Regeringens proposition
RP
259
2018 rd
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter inom Tullen och till vissa lagar som har samband med den
PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL
I denna proposition föreslås att det stiftas en ny lag om behandling av personuppgifter inom Tullen. Samtidigt upphävs den gällande lagen med samma namn. Lagen ska tillämpas på Tullens behandling av personuppgifter. Syftet med propositionen är att lagstiftningen om behandling av personuppgifter som behövs för skötseln av Tullens uppgifter ska motsvara kraven enligt Europeiska unionens dataskyddslagstiftning. Dessutom beaktas vissa nationella behov att behandla uppgifter som särskilt gäller Tullens brottsbekämpning samt tullövervakning och skattekontroll. 
Den föreslagna lagen kompletterar den allmänna lagstiftningen om genomförande i Europeiska unionens allmänna dataskyddsförordning och dataskyddsdirektivet. Bestämmelserna om riksomfattande informationssystem och andra Tullens personregister i den gällande lagen ersätts med bestämmelser om ändamålet med behandlingen av personuppgifter som behövs för skötseln av de övervakningsuppdrag som i lag föreskrivs för Tullen och för att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning samt innehållet i de personuppgifter som behandlas. Dessutom innehåller lagen bestämmelser om nationellt och internationellt informationsutbyte, radering av uppgifter och arkivering samt tillgodoseende av den registrerades rätt till insyn och vissa inskränkningar av den registrerades rättigheter. 
Propositionen innehåller dessutom förslag till ändring av lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet, lagen om brottsbekämpning inom Tullen, tvångsmedelslagen, lagen om genomförande av vissa bestämmelser i beslutet om Eurojust, lagen om Enheten för utredning av grå ekonomi, bilskattelagen, punktskattelagen, lagen om tjänster inom elektronisk kommunikation och säkerhetsutredningslagen. I dessa lagar föreslås i huvudsak tekniska ändringar som gäller laghänvisningar. 
Lagarna avses träda i kraft så snart som möjligt. Raderingen av personuppgifter ska genomföras i enlighet med lagens krav inom fyra år från ikraftträdandet. 
ALLMÄN MOTIVERING
1
Inledning
Syftet med propositionen är att stifta en ny lag om behandlingen av personuppgifter inom Tullen. Reformen av den lag som gäller Tullen är en del av en mer omfattande totalrevidering av behandlingen av personuppgifter i Europeiska unionen (EU) och medlemsstaterna. 
Bakgrunden till reformen är Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, nedan dataskyddsförordningen eller EU:s dataskyddsförordning, samt Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan dataskyddsdirektivet. Dataskyddsförordningen och dataskyddsdirektivet har börjat tillämpas från ingången av maj 2018. I samband med reformen har det föreslagits att den allmänna personuppgiftslagen (523/1999) som från och med 1999 tillämpats på all behandling av personuppgifter i Finland upphävs. Vid sidan av dataskyddsförordningen föreslås det att en allmän dataskyddslag (RP 9/2018 rd) som har föreslagits ska tillämpas. Dataskyddsdirektivet genomförs nationellt genom lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (RP 31/2018 rd), nedan dataskyddslagen avseende brottmål, som ska tillämpas vid sidan av lagen om behandling av personuppgifter i Tullen som föreslås.  
Syftet med dataskyddspaketet är att uppdatera och modernisera de principer som ingick i det tidigare dataskyddsdirektivet och i rambeslutet, särskilt med beaktande av den snabba informationstekniska utvecklingen samt den ständigt växande behandlingen av personuppgifter. Reformen har som särskilt innehållsmässigt mål att förbättra de registrerades rättigheter, stärka den inre marknaden inom EU, säkerställa en hög nivå på skyddet för personuppgifter när brottmål handläggs och även i samhället i övrigt, säkerställa att dataskyddsbestämmelserna iakttas och övervakas samt främja personuppgifters rörlighet. 
2
Nuläge
2.1
Lagstiftning och praxis
2.1.1
2.1.1 Allmänt
Enligt 10 § 1 mom. i grundlagen utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Allmänna lagar som gäller myndigheternas behandling av personuppgifter i brottmål är personuppgiftslagen och lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen
Utöver personuppgiftslagen finns det rikligt med speciallagstiftning om behandling av personuppgifter som gäller i Finland. Förutom till exempel Tullen finns det bestämmelser om polisens och Gränsbevakningsväsendets behandling av personuppgifter i speciallagstiftningen. 
2.1.2
2.1.2 Dataskyddslagen
Avsikten är att den allmänna personuppgiftslagen upphävs genom dataskyddslagen. Genom personuppgiftslagen har Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter genomförts, nedan personuppgiftsdirektivet
Syftet med dataskyddslagen är att precisera och komplettera dataskyddsförordningen inom ramen för den nationella rörelsefriheten som ges i den. Lagen tillämpas enligt tillämpningsområdet i artikel 2 i dataskyddsförordningen på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Med stöd av dataskyddslagen tillämpas dataskyddsförordningen dessutom på behandlingen av personuppgifter som utgör led i en verksamhet enligt artikel 2.2 a (verksamhet som inte omfattas av unionsrätten) och b (gemensam utrikes- och säkerhetspolitik) om inget annat fastställs i lag. Dataskyddslagen tillämpas inte på behandling av personuppgifter som en fysisk person utför uteslutande i verksamhet som gäller personliga angelägenheter eller hans eller hennes hushåll och inte heller på behandlingen av personuppgifter som hör till tillämpningsområdet för dataskyddsdirektivet. 
I 2 kap. i dataskyddslagen anges de rättsliga grunderna för behandlingen i vissa fall, såsom behandling av särskilda personuppgifter samt behandling som gäller brottmålsdomar och förseelser. I 3 kap. föreskrivs det om den nationella tillsynsmyndigheten, dataombudsmannen. I 4 kap. föreskrivs det om rättssäkerhet och påföljder. I 5 kap. föreskrivs det om särskilda situationer inom databehandlingen, såsom för vetenskapliga och historiska forskningsändamål samt om begränsningar i den personuppgiftsansvariges skyldighet att lämna uppgifter till de registrerade. I 6 kap. finns det bestämmelser bland annat om tystnadsplikt och om skydd för rapportörers identitet.  
2.1.3
2.1.3 Lagen om behandling av personuppgifter inom Tullen
Allmänt 
Lagen om behandling av personuppgifter inom Tullen (639/2015), nedan även Tullens personuppgiftslag, trädde i kraft den 1 juni 2015. Stiftandet av lagen var en del av totalrevideringen av tullagen där den gamla lagen delades i tre separata lagar. Tullens personregister och ärenden som gäller behandling av personuppgifter reglerades i Tullens personuppgiftslag. Ärenden som gäller Tullens brottsbekämpning reglerades i lagen om brottsbekämpning inom Tullen (623/2015). Tullens övriga uppgifter och befogenheter anges i den nya tullagen (304/2016). Utgångspunkten i Tullens personuppgiftslag var att avvika från de då gällande personuppgiftslagen och offentlighetslagen endast för att säkerställa Tullens effektivitet eller om det är nödvändigt för att beakta Europeiska unionens bestämmelser om tull- eller övriga informationssystem. Närmast avveks det från lagarna i fråga om insamling och registrering av känsliga uppgifter, de registrerades rätt till insyn samt bestämmelser om användning och utlämnande av personuppgifter. Dessutom föreskrivs det om inrättande av Tullens personregister, personregisters datainnehåll, behandling av information, registeransvarig, bevaringstider för uppgifter i personregister, nationellt och internationellt informationsutbyte samt övervakning av användningen av register.  
För att effektivisera myndigheternas samarbete och informationsutbyte vad gäller brottsbekämpning överensstämmer Tullens personuppgiftslag så långt som möjligt med lagen om behandling av personuppgifter i polisens verksamhet. De mest betydande skillnaderna beror på dessa myndigheters olika uppgifter, de tillgängliga informationssystemen och registren. 
Tullens personregister  
I 2 kap. i Tullens personuppgiftslag föreskrivs det om Tullens informationssystem som är riksomfattande, permanenta och som upprätthålls genom automatisk databehandling och om andra personregister samt om inrättande av register och om den registeransvarige. För att spara på kostnaderna för informationssystem använder polisen, Tullen och Gränsbevakningsväsendet gemensamma system. Juridiskt sett bildar de uppgifter myndigheterna själva sparar myndighetens personregister. Alla uppgifter som Tullen och Gränsbevakningsväsendet lagrar i de gemensamma systemen hör enligt gällande lag dock inte juridiskt sett till dessa myndigheters personregister, utan registerföringen har i fråga om vissa uppgifter koncentrerats till polisen. Ett exempel på detta är signalementsregistret.  
Informationssystemet för brottsbekämpning. I lagens 3 § föreskrivs det om informationssystemet för brottsbekämpning där det får registreras uppgifter som behövs för tullövervakningen och tullbrottsbekämpningen och som i fråga om ändamål, personkategorier och datainnehåll anges uttömmande i lagen.  
Underrättelseregistret. I 4 § föreskrivs det om underrättelseregistret där det får samlas in och registreras personuppgifter som behövs för att förhindra, avslöja och utreda tullbrott samt föra dessa brott till åtalsprövning. Uppgifter får registreras om personer som skäligen kan misstänkas för att göra sig skyldiga eller ha gjort sig skyldiga till ett brott på vilket kan följa fängelse, eller medverka eller ha medverkat till ett brott på vilket kan följa fängelse i minst ett år. Uppgifterna överensstämmer huvudsakligen med de uppgifter som ska registreras i informationssystemet för brottsbekämpning på samma sätt som med systemet för underrättelseinhämtning som i huvuddrag motsvarar informationssystemet för misstänkta i 4 § i lagen om behandling av personuppgifter i polisens verksamhet (761/2003), nedan även polisens personuppgiftslag.  
Tullövervakningens informationssystem. Informationssystemet för tullövervakning som det föreskrivs om i 5 § är ett permanent personregister som är avsett för Tullens riksomfattande bruk och som förs med hjälp av automatisk databehandling. Syftet med tullövervakningens informationssystem är att förbättra och effektivisera tullövervakningen. Informationssystemet effektiviserar tullövervakningen genom att säkerställa att tullar, skatter och avgifter är riktiga, att begränsningarna av export och import av varor iakttas samt att övriga tullåtgärder är riktiga. Med hjälp av systemet genomförs också den riskanalys som görs med hjälp av elektronisk databehandlingsteknik som avses i artikel 46.2 i unionens tullkodex och som andra tullkontroller än slumpvisa kontroller enligt unionens tullagstiftning ska baseras på.  
Systemet för identifiering av registreringsskyltar och containrar. Systemet för identifiering av registreringsskyltar och containrar som det föreskrivs om i 6 § är ett permanent informationssystem för att förhindra och utreda brott samt föra dessa brott till åtalsprövning. I systemet sparas registeruppgifter och övriga identifieringsuppgifter som fåtts genom teknisk övervakning vid gränsövergångsställena vid Finlands riksgränser samt bilder på fordon och containrar som tagits i samband med teknisk övervakning. 
Tullens övriga personregister. I lagens 7 § anges förutsättningarna för att inrätta andra än de ovan beskrivna permanenta riksomfattande informationssystemen och register för Tullen som förs med hjälp av automatisk databehandling. Paragrafen motsvarar i huvuddrag 6 § i polisens nuvarande personuppgiftslag. Enligt paragrafens 1 mom. kan det finnas temporära eller manuella register för Tullens riksomfattande bruk. Registren kan innehålla personuppgifter som Tullen behöver för att kunna utföra de övervaknings- och brottsbekämpningsuppdrag som föreskrivs för den i lag. 
I 2 mom. föreskrivs det om Tullens temporära register för kriminalunderrättelseinhämtning och analys. För att användas av en eller flera av Tullens verksamhetsenheter kan det inrättas ett temporärt register för sådan brottsanalys som behövs för att förhindra, avslöja eller utreda sådana tullbrott som kan leda till fängelse, i vilket får samköras, lagras och i övrigt behandlas uppgifter i de informationssystem och personregister inom Tullen som avses i 3—6 §, uppgifter som i samband med utförandet av ett enskilt tulluppdrag har inhämtats genom kriminalunderrättelseverksamhet, observation eller iakttagelser, samt andra behövliga uppgifter som Tullen har rätt att få enligt 13 §.  
Specialbestämmelser om behandling av personuppgifter 
I 3 kap. i Tullens personuppgiftslag finns specialbestämmelser om behandling av Tullens personuppgifter. Dit hör bland annat behandling av känsliga uppgifter och bestämmelser om skydd av identifieringsuppgifter som grundar sig på fysiska egenskaper. I kapitlet föreskrivs det dessutom om behandling av överskottsinformation som erhållits med hemliga metoder för inhämtande av information. En betydande del av kapitlet behandlar dessutom Tullens rätt att få uppgifter ur andra myndigheters, samfunds och sammanslutningars samt teleföretags register. Kapitlet innehåller också bestämmelser om uppgifter som andra myndigheter lämnar ut till Tullen genom registrering vid direkt anslutning eller för registrering som en datamängd.  
Användning och utlämnande av uppgifter 
I 4 kap. i Tullens personuppgiftslag föreskrivs det om användning och utlämnande av Tullens uppgifter. I kapitlet föreskrivs det om användning av uppgifter för det ändamål som uppgifterna har samlats in och registrerats för och för andra ändamål. Kapitlets mest betydande del reglerar Tullens rätt att trots sekretessbestämmelserna lämna ut behövliga uppgifter ur sina personregister och även genom teknisk anslutning eller som en datamängd. 
Radering och arkivering av uppgifter 
I 5 kap. i Tullens personuppgiftslag föreskrivs det om regler för utplåning och arkivering av uppgifter i Tullens olika register samt om regler för behandling av uppgifter som konstaterats vara felaktiga. 
Tullens internationella informationsutbyte 
I 6 kap. i Tullens personuppgiftslag finns bland annat specialbestämmelser om behandling av personuppgifter i samband med internationellt samarbete i fråga om brottsbekämpning. I kapitlet föreskrivs det både om Tullens rätt att lämna ut uppgifter till utländska myndigheter och internationella organisationer och om Tullens behandling av uppgifter som fåtts från en annan stat eller ett internationellt organ. Kapitlet innehåller bestämmelser om utlämnande av uppgifter till tullsamarbetsrådet (Världstullorganisationen, WCO), till andra tullmyndigheter och till den internationella kriminalpolisorganisationen (Interpol) och till polismyndigheter och andra myndigheter i medlemsstater i organisationen, vilka har till uppgift att trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet eller att förebygga brott, utreda brott och sörja för att brott blir föremål för åtalsprövning. Kapitlet innehåller också bestämmelser om under vilka förutsättningar uppgifter kan utlämnas till en stat som inte är medlemsstat i internationella kriminalpolisorganisationen och dessutom bestämmelser om under vilka förutsättningar Tullen kan lämna ut uppgifter för annat ändamål än för att samla in och spara dem. Dessutom innehåller kapitlet bestämmelser om utlämnande av uppgifter genom teknisk anslutning eller som en datamängd till en myndighet som hör till Europeiska ekonomiska samarbetsområdet. 
Rätt till insyn 
I 7 kap. i Tullens personuppgiftslag finns det bestämmelser om en registrerads rätt till insyn och begränsning av rätten till insyn. 
Särskilda bestämmelser 
Lagens 8 kap. innehåller särskilda bestämmelser om övervakning av behandlingen av Tullens personuppgifter, Tullens rätt att ålägga vite för att effektivisera skyldigheten att lämna ut uppgifter i vissa situationer samt möjlighet att utfärda närmare bestämmelser om förfaringssätten vid öppnande av en teknisk anslutning, vid beslut om utlämnande av uppgifter, vid utövande av rätten till insyn samt vid övervakningen av behandlingen av personuppgifter. 
2.2
Internationella förpliktelser
2.2.1
2.2.1 EU:s dataskyddslagstiftning
Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (personuppgiftsdirektivet) har haft två huvudsakliga syften, att trygga skyddet av personuppgifter som grundläggande rättighet och säkerställa personuppgifternas fria rörlighet på den inre marknaden. Personuppgiftsdirektivet tillämpas på behandling av personuppgifter som utförs av såväl myndigheter som företag. Direktivet har kompletterats med flera specialförfattningar, inklusive det så kallade direktivet om integritet och elektronisk kommunikation, direktivet om lagring av teleidentifieringsuppgifter och rådets rambeslut 2008/977/RIF, som tillämpas i polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet). Dataskyddsrambeslutet tillämpas på behandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete, som bygger på avdelning VI i fördraget om Europeiska unionen. Dataskyddsrambeslutets tillämpningsområde omfattar således inte behandling av personuppgifter på nationell nivå, utan enbart utlämnande av personuppgifter mellan EU-medlemsstaternas behöriga myndigheter. Rambeslutet innehåller också en artikel om dels överföring av personuppgifter till tredjeländer och internationella organisationer, dels utlämnande av personuppgifter till privata aktörer som är belägna i medlemsstater, och i dess 26 artikel föreskrivs om rambeslutets förhållande till avtal som ingåtts med tredjeländer. 
Personuppgiftsdirektivet och dataskyddsrambeslutet ersätts med en ny EU-lagstiftning om dataskydd. Genom direktivet stärks bestämmelserna om skydd av personuppgifter i situationer där de behandlas för att förhindra, utreda, eller lagföra brott eller verkställa straffrättsliga påföljder (dataskyddsdirektivet). Genom dataskyddsförordningen stärks EU:s allmänna ram för dataskydd. Den nya EU-lagstiftningen om dataskydd grundar sig på artikel 16.2 i fördraget om Europeiska unionens funktionssätt, som är den nya rättsliga grund för lagstiftning om personuppgiftsbehandling som införts genom Lissabonfördraget. Enligt den kan unionen utfärda lagstiftning om behandling av personuppgifter inom de områden som omfattas av unionsrättens tillämpningsområde. Målet med lagstiftningsreformen är att bygga ett modernt, starkt, enhetligt och heltäckande dataskyddsram för Europeiska unionen, stärka individens rättigheter och uppgiftsskyddet med avseende på den inre marknaden, justera de dataskyddsbestämmelser som gäller polissamarbete och straffrättsligt samarbete, beakta dataskyddets globala räckvidd i synnerhet när det gäller digitala tjänster samt effektivisera tillsynen över genomförandet av dataskyddsbestämmelserna. 
Rätten till personuppgiftsskydd är en grundläggande rättighet som fastställs i artikel 16.1 i fördraget om Europeiska unionens funktionssätt och i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Artikeln har också nära samband med artikel 7 i stadgan om de grundläggande rättigheterna, som garanterar skyddet för privatlivet, och artikel 8 i Europakonventionen. Enligt EU-domstolens rättspraxis är rätten till personuppgiftsskydd dock inte ovillkorlig, utan den måste betraktas i ljuset av sin samhällsfunktion. Rätten kan begränsas, förutsatt att begränsningarna står i rätt proportion till det uppsatta målet. Personuppgiftsskyddet har också beröringspunkter med de övriga grundläggande rättigheterna som fastställs i Europeiska unionens stadga om de grundläggande rättigheterna.  
Dataskyddsförordningen har allmän räckvidd och är direkt tillämplig rätt som inte kräver något särskilt genomförande med undantag av kompletterande bestämmelser. Den kompletterande lagstiftning som behövs innefattar exempelvis bestämmelser om dataskyddsmyndigheter, rättsskydd och påföljder samt bestämmelser om rättsgrunderna för uppgiftsbehandlingen i vissa situationer som förordningen möjliggör. Nationell kompletterande lagstiftning är dessutom nödvändig exempelvis i situationer där behandlingen av personuppgifter grundar sig på den personuppgiftsansvariges lagstadgade skyldighet eller där behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller för den personuppgiftsansvariges myndighetsutövning. 
Förordningens och direktivets bestämmelser om de allmänna principerna för behandlingen av personuppgifter, den personuppgiftsansvarige och behandlingen av personuppgifter samt dataskyddsmyndigheterna motsvarar huvudsakligen varandra. Syftet med detta är att säkerställa att de allmänna kraven på behandlingen av personuppgifter är så enhetliga som möjligt oberoende av medlemsstat eller personuppgiftsansvarig. De väsentligaste skillnaderna mellan rättsakterna ligger i att den behandling av personuppgifter som utförs av myndigheter inom direktivets tillämpningsområde har den särskilda karaktären av brottmål, i synnerhet till den del det är fråga om möjligheterna att inskränka den registrerades rättigheter i sådana fall som hör till direktivets tillämpningsområde. Förordningens tillämpningsområde omfattar i regel all behandling av personuppgifter som utförs av myndigheter, om behandlingen inte hör till direktivets tillämpningsområde. 
2.2.2
2.2.2 Europarådets konventioner
Med stöd av dataskyddsförordningen och dataskyddsdirektivet kan Europeiska kommissionen fatta beslut om vilken nivå som är tillräcklig när det gäller tredjeländers dataskydd, och dessa beslut är av betydelse vid överföringen av personuppgifter till tredjeländer. När kommissionen fattar dessa beslut ska den bedöma vilka internationella skyldigheter landet i fråga har, framför allt avtalsförpliktelserna när det gäller dataskydd. Inom ramen för Europarådet antogs år 1981 en konvention (nr 108) om skydd för personuppgifter, som det hänvisas till i skäl 68 till dataskyddsdirektivet. Europarådets konvention och lagen om godkännande av vissa bestämmelser i den (269/1992) har i Finland satts i kraft genom en förordning (36/1992). I situationer mellan medlemsstaterna i Europeiska unionen tillämpas i första hand EU:s dataskyddslagstiftning, men alla EU-medlemsstater har ratificerat konvention nr 108. Totalt har konventionen hittills ratificerats av 50 stater. Det finns ett tilläggsprotokoll (nr 181) till konventionen som gäller gränsöverskridande uppgiftsflöden. 
Bestämmelserna i konventionen erbjuder ett minimiskydd vid behandlingen av personuppgifter för alla personer som vistas i de stater som ratificerat den samt vid gränsöverskridande överföringar av personuppgifter. När det gäller överföring av personuppgifter tillämpas Europarådets konvention utöver de bestämmelser i förordningen och direktivet som gäller tredjeländer exempelvis i sådana situationer där en behörig myndighet i en EU-medlemsstat överför personuppgifter till ett tredjeland. Det är emellertid också möjligt att ett bilateralt avtal som ingåtts med landet i fråga kan bli tillämpligt, om det innehåller bestämmelser om dataskydd eller bestämmelser som hänvisar till den nationella lagstiftningen. Europarådets konvention omarbetas för tillfället, och den nya konventionen ersätter konvention nr 108 när tillräckligt många av Europarådets medlemsstater har ratificerat den. Det är möjligt att begränsa tillämpningen av bestämmelserna i konventionen om allmänintresset väger tyngre, till exempel på grundval av den nationella säkerheten och det nationella försvaret. 
Europarådet har även vissa andra konventioner som innehåller bestämmelser om behandlingen av personuppgifter. Med tanke på Tullens verksamhet har konvention nr 185 och tilläggsprotokollet nr 189 betydelse för bekämpningen av it-relaterad brottslighet. Konventionen om it-brottslighet tillämpas bland annat på frysning av personuppgifter inför ett rättshjälpsförfarande. 
Europarådet har dessutom utfärdat en rekommendation R(87)15 om polisens användning av personuppgifter. Europarådet har senast år 2013 låtit utreda hur rekommendationen har genomförts i Europarådets medlemsstater. Utredningen visar att rekommendationen som helhet har genomförts på rätt bred front, och det bedöms inte finnas något behov av brådskande tilläggsåtgärder i fråga om polissektorn. I utredningen noteras dock att lagstiftningen i Europarådets medlemsstater inte till alla delar är på den nivå som förutsätts för EU:s del i Europeiska kommissionens direktivförslag. Det rekommenderas i utredningen att man bör överväga att införa ett rättsligt bindande instrument för behandlingen av personuppgifter vid brottsbekämpningsmyndigheterna, och samtidigt ge akt också på underrättelsemyndigheternas verksamhet och den nationella säkerheten. Enligt utredningen kan alternativen antingen vara en heltäckande konvention till vars tillämpningsområde även Tullens behandling av personuppgifter ska höra eller ett separat tilläggsprotokoll antingen till dataskyddskonventionen eller till konventionen om it-relaterad brottslighet. 
2.2.3
2.2.3 Lagstiftningen i utlandet
Den lagstiftning om personuppgifter som ska tillämpas i samband med brottmål är i dagens situation jämförelsevis oenhetlig i EU-länderna. Det beror bland annat på att personuppgiftsdirektivet inte gällde sådan behandling. Inte heller genomförandet av dataskyddsrambeslutet har lett till någon mer märkbar tillnärmning av den nationella lagstiftningen mellan medlemsländerna i fråga om begränsningar av tillämpningsområdet för rambeslutet och beroende på den rörelsefrihet det lämnar medlemsstaterna. 
Eftersom lagstiftningen i EU:s medlemsländer på grund av det nationella genomförandet av dataskyddsdirektivet för närvarande håller på att ändras avsevärt och eftersom direktivet ställer rätt heltäckande och detaljerade krav på den nationella lagstiftningen är det inte ändamålsenligt att mer ingående beskriva gällande lagstiftning i andra länder i denna proposition. EU-ländernas nuvarande lagstiftning granskas i en konsekvensanalys som kommissionen offentliggjorde tillsammans med förslaget till direktiv [SEC(2012) 72 final]. 
2.2.4
2.2.4 Tullsamarbetsavtal som ingåtts med tredjeländer
Enligt artikel 61 i dataskyddsdirektivet ska internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer som ingicks av medlemsstaterna före den 6 maj 2016 och som är förenliga med unionsrätten så som den tillämpades före den dagen fortsätta att gälla tills de ändras, ersätts eller återkallas. 
Finland binds av internationella avtal med bestämmelser om behandlingen av personuppgifter. Sådana avtal är bland annat konventionerna om tullsamarbete samt multi- och bilaterala tullsamarbetsavtal. Finland har till exempel anslutit sig till det multilaterala avtalet om ömsesidig hjälp i tullärenden mellan de nordiska länderna. Finland har bilaterala tullsamarbetsavtal med bland annat följande stater utanför EU: Förenta staterna, Ryssland, Makedonien, Uzbekistan, Vitryssland, Kosovo, Azerbajdzjan, Argentina och Uruguay. 
2.3
Bedömning av nuläget
2.3.1
2.3.1 EU:s dataskyddslagstiftning
I propositionen gäller det att säkerställa att speciallagstiftningen om behandling av personuppgifter inom Tullen till alla delar är förenlig med den nya dataskyddslagstiftningen. I nuläget tillämpas personuppgiftslagen som allmän lag på Tullens behandling av personuppgifter. Reformen av EU:s dataskyddslagstiftning differentierar dock rättsgrunden så att det inte längre går att tillämpa en och samma författning på all behandling av personuppgifter. Tullens lagstadgade uppgifter är fördelade på tillämpningsområdet för både dataskyddsförordningen och dataskyddsdirektivet. 
Dataskyddsförordningen och dataskyddslagen, som kompletterar förordningen, tillämpas vid Tullen till exempel på tullövervakning och skattekontroll, övriga övervakningsuppgifter som föreskrivs för Tullen och behandling av personuppgifter i samband med gränsbevakningsuppgifter. 
Dataskyddsförordningen gäller som direkt tillämplig lagstiftning i medlemsstaterna. Artikel 6.2 i dataskyddsförordningen gör det dock möjligt att utfärda mer specifika bestämmelser för att anpassa bestämmelserna i förordningen när behandlingen av personuppgifter är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Artikel 6.3 i dataskyddsförordningen förutsätter att grunden för behandlingen av personuppgifter i dessa situationer ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. En sådan lagstiftning kan innehålla bestämmelser om bland annat vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling. När det gäller de uppgifter som föreskrivs för Tullen i lag, behandlas personuppgifter för att den personuppgiftsansvarige ska kunna uppfylla en i lag föreskriven skyldighet, vilket gör det möjligt att precisera och komplettera dataskyddsförordningen genom nationell lagstiftning. Med stöd av artikel 9 i dataskyddsförordningen kan närmare bestämmelser utfärdas också om behandling av personuppgifter inom särskilda kategorier av personuppgifter. 
Inom Tullens personuppgiftslagstiftning bör det nationella spelrum som dataskyddsförordningen möjliggör användas och bör preciserande bestämmelser utfärdas i synnerhet om behandling av uppgifter inom särskilda kategorier av personuppgifter och om utövande av den registrerades rättigheter. I bestämmelserna gäller det att säkerställa att den relaterade behandlingen av personuppgifter har en godtagbar rättslig grund och begränsningar av rättigheterna är nödvändiga och proportionella. 
Till dataskyddsdirektivets tillämpningsområde inom Tullen hör förebyggande, avslöjande och utredande av brott och förande av brott till åtalsprövning. I artikel 8.2 sägs att medlemsstaternas nationella rätt som reglerar behandling av personuppgifter inom tillämpningsområdet för direktivet åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. Tullens personuppgiftslag bör således innehålla bestämmelser av detta slag som gäller personuppgifter som Tullen behandlar inom dataskyddsdirektivets tillämpningsområde. I regleringen gäller det att fästa avseende vid att den miniminivå på dataskyddet som anges i direktivet inte försämras.  
2.3.2
2.3.2 Behovet av att revidera Tullens personuppgiftslag
I förvaltningsutskottets betänkande (FvUB 54/2014 rd) i riksdagsbehandlingen av den nuvarande lagen om behandling av personuppgifter inom Tullen (RP 351/2014 rd) konstaterade förvaltningsutskottet att man i propositionen förståeligt nog har utgått från polisens personuppgiftslag som modell när lagförslaget om behandling av personuppgifter inom Tullen har beretts (nedan lagförslaget, om inte annat anges). Förvaltningsutskottet har i olika sammanhang fäst uppmärksamhet vid en totalrevidering av också polisens personuppgiftslag, eftersom den nuvarande lagen är mycket komplicerad till sin struktur och sitt innehåll. Frågan har bland annat tagits upp i förvaltningsutskottets betänkande FvUB 26/2013 rd om regeringens proposition till ändring av polisens personuppgiftslag (RP 66/2013 rd). Riksdagen förutsätter i sitt svar utifrån förvaltningsutskottets betänkande att regeringen snarast möjligt påbörjar en totalrevidering av lagen om behandling av personuppgifter i polisens verksamhet och att man i samband därmed också beaktar det slutliga innehållet i den nya dataskyddslagstiftning som är under beredning i EU och vilka krav den ställer på den nationella lagstiftningen. Avseende ska dessutom fästas vid de anmärkningar beträffande lagens struktur och innehåll som framgår av förvaltningsutskottets betänkande FvUB 26/2013 rd och vid behovet att utveckla tillsynen över polisens register. På samma gång ska även bestämmelserna i lagen om behandling av personuppgifter vid gränsbevakningsväsendet justeras. Dessutom konstaterade förvaltningsutskottet att man i detta sammanhang även ska se över bestämmelserna i lagen om behandling av personuppgifter inom Tullen. Också grundlagsutskottet har i sitt utlåtande fäst uppmärksamhet vid ärendet. 
Efter att den nuvarande lagen om behandling av personuppgifter inom Tullen har trätt i kraft har det redan framkommit behov av att ändra den. Ändringsbehoven blir huvudsakligen lösta genom en ändring av regleringssättet och de framgår mer ingående av detaljmotiveringen.  
3
Målsättning och de viktigaste förslagen
3.1
Målsättning
Propositionen kompletterar dataskyddsdirektivets genomförandelagstiftning som ska tillämpas allmänt samt EU:s dataskyddsförordning och den dataskyddslag som kompletterar den till de delar som genomförandebestämmelserna inte ingår i de nämnda rättsakterna. Det viktigaste målet med propositionen är att Tullens personuppgiftslag uppfyller kraven i EU:s dataskyddslagstiftning med beaktande av behoven inom brottsbekämpning, tullövervakning och skattekontroll samt kraven på skydd av de grundläggande och mänskliga rättigheterna.  
Enligt artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Enligt artikel 8.1 i stadgan har var och en rätt till skydd för de personuppgifter som rör honom eller henne. Enligt artikel 8.2 ska dessa uppgifter behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Europeiska domstolen för de mänskliga rättigheterna har i sin rättspraxis ansett att artikel 8 i Europakonventionen, som gäller skyddet för privatliv, ska tillämpas på registrering av personuppgifter som rör en persons privatliv. Domstolen har konstaterat att en överträdelse av konventionen har skett bland annat i sådana fall där den nationella lagstiftningen inte har innehållit bestämmelser om vad uppgifterna får innehålla, hur länge de får förvaras och om vilka personkategorier uppgifter får samlas in. 
Enligt 10 § 1 mom. i grundlagen utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Grundlagsutskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme begränsas både av den här bestämmelsen och av att skyddet för personuppgifter delvis ingår i skyddet för privatlivet som tryggas i samma moment. Det handlar om att lagstiftaren ska trygga denna rättighet på ett sätt som kan anses godtagbart med hänsyn till de grundläggande fri- och rättigheterna som helhet. Grundlagsutskottet har i fråga om skyddet för personuppgifter ansett det viktigt att reglera åtminstone syftet med registrering av sådana uppgifter, innehållet i uppgifterna, det tillåtna användningsändamålet inklusive rätten att överlåta registrerade uppgifter, den tid uppgifterna finns kvar i registret och den registrerades rättsskydd. Regleringen av dessa faktorer på lagnivå ska dessutom vara heltäckande och detaljerad. Enligt grundlagsutskottets avgörandepraxis kan dessa aspekter tillämpas på regleringen av användningen av personuppgifter även ur ett mer allmänt perspektiv.  
Syftet med propositionen är att harmonisera Tullens bestämmelser om personuppgifter speciellt med polisens och Gränsbevakningsväsendets bestämmelser som ska förnyas i fall där Tullens verksamhet är enhetlig med de myndigheternas verksamhet. Speciellt Tullens brottsbekämpningsverksamhet förutsätter bestämmelser som överensstämmer med bestämmelserna för de övriga myndigheterna som verkställer brottsbekämpning. Detta kräver också ett samarbete mellan polisen, Tullen och Gränsbevakningen som utvecklas kontinuerligt och där man allt mer strävar efter att utnyttja sambruk av informationssystemen. 
Den största ändringen som föreslås gäller lagstiftningstekniken, och syftet med denna ändring är att lagen ska bli lättare att tillämpa. En annan målsättning med propositionen är att iaktta de krav på en detaljerad och noggrant avgränsad lagstiftning som framställts i tolkningspraxisen när det gäller grundlagen och människorättskonventionerna. Ett mål med propositionen är också att få lagstiftningen att motsvara behandlingen av personuppgifter och behovet av dataskydd som beror på ändringar i verksamhetsbetingelserna och tullagstiftningen samt att korrigera de missförhållanden som kommit fram i tillämpningen av lag. Dessa förändringar har lett till ett ökat behov av att säkerställa att personuppgifter som fås genom informationsutbyte, kriminalunderrättelseinhämtning och informationsinhämtning som baserar sig på öppna källor behandlas på behörigt sätt. 
3.2
Alternativ
3.2.1
3.2.1 Inledning
Tullens personuppgiftslag som gäller nu är en relativt ny lag där registerbaserad reglering har tillämpats. De behov av ändring som totalrevideringen av EU:s dataskyddslagstiftning ger upphov till i Tullens personuppgiftslag skulle ha kunnat genomföras genom att ändra den nuvarande lagen. Syftet med propositionen är emellertid att Tullens bestämmelser om personuppgifter överensstämmer speciellt med polisens och Gränsbevakningsväsendets bestämmelser i fall där Tullens verksamhet är enhetlig med de myndigheternas verksamhet. Även förvaltningsutskottet har vid riksdagsbehandlingen av Tullens nuvarande personuppgiftslag konstaterat att upprätthållandet av en effektiv brottsbekämpning förutsätter att lagstiftningen om Tullens personregister mer än i nuläget förenhetligas med i synnerhet polisens motsvarande lagstiftning (FvUB 54/2014 rd). Eftersom det har beslutats att polisens och Gränsbevakningsväsendets personuppgiftslagar ska förnyas helt behöver Tullens personuppgiftslag förnyas helt.  
3.2.2
3.2.2 Registerbaserad reglering och reglering som grundar sig på ändamålet med behandlingen
EU:s nya dataskyddslagstiftning och Europolförordningens bestämmelser som gäller behandling av personuppgifter grundar sig på ändamål med behandlingen. Där regleras det alltså inte utgående från register vilka uppgifter som får sparas i varje register utan i vilka syften personuppgifter får behandlas. Fördelen med registerbaserad reglering kan anses vara att den när det gäller reglering av personuppgiftsbehandling är tydlig, noggrant avgränsad och detaljerad på det sätt som grundlagsutskottet förutsätter. Av bestämmelserna om informationssystem i Tullens gällande personuppgiftslag framgår det i detalj vilka uppgifter som får registreras i vilket informationssystem. Grundlagsutskottet fäste vid stiftandet av Tullens nuvarande personuppgiftslag uppmärksamhet vid lagens 3 § 3 mom. 2 punkt enligt vilken Tullen får rätt att registrera uppgifter om observationer och enligt 11 § överskottsinformation som erhållits med hemliga metoder för inhämtande av information. Grundlagsutskottet ansåg emellertid att registrering av observationsuppgifter uppfyller kravet på tillräcklig exakthet under förutsättning att Tullen ser till att ett villkor för registrering av uppgifter som lämnats till den är att tillförlitligheten säkerställts. Dessutom fäste grundlagsutskottet uppmärksamhet vid 4 § 2 mom. i lagen enligt vilket bland annat uppgifter som är nödvändiga för att trygga säkerheten för en person eller en myndighets säkerhet i arbetet får registreras i underrättelseregistret. Utskottet påpekade att bestämmelsen åtminstone bitvis reglerar så kallade känsliga uppgifter. Det är därför särskilt viktigt att lagen innehåller en så uttömmande förteckning som möjligt över innehållet i uppgifterna (GrUU 71/2014 rd).  
Det är också klart ur den tjänstemans perspektiv som behandlar personuppgifter inom Tullen var personuppgifterna ska registreras när det gäller registerbaserad reglering. Problemen med otillräckligt avgränsad reglering i den gällande lagen gäller snarare bestämmelserna om utlämnande av uppgifter och förenlig behandling av personuppgifter, som också delvis överlappar med den nya EU-lagstiftningen om dataskydd. Den gällande lagen innehåller bestämmelser om för vilka andra ändamål personuppgifter kan lämnas ut, men dessa bestämmelser har under beredningen bedömts vara något bristfälliga.  
När det gäller exakthet och noggrann avgränsning finns det i praktiken inga betydande skillnader mellan registerbaserad reglering och sådan reglering som utgår från behandlingsändamålen. Det krav på exakthet och noggrann avgränsning i anslutning till bestämmelserna om personuppgiftsbehandling som framgår av grundlagsutskottets tolkningspraxis bedöms vara möjligt att uppfylla genom både registerbaserad reglering och behandlingsändamålsbaserad reglering. En reglering som utgår från behandlingsändamålen är emellertid till sin natur en enklare lösning. I samband med lagberedningen har det bedömts i vilken mån det är möjligt att förenkla bestämmelserna i lagen och samtidigt ändå säkerställa att regleringen är tillräckligt noggrant avgränsad och detaljerad. Fördelen med en reglering som utgår från behandlingsändamålen har ansetts vara att det på så sätt inte uppstår ett behov av att ändra lagstiftningen varje gång som ändringar måste göras i informationssystemen. Även den nya EU-lagstiftningen om dataskydd och bestämmelserna om personuppgiftsbehandling i Europolförordningen grundar sig på behandlingsändamålen. Vidare ska det noteras att EU-lagstiftningen om dataskydd förutsätter att kraven i lagstiftningen ska gälla all behandling av personuppgifter oberoende av vilken behandlingsteknik och teknologi som använts. 
En reglering som grundar sig på ändamålsbunden personuppgiftsbehandling bedöms förtydliga indelningen av ändamålen med personuppgiftsbehandlingen enligt dataskyddsförordningen och dataskyddsdirektivet i ursprungliga behandlingsändamål och sådan personuppgiftsbehandling som är förenlig med dessa. En sådan reglering preciserar också regleringens förhållande till å ena sidan dataskyddsförordningen och å andra sidan dataskyddsdirektivet med beaktande av deras olika tillämpningsområden, som emellertid i fråga om vardera rättsakten baserar sig på behandlingsändamål. I EU-lagstiftningen om dataskydd föreskrivs det inte heller om något krav på nationell lagstiftning om personregister, utan det fastställs att personuppgiftsbehandlingen ska vara lagenlig och bygga på en godtagbar rättsgrund.  
I de bestämmelser som utgår från behandlingsändamålen måste det ovannämnda kravet på exakthet och noggrann avgränsning som framgår av grundlagsutskottets tolkningspraxis dock beaktas. En förenklad reglering ökar behovet av anvisningar från den personuppgiftsansvarige. Med tanke på kravet på en noggrant avgränsad reglering bör det observeras att dessa anvisningar ändå inte får komplettera registrens uppgiftsinnehåll, utan de ska precisera hur bestämmelserna ska tolkas. De behandlingsändamål som definieras i EU-lagstiftningen om dataskydd förutsätter också i viss mån en precisering av vilka ärenden som hänför sig till dataskyddsdirektivets tillämpningsområde och vilka ärenden som hör till den direkt tillämpliga dataskyddsförordningen. Detta ska framgå på lagnivå. I fråga om dataskyddsdirektivet gäller det att observera att den miniminivå för dataskyddet som fastställs i direktivet inte får försvagas. Nivån på dataskyddet får enbart skärpas. Även i fråga om dataskyddsförordningens tillämpningsområde gäller det att i bestämmelserna säkerställa att sådan personuppgiftsbehandling som hör till förordningens tillämpningsområde bygger på en godtagbar rättsgrund och att inskränkningar i en registrerads rättigheter är nödvändiga och proportionerliga. 
En eventuell nackdel med en reglering som utgår från behandlingsändamålen kan anses vara att lagens bestämmelser ur slutanvändarens synvinkel inte tydligt anger i vilka register eller delar av ett informationssystem personuppgifterna ska registreras, vilket kan öka risken för fel. Den nya regleringen kräver att den personuppgiftsansvarige tillhandahåller anvisningar och utbildning. Samtidigt krävs detta i samband med lagstiftningsreformen oavsett vilken regleringslösning som väljs. När det gäller behandling av personuppgifter för andra ändamål än det ursprungliga är det exempelvis nödvändigt att veta i vilka delar av ett informationssystem eller i vilka register sökningar får göras.  
3.3
De viktigaste förslagen
3.3.1
3.3.1 Personuppgiftsbehandling som utgår från behandlingsändamålen
EU:s dataskyddsdirektiv förutsätter att medlemsstaterna i sin lagstiftning, där det föreskrivs om uppgiftsbehandling som hör till direktivets tillämpningsområde, ska precisera åtminstone målsättningarna för behandlingen, vilka personuppgifter som ska behandlas och ändamålen med behandlingen. Även dataskyddsförordningen kräver nationell kompletterande lagstiftning i situationer där behandlingen av personuppgifter grundar sig på den personuppgiftsansvariges lagstadgade skyldighet eller där behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller för den personuppgiftsansvariges myndighetsutövning. Valet mellan en registerbaserad eller en ändamålsbaserad regleringslösning i den nationella lagstiftningen begränsas inte i något avseende av EU-lagstiftningen om dataskydd. Bestämmelserna i den gällande lagens 2 kap. 3—7 § som gäller Tullens personregister föreslås bli ersatta med bestämmelser om ändamålet med behandling av personuppgifter. I propositionen föreslås det att det regleras noggrannare än i nuläget om ändamål med behandling så att principen om bundenhet vid ändamål tillgodoses konsekvent i Tullens olika informationssystem. 
När det gäller frågan vilka uppgifter som får registreras i informationssystemen har man med tanke på lagens struktur och tydlighet och för att undvika kontinuerliga ändringsbehov undersökt möjligheten att slopa de detaljerade förteckningarna över uppgifternas innehåll. Alternativet att slopa de detaljerade förteckningarna förutsätter att målet med registreringen av personuppgifter och personuppgiftsbehandlingens syften framgår tillräckligt exakt av bestämmelserna om behandlingsändamål. Det föreslås dock att det i bestämmelserna om ursprungliga ändamål med behandlingen av personuppgifter alltjämt ska föreskrivas om olika kategorier av personer. I regeringspropositionen fästs särskild vikt vid det i dataskyddsdirektivet angivna kravet på att uppgifter som rör olika kategorier av personer vid behov och i den mån det är möjligt ska separeras från varandra. 
Med tanke på grundlagsutskottets anmärkningar på de gällande bestämmelserna är det viktigt att inte bara de olika kategorierna av personer som får registreras utan också de grundläggande uppgifterna om personernas identitet samt övriga personuppgifter som får behandlas anges tillräckligt detaljerat även i den ändamålsbaserade regleringen. Avvikande från den gällande lagen föreslås det att de grundläggande uppgifter om en person som får behandlas ska regleras i en paragraf (4 §), som gäller alla ursprungliga behandlingsändamål enligt 2 kap.  
Strävan har varit att i de föreslagna bestämmelserna undvika onödiga överlappningar med den allmänt tillämpliga dataskyddslagstiftningen och onödiga detaljer. Till vissa delar har det emellertid bedömts att bestämmelser om allmän behandling av personuppgifter behöver preciseras i Tullens personuppgiftslag med beaktande av deras betydelse med tanke på integritetsskyddet. Grundlagsutskottet har till exempel fäst vikt vid att behandlingen av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter, som utgör en del av privatlivet, och att bestämmelser som tillåter behandling av sådana uppgifter därför måste vara exakta (GrUU 25/1998 rd, s. 3, GrUU 51/2002 rd). Även EU-lagstiftningen om dataskydd förutsätter preciserande lagstiftning och särskilda skyddsåtgärder när det gäller behandling av känsliga personuppgifter.  
3.3.2
3.3.2 Behandling av personuppgifter för förebyggande och avslöjande av brott
Enligt förslaget ska 4 § i den gällande lagen, som gäller underrättelseregistret, ersättas med en ändamålsbegränsande bestämmelse om behandling av personuppgifter som anknyter till förebyggande och avslöjande av brott.  
Paragrafen innehåller en uttömmande förteckning över de kategorier av personer som får registreras i informationssystemet. För registrering och annan behandling av personuppgifter i fråga om dessa kategorier av personer gäller särskilda behandlingskriterier. Det kan vara fråga om personer som med fog kan antas ha gjort sig skyldiga eller göra sig skyldiga till brott, som har kontakt med en sådan person eller som är föremål för sådan observation som avses i 3 kap. 9 § i lagen om brottsbekämpning inom Tullen. När det gäller andra personer är behandlingen möjlig endast om det är nödvändigt med tanke på ändamålet med behandlingen.  
För förebyggande och avslöjande av brott får också personuppgifter i sådana temporära register för brottsanalys som avses i 7 § i den gällande lagen behandlas när de villkor som föreskrivs i de föreslagna 7 och 8 § uppfylls. På motsvarande sätt som i den gällande lagstiftningen om observationsuppgifter är syftet med förslagen till paragrafer om personuppgifter som gäller förebyggande och avslöjande av brott ett behov av att flytta behandlingen av uppgifterna från enhetsspecifika register till riksomfattande registerföring. En utspridd lagring av uppgifter orsakar problem med tanke på övervakningen. Styrningen och övervakningen av behandlingen av personuppgifter och skyddet av uppgifterna underlättas när personuppgifter som behandlas för förebyggande och avslöjande av brott behandlas enhetligt i enlighet med riksomfattande processer. Det bedöms också att detta förbättrar de registrerades rättsskydd.  
På samma sätt som i den gällande lagen föreslås det bestämmelser om att Tullen har rätt att registrera uppgifter om observationer som gjorts av tulltjänstemän eller uppgifter som anmälts till Tullen i anslutning till händelser eller personer som utifrån omständigheterna eller en persons uppträdande med fog kan bedömas ha samband med brottslig verksamhet (observationsuppgifter). Formuleringen ”en persons hotelser eller uppträdande i övrigt” förenklas till ”en persons beteende”, eftersom en persons hotelser kan anses ingå i personens beteende. Bestämmelserna om observationsuppgifter flyttas dessutom till de övriga bestämmelserna om förbyggande eller avslöjande av brott (8 §). Till sakinnehållet motsvarar punkten 3 § 3 mom. 2 punkten om observationsuppgifter i den gällande lagen.  
Den registrerades rätt till insyn omfattar enligt den gällande lagen varken uppgifter i underrättelseregistret eller observationsuppgifter. Dataombudsmannen får emellertid på begäran av den registrerade kontrollera att uppgifterna om den registrerade är lagenliga. Enligt propositionen ska en registrerad i framtiden delvis ha rätt till direkt insyn i personuppgifter som behandlas för förebyggande och avslöjande av brott. Den direkta insynsrätten omfattar inte uppgifter om Tullens taktiska och tekniska metoder, observationsuppgifter och uppgifter från informationskällor, uppgifter som används för teknisk undersökning samt personuppgifter som behandlas för bedömning av deras betydelse. I dessa uppgifter har den registrerade sådan indirekt rätt till insyn via dataombudsmannen som avses i 29 § i dataskyddslagen avseende brottmål. 
3.3.3
3.3.3 Behandling av personuppgifter för andra ändamål än det ursprungliga
Den nya EU-lagstiftningen om dataskydd förutsätter att personuppgifter i regel ska behandlas endast för det lagstadgade ändamål för vilket de har samlats in. Dataskyddslagstiftningen möjliggör emellertid behandling av personuppgifter även för andra lagstadgade ändamål, om behandlingen är nödvändigt och proportionell. I dataskyddsdirektivet har principen om förenlig behandling av personuppgifter dock i viss mån skärpts i förhållande till den tidigare EU-regleringen, och även den förenliga behandlingen av personuppgifter är tämligen strikt bunden till direktivets tillämpningsområde. Med hänsyn till grundlagsutskottets tolkningspraxis är det också viktigt att regleringen är tillräckligt detaljerad och noggrant avgränsad.  
Paragrafen som gäller behandling av personuppgifter för andra ändamål än det ursprungliga motsvarar huvudsakligen bestämmelserna i 16 § i den gällande lagen, men de ska utvidgas och preciseras till vissa delar.  
4
Propositionens konsekvenser
4.1
Ekonomiska konsekvenser
4.1.1
4.1.1 Allmänt
Propositionens konsekvenser gäller huvudsakligen privatpersoner med beaktande av att behandlingen av personuppgifter väsentligen hör ihop med de grundläggande rättigheterna och speciellt med integritetsskyddet. Lagförslagets ekonomiska konsekvenser gäller emellertid huvudsakligen myndigheter, som utöver den personuppgiftsansvarige är alla enheter inom Tullen som behandlar personuppgifter. Europeiska kommissionens ursprungliga konsekvensbedömning och de bedömningar som gjorts av de arbetsgrupper som bereder genomförandet av dataskyddslagstiftningen avviker från varandra. Exempelvis den arbetsgrupp som bereder genomförandet av EU:s allmänna dataskyddsförordning (TATTI) konstaterar på s. 133 i sitt betänkande att bestämmelserna i den allmänna dataskyddsförordningen orsakar många typer av kostnader såväl för tillsynsmyndigheterna som för de personuppgiftsansvariga och personuppgiftsbiträdena inom både den privata och den offentliga sektorn. Däremot har det i Europeiska kommissionens konsekvensbedömning av EU:s dataskyddslagstiftning ursprungligen bedömts att en ny, enhetligare reglering inte får betydande ekonomiska konsekvenser, och inget tyder på att den nya regleringen kommer att kräva tilläggsresurser.  
I Tullens informationssystem behandlas personuppgifter som delvis hör till tillämpningsområdet för dataskyddsdirektivet och delvis för dataskyddsförordningen. Den behandling av personuppgifter som hör till tillämpningsområdet för dataskyddsdirektivet utförs till stor del i tekniska applikationer som upprätthålls av polisen (polisens informationssystem). Till denna del svarar polisen för att informationssystemen överensstämmer med direktivet.  
De kostnadseffekter som kraven i den lag som föreslås ger upphov till i Tullens egna informationssystem beror till stor del på tolkningen av direktivet, vilket behandlas mer ingående nedan i punkt 4.3. Enligt Tullens bedömning i nuläget blir totalkostnaderna cirka 500 000 euro (cirka 62 500 euro per system). Beloppet består å andra sidan av särskilda krav på behandlingen av personuppgifter och av de eventuella behov av ändringar i tekniska system som loggdata föranleder. 
4.1.2
4.1.2 Konsekvenser för statsfinanserna
För Tullens del täcks de kostnader som ändringsarbeten i de tekniska systemen medför en enligt bedömning i nuläget inom ramen för rambesluten för statsfinanserna, anslagen i statsbudgeten och årsverkena. Det kan emellertid bedömas att en mer detaljerad och högklassig dataskyddslagstiftning än tidigare som omfattar EU kan ha direkta konsekvenser för statens inkomster. Syftet med lagstiftningen i propositionen är att möjliggöra en teknologineutral reglering i behandlingen av personuppgifter i samband med brottmål. På så sätt kan informationssystemen utvecklas till att ge en effekt som minskar på det manuella arbetet inom Tullen, vilket på lång sikt kan leda till att regleringen ger positiva effekter genom att minska på statens utgifter. 
Påföljderna för förseelser som gäller behandling av personuppgifter bestäms enligt dataskyddslagen och lagen om behandling av personuppgifter i brottmål. Tullens personuppgiftslag som nu föreslås har inga självständiga statsfinansiella konsekvenser till denna del. Eventuella skadestånd som påförs för överträdelser av lagstiftningen ska betalas i enlighet med skadeståndslagen. 
4.1.3
4.1.3 Konsekvenser för företagen
För företagens del gäller lagförslagets ekonomiska konsekvenser närmast enskilda företagsgrupper. För deras del kan vissa uttryckliga bestämmelser som föreslås i någon mån bedömas öka antalet direkta utlämnanden av personuppgifter och å andra sidan antalet förfrågningar om utlämnande av personuppgifter hos dessa företag. 
För behandlingen av personuppgifter som gäller att förebygga, utreda och avslöja brott gäller konsekvenserna för företag enskilda uttryckliga bestämmelser i lagförslaget genom vilka utlämnande av personuppgifter till enskilda företag och sammanslutningar möjliggörs när vissa kriterier uppfylls. Den bestämmelse om brådskande direkta utlämnanden som föreslås i enskilda fall grundar sig på motsvarande bestämmelse i lagen om behandling av personuppgifter i brottmål som gäller utlämnande av personuppgifter till mottagare i tredjeländer. Någon sådan uttrycklig bestämmelse finns inte i den gällande lagen, men direkta överföringar av uppgifter är med stöd av det gällande dataskyddsrambeslutet möjliga mellan EU-medlemsstater. Denna typ av direkt utlämnande av personuppgifter har också genomförts.  
Europeiska kommissionen har i sin konsekvensbedömning på EU-nivå fäst uppmärksamhet vid att en mer enhetlig och detaljerad reglering om behandling av personuppgifter som gäller brottmål än tidigare som omfattar EU skapar klarhet i rättsläget och förbättrar företagens förtroende för tillsynsmyndigheternas behandling av personuppgifter. Kommissionen anser att detta har betydelse särskilt i situationer där en brottsbekämpande myndighet direkt kontaktar företag som verkar inom EU för att få eller lämna ut personuppgifter när det gäller tillhandahållande av gränsöverskridande tjänster. På motsvarande sätt ökar den allmänt tillämpliga dataskyddsförordningen myndigheternas förtroende för den behandling av personuppgifter som företagen utför. Till den del det gäller informationsinhämtning från inhemska företag motsvarar bestämmelserna i lagförslaget huvudsakligen den gällande lagstiftningen, och lagförslaget bedöms inte till den delen få någon betydande inverkan på företagens verksamhet. Den förenhetligade EU-regleringen kan dock uppskattas få indirekta ekonomiska och personalrelaterade konsekvenser för inhemska företag i sådana situationer där de brottsbekämpande myndigheterna i en annan EU-medlemsstat oftare än tidigare utnyttjar sina direkta möjligheter att lämna ut och inhämta information. 
EU:s tidigare dataskyddslagstiftning har inte tidigare uttryckligen möjliggjort utlämnande av personuppgifter till privata företag eller sammanslutningar i tredjeländer, utan överföringen av personuppgifter måste ske mellan behöriga myndigheter. Överföringar av personuppgifter mellan behöriga myndigheter ska vara huvudregeln även enligt den nya dataskyddslagstiftningen. När det finns behov av att inhämta personuppgifter av företag i tredjeland ska Tullen i regel fortfarande begära rättshjälp eller handräckning. I lagen om behandling av personuppgifter i brottmål föreslås emellertid i avvikelse från gällande lagstiftning en bestämmelse enligt vilken Tullen eller någon annan behörig myndighet som avses i dataskyddsdirektivet när vissa kriterier uppfylls, speciellt i ett brådskande fall, får lämna ut personuppgifter direkt till en personuppgiftsansvarig i tredjeland. Eftersom denna bestämmelse har fogats till direktivförslaget under arbetsgruppsbehandlingen omfattar kommissionens konsekvensbedömning inte dess ekonomiska eller andra konsekvenser. Bestämmelsen ska i praktiken tillämpas tillsammans med bestämmelserna i Tullens personuppgiftslag. Trots att personuppgifterna som ska lämnas ut begränsas till det som är nödvändigt för att förhindra, utreda eller avslöja brott kan de nya bestämmelserna ha direkta ekonomiska konsekvenser för utländska företag till den del Tullen och andra tillsynsmyndigheters direkta kontakter ökar i och med den uttryckliga bestämmelsen. Dessa konsekvenser kan också omspänna informationssystemen. En del företag har emellertid redan etablerad praxis för lagring av personuppgifter, och i deras fall blir de ekonomiska konsekvenserna ringa eller måttliga. 
4.1.4
4.1.4 Konsekvenser för samhällsekonomin och totalekonomiska konsekvenser
EU-lagstiftningen om dataskydd får omfattande ekonomiska konsekvenser för uppfyllandet av de skyldigheter som följer av lagstiftningen och som gäller alla myndigheter och företag. Dessa konsekvenser orsakas direkt av dataskyddsförordningen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. För myndigheterna orsakar genomförandet av skyldigheterna ändringsbehov i fråga om flera informationssystem, och de sammanlagda kostnaderna för dessa är betydande även totalekonomiskt sett. Vidare ska varje personuppgiftsansvarig utnämna ett dataskyddsombud. På lång sikt sporrar den nya dataskyddslagstiftningen ändå till att utveckla informationssystemen så att de blir säkrare och så att informationssäkerheten förbättras. Mer detaljerad reglering av tillsynen över registerföringen och registren och nya administrativa påföljder kan antas minska riskerna för dataskyddsförseelser och personuppgiftsincidenter Detta kan på lång sikt antas ha positiva totalekonomiska effekter. Samtidigt finns det många osäkerhetsfaktorer när det gäller bedömningen och utfallet av de ekonomiska risker som är förknippade med behandlingen av personuppgifter, och det är omöjligt att exakt bedöma vilken effekt dessa kommer att ha. Dessutom grundar sig regleringens konsekvenser på tillämpningen av EU:s dataskyddslagstiftning och dess genomförandebestämmelser samt Tullens och övriga tillsynsmyndigheters tillämpning av regleringen av behandlingen av personuppgifter som helhet, vilket försvårar bedömningen av de totalekonomiska konsekvenserna. Lagförslagen i propositionen har inga självständiga samhällsekonomiska eller totalekonomiska konsekvenser som är oberoende av EU-lagstiftningen. 
4.2
Konsekvenser för myndigheterna
4.2.1
4.2.1 Tullen
De bestämmelser i förslaget som skiljer sig från gällande lag har konsekvenser för olika myndigheter som indirekt delvis grundar sig på kraven i EU:s dataskyddsförordning och dataskyddsdirektiv och delvis på nationella lösningar om reglering. Genom det nya direktivet har man strävat efter att säkerställa att enhetliga och konsekventa principer tillämpas på behandlingen av alla personuppgifter. Samma krav ska beaktas även vid internationella överföringar av personuppgifter. Målen med EU:s dataskyddslagstiftning har beaktats i dataskyddslagen avseende brottmål. I denna proposition som kompletterar lagen om behandling av personuppgifter i brottmål och dataskyddsförordningen har den nya lagstiftningen beaktats såväl i fråga om dataskyddsförordningen som om dataskyddsdirektivet.  
Vad gäller behandlingen av personuppgifter vid brottmål är den största ändringen i förhållande till gällande lagstiftning att personuppgiftsansvariga i EU:s tillsynsmyndigheter jämställs med finländska personuppgiftsansvariga såsom Tullen. Samarbetet inom EU går även med stöd av den nya lagstiftningen främst ut på att förebygga, utreda och avslöja brott. Å andra sidan är syftet med lagförslaget en nationellt sett så enhetlig lagstiftning som möjligt oberoende av om uppgiften behandling av personuppgifter inom Tullen hör till tillämpningsområdet för dataskyddsförordningen eller för dataskyddsdirektivet. Med tanke på att det är fråga om två olika rättsakter och eftersom medlemsstaterna definierar ett brottmål delvis på olika sätt finns det dock en risk för att medlemsstaternas genomförandelagstiftning alltjämt till vissa delar förblir oenhetlig trots den nya regleringen. Målet med propositionen är emellertid ett fungerande samarbete inom brottsbekämpning mellan medlemsstater till den del det gäller utlämnande av personuppgifter. Till denna del föreslås inte heller några större ändringar i bestämmelserna. Till kompletterande delar har bestämmelserna på EU-nivå, som är mer enhetliga än tidigare, om överföring av personuppgifter till tredjeländer och till internationella organisationer beaktats i lagförslaget. Även till denna del har regleringen skärpts i förhållande till den gällande bestämmelserna. Framför allt betonas det tydligare än tidigare att dataskyddsnivån i ett tredjeland inte automatiskt kan anses vara tillräckligt hög, utan dataskyddsnivån ska bedömas separat och den kan också förändras. Det ska finnas juridiska garantier på att dataskyddsnivån är tillräckligt hög. Målsättningen med den nya striktare regleringen är att säkerställa skyddet av den registrerades rättigheter även i sådana fall där personuppgifter överförs över gränserna. 
Lagförslaget bedöms också medverka till att den registrerades rättigheter säkerställs bättre än tidigare i Tullens arbete. Till detta bidrar förutom den enhetliga EU-regleringen om ändamålsbegränsning, den registrerades rätt att bli informerad och den registrerades direkta eller indirekta rätt till insyn särskilt bestämmelserna om tillsynen över registerföringen. Den registrerades rättigheter tryggas också av dataskyddsmyndigheternas enhetliga och omfattande befogenheter, som delvis är gränsöverskridande, och av att lagstiftningen om behandling av personuppgifter hör till EU-domstolens behörighet. 
Största delen av lagförslagets konsekvenser gäller Tullen. För de övriga myndigheternas del gäller konsekvenserna av lagförslaget främst sådana bestämmelser som gäller utlämnande av personuppgifter till andra myndigheter. De största konsekvenserna för myndigheterna hänför sig till registerföringen. För Tullens behandling av personuppgifter ingår lagförslagets mest betydande ändringar i förhållande till nuläget i förslagets 2 kap. (behandling av personuppgifter), 4 kap. (utlämnande av personuppgifter) och 5 kap. (radering och arkivering av personuppgifter). 
Genom förslaget ersätts registerbaserad reglering av reglering som grundar sig på ändamålet med uppgiftsbehandlingen, vilket medför en administrativ börda för Tullen både som personuppgiftsansvarig och när lagen ska tillämpas. Bördan orsakas i synnerhet av behovet av anvisningar och utbildning. I lagförslagets 4 kap. föreskrivs det om utlämnande av personuppgifter till andra myndigheter och informationssystem som omfattar EU. I fråga om dessa bestämmelser föreslås ändringar i den gällande regleringstekniken och till vissa delar även utvidgningar i rättigheterna att lämna ut uppgifter. Dessa ändringar i kombination med regleringstekniken i 2 kap. har betydelse också för utlämnandet av personuppgifter mellan EU-medlemsstaterna. Ändringarna orsakar en viss administrativ börda i synnerhet i form av anvisningar och utbildning. I Tullen ges kontinuerligt handledning och utbildning i fråga om behandlingen av personuppgifter. Den ytterligare börda som de nya bestämmelserna medför orsakas framför allt av att man blir tvungen att ändra innehållet i utbildningen. Eftersom huvudprinciperna för behandlingen av personuppgifter just inte ändras genom dataskyddsreformen, gäller ändringen av utbildningsinnehållet närmast det att bestämmelserna om behandling av personuppgifter ändras från att vara registerbaserade till att basera sig på användningsändamål.  
Lagförslagets 4 kap. innehåller också bestämmelser om utlämnande av personuppgifter till tredjeländer och internationella organisationer. Bestämmelserna kompletterar lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Inga betydande innehållsmässiga ändringar i förhållande till den gällande lagen föreslås i dessa bestämmelser. 
Tullen har redan i flera år inom ramen för sin planmässiga laglighetskontroll granskat lagligheten för användningen av register. Bland annat på basis av observationer som gjorts vid laglighetskontrollen har anvisningarna om behandling av personuppgifter utvecklats och chefernas övervakning i anslutning till detta effektiviserats. När det gäller den personal som behandlar uppgifterna i sitt arbete avviker den föreslagna lagen från gällande Tullens personuppgiftslag på ovan beskrivet sätt så att i den föreskrivs om behandlingen av personuppgifter på basis av användningsändamål i stället för på basis av register. Av bestämmelserna om informationssystem i Tullens gällande personuppgiftslag framgår det i detalj vilka uppgifter som får registreras i vilket informationssystem. Däremot lämnar den föreslagna lagen utrymme för prövning angående i vilka register och system en viss uppgift registreras och var den behandlas. Å andra sidan ska till exempel uppgifter som behandlas för undersökningsändamål i regel huvudsakligen fortfarande behandlas i samma brottsutredningssystem som enligt den gällande lagstiftningen. Tillämpningen av bestämmelserna om utlämnande av uppgifter blir dock något mer komplicerad, eftersom villkoren för utlämnande inte längre är beroende av i vilket register eller system den uppgift som utlämnas är registrerad. På grund av detta förutsätter det nya regleringssättet i viss mån även utveckling av chefernas verksamhet och laglighetskontrollen i praktiken.  
De bestämmelser som föreslås i 4 kap. och som är helt nya har konsekvenser som i någon mån ökar Tullens administrativa börda. Dessa bestämmelser antas i viss mån leda till att utlämnandet av personuppgifter ökar, trots att utlämnande av personuppgifter alltid utgör enskilda fall där personuppgifter måste lämnas ut till en annan myndighet för att förebygga, avslöja eller utreda ett brott, och trots att varje enskilt fall är beroende av det aktuella ärendets natur. Samtidigt antas de föreslagna bestämmelserna effektivisera samarbetet mellan myndigheterna. 
I bestämmelserna om utplåning av personuppgifter föreslås betydande ändringar. Ändringarna medför ett behov av anvisningar för de experter som ansvarar för informationssystemen, vilket innebär att de nya bestämmelserna om radering i 5 kap. medför en viss administrativ börda för den personuppgiftsansvarige. 
EU-lagstiftningen om dataskydd kräver att varje personuppgiftsansvarig ska ha ett dataskyddsombud. Tullen har utnämnt ett sådant dataskyddsombud som avses i dataskyddsförordningen. Uppgifterna för det dataskyddsombud som avses i dataskyddsdirektivet sköts däremot vid sidan av det egna arbetet. Den sammanlagda ekonomiska konsekvensen av dem är något över ett årsverke i Tullen. Förslaget har inga övriga konsekvenser för personalresurserna och kräver inte tilläggsfinansiering till den delen. 
4.2.2
4.2.2 Övriga myndigheter
Bestämmelserna i 4 kap. som föreslås, där regleringstekniken ändras i förhållande till gällande lag, ger i någon mån konsekvenser som utöver för Tullen ökar den administrativa bördan även för andra myndigheter. Det är dock omöjligt att göra en exakt bedömning av kostnadskonsekvenserna och de konsekvenser som medför en administrativ börda. Till den del det är fråga om utlämnande av personuppgifter till brottsbekämpande myndigheter och andra myndigheter som avses i dataskyddsdirektivet får uppgifter huvudsakligen utlämnas i samma situationer som tidigare trots att regleringstekniken ändras. Uppgifter kan även på samma sätt som nu utlämnas som en datamängd eller via en teknisk anslutning. Den administrativa börda som orsakas av tillämpningen av de föreslagna nya bestämmelserna, liksom av tillämpningen av de gällande bestämmelserna om utlämnande av personuppgifter, uppskattas således bli tämligen obetydlig. Inte heller EU:s dataskyddslagstiftning för med sig några betydande ändringar i utlämnandet av personuppgifter i fråga om brottmål. När det är fråga om utlämnande av personuppgifter för ett förenligt ändamål får uppgifter utlämnas endast i nödvändiga fall när det nya ändamålet med personuppgiftsbehandlingen enligt strikta kriterier är förenligt med det ursprungliga behandlingsändamålet. Eftersom personuppgifter inte lämnas ut automatiskt i alla situationer kommer det i praktiken att uppstå rätt få situationer där denna bestämmelse tillämpas. 
Bestämmelserna i det föreslagna 4 kapitlet avviker inte heller till sitt innehåll i betydande grad från den gällande lagen till den del det är fråga om utlämnande av personuppgifter till andra myndigheter än de myndigheter som avses i dataskyddsdirektivet. Det föreslagna 4 kap. möjliggör på samma sätt som i nuläget även i dessa situationer att personuppgifter under vissa förutsättningar kan utlämnas som en datamängd eller via en teknisk anslutning. Det föreslås emellertid vissa utvidganden av situationer där uppgifter utlämnas i förhållande till den gällande lagen. De medför kostnadseffekter närmast för den myndighet som tar emot personuppgifter speciellt i det fall att utlämnandet förutsätter att nya anslutningar öppnas eller att gränssnitt för förfrågningar byggs upp. Dessutom orsakas kostnadseffekter och en administrativ börda i dessa situationer av beaktandet av kraven på dataskyddslagstiftningen speciellt i fråga om skyddet av personuppgifter.  
Dataombudsmannen. Med stöd av dataskyddsförordningen och dataskyddslagen samt dataskyddslagen avseende brottmål ska den nationella tillsynsmyndigheten dataombudsmannen bland annat kontrollera att uppgiftsbehandlingen är lagenlig, om den registrerades rätt till insyn har inskränkts, samt utföra undersökningar, verifieringar och granskningar. Skyldigheterna konkretiseras när de föreslagna lagarna börjar tillämpas. I synnerhet de föreslagna ändringarna i regleringstekniken i lagförslag 1, såsom behandling av personuppgifter baserad på ändamålen med behandlingen, och ändringar i behandlingen av personuppgifter för förebyggande och avslöjande av brott kommer efter lagens ikraftträdande att förutsätta de tillsynsåtgärder som nämns ovan. 
Enligt justitieministeriets och dataombudsmannens ståndpunkt förutsätts resurser, om man i framtiden vill utöva faktisk övervakning över Tullens behandling av personuppgifter. Behovet av övervakning och styrning kommer att vara betydligt större på grund av regleringen enligt propositionen. En effektiv övervakning förutsätter också att kontroller riktas mot Tullen. Även om dataombudsmannen enligt 29 § i den gällande lagen har ett indirekt kontrolluppdrag ökar medborgarnas medvetenhet när informationen till de registrerade effektiviseras, vilket leder till att också utnyttjandet av den indirekta rätten till insyn ökar. Enligt justitieministeriets och dataombudsmannens uppskattning medför ändringen ett behov av tilläggsresurser på cirka 0,5 årsverken vid dataombudsmannens byrå. 
EU:s medlemsstaters brottsbekämpande myndigheter. Lagförslaget innehåller uttryckliga bestämmelser om utlämnande av personuppgifter till informationssystem på EU-nivå. I bestämmelserna har man beaktat de krav som orsakas av EU:s lagstiftning som ska tillämpas på dessa informationssystem, inklusive den teknik som ska användas på utlämnandet av personuppgifter. Det föreslås dock att bestämmelserna om genomförandet av EU-lagstiftningen ska ändras till sina tekniska delar. Eftersom Tullens gällande personuppgiftslag till stor del motsvarar EU-lagstiftningen blir lagförslagets konsekvenser till denna del marginella. 
4.2.3
4.2.3 Myndigheter i tredjeländer
Den gällande lagen innehåller bestämmelser om utlämnande av personuppgifter till tredjeländer och internationella organisationer, och dessa bestämmelser motsvarar huvudsakligen lagförslaget. I propositionen föreslås det dock att bestämmelser som överlappar dataskyddslagen avseende brottmål som allmänt ska tillämpas ska strykas. Ändringarna av formuleringar medför inga behov av att ändra Tullens förfaranden, och de bedöms därför inte ha betydande konsekvenser för behandlingen av tredjeländers personuppgifter. Den personuppgiftsansvariges ansvar gäller också utlämnandet av personuppgifter till myndigheter och internationella organisationer i tredjeländer. 
Gränsöverskridande informationsutbyte. Vad gäller verkställandet av EU:s dataskyddsdirektiv, som lagförslaget är en del av, har de mest märkbara ekonomiska konsekvenserna bedömts gälla fall med utlämnande av gränsöverskridande personuppgifter. En administrativ börda och kostnadseffekter orsakas för de bestämmelsers del som föreslås i 4 kap., speciellt av att de krav i lagen om behandling av personuppgifter i brottmål som allmänt ska tillämpas ska beaktas fullständig även när personuppgifter utlämnas till tredjeländer eller till internationella organisationer. De brottsbekämpande myndigheterna i EU:s medlemsstater jämställs med finländska brottsbekämpande myndigheter till den del det är fråga om utlämnande av personuppgifter. Kraven på dataskyddet är jämfört med det gällande dataskyddsrambeslutet betydligt mer detaljerade i dataskyddsdirektivet som har genomförts genom den ovan nämnda lagen. Beaktandet av dessa krav medför en administrativ börda och i någon mån kostnadseffekter för den personuppgiftsansvarige, särskilt till den del det är fråga om att begränsa behandling av personuppgifter eller korrigering eller radering av personuppgifter, samt å andra sidan av vidare utlämning och behandling av mottagna personuppgifter från andra medlemsstater i EU. Den personuppgiftsansvarige ansvarar också för att personuppgifterna skyddas på behörigt sätt oberoende av på vilket sätt de lämnas ut. Utlämnandet av personuppgifter mellan myndigheterna i EU:s medlemsstater ska emellertid ske genom de etablerade kanaler för utlämnande som är i bruk redan i nuläget. Kraven på det dataskydd som förutsätts och som är inbyggt har huvudsakligen beaktats i dem. Dataskyddslagstiftningen får också betydande konsekvenser för brottsbekämpande myndigheter i tredjeländer när det gäller utbytet av uppgifter, med beaktande av att kraven på garanterat tillräckligt dataskydd har ändrats. Detta anses i praktiken bli relevant i synnerhet i sådana situationer där dataskyddsnivån inte anses vara tillräckligt hög med stöd av antingen Europeiska kommissionens beslut om nivån på dataskyddet eller ett bilateralt eller multilateralt avtal, varvid de nationella myndigheterna själva blir tvungna att förvissa sig om dataskyddsnivån. Med beaktande av att den förenhetligade EU-lagstiftningen ska tillämpas också på nationell behandling av personuppgifter är syftet med de föreslagna nya bestämmelserna samtidigt att öka förtroendet för att personuppgifter behandlas på behörigt sätt. Konsekvenserna av dataskyddslagstiftningen och lagförslaget i propositionen som båda gäller gränsöverskridande informationsutbyte kan som helhet anses betydande. 
Konsekvenser för informationssystem. EU-lagstiftningen om dataskydd har direkta och indirekta konsekvenser för de nationella informationssystemen. Konsekvenserna konkretiseras även av kompletterande lagstiftning som gäller enskilda myndigheter såsom genom detta lagförslag. Kostnadskonsekvenserna av de nya kraven enligt dataskyddslagstiftningen eller av motsvarande krav enligt den tidigare lagstiftningen kan som helhet bli betydande till den del det är fråga om obligatoriska skyldigheter som tidigare inte har fullgjorts i informationssystemen. 
Ändringsbehoven i detta lagförslag gäller enligt Tullens bedömning åtta av Tullens informationssystem för övervakning och brottsbekämpning. Om artikel 9.3 i dataskyddsdirektivet som gäller särskilda villkor för behandling av personuppgifter tolkas så, att det räcker med att de särskilda villkoren för behandling av personuppgifter framgår av tillstånd som rör utlämnande av uppgifter, av utbildning och av andra allmänna dokument och processer behövs inga ändringar i systemen. Då uppfylls kravet redan i nuläget. Om artikel 9.3 i direktivet tolkas så, att de särskilda villkoren för behandling av personuppgifter ska beskrivas separat för varje utlämnande eller överföring av personuppgifter (tillstånden för utlämnande av uppgifter, beskrivningarna, utbildningarna, administrationen av behörigheter m.fl. allmänna mekanismer räcker inte till) måste vart och ett av de ovan nämnda åtta informationssystemen omarbetas. Beroende på system gäller ändringarna det som skräddarsytts för Tullen eller färdigprogram som ligger som underlag för ett system, vilket också påverkar kostnadernas storlek.  
Om artikel 25.1 i direktivet om loggar tolkas så, att det räcker till att motiveringen för förfrågan och utlämning kan spåras via loggarna (vem som har begärt uppgifterna och när) och administrationen av användarrättigheter (vilket slag av användarrätt personen har) behövs det inga ändringar i systemen. Om artikel 25.1 i direktivet om loggar tolkas så att förfrågningar om personuppgifter och/eller motiv för utlämningar av personuppgifter ska specificeras separat för varje förfrågan och/eller utlämning finns det orsak att ändra de åtta nämnda informationssystemen. Hur stor ändring det blir fråga om beror på informationssystemet som ska ändras, såsom bland annat om det endast är de delar som skräddarsytts för Tullen som ska ändras eller om ändringen även gäller eventuella färdigprogram som utgör underlag för informationssystemet. I det senare fallet blir en ändring betydligt mer arbetskrävande och dyrare att genomföra. 
Om ovan nämnda artikel 9.3 (särskilda villkor för behandling av personuppgifter) och artikel 25.1 (loggar) i direktivet tolkas så att de ovan nämna ändringarna måste göras blir kostnaderna enligt Tullens uppskattning i nuläget cirka 500 000 euro (cirka 62 500 euro per system). 
Dessutom behöver enligt Tullens bedömning ett av dess informationssystem för brottsbekämpning ändras på grund av artikel 30.6 i dataskyddsdirektivet som gäller anmälan av en personuppgiftsincident till den personuppgiftsansvarige i en annan medlemsstat. Enligt Tullens bedömning bör informationssystemet utökas med ett datafält för att ange att det gäller en personuppgift som erhållits av en personuppgiftsansvarig i en annan medlemsstat. På så sätt blir i en eventuell personuppgiftsincident de uppgifter som erhållits från en personuppgiftsansvarig i en annan medlemsstat lätta att särskilja från andra personuppgifter. Kostnaden för denna ändring uppskattas till 40 000 euro, men den kan göras som en del av det normala underhållet av systemet och medför då inga merkostnader. 
4.2.4
4.2.4 Tekniska anslutningar
Det föreslagna 4 kap. innehåller en bestämmelse enligt vilken personuppgifter under vissa förutsättningar kan lämnas ut via en teknisk anslutning. Också den gällande lagen innehåller en sådan möjlighet, men bestämmelserna har setts över i förhållande till den gällande lagen. Syftet med bestämmelserna är inte att ändra nuläget, och möjligheten att öppna tekniska anslutningar ska vara begränsad till motiverade situationer som kräver att ett separat beslut fattas. Å andra sidan får öppnandet av en eventuell ny teknisk anslutning i någon mån kostnadseffekter för Tullen. De största kostnadseffekterna och den mest betydande administrativa bördan av att öppna tekniska anslutningar föranleds i dessa situationer dock av att dataskyddslagstiftningens krav beaktas. Konsekvenserna rör delvis den personuppgiftsansvarige och personuppgiftsbehandlingen och delvis informationssystemen. Den personuppgiftsansvarige är enligt den nya dataskyddslagstiftningen skyldig att säkerställa att personuppgifterna skyddas på behörigt sätt oberoende av på vilket sätt de lämnas ut. När en teknisk anslutning öppnas i ett system kan den personuppgiftsansvarige eller personuppgiftsbiträdet inte i alla situationer direkt övervaka vilka personuppgifter som lämnas ut ur systemet. Då betonas kraven på noggrannhet i innehållet i de villkor som avses i tillstånden för utlämnande av data, att villkoren följs i den myndighet som tar emot utlämnad data eller som använder en teknisk anslutning, begränsningarna av användargrupperna och loggkontroll. Den personuppgiftsansvarige ansvarar också för att de personuppgifter som lämnas ut är korrekta och aktuella. Dataskyddslagstiftningen medför också konsekvenser för informationssystemen i situationer där behandlingen av personuppgifter har begränsats. I dessa situationer ska den tekniska anslutningen till informationssystemet ordnas så att de obligatoriska kraven enligt dataskyddslagstiftningen kan uppfyllas i dem. Dataskyddslagstiftningen kan få motsvarande konsekvenser också för sådana tekniska anslutningar som öppnats redan tidigare.  
4.3
Samhälleliga konsekvenser
Europeiska kommissionen har bedömt i synnerhet vilka konsekvenser dataskyddsförordningen får för enskilda personer. Dataskyddslagstiftningen är i väsentlig grad förknippad med medborgarens ställning i samhället, och syftet med den är att säkerställa att medborgarna kan utöva sina rättigheter när det gäller personuppgiftsbehandling. Den behandling av personuppgifter som hör till tillämpningsområdet för dataskyddsförordningen har i lagförslaget samband med tullövervakningen och skattekontrollen. Dessa bestämmelser motsvarar huvudsakligen gällande lag. Med beaktande av dataskyddsförordningens mindre konsekvenser för myndigheternas personregister, och det att tillämpningsområdet för direktivet 1995 i Finland nationellt har utvidgats till att gälla all behandling av personuppgifter, gäller konsekvenserna för behandlingen av personuppgifter i samband med tullövervakning och skattekontroll närmast mer detaljerade bestämmelser än tidigare. 
Det faktum att den registrerades rättigheter betonas kraftigare än tidigare i dataskyddsförordningen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten kan förväntas förbättra medvetenheten på så sätt att de registrerade de facto kan utnyttja sina rättigheter i förhållande till personuppgifter som samlats in för de behandlingsändamål som anges i 2 kap. i lagförslag 1. När det gäller personuppgiftsbehandling i anslutning till brottmål innefattar dock inskränkningar av den registrerades rätt till insyn i fråga om vissa behandlingsändamål, vilket med avseende på den nya typen av personuppgiftsbehandling för förhindrande och avslöjande av brott till vissa delar medför en mer omfattande inskränkning av integritetsskyddet. I fråga om dessa behandlingsändamål kan den registrerade endast utnyttja sin rätt till insyn indirekt via dataskyddsmyndigheten. Vilka konsekvenser de föreslagna inskränkningarna får med tanke på tillgodoseendet av de grundläggande fri- och rättigheterna enligt grundlagen bedöms närmare i 4 kap.  
Det kan bedömas att även betoningen av den personuppgiftsansvariges ansvar får positiva effekter på det sätt på vilket integritetsskyddet och individens rättigheter, som hör till tillämpningsområdet för dataskyddsförordningen, i fråga om behandlingen av personuppgifter tillgodoses i ärenden som hänför sig till tullövervakningen och skattekontrollen. Dessutom är den personuppgiftsansvarige i regel skyldig att informera den registrerade om kränkningar av informationssäkerheten, vilket stärker den registrerades ställning. 
Å andra sidan är ett mål med lagförslaget att underlätta Tullens och de andra nationella brottsbekämpande myndigheternas gränsöverskridande samarbete med brottsbekämpande myndigheter i EU:s medlemsstater. Det faktum att dessa i lagförslaget jämställs med finländska personuppgiftsansvariga i enlighet med den nya dataskyddslagstiftningen kan leda till ett effektivare utbyte av personuppgifter än tidigare. Överföringar av personuppgifter mellan behöriga myndigheter i EU-medlemsstaterna kan redan i sig göra det svårare för personerna att utnyttja sin rätt till dataskydd och i synnerhet att skydda sina personuppgifter från illegal användning eller illegalt utlämnande, men ännu svårare blir det när personuppgifter överförs till stater utanför unionen. Även en finländsk personuppgiftsansvarig har sämre möjligheter att övervaka hur uppgifterna används i dessa situationer trots att regleringen skärpts. Den personuppgiftsansvariges och dataskyddsmyndighetens befogenheter är otillräckliga i synnerhet i sådana fall där behandlingen av personuppgifter anknyter till verksamhet utanför statens gränser. I EU-lagstiftningen om dataskydd har man fäst vikt vid behovet av att främja ett intensivare samarbete mellan dataskydds- och tillsynsmyndigheterna, för att dessa vid behov ska kunna utbyta uppgifter med sina utländska samarbetspartner. Genom detta kan man i viss mån främja tillgodoseendet av den registrerades rättigheter. Dessa rättigheter strävar man efter att säkerställa i dataskyddslagstiftningen och i lagförslaget genom att ställa strängare kriterier för överföring av personuppgifter till tredjeländer. Å andra sidan har den registrerades rättigheter säkerställts i dataskyddslagstiftningen när det gäller verksamhet inom EU:s gränser genom att dataskyddsmyndigheterna getts befogenheter som överskrider medlemsstatens gränser. Syftet med bestämmelserna har också varit att göra det lättare för den registrerade att utnyttja sina rättigheter i detta avseende. Den registrerades användning av sina rättigheter förbättras dessutom av att bestämmelserna om rätten till effektiva rättsmedel är mer detaljerade än tidigare.  
I propositionens 4 kap. möjliggörs utlämnande av personuppgifter till allmänheten genom uttryckliga bestämmelser. Bestämmelserna är nya i Tullens personuppgiftslag, och syftet med dem är att på motsvarande sätt som genom bestämmelserna i polisens gällande personuppgiftslag möjliggöra så kallade offentliga efterlysningar där allmänhetens hjälp används för att nå efterlysta personer. Polisen har försökt utnyttja dessa möjligheter redan tidigare i allt mer ökande omfattning, och de har ofta visat sig vara effektiva. Också dessa bestämmelser ökar det civila samhällets roll som ett element som stöder Tullens och de övriga brottsbekämpande myndigheternas arbete. Samtidigt har bestämmelserna en inskränkande effekt på integritetsskyddet för den person vars personuppgifter behandlas, med beaktande av att personuppgifterna i dessa situationer sprids snabbt och i stor utsträckning.  
Dessutom ska Tullen enligt 2 kap. ha rätt att behandla uppgifter som grundar sig på en tullmans observationer och på tips från allmänheten. Denna typ av personuppgifter ska behandlas som observationsuppgifter. Med stöd av 2 kap. 6 §, som ersätter bestämmelsen om observationsuppgifter i den gällande lagen, kan uppgifter även i fortsättningen registreras, om uppgifterna i fråga med fog kan bedömas ha samband med brottslig verksamhet. Tullen får även enligt 20 § i förslaget lämna ut personuppgifter till allmänheten för att få tips.  
Ur medborgarnas synvinkel är det också viktigt att det i bestämmelserna om genomförandet av dataskyddslagstiftningen har fästs särskild vikt vid övervakningen av personuppgiftsbehandlingen. Bestämmelserna är mer detaljerade än bestämmelserna i de gällande, allmänt tillämpliga personuppgiftslagen och Tullens personuppgiftslag. Dessa ändringar bedöms förbättra förtroendet för Tullens behandling av personuppgifter. Att den som anger ett brott eller ett vittne eller någon annan person som har samband med ett brott också själv kan bli registrerad i Tullens personregister har dock konsekvenser för dessa personers ställning. Kriterierna för behandlingen av personuppgifter för dem som anger brott och andra som har samband med brott och övervakningen av behandlingen av personuppgifter har särskild betydelse för att säkerställa att allmänheten vågar ange brott till Tullen eller till andra brottsbekämpande myndigheter. 
Särskilda kategorier av personuppgifter behandlas i Tullen både bland uppgifter som hör till direktivets och till förordningens tillämpningsområden. I fråga om särskilda kategorier av personuppgifter förbättrar de preciserade bestämmelserna den registrerades rättigheter i Tullens behandling av personuppgifter. Detta har betydelse speciellt när behandlingen gäller biometriska och genetiska uppgifter, som till åtskillnad från gällande lagstiftning ska kategoriseras som känsliga uppgifter, och som därför på direktivets tillämpningsområde får behandlas enbart när det är nödvändigt. Villkoren för behandling av särskilda kategorier av personuppgifter skärps också inom förordningens tillämpningsområde. Det är i regel förbjudet att behandla sådana personuppgifter som hör till de särskilda kategorier av personuppgifter som avses i artikel 9 i förordningen. Artikel 9.1 i förordningen innehåller en uttömmande förteckning över de undantag med stöd av vilka det är tillåtet att behandla dessa uppgifter. Det ställs även särskilda krav på skyddet av särskilda kategorier av personuppgifter på vardera rättsaktens tillämpningsområde.  
I 4 kap. i lagförslaget beaktas också de ändringar i fråga om utlämnande av särskilda kategorier av personuppgifter som följt särskilt av EU-lagstiftningens utveckling. Även vid utlämnandet av dessa personuppgifter gäller det att till alla delar beakta de krav som i dataskyddsförordningen och dataskyddsdirektivet ställs på kriterierna för behandling av känsliga personuppgifter och på skyddet av dessa. Särskilda kategorier av personuppgifter får inom direktivets tillämpningsområde lämnas ut endast när det är nödvändigt för identifieringen av en person.  
4.4
Konsekvenser för jämställdheten, för barn och för jämlikheten mellan könen
4.4.1
4.4.1 Konsekvenser för jämlikheten
Som en del av genomförandet av dataskyddsförordningen och dataskyddsdirektivet har lagförslaget indirekta konsekvenser för tillgodoseendet av jämställdheten. I artikel 10 i dataskyddsdirektivet föreskrivs om behandlingen av särskilda kategorier av personuppgifter. I bestämmelserna förutsätts förutom ett högre behandlingskriterium än i fråga om behandlingen av andra personuppgifter även en högre informationssäkerhetsnivå i de informationssystem där dessa personuppgifter behandlas. Behandling av särskilda kategorier av personuppgifter tillåts endast utifrån strikta kriterier, om behandlingen är nödvändig. Med särskilda kategorier av personuppgifter avses sådana uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person eller uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.  
I artikel 11 i dataskyddsdirektivet föreskrivs också om förbud mot så kallad etnisk profilering. Syftet med förbudet är att säkerställa att den registrerade inte blir föremål för ett beslut angående bedömning av personliga aspekter rörande honom eller henne som uteslutande grundas på automatiserad behandling och som har negativa rättsliga följder för den registrerade eller i betydande grad påverkar honom eller henne. Uppgiftsbehandlingen omfattas också av ett krav på lämpliga skyddsåtgärder, inklusive skyldigheten att informera den registrerade om behandlingen och rätten till personlig kontakt. Profilering som leder till diskriminering av fysiska personer på grundval av personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter är förbjuden i enlighet med bestämmelserna om grundläggande fri- och rättigheter. Behandling av genetiska uppgifter får exempelvis inte leda till att grupper i särskilt utsatt ställning diskrimineras i samhället. I praktiken bekräftar bestämmelserna det ovillkorliga förbudet mot diskriminering, som gäller redan på grundval av bestämmelserna om grundläggande fri- och rättigheter. Å andra sidan hindrar bestämmelsen dock inte Tullen från att verkställa profilering av personer som är misstänkta för brottslig verksamhet, utan säkerställer att profilering inte leder till diskriminering. 
Att jämställdheten tillgodoses påverkas dessutom indirekt av de krav på riskbedömning av behandlingen av personuppgifter som ingår i den nya lagstiftningen, och som konkretiseras i och med lagförslaget. De största riskerna hänför sig till sådan behandling av personuppgifter som kan orsaka fysiska, materiella eller immateriella skador och behandling som kan leda till diskriminering, identitetsstöld eller identitetsbedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller uppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering, eller annan betydande ekonomisk eller social nackdel. Utöver känsliga personuppgifter kan särskilda risker gälla till exempel uppgifter om fysiska personer i den svagaste ställningen, speciellt barns personuppgifter, eller brett upplagd behandling av personuppgifter som gäller ett stort antal registrerade. Eventuell jämförelse mellan register som har samband med tillämpningen av lagförslaget kan vara sådan behandling. Dessutom kan speciellt behandling av personuppgifter som gäller att förebygga och avslöja brott ha betydelse för förverkligandet av jämställdheten, beroende på om personuppgiftsbehandlingen gäller en enskild person eller grupper av personer.  
Samtidigt främjas realiseringen av jämlikheten mer allmänt av den harmoniserade EU-regleringen, som garanterar att alla registrerade står i jämlik ställning inom EU när det gäller användningen av sina rättigheter som registrerad. I och med de nya bestämmelserna gäller lika höga krav i alla EU-medlemsstater i fråga om den registrerades rätt till insyn och dataskyddsmyndighetens övervakning av denna. Rättigheterna effektiviseras också av bestämmelserna om administrativa påföljder, som kan följa bland annat av att den registrerade förvägras rätten att övervaka behandlingen av sina egna personuppgifter. 
4.4.2
4.4.2 Konsekvenser för barnen
I ingressen till EU:s dataskyddsförordning fästs vikt vid att barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt skydd ska tillämpas i synnerhet när det gäller användningen av barns personuppgifter i marknadsföringssyfte eller för att skapa personlighets- eller användarprofiler samt insamling av personuppgifter med avseende på barn när tjänster som erbjuds direkt till barn utnyttjas. Barn anses också vara särskilt utsatta för brott som sker online. Samtidigt begår också minderåriga och unga gärningsmän numera en stor del av sina brott online. Att minderåriga blir registrerade kan indirekt tjäna deras egna intressen om de på grund av registreringen inte vågar beställa narkotikapreparat från utlandet eller alkohol- eller tobaksprodukter i Finland på grund sin ålder. 
Både dataskyddsförordningen och dataskyddsdirektivet fastställer att den personuppgiftsansvarige är skyldig att på klarspråk informera de registrerade om deras rättigheter med särskild hänsyn till sårbara grupper, såsom barn. Denna skyldighet blir konkretiserad när lagförslaget tillämpas. Enligt finsk lagstiftning handlar det i regel om alla personer under 18 år. Den personuppgiftsansvariges skyldigheter gäller även Tullen när den registrerade till exempel är en minderårig person som gjort sig skyldig till en brottslig gärning.  
I 25 § i propositionen, som gäller radering av personuppgifter, har man beaktat minderåriga som gjort sig skyldiga till brottslig gärning på samma sätt som i Tullens gällande personuppgiftslag. Uppgifter om minderåriga personer får inte förvaras lika länge som personuppgifter om myndiga. På så sätt strävar man efter att begränsa de negativa effekter som personuppgiftsbehandling i anslutning till ett brott kan få på ett barns liv, med beaktande av principen om barnets bästa. Med hänsyn till barnets boende, smidiga vardag och mänskliga relationer beaktar lagförslaget också behoven av personuppgiftsbehandling i sådana situationer där man strävar efter att ingripa i unga återfallsförbrytares situation med andra metoder än straffrättsliga medel och på så sätt att förebygga nya brott. Med tanke på dessa situationer föreslås det i enlighet med barnets bästa att uppgifter ska kunna lämnas ut till de sociala myndigheterna i barnskyddssituationer och i syfte att förebygga brott på motsvarande sätt som i de gällande bestämmelserna. 
Konsekvenserna för de grundläggande fri- och rättigheterna bedöms till övriga delar i 4 kap. Denna typ av konsekvenser rör i synnerhet skyddet för privatlivet, men också jämlikheten och rättsskyddet. 
4.4.3
4.4.3 Konsekvenser för brottsbekämpning och säkerhet
Medborgarna är allt aktivare på nätet. Både företagen och de som använder deras tjänster behandlar i stor skala personuppgifter i datanätstjänster. Samtidigt begås en allt större del av brotten på nätet, och gärningsmännen har bättre möjligheter än tidigare att snabbt dölja sina spår. Av dessa orsaker har i lagförslagets 2 kap. införts bestämmelser som bedöms stödja att brott förebyggs, avslöjas och utreds på ett effektivt sätt. Konsekvenserna som gäller förebyggande av brottslighet och utredning av brott bedöms följa tydligare av lagstiftningen om Tullens befogenheter. Därför är det omöjligt att bedöma de faktiska konsekvenserna av de nya bestämmelserna som föreslås om personuppgiftsbehandling och som gäller förebyggande och avslöjande av brott. Bestämmelserna bedöms emellertid förbättra Tullens möjligheter att få information om brott. Syftet med de bestämmelser som föreslås är att erbjuda effektiva redskap för att få fast gärningsmän och utreda deras verksamhet. Målet är att de effektivare möjligheterna att behandla personuppgifter ska främja avslöjandet av brott och öka gärningsmännens risk att bli gripna. Å andra sidan försöker man även säkerställa dataskyddet och rättssäkerheten för dem som anmäler ett brott och för andra utomstående som har någon anknytning till ärendet så att villigheten att anmäla brott inte lider genom att det föreslås en högre tröskel för registrering av personuppgifter för dessa grupper av personer.  
Enligt Europols hotbedömning av gränsöverskridande och grov brottslighet 2017 är en av de största hotbilderna inom EU olika typer av brottslighet på nätet. Bestämmelserna i 4 kap. om utlämnande av personuppgifter till andra myndigheter och enskilda sammanslutningar och näringsidkare har setts över för att säkerställa att bestämmelserna motsvarar Tullens nuvarande behov i ljuset av brottslighetens hotbilder och statistik. Genom att myndigheterna garanteras tillräckliga rättigheter att lämna ut personuppgifter till varandra ökar direkt möjligheterna att avslöja och utreda brott samt risken för gärningsmän att bli gripna.  
5
Beredningen av propositionen
5.1
Beredningsskeden och beredningsmaterial
Propositionen har beretts vid finansministeriet i samarbete med inrikesministeriet och Tullen. 
Inrikesministeriet tillsatte den 26 januari 2016 en arbetsgrupp (SM064:00/2015) med uppgift att sammanställa ett utkast till regeringens proposition med förslag till lag om behandling av personuppgifter i polisens verksamhet. Representanter för finansministeriet och Tullen deltog aktivt i arbetsgruppens arbete. I förslaget till Tullens personuppgiftslag har man beaktat de omständigheter och iakttagelser som kommit fram i arbetsgruppen samt i princip strävat efter att lagen som föreslås överensstämmer med de personuppgiftslagar som föreslås för polisen och Gränsbevakningsväsendet. Dessutom har man följt beredningen av Försvarsmaktens personuppgiftslag.  
Propositionen sändes på remiss till följande instanser: Riksdagens justitieombudsmans kansli, Justitiekanslersämbetet, budgetavdelningen och den offentliga förvaltningens avdelning för informations- och kommunikationsteknik (OffICT) vid finansministeriet, kommunikationsministeriet, jord- och skogsbruksministeriet, justitieministeriet, försvarsministeriet, inrikesministeriet, social- och hälsovårdsministeriet, arbets- och näringsministeriet, utrikesministeriet, Helsingfors förvaltningsdomstol, Nödcentralsverket, Trafikverket, Migrationsverket, Rättsregistercentralen, Huvudstaben, Polisstyrelsen, staben för Gränsbevakningsväsendet, Brottspåföljdsmyndigheten, Skyddspolisen, Centralkriminalpolisen, Trafiksäkerhetsverket, Patent- och registerstyrelsen, Dataombudsmannens byrå, Tullen, Riksåklagarämbetet, Skatteförvaltningen, Kommunikationsverket, Befolkningsregistercentralen, Finlands Advokatförbund r.f., Finlands Polisorganisationers Förbund rf, Tullförbundet rf, Tullin Akavalainen Yhdistys ry, Tullivirkamiesliitto - Tulltjänstemannaförbundet ry. 
5.2
Remissyttranden och hur de har beaktats
De lagförslag som nu läggs fram har varit på remissrunda 27.6—15.8.2018 som en del av regeringens proposition med förslag till lag om behandling av personuppgifter inom Tullen och till vissa lagar som har samband med den. Yttrande begärdes av sammanlagt 35 myndigheter, organisationer och sammanslutningar. Remissmaterialet sändes direkt till aktörerna i sändlistan för begäran om yttrande. Dessutom fanns remissmaterialet till påseende på statsrådets projektsidor. 
Av dem som fick begäran lämnades yttrande av riksdagens justitieombudsman, justitiekanslern i statsrådet, den offentliga förvaltningens avdelning för informations- och kommunikationsteknik vid finansministeriet, kommunikationsministeriet, justitieministeriet, försvarsministeriet, inrikesministeriet, social- och hälsovårdsministeriet, utrikesministeriet, Nödcentralsverket, Migrationsverket, Rättsregistercentralen, Polisstyrelsen, Brottspåföljdsmyndigheten, skyddspolisen, Trafiksäkerhetsverket, dataombudsmannens byrå, Riksåklagarämbetet, Skatteförvaltningen, Befolkningsregistercentralen, Finlands Advokatförbund r.f. och Tullivirkamiesliitto - Tulltjänstemannaförbundet r.y. Ett sammandrag av remissyttrandena finns tillgängligt på statsrådets projektsidor (VM059:00/2016). 
En regleringslösning utgående från ändamålen med behandlingen understöddes av justitiekanslern i statsrådet och inrikesministeriet. Polisstyrelsen och skyddspolisen anser att en lagstiftningslösning gemensam för Tullen, polisen och Gränsbevakningsväsendet är motiverad. Riksdagens biträdande justitieombudsman, dataombudsmannen och justitieministeriet betonade i sina yttranden att det föreslagna regleringssättet kräver närmare anvisningar, där det dock inte ska föreskrivas om frågor som hör till området för lagstiftningen. När det gäller konsekvenserna för personalresurserna fäste justitieministeriet i sitt utlåtande uppmärksamhet vid att lagstiftningslösningen enligt utkastet till proposition medför en administrativ börda såväl för den personuppgiftsansvarige som för de tjänstemän som ska tillämpa lagen. Enligt justitieministeriets bedömning har den administrativa börda som orsakas av en förenklad regleringslösning som enbart grundar sig på användningsändamål inte till alla delar identifierats i konsekvensbedömningen. Enligt justitieministeriets utlåtande har i utkastet till proposition inte heller bedömts dess konsekvenser för dataombudsmannen. Vid den fortsatta beredningen utreddes tillsammans med dataombudsmannens byrå och justitieministeriet storleken av de ekonomiska konsekvenserna för dataombudsmannen samt preciserades de ekonomiska konsekvenserna i motiveringen i fråga om konsekvenser för myndigheterna och ändringsbehoven i anslutning till anvisningar och anordnandet av utbildning. 
I många yttranden betonades också den allmänna nivån i förslaget samt vagheten och tvetydigheten i fråga om uppgiftsinnehållet. I yttrandena lyfts behovet av noggrannare bestämmelser än de föreslagna i synnerhet i fråga om behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter, till exempel biometriska uppgifter. Justitiekanslern i statsrådet och dataombudsmannen fäste i sina yttranden uppmärksamhet vid uppgifter som fåtts vid teknisk övervakning till den delen att villkoren för behandlingen bör avgränsas noggrannare i bestämmelsen. I yttrandena betonades också förhållandet mellan den föreslagna lagstiftningen och behörighetsbestämmelserna samt behovet av att säkerställa att uppgiftsutbytet mellan myndigheterna fungerar. Vid den fortsatta beredningen har bestämmelserna om behandling av uppgifter som hör till särskilda kategorier av personuppgifter samt propositionens förhållande till behörighetsbestämmelserna preciserats både på paragrafnivå och i motiveringen till propositionen. Också bestämmelsen om ändamålet med behandlingen av personuppgifter som fåtts vid teknisk övervakning har preciserats. 
Justitiekanslern i statsrådet konstaterar i sitt yttrande att förslaget på ett betydande sätt utvidgar Tullens rätt att behandla personuppgifter som inte anknyter till ett enskilt uppdrag. I synnerhet i yttrandena från justitieministeriet, dataombudsmannen och riksdagens biträdande justitieombudsman betonades behovet av att vid den fortsatta beredningen bedöma bestämmelsens förhållande till kraven enligt dataskyddslagstiftningen, rättspraxis och grundlagsutskottets tolkningspraxis. Dataombudsmannen lyfte fram att fundamenten för den föreslagna bestämmelsen är ohållbar, eftersom Tullen inte har befogenhet att behandla och registrera personuppgifter på det föreslagna sättet. Enligt justitieministeriet finns det skäl att utreda om det är möjligt att noggrannare avgränsa regleringen eller på ett sätt som annars inkräktar mindre på skyddet av personuppgifter. Vid den fortsatta beredningen har bestämmelserna om bedömning av betydelsen för säkerhets skull flyttats till ett moment i samband med ändamålen med behandlingen. Dessutom har propositionens förhållande till Tullens befogenheter till informationsinhämtning förtydligats. 
Inrikesministeriet och Polisstyrelsen uppmärksammade i sina utlåtanden vad gäller Tullens personregister att av propositionen inte i tillräcklig utsträckning framgår att Tullen i enligt med gällande lag i de gemensamma systemen också registrerar uppgifter som hör till polisens registerföring, såsom uppgifter om efterlysningar av personer och föremål samt signalementsuppgifter. Vid den fortsatta beredningen har personuppgiftsansvaret och ändringsförslagen i fråga om den preciserats både i paragraferna och i motiveringen. 
Justitieministeriet och riksdagens justitieombudsman påpekade i sina utlåtanden att behovet av nationell kompletterande reglering inom dataskyddsförordningens tillämpningsområde i ljuset av grundlagsutskottets riktlinjer och det manöverutrymme som dataskyddsförordningen medger bör bedömas noggrant och avgränsas till vad som är nödvändigt för att komplettera dataskyddsförordningen. De påpekar i sina utlåtanden att bestämmelserna om informationssystemet för tullövervakning i 5 § i den gällande lagen verkar möjliggöra även behandling av sådana uppgifter som kan anses som sådan behandling av känsliga personuppgifter som grundlagsutskottet avser. I fråga om detta bör också villkoren för behandling av personuppgifter i artikel 10 i dataskyddsförordningen beaktas. I utlåtandena konstaterades att om avsikten fortsättningsvis är att i Tullens informationssystem registrera personuppgifter av detta slag ska om detta uttryckligen föreskrivas i lag. Till lagförslaget har på basis av dessa utlåtanden fogats 10 § om personuppgifter som behandlas vid tullövervakning och skattekontroll. 
I bland andra justitieministeriets och Nödcentralsverkets utlåtanden togs det upp att i lagförslaget föreskrivs om såväl mottagande som utlämnande av personuppgifter. I fråga om detta konstaterades i utlåtandena att bestämmelserna om utlämnande av sekretessbelagda uppgifter kan ingå i lagen om den myndighet som lämnar ut uppgifterna eller om dennas verksamhet, eller i lagen om den myndighet som erhåller uppgifterna eller om dennas verksamhet. Bestämmelserna kan inte ingå i båda. Det föreslås dock med avvikelse från remissvaren att bestämmelserna i fråga också ska ingå i den nya lagen, med vissa preciseringar och ändringar i författningshänvisningarna. Vid den fortsatta beredningen har strävan varit att säkerställa att bestämmelserna om Tullens, polisens och Gränsbevakningsväsendets behandling av personuppgifter är så enhetliga som möjligt så att eventuella tolkningsproblem ska kunna undvikas. 
Kommunikationsministeriet ansåg att även regleringens konsekvenser för skyddet för hemligheten i fråga om förtroliga meddelanden bör bedömas i propositionen. Detta ansågs dock inte vara ändamålsenligt, eftersom det ansågs att bedömningen gjorts i samband med regleringen av befogenheter som ingriper i skyddet för förtroliga meddelanden. 
I flera yttranden kommenterades dessutom bland annat behandlingen av uppgifter för andra ändamål än de ursprungliga, regleringen av informationsutbytet mellan myndigheter, förslagen till bestämmelser om radering av personuppgifter samt bestämmelserna om inskränkningar av rätten till insyn. De synpunkter och ändringsförslag som framförts i remissyttrandena har i mån av möjlighet beaktats vid den fortsatta beredningen av propositionen och i de ändringar som gjorts i propositionen, i synnerhet när de gäller lagförslagets förhållande till EU:s dataskyddslagstiftning samt förslagen om utvidgningarna i fråga om behandling av uppgifter för förebyggande och avslöjande av brott. 
6
Samband med andra propositioner
Propositionen har samband med arbetet i den arbetsgrupp (SM064:00/2015) som tillsatts av inrikesministeriet och som utarbetat ett förslag till regeringens proposition med förslag till lag om behandling av personuppgifter i polisens verksamhet (RP 242/2018 rd). Det viktigaste syftet med projektet var att bereda en ny personuppgiftslag för polisen som kompletterar den allmänna genomförandelagstiftningen för direktivet om dataskydd vid brottmål och för dataskyddsförordningen till de delar som de genomförandebestämmelser som behövs inte ingår i rättsakterna. Avsikten är att polisens nya personuppgiftslag ska uppfylla kraven i EU:s reviderade dataskyddslagstiftning med beaktande av brottsbekämpningens behov och de krav de grundläggande och mänskliga rättigheterna ställer. 
Propositionen har samband med arbetet från den arbetsgrupp (SM057:00/2016) som tillsatts av inrikesministeriet med uppgiften att utarbeta regeringens proposition med förslag till ändringar av lagen om behandling av personuppgifter i Gränsbevakningsväsendets verksamhet (RP 241/2018 rd). Inom projektet bereddes ändringar i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet till den del de nödvändiga bestämmelserna inte ingår i den nationella lagen om genomförande av dataskyddsdirektivet. Dessutom bedömde arbetsgruppen vilka lagändringsbehov som följer av den reviderade EU-lagstiftningen om dataskydd och såg över bestämmelserna om behandling av personuppgifter i sjöräddningslagen. 
Propositionen har även samband med arbetet i den arbetsgrupp (PLM006:00/2016) som tillsatts av försvarsministeriet och som har berett en totalrevidering av lagstiftningen om behandling av personuppgifter i försvarsförvaltningen. Arbetsgruppens uppgift var att klarlägga de ändringsbehov i den lagstiftningen som följer av EU:s dataskyddsreform och bereda ett förslag till den lagstiftning som behövs. Regeringens proposition till lagstiftningen har lämnats till riksdagen våren 2018 (RP 13/2018 rd). 
Propositionen har även samband med kommunikationsministeriets proposition till riksdagen med förslag till lag om inrättande av Transport- och kommunikationsverket, ändring av lagen om Trafikverket och till vissa lagar som har samband med dem (RP 61/2018 rd), LIIVI-projektet (LVM016:00/2017). Riksdagen behandlar också regeringens proposition med förslag till lag om ändring av lagen om transportservice och till vissa lagar som har samband med den (RP 157/2018 rd), där det föreslås att 17 § i Tullens personuppgiftslag ska ändras. 
Dessutom har propositionen samband med inrikesministeriets regeringsproposition till riksdagen med förslag till lag om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet och till vissa lagar som har samband med den (RP 55/2018 rd), genomförandet av det så kallade PNR-direktivet (SM001:00/2018). 
Även den regeringsproposition som beretts i samband med jord- och skogsbruksministeriets lagstiftningsprojekt (MMM009:00/2017) är relevant med tanke på denna proposition till den del det gäller bestämmelserna om sådan summarisk förundersökning som utförs av jakt- och fiskeövervakare. 
I fråga om lagförslagen i alla ovannämnda propositioner ska det säkerställas att hänvisningarna till författningar och paragrafer samt till behövliga delar terminologin samordnas under riksdagsbehandlingen. Därtill är det möjligt att propositionerna innehåller lagförslag som gäller ändringar av samma lagar. 
DETALJMOTIVERING
1
Lagförslag
1.1
Lagen om behandling av personuppgifter inom Tullen
1 kap. Allmänna bestämmelser
1 §.Tillämpningsområde. I paragrafen föreslås bestämmelser om lagens tillämpningsområde. Lagen tillämpas på behandling av personuppgifter som behövs för skötseln av de övervakningsuppdrag som i lag föreskrivs för Tullen och för att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning om behandlingen är helt eller delvis automatisk, eller personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. Dessutom föreskrivs det i lagen om den registrerades rättigheter, om Tullens rätt att få personuppgifter och andra uppgifter som behövs för skötseln av de uppdrag som i lag föreskrivs för Tullen samt om rätten att lämna ut personuppgifter och andra uppgifter.  
Lagens huvudsakliga tillämpningsområde, dvs. behandling av personuppgifter, begränsas utifrån ändamålet med behandlingen av personuppgifterna. I fråga om behandling av personuppgifter omfattar lagen alltså inte behandlingen av personuppgifter i Tullens samtliga uppgifter. På den behandling av personuppgifter som står utanför tillämpningsområdet tillämpas dataskyddslagen och EU:s dataskyddsförordning. I den andra meningen i paragrafen föreskrivs att lagen ska tillämpas i större utsträckning än det tillämpningsområde som föreskrivs i första meningen, dvs. på registrerades rättigheter i fråga om Tullens samtliga uppgifter samt på Tullens rätt att få och lämna ut personuppgifter och andra uppgifter.  
2 §. Förhållande till annan lagstiftning. I 1 och 2 mom. preciseras hur allmänt tillämpliga bestämmelser om behandling av personuppgifter tillämpas på sådan behandling av personuppgifter som avses i lagförslaget och på vilket sätt den behandling av personuppgifter som ingår i tillämpningsområdet för lagförslaget fördelas i förhållande till tillämpningsområdet för dessa allmänna bestämmelser.  
I nuläget tillämpas personuppgiftslagen som allmän lag på Tullens behandling av personuppgifter. Genomförandet av EU:s dataskyddspaket spjälkar dock upp författningsgrunden så att samma rättsakt inte längre kan tillämpas på all behandling av personuppgifter. Dataskyddsförordningen tillämpas som allmän lag på en del av Tullens personuppgiftsbehandling och kompletteras av den nationella dataskyddslagen (RP 9/2018 rd). På den största delen av den behandling av personuppgifter som regleras genom lagförslaget tillämpas dock som allmän lag lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (RP 31/2018 rd, nedan dataskyddslagen avseende brottmål), genom vilken dataskyddsdirektivet genomförs. Den föreslagna lagen om behandling av personuppgifter inom Tullen är en speciallag som kompletterar de allmänna författningarna. 
Dataskyddslagen avseende brottmål ska tillämpas vid sådan behandling av personuppgifter som utförs av de behöriga myndigheter (t.ex. Tullen) som anges i 1 § 1 mom. i lagen när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åtalsprövning och annan åklagarverksamhet som har samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med verksamhet som avses i 1 mom. 1—4 punkten.  
Av bestämmelserna i 2 kap. i lagförslaget hör till tillämpningsområdet för dataskyddslagen avseende brottmål de ändamål med behandlingen av personuppgifter som anges i 5—8 och 11 § samt den behandling av uppgifter om informationskällor som avses i 9 § och behandling av personuppgifter som fåtts vid teknisk övervakning i 12 § när behandlingen är inriktad på de ändamål med behandlingen som föreskrivs i 5—8 §.  
Utanför tillämpningsområdet för dataskyddsförordningen och dataskyddsdirektivet har avgränsats behandling av personuppgifter i samband med sådan verksamhet som inte hör till tillämpningsområdet för unionsrätten. Utanför unionsrätten står bland annat behandling av personuppgifter i samband med uppgifter i anknytning till säkerställande av den nationella säkerheten.  
Paragrafens 1 mom. 2 punkten innehåller en hänvisningsbestämmelse till offentlighetslagen. Enligt skäl 16 till dataskyddsdirektivet påverkar direktivet inte tillämpningen av principen om allmänhetens rätt att få tillgång till allmänna handlingar. Enligt artikel 86 i dataskyddsförordningen får personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter. Då uppgifter lämnas ut ur myndigheters personregister måste offentlighetsprincipen och sekretessbestämmelserna beaktas på det sätt som anges i offentlighetslagen, i synnerhet i 16 § 3 mom.  
Bestämmelser om tystnadsplikt och tystnadsrätt för Tullens personal finns förutom i offentlighetslagen också i 4 kap. i lagen om brottsbekämpning inom Tullen. Bestämmelserna i 4 kap. i lagen om brottsbekämpning inom Tullen ska också i fortsättningen tillämpas på utlämnande av enskilda personuppgifter ur Tullens personregister. I förslaget till lag om behandling av personuppgifter inom Tullen finns bestämmelser om utlämnande av uppgifter med hjälp av en teknisk anslutning eller som en datamängd samt de bestämmelser om utlämnande av personuppgifter till utlandet som behövs för att komplettera den allmänna lagstiftningen.  
Också i artikel 15 i tullkodexen (rådets förordning (EEG) nr 2913/92) föreskrivs det om tystnadsplikt och utlämnande av personuppgifter. Enligt den ska alla upplysningar som är av konfidentiell natur eller som överlämnas på konfidentiell grund omfattas av kravet på tystnadsplikt. De skall inte yppas av tullmyndigheterna utan uttryckligt tillstånd av den person eller den myndighet som överlämnat dem. Utlämnande av upplysningar skall vara tillåtet om tullmyndigheterna är tvungna eller bemyndigade att göra detta enligt gällande bestämmelser, särskilt beträffande dataskydd eller i samband med rättsliga förfaranden. 
Enligt skäl 12 till direktivet får medlemsstaterna åt behöriga myndigheter anförtro andra uppgifter som inte nödvändigtvis utförs för att förebygga, förhindra, utreda, avslöja eller lagföra brott, inklusive att skydda mot och förebygga hot mot den allmänna säkerheten. Behandlingen av personuppgifter för dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas således av tillämpningsområdet för dataskyddsförordningen.  
Paragrafens 2 mom. innehåller en hänvisning till dataskyddsförordningen, som är direkt tillämplig lagstiftning för Tullen. När det gäller de uppgifter som föreskrivs för Tullen i lag, behandlas personuppgifter för att den personuppgiftsansvarige ska kunna uppfylla en i lag föreskriven skyldighet, vilket gör det möjligt att precisera och komplettera dataskyddsförordningen genom nationell lagstiftning. Det nationella handlingsutrymme som dataskyddsförordningen gör möjligt kan utöver för den föreslagna dataskyddslagen (RP 9/2018 rd) också användas för speciallagstiftning. Lagstiftning om personuppgiftsbehandling som gäller Tullens uppgifter och som hör till tillämpningsområdet för dataskyddsförordningen utgörs i fortsättningen av dataskyddsförordningen, den allmänna dataskyddslagen som kompletterar den, den föreslagna lagen om behandling av personuppgifter inom Tullen och övrig speciallagstiftning som gäller Tullen och som innehåller bestämmelser som utgör rättslig grund för personuppgiftsbehandling. 
Av de föreslagna bestämmelserna i 2 kap. i lagförslag 1 hör till dataskyddsförordningens tillämpningsområde de ändamål med behandlingen som föreskrivs i 10 § samt den behandling av uppgifter om informationskällor som avses i 9 § när behandlingen är inriktad på de ändamål som föreskrivs i 11 §. Utöver preciseringarna i fråga om behandlingsändamål, kategorier av personer och typen av uppgifter i 11 § ingår i lagförslaget också andra särskilda bestämmelser som avses i artikel 6, genom vilka tillämpningen av bestämmelserna i dataskyddsförordningen anpassas. Dessa bestämmelser gäller behandling av personuppgifter för andra ändamål än det ursprungliga, utlämnande av uppgifter, lagringstid, tillgodoseende av den registrerades rättigheter och inskränkningar i den registrerades rättigheter.  
Den allmänna författningen som ska tillämpas vid behandling av personuppgifter för ett annat ändamål än det ursprungliga (13 § i lagförslaget) bestäms utifrån för vilket ändamål som avviker från det ursprungliga ändamålet med behandlingen av personuppgifter man har för avsikt att behandla personuppgifterna. Behandling av personuppgifter för andra ändamål än det ursprungliga omfattas av tillämpningsområdet för dataskyddsdirektivets genomförandelagstiftning när det är fråga om de ändamål som föreskrivs i 1 § i dataskyddslagen avseende brottmål.  
I 3 mom. finns ett informativt konstaterande enligt vilket bestämmelser om Tullens informationsinhämtning och befogenheter i anknytning till den utfärdas särskilt. Om Tullens befogenheter att inhämta den information som behövs för att förhindra och avslöja brott föreskrivs det i lagen om brottsbekämpning inom Tullen och om befogenheterna att inhämta den information som behövs för att utreda brott i tvångsmedelslagen (806/2011) och förundersökningslagen (805/2011). Reglering om Tullens befogenheter ingår även i annan speciallagstiftning som gäller Tullen uppgifter. Tullen får dessutom personuppgifter i samband med sina uppgifter på sätt som inte kräver några särskilda befogenheter, som vid observationer i samband med fältverksamhet och sådan observation i det allmänna datanätet som inte riktas mot någon viss person.  
Lagförslagets 3 kap. innehåller också bestämmelser om Tullens rätt att få information. Dessa bestämmelser i 3 kap. preciserar rätten att få information enligt 2 kap. i lagen om brottsbekämpning inom Tullen till de delar det gäller att få uppgifter via en teknisk anslutning eller som en datamängd och kompletterar dem till den del det gäller Tullens övriga uppgifter. 
3 §.Definitioner. I lagen används begrepp som allmänt används i tullverksamheten samt dessutom centrala begrepp inom det internationella informationsutbytet. I paragrafen definieras begreppen tullbrott och skattekontroll, som också definieras i tullagen. Dessutom definieras författningsgrunden för Schengens informationssystem, Schengens informationssystem och Europolförordningen. På behandling av personuppgifter i enlighet med lagförslaget tillämpas till övriga delar definitionerna i dataskyddslagen avseende brottmål och dataskyddsförordningen. 
2 kap. Behandling av personuppgifter
I lagens 2 kap. preciseras de ändamål för vilka Tullen för att utföra sina uppgifter i enlighet med lagens tillämpningsområde får behandla personuppgifter samt det tillåtna datainnehållet för respektive behandlingsändamål. Bestämmelserna om det uppgiftsinnehåll som får behandlas innehåller inte motsvarande detaljerade förteckningar som bestämmelserna om Tullens riksomfattande informationssystem i den gällande lagen om behandling av personuppgifter i polisens verksamhet, utan i bestämmelserna föreskrivs om de uppgiftskategorier som får behandlas. Uppgiftskategoriernas innehåll definieras närmare på basis av ändamålet med behandlingen. Lagstiftningstekniken blir till denna del flexiblare än för närvarande. Bestämmelserna om ändamålen med behandlingen och det tillåtna uppgiftsinnehållet ska alltid tillämpas som en helhet och bestämmelserna gör det inte möjligt att behandla uppgifter som är obehövliga med tanke på ändamålet. 
Bestämmelserna i 11 § om behandling av överskottsinformation som erhållits med hemliga metoder för inhämtande av information och i 12 § om behandling av uppgifter som inte hänför sig till ett visst uppdrag i den gällande lagen om behandling av personuppgifter inom Tullen slopas som onödiga i och med ändringen av regleringstekniken. De uppgifter som avses i de nämnda paragraferna får behandlas då de förutsättningar för behandling som anges i det föreslagna 2 kap., i lagen om brottsbekämpning inom Tullen och i tvångsmedelslagen är uppfyllda. På motsvarande sätt slopas regleringen av Tullens övriga personregister i 7 § i den gällande lagen som obehövlig. Bestämmelserna i 9 § i den gällande lagen om behandling av känsliga uppgifter ersätts med de för ändamålen med behandlingen specifika bestämmelser om datainnehållet i vilka ingår villkoren för behandling av personuppgifter som hör till särskilda kategorier av personuppgifter. 
Det föreslagna 2 kap. innehåller också bestämmelser om behandling av personuppgifter för andra ändamål än det ursprungliga (13 §). Med de här bestämmelserna ersätts bestämmelserna om användning av uppgifter för andra ändamål än dem som uppgifterna har samlats in och registrerats för i 16 § i den gällande lagen. 
4 §.Behandling av grundläggande personuppgifter. I paragrafen ingår en detaljerad förteckning över grundläggande personuppgifter som till behövliga delar får behandlas för de ändamål som föreskrivs i 5, 7 och 9—12 §. Förteckningen över grundläggande uppgifter tillämpas på alla ursprungliga ändamål med behandling av personuppgifter enligt 2 kap. 
De grundläggande uppgifterna enligt förteckningen motsvarar till innehållet huvudsakligen de uppgifter om identitet som får registreras enligt informationssystemet för brottsbekämpning, underrättelseregistret och informationssystemet för tullövervakning i 3—5 § i den gällande lagen. Förteckningen ska enligt förslaget utökas med följande nya punkter: kontaktspråk, fordons registerbeteckning samt intressebevakning, försättande i konkurs och meddelande om näringsförbud. Uppgifter om intressebevakning är som grundläggande uppgift behövlig, eftersom det när Tullen utför förundersökning av tullbrott kan uppstå situationer där till exempel en parts talan i enlighet med 2 kap. 4 § i förundersökningslagen förs av dennes intressebevakare. Uppgifter om försättande i konkurs eller meddelande om näringsförbud behövs till exempel eftersom bland annat Tullen i enlighet med 21 a § 3 mom. i lagen om näringsförbud (1059/1985) i sin verksamhet ska uppmärksamma efterlevnaden av näringsförbud. Utöver dessa får Tullen som grundläggande uppgift behandla fordons registerbeteckning, som är behövlig information för Tullens övervakningsuppgift och den anslutande tullbrottsbekämpningen i fråga om utlandstrafiken. De grundläggande uppgifter som avses i paragrafen får behandlas för alla ändamål med behandlingen som avses i 5, 7 och 9—12 §. 
I 5—11 § om det ursprungliga ändamålet med behandlingen av personuppgifter föreskrivs närmare kriterier för behandling av såväl grundläggande uppgifter som av övriga behövliga personuppgifter.  
5 §.Behandling av personuppgifter inom undersökningsuppdrag. I paragrafen avses behandling i enlighet med dataskyddslagen avseende brottmål av personuppgifter för utredning av tullbrott eller för att föra brott till åtalsprövning. I 1 mom. preciseras de syften för vilka Tullen får behandla personuppgifter som är behövliga för att utföra undersökningsuppgifter. Bestämmelsen omfattar all möjlig utredning som Tullen utför inom brottsbekämpning, inklusive utredning som föregår förundersökning. Även teknisk undersökning som ingår i förundersökning hör till tillämpningsområdet för bestämmelsen. Bestämmelsen ersätter bestämmelserna i den gällande lagen, enligt vilka uppgifter om den som är misstänkt för brott eller den som är föremål för förundersökning, Tullens åtgärder eller tvångsmedel och den som gjort anmälan, den som uppträder som vittne eller målsägande eller den som har något annat samband med ett ärende får registreras i informationssystemet för brottsbekämpning.  
Paragrafen ersätter också i 7 § i den gällande lagen avsedda temporära register inrättade för brottsanalys som behövs för att utreda ett brott eller en brottshelhet. Bestämmelsen kompletteras av bestämmelserna om behandling av personuppgifter för annat ändamål än det ursprungliga i 13 §, enligt vilka uppgifter som samlats in för behandling för andra ändamål med behandlingen i enlighet med 2 kap. får utnyttjas för ändamål som avses i 5 §. Bestämmelserna om temporära analysregister som inrättats för att förhindra eller avslöja ett brott eller en brottshelhet i 7 § i den gällande lagen ingår i fortsättningen i de föreslagna 7 och 8 §.  
I 2 mom. preciseras de persongrupper om vilka uppgifter får behandlas för de ändamål som anges i 1 mom. Med avvikelse från 2 § i den gällande lagen beaktas personer under 15 år som misstänks för brott särskilt. Dessutom nämns personer som har direkt anknytning till Tullens förundersökningar som en egen kategori i förteckningen.  
I 3 mom. finns en ny bestämmelse. Den föreslagna bestämmelsen om bedömning av huruvida uppgifterna är av betydelse är knuten till en regleringsteknik baserad på ändamålet med behandlingen av uppgifterna, som ersätter den registerbaserade regleringen i den gällande lagen om behandling av personuppgifter inom Tullen. I lagen om behandling av personuppgifter inom Tullen föreskrivs i fortsättningen om all behandling av personuppgifter som omfattas av lagens tillämpningsområde för utförande av Tullens uppgifter i stället för att det endast föreskrivs om registrering av uppgifterna i informationssystem som nämns i lagen och om användning av uppgifterna i de namngivna registren.  
Enligt momentet får Tullen behandla sådana personuppgifter som en tullman inom tullbrottsbekämpningen inhämtat eller erhållit i enlighet med lagen om brottsbekämpning inom Tullen också för att bedöma om uppgifterna är av betydelse med tanke på det ändamål med behandlingen som avses i 1 mom. Enligt 1 kap. 2 § 6 punkten i lagen om brottsbekämpning inom Tullen avses med en tullman inom brottsbekämpningen tullmän som tjänstgör inom Tullens brottsbekämpning och andra tullmän när dessa utför tullbrottsbekämpningsuppgifter. 
I momentet är det fråga om behandling av personuppgifter i fall där Tullen fått dem i samband med brottsbekämpningsuppdrag där personuppgifterna inte direkt har samband med det aktuella, enskilda uppdraget. Ett syfte med bestämmelsen är att klargöra nuläget i de fall där personuppgifter som Tullen fått i samband med utförda uppgifter ska behandlas med hjälp av automatisk databehandling för bedömning av deras innehåll och betydelse.  
Enligt skäl 18 till dataskyddsdirektivet bör skyddet för fysiska personer vara teknikneutralt och inte vara beroende av den teknik som används för att förhindra att det uppstår en allvarlig risk för att reglerna kringgås. Skyddet av fysiska personer ska också gälla automatisk databehandling av personuppgifter samt sådan manuell behandling av personuppgifter som utgör en del av ett register eller som är avsedda att utgöra en del av ett register.  
Utöver bestämmelserna om automatisk behandling av personuppgifter i fråga om registrering, användning och utlämnande av personuppgifter i den gällande lagen om behandling av personuppgifter inom Tullen regleras även de åtgärder som utförs innan uppgifter registreras i Tullens informationssystem. Den gällande lagen om behandling av personuppgifter inom Tullen innehåller inte bestämmelser som gäller detta skede av personuppgiftsbehandlingen, varför till exempel den maximala bevaringstiden för personuppgifterna avgörs från fall till fall av den personuppgiftsansvarige. Bestämmelsen om bedömning av huruvida uppgifterna är av betydelse för med sig att behovsbedömningen blir en del av tillämpningsområdet för lagen om behandling av personuppgifter inom Tullen. Samtidigt föreslås en enhetlig bevaringstid på sex månader för personuppgifter som behandlas för bedömning av deras betydelse. Den maximala bevaringstiden på sex månader för information från teknisk övervakning bestäms utifrån den ursprungliga registreringstidpunkten för uppgifterna så att uppgifterna ska raderas senast sex månader efter den ursprungliga tidpunkten när de samlades in.  
Förutom att klarlägga nuläget innebär 3 mom. också en utvidgning av Tullens nuvarande behandling av personuppgifter. Bestämmelsen möjliggör med avvikelse från den gällande lagen att personuppgifterna registreras i ett särskilt personregister för utredning av om villkoren i 5 och 6 § uppfylls för behandlingen av uppgifterna. Personuppgifter får inte behandlas för undersökningsändamål om det är oklart om kriterierna för behandling av personuppgifter enligt 5 och 6 § uppfylls. Personuppgifter som fåtts i samband med Tullens brottsbekämpningsuppdrag får dock behandlas under högst sex månader för bedömning av om de kan ha betydelse med tanke på de ändamål som föreskrivs i 5 §. Personuppgifter som är uppenbart betydelselösa med tanke på Tullens utredningsuppgifter ska raderas omedelbart och får inte registreras eller behandlas på annat sätt med stöd av 3 mom.  
Tullens verksamhetsbetingelser förändras hela tiden. De sätt på vilka Tullen traditionellt har bedömt om uppgifter har betydelse erbjuder inte tillräckliga möjligheter till behandling av de uppgifter som behövs för brottsanalyser i den nuvarande digitala verksamhetsmiljön. För att analysverksamheten ska kunna utvecklas systematiskt krävs en möjlighet att med hjälp av modern teknik bedöma om uppgifterna är av betydelse. De uppgifter som behandlas med stöd av momentet kan också vara bildmaterial eller text från offentliga källor, till exempel från internet och myndigheternas offentliga register, där det kan ingå också stora mängder information om personer vilkas betydelse är oklar i registreringsögonblicket.  
Uppgifter får med stöd av 3 mom. också jämföras med personuppgifter som redan registrerats i Tullens egna informationssystem samt i system i sambruk inom brottsbekämpningen för att klargöra om kriterierna för behandling av uppgifterna enligt 5 och 6 § uppfylls. En förutsättning för behandlingen är emellertid att uppgifterna har inhämtats eller annars fåtts i samband med Tullens brottsbekämpningsuppdrag med stöd av befogenheter någon annanstans i lag. Tullen får därför inte med stöd av 3 mom. inhämta sådana uppgifter som den inte skulle ha tillgång till med stöd av befogenheter någon annanstans i lag att inhämta information. 
Dataskyddslagstiftningen förutsätter att personuppgifter inte behandlas i onödan. I 3 mom. föreskrivs det att behövligheten gällande uppgifter som fåtts i samband med utförandet av brottsbekämpningsuppdrag får bedömas för att säkerställa att uppgifterna är av betydelse innan de behandlas under en längre tid. I momentets sista mening betonas kravet i 6 § i dataskyddslagen avseende brottmål enligt vilket obehövliga uppgifter ska utplånas utan obefogat dröjsmål. Kravet kompletteras av den tidsgräns på sex månader inom vilken bedömningen av om personuppgifterna är betydelsefulla ska ske.  
Åtkomsten till de personuppgifter som avses i momentet begränsas i enlighet med kraven i den allmänna lagstiftningen via Tullens förvaltning av användarrättigheter till endast dem vars arbetsuppgifter innefattar sådan bedömning av uppgifternas betydelse som avses i bestämmelserna. Behandlingen av uppgifter ska liksom andra behandlingsändamål omfattas av de skyldigheter som gäller styrningen av behandlingen, tillsynen och skyddet av personuppgifter. Behandlingen omfattas också av alla de skyldigheter som ålagts den personuppgiftsansvarige i lagen, till exempel skyldigheten att sörja för dataskyddet för uppgifter som hör till särskilda kategorier av personuppgifter till de delar som det behandlade materialet innehåller sådana uppgifter. Den personuppgiftsansvarige ska också bevara logguppgifterna om behandlingen i enlighet med kraven i 19 § i dataskyddslagen avseende brottmål. De logguppgifter som gäller läsning och utlämnande ska göra det möjligt att utreda grund, datum och tidpunkt för läsning och utlämnande och i möjligaste mån vem som har läst eller lämnat ut personuppgifterna samt mottagarnas identitet. Logguppgifterna får användas för att kontrollera om behandlingen är lagenlig, för intern kontroll, för att säkerställa personuppgifternas integritet och säkerhet samt inom ramen för straffrättsliga förfaranden. 
Den personuppgiftsansvarige ska i enlighet med kraven i 8 § i dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. 
6 §. Innehållet i personuppgifter som behandlas inom undersökningsuppdrag. I paragrafen preciseras de personuppgifter som utöver de grundläggande personuppgifter som avses i 4 § får behandlas för de ändamål som föreskrivs i 5 §. Till innehållet motsvarar uppgifterna i huvudsak de uppgifter som enligt 3 § i den gällande lagen om behandling av personuppgifter inom Tullen får registreras informationssystemet för brottsbekämpning samt de uppgifter om efterlysningar av personer, fordon och egendom, den säkerhetsinformation och de signalementsuppgifter som Tullen registrerar för polisens registerföring i enlighet med 2 § och 14 § 1 mom. 2 punkten i den gällande lagen om behandling av personuppgifter i polisens verksamhet.  
Enligt 1 punkten får behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Tullens uppgifter, åtgärder och händelser behandlas. Med en händelse avses en helhet av ärenden som ingår i Tullens i lag föreskrivna uppgiftsområde och på vilken kan följa myndighetsförpliktelser, såsom utredningsskyldighet (t.ex. göra en hotbedömning i anknytning till ett hot) eller skyldighet att vidta en åtgärd (t.ex. skyldighet att utföra förundersökning). En händelse kan också uppkomma till följd av Tullens verksamhet på eget initiativ (t.ex. övervakningstillfällen och övervakningsplaner i anknytning till dem). Med uppgift avses en prestation i anslutning till en händelse som anknyter till Tullens i lag föreskrivna uppgiftsområde (t.ex. ett övervakningsuppdrag eller förundersökning). Till samma händelse kan hänföra sig flera uppgifter. En åtgärd är en del av en uppgift och den är riktad mot ett visst objekt, till exempel en fysisk person, en juridisk person, ett föremål, ett ämne eller egendom. Till en viss uppgift kan det höra flera olika åtgärder och olika nivåer av utövande av offentlig makt, såsom tvångsmedel riktade mot en person (gripande, anhållande, reseförbud och häktning) eller efterlysning av personer, fordon och egendom. 
Sådana behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Tullens uppgifter, åtgärder och händelser som avses i 1 punkten inbegriper särskilt 1) uppgifter om en anmälan om brott eller en anmälan om någon annan händelse, 2) uppgifter om övervakningsuppgifter, 3) uppgifter om tvångsmedel, en tullmans åtgärder och olika faser i förundersökningen, 4) uppgifter som beskriver klassificeringen av gärningsmannen, händelsen eller gärningen samt uppgifter som behövs för sammanlänkning och teknisk undersökning av brott, 5) uppgifter om tillvägagångssätt och metoder som har använts eller kan användas vid förberedelse till brott eller vid brott, 6) uppgifter om de myndigheter som behandlar ett ärende och de identifieringsuppgifter för ett ärende som dessa använder samt 7) uppgifter om ett brott som fåtts av eller genom en person, och vid behov deras koppling till andra personer. Tullen får med stöd av 1 punkten även behandla uppgifter om den rätta identiteten för en person som har missbrukat identitet och för den vars identitet har missbrukats. 
Sådana signalementsuppgifter som behövs för fastställande av identiteten som avses i 2 punkten och som registreras i informationssystemet för polisärenden inbegriper 1) uppgifter om efterlysningar av personer, dvs. fotografier, fingeravtryck och särskilda oföränderliga fysiska kännetecken, för att påträffa bland annat personer som är efterlysta eller som har meddelats nationellt inreseförbud och 2) signalementsuppgifter såsom fotografier, finger-, hand- och fotavtryck samt handstils-, röst- och luktprov samt DNA-profiler för att identifiera personer som misstänks för brott, utreda brott och registrera gärningsmän. Avsikten är inte att genom propositionen ändra på nuläget när det gäller ansvaret för registerföringen. Bestämmelser om Tullens befogenheter att samla in de uppgifter som avses i punkten finns annanstans i lag, t.ex. i tullagen, tvångsmedelslagen och lagen om brottsbekämpning inom Tullen. Bestämmelserna berättigar därmed inte till behandling av uppgifterna i större omfattning än befogenhetsregleringen medger. 
Behandlingen av sådana biometriska och genetiska uppgifter som gäller särskilda kategorier av personuppgifter och som avses i 11 § i dataskyddslagen avseende brottmål begränsas på det sätt som krävs enligt dataskyddsdirektivet och dataskyddslagen avseende brottmål endast till behandling av nödvändiga uppgifter. Med biometriska uppgifter avses på motsvarande sätt som i artikel 3.13 i dataskyddsdirektivet och 3 § 13 punkten i dataskyddslagen avseende brottmål personuppgifter som tagits fram genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter. Således hör till exempel ansiktsbilder till de biometriska uppgifterna endast när de tagits fram genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken. 
Till de uppgifter som avses i 2 punkten hör också identifieringsuppgifter för utlänningar, i vilka ingår fingeravtryck, fotografier och andra signalement i enlighet med 131 § i utlänningslagen (301/2004). Identifieringsuppgifter ska liksom nu få behandlas vid utförandet av de uppgifter som föreskrivs för Tullen i 31 § i tullagen, dvs. en tullman har rätt att genomföra in- eller utresekontroller med de befogenheter som föreskrivs för gränsbevakare i 28, 28 a och 36 § (samt 38 §) i gränsbevakningslagen (578/2005). Dessutom får Tullen använda bilder och ljud som genererats vid teknisk övervakning vid ett gränsövergångsställe enligt vad som föreskrivs om detta i fråga om Gränsbevakningsväsendet i 31 § i gränsbevakningslagen. Identifieringsuppgifterna får behandlas endast i fråga om de personkategorier som avses i 131 § i utlänningslagen. 
I 3 punkten finns bestämmelser om behandling av s.k. säkerhetsinformation. Punkten förblir oförändrad i fråga om sakinnehållet, men de säkerhetsuppgifter som Tullen behandlar överförs från polisens registerföring till Tullens registerföring. Uppgifter som hör till särskilda kategorier av personuppgifter får behandlas endast när det är nödvändigt med tanke på ändamålet med behandlingen. Exempelvis är behandling av uppgifter om en persons hälsa nödvändigt för att trygga säkerheten för målpersonen vid utförandet av en undersökningsuppgift bland annat då det finns misstanke om smuggling av narkotika i tarmen. Inom ramen för säkerhetsinformation får Tullen dessutom behandla även sådana uppgifter om ett objekts eller en persons farlighet eller oberäknelighet som inte hör till de särskilda kategorierna av personuppgifter, liksom uppgifter som beskriver eller vars syfte är att beskriva en brottslig gärning, ett straff eller någon annan påföljd för ett brott. 
I 4 punkten beaktas separat identifieringsuppgift om avgörande av åklagare eller domstol och uppgift om någon har dömts till straff, om det fattats beslut om åtalseftergift eller domseftergift, om ett åtal förkastats, lämnats därhän eller avskrivits samt uppgift om ett avgörandes laga kraft. Punkten ersätter 3 § 3 mom. 1 punkten underpunkt a i den gällande lagen. 
I den föreslagna 11 § i dataskyddslagen avseende brottmål föreskrivs i enlighet med kraven i dataskyddsdirektivet om en högre behandlingströskel för personuppgifter som hör till särskilda kategorier av personuppgifter. Uppgifter som hör till särskilda kategorier av personuppgifter och som ingår i de uppgifter som avses i 1—4 punkten får behandlas endast om det är nödvändigt med tanke på ändamålet med behandlingen. Uppgifter som hör till särskilda kategorier av personuppgifter ingår utöver i signalementsuppgifter som behövs för fastställande av identitet i 2 punkten särskilt i de säkerhetsuppgifter som avses i 3 punkten. 
7 §.Behandling av personuppgifter för förebyggande eller avslöjande av brott. I paragrafen avses behandling i enlighet med dataskyddsdirektivet och dataskyddslagen avseende brottmål av personuppgifter för förebyggande eller avslöjande av brott eller skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med förbyggande eller avslöjande av brott.  
Enligt 1 mom. får Tullen behandla personuppgifter som anknyter till utförandet av en uppgift i anknytning till förebyggande eller avslöjande av tullbrott. Genom denna paragraf ersätts bestämmelsen om underrättelseregistret i den gällande lagen. Genom paragrafen ersätts även bestämmelsen om de temporära register för brottsanalys som avses i 7 § i den gällande lagen, som inrättats för att användas av en eller flera av Tullens verksamhetsenheter och vars syfte är att förhindra eller avslöja enskilda brott eller helheter som består av flera brott.  
Med förhindrande av tullbrott avses enligt lagen om brottsbekämpning inom Tullen åtgärder som syftar till att förhindra tullbrott, försök till tullbrott och förberedelse till tullbrott, eller till att avbryta ett redan påbörjat tullbrott eller begränsa den direkta skada eller fara som brottet medför. Med avslöjande av tullbrott avses åtgärder som syftar till att klarlägga om det för inledande av förundersökning finns en i 3 kap. 3 § 1 mom. i förundersökningslagen avsedd grund. Med utredning av tullbrott avses förundersökning av tullbrott. 
Intresset vid behandlingen av uppgifter som sker för att förebygga eller avslöja brott är underrättelsemässigt. Uppgifter behandlas i syfte att rikta in Tullens brottsförebyggande verksamhet, men även mera allmänt för att upptäcka förändringar i säkerhetsmiljön, med målet att förebygga brott och upprätthålla säkerheten. Det centrala målet med det underrättelsemässiga intresset för uppgifterna är att få en bättre förståelse för att kunna kontrollera de situationsfaktorer som rör säkerhets- och verksamhetsmiljön. Inom underrättelseverksamheten är intresset för uppgifterna främst fokuserat på inriktning av verksamheten, medan motsvarande tyngdpunkt vid undersökningar ligger på uppgifternas straffprocessuella användningssyfte (bevisningssyfte för att trygga enskilda straffprocesser). 
För att man ska kunna förutse händelseförlopp, upprätthålla lägesuppfattningen och identifiera svaga signaler och fenomen kräver den nödvändiga analysen att datalager utnyttjas på ett mångsidigt sätt och att information som fås från flera olika källor kopplas samman och bearbetas. De utmaningar som hör samman med verksamhetsmiljön och de ökande datamängderna förutsätter också att behandlingen av uppgifterna automatiseras allt mer bland annat genom utnyttjande av analysprogram. Bestämmelsen kompletteras till denna del av bestämmelsen om behandling av personuppgifter för annat ändamål än det ursprungliga i 13 §, enligt vilken uppgifter som samlats in för andra ändamål med behandlingen i enlighet med 2 kap. får utnyttjas för sådana ändamål med behandlingen som avses i 7 §.  
I skäl 27 till direktivet har beaktats att om behöriga myndigheter ska kunna förebygga, förhindra, utreda och lagföra brott är det nödvändigt att de behandlar personuppgifter som insamlats inom ramen för förebyggande, förhindrande, utredning och lagföring av specifika brott i ett bredare sammanhang för att utveckla förståelsen för kriminell verksamhet och göra kopplingar mellan olika upptäckta brott. Vid behandling av personuppgifter med syfte att förebygga eller avslöja brott ska också beaktas principen om ändamålsbegränsning samt de övriga kraven på lagenlighet och proportionalitet som ställs i direktivet och dataskyddslagen avseende brottmål. 
I 2 mom. föreskrivs det om de persongrupper vilkas personuppgifter i huvudsak får behandlas för det ändamål med behandlingen som det föreskrivs om i 1 mom. Vid utformningen av den föreslagna paragrafen har uppmärksamhet fästs vid förvaltningsutskottets påpekanden om polisens register över misstänkta. Paragrafens förteckning över persongrupper som får behandlas för de ändamål som avses i paragrafen är uttömmande. Det fastställs särskilda behandlingskriterier för registrering i registret och för annan behandling av personuppgifter som gäller de här persongrupperna. När det gäller andra personer än sådana som antas ha anknytning till egentlig brottslig verksamhet får personuppgifterna behandlas endast när det är nödvändigt för att utföra ett uppdrag.  
Den föreslagna 7 § ersätter utöver underrättelseregistret också i 7 § i den gällande lagen avsedda tillfälliga register för brottsanalys, vars syfte är att förhindra eller avslöja ett brott eller en brottshelhet som består av flera brott. I den gällande lagen om behandling av personuppgifter inom Tullen föreskrivs inte om personkategorier vars personuppgifter får registreras i tillfälliga register för brottsanalys. Till denna del förtydligar 2 mom. nuläget och där preciseras de personkategorier som får behandlas för brottsanalys. 
I momentet föreslås att behandlingströskeln ska vara knuten till uttrycket ”med fog kan antas”. Uttrycket beskriver en behandlingströskel som är ändamålsenlig med tanke på kriminalunderrättelseverksamheten och som är lägre än tröskeln för att inleda en förundersökning. Med uttrycket ”med fog kan antas ha gjort sig eller göra sig skyldig” hänvisas till en situation där man har fått tips om att ett brott redan har inträffat, men att tröskeln ”skäl att misstänka” för inledande av förundersökning ännu inte har nåtts, dvs. ett brott som planeras och pågår och kriminalunderrättelser inhämtas för att förhindra brottet. I momentet avses personer med en koppling till förmodad brottslig verksamhet, men där alla personers roll i ärendet inte nödvändigtvis är klar.  
Till den persongrupp som avses i 1 punkten hör förutom de förmodade gärningsmännen också andra delaktiga enligt den straffrättsliga delaktighetsläran, dvs. medhjälpare, anstiftare och medgärningsmän.  
I momentet föreslås en, jämfört med den gällande lagen, ny kompletterande bestämmelse om en personkategori som anknyter till brott som gäller personer som medverkar till eller främjar brott. I 2 punkten föreskrivs om personer som har kontakt med en i 1 punkten avsedd person eller påträffas i dennes sällskap, och kontakten eller sammanträffandena på grund av att de har upprepats, omständigheterna eller personens beteende kan antas ha samband med ett tullbrott. I artikel 6 i dataskyddsdirektivet föreskrivs om åtskillnad mellan olika kategorier av registrerade. I artikel 6 d nämns personer med kontakter eller band till de aktuella personerna. De här personerna ska anknyta till personer avseende vilka det finns tungt vägande skäl att anta att de har begått eller är på väg att begå ett brott eller personer som dömts för brott.  
Betydelsen av förhållandet för en person som är i kontakt med en person som är på väg att begå ett brott ska bedömas redan när det vid en brottsanalys upptäcks flera kontakter mellan personerna, av vilka den ena är en person i enlighet med 1 punkten och den andra inte är det. Det kan finnas en naturlig förklaring till att det finns en sådan relation, till exempel ett kundförhållande. I 2 punkten avses personer genom vilka det med tanke på analysen går att få betydelsefulla uppgifter om sådana personer som avses i 1 punkten. I bestämmelsen förutsätts det emellertid att även denna kategori av personer ska ha en koppling till ett förmodat brott, med beaktande av kriminalunderrättelseinhämtningens eventuella konsekvenser för personernas ställning och rättssäkerhet. Därmed är enbart ett antagande eller det faktum att sammanträffandena skett upprepade gånger inte tillräckligt för att överskrida tröskeln för att få registrera uppgifterna i registret. 
I 3 punkten avses personer som är föremål för observation i enlighet med 3 kap. 9 § i lagen om brottsbekämpning inom Tullen i fråga om ett uppdrag som gäller att förebygga eller avslöja brott. Med observation avses i enlighet med 3 kap. 9 § 1 mom. i lagen om brottsbekämpning inom Tullen iakttagande av en viss person i hemlighet i syfte att inhämta information. Till i punkten avsedda personer hör sådana personer som är föremål för observation, vars uppgifter det inte är möjligt att behandla med stöd av 1—2 punkten. 
I 3 mom. föreskrivs det om sådana kategorier av personer som inte i första hand är personer som är föremål för Tullens kriminalunderrättelseinhämtning. De här persongrupperna utgörs av brottsoffer eller den som uppträder som målsägande och de som anmält ett brott och vittnen till ett brott. Med vittnen avses i detta moment inte nödvändigtvis personer som redan åberopats som vittnen i en straffprocess. För behandlingen av personuppgifter i fråga om dessa kategorier ställs särskilda skyddsgarantier. Behandlingen av personuppgifter som gäller dessa kategorier av personer får inte gå längre än vad som är nödvändigt för att nå målet, t.ex. att förebygga ett brott. I tullbrott är i huvudsak staten målsägande. Andra brottsoffer är i praktiken enbart varumärkesinnehavare, som kan vara fysiska personer, men som i de flesta fall är juridiska personer.  
I 4 mom. föreskrivs det om inledande av behandling av personuppgifter i anknytning till en brottsanalys som behövs för förebyggande eller avslöjande av tullbrott. Med brottsanalys avses planmässig och systematisk behandling av information som inhämtats med hjälp av metoder för inhämtande av information eller som fåtts från en annan informationskälla för att upptäcka likheter och olikheter mellan brott eller brottsfenomen i syfte att förutse och förhindra brott i framtiden. En effektiv brottsanalys är en nödvändig förutsättning för planmässig och systematisk brottsbekämpning.  
Enligt 7 § i den gällande lagen beslutar Tullens bevakningsavdelning om inrättandet av underrättelseregister och den verksamhetsenhet vid Tullen som ansvarar för verksamheten om inrättandet av temporära analysregister. Enligt propositionen kan ett i 4 mom. avsett beslut fattas av chefen för Tullens brottsbekämpning, som i praktiken är chefen för Tullens bevakningsavdelning, eller av en av denne till uppgiften förordnad chef för en verksamhetsenhet inom Tullens brottsbekämpning. Beslutet ska fattas skriftligt. Om inledande av kriminalunderrättelseinhämtning görs i Tullens personregister en anmälan om underrättelseärende som motsvarar en undersökningsanmälan i brottmål. I den gällande lagen finns inga bestämmelser om inledande av en sådan behandling av personuppgifter i form av en underrättelsepromemoria som inte leder till inrättandet av ett personregister. Till denna del medför bestämmelsen i princip inga ändringar i det gällande rättsläget.  
I 5 mom. föreskrivs det om behandlingen av uppgifter om observationer. Bestämmelsen motsvarar i sak 3 § 3 mom. 2 punkten i den gällande lagen. Observationsuppgifter kan omfatta uppgifter om sådant som observerats av tullmän eller som rapporterats till Tullen och som gäller händelser eller personer som utifrån omständigheterna, hot som en person framfört eller en persons beteende i övrigt kan bedömas ha koppling till kriminell verksamhet. Det är fråga om uppgifter som en tullman inhämtar när denne observerar sin omgivning eller uppgifter som en utomstående har lämnat till Tullen. Tullen kan till exempel få anonyma tips om personer som beter sig misstänkt eller om misstänkt verksamhet, som i sig inte nödvändigtvis behöver vara lagstridig. I kombination med andra faktorer eller omständigheter kan uppgifterna om observationerna dock ge signaler om brottslig verksamhet. Genom analys av informationen strävar man efter att förhindra, avslöja och utreda brott och planer som gäller brott samt att identifiera gärningsmännen.  
I 6 mom. föreskrivs, på motsvarande sätt som i 5 § 3 mom., om Tullens rätt att behandla personuppgifter för bedömning av om uppgifterna är av betydelse med tanke på ändamålet med behandlingen enligt 7 §. 
Bestämmelser om informationssäkerhet finns i 32 § i dataskyddslagen avseende brottmål. Enligt 5 punkten i den paragrafen har den personuppgiftsansvarige skyldighet säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till personuppgifter som omfattas av deras behörighet. Behörigheten till de informationssystem som används av Tullen fastställs på basis av arbetsuppgifterna. 
Den personuppgiftsansvarige ska i enlighet med kraven i 8 § i dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. 
8 §.Innehållet i personuppgifter som anknyter till förbyggande eller avslöjande av brott. I 1 mom. preciseras de personuppgifter som utöver de grundläggande personuppgifter som avses i 4 § får behandlas för de ändamål som föreskrivs i 7 §.  
Sådana behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Tullens uppgifter, åtgärder och händelser som avses i 1 punkten inbegriper särskilt uppgifter om arbetsuppgifter som gäller underrättelseinhämtning och förebyggande verksamhet, uppgifter om informationsinhämtningsmetoder som använts, uppgifter om Tullens åtgärder och ett ärendes behandlingsfaser, uppgifter om ett brott som fåtts av eller genom en person, och vid behov deras koppling till andra personer. Liknande bestämmelser har, när det gäller förebyggande eller avslöjande verksamhet, tidigare delvis funnits i 4 § i den gällande lagen om behandling av personuppgifter inom Tullen. Bestämmelserna lämnar rum för tolkning, vilket i någon mån har lett till ett otydligt rättsläge. Syftet med punkten är att skapa klarhet i det nuvarande rättsläget. Med tanke på Tullens behov, laglighetsövervakningen och övervakningen av de registrerades rättigheter är det viktigt att händelser beskrivs tillräckligt noggrant och att arbetsuppgifter och åtgärder som ansluter sig till dem specificeras och därför måste man kunna registrera dem på ett entydigt sätt. Genom dokumentering av verksamheten säkerställs både objektets rättsskydd och Tullens förmåga att utföra sina uppgifter. Nertecknad information får också utnyttjas för att rikta verksamheten inom Tullens brottsbekämpning på ett ändamålsenligt sätt i enlighet med den föreslagna 13 § 1 mom. 9 punkten. 
Innehållet i 2 punkten är i praktiken omfattande och med stöd av denna punkt får Tullen behandla behövliga uppgifter som gäller en persons verksamhet och beteende. Sådana uppgifter kan gälla exempelvis en persons kontakter, levnadsvanor, ekonomiska situation, fritidsintressen och andra intressen till den del de behövs med tanke på förebyggandet och utredningen av tullbrott.  
De signalementsuppgifter som avses i 3 punkten gäller bland annat en persons längd, vikt och ögonfärg. Signalementsuppgifterna innefattar bland annat också tatueringar eller andra yttre signalement, som ärr och födelsemärken. Dessutom innefattar punkten också biometriska uppgifter såsom finger-, hand- och fotavtryck, ansiktsbild, röst-, lukt och handstilsprov samt fysiskt DNA-prov och den digitala eller någon annan DNA-profil som bestämts utifrån provet. Behandlingen av biometriska uppgifter som hör till särskilda kategorier av personuppgifter är begränsad till endast behandling av nödvändiga uppgifter. Med tanke på rättssäkerheten för Tullen och den som ska registreras är det nödvändigt att en tullman på ett tillförlitligt sätt kan säkerställa identiteten för den som ska registreras. Signalementsuppgifter om en person behövs för att det ska gå att identifiera en person på ett tillförlitligt sätt och de kan också vara de enda individualiserings- och identifieringsuppgifterna om en person. Exempelvis är en bild av en person ofta en mera tillförlitlig identifieringsuppgift än det namn som personen använder. Förslaget ändrar inte det gällande rättsläget, utan innefattar närmast de preciseringar som krävs för EU:s reform av referensramen för dataskyddet. Utgångspunkten är att Tullen i enlighet med nuvarande praxis ska registrera signalement, i synnerhet fingeravtryck och DNA-uppgifter, för polisens registerföring också i fortsättningen. 
I momentets punkt 4 föreskrivs om behandling av s.k. säkerhetsuppgifter på motsvarande sätt som i den föreslagna 6 § 3 punkten.  
I 11 § i dataskyddslagen avseende brottmål föreskrivs i enlighet med kraven i dataskyddsdirektivet om en högre behandlingströskel för personuppgifter som hör till särskilda kategorier av personuppgifter. Uppgifter som hör till särskilda kategorier av personuppgifter och som ingår i de uppgifter som avses i 1—4 punkten får behandlas endast om det är nödvändigt med tanke på ändamålet med behandlingen. Uppgifter som hör till särskilda kategorier av personuppgifter ingår utöver i de signalementsuppgifter som behövs för fastställande av identiteten och som avses i 1 mom. 3 punkten dessutom i synnerhet i de säkerhetsuppgifter som avses i 4 punkten. 
I 2 mom. föreskrivs det om skyldigheten att om möjligt foga en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet till personuppgifterna. I praktiken är det fråga om ett etablerat förfarande där Tullen bedömer hur tillförlitliga uppgifterna är. Genom bestämmelsen beaktas kravet i artikel 7.1 i dataskyddsdirektivet på att personuppgifter som grundar sig på fakta så långt det är möjligt ska åtskiljas från personuppgifter som grundar sig på personliga bedömningar. Genom bestämmelsen stöds kravet i artikel 7.2 på att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Tullen ska också i den mån det är praktiskt möjligt kontrollera kvaliteten på personuppgifterna innan dessa lämnas ut eller görs tillgängliga. 
9 §.Behandling av uppgifter om informationskällor. I paragrafen föreslås bestämmelser om behandling av uppgifter om informationskällor. I 40 § i lagen om brottsbekämpning inom Tullen föreskrivs det att uppgifter om en informationskälla får registreras i ett personregister. Verksamheten med informationskällor och den styrda användningen av informationskällor skiljer sig emellertid från de flesta av bestämmelserna om informationsinhämtning i 3 kap. i lagen om brottsbekämpning inom Tullen på så sätt att de inhämtade uppgifterna kan vara av betydelse för skötseln av alla typer av uppgifter inom den tullbrottsbekämpning som föreskrivits för Tullen.  
Enligt 39 § i lagen om brottsbekämpning inom Tullen avses med användning av informationskällor annat än sporadiskt konfidentiellt mottagande av information av betydelse för skötseln av uppgifter som gäller bekämpning av tullbrott och som föreskrivs för Tullen i lag, av personer som inte hör till tullmyndigheten eller någon annan förundersökningsmyndighet. Enligt 2 mom. i samma paragraf får Tullen be att en för ändamålet godkänd informationskälla som har lämpliga personliga egenskaper och är registrerad och har samtyckt till inhämtandet av information inhämtar information som avses i 1 mom.  
I paragrafen klargörs ställningen för de uppgifter som informationskällan lämnat som uppgifter om en informationskälla. Bestämmelsen gör det också möjligt att med tanke på hur informationskällan har använts och tillsynen behandla uppgifter som rör bekräftandet av de behövliga uppgifter som en källa lämnat. Till sådana uppgifter hör till exempel uppgifter i olika system som behandlats för att bekräfta identiteten hos någon som anmälts av källan.  
I paragrafen föreslås en hänvisning också till tvångsmedelslagen, där det i 10 kap. 39 § finns bestämmelser om användning av informationskällor för utredning av brott. Ytterligare bestämmelser om registreringen och övervakningen av informationskällor finns i 13 § 2 mom. och 14 § i statsrådets förordning om förundersökning, tvångsmedel och hemligt inhämtande av information (122/2014).  
Uppgifter som hör till särskilda kategorier av personuppgifter får behandlas endast när det är nödvändigt med tanke på ändamålet med behandlingen. 
10 §.Behandling av personuppgifter vid tullövervakning och skattekontroll. I paragrafen föreskrivs om behandling av personuppgifter vid den tullövervakning och skattekontroll som Tullen ska utföra. Paragrafen motsvarar till sitt innehåll i huvudsak bestämmelserna om informationssystemet för tullövervakning i 5 § i den gällande lagen om behandling av personuppgifter i Tullens verksamhet och avviker från den gällande regleringen på grund av det ändamålsbaserade regleringssättet i denna proposition. Personuppgifter som behandlas vid tullövervakning och skattekontroll omfattas av tillämpningsområdet för dataskyddsförordningen. Behandlingen av uppgifterna uppfyller villkoren enligt artikel 6.2 i dataskyddsförordningen, enligt vilken nationell kompletterande lagstiftning är nödvändig exempelvis i situationer där behandlingen av personuppgifter grundar sig på den personuppgiftsansvariges lagstadgade skyldighet eller där behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller för den personuppgiftsansvariges myndighetsutövning. Dessutom är enligt grundlagsutskottets ställningstagande (GrUU 14/2018 rd) mer detaljerade bestämmelser motiverade i synnerhet vid behandling av personuppgifter av denna art som innebär större risk för fysiska personers rättigheter och friheter samt ytterligare eftersom det kan gälla också känsliga personuppgifter.  
Tullövervakning innefattar övervakning av efterlevnaden av alla lagar och bestämmelser vars verkställande Tullen ansvarar för. Typiska tullövervakningsåtgärder är olika kontroller av varor, handlingar, fordon och lager som ofta grundar sig på uppgifter som lämnats till Tullen eller som Tullen redan har. Syftet med den övervakning av förbud och begränsningar som ingår i tullövervakningsuppgifterna är utöver tullbeskattning och tullsäkerhet också att förhindra och avslöja tullbrott. Genom tullövervakningsåtgärder förhindras och avslöjas också tullbrott, trots att det inte sker till exempel med hjälp av kriminalunderrättelseinhämtning utan genom administrativa befogenheter i enlighet med tullagen. Skattekontroll definieras i 3 § 2 punkten i denna lag. Med skattekontroll avses utförande av en övervakningsuppgift som gäller ett visst skatteslag och som särskilt föreskrivits för Tullen. För Tullen har sådana övervakningsuppgifter föreskrivits i fråga om skatter på varor som uppbärs av Skatteförvaltningen. 
I 1 mom. föreskrivs att Tullen får behandla sådana personuppgifter som behövs för tullövervakningen och skattekontrollen som gäller anmälningar och annan information som lämnats till Tullen med stöd av lag i enlighet med 1 punkten, som gäller tullövervaknings- och skattekontrollåtgärder som vidtagits och fortsatta åtgärder som framförts på basis av dem. Enligt 2 mom. får utöver vad som föreskrivs i 1 mom. behandlingen omfatta identifieringsuppgifter om en utredningsbegäran eller anmälan om brott som gjorts på basis av en inspektion eller om ett yrkande eller avgörande som avses i lagen om föreläggande av böter och ordningsbot (754/2010) i enlighet med 1 punkten och uppgifter som gäller riktande av tullövervakning och skattekontroll i enlighet med 2 punkten.  
Informationssystemet för tullövervakning enligt 5 § i den gällande lagen effektiviserar tullövervakningen och skattekontrollen och säkerställer för sin del att tullar, skatter och avgifter är korrekta, att varors import- och exportrestriktioner iakttas samt att andra tullåtgärder riktas korrekt. Med hjälp av systemet genomförs också den riskanalys som görs med hjälp av elektronisk databehandlingsteknik som avses i artikel 13.2 i EU:s tullkodex och som andra tullkontroller än slumpvisa kontroller enligt unionens tullagstiftning ska baseras på. Systemet har gjort kontrollverksamheten snabbare och mer enhetlig och den har förbättrat utnyttjandet av kontrollresultaten samt Tullens samverkan med andra myndigheter och intressentgrupper.  
Med stöd av den föreslagna 10 § behandlas personuppgifter behövliga för att utföra tullövervakning och skattekontroll. Paragrafens 1 mom. 1 punkten motsvarar gällande lag. Med tanke på 1 punkten får Tullen behandla personuppgifter när den tar emot anmälningar och annan information, när den registrerar uppgifterna i systemet och utför riskanalys utifrån de mottagna och registrerade uppgifterna. Med stöd av 1 mom. 1 punkten behandlas uppgifter i anmälningar och meddelanden i Tullens operativa system samt andra uppgifter som fåtts med stöd av lag eller förordning. Som exempel på den sistnämnda gruppen kan nämnas uppgifter som ansluter till granskningsuppdrag i anknytning till Europeiska garantifonden för jordbruket (EUGFJ) samt till import- och exportbegränsningar.  
Paragrafens 1 mom. 2 punkt motsvarar bestämmelsen i den gällande lagen. Enligt 2 punkten får Tullen behandla behövliga personuppgifter i anknytning till tullövervaknings- och skattekontrollåtgärder som vidtagits och fortsatta åtgärder som framförts på basis av dem. Det finns en allmän riskanalysfunktion för behandling av uppgifter om uppgifter vid tullövervakning och skattekontroll, genom vilken uppgifter samlas in och analyseras för identifiering av eventuella risker och val av kontrollobjekt. Utifrån resultatet av uppgiftsanalyserna kan riskfaktorer, riskprofiler och riskregler ställas in genom vilka det för manuell behandling görs urval ur de elektroniska anmälningarna och meddelandena. I anknytning till behandlingen av uppgifter enligt 1 mom. 2 punkten kan resultatet av en riskanalys eventuellt utmynna i ett kontrolluppdrag, genom vilket granskningsåtgärder och rapportering styrs, samt i en granskningsrapport om utförd granskning. Granskningsrapporten innehåller närmare uppgifter om de tullåtgärder som vidtagits och fortsatta åtgärder som framförts på basis av dem, till exempel efterbeskattning eller återbäring. Andra fortsatta åtgärder på basis av tullövervakning är till exempel återkrav av stöd, felavgift, återkallande av tillstånd, skaffande av ny handling, upphävande av tulldeklaration, returnering av vara eller överlåtelse till staten för destruktion, anvisningar, användningsförbud eller ny kontroll. Med stöd av 1 mom. 2 punkten behandlas personuppgifter också vid tullkontroller, medräknat kroppsvisitation och kroppsbesiktning. På begäran ska ett intyg utfärdas till den som är föremål för dessa åtgärder. Personuppgifter som behandlas vid tullövervakning och skattekontroll används också vid objektval och inom brottsbekämpningen.  
Paragrafens 2 mom. 1 punkt motsvarar bestämmelsen i den gällande lagen. Tullövervakning kan i vissa fall, där man upptäcker överträdelser av bestämmelserna, också leda till framförande av begäran om undersökning, anmälan om brott, böter eller ordningsbot. I dessa fall behöver Tullen behandla identifieringsuppgifterna för dessa åtgärder. Registreringen av framförda eller redan genomförda fortsatta åtgärder är viktig med tanke på utvecklandet av tullövervakningen eftersom det på så sätt är möjligt att utvärdera hur framgångsrikt tullövervakningens val av objekt har varit och om det finns behov av att precisera eller ändra objektvalskriterierna för att förbättra noggrannheten i fråga om objektvalen. Behandlingen av personuppgifter inom tullövervakning och skattekontroll omfattar också arkivering och distribution av kontrollrapporter.  
Paragrafens 2 mom. 2 punkt är ny. De i punkten avsedda uppgifterna som gäller riktande av tullövervakning och skattekontroll gäller inte egentliga observationsuppgifter, om vilka det finns en egen bestämmelse i 7 § 4 mom. Genom 2 punkten ges däremot en möjlighet att anteckna till exempel en persons rörelser via oändamålsenliga inreseställen eller andra omständigheter, som är till hjälp vid inriktningen av kontroller på rätt objekt i enlighet med den tillåtna profileringen. 
11 §. Behandling av personuppgifter i Tullens övriga lagstadgade uppgifter. I paragrafen föreskrivs om Tullens rätt att behandla i 4 § avsedda personuppgifter för gränskontrolluppgifter, utförande av handräckningsuppdrag samt upprätthållande av ordningen och säkerheten i förvaringslokaler. Den behandling av personuppgifter i Tullens övriga lagstadgade uppgifter som avses i paragrafen omfattas av tillämpningsområdet för dataskyddsförordningen. 
Enligt 31 § i tullagen har en tullman rätt att genomföra in- eller utresekontroller med de befogenheter som föreskrivs för gränsbevakare i 28, 28 a, 36 och 38 § i gränsbevakningslagen. Uppgifter om in- eller utresekontroller registreras i enlighet med etablerad praxis i Gränsbevakningsväsendets personregister. Bestämmelser om handräckning finns i 100 § i tullagen och enligt den paragrafen kan Tullen inom ramen för sina befogenheter på begäran ge andra myndigheter handräckning för fullgörande av dessa myndigheters lagstadgade tillsynsskyldighet.  
I 2 kap. 12 § i lagen om brottsbekämpning inom Tullen föreskrivs det om bemötande av personer som berövats sin frihet och som hålls i förvar hos Tullen. Enligt paragrafen ska, med de undantag som föreskrivs i 3 mom., lagen om behandling av personer i förvar hos polisen (841/2006) och häktningslagen (768/2005) iakttas i fråga om bemötandet av anhållna och gripna som hålls i förvar hos Tullen. Tullen har också fastställt ordningsstadgor för de förvaringslokaler som myndigheten administrerar. I paragrafen föreskrivs det också om behandling av personuppgifter i anknytning till dessa lagstadgade uppgifter för Tullen som gäller upprätthållande av ordningen och säkerheten i förvaringslokaler.  
I detta lagförslag finns inte särskilda raderingsbestämmelser som gäller behandlingen av personuppgifter i Tullens övriga lagstadgade uppgifter. Uppgifter om personer som direkt anknyter till handräckningsuppgifter raderas med stöd av 26 § i detta lagförslag. Personuppgifter som anknyter till in- och utresekontroller och upprätthållande av ordning och säkerhet i förvaringslokaler raderas med stöd av 17.1 a i dataskyddsförordningen då personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.  
12 §.Behandling av personuppgifter som erhållits genom teknisk övervakning. I paragrafen föreskrivs om Tullens rätt att behandla i 4 § avsedda personuppgifter som har erhållits genom teknisk övervakning, också biometriska uppgifter, för att övervaka att tullagstiftningen och annan lagstiftning som Tullens tillsynsbefogenhet omfattar iakttas och för identifiering av personer i enlighet med 28 § i tullagen. Till denna del omfattas den behandling av personuppgifter som avses i paragrafen av tillämpningsområdet för dataskyddsförordningen. Dessutom har Tullen rätt att behandla personuppgifter även vid automatisk ansiktsidentifiering för en åtgärd i anknytning till förebyggande, utredning eller avslöjande av brott eller till att föra brott till åtalsprövning eller för användning av tvångsmedel. Till den del som ansiktsbilder behandlas i den nämnda avsikten omfattas behandlingen av tillämpningsområdet för dataskyddsdirektivet.  
Enligt 5 kap. 28 § 1 mom. i tullagen avses med teknisk övervakning fortlöpande eller upprepat iakttagande eller fortlöpande eller upprepad avlyssning av fordon, fordonsförare, föremål, fotgängare eller allmänheten med hjälp av en teknisk anordning samt automatisk upptagning av ljud eller bild. På gränsövergångsställen på Finlands riksgräns samt i passagerarterminaler, på hamnområden avsedda för godstrafik, i lagerlokaler avsedda för godstrafik och på andra liknande ställen och i liknande utrymmen som Tullen får övervaka har Tullen enligt 2 mom. i samma paragraf rätt att, efter att på förhand ha meddelat om detta, företa teknisk övervakning för att övervaka att tullagstiftningen och annan lagstiftning vars efterlevnad Tullen ska övervaka iakttas. 
Med automatisk ansiktsidentifiering avses mätning av biometriska identifieringspunkter och deras relativa storlek och avstånd i en form som förstås av en dator. När det gäller ansiktsidentifiering kan man inte endast prata om modellering av ansiktsdrag och att presentera detta som jämförbar data, utan i identifieringen kan också andra faktorer än individuella mätpunkter i ett ansikte inbegripas (nässpetsen, munnens mätpunkter), såsom till exempel mätning av mittpunkten för axlarna och huvudet. På en allmän nivå kan man säga att det relativa avståndet mellan individuella punkter för närvarande utgör det normala teknologiska sättet att identifiera och utifrån identifieringen skapa jämförbar data som kan användas av en dator. Utöver mätning av fästpunkterna och bedömning av deras relativitet finns ansiktsidentifiering som utnyttjar 3d-modellering. I denna teknologi modelleras hela ansiktet och från modelleringen beräknas utifrån till exempel mätpunkterna i ansiktet en individuell form.  
I den gällande lagen föreskrivs om uppgifter som fåtts från teknisk övervakning endast i 6 § som gäller systemet för identifiering av registreringsskyltar och containrar (nedan Lipre). Systemet är ett permanent för Tullens riksomfattande bruk avsett register som förs med hjälp av automatisk databehandling där identifieringsuppgifter som fåtts genom teknisk övervakning vid gränsövergångsställena vid Finlands riksgränser samt bilder på fordon och containrar som tagits i samband med teknisk övervakning registreras. I och med förslaget utvidgas Lipre-systemets användningsändamål till att gälla inte endast att förhindra och utreda brott samt föra dessa brott till åtalsprövning, såsom nu, utan även tullövervakning och skattekontroll. I praktiken kommer systemet i och med utvidgningen även att kunna utnyttjas för övervakning av att bestämmelserna om import- och exportrestriktioner samt beskattnings- och tullförfaranden iakttas. Ändringen bidrar till att förebygga tullbrott och gör dessutom övervakningen av efterlevnaden av bestämmelserna smidigare med hjälp av automation.  
Lipre-systemet är också avsett att användas polisen och Gränsbevakningsväsendet. Rätten för dessa myndigheter att använda systemet grundar sig på 17 § i den gällande lagen. Enligt 1 mom. 5 och 6 punkten i den paragrafen får personuppgifter ur Tullens personregister lämnas ut till polisen och Gränsbevakningsväsendet även genom en teknisk anslutning för de användningsändamål som närmare anges i paragrafen. Förslaget innebär ingen förändring i polisens och Gränsbevakningsväsendets möjligheter att använda uppgifter i systemet och bestämmelser om detta finns i 18 § 1 mom. 1 punkten i lagförslaget.  
Även om den gällande lagen om behandling av personuppgifter inom Tullen innehåller bestämmelser om flera olika register, dvs. platser där uppgifter registreras, anges det, förutom när det gäller systemet för identifiering av registreringsskyltar och containrar, emellertid inte i den lagen eller någon annanstans i lag i vilket registermaterial som upptagits med stöd av 28 § i tullagen får registreras. 
Vid teknisk övervakning av personer inhämtas det i allmänhet material av vilket det framgår uppgifter som hör till sådana särskilda kategorier av personuppgifter som avses i artikel 10 i direktivet. Sådana uppgifter är enligt artikel 3.13 åtminstone ansiktsbilder, som kan möjliggöra eller bekräfta identifieringen av en fysisk person. När det gäller behandlingen av sådana personuppgifter ställs i artikel 10 särskilda krav om att den för det första ska vara absolut nödvändig och att det ska finnas lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. För det andra ska behandlingen vara tillåten enligt unionsrätten eller medlemsstatens lagstiftning. 
För att övervaka att tullagstiftningen och andra bestämmelser som faller inom Tullens behörighet följs är det nödvändigt att man i upptagningarna från den tekniska övervakningen genom automatisk behandling kan identifiera till exempel personer som misstänks för tullbrott eller som på annat sätt har handlat i strid med de bestämmelser som Tullen ska övervaka. Genom den bestämmelse som ger rätt till detta som föreslås i lagen om behandling av personuppgifter inom Tullen blir det möjligt att nå det mål för den tekniska övervakningen som avses i 28 § i tullagen. Konsekvensen av automatisk ansiktsidentifiering för de grundläggande fri- och rättigheterna är till exempel att den som blir föremål för en åtgärd med stor säkerhet är rätt person. 
De krav som artikel 10 i direktivet ställer i fråga om skyddsåtgärder för den registrerades rättigheter och friheter uppfylls redan med det att Tullens tekniska övervakning enligt 28 § 2 mom. i tullagen endast får bedrivas på avgränsade platser. Enligt bestämmelsen får teknisk övervakning bedrivas på gränsövergångsställen på Finlands riksgräns samt i passagerarterminaler, på hamnområden avsedda för godstrafik, i lagerlokaler avsedda för godstrafik och på andra liknande ställen och i liknande utrymmen som Tullen får övervaka. Skyddsåtgärderna för de registrerade främjas också av att det på förhand måste meddelas om den tekniska övervakningen. 
De skyddsåtgärder för registrerade som anges i artikel 10 i direktivet säkerställs framför allt av att förvaringstiden för de upptagningar från den tekniska övervakningen som innehåller ansiktsbilder som kan identifieras är högst sex månader. Om det inte finns grund för att behandla dessa uppgifter, till exempel för undersökning eller underrättelseinhämtning, ska de raderas inom sex månader efter att de har konstaterats vara onödiga. Detta förfarande tillämpas också när exempelvis uppgifter om fordons registreringsskyltar som upptagits i samband med teknisk övervakning i enlighet med i 22 § i den gällande lagen får bevaras ett år efter utgången av det år då uppgiften registrerades.  
13 §.Behandling av personuppgifter för andra ändamål än det ursprungliga. I 13 § föreskrivs om behandlingen av uppgifter som avses i 5—12 § för något annat är ändamål med behandlingen än det ursprungliga. Genom 13 § ersätts i huvudsak bestämmelserna i 16 § 1 och 2 mom. i den gällande lagen, men bestämmelserna utvidgas och preciseras till vissa delar.  
I 1 mom. räknas de ändamål upp för vilka Tullen får behandla personuppgifter som samlats in för ett annat ändamål med behandlingen än det ursprungliga. Enligt 1 mom. får Tullen behandla uppgifter för att förebygga eller avslöja tullbrott. Behandling av uppgifter i syfte att förebygga brott är tillåten även med stöd av det gällande 16 § 1 mom., men behandlingen är begränsad till förhindrandet av brott som kan leda till fängelse.  
Momentets 2 punkt motsvarar till sitt sakinnehåll den gällande lagen. Behandling av personuppgifter för att utreda ett brott är enligt 2 punkten möjlig, på samma sätt som i 16 § 1 mom. 3 punkten i den gällande lagen, endast när det är fråga om ett brott på vilket kan följa fängelse. 
Jämfört med gällande lag är 3 och 4 punkten nya. I 3 punkten föreskrivs det om behandling av personuppgifter för att påträffa en efterlyst. Någon definition av en efterlysning finns inte i lagen. Enligt motiveringen till 3 § som gäller gripande av en efterlyst i polislagen avses med en efterlysning som utfärdas av polisen ett meddelande som är baserat på en behörig polismyndighets beslut och som med hjälp av polisens personregister delges myndigheterna med begäran om information som behövs för att påträffa en viss person. Syftet med efterlysningen är att få den i efterlysningen specificerade tjänsteåtgärden inriktad på den eftersökta personen eller på egendom som är i hans eller hennes besittning. (RP 224/2010 rd, s. 76). Behandling av personuppgifter för andra ändamål än det ursprungliga kan behövas för att påträffa en efterlyst. Efterlysningen bör kunna lämnas för kännedom till alla de aktörer som eventuellt kan komma i kontakt med den efterlysta. 
Momentets 5 punkt motsvarar delvis till sitt innehåll 16 § 1 mom. 2 punkten i den gällande lagen, men i stället för avvärjande av en omedelbart förestående allvarlig fara som hotar den allmänna säkerheten föreskrivs det om förhindrande av betydande fara för någons liv, hälsa eller frihet. Till skillnad från tidigare innehåller punkten som grund för behandlingen också förhindrande av betydande miljö-, egendoms- eller förmögenhetsskada.  
Momentets 6 punkt motsvarar till sitt innehåll 16 § 1 mom. 1 punkten i den gällande lagen, men ordalydelsen ändras så att den motsvarar den terminologi som används i dataskyddslagen avseende brottmål och i övrigt i lagstiftningen. Med momentets 7 punkt ersätts 16 § 1 mom. 4 punkten i den gällande lagen. Punkterna 8—10 innehåller nya bestämmelser. Genom 8 punkten möjliggörs användning av personuppgifter för handräckningsuppdrag, genom 9 punkten för att rikta Tullens brottsbekämpningsverksamhet och genom 10 punkten för Tullens indrivningsuppdrag.  
De behandlingsändamål som anges i de föreslagna 1, 4, 5 och 9 punkterna motsvarar till innehållet bestämmelserna om behandling av överskottsinformation som fåtts med hjälp av hemliga metoder för inhämtande av information och tvångsmedel i 3 kap. 53 § 4 och 5 mom. i lagen om brottsbekämpning inom Tullen och 10 kap. 56 § 4 och 5 mom. i tvångsmedelslagen. Enligt lagen om brottsbekämpning inom Tullen och tvångsmedelslagen får överskottsinformation alltid användas för förhindrande av tullbrott, för inriktning av Tullens brottsbekämpningsverksamhet och som en utredning som stöder det att någon är oskyldig. Överskottsinformation får också användas för förhindrande av betydande fara för någons liv, hälsa eller frihet eller betydande miljö-, egendoms- eller förmögenhetsskada. Med användning av uppgifter för inriktning av Tullens brottsbekämpningsverksamhet avses i den föreslagna 9 punkten även indirekt användning av uppgifter på ett sådant sätt att informationen inte används som bevis eller grund för användning av en informationsinhämtningsmetod. Uppgifter kan användas för att rikta in Tullens brottsbekämpningsverksamhet till exempel när det gäller förhindrande eller avslöjande av brott, analysverksamhet, utredning av tröskeln för inledande av förundersökning eller inriktande av förundersökningen (RP 224/2010 rd, s. 139). 
Paragrafens 2 mom. motsvarar i huvudsak 16 § 1 mom. 5 punkten i den gällande lagen. Enligt dataskyddsförordningens artikel 6.1 c och 6.3 krävs att grunderna för behandling i anknytning till tillståndsärenden ska fastställas genom lag. Det finns behov av att få uppgifter i anknytning till tillståndsärenden, också när en lagstadgad uppgift kräver det, av de ansvariga personerna hos den som ansöker om eller innehar ett tillstånd. Av denna orsak har paragrafen kompletterats med uppgifter om de ansvariga personerna hos den som ansöker om eller innehar ett tillstånd. Unionens tullkodex (EU) nr 952/2013, artikel 39 a utgör grunden för Tullens skyldighet att behandla personuppgifter och kommissionens genomförandeförordning (EU) 2015/2447, artikel 24 förutsätter analys av de ansvariga personernas brottslighet. 
I 3 mom. föreskrivs om behandling av personuppgifter för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål. I 3 mom. beaktas även med dessa jämförbara behov för Tullen att behandla personuppgifter för laglighetsövervakning, analys, planering och utveckling. Personuppgifter får också på motsvarande sätt som för närvarande användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. Det föreslagna momentet motsvarar 16 § 2 mom. om laglighetsövervakning samt planerings-, utvecklings- och utbildningsverksamhet i den gällande lagen. Det är viktigt att man håller kvar denna bestämmelse, och att man även beaktar behovet av att stärka en behörig övervakning av Tullens informationssystem. För tydlighetens skull föreslås i momentet en ny punkt om analysverksamhet, som till sin karaktär är jämförbar med den planerings- och utvecklingsverksamhet som avses i 16 § 2 mom. i den gällande lagen. Med analysverksamhet som stöder en informationsstyrd verksamhet hos Tullen avses i synnerhet sådan strategisk analys som utförs i syfte att upprätthålla en lägesbild över brottsligheten och förutse hotbilder inom brottsligheten, vilket förutsätter möjlighet att utnyttja också de personuppgifter som Tullen har. När det gäller de ändamål med behandlingen som avses i momentet är det inte fråga om utförande av enskilda uppdrag vid Tullen, utan om ett mer allmänt behov av att behandla personuppgifter för vissa ändamål. 
3 kap. Rätt att få uppgifter
14 §.Tullens rätt att få uppgifter ur vissa register och informationssystem. Det föreslås att bestämmelserna i 1 mom. i huvudsak ska ingå i den form de lyder i 13 § i Tullens gällande personuppgiftslag, med undantag av vissa preciseringar och ändringar som föreslås i författningshänvisningarna. I 1 mom. har 15 punkten i den gällande lagen strukits. Den punkten gäller rätten att få uppgifter ur Ålands fritidsbåtsregister, vilket hör till landskapet Ålands behörighet. Strykningen av denna punkt grundar sig på grundlagsutskottets utlåtande GrUU 2/2018 rd, enligt vilket det inte genom en rikslag går att föreskriva om rätten för en riksmyndighet att få uppgifter som gäller ett ärende som hör till landskapet Ålands behörighet. Det krävs i stället en landskapslag eller en överenskommelseförordning. I momentet föreslås en ny 19 punkt med bestämmelser om Tullens rätt att få uppgifter ur Lantmäteriverkets bostadsdatasystem och fastighetsdatasystem. Genom tillägget beaktas Tullens behov av att för att förhindra, förebygga och utreda brott få uppgifter ur bostadsdatasystemet, som föreslås i lagen om ett bostadsdatasystem (RP 127/2018 rd). Bestämmelsen kompletterar dessutom bestämmelsen om Lantmäteriverkets rätt med hjälp av en teknisk anslutning lämna ut uppgifter ur fastighetsdatasystemet till förundersökningsmyndigheter i 6 § i lagen om ett fastighetsdatasystem och anslutande informationstjänster (453/2002).  
Paragrafens 1 mom. 1 punkten som gäller uppgifter om passagerare motsvarar 13 § 1 mom. 1 punkten i den gällande lagen, vilken kompletterar Tullens rätt att i enskilda fall få uppgifter om passagerare i syfte att förhindra, avslöja eller utreda brott. Rätten att få i punkten avsedda uppgifter om passagerare genom en teknisk anslutning eller som en datamängd gäller alla trafikidkare oberoende av trafikslag. Sådana registeruppgifter som avses i momentet spelar en central roll när det ska göras en riskanalys som ska användas exempelvis vid bekämpningen av tullbrott. Även vid förundersökningen av tullbrott är det ofta viktigt att få information ur dessa register. Uppgifter som fåtts med stöd av denna punkt får bevaras hos Tullen endast den korta tid som krävs för behandlingen av uppgifterna, och efter det ska uppgifterna raderas. För att behandlingen av uppgifter om passagerare ska få fortsätta krävs det framöver att de villkor för behandling som anges i 2 kap. uppfylls.  
I 1 punkten om uppgifter som gäller passagerare föreslås det för tydlighetens skull en hänvisning till den föreslagna lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet (RP 55/2018 rd), där det föreskrivs om Tullens rätt att få uppgifter ur flygtrafikens passagerarregister. PNR-direktivet och dess föreslagna genomförandelag begränsar inte en sådan rätt att få information eller behandling av uppgifter som grundar sig på annan lagstiftning och inte heller utbytet av uppgifter om passagerare i utrikestrafiken, utan ålägger lufttrafikföretagen en preciserad skyldighet att lämna ut information. 
I 4 punkten föreslås att uppgifter om anmälningar och meddelanden som gäller näringsidkare ur handelsregistret ska kunna användas i en större omfattning än enligt den gällande lagen, dvs. också för tillståndsprövning. Tullen behöver uppgifterna till exempel för att utreda solvensen för den som ansöker om tillstånd. Dessa uppgifter i handelsregistret är offentliga. I och med den föreslagna ändringen får Tullen uppgifterna också för tillståndsprövning genom en teknisk anslutning och avgiftsfritt. 
En sak som talar för att man bör hålla kvar den rätt att få uppgifter som avses i 1 mom. i den form som föreslås är bland annat behovet av att bevara Tullens rätt enligt 13 § i den gällande lagen att få uppgifter avgiftsfritt. Bestämmelser om att få uppgifter avgiftsfritt ingår i regel inte i bestämmelserna om lämnande av uppgifter. Bestämmelser om avgiftsfrihet finns i 2 mom. i den föreslagna paragrafen. Enligt den har Tullen rätt att få de uppgifter som avses i 1 mom. avgiftsfritt, om inte något annat bestäms i lag. Bestämmelser om avgiftsbelagda och avgiftsfria informationstjänster i fråga om till exempel befolkningsdatasystemet finns i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009), nedan befolkningsdatalagen, samt i finansministeriets förordning om avgifterna för Befolkningsregistercentralens prestationer åren 2017 och 2018 (1396/2018). I 72 § befolkningsdatalagen föreskrivs att för prestationer och tjänster som en registerförvaltningsmyndighet tillhandahåller med stöd av befolkningsdatalagen ska myndigheten ta ut avgifter i enlighet med vad som bestäms eller föreskrivs särskilt. Ett slopande av den sammanställande regleringen om Tullens rätt att få information har till vissa delar bedömts som en problematisk lösning ur ett lagtekniskt perspektiv även med anledning av att det inte skulle vara möjligt att ta med en bestämmelse om utlämnande av information som motsvarar rätten att få uppgifter i någon av de gällande speciallagarna. En annan omständighet som stöder ett bevarande av bestämmelserna är möjligheten enligt 13 § i den gällande lagen att i vissa situationer förena rätten att få uppgifter med vite. Bestämmelser om vite finns i den föreslagna 15 §. Det är dock möjligt att en del av rätten att få information kan slopas i samband med senare projekt, om regleringen ses över på nytt till exempel i samband med att de föreslagna mer omfattande ändringarna av regleringen om informationshanteringen inom den offentliga förvaltningen genomförs (t.ex. projekt VM183:00/2017).  
I 3 mom. åläggs Tullen skyldighet att ge den personuppgiftsansvarige som lämnat ut personuppgifter information om hur de uppgifter som Tullen fått kommer att behandlas. Med undantag för den ändrade formuleringen motsvarar bestämmelsen till denna del 13 § 4 mom. i den gällande lagen. I paragrafen ingår emellertid inte den skyldighet som ålagts Tullen i 13 § 4 mom. i den gällande lagen att kontrollera huruvida de uppgifter som tagits emot behövs, om personuppgifter har lämnats ut utan begäran. Det föreskrivs om den personuppgiftsansvariges skyldighet att behandla endast adekvata och behövliga personuppgifter samt om skyldigheten att obehövliga personuppgifter ska raderas utan obefogat dröjsmål i dataskyddsförordningen och dataskyddslagen avseende brottmål. 
Med stöd av sin rätt att få uppgifter får Tullen med tanke på ändamålen med behandlingen enligt 2 kap. vid behov genom automatisk jämförelse klarlägga behovet av de personuppgifter som Tullen fått. Obehövliga uppgifter ska på det sätt som avses i 6 § i den föreslagna dataskyddslagen avseende brottmål raderas utan obefogat dröjsmål. 
Den föreslagna 14 § medför inte ovillkorlig rätt för Tullen att få de i momentet avsedda uppgifterna, utan vid förverkligandet av rätten att få information ska också andra villkor för utlämnande av uppgifter som föreskrivs någon annanstans i lag beaktas.  
15 §. Uppgifter som andra myndigheter lämnar ut till Tullen genom registrering vid direkt anslutning eller för registrering som en datamängd. I paragrafen föreskrivs om utlämnande av personuppgifter till Tullen genom direkt anslutning eller som en datamängd. Förteckningen i 1 mom. motsvarar i huvudsak förteckningen i 14 § 1 mom. i den gällande lagen. Med polisen i 1 mom. 2 punkten avses också skyddspolisen. I momentet införs en ny 3 punkt, enligt vilken Försvarsmakten får lämna ut uppgifter som behövs för att förhindra, avslöja och utreda tullbrott samt för att skydda den nationella säkerheten. Dessutom fogas ytterligare en ny 5 punkt till momentet, enligt vilken även Forststyrelsens jakt- och fiskeövervakare får lämna ut uppgifter till Tullen när det gäller sådana behövliga uppgifter om vidtagna åtgärder som registrerats vid jakt- och fiskeövervakning som hör till deras behörighet.  
I 2 mom. åläggs i överensstämmelse med 14 § en skyldighet att ge den personuppgiftsansvarige som lämnat personuppgifterna information om behandlingen av uppgifterna. Momentet motsvarar till denna del med undantag för den ändrade formuleringen 14 § 2 mom. i den gällande lagen. I paragrafen ingår emellertid inte den skyldighet som ålagts Tullen i 14 § 2 mom. i den gällande lagen att kontrollera huruvida de uppgifter som tagits emot behövs, om personuppgifter har lämnats ut utan begäran. Bestämmelser om den personuppgiftsansvariges skyldighet att behandla enbart adekvata och behövliga personuppgifter samt skyldighet att radera obehövliga personuppgifter utan obefogat dröjsmål finns i dataskyddsförordningen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. 
16 §. Vite. Den föreslagna 16 § motsvarar 31 § i den gällande lagen. Tullen ska enligt 14 § 1 mom. 1 punkten ha rätt att ur samfunds och sammanslutningars register få behövliga uppgifter om passagerare och fordons personal samt fordon och varor som transporteras för förhindrande, avslöjande och utredning av tullbrott, för överlämnande till åtalsprövning samt för att nå efterlysta personer. För att tullbrottsbekämpningen i fråga om passagerare och varor i utrikestrafiken ska vara framgångsrik är det viktigt att få uppgifter och att få dem i rätt tid. På grund av praktiska svårigheter som ibland uppstår då uppgifter ska fås av trafikidkarna behöver man i överensstämmelse med den gällande lagen vid behov kunna förena Tullens begäran om att få uppgifter med vite och förelägga och utdöma vite i enlighet med paragrafen. Enligt den föreslagna 14 § 1 mom. 8 punkten ska Tullen ha rätt att av dem som utövar inkvarteringsverksamhet och av polisen få sådana uppgifter som avses i 6 § 1 mom. i lagen om inkvarterings- och förplägnadsverksamhet och som behövs för tullbrottsbekämpning. Vite ska kunna föreläggas sådana samfund och sammanslutningar som avses i 14 § 1 mom. 1 punkten eller sådana utövare av inkvarteringsverksamhet som avses i momentets 8 punkt som vägrar lämna ut sådana uppgifter som avses i paragrafen och som Tullen har begärt eller som utan grund försvårar åtkomsten till sådana uppgifter. Enligt 8 punkten kan Tullen få dessa uppgifter även av polisen. 
Bestämmelser om vite tillämpas inte på passageraruppgifter som avses i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet (RP 55/2018 rd). För brott mot skyldigheten att överföra PNR-uppgifter påförs en påföljdsavgift i enlighet med bestämmelserna i den föreslagna lagen. 
17 §. Behandling av personuppgifter som fåtts från en tredje stat eller en internationell organisation eller myndighet. Bestämmelsen motsvarar delvis 27 § i den gällande lagen. Det föreslås dock att 27 § 3—5 mom. i den gällande lagen slopas som obehövliga, eftersom regleringen i dem ingår i dataskyddslagen avseende brottmål. Den föreslagna 17 § gäller enbart behandling av personuppgifter som fåtts från en tredje stat eller en internationell organisation eller myndighet.  
I 1 mom. föreskrivs, på samma sätt som i 27 § 1 mom. i den gällande lagen, om sekretess och tystnadsplikt samt om skyldighet att iaktta de begränsningar i fråga om användningen av personuppgifterna som den som lämnat ut uppgifterna ställt. Momentet innehåller en huvudregel vars syfte är att säkerställa förtroendet i det internationella samarbetet. I 2 mom. föreskrivs det om möjligheten att använda mottagna personuppgifter för andra ändamål med behandlingen än det ursprungliga när det inte ställts några sådana begränsningar som avses i 1 mom. Den strängare bestämmelsen om användningen av uppgifter för andra ändamål med behandlingen än det ursprungliga i 27 § 2 mom. i den gällande lagen grundar sig på EU:s upphävda dataskyddsrambeslut och gäller behandlingen av alla personuppgifter som fåtts från andra stater eller internationella organ, även personuppgifter som fåtts från andra EU-stater. Det föreslås att momentet justeras så att personuppgifter som fåtts från en tredje stat eller en internationell organisation eller myndighet får behandlas för andra ändamål med behandlingen än det ursprungliga under de förutsättningar som föreslås i 13 § 1 mom. På behandlingen av personuppgifter som fåtts från en annan EU-stat i situationer som avses i 27 § 2 mom. i den gällande lagen tillämpas i framtiden dataskyddslagen avseende brottmål.  
4 kap. Utlämnande av personuppgifter
Kapitlet innehåller bestämmelser om utlämnande av personuppgifter genom en teknisk anslutning eller som en datamängd till andra myndigheter och om utlämnande av uppgifter via det allmänna datanätet. Kapitlet innehåller även bestämmelser som ansluter sig till internationellt informationsbyte.  
Till den del det är fråga om behandling som hör till tillämpningsområdet för dataskyddsdirektivet och direktivets genomförandelag tillämpas 7 kap. i dataskyddslagen avseende brottmål på utlämnande av personuppgifter till tredjeländer och internationella organisationer. Det föreslagna 4 kap. innehåller de behövliga kompletterande bestämmelserna om utlämnandet av uppgifter till tredjeländer och internationella organisationer. I kapitlet ska även föreskrivas om utlämnandet av uppgifter till brottsbekämpande myndigheter i Europeiska unionens medlemsstater. Därtill ska det i kapitlet på samma sätt som i gällande lag tas hänsyn till de informationssystem inom EU som används av brottsbekämpande myndigheter. Jämfört med den gällande lagen om behandling av personuppgifter inom Tullen föreslås det inga betydande ändringar i innehållet i bestämmelserna om utlämnande av personuppgifter i anslutning till internationellt samarbete mellan tullmyndigheterna.  
Det föreslagna 4 kap. innehåller också bestämmelser om utlämnande av personuppgifter inom tillämpningsområdet för dataskyddsförordningen. Till den här delen är det i regleringen fråga om särskilda bestämmelser som avses i artikel 6 i förordningen, med vilka tillämpningsområdet för bestämmelserna i förordningen anpassas. De särskilda bestämmelserna kan enligt artikel 6 gälla också utlämnandet av personuppgifter. 
Enligt bestämmelserna i 4 kap. får personuppgifter lämnas ut trots sekretessbestämmelser. Vid utlämnande av uppgifter ska man dock i alla situationer beakta bestämmelserna om skyddet av personuppgifter. När det gäller utlämnande av personuppgifter i enskilda fall (på annat sätt än genom en teknisk anslutning eller som en datamängd) tillämpas som nu sekretessbestämmelserna i 4 kap. i lagen om brottsbekämpning inom Tullen samt kompletterande lagstiftningen om personuppgifter när det gäller utlämnande av personuppgifter till tredjeland eller internationella organisationer. 
18 §.Utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål. I paragrafen föreskrivs om utlämnande av personuppgifter till behöriga myndigheter som avses i dataskyddslagen avseende brottmål för ändamål som hör till nämnda lags tillämpningsområde. Dataskyddslagen avseende brottmål ska tillämpas enligt 1 § 1 mom. i den lagen när polisen, åklagarna, de allmänna domstolarna, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter behandlar personuppgifter, då det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åklagarverksamhet i samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av brott mot den allmänna säkerheten i samband med annan verksamhet som avses i 1 § 1 mom.  
Lagen ska tillämpas utifrån den nationella lösningen i enlighet med dess 1 § 2 mom. också när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten.  
I paragrafen föreskrivs om utlämnande av personuppgifter till polisen och Gränsbevakningsväsendet för ändamål med behandlingen som gäller att förebygga, avslöja och utreda brott samt föra brott till åtalsprövning på det sätt som avses i 1 § 1 mom. i direktivets genomförandelag. Bestämmelsen gör det också möjligt att lämna ut personuppgifter till polisen och Gränsbevakningsväsendet i situationer som avses i 1 § 2 mom. i dataskyddslagen avseende brottmål. På motsvarande sätt får personuppgifter lämnas ut också till Försvarsmakten samt för ändamål med behandlingen som avses både i 1 § 1 mom. och i 2 mom. i direktivets genomförandelag. 
I momentet beaktas även andra behöriga myndigheter inom tillämpningsområdet för dataskyddslagen avseende brottmål. I fråga om dessa myndigheter får personuppgifter lämnas ut för ändamål som föreskrivs i 1 § 1 mom. i dataskyddslagen avseende brottmål. Till denna del motsvarar bestämmelserna om lämnande av uppgifter i huvudsak 17 § 11, 12 och 14 punkten i den gällande lagen.  
Personuppgifter får lämnas ut genom en teknisk anslutning eller som en datamängd till de myndigheter som avses i paragrafen. I de situationer som avses i paragrafen är utlämning av uppgifter genom en teknisk anslutning i praktiken huvudregel. Bestämmelsen är ny och mer allmänt formulerad än den gällande lagen, men i praktiken innebär den inga förändringar jämfört med nuläget. 
Personuppgifter som hör till särskilda kategorier av personuppgifter får behandlas i enlighet med den tröskel för behandling som föreskrivs i 11 § endast om det är nödvändigt med tanke på ändamålet med behandlingen. 
19 §. Övrigt utlämnande av personuppgifter till myndigheter. I paragrafen föreskrivs det om utlämnande av personuppgifter genom en teknisk anslutning eller som en datamängd för andra ändamål med behandlingen än de som hör till tillämpningsområdet för dataskyddslagen avseende brottmål. Paragrafen ska även innehålla bestämmelser om utlämnande av personuppgifter till behöriga myndigheter som avses i dataskyddslagen avseende brottmål för ändamål på vilka nämnda lag inte tillämpas. 
I 1 mom. nämns de myndigheter till vilka Tullen får lämna ut personuppgifter genom en teknisk anslutning. I momentet föreskrivs även om de ändamål för vilka personuppgifter får utlämnas. Till sitt innehåll motsvarar bestämmelserna huvudsakligen 17 § i den gällande lagen med undantag av vissa specificeringar.  
Förteckningen i det föreslagna 1 mom. är inte uttömmande, och den ska inte heller begränsa tillämpandet av bestämmelserna om utlämnande av uppgifter eller erhållande av information annanstans i lag. Rätten att lämna ut uppgifter i enlighet med paragrafen kräver å andra sidan heller inte att det i lagstiftningen för den mottagande myndigheten föreskrivs om motsvarande rätt att få uppgifter, utan uppgifter kan lämnas ut med stöd av den föreslagna 18 § även utan att det någon annanstans i lag föreskrivs om rätt för mottagaren att få uppgifter. Bestämmelser om när Tullen får lämna ut personuppgifter eller ta emot uppgifter genom en teknisk anslutning ska emellertid i enlighet med grundlagsutskottets ställningstaganden alltid utfärdas genom lag.  
När uppgifter lämnas ut ska det alltid bedömas vilka uppgifter som behövs för skötseln av mottagarens lagstadgade uppgifter och om hanteringen av de uppgifter som ska lämnas ut eventuellt är föremål för begränsningar i enlighet med bestämmelser någon annanstans i lag. Paragrafen möjliggör alltså inte ett obegränsat utlämnande av alla personuppgifter som Tullen behandlar för vilket ändamål med behandlingen som helst som nämns i paragrafen. 
När det gäller utlämnande av personuppgifter till andra myndigheter i enskilda fall (på annat sätt än genom en teknisk anslutning eller som en datamängd) är det inte den föreslagna lagen utan de bestämmelser om utlämnande av sekretessbelagd information till myndigheter och sammanslutningar som sköter offentliga uppdrag som finns i 4 kap. 2 § i lagen om brottsbekämpning inom Tullen som ska tillämpas även i fortsättningen. Offentliga uppgifter får dessutom lämnas ut till andra myndigheter också som datamängd även i andra fall än de som avses i 18 § 1 mom. Även i dessa situationer ska man dock ta hänsyn till bestämmelserna om skyddet för personuppgifter. 
I förteckningens 1 mom. 14 punkten föreskrivs, med avvikelse från den gällande lagen, om utlämnande av personuppgifter till Strålsäkerhetscentralen (STUK) för tillsynsuppgiften i enlighet med 6 § i strålskyddslagen (592/1991). Mer detaljerad information (fotografier, fraktsedlar m.m.) behövs när något som avviker från det normala sker eller upptäcks. Genom att lämna ut uppgifter strävar man efter att STUK med uppgifterna som grund ska kunna dra mer tillförlitliga slutsatser och vidta eller rekommendera mer konkreta åtgärder. STUK:s uppgift är bland annat att utifrån den information som lämnats producera information i enlighet med sitt specialområde till stöd för Tullens hotanalyser och vid behov utarbeta olika konsekvensanalyser och ge rekommendationer om skyddsåtgärder. 
I paragrafens 2 mom. föreskrivs om en högre tröskel för utlämnande av uppgifter som hör till särskilda kategorier av personuppgifter. Uppgifter får endast lämnas ut när det är nödvändigt för att genomföra en uppgift som myndigheten enligt lag ska sköta. 
I 3 mom. föreskrivs om skyldigheten för mottagaren av personuppgifterna att för den personuppgiftsansvarige lägga fram en tillförlitlig utredning om att de skyddas på behörigt sätt. 
I 4 mom. föreskrivs att kvaliteten på de uppgifter som lämnas ut om möjligt ska bekräftas och uppgifterna vid behov förses med information som gör det möjligt för mottagaren att bedöma hur korrekta, fullständiga, aktuella och tillförlitliga uppgifterna är. Om det framgår att felaktiga uppgifter har lämnats ut eller att uppgifter lämnats ut i strid med lag, ska också detta utan dröjsmål meddelas mottagaren. Syftet med kraven är att både den personuppgiftsansvarige och mottagaren av uppgifterna har möjlighet att säkerställa att personuppgifter behandlas på det sätt som dataskyddslagstiftningen förutsätter. Vid utlämnandet av uppgifter ska den personuppgiftsansvarige också iaktta de särskilda krav på behandlingen av personuppgifter som grundar sig på den lag som ska utfärdas om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten eller på dataskyddsförordningen. Sådana är till exempel användningsbegränsningar av personuppgifter som erhållits från en annan myndighet eller från en annan stat, om vilka det ska göras en anteckning. 
20 §.Utlämnande av personuppgifter via det allmänna datanätet. Paragrafen innehåller bestämmelser om Tullens rätt att lämna ut personuppgifter via det allmänna datanätet. Uppgifterna får trots bestämmelserna i 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet lämnas ut i de situationer som avses i den föreslagna paragrafen.  
Bestämmelsen är i sin helhet ny för Tullen. Tullen får med stöd av den föreslagna bestämmelsen lämna ut personuppgifter via det allmänna datanätet för att allmänheten ska kunna underrättas och för att tips från allmänheten ska kunna fås i situationer där utlämnandet behövs för att brott ska kunna förebyggas, egendom ska kunna återställas till ägaren eller av skäl som har samband med en utredning. För att skyddet för privatlivet ska garanteras begränsas sättet på vilket uppgifter får lämnas ut till enskilda sökningar. Tullen får lämna ut personuppgifter med stöd av 1 mom. endast så att uppgifterna kan sökas via en tjänst i det allmänna datanätet i enlighet med på förhand definierade sökvillkor. Grundlagsutskottet har i sina utlåtanden (GrUU 2/2017 och de utlåtanden som nämns där) tolkat avgränsningen till enskilda sökningar som ett ändamålsenligt sätt att skydda utlämnandet av uppgifter via det allmänna datanätet.  
Ett exempel på Tullens behov av 1 mom. är att Tullen ska ha möjlighet att på grund av intressen som har samband med undersökningar be allmänheten om information. Detta anknyter till exempel till kartläggningar av mängden produkter som nått konsumenterna och skador orsakade på grund av brott, om tillförlitlig information om en produkts utbredning inte utan svårighet kan fås på något annat sätt. Detta förfaringssätt är motiverat med beaktande av mångfalden av distributions- och betalningssätt, i synnerhet de problem som är förbundna med undersökningen av de sistnämnda (t.ex. dark web och bitcoin). Ett annat exempel anknyter till situationer där Tullen i anslutning till en pågående utredning kan be allmänheten meddela iakttagelser till exempel om ett fordon med vissa kännetecken som rört sig i ett område eller om verksamhet eller kontakter som rör ett visst företag. Dessutom kan det också uppstå betydande behov av att informera allmänheten om observationer i anknytning till aktuella fenomen inom tullövervakningen. Detta kan gälla situationer som i sig inte anknyter till något olagligt (t.ex. produkter som köps för privat bruk från kinesiska nätbutiker), men det är synnerligen viktigt att informera allmänheten till exempel med tanke på identifieringen av risker i anslutning till konsumentsäkerheten. 
I 2 mom. föreskrivs om Tullens rätt att annat än som enskilda sökningar lämna ut personuppgifter via det allmänna datanätet för att allmänheten ska kunna underrättas och tips från allmänheten ska kunna fås. Syftet med bestämmelsen är att göra det möjligt att informera om brott på Tullens webbplats. Endast personuppgifter som måste tillkännages särskilt på grund av att saken är brådskande, att det är fråga om en farosituation, för att brott ska kunna förebyggas, egendom ska kunna återställas till ägaren eller av skäl som har samband med en utredning får lämnas ut via det allmänna datanätet. Utlämnandet av uppgifterna har begränsats snävare än i 1 mom., eftersom det utlämnande av uppgifter som gör med stöd av momentet inte föreslås vara begränsat till enskilda sökningar. Mängden personuppgifter som lämnas till det allmänna datanätet ska dock begränsas så långt det är möjligt.  
I Tullens verksamhet kan det uppstå ett brådskande behov av att med stöd av momentet lämna ut personuppgifter via det allmänna datanätet. Ett informationsbehov kan anknyta till en situation där det är fråga om liv eller hälsa eller när det krävs på grund av ett annat synnerligen viktigt enskilt intresse. Ett exempel på detta är en situation där Tullen av en internationell sammanslutning eller genom ett tips har fått kännedom om ett nytt, farligt ämne som man väntar att ska komma ut på marknaden i Finland (t.ex. livsfarliga nya psykoaktiva ämnen). Tullen har då ett uppenbart behov av att snabbt informera allmänheten och råda den att undvika ämnet. I stället för ett farligt ämne kan det också vara fråga om till exempel en livsmedelsförfalskning eller en läkemedelssats som konstaterats vara farlig, men en del har redan hunnit komma ut på marknaden. Exempelvis kan det vid Tullaboratoriets kontroll upptäckas att en sats av en substans som redan kommit in i landet och distribuerats och som har använts i den fortsatta produktionen för olika konsumtionsnyttigheter innehåller ett synnerligen hälsovådligt ämne. Det kan vidare gälla till exempel en situation då man fått information om att ett ämne som eventuellt avger strålning är på väg in i en industriell process, och i stället för hälsa hotas då ett viktigt enskilt intresse. Eftersom informering på det beskrivna sättet kan anses anknyta till Tullens i lag föreskrivna uppgift bland annat i fråga om tullövervakning, avslöjande och förhindrande av brott samt övervakning av förbud och restriktioner, får uppgifterna lämnas ut också annat än som enskilda sökningar. 
Sättet för att lämna uppgifterna kan ske som enskilda sökningar till exempel på Tullens offentliga webbsida (www.tulli.fi) i enlighet med villkoren i lagen, dvs. på samma sätt som polisen har ordnat saken (www.poliisi.fi/om_polisen/meddelande). Även sociala medier (t.ex. Twitter) och andra nyhetskanaler kan användas för att offentliggöra dessa meddelanden. 
21 §.Utlämnande av personuppgifter till de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet. I paragrafens 1 mom. beaktas den s.k. tillgänglighetsprincipen för uppgifter, enligt vilken personuppgifter och andra uppgifter ska vara tillgängliga för de brottsbekämpande myndigheterna i andra medlemsstater i EU och i stater som hör till Europeiska ekonomiska samarbetsområdet på samma villkor som de är tillgängliga för Tullen för förebyggande, avslöjande och utredning av brott.  
I 2 mom. föreskrivs om utlämnande av personuppgifter till Eurojust som inrättats för att stärka kampen mot grov brottslighet och andra institutioner som inrättats med stöd av fördraget om Europeiska unionens funktionssätt. Till sådana andra institutioner som avses i momentet hör utöver Eurojust också t.ex. Europeiska byrån för bedrägeribekämpning. 
I 3 mom. preciseras att uppgifterna i situationer som avses i 1 och 2 mom. får lämnas ut också som en datamängd. 
Bestämmelserna motsvarar till sitt innehåll i huvudsak 26 § i den gällande lagen. I den gällande lagen är utlämnandet av uppgifter till de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet emellertid till vissa delar strängare begränsat än Tullens möjligheter att behandla personuppgifter för andra ändamål med behandlingen än det ursprungliga. Med stöd av den föreslagna bestämmelsen får uppgifter därmed i vissa situationer lämnas ut på ett mer omfattande sätt än enligt gällande reglering. En mer omfattande möjlighet att lämna ut uppgifter innebär på grund av tillgänglighetsprincipen också större möjligheter för Tullen att behandla uppgifterna för andra ändamål än de ursprungliga, som det föreslås i 13 §. Uppgifter får lämnas ut också som en datamängd. EU-medlemsstaternas tullmyndigheter och andra brottsbekämpande myndigheter använder en skyddad kanal för utbytet av information. 
I 4 mom. ingår en informativ hänvisning till lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009) för att säkerställa att rambeslutet har genomförts korrekt i fråga om utlämnandet av personuppgifter. Genomförandelagen av rambeslutet är en speciallag i förhållande till lagförslaget. 
22 §. Utlämnande av personuppgifter till stater som använder Schengens informationssystem och till Schengens informationssystem. Paragrafen innehåller bestämmelser om Tullens rätt att lämna ut personuppgifter till de behöriga myndigheterna i de stater som använder Schengens informationssystem samt för registrering i Schengens informationssystem. Tilläggsinformation ska lämnas ut genom förmedling av centralkriminalpolisens Sirenekontor. Bestämmelsen är informativ till sin karaktär. 
23 §. Utlämnande av personuppgifter till Europol. Paragrafen innehåller en informativ hänvisning till Europolförordningen och lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning (214/2017), som kompletterar förordningen.  
24 §.Beslut om utlämnande av uppgifter. I paragrafen föreskrivs det om beslut som gäller rätten att lämna ut uppgifter ur Tullens personregister som en datamängd eller genom en teknisk anslutning samt om rätten för de myndigheter som avses i 3 kap. att på detta sätt lämna ut personuppgifter till Tullens informationssystem (1 mom.).  
När uppgifter lämnas ut genom en teknisk anslutning, är det svårare för den personuppgiftsansvarige att övervaka skyddandet och användningen av personuppgifter. Om utlämnande av uppgifter med en teknisk anslutning ska man, såsom nu, alltid komma överens om separat mellan den personuppgiftsansvarige och utlämnaren eller mottagaren av informationen. Bestämmelserna i det föreslagna 4 kap. medför på så sätt inte i sig exempelvis rätt för en mottagare att få Tullens personuppgifter genom en teknisk anslutning utan ett särskilt beslut. Beslut om utlämnande av uppgifter fattas av den personuppgiftsansvarige eller av en verksamhetsenhet inom Tullen som den personuppgiftsansvarige har förordnat till uppgiften. Den personuppgiftsansvarige kan i varje enskilt fall separat bedöma om det är motiverat att öppna en teknisk anslutning.  
Enligt paragrafens 2 mom. ska uppgifternas art beaktas på samma sätt som enligt 18 § 2 mom. i den gällande lagen, när beslut om utlämnande fattas. 
5 kap. Radering och arkivering av personuppgifter
Enligt artikel 5.1 e i dataskyddsförordningen och artikel 4.1 e i dataskyddsdirektivet får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. I kapitlet föreskrivs om de maximala bevaringstiderna för personuppgifter. Bestämmelserna i kapitlet begränsar inte tillämpningen av bestämmelser om radering av uppgifter eller bedömning av behövlighet någon annanstans i lag, utan de raderingstider som nämns i kapitlet ska iakttas ifall inte någon annan bestämmelse förutsätter att uppgifterna ska raderas redan tidigare. 
Det föreslås inte några särskilda bestämmelser om raderingen av personuppgifter som i enlighet med den föreslagna 11 § behandlas i Tullens övriga lagstadgade uppgifter, utan dessa uppgifter ska raderas i enlighet med ändamålet med behandlingen. 
25 §.Radering av personuppgifter som anknyter till brottmål. Genom paragrafen ersätts de bestämmelser i 19 § i den gällande lagen som gäller utplåning av uppgifter som anknyter till förundersökning av brott och signalementsuppgifter. Det föreslås inga stora ändringar i bevaringstiderna för personuppgifter jämfört med den gällande lagen. Det föreslås dock att bestämmelserna om radering av uppgifter ytterligare ska förenklas och förtydligas. I förslaget har också beaktats de ändringsbehov som den nya dataskyddslagstiftningen kräver.  
Utöver radering av uppgifter om brottsanmälningar och signalementsuppgifter föreskrivs i den föreslagna 25 § även om radering av andra personuppgifter som anknyter till brottmål. Med personuppgifter som ansluter sig till ett brottmål avses alla personuppgifter som samlats i förundersökningssyfte och vars raderingstider det är ändamålsenligt att harmonisera med raderingstider av uppgifter gällande brottsanmälan. Exempelvis efterlysningsuppgifter som anknyter till ändamål som har samband med en utredning ska framöver raderas i överensstämmelse med den bevaringstid som gäller för det brottmål till vilket uppgifterna anknyter. Bevaringstiderna ska alltjämt vara beroende av det hur grov gärningen är. Därtill ska det i bestämmelserna tas hänsyn till den mer sårbara situationen av minderåriga personer som begått ett brott.  
Enligt 1 mom. ska uppgifterna i ett brottmål raderas efter att brottmålet överfördes till åklagaren enligt följande: efter 5 år om det grövsta misstänkta brottet i brottmålet kan leda till böter eller när ärendet har överförts till åklagaren för utfärdande av ett strafföreläggande, efter tio år om det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på över ett och högst fem år och efter 20 år om det grövsta misstänkta brottet i brottmålet kan leda till fängelse i över fem år. Med de föreslagna bevaringstiderna ska man, på samma sätt som enligt den gällande lagen, se till att uppgifterna bevaras i Tullens informationssystem minst den tid det tar att behandla ärendet och nå en lagakraftvunnen lösning inom rättsväsendet. Bevaringstiden avkortas från tio till fem år i fråga om sådana brottmål som överförts till åklagaren där det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på högst ett år. Den kortare bevaringstiden bedöms vara tillräcklig för att säkerställa att uppgifterna bevaras fram till ett lagakraftvunnet avgörande.  
De uppgifter som avses i 1 mom. raderas enligt 2 mom. dock tidigast ett år efter det att åtalsrätten för brottet har preskriberats. Med detta säkerställs, på motsvarande sätt som i dagsläget, att uppgifter som anknyter till allvarliga brott förblir tillgängliga för Tullen. 
Uppgifter om andra brottmål ska enligt 3 mom. raderas ett år efter att åtalsrätten för det sista misstänkta brottet preskriberats, dock tidigast 5 år efter att brottmålet registrerades. En bevaringstid på minst fem år motsvarar preskriptionstiden för åtalsrätten för tjänstebrott och behövs för att garantera rättsskyddet både för målsäganden och för tjänstemän vid Tullen.  
Enligt 4 mom. får alla de uppgifter som avses i 1—5 mom. dock fortfarande bevaras, om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Tullens personal har. Bevaringen av uppgifter ska därmed vara möjlig till exempel under den tid en utredning om tjänstebrott pågår.  
Enligt 4 mom. ska det med avvikelse från de gällande bestämmelserna också vara möjligt att bevara uppgifter av någon annan grundad anledning. I momentet föreskrivs även om skyldigheten att bedöma nödvändigheten av fortsatt bevarande av uppgifterna minst vart femte år. Tiden för bedömningen av nödvändigheten, fem år, motsvarar den tidsfrist som föreskrivits för bedömningen i 6 § i dataskyddslagen avseende brottmål. På motsvarande sätt som nu kan nödvändigheten av att bevara information vidare även bedömas enligt informationskategori så att man genom ett separat beslut till exempel kan radera uppgifter gällande vissa grupper utan att uppgifterna behöver genomgås individuellt. 
26 §.Radering av andra personuppgifter som behandlas i undersökningsuppgifter. Genom bestämmelsen innefattas personuppgifter som behandlas för sådana syften som avses i 5 och 6 § och som inte anknyter till förundersökning. Med stöd av denna paragraf raderas alltså exempelvis uppgifter om personer som är direkt anknutna till övervakningsuppgifter och handräckningsuppgifter i anslutning till Tullens brottsbekämpning. Genom paragrafen ersätts bestämmelserna i 19 § i den gällande lagen om utplåning av uppgifterna i övriga anmälningar, utplåning av identifieringsuppgifter och säkerhetsinformation samt utplåning av vissa uppgifter som gäller efterlysta personer. Också i fråga om andra utrednings- och övervakningsuppgifter föreslås det att bestämmelserna om radering görs enklare och tydligare jämfört med 19 § i den gällande lagen.  
Enligt paragrafens 1 mom. ska personuppgifter som behandlas för andra än förundersökningssyften bevaras i fem års tid efter att anmälan eller ärendet registrerades, om inte de hänför sig till ett brottmål som utreds. Utredning av förutsättningarna för ett näringsförbud är ett typiskt exempel på omständigheter som ska utredas i samband med undersökningen av ett brottmål.  
I 2 mom. 1 och 2 punkten beaktas avvikande bevaringstider som anknyter till annan lagstiftning. Momentets 1 punkt gäller näringsförbud. I 2 punkten föreskrivs det om radering av andra uppgifter för att en person ska kunna påträffas, övervakas, observeras och skyddas när det gäller personer som är efterlysta eller som har meddelats reseförbud. Bevaringstiderna för sådana uppgifter som avses i 1 och 2 punkten grundar sig med avvikelse från huvudregeln i 1 mom. på när efterlysningen eller förbudet meddelades, återkallades eller upphörde. En bevaringstid som baserar sig på registrering av en anmälan eller ett ärende kan leda till situationer i vilka personuppgifter som ansluter sig till ärendet ska raderas medan efterlysningen eller förbudet alltjämt är i kraft eller omedelbart efter att ikraftvarandet upphört.  
I 3 mom. finns i överensstämmelse med den gällande lagen ett undantag som gäller radering av säkerhetsinformation. Med avvikelse från huvudregeln i 1 mom. ska säkerhetsinformation raderas senast ett år efter den registrerades död. På så sätt blir det möjligt att bevara uppgifter som gäller exempelvis en persons farlighet eller hälsotillstånd så länge som det behövs för att garantera säkerheten för personen själv eller för personer som hör till Tullens personal. För att säkerställa att säkerhetsinformationen behövs ska den enligt de föreskrifter som Tullen tillämpar uppdateras så att den motsvarar användningsändamålet minst en gång om året. I samband med granskningen ska det göras en anteckning om att en granskning har utförts. Onödiga eller felaktiga uppgifter ska omedelbart raderas ur systemet.  
I 4 mom. föreskrivs det om ett undantag som ska gälla alla de uppgifter som avses i 1—3 mom. Man får fortsätta att bevara uppgifterna om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Tullens personal har. Bevaringen av uppgifter ska därmed vara möjlig till exempel under den tid en utredning om tjänstebrott pågår. Enligt 4 mom. ska det med avvikelse från de gällande bestämmelserna också vara möjligt att bevara uppgifter av någon annan grundad anledning. I momentet föreskrivs det på motsvarande sätt som i 24 § i den gällande lagen om skyldighet att bedöma behovet av att bevara uppgifterna minst vart femte år. 
De uppgifter som avses i 5 § 3 mom., som behandlas för bedömning av deras betydelse, ska raderas genast efter att de har bedömts vara onödiga. Uppgifterna ska dock raderas senast sex månader efter att anteckningen infördes. Om raderingen av uppgifter ska det med anledning av behandlingens exceptionella natur föreskrivas direkt i samband med bestämmelsen om behandlingen i 5 § 3 mom. De uppgifter som anses vara behövliga och som uppfyller förutsättningarna för behandling enligt 5 och 6 § ska överföras till de aktuella ändamålen med behandlingen och beträffande dem ska de raderingstider som föreskrivs för i 5 och 6 § avsedda uppgifter iakttas. 
27 §. Radering av personuppgifter som anknyter till förbyggande eller avslöjande av brott. Personuppgifter i anknytning till förebyggande och avslöjande av brott ska enligt det föreslagna 1 mom. raderas senast 10 år efter att den sista anteckningen om ett brott, brottslig verksamhet eller ett uppdrag infördes. Den föreslagna huvudregeln motsvarar i huvudsak bestämmelsen om utplåning av uppgifter i underrättelseregistret i 20 § i den gällande lagen, men bestämmelsen ska i fortsättningen gälla alla personuppgifter som behandlas med stöd av 7 och 8 § i syfte att förebygga och avslöja brott. För observationsuppgifter gäller en kortare bevaringstid som motsvarar 19 § 1 mom. 2 punkten i den gällande lagen. Uppgifterna ska raderas inom sex månader från anteckningen. Genom detta tar man hänsyn till det att observationsuppgifter till sin natur är opålitliga och ska inte bevaras längre än nödvändigt.  
Säkerhetsinformation som behandlas i syfte att förebygga och avslöja brott ska på motsvarande sätt som sådan säkerhetsinformation som avses i 26 § raderas senast ett år efter den registrerades död. På så sätt blir det möjligt att bevara uppgifter som gäller exempelvis en persons farlighet eller hälsotillstånd så länge som det behövs för att garantera säkerheten för personen själv eller för personer som hör till Tullens personal.  
Exempelvis sådana personuppgifter som hänför sig till brottsanalyser som görs i syfte att förebygga eller avslöja brott och som behandlas i sådana temporära analysregister som avses i 7 § 2 mom. i den gällande lagen ska raderas i enlighet med den föreslagna paragrafen. Enligt 23 § 2 mom. i den gällande lagen ska uppgifter i sådana personregister som avses i 7 § 2 mom. utplånas efter fem år. Enligt 23 § 4 mom. i den gällande lagen ska personuppgifter emellertid inte utplånas om de inbegriper uppgifter som hänför sig till en persons egen säkerhet eller Tullens säkerhet i arbetet.  
Införandet av samma systematiska bevaringstider för alla personuppgifter som behandlas enligt 7 och 8 § för att förebygga och avslöja brott klarlägger och förenklar raderingen av uppgifter med tanke såväl på genomförandet av systemen som på den registrerade personens rättsskydd. Samtidigt försäkrar man möjligheterna att förebygga och avslöja brott som med beaktande av hotpotentialen är större och allvarligare. 
Det föreslagna 2 mom. innehåller en bestämmelse som motsvarar bestämmelsen i 25 § 7 mom. och 26 § 4 mom., enligt vilken personuppgifter fortfarande får bevaras om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Tullens personal har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. Som garanti för den personliga integriteten fungerar även de allmänt tillämpliga bestämmelserna om behovet av att behandla personuppgifter i 6 § i dataskyddslagen avseende brottmål.  
Den kortare bevaringstiden ska även gälla i 7 § 6 mom. avsedda uppgifter som inte ansluter sig till ett enskilt uppdrag och som behandlas för att bedöma deras nödvändighet. Uppgifterna ska raderas omedelbart efter att det har bedömts att de inte är nödvändiga, dock senast inom sex månader från antecknandet. Om raderingen av uppgifter ska det emellertid med anledning av behandlingens exceptionella natur föreskrivas direkt i samband med bestämmelsen om behandlingen i 7 § 6 mom. De uppgifter som anses vara behövliga och som uppfyller förutsättningarna för behandling enligt 5—8 § ska överföras till de aktuella ändamålen med behandlingen och beträffande dem ska de raderingstider som föreskrivs för i 5—8 § avsedda uppgifter iakttas. 
28 §.Radering av uppgifter om informationskällor. Det föreslås att bestämmelserna om raderingen av informationsskällor ska finnas i en separat paragraf. Förslaget motsvarar de ändringar som föreslås i 2 kap. och som innebär att bestämmelserna om behandlingen av uppgifter om informationskällor överförs till separat 9 §. Uppgifterna ska raderas 10 år efter att den sista uppgiften infördes. 
29 §. Radering av personuppgifter som anknyter till tullövervakning och skattekontroll. Paragrafen motsvarar huvudsakligen den gällande 21 § i Tullens personuppgiftslag. Personuppgifter som anknyter till tullövervakning och skattekontroll raderas vid utgången av det sjätte kalenderår som följer på registreringen av uppgiften. De identifieringsuppgifter som avses i 10 § 2 mom. 1 punkten raderas dock med iakttagande av bestämmelserna i 25 och 26 §. Dessa identifieringsuppgifter är identifieringsuppgifter om en utredningsbegäran eller anmälan om brott som gjorts på basis av en inspektion eller om ett yrkande eller avgörande som avses i lagen om föreläggande av böter och ordningsbot. Dessa identifieringsuppgifter är samma uppgifter som registreras i de undersökningsuppdrag som avses i 5 § och vid utförandet av sådan handräckning som avses i 11 §.  
30 §. Radering av personuppgifter som erhållits genom teknisk övervakning. I 1 mom. föreskrivs det att bild- och ljudupptagningar som erhållits genom teknisk övervakning ska raderas sex månader efter att anteckningen infördes i datasystemet. I 2 mom. föreskrivs det i enlighet med 22 § i den gällande lagen att uppgifter som gäller identifiering av registreringsskyltar ska raderas vid utgången av det kalenderår som följer på registreringen av uppgiften. I det fallet att grunden för behandlingen av de nämnda uppgifterna som ursprungligen fåtts genom teknisk övervakning blir till exempel ett undersökningsuppdrag som avses i 5 §, bestäms raderingstiderna i enlighet med vad som föreskrivs i 25 och 26 §. Detta innebär t.ex. att om det på en upptagning från teknisk övervakning har registrerats uppgifter i anslutning till medverkan i ett brott som är betydande med tanke på utredningen av ett tullbrott, så behöver inte dessa uppgifter raderas tidigare än vad personuppgifterna i anslutning till det aktuella brottmålet ska raderas. Egentligen är det då alltså inte längre fråga om uppgifter som erhållits vid teknisk övervakning, utan om sådana uppgifter om den som medverkat till ett tullbrott som avses i 5 §. 
31 §.Uppgifter som konstaterats vara felaktiga. Paragrafen motsvarar till sitt innehåll 24 § i den gällande lagen. Genom den föreslagna bestämmelsen blir det möjligt att bevara en felaktig uppgift i registret tillsammans med den korrigerade uppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Tullens personal har (1 mom.). Felaktiga uppgifter får inte användas för något annat ändamål. 
I 7 § i dataskyddslagen avseende brottmål föreskrivs att de personuppgifter som behandlas ska vara korrekta och uppdaterade med hänsyn till ändamålet med behandlingen. Den personuppgiftsansvarige se till att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt 25 § 1 mom. i den nämnda lagen ska den personuppgiftsansvarige på eget initiativ eller på yrkande av den registrerade utan obefogat dröjsmål rätta eller komplettera sådana personuppgifter om den registrerade som är oriktiga eller bristfälliga med tanke på ändamålet med behandlingen. Paragrafen ersätter inte kravet på begränsning av behandlingen av personuppgifter i enlighet med 25 § 2 mom. i dataskyddslagen avseende brottmål, utan genom att bevara paragrafen som den är säkerställs en problemfri övergång till regleringen enligt den nya lagen 
Enligt artikel 5 i dataskyddsförordningen ska personuppgifter vara korrekta och om nödvändigt uppdaterade och alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt artikel 16 i förordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Den föreslagna bestämmelsen kompletterar den registrerades rätt i fråga om de ändamål med behandlingen som föreskrivs i 11 § att få uppgifter rättade i enlighet med artikel 16 i dataskyddsförordningen. Bestämmelsen avses inte begränsa denna rätt, men det ska vara möjligt att bevara uppgifter som konstaterats vara felaktiga tillsammans med de rättade uppgifterna i sådana situationer som avses i 1 mom. 
Enligt 2 mom. ska en uppgift som konstaterats vara felaktig raderas genast när den inte längre behövs för att trygga rättigheterna. 
32 §. Arkivering av uppgifter. Paragrafen innehåller en informativ bestämmelse där det hänvisas till arkivlagen (831/1994). Bestämmelsen motsvarar 25 § i den gällande lagen. 
6 kap. Den registrerades rättigheter
Bestämmelser om de registrerades rättigheter ingår främst i 4 kap. i dataskyddslagen avseende brottmål och i kapitel III i dataskyddsförordningen. I detta kapitel specificeras nämnda bestämmelser när det gäller genomförandet av den registrerades rätt till insyn och de inskränkningar som riktas till den registrerades rättigheter. 
I dataskyddsförordningen är det delvis den rättsliga grunden för behandlingen som avgör vilka rättigheter för en registrerad som ska tillämpas på behandlingen av personuppgifter. Rätten att radera uppgifter enligt artikel 17 i förordningen tillämpas inte när personuppgifter behandlas för att iaktta en lagstadgad skyldighet som förutsätter behandling och som tillämpas på den personuppgiftsansvarige på basis av unionsrätten eller en medlemsstats nationella rätt eller om behandlingen sker för att genomföra en uppgift gällande det allmänna intresset eller för utövande av offentlig makt tillhörande den personuppgiftsansvarige. Rätten till dataportabilitet enligt artikel 20 i förordningen tillämpas för sin del endast på behandling som grundar sig på samtycke eller ett avtal. Därtill täcker rätten att göra invändningar enligt artikel 21 enbart behandling som baserar sig på genomförandet en uppgift gällande det allmänna intresset, utövande av offentlig makt tillhörande den personuppgiftsansvarige eller på genomförande av den personuppgiftsansvariges eller tredje parts berättigade intressen. Eftersom den behandling av personuppgifter som avses i denna lag sker för att genomföra Tullens i lagen föreskrivna uppgifter, tillämpas artikel 17, 20 och 21 i förordningen inte på behandlingen.  
33 §.Tillgodoseende av den registrerades rätt till insyn. I 1 mom. preciseras att den personuppgiftsansvarige svarar för att lämna ut de behövliga personuppgifterna och andra uppgifter för utövande av insyn när det är fråga om sådan rätt till insyn som avses i 23 § i dataskyddslagen avseende brottmål samt den registrerades rätt till tillgång till uppgifter enligt artikel 15 i dataskyddsförordningen. Den personuppgiftsansvarige kan också förordna en verksamhetsenhet inom Tullen att sköta uppgiften. 
Enligt 23 § i dataskyddslagen avseende brottmål kan den registrerade presentera den personuppgiftsansvarige en begäran om att få kontrollera sina uppgifter med en egenhändigt undertecknad handling eller på motsvarande verifierat sätt eller personligen hos den personuppgiftsansvarige. En begäran genom en egenhändigt undertecknad handling eller på ett därmed jämförbart bestyrkt sätt räcker emellertid inte för att man ska kunna säkerställa identiteten på den som framförde begäran på ett tillräckligt tillförlitligt sätt med tanke på de personuppgifter som behandlas av Tullen. I 2 mom. föreskrivs med avvikelse från dataskyddslagen avseende brottmål att en registrerad som vill utöva sin rätt till insyn ska framställa en personlig begäran om detta till den personuppgiftsansvarige eller någon annan i 1 mom. avsedd verksamhetsenhet inom Tullen samt styrka sin identitet. En begäran kan alternativt framställas genom att tillförlitlig elektronisk identifiering används på ett bestyrkt sätt, om en sådan tjänst tillhandahålls av den personuppgiftsansvarige. Vid identifieringen ska iakttas kraven i lagstiftningen om elektronisk kommunikation i myndigheternas verksamhet. Tillhandahållandet av en elektronisk tjänst underlättar den registrerades möjligheter att utöva sin rätt till insyn på det sätt som det förutsätts enligt dataskyddsdirektivet och dataskyddsförordningen. I bestämmelsen beaktas emellertid att en elektronisk tjänst eventuellt kan införas vid en senare tidpunkt som närmare anges av den personuppgiftsansvarige.  
Ytterligare information som begärts för att bekräfta den registrerades identitet bör enligt skäl 41 till direktivet endast behandlas för detta specifika ändamål och bör inte lagras längre än vad som krävs för detta ändamål. 
34 §. Inskränkningar i rätten till insyn. Om inskränkandet av den registrerades rätt till insyn i enskilda fall föreskrivs i 24 och 28 § i dataskyddslagen avseende brottmål. Genom den föreslagna 34 § kompletteras dessa bestämmelser med bestämmelser om allmänna undantag som gäller Tullens behandling av personuppgifter när det gäller den rätt till insyn för en registrerad som det föreskrivs om i 23 § i dataskyddslagen avseende brottmål. Enligt paragrafens 1 mom. 1 punkten har den registrerade inte rätt till insyn i uppgifter som avses i 5 § 3 mom. och 7 § 6 mom., vars betydelse med tanke på Tullens uppgifter ännu inte är klarlagd, och inte i sådana uppgifter om informationskällor som avses i 9 §.  
I 2 punkten utesluts insynsrätten gällande i 5—8 och 10 § avsedda personuppgifter i vilka uppgifter om Tullens taktiska eller tekniska metoder, observationsuppgifter, uppgifter om informationskällor eller uppgifter som används för teknisk undersökning ingår. Punkten ersätter och innehåller i samma omfattning som tidigare 29 § 1 mom. 4 punkten i den gällande lagen, men omformuleras så att den beaktar de ändringar som föreslås i 2 kap. Samtidigt harmoniseras formuleringen med 24 § 1 mom. 5 punkten i offentlighetslagen, där det föreskrivs om sekretessen gällande handlingar som innehåller uppgifter om polisens, Gränsbevakningsväsendets och Tullens samt fångvårdsmyndigheternas taktiska och tekniska metoder och planer, samt med 4 kap. 1 § 1 mom. i lagen om brottsbekämpning inom Tullen, enligt vilken de som hör till Tullens personal är inte skyldiga att lämna ut information om sekretessbelagda taktiska eller tekniska metoder. Partens rätt att få information om de nämnda uppgifterna har även inskränkts på grund av ett synnerligen viktigt allmänt intresse enligt 11 § 2 mom. 1 punkten i offentlighetslagen. Avslöjandet av dessa uppgifter kan leda till att metoder avslöjas samt skada förebyggandet och utredningen av brott. I Tullens taktiska och tekniska metoder ingår också uppgifterna om användningen av hemliga metoder för inhämtning av information enligt 4 punkten samt om själva metoderna. Till dessa inhämtningsmetoders särkaraktär hör att behandlingen, beslutsfattande och genomförandet av ärendet gällande dem sker utan att personen som är föremålet vet om detta genom domstolens beslut, och det har separat föreskrivits om informeringen av personen i fråga. Det finns ett separat övervakningsförfarande för att övervaka användningen av dessa metoder. Eftersom de hemliga tvångsmedlen genomförs utan att personen som är föremålet för dem vet om detta, kan uppgifter inte heller ämnas till honom eller henne på basis av personuppgiftslagen. 
I 2 punkten inskränks, på motsvarande sätt som i den gällande lagen, insynsrätten så att den inte omfattar i Tullens informationssystem registrerade uppgifter om en person vilka inverkar på personens egen säkerhet eller på säkerheten i arbetet för en tullman, efterlysningsuppgifter som registrerats i efterlysningsuppgifter för att iaktta personen, efterlysningsuppgifter om personer under uppsyn som rör sig med motorfordon som har registrerats i uppgifterna om motorfordon som söks, uppgifter om målpersonens säkerhet vid förvaring som har registrerats i uppgifter om anhållna, uppgifter om gärningssätt samt bland signalementsuppgifter nyckelord, särskilda kännetecken, fotografier, finger- och handavtryck, DNA-prov och klassificeringsuppgifter för dem samt fotavtryck. 
Enligt 3 punkten ska rätten till insyn inte gälla sådana uppgifter för identifiering av registreringsskyltar som erhållits genom teknisk övervakning enligt 11 §. Punkten motsvarar 29 § 1 mom. 2 punkten i den gällande lagen. Bestämmelser om inskränkning av rätten till insyn är motiverade för att trygga integritetsskyddet, så att den som är antecknad som ett fordons ägare eller innehavare i registret inte kan utnyttja sin rätt till insyn för att ta reda på var en person som med lov har använt fordonet har rört sig. 
Momentets 4 punkt, som motsvarar 29 § 1 mom. 5 punkten i den gällande lagen, utesluter insynsrätten för en registrerad när det gäller personuppgifter som fåtts genom de inhämtningsmetoder som avses i 2 kap. 14 § 1 och 2 mom. och 3 kap. i lagen om brottsbekämpning inom Tullen och 10 kap. i tvångsmedelslagen samt med stöd av 19 kap. 157 § i lagen om tjänster inom elektronisk kommunikation (917/2014).  
Enligt 2 mom. har den registrerade rätt att be dataombudsmannen kontrollera lagenligheten av behandlingen av sådana personuppgifter som avses i 1 mom. på det sätt som föreskrivs i 29 § i dataskyddslagen avseende brottmål. Den registrerade ska lämna en begäran om utövning av rättigheterna till dataombudsmannen eller Tullen i enlighet med 33 § 2 mom. Tullen ska därefter utan dröjsmål överföra begäran till dataombudsmannen. Tullen kan då verifiera personens identitet och kontrollera att personuppgifterna stämmer. Förutom när det gäller en sådan begäran om att rätten till insyn ska tillgodoses som avses i 31 § är det också nödvändigt att säkerställa identiteten på en person som framfört en sådan begäran om att få utnyttja sin indirekta rätt till insyn som ska överföras till dataombudsmannen eftersom behandlingen av begäran ofta förutsätter omfattande behandling av personuppgifter. 
Konsekvenserna av de förslag som gäller inskränkningar i rätten till insyn för skyddet av personlig integritet bedöms närmare i det avsnitt som gäller propositionens förhållande till grundlagen. 
35 §.Den registrerades rätt till begränsning av behandling. Genom den föreslagna 35 § inskränks den registrerades rätt med stöd av artikel 18 i dataskyddsförordningen att begränsa behandlingen av sina personuppgifter. Inskränkningen grundar sig på det handlingsutrymme som medlemsstaterna ges i artikel 23 i dataskyddsförordningen. 
Den registrerade har med stöd av artikel 18 i dataskyddsförordningen rätt att kräva att behandlingen av hans eller hennes personuppgifter begränsas till exempel om den registrerade bestrider personuppgifternas korrekthet eller anser att behandlingen av uppgifterna är olaglig. Om behandlingen har begränsats, får personuppgifter endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat. Enligt skäl 67 till dataskyddsförordningen kan sätten att begränsa behandlingen av personuppgifter bland annat inbegripa att man flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör klart anges inom systemet. 
Propositionens inverkan på skyddet av personlig integritet bedöms mer ingående i den del som gäller propositionens förhållande till grundlagen. 
7 kap. Särskilda bestämmelser
36 §. Personuppgiftsansvarig. I paragrafen preciseras att det är Tullen som är personuppgiftsansvarig för de personuppgifter som Tullen behandlar. I fråga om de signalementsuppgifter som avses i 6 § 2 punkten och 8 § 1 mom. 3 punkten föreskrivs dock särskilt om den personuppgiftsansvarige. För närvarande är signalementsuppgifterna uppgifter i informationssystemet för polisärenden som registerförs av polisen. Syftet är inte att till denna del ändra på nuläget när det gäller personuppgiftsansvaret. I fråga om personuppgiftsansvaret föreslås endast att de säkerhetsuppgifter som avses i 6 § 3 punkten och 8 § 1 mom. 4 punkten som Tullen behandlar flyttas från polisens registerföring till Tullens registerföring. 
37 §.Ikraftträdande. I paragrafen föreskrivs om lagens ikraftträdande. Det föreslås att lagen ska träda i kraft så snart som möjligt. Genom lagen upphävs lagen av den 22 maj 2015 om behandling av personuppgifter inom Tullen. I 3 mom. ingår en övergångsbestämmelse om raderingstider för personuppgifter som avses i 5—8, 10 och 11 §. Raderingen av uppgifterna ska genomföras i enlighet med denna lag inom fyra år från lagens ikraftträdande.  
På radering av de personuppgifter som avses i 5—8, 10 och 11 § tillämpas under övergångstiden 19—23 § som gällde vid ikraftträdandet av denna lag.  
1.2
Lag om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet
3 §.Definition av information och underrättelser. Hänvisningen till personregister som avses i den gällande lagen om behandling av personuppgifter inom Tullen i paragrafen ändras till en hänvisning till uppgifter som avses i 2 kap., eftersom det i lagförslag 1 med avvikelse från den gällande lagen inte ska föreskrivas om personregister. I sak motsvarar punkten den gällande lagen om behandling av personuppgifter inom Tullen.  
5 §. Utlämnande av information och underrättelser på begäran. Hänvisningarna i 2 och 3 mom. till bestämmelserna i den gällande lagen om behandling av uppgifter inom Tullen ändras till hänvisningar till de bestämmelser i lagförslag 1 där det föreskrivs om villkoren för och beslutsfattandet om utlämnande av information. I sak motsvarar punkten den gällande lagen om behandling av personuppgifter inom Tullen. 
6 §.Utlämnande av information och underrättelser på eget initiativ. Hänvisningarna i 2 och 3 mom. till bestämmelserna i den gällande lagen om behandling av uppgifter inom Tullen ändras till hänvisningar till de bestämmelser i lagförslag 1 där det föreskrivs om villkoren för och beslutsfattandet om utlämnande av information. I sak motsvarar punkten den gällande lagen om behandling av personuppgifter inom Tullen. 
1.3
Lagen om brottsbekämpning inom Tullen
2 kap. Tullens befogenheter vid tullbrottsbekämpning
15 §. Identifiering. Hänvisningen till personregister som avses i den gällande lagen om behandling av personuppgifter inom Tullen i paragrafens 2 mom. ändras till en hänvisning till 5 och 6 § i lagförslag 1, eftersom det i lagförslag 1 med avvikelse från den gällande lagen inte ska föreskrivas om personregister. I 5 och 6 § i lagförslag 1 ska föreskrivas om behandling av personuppgifter inom undersökningsuppdrag och om innehållet i de uppgifter som behandlas i dem. 
3 kap. Hemliga metoder för inhämtande av information
40 §.Behandling av uppgifter om en informationskälla och betalning av arvode. Hänvisningen till den gällande lagen om behandling av personuppgifter inom Tullen och till personregister i paragrafens 1 mom. ändras till en hänvisning till 9 § i lagförslag 1, eftersom det i lagförslag 1 med avvikelse från den gällande lagen inte ska föreskrivas om personregister. I 9 § i lagförslag 1 föreskrivs det om behandling av uppgifter om informationskällor. 
54 §. Utplåning av information. Hänvisningen till den gällande lagen om behandling av personuppgifter inom Tullen och till personregister i paragrafens 2 mom. ändras till en hänvisning till 2 kap. 5 och 7 § i lagförslag 1, eftersom det i lagförslag 1 med avvikelse från den gällande lagen inte ska föreskrivas om personregister. I 5 § i lagförslag 1 finns bestämmelser om behandling av personuppgifter inom undersökningsuppdrag och i 7 § finns bestämmelser om behandling av personuppgifter för förebyggande eller avslöjande av brott.  
1.4
Tvångsmedelslagen
10 kap. Hemliga tvångsmedel
57 §.Utplåning av information. Hänvisningen till register som avses i den gällande lagen om behandling av personuppgifter inom Tullen i paragrafens 1 mom. ändras till en hänvisning till lagförslag 1, eftersom det i lagförslag 1 med avvikelse från den gällande lagen inte ska föreskrivas om personregister. 
1.5
Lagen om genomförande av vissa bestämmelser i beslutet om Eurojust
10 §. Utlämnande av personuppgifter till Eurojust. Hänvisningen i paragrafens 2 mom. till 26 § i den gällande lagen om behandling av personuppgifter inom Tullen ska ersättas med en hänvisning till 21 § i lagförslag 1, som ska tillämpas på utlämnandet av personuppgifter som Tullen behandlat till Eurojust.  
1.6
Lagen om Enheten för utredning av grå ekonomi
12 §.Behandling av personuppgifter och rätt till insyn. Hänvisningen till uppgifter i de register som avses i 29 § i den gällande lagen om behandling av personuppgifter inom Tullen i paragrafens 2 mom. ändras till en hänvisning till 34 § i lagförslag 1, eftersom det i lagförslag 1 med avvikelse från den gällande lagen inte ska föreskrivas om register. I 34 § i lagförslag 1 finns bestämmelser om inskränkningar av registrerades rätt till insyn. 
1.7
Bilskattelagen
87 a §. I paragrafens 3 mom. görs en lagteknisk ändring i vilken det hänvisas till lagförslag 1 i stället för till den gällande lagen om behandling av personuppgifter inom Tullen.  
1.8
Punktskattelagen
4 a §. Utbyte av information mellan Tullen och Skatteförvaltningen. I paragrafens 3 mom. görs en lagteknisk ändring, i vilken det hänvisas till lagförslag 1 i stället för till den gällande lagen om behandling av personuppgifter inom Tullen. 
1.9
Lagen om tjänster inom elektronisk kommunikation
322 §.Vissa andra myndigheters rätt att få information. Till paragrafens 1 mom. fogas en hänvisning till lagen om brottsbekämpning inom Tullen och dessutom en lagteknisk ändring, där det i stället för till den gällande lagen om behandling av personuppgifter inom Tullen hänvisas till lagförslag 1. 
1.10
Säkerhetsutredningslagen
25 §.Informationskällor vid normal säkerhetsutredning av person. I 1 mom. 7 punkten görs en ändring så att det i stället för till det undersöknings- och handräckningssystem som Tullen för hänvisas till de uppgifter som avses i 5 § 1 och 2 mom. och 6 § i lagförslag 1. Den gällande bestämmelsen hänvisar till bestämmelser i den upphävda lagstiftningen i fråga om ett informationssystem där uppgifter om personer misstänkta för brott registrerades. I 5 och 6 § i lagförslag 1 ska på motsvarande sätt föreskrivas om behandling av personuppgifter inom undersökningsuppdrag och om innehållet i de uppgifter som behandlas i dem. Syftet med förslaget är att till denna del uppdatera lagstiftningen, eftersom det i bestämmelsen i den gällande lagen hänvisas till den tullag som redan har upphävts (774/2003). 
I sak motsvarar punkten till största delen den tidigare, upphävda lagen. I systemet enligt 23 a § i den upphävda tullagen fick registreras uppgifter om personer som misstänks för brott samt personer som gjort anmälan, uppträder som vittnen eller målsägande eller som har något annat samband med anmälan, om rubriceringar i brottsanmälningar och övriga anmälningar, tvångsmedel, tullmyndigheternas åtgärder samt olika faser i förundersökningen samt om andra nödvändiga beskrivningar, omständigheter och specificeringar som hänför sig till tullmyndighetens uppgifter eller åtgärder eller till en händelse. I fråga om de uppgifter som registrerades gällde dessutom bestämmelserna i 2 kap. 2 § 2 mom. och 3 kap. 10 § i polisens då gällande personuppgiftslag. I den lag som nu föreslås föreskrivs om dessa uppgifter på motsvarande sätt i 5 § 1 och 2 mom. samt 6 § i lagförslag 1. Förslaget innehåller inte längre någon hänvisning till polisens personuppgiftslag. 
I stället för uppgifter i undersöknings- och handräckningssystemet i enlighet med den upphävda lagstiftningen får informationskällor vid normal säkerhetsutredning av person bygga på de uppgifter som Tullen har rätt att behandla med stöd av 5 § 1 och 2 mom. och 6 § i lagförslag 1. Enligt den föreslagna 5 § får Tullen behandla personuppgifter för utredning av tullbrott eller en annan åtgärd i anknytning till att föra brott till åtalsprövning. Dessutom krävs det att de i 1 mom. avsedda uppgifterna anknyter till personer som är misstänkta för brott eller för medverkan till brott är under 15 år och misstänkta för en brottslig gärning, är föremål för förundersökning, har anmält ett brott eller uppträder som målsägande, är vittnen, är offer eller på något annat sätt än vad som anges i den nämnda 5 § 1 mom. 1—6 punkten har anknytning till ett ärende som avses i 5 § 1 mom. Enligt den föreslagna 6 § får Tullen i fråga om i 5 § avsedda personer utöver de grundläggande personuppgifter som avses i 4 § behandla också följande personuppgifter: behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Tullens uppgifter och åtgärder och händelser; signalementsuppgifter som behövs för fastställande av identiteten, inklusive finger-, hand- och fotavtryck, handstils-, röst- och luktprov, DNA-profil, ansiktsbild och andra biometriska uppgifter; uppgifter som behövs för att trygga säkerheten för en person som är föremål för en förundersökningsåtgärd eller för att trygga en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård och andra uppgifter som hör till särskilda kategorier av personuppgifter; identifieringsuppgift om avgörande av åklagare eller domstol och uppgift om någon har dömts till straff, om det fattats beslut om åtalseftergift eller domseftergift, om ett åtal förkastats, lämnats utan prövning eller avskrivits samt uppgift om ett avgörandes laga kraft.  
I 4 § i lagförslag 1 föreskrivs om grundläggande personuppgifter och nya av dem är kontaktspråk, fordons registreringstecken, i fråga om en utländsk person föräldrarnas medborgarskap och nationalitet samt uppgift om intressebevakning, försättande i konkurs eller meddelande om näringsförbud. I 6 § i lagförslag 1 är signalementsuppgifter som behövs för fastställande av identiteten, inklusive finger-, hand- och fotavtryck, handstils-, röst- och luktprov, DNA-profil, ansiktsbild och andra biometriska uppgifter nya uppgifter jämfört med den tidigare regleringen.  
En normal säkerhetsutredning av person får dock inte grunda sig på uppgifter som behandlas för bedömning av deras betydelse med stöd av 5 § 3 mom. 
2
Ikraftträdande
Dataskyddsförordningen började tillämpas den 25 maj 2018 och den utsatta tiden för det nationella genomförandet av dataskyddsdirektivet var den 6 maj 2018. De lagar som ingår i denna proposition föreslås träda i kraft så fort som möjligt efter att de allmänna lagarna har trätt i kraft. 
I lagförslag 1 ingår en övergångsbestämmelse som gäller raderingstider för personuppgifter. Raderingen av personuppgifter ska genomföras i enlighet med den föreslagna lagen inom fyra år från lagens ikraftträdande. 
3
Förhållande till grundlagen samt lagstiftningsordning
3.1
Behandling av personuppgifter
Enligt 10 § 1 mom. i grundlagen utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Grundlagsutskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme dessutom begränsas av att skyddet för personuppgifter delvis ingår i samma moment som skyddet för privatlivet. Lagstiftaren måste tillgodose denna rätt på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna överlag. Om man ser till skyddet för personuppgifter har grundlagsutskottet ansett det viktigt att reglera åtminstone om syftet med registreringen, uppgifternas innehåll, det tillåtna ändamålet för användningen inklusive rätten att utlämna registrerade uppgifter samt den tid uppgifterna finns kvar i registret och den registrerades rättsskydd (t.ex. GrUU 31/2017 rd, GrUU 13/2016 rd). Kravet på att bestämmelserna ska utfärdas genom lag sträcker sig även till möjligheten att lämna ut personuppgifter genom en teknisk anslutning. Även om möjligheten att sammanslå registeruppgifter ska föreskrivas genom lag (GrUU 17/2007 rd och GrUU 30/2005 rd). Dessutom ska regleringen av dessa faktorer på lagnivå vara heltäckande, exakt och noggrant avgränsad.  
Europeiska domstolen för de mänskliga rättigheterna har i sin rättspraxis ansett att artikel 8 i Europakonventionen, som gäller skyddet för privatliv, ska tillämpas på registrering av personuppgifter som rör en persons privatliv. Domstolen har konstaterat en överträdelse av konventionen bland annat för att den nationella lagstiftningen inte hade innehållit bestämmelser om datainnehåll, bevaringstider och de persongrupper om vilka uppgifter fick samlas (t.ex. Rotaru mot Rumänien 4.5.2000, punkterna 45—63 i domen). Europadomstolen har i flera sammanhang konstaterat att enbart det att personuppgifter införs i myndighetsregister innebär att skyddet för privatlivet begränsas (t.ex. S. och Marper mot Förenade kungariket, 4.12.2008, punkt 67 och Leander mot Sverige, 26.3.1987, punkt 48). För att en begränsning av integritetsskyddet ska vara tillåten, måste den grunda sig på lag, vara nödvändig i ett demokratiskt samhälle och stå i rätt proportion till det eftersträvade syftet. I rättspraxisen har t.ex. brottsbekämpning i allmänhet ansetts vara en godtagbar grund för t.o.m. långtgående begränsningar av integritetsskyddet.  
Grundlagsutskottet har betonat att skyddet för privatlivet och personuppgifter bör stå i proportion till andra grundläggande och mänskliga rättigheter samt till andra vägande samhälleliga intressen, som i extrema fall kan gå tillbaka på den personliga säkerheten som grundläggande rättighet (GrUU 5/1999 rd). Lagstiftaren ska garantera skyddet för privatlivet och personuppgifter på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Grundlagsutskottet har ansett att skyddet för privatlivet och personuppgifter inte har företräde framför andra grundläggande fri- och rättigheter. Analysen går ut på att samordna och avväga två eller flera bestämmelser om de grundläggande fri- och rättigheterna (t.ex. GrUU 14/2018 rd, GrUU 54/2014 rd, GrUU 10/2014 rd). 
Grundlagsutskottet har i sin nyare praxis ansett att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän unionsförordning eller genom en allmän nationell lag (GrUU 14/2018 rd och de i det nämnda utlåtanden). Korrekt tolkade och tillämpade motsvarar bestämmelserna i dataskyddsförordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Enligt utskottet ska skyddet för personuppgifter härefter i första hand tillgodoses med stöd av dataskyddsförordningen och dataskyddslagen. I det sammanhanget bör man undvika nationell speciallagstiftning, som bör reserveras för situationer då den är dels tillåten enligt dataskyddsförordningen och dels nödvändig för att tillgodose skyddet för personuppgifter (GrUU 14/2018 rd, GrUU 2/2018 rd).  
Däremot innehåller dataskyddsdirektivet inte sådan detaljerad reglering som bildar en tillräcklig regleringsgrund med tanke på skyddet för privatlivet och personuppgifter, som tryggas i 10 § i grundlagen. När det gäller behandlingen av personuppgifter som hör till tillämpningsområdet för dataskyddsdirektivet och dataskyddslagen avseende brottmål, ska man därför alltjämt ta i beaktande grundlagsutskottets nämnda utlåtandepraxis. Regleringen om behandling av personuppgifter ska i sådana här regleringssammanhang där det känsliga sambandet med de grundläggande fri- och rättigheterna accentueras fortfarande bedömas utifrån utskottets tidigare praxis som betonar bestämmelser på lagnivå, exakthet och omfattning. Enligt grundlagsutskottet förutsätter tydligheten av lagstiftningen gällande personuppgifter dock att det inte i speciallagstiftningen ingår sådana regleringehelheter om vilka det föreskrivs tillräckligt exakt och noggrant i dataskyddaslagen avseende brottmål. Det finns inte något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän unionsförordning eller genom en allmän nationell lag (GrUU 26/2018 rd, GrUU 14/2018 rd). 
Grundlagsutskottet har i sitt utlåtande (GrUU 14/2018 rd) särskilt lyft fram behovet av reglering i de fall där personuppgifterna behandlas av en myndighet. Enligt artikel 6 c i dataskyddsförordningen är behandling av personuppgifter tillåten om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Enligt grundlagsutskottet är det i princip tillräckligt att regleringen om skyddet för personuppgifter och deras behandling överensstämmer med dataskyddsförordningen. Utskottet anser att de detaljerade bestämmelserna i förordningen också gör det möjligt att i fråga om myndighetsverksamhet lagstifta betydligt mer generellt om skydd för och behandling av personuppgifter jämfört med vår nuvarande nationella regleringsmodell.  
Grundlagsutskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (GrUU 14/2018 rd). Dataskyddsförordningens riskbaserade infallsvinkel innebär enligt grundlagsutskottet att det är möjligt att införa detaljerad och exakt nationell lagstiftning också när behandlingen av uppgifterna utgör en särskild risk på andra grunder än de som anges i artiklarna 9 och 10 i förordningen. Den nationella lagstiftningen ska också då vara förenlig med artikel 6 i förordningen (GrUU 15/2018 rd). 
Grundlagsutskottet har påpekat att lagstiftningen om behandling av personuppgifter är tungrodd och komplicerad (t.ex. GrUU 14/2018 rd, GrUU 2/2018 rd, GrUU 49/2017 rd, GrUU 31/2017 rd, och GrUU 71/2014 rd). Tullen måste också kunna behandla uppgifter som hör till särskilda kategorier av personuppgifter. För att genomföra en individs fri- och rättigheter samt med tanke på rättsskyddet är det nödvändigt att föreskriva om behandlingen av personuppgifter inom Tullen på ett sätt som kompletterar dataskyddsförordningen och dataskyddslagen. Propositionen innehåller bestämmelser både om behandlingen av personuppgifter som hör till tillämpningsområdet för dataskyddsdirektivet och till dataskyddslagen avseende brottmål. Till den här delen är det nödvändigt att genom speciallagstiftning specificera rättsgrunden för och datainnehållet i behandlingen av personuppgifter.  
Grundlagsutskottet har ansett att sådan reglering där de uppgifter som införs i personregister är tillräckligt exakt definierade är tillräckligt noggrant avgränsad (GrUU 51/2002 rd och GrUU 18/2012 rd). Däremot har grundlagsutskottet ansett att det är problematiskt om bestämmelsens formulering i sista hand ger myndigheten rätten att själv bestämma innehållet av de personuppgifter som ska registreras (GrUU 18/2012 rd). Grundlagsutskottet har ansett att regleringen i lagen i det stora hela ska vara så pass exakt att man genom den kan erbjuda tillräcklig förutsägbarhet om myndigheternas verksamhet (GrUU 15/1996 rd).  
I 2 kap. i Tullens personuppgiftslag ska det föreskrivas om de ursprungliga ändamålen med behandlingen av personuppgifter och om deras behandling för andra ändamål än det ursprungliga. En reglering som grundar sig på ändamålen med behandlingen omfattar den största delen av den behandlingen av personuppgifter som sker för skötseln av Tullens brottsbekämpning och övervakningsuppgifter, jämfört med den gällande regleringen i Tullens personuppgiftslag, som gäller endast Tullens informationssystem som nämns i lag. Till den ändamålsbaserade regleringen hör alla faser i behandlingen av personuppgifter där det är fråga om helt eller delvis automatiserad behandling av personuppgifter i Tullens brottsbekämpning och övervakningsuppgifter samt om annan behandling av personuppgifter, då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. Det föreslås heltäckande och detaljerade bestämmelser om de personuppgifter som får registreras, men regleringstekniken skiljer sig från den gällande lagen. Regleringen kan anses uppfylla de förutsättningar som grundlagsutskottet ställt.  
På samma sätt som i den gällande lagstiftningen föreskrivs det detaljerat även om bevaringstiderna för personuppgifter för varje enskilt behandlingsändamål. Europadomstolen har fäst uppmärksamhet vid att även bevaringstiderna bör vara proportionella i förhållande till syftet med behandlingen av personuppgifterna och att bevaringstiderna bör begränsas (S. och Marper mot Förenade kungariket, punkterna 107 och 108 i domen). Även grundlagsutskottet har ansett att regleringen om bevaringstiden på lagnivån ska vara heltäckande och detaljerad och att det i bestämmelserna om bevaringstiden ska ingå en tidsbestämmelse (till exempel GrUU 20/2006 rd). I bestämmelserna om bevaringstider i 5 kap. i lagförslag 1 har behovet av att bevara uppgifterna om ett ärende tillräckligt länge för att garantera rättsskyddet för både de registrerade och Tullens tjänstemän. Bedömningen är att de föreslagna bestämmelserna uppfyller de krav som framgår av grundlagsutskottets tolkningspraxis.  
I lagförslag 1 i propositionen ingår bestämmelser om behandling av personuppgifter för bedömning av deras betydelse (5 § 3 mom. och 7 § 6 mom.). Oundvikligen kommer det också att registreras uppgifter som vid en bedömning av deras nödvändighet visar sig vara betydelselösa med tanke på Tullens uppgifter inom brottsbekämpningen. Det är fråga om en åtgärd som begränsar skyddet för privatlivet. De registrerades rättssäkerhet förbättras emellertid av att uppgifter får bevaras högst sex månader och att uppgifter som bedömts vara onödiga ska raderas utan dröjsmål redan innan det har gått sex månader. Enligt kraven i den allmänna dataskyddslagstiftningen ska onödiga personuppgifter raderas utan obefogat dröjsmål. Genom den föreslagna bevaringstiden på sex månader preciseras detta krav enligt den allmänna lagstiftningen och säkerställs att det nödvändiga förberedande behandlingsskedet för personuppgifterna pågår bara en begränsad tid. Till denna del kan propositionen för sin del också anses förbättra skyddet av personlig integritet jämfört med nuläget, som saknar uttryckliga bestämmelser om hur länge det förberedande behandlingsskedet får pågå. 
3.2
Behandling av uppgifter som hör till särskilda kategorier av personuppgifter
Grundlagsutskottet har påpekat att behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter som gäller privatlivet, varför bestämmelser som tillåter behandlingen av dylika uppgifter ska vara exakta (GrUU 25/1998 rd, GrUU 51/2002 rd). Beträffande polisens behandling av personuppgifter har grundlagsutskottet även ansett att det om befogenheter att behandla känsliga uppgifter ska föreskrivas exakt genom lag, eftersom den allmänna lagstiftningen inte skapar sådana befogenheter (GrUU 51/2002 rd). 
Grundlagsutskottet noterar i sitt utlåtande GrUU 15/2018 rd att de känsliga uppgifter som avses i 11 § i personuppgiftslagen inte är direkt jämförbara med de särskilda kategorier av personuppgifter som beskrivs i artikel 9 i dataskyddsförordningen. Inte heller de uppgifter som i grundlagsutskottets praxis bedömts vara känsliga, exempelvis på grundval av de risker och hot som behandlingen medför, motsvarar till sina områden helt bestämmelserna i personuppgiftslagen. Grundlagsutskottet har ansett att exempelvis biometriska identifieringsuppgifter kan jämställas med känsliga uppgifter (t.ex. GrUU 13/2016 rd). Till följd av att tillämpningen av EU:s dataskyddsförordning inletts och man i dess artikel 9 använder begreppet särskilda kategorier av personuppgifter, ska den nationella lagstiftningen för tydlighetens skull undvika att använda begreppet känsliga uppgifter (GrUU 15/2018 rd, GrUU 14/2018 rd). Likväl menar utskottet att det fortfarande är motiverat att i konstitutionellt hänseende beskriva vissa grupper av personuppgifter uttryckligen som känsliga. Också i skäl 51 till dataskyddsförordningen betonas den särskilda känsligheten i fråga om särskilda kategorier av personuppgifter. 
Känsliga personuppgifter behandlas i Tullen både bland uppgifter som hör till direktivets och till förordningens tillämpningsområden. Dataskyddsförordningen och dataskyddsdirektivet innehåller bestämmelser om behandlingen av personuppgifter som hör till särskilda kategorier av personuppgifter. I dem ställs strängare krav på behandlingen av dessa uppgifter, inklusive kraven på skyddandet av personuppgifter. Strängare krav än tidigare i den allmänna lagstiftningen i fråga om behandling av uppgifter som hör till särskilda kategorier av personuppgifter förbättrar de registrerades rättigheter. Detta har betydelse speciellt när behandlingen gäller biometriska och genetiska uppgifter, som på tillämpningsområdet för dataskyddsdirektivet och dataskyddslagen avseende brottmål får behandlas enbart när det är nödvändigt. Villkoren för behandling av känsliga personuppgifter skärps också inom förordningens tillämpningsområde. Det är i regel förbjudet att behandla sådana personuppgifter som hör till de särskilda kategorier av personuppgifter som avses i artikel 9 i förordningen. Artikel 9.1 i förordningen innehåller en uttömmande förteckning över de undantag med stöd av vilka det är tillåtet att behandla dessa uppgifter. Inom bägge dataskyddsrättsakternas tillämpningsområde ställs också särskilda krav på skyddet av känsliga personuppgifter. 
Tullens behov att behandla uppgifter som hör till särskilda kategorier av personuppgifter ansluter sig till nästan alla ändamål med behandlingen enligt lagförslag 1. Exempelvis biometriska uppgifter behandlas i uppgifter som anknyter till förebyggande, avslöjande och utredning av brott. Därtill behandlar Tullen för utförande av sina uppgifter även andra uppgifter som hör till särskilda kategorier av personuppgifter, t.ex. uppgifter om hälsotillstånd. 
Beträffande ändamål som hör till dataskyddsförordningens tillämpningsområde baserar sig behandlingen av särskilda kategorier av personuppgifter i lagförslagen 1 och 2 på artikel 9.2 g i förordningen, enligt viken särskilda kategorier av personuppgifter kan behandlas när behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Behandlingen ska dessutom stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Den registrerades grundläggande fri- och rättigheter och intressen skyddas utöver genom de skyddsåtgärder som definieras i dataskyddsförordningen och dataskyddslagen också av bl.a. förutsättningarna för behandlingen av personuppgifter i lagförslag 1, förutsättningarna för utlämnande av uppgifter samt bevaringstiderna för uppgifterna.  
Behandling av personuppgifter som hör till särskilda kategorier av personuppgifter ska begränsas med beaktande av EU:s dataskyddslagstiftning, lagstiftningen om grundläggande fri- och rättigheter och grundlagsutskottets ställningstaganden till vad som är nödvändigt med tanke på ändamålet med behandlingen. Bestämmelser om nödvändighetskriterierna finns i dataskyddslagen avseende brottmål. 
3.3
Behandling av personuppgifter för förebyggande och avslöjande av tullbrott
Det föreslås att bestämmelserna om underrättelseregistret i den gällande lagen samt om temporära analysregister för förebyggande och avslöjande av brott ersätts med bestämmelser om behandling av personuppgifter för förbyggande och avslöjande av brott. Den föreslagna 7 och 8 § innebär en utvidgning av det datainnehåll som behandlas riksomfattande, både vad gäller datainnehållet och de kategorier av personer som får registreras. Även med tanke på tillämpningen av dessa bestämmelser bör man beakta kraven på proportionalitet och ändamålsbundenhet, enligt vilka skyddet för den registrerades privatliv får inskränkas enbart i den mån det är nödvändigt och står i rätt proportion till det eftersträvade målet. Det föreslås att det i bestämmelsen preciseras vilka de kategorier av personer är vars uppgifter får registreras och behandlas för behandlingsändamålet i fråga. Dessutom föreskrivs om uppgiftskategorier som får behandlas för ändamålet i fråga. Till de behandlade uppgifterna ska det om möjligt fogas en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet. 
I den föreslagna bestämmelsen om behandling av personuppgifter i anknytning till kriminalunderrättelseinhämtning har särskild uppmärksamhet ägnats de kriterier för registrering och behandling som gäller olika kategorier av personer. I bestämmelsen föreslås en lägre tröskel för registrering och behandling av uppgifter till den del det är fråga om personer med en faktisk koppling till brottslig verksamhet. Genom bestämmelsen blir det möjligt att i stor omfattning på olika sätt behandla uppgifter för personer som anknyter till brottslig verksamhet för att t.ex. klarlägga kopplingarna mellan dem. För dessa gäller dock enligt den föreslagna paragrafen en högre tröskel för behandlingen av personuppgifter. Genom en högre tröskel för behandlingen säkerställs att skyddet för privatlivet begränsas endast till den del det är nödvändigt för att förhindra, avslöja eller utreda den antagna brottsliga verksamheten. Med tanke på dessa personkategorier ska också särskild uppmärksamhet fästas vid garantierna för rättsskyddet. Den personuppgiftsansvarige ska för att garantera rättsskyddet bl.a. i enlighet med kraven i dataskyddsdirektivet och dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. 
När det gäller observationsuppgifter föreslås det inga ändringar jämfört med de gällande bestämmelserna. Grundlagsutskottet har beträffande observationsuppgifter konstaterat att det potentiellt handlar om en mycket omfattande datamängd som berör privatlivet (GrUU 18/2012 rd). Observationsuppgifter är dessutom ofta av otillförlitligt slag och det finns risk för att oskyldiga personer stämplas. Grundlagsutskottet har vid behandlingen av uppgifter av denna typ utöver de ovan relaterade allmänna iakttagelserna påpekat vikten av att försäkra sig om uppgifternas korrekthet och tillförlitlighet (GrUU 27/2006 rd) och behovet att komplettera uppgifterna med en bedömning av uppgiftslämnarens tillförlitlighet och uppgifternas riktighet (GrUU 51/2002 rd). Därtill avses bevaringstiden av observationsuppgifter vara kort, vilket gör att behandlingen av personuppgifter som inte har verifierats eller vars betydelse är osäker bara begränsar skyddet för privatlivet till den del detta är nödvändigt för att Tullen kan utföra den uppgift som ligger till grund för behandlingen. Om regleringen är preciserad på detta sätt i fråga om informationsinnehåll, användningsändamål och lagringstid har grundlagsutskottet ansett att den inte är problematisk med avseende på skyddet för personuppgifter. Med tanke på observationsuppgifternas natur är det ändå viktigt att förutsättningarna för registrering av uppgifter tolkas strikt och i synnerhet så att observationsuppgifter kan registreras endast om det finns misstanke om anknytning till kriminell verksamhet (GrUU 18/2012 rd). 
3.4
Behandling av personuppgifter för andra ändamål än det ursprungliga och utlämnande av personuppgifter
I artikel 5.1 b i dataskyddsförordningen föreskrivs om ändamålsbegränsning när det gäller personuppgifter. Enligt den ska de samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Enligt skäl 50 till förordningen kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. För att kunna säkerställa huruvida ändamålet för ytterligare behandling är förenligt med det ändamål för vilket personuppgifterna ursprungligen samlades, ska den personuppgiftsansvarige, efter att ha uppfyllt alla krav som gäller lagligheten av den ursprungliga behandlingen, bl.a. beakta sambanden mellan dessa ändamål och ändamålen för den panerade ytterligare användningen, den situation i vilken personuppgifterna har samlats, i synnerhet den registrerades rimliga förväntningar i anknytning till den ytterligare behandlingen som baserar sig på förhållandet mellan de registrerade och den personuppgiftsansvarige, personuppgifternas natur, den planerade ytterligare användningens konsekvenser för den registrerade samt det att ändamålsenliga skyddsåtgärder vidtas både i den ursprungliga och i den ytterligare behandlingen.  
När behandlingen av personuppgifter baserar sig på artikel 6.1 c eller e i förordningen, kan man inom det nationella handlingsutrymmet i enlighet med artikel 6.3 föreskriva om de parter och ändamål för vilka personuppgifter får lämnas ut. Om det anses att ändamålet med behandlingen av uppgifter ändras till följd av att de lämnas ut, ska förutsättningarna för utlämnandet bedömas utifrån principen om ändamålsbegränsning såsom det föreskrivs i artikel 6.4 i dataskyddsförordningen. Bestämmelsen om utlämnande ska vara nödvändig och i rätt proportion med tanke på tryggandet av de mål som avses i artikel 23.1. 
Enligt artikel 4 i dataskyddsdirektivet ska medlemsstaterna bl.a. föreskriva att personuppgifter ska behandlas enligt lagen och att de samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Behandling som utförs av samma eller en annan personuppgiftsansvarig för annat ändamål än det ursprungliga är dock tillåten, om det föreskrivs om behandlingen i lag och behandlingen för detta andra ändamål är behövlig och i rätt proportion. Kravet på att behandlingen överensstämmer med lag specificeras i artikel 8 i direktivet, enligt vilken behandlingen är laglig enbart om och bara till den del den är nödvändig för att en behörig myndighet kan genomföra en uppgift inom direktivets tillämpningsområde och om den baserar sig på lagen.  
Om principen om ändamålsbegränsning föreskrivs i 5 § i dataskyddslagen avseende brottmål. Enligt 1 mom. i den nämnda paragrafen får den personuppgiftsansvarige samla in personuppgifter endast för särskilda, uttryckligt angivna och berättigade ändamål och får inte behandla dem på ett sätt som står i strid med dessa ändamål. Enligt 2 mom. i nämnda paragraf får personuppgifter som har samlats in för ett ändamål som anges i 1 § 1 eller 2 mom. i dataskyddslagen avseende brottmål behandlas för något annat än ett i momentet angivet ändamål endast om det föreskrivs om behandlingen i lag. 
Grundlagsutskottet har betonat behovet av att säkerställa att principen om ändamålsbundenhet iakttas vid behandlingen av personuppgifter (GrUU 20/2016 rd, GrUU 13/2016 rd, GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 25/2009 rd). Utskottet har särskilt i samband med bedömning av behandling av biometriska identifikationsuppgifter i nationell lagstiftning understrukit att det med omfattande register för biometriska kännetecken är skäl att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för. Enligt utskottets uppfattning kan i så fall bara exakt avgränsade och mycket små undantag göras från ändamålsbundenheten. Regleringen har inte fått leda till att annan verksamhet än sådan som är förknippad med det ursprungliga ändamålet blir registrets huvudsakliga eller ens ett viktigt användningssätt (till exempel GrUU 47/2010 rd).  
I lagförslag 1 i propositionen definieras och specificeras det för vilka uppgifter och ändamål ytterligare behandling bör betraktas som förenlig och laglig. Bestämmelserna om behandlingen av uppgifter för något annat är deras ursprungliga ändamål utvidgas till vissa delar. Syftet är att genom bestämmelserna säkerställa Tullens verksamhetsförutsättningar t.ex. i situationer när ett effektivt förebyggande, avslöjande och utredande av tullbrott kräver att personuppgifter kontrolleras i flera personregister.  
Utlämnande av uppgifter 
Grundlagsutskottet har i sin utlåtandepraxis noterat vad och vem rätten att få uppgifter gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och möjlighet att lämna ut information kan enligt utskottet gälla behövliga uppgifter för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att informationen är nödvändig för ett visst syfte (t.ex. GrUU 31/2017 rd samt GrUU 17/2016 rd och de utlåtanden som nämns där). Å andra sidan har utskottet ansett att grundlagen inte tillåter en generös och ospecificerad rätt att få uppgifter, inte ens om den är förenad med nödvändighetskriteriet (t.ex. GrUU 71/2014 rd, GrUU 62/2010 rd och GrUU 59/2010 rd). Utskottet har i sin praxis bedömt att även tillåtandet av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter som gäller privatlivet (GrUU 37/2013 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (t.ex. GrUU 38/2016 rd). 
Lagförslag 1 innehåller på samma sätt som i den gällande lagen detaljerade bestämmelser om till vilka myndigheter och för vilka ändamål med behandlingen personuppgifter får lämnas ut. Uppgifter som hör till särskilda kategorier av personuppgifter får bara lämnas ut när det är nödvändigt för att genomföra en för myndigheten i lagen föreskriven uppgift.  
Enligt grundlagsutskottets praxis sträcker sig kravet på att bestämmelserna ska utfärdas genom lag även till möjligheten att utlämna personuppgifter genom en teknisk anslutning. Den föreslagna regleringen gäller, på samma sätt som gällande lag, utlämnandet av personuppgifter genom en teknisk anslutning eller som en datamängd. Grundlagsutskottet har även ansett det vara nödvändigt att på den som begär uppgifter på förhand innan den tekniska anslutningen öppnas ställa krav på att en utredning om behörigt skydd för uppgifterna ska läggas fram (GrUU 12/2002 rd). I lagförslag 1 ingår en bestämmelse avseende detta till den del det gäller utlämnande av personuppgifter för sådana ändamål med behandlingen som dataskyddsförordningen omfattar. Med tanke på den personuppgiftsansvariges övervakningsskyldighet måste den personuppgiftsansvarige även i fortsättningen separat bedöma de villkor på vilka en teknisk anslutning kan öppnas.  
I lagförslag 1 ingår på motsvarande sätt som i den gällande lagen dubbelreglering om utlämnande av uppgifter och rätt att få uppgifter. Dubbelreglering leder till en tung struktur som i värsta fall kan medföra tolkningsproblem men enligt grundlagsutskottet utgör den inte något konstitutionellt problem (GrUU 71/2014 rd). 
3.5
Rättsskydd och den registrerades rättigheter
Grundlagsutskottet har ansett det vara viktigt att det i den mån som EU-lagstiftningen möjliggör reglering på det nationella planet tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (GrUU 31/2017 rd och GrUU 25/2005 rd). Utskottet har framhållit att det i regeringens proposition finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 14/2018 rd, GrUU 31/2017 rd, GrUU 26/2017 rd, GrUU 2/2017 rd och GrUU 44/2016 rd). 
Enligt artikel 23 i dataskyddsförordningen ska det om vissa förutsättningar uppfylls vara möjligt att i en medlemsstats nationella rätt inskränka den registrerades rättigheter. Genom nationell lag kan bestämmelser om begränsningar som gäller bl.a. artiklarna 12—22 i förordningen införas. I artikel 23.2 i dataskyddsförordningen förutsätts det att lagstiftningsåtgärder som innehåller undantag i förekommande fall innehåller särskilda bestämmelser åtminstone avseende ändamålen med behandlingen eller kategorierna av behandling, kategorierna av personuppgifter, omfattningen av de införda begränsningarna, skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga, lagringstiden samt tillämpliga skyddsåtgärder, riskerna för de registrerades rättigheter och friheter och de registrerades rätt att bli informerade om begränsningen. Även dataskyddslagen avseende brottmål gör det möjligt att avvika från den registrerades rättigheter i speciallagstiftningen.  
Den registrerades rätt till insyn 
De huvudsakliga bestämmelserna om den registrerades rätt till insyn finns i dataskyddslagen avseende brottmål samt i dataskyddsförordningen och den dataskyddslag som kompletterar förordningen. I lagförslag 1 föreslås bestämmelser om vissa inskränkningar av den registrerades insynsrätt i fråga om behandlingen av personuppgifter som hör till tillämpningsområdet för dataskyddslagen avseende brottmål. Vid behandling av personuppgifter i situationer som hör till dataskyddsförordningens tillämpningsområde ska bestämmelserna i dataskyddslagen tillämpas på inskränkandet av den registrerades rätt till insyn. 
Det föreslås att inskränkningarna av rätten till insyn preciseras jämfört med nuläget så att av personuppgifter som behandlas för förebyggande och avslöjande av brott ska uppgifter om Tullens taktiska och tekniska metoder, observationsuppgifter och uppgifter från informationskällor, uppgifter som används för teknisk undersökning direkt stå utanför insynsrätten. I dessa uppgifter har den registrerade sådan indirekt rätt till insyn via dataombudsmannen som avses i 29 § i dataskyddslagen avseende brottmål. Övriga uppgifter som behandlas för förebyggande och avslöjande av brott omfattas av den registrerades rätt till insyn.  
Dessutom ska de personuppgifter som behandlas med stöd av 5 § 3 mom. och 7 § 6 mom. i lagförslag 1 enligt förslaget omfattas av indirekt rätt till insyn. I fråga om dessa uppgifter ska den direkta rätten till insyn begränsas, eftersom uppgifterna normalt innehåller uppgifter om Tullens taktiska och tekniska metoder. Efter att uppgifternas betydelse med tanke på Tullens uppgifter inom brottsbekämpningen har bedömts, tillämpas på begränsningen av rätten till insyn samma bestämmelser som på övriga uppgifter i enlighet med 5—8 §. 
På motsvarande sätt som enligt den gällande lagen har registrerade inte heller rätt till insyn i uppgifter som gäller identifiering av registreringsskyltar. I dessa uppgifter har den registrerade sådan indirekt rätt till insyn via dataombudsmannen som avses i 34 § i dataskyddslagen. 
Det ska finnas ett godtagbart samhälleligt intresse i en inskränkning av skyddet för privatlivet och inskränkningen ska stå i rätt proportion till det eftersträvade målet. Det betyder att inskränkningarna måste vara nödvändiga för att ett godtagbart syfte ska nås. En inskränkning av en grundläggande fri- eller rättighet är tillåten enbart om målet inte kan nås med medel som intervenerar mindre i de grundläggande fri- och rättigheterna. En inskränkning får inte vara mer genomgripande än vad som är motiverat med hänsyn till hur tungt vägande det bakomliggande intresset är i relation till det rättsobjekt som ska inskränkas (GrUB 25/1994 rd och t.ex. GrUU 56/2014 rd och GrUU 18/2013 rd).  
Begränsningarna i lagförslag 1 anknyter å ena sidan till förebyggande, avslöjande och utredning av brott och å andra sidan till övervakningsuppgifter. I Europadomstolens och EU-domstolens samt högsta domstolens rättspraxis har dessa av tradition betraktats som tungt vägande samhälleliga intressen där målen inte skulle kunna nås med medel som intervenerar mindre i de grundläggande fri- och rättigheterna. Det ska föreskrivas exakt och noggrant avgränsat om begränsningarna och dessutom ska den registrerade alltid kunna använda sina rättigheter genom förmedling av tillsynsmyndigheten. Den registrerade nekas inte helt möjligheten att övervaka behandlingen av sina personuppgifter, utan även när rättigheterna inskränks kan den registrerade utnyttja sin rätt indirekt via dataombudsmannen. Inskränkningarna sträcker sig inte längre än vad som är nödvändigt för att målet ska nås. 
Artikel 18 i dataskyddsförordningen 
I propositionen föreslås ett undantag från artikel 18 i dataskyddsförordningen, enligt vilken den registrerade har rätt att kräva att behandlingen av hans eller hennes personuppgifter begränsas till exempel om den registrerade bestrider personuppgifternas korrekthet. Syftet för det föreslagna undantaget har beskrivits i detaljmotiveringen till 35 §. 
Bestämmelsen ska inte inskränka den registrerades rätt att med stöd av artikel 16 i dataskyddsförordningen kräva att felaktiga uppgifter rättas. Som garanti för den registrerades rättsskydd fungerar även de andra rättigheter som det föreskrivs om i dataskyddsförordningens kapitel III om den registrerades rättigheter och kapitel VIII om rättsmedel, ansvar och sanktioner. Om den registrerade anser att behandlingen av personuppgifter som avser henne eller honom strider mot lagen, har den registrerade enligt artikel 77 i dataskyddsförordningen t.ex. rätt att lämna in ett klagomål till en tillsynsmyndighet. Den registrerade kan också med stöd av förvaltningslagen yrka att den lagstridiga behandlingen av personuppgifter ska upphöra. I det sistnämnda fallet ska den personuppgiftsansvarige avgöra ärendet med iakttagande av bestämmelserna om förfaranden i förvaltningslagen. Det föreslagna undantaget kan därmed anses vara av ringa betydelse med tanke på den registrerades rättsskydd, när man tar i beaktande hur god förvaltning och rättsskydd i övrigt tryggas vid den personuppgiftsansvariges behandling av personuppgifter. 
Rättsmedel 
Enligt 21 § i grundlagen har var och en rätt att på behörigt sätt och utan ogrundat dröjsmål få sin sak behandlad av en domstol eller någon annan myndighet som är behörig enligt lag samt att få ett beslut som gäller hans eller hennes rättigheter och skyldigheter behandlat vid domstol eller något annat oavhängigt rättskipningsorgan. Offentligheten vid handläggningen, rätten att bli hörd, rätten att få motiverade beslut och rätten att söka ändring samt andra garantier för en rättvis rättegång och god förvaltning ska tryggas genom lag. 
I dataskyddsförordningen ingår strängare sanktioner för behandling av personuppgifter i strid med förordningen än vad som ingår i personuppgiftslagen. I kapitel VIII i förordningen föreskrivs om rättsmedel, ansvar och sanktioner. I kapitlet föreskrivs om rätt till effektiva rättsmedel såväl mot tillsynsmyndigheten som också mot den personuppgiftsansvarige eller personuppgiftsbiträdet. I artikel 82 i förordningen föreskrivs om den personuppgiftsansvariges skadeståndsansvar och den registrerades rätt till ersättning och i artikel 84 ställs en skyldighet för medlemsstaterna att fastställa regler för de sanktioner som ska påföras för överträdelse av förordningen.  
I kapitel VIII i dataskyddsdirektivet föreskrivs om den registrerades rättsmedel, den personuppgiftsansvariges ansvar och om de sanktioner som ska påföras med anledning av överträdelser mot de bestämmelser som meddelats med stöd av direktivet. De registrerade ska ha rätt att lämna in ett klagomål till tillsynsmyndigheten, om de anser att behandlingen av personuppgifter som avser dem står i strid med de bestämmelser som utfärdas med stöd av direktivet. Om den tillsynsmyndighet som mottagit klagomålet inte är behörig, ska myndigheten på eget initiativ överlämna klagomålet till den behöriga myndigheten. Både fysiska och juridiska personer ska ha rätt till effektiva rättsmedel mot tillsynsmyndigheten. Var och en som lidit materiell eller immateriell skada till följd av olaglig behandling av personuppgifter eller av någon annan åtgärd som står i strid med de nationella bestämmelser som antas i enlighet med direktivet ska ha rätt till ersättning för denna skada från den personuppgiftsansvarige eller varje annan myndighet som är behörig enligt medlemsstaternas nationella rätt. 
Bestämmelserna i dataskyddsförordningen kompletteras med den nationella dataskyddslagen, där det föreskrivs om rättssäkerhet och påföljder. I dataskyddslagen föreskrivs bl.a. om den registrerades rätt att föra ärendet till dataombudsmannens behandling, om den registrerade anser att lagstiftningen överträds i fråga om behandlingen av hans eller hennes personuppgifter. I lagen ingår dessutom bestämmelser om dataombudsmannens rätt att förelägga vite i fråga om vissa beslut och viss rätt att få uppgifter. I lagen föreskrivs också om ändringssökande i dataombudsmannens beslut. Överklagbarheten för beslutet bestäms utifrån förvaltningsprocesslagen. Dataombudsmannens beslut får överklagas genom besvär hos förvaltningsdomstolen på det sätt som föreskrivs i förvaltningsprocesslagen. Över förvaltningsdomstolens beslut får, på som i fråga om den gällande personuppgiftslagen, besvär anföras hos högsta förvaltningsdomstolen, endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. I dataombudsmannens beslut får det bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat. På detta sätt säkerställs att dataombudsmannen har möjlighet att på ett effektivt sätt ingripa i lagstridig behandling av personuppgifter. 
Dataombudsmannen är också tillsynsmyndighet för efterlevnaden av den föreslagna dataskyddslagen avseende brottmål. Dataombudsmannen ska utöva tillsyn över efterlevnaden av den föreslagna lagen både på eget initiativ och på basis av begäranden om åtgärder som lämnas in till ombudsmannen. Dataombudsmannen kan göra utredningar av hur lagen följs och behandla begäranden om åtgärder som lämnats in till ombudsmannen. Ombudsmannen kan i fall av lagstridigt förfarande t.ex. meddela den personuppgiftsansvarige en anmärkning eller uppställa ett tillfälligt eller bestående förbud eller någon annan tillfällig eller bestående begränsning av behandlingen av personuppgifter. Ombudsmannen får också förena sitt rättsligt förpliktande beslut med vite.  
I dataskyddslagen föreskrivs att administrativa påföljdsavgifter enligt dataskyddsförordningen inte får påföras statliga myndigheter, t.ex. Tullen. I regleringen är det fråga om utnyttjande av det nationella handlingsutrymmet. Inte heller i dataskyddslagen avseende brottmål föreskrivs det om administrativa påföljdsavgifter för de behöriga myndigheter som avses i lagen. Rättsordningen ställer andra specialkrav på den offentliga förvaltningen, vilka för sin del motiverar denna regleringslösning. Myndigheterna är bundna av förvaltningens lagbundenhetsprincip, och myndigheterna ska iaktta de allmänna förvaltningslagarna. En lagenlig behandling av personuppgifter inom myndigheterna ingår i tjänsteplikten för dem som arbetar vid myndigheterna. En tjänstemans ställning är förbunden med ett större ansvar för fel som gjorts i arbetet än när det gäller andra personer. Tjänsteansvaret kan för det första utmynna i ett straffrättsligt tjänsteansvar, disciplinärt tjänsteansvar samt som skadeståndsansvar. Över en myndighets verksamhet kan också förvaltningsklagan göras till den högre myndigheten. En myndighet ska i alla situationer sköta sina lagstadgade uppgifter. Grundlagsutskottet har inte haft något att invända mot propositionsmotiveringarna i den nämnda dataskyddslagen (GrUU 14/2018 rd). 
3.6
Jämlikhet
I 6 § i grundlagen finns det en allmän jämlikhetsklausul om att alla är lika inför lagen. Ingen får utan godtagbart skäl särbehandlas på grund av kön, ålder, ursprung, språk, religion, övertygelse, åsikt, hälsotillstånd eller handikapp eller av någon annan orsak som gäller hans eller hennes person. Den allmänna jämlikhetsklausulen kompletteras av förbudet mot diskriminering.  
Jämlikhetsbestämmelsen omfattar också lagstiftaren. Genom lag kan människor eller grupper av människor inte godtyckligt ställas i en mer eller mindre förmånlig situation än andra. Klausulen kräver ändå inte att alla människor i alla avseenden ska behandlas lika, om inte förhållandena är likadana. I sin etablerade praxis har grundlagsutskottet också konstaterat att inga skarpa gränser för lagstiftarens prövning följer av den allmänna jämlikhetsprincipen när en reglering i överensstämmelse med den rådande samhällsutvecklingen eftersträvas (GrUU 11/2012 rd, GrUU 2/2011 rd, GrUU 64/2010 rd, GrUU 35/2010 rd, GrUU 5/2008 rd, GrUU 38/2006 rd, GrUU 1/2006 rd, GrUU 15/2001 rd). Det som är centralt är huruvida skillnaderna kan motiveras på ett sätt som är acceptabelt med tanke på systemet med grundläggande fri- och rättigheter (GrUU 46/2006 rd, GrUU 16/2006 rd och GrUU 73/2002 rd). Utskottet har i olika sammanhang på basis av grundlagens bestämmelser om jämlikhet krävt att särbehandlingen inte får vara godtycklig och skillnaderna oskäliga (t.ex. GrUU 11/2012 rd, GrUU 37/2010 rd, GrUU 11/2009 rd och GrUU 18/2006 rd).  
I 6 § 2 mom. i grundlagen finns en förteckning över vissa orsaker till särbehandling som är förbjudna. Förteckningen är dock inte uttömmande. Med de förbjudna orsaker till särbehandling som nämns särskilt jämställs även andra orsaker som gäller ens person. Grundlagsutskottet har i sin praxis utöver att bedöma om grunden kan godtas också fäst avseende vid om den valda lösningen står i rätt proportion till det eftersträvade målet (GrUU 38/2006 rd, och GrUU 23/2012 rd).  
De åtgärder som gäller behandling av personuppgifter hos Tullen får inte leda till diskriminering. I synnerhet de skyldigheter som gäller insamlingen av känsliga personuppgifter har betydelse vid bedömningen av om jämlikhetsprincipen realiseras. Tullen kan vara tvungen att behandla känsliga personuppgifter också i stor omfattning för förebyggande, avslöjande och utredning av tullbrott. Sådana uppgifter kan t.ex. vara den för tullbrott misstänktes nationella eller etniska ursprung eller uppgifter beträffande hälsotillstånd eller genetiska uppgifter (DNA-spår) samt fingeravtrycksuppgifter. Behandlingen av dessa uppgifter är enligt dataskyddslagen avseende brottmål kopplad till behandlingens nödvändighet. Till denna del ska lagförslag 1 i propositionen anses vara förenlig med kraven i grundlagen. 
3.7
Bedömning av lagstiftningsordningen
De lagförslag som ingår i propositionen kan enligt regeringens åsikt behandlas i vanlig lagstiftningsordning. De bestämmelser som föreslås i propositionen är viktiga i konstitutionellt hänseende med tanke på det i 10 § i grundlagen tryggade skyddet för privatlivet och personuppgifter. Regleringen har beröringspunkter också med andra grundläggande fri- och rättigheter. Enligt regeringens uppfattning bör propositionen av dessa orsaker sändas till riksdagens grundlagsutskott för behandling. 
Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 
Lagförslag
1. 
Lag 
om behandling av personuppgifter inom Tullen 
I enlighet med riksdagens beslut föreskrivs: 
1 kap. 
Allmänna bestämmelser 
1 §  
Tillämpningsområde 
Denna lag tillämpas på behandling av personuppgifter som behövs för skötseln av de övervakningsuppdrag som Tullen har enligt lag och för att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning, om 
1) behandlingen är helt eller delvis automatisk, eller 
2) personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. 
Dessutom innehåller denna lag bestämmelser om den registrerades rättigheter, om Tullens rätt att få personuppgifter och andra uppgifter som behövs för skötseln av Tullens lagstadgade uppdrag samt om rätten att lämna ut personuppgifter och andra uppgifter. 
2 §  
Förhållande till annan lagstiftning 
Om inte något annat föreskrivs i denna lag 
1) tillämpas på behandlingen av personuppgifter i syfte att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning, samt för att skydda mot eller förebygga hot mot den allmänna säkerheten lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ), nedan dataskyddslagen avseende brottmål, 
2) tillämpas på sekretess för och utlämnande av personuppgifter lagen om offentlighet i myndigheternas verksamhet (621/1999). 
Bestämmelser om behandling av personuppgifter finns dessutom i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och i dataskyddslagen ( / ). 
I fråga om Tullens informationsinhämtning och befogenheter i anknytning till den gäller vad som förskrivs särskilt. 
3 § 
Definitioner 
I denna lag avses med 
1) tullbrott
a) brott som innebär överträdelse av en sådan bestämmelse i tullagen (304/2016) eller någon annan lag vars iakttagande Tullen ska övervaka eller som Tullen ska verkställa,
b) mot tullman riktat hindrande av tjänsteman enligt 16 kap. 3 § i strafflagen (39/1889) och tredska mot tullman enligt 4 b § i det kapitlet,
c) olaga befattningstagande med infört gods enligt 46 kap. 6 och 6 a § i strafflagen,
d) ett sådant brott i vilket ingår import, export eller transitering genom Finland av egendom,
 
2) skattekontroll utförande av en övervakningsuppgift som gäller ett visst skatteslag och som särskilt föreskrivits för Tullen, 
3) författningsgrunden för Schengens informationssystem Europaparlamentets och rådets förordning (EG) nr 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), rådets beslut 2007/533/RIF om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) samt Europaparlamentets och rådets förordning (EG) nr 1986/2006 om tillträde till andra generationen av Schengens informationssystem (SIS II) för de enheter i medlemsstaterna som ansvarar för att utfärda registreringsbevis för fordon, 
4) Schengens informationssystem andra generationen av Schengens informationssystem så som det definieras i författningsgrunden för Schengens informationssystem (SIS II), 
5) Europolförordningen Europaparlamentets och rådets förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF. 
2 kap. 
Behandling av personuppgifter 
4 § 
Behandling av grundläggande personuppgifter 
Tullen får för de ändamål som anges i 5, 7 och 9—12 § behandla följande behövliga grundläggande personuppgifter: 
1) namn, 
2) födelsedatum och födelseort, 
3) personbeteckning, 
4) kön, 
5) modersmål, 
6) kontaktspråk, 
7) civilstånd, 
8) medborgarskap eller avsaknad av medborgarskap samt nationalitet, 
9) hemvist och bostadsort, 
10) yrke och utbildning, 
11) kontaktuppgifter, 
12) uppgifter ur handlingar som behövs för att fastställa identiteten, 
13) i fråga om en utländsk person föräldrarnas namn, medborgarskap och nationalitet, 
14) uppgifterna i ett resedokument samt övrig behövlig information som gäller inresa och passerande av gräns, 
15) fordons registreringstecken, 
16) klientnummer som en myndighet gett, 
17) uppgift om att personen avlidit eller förklarats död, 
18) uppgift om intressebevakning, försättande i konkurs eller meddelande om näringsförbud. 
5 § 
Behandling av personuppgifter inom undersökningsuppdrag  
Tullen får behandla personuppgifter för utredning av tullbrott eller en annan åtgärd i anknytning till att föra brott till åtalsprövning. 
Dessutom krävs det att de i 1 mom. avsedda uppgifterna anknyter till personer som 
1) är misstänkta för brott eller för medverkan till brott, 
2) är under 15 år och misstänkta för en brottslig gärning, 
3) är föremål för förundersökning, 
4) har anmält ett brott eller uppträder som målsägande, 
5) är vittnen, 
6) är offer, 
7) på något annat sätt än vad som anges i 1—6 punkten har anknytning till ett ärende som avses i 1 mom. 
Tullen får behandla personuppgifter som en i lagen om brottsbekämpning inom Tullen (623/2015) avsedd tullman inom tullbrottsbekämpningen inhämtat eller erhållit också för att bedöma om uppgifterna är av betydelse med tanke på det ändamål med behandlingen som avses i 1 mom. Huruvida uppgifterna är av betydelse ska bedömas och onödiga uppgifter raderas utan dröjsmål, dock senast sex månader från det att de har registrerats. 
6 § 
Innehållet i personuppgifter som behandlas inom undersökningsuppdrag 
Tullen får i fråga om i 5 § avsedda personer utöver de grundläggande personuppgifter som avses i 4 § behandla också följande personuppgifter: 
1) behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Tullens uppgifter, åtgärder och händelser, 
2) signalementsuppgifter som behövs för fastställande av identiteten, inklusive finger-, hand- och fotavtryck, handstils-, röst- och luktprov, DNA-profil, ansiktsbild och andra biometriska uppgifter, 
3) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en förundersökningsåtgärd eller för att trygga en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård och andra uppgifter som hör till särskilda kategorier av personuppgifter,  
4) identifieringsuppgift om avgörande av åklagare eller domstol och uppgift om någon har dömts till straff, om det fattats beslut om åtalseftergift eller domseftergift, om ett åtal förkastats, lämnats utan prövning eller avskrivits samt uppgift om ett avgörandes laga kraft. 
7 § 
Behandling av personuppgifter för förebyggande eller avslöjande av brott 
Tullen får behandla personuppgifter för förebyggande eller avslöjande av tullbrott. 
Dessutom krävs det att de i 1 mom. avsedda uppgifterna anknyter till personer som 
1) med fog kan antas ha gjort sig eller göra sig skyldiga till brott, 
2) har kontakt med en i 1 punkten avsedd person eller påträffas i dennes sällskap, och kontakten eller sammanträffandena på grund av att de har upprepats, omständigheterna eller personens beteende kan antas ha samband med ett brott, 
3) är föremål för observation enligt 3 kap. 9 § i lagen om brottsbekämpning inom Tullen. 
Tullen får, om det är nödvändigt för förebyggande eller avslöjande av ett tullbrott, behandla i 1 mom. avsedda uppgifter också i fråga om följande personer: 
1) vittnen till ett brott, 
2) offer för ett brott, 
3) den som har anmält ett brott eller uppträder som målsägande. 
Beslut om inledande av behandling av personuppgifter i anknytning till en brottsanalys som behövs för förebyggande eller avslöjande av brott fattas av chefen för Tullens brottsbekämpning eller av en av denne till uppgiften förordnad chef för en verksamhetsenhet inom Tullens brottsbekämpning. 
Tullen får dessutom behandla uppgifter om observationer som gjorts av tullmän och uppgifter som anmälts till Tullen i anslutning till händelser eller personer som utifrån omständigheterna eller en persons beteende med fog kan bedömas ha samband med tullbrott. 
Tullen får behandla personuppgifter som en sådan tullman inom tullbrottsbekämpningen som avses i lagen om brottsbekämpning inom Tullen har inhämtat eller erhållit också för att bedöma om uppgifterna är av betydelse med tanke på ändamålet med användningen enligt 1 mom. Huruvida uppgifterna är av betydelse ska bedömas och onödiga uppgifter raderas utan dröjsmål, dock senast sex månader från det att de har registrerats. 
8 § 
Innehållet i personuppgifter som anknyter till förbyggande eller avslöjande av brott 
Tullen får i fråga om i 7 § avsedda personer utöver de grundläggande personuppgifter som avses i 4 § behandla också följande personuppgifter: 
1) behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Tullens uppgifter, åtgärder och händelser, 
2) behövliga uppgifter som gäller en persons verksamhet och beteende, 
3) signalementsuppgifter som behövs för fastställande av identiteten, inklusive röstprov, ansiktsbild och andra biometriska uppgifter, 
4) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller för att trygga en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård och andra uppgifter som hör till särskilda kategorier av personuppgifter. 
Till personuppgifterna ska det om möjligt fogas en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet. 
9 § 
Behandling av uppgifter om informationskällor 
Tullen får behandla uppgifter om en i 3 kap. 39 § i lagen om brottsbekämpning inom Tullen eller 10 kap. 39 § i tvångsmedelslagen (806/2011) avsedd person som har använts som informationskälla, uppgifter om användningen och övervakningen av informationskällan samt uppgifter om det huvudsakliga innehållet i de uppgifter som informationskällan lämnat. 
10 § 
Behandling av personuppgifter vid tullövervakning och skattekontroll 
Tullen får för utförande av tullövervakning och skattekontroll behandla i 4 § avsedda behövliga personuppgifter 
1) med anknytning till anmälningar och annan information som lämnas till Tullen med stöd av lag,  
2) som gäller tullövervaknings- och skattekontrollåtgärder som vidtagits och fortsatta åtgärder som föreslagits på basis av dem. 
Utöver vad som föreskrivs i 1 mom. får behandlingen omfatta 
1) identifieringsuppgifter om en utredningsbegäran eller anmälan om brott som gjorts på basis av en inspektion eller om ett yrkande eller avgörande som avses i lagen om föreläggande av böter och ordningsbot (754/2010),  
2) uppgifter som gäller riktande av tullövervakning och skattekontroll. 
 
11 § 
Behandling av personuppgifter i Tullens övriga lagstadgade uppgifter 
Tullen får behandla i 4 § avsedda personuppgifter för gränskontrolluppgifter, utförande av handräckningsuppdrag samt upprätthållande av ordningen och säkerheten i förvaringslokaler. 
12 § 
Behandling av personuppgifter som erhållits genom teknisk övervakning 
Tullen har rätt att behandla i 4 § avsedda personuppgifter som har erhållits genom teknisk övervakning, inklusive biometriska uppgifter, för att övervaka efterlevnaden av tullagstiftningen och annan lagstiftning som omfattas av Tullens tillsynsbefogenhet och för identifiering av personer i enlighet med 28 § i tullagen. Personuppgifter får också behandlas vid automatisk ansiktsidentifiering för en åtgärd i anknytning till förebyggande, utredning eller avslöjande av brott eller förande av brott till åtalsprövning eller för användning av tvångsmedel. 
13 § 
Behandling av personuppgifter för andra ändamål än det ursprungliga 
Tullen får behandla personuppgifter som avses i 5—12 § för andra ändamål med behandlingen än det ursprungliga, om detta behövs för 
1) att förebygga eller avslöja tullbrott, 
2) att utreda ett tullbrott som kan medföra fängelsestraff, 
3) att påträffa en efterlyst, 
4) en utredning som stöder det att någon är oskyldig, 
5) förhindrande av betydande fara för någons liv, hälsa eller frihet eller betydande miljö-, egendoms- eller förmögenhetsskada, 
6) skyddande av den nationella säkerheten, 
7) att utreda identitet i samband med en sådan tullåtgärd som nödvändigt kräver att identiteten styrks, 
8) utförande av handräckningsuppdrag, 
9) inriktning av Tullens brottsbekämpningsverksamhet, 
10) Tullens indrivningsuppdrag. 
Dessutom får Tullen behandla personuppgifter som avses i 5, 6 och 9—11 § för andra ändamål med behandlingen än det ursprungliga om detta behövs för beslut eller utlåtanden som gäller beviljande eller giltighet av ett tillstånd, när tillståndet enligt gällande bestämmelser är beroende av sökandens eller tillståndshavarens tillförlitlighet, lämplighet eller någon liknande egenskap och det för bedömningen av egenskapen krävs uppgifter om sökandens, tillståndshavarens eller deras ansvariga personers brottslighet eller någon annan verksamhet i strid med bestämmelserna. 
Utöver vad som föreskrivs om behandling av personuppgifter i 5 § 3 mom. i dataskyddslagen avseende brottmål får uppgifter i Tullens personregister trots sekretessbestämmelserna behandlas även för laglighetsövervakning, analys, planering och utveckling. Uppgifter får också användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. 
3 kap. 
Rätt att få uppgifter 
14 § 
Tullens rätt att få uppgifter ur vissa register och informationssystem 
Utöver vad som föreskrivs annanstans i lag har Tullen trots sekretessbestämmelserna rätt att ur vissa register genom en teknisk anslutning eller som en datamängd få information för att utföra sina uppgifter och föra sina personregister, på det sätt som avtalas om saken med den personuppgiftsansvarige, enligt följande: 
1) av samfund och sammanslutningar ur sådana register som gäller passagerare och fordons personal samt fordon och varor som transporteras uppgifter som behövs för förhindrande, avslöjande och utredning av tullbrott och förande av tullbrott till åtalsprövning samt för att nå efterlysta personer, trots bestämmelserna i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet ( / ), 
2) ur Skatteförvaltningens datasystem och register sådana uppgifter och identifieringsuppgifter om den skattskyldige som behövs för beskattning, skattekontroll, indrivning och tullbrottsbekämpning samt för tillståndsprövning behövliga uppgifter om tillståndssökandens eller dennes ansvariga personers fullgörande av sin skattebetalningsskyldighet och betalningsarrangemangen i anslutning till betalningen av dessa skatter, samt uppgifter om överträdelser av tullagstiftningen eller skattelagstiftningen, om dessa är en förutsättning för beviljande av tillstånd, 
3) ur det trafik- och transportregister som avses i lagen om transportservice (320/2017) sådana uppgifter som är nödvändiga för utförande av Tullens lagstadgade uppdrag, 
4) ur Patent- och registerstyrelsens handelsregister sådana uppgifter om anmälningar och meddelanden som gäller näringsidkare för tullövervakning, skattekontroll, tillståndsprövning, beskattning, indrivning och tullbrottsbekämpning, samt för tullövervakning, skattekontroll och brottsbekämpning uppgifter ur handelsregistret om registrerade förmånstagare och identifieringsuppgifter om dem, 
5) ur polisens personregister sådana uppgifter som behövs för tullövervakning, skattekontroll och tullbrottsbekämpning samt för Tullens övriga uppdrag i enlighet med de ändamål som uppgifterna har registrerats för och, i de fall som avses i 13 §, för andra ändamål än de som uppgifterna har registrerats för, 
6) ur Gränsbevakningsväsendets personregister uppgifter som behövs för tullövervakning, skattekontroll, tullbrottsbekämpning och Tullens in- och utresekontroll i enlighet med 31 § i tullagen samt för Tullens övriga uppdrag i enlighet med de ändamål som uppgifterna har registrerats för och, i de fall som avses i 13 §, för andra ändamål än de som uppgifterna har registrerats för, 
7) ur Brottspåföljdsmyndighetens personregister sådana uppgifter som behövs för tullbrottsbekämpning och, i de fall som avses i 13 §, för andra ändamål än de som uppgifterna har registrerats för, 
8) av dem som utövar inkvarteringsverksamhet och av polisen sådana uppgifter som avses i 6 § 1 mom. i lagen om inkvarterings- och förplägnadsverksamhet (308/2006) och som behövs för tullbrottsbekämpning, 
9) sådana uppgifter som avses i 13—17 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) för tullövervakning, skattekontroll, beskattning, indrivning och tullbrottsbekämpning, 
10) ur det bötesregister som avses i lagen om verkställighet av böter (672/2002) uppgifter om bötesstraff och verkställigheten av dem, ur det straffregister som avses i straffregisterlagen (770/1993) uppgifter om personer och juridiska personer för de ändamål som nämns i 4 och 4 a § i den lagen och ur det register över avgöranden och meddelanden om avgöranden som avses i lagen om justitieförvaltningens riksomfattande informationssystem (372/2010) uppgifter om avgöranden i brottmål och om avgörandenas laga kraft samt ur det rikssystem för behandling av diarie- och ärendehanteringsuppgifter som avses i den lagen uppgifter om brottmål som är eller har varit anhängiga vid åklagarmyndigheter och domstolar, 
11) av justitieförvaltningsmyndigheterna uppgifter om personer som är efterlysta av justitieförvaltningen, 
12) ur utrikesförvaltningens informationssystem uppgifter om ärenden som gäller visum och om dem som hör till personalen vid diplomatiska beskickningar och konsulat som representerar den utsändande staten i Finland och om dem som hör till personalen vid en internationell organisations organ i Finland eller något annat internationellt organ i samma ställning samt om dessa personers familjemedlemmar och om dem som är i privat tjänst hos dessa personer, för utförande av de uppdrag som Tullen har enligt utlänningslagen (301/2004) och för tullövervakning, skattekontroll och tullbrottsbekämpning, 
13) ur Migrationsverkets informationssystem uppgifter om ärenden som gäller resedokument, vistelse, internationellt skydd, avlägsnande ur landet, inreseförbud och medborgarskap, för utförande av de uppdrag som Tullen har enligt utlänningslagen och för tullövervakning, skattekontroll och tullbrottsbekämpning, 
14) av teleföretag uppgifter som avses i 10 kap. 6—8 § i tvångsmedelslagen och i 2 kap. 14 § 2 mom. och 3 kap. 4 och 5 § i lagen om brottsbekämpning inom Tullen, under de förutsättningar som anges i de lagarna, för tullbrottsbekämpning, 
15) av Statens ämbetsverk på Åland, ur de uppgifter om registrering av fartyg, fartyg under byggnad och fartygs historik som avses i fartygsregisterlagen (512/1993), sådana uppgifter om fartyg samt ägare och innehavare av fartyg som behövs för de uppdrag som Tullen sköter enligt lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet (485/2004), för påförande av påföljdsavgift för transportör enligt 179 § i utlänningslagen samt för tullövervakning, skattekontroll, beskattning, indrivning och tullbrottsbekämpning, 
16) av trafik-, fiske- och miljömyndigheterna samt av polisen, Gränsbevakningsväsendet och Försvarsmakten uppgifter om fordon och deras position samt om trafik, för tullövervakning, skattekontroll och tullbrottsbekämpning, 
17) av myndigheter som har begärt handräckning de uppgifter som är nödvändiga för att handräckning ska kunna ges, 
18) ur regionförvaltningsverkets register för övervakning av penningtvätt de uppgifter och identifieringsuppgifter om den registrerade som behövs för tullövervakning, skattekontroll och tullbrottsbekämpning, 
19) av Lantmäteriverket för förhindrande, avslöjande och utredning av brott uppgifter ur det fastighetsdatasystem som avses i lagen om ett fastighetsdatasystem och anslutande informationstjänster (453/2002) och det bostadsdatasystem som avses i lagen om ett bostadsdatasystem ( / ). 
Tullen har rätt att få de uppgifter som avses i 1 mom. avgiftsfritt, om inte något annat föreskrivs i lag. 
När Tullen har fått personuppgifter av en personuppgiftsansvarig med stöd av 1 mom. ska Tullen på begäran lämna den personuppgiftsansvarige information om behandlingen av de utlämnade personuppgifterna. 
15 § 
Uppgifter som andra myndigheter lämnar ut till Tullen genom registrering via direkt anslutning eller för registrering som en datamängd 
Enligt avtal med den personuppgiftsansvarige får uppgifter lämnas ut till Tullens personregister genom direkt anslutning eller för registrering som en datamängd enligt följande: 
1) av justitieförvaltningsmyndigheterna, Brottspåföljdsmyndigheten samt Rättsregistercentralen uppgifter om personer som de har efterlyst, av Brottspåföljdsmyndigheten signalementsuppgifter om personer som avtjänar eller har avtjänat straff som riktar sig mot friheten och av Rättsregistercentralen uppgifter om näringsförbud, 
2) av polisen, Gränsbevakningsväsendet och militärmyndigheterna uppgifter om personer som de har efterlyst och av polisen och Gränsbevakningsväsendet uppgifter om identifiering av utlänningar och uppgifter som behövs för att förhindra, avslöja och utreda tullbrott, 
3) av Försvarsmakten uppgifter som behövs för att förhindra, avslöja och utreda tullbrott samt för att skydda den nationella säkerheten, 
4) av utrikesministeriet behövliga uppgifter om dem som hör till personalen vid diplomatiska beskickningar och konsulat som representerar den utsändande staten i Finland och om dem som hör till personalen vid en internationell organisations organ i Finland eller något annat internationellt organ i samma ställning samt om dessa personers familjemedlemmar och om dem som är i privat tjänst hos dessa personer, 
5) av Forststyrelsens jakt- och fiskeövervakare sådana behövliga uppgifter om vidtagna åtgärder som registrerats vid jakt- och fiskeövervakning som hör till deras behörighet. 
När Tullen har fått personuppgifter av en personuppgiftsansvarig med stöd av 1 mom. ska Tullen på begäran lämna den personuppgiftsansvarige information om behandlingen av de utlämnade personuppgifterna. 
16 § 
Vite 
Tullen kan ålägga den av vilken Tullen har rätt att få uppgifter som avses i 14 § 1 mom. 1 och 8 punkten att lämna uppgifterna inom en skälig tid. Tullen kan förena åläggandet med vite. Beslutet om föreläggande av vite ska iakttas även om ändring i beslutet söks. Vite får dock inte föreläggas om det finns skäl att misstänka någon för brott och det begärda materialet har samband med brottsmisstanken. Bestämmelser i övrigt om vite finns i viteslagen (1113/1990). 
17 § 
Behandling av personuppgifter som erhållits från en tredje stat eller en internationell organisation eller myndighet 
Vid behandlingen av personuppgifter som erhållits från en tredje stat eller en internationell organisation eller myndighet ska i fråga om sekretess, tystnadsplikt, begränsningar i användningen av personuppgifter, vidarelämnande av personuppgifter eller återsändande av utlämnat material iakttas vad som anges i de villkor som den som lämnat ut uppgifterna ställt. 
Om inte något annat följer av 1 mom., får Tullen använda de utlämnade personuppgifterna för andra ändamål än de för vilka uppgifterna lämnades ut, med iakttagande av 13 § 1 mom. 
4 kap. 
Utlämnande av personuppgifter 
18 § 
Utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål 
Tullen får trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd lämna ut sådana personuppgifter som avses i 5—8 och 11 § till polisen, Gränsbevakningsväsendet, Försvarsmakten, åklagare, domstolar, Rättsregistercentralen, Brottspåföljdsmyndigheten och andra myndigheter för de uppgifter enligt 1 § i dataskyddslagen avseende brottmål som myndigheten har enligt lag.  
19 § 
Övrigt utlämnande av personuppgifter till myndigheter 
Tullen får trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd lämna ut sådana personuppgifter som avses i 5—8 och 11 § och som behövs för att utföra en uppgift som myndigheten har enligt lag, enligt följande: 
1) till Skatteförvaltningen för verkställande av beskattning, indrivning av skatter och avgifter, ändringssökande i skatteärenden, utsökning och bevakning av statens intresse eller rätt; bestämmelser om utlämnande av uppgifter till Skatteförvaltningen finns dessutom i 160 § 3 mom. i mervärdesskattelagen (1501/1993) och i 29 § 6 mom. i lagen om beskattningsförfarandet beträffande skatter som betalas på eget initiativ (768/2016), 
2) till Trafiksäkerhetsverket de uppgifter i enlighet med IV avd. 2 kap. 2 § och V avd. 1 kap. 2 § i lagen om transportservice som är nödvändiga för skötseln av verkets lagstadgade uppdrag, 
3) till Nödcentralsverket för utförande av de uppdrag som anges i 19 § 1 mom. i lagen om nödcentralsverksamhet (692/2010) uppgifter som behövs för att säkerställa förberedande åtgärder eller arbetarskyddet eller för att stödja enheten i fråga, med iakttagande av vad som föreskrivs om begränsning av rätten att få uppgifter i 2 mom. i den paragrafen, 
4) till räddningsmyndigheterna för räddningsverksamhet som avses i 32 § i räddningslagen (379/2011), brandutredning som avses i 41 § i den lagen och brandsyn som avses i 80 § i den lagen samt för övriga tillsynsuppgifter, 
5) till polisen och till en person som verkar utomlands i egenskap av en av Finland utsänd kontaktperson för polisen, för övervakning av personers inresa och utresa och utförande av den in- och utresekontroll som ingår i det, för övervakning av efterlevnaden av bestämmelserna om utlänningar samt för vidtagande av tullåtgärder, för andra polisuppdrag som uppgifterna har samlats in och registrerats för och för andra ändamål än de som uppgifterna har samlats in och registrerats för när det gäller de fall som avses 13 § och 15 § 1 mom. i lagen om behandling av personuppgifter i polisens verksamhet ( / ), samt för stämning och annan delgivning, 
6) till Gränsbevakningsväsendet för gränskontroll samt upprätthållande av gränssäkerheten och gränsordningen, för övervakning av efterlevnaden av bestämmelserna om utlänningar, för vidtagande av tullåtgärder, för de uppgifter som anges i sjöräddningslagen (1145/2001) samt för stämning och annan delgivning, för ändamål som motsvarar de som uppgifterna har samlats in och registrerats för samt för andra ändamål i de fall som avses i 14 och 15 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ), 
7) till utrikesministeriet och finska beskickningar för behandling av ärenden som hör till deras behörighet och som gäller pass eller något annat resedokument, visum, uppehållstillstånd för arbetstagare, uppehållstillstånd för näringsidkare eller något annat uppehållstillstånd, 
8) till arbetsmyndigheterna för behandling av ärenden som gäller uppehållstillstånd för arbetstagare eller uppehållstillstånd för näringsidkare eller övervakning av arbete, 
9) till Migrationsverket för behandling och avgörande av sådana ärenden avseende utlänningar och finskt medborgarskap som enligt lag hör till Migrationsverket, 
10) till en utmätningsman i enlighet med 3 kap. 67 § i utsökningsbalken (705/2007) för utsökningsutredningar eller annan verkställighet av utsökningsärenden, 
11) till en tjänsteman som nämns i 1 eller 6 § i lagen om stämningsmän (505/1986), för stämning till en rättegång för bestämmande av förvandlingsstraff samt till stämningsmän för delgivning av stämning samt annan delgivning, behövliga personuppgifter, uppgifter om säkerhet i arbetet och uppgifter om anhållna i informationssystemet för brottsbekämpning, 
12) till Forststyrelsens jakt- och fiskeövervakare för jakt- och fiskeövervakning som hör till deras behörighet, 
13) till de myndigheter som avses i lagen om transport av farliga ämnen (719/1994) för övervakning av transport av farliga ämnen, 
14) till strålsäkerhetscentralen för de tillsynsuppgifter som avses i 6 § i strålskyddslagen (592/1991), 
15) till finansministeriet för beredning av skattelagstiftning och uppföljning av verkställigheten av den samt för uppgörande av statsbudgeten. 
Uppgifter som hör till särskilda kategorier av personuppgifter får lämnas ut för de ändamål som anges i 1 mom. endast om detta är nödvändigt för att utföra en uppgift som myndigheten har enligt lag. 
Innan personuppgifter lämnas ut ska mottagaren av uppgifterna för den personuppgiftsansvarige lägga fram tillförlitlig utredning om att uppgifterna skyddas på behörigt sätt. 
Kvaliteten på de uppgifter som lämnas ut ska om möjligt bekräftas och uppgifterna ska vid behov förses med information som gör det möjligt för mottagaren att bedöma hur korrekta, fullständiga, aktuella och tillförlitliga uppgifterna är. Om det framgår att felaktiga uppgifter har lämnats ut eller att uppgifter lämnats ut i strid med lag, ska detta utan dröjsmål meddelas mottagaren. 
20 § 
Utlämnande av personuppgifter via det allmänna datanätet 
För att underrätta allmänheten och få in tips från allmänheten får Tullen trots sekretessbestämmelserna via det allmänna datanätet lämna ut uppgifter som Tullen behöver informera om för att brott ska kunna förebyggas, för att egendom ska kunna återställas till ägaren eller av skäl som har samband med utredningen. Personuppgifter ska kunna sökas endast genom enskilda sökningar. 
För att underrätta allmänheten och få in tips från allmänheten får Tullen trots sekretessbestämmelserna via det allmänna datanätet dessutom lämna ut uppgifter som det särskilt måste informeras om för att saken är brådskande, för att det är fråga om en farosituation, för att brott ska kunna förebyggas, för att egendom ska kunna återställas till ägaren eller av skäl som har samband med en utredning. Uppgifterna får lämnas på något annat sätt än vad som avses i 1 mom. endast när det är av väsentlig betydelse för utförande av en för Tullen i lag föreskriven uppgift och utlämnandet av uppgifterna inte strider mot den registrerades legitima intresse. Uppgifter som erhållits från en annan myndighet får endast lämnas ut med samtycke av den myndighet som lämnat ut uppgifterna. 
21 § 
Utlämnande av personuppgifter till brottsbekämpande myndigheter i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet 
Tullen får trots sekretessbestämmelserna lämna ut personuppgifter som avses i 5—8, 11 och 12 § till sådana behöriga myndigheter i andra medlemsstater i Europeiska unionen och i stater som hör till Europeiska ekonomiska samarbetsområdet som behandlar personuppgifterna för de ändamål som anges i artikel 1.1 i Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, under samma förutsättningar som Tullen själv får behandla personuppgifterna i fråga.  
Tullen får dessutom trots sekretessbestämmelserna lämna ut uppgifter som avses i 5—8 och 11 § till Eurojust och sådana andra institutioner som inrättats med stöd av fördraget om Europeiska unionens funktionssätt som har till uppgift att trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet eller förebygga och utreda brott och sörja för att brott blir föremål för åtalsprövning, om uppgifterna behövs för utförande av dessa uppdrag. Personuppgifter som hör till särskilda kategorier av personuppgifter får dock lämnas ut endast om de är nödvändiga för utförandet av dessa uppdrag. 
Uppgifter som avses i 1 och 2 mom. får lämnas ut också som en datamängd. 
Utöver vad som föreskrivs i denna lag och i dataskyddslagen avseende brottmål finns bestämmelser om utlämnande av personuppgifter till de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater i lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009). 
22 § 
Utlämnande av personuppgifter till stater som använder Schengens informationssystem och till Schengens informationssystem 
Tullen får trots sekretessbestämmelserna för registrering i Schengens informationssystem lämna ut personuppgifter som behövs för de ändamål som anges i författningsgrunden för Schengens informationssystem. Den tilläggsinformation som avses i författningsgrunden för Schengens informationssystem ska lämnas ut genom förmedling av Sirenekontoret. Centralkriminalpolisen är Sirenekontor. Uppgifterna får också lämnas ut genom en teknisk anslutning eller som en datamängd. 
23 § 
Utlämnande av personuppgifter till Europol 
Tullen får trots sekretessbestämmelserna lämna ut personuppgifter till Europeiska unionens byrå för samarbete inom brottsbekämpning med iakttagande av bestämmelserna i Europolförordningen och lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning (214/2017).  
24 § 
Beslut om utlämnande av uppgifter 
Beslut om rätten att lämna ut uppgifter ur Tullens personregister genom en teknisk anslutning eller som en datamängd samt om rätten för myndigheter som avses i 3 kap. att lämna ut uppgifter till Tullens informationssystem genom en teknisk anslutning eller som en datamängd fattas av den personuppgiftsansvarige eller av en sådan verksamhetsenhet inom Tullen som den personuppgiftsansvarige har förordnat till uppgiften. 
När beslut om utlämnande fattas ska uppgifternas art beaktas för att den registrerades integritetsskydd och datasäkerheten ska kunna tryggas. 
5 kap. 
Radering och arkivering av personuppgifter 
25 § 
Radering av personuppgifter som anknyter till brottmål 
Uppgifterna i ett brottmål som överförts till en åklagare för avgörande ska raderas 
1) 5 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till böter eller ett fängelsestraff på högst ett år, 
2) 10 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på över ett och högst fem år,  
3) 20 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till fängelse i över fem år. 
De uppgifter som avses i 1 mom. raderas dock tidigast ett år efter det att åtalsrätten för brottet har preskriberats. 
Uppgifterna i övriga brottmål än de som avses i 1 mom. ska raderas ett år efter det att åtalsrätten för det sista misstänkta brottet preskriberats, dock tidigast 5 år efter det att brottmålet registrerades.  
De i 1 mom. avsedda personuppgifter som anknyter till brottmål får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Tullens personal har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
26 § 
Radering av andra personuppgifter som behandlas i undersökningsuppgifter 
Andra personuppgifter som behandlas för ändamål som avses i 5 § än de uppgifter som avses i 25 § ska raderas 5 år efter det att anmälan eller ärendet registrerades, om inte de hänför sig till ett brottmål som utreds.  
Med avvikelse från vad som anges i 1 mom. ska 
1) uppgifter om näringsförbud raderas 5 år efter det att näringsförbudet upphörde, 
2) uppgifter om efterlysning eller reseförbud som behandlas för att personer ska kunna påträffas, övervakas, observeras och skyddas raderas 3 år efter det att efterlysningen eller förbudet upphörde. 
De uppgifter som avses i 6 § 3 punkten raderas dock senast ett år efter den registrerades död. 
De personuppgifter som avses i 1—3 mom. får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Tullens personal har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
27 § 
Radering av personuppgifter som anknyter till förbyggande eller avslöjande av brott 
Personuppgifter i anknytning till förebyggande och avslöjande av brott ska raderas senast 10 år från det att den sista uppgiften om ett brott, brottslig verksamhet eller ett uppdrag infördes. Uppgifter som avses i 7 § 5 mom. ska dock raderas senast sex månader från det att anteckningen infördes och uppgifter som avses i 8 § 1 mom. 4 punkten senast ett år efter den registrerades död. 
Personuppgifter som avses i 1 mom. får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Tullens personal har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
28 § 
Radering av uppgifter om informationskällor 
Uppgifter om en informationskälla ska raderas senast 10 år från det att den sista uppgiften infördes. 
29 § 
Radering av personuppgifter som anknyter till tullövervakning och skattekontroll 
Personuppgifter som anknyter till tullövervakning och skattekontroll ska raderas vid utgången av det sjätte kalenderår som följer på registreringen av uppgiften. De identifieringsuppgifter som avses i 10 § 2 mom. 1 punkten raderas dock med iakttagande av bestämmelserna i 25 och 26 §. 
30 § 
Radering av personuppgifter som erhållits genom teknisk övervakning 
Bild- och ljudupptagningar som erhållits genom teknisk övervakning ska raderas sex månader efter det att anteckningen infördes i datasystemet. 
Uppgifter som gäller inspelning och identifiering av registreringsskyltar ska raderas vid utgången av det kalenderår som följer på registreringen av uppgiften. 
31 § 
Uppgifter som konstaterats vara felaktiga 
Oberoende vad som i dataskyddslagen avseende brottmål och dataskyddsförordningen föreskrivs om rättelse av oriktiga uppgifter, får en uppgift som konstaterats vara felaktig bevaras tillsammans med den korrigerade uppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Tullens personal har. En sådan uppgift får användas endast i detta syfte. 
En uppgift som konstaterats vara felaktig och som bevaras med stöd av 1 mom. ska raderas genast när den inte längre behövs för att trygga rättigheterna. 
32 § 
Arkivering av uppgifter 
Bestämmelser om arkivfunktionens uppgifter och om handlingar som ska arkiveras finns i arkivlagen (831/1994). 
6 kap. 
Den registrerades rättigheter 
33 § 
Tillgodoseende av den registrerades rätt till insyn 
I syfte att tillgodose den registrerades rätt till insyn enligt 23 § i dataskyddslagen avseende brottmål och den registrerades rätt till tillgång till uppgifter enligt artikel 15 i dataskyddsförordningen lämnar den personuppgiftsansvarige ut de behövliga personuppgifterna och andra uppgifter för utövande av insyn, om inte den personuppgiftsansvarige har förordnat en verksamhetsenhet inom Tullen att lämna ut uppgifterna. 
En registrerad som vill utöva sin rätt till insyn ska framställa en personlig begäran om detta till den personuppgiftsansvarige eller någon annan i 1 mom. avsedd verksamhetsenhet inom Tullen samt styrka sin identitet. En begäran kan också framställas genom att använda sådan stark autentisering som avses i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009), om en sådan tjänst används.  
34 § 
Inskränkningar i rätten till insyn 
Med avvikelse från 23 § i dataskyddslagen avseende brottmål har den registrerade inte rätt till insyn i 
1) personuppgifter som avses i 5 § 3 mom., 7 § 6 mom. och 9 §, 
2) sådana uppgifter om Tullens taktiska eller tekniska metoder, observationsuppgifter, uppgifter om informationskällor eller uppgifter som används för teknisk undersökning, som ingår i de personuppgifter som avses i 5—8 och 10 §, 
3) uppgifter för inspelning och identifiering av registreringsskyltar, 
4) personuppgifter som erhållits genom de inhämtningsmetoder som avses i 3 kap. i lagen om brottsbekämpning inom Tullen och 10 kap. i tvångsmedelslagen samt med stöd av 157 § i lagen om tjänster inom elektronisk kommunikation (917/2014). 
Bestämmelser om utövande av den registrerades rättigheter via dataombudsmannen finns i 29 § i dataskyddslagen avseende brottmål och 34 § i dataskyddslagen. En begäran om utövande av rättigheterna ska lämnas till dataombudsmannen eller Tullen i enlighet med 33 § 2 mom. i denna lag. En begäran som lämnats till Tullen ska utan dröjsmål sändas till dataombudsmannen. 
35 § 
Den registrerades rätt till begränsning av behandling 
Vad som i artikel 18 i dataskyddsförordningen föreskrivs om den registrerades rätt till begränsning av behandling ska inte tillämpas på sådan behandling av personuppgifter som avses i denna lag. 
7 kap. 
Särskilda bestämmelser 
36 § 
Personuppgiftsansvarig 
Tullen är personuppgiftsansvarig för de personuppgifter som avses i 2 kap. I fråga om den personuppgiftsansvarige för de signalementsuppgifter som avses i 6 § 1 mom. 2 punkten gäller dock vad som föreskrivs särskilt. 
37 § 
Ikraftträdande 
Denna lag träder i kraft den 20 . 
Genom denna lag upphävs lagen om behandling av personuppgifter inom Tullen (639/2015), nedan den upphävda lagen
På radering av personuppgifter som avses i denna lag får de bestämmelser som gällde vid ikraftträdandet av denna lag tillämpas i fyra år från ikraftträdandet av lagen. Under denna övergångstid ska på radering av personuppgifter som avses i 5—8, 10 och 11 § tillämpas den upphävda lagens 19—23 § i den lydelse paragraferna hade vid ikraftträdandet av denna lag.  
2. 
Lag 
om ändring av lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet  
I enlighet med riksdagens beslut 
ändras i lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009) 3 § 2 punkten, 5 § 2 och 3 mom. samt 6 § 2 och 3 mom., 
sådana de lyder, 3 § 2 punkten, 5 § 3 mom. och 6 § 3 mom. i lag 649/2015 samt 5 § 2 mom. och 6 § 2 mom. i lag 312/2016, som följer: 
3 § 
Definition av information och underrättelser 
I denna lag avses med information och underrättelser 
2) uppgifter som avses i 2 kap. i lagen om behandling av personuppgifter inom Tullen ( / ), 
5 § 
Utlämnande av information och underrättelser på begäran 
Information och underrättelser lämnas ut under de förutsättningar som anges i 17—19 § i lagen om behandling av personuppgifter i polisens verksamhet, 21 § i lagen om behandling av personuppgifter inom Tullen och 26—28 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet. 
På beslutsfattande som gäller utlämnande av information och underrättelser tillämpas vad som bestäms i 20 § lagen om behandling av personuppgifter i polisens verksamhet, 24 § i lagen om behandling av personuppgifter inom Tullen, 29 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet samt någon annanstans i lag. 
6 § 
Utlämnande av information och underrättelser på eget initiativ 
Information och underrättelser lämnas ut under de förutsättningar som anges i 17—19 § i lagen om behandling av personuppgifter i polisens verksamhet, 21 § i lagen om behandling av personuppgifter inom Tullen och 26—28 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet.  
På beslutsfattande som gäller utlämnande av information och underrättelser tillämpas vad som bestäms i 20 § lagen om behandling av personuppgifter i polisens verksamhet, 24 § i lagen om behandling av personuppgifter inom Tullen, 29 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet samt någon annanstans i lag. 
Denna lag träder i kraft den 20 . 
3. 
Lag 
om ändring av lagen om brottsbekämpning inom Tullen 
I enlighet med riksdagens beslut 
ändras i lagen om brottsbekämpning inom Tullen (623/2015) 2 kap. 15 § 2 mom. och 3 kap. 40 § 1 mom. samt 54 § 2 mom., sådana de lyder i lag 310/2016, som följer: 
2 kap. 
Tullens befogenheter vid tullbrottsbekämpning 
15 § 
Identifiering 
Om någon vägrar lämna uppgifter enligt 1 mom. och personen inte kan identifieras på annat sätt, har en tullman inom tullbrottsbekämpningen rätt att utreda identiteten med hjälp av signalement samt med stöd av de uppgifter som avses i 5 och 6 § i lagen om behandling av personuppgifter inom Tullen ( / ) och i 2 § i lagen om behandling av personuppgifter i polisens verksamhet (761/2003). I sådana situationer ska det som föreskrivs i 8 kap. 33 § 2—4 mom. i tvångsmedelslagen om förrättande av genomsökning av personer iakttas.  
3 kap. 
Hemliga metoder för inhämtande av information 
40 § 
Behandling av uppgifter om en informationskälla och betalning av arvode 
Uppgifter om en informationskälla får behandlas i enlighet med 9 § i lagen om behandling av personuppgifter inom Tullen.  
54 § 
Utplåning av information 
Överskottsinformation får dock bevaras och lagras i enlighet med 5 och 7 § i lagen om behandling av personuppgifter inom Tullen, om den gäller ett brott som avses i 53 §. Information som inte har lagrats eller fogats till förundersökningsmaterial ska utan onödigt dröjsmål utplånas så snart det blivit uppenbart att den inte kan användas eller den inte längre behövs för att förhindra eller utreda ett tullbrott. 
Denna lag träder i kraft den 20 . 
4. 
Lag 
om ändring av 10 kap. 57 § i tvångsmedelslagen 
I enlighet med riksdagens beslut 
ändras i tvångsmedelslagen (806/2011) 10 kap. 57 § 1 mom., sådant det lyder i lag 112/2018, som följer: 
10 kap. 
Hemliga tvångsmedel 
57 § 
Utplåning av information 
Överskottsinformationen ska utplånas efter det att målet har avgjorts genom en lagakraftvunnen dom eller avskrivits. Informationen får dock bevaras och lagras i ett register som avses i lagen om behandling av personuppgifter i polisens verksamhet, i enlighet med lagen om behandling av personuppgifter inom Tullen ( / ) eller i ett register som avses i lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005), om informationen gäller ett brott som avses i 56 § 1 eller 2 mom. i detta kapitel eller om den behövs för att förhindra ett brott som avses i 15 kap. 10 § i strafflagen. Information som inte ska utplånas ska bevaras i fem år efter det att målet har avgjorts genom en lagakraftvunnen dom eller avskrivits. 
Denna lag träder i kraft den 20 . 
5. 
Lag 
om ändring av 10 § i lagen om genomförande av vissa bestämmelser i beslutet om Eurojust 
I enlighet med riksdagens beslut  
ändras i lagen om genomförande av vissa bestämmelser i beslutet om Eurojust (742/2010) 10 § 2 mom., sådant det lyder i lag 648/2015, som följer: 
10 § 
Utlämnande av personuppgifter till Eurojust 
Vid utlämnande av uppgifter till Eurojust ur polisens, gränsbevakningsväsendets och Tullens personregister tillämpas 29 § i lagen om behandling av personuppgifter i polisens verksamhet (761/2003), 38 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005), 21 § i lagen om behandling av personuppgifter inom Tullen ( / ) och 30 § i lagen om offentlighet i myndigheternas verksamhet (621/1999). 
Denna lag träder i kraft den 20 . 
6. 
Lag 
om ändring av 12 § i lagen om Enheten för utredning av grå ekonomi 
I enlighet med riksdagens beslut  
ändras i lagen om Enheten för utredning av grå ekonomi (1207/2010) 12 § 2 mom., sådant det lyder i lag 645/2015, som följer: 
12 § 
Behandling av personuppgifter och rätt till insyn 
En registrerad har dock inte rätt till insyn i de uppgifter som avses i 45 § i lagen om behandling av personuppgifter i polisens verksamhet (761/2003), i 42 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005) eller i 34 § i lagen om behandling av personuppgifter inom Tullen ( / ). 
Denna lag träder i kraft den 20 . 
7. 
Lag 
om ändring av 87 a § i bilskattelagen 
I enlighet med riksdagens beslut 
ändras i bilskattelagen (1482/1994) 87 a § 3 mom., sådant det lyder i lag 1192/2016, som följer: 
87 a § 
Bestämmelser om Tullens rätt att få uppgifter ur skattemyndighetens datasystem finns i 14 § 1 mom. 2 punkten i lagen om behandling av personuppgifter inom Tullen ( / ). 
Denna lag träder i kraft den 20 . 
8. 
Lag 
om ändring av 4 a § i punktskattelagen 
I enlighet med riksdagens beslut 
ändras i punktskattelagen (182/2010) 4 a § 3 mom., sådant det lyder i lag 1178/2016, som följer: 
4 a § 
Utbyte av information mellan Tullen och Skatteförvaltningen 
Bestämmelser om Tullens rätt att få uppgifter ur Skatteförvaltningens datasystem finns i 14 § 1 mom. 2 punkten i lagen om behandling av personuppgifter inom Tullen ( / ). 
Denna lag träder i kraft den 20 . 
9. 
Lag 
om ändring av 322 § i lagen om tjänster inom elektronisk kommunikation 
I enlighet med riksdagens beslut 
ändras i lagen om tjänster inom elektronisk kommunikation (917/2014) 322 § 1 mom., sådant det lyder i lag 118/2018, som följer: 
322 § 
Vissa andra myndigheters rätt att få information 
Bestämmelser om myndigheters rätt att få förmedlingsuppgifter för att förebygga, avslöja och utreda brott finns i polislagen, lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018), lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005), lagen om brottsbekämpning inom Tullen (623/2015), lagen om behandling av personuppgifter inom Tullen ( / ) och tvångsmedelslagen. 
Denna lag träder i kraft den 20 . 
10. 
Lag 
om ändring av 25 § i säkerhetsutredningslagen 
I enlighet med riksdagens beslut 
ändras i säkerhetsutredningslagen (726/2014) 25 § 1 mom. 7 punkten som följer: 
25 § 
Informationskällor vid normal säkerhetsutredning av person 
En säkerhetsutredning av person får bygga enbart på registeruppgifter som finns i 
7) uppgifter som avses i 5 § 1 och 2 mom. och 6 § i lagen om behandling av personuppgifter inom Tullen ( / ), 
Denna lag träder i kraft den 20 . 
Helsingfors den 29 november 2018 
Statsminister
Juha
Sipilä
Finansminister
Petteri
Orpo
Senast publicerat 29.11.2018 14:07