Gränsbevakningsväsendets lagstadgande tillsynsuppgifter, tulluppgifter, efterspanings- och räddningsuppdrag och prehospital akutsjukvård samt för utförande av andra uppgifter som det föreskrivs att Gränsbevakningsväsendet ska sköta. 
Gränsbevakningsväsendet får i en uppgift som avses i 1 mom. utöver de grundläggande personuppgifter som avses i 4 § dessutom behandla följande personuppgifter: 
1) behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser, 
2) behövliga uppgifter om sjötrafiken och vattenfarkosters position, 
3) uppgifter om administrativa påföljder, 
4) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård och andra uppgifter som hör till särskilda kategorier av personuppgifter. 
14 § 
Behandling av personuppgifter för andra ändamål än det ursprungliga  
Om inte något annat föreskrivs någon annanstans i lag, får Gränsbevakningsväsendet behandla personuppgifter som avses i 5–7 och 11–13 § för andra ändamål med behandlingen än det ursprungliga, om detta behövs för 
1) att förebygga eller avslöja ett brott, 
2) att utreda ett brott som kan medföra fängelsestraff, 
3) att påträffa en efterlyst, 
4) en utredning som stöder det att någon är oskyldig, 
5) förhindrande av betydande fara för någons liv, hälsa eller frihet eller betydande miljö-, egendoms- eller förmögenhetsskada, 
6) skyddande av den nationella säkerheten, 
7) utförande av gränskontroll i enlighet med kodexen om Schengengränserna, 
8) bestämmande av tjänsteduglighet samt planering och ordnande av tjänstgöringen, 
9) placering i uppgifter under undantagsförhållanden eller skapande av beredskap, 
10) befordran till militär grad eller belöning, 
11) att utreda identitet i samband med en sådan åtgärd av Gränsbevakningsväsendet som nödvändigt kräver att identiteten styrks, 
12) inriktning av Gränsbevakningsväsendets verksamhet. 
Uppgifter i Gränsbevakningsväsendets personregister får trots sekretessbestämmelserna även behandlas för laglighetsövervakning samt analys, planering och utveckling. Uppgifter får också användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. 
Behandling av uppgifter som hör till särskilda kategorier av personuppgifter för andra ändamål med behandlingen än det ursprungliga är tillåten endast om behandlingen är nödvändig med tanke på ändamålet med uppgiftsbehandlingen. 
15 § 
Behandling av personuppgifter vid tillståndsprövning 
Om inte något annat föreskrivs någon annanstans i lag, får Gränsbevakningsväsendet behandla personuppgifter som avses i 5–13 § för andra ändamål med behandlingen än det ursprungliga när det behövs för beslut eller utlåtanden som gäller beviljande eller giltighet av ett tillstånd, om tillståndet enligt gällande bestämmelser är beroende av sökandens eller tillståndshavarens tillförlitlighet, lämplighet eller någon liknande egenskap, och det för bedömningen av egenskapen krävs uppgifter om sökandens eller tillståndshavarens hälsotillstånd, bruk av berusningsmedel, brottslighet eller våldsamma uppträdande. 
16 § 
Personuppgiftsansvarig 
Staben för Gränsbevakningsväsendet är personuppgiftsansvarig för de personuppgifter som avses i denna lag.  
3 kap. 
Rätt att få uppgifter 
17 § 
Rätt att få uppgifter av myndigheter 
Gränsbevakningsväsendet har trots sekretessen rätt att av en myndighet och av en sådan sammanslutning eller person som tillsatts för att handla ett offentligt uppdrag få de uppgifter och handlingar som behövs för utförande av ett tjänsteuppdrag, om inte lämnandet av uppgiften eller handlingen till Gränsbevakningsväsendet eller användningen av uppgiften såsom bevis har förbjudits eller begränsats i lag. 
Beslut om inhämtande av sekretessbelagda uppgifter fattas av en anhållningsberättigad tjänsteman, om inte något annat avtalas med den som lämnar ut uppgifterna. 
18 § 
Rätt att få uppgifter av privata sammanslutningar och personer 
Trots att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företagshemlighet, bankhemlighet eller försäkringshemlighet, har Gränsbevakningsväsendet på begäran av en anhållningsberättigad tjänsteman rätt att få uppgifter som behövs för att förebygga, avslöja eller utreda brott som undersöks av Gränsbevakningsväsendet. Om ett viktigt allmänt eller enskilt intresse kräver det, har Gränsbevakningsväsendet samma rätt att få sådana uppgifter som behövs för en utredning enligt 27 § i gränsbevakningslagen. 
Gränsbevakningsväsendet har på begäran av en anhållningsberättigad tjänsteman rätt att i enskilda fall av ett teleföretag och av en sammanslutningsabonnent få kontaktuppgifter om en sådan teleadress som inte är upptagen i en offentlig katalog samt uppgifter som specificerar en teleadress eller teleterminalutrustning, om uppgifterna behövs för utförande av ett uppdrag som ankommer på Gränsbevakningsväsendet. Gränsbevakningsväsendet har motsvarande rätt att få uppgifter om utdelningsadresser av en sammanslutning som bedriver postverksamhet. 
För sin tillståndsförvaltning har Gränsbevakningsväsendet rätt att få uppgifter av en privat sammanslutning eller en privatperson med iakttagande av vad som föreskrivs i 17 §. 
19 § 
Vite 
Gränsbevakningsväsendet kan meddela ett åläggande om att de i 18 § avsedda uppgifterna ska lämnas inom en skälig tid, om uppgifterna behövs för att förebygga eller utreda ett brott som Gränsbevakningsväsendet undersöker. Gränsbevakningsväsendet kan förena åläggandet med vite. Beslutet om föreläggande av vite ska iakttas även om ändring i beslutet söks. Vite får dock inte föreläggas om det finns skäl att misstänka någon för brott och det begärda materialet har samband med brottsmisstanken. Bestämmelser i övrigt om vite finns i viteslagen (1113/1990). 
20 § 
Rätt att få uppgifter ur vissa register och datasystem 
Utöver vad som föreskrivs annanstans i lag har Gränsbevakningsväsendet trots sekretessbestämmelserna för utförandet av sina uppgifter rätt få behövliga uppgifter enligt följande: 
1) för utförande av de övervakningsuppdrag till havs som enligt gällande bestämmelser ska skötas av Gränsbevakningsväsendet, av sjöfartsmyndigheterna och leverantörer av fartygstrafikservice ur informationssystemen för övervakning till havs, anmälningssystemet för fartyg, informationssystemen för hamntrafiken och andra informationssystem för fartygstrafiken, uppgifter om sjötrafiken och övervakning av den samt om vattenfarkosters position, 
2) för upprätthållande av gränssäkerheten, räddningsuppdrag samt för utförande av de övervakningsuppgifter till havs och vid landgränsen som enligt gällande bestämmelser ska skötas av Gränsbevakningsväsendet, av luftfarts-, fiskeri-, sjöfarts- miljö- och räddningsmyndigheterna samt av polisen, Tullen och Försvarsmakten, uppgifter om fordon, trafik, myndigheternas aktionsberedskap och alarmering, 
3) ur nödcentralsdatasystemet uppgifter som med tanke på en persons egen säkerhet eller säkerheten i arbetet för Gränsbevakningsväsendets tjänstemän behövs för Gränsbevakningsväsendets lagstadgade uppgifter, 
4) uppgifter om brott och straffrättsliga påföljder ur det bötesregister som avses i lagen om verkställighet av böter (672/2002) för upprätthållande av gränssäkerheten, förundersökning, annan undersökning, räddningsuppdrag, uppdrag som avses i lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet (485/2004), påförande av påföljdsavgift för transportörer och påförande av oljeutsläppsavgift. 
5) av justitieförvaltningsmyndigheterna uppgifter om personer som är efterlysta av dem, ur det register över avgöranden och meddelanden om avgöranden som avses i lagen om justitieförvaltningens riksomfattande informationssystem (372/2010) uppgifter om avgöranden i brottmål och om avgörandenas laga kraft samt ur det rikssystem för behandling av diarie- och ärendehanteringsuppgifter som avses i den lagen uppgifter om brottmål som är eller har varit anhängiga vid åklagarmyndigheter eller domstolar, 
6) ur utrikesministeriets informationssystem, för upprätthållande av gränssäkerheten, förundersökning och annan undersökning och för utförande av de uppdrag som Gränsbevakningsväsendet har enligt utlänningslagen (301/2004), uppgifter om dem som hör till personalen vid diplomatiska beskickningar och konsulat som representerar den utsändande staten i Finland och om dem som hör till personalen vid en internationell organisations organ i Finland eller något annat internationellt organ i samma ställning samt om dessa personers familjemedlemmar och om dem som är i privat tjänst hos dessa personer, 
7) ur det datasystem för övervakning som avses i 29 § i lagen om ett påföljdssystem för och tillsynen över den gemensamma fiskeripolitiken (1188/2014) uppgifter för fiskeriövervakning, övervakning av sjötrafiken, upprätthållande av gränssäkerheten, förundersökning, annan undersökning, räddningsuppdrag och uppdrag som avses i lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet samt för påförande av påföljdsavgift för transportörer, 
8) för lämnande av handräckning uppgifter av den myndighet som har begärt handräckning, 
9) av samfund och sammanslutningar uppgifter om passagerare och fordons personal för utförandet av uppgifter som utförs i samverkan och som avses i lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet (687/2009). 
21 § 
Uppgifter som andra myndigheter lämnar ut till Gränsbevakningsväsendet genom registrering via direkt anslutning 
Gränsbevakningsväsendet får bevilja följande myndigheter rätt att lämna ut uppgifter till Gränsbevakningsväsendets personregister genom registrering via direkt anslutning: 
1) justitieförvaltningsmyndigheterna, Brottspåföljdsmyndigheten och Rättsregistercentralen, 
2) polisen, Tullen och Försvarsmakten, 
3) utrikesförvaltningen. 
22 § 
Uppgifter om personer i fordon som passerar den yttre gränsen 
Gränsbevakningsväsendet har trots sekretessbestämmelserna rätt att få och behandla sådana uppgifter om samfunds och sammanslutningars passagerare och fordons personal som behövs för utförande av gränskontroll och upprätthållande av gränssäkerheten. 
Föraren av ett fordon som anländer till eller avgår från Finland och passerar den yttre gränsen ska till gränskontrollmyndigheten vid in- respektive utresestället lämna uppgifter om personerna i fordonet. Befälhavaren för ett fartyg eller luftfartyg samt ägaren eller innehavaren av ett tåg eller något annat trafikmedel eller dennes företrädare ska till gränskontrollmyndigheten vid in- eller utresestället lämna en passagerar- och besättningsförteckning eller i övrigt uppgifter om trafikmedlets personal och passagerare samt övriga personer i trafikmedlet, om inte uppgifterna redan har lämnats med stöd av 23 eller 24 §. 
Av passagerar- och besättningsförteckningen ska framgå efternamn, förnamn, födelsedatum, kön och medborgarskap för varje person som antecknats i förteckningen samt trafikmedlets nationalitet och registeruppgifter samt ankomst- och avgångsorten. 
De uppgifter som avses i 2 och 3 mom. ska också lämnas vid trafik över de inre gränserna, om gränskontroll tillfälligt har återinförts vid dem i enlighet med kapitel 2 i avdelning III i kodexen om Schengengränserna och 15 § i gränsbevakningslagen. 
23 § 
Uppgifter om passagerare inom flygtrafiken 
Utöver vad som föreskrivs i 22 §, ska en fysisk eller juridisk person som yrkesmässigt idkar flygtransport av personer på begäran av gränskontrollmyndigheten lämna myndigheten i denna paragraf avsedda uppgifter om passagerare som transporteras till ett officiellt gränsövergångsställe via vilket personerna anländer till Europeiska unionens medlemsstaters territorium eller lämnar medlemsstaternas territorium (uppgifter om passagerare inom flygtrafiken). 
Uppgifterna om passagerare inom flygtrafiken ska omfatta numret på och typen av passagerarens resedokument, passagerarens medborgarskap eller avsaknad av medborgarskap, fullständiga namn och födelsetid, det gränsövergångsställe där personen anländer till eller lämnar Europeiska unionens medlemsstaters territorium, transportkod, transportens avgångs- och ankomsttider, det totala antalet personer som ingår i transporten i fråga samt den ursprungliga avgångsorten. Uppgifterna ska lämnas omedelbart efter incheckning. Uppgifterna ska lämnas elektroniskt eller, om detta inte är möjligt, på något annat adekvat sätt. 
Denna paragraf tillämpas också på trafik över de inre gränserna, om gränskontroll tillfälligt har återinförts vid dem i enlighet med kapitel 2 i avdelning III i kodexen om Schengengränserna och 15 § i gränsbevakningslagen. 
24 § 
Uppgifter om passagerare och besättning i fartygs- och tågtrafik 
En fysisk eller juridisk person som bedriver yrkesmässig transport av personer eller varor sjövägen eller per järnväg ska lämna de uppgifter om passagerare och besättning som avses i 22 § 2 och 3 mom. till gränskontrollmyndigheten före ankomsten till gränskontrollen. 
I tågtrafik ska uppgifterna lämnas senast när tåget har avgått från den sista station där passagerare stigit ombord på tåget. På skyldigheten att i fartygstrafik lämna förhandsuppgifter tillämpas bestämmelserna i kodexen om Schengengränserna samt andra bestämmelser och föreskrifter. 
Denna paragraf tillämpas också på trafik över de inre gränserna, om gränskontroll tillfälligt har återinförts vid dem i enlighet med kapitel 2 i avdelning III i kodexen om Schengengränserna och 15 § i gränsbevakningslagen. 
25 § 
Behandling av uppgifter om passagerare och besättning 
De i 22–24 § avsedda uppgifterna om passagerare och besättning får behandlas för att underlätta gränskontroller samt bekämpa olaglig inresa och olaglig invandring. Uppgifterna får dessutom behandlas i andra uppgifter som Gränsbevakningsväsendet, polisen och Tullen ska utföra enligt gällande bestämmelser. 
Uppgifter om passagerare och besättning får i samband med den behandling som avses i 1 mom. jämföras med de register och databaser som behövs med tanke på behandlingen. 
26 § 
Påföljder 
Bestämmelser om den påföljdsavgift för åsidosättande av skyldigheten enligt 23 och 24 § som tas ut hos en transportör finns i 179 § i utlänningslagen. 
Bestämmelser om utlänningsförseelse finns i 185 § i utlänningslagen. 
27 § 
Lämnande av uppgifter till Gränsbevakningsväsendet 
Gränsbevakningsväsendet har rätt att få de uppgifter som avses i detta kapitel avgiftsfritt, om inte något annat föreskrivs i lag. Enligt överenskommelse med den personuppgiftsansvarige har Gränsbevakningsväsendet rätt att få uppgifterna också genom en teknisk anslutning eller som en datamängd. 
Gränsbevakningsväsendet ska på begäran till en personuppgiftsansvarig som lämnat ut uppgifter lämna information om behandlingen av de personuppgifter som det har fått genom en teknisk anslutning, som en datamängd eller genom registrering via direkt anslutning. 
28 § 
Europeiska unionens informationssystem för viseringar 
Bestämmelser om Gränsbevakningsväsendets rätt att få uppgifter ur Europeiska unionens informationssystem för viseringar finns i Europaparlamentets och rådets förordning (EG) nr 767/2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen). 
Bestämmelser om Gränsbevakningsväsendet rätt att ur Europeiska unionens informationssystem för viseringar få uppgifter för förebyggande och utredning av brott som ska undersökas av Gränsbevakningsväsendet och avses i 3 § 2 mom. i lagen om utlämning för brott mellan Finland och de övriga medlemsstaterna i Europeiska unionen (1286/2003) finns i rådets beslut 2008/633/RIF om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. Uppgifterna ska begäras via staben för Gränsbevakningsväsendet. 
29 § 
Behandling av uppgifter som erhållits i internationellt samarbete 
Vid behandlingen av uppgifter som erhållits från ett tredjeland eller en internationell organisation eller myndighet ska i fråga om sekretess, tystnadsplikt, begränsningar i användningen av uppgifter, vidarelämnande av uppgifter och återsändande av utlämnat material iakttas vad som anges i de villkor som den som lämnat ut uppgifterna ställt. 
Om inte något annat följer av 1 mom., får Gränsbevakningsväsendet behandla de utlämnade uppgifterna för andra ändamål än de för vilka uppgifterna lämnades ut, med iakttagande av det som föreskrivs i 14 § 1 mom. 
4 kap. 
Utlämnande av personuppgifter 
30 § 
Utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål 
Gränsbevakningsväsendet får trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd lämna ut sådana personuppgifter som avses i 5–13 § till polisen, Tullen, Försvarsmakten, åklagare, domstolar, Rättsregistercentralen, Brottspåföljdsmyndigheten och andra myndigheter för de uppgifter enligt 1 § i dataskyddslagen avseende brottmål som myndigheten har enligt lag. 
31 § 
Övrigt utlämnande av personuppgifter till myndigheter 
Utöver vad som föreskrivs annanstans i lag får Gränsbevakningsväsendet trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd lämna ut sådana i 5–13 § avsedda personuppgifter som behövs för att utföra en uppgift som myndigheten har enligt lag, enligt följande: 
1) till polisen för utförande av gränskontroll, för ändamål som motsvarar det ursprungliga ändamålet med behandlingen av personuppgifterna samt för andra ändamål i de fall som avses i 13 § och 15 § 1 mom. i lagen om behandling av personuppgifter i polisens verksamhet ( / ), 
2) till Tullen för tullövervakning, skattekontroll, utförande av gränskontroll samt för stämning och annan delgivning, för ändamål som motsvarar det ursprungliga ändamålet med behandlingen av personuppgifterna samt för andra ändamål i de fall som avses i 13 § i lagen om behandling av personuppgifter inom Tullen ( / ), 
3) till räddningsmyndigheterna för räddningsverksamhet, 
4) till Nödcentralsverket för utförande av de uppdrag som anges i lagen om nödcentralsverksamhet (692/2010), för säkerställande av förberedande åtgärder eller arbetarskyddet och för stödjande av enheten i fråga, med beaktande av vad som i den lagen föreskrivs om begränsning av rätten att få uppgifter, 
1) till Transport- och kommunikationsverket i enlighet med 197 och 217 § i lagen om transportservice (320/2017) uppgifter som är nödvändiga för utförande av verkets lagstadgade uppgifter, 
6) till Trafikledsverket för styrningen av sjötrafiken, 
7) till miljömyndigheterna för uppdrag som gäller att förhindra sådan förorening av vatten som orsakats av fartyg samt för uppdrag som gäller övervakningen av havsskyddet, 
8) till Migrationsverket för behandling och avgörande av sådana ärenden avseende utlänningar och finskt medborgarskap som enligt lag eller förordning hör till Migrationsverket, 
9) till utrikesministeriet och finska beskickningar för behandling av sådana ärenden som omfattas av deras behörighet och som gäller pass eller något annat resedokument, visum eller uppehållstillstånd för arbetstagare, uppehållstillstånd för näringsidkare eller något annat uppehållstillstånd, 
10) till arbets- och näringsmyndigheten för behandlingen av ärenden som gäller delbeslut om uppehållstillstånd för arbetstagare eller näringsidkare, beslut om förhandsbesked eller beslut om vägran att bevilja uppehållstillstånd för arbetstagare, 
11) till socialmyndigheterna för utredning av en utlännings försörjning samt ordnande av social- och hälsovård för en utlänning. 
12) till en utmätningsman i enlighet med 3 kap. 67 § i utsökningsbalken (705/2007) för verkställighet av utsökningsärenden, 
13) till Forststyrelsens jakt- och fiskeövervakare för jakt- och fiskeövervakning som hör till deras behörighet. 
Utöver vad som föreskrivs i 1 mom. får Gränsbevakningsväsendet av grundad anledning trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd till en myndighet lämna ut sådana personuppgifter som är nödvändiga för utförandet av en uppgift som myndigheten har enligt lag. 
Uppgifter som hör till särskilda kategorier av personuppgifter får lämnas ut för de ändamål som anges i 1 mom. endast om detta är nödvändigt för att utföra en uppgift som myndigheten har enligt lag. 
32 § 
Utlämnande av personuppgifter via det allmänna datanätet 
För att underrätta allmänheten och få in tips från allmänheten får Gränsbevakningsväsendet trots sekretessbestämmelserna via det allmänna datanätet lämna ut personuppgifter som det särskilt behöver informeras om för att saken är brådskande, för att det är fråga om en farosituation, för att brott ska kunna förebyggas, för att egendom ska kunna återställas till ägaren, för upprätthållande av gränssäkerheten eller av skäl som har samband med en utredning. Personuppgifterna får lämnas ut endast när det är av väsentlig betydelse för utförande av en uppgift som enligt gällande bestämmelser ska skötas av Gränsbevakningsväsendet och utlämnandet av uppgifterna inte strider mot den registrerades legitima intresse. Personuppgifter som erhållits från en annan myndighet får endast lämnas ut med samtycke av den myndighet som lämnat ut uppgifterna. 
33 § 
Utlämnande av personuppgifter till brottsbekämpande myndigheter i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet 
Gränsbevakningsväsendet får trots sekretessbestämmelserna lämna ut personuppgifter som avses i 5–13 § till sådana behöriga myndighet i andra medlemsstater i Europeiska unionen och i stater som hör till Europeiska ekonomiska samarbetsområdet som behandlar personuppgifterna för de ändamål som anges i artikel 1.1 i Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, under samma förutsättningar som Gränsbevakningsväsendet självt får behandla personuppgifterna i fråga. 
Gränsbevakningsväsendet får dessutom trots sekretessbestämmelserna lämna ut uppgifter som avses i 5–13 § till Eurojust och sådana andra institutioner som inrättats med stöd av fördraget om Europeiska unionens funktionssätt som har till uppgift att trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet eller förebygga och utreda brott och sörja för att brott blir föremål för åtalsprövning, om uppgifterna behövs för utförande av dessa uppdrag. Personuppgifter som hör till särskilda kategorier av personuppgifter får dock lämnas ut endast om de är nödvändiga för utförandet av dessa uppdrag. 
Uppgifter som avses i 1 och 2 mom. får lämnas ut också som en datamängd. 
Utöver vad som föreskrivs i denna lag och i dataskyddslagen avseende brottmål, finns det bestämmelser om utlämnande av personuppgifter till de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater i lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009). 
34 § 
Utlämnande av personuppgifter inom Europeiska unionens gränskontrollsamarbete 
Gränsbevakningsväsendet får trots sekretessbestämmelserna lämna ut i 5–9 och 13 § avsedda personuppgifter till 
1) en myndighet som ansvarar för gränskontroll i en annan medlemsstat i Europeiska unionen eller i någon annan stat som tillämpar kodexen om Schengengränserna för utförande av gränskontroll, 
2) Europeiska gräns- och kustbevakningsbyrån, byråns sambandsmän samt till de tjänstemän i en medlemsstat som deltar i av byrån samordnade insatser eller pilotprojekt i Finland, med iakttagande av bestämmelserna i Europaparlamentets och rådets förordning (EU) 2016/1624 om en europeisk gräns- och kustbevakning och om ändring av Europaparlamentets och rådets förordning (EU) 2016/399 och upphävande av Europaparlamentets och rådets förordning (EG) nr 863/2007, rådets förordning (EG) nr 2007/2004 och rådets beslut 2005/267/EG, 
3) en sådan tjänsteman från en medlemsstat i Europeiska unionen som lämnar gränssäkerhetsbistånd som avses i 15 d § 1 mom. i gränsbevakningslagen, för vidtagande av åtgärder som den biståndsbegäran som Finland framställt förutsätter. 
De uppgifter som avses i denna paragraf får lämnas ut också som en datamängd. 
35 § 
Vissa internationella informationssystem 
Gränsbevakningsväsendet får trots sekretessbestämmelserna, för registrering i Schengens informationssystem, lämna ut personuppgifter som behövs för de ändamål som anges i författningsgrunden för Schengens informationssystem. Den tilläggsinformation som avses i författningsgrunden för Schengens informationssystem ska lämnas ut genom förmedling av centralkriminalpolisen. Uppgifterna får lämnas ut också som en datamängd. 
Gränsbevakningsväsendet får trots sekretessbestämmelserna lämna ut personuppgifter till Europeiska unionens byrå för samarbete inom brottsbekämpning med iakttagande av bestämmelserna i lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning (214/2017). 
36 § 
Övrigt utlämnande av uppgifter till utlandet 
Gränsbevakningsväsendet får trots sekretessbestämmelserna lämna ut personuppgifter med iakttagande av bestämmelserna i 7 kap. i dataskyddslagen avseende brottmål. 
Gränsbevakningsväsendet får trots sekretessbestämmelserna lämna ut i 5–9 och 13 § avsedda personuppgifter till 
1) myndigheter som avses i överenskommelsen angående ordningen på gränsen mellan Finland och Sovjetunionen och ordningen för utredning av gränstilldragelser (FördrS 32/1960) för utförande av de uppdrag som avses i överenskommelsen, 
2) en myndighet som ansvarar för gränskontrollen i en annan stat, om uppgifterna är nödvändiga för utförandet av gränskontrollen, 
3) behöriga myndigheter som avses i internationella förpliktelser eller arrangemang som avser återtagande av personer som olagligen inkommit och vistas i landet, för utförande av de uppdrag som avses i de internationella förpliktelserna eller arrangemangen. 
Gränsbevakningsväsendet får trots sekretessbestämmelserna till de myndigheter som ansvarar för vapentillsynen i en annan stat lämna ut personuppgifter om förvärv, innehav, överföring, införsel och utförsel av skjutvapen, vapendelar, patroner och särskilt farliga projektiler, om det med tanke på vapentillsynen är nödvändigt att lämna ut uppgifterna. 
De uppgifter som avses i denna paragraf får lämnas ut också som en datamängd. 
37 § 
Förfarande när uppgifter lämnas ut 
Den personuppgiftsansvarige eller den förvaltningsenhet som den personuppgiftsansvarige har förordnat till uppgiften fattar beslut om utlämnande av sådana personuppgifter som avses i denna lag, om utlämnandet sker genom en teknisk anslutning eller som en datamängd eller om det är fråga om utlämnande av andra än enstaka uppgifter till utlandet. 
När beslut om utlämnande fattas ska uppgifternas art beaktas för att den registrerades integritetsskydd och datasäkerheten ska kunna tryggas. Innan personuppgifter lämnas ut genom en teknisk anslutning eller som en datamängd ska mottagaren av uppgifterna för den personuppgiftsansvarige lägga fram tillförlitlig utredning om att uppgifterna skyddas på behörigt sätt. 
Kvaliteten på de uppgifter som lämnas ut ska bekräftas och uppgifterna ska om möjligt förses med information som gör det möjligt för mottagaren att bedöma hur korrekta, fullständiga, aktuella och tillförlitliga uppgifterna är. Om det framgår att felaktiga uppgifter har lämnats ut eller att uppgifter lämnats ut i strid med lag, ska detta utan dröjsmål meddelas mottagaren. 
5 kap. 
Radering och arkivering av personuppgifter 
38 § 
Radering av personuppgifter som behandlas vid gränskontroll samt för upprätthållande av gränssäkerheten och gränsordningen 
Personuppgifter som behandlas vid gränskontroll samt för upprätthållande av gränssäkerheten och gränsordningen ska raderas senast 5 år från det att den sista uppgiften antecknades. 
Med avvikelse från vad som anges i 1 mom. ska 
1) tillståndsuppgifter raderas 10 år efter det att tillståndet upphörde att gälla, 
2) anmälningsuppgifter raderas 10 år efter det att uppgiften antecknades i registret, 
3) upptagningar från sådan teknisk övervakning som avses i 29 § i gränsbevakningslagen raderas senast 6 månader från det att upptagningen uppkom, 
4) uppgifter om påförande av påföljdsavgift för transportör raderas 10 år efter det att uppgifterna antecknades i registret, 
5) uppgifter om inreseförbud raderas tre år efter det att förbudet återkallades eller upphörde, 
6) uppgifter som avses i 5 § 2 mom. 8 punkten raderas 25 år efter det att den sista uppgiften antecknades, 
7) uppgifter som avses i 5 § 2 mom. 10 punkten raderas senast ett år efter den registrerades död. 
De uppgifter som avses i 1 och 2 mom. får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. 
Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
39 § 
Radering av uppgifter om passagerare inom flygtrafiken 
Sådana uppgifter om passagerare inom flygtrafiken som avses i 23 § ska raderas senast 24 timmar från det att de lämnades till gränskontrollmyndigheterna när passagerarna reste in i eller ut ur landet, om inte uppgifterna behövs för någon annan lagstadgad uppgift som ska utföras av Gränsbevakningsväsendet, polisen eller Tullen. På behandlingen av uppgifter om passagerare inom flygtrafiken efter 24 timmar tillämpas dessutom bestämmelserna i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet ( / ). 
Om inte något annat föreskrivs ska den som lämnar ut sådana passageraruppgifter inom flygtrafiken som avses i 23 § utplåna de personuppgifter som denne har inhämtat och lämnat till gränskontrollmyndigheterna senast 24 timmar från det att det trafikmedel som användes vid transporten anlände till destinationen. 
40 § 
Radering av personuppgifter som anknyter till brottmål 
Uppgifterna i ett brottmål som överförts till en åklagare för avgörande ska raderas 
1) 5 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till böter eller ett fängelsestraff på högst ett år, 
2) 10 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på över ett och högst fem år, 
3) 20 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till fängelse i över fem år. 
De uppgifter som avses i 1 mom. ska dock raderas tidigast ett år från det att brottets åtalsrätt har preskriberats. 
Uppgifterna i andra brottmål än de som avses i 1 mom. ska raderas ett år efter det att åtalsrätten för det sista misstänkta brottet har preskriberats, dock tidigast fem år från det att brottmålet registrerades. 
Signalementsuppgifter som behövs för fastställande av identiteten ska raderas senast 10 år från det att den sista uppgiften om en person misstänkt för brott infördes. Uppgifterna ska dock raderas senast 10 år efter den registrerades död, om det strängaste föreskrivna straffet för det grövsta brott som använts som grund för registrering är fängelse i minst ett år. 
Signalementsuppgifterna för en person som var under 15 år när brottet begicks raderas dock senast 5 år från det att den sista uppgiften om den för brott misstänkta personen infördes, om inte någon av uppgifterna gäller ett brott för vilket inte föreskrivs någon annan påföljd än fängelse. 
De uppgifter som avses i 4 och 5 mom. raderas senast ett år från det att uppgiften infördes, om det vid utredningen har framgått att inget brott har begåtts eller att det inte längre finns skäl att misstänka personen för brott. 
De i 1–5 mom. avsedda personuppgifter som anknyter till brottmål får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
41 § 
Radering av andra personuppgifter som behandlas för utredning av brott och av personuppgifter som behandlas för upprätthållande av allmän ordning och säkerhet 
Andra personuppgifter som behandlas för utredning av brott än de uppgifter som avses i 40 § samt personuppgifter som behandlas för upprätthållande av allmän ordning och säkerhet ska raderas 5 år efter det att anmälan eller ärendet registrerades, om inte de hänför sig till ett brottmål som utreds. 
Med avvikelse från vad som anges i 1 mom. ska 
1) uppgifter om efterlysning eller reseförbud som behandlas för att personer ska kunna påträffas, övervakas, observeras eller skyddas raderas 3 år efter det att efterlysningen eller förbudet upphörde, 
2) uppgifter som avses i 7 § 1 mom. 3 punkten raderas senast ett år efter den registrerades död. 
De personuppgifter som avses i 1 och 2 mom. får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
42 § 
Radering av personuppgifter som behandlas för förbyggande och avslöjande av brott 
Personuppgifter som behandlas för att förebygga och avslöja brott ska raderas senast 10 år från det att den sista uppgiften om ett brott, brottslig verksamhet eller ett uppdrag infördes. Uppgifter som avses i 8 § 5 mom. ska dock raderas senast sex månader från det att anteckningen infördes och uppgifter som avses i 9 § 1 mom. 4 punkten senast ett år efter den registrerades död. 
Personuppgifter som avses i 1 mom. får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
43 § 
Radering av uppgifter om informationskällor 
Uppgifter om en informationskälla ska raderas senast 10 år från det att den sista uppgiften antecknades. 
44 § 
Radering av personuppgifter som behandlas inom militärrättsvården 
Ur personuppgifter som behandlas inom militärrättsvården ska uppgifter raderas enligt följande: 
1) en uppgift om anmärkning, extra tjänstgöring eller utegångsförbud på högst tio dygn raderas 3 år efter det att personen dömdes till eller påfördes disciplinärt straff, om inte personen under denna tid har straffats genom ett domstolsbeslut eller i ett militärdisciplinförfarande, 
2) en uppgift om varning, utegångsförbud på över tio dygn, disciplinbot eller arrest raderas 5 år efter det att personen dömdes till eller påfördes disciplinärt straff, om inte personen under denna tid har straffats genom ett domstolsbeslut eller i ett militärdisciplinförfarande. 
En uppgift om ett straff som en domstol har påfört i ett militärrättegångsförfarande raderas med iakttagande av vad som föreskrivs i 10 § i straffregisterlagen (770/1993) och i 52 § i lagen om verkställighet av böter. 
Om en person har straffats genom ett domstolsbeslut eller i ett militärdisciplinförfarande fler än en gång, ska uppgifterna raderas 5 år efter det sista disciplinära straffet. 
Uppgifter som behandlas inom militärrättsvården och som gäller en förundersökning ska raderas senast 
1) ett år från det att åtalsrätten för brottet har preskriberats, om preskriptionstiden för åtalsrätten är över 10 år, 
2) ett år från det att den personuppgiftsansvarige har fått kännedom om att åklagaren har beslutat avstå från att vidta åtgärder för att väcka åtal mot den skyldige eller kännedom om ett beslut av åklagaren enligt vilket det inte i ärendet är fråga om ett brott eller inte finns bevis om ett brott, 
3) ett år från det att den personuppgiftsansvarige har fått kännedom om åklagarens beslut om att brottet har preskriberats, 
4) ett år från det att den personuppgiftsansvarige har fått kännedom om att åtalet har förkastats genom ett lagakraftvunnet beslut eller att ett väckt åtal har förkastats till följd av att åtalsrätten har preskriberats, 
5) ett år efter den brottsmisstänktes död, 
6) tio år från det att den sista uppgiften om den registrerade antecknades. 
I 12 § 1 mom. 3 punkten avsedda uppgifter som behandlas inom militärrättsvården ska raderas senast ett år efter den registrerades död. 
45 § 
Radering av andra personuppgifter 
Personuppgifter som avses i 13 § ska raderas 5 år efter det att uppgifterna infördes i registret, om det inte finns någon särskild orsak att fortsatt bevara dem med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
Med avvikelse från vad som anges i 1 mom. ska 
1) uppgifter som gäller utlänningar som tagits i förvar raderas 5 år efter det att den sista uppgiften om personen antecknades, 
2) uppgifter om näringsförbud raderas 5 år efter det att näringsförbudet upphörde, 
3) uppgifter som avses i 13 § 2 mom. 4 punkten raderas senast ett år efter den registrerades död. 
46 § 
Uppgifter som konstaterats vara felaktiga 
Oberoende av vad som i dataskyddsförordningen och dataskyddslagen avseende brottmål föreskrivs om rättelse av oriktiga uppgifter i ett register, får en uppgift som konstaterats vara felaktig bevaras tillsammans med den korrigerade uppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. En sådan uppgift får användas endast i det syfte som här avses. 
En uppgift som konstaterats vara felaktig och som bevaras med stöd av 1 mom. ska raderas genast när den inte längre behövs för att trygga rättigheterna. 
47 § 
Arkivering av uppgifter 
I fråga om arkivfunktionens uppgifter och om handlingar som ska arkiveras gäller vad som föreskrivs särskilt. 
6 kap. 
Den registrerades rättigheter 
48 § 
Tillgodoseende av den registrerades rätt till insyn 
I syfte att tillgodose den registrerades rätt till tillgång till uppgifter enligt artikel 15 i dataskyddsförordningen och den registrerades rätt till insyn enligt 23 § i dataskyddslagen avseende brottmål lämnar den personuppgiftsansvarige eller en annan av den personuppgiftsansvarige förordnad myndighet ut uppgifterna för utövande av insyn. 
En registrerad som vill utöva sin rätt till insyn ska framställa en personlig begäran om detta till den personuppgiftsansvarige eller någon annan i 1 mom. avsedd myndighet samt styrka sin identitet. En begäran kan också framställas med användning av stark autentisering enligt lagen om stark autentisering och betrodda elektroniska tjänster (617/2009), om en sådan tjänst används. 
49 § 
Inskränkningar i rätten till insyn 
Med avvikelse från 23 § i dataskyddslagen avseende brottmål och utöver det som föreskrivs i 28 § i den lagen har den registrerade inte rätt till insyn i fråga om 
1) personuppgifter som avses i 6 § 3 mom., 8 § 6 mom. och 10 §, 
2) sådana uppgifter om Gränsbevakningsväsendets taktiska eller tekniska metoder, observationsuppgifter, uppgifter om informationskällor eller uppgifter som används för teknisk undersökning, som ingår i de personuppgifter som avses i 6–9 §, 
Bestämmelser om utövande av den registrerades rättigheter via dataombudsmannen finns i 29 § i dataskyddslagen avseende brottmål. En begäran om utövning av rättigheterna ska lämnas till dataombudsmannen, den personuppgiftsansvarige eller en annan i 48 § 1 mom. i denna lag avsedd myndighet på det sätt som föreskrivs i 2 mom. i den paragrafen. En begäran som lämnats till den personuppgiftsansvarige eller en annan myndighet ska utan dröjsmål sändas till dataombudsmannen. 
50 § 
Den registrerades rätt till begränsning av behandling 
Vad som i artikel 18 i dataskyddsförordningen föreskrivs som den registrerades rätt till begränsning av behandling ska inte tillämpas på sådan behandling av personuppgifter som avses i denna lag. 
7 kap. 
Särskilda bestämmelser 
51 § 
Elektroniska identifikationsuppgifter som grundar sig på fysiska egenskaper 
För att identifiera en person och säkerställa att ett dokument är äkta har Gränsbevakningsväsendet rätt att ta emot till resedokument fogade elektroniska identifikationsuppgifter som grundar sig på en persons fysiska egenskaper, om inte något annat föreskrivs. 
Gränsbevakningsväsendet har rätt att jämföra identifikationsuppgifterna i ett dokument med personen i fråga. Om inte något annat föreskrivs, får elektroniska identifikationsuppgifter inte registreras. 
52 § 
Ikraftträdande 
Denna lag träder i kraft den 20 . 
Genom denna lag upphävs lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005). 
I fråga om radering av sådana personuppgifter som avses i denna lag får de bestämmelser som gällde vid ikraftträdandet av denna lag tillämpas under fyra år från ikraftträdandet av lagen. I fråga om radering av personuppgifter som avses i 6 och 7 § i denna lag ska dock under den ovan nämnda tiden tillämpas vad som i 61 § 3 mom. i lagen om behandling av personuppgifter i polisens verksamhet ( / ) föreskrivs om radering av personuppgifter som avses i 5 och 6 § i den lagen. 
2. 
Lag 
om ändring av sjöräddningslagen 
I enlighet med riksdagens beslut 
upphävs i sjöräddningslagen (1145/2001) 16 §, sådan den lyder i lag 521/2004,  
ändras 12, 14, 17 och 20 §, av dem 14 § sådan den lyder i lag / , samt 
fogas till 15 §, sådan den lyder i lag 1660/2009, ett nytt 2 mom. som följer: 
12 § 
Sjöräddningsregister 
I syfte att på ett ändamålsenligt sätt kunna sköta uppgifterna inom sjöräddningstjänsten samt i efterhand utreda händelser i kritiska lägen och efterspanings- och räddningsåtgärder i anslutning till dessa, för staben för Gränsbevakningsväsendet ett riksomfattande sjöräddningsregister över handlingsplaner för kritiska lägen samt mottagna nödmeddelanden och de åtgärder som vidtagits med anledning av dem. 
14 § 
Rätt att få uppgifter av myndigheter samt av leverantörer av fartygstrafikservicetjänster och flygtrafikledningstjänster 
Gränsbevakningsväsendet har rätt att trots sekretessbestämmelserna avgiftsfritt av övriga sjöräddningsmyndigheter få uppgifter som behövs i planeringen av sjöräddningstjänsten och som gäller de ifrågavarande myndigheternas aktionsberedskap och placering samt beredskaps-, identifierings- och kontaktuppgifter i fråga om personalen. Gränsbevakningsväsendet har rätt att få motsvarande uppgifter av leverantörer av fartygstrafikservicetjänster och flygtrafikledningstjänster samt rätt att lämna ut uppgifter till leverantörer av fartygstrafikservicetjänster och flygtrafikledningstjänster. 
Utöver vad som föreskrivs annanstans i lag har Gränsbevakningsväsendet rätt att trots sekretessbestämmelserna avgiftsfritt få följande uppgifter som behövs för planeringen av sjöräddningstjänstens beredskap samt i kritiska lägen för att utföra uppgifter inom sjöräddningstjänsten: 
1) av Transport- och kommunikationsverket uppgifter om fordon, båtar, fartyg och luftfartyg samt deras ägare och innehavare ur trafik- och transportregistret, uppgifter om radioanläggningar samt deras ägare och innehavare ur registret över radiotillstånd, uppgifter om radioanläggningars läge, uppgifter om luftfarkoster och deras ägare och innehavare ur registret över luftfartens automatiska nödradiosändare samt en uppdaterad lägesbild av fartygstrafiken, 
2) av fiskerimyndigheterna uppgifter om fiskefartyg, fartygens ägare och innehavare samt fartygens verksamhet, 
3) av de kommunala hamnverken uppgifter om fartyg samt fartygs- och godstrafik, 
4) av leverantörer av fartygstrafikservice uppgifter om fartygstrafiken och av leverantörer av lufttrafikledningstjänster uppgifter om luftfartygstrafiken, 
5) av Försvarsmakten uppgifter om övervakningen av havsområdet, 
6) ur nödcentralsdatasystemet, inbegripet polisens uppdragsregister, uppgifter om nödmeddelanden och kritiska lägen, behövliga uppgifter med tanke på en persons egen säkerhet eller säkerheten i arbetet samt beredskaps- och positionsuppgifter om de myndighetsenheter som är verksamma till havs, 
7) av registermyndigheten i landskapet Åland uppgifter om fordon, fartyg och nöjesbåtar samt deras ägare och innehavare. 
Personuppgifter som avses i 5–7 och 13 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ) och i 30 § i territorialövervakningslagen (755/2000) får i kritiska lägen vid behov användas för organisering av efterspanings- och räddningsåtgärder. 
15 § 
Rätt att få uppgifter av privata företag och sammanslutningar 
Bestämmelser om rätt att få uppgifter av teleföretag finns i 321 § i lagen om tjänster inom elektronisk kommunikation (917/2014). 
17 § 
Hur uppgifter lämnas 
Gränsbevakningsväsendet har rätt att få de uppgifter som avses i 14 och 15 § med hjälp av en teknisk anslutning enligt vad som avtalas särskilt om detta, eller på något annat sätt. 
20 § 
Bestämmelser om behandlingen av personuppgifter i sjöräddningsregistret och om uppgifternas offentlighet 
Om inte något annat föreskrivs i denna lag, tillämpas på behandlingen av personuppgifter i sjöräddningsregistret Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), med undantag av artikel 56 och kapitel VII, dataskyddslagen ( / ) samt lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. Bestämmelser om behandlingen av personuppgifter i sjöräddningsregistret finns dessutom i internationella avtal som är bindande för Finland. 
När det gäller offentlighet i fråga om uppgifter i sjöräddningsregistret tillämpas bestämmelserna om offentlighet för myndighetshandlingar. 
Denna lag träder i kraft den 20 . 
3. 
Lag 
om ändring av lagen om gränsbevakningsväsendets förvaltning 
I enlighet med riksdagens beslut 
ändras i lagen om gränsbevakningsväsendets förvaltning (577/2005) 28 c och 31 a §, sådana de lyder, 28 c § i lag 1229/2013 och 31 a § i lag 750/2014, samt 
fogas till lagen en ny 18 §, i stället för den 18 § som upphävts genom lag 877/2011, som följer: 
18 § 
Hänvisning till bestämmelser om utlämnande av uppgifter 
Bestämmelser om utlämnande av uppgifter som registrerats i Gränsbevakningsväsendets personregister genom en teknisk anslutning eller som en datamängd och till utlandet finns i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ). 
28 c § 
Behandling av uppgifter som hör till särskilda kategorier av personuppgifter 
Personuppgifter i anknytning till hälsotillstånd och fällande domar i brottmål och överträdelser och som gäller studerande och personer som ansöker om att bli antagna som studerande får vid Gräns- och sjöbevakningsskolan endast behandlas av personer som bereder eller fattar beslut om antagning av studerande, avbrytande av studier eller förlust av studierätt eller som ger utlåtanden i sådana ärenden. 
Gräns- och sjöbevakningsskolan ska förvara i 1 mom. avsedda uppgifter åtskilda från övriga personuppgifter som skolan samlat in. 
De uppgifter som avses i 1 mom. ska raderas ur registret omedelbart när det inte längre med avseende på utförandet av lagstadgade uppgifter finns någon grund för att bevara dem, dock senast tre år efter att de förts in i registret. 
31 a § 
Granskning av militärdisciplinavgöranden 
Staben för Gränsbevakningsväsendet ska granska förvaltningsenheternas militärdisciplinavgöranden minst en gång om året. 
Denna lag träder i kraft den 20. 
4. 
Lag 
om ändring av gränsbevakningslagen 
I enlighet med riksdagens beslut 
upphävs i gränsbevakningslagen (578/2005) 31 §, sådan den lyder i lag 749/2014, och 
ändras 1 § 2 mom., 28 § 1 mom. 11 punkten, 28 a § och 35 f § 4 mom.,  
sådana de lyder, 1 § 2 mom. i lag 109/2018, 28 § 1 mom. 11 punkten och 28 a § i lag 749/2014 och 35 f § 4 mom. i lag 425/2017, som följer: 
1 § 
Tillämpningsområde 
Lagen om gränsbevakningsväsendets förvaltning (577/2005) innehåller bestämmelser om ordnandet av Gränsbevakningsväsendets förvaltning, utbildning och forskningsverksamhet samt om Gränsbevakningsväsendets tjänster och om särskilda rättigheter och skyldigheter för Gränsbevakningsväsendets tjänstemän. Bestämmelser om behandlingen av personuppgifter och om rätten att få och lämna ut uppgifter i Gränsbevakningsväsendets verksamhet finns i denna lag, i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ), i sjöräddningslagen (1145/2001) samt annanstans i lag. Bestämmelser om Gränsbevakningsväsendets uppgifter inom brottsbekämpning finns i lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018). Bestämmelser om samarbetet mellan polisen, Tullen och Gränsbevakningsväsendet finns också i lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet (687/2009). 
28 § 
Befogenheter i fråga om gränskontroll 
Utöver vad som föreskrivs i denna eller någon annan lag har en gränsbevakningsman, för att genomföra gränskontroller enligt kodexen om Schengengränserna, rätt att utan brottsmisstanke 
11) registrera uppgifter som erhållits i samband med gränskontroll, med iakttagande av vad som föreskrivs i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
28 a § 
Kroppsvisitation vid gränskontroll 
Den gränsbevakningsman som tjänstgör som chef vid ett gränsövergångsställe eller en gränsbevakningsman med minst löjtnants grad beslutar om kroppsvisitation enligt 28 § 1 mom. 9 punkten. En gränsbevakningsman som utför in- eller utresekontroll kan dock besluta om kroppsvisitation som riktas mot en persons ytterkläder eller personens medhavda bagage eller som utförs manuellt eller med en teknisk anordning. 
Kroppsvisitationer ska registreras i Gränsbevakningsväsendets personregister. Ett protokoll med en tillräckligt noggrann redogörelse för förrättningens gång ska dessutom upprättas över sådan kroppsvisitation som utförs med stöd av de befogenheter som innehas av den som tjänstgör som chef vid gränsövergångsstället eller av en gränsbevakningsman med minst löjtnants grad. Den som kroppsvisiterats ska på begäran ges en kopia av protokollet. 
35 f § 
Övriga rättigheter och skyldigheter för en tjänsteman från en EU-medlemsstat som lämnar gränssäkerhetsbistånd 
Bestämmelser om tjänstemannens rätt att använda Gränsbevakningsväsendets personregister finns i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
Denna lag träder i kraft den 20 . 
5. 
Lag 
om ändring av lagen om brottsbekämpning inom Gränsbevakningsväsendet 
I enlighet med riksdagens beslut 
ändras i lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018) 1, 6 och 49 § samt 54 § 1 mom. som följer: 
1 § 
Tillämpningsområde 
Denna lag tillämpas utöver gränsbevakningslagen (578/2005), lagen om gränsbevakningsväsendets förvaltning (577/2005) och lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ) på till Gränsbevakningsväsendets uppgifter hörande åtgärder för förhindrande, avslöjande, utredning och överlämnande för åtalsprövning av brott. 
Om inte något annat föreskrivs i denna lag, ska vid sådan förundersökning av brottmål som hör till Gränsbevakningsväsendets uppgifter iakttas vad som i förundersökningslagen (805/2011) och tvångsmedelslagen (806/2011) samt annanstans i lag föreskrivs om förundersökning och tvångsmedel. 
6 § 
En gränsbevakningsmans uppgifter och befogenheter vid brottsbekämpning 
Bestämmelser om en gränsbevakningsmans uppgifter, befogenheter, rättigheter och skyldigheter finns förutom i denna lag även i gränsbevakningslagen, lagen om gränsbevakningsväsendets förvaltning, lagen om behandling av personuppgifter vid Gränsbevakningsväsendet och i annan lag. 
Vid förundersökning som görs av Gränsbevakningsväsendet har en gränsbevakningsman samma rätt att vidta utredningsåtgärder enligt förundersökningslagen och använda tvångsmedel enligt tvångsmedelslagen som en polisman vid en polismyndighets förundersökning, om inte något annat föreskrivs i denna eller någon annan lag. 
49 § 
Utplåning av information 
Hemligt inhämtad information ska utplånas utan dröjsmål efter att det har framgått att den inte behövs för förhindrande eller utredning av brott eller för avvärjande av en fara. 
Överskottsinformation får dock bevaras och lagras för sådana ändamål med behandlingen som avses i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet, om informationen gäller ett brott som avses i 48 § 1 eller 2 mom. eller om den behövs för förhindrande av ett brott som avses i 15 kap. 10 § i strafflagen. Information som inte har lagrats eller fogats till förundersökningsmaterial ska utan obefogat dröjsmål utplånas så snart det blivit uppenbart att den inte kan användas eller den inte längre behövs för förhindrande eller utredning av ett brott. 
Basstationsuppgifter ska utplånas efter att det har framgått att informationen inte behövs för förhindrande eller utredning av ett brott eller för avvärjande av en fara. 
54 § 
Begränsning av partsoffentlighet i vissa fall 
Med avvikelse från vad som föreskrivs i 11 § i lagen om offentlighet i myndigheternas verksamhet (621/1999) har den vars rättigheter eller skyldigheter saken gäller inte rätt att få vetskap om användningen av en metod för inhämtande av information enligt detta kapitel förrän en underrättelse enligt 52 § har gjorts. Han eller hon har inte heller rätt till insyn för registrerade enligt lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ). 
Denna lag träder i kraft den 20 . 
6. 
Lag 
om ändring av utlänningslagen 
I enlighet med riksdagens beslut 
ändras i utlänningslagen (301/2004) 174 § 2 mom., 179 § 1 och 3 mom., 181 § 1 mom., 182 § 2 mom. och 185 § 2 mom., sådana de lyder i lag 755/2014, som följer: 
174 § 
Anmälnings- och övervakningsskyldighet för fordonsförare och transportörer 
Bestämmelser om anmälningsskyldighet för fordonsförare och transportörer finns i 22–24 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ). 
179 § 
Påföljdsavgift för transportör 
Av en transportör som bryter mot den kontrollskyldighet som föreskrivs i 173 § eller den skyldighet att lämna uppgifter som avses i 23 eller 24 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet tas det ut en påföljdsavgift (påföljdsavgift för transportör). Avgiften för brott mot 173 § är 3 000 euro per person som transporterats. Avgiften för brott mot 23 och 24 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet är 3 000 euro för varje sådan resa för vilken uppgifter om passagerare inte meddelats eller för vilken bristfälliga eller felaktiga uppgifter meddelats. 
Bestämmelserna i 2 mom. 1 punkten tillämpas inte när det tas ut en avgift för brott mot 23 eller 24 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
181 § 
Påförande av påföljdsavgift för transportör 
Påföljdsavgiften för transportör påförs i samband med in- och utresekontrollen av kommendören eller biträdande kommendören för den gräns- eller sjöbevakningssektion eller chefen för den gräns- eller sjöbyrå inom vars verksamhetsområde överträdelsen av 173 § i denna lag eller av 23 eller 24 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet har konstaterats. Om polisen har varit in- och utresekontrollmyndighet, påförs påföljdsavgiften för transportör av en polisman som hör till befälet vid polisinrättningen. Om Tullen har varit in- och utresekontrollmyndighet, påförs påföljdsavgiften för transportör av en till uppgiften förordnad tullman i överordnad ställning vid verksamhetsenheten vid den ansvariga enheten vid Tullen.  
182 § 
Avlyftande av påföljdsavgift för transportör 
Bestämmelserna i 1 mom. 1 punkten gäller inte en påföljdsavgift som tas ut för brott mot 23 eller 24 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
185 § 
Utlänningsförseelse 
För utlänningsförseelse döms även den som uppsåtligen eller av grov oaktsamhet försummar sin skyldighet enligt 174 eller 175 § i denna lag eller 22 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
Denna lag träder i kraft den 20 . 
7. 
Lag 
om ändring av 11 kap. 8 § i förundersökningslagen 
I enlighet med riksdagens beslut 
ändras i förundersökningslagen (805/2011) 11 kap. 8 §, sådan den lyder i lag 113/2018, som följer: 
11 kap. 
Särskilda bestämmelser 
8 § 
Rätt att få information från myndigheter, privata sammanslutningar och fysiska personer 
Bestämmelser om rätten att få information som behövs för utredning av brott från myndigheter, privata sammanslutningar och fysiska personer finns i 4 kap. 2 och 3 § i polislagen, 2 kap. 14 § i lagen om brottsbekämpning inom Tullen och 17–19 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
Denna lag träder i kraft den 20 . 
8. 
Lag 
om ändring av 10 § i lagen om genomförande av vissa bestämmelser i beslutet om Eurojust 
I enlighet med riksdagens beslut 
ändras i lagen om genomförande av vissa bestämmelser i beslutet om Eurojust (742/2010) 10 § 2 mom., sådant det lyder i lag 648/2015, som följer: 
10 § 
Utlämnande av personuppgifter till Eurojust 
Vid utlämnande av uppgifter till Eurojust ur polisens, Gränsbevakningsväsendets och Tullens personregister tillämpas 29 § i lagen om behandling av personuppgifter i polisens verksamhet (761/2003), 33 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ), 26 § i lagen om behandling av personuppgifter inom Tullen (639/2015) och 30 § i lagen om offentlighet i myndigheternas verksamhet (621/1999). 
Denna lag träder i kraft den 20 . 
9. 
Lag 
om ändring av lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet 
I enlighet med riksdagens beslut 
ändras i lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009) 3 § 3 och 4 punkten, 5 § 2 och 3 mom. samt 6 § 2 och 3 mom., 
sådana de lyder, 3 § 3 punkten i lag 1180/2013, 3 § 4 punkten, 5 § 3 mom. och 6 § 3 mom. i lag 649/2015 samt 5 § 2 mom. och 6 § 2 mom. i lag 312/2016, som följer: 
3 § 
Definition av information och underrättelser 
I denna lag avses med information och underrättelser 
3) uppgifter som avses i 2 kap. i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ), samt 
4) uppgifter som annars med stöd av 4 kap. 2 och 3 § samt 5 kap. 40–42 § i polislagen (872/2011), 13 § i lagen om behandling av personuppgifter i polisens verksamhet, 2 kap. 14 § i lagen om brottsbekämpning inom Tullen (623/2015), 36 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018), 17, 18 och 20 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet eller någon annan lag eller ett avtal innehas av polisen, Tullen eller Gränsbevakningsväsendet eller som är tillgängliga för dem utan att de vidtar tvångsåtgärder. 
5 § 
Utlämnande av information och underrättelser på begäran 
Information och underrättelser lämnas ut under de förutsättningar som anges i 17–19 § i lagen om behandling av personuppgifter i polisens verksamhet, 17 § i lagen om behandling av personuppgifter inom Tullen och 33 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
På beslutsfattande som gäller utlämnande av information och underrättelser tillämpas vad som föreskrivs i 20 § i lagen om behandling av personuppgifter i polisens verksamhet, 18 § i lagen om behandling av personuppgifter inom Tullen, 37 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet samt någon annanstans i lag. 
6 § 
Utlämnande av information och underrättelser på eget initiativ 
Information och underrättelser lämnas ut under de förutsättningar som anges i 17–19 § i lagen om behandling av personuppgifter i polisens verksamhet, 17 § i lagen om behandling av personuppgifter inom Tullen och 33 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
På beslutsfattande som gäller utlämnande av information och underrättelser tillämpas vad som föreskrivs i 20 § i lagen om behandling av personuppgifter i polisens verksamhet, 18 § i lagen om behandling av personuppgifter inom Tullen, 37 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet samt någon annanstans i lag. 
Denna lag träder i kraft den 20 . 
10. 
Lag 
om ändring av 12 § i lagen om Enheten för utredning av grå ekonomi 
I enlighet med riksdagens beslut 
ändras i lagen om Enheten för utredning av grå ekonomi (1207/2010) 12 § 2 mom., sådant det lyder i lag 645/2015, som följer 
12 § 
Behandling av personuppgifter och rätt till insyn 
En registrerad har dock inte rätt till insyn i de uppgifter som avses i 45 § i lagen om behandling av personuppgifter i polisens verksamhet (761/2003) och i 49 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ) och inte heller i uppgifter i de register som nämns i 29 § i lagen om behandling av personuppgifter inom Tullen (639/2015). 
Denna lag träder i kraft den 20 . 
11. 
Lag 
om ändring av 19 och 20 § i lagen om nödcentralsverksamhet 
I enlighet med riksdagens beslut 
ändras i lagen om nödcentralsverksamhet (692/2010) 19 § 1 mom. 12 punkten och 20 § 4 mom., sådana de lyder i lag 1172/2016, som följer: 
19 § 
Rätt att få information ur registren 
Nödcentralsverket och dess anställda har enligt vad som överenskommits med registerföraren och trots sekretessbestämmelserna, för att kunna sköta Nödcentralsverkets lagstadgade uppgifter, rätt att avgiftsfritt få information som behövs för att säkerställa förberedande åtgärder i samband med uppdrag eller arbetarskyddet eller för att stödja myndigheten eller enheten i fråga. I detta syfte har Nödcentralsverket och dess anställda rätt att 
12) få information enligt 31 § 1 mom. 4 punkten i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ), 
20 § 
Utlämnande av uppgifter 
Bestämmelser om Gränsbevakningsväsendets rätt att få information ur nödcentralsdatasystemet finns utöver i denna lag i 14 § i sjöräddningslagen och i 20 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
Denna lag träder i kraft den 20 . 
12. 
Lag 
om ändring av 10 kap. 57 § i tvångsmedelslagen 
I enlighet med riksdagens beslut 
ändras i tvångsmedelslagen (806/2011) 10 kap. 57 §, sådan den lyder i lag 112/2018, som följer: 
10 kap. 
Hemliga tvångsmedel 
57 § 
Utplåning av information 
Överskottsinformationen ska utplånas efter det att målet har avgjorts genom en lagakraftvunnen dom eller avskrivits. Informationen får dock bevaras och lagras i ett register som avses i lagen om behandling av personuppgifter i polisens verksamhet, ett register som avses i lagen om behandling av personuppgifter inom Tullen (639/2015) eller för det ändamål med behandlingen som avses i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ), om informationen gäller ett brott som avses i 56 § 1 eller 2 mom. i detta kapitel eller om den behövs för att förhindra ett brott som avses i 15 kap. 10 § i strafflagen. Information som inte ska utplånas ska bevaras i fem år efter det att målet har avgjorts genom en lagakraftvunnen dom eller avskrivits. 
Basstationsuppgifter som avses i 10 § ska utplånas när målet har avgjorts genom en lagakraftvunnen dom eller avskrivits. 
Denna lag träder i kraft den 20. 
13. 
Lag 
om ändring av 2 kap. 21 § i polislagen 
I enlighet med riksdagens beslut 
ändras i polislagen (872/2011) 2 kap. 21 § 1 mom., sådant det lyder i lag / , som följer: 
2 kap. 
Allmänna befogenheter 
21 § 
Gränskontroll och tullåtgärder 
En polisman har rätt att genomföra gränskontroller med sådana befogenheter som föreskrivs för en gränsbevakningsman i 28 och 28 a § i gränsbevakningslagen. En polisman har dessutom rätt att styra och begränsa vistelse på ett gränsövergångsställe på det sätt som föreskrivs i 30 a § i den lagen i fråga om en gränsbevakningsman som tjänstgör som chef för ett gränsövergångsställe och en gränsbevakningsman med minst löjtnants grad. 
Denna lag träder i kraft den 20 . 
14. 
Lag 
om ändring av 322 § i lagen om tjänster inom elektronisk kommunikation 
I enlighet med riksdagens beslut 
ändras i lagen om tjänster inom elektronisk kommunikation (917/2014) 322 §, sådan den lyder i lag 118/2018, som följer: 
322 § 
Vissa andra myndigheters rätt att få information 
Bestämmelser om myndigheters rätt att få förmedlingsuppgifter för att förebygga, avslöja och utreda brott finns i polislagen, lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018), lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ), lagen om behandling av personuppgifter inom Tullen (639/2015) och tvångsmedelslagen. 
Endast de myndigheter som enligt lag har rätt att få uppgifter som ska lagras enligt 157 § kan få sådana uppgifter från de lagringsskyldiga företagen. 
Denna lag träder i kraft den 20 . 
15. 
Lag 
om ändring av 31 § i tullagen 
I enlighet med riksdagens beslut 
ändras i tullagen (304/2016) 31 § som följer: 
31 § 
In- och utresekontroller 
En tullman har rätt att genomföra in- och utresekontroller med de befogenheter som föreskrivs för en gränsbevakningsman i 28, 28 a, 36 och 38 § i gränsbevakningslagen. En tullman som tjänstgör som chef för ett tullkontor har dessutom rätt att styra och begränsa vistelse på ett gränsövergångsställe på det sätt som föreskrivs i 30 a § i gränsbevakningslagen i fråga om en gränsbevakningsman som tjänstgör som chef för ett gränsövergångsställe och en gränsbevakningsman med minst löjtnants grad. 
Beslut om sådant kvarhållande samt temporärt omhändertagande av gods och fordon som avses i 28 § 1 mom. 1 och 2 punkten i gränsbevakningslagen under tiden för in- eller utresekontrollen fattas av en tullman som tjänstgör som chef för ett tullkontor eller en till uppgiften förordnad tullman som tjänstgör som chef för tullbrottsbekämpningen eller tullövervakningen. I brådskande fall utförs kvarhållandet och omhändertagandet av den tullman som genomför in- eller utresekontrollen. Tullmannen ska då utan dröjsmål överföra ärendet för avgörande till en tullman som tjänstgör som chef för ett tullkontor eller till en tullman som tjänstgör som chef för tullbrottsbekämpningen eller tullövervakningen. 
Beslut om sådan kroppsvisitation som avses i 28 § 1 mom. 9 punkten i gränsbevakningslagen fattas av en till uppgiften förordnad tullman som tjänstgör som chef för tullbrottsbekämpningen eller tullövervakningen. En tullman som genomför in- och utresekontroll får dock besluta om kroppsvisitation som begränsas till en persons kläder eller personens medhavda bagage. 
Denna lag träder i kraft den 20 . 
16. 
Lag 
om ändring av 25 § i säkerhetsutredningslagen 
I enlighet med riksdagens beslut 
ändras i säkerhetsutredningslagen (726/2014) 25 § 1 mom. 6 punkten, sådan den lyder i lag 931/2016, som följer: 
25 § 
Informationskällor vid normal säkerhetsutredning av person 
En säkerhetsutredning av person får bygga enbart på registeruppgifter som finns i 
6) Gränsbevakningsväsendets personregister som innehåller sådana uppgifter som avses i 5 §, 6 § 1 och 2 mom. och 7, 11 och 12 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ) och sådana uppgifter som behandlas för skötseln av tillsynsuppgifter enligt 13 § i den lagen, 
Denna lag träder i kraft den 20 . 
Helsingfors den 22 november 2018  
Statsminister
Juha
Sipilä
Inrikesminister
Kai
Mykkänen
Senast publicerat 22.11.2018 14:07