Betänkande
FvUB
14
2018 rd
Förvaltningsutskottet
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten och till vissa lagar som har samband med den
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten och till vissa lagar som har samband med den (RP 31/2018 rd): Ärendet har remitterats till förvaltningsutskottet för betänkande och till grundlagsutskottet och lagutskottet för utlåtande. 
Utlåtanden
Utlåtande har lämnats av 
grundlagsutskottet
GrUU 26/2018 rd
lagutskottet
LaUU 10/2018 rd
Sakkunniga
Utskottet har hört 
lagstiftningsråd
Timo
Makkonen
justitieministeriet
lagstiftningsråd
Tanja
Jaatinen
justitieministeriet
referendarieråd
Mikko
Eteläpää
Riksdagens justitieombudsmans kansli
överinspektör, kriminalinspektör
Jari
Nyström
inrikesministeriet
överinspektör
Suvi
Pato-Oja
inrikesministeriet
regeringssekreterare
Perttu
Wasenius
försvarsministeriet
budgetråd
Kirsti
Vallinheimo
finansministeriet
tingsdomare
Jussi
Leskinen
Helsingfors tingsrätt
överdomare
Liisa
Heikkilä
Helsingfors förvaltningsdomstol
statsåklagare
Johanna
Hervonen
Riksåklagarämbetet
registerchef
Teemu
Mikkola
Rättsregistercentralen
dataombudsman
Reijo
Aarnio
dataombudsmannens byrå
chef för it-förvaltningen
Jari
Råman
Polisstyrelsen
överinspektör
Antti
Wahlroos
skyddspolisen
tullöverinspektör
Juha
Vilkko
Tullen
professor
Sakari
Melander
professor
Olli
Mäenpää.
Skriftligt yttrande har lämnats av 
Östra Finlands hovrätt
högsta förvaltningsdomstolen
Brottspåföljdsmyndigheten
Försvarsmakten
Ålands landskapsregering
Finlands Advokatförbund.
PROPOSITIONEN
Regeringen föreslår att det stiftas en lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Genom lagen genomförs det nya dataskyddsdirektivet. 
Den föreslagna lagen ska tillämpas på behandling av personuppgifter som utförs av polisen, åklagarna, de allmänna domstolarna, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter, när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åklagarverksamhet i samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av brott mot den allmänna säkerheten. Lagen ska också tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten. Det är till denna del fråga om en nationell lösning. 
I ovannämnda situationer ska den föreslagna lagen tillämpas som allmän lag. Avvikelser från lagens bestämmelser kan göras i speciallagstiftning. 
Den föreslagna lagen ska innehålla bestämmelser om ändamålsbegränsning och andra allmänna principer för behandling av personuppgifter, den personuppgiftsansvariges och personuppgiftsbiträdets ansvar, rätten till insyn och andra rättigheter för den registrerade, krav på informationssäkerhet, utnämning av ett dataskyddsombud och dataskyddsombudets uppgifter, krav när personuppgifter överförs till tredjeländer, tillsynen över efterlevnaden av lagen samt rättsmedel och påföljder. 
Tillsynen över efterlevnaden av lagen ska utövas av dataombudsmannen. 
I samband med den föreslagna lagen föreslås det ändringar också i straffregisterlagen, lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen, lagen om justitieförvaltningens riksomfattande informationssystem, lagen om verkställighet av böter och lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten. 
Propositionen hänför sig till den första tilläggsbudgetpropositionen för 2018, men avses inte bli behandlad i samband med den. 
Lagarna avses träda i kraft den 6 maj 2018 eller så snart som möjligt efter det. 
UTSKOTTETS ÖVERVÄGANDEN
Propositionens utgångspunkter
Syftet med denna proposition är att nationellt genomföra Europaparlamentets och rådets direktiv om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (nedan dataskyddsdirektivet, polisdirektivet eller direktivet). 
För att genomföra direktivet föreslås en lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (lagförslag1, nedan också lagen om behandling av personuppgifter i brottmål). Det är en allmän lag som ska tillämpas om inte annat föreskrivs någon annanstans i lag. Det finns också särskilda bestämmelser enligt förvaltningsområde för de behöriga myndigheter som tillämpar lagen. 
Lagen om behandling av personuppgifter i brottmål ska tillämpas på behandling av personuppgifter som utförs av polisen, åklagarna, de allmänna domstolarna, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter, när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åklagarverksamhet i samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av brott mot den allmänna säkerheten. 
Lagen om behandling av personuppgifter i brottmål ska också tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten. Direktivet kräver inte detta, och det är till denna del fråga om en nationell lösning. 
Den föreslagna lagen innehåller bestämmelser om de allmänna principerna för behandling av personuppgifter på tillämpningsområdet. Till dessa principer hör bland annat krav på laglig behandling, principen om ändamålsbegränsning, relevanskrav och felfrihetskrav. I lagen ingår också hantering av information som hör till särskilda kategorier av uppgifter och särskilda bestämmelser om behandling av personbeteckningar. I lagen föreskrivs också den personuppgiftsansvariges och personuppgiftsbiträdets ansvar, rätten till insyn och andra rättigheter för den registrerade, krav på informationssäkerhet, utnämning av ett dataskyddsombud och dataskyddsombudets uppgifter, krav när personuppgifter överförs till tredjeländer, tillsynen över efterlevnaden av lagen samt rättsmedel och påföljder. Dataombudsmannen är den specialmyndighet som ska utöva tillsyn över efterlevnaden av lagen. 
Samtidigt med direktivet utfärdades Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (nedan dataskyddsförordningen). Bestämmelserna utgör en central del av reformen av EU:s dataskyddslagstiftning som ska modernisera och förenhetliga regleringen om skydd för personuppgifter inom unionen. 
Dataskyddsförordningen gäller som utgångspunkt så gott som all behandling av personuppgifter inom den privata och den offentliga sektorn, med undantag av behandling av personuppgifter i brottmål enligt det nu aktuella direktivet. Regeringen har överlämnat proposition (RP 9/2018 rd) med förslag till lagstiftning som kompletterar och preciserar förordningen. Förvaltningsutskottet gav sitt betänkande (LaUB 13/2018 rd) om den propositionen. De myndigheter som omfattas av lagen om behandling av personuppgifter i brottmål tillämpar således dataskyddsförordningen och den kompletterande dataskyddslagen när det handlar om behandling av personuppgifter utanför direktivets tillämpningsområde. 
Behandlingen i förvaltningsutskottet har aktualiserat flera frågor som också har aktualiserats i samband med propositionen om dataskyddslagen (RP 9/2018 rd). Sådana är exempelvis frågan om den registrerades rättsmedel, dröjsmålsbesvär, utredning av lagenligheten i kommissionens beslut om dataskydd och påföljder. Förvaltningsutskottet anser det med avseende på lagstiftningens tydlighet och konsekvens befogat att nationella lagstiftningslösningar i dessa frågor är maximalt enhetliga. Det finns också befogade skillnader mellan lagarna. Det är bland annat relevant att med avvikelse från dataskyddsförordningen och dataskyddslagen som tillämpas på både offentlig och privat sektor begränsar sig den föreslagna lagen om behandling av personuppgifter i brottmål till myndigheter i fråga om organisatoriskt tillämpningsområde. 
Grundlagsutskottet har lämnat utlåtande (GrUU 26/2018 rd) om propositionen. Utskottet har inte haft något att anmärka på de grundläggande lösningarna i lagförslagen i propositionen. Att lagens tillämpningsområde utvidgas till upprätthållande av den nationella säkerheten uppfyller enligt grundlagsutskottet den konstitutionella förpliktelsen om tryggande av personuppgifter också i detta avseende. Utskottet har ansett att lagförslaget i propositionen innehåller relevanta och detaljerade bestämmelser om de allmänna förutsättningarna och principerna för behandling av personuppgifter, den registrerades rättigheter, tillsynen och exempelvis informationssäkerheten. Utskottet har ändå fäst uppmärksamhet vid vissa av de föreslagna bestämmelserna. 
Enligt grundlagsutskottet kan lagförslagen behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella invändningar mot dess 48 och 61 § beaktas på behörigt sätt. 
I lagutskottets utlåtande (LaUU 10/2018 rd) behandlas utöver frågor i anslutning till rättssäkerhet och påföljder särskilt regleringens tillämplighet på domstolarnas verksamhet. 
Med hänvisning till propositionen och annan utredning tillstyrker förvaltningsutskottet lagförslagen i propositionen, men med följande kommentarer och ändringsförslag. 
Relation till dataskyddslagen
Grundlagsutskottet påpekar i sitt utlåtande om dataskyddslagen GrUU 14/2018 rd att dataskyddslagen inte ska tillämpas på sådan behandling av personuppgifter som regleras i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Utskottet anser att personuppgiftslagen inte kan upphävas i sin helhet innan den sistnämnda lagen träder i kraft, eftersom 10 § i grundlagen föreskriver att närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Det står klart att lagförbehållet i 10 § 1 mom. i grundlagen utöver kravet på bestämmelser i lag uttrycker principen att den grundläggande rättigheten gällande skydd av personuppgifter måste få stöd i form av vanlig lagstiftning (se också GrUB 25/1994 rd, s. 5–6). Grundlagsutskottets förutsätter att förvaltningsutskottet med hjälp av övergångsbestämmelser ser till att tillämpningsområdet för den allmänna lagstiftningen om skydd av personuppgifter är heltäckande också innan lagen om genomförandet av polisdirektivet träder i kraft, om förslaget till dataskyddslag godkänns först. Ändringen är en förutsättning för att förslaget till dataskyddslag ska kunna behandlas i vanlig lagstiftningsordning. 
I den aktuella propositionen avses de föreslagna lagarna ursprungligen träda i kraft den 6 maj 2018. Men lagförslagen har lagtekniskt utarbetats utifrån att de ska träda i kraft samtidigt med de lagar som föreslås i proposition RP 9/2018 rd om dataskyddslagen. Förvaltningsutskottet har lämnat betänkandet FvUB 13/2018 rd om proposition RP 9/2018 rd. Förvaltningsutskottet konstaterar att den planerade marschordningen i nuläget är möjlig varvid det problem som grundlagsutskottet nämner inte uppstår. I betänkandet FvUB 13/2018 rd föreslås därför ingen övergångsbestämmelse. Förvaltningsutskottet konstaterar att lagarna ska sättas i kraft samtidigt varvid inga övergångsbestämmelser behövs. 
Viktig reglering med avseende på skydd för personuppgifter
Grundlagsutskottet har analyserat vilken betydelse tillämpningen av EU:s dataskyddsförordning får för skyddet för personuppgifter i sitt utlåtande GrUU 14/2018 rd. Med anledning av den förestående tillämpningen av dataskyddsförordningen såg utskottet det som motiverat att justera sin tidigare ståndpunkt till lagstiftningen om skyddet för personuppgifter på vissa punkter. Utskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. 
Utskottet såg det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser (GrUU 14/2018 rd, s. 5). Utöver risker med känsliga uppgifter hänvisade utskottet uttryckligen till att i konstitutionella analyser av behandlingen av personuppgifter har utskottet sett syftet med behandlingen som relevant, eftersom behandlingen möjliggör utövning av offentlig makt gällande individer (se GrUU 1/2018 rd). 
I en regleringskontext där det känsliga sambandet med de grundläggande fri- och rättigheterna accentueras tillmäter utskottet rättigheterna enligt 10 § i grundlagen särskild betydelse. Före reformen av de grundläggande fri- och rättigheterna kom utskottet med en karaktärisering som senare blivit vedertagen, nämligen att "polislagen är typexemplet på en lag som lätt kan råka i konflikt med medborgarnas grundläggande rättigheter, i synnerhet de klassiska friheterna” (GrUU 15/1994 rd och GrUU 67/2010 rd). 
Grundlagsutskottet ansåg som ett led i granskningen av tolkningspraxis för 10 § i grundlagen att till skillnad från den direkt tillämpliga dataskyddsförordningen innehåller polisdirektivet inte några detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund för skyddet av privatlivet och personuppgifter i 10 § i grundlagen (GrUU 14/2018 rd, s.6). Relevant är också att det i den nu aktuella propositionen sägs att till den del lagen tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten, handlar det delvis om nationella beslut till följd av det tillämpningsområde som kopplas till EU-rättens tillämpningsområde, och det kan därför inte i alla avseenden hänvisas till EU-reglering som bakgrund till den föreslagna regleringen. 
Följaktligen menar utskottet att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en regleringskontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (se även GrUU 14/2018 rd, s. 6). Relevant i detta avseende är att det förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten som ingår i föreliggande proposition är en lag som blir tillämplig som allmän lag på sitt tillämpningsområde, och som ska kompletteras med speciallagstiftning för olika förvaltningsområden. 
Grundlagsutskottet har också påpekat att bestämmelserna om behandling av personuppgifter är tungrodda och komplicerade (se t.ex. GrUU 31/2017 rd, GrUU 71/2014 rd). Grundlagsutskottet vill därför påminna om att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän nationell lag utanför tillämpningsområdet för dataskyddsförordningen (se även GrUU 14/2018 rd, GrUU 31/2017 rd, GrUU 5/2017 rd, GrUU 38/2016 rd). 
Nationellt spelrum och skydd för hemfriden
Grundlagsutskottet har i sitt utlåtande ansett att propositionen inte i alla avseenden redogör för det nationella spelrummets omfattning tillräckligt detaljerat. Grundlagsutskottet anser att det i synnerhet förblir oklart huruvida det i artikel 47.1 och 47.4 föreskrivs om att den myndighet som utövar tillsyn över iakttagandet av den föreslagna lagen ska ha obegränsade inspektionsbefogenhet på hemfridsskyddade platser. 
Bestämmelser om dataombudsmannens rätt att utöva tillsyn ingår i 48 § i lagen om behandling av personuppgifter i brottmål. Enligt grundlagsutskottets utlåtande är befogenheten på behörigt sätt knuten till krav på nödvändighet. Men grundlagsutskottet har ändå fäst uppmärksamhet vid att det i 60 § i lagförslag 1 också hänvisas till brott med endast böter som påföljd. Förvaltningsutskottet bör enligt utlåtandet noggrant utreda behovet av åtgärder som sträcker sig till hemfridsskyddade lokaler. Om inspektionsbefogenhet på hemfridsskyddade platser inte i alla avseenden förutsätts av direktivet, måste användningen av befogenheten bindas endast till bestämmelser med fängelsepåföljd i strafflagen. Den här ändringen är i så fall en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Förvaltningsutskottet konstaterar att principerna för direktivets nationella implementering och det nationella spelrummet till sina väsentliga delar beskrivs på allmän nivå i propositionsmotiven. I propositionen konstateras det att dataskyddsdirektivet föreskriver att det att det nationella genomförandet inte får leda till försämringar i personuppgiftsskyddet. Direktivet hindrar inte heller medlemsstaterna från att föreskriva om en högre skyddsnivå för skyddet av den registrerades rättigheter än vad som fastställts i direktivet. I den aktuella propositionen beaktas mycket riktigt regleringen i den gällande personuppgiftslagen (523/1999), och till vissa delar har man gått in för att trygga den registrerades rättigheter bättre än miniminivån enligt direktivet, bland annat genom att i lagen ta in bestämmelser om behandling av personbeteckningar trots att direktivet inte har några bestämmelser om ärendet. 
Enligt de allmänna principerna för implementering ska bestämmelserna i direktivet implementeras effektivt och enligt principen om lojalt samarbete. I förhållande till det resultat som eftersträvas är direktivet förpliktande för varje medlemsstat det riktar sig till, men överlåter åt de nationella myndigheterna att välja form och medel. 
Enligt artikel 47.1 i direktivet ska varje medlemsstat i lag säkerställa att varje tillsynsmyndighet har effektiva undersökningsbefogenheter. Dessa befogenheter ska minst inbegripa rätten att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter som behandlas och all information som tillsynsmyndigheten behöver för att kunna fullgöra sina uppgifter. I skäl 82 sägs att undersökningsbefogenheten när det gäller tillträde till lokaler bör utövas i enlighet med särskilda krav i medlemsstaternas nationella rätt, såsom kravet på att inhämta förhandstillstånd från rättsliga myndigheter. Även om punkten hänvisar till att ”utöva” befogenheter (”exercise” på engelska) och inte att föreskriva om dem, kan hänvisningen i punkten till medlemsstatens lagstiftning anses betyda att det finns åtminstone någon mån av nationellt spelrum i att föreskriva om befogenheterna. 
Dataskyddsdirektivet möjliggör att personuppgiftsbiträdet – och under vissa förutsättningar till och med den personuppgiftsansvarige – är en privat aktör. Därför ser förvaltningsutskottet det som befogat att dataombudsmannens rätt att utföra inspektioner också utsträcks till hemfridsskyddade lokaler. Med beaktande av det som konstateras i skäl 82 utgör direktivet ändå inte enligt förvaltningsutskottets uppfattning något hinder för att användningen av denna befogenhet enligt grundlagsutskottets förslag begränsas endast till bestämmelser med fängelsepåföljd i strafflagen. Förvaltningsutskottet föreslår således att den nämnda 48 § ändras som närmare framgår av detaljmotiven. 
Tystnadsplikt och förhållande till offentlighetslagen
I 61 § i den föreslagna lagen om behandling av personuppgifter i brottmål sägs att den som har deltagit i behandlingen av personuppgifter inte obehörigen för utomstående får röja de uppgifter som han eller hon erhållit på detta sätt eller använda uppgifterna för sin egen eller någon annans vinning eller för att skada någon annan. På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister ska enligt 2 § 2 mom. i lagförslaget tillämpas vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen). Grundlagsutskottet konstaterar i sitt utlåtande att på grund av regleringen i den föreslagna 61 § omfattas alla personuppgifter och all information som hanteras inom lagens tillämpningsområde trots 2 § 2 mom. av tystnadsplikt. Det är enligt propositionsmotiven inte avsikten. 
Grundlagsutskottet anser att regleringen måste preciseras i överensstämmelse med sitt uttalade syfte så att tystnadspliktens förhållande till regleringen som genomför offentlighetsprincipen, som det hänvisas till i 2 §, framgår tydligt. Denna precisering är förutsättningen för att lagförslaget ska kunna behandlas i vanlig lagstiftningsordning. 
I 23 § 1 mom. i offentlighetslagen sägs att den som är anställd hos en myndighet eller innehar ett förtroendeuppdrag inte får röja en handlings sekretessbelagda innehåll eller en uppgift som vore sekretessbelagd om den ingick i en handling, och inte heller någon annan omständighet som han har fått kännedom om i samband med sin verksamhet hos myndigheten och för vilken tystnadsplikt föreskrivs genom lag. I paragrafens 2 mom. utsträcks tystnadsplikten också till den som verkar på uppdrag av en myndighet och deras anställda. Förvaltningsutskottet anser att med beaktande av grundlagsutskottets ställningstagande är regleringen om tystnadsplikt i offentlighetslagen tillräcklig och det behövs inte annan materiell lagstiftning i ärendet. Därför föreslår förvaltningsutskottet att den föreslagna 61 § i propositionen ska ändras till en informativ hänvisning till offentlighetslagen som framgår närmare av detaljmotiven. I utskottets lagförslag är bestämmelsen lagens 62 §. 
Förvaltningsutskottet vill i sammanhanget också mer allmänt betona det som konstateras i propositionen, att avsikten inte är att genom den föreslagna lagen om behandling av personuppgifter i brottmål ändra det nuvarande inbördes förhållandet mellan offentlighetslagstiftningen och lagstiftningen om skydd för personuppgifter. 
Den registrerades rättigheter
Rätt för den registrerade att föra ärenden till dataombudsmannen samt sökande av ändring
Enligt artikel 52 i direktivet ska alla registrerade personer som anser att behandling, som avser dem står i strid med de bestämmelser som antas i enlighet med direktivet, ha rätt att lämna in ett klagomål till en tillsynsmyndighet. Den registrerade ska underrättas av den behöriga tillsynsmyndigheten om klagomålets handläggning och dess resultat. Enligt artikel 53 i direktivet ska en fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut som avser dem och som meddelats av en tillsynsmyndighet, utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol. Varje registrerad person ska ha rätt till ett effektivt rättsmedel om tillsynsmyndigheten underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur arbetet med klagomålet fortskrider eller dess resultat. Enligt artikel 54 ska medlemsstaterna dessutom föreskriva en rätt till effektiva rättsmedel för registrerade om han eller hon anser att deras rättigheter har kränkts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med lag. 
För att genomföra de ovannämnda bestämmelserna i direktivet föreslås det i 56 § i lagen om behandling av personuppgifter i brottmål att en registrerad ska ha rätt att föra ett ärende till dataombudsmannen för behandling (begäran om åtgärder), om den registrerade anser att någon vid behandlingen av hans eller hennes personuppgifter bryter mot denna lag eller någon annan lag som gäller behandling av personuppgifter. Enligt 58 § i lagen får dataombudsmannens beslut överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996). I förvaltningsdomstolens beslut får ändring sökas genom besvär endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Även dataombudsmannen får söka ändring i förvaltningsdomstolens beslut. 
Förslagen till bestämmelser motsvarar bestämmelserna i den föreslagna dataskyddslagen. Lagutskottet har hänvisat till sitt utlåtande om dataskyddslagen (LaUU 5/2018 rd) som bedömer regleringen i dataskyddslagen bland annat med avseende på huruvida det är godtagbart att det inte föreslås någon möjlighet att begära omprövning. Utskottet har också bedömt också kravet på besvärstillstånd vid sökande av ändring i förvaltningsdomstolens beslut samt myndigheternas besvärsrätt. Lagutskottet gick in för att till dessa delar anse att regleringen i propositionen om dataskyddslagen är relevant, och har ansett att detsamma också gäller det aktuella lagförslaget. Inte heller förvaltningsutskottet anför några anmärkningar mot regleringen. 
Den registrerades rätt att föra ett ärende till någon annan än dataombudsmannen för behandling
I artikel 54 i direktivet föreskrivs det att de registrerade ska ha rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde. Denna rätt får ändå inte begränsa bland annat rätten att lämna in klagomål till en tillsynsmyndighet enligt artikel 52. I den föreslagna lagen om behandling av personuppgifter i brottmål ingår inte särskilda bestämmelser om den registrerades rätt att omedelbart anföra besvär hos domstol när den registeransvarige begränsar den registrerades granskningsrätt eller inte godkänner den registrerades yrkande om rättelse, komplettering eller utplåning av personuppgifter eller begränsning av behandlingen av dem. Den registrerade kan föra ett sådant ärende till dataombudsmannen för behandling, och det beslutet kan överklagas hos förvaltningsdomstolen. 
I 26 § i lagen om behandling av personuppgifter i brottmål ska den personuppgiftsansvarige i fallen ovan genom ett skriftligt intyg informera den registrerade om vägran och grunderna för vägran. Grundlagsutskottet konstaterar som sin uppfattning att en myndighets intyg över avslag av en parts krav ska anses vara ett förvaltningsbeslut som avses i förvaltningslagen. Grundlagsutskottet konstaterar vidare att förvaltningsutskottet bör precisera regleringen om syftet är att ett överklagbart förvaltningsbeslut inte ska lämnas i ärendet. 
Lagutskottet har till väsentliga delar behandlat samma fråga i sitt utlåtande (LaUU 10/2018 rd). Lagutskottet hänvisar till sitt utlåtande om dataskyddslagen (LaUU 5/2018 rd) och anser att också i det aktuella sammanhanget är det ett naturligare rättsmedel för en registrerad att vända sig till dataombudsmannen än till domstolen. Dataombudsmannens beslut får också överklagas hos förvaltningsdomstolen och vidare hos högsta förvaltningsdomstolen, om besvärstillstånd beviljas. Den registrerade har alltså också i det här fallet tillgång till domstolsbehandling om han eller hon inte nöjer sig med dataombudsmannens beslut. Det finns å andra sidan enligt lagutskottet inget hinder för att den registrerade hos förvaltningsdomstolen överklagar ett förvaltningsbeslut som en myndighet har fattat i egenskap av personuppgiftsansvarig utan att först vända sig till dataombudsmannen. Enligt utskottets uppfattning kan ett förvaltningsbeslut av en myndighet också avse behandling av personuppgifter, och den registrerade får vid behov begära ett förvaltningsbeslut, som får överklagas. Enligt lagutskottets uppfattning kräver direktivet inte särskilda nationella bestämmelser till dessa delar. 
I 28 § i den gällande personuppgiftslagen finns bestämmelser motsvarande den föreslagna regleringen om att den registrerade ska ges ett intyg om den registeransvarige avslår ett krav från den registrerade. Enligt erhållen utredning har de myndigheter som fungerar som registeransvariga, såsom polisen, i regel inte ansett att lämnande av ett sådant intyg är ett överklagbart förvaltningsbeslut. Vissa myndigheter har ändå ibland fattat också överklagbara beslut jämte besvärsanvisning om beslut om avslag. 
För tydlighetens skull konstaterar förvaltningsutskottet att myndigheten på den registrerades begäran kan ge ett förvaltningsbeslut i det ovan avsedda avslagsärendet. Överklagbarheten hos ett sådant beslut bestäms med stöd av allmän lagstiftning och det behövs ingen uttrycklig reglering i ärendet. Syftet med intyget i lagförslaget är framför allt att fungera som en behövlig informations- och dokumentbas för att inleda dataombudsmannens tillsynsåtgärder. Förvaltningsutskottet anser liksom lagutskottet att det faller sig naturligare för en registrerad att i första hand vända sig till dataombudsmannen än till domstolen. 
Sammankopplade förfaranden
Enligt den första meningen i 57 § 1 mom. i lagen om behandling av personuppgifter i brottmål prövar dataombudsmannen det ärende som avses i begäran om åtgärder, om inte ärendet är anhängigt i domstol. Enligt utredning gäller bestämmelsen situationer där överträdelser som gäller behandling av personuppgifter är anhängiga vid tillsynsmyndigheten och domstolen samtidigt. Det kan exempelvis handla om att den registrerade kräver skadestånd genom talan vid domstol eftersom tillsynsmyndigheten inte har behörighet att fastställa en sådan ersättning. Det handlar då om samma registrerade, samma personuppgiftsansvariga eller personuppgiftsbiträde och samma överträdelse. 
En motsvarande situation har varit aktuell också i samband med behandlingen av dataskyddslagen. Förvaltningsutskottet har i sitt betänkande om dataskyddslagen med hänvisning till lagutskottets utlåtande LaUU 5/2018 rd föreslagit att det ska föreskrivas om en möjlighet för dataombudsmannen att avbryta behandlingen av ett ärende som är anhängigt vid domstol (FvUB 13/2018 rd). Att ärendet avbryts betyder inte att behandlingen av det upphör, utan dataombudsmannen kan fortsätta behandlingen senare. 
I sitt utlåtande om dataskyddslagen fäster lagutskottet uppmärksamhet vid att av bestämmelsen i 57 § i den lagen får man den uppfattningen att dataombudsmannen inte tar upp eller behandlar en begäran om åtgärder om ärendet samtidigt är anhängigt i domstol. Lagutskottet menar att det är befogat att bestämmelsen utformas på samma sätt som i den föreslagna dataskyddslagen, och föreslår därför för förvaltningsutskottet att bestämmelsen ska ändras. Förvaltningsutskottet konstaterar att bestämmelsen behöver förtydligas, och anser det motiverat att regleringen i detta avseende är enhetlig med dataskyddslagen. Förvaltningsutskottet föreslår i detaljmotiven att bestämmelsen ska ändras. 
Dröjsmålsbesvär
Enligt artikel 53.2 i direktivet ska varje registrerad person ha rätt till ett effektivt rättsmedel om tillsynsmyndigheten underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur arbetet med klagomålet fortskrider eller om dess resultat. Enligt 57 § 1 mom. i lagen om behandling av personuppgifter i brottmål ska dataombudsmannen inom rimlig tid informera den som inlett ärendet om hur behandlingen fortskrider, om behandlingen av ärendet fördröjs. Den föreslagna lagen innehåller ändå inte några uttryckliga bestämmelser om de rättsmedel som en registrerad ska ha rätt till enligt direktivet. 
En bestämmelse som motsvarar direktivet ingår också i dataskyddsförordningen, men inte heller den föreslagna dataskyddslagen som kompletterar förordningen innehåller några särskilda bestämmelser om rättsmedel (RP 9/2018 rd). Vid behandlingen av förslaget till dataskyddslag granskades behovet av att utfärda särskilda bestämmelser om dröjsmålsbesvär. Lagutskottet ansåg då att tillsynen över en självständig tillsynsmyndighets verksamhet på det sätt som avses i förordningen inte lämpar sig naturligt för domstolar. Lagutskottet ansåg det inte heller vara ändamålsenligt att ta i bruk särskilda dröjsmålsbesvär enbart för de ärenden som avses i dataskyddsförordningen. Dessutom menade utskottet att redan den nuvarande möjligheten att anföra klagomål hos de högsta laglighetsövervakarna är ett effektivt rättsmedel och räcker i detta sammanhang. Lagutskottet gick därför in för att godkänna förlaget i propositionen enligt vilket bestämmelser om dröjsmålsbesvär inte tas in i den nationella lagstiftningen (LaUU 5/2018 rd). Förvaltningsutskottet gav samma bedömning av de aktualiserade aspekterna och ansåg att den föreslagna lösningen är motiverad (FvUB 13/2018 rd). 
Förvaltningsutskottet anser i likhet med lagutskottet att det som konstaterades i samband med dataskyddslagen också lämpar sig på det nationella genomförandet av dataskyddsdirektivet. Förvaltningsutskottet föreslår således inte dröjsmålsbesvär i detta sammanhang heller. 
Kommissionens beslut om adekvat skyddsnivå
I 57 § 2 mom. i den föreslagna lagen om behandling av personuppgifter i brottmål sägs det att om dataombudsmannen i ett ärende som inletts hos dataombudsmannen anser att det behöver utredas om ett i 41 § 1 mom. 3 punkten avsett beslut av kommissionen om adekvat skyddsnivå är förenligt med dataskyddsdirektivet, får dataombudsmannen genom en ansökan föra ärendet till Helsingfors förvaltningsdomstol för avgörande. Den paragraf som det hänvisas till möjliggör överföring av personuppgifter till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. 
Bakgrunden till den föreslagna 57 § 2 mom. är EU-domstolens avgörande i målet Schrems (C-362/14). I avgörandet konstaterar domstolen att det ankommer på den nationella lagstiftaren att föreskriva om rättsmedel som gör det möjligt för den nationella tillsynsmyndigheten att vid nationella domstolar göra gällande de invändningar som den anser att det finns fog för, så att nationella domstolar, för det fall att de delar myndighetens tvivel angående kommissionsbeslutets giltighet, kan hänskjuta en begäran om förhandsavgörande till EU-domstolen för att pröva detta besluts giltighet. Syftet är således nu att göra det möjligt för den nationella tillsynsmyndigheten att till Helsingfors förvaltningsdomstol hänskjuta frågan om ett förhandsavgörande behöver begäras av EU-domstolen för att utreda om ett beslut som kommissionen fattat är förenligt med direktivet. Att ansökan bifalls betyder då i praktiken att en begäran om förhandsavgörande ska framställas, och att ansökan avslås betyder att inget förhandsavgörande begärs. 
En motsvarande bestämmelse finns också i förslaget till den dataskyddslag som ska komplettera dataskyddsförordningen (RP 9/2018 rd). I sitt betänkande om propositionen föreslår förvaltningsutskottet att ordalydelsen i bestämmelsen i dataskyddslagen ska bli preciserad (FvUB 13/2018 rd). 
På samma sätt som i dataskyddslagen, finns det inte heller i den föreslagna lagen om behandling av personuppgifter i brottmål några särskilda bestämmelser om förfarandet vid behandlingen i förvaltningsdomstolen av de ansökningsärenden som avses här. För tydlighetens skull bör det konstateras att 72 § i förvaltningsprocesslagen, som gäller ”andra förvaltningsprocessärenden än besvär, extraordinärt ändringssökande eller förvaltningstvistemål”, är tillämplig på detta. Ärendena anhängiggörs genom att en handling om anhängiggörande ges in till den myndighet som är behörig att avgöra ärendet. Också 73 § i förvaltningsprocesslagen blir tillämplig. Enligt den paragrafen gäller i fråga om förfarandet i övrigt i tillämpliga delar vad den lagen föreskriver om besvär. Bestämmelserna om behandling av besvär i förvaltningsprocesslagen är flexibla, och enligt förvaltningsutskottets uppfattning är det därför möjligt att beakta särdragen i de nu aktuella ansökningsärendena vid behandlingen av ärendena. 
I 57 § 2 mom. i lagen om behandling av personuppgifter i brottmål finns ingen särskild bestämmelse om sökande av ändring i beslut som fattats av Helsingfors förvaltningsdomstol. Syftet har enligt utredning varit att 58 § 2 mom. om ändringssökande ska bli tillämpligt. Lagutskottet har ändå föreslagit att i fråga om de beslut av kommissionen som avses i 57 § 2 mom. ta in i lagen en särskild bestämmelse om sökande av ändring i Helsingfors förvaltningsdomstols beslut, på samma sätt som gjorts i fråga om dataskyddslagen. Det kan enligt förvaltningsutskottets åsikt anses befogat på grund av att det som utgångspunkt är en myndighet, rättare sagt dataombudsmannen, som har rätt att överklaga Helsingfors förvaltningsdomstols i 57 § 2 mom. avsedda beslut medan det enligt 58 § 2 mom. är den registrerade som har denna rätt och det därför föreskrivs särskilt i det momentet att ”även dataombudsmannen får söka ändring i förvaltningsdomstolens beslut”. Förvaltningsutskottet föreslår att bestämmelsen ska ändras och att en ny paragraf ska tillfogas på det sätt som närmare framgår av detaljmotiven. 
Förvaltningsutskottet konstaterar att de iakttagelser i anslutning till besvärsrätt som framställts i samband med dataskyddslagen också gäller det aktuella författningsförslaget. Till exempel i en situation där det är oklart huruvida kommissionens beslut är förenligt med direktivet, krävs det för att avgöra frågan om den registrerade vars ärende det gäller har rätt att överklaga Helsingfors förvaltningsdomstols beslut en bedömning av om förvaltningsdomstolens beslut på det sätt som avses i 6 § 1 mom. i förvaltningsprocesslagen ska anses ”direkt” påverka den registrerades rätt, skyldighet eller fördel. Lagutskottet har i sitt utlåtande om dataskyddslagen bedömt relaterade synpunkter (LaUU 5/2018 rd). Enligt lagutskottet är det i princip möjligt att anse att förvaltningsdomstolens beslut om att begära förhandsavgörande inte gäller den registrerade ”direkt” och att den registrerade således inte har besvärsrätt. Å andra sidan är det möjligt att förvaltningsdomstolen i vissa fall anser att beslutet ”direkt” påverkar den registrerades rätt på det sätt som avses i förvaltningsprocesslagen så att den registrerade har besvärsrätt. 
Självinkrimineringsskyddet
Skyddet mot självinkriminering handlar fundamentalt om rätten att i brottmål vägra vittna mot sig själv samt rätten att inte medverka till utredningen av sin egen skuld. Detta skydd är en av garantierna för en rättvis rättegång enligt 21 § i grundlagen (se GrUU 39/2014 rd, s. 4/I och RP 309/1993 rd, s. 79/I). Även Europadomstolen har i sin praxis ansett att självinkrimineringsskyddet hänför sig till kärnområdet för en rättvis rättegång enligt artikel 6.1 i Europakonventionen (t.ex. i fallet Saunders mot Förenade kungariket, 17.12.1996). I rättspraxis har skyddet främst tillämpats vid förundersökning av brott och i brottmålsrättegångar, men i vissa fall har det ansetts utsträcka sig också till situationer där det inte är fråga om straffrättsliga påföljder. Självinkrimineringsskyddet har också behandlats i samband med dataskyddslagen (FvUB 13/2018 rd, LaUU 5/2018 rd). 
Lagutskottet har i sitt utlåtande om lagen om behandling av personuppgifter i brottmål fäst uppmärksamhet vid de föreslagna lagens bestämmelser om skyldigheten att anmäla personuppgiftsincidenter (33 och 34 §). Enligt utskottets uppfattning ska påföljdsbestämmelser som tillämpas på anmälningsskyldigheten i dessa fall tolkas i överensstämmelse med skyddet mot självinkriminering och med beaktande av bland annat Europadomstolens rättspraxis. I sista hand avgörs ärendet av domstol. 
Lagutskottet har också fäst uppmärksamhet vid 52 § i den föreslagna lagen, som innehåller bestämmelser om vite. Enligt paragrafens 1 mom. får dataombudsmannen förena vissa beslut samt rätten att få information enligt 47 § med vite. I paragrafens 2 mom. sägs det att ett i 1 mom. avsett föreläggande att lämna ut uppgifter inte får förenas med ett vitesföreläggande riktat till en fysisk person, om det finns anledning att misstänka personen för brott och uppgifterna gäller en omständighet som har samband med brottsmisstanken. I det senare momentet är det fråga om skyddet mot självinkriminering. 
Tröskeln för att inte förelägga vite har i lagens 52 § 2 mom. kopplats till uttrycket ”finns anledning att misstänka” (”on syytä epäillä”). I dataskyddslagen är tröskeln också ”finns anledning att misstänka”, på finska uttryckt som ”on aihetta epäillä” (RP 9/2018 rd, 22 § i lagförslag 1). Lagutskottet konstaterar i sitt utlåtande att det inte har utformats någon enhetlig linje om tröskeln för att inte förelägga vite utan lagstiftningen om saken varierar. Vid valet av ordalydelse kan man lägga vikt vid vilken myndighet som ska bedöma frågan samt vid om skyddet mot självinkriminering endast kopplas till situationer där förundersökningsmyndigheten redan har fattat beslut om att inleda förundersökning ("on syytä epäillä") eller om skyddet också borde gälla situationer där tillsynsmyndigheten bedömer att fallet senare kan komma att leda till straffrättsliga påföljder (”on aihetta epäillä”). 
Lagutskottet ansåg i sitt utlåtande om förslaget till dataskyddslag (LaUU 5/2018 rd) att för uttrycket ”on aihetta epäillä” talar det att det ger en fysisk person som är skyldig att lämna uppgifter ett mer omfattande skydd och därmed bättre står i samklang med skyddet mot självinkriminering. Om skyddet kopplas till uttrycket ”on syytä epäillä”, kan det uppstå en alltför strikt anknytning till kravet på inledande av en formell förundersökning. Lagutskottet såg ändå inte något hinder för att man i bestämmelsen också kan använda uttrycket ”on syytä epäillä”. Utskottet påpekade ändå att om man gör det, blir regleringen av innebörden av skyddet mot självinkriminering inte heltäckande i bestämmelsen, utan skyddet kan i vissa fall vara mer omfattande. 
Lagutskottet har inte tagit ställning till vilketdera uttrycket som borde stå i bestämmelsen, utan har lämnat avgörandet till förvaltningsutskottet. Det viktiga är ändå enligt lagutskottet att man använder enhetliga begrepp i dataskyddslagen och det nu aktuella lagförslaget. Förvaltningsutskottet har i fråga om dataskyddslagen gått in för att ställa sig bakom uttrycket ”on aihetta epäillä” (FvUB 13/2018 rd). Förvaltningsutskottet konstaterar att det uttrycket bättre harmonierar med skydd mot självinkriminering, och därför föreslår utskottet att det ska användas också i 52 § 2 mom. i den aktuella lagen om behandling av personuppgifter i brottmål. På så sätt är också uttrycken i lagarna i detta avseende enhetliga. 
Påföljder
Enligt artikel 57 i direktivet ska medlemsstaterna föreskriva om effektiva, proportionella och avskräckande sanktioner för överträdelser av dataskyddsbestämmelserna. 
Direktivet innehåller inte några bestämmelser om administrativ påföljdsavgift. Den ger medlemsstaterna ett större handlingsutrymme än dataskyddsförordningen när det gäller påföljdssystemet. Regeringen föreslår inte någon administrativ påföljdsavgift inom tillämpningsområdet för den föreslagna lagen om behandling av personuppgifter i brottmål i samband med genomförandet av direktivet. Dataombudsmannen kan ändå i fall av ett lagstridigt förfarande till exempel meddela en anmärkning eller uppställa ett tillfälligt eller bestående förbud eller någon annan tillfällig eller bestående begränsning av behandlingen av personuppgifter. Dataombudsmannen kan förena ett rättsligt förpliktande beslut med vite. I propositionen föreslås det också mer omfattande befogenheter för dataombudsmannen än minimikravet i direktivet, vilket för sin del möjliggör ett brett urval metoder för att ingripa i lagstridig behandling av personuppgifter. För den personuppgiftsansvarige gäller dessutom ett strikt ersättningsansvar för skador som tillfogats någon av att personuppgifter har behandlats i strid med lagen (59 § i lagförslag 1). Lagutskottet hade ingenting att anmärka mot det föreslagna regleringssättet (LaUU 10/2018 rd). 
I 60 § i den föreslagna lagen om behandling av personuppgifter i brottmål finns det hänvisningar till de bestämmelser i strafflagen som är av betydelse med tanke på den samlade regleringen. Enligt en hänvisning finns bestämmelser om straff för dataskyddsbrott i 38 kap. 9 § i strafflagen. Straffbestämmelsen är ny och ingår i regeringens proposition med förslag till lagstiftning som kompletterar den allmänna dataskyddsförordningen (RP 9/2018 rd). I den propositionen föreslår regeringen en ny straffbestämmelse om dataskyddsbrott som ersätter den tidigare bestämmelsen om personregisterbrott i 38 kap. 9 § i strafflagen. Straffregleringen har bedömts i förvaltningsutskottets betänkande om den propositionen (FvUB 13/2018 rd). 
I den tredje meningen i den nämnda 60 § hänvisas det till strafflagens bestämmelser om brott mot den i 61 § i den allmänna lagen föreskrivna tystnadsplikten. Lagutskottet har i sitt utlåtande ansett att hänvisningen även bör gälla hemlighållande av en rapportörs identitet enligt 55 §. Dessutom är det motiverat att i lagförslag 2—5 ta in en informativ hänvisning till 38 kap. 9 § om dataskyddsbrott i strafflagen. Överträdelse av bestämmelserna om exempelvis ändamålsbegränsning, utlämnande och överföring i fråga om personuppgifter och om säkerhet vid behandling av uppgifterna i de lagarna kan vara straffbart enligt den nya bestämmelsen om dataskyddsbrott. En sådan informativ hänvisning till 38 kap. 9 § i strafflagen ingår i 37 § 2 mom. i lagförslag 6. Till den delen har lagutskottet föreslagit att bestämmelsen ska justeras. Förvaltningsutskottet anser att lagutskottets förslag är befogade och föreslår att lagförslagen preciseras som närmare framgår av detaljmotiven. I utskottets lagförslag är de ovan nämnda 60 och 61 § lagens 61 och 62 §. 
Överföringar av personuppgifter till tredjeländer och internationella organisationer
I 7 kap. i den föreslagna lagen om behandling av personuppgifter i brottmål tas det in bestämmelser i enlighet med direktivet om de allmänna förutsättningar under vilka den behöriga myndigheten får överföra personuppgifter till tredjeländer. De föreslagna bestämmelserna motsvarar det som föreskrivs i kapitel V i dataskyddsdirektivet. 
Överföringen ska för det första vara nödvändig för de ändamål som uppräknas i den föreslagna lagens tillämpningsbestämmelse, t.ex. för utredning av ett brott eller för verkställighet av straff. Kommissionen ska dessutom ha konstaterat att skyddsnivån i landet i fråga är adekvat. Om kommissionen inte har fattat beslut om tillräcklig nivå på dataskydd för landet i fråga, kan personuppgifter överföras till landet i fråga under förutsättning att skyddet för personuppgifter i övrigt har ombesörjts på behörigt sätt. Undantagsvis kan personuppgifter med stöd av 43 § i den föreslagna lagen överföras till ett tredjeland trots att det inte råder tillräcklig säkerhet om skyddet för personuppgifter i landet i fråga, om överföringen är nödvändig exempelvis för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten, såsom ett terrordåd. Eftersom villkoren i paragrafen handlar om undantag från villkoren för överföring av personuppgifter, påminner förvaltningsutskottet om att villkoren ska tolkas på ett inskränkande sätt. Förvaltningsutskottet vill också påminna om den utgångspunkt som också finns inskriven i lagens 41 § 1 mom. att personuppgifter får överföras till ett tredjeland eller en internationell organisation endast om de övriga bestämmelser som är tillämpliga på behandling av personuppgifter enligt den föreslagna lagen iakttas. Sådana bestämmelser gäller bland annat ändamålsbegränsning. 
Enligt artikel 61 i det nya dataskyddsdirektivet ska internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer som ingicks av medlemsstaterna innan direktivet trädde i kraft och som är förenliga med unionsrätten så som den tillämpades före den dagen fortsätta att gälla tills de ändras, ersätts eller återkallas. Enligt förvaltningsutskottets uppfattning har det ändå inte varit meningen att helt och hållet lämna bestämmelserna i direktivet och lagen om dess nationella genomförande obeaktade vid överföring av personuppgifter till tredjeländer, särskilt då man beaktar betydelsen av personuppgifter som en grundläggande fri- och rättighet. Enligt förvaltningsutskottets uppfattning ska artikel 61 i direktivet tolkas så att gällande avtal fortfarande kan tillämpas, men bestämmelserna i lagen om genomförandet av direktivet bland annat om överföring av personuppgifter till tredjeländer ska samtidigt tillämpas som ett komplement. 
DETALJMOTIVERING
1. Lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten
48 §. Rätt att utföra inspektioner.
I 2 mom. föreskrivs det om dataombudsmannens rätt att utföra inspektioner i utrymmen som omfattas av hemfriden. I överensstämmelse med den allmänna motiveringen i utskottets överväganden föreslår förvaltningsutskottet att användningen av dataombudsmannens befogenhet begränsas till de bestämmelser i strafflagen enligt vilka påföljden kan vara fängelsestraff. 
52 §. Vite.
I 2 mom. sägs det att ett i 1 mom. avsett föreläggande att lämna ut uppgifter inte får förenas med ett vitesföreläggande riktat till en fysisk person, om det finns anledning att misstänka personen för brott och uppgifterna gäller en omständighet som har samband med brottsmisstanken. Momentet gäller skydd mot självinkriminering. Förvaltningsutskottet föreslår i överensstämmelse med sin allmänna motivering att tröskeln för att inte förelägga vite omformuleras från ”on syytä epäillä” till ”on aihetta epäillä”. Den svenska texten påverkas inte. 
57 §. Behandlingen av en begäran om åtgärder.
Det föreslagna 1 mom. gäller situationer där överträdelser som gäller behandling av personuppgifter är anhängiga hos dataombudsmannen och vid domstolen samtidigt. Av de orsaker som förvaltningsutskottet anför i sina överväganden föreslår det att första meningen i momentet ändras för att motsvara formuleringen i den motsvarande bestämmelsen som föreslås i dataskyddslagen (FvUB 13/2018 rd). 
Paragrafens 2 mom. gäller situationer där dataombudsmannen i ett ärende som har inletts hos dataombudsmannen anser att det behöver utredas huruvida ett beslut av kommissionen om adekvat skyddsnivå är förenligt med dataskyddsdirektivet. Utskottet anser att det är lagtekniskt tydligare att regleringen i 2 mom. finns i en separat paragraf i analogi med det som föreslås i dataskyddslagen (FvUB 13/2018 rd). Därför föreslår utskottet att 2 mom. stryks och att regleringen i momentet inkluderas i en ny 58 § som tas in i lagen. 
58 §. Beslut av kommissionen. (Ny)
I överensstämmelse med det som sägs ovan i samband med 57 § föreslår utskottet att lagen kompletteras med en ny 58 §. På grundval av det föreslagna 1 mom. kan dataombudsmannen till Helsingfors förvaltningsdomstol hänskjuta frågan om ett förhandsavgörande behöver begäras av EU-domstolen för att utreda om ett beslut som kommissionen fattat är förenligt med direktivet. Momentet motsvarar 57 § 2 mom. i propositionen med vissa preciseringar. Utskottet har i de allmänna motiven i övervägandena ansett det befogat att lagen kompletteras med en särskild bestämmelse om sökande av ändring i förvaltningsdomstolens beslut. Utskottet föreslår att den ska ingå i 2 mom. Dessutom ser utskottet det som ändamålsenligt att paragrafen rubriceras på samma sätt som i den föreslagna dataskyddslagen. 
Av förvaltningsutskottets förslag till ny paragraf följer att numreringen av paragraferna efter den ändras. 
61 (60) §. Straffbestämmelser.
Förvaltningsutskottet konstaterar i de allmänna motiven att det i tredje meningen i paragrafen är motiverat att hänvisa också till hemlighållande av en rapportörs identitet enligt 55 §. I formuleringen av bestämmelsen om tystnadsplikt bör dessutom de ändringar som grundlagsutskottet förutsätter i 61 § beaktas. Dessutom bör hänvisningen till 61 § på grund av utskottets förslag till ny paragraf ovan ändras till en hänvisning till 62 §. 
62 (61) §. Tystnadsplikt.
I överensstämmelse med vad som sägs i de allmänna motiven föreslår förvaltningsutskottet att den föreslagna bestämmelsen ersätts med en informativ hänvisning till offentlighetslagen enligt följande: ”Bestämmelser om tystnadsplikt och förbud mot utnyttjande av uppgifter finns i 23 § i lagen om offentlighet i myndigheternas verksamhet (621/1999).” 
64 (63) §. Övergångsbestämmelser.
I den föreslagna paragrafen sägs det att automatiserade behandlingssystem som har inrättats före den 6 maj 2016 ska bringas i överensstämmelse med 19 § senast den 6 maj 2023. Bestämmelsen grundar sig på artikel 63.2 i dataskyddsdirektivet. I den föreslagna lagen används det spelrum som direktivet möjliggör. Förvaltningsutskottet konstaterar att direktivet inte möjliggör övergångstid i fråga om andra krav än loggningskravet. 
Enligt direktivet får en medlemsstat under exceptionella omständigheter bringa ett visst automatiserat behandlingssystem i överensstämmelse med artikel 25 inom en specifik tidsperiod också efter den 6 maj 2023, om det annars skulle uppstå allvarliga problem för driften av detta specifika automatiserade behandlingssystem. Den tiden får enligt direktivet ändå inte vara senare än den 6 maj 2026. 
Enligt förvaltningsutskottets åsikt är det i detta skede inte motiverat att föreskriva om att tidsfristen ska infalla senare än det föreslagna datumet, eftersom det enligt direktivet är möjligt bara under exceptionella omständigheter. Att bestämma en senare tidpunkt kräver också underrättelse till kommissionen om skälen till dessa allvarliga problem och skälen till den angivna tidsperioden. Utskottet menar att om sådana allvarliga problem skulle föreligga med något behandlingssystem när tidsfristen 2023 närmar sig kan behovet av att använda spelrummet enligt artikel 63.3 i direktivet vid behov omprövas då. 
2. Lag om ändring av 1 och 6 § i straffregisterlagen
11 a §. (Ny).
Förvaltningsutskottet föreslår i enlighet med lagutskottet utlåtande att lagen kompletteras med en informativ hänvisning till 38 kap. 9 § i strafflagen. Den paragrafen gäller dataskyddsbrott. 
På grund av den föreslagna ändringen måste också lagens rubrik och ingress ändras. 
3. Lag om ändring av lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen
4 §. Förhållande till andra lagar och internationella förpliktelser.
Förvaltningsutskottet föreslår att paragrafen kompletteras med ett nytt 4 mom., som i överensstämmelse med lagutskottets utlåtande innehåller en informativ hänvisning till strafflagens 38 kap. 9 § om dataskyddsbrott. 
På grund av den föreslagna ändringen måste också ingressen ändras. 
4. Lag om ändring av lagen om justitieförvaltningens riksomfattande informationssystem
19 a §. Straffbestämmelser. (Ny).
Förvaltningsutskottet föreslår i enlighet med lagutskottet utlåtande att lagen kompletteras med en informativ hänvisning till strafflagens 38 kap. 9 § om dataskyddsbrott. Den nya paragrafen fogas till 5 kap. i den föreslagna lagen. 
På grund av den föreslagna ändringen måste också ingressen ändras. 
5. Lag om ändring av lagen om verkställighet av böter
53 a §. Straffbestämmelser. (Ny).
Förvaltningsutskottet föreslår i enlighet med lagutskottet utlåtande att lagen kompletteras med en informativ hänvisning till strafflagens 38 kap. 9 § om dataskyddsbrott. 
På grund av den föreslagna ändringen måste också ingressen ändras. 
6. Lag om ändring av lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten
37 §. Straffbestämmelser.
Förvaltningsutskottet föreslår att bestämmelsens ordalydelse justeras på det sätt som föreslås i lagutskottets utlåtande. Ändringen påverkar inte den svenska texten. 
FÖRSLAG TILL BESLUT
Förvaltningsutskottets förslag till beslut:
Riksdagen godkänner lagförslag 1—6 i proposition RP 31/2018 rd med ändringar. (Utskottets ändringsförslag) 
Utskottets ändringsförslag
1. 
Lag 
om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten 
I enlighet med riksdagens beslut föreskrivs: 
1 kap. 
Allmänna bestämmelser 
1 § 
Tillämpningsområde 
Denna lag tillämpas vid sådan behandling av personuppgifter som utförs av behöriga myndigheter när det är fråga om 
1) förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, 
2) åtalsprövning och annan åklagarverksamhet som har samband med brott, 
3) handläggning av brottmål i domstol, 
4) verkställighet av straffrättsliga påföljder, 
5) skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med verksamhet som avses i 1—4 punkten. 
Utöver vad som föreskrivs i 1 mom. tillämpas denna lag på 
1) sådan behandling av personuppgifter som utförs av Försvarsmakten och för Försvarsmaktens räkning, när uppgifterna behandlas för skötsel av uppgifter som anges i 2 § 1 mom. 1 punkten, 2 punkten underpunkt a samt 3 och 4 punkten i lagen om försvarsmakten (551/2007), 
2) sådan behandling av personuppgifter som utförs av polisen, när uppgifterna behandlas inom ramen för en i 1 § 1 mom. i polislagen (872/2011) avsedd uppgift som hänför sig till skyddet av den nationella säkerheten, 
3) sådan behandling av personuppgifter som utförs av Gränsbevakningsväsendet, när uppgifterna behandlas inom ramen för en i 3 § 2 och 3 mom. i gränsbevakningslagen (578/2005) avsedd uppgift som hänför sig till skyddet av den nationella säkerheten. 
På sådan behandling av personuppgifter som avses i 2 mom. tillämpas dock inte bestämmelserna i 10 § 2 mom. om överföring av personuppgifter till en mottagare inom Europeiska unionen, bestämmelserna i 54 § om ömsesidigt bistånd i fråga om andra medlemsstater i Europeiska unionen och bestämmelserna i 7 kap. om överföringar av personuppgifter till tredjeländer och internationella organisationer. 
Denna lag tillämpas dock endast på sådan i 1 och 2 mom. avsedd behandling av personuppgifter som är helt eller delvis automatiserad eller där de uppgifter som behandlas utgör eller är avsedda att utgöra ett register eller en del av ett sådant. 
Genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan dataskyddsdirektivet
2 § 
Förhållande till annan lagstiftning 
Om det i någon annan lag finns bestämmelser som avviker från denna lag, ska de tillämpas i stället för denna lag. 
På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister tillämpas vad som föreskrivs om offentlighet i myndigheternas verksamhet. 
3 § 
Definitioner 
I denna lag avses med 
1) personuppgifter varje upplysning som direkt eller indirekt avser en identifierad eller identifierbar fysisk person (en registrerad), 
2) behandling insamling, registrering, organisering, strukturering, bevarande, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, utplåning eller förstöring samt någon annan åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter eller uppsättningar av personuppgifter, 
3) begränsning av behandling markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden, 
4) register en strukturerad samling av personuppgifter som är tillgängliga enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden, 
5) behörig myndighet en myndighet som har behörighet att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning, att åtalspröva eller vidta andra åtgärder som avser åtal för brott eller att döma till straffrättsliga påföljder eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förhindra hot mot den allmänna säkerheten, samt Försvarsmakten, polisen och Gränsbevakningsväsendet när de sköter uppgifter som avses i 1 § 2 mom., 
6) personuppgiftsansvarig en behörig myndighet som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter eller som enligt lag har till uppgift att föra ett register, 
7) personuppgiftsbiträde en fysisk eller juridisk person, en myndighet, ett ämbetsverk eller något annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning, 
8) mottagare en fysisk eller juridisk person, en myndighet, ett ämbetsverk eller något annat organ till vilket personuppgifterna lämnas ut, 
9) personuppgiftsincident en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats, 
10) lämpliga skyddsåtgärder sådana tekniska och organisatoriska åtgärder som säkerställer att behandlingen av personuppgifter är lagenlig, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna för de registrerades rättigheter, 
11) profilering automatiserad behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma personliga egenskaper hos en fysisk person, 
12) genetiska uppgifter personuppgifter som rör sådana nedärvda eller förvärvade genetiska kännetecken för en fysisk person som ger unik information om personens fysiologi eller hälsa, och som härrör från en analys av ett biologiskt prov från personen i fråga eller som erhållits på annat sätt, 
13) biometriska uppgifter personuppgifter som tagits fram genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av personen i fråga, 
14) uppgifter om hälsa personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa och som ger information om personens hälsotillstånd, 
15) tredjeland andra stater än medlemsstater i Europeiska unionen (EU), stater inom Europeiska ekonomiska samarbetsområdet eller Schweiz, 
16) internationell organisation en organisation och dess underställda organ som lyder under folkrätten eller ett annat organ som har inrättats genom eller på grundval av en överenskommelse mellan två eller flera stater. 
Vad som i denna lag föreskrivs om behörig myndighet tillämpas också på enskilda som sköter en uppgift som avses i 1 mom. 5 punkten. 
Vad som i denna lag föreskrivs om en medlemsstat i EU tillämpas också på stater inom Europeiska ekonomiska samarbetsområdet och på Schweiz. 
2 kap. 
Principer för behandling av personuppgifter 
4 § 
Krav på laglig behandling 
Personuppgifter får behandlas endast om det behövs för att en behörig myndighet ska kunna utföra en i lag angiven uppgift på ett område som anges i 1 § 1 eller 2 mom. 
Personuppgifter ska behandlas på ett korrekt och omsorgsfullt sätt. 
5 § 
Ändamålsbegränsning 
Den personuppgiftsansvarige får samla in personuppgifter endast för särskilda, uttryckligt angivna och berättigade ändamål och får inte behandla dem på ett sätt som står i strid med dessa ändamål. 
Personuppgifter som har samlats in för ett ändamål som anges i 1 § 1 eller 2 mom. får behandlas för något annat än ett i momentet angivet ändamål endast om det föreskrivs om behandlingen i lag. 
Personuppgifter får behandlas i ett i 1 § 1 eller 2 mom. angivet syfte också för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål, om lämpliga skyddsåtgärder för de registrerades rättigheter har vidtagits. 
6 § 
Relevanskrav 
De personuppgifter som behandlas ska vara adekvata och behövliga med hänsyn till ändamålet med behandlingen och får inte vara för omfattande i förhållande till de ändamål för vilka de behandlas. Obehövliga personuppgifter ska utplånas utan obefogat dröjsmål. 
Personuppgifter får inte lagras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. 
Behovet att bevara personuppgifter ska bedömas med minst fem års mellanrum, om inte något annat föreskrivs om bevaringstider för personuppgifter någon annanstans. 
7 § 
Felfrihetskrav 
De personuppgifter som behandlas ska vara korrekta och vara uppdaterade med hänsyn till ändamålet med behandlingen. Den personuppgiftsansvarige ska se till att alla rimliga åtgärder har vidtagits för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas antingen utplånas eller rättas utan dröjsmål. 
8 § 
Åtskillnad mellan olika personuppgifter 
Den personuppgiftsansvarige ska vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. 
Alla rimliga åtgärder ska vidtas för att skilja personuppgifter som grundar sig på fakta från personuppgifter som grundar sig på personliga bedömningar. 
9 § 
Säkerställande av kvaliteten på personuppgifter som överförs eller görs tillgängliga 
Den behöriga myndigheten ska vidta alla rimliga åtgärder för att se till att personuppgifter som är oriktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. 
Vid all överföring av personuppgifter ska, så långt det är möjligt, sådan information läggas till som gör det möjligt för den mottagande behöriga myndigheten att bedöma i vilken grad personuppgifterna är korrekta, fullständiga, tillförlitliga och aktuella. 
Om det visar sig att oriktiga personuppgifter har överförts eller att personuppgifter olagligen har överförts, ska mottagaren utan dröjsmål informeras om detta. Efter att mottagaren informerats om saken ska denne rätta eller utplåna personuppgifterna eller begränsa behandlingen av dem. 
10 § 
Skyldighet att informera om särskilda förutsättningar för behandlingen 
Om det i lag anges särskilda förutsättningar för behandling av personuppgifter, ska den behöriga myndigheten i samband med utlämnande eller överföring av personuppgifter informera mottagaren av personuppgifterna om dessa förutsättningar samt om skyldigheten att iaktta dem. 
När den behöriga myndigheten överför personuppgifter till en mottagare inom EU får den inte uppställa strängare krav på behandlingen av personuppgifter än vad som tillämpas nationellt på likartade uppgiftsöverföringar. 
11 § 
Behandling av särskilda kategorier av personuppgifter 
Uppgifter som hör till särskilda kategorier av personuppgifter är personuppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person samt uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. 
Sådana personuppgifter som avses i 1 mom. får behandlas endast om det är nödvändigt och de skyddsåtgärder som krävs för att trygga den registrerades rättigheter har vidtagits och 
1) det föreskrivs om behandlingen i lag, 
2) det är fråga om handläggning av brottmål i åklagarverksamhet eller i domstol, 
3) det krävs för att skydda ett intresse som är av grundläggande betydelse för den registrerade eller en annan fysisk person, eller 
4) behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade. 
Profilering som leder till diskriminering av fysiska personer på grundval av särskilda kategorier av personuppgifter är förbjuden. 
12 § 
Behandling av personbeteckningar 
En personbeteckning får behandlas endast om det är viktigt att entydigt identifiera den registrerade 
1) för att en behörig myndighet ska kunna utföra en i lag angiven uppgift, 
2) för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter eller uppfylla den registrerades eller den personuppgiftsansvariges skyldigheter, eller 
3) för sådan historisk eller vetenskaplig forskning eller sådan statistikföring som avses i 5 § 3 mom. 
En personbeteckning får inte onödigtvis antecknas i handlingar som skrivs ut eller upprättas på basis av ett register. 
13 § 
Automatiserat individuellt beslutsfattande 
Om inte något annat föreskrivs i lag, får ett beslut inte fattas enbart på grundval av automatiserad behandling av personuppgifter, om beslutet har negativa rättsverkningar för den registrerade eller beslutet annars är betydande för den registrerade. 
3 kap. 
Personuppgiftsansvarig och personuppgiftsbiträde 
14 § 
Den personuppgiftsansvariges ansvar 
Den personuppgiftsansvarige svarar för att personuppgifter behandlas i enlighet med lag. Den personuppgiftsansvarige ska dessutom kunna visa att personuppgifterna har behandlats i enlighet med 2 kap. 
Den personuppgiftsansvarige ska vidta de tekniska och organisatoriska åtgärder som krävs med avseende på ansvaret enligt 1 mom. När åtgärderna vidtas ska hänsyn tas till behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter. 
15 § 
Inbyggt dataskydd och dataskydd som standard 
Den personuppgiftsansvarige ska vid tidpunkten för beslut om hur behandlingen av personuppgifter ska utföras och vid tidpunkten för själva behandlingen av personuppgifter genomföra lämpliga tekniska och organisatoriska skyddsåtgärder för att säkerställa att behandlingen är laglig och att den registrerades rättigheter skyddas. Åtgärderna ska vidtas med beaktande av tillgängliga tekniska lösningar, genomförandekostnaderna samt behandlingens art, omfattning, sammanhang och ändamål samt de risker som behandlingen medför för personens rättigheter. 
Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att i standardfallet säkerställa att endast personuppgifter som behövs för varje specifikt ändamål med behandlingen behandlas. 
16 § 
Gemensamt personuppgiftsansvariga 
Om två eller flera personuppgiftsansvariga gemensamt fastställer behandlingens ändamål och medel, ska de komma överens om den inbördes ansvarsfördelningen vid skötseln av skyldigheter enligt denna lag, om det inte föreskrivs om ansvarsfördelningen i lag. 
Personuppgiftsansvariga som avses i 1 mom. ska inom sig utse en personuppgiftsansvarig som fungerar som kontaktpunkt och med vilken den registrerade kan ha kontakt i frågor som gäller utövandet av den registrerades rättigheter. Den registrerade får dock utöva sina rättigheter enligt denna lag i förhållande till var och en av de personuppgiftsansvariga. 
17 § 
Personuppgiftsbiträde 
Den som behandlar personuppgifter för den personuppgiftsansvariges räkning ska lämna den personuppgiftsansvarige lämpliga utredningar och förbindelser och även i övrigt tillräckliga garantier för de organisatoriska och tekniska åtgärder genom vilka det säkerställs att personuppgifterna behandlas i enlighet med kraven i denna lag. 
Personuppgiftsbiträdet eller en anställd hos personuppgiftsbiträdet får inte behandla personuppgifter på ett sätt som avviker från den personuppgiftsansvariges instruktioner och inte överföra behandlingen av personuppgifter på något annat personuppgiftsbiträde utan skriftligt tillstånd av den personuppgiftsansvarige. 
Den behandling av personuppgifter som personuppgiftsbiträdet utför ska regleras i ett skriftligt avtal eller i ett skriftligt förordnande, i vilket typen av personuppgifter, behandlingens varaktighet, art och ändamål, kategorierna av personuppgifter och kategorierna av registrerade samt den personuppgiftsansvariges skyldigheter och rättigheter anges. I ovannämnda skriftliga handling ska det dessutom bestämmas att personuppgiftsbiträdet 
1) ska handla enbart enligt instruktioner från den personuppgiftsansvarige, 
2) ska säkerställa att de fysiska personer som behandlar personuppgifterna har förbundit sig att iaktta sekretess eller att de omfattas av en lagstadgad tystnadsplikt, 
3) på lämpligt sätt ska bistå den personuppgiftsansvarige för att säkerställa att de bestämmelser som gäller den registrerades rättigheter iakttas, 
4) beroende på den personuppgiftsansvariges val, ska utplåna eller återlämna alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av uppgiftsbehandlingstjänster har avslutats, och utplåna befintliga kopior, om inte något annat föreskrivs i lag, 
5) ska ge den personuppgiftsansvarige tillgång till all information som behövs för att visa att denna paragraf iakttas, 
6) ska uppfylla de förutsättningar som avses i denna paragraf för anlitande av ett annat personuppgiftsbiträde. 
18 § 
Register över behandlingar 
Den personuppgiftsansvarige ska föra ett skriftligt register över behandling av personuppgifter som utförts under dess ansvar. Registret ska innehålla följande uppgifter: 
1) namn och kontaktuppgifter för den personuppgiftsansvarige och eventuella gemensamt personuppgiftsansvariga samt för det dataskyddsombud som avses i 38 §, 
2) ändamålen med och den rättsliga grunden för behandlingen av personuppgifter, 
3) en beskrivning av kategorin eller kategorierna av registrerade och av kategorierna av personuppgifter, 
4) de kategorier av mottagare som personuppgifterna har lämnats ut till eller ska lämnas ut till, 
5) kategorier av personuppgiftsöverföringar till ett tredjeland eller en internationell organisation, 
6) om möjligt, de planerade tidsfristerna för utplåning av de olika kategorierna av personuppgifter, 
7) eventuell användning av profilering, 
8) om möjligt, en allmän beskrivning av informationssystemen och principerna för skydd av dem samt en allmän beskrivning av de tekniska och organisatoriska skyddsåtgärder som avses i 31 §. 
Personuppgiftsbiträdet ska föra ett skriftligt register över all behandling av personuppgifter som utförs för den personuppgiftsansvariges räkning. Registret ska innehålla följande uppgifter: 
1) namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena samt för dataskyddsombudet, 
2) namn och kontaktuppgifter för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar, 
3) de kategorier av behandling som har utförts för varje personuppgiftsansvarigs räkning, 
4) eventuella uppgifter om överföringar av personuppgifter till ett tredjeland eller en internationell organisation, om den personuppgiftsansvarige uttryckligen begär detta, 
5) om möjligt, en allmän beskrivning av de tekniska och organisatoriska skyddsåtgärder som avses i 31 §. 
19 § 
Logguppgifter 
Den personuppgiftsansvarige och personuppgiftsbiträdet ska se till att logguppgifter bevaras över insamling, ändring, läsning, utlämnande, överföring, sammanförande och utplåning av personuppgifter som utförts i deras automatiserade behandlingssystem. De logguppgifter som gäller läsning och utlämnande ska göra det möjligt att utreda grund, datum och tidpunkt för läsning och utlämnande och i möjligaste mån vem som har läst eller lämnat ut personuppgifterna samt mottagarnas identitet. 
Logguppgifterna får användas endast för att kontrollera om behandlingen är lagenlig, för intern kontroll, för att säkerställa personuppgifternas integritet och säkerhet samt inom ramen för straffrättsliga förfaranden. 
20 § 
Konsekvensbedömning avseende dataskydd 
Den personuppgiftsansvarige ska innan behandlingen av personuppgifter inleds göra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. 
Den personuppgiftsansvarige ska göra en skriftlig konsekvensbedömning, om den planerade behandlingen av personuppgifter kan medföra en betydande risk för tillgodoseendet av fysiska personers rättigheter. Konsekvensbedömningen ska innehålla en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för den registrerades rättigheter och åtgärder för att minska dem samt åtgärder för att säkerställa skyddet av personuppgifter. 
21 § 
Förhandssamråd med dataskyddsmyndigheten 
Den personuppgiftsansvarige eller personuppgiftsbiträdet ska höra dataombudsmannen innan personuppgifterna behandlas, om 
1) den skriftliga konsekvensbedömning som avses i 20 § 2 mom. visar att behandlingen trots planerade skyddsåtgärder medför en betydande risk för de registrerades rättigheter, eller 
2) behandlingen av uppgifter särskilt vid användning av ny teknik eller nya rutiner eller förfaranden medför en betydande risk för de registrerades rättigheter. 
Den personuppgiftsansvarige ska till dataombudsmannen lämna in en sådan konsekvensbedömning som avses i 20 § 2 mom. och på begäran andra sådana uppgifter som gör att dataombudsmannen kan bedöma lagligheten i behandlingen av personuppgifter. 
Om dataombudsmannen anser att den behandling som avses i 1 mom. skulle stå i strid med denna lag, ska dataombudsmannen inom sex veckor från det att begäran om samråd mottogs ge den personuppgiftsansvarige och ett eventuellt personuppgiftsbiträde handledning i syfte att göra behandlingen lagenlig. Denna period får förlängas med en månad om den planerade behandlingen är så komplicerad att en förlängning krävs. Dataombudsmannen ska inom en månad från det att begäran om samråd mottogs informera den personuppgiftsansvarige och ett eventuellt personuppgiftsbiträde om den förlängda perioden och om skälen till fördröjningen. 
4 kap. 
De registrerades rättigheter 
22 § 
Dataskyddsbeskrivning och skyldighet att informera 
Den personuppgiftsansvarige ska tillhandahålla en aktuell skriftlig beskrivning av sådan behandling av personuppgifter som denne ansvarar för. Beskrivningen ska göras offentligt tillgänglig och innehålla åtminstone följande uppgifter: 
1) kontaktuppgifter för den personuppgiftsansvarige och dataskyddsombudet samt, om den personuppgiftsansvarige anser det behövligt, dataskyddsombudets namn, 
2) namn och kontaktuppgifter för den personuppgiftsansvariga som fungerar som kontaktpunkt för gemensamt personuppgiftsansvariga samt uppgift om att den registrerade kan utöva sina rättigheter enligt denna lag i förhållande till var och en av de personuppgiftsansvariga, 
3) ändamålen med och den rättsliga grunden för behandlingen av personuppgifter, 
4) den period under vilken personuppgifterna kommer att bevaras eller, om den inte har fastställts, kriterierna för att fastställa denna period, 
5) eventuella sedvanliga mottagare eller kategorier av mottagare av personuppgifterna, 
6) uppgift om den registrerades rätt att av den personuppgiftsansvarige begära tillgång till personuppgifter som rör den registrerade samt rätt att begära att personuppgifterna rättas eller utplånas eller att behandlingen av dem begränsas, 
7) uppgift om den registrerades rätt att lämna in en i 56 § avsedd begäran om åtgärder till dataombudsmannen, samt dataombudsmannens kontaktuppgifter. 
Den personuppgiftsansvarige ska ge den registrerade en beskrivning som avses i 1 mom. och annan behövlig information för utövande av den registrerades rättigheter enligt detta kapitel, om lämnande av denna information behövs i ett enskilt fall för att nämnda rättigheter ska kunna utövas. Den personuppgiftsansvarige får helt eller delvis låta bli att lämna informationen, om det är nödvändigt på de grunder som nämns i 28 §. 
23 § 
De registrerades rätt till insyn 
Var och en har rätt att av den personuppgiftsansvarige få veta huruvida personuppgifter som gäller honom eller henne behandlas. Om sådana uppgifter behandlas, har den registrerade rätt att få följande information av den personuppgiftsansvarige: 
1) vilka personuppgifter som behandlas och all tillgänglig information om varifrån uppgifterna kommer, 
2) ändamålen med och den rättsliga grunden för behandlingen, 
3) de kategorier av personuppgifter som behandlingen gäller, 
4) de mottagare eller kategorier av mottagare till vilka den registrerades personuppgifter har lämnats ut, 
5) den period under vilken personuppgifterna kommer att bevaras eller, om den inte har fastställts, kriterierna för att fastställa denna period, 
6) uppgift om den registrerades rätt att av den personuppgiftsansvarige yrka att de personuppgifter som rör den registrerade rättas eller utplånas eller att behandlingen av dem begränsas, 
7) uppgift om den registrerades rätt att lämna in en i 56 § avsedd begäran om åtgärder till dataombudsmannen, samt dataombudsmannens kontaktuppgifter. 
Den som önskar kontrollera uppgifter om sig själv på det sätt som avses i 1 mom., kan begära detta hos den personuppgiftsansvarige genom en egenhändigt undertecknad handling eller på ett därmed jämförbart bestyrkt sätt eller begära detta personligen hos den personuppgiftsansvarige. 
24 § 
Inskränkningar i rätten till insyn 
Den registrerades rätt till insyn kan helt eller delvis skjutas upp, begränsas eller vägras till den del det är nödvändigt på de grunder som nämns i 28 §. Om den registrerades rätt till insyn skjuts upp, begränsas eller vägras, ska den personuppgiftsansvarige utan obefogat dröjsmål informera den registrerade om detta genom ett skriftligt intyg. Även grunderna för uppskovet, begränsningen eller vägran ska uppges, utom i det fall att lämnandet av denna information skulle äventyra syftet med vägran eller begränsningen. Om den personuppgiftsansvarige inte inom tre månader efter att begäran framställts har gett den registrerade ett skriftligt svar, betraktas detta som att insyn har vägrats. 
Den personuppgiftsansvarige ska informera den registrerade om dennes rätt att lämna in en begäran om åtgärder till dataombudsmannen på grund av att rätten till insyn skjutits upp, begränsats eller vägrats samt om dennes rätt att i enlighet med 29 § utöva rätten till insyn via dataombudsmannen. 
Den personuppgiftsansvarige ska bevara information om de grunder på vilka rätten till insyn vägrats eller begränsats. 
25 § 
Rättelse eller utplåning av personuppgifter eller begränsning av behandlingen 
Den personuppgiftsansvarige ska på eget initiativ eller på yrkande av den registrerade utan obefogat dröjsmål rätta eller komplettera sådana personuppgifter om den registrerade som är oriktiga eller bristfälliga med hänsyn till ändamålet med behandlingen. 
Den personuppgiftsansvarige ska på eget initiativ eller på yrkande av den registrerade utan obefogat dröjsmål utplåna personuppgifter om den registrerade, om behandlingen av dem står i strid med bestämmelserna i 4 eller 5 §, 6 § 1 eller 2 mom. eller 7 eller 11 §. I stället för utplåning ska den personuppgiftsansvarige dock begränsa behandlingen om 
1) den registrerade bestrider personuppgifternas korrekthet och det inte kan fastställas huruvida de är korrekta, eller 
2) personuppgifterna måste bevaras som bevisning. 
Om behandlingen har begränsats med stöd av 2 mom. 1 punkten, ska den personuppgiftsansvarige innan begränsningen av behandlingen upphävs informera den registrerade om detta. 
26 § 
Vägran att godkänna den registrerades yrkande 
Om inte den personuppgiftsansvarige godkänner den registrerades yrkande om rättelse, komplettering eller utplåning av personuppgifter eller begränsning av behandlingen av dem, ska den personuppgiftsansvarige genom ett skriftligt intyg informera den registrerade om vägran och grunderna för vägran. Den personuppgiftsansvarige får helt eller delvis låta bli att lämna den registrerade information om grunderna för vägran, om det är nödvändigt på de grunder som nämns i 28 §. 
Den personuppgiftsansvarige ska informera den registrerade om att denne har rätt att lämna in en begäran om åtgärder till dataombudsmannen på grund av vägran enligt 1 mom. samt om att den registrerade har rätt att i enlighet med 29 § utöva de rättigheter som avses i 25 § via dataombudsmannen. 
27 § 
Den personuppgiftsansvariges skyldighet att informera om rättelse, utplåning eller begränsning av behandlingen 
Den personuppgiftsansvarige ska anmäla varje rättelse av oriktiga personuppgifter till den myndighet från vilken de oriktiga personuppgifterna kommer. 
Om personuppgifter har rättats eller utplånats eller behandlingen av dem har begränsats med stöd av 25 §, ska den personuppgiftsansvarige informera de mottagare om saken till vilka den personuppgiftsansvarige har lämnat ut uppgifterna. Mottagarna ska rätta eller utplåna de personuppgifter de har eller begränsa behandlingen av dem. 
28 § 
Begränsning av de registrerades rättigheter 
De registrerades rättigheter får begränsas på det sätt som anges i 22 § 2 mom., 24 § 1 mom., 26 § 1 mom. och 35 §, om det med beaktande av den registrerades rättigheter är en proportionell och nödvändig åtgärd i syfte att 
1) undvika menlig inverkan på förebyggande, avslöjande, utredning av brott eller på åtgärder som avser åtal för brott eller på verkställighet av straffrättsliga påföljder, 
2) trygga andra undersökningar, utredningar eller motsvarande förfaranden hos myndigheter, 
3) skydda den allmänna säkerheten, 
4) skydda den nationella säkerheten, eller 
5) skydda andra personers rättigheter. 
29 § 
Utövande av rättigheter via dataombudsmannen 
Den registrerade har rätt att be dataombudsmannen kontrollera lagenligheten i personuppgifter och behandlingen av dem, om den registrerades rätt till insyn har skjutits upp, begränsats eller vägrats med stöd av denna eller någon annan lag eller om den personuppgiftsansvarige inte godkänner den registrerades yrkande om rättelse, komplettering eller utplåning av personuppgifterna eller begränsning av behandlingen av dem. 
Om den registrerade utövar sin rätt enligt 1 mom., ska dataombudsmannen inom en rimlig tid informera den registrerade om vilka åtgärder dataombudsmannen har vidtagit. Dataombudsmannen ska också informera den registrerade om dennes rätt att lämna in en i 56 § avsedd begäran om åtgärder till dataombudsmannen. 
30 § 
Främjande av de registrerades möjligheter att utöva sina rättigheter samt avgiftsfria åtgärder 
Den personuppgiftsansvarige ska främja de registrerades möjligheter att utöva de rättigheter som avses i detta kapitel. Alla meddelanden och all information om behandling av personuppgifter som lämnas till de registrerade ska tillhandahållas i en koncis, begriplig och lättillgänglig form och på ett klart och tydligt språk. 
Meddelanden och information som ska ges de registrerade enligt denna lag samt behandlingen av begäranden som de registrerade framställt i enlighet med denna lag är avgiftsfria för de registrerade. Om en registrerads begäranden på grund av att de upprepats eller av någon annan orsak är uppenbart orimliga eller ogrundade, får den personuppgiftsansvarige dock för åtgärden ta ut en avgift. Bestämmelser om grunderna för avgiftens belopp finns i lagen om grunderna för avgifter till staten (150/1992). 
Om den personuppgiftsansvarige tar ut en avgift med stöd av 2 mom., ska den personuppgiftsansvarige vid behov visa att begäran har varit uppenbart ogrundad eller orimlig. 
5 kap. 
Informationssäkerhet 
31 § 
Skydd av personuppgifter 
Den personuppgiftsansvarige och personuppgiftsbiträdet ska genom tekniska och organisatoriska åtgärder se till att personuppgifterna är tillräckligt skyddade med hänsyn till den risk för den registrerades rättigheter som behandlingen medför. Personuppgifterna ska särskilt skyddas för obehörig behandling och mot förlust, förstöring eller skada genom olyckshändelse. Åtgärderna ska planeras och genomföras med beaktande av 
1) den senaste tekniska utvecklingen, 
2) kostnaderna för att genomföra åtgärderna, 
3) behandlingens art, omfattning, sammanhang och ändamål, 
4) riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter. 
32 § 
Skydd av personuppgifter vid automatiserad behandling 
Utöver vad som föreskrivs i 31 § ska den personuppgiftsansvarige eller personuppgiftsbiträdet när det gäller automatiserad databehandling, efter en bedömning av riskerna, vidta åtgärder i syfte att 
1) vägra varje obehörig person åtkomst till den utrustning som används för behandling, 
2) förhindra obehörig läsning, kopiering, ändring och utplåning av datamedier, 
3) förhindra obehörig registrering av personuppgifter och obehörig kännedom om, ändring och utplåning av lagrade personuppgifter, 
4) förhindra att obehöriga kan använda automatiserade behandlingssystem med hjälp av utrustning för dataöverföring, 
5) säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till personuppgifter som omfattas av deras behörighet, 
6) säkerställa att det kan kontrolleras och fastställas till vilka organ personuppgifter har överförts eller kan överföras och för vilka organ uppgifterna har gjorts tillgängliga eller kan göras tillgängliga med hjälp av utrustning för dataöverföring, 
7) säkerställa att det är möjligt att i efterhand kontrollera och fastställa vilka personuppgifter som förts in i ett automatiserat behandlingssystem, samt när och av vem personuppgifterna infördes, 
8) förhindra obehörig läsning, kopiering, ändring och utplåning av personuppgifter i samband med överföring av sådana uppgifter eller under transport av datamedier, 
9) säkerställa att de system som används kan återställas vid störningar, 
10) säkerställa att systemet fungerar, funktionsfel rapporteras och de lagrade personuppgifterna inte kan förvanskas genom funktionsfel i systemet. 
33 § 
Personuppgiftsbiträdets skyldighet att informera om en personuppgiftsincident 
Personuppgiftsbiträdet ska efter att ha fått kännedom om en personuppgiftsincident utan obefogat dröjsmål informera den personuppgiftsansvarige om incidenten. 
34 § 
Den personuppgiftsansvariges skyldighet att anmäla en personuppgiftsincident till dataombudsmannen 
Den personuppgiftsansvarige ska anmäla en personuppgiftsincident till dataombudsmannen, utom när det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för den registrerades rättigheter. 
Den personuppgiftsansvarige ska göra anmälan enligt 1 mom. utan obefogat dröjsmål och om möjligt inom 72 timmar efter att ha fått kännedom om incidenten. Om anmälan till dataombudsmannen görs senare än så, ska skälen till fördröjningen nämnas i anmälan. 
Den personuppgiftsansvarige ska bevara uppgifter om personuppgiftsincidenter och omständigheter i samband med dem, deras effekter och de korrigerande åtgärder som vidtagits. 
35 § 
Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident 
Den personuppgiftsansvarige ska utan obefogat dröjsmål informera den registrerade om en personuppgiftsincident, om personuppgiftsincidenten sannolikt kommer att medföra en betydande risk för den registrerades rättigheter. Informationsskyldighet föreligger dock inte, om 
1) den personuppgiftsansvarige på de personuppgifter som påverkades av personuppgiftsincidenten har tillämpat lämpliga tekniska och organisatoriska skyddsåtgärder som effektivt förhindrar missbruk av uppgifterna, eller 
2) den personuppgiftsansvarige efter incidenten har vidtagit åtgärder för att säkerställa att incidenten sannolikt inte kommer att medföra en risk för den registrerades rättigheter. 
Den personuppgiftsansvarige kan i stället för att lämna information till den registrerade upplysa om personuppgiftsincidenten genom information till allmänheten, om det skulle kräva orimliga ansträngningar att informera de registrerade. 
Informationen till den registrerade kan skjutas upp, begränsas eller utelämnas, om de förutsättningar som anges i 28 § uppfylls. 
36 § 
Den personuppgiftsansvariges skyldighet att informera andra personuppgiftsansvariga om en personuppgiftsincident 
Den personuppgiftsansvarige ska utan obefogat dröjsmål lämna en anmälan om en personuppgiftsincident till personuppgiftsansvariga i Finland eller i andra EU-medlemsstater, om incidenten gäller personuppgifter som har överförts av eller till de personuppgiftsansvariga i fråga. 
37 § 
Innehållet i anmälan om en personuppgiftsincident 
En anmälan enligt 34 § till dataombudsmannen och en anmälan enligt 36 § till personuppgiftsansvariga i Finland eller i andra EU-medlemsstater ska innehålla en beskrivning av personuppgiftsincidenten. Beskrivningen ska om möjligt inbegripa de kategorier av registrerade och det ungefärliga antal registrerade som berörs samt de kategorier av personuppgifter och det ungefärliga antal personuppgiftsposter som berörs. 
Den information enligt 35 § som lämnas till den registrerade ska innehålla en beskrivning av personuppgiftsincidentens art. 
Av de anmälningar och den information som avses i 1 och 2 mom. ska ytterligare framgå 
1) namnet på och kontaktuppgifterna för dataskyddsombudet eller en annan kontaktpunkt där mer information kan erhållas, 
2) de sannolika konsekvenserna av personuppgiftsincidenten, 
3) de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten och vid behov åtgärder för att mildra dess negativa effekter. 
Den information som lämnas till dataombudsmannen och till personuppgiftsansvariga i Finland eller i andra EU-medlemsstater får tillhandahållas i omgångar till den del det inte är möjligt att tillhandahålla informationen samtidigt. 
6 kap. 
Dataskyddsombud 
38 § 
Utnämning av dataskyddsombud 
Den personuppgiftsansvarige ska utnämna ett dataskyddsombud. Dataskyddsombudet ska ha tillräcklig sakkunskap om lagstiftning och praxis i fråga om behandling av personuppgifter samt förmåga att sköta de uppgifter som avses i 40 §. Ett enda dataskyddsombud får utnämnas för flera behöriga myndigheter, om det är motiverat med hänsyn till myndigheternas organisationsstruktur och storlek. 
Den personuppgiftsansvarige ska meddela dataombudsmannen dataskyddsombudets kontaktuppgifter. 
39 § 
Dataskyddsombudets ställning 
Den personuppgiftsansvarige ska på ett korrekt sätt och i god tid se till att dataskyddsombudet deltar i alla frågor som rör skyddet av personuppgifter. 
Den personuppgiftsansvarige ska ge dataskyddsombudet verksamhetsförutsättningar att sköta de uppgifter som denne ansvarar för enligt 40 § samt ge tillgång till personuppgifter och behandlingsförfaranden. 
40 § 
Dataskyddsombudets uppgifter 
Dataskyddsombudet ska 
1) ge råd i frågor som gäller skydd av personuppgifter till den personuppgiftsansvarige och den personal hos den personuppgiftsansvarige som behandlar personuppgifter, 
2) övervaka att de bestämmelser som gäller behandling av personuppgifter och den personuppgiftsansvariges förfaranden för behandling av personuppgifter iakttas, 
3) på begäran ge råd om konsekvensbedömningen avseende dataskydd och övervaka att den genomförs i enlighet med 20 §, 
4) samarbeta med dataombudsmannen och vara kontaktpunkt för dataombudsmannen i frågor som gäller behandling av personuppgifter. 
Dataskyddsombudets uppgifter omfattar inte rättskipningsverksamhet i domstolarna eller laglighetskontroll som utförs av justitiekanslern i statsrådet och riksdagens justitieombudsman. 
7 kap. 
Överföringar av personuppgifter till tredjeländer och internationella organisationer 
41 § 
Allmänna principer för överföring av personuppgifter 
En behörig myndighet får överföra personuppgifter till ett tredjeland eller en internationell organisation endast om de övriga bestämmelser som är tillämpliga på behandling av personuppgifter enligt denna lag iakttas och 
1) överföringen behövs för ett ändamål som nämns i 1 § 1 mom., 
2) personuppgifterna överförs till en personuppgiftsansvarig i ett tredjeland eller en internationell organisation som är behörig att behandla personuppgifter för ett ändamål som nämns i 1 § 1 mom., och 
3) det finns ett i artikel 36 i dataskyddsdirektivet avsett giltigt beslut av Europeiska kommissionen (kommissionen) om adekvat skyddsnivå eller, om inget sådant beslut har antagits, lämpliga skyddsåtgärder föreligger i enlighet med 42 § i denna lag eller undantag för särskilda situationer blir tillämpliga i enlighet med 43 §. 
Om personuppgifterna har erhållits från en annan EU-medlemsstat, är en ytterligare förutsättning för överföring att medlemsstaten i fråga har gett tillstånd till överföringen. Överföringar som görs utan ett sådant tillstånd är tillåtna endast om överföringen är nödvändig för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en stat eller mot en EU-medlemsstats väsentliga intressen och tillstånd inte kan erhållas i tid. Den myndighet som har ansvar för att ge förhandstillstånd ska informeras om överföringen utan dröjsmål. 
Om personuppgifterna överförs vidare till ett annat tredjeland eller en annan internationell organisation, får den behöriga myndighet som gjorde den ursprungliga överföringen godkänna vidareöverföringen med iakttagande av bestämmelserna i 1 och 2 mom. och med vederbörligt beaktande av brottets allvar, det ändamål för vilket personuppgifterna ursprungligen överfördes och nivån på skyddet av personuppgifter i det tredjeland till vilket eller den internationella organisation till vilken personuppgifterna förs vidare, samt andra relevanta omständigheter. 
42 § 
Överföring på basis av lämpliga skyddsåtgärder 
Om kommissionen inte har antagit ett beslut som avses i 41 § 1 mom. 3 punkten, får personuppgifter överföras till ett tredjeland eller en internationell organisation, om de övriga förutsättningar som anges i 41 § uppfylls, och 
1) lämpliga skyddsåtgärder för personuppgifter har fastställts i en rättsligt bindande handling, eller 
2) den personuppgiftsansvarige efter att ha bedömt alla omständigheter kring en överföring av personuppgifter drar slutsatsen att lämpliga skyddsåtgärder för personuppgifterna föreligger. 
Den personuppgiftsansvarige ska informera dataombudsmannen om de kategorier av överföringar som gjorts enligt 1 mom. 2 punkten. I fråga om överföringarna ska följande uppgifter bevaras och på begäran göras tillgängliga för dataombudsmannen: 
1) datum och tidpunkt för överföringarna, 
2) den mottagande behöriga myndigheten, 
3) grunderna för överföringarna, och 
4) de personuppgifter som har överförts. 
43 § 
Undantag i särskilda situationer 
Om kommissionen inte har antagit ett beslut som avses i 41 § 1 mom. 3 punkten och de förutsättningar för uppgiftsöverföring som anges i 42 § inte uppfylls, får personuppgifter överföras till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig 
1) för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person, 
2) för att skydda intressen som är berättigade och av stor betydelse för den registrerade, 
3) för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en EU-medlemsstat eller ett tredjeland, eller 
4) i enskilda fall för de ändamål som nämns i 1 § 1 mom. eller för att fastställa, göra gällande eller försvara rättsliga anspråk som hänför sig till dem. 
Personuppgifter får dock inte överföras med stöd av 1 mom. 4 punkten, om den berörda registrerades rättigheter ska anses väga tyngre än det allmännas intresse av en sådan överföring. 
I fråga om överföringar som baserar sig på 1 mom. ska följande uppgifter bevaras och på begäran göras tillgängliga för dataombudsmannen: 
1) datum och tidpunkt för överföringen, 
2) den mottagande behöriga myndigheten, 
3) grunderna för överföringen, och 
4) de personuppgifter som har överförts. 
44 § 
Överföring av personuppgifter till enskilda mottagare och andra mottagare i tredjeländer 
Trots vad som föreskrivs i 41 § 1 mom. 2 punkten får en behörig myndighet i ett enskilt fall överföra personuppgifter direkt till enskilda mottagare och andra mottagare som är etablerade i tredjeländer, om de övriga bestämmelserna i denna lag iakttas och 
1) överföringen är nödvändig för att en överförande behörig myndighet ska kunna utföra en uppgift enligt 1 § 1 mom. som den har ansvar för, 
2) den behöriga myndighet som överför uppgifterna anser att den berörda registrerades rättigheter inte väger tyngre än det allmänna intresse som gör överföringen behövlig i det aktuella fallet, 
3) den behöriga myndighet som överför uppgifterna, på grund av ärendets brådskande natur eller av någon annan orsak, anser att en överföring till en behörig myndighet i tredjelandet skulle vara ineffektiv eller olämplig, 
4) den myndighet i tredjelandet som är behörig för de ändamål som avses i 1 § 1 mom. utan obefogat dröjsmål informeras om överföringen, om inte detta skulle vara ineffektivt eller olämpligt, 
5) den behöriga myndighet som överför uppgifterna informerar mottagaren om det eller de specifika ändamål för vilket eller vilka personuppgifterna får behandlas, att behandlingen ska vara nödvändig för dessa ändamål och att uppgifterna inte får behandlas för andra ändamål, och 
6) överföringen inte strider mot Finlands internationella avtalsförpliktelser. 
Den behöriga myndighet som överför uppgifterna ska bevara information om varje överföring som utförs med stöd av 1 mom. och informera dataombudsmannen om överföringen. 
8 kap. 
Tillsynsmyndighet 
45 § 
Dataombudsmannen 
Tillsyn över efterlevnaden av denna lag utövas av dataombudsmannen enligt 8 § i dataskyddslagen ( / ). 
Bestämmelserna om tillsyn i denna lag tillämpas inte på domstolarna, justitiekanslern i statsrådet och riksdagens justitieombudsman 
Dataombudsmannen är självständig och oberoende vid skötseln av sina uppgifter enligt denna lag. 
46 § 
Uppgifter 
Dataombudsmannen ska, utöver att utöva tillsyn över efterlevnaden av denna lag 
1) öka allmänhetens medvetenhet om risker, lagstiftning, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter, 
2) öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om deras skyldigheter enligt denna lag, 
3) på begäran tillhandahålla information till registrerade om hur de ska utöva de rättigheter de har enligt denna lag, 
4) ge rådgivning vid förhandssamråd enligt 21 §, 
5) göra utredningar om efterlevnaden av denna lag, 
6) kontrollera lagenligheten i behandlingen i enlighet med 29 §, 
7) behandla begäranden om åtgärder från registrerade eller från samfund som avses i 56 §, 
8) följa sådan teknisk och annan utveckling som påverkar skyddet av personuppgifter. 
Dataombudsmannen ska dessutom bidra till verksamheten i den dataskyddsstyrelse som avses i artikel 68 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Dataombudsmannen ska dock inte föra sådana ärenden till dataskyddsstyrelsen som gäller behandling av personuppgifter i samband med verksamhet som avses i 1 § 2 mom. 
Dataombudsmannens åtgärder är avgiftsfria för registrerade och för dataskyddsombud. Om en registrerads eller ett dataskyddsombuds begäranden dock på grund av att de upprepas eller av någon annan orsak är uppenbart orimliga eller ogrundade, kan dataombudsmannen ta ut avgift för åtgärderna eller lämna det ärende som begäran gäller utan prövning. Bestämmelser om grunderna för avgiftens belopp finns i lagen om grunderna för avgifter till staten. 
Om dataombudsmannen på det sätt som avses i 3 mom. tar ut en avgift eller lämnar ärendet utan prövning, ska dataombudsmannen vid behov visa att begäran är uppenbart ogrundad eller orimlig. 
47 § 
Rätt att få information 
Dataombudsmannen har trots sekretessbestämmelserna rätt att avgiftsfritt få en i 22 § avsedd beskrivning över behandlingsåtgärderna, de i 19 § avsedda logguppgifterna samt övriga uppgifter som behövs för att dataombudsmannen ska kunna sköta sina uppgifter. 
Dataombudsmannen har rätt att av personuppgiftsansvariga och personuppgiftsbiträden få upplysningar om omständigheter som dataombudsmannen behöver för att kunna sköta sina uppgifter. 
48 § 
Rätt att utföra inspektioner 
Dataombudsmannen får utföra inspektioner i en personuppgiftsansvarigs eller ett personuppgiftsbiträdes utrymmen, om en inspektion behövs för tillsynen över efterlevnaden av denna lag. 
I utrymmen som används för boende av permanent natur får inspektion utföras endast om det är nödvändigt för att utreda de omständigheter som är föremål för inspektion och det i det aktuella fallet finns motiverade och specificerade skäl att misstänka att det har skett eller kommer att ske en sådan överträdelse av bestämmelserna om behandling av personuppgifter att påföljden kan vara ett fängelsestraff enligt strafflagen (39/1889). 
På inspektionerna tillämpas 39 § i förvaltningslagen (434/2003). 
49 § 
Handräckning 
Dataombudsmannen har rätt att på begäran få handräckning av polisen för att utföra sina uppgifter. 
50 § 
Anlitande av sakkunniga 
Dataombudsmannen får höra utomstående sakkunniga och begära utlåtanden från dem. 
Dataombudsmannen får vid inspektioner som avses i 48 § anlita biträde av utomstående sakkunniga. Dataombudsmannen kan till sakkunnig utse en person som givit sitt samtycke till uppdraget och som innehar avsevärd sakkunskap med tanke på skötseln av dataombudsmannens uppgifter. 
På en sakkunnig tillämpas bestämmelserna om straffrättsligt tjänsteansvar när han eller hon sköter uppgifter som avses i denna lag. Bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974). 
51 § 
Åtgärder 
Dataombudsmannen kan i ärenden som omfattas av tillämpningsområdet för denna lag 
1) ge den personuppgiftsansvarige handledning vid det förfarande för förhandssamråd som avses i 21 §, 
2) informera den personuppgiftsansvarige eller personuppgiftsbiträdet om påstådda överträdelser av bestämmelserna i denna lag, 
3) utfärda varningar till den personuppgiftsansvarige eller personuppgiftsbiträdet om att planerade behandlingar kan stå i strid med denna lag, 
4) ge den personuppgiftsansvarige eller personuppgiftsbiträdet en anmärkning, om denne behandlat personuppgifter i strid med lag, 
5) ålägga den personuppgiftsansvarige eller personuppgiftsbiträdet att iaktta den registrerades begäranden om utövande av den registrerades rättigheter enligt denna lag, 
6) ålägga den personuppgiftsansvarige att informera den registrerade om en personuppgiftsincident, 
7) meddela ett tillfälligt eller bestående förbud eller ställa upp någon annan tillfällig eller bestående begränsning av behandlingen, 
8) bestämma att överföring av uppgifter ska avbrytas till mottagare i tredjeländer eller internationella organisationer, 
9) bestämma om rättelse och utplåning av personuppgifter och om begränsning av behandlingen samt andra åtgärder i samband med dem på basis av 25 §, 
10) ålägga den personuppgiftsansvarige eller personuppgiftsbiträdet att se till att uppgiftsbehandlingen är förenlig med bestämmelserna i denna lag, vid behov på ett bestämt sätt och inom en rimlig tid. 
52 § 
Vite 
Dataombudsmannen får förena ett i 51 § 5—10 punkten avsett beslut samt ett sådant föreläggande att lämna ut uppgifter som grundar sig på 47 § med vite. Bestämmelser om föreläggande och utdömande av vite finns i viteslagen (1113/1990). 
Ett i 1 mom. avsett föreläggande att lämna ut uppgifter får inte förenas med ett vitesföreläggande riktat till en fysisk person, om det finns anledning att misstänka personen för brott och uppgifterna gäller en omständighet som har samband med brottsmisstanken. 
53 § 
Hörande av dataombudsmannen 
Dataombudsmannen kan på eget initiativ eller på begäran yttra sig i frågor som hänför sig till sådan behandling av personuppgifter som avses i 1 §. 
Dataombudsmannen ska ges tillfälle att bli hörd vid beredningen av lagstiftnings- eller förvaltningsreformer som gäller sådan behandling av personuppgifter som avses i 1 §. 
54 § 
Ömsesidigt bistånd 
Dataombudsmannen ska trots sekretessbestämmelserna avgiftsfritt ge motsvarande tillsynsmyndighet i en annan EU-medlemsstat de personuppgifter som myndigheten nödvändigt behöver i sitt tillsynsuppdrag samt andra behövliga uppgifter, och vid behov även annars bistå myndigheten vid utövandet av tillsynen. Dataombudsmannen ska vidta också andra behövliga åtgärder för att säkerställa ett effektivt samarbete. 
Dataombudsmannen ska besvara en begäran från en tillsynsmyndighet som avses i 1 mom. utan obefogat dröjsmål och inte senare än en månad efter det att dataombudsmannen tagit emot begäran. 
9 kap. 
Rättsskydd 
55 § 
Rapportering av överträdelser 
Den behöriga myndigheten ska ha förfaranden som gör det möjligt att konfidentiellt till myndigheten rapportera en misstänkt överträdelse av bestämmelserna i denna lag. Rapporteringsförfarandet ska omfatta lämpliga och tillräckliga åtgärder för att ordna en korrekt behandling av rapporterna. Rapporteringsförfarandet ska dessutom omfatta anvisningar som tryggar skyddet för rapportörens identitet. 
Den behöriga myndigheten ska bevara behövlig information om sådana rapporter som avses i 1 mom. Informationen ska avföras fem år efter rapporteringen, om inte informationen fortsättningsvis behövs för en brottsutredning, en pågående rättegång eller en myndighetsundersökning eller för att trygga de rättigheter som rapportören eller den som är föremål för rapporten har. Senast tre år efter den föregående kontrollen ska behovet av fortsatt bevarande undersökas. En anteckning ska göras om kontrollen. 
När en fysisk person till den behöriga myndigheten har lämnat en rapport som avses i 1 mom., ska rapportörens identitet hållas hemlig, om det utifrån omständigheterna kan bedömas vara till nackdel för rapportören att hans eller hennes identitet röjs. 
56 § 
Rätt att föra ärenden till dataombudsmannen 
En registrerad har rätt att föra ett ärende till dataombudsmannen för behandling (begäran om åtgärder), om den registrerade anser att någon vid behandlingen av hans eller hennes personuppgifter bryter mot denna lag eller någon annan lag som gäller behandling av personuppgifter. Med den registrerades samtycke får ärendet föras till dataombudsmannen också av ett allmännyttigt samfund som främjar skyddet av personuppgifter. 
57 § 
Behandlingen av en begäran om åtgärder 
Dataombudsmannen kan avbryta behandlingen av ett ärende, om ett ärende som har samband med det är anhängigt i domstol. Dataombudsmannen ska inom rimlig tid informera den som inlett ärendet om hur behandlingen fortskrider, om behandlingen av ärendet fördröjs på grund av att en ytterligare utredning behövs eller av något annat skäl. 
Om dataombudsmannen i ett ärende som inletts hos dataombudsmannen anser att det behöver utredas om ett i 41 § 1 mom. 3 punkten avsett beslut av kommissionen om adekvat skyddsnivå är förenligt med dataskyddsdirektivet, får dataombudsmannen genom en ansökan föra ärendet till Helsingfors förvaltningsdomstol för avgörande. 
58 § (Ny) 
Beslut av kommissionen 
Om dataombudsmannen i ett ärende som inletts hos dataombudsmannen anser att det behöver utredas om ett i 41 § 1 mom. 3 punkten avsett beslut av kommissionen om adekvat skyddsnivå är förenligt med dataskyddsdirektivet, får dataombudsmannen genom en ansökan föra ett ärende som gäller begäran om förhandsavgörande till Helsingfors förvaltningsdomstol för avgörande.  
I förvaltningsdomstolens beslut får ändring sökas genom besvär endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. 
59 § 
Ändringssökande 
Dataombudsmannens beslut får överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996). 
Över förvaltningsdomstolens beslut får besvär anföras endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Även dataombudsmannen får söka ändring i förvaltningsdomstolens beslut. 
I dataombudsmannens beslut får det bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat. 
10 kap. 
Särskilda bestämmelser 
60 § 
Skadestånd 
Den personuppgiftsansvarige är skyldig att ersätta den registrerade eller någon annan person för ekonomisk skada och annan skada som denne har tillfogats av att personuppgifter har behandlats i strid med denna lag. 
Bestämmelser i övrigt om rätten till skadestånd finns i skadeståndslagen. 
61 § 
Straffbestämmelser 
Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen. Bestämmelser om straff för kränkning av kommunikationshemlighet finns i 3 § och för grov kränkning av kommunikationshemlighet i 4 § det kapitlet samt bestämmelser om straff för dataintrång i 8 § och för grovt dataintrång i 8 a § i det kapitlet. Till straff för brott mot sekretessen enligt 55 § 3 mom. och tystnadsplikten enligt 62 § i denna lag döms enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § i den lagen eller om inte strängare straff för den föreskrivs någon annanstans i lag. 
62 § 
Tystnadsplikt 
Bestämmelser om tystnadsplikt och förbud mot utnyttjande av uppgifter finns i 23 § i lagen om offentlighet i myndigheternas verksamhet (621/1999). 
11 kap. 
Ikraftträdande och övergångsbestämmelser 
63 § 
Ikraftträdande 
Denna lag träder i kraft den 20 . 
64 § 
Övergångsbestämmelser 
Automatiserade behandlingssystem som har inrättats före den 6 maj 2016 ska bringas i överensstämmelse med 19 § senast den 6 maj 2023. 
2. 
Lag 
om ändring av 1 och 6 § i straffregisterlagen 
I enlighet med riksdagens beslut 
ändras i straffregisterlagen (770/1993) 1 § 1 mom. och 6 § 8 mom., sådana de lyder, 1 § 1 mom. i lag 1093/1999 och 6 § 8 mom. i lag 215/2012, och 
fogas till lagen en ny 11 a § som följer: 
1 § 
Personuppgiftsansvarig i fråga om straffregistret är Rättsregistercentralen. 
6 § 
Den som har rätt att teckna en juridisk persons namn har rätt att på begäran få ett i 5 § 1 mom. avsett straffregisterutdrag som gäller den juridiska personen. 
11 a § (Ny) 
Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen (39/1889). 
Denna lag träder i kraft den 20 . 
3. 
Lag 
om ändring av lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen 
I enlighet med riksdagens beslut 
ändras i lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen (214/2012) 4 § 3 mom. samt 8 och 13 §, och 
fogas till 4 § ett nytt 4 mom. som följer: 
4 § 
Förhållande till andra lagar och internationella förpliktelser 
Om inte något annat föreskrivs i denna lag eller i någon annan lag tillämpas lagen om offentlighet i myndigheternas verksamhet (621/1999) på sekretess för samt utlämnande och skydd av personuppgifter samt lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ) på annan behandling av personuppgifter. 
Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen (39/1889). (Nytt 4 mom.) 
8 § 
Lagringsregistrets syfte 
Personuppgiftsansvarig i fråga om lagringsregistret är Rättsregistercentralen. Lagringsregistret förs i syfte att lagra uppgifter så att de kan vidarebefordras till andra medlemsstater och finska myndigheter samt antecknas i straffregisterutdrag enligt vad som föreskrivs i denna lag. 
13 § 
Rätt till insyn 
I fråga om vars och ens rätt att kontrollera sina egna registeruppgifter föreskrivs särskilt. 
Denna lag träder i kraft den 20 . 
4. 
Lag 
om ändring av lagen om justitieförvaltningens riksomfattande informationssystem 
I enlighet med riksdagens beslut 
upphävs i lagen om justitieförvaltningens riksomfattande informationssystem (372/2010) 18 § 2 mom., och 
ändras 2 § 1 mom., den svenska språkdräkten i 7 § 1 mom. och i 7 § 3 mom. 3 punkten samt 10 § 2 mom. och 19 §, och 
fogas till lagen en ny 19 a § som följer: 
2 § 
Förhållande till annan lagstiftning 
Utöver vad som föreskrivs i denna lag finns det bestämmelser om utlämnande av uppgifter ur justitieförvaltningens riksomfattande informationssystem och om de i systemet införda uppgifternas offentlighet i lagen om offentlighet i myndigheternas verksamhet (621/1999) samt bestämmelser om behandling av personuppgifter i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, i dataskyddslagen ( / ) och i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ). 
7 § 
Åtaganden i samband med förvaltningen och utvecklingen av informationssystemet 
Rättsregistercentralen är personuppgiftsansvarig i fråga om justitieförvaltningens riksomfattande informationssystem. 
De myndigheter som fört in uppgifter i justitieförvaltningens riksomfattande informationssystem är skyldiga att se till att 
3) anteckningarna har gjorts i enlighet med de tekniska krav som den personuppgiftsansvarige ställt 
10 § 
Personuppgifter som ska registreras i informationssystemet 
I registret över avgöranden och meddelanden om avgöranden får det i fråga om fysiska personer som har del i saken endast antecknas sådana i artikel 9 i dataskyddsförordningen och i 11 § i lagen om behandling av personuppgifter i brottmål eller vid upprätthållandet av den nationella säkerheten avsedda personuppgifter som tillhör särskilda kategorier av personuppgifter och som ska registreras i domstolars diarie- eller andra dokumentregister eller som framgår av en justitieförvaltningsmyndighets avgörande och behövs för verkställighet av en dom, för registrering i myndighetsregister eller för fullgörande av andra uppgifter som enligt lag ska skötas av justitieförvaltningsmyndigheter.. 
19 § 
Rätt till insyn och rättelse av uppgifter 
I fråga om den registrerades rätt till insyn och rätt att få sina uppgifter rättade eller kompletterade föreskrivs särskilt. 
19 a § (Ny) 
Straffbestämmelser 
Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen (39/1889). 
Denna lag träder i kraft den 20 . 
5. 
Lag 
om ändring av lagen om verkställighet av böter 
I enlighet med riksdagens beslut 
upphävs i lagen om verkställighet av böter (672/2002) 49 §, och 
ändras 46 och 48 § samt den svenska språkdräkten i 50 § 1 mom., och  
fogas till lagen en ny 53 a § som följer: 
46 § 
Ändamålet med bötesregistret och behandlingen av registeruppgifterna 
Rättsregistercentralen (den personuppgiftsansvarige) förvaltar ett bötesregister som förs och används för verkställighet av ärenden som ska verkställas på det sätt som föreskrivs i denna lag. 
Rätt att behandla uppgifter i bötesregistret har Rättsregistercentralens tjänstemän till den del det behövs för skötseln av tjänsteåliggandena. 
Utöver vad som föreskrivs i denna lag eller i någon annan lag finns det bestämmelser om rätten att ta del av myndigheternas offentliga handlingar, om tystnadsplikt för myndigheter och om handlingssekretess, samt om andra för skyddande av allmänna och enskilda intressen nödvändiga begränsningar av rätten att få uppgifter, i lagen om offentlighet i myndigheternas verksamhet (621/1999) samt bestämmelser om annan behandling av personuppgifter i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i dataskyddslagen ( / ) och i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ). 
48 § 
Den personuppgiftsansvariges rätt att få uppgifter 
Den personuppgiftsansvarige har för förvaltningen av bötesregistret och skötseln av lagenliga verkställighetsuppdrag rätt att ur befolkningsdatasystemet få uppgifter som gäller en fysisk persons namn, personbeteckning, adress och död samt andra motsvarande uppgifter som behövs för verkställigheten och har samband med att personen i fråga ska kunna påträffas, samt motsvarande uppgifter om juridiska personer av de behöriga registermyndigheterna. 
50 § 
Hemlighållande och utlämnande av uppgifter som ingår i bötesregistret 
Uppgifterna i bötesregistret om brott och straffrättsliga påföljder ska hållas hemliga. Vid behandlingen av nämnda uppgifter ska den personuppgiftsansvarige iaktta särskild omsorg samt säkerställa en tillräcklig teknisk och organisatorisk skyddsnivå för registret. 
53 a § (Ny) 
Straffbestämmelser 
Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen (39/1889). 
Denna lag träder i kraft den 20 . 
6. 
Lag 
om ändring av lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten 
I enlighet med riksdagens beslut 
ändras i lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten (1069/2015) 1 § 1 mom., den svenska språkdräkten i 11 §, i 24 § 2 mom. och i 28 § 3 mom., 30 och 31 §, den svenska språkdräkten i 32 §, 33 § 1 mom., den svenska språkdräkten i 34 § 3 mom. samt 37 § 2 mom., av dem 31 § sådan den lyder delvis ändrad i lag 17/2016, som följer: 
1 § 
Lagens tillämpningsområde 
Denna lag innehåller bestämmelser om förande av sådana personregister som behövs för skötseln av verkställighet av straff och andra uppdrag som hör till Brottspåföljdsmyndigheten samt om annan behandling av personuppgifter. Om inte något annat föreskrivs i denna lag, tillämpas på sekretess för och utlämnande av personuppgifter lagen om offentlighet i myndigheternas verksamhet (621/1999) och på annan behandling av personuppgifter Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, samt dataskyddslagen ( / ) och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ). 
11 § 
Ansvar för uppgifternas riktighet 
Den personuppgiftsansvarige och den enhet vid Brottspåföljdsmyndigheten som har fört in en uppgift i registret svarar för att den registrerade uppgiften är riktig. 
24 § 
Förfarandet för utlämnande av uppgifter i fall som avses i 14—23 § 
Beslut om utlämnande av uppgifter enligt 14—23 § fattas av den personuppgiftsansvarige eller en av denne utsedd tjänsteman vid Brottspåföljdsmyndigheten. 
28 § 
Rätt att få uppgifter av andra myndigheter och uppgiftsskyldiga 
De uppgifter som avses i 1 och 2 mom. kan lämnas genom teknisk anslutning så som särskilt avtalas med den personuppgiftsansvarige. 
30 § 
Information om behandling av uppgifter 
Den personuppgiftsansvarige ska i enlighet med vad som föreskrivs i dataskyddsförordningen och dataskyddslagen informera den registrerade om behandling av uppgifter. Undantag från informationsplikten får dock göras om det är nödvändigt för ordningen och säkerheten i en enhet vid Brottspåföljdsmyndigheten. 
31 § 
Inskränkningar i rätten till insyn 
Utöver vad som föreskrivs i dataskyddsförordningen, dataskyddslagen eller lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten får den registrerades rätt till insyn begränsas, om utövande av rätten till insyn på sannolika grunder kan leda till ett allvarligt hot mot ordningen och säkerheten i en enhet vid Brottspåföljdsmyndigheten eller mot säkerheten för en anställd vid Brottspåföljdsmyndigheten eller för någon annan. Den registrerade har inte rätt till insyn i uppgifter i säkerhetsregistret eller i de uppgifter om målsägande enligt 7 § 1 mom. 10 punkten i denna lag som ingår i övervaknings- och verksamhetsregistret. 
32 § 
Utövande av rätten till insyn 
Den registrerade ska personligen kontrollera sina uppgifter vid den enhet vid Brottspåföljdsmyndigheten som den personuppgiftsansvarige anvisar. När begäran om insyn framställs ska den registrerade styrka sin identitet. Den ovan avsedda enheten vid Brottspåföljdsmyndigheten ger den registrerade tillfälle att så som den personuppgiftsansvarige bestämmer kontrollera de uppgifter som han eller hon har rätt till insyn i. 
33 § 
Bevaring av uppgifter som konstaterats vara oriktiga 
Oberoende av vad som i dataskyddsförordningen, dataskyddslagen eller lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten föreskrivs om rättelse av oriktiga uppgifter i ett register får en oriktig uppgift bevaras i samband med den rättade uppgiften, om det behövs för att trygga rättigheterna för den registrerade, någon annan part eller en anställd vid Brottspåföljdsmyndigheten. En sådan uppgift får användas endast i det syfte som här avses. 
34 § 
Granskning av uppgifter och gallring av uppgifter ur register 
Den personuppgiftsansvarige eller den enhet vid Brottspåföljdsmyndigheten som den personuppgiftsansvarige bestämt ska en gång per år granska om det finns behov av att bevara de uppgifter som lagrats och som ingår i säkerhetsregistret. Behovet av att bevara uppgifterna i besökarregistret ska granskas vartannat år. Behovet av att bevara uppgifterna i verkställighetsregistret, samhällspåföljdsregistret samt övervaknings- och verksamhetsregistret ska granskas vart tredje år. 
37 § 
Straffbestämmelser 
Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen och bestämmelser om straff för dataintrång i 8 § och grovt dataintrång i 8 a § i det kapitlet. 
Denna lag träder i kraft den 20 . 
Helsingfors 25.10.2018 
I den avgörande behandlingen deltog
ordförande
Juho
Eerola
saf
vice ordförande
Timo V.
Korhonen
cent
medlem
Anders
Adlercreutz
sv
medlem
Pertti
Hakanen
cent
medlem
Mika
Kari
sd
medlem
Kari
Kulmala
blå
medlem
Antti
Kurvinen
cent
medlem
Sirpa
Paatero
sd
medlem
Olli-Poika
Parviainen
gröna
medlem
Veera
Ruoho
saml
medlem
Joona
Räsänen
sd
medlem
Matti
Semi
vänst
medlem
Mari-Leena
Talvitie
saml.
Sekreterare var
utskottsråd
Minna-Liisa
Rinne.
Senast publicerat 31.10.2018 13:24