Regeringens proposition
RP
55
2018 rd
Regeringens proposition till riksdagen med förslag till lag om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet och till vissa lagar som har samband med den
PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL
I denna proposition föreslås det att det stiftas en lag genom vilken Europaparlamentets och rådets direktiv om användning av passageraruppgiftssamlingar för att bekämpa terroristbrott och grov brottslighet genomförs. I syfte att säkerställa integritetsskyddet ska det i lagen föreskrivas om ändamålen med behandlingen av flygpassageraruppgifter (PNR-uppgifter) och förutsättningarna för att uppgifterna ska kunna överlåtas. Genom propositionen genomförs också delvis den resolution om bekämpning av terrorism och s.k. utländska stridande som Förenta nationernas säkerhetsråd antog den 21 december 2017 och som bl.a. ålägger de behöriga myndigheterna i FN:s medlemsstater att samla in PNR-uppgifter som inom lufttrafiken.  
Den föreslagna lagen ska innehålla bestämmelser om att den riksomfattande kriminalunderrättelseenhet som avses i lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet ska fungera som en nationell enhet som behandlar passagerarinformation. I propositionen föreslås också smärre revideringar av teknisk natur i den nämnda lagen om samarbete mellan myndigheter och i lagen om verkställighet av böter.  
Lagarna avses träda i kraft så snart som möjligt.  
ALLMÄN MOTIVERING
1
Inledning
Europaparlamentets och rådets direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (nedan PNR-direktivet) utfärdades den 27 april 2016. Medlemsstaterna ska sätta i kraft de lagar, förordningar och administrativa föreskrifter som är nödvändiga för att följa PNR-direktivet senast den 25 maj 2018. De ska utan dröjsmål informera kommissionen om detta.  
Förenta nationernas säkerhetsråd antog den 21 december 2017 resolution 2396 i syfte att identifiera sådant resande i anknytning till terrorism som hänför sig till utländska stridande. Resolutionen ålägger de behöriga myndigheterna i FN:s medlemsstater att samla in PNR-uppgifter också av lufttrafikföretag, utnyttja uppgifterna för brottsbekämpning och utbyta uppgifter sinsemellan och mellan medlemsstaterna för att identifiera och förebygga sådana terroristbrott och resor i samband med dem som sker mellan medlemsstaterna. Verksamheten ska beakta Internationella civila luftfartsorganisationens (ICAO) standarder och rekommendationer, och ICAO uppmanas till samarbete med medlemsstaterna i utvecklingen av standarderna. För att bemöta hotet från återvändande utländska stridande uppmanar resolutionen också de brottsbekämpande myndigheterna, de myndigheter som ansvarar för gränssäkerheten och tullmyndigheterna att utnyttja den internationella kriminalpolisorganisationens (Interpol) databaser för att jämföra passageraruppgifter för lufttrafiken och land- och sjötrafiken. 
2
Nuläge
2.1
Lagstiftning
Till Polisens, Tullens och Gränsbevakningsväsendets (nedan PTG-myndigheter) uppgifter hör även brottsbekämpning. Denna verksamhet sköts delvis som samarbete, som regleras i lagen om samarbete mellan polisen, tullen och gränsbevakningsväsendet (687/2009, nedan PTG-lagen). Syftet med lagen är att främja samarbetet mellan polisen, Tullen och Gränsbevakningsväsendet och genomförandet av gemensamma riktlinjer för PTG-myndigheternas verksamhet så att PTG-myndigheternas lagstadgade uppgifter och enskilda åtgärder när det gäller förebyggande, avslöjande och utredning av brott (brottsbekämpning), övervakning samt internationellt samarbete i anslutning till dessa utförs på ett ändamålsenligt, effektivt och ekonomiskt sätt. Med samarbete avses i PTG-lagen åtgärder som vidtas i samband med brottsbekämpning, övervakning eller internationellt samarbete för en annan PTG-myndighets räkning eller för att bistå den andra myndigheten inom dennas uppgiftsområde samt samarbete som bedrivs inom PTG-myndigheternas gemensamma uppgiftsområde. 
Alla PTG-myndigheter har på det sätt som beskrivs nedan rätt att för skötseln av sina egna brottsbekämpningsuppgifter få uppgifter ur register som gäller passagerare genom teknisk anslutning eller som en datamängd. Denna rätt till information är inte begränsad enbart till flygtrafiken utan gäller alla transportformer. Således är inte genomförandet av PNR-direktivet och lufttrafikföretags skyldighet att överföra uppgifter till myndigheterna en ny skyldighet, även om formen är ny.  
Polisen 
Polisens uppgift är enligt 1 § 1 mom. i polislagen att trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet samt att förebygga, avslöja och utreda brott och föra brott till åtalsprövning. Polisen ska upprätthålla säkerheten i samarbete med andra myndigheter samt med sammanslutningar och invånarna och sköta det internationella samarbete som hör till dess uppgifter. 
Centralkriminalpolisen ska enligt 9 § 1 mom. 1 punkten i polisförvaltningslagen (110/1992) bekämpa internationell, organiserad, yrkesmässig, ekonomisk och annan allvarlig brottslighet. 
Skyddspolisen har enligt 10 § i polisförvaltningslagen till uppgift att bekämpa förehavanden och brott som kan äventyra stats- och samhällsskicket eller rikets inre eller yttre säkerhet samt att utföra undersökning av sådana brott. Skyddspolisen ska även upprätthålla och utveckla en allmän beredskap för att förebygga verksamhet som äventyrar rikets säkerhet. 
Bestämmelser om Polisens rätt att få uppgifter om passagerare för förhindrande eller utredning av brott finns i 4 kap. 3 § i polislagen (872/2011) samt i 13 § 1 mom. 16 punkten och 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet (761/2003).  
Enligt 4 kap. 3 § 1 mom. i polislagen har polisen oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet på begäran av en polisman som hör till befälet rätt att få information som behövs för förhindrande eller utredning av brott. Om ett viktigt allmänt eller enskilt intresse kräver det har polisen samma rätt att få information som behövs vid polisundersökning enligt 6 kap. Den rätt att få passageraruppgifter som anges i polislagen gäller endast enskilda fall och medger inte att uppgifter fås genom en teknisk anslutning eller som en datamängd. 
Enligt 13 § 1 mom. 16 punkten i lagen om behandling av personuppgifter i polisens verksamhet har polisen utöver vad som föreskrivs i någon annan lag trots sekretessbestämmelserna rätt att i enlighet med vad som avtalas om saken med den registeransvarige i fråga ur vissa register genom en teknisk anslutning eller som en datamängd få sådan information som polisen behöver för att utföra sina uppdrag och föra sina personregister av samfund och sammanslutningar uppgifter ur register som gäller passagerare och fordons personal, för förhindrande, avslöjande och utredning av brott, för överlämnande till åtalsprövning samt för att nå efterlysta personer. Enligt 13 § 2 mom. i den lagen kan polisen ålägga den av vilken polisen har rätt att få uppgifterna i fråga att lämna uppgifterna inom en skälig tid. Polisen kan förena åläggandet med vite. Beslutet om föreläggande av vite ska iakttas även om ändring i beslutet söks. Vite får dock inte föreläggas om det finns skäl att misstänka någon för brott och det begärda materialet har samband med brottsmisstanken. Bestämmelser i övrigt om vite finns i viteslagen. 
Tullen 
Till Tullens uppgifter hör förutom tullklarerings-, tullövervaknings- och tullbeskattningsuppgifter enligt tullagen (304/2016) tullbrottsbekämpning. Med tullbrottsbekämpning avses enligt 2 § 2 punkten i lagen om brottsbekämpning inom Tullen (623/2015) förhindrande, avslöjande och utredning av tullbrott. Med tullbrott avses enligt 2 § 1 punkten i den lagen brott som innebär överträdelse av en sådan bestämmelse i tullagen eller någon annan lag vars iakttagande Tullen ska övervaka eller som Tullen ska verkställa, mot tullman riktat hindrande av tjänsteman enligt 16 kap. 3 § och tredska mot tullman enligt 16 kap. 4 b § i strafflagen (39/1889), olaga befattningstagande med infört gods enligt 46 kap. 6 och 6 a § i strafflagen samt sådant brott i vilket ingår import, export eller transitering genom Finland av egendom.  
Bestämmelser om Tullens rätt att få passageraruppgifter för att förebygga eller utreda brott finns i 2 kap. 14 § i lagen om brottsbekämpning inom Tullen samt i 13 § 1 mom. 1 punkten och 2 mom. i lagen om behandling av personuppgifter inom Tullen (639/2015).  
Enligt 2 kap. 14 § i lagen om brottsbekämpning inom Tullen har Tullen oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar, förvaltningsrådsmedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet rätt att av en privat eller offentlig sammanslutning eller en enskild få information som behövs för förhindrande, avslöjande eller utredning av tullbrott. Enligt 14 § 4 mom. kan informationen lämnas med hjälp av en elektronisk dataöverföringsmetod, om det har säkerställts att informationen skyddas på det sätt som avses i 32 § 1 mom. i personuppgiftslagen (523/1999). Tullen kan förelägga att informationen ska lämnas inom en skälig tid. Enligt 14 § 5 mom. i lagen kan Tullen förena föreläggandet med vite. Beslutet om föreläggande av vite ska iakttas även om ändring i beslutet söks. Vite får dock inte föreläggas om det finns skäl att misstänka den som saken gäller för brott och det begärda materialet hänför sig till den sak som berörs av brottsmisstanken. Närmare bestämmelser om föreläggande av vite och vitesbeloppet får utfärdas genom förordning av finansministeriet. I övrigt finns bestämmelser om vite i viteslagen (1113/1990). 
Bestämmelser om Tullens rätt att få uppgifter om passagerare för tullbrottsbekämpning finns i 13 § 1 mom. 1 punkten i lagen om behandling av personuppgifter inom Tullen. Enligt den punkten har Tullen utöver vad som föreskrivs någon annanstans i lag trots sekretessbestämmelserna rätt att i enlighet med vad som avtalas om saken med den registeransvarige, ur vissa register och även genom teknisk anslutning eller som en datamängd få och i övrigt behandla sådan information som Tullen behöver för att utföra sina uppdrag och föra sina personregister ur samfunds och sammanslutningars personregister och övriga register för tullbrottsbekämpning behövliga uppgifter om passagerare, fordons personal samt om fordon och varor som transporteras. Enligt 13 § 2 mom. i lagen har Tullen rätt att få och i övrigt behandla uppgifter som behövs för att genomföra in- och utresekontroller enligt 31 § i tullagen, med iakttagande av vad som anges i 22 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005) när det gäller gränsbevakningsväsendets rätt att få och i övrigt behandla uppgifter för att upprätthålla gränssäkerheten. Enligt lagens 31 § kan Tullen ålägga den registeransvarige att lämna ut uppgifter som avses i 13 § 1 mom. 1 punkten inom en tid som Tullen sätter ut. Tullen kan förena föreläggandet för den registeransvarige med vite. Beslutet om föreläggande av vite ska iakttas även om ändring i beslutet söks. I övrigt finns bestämmelser om vite i viteslagen. 
För närvarande får Tullen för tullbrottsbekämpning i regel uppgifter om passagerare på olika kommunikationsmedel enligt trafikidkare via olika elektroniska kanaler. Tullen använder sig i detta sammanhang av samförståndsavtal som ingåtts med trafikidkarna, där man kommit överens om utlämnande av uppgifter.  
Gränsbevakningsväsendet 
Enligt 3 § i gränsbevakningslagen (578/2005) är målet för gränsbevakningsväsendets verksamhet att upprätthålla gränssäkerheten. Gränsbevakningsväsendet samarbetar med andra myndigheter för att upprätthålla gränssäkerheten. Gränsbevakningsväsendet utför i samarbete med andra myndigheter tillsynsuppgifter om vilka det föreskrivs särskilt och vidtar åtgärder för förebyggande och utredning av brott och väckande av åtal. Gränsbevakningsväsendet utför polisuppgifter, tulluppgifter och efterspanings- och räddningsuppgifter och deltar i det militära försvaret. 
I lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005) finns bestämmelser om gränsbevakningsväsendets rätt att få passageraruppgifter för att underlätta gränskontrollerna och bekämpa olaglig inresa och olaglig invandring samt i andra uppdrag som föreskrivs för gränskontrollmyndigheten. I 19 § i lagen föreskrivs om uppgifter om personer i fordon som passerar den yttre gränsen. Enligt 1 mom. har gränsbevakningsväsendet utan hinder av sekretessbestämmelserna i fråga om brott som gränsbevakningsväsendet utreder rätt att av samfund och sammanslutningar ur register som gäller passagerare och fordons personal få uppgifter som behövs för förebyggande och utredning av brott och för väckande av åtal samt för upprätthållande av gränssäkerheten. Enligt överenskommelse med den registeransvarige har gränsbevakningsväsendet rätt att få uppgifter också genom en teknisk anslutning. 
Enligt 2 mom. i paragrafen ska föraren av ett fordon som anländer till eller avgår från Finland och passerar den yttre gränsen till gränskontrollmyndigheten vid in- respektive utresestället lämna uppgifter om personerna i fordonet. Befälhavaren för ett fartyg eller luftfartyg samt ägaren eller innehavaren av ett tåg eller något annat trafikmedel eller dennes företrädare ska till gränskontrollmyndigheten vid in- eller utresestället lämna en passagerar- och besättningsförteckning eller i övrigt uppgifter om trafikmedlets personal och passagerare samt övriga personer i trafikmedlet. Uppgifterna kan lämnas genom teknisk anslutning. Enligt 3 mom. i paragrafen ska av passagerar- och besättningsförteckningen framgå släkt- och förnamn, födelsedatum, kön och medborgarskap för varje person som antecknats i förteckningen samt trafikmedlets nationalitet och registeruppgifter samt ankomst- och avgångsorten. 
Enligt 20 § i lagen ska utöver vad som bestäms i 19 § en fysisk eller juridisk person som yrkesmässigt idkar flygtransport av personer (lufttrafikföretag) på gränskontrollmyndighetens begäran lämna uppgifter enligt denna paragraf om passagerare som lufttrafikföretaget transporterar till ett officiellt gränsövergångsställe via vilket personerna anländer till Europeiska unionens medlemsstaters territorium eller lämnar medlemsstaternas territorium (uppgifter om passagerare inom flygtrafiken). 
I uppgifterna om passagerare i flygtrafik ska inbegripas numret på och typen av det resedokument som använts, medborgarskap eller avsaknad av medborgarskap, fullständigt namn, födelsetid, det gränsövergångsställe där personen anländer till medlemsstaternas territorium eller lämnar medlemsstaternas territorium, transportkod, transportens avgångs- och ankomsttider, det totala antalet personer som ingår i transporten i fråga samt den ursprungliga avgångsorten. Uppgifterna ska överlåtas elektroniskt eller, om detta inte är möjligt, på något annat adekvat sätt. Gränskontrollmyndigheten får behandla uppgifter som avses i denna paragraf och i 19 § för att underlätta gränskontrollerna och bekämpa olaglig inresa och olaglig invandring samt i andra uppdrag som föreskrivs för gränskontrollmyndigheten.  
Uppgifterna ska lämnas omedelbart efter incheckning. Gränskontrollmyndigheten ska utplåna uppgifterna inom 24 timmar från det att de lämnades när passagerarna rest in i eller ut ur landet, om inte uppgifterna behövs för något annat uppdrag som gränskontrollmyndigheten enligt lag ska utföra. Om inte något annat föreskrivs ska den som lämnar uppgifter utplåna de personuppgifter som han eller hon har inhämtat och lämnat till gränsmyndigheterna inom 24 timmar efter det att det trafikmedel som har använts vid transporten har anlänt till destinationen. Genom denna reglering har rådets direktiv 2004/82/EG om skyldighet för transportörer att lämna uppgifter om passagerare (det s.k. API-direktivet) genomförts. 
Enligt 20 a § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet ska en fysisk eller juridisk person som bedriver yrkesmässig transport av personer eller varor sjövägen eller per järnväg lämna de uppgifter om passagerare och besättning som avses i 19 § 2 och 3 mom. till gränskontrollmyndigheten före ankomsten till in- och utresekontrollen. 
I tågtrafik ska uppgifterna lämnas senast när tåget har avgått från den sista station där passagerare stigit ombord på tåget. På skyldigheten att i fartygstrafik lämna förhandsuppgifter tillämpas bestämmelserna i kodexen om Schengengränserna samt andra bestämmelser och föreskrifter. 
Enligt 21 § i lagen finns bestämmelser om den påföljdsavgift för åsidosättande av skyldigheten enligt 20 och 20 a § som påförs en transportör i 179 § i utlänningslagen (301/2004), enligt vilken en transportör som bryter mot den kontrollskyldighet som föreskrivs i 173 § eller den skyldighet att lämna uppgifter som avses i 20 och 20 a § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet påförs en påföljdsavgift (påföljdsavgift för transportör). Avgiften för brott mot 173 § utgör 3 000 euro per person som transporterats. Avgiften för brott mot 20 eller 20 a § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet utgör 3 000 euro för varje sådan resa för vilken uppgifter om passagerare inte meddelats eller för vilken bristfälliga eller felaktiga uppgifter meddelats. I 180 § i lagen föreskrivs om hörande av transportören, i 181 § om påförande av påföljdsavgift för transportör, i 182 § om avlyftande av påföljdsavgift för transportör, i 183 § om betalningstid och i 184 § om verkställighet.  
För närvarande revideras lagstiftningen om behandlingen av polisens, Tullens och Gränsbevakningsväsendets personuppgifter. 
2.2
Den internationella utvecklingen samt lagstiftningen i utlandet och i EU
Bestämmelser om PNR-uppgifter 
Passageraruppgifter och analysen av dem spelar en allt viktigare roll i bekämpningen av brottslighet. I synnerhet insikten om att uppgifterna om flygpassagerare är nyttiga vid brottsbekämpningen har resulterat i att ett ökande antal stater eftersträvar att effektivisera möjligheterna att utnyttja dessa uppgifter även internationellt genom att ålägga lufttrafikföretag skyldigheter att överlämna PNR-uppgifter inom flygtrafiken (passenger name record) till brottsbekämpningsmyndigheten i det egna landet. 
Vissa länder utanför EU har under de senaste åren framställt krav på EU:s medlemsstater om överföring av PNR-uppgifter som gäller flygpassagerare. EU har förhandlat och förhandlar för närvarande om avtal om överlämnande av uppgifter i syfte att åstadkomma en rättslig grund och en tillräcklig nivå på dataskyddet för de uppgifter som ska överlämnas. För tillfället har EU gällande bilaterala avtal om överlämnande av PNR-uppgifter med Australien (VL L 186/14 14.7.2012) och Amerikas förenta stater (VL L 215/5 11.8.2012). Avtalen trädde i kraft sommaren 2012. Förhandlingar om överlämnande av uppgifter pågår för tillfället med Kanada (U 67/2013 rd). 
Statsrådet har i juni 2013 lämnat en utredning om Rysslands påbud om överlämnande av passageraruppgifter inom flygtrafiken (E 87/2013 rd). Även många andra länder utanför EU, t.ex. Sydkorea, Japan, Qatar, Mexiko, Brasilien och Förenade Arabemiraten, har enligt kommissionen framställt eller ämnar framställa krav på EU:s medlemsstater om överlämnande av PNR-uppgifter om flygpassagerare. Det har uppstått ett tryck mot flygbolagen från EU:s medlemsstater i och med att flygbolagen har varit tvungna att antingen följa eller avstå från att följa varierande och motstridiga krav och bestämmelser från olika stater. 
Europeiska kommissionen offentliggjorde år 2007 ett förslag till rådets rambeslut om användande av passageraruppgifter i brottsbekämpningssyfte (U 3/2008 rd). Syftet med förslaget var att EU:s egna brottsbekämpande myndigheter skulle få använda PNR-uppgifter inom flygtrafiken vid bekämpningen av terrorism och grov brottslighet. Förslaget hann emellertid inte antas innan Lissabonfördraget trädde i kraft, och därför förföll förslaget vid övergången till den nya rättsgrunden. Av denna anledning offentliggjorde kommissionen ett direktivförslag i februari 2011 (U66/2010 rd), och Europaparlamentets och rådets direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet antogs den 27 april 2016. Medlemsstaterna ska sätta i kraft PNR-direktivet senast den 25 maj 2018. 
Enligt PNR-direktivet är lufttrafikföretag skyldiga att, i syfte att bekämpa sådan terrorism och grov brottslighet som avses i direktivet, överföra bestämda passageraruppgifter till de enheter för passagerarinformation som medlemsstaterna inrättat eller utsett. Med passageraruppgiftssamling avses en sammanställning av för resan nödvändiga uppgifter om varje enskild passagerare som gör det möjligt att behandla och kontrollera passagerarens reservationer, t.ex. personens namn, adress och kontaktuppgifter samt uppgifter om betalningssätt.  
Utländsk lagstiftning 
I och med att syftet med propositionen är att genomföra ett direktiv som förpliktar alla medlemsstater gemensamt, har det inte ansetts vara ändamålsenligt att göra någon separat jämförelse när det gäller PNR-direktivet, även med tanke på att genomförandet är en pågående process i EU-medlemsstaterna. I början av mars 2018 hade endast tre medlemsstater, dvs. Tyskland, Belgien och Ungern, anmält att de genomfört direktivet och att de i enlighet med ett uttalande i samband med att direktivet antogs tillämpar direktivet också på trafik inom EU. 
Sverige 
I Sverige har ett separat betänkande beretts med avseende på genomförandet av PNR-direktivet (Betänkande av PNR-utredningen, SOU 2017:57). Betänkandet innehåller ett förslag till en ny lag om flygpassageraruppgifter i brottsbekämpningen. 
Tyskland 
Tyskland har redan genomfört PNR-direktivet på förbundsstatsnivå. Bestämmelserna om genomförandet av PNR-direktivet finns i en separat lag.  
Deklaration av Europeiska unionens råd  
I samband med att PNR-direktivet antogs den 4 december 2015 gav Europeiska unionens medlemsstater en separat deklaration (Europeiska unionens råd dokument 15271/15). I deklarationen förbinder sig medlemsstaterna att, med beaktande av säkerhetssituationen i Europa, genom de nationella genomförandelagar som medlemsstaterna antar fullt ut utnyttja möjligheten i artikel 2 i PNR-direktivet att tillämpa direktivet också på flygningar inom EU. Kommissionen har ordnat möten för sakkunniga om genomförandet av direktivet. I samband med mötena har inte en enda medlemsstat meddelat att den inte kommer att tillämpa direktivet på flygningar inom EU.  
I enlighet med önskemål från Europaparlamentet innehåller deklarationen också ett uttalande om att medlemsstaterna i sin nationella lagstiftning strävar efter att utvidga direktivets tillämpningsområde så att det omfattar också andra än ekonomiska aktörer som idkar lufttrafik, t.ex. resebyråer och researrangörer.  
FN:s säkerhetsråds resolution 
Förenta nationernas säkerhetsråd antog den 21 december 2017 resolution 2396 i syfte att särskilt identifiera resande i anknytning till terrorism. Bland annat ålägger resolutionen de behöriga myndigheterna i FN:s medlemsstater att samla in PNR-uppgifter av lufttrafikföretag, utnyttja uppgifterna för brottsbekämpning och utbyta uppgifter sinsemellan och mellan medlemsstaterna för att identifiera och förebygga terroristbrott och resor i samband med dem. Resolutionen ålägger dessutom medlemsstaterna att utveckla den kapacitet som de brottsbekämpande myndigheterna behöver för att utnyttja uppgifterna. Verksamheten ska också beakta Internationella civila luftfartsorganisationens (ICAO) standarder och rekommendationer, och ICAO uppmanas till samarbete med medlemsstaterna i utvecklingen av de standarder som hänför sig till ämnet. Resolutionen uppmanar därtill de brottsbekämpande myndigheterna i medlemsstaterna att utnyttja Interpols databaser och att jämföra passageraruppgifterna med Interpols databaser, inte bara för lufttrafiken utan också för land- och sjötrafiken. 
3
Målsättning och de viktigaste förslagen
3.1
Målsättning
Genom lagförslag 1 genomförs de bestämmelser som vid genomförandet av PNR-direktivet kräver lagstiftning. 
Enligt artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Enligt artikel 8.1 i stadgan har var och en rätt till skydd för de personuppgifter som rör honom eller henne. Enligt artikel 8.2 ska dessa uppgifter behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Europeiska domstolen för de mänskliga rättigheterna har i sin rättspraxis ansett att artikel 8 i Europakonventionen, som gäller skyddet för privatliv, ska tillämpas på registrering av personuppgifter som rör en persons privatliv. Domstolen har konstaterat att en överträdelse av konventionen har skett bl.a. i sådana fall där den nationella lagstiftningen inte har innehållit bestämmelser om vad uppgifterna får innehålla, hur länge de får förvaras och om de personkategorier för vilka uppgifter får samlas in. 
Enligt 10 § 1 mom. i grundlagen utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Enligt grundlagsutskottets vedertagna praxis begränsas lagstiftarens spelrum förutom av denna bestämmelse även av att skyddet för personuppgifter delvis ingår i skyddet för privatlivet i samma moment. Det handlar om att lagstiftaren ska trygga denna rättighet på ett sätt som kan anses godtagbart med hänsyn till de grundläggande fri- och rättigheterna som helhet. Grundlagsutskottet har i sin praxis ansett att det är viktigt med tanke på skyddet för personuppgifter att reglera åtminstone registreringens syfte, de registrerade personuppgifternas innehåll och tillåtna användningsändamål, inbegripet uppgifternas överlåtbarhet, bevaringstiden för uppgifterna i personregistren samt den registrerades rättsskydd. Regleringen av dessa faktorer på lagnivå ska dessutom vara omfattande och detaljerad. Enligt grundlagsutskottets avgörandepraxis kan dessa aspekter tillämpas på regleringen av användningen av personuppgifter även ur ett mer allmänt perspektiv.  
Avsikten är att de nämnda kraven ska beaktas i lagförslag 1 i propositionen till den del lagstiftningen för genomförande av PNR-direktivet behöver samordnas med dataskyddsbestämmelserna och kraven på skyddet för de grundläggande fri- och rättigheterna. 
3.2
Alternativ
Bestämmelser om behandlingen av PNR-uppgifter 
När det gäller genomförandet av PNR-direktivet har två regleringslösningar bedömts i samband med lagberedningen. En första lösning som bedömts är att genom en ändring av lagen om behandling av personuppgifter i polisens verksamhet endast genomföra de bestämmelser i PNR-direktivet som gäller behandlingen av personuppgifter. Detta får stöd av att alla ändamål för polisens personuppgiftsbehandling skulle finnas samlade i samma kapitel eller lag. Detta är också ett tydligt alternativ, eftersom det enligt direktivet är tillåtet att jämföra passageraruppgifter i samband med brottmål. En nackdel med denna regleringslösning är att inrättandet av en sådan enhet för passagerarinformation som krävs enligt direktivet, de befogenheter som fastställts för den samt vissa andra krav enligt direktivet förutsätter att dessa beaktas separat i den övriga lagstiftningen. Vidare skulle bestämmelserna om behandling av personuppgifter i större omfattning också tas separat in i lagstiftningen om Tullen och Gränsbevakningsväsendet. 
Ett andra regleringsalternativ som analyserats är en separat genomförandelag. Om direktivets genomförandebestämmelser om personuppgifter tas in i lagen om behandlingen av personuppgifter i polisens verksamhet blir regleringen splittrad på det sätt som beskrivits ovan. Fördelen med en separat lag om genomförande av direktivet är att regleringen blir enhetligare när det gäller den behandling av passageraruppgifter som utförs av polisen, Tullen och Gränsbevakningsväsendet. När lagstiftningen ska tillämpas av enheten för passagerarinformation är det dessutom tydligare om alla genomförandebestämmelser finns samlade i en enda lag. Dessutom kan också de bestämmelser om inrättande av en enhet för passagerarinformation och befogenhetsbestämmelser som krävs enligt direktivet samt rättsskyddsaspekterna beaktas till alla delar i genomförandelagen. Denna regleringslösning kräver förutom en genomförandelag endast enskilda lagändringar som bifogade lagar. På basis av en helhetsbedömning föreslås det i propositionen en separat genomförandelag. 
3.3
De viktigaste förslagen
Enligt PNR-direktivet är lufttrafikföretag skyldiga att, i syfte att bekämpa sådan terrorism och grov brottslighet som avses i direktivet, överföra bestämda passageraruppgifter till de enheter för passagerarinformation som medlemsstaterna inrättat eller utsett. Med passageraruppgiftssamling (PNR-uppgifter) avses en sammanställning av för resan behövliga uppgifter om varje enskild passagerare som gör det möjligt att behandla och kontrollera passagerarens reservationer, t.ex. personens namn, adress och kontaktuppgifter samt uppgifter om betalningssätt. 
I Finland utgörs den i direktivet avsedda enheten för passagerarinformation av en enhet som bildats inom den PTG-kriminalunderrättelsestruktur som avses i 5 § i lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet (687/2009). Enheterna för passagerarinformation analyserar uppgifterna enligt på förhand fastställda kriterier och jämför dem med uppgifter i nationella och internationella databaser som är väsentliga med tanke på bekämpningen av terroristbrott och grov brottslighet. Målet är att identifiera personer som de nationella brottsbekämpande myndigheterna eller Europol behöver utreda ytterligare på grund av att dessa personer kan vara inblandade i sådana terroristbrott eller sådan grov brottslighet som definieras i PNR-direktivet. Om ytterligare undersökningar visar sig vara nödvändiga överför enheten för passagerarinformation uppgifterna till de behöriga myndigheterna i den egna medlemsstaten eller till enheten för passagerarinformation i en annan EU-medlemsstat. Behöriga myndigheter i Finland är polisen, Tullen och Gränsbevakningsväsendet. Även Europol har rätt att begära enskilda uppgifter inom ramen för sina arbetsuppgifter och sina befogenheter. Passageraruppgifter kan överföras till tredjeländer endast i enskilda fall, och förutom de allmänna villkor som ställs i dataskyddsdirektivet ställer PNR-direktivet särskilda villkor för utlämnandet av uppgifter. 
Passageraruppgifterna ska lagras vid enheten för passagerarinformation under en period på fem år. Sex månader efter att uppgifterna överförts till enheten för passagerarinformation ska uppgifterna avidentifieras genom maskering av sådana uppgifter som kan användas för att omedelbart identifiera de passagerare som uppgifterna avser. När denna period på sex månader gått ut får alla passageraruppgifter lämnas ut endast på grundval av en motiverad begäran från polisen, Tullen, gränsbevakningsväsendet eller Europol och ett samtycke från en polisman som hör till befälet. 
I propositionen föreslås det sådana bestämmelser om överföring, behandling, lagring, utlämnande och radering av PNR-uppgifter som krävs för genomförandet av direktivet. 
4
Propositionens konsekvenser
4.1
Ekonomiska konsekvenser
De ekonomiska konsekvenserna av propositionen kan uppskattas i euro endast när det gäller konsekvenserna för statsfinanserna och informationssystemen. I övrigt saknas det en tillräcklig statistisk grund som skulle möjliggöra en exakt beräkning av kostnadseffekterna, och därför har bedömningen av de ekonomiska konsekvenserna genomförts som en kvalitativ bedömning främst med hjälp av expertbedömningar som fåtts av personuppgiftsansvariga, systemexperter och dataskyddsexperter. När det gäller konsekvenserna för företag har man beträffande behandlingen av PNR-uppgifter utnyttjat Europeiska kommissionens konsekvensbedömning, som hänför sig till kommissionens förslag om PNR-direktivet, och den motsvarande konsekvensbedömningen av EU-lagstiftningen om dataskydd. Med beaktande av de ändringar som gjorts i bestämmelserna under förhandlingarna om dessa rättsakter har strävan varit att till kompletterande delar bedöma konsekvenserna för företag i ljuset av nuläget och genom att utnyttja remissförfarandet. 
Konsekvenser för företag 
PNR-direktivets ekonomiska konsekvenser för lufttrafikföretagen har bedömts i en U-skrivelse som statsrådet överlämnade till riksdagen i samband med beredningen av direktivet (U 66/2010 rd) och i kompletterande skrivelser. Konsekvensbedömningen i denna proposition bygger också framför allt på Europeiska kommissionens konsekvensbedömning, som omspänner hela EU, (SEC(2011) 132 final). Kommissionen har hört ett antal intressentgrupper, inklusive medlemsstaternas dataskyddsmyndigheter, Europeiska datatillsynsmannen samt lufttrafikföretagens takorganisationer (AEA, ATA, IACA, ERA och IATA). Av dessa har IATA och EAA kritiserat främst den decentraliserade informationssystemslösning som kommissionen föreslagit och den relaterade modellen som bygger på en teknisk anslutning (push). Organisationerna önskar att lufttrafikföretagen själva ska få välja vilket sätt eller vilken metod de vill utnyttja för att överföra information. Denna valfrihet kan de facto uppskattas orsaka mindre ekonomiska konsekvenser för företagen om det förbättrar deras möjligheter att anpassa sina befintliga informationssystem till informationsöverföringen. Samtidigt kan det medföra fler direkta ekonomiska konsekvenser för myndigheternas informationssystem. 
I ljuset av denna kritik har kommissionen justerat sin konsekvensbedömning bland annat i fråga om konsekvenserna för företag. Kommissionen har i sin konsekvensbedömning fäst vikt vid att endast lufttrafikföretagen samlar in heltäckande passageraruppgifter. Bara en del av de företag som idkar järnvägstrafik och sjötrafik samlar systematiskt in denna typ av uppgifter, och de har lämnats utanför direktivförslaget. Med tanke på att lufttrafikföretagen redan samlar in passageraruppgifter kan konsekvenserna av lagförslag 1 enligt kommissionens bedömning till denna del inte anses bli särskilt betydande. Samtidigt har antalet flygpassagerare ökat under de senaste åren. I samband med lagberedningen har det uppskattats att detta kommer att påverka lufttrafikföretagens informationssystemslösningar och deras administrativa börda. 
Att fullgöra skyldigheterna enligt direktivet och lagförslag 1 leder till direkta ekonomiska konsekvenser för lufttrafikföretagen, inklusive konsekvenser för informationssystemen och personalkostnader. I en undersökning som offentliggjorts år 2009 utifrån en anbudsbegäran från kommissionen presenteras en uppskattning av kostnaderna för projektet på EU-nivå: 
Kostnader som orsakas alla trafikföretag (sammanlagt i euro) 
Kostnader för inrättande - anbudsförfarande (engångskostnader): 
- 100 000 euro x 120 trafikföretag inom EU: 12 000 000 
- 100 000 euro x 80 trafikföretag utanför EU: 8 000 000 
Fem års amorteringstid: 4 000 000 
Överföringskostnader – anbudsförfarande x 2/passagerare (återkommande): 
- 33 500 euro/flygbolag per år x 120 trafikföretag x 3 anslutningar 
x 2 överföringar (push): 24 120 000 
Personal- och driftskostnader (återkommande): 6 240 000 
Enligt kommissionen har de kostnader för inrättandet av EU:s PNR-system som år 2009 uppskattades för myndigheternas del minskat, medan de kostnader som orsakas trafikföretagen har ökat jämfört med kalkylerna från år 2007. Kommissionen har beräknat att de verkliga kostnaderna ligger någonstans mellan dessa siffror och att åtminstone trafikföretagens kostnader ligger närmare kalkylerna från år 2007, som bygger direkt på de marknadspriser som trafikföretagen uppgav. Vidare har kommissionen konstaterat att även om de mycket höga kostnadskalkylerna från år 2009 skulle visa sig bli verklighet och trafikföretagen beslutar sig för att överföra sina kostnader på passagerarna, innebär detta en extra kostnad på mindre än 0,10 euro per biljett.  
De kostnader som orsakas lufttrafikföretagen uppskattades i samband med beredningen av direktivet uppgå till 0,10–0,20 euro/biljett, vilket är en något högre uppskattning än den som gjordes år 2009 (kompletterande U-skrivelse 17.11.2015, promemoria SM2015-00271). Eftersom de tekniska lösningar som påverkar kostnaderna i det skedet delvis ännu inte hade slagits fast, var det inte möjligt att göra någon noggrannare analys. Det finns inte heller någon sådan bedömning att tillgå som skulle visa på vilket sätt regleringen påverkar den ställning som företag som verkar på EU:s inre marknad har i förhållande till företag på den internationella marknaden (lufttrafik över EU:s yttre gränser). 
I samband med den fortsatta beredningen av regeringspropositionen meddelade ett av lufttrafikföretagen, Finnair, att kostnaderna för överföring av uppgifter hade sjunkit jämfört med den tidigare uppskattningen som byggde på motsvarande kostnader år 2011. Detta beror på att man kan använda en enklare modell än tidigare för överföringen av uppgifter. Det innebär att kostnaderna för att lämna PNR-uppgifter per passagerare och per överföring är betydligt lägre än den uppskattning som anges i den kompletterande U-skrivelsen från 2015. De årliga överföringskostnaderna för Finnair, även lufttrafiken inom EU inkluderad, uppskattas till cirka 3 000 000—4 000 000 euro. Utöver de årliga överföringskostnaderna ska Finnair betala sin tjänsteproducent en s.k. grundavgift i fråga om varje land som begär uppgifter. Storleken på engångsavgifterna i samband med genomförandet av PNR-direktivet i EU-länderna kommer att uppgå till sammanlagt cirka 600 000—700 000 euro.  
I skäl 17 i ingressen till direktivet konstateras det att kommissionen stöder Internationella civila luftfartsorganisationens (ICAO) riktlinjer som underlag vid antagandet av understödda dataformat. För att säkerställa tekniskt enhetliga överföringar fastställs det i artikel 16 i PNR-direktivet en skyldighet för lufttrafikföretag att lämna uppgifter med hjälp av de gemensamma protokoll och understödda dataformat som godkänts genom kommissionens genomförandeakt. Kommissionens genomförandeakter antogs den 26 april 2017 (EUT L 113, 29.4.2017). Också bilaga 9 till konventionen om internationell civil luftfart (FördrS 11/1949) förutsätter formen PNRGOV (EDIFACT based). ICAO har också publicerat dokumentet ICAO Doc 9944 Guidelines on Passenger Name Record (PNR) Data. Genom gemensamma internationella direktiv och avtal för PNR-kontrollen minskas olägenheterna för lufttrafikföretagen, eftersom dessa inte behöver anpassa sig till olika krav från flera olika system.  
Lufttrafikföretagen orsakas också i viss mån en extra administrativ börda när det gäller att iaktta de skyldigheter som följer av PNR-direktivet och dataskyddslagstiftningen i behandlingen av personuppgifter. Jämfört med den rätt att få information av transportörer som PTG-myndigheterna har och som närmare beskrivs i avsnitt 2.1 Lagstiftning innebär lagförslag 1 för lufttrafikföretagens del en mer systematisk och omfattande behandling av personuppgifter, och företagen förutsätts använda en viss typ av teknisk lösning för överföringen av uppgifter. Med tanke på de krav som EU:s nya dataskyddsförordning ställer på de personuppgiftsansvariga vid behandling av personuppgifter kan ett omfattande utlämnande av uppgifter och det skydd av personuppgifter som detta kräver medföra t.o.m. en betydande administrativ börda för lufttrafikföretagen. Samtidigt är syftet att genom enhetliga tekniska lösningar minska den administrativa bördan för både företagen och myndigheterna. 
Kommissionen har också bedömt kostnadseffekterna av olika tekniska lösningar för utlämnande av uppgifter och gjort en jämförelse mellan den s.k. push-metoden och pull-metoden. Enligt kommissionens utredning medför utlämnandet av passageraruppgifter stora kostnadseffekter för lufttrafikföretagen, och push-metoden leder till avsevärt större kostnadseffekter, eftersom lufttrafikföretagen blir tvungna att betala överföringskostnaderna för varje överföring av information. Hur stora kostnader som uppstår för lufttrafikföretagen beror också på det enskilda företagets storlek och mängden flygresor som det opererar. Samtidigt har kommissionen bedömt att lufttrafikföretagen med hjälp av denna metod för utlämnande av uppgifter bättre kan övervaka utlämnandet av personuppgifter och säkerställa att personuppgifterna skyddas på behörigt sätt, och kommissionen har därför beslutat att föreslå push-metoden som teknisk lösning. Lufttrafikföretagen orsakas också kostnader på grund av att informationssystemen ska ändras och det tar tid innan systemen kan tas i bruk. För att lufttrafikföretagen ska kunna lämna ut passageraruppgifter med hjälp av en direktivenlig teknisk lösning är de tvungna att genomföra de dataformat och krypteringsmetoder som krävs och bygga upp förbindelser för utlämnandet av uppgifter till alla medlemsstater till vilka de har lufttrafik. Exakt vilka konsekvenser dessa tekniska ändringar får varierar beroende på företag. 
Konsekvenser för statsfinanserna 
Konsekvenser för personalresurserna. Polisstyrelsen ska vara personuppgiftsansvarig för behandlingen av sådana PNR-uppgifter som avses i lagförslag 1. PNR-direktivet förutsätter att det utnämns ett dataskyddsombud för enheten för passagerarinformation. Ombudets uppgifter är något mer omfattande än de uppgifter som sköts av de dataskyddsombud som ska utnämnas med stöd av dataskyddsdirektivet. Dataskyddsombudet för enheten för passagerarinformation har redan utnämnts. Dataskyddsombudet kan med stöd av EU-lagstiftningen om dataskydd också vara gemensamt dataskyddsombud för flera personuppgiftsansvariga, om detta betraktas som ändamålsenligt. Lagförslag 1 i propositionen får direkta konsekvenser för personalresurserna, och dessa specificeras nedan myndighetsvis. Konsekvenserna gäller polisen och dataombudsmannens byrå. 
Informationssystemsprojekt och ändringar av informationssystem. Lagförslag 1 i propositionen är förknippat med ett informationssystemsprojekt genom vilket det nationella informationssystem som förutsätts i PNR-direktivet genomförs, inklusive tillhörande tekniska lösningar för mottagande av personuppgifter från lufttrafikföretagen. Utvecklingen av informationssystemet har till stor del finansierats ur fonden för inre säkerhet, och avsikten är att de resterande kostnaderna ska täckas med projektfinansiering. Utvecklingsarbetet kräver ingen tilläggsfinansiering ur statsbudgeten. 
Skadestånd och administrativa påföljder. Påföljder av förseelser som gäller behandlingen av personuppgifter bestäms i enlighet med dataskyddslagstiftningen. Lagförslag 1 får intetill denna del fristående konsekvenser för statsfinanserna. Eventuella skadestånd som påförs för överträdelse av lagstiftningen ska betalas i enlighet med skadeståndslagen. Regleringen får direkta konsekvenser för statens utgifter. Det är dock omöjligt att förutspå och i detalj beräkna hur stora utgifter det handlar om per år. 
Med stöd av lagförslag 1 kan dessutom en administrativ påföljdsavgift påföras ett lufttrafikföretag i det fall att företaget försummar sin skyldighet att till polisen överföra de PNR-uppgifter som förutsätts i lag. Påförandet av påföljdsavgifter med stöd av den nya lagen får konsekvenser för statsfinanserna, men de uppskattas inte bli betydande. Samtidigt orsakas Rättsregistercentralen en administrativ börda och skäliga kostnader när avgifterna tas ut. Kostnader ska täckas inom justitieministeriets administrations ram. 
De påföljdsavgifter som tas ut med stöd av lagförslag 1 i propositionen intäktsförs i statsbudgeten [under moment 12.39.01 (Böter och inkomster från administrativa betalningspåföljder)]. Det är fråga om en ny administrativ påföljdsavgift, och det finns inga tidigare erfarenheter av den. Därför kan endast osäkra uppskattningar av det årliga beloppet av dessa inkomster läggas fram. Gränsbevakningsväsendet har emellertid redan med stöd av den gällande lagstiftningen rätt att ta ut en påföljdsavgift av en transportör som bryter mot den kontrollskyldighet som föreskrivs i 173 § i utlänningslagen eller den skyldighet för lufttrafikföretag att lämna uppgifter som avses i 20 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet (uppgifter om passagerare inom flygtrafiken). Avgiften för brott mot 173 § i utlänningslagen är 3 000 euro för varje person som transporterats och avgiften för brott mot 20 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet är 3 000 euro för varje sådan resa för vilken uppgifter om passagerare inte meddelats eller för vilken bristfälliga eller felaktiga uppgifter meddelats. Det sammanlagda antalet påföljdsavgifter som påförts varje år är följande: 112 påföljdsavgifter år 2013, 163 påföljdsavgifter år 2014, 167 påföljdsavgifter år 2015, 133 påföljdsavgifter år 2016 och 55 påföljdsavgifter år 2017 (antal påföljdsavgifter som inkommit till Rättsregistercentralen för verkställighet fram till 18.10.2017). Beloppet av de påföljdsavgifter som ska intäktsföras till staten har således varit något över eller under 500 000 euro per år. Enligt 14 § i lagförslag 1 i propositionen ska påföljdsavgiften för lufttrafikföretag vara högst 3 000 euro för varje sådan flygning för vilken PNR-uppgifter inte har överförts eller för vilken uppenbart bristfälliga uppgifter överförts. Beloppet motsvarar till principerna och till påföljdens omfattning den påföljdsavgift enligt 20 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet som behandlats ovan. Utifrån de påföljdsavgifter som påförts av Gränsbevakningsväsendet kan man grovt uppskatta ungefär hur mycket påföljdsavgifter som är att vänta. Antalet påföljdsavgifter som påförs med stöd av lagförslag 1 kan variera avsevärt, och detsamma gäller således de belopp som intäktsförs till staten. För lufttrafikföretagens del skiljer sig skyldighetens innehåll och det sätt på vilket uppgifterna ska överföras enligt lagförslag 1 från den gällande lagstiftningen om Gränsbevakningsväsendet, och det är därför omöjligt att lägga fram säkra kalkyler. 
4.2
Konsekvenser för myndigheterna
Lagförslag 1 får konsekvenser som orsakas direkt av genomförandet av PNR-direktivet. 
Dataombudsmannens byrå. När det gäller dataombudsmannens byrå medför lagförslagen i propositionen ekonomiska konsekvenser främst i form av ett personalresursbehov. Den nationella tillsynsmyndigheten ska med stöd av lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten, dataskyddsförordningen och dataskyddslagen bl.a. kontrollera att uppgiftsbehandlingen är lagenlig, om den registrerades rätt till insyn har inskränkts, samt utföra undersökningar, verifieringar och granskningar. Lagförslag 1 medför en helt ny övervakningsuppgift med avseende på utövandet av den registrerades indirekta rätt till insyn till den del det är fråga om behandling av PNR-uppgifter. Behovet av personalresurser i detta skede har inte bedömt i helhet och de ska specificera. Kostnader ska täckas inom justitieministeriets administrations ram. 
Polisstyrelsen. Myndigheterna har redan proaktivt förberett sig på en del av kraven enligt den nya dataskyddsregleringen. Polisstyrelsen har redan tidigare utnämnt ett dataskyddsombud vid enheten för passagerarinformation. När det gäller PNR-systemet enligt lagförslag 1 ska konsekvenserna beaktas till behövliga delar i samband med att systemet utvecklas. 
I fråga om PNR-systemet kan kraven uppfyllas inom ramen för finansieringen av och tidtabellen för systemprojektet. Konsekvenserna hänför sig i detta fall särskilt till skyddet av personuppgifter i situationer där uppgifter lämnas ut, automatiserade beslut, brottsanalys och profilering, samt maskeringen av personuppgifter inom sex månader från det att de har tagits emot, även med beaktande av den stora mängd personuppgifter som ska behandlas. Konsekvenserna för informationssystemen följer delvis direkt av genomförandet av PNR-direktivet och delvis av iakttagandet av de krav som ställs i dataskyddsdirektivet. När det gäller PNR-systemet beaktas kraven inom ramen för finansieringen av och tidtabellen för systemprojektet. 
De ekonomiska konsekvenserna av PNR-direktivet för myndigheterna har bedömts i samband med beredningen av direktivet i en U-skrivelse som statsrådet överlämnat till riksdagen (U 66/2010 rd) och i kompletterande skrivelser. PNR-direktivet genomförs genom lagförslag 1 i propositionen. I kommissionens konsekvensbedömning har det för informationssystemens del jämförts två tekniska modeller; å ena sidan en decentraliserad informationssystemslösning där varje medlemsstat huvudsakligen ansvarar för de ändringar som ska göras i informationssystemen och för administrationen av systemen, å andra sidan ett centraliserat informationssystem på EU-nivå som medför resurskonsekvenser för både medlemsstaternas myndigheter och den centraliserade enheten, men vars kostnader täcks med medel ur EU:s budget. Den decentraliserade lösning som omfattats i direktivet innebär att huvuddelen av konsekvenserna för informationssystemen och resurskonsekvenserna orsakas de nationella myndigheterna. I konsekvensbedömningen har två alternativ jämförts. I det första alternativet begränsas direktivet till att gälla enbart flygtrafik över EU:s yttre gränser, och i det andra utvidgas det till att gälla även flygningar inom EU. Alternativet att begränsa direktivet till flygtrafik över de yttre gränserna medför mindre kostnadskonsekvenser för myndigheterna. De brottsbekämpande myndigheterna orsakas dock kostnader för uppbyggandet av informationssystemet och olika detaljer som hänför sig till systemet och som bygger på kraven i direktivet, inklusive systemgränssnitten. De övriga konsekvenserna gäller särskilt lagringen av personuppgifter och utplåningen av känsliga personuppgifter, anonymiseringen av personuppgifter, utlämnande av personuppgifter och automatiserade beslut. 
Beträffande myndighetskostnaderna har det konstaterats att utnyttjandet av uppgifter inte utgör en händelse av engångskaraktär utan en del av kontinuerlig brottsbekämpning, vilket gör det svårare att göra en engångsanalys av myndighetskostnaderna. En enhet för passagerarinformation bestående av personal från polisen, Tullen och Gränsbevakningsväsendet inledde strukturellt sett sin verksamhet den 1 november 2016 som en del av PTG-strukturen. Verksamheten vid enheten för passagerarinformation grundar sig på den gällande lagens bestämmelser om rättigheter att för PTG-myndigheternas brottsbekämpningsuppgifter få uppgifter om passagerare och besättning enligt reseform. Uppgifterna för enheten för passagerarinformation har utan tilläggsresurser lagts till tidigare uppgifter som ingår i PTG-strukturen. Till skillnad från nuläget är verksamheten vid enheten för passagerarinformation sådan att den pågår dygnet runt under veckans alla dagar. Verksamheten präglas av ett internationellt informationsutbyte, och kraven på behandlingen av uppgifterna är högre än tidigare, vilket också tidsmässigt ökar arbetsmängden, eftersom de träffar som behandlingen av uppgifter resulterar i ska granskas individuellt. De nuvarande personresurserna är därmed inte dimensionerade enligt den nya formen av verksamhet, utan det krävs att PTG-myndigheterna anvisas ny årsverken till det verksamhet för att skyldigheterna enligt direktivet ska kunna skötas. 
De kostnader som orsakas myndigheterna uppskattades i september 2017 inom ramen för projektet för att inrätta en enhet för passagerarinformation. Enligt den preciserade bedömningen i samband med den fortsatta beredningen av Polisstyrelsens förslag förutsätter verksamheten vid enheten att det anvisas tjugotvå (22) årsverken för PTG-myndigheterna, för enheten för passagerarinformation, för skötseln av de uppgifter som avses i direktivet och också för analysering av passageraruppgifter från andra trafikformer. Polisstyrelsen uppskattar därtill att genomförandet av de rekommenderade åtgärderna från enheten förutsätter sammanlagt femton (15) årsverken som anvisas polisens fältverksamhet och utredningsverksamhet. För Gränsbevakningsväsendets del uppskattas det att genomförandet av de rekommenderade åtgärderna förutsätter att det anvisas sex (6) årsverken för tillsynsverksamheten. För Tullens del uppskattas det att genomförandet av de rekommenderade åtgärderna förutsätter att det anvisas minst tre (3) årsverken till det operativa arbetet. Tullens personalberäkningar utgår från att polisens och Gränsbevakningsväsendets personal vid enheten ökas så att man kvällstid och eventuellt nattetid och under veckoslut kan använda Tullens nuvarande personal för övervakning av PTR-lufttrafik, så att man vid sidan om uppgifterna vid enheten för passagerarinformation också kan utföra Tullens uppgifter i samband med det förfarande som gäller val av objekt. Längre skift som eventuellt varar dygnet runt förutsätter att enheten styrkas minst tre (3) personer. För underhållet av olika delenheter inom PNR-datasystemet behövs det dessutom fyra (4) årsverken till polisens informationsteknologicenter. Personalkostnaderna av enheten uppskattas preliminärt uppgå till sammanlagt femtio (50) årsverken, och det årliga underhållet av de lokaler som personalen utnyttjar.  
PNR-datasystemet består för polisens del av ett ärendehanteringssystem för passageraruppgifter och system i anslutning till det, en lagringsenhet för passagerarlistor och analyseringssystem/analyseringsverktyg. Systemen möjliggör också utbyte av information mellan enheterna för passagerarinformation och med Europol. Med hjälp av systemen ska det vara möjligt att producera statistik och rapportering för olika ändamål, bl.a. sådan statistik som kommissionen i enlighet med PNR-direktivet kräver. PNR-datasystemet står för olika ändamål i förbindelse till (integration) flera andra system (bl.a. fråge- och sökfunktioner). De system som är avsedda för behandling av passageraruppgifter uppskattas orsaka kostnader på cirka 2 500 000 euro per år. Kostnaderna består av kostnader för underhåll av lagringsenhet och söksystem 500 000 euro (kapacitet och underhåll köps av Valtori, underhåll och utveckling av underhållet av leverantören), uppskattade kostnader för ett analyssystem 1 000 000 euro (kapacitet och underhåll köps av Valtori, underhåll, licenskostnader och utveckling av underhållet av leverantören) samt kostnader för ett ärendehanteringssystem 750 000 euro (kapacitet och underhåll köps av Valtori, underhåll och utveckling av underhåll av leverantören) samt uppskattade kostnader för system i anslutning till det. Systemkostnaderna kommer att stiga till uppskattningsvis 1 500 000 euro om det operativa behovet för informationssystemen är 24/7. Kostnader kan skötas inom nuvarande ramen. 
Beträffande personalkostnaderna bör det noteras att enheten för passagerarinformation i brottsbekämpningssyfte förutom flygpassageraruppgifter också analyserar uppgifter om passagerare och besättning i andra trafikformer. En del av konsekvenserna för personalresurserna har därmed uppstått på basis av de gällande lagarna om PTG-myndigheternas behandling av personuppgifter och följer inte direkt av lagförslag 1. 
Avsikten är att ansöka om det investering finansiering som datasystemet behövs av EU:s fond för inre säkerhet (ISF-P) i våren 2018. Europeiska kommissionen har avsätt i detta syfte skilt andel av pengar. 
Personalresurs sköts med att det anvisas resursser ny till det verksamhet motsvarande ökad mängd av arbete, inom nyvarande ramen. Efter verksamhet har startat och blivit stabil kan man förklara slutliga behöv av resurser och möjliga permanenta kostnadseffekter (årsverken och datasystemet) och vid behöv ta fram i blivande planer för de offentliga finanserna och budgetprocesserna. 
Personuppgiftsansvarig i fråga om de personuppgifter som behandlas av enheten för passagerarinformation är Polisstyrelsen. Trots detta medför iakttagandet av kraven i både PNR-direktivet och dataskyddsdirektivet en motsvarande administrativ börda för enheten för passagerarinformation som för de övriga polisenheterna som behandlar personuppgifter. Den administrativa bördan ökar också i och med att det ska beaktas att ändamålet med de personuppgifter som samlats in av lufttrafikföretagen ändras när de överförs till polisens personregister. De ekonomiska konsekvenserna av PNR-direktivet hör nära samman med systemets struktur och dess tekniska genomförande. På nationell nivå kommer genomförandet av direktivet att förutsätta att de behöriga myndigheterna utökar sina personalresurser för behandlingen av uppgifter och analysverksamheten. I enlighet med kraven i PNR-direktivet har också ett dataskyddsombud utnämnts för enheten för passagerarinformation. 
4.3
Samhälleliga konsekvenser
Konsekvenser för brottsbekämpningen och säkerheten 
Syftet med lagförslag 1 i propositionen är att bekämpa terrorism och grov brottslighet, särskilt gränsöverskridande brottslighet. Genom lagförslaget strävar Finland efter att möta de hotbilder som legat till grund för kommissionens förslag till ett PNR-direktiv. Kommissionen har i sin konsekvensbedömning motiverat direktivförslaget med att gränsöverskridande brottslighet är ett växande fenomen i Europeiska unionen och den övriga världen. Som exempel lyfter kommissionen fram i synnerhet människohandel och narkotikabrottslighet, som också Europol tar upp i sin hotbedömning av gränsöverskridande brottslighet (2017). Dessa former av brottslighet har ökat kontinuerligt inom EU. I kommissionens konsekvensbedömning och Europols hotbedömning riktas dessutom fokus i fråga om gränsöverskridande brottslighet på organiserad illegal invandring och smuggling av valuta och varor. De olika formerna av gränsöverskridande brottslighet utgör ett allvarligt hot mot samhället och de ekonomiska strukturerna, och de medför kostnader för staten även med beaktande av de åtgärder som krävs för brottsbekämpningen. Brotten orsakar också skada och lidande för offren. PTG-myndigheterna är i enlighet med sina lagstadgade uppgifter skyldiga att inte bara förhindra gränsöverskridande brottslighet utan också annan brottslighet med samhällelig genomslagskraft, även inom lufttrafiken. Särskilt Tullens och Gränsbevakningsväsendets brottsbekämpningsprocess är uppbyggd så att där som en fast del också ingår en fysisk granskning av personer och dokument. 
Kommissionen har fäst uppmärksamhet vid att de flesta formerna av gränsöverskridande brottslighet också är förknippade med gränsöverskridande resor. I synnerhet människosmuggling och organiserad illegal invandring omfattar tredjelandsmedborgare som smugglas in till EU, men även narkotikasmuggling är förknippad gränsöverskridande resor. Även terrorister och andra som bedriver kriminell verksamhet rör sig över gränserna. Ett mål med PNR-direktivet är att utöka urvalet av medel för att bekämpa terrorism och övrig grov brottslighet. Till denna del bör det dock noteras att terroristerna och den organiserade brottsligheten delvis opererar inom statens gränser. Vidare bör det noteras att PNR-direktivet endast gäller behandling av flygpassagerares personuppgifter, medan en del av den gränsöverskridande passagerartrafiken utgörs av sjötrafik och järnvägstrafik. 
Syftet med lagförslag 1 i propositionen är att säkerställa att de brottsbekämpande myndigheterna har tillgång till så mycket information som möjligt om de ovan avsedda personernas resor samt att förbättra förutsättningarna för informationsutbyte mellan dessa myndigheter när det gäller flygpassageraruppgifter. Detta bedöms effektivisera bekämpningen av gränsöverskridande brottslighet. I Finland har PTG-myndigheterna redan med stöd av den gällande lagstiftningen om personuppgifter rätt att få passageraruppgifter av trafikföretag. De gällande bestämmelserna gäller inte bara lufttrafikföretag, utan också andra trafikformer. Lagförslag 1 i propositionen gör det emellertid möjligt att med stöd av direktivet registrera personuppgifter om alla flygpassagerare för en längre tid, medan den gällande lagen endast gör det möjligt att jämföra passageraruppgifter med uppgifterna i PTG-myndigheternas personregister. Lagförslaget möjliggör dessutom en jämförelse av flygpassageraruppgifter redan innan flyget anländer eller avgår och en analys utifrån uppgifterna, vilket kan anses erbjuda ett effektivare medel för bekämpning av gränsöverskridande brottslighet än tidigare. EU-medlemsstaternas gällande reglering om insamling och utnyttjande av passageraruppgifter för brottsbekämpningsändamål har i kommissionens konsekvensbedömning ansetts vara oenhetlig. I ljuset av kommissionens bedömning effektiviseras utbytet av uppgifter mellan myndigheterna också genom att de personuppgifter som med stöd av lagförslag 1 och de övriga EU-medlemsstaternas genomförandelagstiftning samlas in om passagerarna är enhetligare och i större skala än tidigare tillgängliga för brottsbekämpningsändamål. 
PNR-uppgifter (Passenger Name Record) är till sin karaktär overifierade personuppgifter som lämnats av passagerarna själva i motsats till s.k. API-uppgifter (Advance Passenger Information), som grundar sig på uppgifterna i passagerarens pass. PNR-uppgifter ska utnyttjas huvudsakligen för ändamål som tjänar kriminalunderrättelseinhämtning och i synnerhet för att utforma olika hotbedömningar och riskprofiler. Detta gör det möjligt för brottsbekämpande myndigheter att fokusera sina åtgärder på sådana passagerare som passar in i riskprofilen, både när det gäller flygning inom EU och flygning över EU:s yttre gränser. PNR-uppgifterna blir också tillgängliga för myndigheterna i ett tidigare skede än API-uppgifterna. PNR-uppgifter kan dessutom jämföras med andra personuppgifter som behandlas av myndigheterna, vilket innebär att tillgången till sådan information om en flygpassagerare som behövs för brottsbekämpning effektiviseras, med beaktande av de utmaningar som lufttrafiken inom EU medför. Med hjälp av dessa uppgifter kan man exempelvis få information för brottsanalys om typiska resrutter för personer som smugglar narkotika eller identifiera och utreda kopplingar mellan en resande och en känd brottsling eller kriminell grupp. 
5
Beredningen av propositionen
5.1
Beredningsskeden och beredningsmaterial
Inrikesministeriet tillsatte den 26 januari 2016 en arbetsgrupp (SM064:00/2015) med uppgift att sammanställa ett utkast till regeringens proposition med förslag till lag om behandling av personuppgifter i polisens verksamhet. Företrädare för flera ministerier och myndigheter med behörighet för behandling av brottmål har deltagit i arbetsgruppens arbete. Arbetsgruppen har berett ett utkast till en ny personuppgiftslag för polisväsendet. I samband med projektet har också lagförslag 1 i denna proposition beretts i syfte att till behövliga delar genomföra Europaparlamentets och rådets direktiv av den 27 april 2016 (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Den 16 januari 2018 avskildes lagförslag 1 till en separat regeringsproposition från propositionen om lagen om behandling av personuppgifter i polisens verksamhet. Avsikten är att regeringspropositionen lämnas till riksdagen på det sättet att den i så stor utsträckning som möjligt kan behandlas samtidigt som de regeringspropositioner som gäller genomförandet av EU:s dataskyddslagstiftning. 
De lagförslag som nu ges har varit på remiss 21.12.2017—26.1.2018 som en del av regeringens proposition med förslag till lag om behandling av personuppgifter i polisens verksamhet samt vissa lagar som har samband med den. Yttranden om utkastet till proposition begärdes av följande remissinstanser: Ålands landskapsregering, riksdagens justitieombudsmans kansli, Electronic Frontier Finland – EFFi ry, justitiekanslersämbetet vid statsrådet, inrikesministeriets avdelningar, kommunikationsministeriet, jord- och skogsbruksministeriet, justitieministeriet, rättsregistercentralen, försvarsministeriet, social- och hälsovårdsministeriet, finansministeriet, huvudstaben, Polisstyrelsen, brottspåföljdsmyndigheten, skyddspolisen, centralkriminalpolisen, Finnair Oy, Trafiksäkerhetsverket, Norwegian Air Shuttle (DY) and Norwegian Air International LTD, Scandinavian Airlines System, TUI, Finlands Advokatförbund, Resebyråbranschens förbund i Finland rf, centralen för utredning av penningtvätt, dataombudsmannens byrå och Tullen. 
5.2
Remissyttranden och hur de har beaktats
Lagförslag 1 behandlades i yttrandena av Ålands landskapsregering, inrikesministeriets gränsbevakningsavdelning, kommunikationsministeriet, justitieministeriet, rättsregistercentralen, försvarsministeriet, finansministeriet, Polisstyrelsen, skyddspolisen, centralkriminalpolisen, Finnair Oy, Trafiksäkerhetsverket, Norwegian Air Shuttle (DY) and Norwegian Air International LTD och Tullen.  
Utifrån remissvaren har det gjorts kompletteringar och ändringar i propositionen, av vilka den mest betydande gäller bestämmelserna om en jämförelse mellan PNR-uppgifterna och andra register och databaser. Detta beror på att lagförslagen föreläggs för godkännande före förslaget till den nya lagen om behandling av personuppgifter i polisens verksamhet, varför också bestämmelserna om jämförelse baserar sig på den gällande lagstiftningen, liksom också i fråga om lagarna om behandling av personuppgifter inom Tullen och vid gränsbevakningsväsendet, som också förnyas. 
Med anledning av kommunikationsministeriets och Trafiksäkerhetsverkets yttranden har den internationella jämförelsen i propositionen och de tekniska definitionerna som gäller överföring av uppgifter kompletterats och kostnaderna för lufttrafikföretagen uppdaterats.  
Den fråga om möjligheten för enheten för passagerarinformation att jämföra PNR-uppgifterna med uppgifter i penningtvättregistret som togs upp i centralkriminalpolisens yttrande hänför sig till tolkningen av penningtvättsdirektivet och behandlas separat i samband med beredningen av ändringarna i lagen om centralen för utredning av penningtvätt. Genom lagen om centralen för utredning av penningtvätt (445/2017) genomfördes bestämmelserna i Europaparlamentet och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism (penningtvättsdirektivet) till den del det är fråga om sådana centraler för utredning av penningtvätt (Financial Intelligence Unit, FIU) som krävs i direktivet.  
I Gränsbevakningsväsendets yttrande föreslogs det att den organisatoriska ställningen för enheten för passagerarinformation bör vara åtskild från PTG-strukturen, t.ex. på samma sätt som det föreskrivits i fråga om centralen för utredning av penningtvätt, och att beslut om enhetens mera exakta placering bör fattas på en praktisk nivå. I Tullens yttrande konstaterades det att den organisatoriska ställningen för enheten för passagerarinformation bör vara åtskild från PTG-strukturen och att det genom den föreslagna lagen bör bestämmas att enheten för passagerarinformation placeras t.ex. vid centralkriminalpolisen eller Polisstyrelsen. Enligt yttrandet bör enhetens närmare placering i PTG-strukturen, t.ex. i anslutning till PTG-kriminalunderrättelseenheten, bestämmas på en praktisk nivå. Under den fortsatta beredningen av propositionen stannade man för att placera enheten för passagerarinformation inom PTG-strukturen. För att bestämma enhetens ställning avvikande från det föreslagna krävs en separat bedömning av olika alternativ i PTG-samarbete i fråga om enhetens placering, organiseringen av ekonomiska resurser och personalresurser samt administrativa arrangemang. Verksamheten kan inledas inom PTG-strukturen, men frågan och resurserna ska granskas utifrån de erfarenheter som fås i verksamheten i praktiken. 
I försvarsministeriets yttrande konstateras det att Försvarsmakten inte i förslaget har definierats som en behörig myndighet och att försvarsmakten i anslutning till sina uppgifter har ett behov att behandla och i samband med behandlingen jämföra PNR-uppgifterna med de uppgifter som sparats i samband med förebyggande och avslöjande av brott. Under den fortsatta beredningen av propositionen ansågs det ändamålsenligt att hålla sig till den definition av behöriga myndigheter som ingick i arbetsgruppens förslag, med beaktande av att direktivets tillämpningsområde är bekämpande av terrorism och sådan grov brottslighet som definieras i direktivet. Detta är i regel PTG-myndigheternas uppgift, medan försvarsmaktens huvudsakliga befogenhet är att förhindra och avslöja brott som anknyter till underrättelseverksamhet riktad mot Finland och som äventyrar syftet med det militära försvaret. 
I propositionen har det dessutom gjorts preciseringar och korrigeringar av teknisk natur utifrån remissvaren. 
6
Samband med andra propositioner
Propositionen har samband med det betänkande (52/2017) som beretts av en arbetsgrupp (OM 21/41/2016) som tillsatts av justitieministeriet den 12 januari 2017. Betänkandet innehåller ett utkast till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. I 2 §, som behandlar förhållandet mellan lagförslag 1 och annan lagstiftning, finns en hänvisning till utkastet till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Likaså innehåller 11 §, som behandlar överföring av PNR-uppgifter till tredjeländer, en hänvisning till den lagen, liksom även 13 § om inskränkningar i rätten till insyn. 
I PNR-direktivet hänvisas det i fråga om definitionerna av terroristbrott till rådets rambeslut 2002/475/RIF (artiklarna 1—4), vilket har ersatts med Europaparlamentets och rådets direktiv (EU) 2017/541 om bekämpande av terrorism, om ersättande av rådets rambeslut 2002/475/RIF och om ändring av rådets beslut 2005/671/RIF (terrorismdirektivet). Enligt artikel 27 i terrorismdirektivet ska hänvisningar till det nämnda rambeslutet anses som hänvisningar till direktivet. Medlemsstaterna ska införliva terrorismdirektivet i sin nationella lagstiftning senast den 8 september 2018. Den 5 maj 2017 tillsatte justitieministeriet en arbetsgrupp med uppgift att utreda vilka lagstiftningsändringar genomförandet av direktivet förutsätter och bereda de lagändringar som behövs. Arbetsgruppens betänkande, som utarbetades i form av en regeringsproposition, blev klart den 8 november 2017 (justitieministeriets publikation 56/2017). Definitionen av terroristbrott i artikel 3.8 i PNR-direktivet innehåller en hänvisning till rambeslutet, vilket som det nämnts ovan har ersatts av terrorismdirektivet.  
Avsikten är att denna proposition ska överlämnas till riksdagen så samtidigt med justitieministeriets nämnda propositioner som möjligt. I fråga om lagförslagen ska det säkerställas att hänvisningarna till författningar och paragrafer samt till behövliga delar också terminologin samordnas under riksdagsbehandlingen.  
DETALJMOTIVERING
1
Lagförslag
1.1
Lag om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet
Lagförslaget är nytt och baserar sig på Europaparlamentets och rådets direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (PNR-direktivet). Direktivet förpliktar lufttrafikföretag att överföra fastställda PNR-uppgifter till de enheter för passagerarinformation som inrättats eller utsetts av medlemsstaterna för analys av uppgifterna samt från enheten för eventuell överföring till behöriga myndigheter, en enhet för passagerarinformation i en annan medlemsstat eller till Europol för bedömning av om det behövs utredningar för att dessa ska kunna identifiera personer som är delaktiga i sådana terroristbrott eller sådan grov brottslighet som definieras i direktivet. Medlemsstaterna ska genomföra direktivet senast den 25 maj 2018.  
1 §.Tillämpningsområde. I paragrafen föreskrivs det att genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, nedan PNR-direktivet. 
2 §.Förhållande till annan lagstiftning. I paragrafen preciseras lagförslagets förhållande till annan lagstiftning. Enligt 1 mom. tillämpas utöver det som föreskrivs i lagförslag 1 också lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ) på behandlingen av PNR-uppgifter vid enheten för passagerarinformation. Lagförslaget syftar till att genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet). Den föreslagna lagen är en speciallag som ska komplettera lagstiftningen i fråga.  
I 2 mom. föreslås ett informativt omnämnande om att bestämmelser om polisens, Tullens och Gränsbevakningsväsendets rätt att få uppgifter om flygpassagerare även finns i lagen om behandling av personuppgifter i polisens verksamhet (761/2003), lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/205) och lagen om behandling av personuppgifter inom Tullen (639/2015). PNR-direktivet och den nu föreslagna lagen om genomförande av direktivet kommer inte att begränsa rätten att få information eller behandlingen av uppgifter som grundar sig på annan lagstiftning och inte heller utbytet av uppgifter om passagerare i utrikestrafiken. Sådan reglering ingår åtminstone i lagen om behandling av personuppgifter i polisens verksamhet, lagen om behandling av personuppgifter inom Tullen och lagen om behandling av personuppgifter vid gränsbevakningsväsendet. PNR-direktivet och lagen om genomförande av direktivet ålägger lufttrafikföretagen en preciserad skyldighet att lämna ut information. För att den nya lagstiftningen inte i onödan ska öka transportörernas administrativa börda, bör de myndigheter som behöver PNR-uppgifter i första hand enas om möjligheten att ta emot dessa uppgifter som lämnats ut med stöd av olika lagstiftningar via en enda kanal och eventuellt rentav vid ett och samma tillfälle. Dessutom bör myndigheterna enas om hur de uppgifter som överförts till och tagits emot av myndigheterna ska överföras vidare till de nationella behöriga myndigheterna.  
3 §.Definitioner. I paragrafen ingår de definitioner som gäller i lagen. I paragrafen definieras lufttrafikföretag (1 punkten), flygning utanför Europeiska unionen (2 punkten), flygning inom Europeiska unionen (3 punkten), passagerare (4 punkten), PNR-uppgifter (5 punkten), terroristbrott (6 punkten), grov brottslighet (7 punkten), maskering (8 punkten), behöriga myndigheter (9 punkten) och Europol (10 punkten). Definitionerna i 1—8 punkten motsvarar definitionerna i artikel 3 i PNR-direktivet. Med terroristbrott avses terroristbrott enligt 34 a kap. 1—5 § i strafflagen (1889/33), medräknat olika brott som begåtts i terroristiskt syfte, förberedelse till brott som begås i terroristiskt syfte, ledning av terroristgrupper, främjande av terroristgruppers verksamhet och finansiering av terrorism. I 9 punkten definieras som behöriga myndigheter enligt PNR-direktivet polisen, Tullen och Gränsbevakningsväsendet. I PNR-direktivet hänvisas det i fråga om definitionerna av terroristbrott till rådets rambeslut 2002/475/RIF (artiklarna 1—4), vilket har ersatts med Europaparlamentets och rådets direktiv (EU) 2017/541 om bekämpande av terrorism, om ersättande av rådets rambeslut 2002/475/RIF och om ändring av rådets beslut 2005/671/RIF (terrorismdirektivet). Enligt artikel 27 i terrorismdirektivet ska hänvisningar till rambeslut 2002/475/RIF anses som hänvisningar till detta direktiv. Den skyldighet som åläggs i terrorismdirektivet att kriminalisera terroristbrott är betydligt mer omfattande än skyldigheten enligt artiklarna 1—4 i rambeslutet. Direktivet förpliktigar t.ex. medlemsstaterna att som nya brott kriminalisera mottagande av utbildning för terroristsyften och resor för terroristsyften och främjande av sådana resor samt att strängare än tidigare kriminalisera finansiering av terrorism. Medlemsstaterna ska införliva terrorismdirektivet med den nationella lagstiftningen senast den 8 september 2018.  
Med grov brottslighet i 7 punkten avses brott som förtecknas i bilaga II till PNR-direktivet och vilka bestraffas med fängelse eller annan frihetsberövande åtgärd eller säkringsåtgärd i minst tre år enligt medlemsstatens nationella rätt. Beträffande grov brottslighet innehåller bilaga II till PNR-direktivet följande brottsförteckning med 26 punkter: 1) Deltagande i en kriminell organisation 2) Människohandel 3) Sexuellt utnyttjande av barn samt barnpornografi 4) Olaglig handel med narkotika och psykotropa ämnen 5) Olaglig handel med vapen, ammunition och sprängämnen 6) Korruption 7) Bedrägeri, inbegripet riktat mot unionens finansiella intressen 8) Penningtvätt och penningförfalskning, inklusive förfalskning av euron 9) It-brottslighet/cyberbrottslighet 10) Miljöbrott, inbegripet olaglig handel med hotade djurarter och hotade växtarter och växtsorter 11) Hjälp till olovlig inresa och olovlig vistelse 12) Mord, grov misshandel 13) Olaglig handel med mänskliga organ och vävnader 14) Människorov, olaga frihetsberövande och tagande av gisslan 15) Organiserad stöld och väpnat rån 16) Olaglig handel med kulturföremål, inbegripet antikviteter och konstverk 17) Varumärkesförfalskning och piratkopiering 18) Förfalskning av administrativa dokument och handel med sådana förfalskningar 19) Olaglig handel med hormonsubstanser och andra tillväxtsubstanser 20) Olaglig handel med nukleära och radioaktiva ämnen 21) Våldtäkt 22) Brott som omfattas av den internationella brottmålsdomstolens behörighet 23) Kapning av flygplan eller fartyg 24) Sabotage 25) Handel med stulna fordon 26) Industrispionage. 
Då man jämför denna brottsförteckning med de brott som nämns i strafflagen, kan man bedöma att omkring sextio brott vars gärningsbeskrivning kan anses motsvara gärningarna i brottsförteckningen är sådana brott för vilka den strängaste påföljden är minst tre års fängelse. Bedömningen innehåller också olika gärningsformer av en gärning som föreskrivs som samma brott.  
4 §.Lufttrafikföretags skyldighet att överföra PNR-uppgifter. Enligt 1 mom. i paragrafen ska ett lufttrafikföretag överföra PNR-uppgifter som avses i 2 mom. för såväl ankommande som avgående flygningar utanför eller inom Europeiska unionen som de utför, till den del uppgifterna har samlats in som en del av den normala affärsverksamheten. I fråga om flygningar med gemensam linjebeteckning gäller skyldigheten det företag som utför flygningen. PNR-uppgifterna ska överföras till den enhet för passagerarinformation som avses i 5 §. Om lufttrafikföretaget också har samlat in sådan förhandsinformation om passagerare som avses i punkt 18 i bilaga I till PNR-direktivet men inte förvarar den med samma tekniska medel som andra PNR-uppgifter, ska även denna information överföras. Lufttrafikföretaget ska överföra PNR-uppgifterna avgiftsfritt. 
I artikel 8.1 i PNR-direktivet fastställs lufttrafikföretags skyldighet att överföra PNR-uppgifter till enheten för passagerarinformation och i artikel 8.2 anges medlemsstaternas skyldighet att se till att lufttrafikföretagen överför också den förhandsinformation om passagerare, s.k. API-uppgifter (Advance Passenger Information), som avses i punkt 18 i bilaga I. Av artikel 2 i PNR-direktivet framgår det att en medlemsstat kan tillämpa PNR-direktivet också på flygningar inom EU, antingen på alla eller endast valda flygningar inom EU. Enligt 3 kap. 13 § 1 mom. 16 punkten i lagen om behandling av personuppgifter i polisens verksamhet (761/2003) har polisen redan rätt att av samfund och sammanslutningar få uppgifter ur register som gäller passagerare och fordons personal, för förhindrande, avslöjande och utredning av brott, för överlämnande till åtalsprövning samt för att nå efterlysta personer. Tullen har motsvarande rätt med stöd av 13 § 1 mom. 1 punkten i lagen om behandling av personuppgifter inom Tullen. Polisens och Tullens rätt att få dessa uppgifter är inte begränsade till flygningar utanför EU. Såsom det framgår av det förra avsnittet 2.2. om den internationella utvecklingen samt lagstiftningen i utlandet och i EU gav medlemsstaterna i EU i samband med antagandet av PNR-direktivet en förklaring där de förbinder sig att vid godkännandet av de nationella genomförandelagarna fullt ut utnyttja möjligheten enligt artikel 2 i PNR-direktivet att tillämpa direktivet också på flygningar inom EU. I samband med beredningen av direktivet framgick det att det för direktivets effektfullhet krävs att uppgifter fås också om flygningar inom EU. Med beaktande av det ovannämnda ska ett lufttrafikföretag överföra de uppgifter som avses i den föreslagna paragrafens 1 mom. för alla ankommande och avgående flygningar utanför eller inom Europeiska unionen. Uppgifterna ska överföras avgiftsfritt. Genom det föreslagna 1 mom. genomförs artikel 2 i PNR-direktivet samt artikel 8.1 delvis och artikel 8.2.  
Förklaringen innehåller också ett uttalande om att medlemsstaterna strävar efter att i sin nationella lagstiftning (i vissa medlemsstater inom ramen för de parlamentariska procedurerna) utvidga direktivets tillämpningsområde så att det också omfattar andra ekonomiska aktörer än dem som bedriver lufttrafik, såsom resebyråer och researrangörer. Enligt artikel 19.1 i PNR-direktivet, som gäller översyn, ska kommissionen senast den 25 maj 2020 göra en översyn av samtliga delar av direktivet och överlämna till och lägga fram en rapport för Europaparlamentet och rådet. Rapporten ska också beakta huruvida det är nödvändigt att låta ekonomiska aktörer som inte är trafikföretag, t.ex. resebyråer och researrangörer som tillhandahåller reserelaterade tjänster, inklusive bokning av flygningar, omfattas av detta direktivs tillämpningsområde. I detta lagförslag föreslås ingen skyldighet att överföra uppgifter för andra än lufttrafikföretagen. 
Enligt 2 mom. PNR-uppgifterna omfattar 1) PNR-uppgifternas lokaliseringskod, 2) datum för bokning/utfärdande av biljett, 3) planerat/planerade resdatum, 4) namn, 5) adress och kontaktuppgifter, 6) alla former av betalningsinformation, 7) hela resrutten för de aktuella PNR-uppgifterna, 8) uppgifter om bonusprogram, 9) resebyrå/resebyråtjänsteman, 10) passagerares resestatus, inbegripet resebekräftelser, incheckningsstatus, passagerare som inte infinner sig eller passagerare utan bokning, 11) delade PNR-uppgifter, 12) allmänna anmärkningar, 13) biljettinformation, 14) platsnummer och annan platsinformation, 15) information om gemensam linjebeteckning, 16) all bagageinformation, 17) antal medresenärer i PNR-uppgifterna och deras namn, i samband med en bokning, 18) eventuell förhandsinformation som samlats in om passagerare, samt 19) alla tidigare ändringar av de PNR-uppgifter som avses i 1—18 punkten. Genom det föreslagna 2 mom. genomförs skyldigheten enligt artikel 8.1 i PNR-direktivet att överföra uppgifterna i direktivets bilaga I. 
Enligt 3 mom. ska PNR-uppgifterna överföras 24 timmar före flygningens planerade ankomst- eller avgångstid och omedelbart efter det att gatens dörrar stängts, varvid överföringen av uppgifter också kan begränsas till uppdateringar av tidigare överförda uppgifter. Om uppgifterna behövs för att man ska kunna reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet, ska uppgifterna på begäran av enheten för passagerarinformation överföras även vid andra tidpunkter. Enligt artikel 8.3 a i PNR-direktivet ska uppgifterna överföras 24—48 timmar före flygningens planerade avgång, och enligt punkt 4 omedelbart efter det att gatens dörrar har stängts. När enheten för passagerarinformation byggdes upp sågs 24 timmar som en lämplig tid. Beträffande tiden skulle det vara ändamålsenligt att alla medlemsstater följde samma praxis, saken diskuteras för närvarande av medlemsstaterna och kommissionen. Enligt artikel 8.4 ska medlemsstaterna tillåta lufttrafikföretag att begränsa den överföring som avses i punkt 3 b till uppdateringar av sådana överföringar som avses i punkt 3 a. I situationer där åtkomst till PNR-uppgifter är nödvändig för att reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet, ska enligt artikel 8.5 lufttrafikföretag efter en bedömning i det enskilda fallet på begäran av en enhet för passagerarinformation, i enlighet med nationell rätt, överföra PNR-uppgifter vid andra tidpunkter än de som anges i punkt 3. Genom det föreslagna 3 mom. genomförs artikel 8.3—5 i PNR-direktivet.  
Enligt 4 mom. ska PNR-uppgifter överföras i enlighet med kommissionens genomförandebeslut (EU) 2017/759 om gemensamma protokoll och dataformat som ska användas av lufttrafikföretag när PNR-uppgifter överförs till enheterna för passagerarinformation. Genom det föreslagna 4 mom. genomförs det första stycket i artikel 8.3 samt artikel 16.2-3 i PNR-direktivet.  
5 §.Enhet för passagerarinformation. I paragrafens 1 mom. preciseras den enhet för passagerarinformation som avses i lagen och som utgörs av en sådan riksomfattande PTG-kriminalunderrättelseenhet som avses i 5 § i lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet (nedan PTG-lagen). Artikel 4 i PNR-direktivet ålägger varje medlemsstat att inrätta eller utse en myndighet med behörighet att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet eller en avdelning inom en sådan myndighet, vilken ska fungera som medlemsstatens enhet för passagerarinformation. I Finland är den riksomfattande PTG-kriminalunderrättelseenhet som avses i 5 § i PTG-lagen en sådan enhet för passagerarinformation som avses i direktivet. Vid enheten arbetar företrädare för polisen, Tullen och Gränsbevakningsväsendet som är de behöriga myndigheter som förutsätts i PNR-direktivet. I avsnitt 4.2, konsekvenser för myndigheterna, ingår en närmare beskrivning av enheten för passagerarinformation och dess verksamhet. I propositionen ingår också ett förslag till ändring av 5 § i PTG-lagen, genom vilken den riksomfattande PTG-kriminalunderrättelseenheten fastställs som permanent. I samband med det stryks hänvisningen i den sista meningen i det gällande 1 mom. som gäller särskilda polisbefogenheter enligt 8 § i den upphävda polislagen (493/1995). Bestämmelser om särskilda polisbefogenheter ingår inte i den gällande polislagen. Dessutom är det lämpligt att ändra 3 § i statsrådets förordning om samarbete mellan polisen, tullen och gränsbevakningsväsendet (1126/2009) så att polisöverdirektören, generaldirektören för Tullstyrelsen och chefen för gränsbevakningsväsendet beslutar i den riksomfattande PTG-ledningsgruppen om de riksomfattande PTG- kriminalunderrättelseenheternas närmare uppbyggnad samt om inrättande och indrag av andra PTG-enheter. Enligt 2 mom. har enheten för passagerarinformation till uppgift att ta emot PNR-uppgifter och behandla dem i enlighet med denna lag. Genom den föreslagna 5 § samt ändringen av PTG-lagen genomförs PNR-direktivets artikel 4 om enheter för passagerarinformation.  
6 §.Personuppgiftsansvarig och dataskyddsombud. Enligt 1 mom. i paragrafen är Polisstyrelsen personuppgiftsansvarig för det register vid enheten för passagerarinformation som innehåller PNR-uppgifter och ansvarar för utnämningen av ett dataskyddsombud. Dataskyddsombudet ansvarar för övervakningen av behandlingen av PNR-uppgifter och genomförandet av åtgärder i anslutning till dataskydd vid enheten för passagerarinformation. Enligt paragrafens 2 mom. har dataskyddsombudet tillgång till de uppgifter som behandlas vid enheten för passagerarinformation. En registrerad har rätt att kontakta dataskyddsombudet i alla ärenden som gäller behandling av hans eller hennes PNR-uppgifter. Genom den föreslagna 6 § genomförs artikel 5 i PNR-direktivet.  
7 §.Behandling av PNR-uppgifter. Enligt 1 mom. i paragrafen får enheten för passagerarinformation behandla PNR-uppgifter för identifiering av personer som kan vara delaktiga i terroristbrott eller grov brottslighet, enligt följande: 1) före passagerarnas beräknade ankomst eller avresa, 2) på motiverad begäran, som bygger på tillräckliga observationer, från de behöriga myndigheterna, enheten för passagerarinformation i en annan medlemsstat eller Europol, 3) i enlighet med på förhand fastställda kriterier för bedömning och analys eller för att uppdatera kriterierna eller fastställa nya kriterier.  
Enligt artikel 6.2 a i PNR-direktivet får enheten för passagerarinformation behandla PNR-uppgifter för att göra en bedömning av passagerare före deras beräknade ankomst till eller avresa från den berörda medlemsstaten. Genom förslaget i 1 mom. 1 punkten genomförs artikel 6.2 a i PNR-direktivet.  
Enligt artikel 6.2 b i PNR-direktivet får enheten för passagerarinformation behandla PNR-uppgifter genom att i enskilda fall besvara en vederbörligen motiverad förfrågan som bygger på tillräckliga skäl från de behöriga myndigheterna om att tillhandahålla och behandla PNR-uppgifter i specifika fall och tillhandahålla de behöriga myndigheterna eller, när så är lämpligt, Europol resultaten av sådan behandling. Enligt artikel 9.2 i PNR-direktivet har en medlemsstat rätt att vid behov begära PNR-uppgifter från enheten för passagerarinformation i vilken medlemsstat som helst. Enligt artikel 10.1 i PNR-direktivet har Europol rätt att inom ramen för sina befogenheter och för fullgörandet av sina arbetsuppgifter begära PNR-uppgifter eller resultatet av behandlingen av dessa uppgifter från enheterna för passagerarinformation i medlemsstaterna. Genom förslaget i 1 mom. 2 punkten genomförs artikel 6.2 b och artikel 9.2 samt artikel 10.1 i PNR-direktivet.  
Enligt artikel 6.2 c i PNR-direktivet får enheten för passagerarinformation analysera PNR-uppgifter för att uppdatera och skapa nya kriterier och enligt 3 b behandla PNR-uppgifter i enlighet med på förhand fastställda kriterier. Genom förslaget i 1 mom. 3 punkten genomförs artikel 6.2 c och 6.3 b i PNR-direktivet.  
Inom brottsbekämpningen kan PNR-uppgifter användas på många olika sätt. Först och främst kan informationen användas reaktivt: i samband med brottsutredningar, lagföring eller upplösning av kriminella nätverk efter det att ett brott redan har begåtts. För att de brottsbekämpande myndigheterna ska få tillgång till de gamla uppgifter som de behöver måste de ha rätt att lagra uppgifterna tillräckligt länge. Informationen kan användas också i realtid, innan en passagerare har anlänt eller avrest, i syfte att förhindra ett brott, övervaka eller gripa personer innan ett brott har begåtts eller på grund av att ett brott har begåtts eller håller på att begås. I dessa fall behövs PNR-uppgifter för en jämförelse mot redan fastställda bedömningskriterier vilket gör det möjligt att identifiera tidigare okända misstänkta, eller för att söka i olika databaser över eftersökta personer och föremål. Vidare kan uppgifterna användas proaktivt för analys och för att skapa bedömningskriterier som sedan kan användas för bedömning av passagerare före ankomst och avresa. För att de brottsbekämpande myndigheterna ska ha nytta av en sådan analys för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet måste de ha rätt att lagra uppgifterna tillräckligt länge. Proaktiv användning av uppgifter är till exempel att man kommer eventuella terrorister eller kriminella grupper som smugglar droger eller bedriver människohandel på spåren genom att analysera sätten att resa och tillvägagångssätt som avviker från det normala. Som avvikande kan nämnas till exempel kontantbetalning för bokningar som gjorts i sista minuten eller att en passagerare saknar bagage. Avsikten kan vara att dölja en passagerares identitet. Flygning är ett snabbt, enkelt och billigt sätt att resa också för den som planerar terroristiska gärningar. Nyttan av analyser av PNR-uppgifter vid brottsbekämpning kan jämföras med analyser av routning och dess innehåll i samband med telekommunikation. Trots att det är allmänt känt, också bland dem som planerar brott, att myndigheterna har möjlighet att, antingen i realtid eller i efterhand, analysera telekommunikationen, har teleövervakning ändå stor betydelse som ett arbetsredskap för brottsbekämpande myndigheter.  
Enligt 2 mom. ska enheten för passagerarinformation fastställa de i 1 mom. 3 punkten avsedda kriterierna för bedömning och analys och se över dem regelbundet tillsammans med de behöriga myndigheterna. Bedömningskriterierna ska vara riktade, proportionella och tydliga. De får inte grunda sig på uppgifter om en persons ras, etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, medlemskap i fackförbund, hälsotillstånd, sexualliv eller sexuella läggning. Genom den föreslagna bestämmelsen i 2 mom. genomförs artikel 6.4 i PNR-direktivet. Genom momentet uppfyller medlemsstaterna samtidigt skyldigheten enligt artikel 11.3 i PNR-direktivet att förvissa sig om att profilering inte leder till diskriminering. Medlemsstaterna ska se till att kriterierna fastställs och regelbundet ses över av enheterna för passagerarinformation i samarbete med de behöriga myndigheter som avses i artikel 7. Dessa på förhand fastställda kriterier får under inga omständigheter vara baserade på en persons ras, etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning.  
I 3 mom. i paragrafen föreskrivs det om rätten för enheten för passagerarinformation att i samband med den behandling som avses i 1 mom. genom automatiserade metoder jämföra PNR-uppgifter med uppgifter i databaser som är relevanta för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Enligt artikel 6.3 a i PNR-direktivet får enheten för passagerarinformation jämföra PNR-uppgifter med uppgifter i databaser som är relevanta för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, inklusive databaser över personer eller föremål som är eftersökta eller finns uppförda på spärrlista, i enlighet med unionsbestämmelser eller internationella eller nationella bestämmelser som är tillämpliga på sådana databaser.  
Enligt propositionen får enheten för passagerarinformation i samband med den behandling som avses i 1 mom. genom automatiserade metoder jämföra PNR-uppgifter med uppgifter i följande databaser och register:  
1) polisens informationssystem och personregister enligt 2—4 och 6 § i lagen om behandling av personuppgifter i polisens verksamhet, 
2) skyddspolisens funktionella informationssystem enligt 5 § i lagen om behandling av personuppgifter i polisens verksamhet, 
3) Schengens informationssystem enligt 32 § 2 punkten i lagen om behandling av personuppgifter i polisens verksamhet, 
4) det undersöknings- och handräckningsregister som avses i 7 §, det register för övervakningsärenden som avses i 9 § samt Gränsbevakningsväsendets register över personer misstänkta för brott som avses i 11 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet, 
5) de informationssystem och personregister som avses i 3—7 § i lagen om behandling av personuppgifter inom Tullen, 
6) utlänningsregistret enligt 2 § i lagen om utlänningsregistret (1270/1997), 
7) fordonstrafikregistret enligt 1 § i lagen om fordonstrafikregistret (541/2003), 
8) farkostregistret enligt 1 § i lagen om farkostregistret (424/2014), 
9) befolkningsdatasystemet enligt 3 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009), 
10) internationella kriminalpolisorganisationens (I.P.C.O. - Interpol) databaser, samt 
11) de uppgifter som avses i 3 § 2 mom. i lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning (214/2017). 
De databaser som nämns ovan i 1—5 samt 10 och 11 punkten har upprättats för polisens, Tullens och Gränsbevakningsväsendets grundläggande uppgifter, där också brottsbekämpning ingår. Det utlänningsregister som avses i 6 punkten används bl.a. för behandling av, beslut om och övervakning av utlänningars inresa och utresa samt vistelse, i syfte att trygga statens säkerhet samt göra sådana normala eller omfattande säkerhetsutredningar som avses i lagen om säkerhetsutredningar. Registren i 7—9 punkten är inte upprättade med avseende på brottsbekämpning. Det har dock ansetts att det är nödvändigt att utvidga möjligheten att utnyttja datainnehållet och lämna ut uppgifter ur registren för att myndigheterna ska kunna sköta uppgifter som föreskrivs annanstans i lag eller bestäms med stöd av lag. Också jämförelse av dessa register med PNR-uppgifter är väsentligt för att förebygga brottslighet som avses i direktivet. Till exempel kan det konstateras att egendom som förvärvats genom brott ofta överförs till den närmaste kretsen till den som begått ett allvarligt brott och omvandlas till en annan form, t.ex. när det gäller fordon, båtar, fastighets- och andra värdetillgångar. När man försöker nå sådana personer som är efterlysta för allvarliga brott och finna samband och kontaktinformation mellan personer och egendom och rikta åtgärder mot dem, kan också officiella uppgifter ur register över fordon, farkoster och fastigheter ha stor betydelse. Vid en jämförelse av registren är det inte fråga om att överväga att inleda förundersökning. Vid en jämförelse av uppgifter analyserar enheten för passagerarinformation de uppgifter den fått för att se om det finns grunder för att överföra uppgifterna till behöriga myndigheter för ytterligare undersökningar. En eventuell förundersökning görs av de behöriga myndigheterna, inte av enheten för passagerarinformation. 
Genom 1—11 punkten i det föreslagna 3 mom. genomförs artikel 6.3 a i PNR-direktivet.  
Enligt artikel 7.4 i PNR-direktivet får PNR-uppgifter och resultaten av behandlingen av dessa uppgifter som mottas av enheten för passagerarinformation vidarebehandlas av de behöriga myndigheterna i medlemsstaterna bara för specifika syften, såsom att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet. Enligt artikel 7.5 i direktivet ska punkt 4 inte påverka de brottsbekämpande eller rättsliga myndigheternas befogenheter på nationell nivå, om andra brott eller indikationer på sådana upptäcks i samband med brottsbekämpande insatser som görs till följd av sådan behandling av PNR-uppgifter. Om specifika PNR-uppgifter har överförts till en behörig myndighet för att användas inom ramen för särskilda brottsutredningar eller lagföringsåtgärder, bör enligt skäl 26 i ingressen till direktivet den behöriga myndighetens lagring av dessa uppgifter regleras av nationell rätt, oavsett vilken lagringstid för uppgifter som anges i detta direktiv. Vid behandling av PNR-uppgifter eller resultat av behandlingen av uppgifterna som erhållits från enheten för passagerarinformation för bekämpning av terrorism och grov brottslighet, får polisen, Tullen och Gränsbevakningsväsendet behandla uppgifterna också för bekämpning av annan brottslighet, om det till följd av behandlingen framkommer andra brott eller indikationer på sådana. 
PNR-direktivet och förslaget till lag om genomförande av direktivet kommer inte att begränsa rätten att få information eller behandlingen av uppgifter som grundar sig på annan lagstiftning och inte heller utbytet av uppgifter om passagerare i utrikestrafiken. Sådan reglering ingår åtminstone i lagen om behandling av personuppgifter i polisens verksamhet, lagen om behandling av personuppgifter vid gränsbevakningsväsendet och lagen om behandling av personuppgifter inom Tullen. PNR-direktivet och lagen om genomförande av direktivet medför en mera preciserad och definierad skyldighet att lämna ut uppgifter i fråga om PNR-uppgifter inom lufttrafiken. För att den nya lagstiftningen inte i onödan ska öka transportörernas administrativa börda, bör de myndigheter som behöver PNR-uppgifter i första hand enas om möjligheten att ta emot dessa uppgifter som lämnats ut med stöd av olika lagstiftningar via en enda kanal och eventuellt rentav vid ett och samma tillfälle. Dessutom bör myndigheterna enas om hur de uppgifter som lämnats ut och tagits emot ska vidarefördelas till de nationella behöriga myndigheterna.  
Enligt 4 mom. i paragrafen ska eventuella träffar i samband med sådan behandling av PNR-uppgifter som avses i 1 mom. 1 punkten granskas individuellt. Enligt artikel 6.5 i PNR-direktivet ska medlemsstaterna se till att eventuella träffar i samband med automatisk behandling av PNR-uppgifter enligt punkt 2 a (bedömning av passagerare före deras beräknade ankomst eller avresa) granskas individuellt med icke-automatiska metoder, för att verifiera huruvida den behöriga myndighet som avses i artikel 7 behöver vidta åtgärder enligt nationell rätt. Genom det föreslagna 4 mom. genomförs artikel 6.5 i PNR-direktivet. 
Enligt 5 mom. ska en jämförelse med uppgifterna i skyddspolisens funktionella informationssystem enligt 3 mom. 2 punkten ovan genomföras på ett sätt som tryggar dataskyddet, i enlighet med vad som avtalas med skyddspolisen. Jämförelsen får genomföras endast av en tjänsteman som skyddspolisen har förordnat till enheten för passagerarinformation. Resultaten av jämförelsen får vidarebefordras endast med samtycke av skyddspolisen. Punkten gäller en jämförelse av PNR-uppgifter med de personuppgifter som behandlas av skyddspolisen. Genom den föreslagna punkten framhålls kraven på dataskydd som uppstår när uppgifter behandlas i ett informationssystem med hög datasäkerhet (skyddsnivå II).  
I enlighet med den föreslagna 14 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ska den personuppgiftsansvarige svara för att personuppgifter behandlas lagenligt. Enligt 15 § i samma lagförslag ska den personuppgiftsansvarige när metoder för behandlingen av personuppgifter fastställs och i samband med behandlingen av uppgifterna vidta lämpliga tekniska och organisatoriska skyddsåtgärder för att förvissa sig om att behandlingen är lagenlig och den registrerades rättigheter tryggas. När åtgärderna genomförs ska de tekniska lösningar som står till förfogande, kostnaderna för åtgärderna samt behandlingens art, omfattning, sammanhang och syften beaktas liksom de risker som riktar sig mot fysiska personers rättigheter. Enligt 31 § i lagförslaget ska den personuppgiftsansvarige och personuppgiftsbiträdet genom tekniska och organisatoriska åtgärder skydda personuppgifterna för att förvissa sig om en säkerhetsnivå som är lämplig i förhållande till risken för den registrerades rättigheter. Bestämmelser om skyddet av personuppgifter finns också i PNR-direktivet. Enligt artikel 13.7 i direktivet ska medlemsstaterna se till att deras enhet för passagerarinformation genomför lämpliga tekniska och organisatoriska åtgärder och förfaranden för att säkerställa en så hög säkerhetsnivå som är lämplig med tanke på de risker som är förknippade med behandlingen och arten av PNR-uppgifterna. 
Den föreslagna bestämmelsen kan anses ha en delvis informativ karaktär, eftersom bestämmelserna ovan förutsätter att all behandling av personuppgifter genomförs på ett sätt som tryggar dataskyddet. Bestämmelser om dataskydd ingår också i den gällande lagstiftningen om behandling av personuppgifter. Förslaget till bestämmelse ses dock som nödvändigt, eftersom jämförelsen görs i ett informationssystem på skyddsnivå II, vilket vid informationsbehandlingen kräver avvikande tekniker med ett starkare skydd jämfört med andra system på lägre datasäkerhetsnivå. I det avseendet är det lämpligt att framhålla vikten av att jämförelsen görs på ett datasäkert sätt, eftersom man blir tvungen att tillgripa metoder som avviker från andra informationssystem på en lägre säkerhetsnivå. 
Enligt 5 mom. får jämförelsen genomföras bara av en tjänsteman som skyddspolisen förordnat till uppgiften vid enheten för passagerarinformation. Redan tidigare i lagstiftningen har man omfattat ståndpunkten att utomstående inte ska ha åtkomst till skyddspolisens informationssystem på grund av att innehållet är känsligt. Saken har beskrivits på följande sätt i tidigare förarbeten till lagen om behandling av personuppgifter i polisens verksamhet: ”Datasystemet är avsett att användas av en enda polisenhet, nämligen skyddspolisen, varför endast personer som hör till skyddspolisens personal skall ha rätt att använda det” (RP 39/1994 s.15). 
Det föreslagna momentet anknyter också till de krav på datasäkerhet som behandlas ovan. I praktiken innebär bestämmelsen en skyldighet att begränsa behandlingen av uppgifter med organisatoriska medel, eftersom bara en avgränsad grupp av användare kan ges åtkomst till hemligt eller särskilt känsligt faktamaterial. I skyddspolisens register är det dessutom även möjligt att registrera personer vilkas delaktighet i handlingar som skyddas genom direktivet kan vara i viss mån mer diffus eller osäker än i andra liknande personregister som ingår i jämförelsen. Därför krävs kännedom om polisens verksamhetsområde hos den som ska bedöma om uppgifterna är i den mån väsentliga och nödvändiga att de behöver lämnas vidare till behöriga myndigheter, andra enheter för passagerarinformation, Europol eller ett tredje land. Enligt sista meningen i 5 mom. kan de PNR-uppgifter som observerats genom jämförelsen enligt 6 § 3 mom. 2 punkten och resultaten av behandlingen av uppgifterna vidarebefordras bara med samtycke av skyddspolisen. 
Enligt skäl 23 i ingressen till PNR-direktivet får bestämmelserna i direktivet inte påverka andra unionsinstrument om informationsutbyte mellan polismyndigheter och andra brottsbekämpande myndigheter och rättsliga myndigheter. Till sådana bestämmelser hör Europaparlamentets och rådets förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (den s.k. Europol-förordningen). I artikel 7.7 i förordningen föreskrivs det att utan att det påverkar medlemsstaternas fullgörande av sitt ansvar att upprätthålla lag och ordning och skydda den inre säkerheten ska medlemsstaterna inte vara skyldiga att i ett konkret fall tillhandahålla information i enlighet med punkt 6 a, om det skulle a) strida mot den berörda medlemsstatens grundläggande säkerhetsintressen, b) äventyra en positiv utgång av en pågående utredning eller en enskild persons säkerhet, eller c) medföra att uppgifter som sätts i samband med organisationer eller särskild underrättelseverksamhet inom området för nationell säkerhet lämnas ut. Medlemsstaterna ska dock tillhandahålla information så snart den upphör att omfattas av första stycket led a, b eller c. Dessa grunder för vägran begränsar Europols rätt att få uppgifter från enheten för passagerarinformation. Vid bedömningen av grunderna för vägran har skyddspolisen en central roll.  
Enligt artikel 4.2 i Fördraget om Europeiska unionen (EU-fördraget) är den nationella säkerheten varje medlemsstats eget ansvar. Till skyddspolisens uppgifter hör att upprätthålla den nationella säkerheten, och därför omfattas dess verksamhet inte av tillämpningsområdet för unionsrätten. 
Även om det är skyddspolisens uppgift att upprätthålla den nationella säkerheten, är skyddspolisen samtidigt också till sin karaktär en polismyndighet. I Finland hör det till dess ansvarsområde att förhindra och avslöja terrorism samt administrera ett informationssystem i vilket tillhörande personuppgifter kan registreras. Om det inte vore möjligt att jämföra PNR-uppgifterna med skyddspolisens informationssystem, skulle man inte kunna förhindra eller avslöja terroristbrott i tillnärmelsevis lika hög grad. Utifrån ett nationellt effektivitetsperspektiv kan det anses vara av yttersta vikt att PNR-uppgifterna kan jämföras i den omfattning det behövs även med skyddspolisens informationssystem. Till exempel en jämförelse med informationssystemet för polisärenden har inte en ens på långt när en lika effektiv terrorismhämmande inverkan, eftersom dess syfte när det gäller terroristbrott i princip är att utreda brott. 
I skäl 23 i ingressen till direktivet hänvisas till rådets rambeslut 2006/960/RIF. Med stöd av detta rambeslut har det stiftats en nationell lag om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009). Enligt 3 § i lagen avses med information och underrättelser enligt 1) uppgifter i de personregister som avses i 2—4 och 6 § i lagen om behandling av personuppgifter i polisens verksamhet (761/2003). Bestämmelser om skyddspolisens register ingår i 5 § i lagen om behandling av personuppgifter i polisens verksamhet, vilket innebär att lagen inte tillämpas i skyddspolisens verksamhet. Trots detta får skyddspolisens uppgifter inte ha ett sämre skydd än den övriga polisens uppgifter för vilkas del det i 7 § i lagen om informations- och underrättelseutbyte (26/2009) föreskrivs om vägran att lämna ut information och underrättelser, om utlämnandet av informationen kan kränka Finlands suveränitet eller äventyra Finlands säkerhet eller andra väsentliga nationella intressen. Grunden för vägran ska således i sak tillämpas också på skyddspolisens verksamhet, även om lagen i fråga formellt inte tillämpas på verksamheten. 
I den gällande lagen om behandlingen av personuppgifter i polisens verksamhet utgår man från att uppgifterna i skyddspolisens funktionella datasystem i allmänhet är sådana att utlämnande av dem kan äventyra statens säkerhet (RP 39/1994 s. 21). Ett uttryck för detta är också att bestämmelserna om skyddspolisens uppgifter enligt 24 § 1 mom. 9 punkten i lagen om offentlighet i myndigheternas verksamhet (621/1999) innehåller en sekretesspresumtion. Med anledning av det som anges ovan är utgångspunkten också i detta lagförslag att det för utlämningen av uppgifter krävs samtycke av skyddspolisen. Med andra ord ska skyddspolisen bedöma om utlämningen av uppgifter kan äventyra statens säkerhet eller andra väsentliga nationella intressen. 
Med avseende på uppgifternas sekretess är det stora skillnader mellan skyddspolisens och den övriga polisens informationssystem. Skillnaderna i sin tur uttrycker varför uppgifter som noterats vid en jämförelse med skyddspolisens informationssystem som regel inte kan lämnas vidare i motsats till exempelvis utlämningen av uppgifter från informationssystemet för polisärenden. Dessutom talar de begränsningar som gäller skyddspolisens utbyte av information för den föreslagna bestämmelsen. Jämfört med den övriga polisens informationssystem betonas i skyddspolisens system de s.k. reglerna om tredjeland. Skyddspolisens verksamhet grundar sig i betydande grad på internationellt utbyte av information, och dess informationssystem innehåller i stor utsträckning personuppgifter som inhämtats i sådana sammanhang. Enligt 1 § 2 mom. i den gällande lagen om behandling av personuppgifter i polisens verksamhet ska utöver vad som föreskrivs i denna lag iakttas internationella avtal som är bindande för Finland. Informationsutbytet mellan säkerhets- och underrättelsetjänster grundar sig på överlåtarstatens prövning utan någon juridisk skyldighet att överlåta information, och på förtroendet för att informationen inte överlåts till tredje part utan överlåtarstatens samtycke. Bestämmelser om skyldigheten att iaktta internationella begränsningar i användningen av uppgifter finns i 31 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet. Skyddspolisens internationella samarbete äventyras om begränsningarna i användningen inte iakttas, vilket också är fallet om skyddspolisen förpliktigas att till PTG-myndigheterna lämna ut uppgifter som den fått inom ramen för sitt internationella informationsutbyte.  
Det faktum att rätten till insyn enligt 45 § i lagen om behandling av personuppgifter i polisens verksamhet inte överhuvudtaget gäller skyddspolisens informationssystem talar för krav på ett särskilt samtycke i förhållande till övriga register. Någon liknande begränsning gäller inte exempelvis informationssystemet för polisärenden. Syftet med skyddspolisens och den övriga polisens register skiljer sig från varandra, vilket i hög grad påverkar möjligheterna att lämna ut uppgifter ur registret.  
8 §.Överföring av PNR-uppgifter till behöriga myndigheter. Enligt 1 mom. ska enheten för passagerarinformation överföra de PNR-uppgifter om personer som har identifierats genom den behandling av PNR-uppgifter som avses i 7 § 1 mom. 1 punkten eller resultaten av behandlingen av uppgifterna till de behöriga myndigheterna, så att de kan utreda personernas delaktighet i terroristbrott eller grov brottslighet.  
Enligt 2 mom. får uppgifterna eller resultaten av behandlingen av uppgifterna överföras till de behöriga myndigheterna även på behörig och motiverad begäran från dessa myndigheter för att förebygga, avslöja, utreda och lagföra terroristbrott och grov brottslighet. 
Enligt 3 mom. får de uppgifter som avses ovan i 1 och 2 mom. lämnas ut endast från fall till fall. 
Enligt 4 mom. får de behöriga myndigheterna använda de uppgifter som enheten för passagerarinformation har överfört även för att utreda, förebygga och avslöja brott och omständigheter som tyder på brott som har kommit fram i samband med behandlingen av uppgifterna samt för inriktning av verksamheten och stödjande av oskuldspresumtionen.  
Enligt artikel 6.6 i PNR-direktivet ska enheten för passagerarinformation i en medlemsstat översända PNR-uppgifterna beträffande personer som har identifierats i enlighet med punkt 2 a (bedömning av passagerare före ankomst eller avresa) eller resultaten av behandlingen av dessa uppgifter till de behöriga myndigheter som avses i artikel 7 i samma medlemsstat för vidare granskning. Sådana överföringar får bara göras i enskilda fall och, vid automatisk behandling av PNR-uppgifter, efter individuell icke-automatisk granskning. Enligt artikel 6.2 b i direktivet ska enheten för passagerarinformation i enskilda fall besvara en vederbörligen motiverad förfrågan som bygger på tillräckliga skäl från de behöriga myndigheterna om att tillhandahålla och behandla PNR-uppgifter eller resultaten av behandlingen av uppgifter. Enligt artikel 6.7 i direktivet ska medlemsstaterna se till att dataskyddsombudet har åtkomst till alla uppgifter som enheten för passagerarinformation behandlar. Genom den föreslagna 8 § genomförs artikel 6.2 b, 6.6 och 6.7 i PNR-direktivet. 
9 §.Begäran om PNR-uppgifter av andra medlemsstater och utlämnande av uppgifter till dem. Enligt 1 mom. får enheten för passagerarinformation begära PNR-uppgifter av en enhet för passagerarinformation i en annan medlemsstat för att förebygga, avslöja, utreda och lagföra terroristbrott och grov brottslighet. Begäran ska motiveras. Enheten för passagerarinformation ska till den behöriga myndigheten överföra de PNR-uppgifter eller resultat av behandlingen av uppgifterna som den tagit emot av en enhet för passagerarinformation i en annan medlemsstat. 
I artikel 9.2 i PNR-direktivet konstateras det att enheten för passagerarinformation i en medlemsstat ska ha rätt att vid behov begära att en enhet för passagerarinformation i en annan medlemsstat tillhandahåller PNR-uppgifter som lagrats i den senares databas på vissa närmare villkor, om den begärande enheten för passagerarinformation anser begäran vara nödvändig för att bekämpa terroristbrott eller grov brottslighet. Enligt artikel 9.1 i PNR-direktivet ska bland annat enheterna för passagerarinformation i de mottagande medlemsstaterna översända den mottagna informationen till sina behöriga myndigheter. Genom det föreslagna 1 mom. genomförs delvis artikel 9.1 och 9.2 i PNR-direktivet. 
Enligt 2 mom. i paragrafen ska enheten för passagerarinformation överföra uppgifterna om personer som den identifierat genom sådan behandling av PNR-uppgifter som avses i 7 § 1 mom. 1 punkten samt genom tilläggsutredningar till motsvarande enheter för passagerarinformation i andra medlemsstater. De uppgifter som överförs ska omfatta alla relevanta och nödvändiga PNR-uppgifter eller resultat av behandlingen av uppgifterna om personer som identifierats genom behandlingen. Enheten för passagerarinformation får dessutom överföra PNR-uppgifter eller resultaten av behandlingen av uppgifterna till en enhet för passagerarinformation i en annan medlemsstat på dennes motiverade begäran. 
När personer i samband med en bedömning av passagerare identifieras av en enhet för passagerarinformation ska medlemsstaten enligt artikel 9.1 i PNR-direktivet se till att enheten för passagerarinformation översänder alla relevanta och nödvändiga PNR-uppgifter eller resultaten av en eventuell behandling av dessa uppgifter till motsvarande enheter i de andra medlemsstaterna. I artikel 9.2 i PNR-direktivet konstateras det att enheten för passagerarinformation i en medlemsstat ska ha rätt att vid behov begära att en enhet för passagerarinformation i en annan medlemsstat tillhandahåller PNR-uppgifter som lagrats i den senares databas på vissa närmare villkor, om den begärande enheten för passagerarinformation anser begäran vara nödvändig för att bekämpa terroristbrott eller grov brottslighet. Av artikel 9.1 framgår inte den ändamålsenliga principen att uppgifterna ska lämnas till enheten eller enheterna för passagerarinformation i den eller de medlemsstater som identifieringen hänsyftar till. Genom det föreslagna 2 mom. genomförs delvis artikel 9.1 och 9.2 i PNR-direktivet.  
Enligt 3 mom. kan de behöriga myndigheterna direkt av en enhet för passagerarinformation i en annan medlemsstat begära PNR-uppgifter när det behövs i nödfall för att förebygga, avslöja, utreda och lagföra terroristbrott och grov brottslighet. Begäran ska motiveras och information om den ska skickas till enheten för passagerarinformation. Under motsvarande förutsättningar får enheten för passagerarinformation överföra PNR-uppgifter till de behöriga myndigheterna i en annan medlemsstat på deras begäran.  
Enligt artikel 9.3 i PNR-direktivet får endast i nödfall och för att bekämpa terroristbrott och grov brottslighet en medlemsstats behöriga myndigheter vända sig direkt till enheten för passagerarinformation i en annan medlemsstat med en begäran om utlämnande av PNR-uppgifter som finns lagrade i den enhetens databas. Begäran från de behöriga myndigheterna ska motiveras. En kopia av begäran ska alltid skickas till enheten för passagerarinformation i den begärande medlemsstaten. I alla andra fall ska de behöriga myndigheterna översända sina framställningar via enheten för passagerarinformation i den egna medlemsstaten. Genom det föreslagna 3 mom. genomförs artikel 9.3 i PNR-direktivet. 
10 §.Överföring av PNR-uppgifter till Europol. Enheten för passagerarinformation får på motiverad begäran överföra PNR-uppgifter eller resultaten av tilläggsutredningar från behandlingen av uppgifterna till Europol för sådan behandling av uppgifter som avses i kapitel IV i den förordning som avses i 3 § 13 punkten i syfte att förebygga, avslöja och lagföra terroristbrott och grov brottslighet när överföringen av uppgifterna är behövlig för att målen för medlemsstaternas behöriga myndigheters brottsbekämpningssamarbete och ömsesidiga samarbete i enlighet med artikel 3 i den förordningen ska nås.  
Enligt artikel 10.1 i PNR-direktivet ska Europol inom ramen för sina befogenheter och för fullgörandet av sina arbetsuppgifter ha rätt att begära PNR-uppgifter eller resultaten av behandlingen av dessa uppgifter från enheterna för passagerarinformation i medlemsstaterna. Enligt artikel 10.2 får Europol från fall till fall via Europols nationella enhet lämna in en elektronisk, vederbörligen motiverad begäran till enheten för passagerarinformation i en medlemsstat om översändande av specifika PNR-uppgifter eller resultaten av behandlingen av dessa uppgifter. Europol får lämna in en sådan begäran när detta är absolut nödvändigt för att stödja och stärka medlemsstaternas åtgärder för att förebygga, förhindra, upptäcka eller utreda ett specifikt terroristbrott eller grovt brott i den mån brottet i fråga omfattas av Europols behörighet enligt beslut 2009/371/RIF. I den motiverade begäran ska rimliga skäl anges till varför Europol anser att översändandet av PNR-uppgifterna eller resultaten av behandlingen av PNR-uppgifter väsentligt kommer att bidra till att brottet i fråga förebyggs, upptäcks eller utreds. Enligt artikel 10.3 ska Europol informera det dataskyddsombud som utsetts i enlighet med artikel 28 i beslut 2009/371/RIF om varje informationsutbyte enligt den här artikeln. Enligt artikel 10.4 ska informationsutbyte enligt denna artikel äga rum via Siena och i enlighet med beslut 2009/371/RIF. Det språk som används för framställningen och informationsutbytet ska vara det som gäller för Siena. 
Europaparlamentets och rådets förordning (EU) 2016/794 (Europolförordningen) ersätter beslut 2009/371/RIF som nämns i PNR-direktivet. Bestämmelser som kompletterar Europolförordningen har utfärdats i lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning (214/2017). Enligt 3 § 1 mom. i lagen tillåts de behöriga myndigheter i Finland som avses i artikel 2 a i Europolförordningen ha direktkontakt med Europol i enlighet med artikel 7.5 i den förordningen. Enligt artikel 7.5 ska den nationella enheten i enlighet med punkt 2 fungera som sambandsorgan mellan Europol och medlemsstaternas behöriga myndigheter. På villkor som fastställs av medlemsstaterna, inbegripet tidigare kontakt med den nationella enheten, får medlemsstaterna dock tillåta direktkontakt mellan sina behöriga myndigheter och Europol. Skyldigheten enligt PNR-direktivet att överföra uppgifter bara via en nationell enhet grundar sig på det upphävda beslutet. Eftersom förordningen tillåter också direktkontakt, är det inte ändamålsenligt att begränsa kontakterna till att ske bara via en nationell enhet. Genom den föreslagna 10 § genomförs artikel 10.1 och 10.2 i PNR-direktivet. 
11 §.Överföring av PNR-uppgifter till tredjeländer. I paragrafen föreskrivs det om överföring av PNR-uppgifter till tredjeländer. Enligt det föreslagna 1 mom. får enheten för passagerarinformation överföra PNR-uppgifter och resultaten av behandlingen av uppgifterna till ett tredjeland endast i enskilda fall och förutsatt att 1) bestämmelserna i 41—43 § § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten iakttas, och 2) överföringen behövs för att förebygga, avslöja, utreda och lagföra terroristbrott och grov brottslighet. 
Enligt artikel 11.1 a i PNR-direktivet får en medlemsstat överföra PNR-uppgifter och resultaten av behandling av sådana uppgifter som lagrats av enheten för passagerarinformation i enlighet med artikel 12 till ett tredjeland efter bedömning i det enskilda fallet, bara under förutsättning att de villkor som fastställs i artikel 13 i rambeslut 2008/977/RIF är uppfyllda. Rambeslut 2008/977/RIF har upphävts genom Europaparlamentets och rådets direktiv (EU) 2016/680 (dataskyddsdirektivet). I 7 kap. 41 § i regeringens proposition med förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten, genom vilken dataskyddsdirektivet kommer att genomföras, behandlas allmänna principer för överföringen av personuppgifter till tredjeländer. Lagförslagets 7 kap. 41 § grundar sig på artikel 35, skäl 64 i ingressen och artikel 36.1 i dataskyddsdirektivet. Dessa ersätter de villkor som föreskrivs i artikel 13 i rambeslut 2008/977/RIF. Artikel 11.1 b i PNR-direktivet ställer som ytterligare villkor för överföring att överföringen är nödvändig för detta direktivs syften enligt artikel 1.2 (terroristbrott och grov brottslighet). Genom det föreslagna 1 mom. genomförs artikel 11.1 och 11.2 i PNR-direktivet.  
I 2 mom. i paragrafen föreskrivs det om villkoren för överföring när ett tredjeland som har fått PNR-uppgifter eller resultaten av behandlingen av uppgifterna överför uppgifterna eller resultaten av behandlingen av uppgifterna vidare till ett annat tredjeland. Enheten för passagerarinformation får ge tillstånd till ett tredjeland till vilket enheten har överfört PNR-uppgifter eller resultaten av behandlingen av uppgifterna att överföra uppgifterna vidare till ett annat tredjeland, om överföringen är nödvändig för bekämpning av terroristbrott och grov brottslighet. 
Enligt artikel 11.1 c i PNR-direktivet godtar det berörda tredjelandet att överföra uppgifterna till ett annat tredjeland bara om det är strikt nödvändigt för detta direktivs syften enligt artikel 1.2 (terroristbrott och grov brottslighet) och bara efter uttryckligt samtycke av medlemsstaten. Genom det föreslagna 2 mom. genomförs artikel 11.1 c i PNR-direktivet. 
Enligt det föreslagna 3 mom. får enheten för passagerarinformation överföra PNR-passageraruppgifter som den tagit emot från en enhet för passagerarinformation i en annan medlemsstat till ett tredjeland utan tillstånd av enheten för passagerarinformation i medlemsstaten i fråga endast om överföringen är av väsentlig betydelse för att man ska kunna reagera på ett i denna lag avsett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet som riktar sig mot en medlemsstat eller ett tredjeland och tillstånd inte kan fås i tid. Enheten för passagerarinformation i medlemsstaten i fråga ska informeras om överföringen och överföringen ska registreras på behörigt sätt och kontrolleras i efterhand. 
Enligt artikel 11.2 i PNR-direktivet ska överföring av PNR-uppgifter utan förhandssamtycke av den medlemsstat från vilken uppgifterna hämtades tillåtas i undantagsfall och bara om a) överföringen är absolut nödvändig för att reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet i en medlemsstat eller ett tredjeland, och b) förhandssamtycke inte kan erhållas i tid. Den myndighet som ansvarar för att ge samtycke ska informeras utan dröjsmål och överföringen ska vederbörligen registreras samt genomgå efterhandskontroll. Genom det föreslagna 3 mom. genomförs artikel 11.2 i PNR-direktivet.  
Innan PNR-uppgifter överförs till de behöriga myndigheterna i ett tredjeland ska enheten för passagerarinformation enligt 4 mom. i paragrafen förvissa sig om att tredjelandets planerade användning av uppgifterna är förenlig med villkoren och skyddsåtgärderna enligt denna paragraf. Dataskyddsombudet vid enheten för passagerarinformation ska informeras om överföringen av uppgifterna.  
Enligt artikel 11.3 i PNR-direktivet ska medlemsstaterna överföra PNR-uppgifter till behöriga myndigheter i tredjeländer på villkor som är förenliga med detta direktiv bara efter att ha förvissat sig om att mottagarnas planerade användning av uppgifterna är förenlig med dessa villkor och skyddsåtgärder. Enligt artikel 11.4 ska dataskyddsombudet vid enheten för passagerarinformation i den medlemsstat som har överfört PNR-uppgifterna informeras varje gång medlemsstaten överför PNR-uppgifter enligt denna artikel. Genom det föreslagna 4 mom. genomförs artikel 11.3 och 11.4 i PNR-direktivet. 
12 §. Utplåning och maskering av PNR-uppgifter och utlämnande av maskerade uppgifter. Enligt 1 mom. ska enheten för passagerarinformation utplåna PNR-uppgifter ur det register som avses i 6 § när fem år har förflutit från det att de överfördes till enheten för passagerarinformation. När sex månader har förflutit från det att uppgifterna överfördes till enheten för passagerarinformation ska följande PNR-uppgifter avskiljas från uppgifterna genom maskering: 1) namn, inklusive namn på andra passagerare i PNR-uppgifterna som reser tillsammans samt deras antal, 2) adress och andra kontaktuppgifter, 3) alla former av betalningsinformation, inbegripet faktureringsadress, om denna innehåller uppgifter som kan användas för att omedelbart identifiera den passagerare som PNR-uppgifterna avser, eller andra personer, 4) uppgifter om bonusprogram, 5) allmänna anmärkningar, och 6) eventuell förhandsinformation som har samlats in om passagerare. 
Enligt artikel 12.1 i PNR-direktivet ska medlemsstaterna se till att PNR-uppgifter som lämnas av lufttrafikföretag till enheten för passagerarinformation lagras i en databas vid enheten under en period på fem år efter överföringen till enheten för passagerarinformation i den medlemsstat på vars territorium flygningen ankom eller avgick. Denna skyldighet gäller dock inte om specifika PNR-uppgifter har överförts till en behörig myndighet och används i specifika fall i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, varvid den behöriga myndighetens lagring av uppgifterna i stället ska regleras av nationell rätt. Enligt artikel 12.2 i PNR-direktivet ska vid utgången av en period på sex månader efter överföringen av de PNR-uppgifter som avses i punkt 1 alla PNR-uppgifter avidentifieras genom maskering av följande uppgifter [1—6 punkten ovan], som kan användas för att omedelbart identifiera de passagerare som PNR-uppgifterna avser. Enligt artikel 12.4 ska medlemsstaterna se till att PNR-uppgifterna slutgiltigt raderas vid utgången av den period som avses i punkt 1. Genom det föreslagna 1 mom. genomförs artikel 12.1 och 12.2 i PNR-direktivet. 
Enligt 2 mom. i paragrafen ska enheten för passagerarinformation utplåna resultaten av den behandling som avses i 7 § 1 mom. 1 punkten (bedömning av passagerare i samband med avresa och ankomst) när de behöriga myndigheterna eller en enhet för passagerarinformation i en annan medlemsstat har informerats om en träff. Om resultatet efter tilläggsutredningar visar sig vara felaktigt får den felaktiga uppgiften, för att felaktiga träffar ska kunna undvikas i framtiden, bevaras till dess att uppgifterna har utplånats med stöd 1 mom. De behöriga myndigheter eller den enhet för passagerarinformation i en annan medlemsstat som resultaten av behandlingen lämnats ut till ska informeras om felaktiga resultat. 
Enligt artikel 12.5 i PNR-direktivet ska resultaten av den behandling som avses i artikel 6.2 a bevaras bara av enheten för passagerarinformation så länge som krävs för att informera de behöriga myndigheterna och, i enlighet med artikel 9.1, för att informera enheterna för passagerarinformation i andra medlemsstater om en träff. Även om automatisk behandling som utförs efter en sådan individuell icke-automatisk granskning som avses i artikel 6.5 inte ger någon träff, får resultatet bevaras för att undvika framtida ”falska” träffar, så länge de bakomliggande uppgifterna inte har raderats enligt punkt 4 i den här artikeln. Genom det föreslagna 2 mom. genomförs artikel 12.5 i PNR-direktivet. 
I 3 mom. föreskrivs det att uppgifterna ska utplånas omedelbart efter att de mottagits om PNR-uppgifterna innehåller andra uppgifter än de som avses i 4 § 2 mom., eller uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförbund, hälsotillstånd, sexualliv eller sexuell läggning. 
Om de PNR-uppgifter som överförs av lufttrafikföretag omfattar andra uppgifter än dem som anges i bilaga I, ska enheten för passagerarinformation enligt artikel 6.1 andra meningen i PNR-direktivet omedelbart och slutgiltigt radera dessa vid mottagandet. Enligt artikel 13.4 i direktivet ska medlemsstaterna förbjuda behandling av sådana PNR-uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförbund, hälsotillstånd, sexualliv eller sexuell läggning. Om enheten för passagerarinformation tar emot PNR-uppgifter av vilka sådan här information framgår ska den informationen omedelbart utplånas.  
PNR-uppgifter från vilka de uppgifter som avses i 1 mom. har avskilts genom maskering får enligt 4 mom. i paragrafen, inklusive de maskerade uppgifterna, lämnas ut endast genom ett beslut av chefen för enheten för passagerarinformation eller av en av denne förordnad person som hör till personalen vid enheten för passagerarinformation. Om det är fråga om en begäran från en enhet för passagerarinformation i en annan medlemsstat krävs det dessutom att utlämnandet av uppgifterna rimligen kan antas vara behövligt för bekämpning av terroristbrott eller grov brottslighet.  
Enligt artikel 12.3 i PNR-direktivet ska vid utgången av perioden på sex månader (tidsfrist för maskering av uppgifter) utlämnande av de fullständiga PNR-uppgifterna tillåtas bara a) om det rimligen kan antas vara nödvändigt för de ändamål som avses i artikel 6.2 b (begäran av en behörig myndighet), och b) efter tillstånd från i) en rättslig myndighet, eller ii) en annan nationell myndighet som i enlighet med nationell rätt är behörig att kontrollera om villkoren för tillgång är uppfyllda, under förutsättning att dataskyddsombudet vid enheten för passagerarinformation informeras och att denne genomför en efterhandsutvärdering. Utlämningen av uppgifter efter maskering kan inte ses som en sådan åtgärd som ingår i polisens sedvanliga verksamhet, och att det därför inte skulle vara nödvändigt att särskilt föreskriva om den som vidtar åtgärden. För att utföra sina uppdrag enligt polislagen på de sätt som anges i olika lagar har polisen rätt att få och lämna ut personuppgifter. Utlämningen av personuppgifter för de syften som avses i PNR-direktivet hör till de åtgärder som påverkar individens rättigheter och skyldigheter, och det är därför motiverat att särskilt föreskriva också om den. Oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet har polisen enligt 4 kap. 3 § 1 punkten i polislagen (872/2011) på begäran av en polisman som hör till befälet rätt att få information som behövs för att förhindra eller utreda brott. Med beaktande av att en polisman som hör till befälet enligt gällande lag har en omfattande rätt att få tillgång till konfidentiella uppgifter, är det lämpligt att fastställa samma tröskel också för utlämningen av PNR-uppgifter.  
Om de uppgifter som enheten för passagerarinformation i en annan medlemsstat begärt har avidentifierats genom maskering, ska enheten för passagerarinformation enligt artikel 9.2 i PNR-direktivet bara tillhandahålla fullständiga PNR-uppgifter, om det rimligen kan antas vara nödvändigt för att bekämpa terroristbrott och grov brottslighet. Genom det föreslagna 4 mom. genomförs artikel 9.2 delvis samt artikel 12.3. 
13 §.Inskränkningar i rätten till insyn. Med avvikelse från 23 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten gäller enligt 1 mom. i denna paragraf rätten till insyn inte uppgifter om resultaten av behandlingen av PNR-uppgifter. Enligt 2 mom. kan dataombudsmannen på begäran av en registrerad kontrollera att de uppgifter som avses i 1 mom. är lagenliga. 
14 §.Påföljdsavgift för lufttrafikföretag. I paragrafen föreskrivs om påföljdsavgift för lufttrafikföretag. Enligt 1 mom. ska lufttrafikföretag som bryter mot skyldigheten enligt 4 § att överföra PNR-uppgifter påföras en påföljdsavgift. Avgiften är 3 000 euro för varje sådan flygning för vilken PNR-uppgifter inte har överförts eller för vilken uppenbart bristfälliga uppgifter överförts. Enligt artikel 14 i PNR-direktivet ska medlemsstaterna särskilt fastställa bestämmelser om sanktioner, inklusive ekonomiska sanktioner, mot lufttrafikföretag som inte översänder uppgifter i enlighet med direktivet eller som inte översänder uppgifterna i det fastställda formatet. Sanktionerna ska vara effektiva, proportionella och avskräckande. Om man ser till principerna och påföljdens omfattning, överensstämmer bestämmelsen med 20 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005) om lufttrafikföretags skyldighet att lämna på förhand fastställda passageraravgifter till gränskontrollmyndigheten. Påföljderna av brott mot skyldigheten definieras i 179 § 1 mom. i utlänningslagen (301/2004). Genom bestämmelsen i fråga genomförs skyldigheten i artikel 4 i rådets direktiv 2004/82/EG, det s.k. API-direktivet, om lufttrafikföretags skyldighet att lämna förhandsinformation om passagerare och påföra de företag som inte översänder uppgifter eller översänder bristfälliga eller felaktiga uppgifter sanktioner som är effektiva, proportionella och avskräckande. Eftersom de uppgifter som avses i PNR-direktivet till viss del grundar sig på uppgifter från passagerarna själva, och lufttrafikföretagen inte har vare sig skyldighet eller möjlighet att kontrollera riktigheten, går det inte att ställa samma villkor för uppgifternas riktighet som när uppgifter översänds enligt API-direktivet. Därför bör det vara uppenbart att de uppgifter som har översänts är bristfälliga, innan en påföljdsavgift kan övervägas. Genom det föreslagna 1 mom. genomförs artikel 14 i PNR-direktivet. 
Enligt 2 mom. i paragrafen påförs ingen påföljdsavgift om ett fel har inträffat vid överföringen av PNR-uppgifter till följd av ouppmärksamhet som med beaktande av omständigheterna är ursäktlig eller om det med hänsyn till omständigheterna skulle vara oskäligt att påföra en avgift. 
Enligt 3 mom. i paragrafen får påföljdsavgift inte påföras den som är misstänkt för samma gärning i en förundersökning eller åtalsprövning eller i ett brottmål som är anhängigt vid en domstol. Påföljdsavgift får inte heller påföras den som genom en lagakraftvunnen dom har dömts till straff för samma gärning eller som för brott mot 20 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet har påförts påföljdsavgift för transportör enligt 179 § i utlänningslagen (301/2004). 
15 §.Hörande av lufttrafikföretag. I paragrafen föreskrivs om rätten för lufttrafikföretag att bli hörda innan en påföljdsavgift påförs. Lufttrafikföretaget ska ges tillfälle att skriftligen avge en förklaring inom en tid som inte får vara kortare än två veckor. 
16 §.Påförande av påföljdsavgift. Enligt den föreslagna paragrafen påförs påföljdsavgift av chefen för centralkriminalpolisen eller av en tjänsteman som denne utsett. Påföljdsavgiften ska betalas till staten. Ett beslut om påförande av påföljdsavgift ska iakttas även om ändring har sökts, om inte besvärsmyndigheten bestämmer något annat. Eftersom Polisstyrelsen är personuppgiftsansvarig för registret över PNR-uppgifter, kan polisen anses vara lämplig att påföra påföljdsavgifter. Avgiften ska påföras senast inom två år från lufttrafikföretagets i 14 § 1 mom. avsedda förseelse. 
17 §.Betalningstid. Enligt den föreslagna paragrafen ska påföljdsavgiften betalas inom en månad från delfåendet av beslutet. På en påföljdsavgift som förfallit till betalning och som inte har betalats senast på förfallodagen tas en dröjsmålsränta ut enligt den räntesats som avses i 4 § 1 mom. i räntelagen (633/1982). 
18 §.Verkställighet och ändringssökande. I paragrafen föreskrivs det om hur påföljdsavgiften verkställs och om sökande av ändring. Enligt det föreslagna 1 mom. verkställer rättsregistercentralen påföljdsavgiften. Rättsregistercentralen ska underrättas om ett beslut av en myndighet eller domstol genom vilket påföljdsavgiften har sänkts eller avlyfts. Rättsregistercentralen ska utan ansökan betala tillbaka en påföljdsavgift som betalats utan grund. Enligt 2 mom. ska en påföljdsavgift som påförts med stöd av detta lagförslag verkställas i den ordning som föreskrivs i lagen om verkställighet av böter. Hörande av lufttrafikföretag, delgivning av beslut som gäller påförande av påföljdsavgift samt delgivning som gäller verkställigheten av beslut kan genomföras med vilken befälhavare som helst som är anställd hos lufttrafikföretaget i fråga, om inte trafikföretaget har någon utsedd representant i Finland. Enligt 3 mom. får ett beslut om påföljdsavgift överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996). Över förvaltningsdomstolens beslut får besvär anföras endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Påföljdsavgiften preskriberas när fem år har förflutit från det att det lagakraftvunna beslutet fattades. 
19 §.Ikraftträdande. Det föreslås att denna lag träder i kraft den 2018. Åtgärder som verkställigheten av lagen förutsätter får vidtas innan lagen träder i kraft. 
1.2
Lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet
5 §.PTG-kriminalunderrättelseenheter. Den riksomfattande kriminalunderrättelseenhet som i 5 § i lagförslag 2 föreslås bli fastställd som nationell enhet för passagerarinformation blir i 1 mom. i paragrafen fastställd som permanent. Utöver den nationella enheten kan det inrättas regionala och lokala PTG-kriminalunderrättelseenheter. I den sista meningen i 1 mom. stryks samtidigt hänvisningen till de särskilda polisbefogenheter som avses i 8 § i den upphävda polislagen (493/1995), eftersom det inte föreskrivs om dem i den gällande polislagen.  
1.3
Lagen om verkställighet av böter
1 §.Lagens tillämpningsområde. Till 1 mom. fogas en ny 12 punkt i vilken konstateras att i den ordning som föreskrivs i lagen om verkställighet av böter verkställs också den påföljdsavgift för lufttrafikföretag som avses i 14 § i lagförslag 1. 
2
Ikraftträdande
Lagarna föreslås träda i kraft den 2018 eller så snart som möjligt.  
3
Förhållande till grundlagen, Ålands ställning samt lagstiftningsordning
3.1
Skyddet för privatlivet
De föreslagna bestämmelserna anknyter till det skydd för personuppgifter och det integritetsskydd som garanteras i 10 § i grundlagen. Enligt 10 § 1 mom. i grundlagen ska närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Grundlagsutskottet har ansett det viktigt att det föreskrivs åtminstone om registreringens syfte, innehållet i de registrerade personuppgifterna, tillåtna användningsändamål för uppgifterna inklusive rätten att lämna ut uppgifterna, bevaringstiden för uppgifterna i personregister och de registrerades rättssäkerhet (GrUU 25/1998 rd). Regleringen av dessa faktorer på lagnivå ska dessutom vara heltäckande och detaljerad. Konsekvenserna av att föreskriva i lag sträcker sig enligt utskottet också till möjligheten att lämna ut personuppgifter via en teknisk anslutning (t.ex. GrUU 12/2002 rd och GrUU 14/2008 rd). 
Skyddet enligt 10 § i grundlagen kompletteras av skyddet för privatlivet enligt artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) och skyddet för privatlivet enligt artikel 7 och skyddet för personuppgifter enligt artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Enligt artikel 52.1 i stadgan om de grundläggande rättigheterna ska varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Med beaktande av proportionalitetsprincipen får begränsningar endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter. I den mån som denna stadga omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska rättigheterna, i enlighet med artikel 52.3 i stadgan, ha samma innebörd och räckvidd som i konventionen. I EU-domstolens domar fastställs till denna del det centrala innehållet i respekten för privatlivet och skyddet för personuppgifter. Artikel 8 i Europakonventionen har i Europadomstolens rättspraxis ansetts omfatta även skyddet för personuppgifter.  
Europeiska domstolen för de mänskliga rättigheterna (Europadomstolen) har vid flera tillfällen konstaterat att enbart det att personuppgifter lagras i myndigheters register innebär en inskränkning av integritetsskyddet (se t.ex. S. och Marper mot Förenade kungariket, 4.12.2008, punkt 67 i domen, Leander mot Sverige, 26.3.1987, punkt 48 i domen). Det som personuppgifterna senare används för är till denna del inte av betydelse. (Amann mot Schweiz, 16.2.2000, punkt 69 i domen). För att bedöma om de uppgifter som myndigheterna har samlat in hänför sig till privatlivets delområden har domstolen särskilt beaktat den kontext som personuppgifterna samlats in i och behandlats i samt de konsekvenser som kontexten kan få (S. och Marper mot Förenade kungariket, 4.12.2008, punkt 67 i domen, och Peck mot Förenade kungariket, 28.1.2003, punkt 59 i domen). För att en begränsning av integritetsskyddet ska vara tillåten, måste den grunda sig på lag, vara nödvändig i ett demokratiskt samhälle och stå i rätt proportion till det eftersträvade syftet. I rättspraxisen har t.ex. ordningsstörningar, be-kämpning av brottslighet och upprätthållande av den nationella säkerheten i allmänhet ansetts vara en godtagbar grund för t.o.m. långtgående begränsningar av integritetsskyddet. Staten har också i vissa situationer en bred prövningsmarginal när det gäller vad som är nödvändigt, t.ex. i fråga om upptagning av personuppgifter om personer som misstänks för terroristbrott (Segerstedt-Wiberg m.fl. mot Sverige, 6.6.2006, punkterna 87 och 88 i domen). Domstolen har också beaktat innehållet och förutsebarheten i lagstiftningen. För att en begränsande åtgärd ska vara förenlig med lagen förutsätts inte enbart att åtgärden grundar sig på lagen, utan den ska också vara tillgänglig för de registrerade personerna och dess konsekvenser ska vara förutsebara. (Segerstedt-Wiberg m.fl. mot Sverige, 6.6.2006, punkt 76 i domen). Domstolen har konstaterat att artikel 8 har kränkts bl.a. för att det i den nationella lagstiftningen inte funnits bestämmelser om uppgifternas innehåll, bevaringstiden för uppgifterna och de persongrupper som det kunde samlas in uppgifter om (se t.ex. Europadomstolens dom i målet Rotaru mot Rumänien 4.5.2000, punkterna 45—63 i domen). 
Den behandling av PNR-uppgifter som avses i lagförslag 1 innebär en begränsning av skyddet för privatlivet och skyddet för personuppgifter. Genom lagförslaget genomförs EU:s PNR-direktiv. Grundlagsutskottet har konstaterat att det inte ingår i dess konstitutionella uppgifter att bedöma regleringen av den nationella verkställigheten med avseende på den materiella EU-rätten (GrUU 51/2014 rd). Enligt grundlagsutskottet är det ändå viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se även GrUU 44/2016 rd, s. 4, GrUU 51/2014 rd, s. 2/II och de utlåtanden som det hänvisas till i dem). Enligt grundlagsutskottet förutsätter detta att statsrådets uppfattning om ramarna för det nationella handlingsutrymmet på behörigt sätt klargörs i regeringens proposition (se även GrUU 44/2016 rd, s. 4). 
I artikel 1.1 a i PNR-direktivet åläggs medlemsstaterna skyldigheten att tillämpa direktivet på överföring av PNR-uppgifter vid flygningar utanför EU. I artikel 1.2 begränsas användningen av uppgifter som samlats in i enlighet med direktivet till att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Av artikel 2 framgår det att en medlemsstat kan tillämpa PNR-direktivet på flygningar inom EU, antingen på alla eller endast valda flygningar inom EU, och därmed överlåta tillämpningen i fråga om flygningar inom EU till nationellt övervägande. Direktivets tillämpningsområde är begränsat endast till lufttrafikföretag. Enligt de lagbestämmelser om PTG-myndigheternas behandling av personuppgifter som beskrivs i 2.1 har PTG-myndigheterna redan nu rätt att till stöd för sin brottsbekämpning få uppgifter av samfund och sammanslutningar ur register som gäller passagerare och fordons personal. Till skillnad från direktivet omfattar den gällande lagstiftningen alla transportörer och gör det redan för närvarande möjligt att lämna ut uppgifter genom teknisk anslutning eller som en datamängd.  
Enligt lagförslag 1 ska ett lufttrafikföretag överföra de uppgifter som avses i den föreslagna paragrafens 1 mom. för alla ankommande och avgående flygningar utanför eller inom Europeiska unionen. Den föreslagna enheten för passagerarinformation får behandla PNR-uppgifter för identifiering av personer som kan vara delaktiga i terroristbrott eller grov brottslighet. I praktiken innebär genomförandet av direktivet att passageraruppgifter behandlas i stor skala och när personuppgifter lämnas ut till enheten begränsas de inte enbart till personer som misstänks vara delaktiga i brottslig verksamhet, utan gäller de personuppgifter som alla passagerare uppgett till flygbolaget i samband med biljettbokningen. I lagförslaget preciseras de personuppgifter som lufttrafikföretagen ska lämna ut till enheten för passagerarinformation om ankommande och avgående flygningar utanför eller inom Europeiska unionen. PNR-uppgifter ska få lagras i fem år i det personregister som förs av polisen, men uppgifterna måste maskeras när sex månader har förflutit sedan de mottogs. I lagförslaget höjs integritetsskyddet i en-lighet med direktivet dessutom genom det att jämförelse av personuppgifter med andra personregister och databaser begränsas till att gälla förebyggande, avslöjande och utredande av terroristbrott och annan grov brottslighet. Lagförslaget ska också innehålla en begränsning som gäller behandlingen av känsliga personuppgifter och en skyldighet att utplåna uppgifterna om det upptäcks att uppgifterna har lämnats till enheten för passagerarinformation. 
Tillämpningsområdet för bestämmelserna om behandlingen av de personuppgifter som PTG-myndigheterna handhar är mer omfattande än tillämpningsområdet för PNR-direktivet. PNR-direktivet påverkar inte medlemsstaternas möjligheter att i enlighet med nationell rätt tillhandahålla ett system för insamling och behandling av PNR-uppgifter från ekonomiska aktörer som inte är transportörer, t.ex. resebyråer och researrangörer som tillhandahåller reserelaterade tjänster, inklusive bokning av flygningar, för vilka de samlar in och behandlar PNR-uppgifter, eller från andra transportföretag än de som anges i direktivet, förutsatt att sådan nationell rätt är förenlig med unionsrätten. Det föreslås ingen ändring i de gällande bestämmelserna som godkänts med grundlagsutskottets medverkan. Däremot preciseras bestämmelserna enligt lagförslag 1 i och med genomförandet av direktivet, i synnerhet när det gäller de uppgifter som lufttrafikföretagen ska överföra. Grundlagsutskottet påpekade i samband med behand-lingen av 13 § 16 punkten i den gällande lagen om behandling av personuppgifter i polisens verksamhet att den bestämmelse som redan då föreslogs var vag till följd av paragrafens inledande stycke och ansåg att det är motiverat att precisera början på den föreslagna 16 punkten så att den gäller uppgifter som behövs "för att förhindra, avslöja, utreda och till åtalsprövning överlämna terroristbrott och allvarlig gränsöverskridande brottslighet". Bestämmelsens tillämpningsområde är dock i någon mån bredare och polisen har rätt att ta emot information om passagerare och personal ur register för att förhindra, avslöja och utreda brott och föra brott till åtalsprövning samt för att nå efterlysta personer. Däremot har grundlagsutskottet uppmärksammat att den rätt som fogats till den gällande lagen i sig är relativt begränsad, och den gäller bara polisens rätt att få vissa uppgifter genom en teknisk anslutning. Behandlingen av uppgifterna regleras av andra bestämmelser i lagen om behandling av personuppgifter i polisens verksamhet. Grundlagsutskottet ansåg det också viktigt med avseende på skyddet för personuppgifter enligt 10 § 1 mom. i grundlagen att uppgifterna inte ska bilda ett eget personregister och att bara en särskild enhet för passageraruppgifter kommer att ha åtkomsträtten till de mottagna uppgifterna. (GrUU 42/2014 rd). 
För det andra innebär lagförslag 1 en inskränkning av skyddet för privatlivet jämfört med nuläget i lagstiftningen. Till skillnad från de gällande bestämmelserna innebär genomförandet av direktivet att ett nytt personregister ska inrättas. I direktivet förutsätts dock att ett nytt register inrättas för lagring av passageraruppgifterna, och till denna del ger inte direktivet medlemsstaterna något handlingsutrymme. I lagförslaget finns detaljerade bestämmelser om behandlingen av PNR-uppgifter och utlämnandet av dem till behöriga myndigheter, enheter för passagerarinformation i andra EU-länder, Europol och tredjeländer i syfte att förebygga, avslöja eller utreda brott. Direktivet verkar inte heller ge lagstiftaren handlingsutrymme i fråga om vilken form av brottsbekämpning lagstiftningen ska gälla och därför avgränsas lagförslaget till att gälla terroristbrott och andra grova brott. Direktivet ger dock den nationella lagstiftaren handlingsutrymme i fråga om vilka nationella register som i direktiven avses som väsentliga databaser för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och som passageraruppgifterna ska jämföras med. Det föreslås att enheten för passage-rarinformation ska få omfattande rätt att genom automatiserade metoder jämföra PNR-uppgifter som den tagit emot med uppgifter i väsentliga databaser för att förebygga, avslöja, utreda och lagföra terroristbrott och grov brottslighet. Med tanke på begränsningen av skyddet för privatlivet är det också av betydelse vilket datainnehåll de här databaserna har. En omfattande rätt att få uppgifter innebär långtgående inskränkningar i integritetsskyddet. Inskränkningarna ska stå i rätt proportion till det eftersträvade målet, dvs. till de särskilda säkerhetsmålen. I Europadomstolens rättspraxis (Segerstedt-Wiberg m.fl. mot Sverige , 6.6.2006, punkterna 87 och 88 i domen) har det godkänts att bekämpning av terrorism och annan allvarlig brottslighet kan kräva aktiva, t.o.m. långtgående statliga åtgärder som är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse eller behovet av skydd för andra människors rättigheter och friheter. Gränsöverskridande brottslighet, t.ex. människohandel och narkotikabrott, är ett växande fenomen inom Europeiska unionen. De olika formerna av gränsöverskridande brottslighet utgör ett allvarligt hot mot samhället och de ekonomiska strukturerna, och de medför kostnader för staten även med beaktande av de åtgärder som krävs för brotts-bekämpningen. Brotten orsakar också skada och lidande för offren. 
Det föreslås att begränsningarna i direktivet ska genomföras till alla delar inklusive lagring och maskering av personuppgifter och begränsningar i användningen av dem, och att även de synpunkter som kommit fram i EU-domstolens yttrande i mål C-1/15 (Yttrande av Europeiska unionens domstol (stora avdelningen) 26.7.2017 – Europaparlamentet) ska beaktas. Enligt förslaget ska enheten för passagerarinformation få behandla PNR-uppgifter före passagerarnas beräknade ankomst eller avkomst i enlighet med på förhand fastställda kriterier för bedömning och analys eller för att uppdatera kriterierna eller fastställa nya kriterier. En begränsning som innebär att enheten ska fastställa kriterierna för bedömning och analys och se över dem regelbundet tillsammans med de behöriga myndigheterna ska enligt förslaget öka proportionaliteten i behandlingen av uppgifter och ge ett ökat integritetsskydd. Bedömningskriterierna ska dessutom vara riktade, proportionella och tydliga. De får inte grunda sig på uppgifter om en persons ras, etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, medlemskap i fackförbund, hälsotillstånd, sexualliv eller sexuella läggning. Integritetsskyddet ökas också av direktivets system enligt vilket enheten för passagerarinformation enbart har till uppgift att analysera PNR-uppgifter. Enheten fattar inte beslut som påverkar en persons rättigheter. Endast behöriga myndigheter kan fatta sådana beslut efter att i enskilda fall ha fått uppgifter om personer identifierade av enheten eller på motiverad begäran av behöriga myndigheter. Avsikten är att genomförandet av dessa skyddsåtgärder enligt direktivet ska säkerställa att begräns-ningarna av integritetsskyddet kraftigast drabbar sådana personer för vilka jämförelsen av uppgifter leder till en närmare utredning.  
I lagförslag 1föreslås det dock att lagstiftningen ska utvidgas till att gälla också flygningar inom EU, på det sätt som tillåts i direktivet. Med beaktande av komplexiteten hos och effekterna av grov brottslighet och behoven av att effektivt avvärja gränsöverskridande terroristbrott och annan grov brottslighet anses utvidgningarna nödvändiga och proportionerliga för att uppnå målen med brottsbekämpningen. Av de finländska PTG-myndigheterna har Tullen i sin brottsbekämpning allt sedan 1970-talet utnyttjat PNR-uppgifter för olika trafikformer, både när det gäller trafik mellan Finland och EU:s nuvarande medlemsländer och mellan Finland och tredjestater, utifrån den rättsgrund som kommer fram i avsnitt 2.1 Lagstiftning. Nyttan för brottsbekämpningen av passageraruppgifter om trafiken mellan Finland och exempelvis Sverige eller de baltiska länderna har inte minskat sedan länderna anslöt sig till EU. Den s.k. rörliga brottsligheten är en form av brottslighet där gärningsmännen förflyttar sig till ett annat land, utför brottslig verksamhet där och, för att dölja sina spår, återvänder till utgångslandet med hjälp av en annan transportform. Typiskt för verksamheten är att en del av gärningsmännen observerar föremål för brott, t.ex. bostäder, i mållandet. En annan grupp av gärningsmän kommer till landet för att utföra det egentliga brottet, och en tredje grupp transporterar den egendom som man erhållit genom brottet tillbaka till utgångslandet. Typiskt för verksamheten är också brådskan att förflytta sig från ett land till ett annat för att undvika att bli gripen. I brådskande situationer är det som känt snabbast att flyga, och därför är möjligheten att utnyttja uppgifter om flygresor vid identifieringen av dylik brottslig verksamhet av stor vikt vid sidan om sådana passageraruppgifter som gäller andra transportformer och som redan kan utnyttjas. Den rörliga brottsligheten kommer oftast till Finland från någon annan EU-medlemsstat, inte från en tredjestat. För att uppnå målen med brottsbekämpningen är det därför nödvändigt att inbegripa flygning i EU i direktivets tillämpningsområde.  
Kommissionen har i sin konsekvensbedömning motiverat direktivförslaget med att gränsöverskridande brottslighet är ett växande fenomen i Europeiska unionen och den övriga världen. Som exempel lyfter kommissionen fram i synnerhet människohandel och narkotikabrottslighet, som också Europol tar upp i sin hotbedömning av gränsöverskridande brottslighet (2007). Under årens 2015 ökad mängd av asylsökande i olika städer av Europeiska unionen medför en risk av uppväxande fenomen av dessa former av brottslighet inom Europeiska unionen. För att avvärja människohandel och narkotikabrottslighet är det väsentlig att inkludera också flygning inom Europeiska unionen.  
I fråga om lagförslag 1 ska bestämmelserna om utlämnande av personuppgifter vara detaljerade. I synnerhet utlämnandet av personuppgifter från lufttrafikföretagen till enheten för passagerarinformation innebär att personuppgifter behandlas i stor skala och utlämnandet sker genom en teknisk anslutning. Dessutom ska enheten för passagerarinformation få lämna ut och överföra personuppgifter till behöriga myndigheter, enheter för passagerarinformation i EU:s medlemsstater, Europol och tredjeländer. Det föreslås inte någon reglering för utlämnande av personuppgifter som går längre än den nivå som krävs i direktivet. Det anses därmed att utlämnandet av personuppgifter uppfyller det krav på proportionalitet som ställs i direktivet. 
I lagförslag 1 föreslås det att den registrerades rätt till insyn ska begränsas till den del som rätten gäller uppgifter om resultaten av behandlingen av PNR-uppgifter (jämförelseuppgifter). Däremot har den registrerade rätt till insyn i de personuppgifter som lufttrafikföretagen lämnat till enheten för passageraruppgifter. Med beaktande av att det handlar om samma personuppgifter som lagrats i lufttrafikföretagens passagerarregister finns det inga skäl att begränsa rätten till insyn i fråga om de här uppgifterna. Till den del som det handlar om personuppgifter som lämnats ut exempelvis för inhämtning av kriminalunderrättelser bestäms begränsningen av rätten till insyn enligt bestämmelserna i de personuppgiftslagar som gäller PTG-myndigheterna. Dataombudsmannen ska kunna kontrollera om behandlingen av personuppgifterna är lagenlig när det gäller jämförelseuppgifterna. På så sätt begränsas den registrerades rätt till insyn inte mer än nödvändigt för att förebygga, avslöja eller utreda brott. 
3.2
Jämklighet
I 6 § i grundlagen finns en allmän klausul om jämlikhet och enligt den är alla lika inför lagen. Ingen får utan godtagbart skäl särbehandlas på grund av kön, ålder, ursprung, språk, religion, övertygelse, åsikt, hälsotillstånd eller handikapp eller av någon annan orsak som gäller hans eller hennes person. Den allmänna jämlikhetsklausulen kompletteras av förbudet mot diskriminering. 
I 7 § 2 mom. i lagförslag 1 finns ett uttryckligt förbud enligt vilket de bedömningskriterier som tillämpas på jämförelsen av PNR-uppgifter inte får grunda sig på uppgifter om en persons ras, etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, medlemskap i fackförbund, hälsotillstånd, sexualliv eller sexuella läggning. Dessutom konstateras det i 12 § 3 mom. om utplåning av PNR-uppgifter att om de PNR-uppgifter som ett lufttrafikföretag har överfört till enheten för passagerarinformation innehåller andra uppgifter än de som avses i 4 § 2 mom. nämnda PNR-uppgifter, eller uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförbund, hälsotillstånd, sexualliv eller sexuell läggning, ska uppgifterna utplånas omedelbart efter att de tagits emot. 
I lagförslag 1 har således förbudet mot diskriminering i enlighet med 6 § i grundlagen beaktats. Genom bestämmelsen genomförs samtidigt ett motsvarande förbud i dataskyddsdirektivet mot sådan etnisk profilering som kan leda till diskriminering. 
3.3
Administrativa påföljder och ändringssökande
Skyddet av de grundläggande fri- och rättigheterna gäller i regel fysiska personer. De grundläggande fri- och rättigheterna kan dock skydda en juridisk person indirekt, när avsaknaden av en ställning som juridisk person kan innebära att man gör intrång i rättigheter som tillkommer en individ bakom den juridiska personen (RP 309/1993 rd, s. 21—25). Med tanke på juridiska personers ställning är lagförslag 1 i propositionen betydelsefullt, i synnerhet till de delar som gäller påföljderna vid försummelse av en lagstadgad skyldighet i samband med lufttrafikföretagens verksamhet och möjligheten att söka ändring i en myndighets förvaltningsbeslut. En enskild person kan också stå bakom försummelsen, även om påföljden påförs den juridiska personen. I lagförslag 1 har lufttrafikföretagen ålagts en skyldighet att till enheten för passagerarinformation avgiftsfritt överföra PNR-uppgifter för de ankommande och avgående flygningar utanför eller inom Europeiska unionen som de utför, till den del uppgifterna har samlats in som en del av den normala affärsverksamheten samt eventuell förhandsinformation om passagerare om sådan samlats in. I lagen ska det också föreskrivas på vilket sätt de här uppgifterna i regel ska överföras. Utöver att uppgifterna ska överföras elektroniskt ska det också förutsättas att lufttrafikföretagen ska använda en särskild teknisk anslutning och överföra uppgifterna systematiskt för varje flygning över EU:s gränser. Hittills har lufttrafikföretagen överfört passageraruppgifter till polisen endast på basis av en enskild begäran. Lufttrafikföretag som bryter mot den föreskrivna skyldigheten att överföra passageraruppgifter ska kunna påföras en påföljdsavgift (påföljdsavgift för lufttrafikföretag). Påföljdsavgiften ska kunna påföras för varje sådan flygning för vilken passageraruppgifter inte har överförts eller för vilken uppenbart bristfälliga uppgifter överförts. 
Enligt grundlagsutskottets vedertagna tolkningspraxis är en påföljdsavgift som påförs för en lagstridig gärning inte en skatt eller avgift enligt grundlagens 81 § utan en ekonomisk påföljd av straffnatur. I sak har utskottet jämställt en penningmässig påföljd av straffnatur med en straffrättslig påföljd (GrUU 4/2001 rd, s. 7, GrUU 32/2005 rd, s. 2, GrUU 55/2005 rd, s. 2, GrUU 17/2012 rd s. 5). De allmänna grunderna för en administrativ påföljd ska enligt 2 § 3 mom. i grundlagen föreskrivas genom lag, eftersom påförandet av den inbegriper utövande av offentlig makt. Enligt grundlagsutskottet ska det i lagen finnas klara och specifika bestämmelser om grunderna för påföljden och dess belopp och om rättsskyddet liksom om grunderna för lagens verkställighet (GrUU 32/2005 rd, s. 2—3, GrUU 55/2005 rd, s. 2, GrUU 57/2010 rd, s. 2, GrUU 17/2012 rd s. 5). Grundlagsutskottet har konstaterat att även om kravet på exakthet enligt den straffrättsliga legalitetsprincipen i grundlagens 8 § inte direkt gäller bestämmelser om administrativa påföljder kan det allmänna kravet på exakthet ändå inte förbigås i ett sam-manhang som detta (GrUU 9/2012 rd, s. 2, GrUU 57/2010 rd, s. 2 och GrUU 74/2002 rd, s. 5). I lagförslag 1 föreskrivs det detaljerat om de grunder enligt vilka påföljdsavgift får påföras, dess belopp samt om verkställigheten av påföljdsavgiften och ändringssökande. 
Bestämmelser om påföljder ska enligt grundlagsutskottets tolkningspraxis också vara proportionerliga (GrUU 58/2010 rd, s. 5, GrUU 11/2009 rd, s. 7—8, GrUU 12/2006 rd, s. 3, GrUU 74/2002 rd, s. 5). Proportionaliteten är förenad med frågan om påföljder vid ringa försummelser (GrUU 58/2010 rd, s. 6, GrUU 12/2006 rd, s. 2—3). I PNR-direktivet förutsätts att påföljderna ska vara effektiva, proportionella och avskräckande. I lagförslag 1 föreslås att polisen ska få rätt att påföra en påföljdsavgift vars maximilopp uppgår till 3 000 euro per flygning. I den föreslagna bestämmelsen är det inte fråga om en påföljd som är betydande till sitt belopp, fastän den påförs för varje sådan flygning för vilken passageraruppgifter inte har överförts. Påföljdsavgift för lufttrafikföretag påförs inte om ett fel har inträffat vid överföringen av passageraruppgifterna till följd av ouppmärksamhet som med beaktande av omständigheterna är ursäktlig eller om det i övrigt med hänsyn till omständigheterna skulle vara oskäligt att påföra en avgift. Påföljdsavgift får inte heller påföras den som är misstänkt för samma gärning i en för-undersökning eller åtalsprövning eller i ett brottmål som är anhängigt vid en domstol eller den som genom en lagakraftvunnen dom har dömts till straff för samma gärning eller som för brott mot 20 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005) har påförts påföljdsavgift för transportör enligt 179 § i utlänningslagen (301/2004). Avgiften ska påföras senast inom två år efter lufttrafikföretagets förseelse och den preskriberas fem år från det att det lagakraftvunna beslutet fattades. Den föreslagna påföljdsavgiften kan således anses vara proportionerlig på det sätt som grundlagsutskottet förutsätter. 
Det ska gå att söka ändring i ett beslut om påförande av en administrativ påföljd. Möjligheten att söka ändring i en myndighets beslut kan vara behövlig för att säkerställa att myndigheterna beter sig på ett behörigt och i övrigt opartiskt sätt (GrUU 32/2012 rd, s. 4—5, GrUU10/2009 rd, s. 4, GrUU 55/2002 rd, s. 4, GrUU 47/2002 rd, s. 4, GrUU 46/2002 rd, s. 9) liksom för att säkerställa en enhetlig tillämpningspraxis (GrUU 30/2005 rd, s. 5, GrUU 13/2005 rd, s. 3—4, GrUU 33/2000 rd, s. 3), även om det inte handlar om ett ärende som gäller individens rättigheter eller skyldigheter. När föremålet för sökandet av ändring är ett beslut om påförande av en administrativ påföljd som grundar sig på utövning av offentlig makt, ska ändringssökandet i regel ordnas i enlighet med förvaltningsprocesslagen (586/1996) (GrUU 4/2005 rd, s. 3/II). Vid bedömningen av om rättsskyddet är ändamålsenligt har man också beaktat om en administrativ påföljd kan verkställas oberoende av ändringssökandet (GrUU 4/2004 rd, s. 7). Enligt 21 § i grundlagen har var och en rätt att på behörigt sätt och utan ogrundat dröjsmål få sin sak behandlad av en domstol eller någon annan myndighet som är behörig enligt lag samt att få ett beslut som gäller hans eller hennes rättigheter och skyldigheter behandlat vid domstol eller något annat oavhängigt rättskipningsorgan. Offentligheten vid handläggningen, rätten att bli hörd, rätten att få motiverade beslut och rätten att söka ändring samt andra garantier för en rättvis rättegång och god förvaltning ska tryggas genom lag. 
Enligt förslaget har lufttrafikföretaget rätt att bli hört innan påföljdsavgiften för transportör påförs. I lagen föreskrivs också om ändringssökande. En påföljdsavgift som påförts med stöd av lagen ska verkställas i den ordning som föreskrivs i lagen om verkställighet av böter. Ett beslut om påföljdsavgift får överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996). Över förvaltningsdomstolens beslut får besvär anföras endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Med beaktande av de rättsskyddsgarantier som det föreskrivs om för lufttrafikföretag ska förslaget inte betraktas som problematiskt med tanke på rättsskyddet i enlighet med grundlagen. 
3.4
Ålands ställning
Enligt 27 § 22 punkten i självstyrelselagen för Åland (1144/1991) har Åland lagstiftningsbehörighet i fråga om straffrätt med undantag av vad som stadgas i 18 § 25 punkten. Enligt den senare punkten har landskapet lagstiftningsbehörighet i fråga om beläggande med straff och storleken av straff inom rättsområden som hör till landskapets lagstiftningsbehörighet. Lagförslaget hör inte enligt de övriga punkterna i 18 § till landskapets lagstiftningsbehörighet. I enlighet med 27 § 23 punkten i självstyrelselagen för Åland har landskapet lagstiftningsbehörighet i fråga om rättskipning och förundersökning med vissa undantag som inte berörs av direktivet. I lagförslaget ingår därmed inte bestämmelser som hör till landskapets lagstiftningsbehö-righet. 
På de grunder som anförts ovan kan lagförslaget behandlas i vanlig lagstiftningsordning. Regeringen avses ändå att riksdagen begär utlåtande om propositionen av grundlagsutskottet. 
Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 
Lagförslag
1. 
Lag  
om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Tillämpningsområde 
Genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, nedan PNR-direktivet
2 § 
Förhållande till annan lagstiftning  
Utöver vad som föreskrivs i denna lag tillämpas lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ) på behandling av PNR-uppgifter. 
Bestämmelser om polisens, Tullens och Gränsbevakningsväsendets rätt att få uppgifter om flygpassagerare finns även i lagen om behandling av personuppgifter i polisens verksamhet (761/2003), lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (579/2005) och lagen om behandling av personuppgifter inom Tullen (639/2015). 
3 §  
Definitioner 
I denna lag avses med 
1) lufttrafikföretag ett lufttrafikföretag med giltig operativ licens eller motsvarande som ger företaget rätt att bedriva passagerarflygtrafik,  
2) flygning utanför Europeiska unionen varje reguljär- eller icke-reguljär flygning som utförs av ett lufttrafikföretag, med avgång från ett tredjeland och planerad landning på en medlemsstats territorium eller flygning från en medlemsstats territorium med planerad landning i ett tredjeland, i båda fallen inklusive eventuella mellanlandningar på territorier i medlemsstater eller tredjeländer,  
3) flygning inom Europeiska unionen varje reguljär- eller icke-reguljär flygning som utförs av ett lufttrafikföretag, med avgång från en medlemsstats territorium och planerad landning på en eller flera andra medlemsstaters territorium, utan eventuella mellanlandningar på tredjeländers territorier,  
4) passagerare de personer, inbegripet personer i transfer eller transit förutom besättningsmedlemmar, som transporteras eller ska transporteras med ett luftfartyg med lufttrafikföretagets samtycke, vilket framgår av att personen finns med på passagerarförteckningen,  
5) PNR-uppgifter en sammanställning av för resan behövliga uppgifter om varje enskild passagerare som gör det möjligt för det lufttrafikföretag som sköter bokningen och andra deltagande lufttrafikföretag att behandla och kontrollera reservationen för varje resa som bokas av en person eller för en persons räkning, oavsett om uppgifterna finns i reservationssystemet, det avgångskontrollsystem som används för att checka in passagerare på flygningar eller likvärdiga system,  
6) terroristbrott brott som avses i 34 a kap. 1—5 § i strafflagen (39/1889),  
7) grov brottslighet sådana former av brott som avses i bilaga II till PNR-direktivet och för vilka det föreskrivna maximistraffet är fängelse i minst tre år,  
8) maskering att göra de uppgifter som kan användas för att omedelbart identifiera en passagerare osynliga för en användare,  
9) behöriga myndigheter polisen, Tullen och Gränsbevakningsväsendet, samt 
10) Europol den byrå som avses i artikel 1.1 i Europaparlamentets och rådets förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF. 
4 §  
Lufttrafikföretags skyldighet att överföra PNR-uppgifter  
Ett lufttrafikföretag ska till den i 5 § avsedda enheten för passagerarinformation överföra PNR-uppgifter enligt 2 mom. för de ankommande och avgående flygningar utanför eller inom Europeiska unionen som de utför, till den del uppgifterna har samlats in som en del av den normala affärsverksamheten. I fråga om flygningar med gemensam linjebeteckning gäller skyldigheten det företag som utför flygningen. Om lufttrafikföretaget också har samlat in sådan förhandsinformation om passagerare som avses i punkt 18 i bilaga I till PNR-direktivet men som företaget inte bevarar med samma tekniska medel som andra PNR-uppgifter, ska även dessa uppgifter överföras. Lufttrafikföretaget ska överföra PNR-uppgifterna avgiftsfritt. 
PNR-uppgifterna omfattar 
1) PNR-uppgifternas lokaliseringskod, 
2) datum för bokning/utfärdande av biljett, 
3) planerat/planerade resdatum,  
4) namn, 
5) adress och kontaktuppgifter,  
6) alla former av betalningsinformation,  
7) hela resrutten för de aktuella PNR-uppgifterna,  
8) uppgifter om bonusprogram,  
9) resebyrå/resebyråtjänsteman,  
10) passagerares resestatus, inbegripet resebekräftelser, incheckningsstatus, passagerare som inte infinner sig eller passagerare utan bokning,  
11) delade PNR-uppgifter,  
12) allmänna anmärkningar,  
13) biljettinformation, 
14) platsnummer och annan platsinformation, 
15) information om gemensam linjebeteckning,  
16) all bagageinformation,  
17) antal medresenärer i PNR-uppgifterna och deras namn,  
18) eventuell förhandsinformation som samlats in om passagerare, samt 
19) alla tidigare ändringar av de PNR-uppgifter som avses i 1—18 punkten. 
PNR-uppgifterna ska överföras 24 timmar före flygningens planerade ankomst- eller avgångstid och omedelbart efter det att gatens dörrar stängts, varvid överföringen av uppgifter också kan begränsas till uppdateringar av tidigare överförda uppgifter. Om uppgifterna behövs för att man ska kunna reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet, ska uppgifterna på begäran av enheten för passagerarinformation överföras även vid andra tidpunkter.  
Överföring av PNR-uppgifter ska ske i enlighet med Europeiska kommissionens genomförandebeslut (EU) 2017/759 om gemensamma protokoll och dataformat som ska användas av lufttrafikföretag när PNR-uppgifter överförs till enheterna för passagerarinformation.  
5 § 
Enhet för passagerarinformation 
Den riksomfattande PTG-kriminalunderrättelseenhet som avses i 5 § i lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet (687/2009) är den enhet för passagerarinformation som avses i denna lag. 
Enheten för passagerarinformation har till uppgift att ta emot PNR-uppgifter och att behandla dem i enlighet med denna lag.  
6 § 
Personuppgiftsansvarig och dataskyddsombud 
Polisstyrelsen är personuppgiftsansvarig för det register vid enheten för passagerarinformation som innehåller PNR-uppgifter och ansvarar för utnämningen av ett dataskyddsombud. Dataskyddsombudet ansvarar för övervakningen av behandlingen av PNR-uppgifter och genomförandet av åtgärder i anslutning till dataskydd vid enheten för passagerarinformation.  
Dataskyddsombudet har tillgång till de uppgifter som behandlas vid enheten för passagerarinformation. En registrerad har rätt att kontakta dataskyddsombudet i alla ärenden som gäller behandling av hans eller hennes PNR-uppgifter. 
7 §  
Behandling av PNR-uppgifter 
Enheten för passagerarinformation får behandla PNR-uppgifter för identifiering av personer som kan vara delaktiga i terroristbrott eller grov brottslighet, enligt följande: 
1) före passagerarnas beräknade ankomst eller avresa, 
2) på motiverad begäran, som bygger på tillräckliga observationer, från de behöriga myndigheterna, enheten för passagerarinformation i en annan medlemsstat eller Europol,  
3) i enlighet med på förhand fastställda kriterier för bedömning och analys eller för att uppdatera kriterierna eller fastställa nya kriterier.  
Enheten för passagerarinformation fastställer de i 1 mom. 3 punkten avsedda kriterierna för bedömning och analys och ser över dem regelbundet tillsammans med de behöriga myndigheterna. Bedömningskriterierna ska vara riktade, proportionella och tydliga. De får inte grunda sig på uppgifter om en persons ras, etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, medlemskap i fackförbund, hälsotillstånd, sexualliv eller sexuella läggning.  
Enheten för passagerarinformation får i samband med den behandling som avses i 1 mom. genom automatiserade metoder jämföra PNR-uppgifter med uppgifter i följande databaser och register: 
1) polisens informationssystem och personregister enligt 2—4 och 6 § i lagen om behandling av personuppgifter i polisens verksamhet, 
2) skyddspolisens funktionella informationssystem enligt 5 § i lagen om behandling av personuppgifter i polisens verksamhet, 
3) Schengens informationssystem enligt 32 § 2 punkten i lagen om behandling av personuppgifter i polisens verksamhet, 
4) det undersöknings- och handräckningsregister som avses i 7 § och det register för övervakningsärenden som avses i 9 § samt Gränsbevakningsväsendets register över personer misstänkta för brott som avses i 11 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet, 
5) de informationssystem och personregister som avses i 3—7 § i lagen om behandling av personuppgifter inom Tullen, 
6) utlänningsregistret enligt 2 § i lagen om utlänningsregistret (1270/1997), 
7) fordonstrafikregistret enligt 1 § i lagen om fordonstrafikregistret (541/2003), 
8) farkostregistret enligt 1 § i lagen om farkostregistret (424/2014), 
9) befolkningsdatasystemet enligt 3 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009). 
10) internationella kriminalpolisorganisationens (I.P.C.O. - Interpol) databaser, samt 
11) de uppgifter som avses i 3 § 2 mom. i lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning (214/2017), 
Eventuella träffar i samband med sådan behandling av PNR-uppgifter som avses i 1 mom. 1 punkten ska granskas individuellt.  
Jämförelse med uppgifter i skyddspolisens funktionella informationssystem enligt 3 mom. 2 punkten ska genomföras på ett sätt som tryggar dataskyddet i enlighet med vad som avtalas med skyddspolisen. Jämförelsen får genomföras endast av en tjänsteman som skyddspolisen har förordnat tjänsteman till enheten för passagerarinformation. Resultaten av jämförelsen och av behandlingen av uppgifterna får vidarebefordras endast med samtycke av skyddspolisen.  
8 §  
Överföring av PNR-uppgifter till behöriga myndigheter  
Enheten för passagerarinformation ska överföra PNR-uppgifter om personer som har identifierats genom den behandling av PNR-uppgifter som avses i 7 § 1 mom. 1 punkten eller resultaten av behandlingen av uppgifterna till de behöriga myndigheterna, så att de kan utreda personernas delaktighet i terroristbrott eller grov brottslighet.  
Uppgifterna eller resultaten av behandlingen av uppgifterna får överföras till de behöriga myndigheterna även på behörig och motiverad begäran från dessa myndigheter för att förebygga, avslöja, utreda och lagföra terroristbrott och grov brottslighet. 
De uppgifter som avses ovan i 1 och 2 mom. får överföras endast i enskilda fall. 
De behöriga myndigheterna får använda de uppgifter som enheten för passagerarinformation har överfört även för att utreda, förebygga och avslöja brott och omständigheter som tyder på brott som har kommit fram i samband med behandlingen av uppgifterna samt för inriktning av verksamheten och stödjande av oskuldspresumtionen.  
9 § 
Begäran om PNR-uppgifter av andra medlemsstater och utlämnande av uppgifter till dem  
Enheten för passagerarinformation får begära PNR-uppgifter av en enhet för passagerarinformation i en annan medlemsstat för att förebygga, avslöja, utreda och lagföra terroristbrott och grov brottslighet. Begäran ska motiveras. Enheten för passagerarinformation ska till den behöriga myndigheten överföra de PNR-uppgifter eller resultat av behandlingen av uppgifterna som den har tagit emot av en enhet för passagerarinformation i en annan medlemsstat.  
Enheten för passagerarinformation ska överföra uppgifterna om personer som den identifierat genom sådan behandling av PNR-uppgifter som avses i 7 § 1 mom. 1 punkten och genom tilläggsutredningar till motsvarande enheter för passagerarinformation i andra medlemsstater. De uppgifter som överförs ska omfatta alla relevanta och nödvändiga PNR-uppgifter eller resultat av behandlingen av uppgifterna om personer som identifierats genom behandlingen. Enheten för passagerarinformation får dessutom överföra PNR-uppgifter eller resultaten av behandlingen av uppgifterna till en enhet för passagerarinformation i en annan medlemsstat på dennes motiverade begäran. 
De behöriga myndigheterna kan direkt av en enhet för passagerarinformation i en annan medlemsstat begära PNR-uppgifter när det behövs i nödfall för att förebygga, avslöja, utreda och lagföra terroristbrott och grov brottslighet. Begäran ska motiveras och information om den ska skickas till enheten för passagerarinformation. Under motsvarande förutsättningar får enheten för passagerarinformation överföra PNR-uppgifter till de behöriga myndigheterna i en annan medlemsstat på deras begäran. 
10 §  
Överföring av PNR-uppgifter till Europol 
Enheten för passagerarinformation får på motiverad begäran överföra PNR-uppgifter eller resultaten av tilläggsutredningar från behandlingen av uppgifterna till Europol för sådan behandling av uppgifter som avses i kapitel IV i den förordning som avses i 3 § 13 punkten i syfte att förebygga, avslöja och lagföra terroristbrott och grov brottslighet när överföringen av uppgifterna är behövlig för att målen för medlemsstaternas behöriga myndigheters brottsbekämpningssamarbete och ömsesidiga samarbete i enlighet med artikel 3 i den förordningen ska nås.  
11 §  
Överföring av PNR-uppgifter till tredjeländer 
Enheten för passagerarinformation får överföra PNR-uppgifter och resultaten av behandlingen av uppgifterna till ett tredjeland endast i enskilda fall och förutsatt att 
1) bestämmelserna i 41—43 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten iakttas, och 
2) överföringen behövs för att förebygga, avslöja, utreda och lagföra sådana terroristbrott och sådan grov brottslighet som avses i denna lag. 
Enheten för passagerarinformation får ge tillstånd till ett tredjeland till vilket enheten har överfört PNR-uppgifter eller resultaten av behandlingen av uppgifterna att överföra uppgifterna vidare till ett annat tredjeland, om överföringen är nödvändig för bekämpning av terroristbrott och grov brottslighet. 
Enheten för passagerarinformation får överföra PNR-uppgifter som den tagit emot från en enhet för passagerarinformation i en annan medlemsstat till ett tredjeland utan tillstånd av enheten för passagerarinformation i medlemsstaten i fråga endast om överföringen är av väsentlig betydelse för att man ska kunna reagera på ett i denna lag avsett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet som riktar sig mot en medlemsstat eller ett tredjeland och tillstånd inte kan fås i tid. Enheten för passagerarinformation i medlemsstaten i fråga ska informeras om överföringen och överföringen ska registreras på behörigt sätt och kontrolleras i efterhand. 
Innan PNR-uppgifter överförs till de behöriga myndigheterna i ett tredjeland ska enheten för passagerarinformation förvissa sig om att tredjelandets planerade användning av uppgifterna är förenlig med villkoren och skyddsåtgärderna enligt denna paragraf. Dataskyddsombudet vid enheten för passagerarinformation ska informeras om överföringen av uppgifterna. 
12 §  
Utplåning och maskering av PNR-uppgifter och utlämnande av maskerade uppgifter 
Enheten för passagerarinformation ska utplåna PNR-uppgifter ur det register som avses i 6 § när fem år har förflutit från det att de överfördes till enheten för passagerarinformation. När sex månader har förflutit från det att uppgifterna överfördes till enheten för passagerarinformation ska följande PNR-uppgifter avskiljas från uppgifterna genom maskering:  
1) namn, inklusive namn på andra passagerare i PNR-uppgifterna som reser tillsammans samt deras antal,  
2) adress och andra kontaktuppgifter,  
3) alla former av betalningsinformation, inbegripet faktureringsadress, om denna innehåller uppgifter som kan användas för att omedelbart identifiera den passagerare som PNR-uppgifterna avser, eller andra personer,  
4) uppgifter om bonusprogram,  
5) allmänna anmärkningar, och  
6) eventuell förhandsinformation som har samlats in om passagerare. 
Enheten för passagerarinformation ska utplåna resultaten av den behandling som avses i 7 § 1 mom. 1 punkten när de behöriga myndigheterna eller en enhet för passagerarinformation i en annan medlemsstat har informerats om en träff. Om resultatet efter tilläggsutredningar visar sig vara felaktigt får den felaktiga uppgiften, för att felaktiga träffar ska kunna undvikas i framtiden, bevaras till dess att uppgifterna har utplånats med stöd 1 mom. De behöriga myndigheter eller den enhet för passagerarinformation i en annan medlemsstat som resultaten av behandlingen lämnats ut till ska informeras om felaktiga resultat. 
Om de PNR-uppgifter som ett lufttrafikföretag har överfört till enheten för passagerarinformation innehåller andra uppgifter än de som avses i 4 § 2 mom., eller uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförbund, hälsotillstånd, sexualliv eller sexuell läggning, ska uppgifterna utplånas omedelbart efter att de mottagits. 
PNR-uppgifter från vilka de uppgifter som avses i 1 mom. har avskilts genom maskering får, inklusive de maskerade uppgifterna, lämnas ut endast genom ett beslut av chefen för enheten för passagerarinformation eller av en av denne förordnad person som hör till personalen vid enheten för passagerarinformation. Om det är fråga om en begäran från en enhet för passagerarinformation i en annan medlemsstat krävs det dessutom att utlämnandet av uppgifterna rimligen kan antas vara behövligt för bekämpning av terroristbrott eller grov brottslighet. 
13 §  
Inskränkningar i rätten till insyn 
Med avvikelse från 23 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten gäller rätten till insyn inte uppgifter om resultaten av behandlingen av PNR-uppgifter.  
Dataombudsmannen kan på begäran av en registrerad kontrollera att de uppgifter som avses i 1 mom. är lagenliga. 
14 §  
Påföljdsavgift för lufttrafikföretag 
Lufttrafikföretag som bryter mot skyldigheten enligt 4 § att överföra PNR-uppgifter ska påföras en påföljdsavgift. Avgiften är 3 000 euro för varje sådan flygning för vilken PNR-uppgifter inte har överförts eller för vilken uppenbart bristfälliga uppgifter överförts. 
Påföljdsavgift påförs inte om ett fel har inträffat vid överföringen av PNR-uppgifter följd av ouppmärksamhet som med beaktande av omständigheterna är ursäktlig eller om det med hänsyn till omständigheterna skulle vara oskäligt att påföra en avgift. 
Påföljdsavgift får inte påföras den som är misstänkt för samma gärning i en förundersökning eller åtalsprövning eller i ett brottmål som är anhängigt vid en domstol. Påföljdsavgift får inte heller påföras den som genom en lagakraftvunnen dom har dömts till straff för samma gärning eller som för brott mot 20 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet har påförts påföljdsavgift för transportör enligt 179 § i utlänningslagen (301/2004).  
15 § 
Hörande av lufttrafikföretag 
Innan en påföljdsavgift påförs ska lufttrafikföretaget ges tillfälle att skriftligen avge en förklaring inom en tid som inte får vara kortare än två veckor. 
16 § 
Påförande av påföljdsavgift  
Påföljdsavgift påförs av chefen för centralkriminalpolisen eller av en tjänsteman som denne utsett. Påföljdsavgiften ska betalas till staten. Ett beslut om påförande av påföljdsavgift ska iakttas även om ändring har sökts, om inte besvärsmyndigheten bestämmer något annat. Avgiften ska påföras senast inom två år från lufttrafikföretagets i 14 § 1 mom. avsedda förseelse. 
17 § 
Betalningstid 
Påföljdsavgiften ska betalas inom en månad från delfåendet av beslutet. På en påföljdsavgift som förfallit till betalning och som inte har betalats senast på förfallodagen tas en dröjsmålsränta ut enligt den räntesats som avses i 4 § 1 mom. i räntelagen (633/1982). 
18 § 
Verkställighet och ändringssökande 
Verkställigheten av påföljdsavgiften sköts av rättsregistercentralen. Rättsregistercentralen ska underrättas om ett beslut av en myndighet eller domstol genom vilket påföljdsavgiften har sänkts eller avlyfts. Rättsregistercentralen ska utan ansökan betala tillbaka en påföljdsavgift som betalats utan grund.  
En påföljdsavgift som påförts med stöd av denna lag verkställs i den ordning som föreskrivs i lagen om verkställighet av böter (672/2002). Hörande av lufttrafikföretag, delgivning av beslut som gäller påförande av påföljdsavgift samt delgivning som gäller verkställigheten av beslut kan genomföras med vilken befälhavare som helst som är anställd hos lufttrafikföretaget i fråga, om inte trafikföretaget har någon utsedd representant i Finland.  
Ett beslut om påföljdsavgift får överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996). Över förvaltningsdomstolens beslut får besvär anföras endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Påföljdsavgiften preskriberas när fem år har förflutit från det att det lagakraftvunna beslutet fattades.  
19 § 
Ikraftträdande 
Denna lag träder i kraft den 20 . 
2. 
Lag  
om ändring av 5 § i lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet 
I enlighet med riksdagens beslut 
ändras i lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet (687/2009) 5 § 1 mom., sådant det lyder i lag 881/2011, som följer: 
5 § 
PTG-kriminalunderrättelseenheter 
För PTG-myndigheternas kriminalunderrättelse- och brottsanalysverksamhet finns en riksomfattande PTG-kriminalunderrättelseenhet, utöver vilken det kan inrättas regionala och lokala PTG-kriminalunderrättelseenheter. En PTG-kriminalunderrättelseenhet kan bestå av företrädare för PTG-myndigheterna som förordnas särskilt. 
Denna lag träder i kraft den 20 . 
3. 
Lag 
om ändring av 1 § i lagen om verkställighet av böter 
I enlighet med riksdagens beslut 
ändras i lagen om verkställighet av böter (672/2002) 1 § 1 mom. 11 punkten, sådan den lyder i lag 470/2017, och 
fogas till 1 § 1 mom., sådant det lyder i lagarna 224/2008, 462/2011, 348/2013, 257/2014, 671/2015, 451/2016 och 470/2017, en ny 12 punkt som följer: 
1 § 
Lagens tillämpningsområde 
I den ordning som föreskrivs i denna lag verkställs följande påföljder: 
11) ordningsavgift enligt 8 kap. 1 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism HYPERLINK "https://www.finlex.fi/fi/laki/smur/2017/20170444" \o "SMUR-Referenskort" (444/2017) och påföljdsavgift enligt 8 kap. 3 § i samma lag,  
12) påföljdsavgift för lufttrafikföretag enligt 14 § i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet ( / ). 
Denna lag träder i kraft den 20 . 
Helsingfors den 19 april 2018 
Statsminister
Juha
Sipilä
Inrikesminister
Kai
Mykkänen
Senast publicerat 19.4.2018 14:14