Betänkande
FvUB
39
2018 rd
Förvaltningsutskottet
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i polisens verksamhet och till vissa lagar som har samband med den
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i polisens verksamhet och till vissa lagar som har samband med den (RP 242/2018 rd): Ärendet har remitterats till förvaltningsutskottet för betänkande och till grundlagsutskottet för utlåtande. 
Utlåtande
Utlåtande har lämnats av 
grundlagsutskottet
GrUU 51/2018 rd
Sakkunniga
Utskottet har hört 
specialsakkunnig
Suvi
Pato-Oja
inrikesministeriet
konsultativ tjänsteman
Heli
Heikkola
inrikesministeriet
lagstiftningsråd
Anne
Ihanus
inrikesministeriet
expert
Anu
Polojärvi
inrikesministeriet
riksdagens biträdande generalsekreterare
Timo
Tuovinen
Riksdagens kansli
referendarieråd
Mikko
Eteläpää
Riksdagens justitieombudsmans kansli
lagstiftningsråd
Niklas
Vainio
justitieministeriet
specialsakkunnig
Jaana
Vehmaskoski
finansministeriet
dataombudsman
Reijo
Aarnio
dataombudsmannens byrå
kriminalöverinspektör
Juha
Laaksonen
Helsingfors polisinrättning
kriminalinspektör
Markus
Terenius
centralkriminalpolisen
chef för it-förvaltningen
Jari
Råman
Polisstyrelsen
biträdande chef
Harri
Sarvanto
skyddspolisen
överinspektör
Antti
Wahlroos
skyddspolisen.
Skriftligt yttrande har lämnats av 
försvarsministeriet
kommunikationsministeriet
justitiekanslersämbetet
Helsingfors tingsrätt
Rättsregistercentralen
Nödcentralsverket
Migrationsverket
Polisyrkeshögskolan
Ålands landskapsregering
Finlands Advokatförbund
Finlands Polisorganisationers Förbund rf.
Inget yttrande av 
Tietoliikenteen ja tietotekniikan keskusliitto, FiCom ry.
PROPOSITIONEN
Regeringen föreslås att det stiftas en ny lag om behandling av personuppgifter i polisens verksamhet. Samtidigt upphävs den gällande lagen med samma namn. Syftet med propositionen är att se över lagstiftningen om behandling av personuppgifter som behövs för skötseln av polisens uppgifter så att den uppfyller kraven enligt Europeiska unionens dataskyddslagstiftning. I propositionen beaktas också de ändringar som skett i polisens omvärld och det behov att behandla uppgifter som förändringarna medfört. Det här gäller i synnerhet behandling av personuppgifter för att förebygga brott. Man vill också att göra lagens komplicerade struktur tydligare och enklare. 
Lagen kompletterar Europeiska unionens allmänna dataskyddsförordning och den allmänna lagstiftningen om genomförande av dataskyddsdirektivet avseende brottmål. Bestämmelserna om riksomfattande informationssystem och andra personregister i polisens verksamhet i den gällande lagen föreslås bli ersatta med bestämmelser om ändamålet med behandlingen av sådana personuppgifter som behövs för utförandet av uppgifter enligt polislagen samt om innehållet i de personuppgifter som behandlas. Lagen innehåller dessutom bestämmelser om nationellt och internationellt informationsutbyte, radering av uppgifter och arkivering samt tillgodoseende av den registrerades rätt till insyn och vissa inskränkningar av den registrerades rättigheter. 
Propositionen innehåller dessutom förslag till ändring av 25 andra lagar. I de lagarna föreslås i huvudsak tekniska ändringar som gäller laghänvisningar. 
Lagarna avses träda i kraft så snart som möjligt. Den radering av personuppgifter som avses i lagen ska genomföras i enlighet med lagens krav inom fyra år från ikraftträdandet. 
UTSKOTTETS ÖVERVÄGANDEN
Allmänt
Regeringen föreslår en ny lag om behandling av personuppgifter i polisens verksamhet (nedan också polisens personuppgiftslag eller lagförslaget). Bakgrunden till propositionen är ett uttalande som godkändes i samband med behandlingen av RP 66/2012, där riksdagen förutsatte att regeringen snarast möjligt påbörjar en totalrevidering av lagen om behandling av personuppgifter i polisens verksamhet och att man i samband därmed också beaktar det slutliga innehållet i den nya dataskyddslagstiftning som är under beredning i EU och vilka krav den ställer på den nationella lagstiftningen. Avseende ska dessutom fästas vid de anmärkningar beträffande lagens struktur och innehåll som framgår av förvaltningsutskottets betänkande (FvUB 26/2013 rd) och vid behovet att utveckla tillsynen över polisens register. 
Syftet med propositionen är att lagstiftningen om behandling av personuppgifter som behövs för skötseln av polisens uppgifter ska motsvara kraven enligt Europeiska unionens dataskyddslagstiftning och att beakta också de ändringar som skett i polisens verksamhetsmiljö och de behov av att behandla uppgifter som dessa medfört, som i synnerhet gäller behandling av personuppgifter för att förebygga brott. Man vill också att göra lagens komplicerade struktur tydligare och enklare. Dessutom föreslås ändringar i vissa andra lagar där det finns bestämmelser om behandling av personuppgifter. 
EU:s nya dataskyddslagstiftning har spjälkt upp författningsgrunden så att samma reglering inte längre kan tillämpas på all behandling av personuppgifter. EU:s allmänna dataskyddsförordning (EU 2016/679) började tillämpas den 25 maj 2018. Dataskyddslagen (1050/2013 rd) trädde i kraft den 1 januari 2019 och kompletterar nationellt EU:s dataskyddsförordning. Samtidigt som dataskyddslagen trädde även lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018, dataskyddslagen avseende brottmål), varmed det så kallade dataskyddsdirektivet för brottsbekämpande myndigheter (EU) 2016/680 (nedan även polisdirektivet) genomfördes nationellt. 
Dataskyddsförordningen och dataskyddslagen tillämpas inom polisen på uppgifter i anknytning till tillståndsförvaltning och på sådana övervakningsuppgifter som föreskrivits för polisen där det inte är fråga om att tillämpa dataskyddslagen avseende brottmål. Tillämpningsområdet fördataskyddsdirektivet för brottsbekämpande myndigheter inom polisen omfattar förebyggande, avslöjande och utredning av brott och förande av brott till åtalsprövning samt åtgärder i anknytning till dessa för att upprätthålla allmän ordning och säkerhet. Uppgifter i anknytning till upprätthållandet av den nationella säkerheten omfattas inte av tillämpningsområdet för unionsrätten och därmed inte heller av tillämpningsområdet för dataskyddsförordningen eller dataskyddsdirektivet. På dessa uppgifter tillämpas med vissa undantag och som en nationell lösning dataskyddslagen avseende brottmål. Den föreslagna lagen om behandling av personuppgifter i polisens verksamhet är en speciallag som kompletterar de allmänna lagarna. 
Det är inte bara den nya dataskyddslagstiftningen som dikterar behovet av en översyn av den gällande lagen om behandling av personuppgifter i polisens verksamhet (761/2003). Den gällande regleringen är mycket detaljerad, i synnerhet när det gäller uppgifter som registreras i informationssystemen. Detta regleringssätt är osmidigt, och det är en utmaning att hålla bestämmelserna uppdaterade. I propositionen görs ett försök att förtydliga regleringen och den nya lagens struktur är helt omarbetad. Målet att åstadkomma en klar och tydlig reglering har inte uppnåtts till fullo, vilket i många avseenden beror på det begränsade och speciella tillämpningsområdet för unionsrätten och dess dataskyddsnormer. Lagstiftningen måste också iaktta de krav på en detaljerad och noggrant avgränsad lagstiftning som följer tolkningspraxis när det gäller grundlagen och människorättskonventionerna. 
Förvaltningsutskottet ser det som en betydelsefull ändring jämfört med gällande lagstiftning att bestämmelserna om riksomfattande informationssystem och om polisens andra personregister i den gällande lagen ersätts med bestämmelser om ändamålet med behandlingen av personuppgifter och innehållet i de personuppgifter som behandlas. I lagen ska det föreskrivas om grundläggande personuppgifter och om uppgiftskategorier. Enligt propositionen är Polisstyrelsen allmänt personuppgiftsansvarig men skyddspolisen personuppgiftsansvarig i fråga om personuppgifter som avses i 7 kap. 
Polisens grundläggande uppgifter och ändamålet med behandlingen av personuppgifter har inte förändrats efter att den gällande lagen om personuppgifter i polisens verksamhet stiftades. Däremot har det skett många ändringar i polisens omvärld och av de strategiska prioriteringarna i polisens verksamhet. Som exempel kan nämnas att hotet om terrorism har ökat i hela Europa, och dessutom är gränsöverskridande organiserad brottslighet och rörliga, mindre kriminella sammanslutningar ett växande fenomen. Även it-brottsligheten har ökat. Ett viktigt mål är att trygga polisens möjligheter att utifrån fakta i realtid reagera på förändringar i säkerhetsmiljön och att säkerställa den nödvändiga informationsgången mellan myndigheterna. 
Enligt grundlagsutskottets utlåtande kan lagförslagen behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar mot lagförslagets principbestämmelser och mot dess 5–9, 12, 14, 48, 49 och 51 § beaktas på behörigt sätt. 
Sammantaget anser utskottet att propositionen behövs och fyller sitt syfte. Utskottet tillstyrker lagförslagen, men med följande kommentarer och ändringsförslag. 
Det föreslagna lagkomplexet är en betydande reform med avseende på polisens verksamhetsmiljö och skyddet för personuppgifter. Förvaltningsutskottet förutsätter att regeringen följer och utvärderar verkställigheten av personuppgiftslagstiftningen och uppmärksammar bland annat hur den nya på ändamålsbundenhet baserade regleringen fungerar, hur skyddet för personuppgifter genomförs, vilka konsekvenserna blir för polisens och andra myndigheters verksamhet samt hur behandlingen av personuppgifter övervakas samt avfattar en detaljerad rapport om detta tillförvaltningsutskottet under 2021 (Utskottets förslag till uttalande). 
Ändamålsbundenhet i behandlingen
Artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna förutsätter att behandling av personuppgifter sker för ett särskilt ändamål. Enligt artikel 5.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt artikel 5.2 ska den personuppgiftsansvarige ansvara för och kunna visa att 1 punkten har följts. Dataskyddsförordningen tillämpas emellertid bland annat inte på sådan behandling av personuppgifter som utförs i samband med verksamhet som inte omfattas av unionsrättenstillämpningsområde eller som behöriga myndigheter utför i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Till det först nämnda undantaget hänförs i regel exempelvis den nationella säkerheten (se även GrUU 35/2018 rd och GrUU 36/2018 rd) och till det senare undantaget närmast polisdirektivet. 
Enligt artikel 2 i polisdirektivet tillämpas direktivet på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1. I den sist nämnda artikeln nämns som godtagbara ändamål behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten. Enligt artikel 4.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt artikel 4.4 ska den personuppgiftsansvarige ansvara för, och kunna visa att personuppgifterna har behandlats enligt denna princip. I artikel 8.2 sägs att medlemsstaternas nationella rätt, som reglerar behandling av personuppgifter inom tillämpningsområdet för direktivet, åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. 
När grundlagsutskottet har tagit ställning tilllagstiftning om behandling av personuppgifter har det med avseende på skyddet för personuppgifter ansett det viktigt att reglera bland annatsyftet med registreringen av uppgifterna, uppgifternas innehåll och det tillåtna användningsändamålet (se GrUU 14/1998 rd och t.ex. GrUU 14/2018 rd). Enligt utskottet ska dessa omständigheter på lagnivå i den nu aktuella normkontexten även framöver vara täckande och detaljerad. 
I propositionen föreslås det att bestämmelserna om riksomfattande informationssystem och andra polisens personregister i den gällande lagen ersätts med bestämmelser om ändamålet med behandlingen av personuppgifter som behövs för utförandet av de uppgifter som avses i polislagen samt innehållet i de personuppgifter som behandlas. Grundlagsutskottet har ingenting att invända mot den principen. 
Andra utgångspunkter för propositionen
Grundlagsutskottet har nyligen (GrUU 26/2018 rd) behandlat en regeringsproposition med förslag till lag om dataskyddslag avseende brottmål som bland annat syftar till att genomföra polisdirektivet nationellt. Utskottet har inom tillämpningsområdet för EU:s dataskyddsförordning justerat sin ståndpunkt till skyddet för personuppgifter i fråga om kraven på föreskrivande genom lag. I den regleringskontext det nu är fråga om anser grundlagsutskottet att till skillnad från den direkt tillämpliga dataskyddsförordningen innehåller polisdirektivet inte några detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund för skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen (GrUU 14/2018 rd, s.6). Av betydelse är också att nationell säkerhet är ett område som i fördraget om Europeiska unionen faller utanför EU:s behörighet och därmed inte heller direkt kan hänföras till polisdirektivets tillämpningsområde. Till följd av förpliktelsen att skydda personuppgifter enligt 10 § i grundlagen krävs det nationell lagstiftning om behandling av personuppgifter på grundval av nationell säkerhet (se GrUU 26/2018 rd, s. 4). 
Dataskyddslagen avseende brottmål ska enligt dess 1 § 2 mom. 2 punkten tillämpas på sådan behandling av personuppgifter som utförs av polisen, när uppgifterna behandlas inom ramen för en i 1 kap. 1 § 1 mom. i polislagen avsedd uppgift som hänför sig till skyddet av den nationella säkerheten. På behandlingen av personuppgifter som behövs för skyddspolisens skötsel av uppgifter tillämpas enligt 46 § 2 mom. i det nu aktuella lagförslaget dataskyddslagen avseende brottmål, med undantag av 10 § 2 mom., 54 § och 7 kap. i den lagen. 
Enligt grundlagsutskottet (GrUU 26/2018 rd, GrUU 14/2018 rd,) får dock de rättigheter som är tryggade enligt 10 § i grundlagen en speciell betydelse i sammanhang som är särskilt känsliga med avseende på de grundläggande fri- och rättigheterna. Före reformen av de grundläggande fri- och rättigheterna kom utskottet med en karaktärisering som senare blivit vedertagen, nämligen att "polislagen är typexemplet på en lag som lätt kan råka i konflikt med medborgarnas grundläggande rättigheter, i synnerhet de klassiska friheterna” (GrUU 15/1994 rd, GrUU 67/2010 rd). Grundlagsutskottet anser att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en kontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (se även GrUU 14/2018 rd, s. 6). 
Relevant i detta avseende var också att det då aktuella förslaget till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten är en lag som blir tillämplig som allmän lag på sitt tillämpningsområde, och som ska kompletteras med speciallagstiftning för olika förvaltningsområden (GrUU 26/2018 rd). Enligt utskottets uppfattning är det nu aktuella lagförslaget tänkt att utgöra sådan kompletterande speciallagstiftning. 
I konstitutionella analyser av behandlingen av personuppgifter har utskottet sett ändamålet med behandlingen som relevant, eftersom behandlingen möjliggör utövning av offentlig makt gällande individer (se GrUU 1/2018 rd). Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. För lagar gäller det allmänna kravet på att en lag ska vara exakt och noga avgränsad. Polisens befogenheter ska med tanke på rättsstatsprincipen i grundlagens 2 § 3 mom. grunda sig på lag (se även GrUU 10/2016 rd, s. 3, GrUU 51/2006 rd, s. 2/I). Enligt utskottet är regleringen av befogenheter vanligen relevant också i förhållande till de i grundlagen inskrivna grundläggande fri- och rättigheterna (GrUU 51/2006 rd). 
Av propositionens motiv till lagstiftningsordning framgår dessutom att känsliga personuppgifter behandlas inom polisen för att de polisuppgifter som hör till direktivets och förordningens tillämpningsområde ska kunna skötas. Polisens behov att behandla uppgifter som hör till särskilda kategorier av personuppgifter ansluter sig dessutom till nästan alla ändamål med behandlingen enligt lagförslag, enligt motiven. Exempelvis biometriska uppgifter, som i grundlagsutskottets praxis i många avseenden ansetts kunna liknas vid känsliga uppgifter, (se t.ex. GrUU 14/2009 rd, s. 3/I) behandlas både för förebyggande, avslöjande och utredning av brott samt i arbetsuppgifter inom tillståndsförvaltningen. Därtill behandlar polisen för utförande av sina uppgifter ocksåandra uppgifter som hör till särskilda kategorier av personuppgifter, t.ex. uppgifter om hälsotillstånd. 
Grundlagsutskottet har tagit ställning till hantering av känsliga uppgifter med utgångspunkt i att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar i de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd och de utlåtanden som nämns där). Här är det relevant att utskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför ansett att i synnerhet tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2), vilket inneburit att inrättandet av register med exempelvis sådana uppgifter måste bedömas i skenet av villkoren för inskränkningar i de grundläggande fri- och rättigheterna och med hänsyn tillinskränkningarnas acceptabilitet och proportionalitet (GrUU 29/2016 rd och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 38/2016 rd, s. 3). 
Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd, GrUU 14/2009 rd, s. 3/I). Även enligt EU:s allmänna dataskyddsförordning bör särskilda personuppgifter, som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter, åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande fri- och rättigheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd [PeVL 3/2017 vp, s. 5]). Denna avgränsning har i utskottets senare praxis ansetts vara en fråga som är relevant för lagstiftningsordningen (se t.ex. GrUU 15/2018 rd, s. 40). 
Bestämmelserna om behandling av känsliga uppgifter bör följaktligen enligt grundlagsutskottet fortfarande analyseras också utifrån praxisen för tidigare bestämmelser på lagnivå, i den utsträckning dataskyddsförordningen tillåter. Behovet av lagbestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. I fråga om behovet bör också det riskbaserade synsättet i förordningen vägas in. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd). 
Grundlagsutskottet har redan tidigare betonat att lagen om behandling av personuppgifter i polisens verksamhet till såväl struktur som innehåll är mycket komplicerad och därför bör revideras (GrUU 18/2012 rd). Utskottet har upprepat denna ståndpunkt och framhållit att den konstitutionella granskningen av den lagstiftning som definierar behandlingen av personuppgifter i polisens verksamhet börgöras utifrån lagstiftningen som helhet (GrUU 42/2014 rd, s. 3/I, se ävenGrUU 35/2018 rd, s. 35). Utskottet beklagar att också den nu föreslagna lagstiftningen har ett synnerligen komplicerat och svårbegripligt innehåll. 
Polisens personregister innehåller mycket sådan information som det är ytterst viktigt att skydda mot obehörig användning. I en sådan situation måste också övervakningen av användningen av informationen ägnas särskild uppmärksamhet (GrUU 42/2014 rd, s. 2/II, se även GrUU 35/2018 rd, s. , s. 36). Utskottet betonar att skyddet för uppgifter från obehöriganvändning inte uteslutande kan baseras på det tjänsteansvar som gäller för den personuppgiftsansvarige eller den som hanterar uppgifterna eller på något annat påföljdssystem. 
Grundlagsutskottet konstaterar att det inte inom ramen för sitt konstitutionella uppdrag har gjort någon övergripande bedömning av den föreslagna regleringens överensstämmelse med unionsrätten. Förvaltningsutskottet har anledning att försäkra sig om att den föreslagna regleringen inte står i konflikt med de krav som följer av unionsrätten. 
Förvaltningsutskottet konstaterar att det i direktivet om dataskydd i brottmål sägs att medlemsstaternas nationella rätt som reglerar behandling av personuppgifter inom tillämpningsområdet för direktivet åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. Direktivet fastställer således ett slags miniminivå. Grundlagsutskottet har i anslutning till dataskyddsreformen konstaterat att direktivet inte innehåller några detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund för skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen (GrUU 14/2018 rd). Bestämmelserna måste därför kompletteras med nationell lagstiftning. 
Dataskyddsförordningen är däremot direkt tillämplig rätt. Den ger dock i någon mån nationellt handlingsutrymme. Genom nationell lag kan man preciseras den rättsliga grunden för behandlingen av personuppgifter och innehållet i behandlingen samt t.ex. möjligheten att under vissa förutsättningar göra undantag från den registrerades rättigheter. Artikel 6 i dataskyddsförordningen innehåller närmare bestämmelser om laglig behandling av personuppgifter. Med stöd av artikel 9 i dataskyddsförordningen kan närmare bestämmelser utfärdas också om behandling av personuppgifter inom särskilda kategorier av personuppgifter. Grundlagsutskottet har framhållit att i den mån EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan är det viktigt att hänsyn tas till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella spelrummet utnyttjas (se GrUU 14/2018 rd). 
I propositionsmotiven redogörs det för hur förslagen i propositionen relaterar till dataskyddslagen avseende brottmål och till dataskyddsförordningen. Förvaltningsutskottet föreslår vissa ändringar i lagförslaget som är av betydelse med avseende på unionsrätten. Valet i den nationella lagstiftningen mellan en registerbaserad regleringslösning eller en lösning som utgår från ändamålen med behandlingen begränsas dock inte i något avseende av EU-lagstiftningen om dataskydd. 
Förvaltningsutskottet konstaterar vidare att dataskyddsförordningen, dataskyddslagen och dataskyddslagen avseende brottmål innehåller detaljerade bestämmelser bland annat om de allmänna principerna för behandling av personuppgifter, om den personuppgiftsansvariges skyldigheter, om den registrerades rättigheter, om informationssäkerhet och övervakning och om följderna av lagstridig behandling av personuppgifter. 
Enligt förvaltningsutskottets uppfattning beaktas i propositionen på behörigt sätt de krav som följer av unionsrätten. Behörigheten att bedöma om lagstiftningen harmonierar med unionsrätten hör emellertid till EU-domstolen. 
Lagens tillämpningsområde
Grundlagsutskottet menar i sitt utlåtande att det är svårt och tidsödande att utifrån de bestämmelser som ingår i lagförslaget få klarhet i det exakta tillämpningsområdet för den föreslagna regleringen. Trots att utskottet anser det klart att det begränsade och specifika tillämpningsområdet för unionsrätten och dess dataskyddsbestämmelser är en synnerligen starkt bidragande orsak till den komplicerade regleringen, bör förvaltningsutskottet undersöka om det finns några sätt att förtydliga frågan om tillämpningsområdet. 
Förvaltningsutskottet anser att det till följd av de villkor som ingår i EU-regleringen inte egentligen finns några möjligheter att precisera tillämpningsområdet för den föreslagna lagen. I bestämmelserna om tillämpningsområdet anges förhållandet mellan allmänna lagar och speciallagar. Men för tydlighetens skull vill förvaltningsutskottet konstatera följande. 
Tillämpningsområdet för polisens personuppgiftslag framgår av det som föreskrivs i 1 § om tillämpningsområdet och av det som föreskrivs i 2 § om förhållandet till annan lagstiftning. Enligt 1 § i lagförslaget tillämpas polisens personuppgiftslag på samma sätt som för närvarande endast när polisen behandlar personuppgifter för skötseln av polisens uppgifter enligt 1 kap. 1 § i polislagen. Lagen tillämpas alltså inte på t.ex. behandling av personuppgifter i anknytning till personal- och ekonomiförvaltning. 
Enligt förslaget till 1 § tillämpas polisens personuppgiftslag om inte något annat föreskrivs någon annanstans i lag. Om det någon annanstans i lag föreskrivs om behandling av personuppgifter i polisens verksamhet på ett sätt som avviker från det som sägs i polisens personuppgiftslag, ska den lagen tillämpas i stället för polisens personuppgiftslag. Det finns specialbestämmelser bland annat i lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017), lagen om centralen för utredning av penningtvätt (445/2017) och lagen om vittnesskyddsprogram (88/2015). I regeringens proposition RP 55/2018 rd med förslag till lag om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet finns ytterligare specialbestämmelser. I lagen om nödcentralsverksamhet (692/2010) finns särskilda bestämmelser om behandling av personuppgifter. Också i lagen om utlänningsregistret (1270/1997) föreskrivs det om behandling av personuppgifter. 
Av förslaget till 1 § följer också att polisens personuppgiftslag ska tillämpas kompletterande på behandlingen av personuppgifter för utförandet av polisens uppgifter till den del som speciallagstiftningen inte innehåller bestämmelser som avviker från bestämmelserna i lagen om behandling av personuppgifter i polisens verksamhet. 
På merparten av behandlingen av de personuppgifter som hör till lagförslagets tillämpningsområde kommer dataskyddslagen avseende brottmål att vara tillämplig såsom allmän lag. På en del av behandlingen av personuppgifter i polisens verksamhet ska EU:s allmänna dataskyddsförordning om den kompletterande nationella dataskyddslagen tillämpas. Uppgifter i anknytning till upprätthållandet av den nationella säkerheten omfattas inte av tillämpningsområdet för unionsrätten och därför inte heller av tillämpningsområdet för dataskyddsförordningen eller dataskyddsdirektivet. Dataskyddslagen avseende brottmål tillämpas enligt dess 1 § 2 mom. 2 punkt på sådan behandling av personuppgifter som utförs av polisen, när uppgifterna behandlas inom ramen för en i 1 § 1 mom. i polislagen avsedd uppgift som hänför sig till skyddet av den nationella säkerheten. Det här är en nationell lösning. På sådan behandling som avses ovan ska emellertid inte 10 § 2 mom., 54 § eller 7 kap. tillämpas. 
Den föreslagna lagens struktur är också en viktig aspekt på tillämpningen av polisens personuppgiftslag. Alla bestämmelserna om skyddspolisen har samlats i lagförslagets 7 kap. Det här bidrar till en tydlig reglering, menar förvaltningsutskottet. 
EU:s dataskyddsreform har genomförts med beaktande av principen om handlingars offentlighet. I artikel 86 i dataskyddsförordningen föreskrivs det om att samordna dataskyddslagstiftningen och principen om handlingars offentlighet. Enligt skäl 16 i dataskyddsdirektivets ingress påverkar direktivet inte tillämpningen av principen om allmänhetens rätt att få tillgång till allmänna handlingar. När uppgifter lämnas ut ur en myndighets personregister ska offentlighetsprincipen och sekretessbestämmelserna beaktas på det sätt som föreskrivs i offentlighetslagen och i synnerhet i dess 16 § 3 mom., sägs det i propositionsmotiven. När dataskyddslagen avseende brottmål stiftades framhölls det att avsikten inte är att genom den föreslagna lagen ändra det nuvarande inbördes förhållandet mellan offentlighetslagstiftningen och lagstiftningen om skydd för personuppgifter (FvUB 14/2018 rd). Utskottet föreslår nedan i detaljmotiveringen ändringar i dessa bestämmelser. 
Bestämmelser om polisens befogenheter att inhämta information som behövs för att förebygga och avslöja brott samt avvärja fara finns i polislagen (872/2011) och bestämmelser om befogenheterna att inhämta information som behövs för brottsutredning finns i tvångsmedelslagen (806/2011) och förundersökningslagen (805/2011). Lagstiftning om polisens befogenheter ingår också i annan speciallagstiftning som gäller polisens uppgifter. Vid behandling av personuppgifter som inhämtats med polisens befogenheter ska den allmänna lagstiftningen om dataskydd iakttas och dessutom den föreslagna polisens personuppgiftslag. Om befogenhetsbestämmelserna innehåller strängare villkor för behandling av personuppgifter ska dessa iakttas i stället för polisens personuppgiftslag. 
Under alla omständigheter kommer den allmänna lagstiftningen och speciallagstiftningen att utgöra ett mångbottnat komplex. Det kan vara svårt att identifiera de tillämpliga bestämmelserna i synnerhet i polisens praktiska verksamhet. Även den i sammanhanget nya principen om ändamålsbundenhet förutsätter nya attityder. Förvaltningsutskottet framhåller att allt detta ger upphov till ett stort behov att styra in verksamheten i nya banor och att ge personalen en gedigen utbildning. Myndigheterna måste behandla sina personregister och personuppgifter på ett korrekt sätt i alla hänseenden och uppfylla de lagstadgade kraven på personregister, påpekar utskottet. Det är också viktigt att genomföra en god informationshantering och att följa bästa praxis. 
Behandling av personuppgifter för förebyggande eller avslöjande av brott
Den gällande lagen om behandling av personuppgifter i polisens verksamhet tillämpas enligt 1 § på helt eller delvis automatisk behandling av personuppgifter som behövs för skötseln av polisens uppgifter enligt 1 kap. 1 § i polislagen samt på annan behandling av personuppgifter, då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. Syftet med den gällande lagen har dock varit att reglera lagringen av uppgifter i polisens rikstäckande informationssystem och i andra i lagen avsedda personregister. Bestämmelserna gäller därmed inte behandlingen av information som omfattas av lagens tillämpningsområde innan de lagras i ett namngivet personregister eller informationssystem. 
Ett av målen med ändamålsbundenhet i behandlingen av personuppgifter är att inkludera all sådan behandling av personuppgifter som behövs i polisens verksamhet. Med avvikelse från den gällande lagen kommer de nya bestämmelserna som grundar sig på ändamålsbundenhet att också gälla behandling av det som enligt definitioner i den allmänna lagstiftningen utgör ett personregister samt automatisk behandling, även om det inte finns några bestämmelser om detta i polisens personuppgiftslag. 
Bestämmelserna i 7 och 8 § om att behandla personuppgifter i syfte att förbygga eller avslöja brott gäller således all registrering och annan behandling av personuppgifter som är behövlig för polisens förebyggande och avslöjande verksamhet. Paragraferna ska ersätta den gällande lagens bestämmelser i 2 § om behandling av information i informationssystemet för polisärenden, i 4 § om informationssystemet för misstänkta och i 6 § om polisens övriga personregister för att förhindra och avslöja brott. 
Avsikten är dessutom att 7 och 8 § i enlighet med ändamålsbundenhetsgrunden ska inbegripa också sådan informationsbehandling i anknytning till polisens förebyggande verksamhet som det saknas bestämmelser om i den gällande lagen. Polisen får t.ex. genom sådana metoder för informationsinhämtning som avses i 5 kap. i polislagen information om personer som om det finns grundad anledning att anta att har gjort sig skyldiga till brott. Det finns inga bestämmelser i den gällande lagen om hur dessa uppgifter ska behandlas i inledningsfasen även om de måste behandlas automatiskt bland annat för att utröna om tröskeln för registrering i datasystemet för misstänkta överskrids. I den gällande lagen om behandling av personuppgifter i polisens verksamhet regleras med andra ord inte behandlingen av uppgifter som inhämtats med hemliga metoder för inhämtande av information förrän de registreras i något av de informationssystem som nämns i lagen. Villkoret för behandling enligt föreslagna 7 § 2 mom. 1 punkten (”med fog kan antas”) täcker in behandlingen av uppgifter som inhämtats med metoder som avses i 5 kap. i polislagen i syfte att förhindra brott. Detta är inte fallet med det villkor,”skäl att misstänka” som nämns i den gällande lagen. 
Grundlagsutskottet har reagerat på att enligt motiven i propositionen till lagstiftningsordningen innebär de föreslagna 7 och 8 §en utvidgning i jämförelse med den gällande lagen av det datainnehåll som behandlas riksomfattande, både vad gäller datainnehållet och de kategorier av personer som får registreras. Enligt gällande lag är antecknande i registret knutet till straffet för ett misstänkt brott på så sätt att personuppgifter om en person som gör sig skyldig eller misstänks ha gjort sig skyldig till ett brott får behandlas om straffpåföljden kan vara fängelse. Uppgifter om en person som har medverkat eller medverkar till ett brott får enligt gällande lag behandlas om det misstänkta brottet kan följas av fängelse i mer än sex månader eller om det misstänkta brottet är straffbart bruk av narkotika. Grundlagsutskottet konstaterar att det i 7 § inte uppställs några kriterier för hur grova brott det är fråga om utan de uppgifter som lagrummet avser förutsätts anknyta till personer som "med fog kan antas ha gjort sig eller göra sig skyldiga till brott". Enligt gällande 4 § 2 mom. är en förutsättning för behandling av uppgifter att en person "skäligen kan misstänkas" göra eller ha gjort sig skyldig till brott. Utskottet påpekar att myndighetsmisstanke om brott enligt artikel 10 i dataskyddsförordningen utgör en känslig personuppgift som kräver särskild konstitutionell reglering. Förvaltningsutskottet måste komplettera regleringen så att behandlingen knyts till brottets grovhetsgrad. En sådan komplettering är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Dessutom finns det skäl för förvaltningsutskottet att höja graden av antagande exempelvis till "skäligen misstänkas" i överensstämmelse med den gällande lagen, anser grundlagsutskottet. 
I det följande jämförs närmare de föreslagna ändringarna i propositionen med den gällande lagen. 
Informationssystemet för misstänkta
Bestämmelser om informationssystemet för misstänkta finns i 4 § i den gällande lagen. Informationssystemet kan innehålla information som för skötseln av uppgifter enligt 1 kap. 1 § 1 mom. i polislagen inhämtats genom kriminalunderrättelseverksamhet, observation eller iakttagelser och som gäller personer som skäligen kan misstänkas 1) göra eller ha gjort sig skyldiga till ett brott på vilket kan följa fängelse, eller 2) medverka eller ha medverkat till ett brott på vilket kan följa fängelse i mer än sex månader, eller till straffbart bruk av narkotika. 
Förvaltningsutskottet har fäst uppmärksamhet vid brister i anknytning till behandlingen av personuppgifter i informationssystemet för misstänkta (FvUU 40/2014 rd). I det registret kan endast antecknas misstänkta och medverkande. Förvaltningsutskottet har i sitt betänkande (FvUB 16/2014 rd) konstaterat att när uppgifter om en person förs in i registret över misstänkta måste kriterierna uppfyllas, det vill säga att personen kan misstänkas göra sig eller ha gjort sig skyldig alternativt medverka eller ha medverkat till ett brott. Tröskeln för “skäl att misstänka" är densamma som tröskeln för att inleda förundersökning av brott enligt förundersökningslagen. 
Att det inte är så enkelt att tillämpa bestämmelserna om registret över misstänkta framgår enligt förvaltningsutskottet av att registret inte bara innehåller uppgifter om misstänkta personer som har gjort sig skyldiga eller har medverkat till ett brott som nämns i bestämmelsen, utan också om ett sådant brott som personen kan göra sig skyldig eller medverka till i framtiden. Det är uppenbart att misstanken också i sådana fall måste grunda sig på konkreta iakttagelser som ger anledning att sluta sig till att personen kommer att handla så att kravet "skäl att misstänka" uppfylls på ett godtagbart sätt. Att bedöma hur en person kommer att bete sig i framtiden är kopplat till en så osäker slutledningskedja att risken för felbedömning är mycket stor. 
Bestämmelserna om informationssystemet för misstänkta har betraktats som oändamålsenliga och bristfälliga även med tanke på polisens verksamhet. I sin nuvarande utformning gynnar bestämmelsen inte fullt ut polisens förebyggande verksamhet, prognosticering och utnyttjande av systematiskt inhämtad och behandlad information. Enligt motiveringen till bestämmelsen i regeringens proposition (RP 93/2002 rd) kan på grund av syftet med registret för misstänkta inte en mycket precis individualisering av brottet förutsättas. Detta gäller t.ex. den verksamhet som medlemmarna i en känd kriminell grupp bedriver. Utgångspunkten för ordalydelsen i paragrafen är dockpersonbaserad kriminalunderrättelseinhämtning så att polisen ska ha en konkret brottsmisstanke mot en enskild person, och regleringen omfattar inte i större utsträckning t.ex. uppgiftsbaserad brottsanalys som gäller organiserad brottslighet eller kriminella sammanslutningar. 
Vid utformningen av de föreslagna 7 och 8 § om behandling av personuppgifter för förebyggande och avslöjande av brott har uppmärksamhet fästs vid de förvaltningsutskottets anmärkningar som refererats ovan i fråga om informationssystemet för misstänkta (FvUU 40/2014 rd och FvUB 16/2014 rd). Enligt föreslagna 7 § får polisen behandla personuppgifter som hänger samman med en uppgift i anknytning till förebyggande eller avslöjande av brott. I paragrafen finns en uttömmande förteckning över vilka personkategorier bestämmelsen gäller. 
Enligt propositionen kan man med stöd av 7 § 2 mom. 1 punkten behandla personuppgifter om personer som med fog kan antas ha gjort sig eller göra sig skyldiga till brott. Med hänvisning till grundlagsutskottets utlåtande föreslår förvaltningsutskottet på det sätt som närmare framgår av detaljmotiven att tröskeln för behandling av personuppgifter höjs så att bestämmelsen endast kan tillämpas i fråga om personer som med fog kan antas ha gjort sig eller göra sig skyldiga till brott på vilket kan följa fängelse. Formuleringen ”skäligen kan misstänkas” i den gällande lagen är ett begrepp som hänför sig till inledande av förundersökning och den definitionen är svår att anpassa till verksamhet som anknyter till förhindrande och avslöjande verksamhet. Polisens verksamhet för att förhindra brott riktar sig normalt mot personer i fråga om vilka det ännu inte uppkommit någon skyldighet att inleda förundersökning. Begreppet ”skäligen kan misstänkas” kan inte i verksamhet som handlar om att förhindra eller avslöja brott tolkas på samma sätt som vid en förundersökning. Det är därför befogat att formulera tröskeln för behandling av personuppgifter på ett sätt som uttryckligen hänger samman med att förhindra och avslöja brott och till den till verksamheten bundna befogenheter att inhämta information. Den föreslagna nya tröskeln för behandling av personuppgifter (”med fog kan antas”) kan också motiveras med att den tydligare än tröskeln ”skäligen kan misstänkas” anknyter till polislagens 5 kap., som handlar om informationsinhämtning för att förhindra och avslöja brott. 
Med stöd av förslaget till 7 § 2 mom. 2 punkten är det möjligt att behandla personuppgifter om personer som har kontakt med en i 1 punkten avsedd person eller påträffas i dennes sällskap, och kontakten eller sammanträffandena på grund av att de har upprepats, omständigheterna eller personens beteende kan antas ha samband med ett brott. Jämfört med den gällande lagen är denna kategori av personer tämligen ny. Behovet att behandla uppgifter om kontakter och medgärningsmän noteras också i dataskyddsdirektivet för brottsbekämpande myndigheter och i artikel 6 föreskrivs det om åtskillnad mellan olika kategorier av registrerade. I artikel 6 d nämns personer med kontakter eller medgärningsmän till de aktuella personerna. Dessa personer ska anknyta till personer i fråga om vilka det finns tungt vägande skäl att anta att de har begått eller är på väg att begå ett brott eller personer som dömts för brott. 
Eftersom grundlagsutskottet förutsätter att behandlingen av personuppgifter är knuten till brottets grovhetsgrad måste också den personkategori som avses i 2 punkten begränsas på ett annat sätt än i propositionen. Med stöd av 2 punkten kan uppgifter behandlas endast i fråga om personer som har kontakt med sådana i 1 punkten avsedda personer som misstänks ha begått brott på vilka kan följa fängelsestraff. Den personuppgiftsansvarige ska i enlighet med kraven i dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. 
Polisen kan med stöd av förslaget till 7 § 2 mom. 3 punkten behandla uppgifter om personer som är föremål för sådan observation som avses i 5 kap. 13 § i polislagen. Med observation avses enligt 5 kap. 13 § 1 mom. i polislagen iakttagande av en viss person i hemlighet i syfte att inhämta information. Till i punkten avsedda personer hör sådana personer som är föremål för observation, vars uppgifter inte kan behandlas med stöd av 1 och 2 punkten. Det har framkommit ett behov att komplettera punkten med bestämmelser om registrering av uppgifter också om andra personer som är föremål för polisiära åtgärder. Denna frågar behandlas närmare nedan i samband med informationssystemet för polisärenden. 
Förvaltningsutskottet har fäst uppmärksamhet också vid att det i en kompletterande "förklaringsdel” dessutom kan ha funnits anteckningar om till exempel den mot vilken den misstänkte riktat eller kan rikta hot om våld (FvUU 40/2014 rd). Även grundlagsutskottet har redan tidigare lagt vikt vid att det i motiveringen anges att också uppgifter om potentiella eller verkliga brottsoffer får införas i informationssystemet för misstänkta såsom uppgifter som hänför sig till brottet. Innehållet i 4 § i den gällande lagen omfattar dock inte detta syfte (GrUU 51/2002 rd). Det faktum att registrering av uppgifter om offer i registret framkommer endast i motiveringen till bestämmelsen kan inte anses vara en sådan noggrann avgränsning som grundlagsutskottet krävt i sin tolkningspraxis. 
I vissa situationer måste polisen nödvändigt behandla uppgifter också om andra personer än de som i första hand är föremål för kriminalunderrättelseinhämtning. I 7 § 3 mom. kan för dessa personers vidkommande föreskrivas om en högre behandlingströskel. Behandling av uppgifter om de som är offer för brott eller som uppträder som målsägande, som har anmält ett brott eller är vittnen till ett brott kan vara nödvändigt t.ex. i situationer när man försöker förebygga ett brott mot ett vittne eller en målsägande i ett redan inträffat brott. Bestämmelsen förtydligar nuläget och gör det möjligt att till exempel behandla uppgifter om brottsoffer, något som hittills i fråga om informationssystemet för misstänkta bara har framgått av motiveringen till bestämmelsen. 
Tillfälliga brottsanalysregister
I den gällande lagen föreskrivs det om temporära register för brottsanalys i 6 § 2 mom. 2 punkten, som gäller polisens övriga personregister. Bestämmelsen ändrades genom en lag som trädde i kraft vid ingången av 2014 (1181/2013) så att det blev möjligt att inrätta ett temporärt register för sådan brottsanalys som behövs för att förhindra, avslöja eller utreda förutom ett enskilt brott även en helhet bestående av flera brott. Ändringen har effektiviserat utredningen av lokala, grova brott och i synnerhet omfattande brottsserier. Men bestämmelserna inriktar också analysverksamheten och situationsbilden utifrån analyser i riktning mot enskilda brott eller brottskomplex, och inte mot en sammantagen bild av brottsligheten eller omvärldsförändringar. Funktionellt sett är det också ett problem att uppgifterna i registren för brottsanalys inte kan användas i hela landet. Tillsynen över registreringen försvåras likaså av att registreringen är så splittrad. 
I förslaget till 7 § har behandlingströskeln för vissa personkategorier höjts. I den gällande lagen finns inga bestämmelser om personkategorier om vilka uppgifter kan registreras i tillfälliga analysregister. Förslaget innebär således välkomna preciseringar jämfört med nuläget. Personuppgifter skulle emellertid framöver få behandlas i hela landet för utförandet av en uppgift som anknyter till förebyggande eller avslöjande av brott. Uppgifterna kommer att behandlas enhetligt i Polisstyrelsens riksomfattande registerföring i enlighet med riksomfattande processer, vilket underlättar styrningen och övervakningen av behandlingen och förbättrar skyddet för uppgifterna. 
Informationssystemet för polisärenden
Bestämmelserna om iakttagelser som registrerats i informationssystemet för polisärenden (gällande 2 § 3 mom. 11 punkten) ingår i propositionens 7 § 5 mom. om förebyggande eller avslöjande av brott. Det föreslås inga materiella ändringar i bestämmelserna om observationer, utan behandlingströskeln är den samma som hittills. 
Utöver observationer registreras i polisens informationssystem för förebyggande av brott också i den gällande lagens 2 § 2 mom. avsedda personuppgifter om vittnen, de som anmäler brott eller som har något annat samband med ärendet. Om dessa registreras i systemet i 2 § 3 mom. 1 punkten underpunkt c) behövliga beskrivningar, förhållanden och specificeringar som har samband med polisens uppdrag. Med stöd av lagrummet registreras i polisens informationssystem uppgifter exempelvis om personer vilkas uppträdande, prat, verksamhet eller skriverier ger anledning till oror på ett sätt som aktiverar polisens skyldighet att utreda eller vidta åtgärder. Åtgärderna är i praktiken tilläggsutredningar (såsom slagningar i register), utifrån vilka polisen bedömer behovet av fortsatta åtgärder. För att hjälpa en person som ger anledning till oro och för att ta tag i en situation krävs det ofta gemensamma preventiva åtgärder från flera myndigheter sida. Åtgärderna syftar till att bryta en radikalisering, en missbruksspiral eller något annat bekymmersamt beteende. Dessutom krävs det gemensamma stödåtgärder exempelvis enligt handlingsmodellen Ankkuri eller andra åtgärder för att bedöma behovet av vård. Åtgärderna avser att förhindra brott och ett extremt beteende hos den som åtgärderna gäller. 
De personkategorier som avses i förslaget till 7 § 2 mom. inkluderar inte behandling av personuppgifter i den personkategori som beskrivs ovan. Polisens förebyggande verksamhet riktar sig ofta också mot personer som inte med fog kan antas göra sig skyldiga till brott på vilket det kan följa fängelsestraff på ett sådant sätt som avses i 7 § 2 mom. 1 punkten. Polisen kan vara skyldig att utreda eller vidta åtgärder också innan en person med fog kan antas göra sig skyldig till brott. Föremål för åtgärder kan också vara en person som med fog kan antas göra sig skyldig till brott eller ha en sådan kontakt till denna brottslighet som avses i 7 § 2 mom. 2 punkten, men brottets grovhetsgrad kan vara oklar. En del av de personuppgifter som enligt den gällande lagen kan behandlas i polisens nuvarande informationssystem utan bundenhet till grovhetsgraden skulle därmed lämnas utanför sådan behandling av personuppgifter som avses i förslaget till det ovan nämnda lagrummet. Den föreslagna ändringen försämrar således polisens möjligheter att registrera uppgifter i den förebyggande verksamheten. 
Förvaltningsutskottet menar att 7 § 2 mom. 3 punkten måste kompletteras med en ny personkategori, för att det ska vara möjligt att behandla uppgifter som gäller personer med ett oroväckande beteende och andra personer som är föremål för åtgärder inom ramen för polisens brottsförebyggande verksamhet. Polisen ska ha möjlighet att behandla uppgifter också om personer som är föremål för dessa åtgärder. Det här behövs för att förebygga och avslöja brott fram till dess att man kan avgöra om den behandlingströskel som avses i 7 § 2 mom. 1 eller 2 punkten överskrids. Polisens åtgärder i fråga om fysiska personer är alltid en del av ett enskilt uppdrag och kan vara förenat med olika grad av utövande av offentlig makt. 
Det saknas egentliga bestämmelser omregistrering av förebyggande verksamhet i polisens informationssystem, om man undantar definitionen av behandlingssyfte i 2 § 1 mom. som gäller alla polisiära uppgifter enligt 1 kap. 1 § 1 mom. Förslagen till 7 och 8 § skulle i detta avseende förtydliga villkoren för att behandla uppgifter om personer som är föremål för åtgärder. Utskottet påpekar att den gällande 2 § tillåter behandling av uppgifter om ”den som har något annat samband med ärendet”. Begreppet definieras inte närmare och därmed skulle de personkategorier vilkas uppgifter får behandlas snävas in märkbart enligt 7 § i lagförslaget. Utskottet hänvisar till det som sägs i detaljmotiveringen. 
Sammanfattning
Utskottet beaktar grundlagsutskottet konstitutionella anmärkningar och föreslår på det sätt som framgår av detaljmotiven att behandlingen av personuppgifter ska anknyta till det misstänkta brottets grovhetsgrad. Tröskeln för behandling av personuppgifter föreslås således bli höjd så att uppgifter kan behandlas endas om personer som med fog kan antas ha gjort sig eller göra sig skyldiga till brott på vilket kan följa fängelse. 
Förvaltningsutskottet konstaterar att om behandlingströskeln höjs till nivån ”skäligen misstänkas” ökar samtidigt trycket på att behandla uppgifter om de personer som är föremål för åtgärder. Uppgifter om den som är föremål för åtgärder skulle i så fall behandlas med stöd av 7 § 2 mom. 3 punkten till dess att det blir klart om personen skäligen kan misstänkas ha gjort eller göra sig skyldig till ett brott på vilket kan följa fängelse. Utskottet hänvisar till det som sägs ovan om förebyggande och avslöjande av brott och jämförelser mellan och konstaterar att det anser att den behandlingströskel som föreslås i 7 § 2 mom. 1 punkten i propositionen (”med fog kan antas”) är motiverad och utskottet lägger inte fram något förslag till ändring. 
Förvaltningsutskottet understryker att beslutsfattandet i polisens verksamhet måste grunda sig på saklig, korrekt och aktuell information. Genom att behandla uppgifter kan man försäkra sig om att åtgärderna är proportionerliga i sin inriktning och att verksamheten är informationsdriven. Att behandla uppgifter och dokumentera är samtidigt en rättsäkerhetsfaktor med vilken man tryggar rättssäkerheten för såväl de som är föremål för som de som vidtar åtgärderna. En utvärdering av verksamheten i efterskott kan i princip endast bygga på dokumenterad information. 
Behandling av personuppgifter vid skyddspolisen
I 7 kap. finns bestämmelser om behandling av personuppgifter vid skyddspolisen. I lagförslaget beaktas skyddspolisens ställning som en rikstäckande enhet inom inrikesministeriet. I lagen föreslås bestämmelser om utlämnande av personuppgifter mellan skyddspolisen och de övriga polisenheterna. Bestämmelser om utlämnande av personuppgifter till skyddspolisen ur Polisstyrelsens registerföring finns i 4 kap. och om utlämnande av skyddspolisens personuppgifter till övriga polisenheter i 7 kap. I 7 kap. finns bestämmelser om skyddspolisens rätt att få uppgifter också när det gäller de personuppgifter som ingår i Polisstyrelsens registerföring. I 3 och 7 kap. beaktas också skyddspolisens möjlighet att lämna ut personuppgift till polisens personregister genom registrering via direkt anslutning eller som en datamängd. 
Riksdagen antog den 1 mars 2019 lagstiftning om civil underrättelseinhämtning (RP 202/2017 rd -FvUB 36/2018 rd). När den lagstiftningen träder i kraft förlorar skyddspolisen sina förundersökningsbefogenheter. Därför krävs det en ändring av 48 § i polisens personuppgiftslag om ändamålet med behandlingen av personuppgifter vid skyddspolisen. I övrigt har lagstiftningen om civil underrättelseinhämtning och dess konsekvenser för behandlingen av personuppgifter vid skyddspolisen beaktats. Förvaltningsutskottet hänvisar till det som sägs i detaljmotiven. 
Skyddspolisens primära uppgift är att skaffa information för att skydda den nationella säkerheten. I detta syfte måste det också vara möjligt att trots sekretessbestämmelserna lämna ut uppgifter. Personuppgifter ska kunna lämnas till behöriga myndigheter, sammanslutningar som sköter offentliga uppgifter och i vissa fall också till privata aktörer. Bestämmelser om detta finns i förslaget till 50 §. I paragrafen föreslås med tanke på den gällande lagstiftningen inte några ändringar i sak. Den enda ändringen är termen nationell säkerhet i stället för uttrycket statens säkerhet, som i den gällande lagen. I sak motsvarar termerna dock varandra. 
Under utfrågningen av sakkunniga har förvaltningsutskottet uppmärksammats i synnerhet på 50 § 2 mom. Enligt det får skyddspolisen dessutom trots sekretessbestämmelserna lämna ut personuppgifter till andra polisenheter för de ändamål med behandlingen som avses i 13 § samt till andra myndigheter eller sammanslutningar som sköter offentliga uppgifter för de ändamål som avses i 4 kap. Det har påpekats att vissa uppgifter rentav kan utlämnas till privata sammanslutningar eller näringsidkare. I fråga om detta framför utskottet följande. 
Utlämnande av information till myndigheter.
Enligt 50 § 2 mom. i propositionen får skyddspolisen lämna ut personuppgifter till andra myndigheter för skötseln av deras uppgifter, på samma sätt som polisen i övrigt kan göra. Till denna del finns det en hänvisning till lagens 4 kap. och till motsvarande reglering om polisen i övrigt. I momentet avses alltså utlämnande av information i situationer där utlämnandet inte behövs för att utföra skyddspolisens egna uppgift, utan för att utföra en uppgift som det föreskrivs att en annan myndighet eller polisenhet ska sköta. Skyddspolisen kan då med stöd av detta moment lämna ut personuppgifter till andra polisenheter när det behövs för de ändamål som föreskrivs i 13 §. Skyddspolisen ska därvid iaktta vad som föreskrivs om befogenheter. Om bestämmelserna om utlämnande av uppgifter för brottsbekämpning begränsas i lagstiftningen om civil underrättelseinhämtning, ska dessa bestämmelser iakttas. Med reglering av nyttjandebegränsningen avses den s.k. brandväggsbestämmelsen i lagstiftningen om civil underrättelseinhämtning, dvs. 5 a kap. 44 § polislagen. När personuppgifter och uppgifter om brott i anknytning till dem har fåtts genom en metod för underrättelseinhämtning, ska bestämmelsen iakttas om uppgifterna lämnas ut för brottsbekämpning. Därmed får skyddspolisen lämna ut personuppgifter till andra polisenheter och myndigheter för skötseln av deras uppgifter, om utlämnandet av uppgifterna inte har begränsats eller förbjudits med stöd av någon annan bestämmelse. 
Skyddspolisen kan använda sig av andra metoder än underrättelseinhämtning och dessutom få information av myndigheter, genom internationellt samarbete och från öppna källor. Den så kallade brandvägg som gäller underrättelseinhämtning berör endast utlämnande av uppgifter som inhämtats genom civil underrättelseinhämtning. 
Skyddspolisen måste kunna lämna ut uppgifter till andra myndigheter för att de ska kunna sköta sina lagfästa uppgifter. Skyddspolisen har andra uppgifter än de som nämns i 5 a kap. i polislagen bland annat på grundval av säkerhetsutredningslagen (726/2014), medborgarskapslagen (359/2003), utlänningslagen (301/2004), andra kapitel i polislagen,lagen om försvarstillstånd (1083/1991), lag om internationella förpliktelser som gäller informationssäkerhet (588/2004),lagen om bedömningsorgan för informationssäkerhet (1405/2011), lagen om export av försvarsmateriel (282/2012) och lagen om brottsbekämpning inom Tullen (623/2015). 
Det föreslås inga ändringar i fråga om dessa skyddspolisens skiftande uppgifter. Lagstiftningen om civil underrättelseinhämtning innebär inte att skyddspolisens myndighetssamarbete skulle upphöra eller ändra så att skyddspolisen skulle behöva förhindras att precis som för närvarande stödja andra myndigheter i deras verksamhet. Lagstiftningen om civil underrättelseinhämtning leder inte heller till förslag om att slopa andra viktiga uppgifter som skyddspolisen har med stöd av andra lagar. Skyddspolisen måste också framöver kunna utföra sina uppgifter på ett sätt som innefattar utlämning av uppgifter till andra myndigheter. 
Förvaltningsutskottet anser att 50 § 2 mom. för tydlighetens skull bör kompletteras med en hänvisning till 5 a kap. 44 § i polislagen, varvid det skulle bli helt klart att brandväggsbestämmelsen begränsar rätten att lämna ut personuppgifter när det är fråga om uppgifter som inhämtats genom metoder för underrättelseinhämtning. Utskottet går närmare in på detta i detaljmotiveringen. 
Utlämnande av uppgifter till privata aktörer
Skyddspolisens primära uppgift är att inhämta information i syfte att skydda den nationella säkerheten. I Finland behärskas till exempel en stor del av den kritiska infrastrukturen av privata aktörer. Detsamma gäller för statsfinanserna viktig kompetens och betydande innovationer som kan vara av intresse i utlandet. För att skyddspolisen ska kunna sköta sitt uppdrag måste den kunna utlämna information och även personuppgifter till privata aktörer. 
All verksamhet som hotar den nationella säkerheten utförs i sista hand av människor och också en statlig aktör handlar alltid genom en eller flera fysiska personer. Personuppgifter som dessa måste kunna utlämnas till privata aktörer som t.ex. hotas av en person som företräder en statlig aktör. 
Skyddspolisen levererar uppgifter endast i enskilda fall enligt prövning och bara när det är nödvändigt. Användarbehörighet till skyddspolisens informationssystem ges inte till någon utanför skyddspolisens organisation och även inom skyddspolisen begränsas användarbehörighetet till personer som behöver information för att kunna sköta sina uppgifter. 
Med stöd av 7 kap. 2 § i polislagen kan skyddspolisen lämna ut personuppgifter till privata aktörer. Eftersom det föreslås att i 5 a kap. 55 § i polislagen ska föreskrivas om utlämnande av information som erhållits vid civil underrättelseinhämtning och eftersom grundlagsutskottet (GrUU 35/2018) har förutsatt att utlämningsparagrafen begränsas så att rätten att lämna ut personuppgifter stryks, måste det i polisens personuppgiftslag föreskrivas om utlämnande av personuppgifter till privata aktörer. På denna grund föreslås det att skyddspolisen i enskilda fall för att sköta sina uppgifter precis som för närvarande kan utlämna personuppgifter till enskilda aktörer (50 § 5 mom.). 
Eftersom det på samma sätt som enligt den gällande lagen alltid är fråga om ett enskilt fall där det finns vägande skäl för utlämnande föreslår förvaltningsutskottet att 50 § 4 mom. preciseras på det sätt som framgår av detaljmotiven. 
Rätt att lämna ut och att få uppgifter
Grundlagsutskottet har i sitt utlåtande om polisens personuppgiftslag dryftat regleringen av när uppgifter får lämnas ut respektive när en myndighet har rätt att få uppgifter, endast i fråga om 51 § som gäller skyddspolisen och som reglerar utlämnande av uppgifter i internationellt samarbete (GrUU 51/2018 rd). I utlåtandet ingår en konstitutionell anmärkning till förslaget. Förvaltningsutskottet går närmare in på detta i detaljmotiven nedan. 
I övrigt har grundlagsutskottet inte i sitt utlåtande uppmärksammat bestämmelserna om rätt att lämna ut eller att få uppgifter. 
I sitt utlåtande om RP 241/2018 om Gränsbevakningsväsendets personuppgiftslag hänvisar grundlagsutskottet till 17 § i lagförslaget, där det föreskrivs om Gränsbevakningsväsendets rätt att få uppgifter av myndigheter (GrUU 58/2018 rd). Grundlagsutskottet har bedömt bestämmelserna om myndigheternas rätt att få och skyldighet att lämna ut information med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och att lämna ut information kan gälla ”nödvändiga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över vad uppgifterna ska innehålla. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "informationen är nödvändig" för ett visst syfte (se t.ex. GrUU 17/2016 rd och de utlåtanden som nämns där). I sina analyser av exakthet och innehåll har utskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om överlåtelse av uppgifter har gällt också känsliga uppgifter, har det för vanlig lagstiftningsordning krävts att bestämmelserna preciseras så att de följer grundlagsutskottets ovan refererade praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se t.ex. GrUU 15/2018 rd, s 39). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 14/2018 rd, s. 5). Utskottet anser att motsvarande utgångspunkter också kan tillämpas på rätten att få och lämna ut information trots exempelvis banksekretessen. (Se GrUU 48/2018 rd, s. 5). 
Grundlagsutskottet menar att förslaget till 17 § i Gränsbevakningsväsendets personuppgiftslag på grund av grundlagens 10 § 1 mom. om skydd för privatlivet och personuppgifter måstepreciseras så att den följer grundlagsutskottets ovan refererade praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Samma ståndpunkt gäller förslaget till 18 § om rätt att få uppgifter av privata sammanslutningar och personer, 20 § om rätt att få uppgifter ur vissa register och datasystem, 30 § om utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål samt 31 § om övrigt utlämnande av personuppgifter till myndigheter. 
Enligt grundlagsutskottets utlåtande (GrUU 60/2018 rd) om RP 259/2018 rd med förslag till lag om behandling av personuppgifter inom Tullen måste Tullens rätt att få uppgifter ur vissa register och informationssystem på grund av grundlagens 10 § 1 mom. om skydd för privatlivet och personuppgifter preciseras så att den följer grundlagsutskottets ovan refererade praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Motsvarande ställningstagande i fråga om lagstiftningsordningen gäller också 15 § i lagförslaget om uppgifter som andra myndigheter lämnar ut till Tullen genom registrering via direkt anslutning eller för registrering som en datamängd, 18 § om utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål och 19 § om övrigt utlämnande av personuppgifter till myndigheter. 
Också i polisens personuppgiftslag finns det bestämmelser om rätt att lämna ut och få uppgifter. Förvaltningsutskottet anser att regleringen ska vara så överensstämmande som möjligt av hänsyn till PTG-samarbetet mellan polisen, Tullen och Gränsbevakningsväsendet. Regleringen får inte heller leda till att uppgifter får lämnas ut till andra EU/EES-länder eller tredje länder på vagare grunder än de som gäller nationellt. 
Enligt allmän praxis har bestämmelser om utlämnande av uppgifter och om rätt att få information tagits in i både den överlåtande myndighetens och den mottagande myndighetens lagstiftning. Men detta regleringssätt har inte varit täckande. I sitt betänkande FvUB 36/2014 rd har förvaltningsutskottet uppmärksammat den dubbla regleringen. 
Förutom dubbel reglering har frågan i speciallagstiftningen också löst så att bestämmelser om rätten att få information tas in enbart i fråga om den aktör som lämnar ut uppgifter eller enbart i fråga om den aktör som har rätt att få uppgifter. Det skulle inte vara möjligt att i någon av de speciallagar som gäller rätten att få uppgifter enligt polisens personuppgiftslag ta in motsvarande bestämmelser om att lämna ut uppgifter. För att beakta alla behov som gäller informationsutbyte måste därför i polisens personuppgiftslag tas in bestämmelser både om rätten att lämna ut och att få uppgifter, beroende på vilken typ av bestämmelser det finns i lagstiftningen om den andra parten. Därmed skulle situationen inte bli särskilt mycket klarare om man frångick den dubbla regleringen i polisens personuppgiftslag. 
Förvaltningsutskottet konstaterar att den föreslagna regleringen nu ser ut att utformas på olika sätt i den lagstiftning som gäller dels förhållandet polisen och Gränsbevakningsväsendet/Tullen, dels till vissa delar också förhållandet mellan Tullen och Gränsbevakningsväsendet. De föreslagna ändringar skulle samtidigt leda till att uppgifter får lämnas ut till andra EU/EES-länder eller tredje länder på vagare grunder än de som gäller nationellt. 
I sina analyser av exakthet och innehåll har grundlagsutskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om överlåtelse av uppgifter har gällt också känsliga uppgifter, har det för vanlig lagstiftningsordning krävts att bestämmelserna preciseras så att de följer grundlagsutskottets ovan refererade praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se t.ex. GrUU 15/2018 rd, s 39). 
Förvaltningsutskottet konstaterar att känsliga personuppgifter behandlas inom polisen för att de polisuppgifter som hör till direktivets och förordningens tillämpningsområde ska kunna skötas. Polisens behov att behandla uppgifter som hör till särskilda kategorier av personuppgifter ansluter sig dessutom till nästan alla ändamål med behandlingen enligt lagförslag, enligt motiven. 
EU:s dataskyddsreform har skärpt dataskyddet. I artikel 5 i dataskyddsförordningen föreskrivs det om principerna för behandling av personuppgifter och i artikel 6 om behandlingens laglighet. Behandlingen av personuppgifter är laglig bland annat när behandlingen behövs för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. 
Enligt artikel 9.1 i dataskyddsförordningen är behandling av särskilda kategorier av personuppgifter i princip förbjuden. Särskilda kategorier av personuppgifter är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Hantering av särskilda kategorier av personuppgifter är också behandling av genetiska uppgifter, hantering av biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Enligt artikel 9.2 får uppgifterna behandlas om något av villkoren i punkt 2 led a–j uppfylls. En del av de här leden ska tillämpas direkt medan andra kräver nationell lagstiftning. 
I 6 § i den nationella dataskyddslagen, som kompletterar dataskyddsförordningen, föreskrivs det om situationer där känsliga personuppgifter får behandlas i den mån den aktuella behandlingen av personuppgifter inte är möjlig direkt med stöd av artikel 9.2 i dataskyddsförordningen. Det är dock viktigt att i sammanhanget observera att begreppet särskilda kategorier av personuppgifter inte är exakt detsamma som de personuppgifter som avses i 12 § i den tidigarepersonuppgiftslagen. Förordningen förutsätter att medlemsstatens lagstiftning då innehåller bestämmelser om lämpliga och särskilda åtgärder för att skydda den registrerades grundläggande fri- och rättigheter och intressen. 
Enligt 6 § i dataskyddslagen avseende brottmål ska personuppgifterna vara adekvata och behövliga och inte för omfattande i förhållande till de syften för vilka de behandlas. I 11 § i dataskyddslagen avseende brottmål föreskrivs det om vilka uppgifter som hör till en särskild kategori av personuppgifter. Enligt paragrafen är behandling av särskilda kategorier av personuppgifter tillåten endast om det är nödvändigtoch de skyddsåtgärder som krävs för att trygga den registrerades rättigheter har vidtagits och en sådan särskild rättsgrund som nämns i 11 §, exempelvis en speciallag, är för handen. 
I dataskyddsförordningen avses med behandling en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring (artikel 4.2). I 3 § i dataskyddslagen avseende brottmål definieras behandling på motsvarande sätt. 
Enligt grundlagsutskottets utlåtande måste ett i särklass grundrättighetskänsligt lagförslag kompletteras med en allmän bestämmelse med ett nödvändighetskrav för behandling av känsliga uppgifter. Alternativt kan regleringen kompletteras paragrafvis med bestämmelser som knyter behandlingen av känsliga uppgifter till ett nödvändighetskrav. Med anledning av grundlagsutskottets utlåtande föreslår förvaltningsutskottet att en allmän bestämmelse tas in i förslaget till 14 § (15 § i utskottets betänkande) med det innehåll som framgår nedan av detaljmotiven. 
Eftersom utlämnande och mottagande av uppgifter på det sätt som konstateras ovan betraktas som behandling av uppgifter inom de båda dataskyddsförfattningarnas tillämpningsområde, gäller utskottets förslag till ny bestämmelse om ett nödvändighetskriterium för behandling av särskilda kategorier av personuppgifter också att lämna ut och att få uppgifter. Därmed uppfyller bestämmelsen samtidigt de kriterier som grundlagsutskottet i sin praxis har uppställt för att bestämmelser om att få och kunna lämna ut personuppgifter trots sekretessbestämmelser för behandling av särskilda kategorier av personuppgifter. 
På andra uppgifter än särskilda kategorier av personuppgifter ska den allmänna lagstiftningen tillämpas, alltså dataskyddsförordningen och dataskyddslagen samt dataskyddslagen avseende brottmål, enligt vilka personuppgifter får behandlas bara om det behövs för att sköta lagfästa myndighetsuppgifter. 
Förvaltningsutskottet anser att det förslag som utskottet lagt fram på denna punkt motsvarar EU-rättens krav och grundlagsutskottets praxis beträffande tolkning av vilkoren för att behandla personuppgifter. 
Lagringstid
I 5 kap. i polisens personuppgiftslag föreslås bestämmelser om arkiveringstider för personuppgifter. Motsvarande bestämmelser som gäller skyddspolisen finns i 57 §. Grundlagsutskottet har uppmärksammat arkiveringstidernas längd. Enligt 35 § ska personuppgifter i anknytning till förebyggande och avslöjande av brott raderas senast tio år från det att den sista uppgiften om ett brott, brottslig verksamhet eller ett uppdrag infördes. Enligt 36 § i lagförslaget ska uppgifter om en informationskälla raderas senast 10 år från det att den sista uppgiften antecknades. Också enligt 33 § 7 mom., 34 § 4 mom. och 35 § 2 mom. får arkiveringen fortgå upprepat på synnerligen obestämbara grunder. Enligt 57 §, som gäller skyddspolisen, ska uppgifter raderas 25 år från det att den sista uppgiften fördes in, om det inte finns särskilda skäl att fortfarande bevara personuppgifterna. 
Enligt grundlagsutskottet är varaktig lagring av uppgifter inte förenlig med skyddet för personuppgifter om det inte är befogat av skäl som är kopplade till informationssystemets art eller syfte (GrUU 31/2017 rd). Utskottet har också ansett att en fem års förvaringstid för känsliga uppgifter är lång (GrUU 13/2017 rd) och betonat att ju längre förvaringstiden blir, desto viktigare är det att se till datasäkerheten, övervakningen av användningen av uppgifterna och de registrerades rättssäkerhet (GrUU 28/2016 rd). Försvarsutskottet bör överväga om så långa förvaringstider behövs och begränsa förvaringstiden särskilt för känsliga personuppgifter med avseende på syftet med nödvändig förvaring. 
Förvaltningsutskottet konstaterar att 5 kap. i polislagen innehåller bestämmelser om maximitiden flör lagring av personuppgifter. Sålunda ska tiderna för radering av uppgifter enligt 5 kap. iakttas om inte någon annan bestämmelser kräver att uppgifterna raderas tidigare. Utskottet anser emellertid att det är motiverat att arkiveringstiderna till vissa delar anges i absolut form. Den arkiveringstid på fem år som anges i 33 § 1 mom. garanterar att uppgifter sparas åtminstone under den tid det tar att behandla ett ärende i domstolsväsendet till dess att ett avgörande vinner laga kraft. När det gäller 35 och 36 § finner utskottet det lämpligt att understryka att uppgifter ska raderas redan före arkiveringstiden på tio år löpt ut om de visat sig vara överflödiga med tanke på ändamålet med behandlingen. 
Förvaltningsutskottet anser det likaså lämpligt att säkerställa att de arkiveringstider som avses i 5 kap. inte blir ett hinder för arkivering om det finns grundad anledning att anse att uppgifterna fortsatt behövs (33 § 7 mom., 34 § 4 mom. och 35 § 2 mom.). Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. Bestämmelserna motsvarar 6 § 3 mom. i lagen om dataskyddslagen avseende brottmål, enligt vilken behovet att bevara personuppgifter ska bedömas med minst fem års mellanrum, om inte något annat föreskrivs om bevaringstider för personuppgifter någon annanstans. Förvaltningsutskottet konstaterar vidare att en kortare arkiveringstid för uppgifter av känslig natur skulle leda till att en del av uppgifterna som hänför sig till ett specifikt fall skulle raderas vid en annan tidpunkt än övriga uppgifter. Det skulle vara problematiskt främst med tanke på informationens integritet. 
I 57 § i lagförslaget finns bestämmelser om arkivering av personuppgifter vid skyddspolisen. Enligt förslaget ska uppgifter raderas 25 år från det att den sista uppgiften fördes in, om det inte finns särskilda skäl att fortfarande bevara personuppgifterna. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
Förvaltningsutskottet konstaterar att detta i stort sett motsvarar den gällande 25 §. Som en ny bestämmelse införs i lagen en möjlighet att bevara uppgifter över 25 år, om det finns särskilda skäl i anslutning till skyddspolisens uppgifter att fortsatt bevara dem. I lagen införs också en skyldighet att bedöma behovet av uppgifterna och grunderna för behandlingen av dem med fem års mellanrum i det fall att uppgifterna behöver bevaras längre än maximitiden enligt lagen. Om det konstateras att uppgifterna fortfarande behöver bevaras, görs en anteckning om att bedömningen gjorts i anslutning till personuppgiften. 
Skyddspolisens uppgifter kräver långsiktig uppföljning av ärenden. Den information som tas fram och den påföljande analysen ska uppfattas som en cykel där producerad information nästan undantagslöst föder behov av ny information. Syftet med informationsinhämtning avviker i detta avseende från t.ex. förhindrande av brott, där tidsspannet kan sammankopplas bland annat med preskriptionstiderna för brott. Den information som behandlas behövs inte bara för att reda ut ett enskilt fall utan strävan är att genom informationen skapa en bredare bild av företeelser och att producera information i preventivt syfte. 
Skyddspolisens ansvarsområde har särdrag med relevans för behovet att arkivera uppgifter. Underrättelseinhämtning som riktar sig mot statliga aktörer är långsiktigt och fortlöpande personer som med en falsk identitet infiltrerat t.ex. en främmande stat kan under mycket långa perioder arbeta helt integrerade i samhället. Arbetar man yrkesmässigt inom underrättelseinhämtning är det normalt att man under karriären förflyttas från en stationeringsort till en annan. Det är inte alls ovanligt att samma person efter många år återvänder till sin tidigare stationeringsort varvid tidigare inhämtad information aktualiseras på nytt. 
När det handlar om att bekämpa terrorism finns det skäl att notera att de som är föremål för underrättelseinhämtning i allmänhet håller fast vid sina tankemönster och sin värdegrund. Det hot som en enskild person utgör kan således pågå under en lång tid. En person kan t.ex. vara kontaktperson och organisatör i ett nätverk av flera personer utan att göra sig skyldig till terroristbrott i strafflagens bemärkelse. För att kunna förstå beroendeförhållanden mellan olika personer är det viktigt att informationen finns tillgänglig under en tillräckligt lång tid. Det är också möjligt att personer med anknytning till terrorism lämnar Finland för en lång tid för att sedan återvända hit. Det här gäller i synnerhet så kallade utländska stridande. 
I dessa exempelfall handlar det om att rikta uppmärksamheten dels mot den personella dimensionen, dels att under en längre tid följa den bakomliggande aktören eller ideologin. Det går inte heller nödvändigtvis alltid att göra en klar skillnad mellan en terroristiskt och en statlig aktör. 
För jämförelsens skull kan det konstateras att enligt 43 § i försvarsmaktens personuppgiftslag (RP 13/2018 rd—FsUB 3/2018 rd) ska personuppgifter som gäller en registrerad utplånas ur registret för militär underrättelseverksamhet senast 50 år från det att den sista uppgiften om den registrerade infördes. Den arkiveringstid som gäller militär underrättelseverksamhet ger en bild av vilka långa tidsperioder det kan röra sig om vid underrättelseinhämtning. 
Enligt utredning till förvaltningsutskottet skulle en differentiering av arkiveringstiderna på det sätt som görs t.ex. i 157 § ilagen om tjänster inom elektronisk kommunikation (917/2014) bli synnerligen besvärligt. Inom skyddspolisens verksamhetsområde är det nödvändigt att behandla bland annat personuppgifter av känslig natur, såsom uppgifter om en persons etniska bakgrund eller religiösa övertygelse, som en del av underrättelseinhämtningsarbetet. Om det vid sidan av grundläggande personuppgifter är nödvändigt att behandla känsliga personuppgifter försvinner behovet i allmänhet inte förrän samtliga uppgifter om en person kan raderas. Därför borde bland annat känsliga personuppgifter inte belastas med särskilda krav på radering som avviker från de allmänna reglerna. 
I grundlagsutskottets utlåtande sägs det att ju längre förvaringstiden blir, desto viktigare är det att se till datasäkerheten, övervakningen av användningen av uppgifterna och de registrerades rättssäkerhet. Skyddspolisens funktionella informationssystem klassificeras som ett informationssystem med hög informationssäkerhetsnivå, vilket innebär krav på ett exceptionellt starkt skydd och en kontroll av användningen som avviker från det normala. På grund av uppgifternas känsliga natur har kretsen av personer som är behöriga att använda registret begränsats till skyddspolisens personal. Skyddspolisens funktionella informationssystem övervakas också framöver av dataombudsmannen. Dessutom övervakas systemet av den nya underrättelsetillsynsombudsmannen enligt vad som föreskrivs i lagen om övervakning av underrättelseverksamheten (121/2019). Man kan därför anse att de personuppgifter som skyddspolisen behandlar är både exceptionellt väl skyddade och dessutom synnerligen väl kontrollerade. 
Förvaltningsutskottet anser därför att de föreslagna arkiveringstiderna är behövliga och dessutom väl och lämpligt övervägda också när det gäller känsliga uppgifter. 
Tillsyn
Riksdagen förutsatte i sitt svar på regeringens proposition RP 66/2012 rd att man i samband med totalrevidering av lagen om behandling av personuppgifter i polisens verksamhet också beaktar behovet att utveckla tillsynen över polisens register. Förvaltningsutskottet konstaterade i sitt betänkande (FvUB 26/2013 rd) om propositionen att de nya typer av information som enligt propositionen ska få lagras och den närmare preciseringen av informationens innehåll utifrån behövlighetsprövning kräver extra satsningar på tillsynen över hur personuppgifter behandlas. Det är nödvändigt att övervaka behandlingen av personuppgifter såväl med hänsyn till uppgifternas innehåll som till hur de används. Slutsatserna av övervakningen borde också rapporteras bättre. I propositionsmotiven redogörs det för den interna och externa laglighetsövervakningen av behandlingen av personuppgifter vid polisen. 
Polisens personregister innehåller mycket sådan information som det är synnerligen viktigt att skydda mot obehörig användning (GrUU 42/2014 rd, GrUU 18/2012 rd). Grundlagsutskottet har också fäst uppmärksamhet vid att i och med tidigare lagändringar har informationsinnehållet ytterligare ökat. I sådana situationer måste användningen övervakas särskilt noga (se GrUU 42/2014 rd). 
Enligt 1 § 1 mom. i polisförvaltningslagen ansvarar inrikesministeriet för styrningen och övervakningen av polisens verksamhetsområde. Enligt 13 § 2 mom. i inrikesministeriets förordning om inrikesministeriets arbetsordning (1078/2013) behandlar ministeriets polisavdelning ärenden som gäller laglighetsövervakning av polisen. Polisavdelningen genomför sin laglighetsövervakning i enlighet med anvisningen för laglighetsövervakning vid inrikesministeriet och inom dess förvaltningsområde (SMDno-2016-329). Den laglighetsövervakning som utförs av polisavdelningen omfattar t.ex. att behandla förvaltningsklagan och respons från allmänheten, övervaka behandlingen av personuppgifter, utföra granskningar samt ge utlåtanden i synnerhet till de högsta laglighetsövervakarna. 
Ledningen för ämbetsverken och inrättningarna inom inrikesministeriets förvaltningsområde svarar för att behandlingen av personuppgifter och övervakningen av användning av personregister har ordnats lagenligt på ett ändamålsenligt och effektivt sätt. Chefen för en polisenhet svarar för att ordna laglighetsövervakningen och för att resurserna är tillräckliga för övervakningen i enheten. 
I polisens interna laglighetskontroll betonas betydelsen av enhetschefernas, befälets och de närmaste chefernas agerande samt anvisningarna om behandlingen av personuppgifter. Tillsynen över behandlingen av personuppgifter baserar sig dels på den dagliga chefstillsynen, del på praxis rörande användarrättighet och logguppföljning samt på olika kontroller. Genom praxis för beviljande av användarrättigheter kan man se till att personuppgifter behandlas endast av personer i vars arbetsuppgifter behandling av personuppgifter ingår och som uppfyller de lagfästa villkoren för att få användarrättigheter. Polisstyrelsen utför dessutom övervakning i form av stickprov i användarlogguppgifterna för de register som förs av polisen. Det görs för att övervaka användningen av polisens informationssystem och personuppgifterna. Kontrollerna görs systematiskt och alltid när behov uppstår. Polisenheterna får också utföra granskningar av logguppgifterna. 
Under de senaste åren har polisenheternas rättsenheter haft en betydande inverkan på ordnandet och organiseringen av laglighetsövervakningen inom polisen samt på övervakningen av användningen av registren i polisenheterna. Enligt vad utskottet fått veta har organiseringen av uppgifter i anslutning till registerföringen och dataskyddet inom polisen preciserats under 2015—2018 och resurserna har stärkts. Inom polisens dataskyddsorganisation kommer de personer som sköter uppgiften som dataskyddsansvarig i första hand från en rättsenhet. Polisen tog dessutom i början av 2019 i rikstäckande bruk det system för rapportering av överträdelser som föreskrivs i 55 § i lagen om dataskydd avseende brottmål (1054/2018), som en del av en större internt informationssystem inom polisförvaltningen. 
Polisstyrelsen lämnar utifrån polisenheternas granskningsberättelser för det föregående året en sammanfattad berättelse för hela polisförvaltningen till inrikesministeriet och ger den för kännedom till justitiekanslern i statsrådet och riksdagens justitieombudsman. I berättelserna behandlas bl.a. loggkontroll, resultatet av den och åtgärder som krävts och genomförts på grund av kontrollen samt andra åtgärder i anknytning till övervakningen av behandlingen av personuppgifter. 
Skyddspolisens funktionella informationssystem klassificeras som ett informationssystem med hög informationssäkerhetsnivå, vilket innebär krav på ett exceptionellt starkt skydd och en kontroll av användningen som avviker från det normala. På grund av uppgifternas känsliga natur har kretsen av personer som är behöriga att använda registret begränsats till skyddspolisens personal. Inom skyddspolisen har chefen för skyddspolisen ansvar för att laglighetsövervakningen ordnas, tilldelas resurser och utvecklas. Chefen för skyddspolisen ska se till att regelrätta laglighetsgranskningar och övrig laglighetskontroll utförs vid skyddspolisen i enlighet med anvisningen för laglighetsövervakning vid inrikesministeriet och skyddspolisens egna anvisningar (se föreskriften Suojelupoliisin sisäinen laillisuusvalvonta, määräys, Dnr 20/2017). Förutom anvisningen för laglighetsövervakning vid inrikesministeriet tillämpar skyddspolisen vid övervakningen av behandlingen av personuppgifter också Polisstyrelsens anvisning om intern laglighetsövervakning och vissa andra rättsliga frågor vid polisen (POL-2016-17212). 
Skyddspolisen utför regelrätta interna laglighetsgranskningar som baserar sig på en årlig plan. Skyddspolisen sammanställer varje år en granskningsplan som fastställs av chefen för skyddspolisen och som skickas till inrikesministeriets polisavdelning för kännedom. En granskningsberättelse upprättas över varje laglighetsgranskning. Berättelsen behandlas på den nivå som har behörighet att fatta beslut om de åtgärder som granskningen föranleder. Chefen för skyddspolisen ska omedelbart informeras om betydande fel och brister och om lagstridig verksamhet. Behandlingen av granskningsobservationerna, åtgärderna och uppföljningen av åtgärderna ska dokumenteras. I den interna laglighetskontrollen av skyddspolisen fästs särskild vikt vid hemliga tvångsmedel och hemliga metoder för informationsinhämtning samt behandlingen av personuppgifter och handlingar. 
I 7 § i statsrådets förordning (1126/2009), som utfärdats med stöd av lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet (687/2009, PTG-lagen), föreskrivs det att för övervakningen av behandlingen av personuppgifter vid PTG-kriminalunderrättelseenheterna svarar den PTG-myndighet som har inrättat registret i fråga. PTG-myndigheterna ordnar enligt paragrafens 2 mom. I samband med övervakningen av behandlingen av personuppgifter gemensamma inspektioner och annan övervakning enligt vad som närmare avtalas i PTG-myndigheternas riksomfattande samarbetsavtal. 
EU:s dataskyddsreform har medfört viktiga ändringar i lagstiftningen om övervakningen av behandlingen av personuppgifter. Den nya dataskyddslagstiftningen betonar övervakningen av att lagligheten i behandlingen av personuppgifter säkerställs. I dataskyddsförordningen föreskrivs om tillsynsmyndigheten och tillsynsmyndighetens befogenheter. Enligt dataskyddslagen finns dataombudsmannen i anslutning till justitieministeriet och är den nationella tillsynsmyndigheten enligt dataskyddsförordningen. 
Dataombudsmannen ska också vara specialmyndighet för efterlevnaden av dataskyddslagen avseende brottmål. Dataombudsmannen ska utöva tillsyn över efterlevnaden av lagen både på eget initiativ och på basis av begäranden om åtgärder som lämnas in till ombudsmannen. Dataombudsmannen kan göra utredningar av hur lagen följs och behandla begäranden om åtgärder som lämnats in till ombudsmannen. Ombudsmannen kan i fall av ett lagstridigt förfarande t.ex. meddela den personuppgiftsansvarige en anmärkning eller uppställa ett tillfälligt eller bestående förbud eller någon annan tillfällig eller bestående begränsning av behandlingen av personuppgifter. Ombudsmannen kan förena ett rättsligt förpliktande beslut med vite. 
Skyddspolisen är dessutom föremål för underrättelsetillsynsombudsmannens tillsyn i enlighet med lagen om övervakning av underrättelseverksamheten (121/2019). Underrättelsetillsynsombudsmannen ska i egenskap av laglighetsövervakare över underrättelseverksamheten övervaka lagenligheten vid användning av underrättelseinhämtningsmetoder och tillgodoseendet av de grundläggande och mänskliga rättigheterna i underrättelseverksamheten, bidra till att rättssäkerheten tillgodoses och anknytande god praxis iakttas i underrättelseverksamheten samt inom sitt ansvarsområde ge akt på och bedöma hur verkningsfull lagstiftningen är och lägga fram de utvecklingsförslag som han eller hon anser vara behövliga. 
Också riksdagens justitieombudsman och justitiekanslern i statsrådet ska i egenskap av högsta laglighetsövervakare följa efterlevnaden av lagstiftningen om behandling av personuppgifter som en del av den allmänna laglighetsövervakningen av myndigheter och tjänstemän. Båda två utför regelbundna inspektioner för att granska lagenligheten i verksamhet och behandling av personuppgifter. Riksdagens justitieombudsman och justitiekanslern i statsrådet övervakar dessutom lagenligheten i dataombudsmannens och underrättelsetillsynsombudsmannen verksamhet. 
Förslaget till ändringar i polisens personuppgiftslagstiftning innehåller förslag som innebär att behovet av övervakning kommer att öka. Avsikten är ändå att styra lagstiftningen i en sådan riktning att det blir lättare att leda och övervaka skyddet av uppgifterna. Enligt förvaltningsutskottets uppfattning kommer den nya lagstiftning som reglerar övervakningen, normbasen för övervakningen i övrigt och de praktiska effektiviseringsåtgärderna att skapa bättre förutsättningar att övervaka behandlingen av personuppgifter. Men det krävs också tillräckliga resurser för att förverkliga skyddet för personuppgifter och en effektiv övervakning. 
Den nya dataskyddslagstiftningen innefattar detaljerade bestämmelser om övervakning av behandlingen av personuppgifter och påföljder vid lagstridig behandling av sådana uppgifter, om den personuppgiftsansvariges ansvar och skyldigheter, den registrerades rättigheter och om informationssäkerheten. EU:s dataskyddsreform har skärpt den personuppgiftsansvariges ansvar. Den personuppgiftsansvarige ska ansvara för att personuppgifter behandlas i överensstämmelse med lag. Den personuppgiftsansvarige ska dessutom kunna visa att behandlingen av personuppgifter också i verkligheten överensstämmer med dataskyddslagstiftningen. Också det har betydelse med avseende på övervakningen. 
DETALJMOTIVERING
1. Lagen om behandling av personuppgifter i polisens verksamhet
2 §. Förhållande till annan lagstiftning.
Utskottet lägger till författningsnumret i 1 mom. 1 punkten. 
Paragrafens 1 mom. 2 punkten har en hänvisning till lagen om offentlighet i myndigheternas verksamhet. Grundlagsutskottet påpekar ytterligare i sina utlåtanden GrUU 58/2018 rd och GruU 60/2018 rd att enligt 28 § i dataskyddslagen, som ska tillämpas som allmän lag och som i detta avseende stiftats med grundlagsutskottets uttryckliga medverkan (GrUU 14/2018 rd, s. 16, GrUU 26/2018 rd, s. 7)), tillämpas på rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister vad som föreskrivs om offentlighet i myndigheternas verksamhet. Utskottet ser det av orsaker hänförliga till 12 § 2 mom. i grundlagen som nödvändigt att bestämmelsens ordalydelse samordnas med den allmänna lagen. Det här är viktigt också för att undvika kontradiktoriska slutsatser. Bestämmelsen kan kompletteras med föreskrifter enligt 62 § i dataskyddslagen avseende brottmål om tystnadsplikt och om förbud mot utnyttjande av uppgifter. 
Förvaltningsutskottet konstaterar att hänvisningen måste preciseras också i polisens personuppgiftslag. Utskottet föreslår att 1 mom. 2 punkten omformuleras så att den motsvarar regleringen i 2 § 2 mom. i dataskyddslagen avseende brottmål. Enligt 62 § i dataskyddslagen med avseende på brottmål har 23 § i lagen om offentlighet i myndigheternas verksamhetbestämmelser om tystnadsplikt och förbud mot att utnyttja information. Utskottet anser därför att det inte behövs någon ytterligare informativ hänvisning om detta. 
Utskottet har kompletterat 2 mom. med ett författningsnummer. 
Dataskyddslagen avseende brottmål innehåller relevanta och detaljerade bestämmelser om de allmänna förutsättningarna och principerna för behandling av personuppgifter, den registrerades rättigheter, tillsynen och exempelvis informationssäkerheten. Vid tillämpningen av den föreslagna regleringen ska utöver de allmänna principerna för behandling av personuppgifter enligt dataskyddslagen avseende brottmål beaktas även de krav som följer av unionsrätten i fråga om nödvändighet, proportionalitet, jämlikhet och icke-diskriminering. I 1 kap. i polislagen finns bestämmelser om respekt för de grundläggande rättigheterna och de mänskliga rättigheterna (2 §), proportionalitetsprincipen (3 §), principen om minsta olägenhet (4 §) och principen om ändamålsbundenhet (5 §). 
Grundlagsutskottet anför i sitt utlåtande att när utskottet har bedömt polisens befogenheter mot bakgrunden av bestämmelserna om civil underrättelseinhämtning har det understrukit vikten av enhetliga bestämmelser i lagen om civil underrättelseinhämtning avseende datatrafik,lagen om militär underrättelseverksamhet och polislagen. Det här är viktigt också för att undvika kontradiktoriska slutsatser. Även om de principiella bestämmelserna i polislagen gäller också vid tillämpningen av den lag som nu granskas, bör lagförslaget enligt grundlagsutskottet kompletteras med den typ av principiella bestämmelser som finns i 1 kap. 2–5 § i polislagen. Kompletteringen kan göras till exempel i form av en hänvisning till polislagen. 
När grundlagsutskottet tog ställning till lagstiftningen om civil underrättelseinhämtning konstaterade det att med tanke på den risk för profilering som underrättelseinhämtningen är förknippad med, är det också nödvändigt att i lagen ta in ett uttryckligt och korrekt formulerat förbud mot diskriminering. Detta är ett villkor för att lagen ska kunna behandlas i vanlig lagstiftningsordning (GrUU 35/2018 rd När grundlagsutskottet tog ställning till lagstiftningen om militärunderrättelseinhämtning konstaterade det i fråga om lagstiftningsordningen att ett sådant diskrimineringsförbud måste motsvara diskrimineringsförbudet i 6 § 2 mom. i grundlagen i det avseendet att förteckningen över diskrimineringsgrunder inte är uttömmande (GrUU 36/2018 rd). Utskottet menar att lagförslaget måste kompletteras med ett på detta sätt utformat allmänt diskrimineringsförbud. Kompletteringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Utifrån grundlagsutskottets utlåtande GrUU 75/2018 rd har förvaltningsutskottet föreslagit följande formulering i lagförslag 2 om civil underrättelseinhämtning avseende datatrafik som ingår den ovan nämnda propositionen om lagstiftning om civil underrättelseinhämtning (RP 202/2018 rd) : ”Inriktningen av en åtgärd inom underrättelseinhämtning som avser datatrafik får inte utan godtagbart skäl grunda sig på en persons kön, ålder, ursprung, nationalitet, bosättningsort, språk, religion, övertygelse, åsikt, politiska verksamhet, fackföreningsverksamhet, familjeförhållanden, hälsotillstånd, funktionsnedsättning, sexuella läggning eller någon annan orsak som gäller hans eller hennes person.” (FvUB 36/2018 rd). 
Med anledning av grundlagsutskottets utlåtande föreslår förvaltningsutskottet att paragrafen kompletteras med nya 3 och 4 mom. om bestämmelser om principer och likabehandling. Motsvarande ändringar måste också göras i 7 kap. om skyddspolisen i enlighet med vad som sägs nedan. 
I lagförslaget ingår ingen hänvisning till bestämmelsen om dataskyddsbrott i 38 kap. 9 § i strafflagen. Straffbart enligt 1 mom. 4 punkten i bestämmelsen om dataskyddsbrott är i den närmare specificerad verksamhet i strid med någon annan lag som gäller behandling av personuppgifter. Också bestämmelsens 2 mom. gäller verksamhet i strid med någon annan lag om behandling av personuppgifter. Grundlagsutskottets uppfattning är att lagen om behandling av personuppgifter i polisens verksamhet är en sådan "annan lag som gäller behandling av personuppgifter" som avses i 38 kap. 9 § 1 mom. 4 punkten i strafflagen. Lagförslaget måste kompletteras med en hänvisning till bestämmelsen om dataskyddsbrott i strafflagen. 
Med hänvisning till grundlagsutskottets utlåtande föreslår förvaltningsutskottet att till paragrafen fogas ett nytt 5 mom. med en hänvisning till bestämmelserna i strafflagen om dataskyddsbrott. På grund av de nya moment som utskottet föreslår blir propositionens 3 mom. paragrafens 6 mom. 
4 §. Behandling av grundläggande personuppgifter.
Utskottet föreslår att hänvisningarna till ”behövliga” grundläggande personuppgifter stryks för undvikande av kontradiktoriska slutledningar. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. 
5 §. Behandling av personuppgifter i undersöknings- och övervakningsuppgifter.
Enligt paragrafens 1 mom. får polisen behandla personuppgifter för utförandet av en uppgift som anknyter till förundersökning, polisundersökning eller någon annan utredning av brott eller till att föra brott till åtalsprövning, för utförandet av en uppgift som anknyter till upprätthållande av allmän ordning och säkerhet och för utförandet av någon annan övervakningsuppgift som föreskrivits för polisen. Enligt paragrafens 2 mom. krävs det dessutom att de i 1 mom. avsedda uppgifterna anknyter till personer som 1) är misstänkta för brott eller för medverkan till brott, 2) är under 15 år och misstänkta för en brottslig gärning, 3) är föremål för förundersökning, polisundersökning eller en åtgärd av polisen, 4) har anmält ett brott eller uppträder som målsägande, 5) är vittnen, 6) är offer, 7) direkt anknyter till polisens fältuppgifter eller i lag särskilt föreskrivna övervakningsuppgifter, 8) på något annat sätt än vad som anges i 1—7 punkten har anknytning till ett ärende som avses i 1 mom. I 2 mom. sägs det att det är fråga om en preciserande bestämmelse. I fråga om sådana personer som avses i det nämnda momentet får man enligt 6 § också behandla vissa känsliga uppgifter såsom biometriska uppgifter och uppgifter som gäller hälsotillståndet. 
Grundlagsutskottet menar att ordalydelsen i 2 mom. 8 punkten är öppen på ett problematiskt sätt. Enligt propositionsmotiven kan det t.ex. vara fråga om en person som lämnat tilläggsupplysningar men som ändå inte har ställning som vittne eller om en person som agerar som sakkunnig. Oberoende av 2 mom. i övrigt utvidgar bestämmelsen tillämpningsområdet för 5 § 2 mom. till alla personer som har anknytning till ett sådant uppdrag som avses i 1 mom. När utskottet behandlade regleringen av register enligt lagen om personuppgifter i polisens verksamhet, som föreslås bli upphävd, ansåg det att förteckningen om innehållet i registrerbara uppgifter måste vara uttömmande. Enligt utskottet måste likaså bestämmelsen i den nu föreslagna regleringen oundgängligen preciseras i allt väsentligt till exempel med de synpunkter som har framförts i propositionsmotiven. Det är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Förvaltningsutskottet beaktar grundlagsutskottets utlåtande genom att föreslå att 2 mom. 8 punkten ändras så att den enbart gäller personer som enligt propositionsmotiven kan lämna anknytande tilläggsupplysningar till polisen. Det är redan nu möjligt att med stöd av 2 § i polisens personuppgiftslag registrera personuppgifter i polisens informationssystem om personer som lämnar sådan tilläggsinformation som polisen behöver för sina undersöknings- och övervakningsuppgifter. Också personer som har rollen av sakkunniga kan lämna sådan tilläggsinformation som avses i lagrummet. 
Enligt 3 mom. i lagförslaget får polisen i sina undersöknings- och övervakningsuppgifter behandla personuppgifter också för att bedöma om uppgifterna är av betydelse med tanke på ändamålet med behandlingen enligt 1 mom. Uppgifternas betydelse ska bedömas och onödiga uppgifter raderas utan dröjsmål, dock senast sex månader från det att de registrerats. Motsvarande bestämmelse ingår i 7 § 6 mom. om förebyggande och avslöjande av brott samt i 48 § 2 mom. om skyddspolisen. 
Enligt propositionsmotiven är det fråga om behandling av personuppgifter som fåtts i samband med utförandet av polisens uppgifter i situationer där uppgifterna inte direkt anknyter till det enskilda uppdrag som utförs. Enligt motiven insamlas sådana uppgifter bland annat i samband med teknisk övervakning enligt 4 kap. 1 § i polislagen. Ett annat exempel som nämns i motiven är insamling av uppgifter för brottsanalys från offentliga källor såsom internet och myndigheternas offentliga register. Uppgifterna kan jämföras med personuppgifter som redan har registrerats i polisens informationssystem för att klargöra om de lagfästa kriterierna för behandlingen av personuppgifter uppfylls. 
Grundlagsutskottet har i sitt utlåtande analyserat förslaget både ur ett nationellt och ett EU-rättsligt perspektiv samt med beaktande av EU-domstolens praxis. Grundlagsutskottet anför vidare i utlåtandet att den föreslagna bestämmelsen skulle leda till att polisen kan registrera en stor mängd personuppgifter i sina elektroniska databaser och att relevansen av de här uppgifterna är oklara i registreringsögonblicket. I lagen definieras inte innehållet i de registrerade uppgifterna eller det tillåtna användningsändamålet. Utskottet konstaterar bland annat att det inte går att övervaka i vilken mån behandlingen av personuppgifter enbart omfattar betydelsefulla uppgifter eftersom bestämmelsen skulle ge polisen befogenheter att obegränsat registrera personuppgifter i sina databaser utan att definiera användningsändamål, innehåll eller registreringsvillkor. 
Med stöd av den föreslagna lagstiftningen om bedömning av informationens relevans kunde det skapas ett omfattande register som är helt okontrollerat i rättslig mening vad beträffar innehåll och ändamål, och registret kunde också innehålla en stor mängd känsliga uppgifter. Utskottet anser det självklart att behandling av insamlade personuppgifter för ett särskilt ändamål kräver att uppgifternas innehåll bedöms med avseende på ändamålet. Utskottet framhåller att såväl i dataskyddsförordningen som i polisdirektivet avses med behandling av personuppgifter även insamling av uppgifter, vilket är möjligt endast för ett uttalat ändamål. Det är således inte fråga om något "förberedande behandlingsskede"på det sättsom det sägs i propositionsmotiven. Grundlagsutskottet har likaså i sin praxis förutsatt att det finns reglering på lagnivå om registreringens syften, innehåll och tillåtna ändamål. I synnerhet när det gäller behandling av känsliga uppgifter måste bestämmelserna vara exakta och noggrant avgränsade på ett sätt som begränsar behandlingen till endast det nödvändiga. 
Så som lagförslagen är utformade i propositionen skulle det vara möjligt att samla in uppgifter som är betydelselösa för polisens verksamhet och att spara dem i register i upp till sex månader, konstaterar grundlagsutskottet. Bestämmelserna måste strykas i sin nuvarande form. Utan dessa ändringar kan lagförslag 1 enligt grundlagsutskottet inte behandlas i vanlig lagstiftningsordning. Utskottet påpekar att det utan hinder av grundlagen kan föreskrivas om värderingen av grunderna för behandling av personuppgifter till exempel på motsvarande sätt som i 5 kap. 55 § i polislagen om radering av information. Det nämnda lagrummet har kommit till med grundlagsutskottets medverkan. 
Med hänvisning till grundlagsutskottets utlåtande föreslår förvaltningsutskottet att 3 mom. om bedömning av uppgifternas betydelse stryks och att i 3 mom. i stället tas in en bestämmelse motsvarande 5 kap. 55 § i polislagen om att information som fåtts i samband med uppdrag ska utplånas utan dröjsmål efter det att det framgått att den inte behövs för sådana behandlingsändamål som avses i 1 mom. eller i 13 § 1 mom. 
En sådan bestämmelse utökar inte polisens befogenheter att inhämta information. Bestämmelserna gäller endast behandling av sådant material som polisen kommer i besittning av i samband med ett uppdrag, antingen med stöd av befogenheter som föreskrivs någon annanstans eller genom metoder som inte kräver några explicita befogenheter. 
Förvaltningsutskottet konstaterar att det ofta inte går att bedöma uppgifternas relevans och den eventuella skyldigheten att utan dröjsmål utplåna dem utan möjlighet att utnyttja modern teknik, i synnerhet om det rör sig om ett omfattande material. Den föreslagna bestämmelsen gör det möjligt att behandla lagligen inhämtad information till exempel med automatisk databehandling för att fastställa om informationen ska utplånas såsom obehövlig eller om de lagfästa villkoren för att utnyttja informationen för ett polisiärt uppdrag uppfylls. Utskottet betonar vikten av att regleringen av hur personuppgifter behandlas i polisens verksamhet täcker in alla behandlingsskeden. Behandlingen av personuppgifter omfattas i varje fas av de skyldigheter som gäller styrning och övervakning av behandlingen samt skyddet för uppgifter, framhåller utskottet. 
6 §. Innehållet i personuppgifter som behandlas i undersöknings- och övervakningsuppgifter.
Utskottet föreslår att hänvisningarna till ”behövliga” grundläggande personuppgifter stryks. Paragrafens 2 punkt måste därför omformuleras. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i 15 § i denna lag. 
I 1 mom. 3 punkten föreskrivs det om registrering av så kallad säkerhetsinformation. Enligt förslaget får polisen behandla uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård och andra uppgifter som hör till särskilda kategorier av personuppgifter. 
Grundlagsutskottet konstaterar i sitt utlåtande att det redan tidigare tagit ställning till motsvarande förslag och då ansett att de förefaller möjliggöra fortsatt omfattande registreringav hälsorelaterade uppgifter och uppgifter om åtgärder inom socialvården (se GrUU 18/2012 rd s. 2/II, GrUU 51/2002 rd och GrUU 37/2002 rd, s. 4/II). Utskottet påpekar att bestämmelsen måste preciseras med en definition av vilka hälsorelaterade uppgifter och uppgifter om åtgärder inom socialvården det är tillåtet att registrera, även om nödvändighetskravet på ett adekvat sätt begränsar området för registrerbara uppgifter (GrUU 18/2012 rd, s. 3/II). Enligt grundlagsutskottet belastas den föreslagna bestämmelsen av samma slags öppenhet när det gäller behandlingen av känsliga uppgifter, i synnerhet i fråga om de nämnda övriga känsliga uppgifterna, trots att förslaget inte nämner uppgifter som hänför sig till åtgärder inom socialvården. Bestämmelsen måste preciseras. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Motsvarande ställningstagande i fråga om lagstiftningsordningen gäller också 8 § 1 mom. 4 punkten och 12 § 1 mom. 6 punkten. 
Förvaltningsutskottet föreslår utifrån grundlagsutskottets utlåtande att bestämmelserna preciseras så att innehållet i säkerhetsuppgifterna, på samma sätt som i den gällande lagen, angesi en uttömmande förteckning, varvid det blir omöjligt att behandla andra känsliga uppgifter med stöd av det lagrummet än de som uttryckligen nämns. Dessutom föreslår utskottet att formuleringarna för tydligheten skull ska vara likalydande så att innehållet i säkerhetsinformationen beskrivs på samma sätt i fråga om samtliga behandlingsändamål. 
Paragrafens 1 mom. 3 punkt föreslås få följande lydelse: ”uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård, objektets eller personens farlighet eller oberäknelighet samt uppgifter som beskriver eller är avsedda att beskriva en brottslig gärning, ett straff eller någon annan påföljd för brott.” 
7 §. Behandling av personuppgifter för förebyggande eller avslöjande av brott
I förslaget till paragraf föreskrivs det om när personuppgifter får behandlas i syfte att förebygga eller avslöja brott. I linje med det som sägs i utskottets allmänna överväganden föreslår förvaltningsutskottet att behandlingen av uppgifter knyts till brottets grovhetsgrad på det sätt som grundlagsutskottet har förutsatt, genom att 7 § 2 mom. 1 punkten ändras så att personuppgifter kan behandlas med stöd av det lagrummet endast när påföljden för det brott som lagrummet avser kan vara fängelse. På de grunder som redovisas i de allmänna övervägandena anser utskottet däremot att behandlingströskeln ska bibehållas i den form som föreslås i propositionen. 
Förvaltningsutskottet har ovan i sina allmänna övervägandepåpekat att de persongrupper som nämns i 7 § 2 mom. inte inbegriper personer med ett så kallat oroväckande beteende eller andra personer som är föremål för åtgärder inom ramen för polisens brottsförebyggande verksamhet. Lagförslaget tillåter inte registrering av åtgärder som riktats mot denna personkategori och därmed inte heller behandling av anknytande personuppgifter. Med stöd av det som sägs i utskottets allmänna övervägande föreslår utskottet att 7 § 2 mom. 3 punkten kompletteras med ett omnämnande om personer som är föremål för andra åtgärder från polisens sida. Därmed blir det möjligt att registrera uppgifter om de som är föremål för åtgärder, vilket för närvarande är möjligt endast med stöd av bestämmelserna i 2 § om polisens informationssystem i den gällande polisens personuppgiftslag. 
Den gällande 2 § tillåter också att uppgifter om andra som har något samband med ett ärende får registreras i informationssystemet för polisärenden. Men förvaltningsutskottet anser att det med beaktande av de anmärkningar som grundlagsutskottet har anfört mot motsvarande bestämmelse i 5 § 2 mom. 8 punkten inte är möjligt att komplettera 7 § 2 mom. med en tämligen opreciserad personkategori under definitionen ”andra som har något samband med ett ärende”. 
Beslut om inledande av behandling av personuppgifter i anknytning till en brottsanalys som behövs för förebyggande eller avslöjande av brott fattas enligt förslaget till 7 § 4 mom. av den personuppgiftsansvarige eller av en annan polisenhet som den personuppgiftsansvarige har förordnat till uppgiften. För tydlighetens skull påpekar utskottet att en sådan brottsanalys som behövs för förebyggande eller avslöjande av brott redan nu kan införas i tillfälliga brottsanalysregister som inrättats med stöd av 6 §. Den största skillnaden mellan den typen av tillfälliga brottsanalysregister jämfört med det som nu föreslås är att behandlingen är rikstäckande och att analyserna inte begränsas till att enbart gälla brott på vilka det kan följa fängelse. Dessutom regleras både de persongrupper och innehållet i den information som berörs av brottsanalys enligt 7 och 8 § noggrannare än i den gällande lagen. De förslag till preciseringar som utskottet kommer med t.ex. i fråga om bindningen till påföljden innebär en striktare begränsning än i propositionen av vilken information som får användas vid brottsanalys. Behandlingen av information som gäller särskilda persongrupper ska både enligt den allmänna lagstiftningen och i enlighet med 15 § 1 mom. i förslaget till 8 § begränsas till information som är nödvändig med tanke på ändamålet med behandlingen. 
På de grunder som nämns ovan i samband med 5 § föreslår förvaltningsutskottet med beaktande av grundlagsutskottets utlåtande att 6 mom. om bedömning av uppgifternas betydelse stryks och att i 6 mom. i stället tas in en bestämmelse motsvarande 5 kap. 55 § i polislagen om att information som fåtts i samband med uppdrag ska utplånas utan dröjsmål efter det att det framgått att den inte behövs för sådana behandlingsändamål som avses i 1 mom. eller i 13 § 1 mom. 
8 §. Innehållet i personuppgifter som anknyter till förbyggande eller avslöjande av brott.
Utskottet föreslår att hänvisningarna till ”behövliga” grundläggande personuppgifter stryks. Paragrafens 3 punkt måste därför omformuleras. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i 15 § i denna lag. 
I paragrafen föreskrivs det om information som polisen får behandla i fråga om personer som avses i 7 §, utöver de grundläggande personuppgifter som nämns i 4 §. Grundlagsutskottet har den uppfattningen att dessa uppgifter kan innehålla känsliga uppgifter. Utskottet omfattar den syn som framgår av propositionsmotiven, enligt vilken 8 § 1 mom. 2 punkten i själva verket har ett mycket brett innehåll. Med stöd av det lagrummet skulle polisen få behandla behövliga uppgifter som gäller en persons verksamhet och beteende. Sådana uppgifter kan enligt propositionsmotiven gälla t.ex. en persons kontakter, livsstil, ekonomiska situation, hobbyer och annat av intresse till den del uppgifterna är behövliga med tanke på förbyggande och utredning av brott. Bestämmelsen måste preciseras exempelvis med den beskrivning som framgår av motiven. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Förvaltningsutskottet konstaterar för sin del att bestämmelsen är påfallande vid och tolkbar och den skulle därför inte förtydliga nuläget jämfört med bestämmelserna om registret över misstänkta. En sådan reglering medför risker med tanke på en behörig behandling av personuppgifter. Med hänvisning till grundlagsutskottets utlåtande föreslår förvaltningsutskottet att 2 punkten preciseras enligt följande: ”uppgifter som gäller en persons kontakter, levnadsvanor, ekonomiska situation, fritidsintressen och andra intressen” 
På de grunder som nämns ovan i samband med 6 § och med hänvisning till grundlagsutskottets utlåtande föreslår förvaltningsutskottet att 1 mom. 4 punkten preciserasenligt följande: ”uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård, objektets eller personens farlighet eller oberäknelighet samt uppgifter som beskriver eller är avsedda att beskriva en brottslig gärning, ett straff eller någon annan påföljd för brott.” 
9 §. Behandling av uppgifter om informationskällor.
Enligt förslaget får polisen behandla uppgifter om en i 5 kap. 40 § i polislagen eller 10 kap. 39 § i tvångsmedelslagen avsedd person som har använts som informationskälla, uppgifter om hur informationskällan har använts och om tillsynen samt det huvudsakliga innehållet i de uppgifter som informationskällan lämnat. 
Grundlagsutskottet påpekar i sitt utlåtande att det överhuvudtaget inte framgår av bestämmelsen om behandling av informationskällor vilken typ av personuppgifter som avses. Av propositionsmotiven framgår emellertid att känsliga uppgifter får behandlas endast när det är nödvändigt med tanke på ändamålet med behandlingen. Bestämmelsen måste kompletteras. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Förvaltningsutskottet delar grundlagsutskottets åsikt och föreslår att paragrafen kompletteras med en hänvisning till grundläggande personuppgifter enligt 4 §. Det här betyder att polisen skulle kunna behandla grundläggande personuppgifter enligt 4 § om personer som har använts som informationskälla på samma sätt som om andra personer som avses i de paragrafer i 2 kap. som reglerar ändamålet med behandlingen. 
För tydlighetens skull föreslår förvaltningsutskottet dessutom att bestämmelserna om dels uppgifter om hur informationskällan har använts och om tillsynen, dels det huvudsakliga innehållet i de uppgifter som informationskällan lämnat spjälkas upp på punkterna 1 och 2, varvid denna paragraf får samma utformning som andra bestämmelser i 2 kap. 
Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i 15 § i denna lag. 
12 §. Innehållet i personuppgifter som behandlas för utförande av polisens övriga lagstadgade uppgifter.
I förslaget till 11 § föreskrivs det om behandling av personuppgifter i polisens övriga lagstadgade uppgifter och i 12 § om innehållet i personuppgifter som behandlas för utförande av sådana uppgifter. 
Med hänvisning till förslaget till 15 § föreslår utskottet att i 12 § stryks hänvisningen till behandling av behövliga uppgifter. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i 15 § i denna lag. 
På de grunder som nämns ovan i samband med 6 § och med hänvisning till grundlagsutskottets utlåtande föreslår förvaltningsutskottet att 1 mom. 6 punkten preciserasenligt följande: ”uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård, objektets eller personens farlighet eller oberäknelighet samt uppgifter som beskriver eller är avsedda att beskriva en brottslig gärning, ett straff eller någon annan påföljd för brott.” Med beaktande av förslaget till 15 § 1 mom. är det inte längre nödvändigt att i 1 mom. 6 punkten föreskriva om begränsningar av behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter. 
Grundlagsutskottet har också i sitt utlåtande påpekat att polisen med stöd av 12 § 1 mom. 8 punkten får behandla personuppgifter också för utförande av uppgifter som anknyter till tillståndsförvaltning samt för sådana övervakningsuppgifter som polisen ska utföra enligt särskilda bestämmelser i lag och som inte anknyter till förebyggande, avslöjande eller utredning av brott eller förande av brott till åtalsprövning eller skydd mot eller förebyggande av hot mot den allmänna säkerheten. Bestämmelserna innehåller ingen begränsning i fråga om känsliga uppgifter och måste därför preciseras eller kompletteras med en begränsning enligt vilken känsliga uppgifter inte får behandlas på grundval av 12 § 1 mom. 8 punkten. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Med anledning av grundlagsutskottets utlåtande föreslår förvaltningsutskottet att 8 punkten begränsas med formuleringen ”, dock inte uppgifter som hör till särskilda kategorier av personuppgifter”. 
13 §. Behandling av personuppgifter för andra ändamål än det ursprungliga.
Utskottet föreslår att i paragrafens inledande stycke stryks omnämnandet av uppgifternas behövlighet. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i 15 § i denna lag. 
Om inte något annat föreskrivs någon annanstans i lag, får enligt paragrafens 1 mom. polisen behandla de personuppgifter som avses i 5—9, 11 och 12 § för andra ändamål med behandlingen än det ursprungliga, om detta behövs för 1) att förebygga eller avslöja ett brott, 2) att utreda ett brott som kan medföra fängelsestraff, 3) att påträffa en efterlyst, 4) en utredning som stöder det att någon är oskyldig, 5) förhindrande av betydande fara för någons liv, hälsa eller frihet eller betydande miljö-, egendoms- eller förmögenhetsskada, 6) skyddande av den nationella säkerheten, 7) att utreda identitet i samband med en sådan polisåtgärd som nödvändigt kräver att identiteten styrks, 8) inriktning av polisens verksamhet. 
I enlighet med det som sägs i utskottets allmänna överväganden föreslås det att 1 mom. 2 punkten får formuleringen ”2) att utreda brott för vilka det strängaste straffet enligt lag är fängelse,” Bestämmelsen motsvarar till sitt innehåll motsvarande bestämmelse i 7 § 2 mom. 1 punkten i lagförslaget. 
Vid utfrågningen av sakkunniga uppmärksamgjordes förvaltningsutskottet på att bestämmelsen öppnar för behandling för att förebygga eller avslöja brott eller inrikta polisens verksamhet också när det gäller andra brott än sådana där påföljden kan vara fängelse. Det påpekades likaså att det skulle vara möjligt att utnyttja information med anknytning till polisens tillstånds- och övervakningsärenden för brottsförebyggande verksamhet. Information skulle således kunna användas för syften som hänför sig dels till dataskyddsförordningen, dels till dataskyddslagen avseende brottmål. 
Förvaltningsutskottet konstaterar att de föreslagna bestämmelserna om behandling av uppgifter för förhindrande också av andra brott än sådana där påföljden kan vara fängelse och för inriktning av polisens verksamhet till sitt innehåll motsvarar 5 kap. 54 § 4 och 5 mom. i polislagen och 10 kap. 56 § 4 och 5 mom. i tvångsmedelslagen om behandling av överskottsinformation som erhållits med hemliga metoder för inhämtande av information och hemliga tvångsmedel. Överskottsinformation får enligt polislagen och tvångsmedelslagen alltid användas för förhindrande av brott och för inriktning av polisens verksamhet. Med förhindrande av brott avses enligt definitionen i 5 kap. 1 § i polislagen endast åtgärder som syftar till att förhindra brott, försök till brott och förberedelse till brott, när det utifrån iakttagelser av en persons verksamhet eller utifrån annan information om en persons verksamhet finns grundad anledning att anta att personen i fråga kommer att göra sig skyldig till brott, samt åtgärder som syftar till att avbryta ett redan påbörjat brott eller begränsa den direkta skada eller fara som brottet medför. Med användning av information för inriktning av polisens verksamhet avses också med hänvisning till polislagen sådant indirekt utnyttjande av informationen så att den inte används som bevisning eller som grund för att använda en metod för informationsinhämtning. 
Förvaltningsutskottet konstaterar att gällande 16 § i polisens personuppgiftslag tillåter användning av information i polisens informationssystem för förvaltningsärenden för brottsförebyggande verksamhet. I den föreslagna lagen finns det bestämmelser i 11 och 12 § om behandling av uppgifter i anknytning till polisens tillstånds- och tillsynsärenden. Den behandling av personuppgifter som avses i dessa paragrafer hör till tillämpningsområdet för dataskyddsförordningen och den nationella dataskyddslag som kompletterar förordningen. 
I artikel 5.1 b i dataskyddsförordningen föreskrivs om ändamålsbegränsning när det gäller personuppgifter. Behandling av personuppgifter för andra ändamål än det för vilka de samlats in kan enligt artikel 6.4 i dataskyddsförordningen grunda sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1. Enligt skäl 50 i förordningens ingress ska den personuppgiftsansvarige i sådana fall ha rätt att behandla uppgifterna i ett senare skede oberoende av sambanden mellan ändamålen. Under alla omständigheter ska man dock försäkra sig om att de principer dataskyddsförordningens principer följs och att den registrerade informeras om dessa andra ändamål och om sina rättigheter. 
Enligt förslaget till 13 § ska uppgifter som avses i 11 och 12 § kunna behandlas för sådana ändamål som avses i dataskyddslagen avseende brottmål. Det är då fråga om en sådan på medlemsstatens nationella rätt baserad behandling som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1. Med avseende på de behandlingsmål som nämns i 13 § bör särskild vikt fästas i synnerhet vid artikel 23.1 a om nationell säkerhet, 23.1 c om den allmänna säkerheten och 23.1 d om förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten. 
Förvaltningsutskottet anser att den nya allmänna lagstiftningen om dataskydd har acceptans för den föreslagna regleringen om att använda information i anknytning till polisens tillstånds- och övervakningsärenden för andra ändamål än de ursprungliga. Enligt förvaltningsutskottets uppfattning uppfyller förslaget också kraven på innehållet i lagstiftningsåtgärder enligt artikel 23.2. 
Förvaltningsutskottet understryker vidare att behandling av uppgifter som hör till särskilda kategorier av personuppgifter för de ändamål som nämns i 13 § är begränsat enligt 15 § 1 mom. uteslutande till situationer där det är nödvändigt med avseende på ändamålet. 
De allmänna bestämmelser som ska tillämpas på behandling av personuppgifter för andra ändamål än de ursprungliga bestäms utifrån för vilket från det ursprungliga ändamålet avvikande ändamål uppgifterna är tänkta att behandlas (artikel 2 och skäl 19 i ingressen till dataskyddsförordningen, artikel 9 i dataskyddsdirektivet avseende brottmål). Behandling av personuppgifter för andra ändamål än det ursprungliga omfattas av tillämpningsområdet för dataskyddsdirektivets genomförandelagstiftning när det är fråga om behandling av uppgifter för de ändamål som föreskrivs i 1 § i dataskyddslagen avseende brottmål. På behandling av uppgifter för exempelvis att förebygga brott ska dataskyddslagen avseende brottmål tillämpas. 
Enligt paragrafens 2 mom. får uppgifter i polisens personregister trots sekretessbestämmelserna behandlas även för laglighetsövervakning, analys, planering och utveckling. Uppgifterna får dessutom användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. För tydlighetens skull konstaterar förvaltningsutskottet i fråga om sådan strategisk analys som omtalas i momentet att användningen av uppgifter i detta syfte inte märkbart avviker från sådan planering och utveckling för vilka polisen med stöd av 16 § i den gällande polisens personuppgiftslagkan behandla personuppgifter som ursprungligen insamlats för brottmål eller för tillstånds- och övervakningsärenden. Olika typer av omvärldsöversikter, rapporter om brottsfenomen samt utvärderingar av brottsbekämpningsåtgärders genomslag kan hänföras till begreppet strategisk analys. Avsikten är att skapa en sammantagen situationsbild, granska trender och hotbilder och göra riskbedömningar. Strategisk analys tar inte sikte på att avvärja eller utreda ett enskilt brott utan till att få fram en lägesbild av brottsligheten. 
Förvaltningsutskottet anser att förslaget till 13 § och till övriga delar är befogat. Grundlagsutskottet har i sitt utlåtande haft synpunkter på avvikelser från ändamålsbundenheten men har i övrigt inte uttalat sig om innehållet i 13 §. 
14 (15) §. Behandling av personuppgifter vid prövning och övervakning av tillstånd.
För att förtydliga regleringen föreslår utskottet att den inbördes ordningen mellan 14 och 15 § ändras på grund av de ändringar som nedan föreslås i 15 §. 
För att undvika kontradiktoriska slutsatser föreslår utskottet också att omnämnandet av uppgifternas behövlighet stryks i 1 mom. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i 15 § i denna lag. 
I paragrafen intas bestämmelser om behandling av personuppgifter för andra ändamål än de ursprungliga vid prövning och övervakning av tillstånd. Utskottet föreslår att paragrafrubriken preciseras för att bättre motsvara innehållet. 
15 (14) §. Behandling av uppgifter som hör till särskilda kategorier av personuppgifter för andra ändamål än det ursprungliga.
Enligt artikel 9.1 i dataskyddsförordningen är behandling av särskilda kategorier av personuppgifter i princip förbjuden. Enligt artikel 9.2 får uppgifterna behandlas om något av villkoren i punkt 2 led a–j uppfylls. En del av de här leden ska tillämpas direkt medan andra kräver nationell lagstiftning. Enligt 11 § i dataskyddslagen avseende brottmål är behandling av särskilda kategorier av personuppgifter tillåten endast om det är nödvändigtoch de skyddsåtgärder som krävs för att trygga den registrerades rättigheter har vidtagits och en sådan särskild rättsgrund som nämns i 11 §, exempelvis en speciallag, är för handen. I motiveringen till lagstiftningsordningen hänvisas det också till att behandling av personuppgifter som hör till särskilda kategorier av personuppgifter ska begränsas med beaktande av EU:s dataskyddslagstiftning, lagstiftningen om grundläggande fri- och rättigheter och grundlagsutskottets ställningstaganden till vad som är nödvändigt med tanke på ändamålet med behandlingen samt att bestämmelser om nödvändighetskriterier finns i dataskyddslagen avseende brottmål. 
Grundlagsutskottet uppmärksammar i sitt utlåtande att det i vissa paragrafer föreslås en lagfäst grund för nödvändighetskriteriet. Men formuleringarna i paragrafförslagen är delvis diffusa. Utskottet menar att detta sätt att formulera bestämmelser som bara tas in i vissa paragrafer öppnar upp för ogrundade kontradiktoriska slutsatser. Enligt grundlagsutskottets praxis måste det finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är nödvändigt. Därför måste ett i särklass grundrättighetskänsligt lagförslag kompletteras med en allmän bestämmelse med ett nödvändighetskrav för behandling av känsliga uppgifter. Alternativt kan regleringen kompletteras paragrafvis med bestämmelser som knyter behandlingen av känsliga uppgifter till ett nödvändighetskrav. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Förvaltningsutskottet föreslår att paragrafen ändras så att den på ett sammantaget sätt innefattar bestämmelser om behandling uppgifter som hör till särskilda kategorier av personuppgifter. Därför måste också paragrafrubriken ändras. 
Med hänvisning till grundlagsutskottets utlåtande föreslår förvaltningsutskottet att i paragrafens 1 mom. i stället för det som föreslås i propositionen intas en allmän bestämmelse om nödvändighet som ett villkor fär att behandla uppgifter som hör till särskilda kategorier av personuppgifter. Nödvändighetskriteriet gäller alla former av behandling. Utskottet hänvisar här till det som sägs i de allmänna övervägandena. Bestämmelser om behandling av personuppgifter vid skyddspolisens ska ingå i 7 kap. 
Förvaltningsutskottets förslag till nytt 1 mom. innebär att överlappande reglering i vissa andra paragrafer måste strykas. Dessutom måste vissa paragrafer i 2 kap. omformuleras så att hänvisningar till ”behövliga” uppgifter stryks för att undvika kontradiktoriska slutsatser. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. 
När grundlagsutskottet behandlade avvikelser från ändamålsbegränsningen kommenterades förslaget till paragrafens 4 mom., enligt vilket biometriska uppgifter som behandlas för utförande av uppgifter enligt 131 § i utlänningslagen i fortsättningen får användas om det är nödvändigt att använda uppgifterna för förebyggande, avslöjande eller utredning av sådana terroristbrott och andra grova brott som avses i Eurodacförordningen. 
I sitt utlåtande om ändring av utlänningslagen ansåg grundlagsutskottet att den föreslagna lagen kunde behandlas i vanlig lagstiftningsordning bara om den ändrades så att det föreskrivs att användningen av fingeravtryck begränsas uteslutande till ändamål som svarar mot det ändamål som de samlats in och registrerats för (GrUU 47/2010 rd, s. 4). Ett sådant ändamål kan i sig ha samband med att hindra och utreda exakt angivna brott, men bara i den omfattningen som verksamheten har ett nära samband med det ursprungliga insamlings- och registreringsändamålet. Bestämmelser om det ursprungliga ändamålet för insamling och registrering av uppgifter för identifiering av utlänningar finns i 131 § i utlänningslagen. Polisen eller gränskontrollmyndigheten får för verifiering av identitet, för behandling, beslut och övervakning av utlänningars inresa och utresa samt vistelse och arbete och för tryggande av statens säkerhet ta fingeravtryck, fotografier och andra signalement på en sådan utlänning som avses i lagrummet. 
Enligt propositionsmotiven har polisen med stöd av 131 § i utlänningslagen rätt att uppta signalement för tryggande av statens säkerhet och i europadomstolens rättspraxis har staten ansetts ha en bred prövningsmarginal bl.a. för att bedöma om begränsningen av skydd av personlig integritet är nödvändig för att trygga statens säkerhet. För tryggandet av statens säkerhet anses det vara viktigt att bl.a. utreda vem det finns skäl att misstänka för ett brott som äventyrar statens säkerhet eller för planeringen av ett sådant brott. Förebyggande, avslöjande och utredande av terroristbrott och andra grova brott ska enligt propositionsmotiven anses vara ett ändamål förenligt med behandling av personuppgifter för tryggande av statens säkerhet. Det föreslås att med terroristiska gärningar ska på motsvarande sätt som i Eurodacförordningen jämställas övriga grova brott som avses i förordningen. 
Enligt artikel 2 i Eurodacförordningen avses med terroristbrottbrott enligt nationell rätt som motsvarar eller är likvärdiga med de som avses i artiklarna 1–4 i rambeslut 2002/475/RIF och med grova brott former av brottslighet som motsvarar eller är likvärdiga med de som avses i artikel 2.2 i rambeslut 2002/584/RIF om de enligt nationell rätt kan bestraffas med fängelse eller annan frihetsberövande åtgärd i minst tre år. Grundlagsutskottet konstaterar att tillämpningsområdet för förslaget till 14 § 4 mom. således utvidgas till brott som inte ens i sin grova form riktar sig mot statens säkerhet eller mot något annat mål som nämns i 131 § i utlänningslagen. Avvärjandet av dessa brott har därmed inte något sådant nära sambandmed den ursprungliga avsikten med att samla in och registrera information på det sätt som grundlagsutskottet förutsätter. Om förslaget till 14 § 4 mom. inte till denna del är utformad på det sätt som Eurodacförordningen kräver måste lagrummet preciseras väsentligt på så sätt att behandlingen ska ha ett nära sambandmed insamlings- och registreringssyftet. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Förvaltningsutskottet anser att den föreslagna regleringen inte är något som krävs på grund av Eurodacförordningen även om fingeravtrycksjämförelser i Eurodacsystemet förutsätter att jämförelser för att identifiera en registrerad redan gjorts i de nationella databaserna. För att tillmötesgå förvaltningsutskottets utlåtande föreslår förvaltningsutskottet att regleringen preciseras så att propositionens hänvisning till i Eurodacförordningen avsedda terroristbrott och andra grova brott ändras till hänvisningar till sådana i strafflagen avsedda brott som har en nära samband med det ursprungliga behandlingsändamålet. Hänvisningen ska åtminstone avse 12, 13 och 34 a kap. i strafflagen där det föreskrivs om landsförräderibrott, högförräderibrott och terroristbrott. Dessutom måste det finnas hänvisningar till strafflagens 11 kap. (folkmord och brott mot mänskligheten), 14 kap. (brott mot politiska rättigheter), 17 kap. 2—4, 7, 7 c och 8 a § (brott mot allmän ordning), 34 kap. 3 och 5 § (allmänfarliga brott) samt 46 kap. 1 och 2 § (brott som har samband med införsel och utförsel), vilka förvaltningsutskottet anser ha ett sådant nära samband med det ursprungliga behandlingsändamålet att skydda statens säkerhet på det sätt som sägs i 131 § i utlänningslagen. 
Utskottet föreslår dessutom att 4 mom. kompletteras med en bestämmelse enligt den gällande lagen enligt vilken uppgifter som insamlats för jämförelse får användas endast när jämförelsen görs och ska därefter förstöras omedelbart. 
16 §. Polisens rätt att få uppgifter ur vissa register och informationssystem
I paragrafen föreslås bestämmelser om polisens rätt att få uppgifter ur vissa register och informationssystem. I det inledande stycket till 1 mom. föreskrivs det om rätt att få uppgifter också genom en teknisk anslutning eller som en datamängd på det sätt som avtalats med den personuppgiftsansvarige. Med överenskommelse avses enligt utredning till utskottet de praktiska förfaranden som krävs för att öppna en teknisk anslutning till en annan myndighets personregister. Utskottet föreslår att momentet förtydligas i enlighet med det. 
Utskottet föreslår också att behövlighetskriteriet stryks i det inledande stycket och i 10 punkten. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i 15 § i denna lag. 
Utskottet föreslår att 1 mom. 2 punkten preciseras så att den motsvarar det som föreskrivs i om utlämnande av uppgifter ilagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten. 
Utskottet föreslår att frasen i 1 mom. 4 punkten ”om sådan information kan fås” stryks såsom obehövlig. 
Utskottet har justerat paragrafhänvisningen i 6 punkten
I 1 mom. 7 punkten bör visumärenden nämnas eftersom uppgifter om dem finns i utrikesministeriets informationssystem. I 8 punkten ska däremot visum inte nämnas eftersom Migrationsverket inte behandlar visumansökningar och det inte heller registreras några visumuppgifter i Migrationsverkets informationssystem. 
Utskottet lägger till författningsnumret i 1 mom. 14 punkten. 
17 §. Uppgifter som andra myndigheter lämnar ut till polisen genom registrering vid direkt anslutning eller för registrering av en datamängd.
Enligt det inledande stycket får de myndigheter som avses i paragrafen enligt avtal med den personuppgiftsansvarige genom en direkt anslutning eller för registrering som en datamängd till polisens personregister lämna ut de uppgifter som närmare preciseras i paragrafen. Med överenskommelse avses enligt utredning till utskottet de praktiska förfaranden som krävs för att öppna en teknisk anslutning till en annan myndighets personregister. Utskottet föreslår att momentet förtydligas i enlighet med det. 
Dessutom föreslår utskottet strykning av hänvisningar till uppgifternas behövlighet. Bestämmelserna måste därför omformuleras. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i 15 § i denna lag. 
18 §. Europeiska unionens informationssystem för viseringar.
Utskottet har i 2 mom. strukit strafflagens författningsnummer eftersom det redan nämns i hänvisningen i 2 §. 
21 §. Utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål.
Enligt 2 § 3 mom. 9 punkten i den gällande lagen får i informationssystemet för polisärenden registreras uppgifter om en person som avses i 5 kap. 40 § i polislagen och som har använts som informationskälla för hindrande, avslöjande eller utredning av brott samt uppgifter om hur informationskällan har använts samt om tillsynen (uppgifter om informationskälla), Det finns ingen särskild begränsning av rätten att till andra myndigheter lämna ut uppgifter om informationskällor, utan de kan lämnas ut under de förutsättningar som föreskrivs i 19 § i polisens personuppgiftslag eller på grundval av rätt att få information enligt någon annan lag. 
I 9 § föreslås det bestämmelser om behandling av uppgifter om informationskällor. Enligt vad som sägs i förslaget till 21 och 22 § kan polisen inte lämna ut uppgifter som avses i 9 § till andra myndigheter. Men bestämmelserna i 30 § förslaget till Gränsbevakningsväsendets personuppgiftslag i RP 241/2018 rd innefattar rätt att lämna ut uppgifter om informationskällor till andra behöriga myndigheter som avses i dataskyddslagen avseende brottmål. Enligt utredning till utskottet har avsikten inte varit att i det här avseendet justera rättsläget i fråga om polisen. Med hänsyn till PTG-samarbetet och annat behov av informationsutbyte mellan myndigheter är det nödvändigt att det också enligt polisens personuppgiftslag är möjligt att till andra behöriga myndigheter som avses i dataskyddslagen avseende brottmål kunna lämna ut uppgifter om informationskällor. Därför föreslår utskottet att det i paragrafen ska hänvisas också till 9 §. 
Samtidigt bör uttrycket ”andra myndigheter” preciseras i överensstämmelse med paragrafrubriken. I 3 § 1 mom. 5 punkten i dataskyddslagen avseende brottmål definieras begreppet behörig myndighet. Enligt motiven avses med behöriga myndigheter exempelvis polis- och tullmyndigheterna, Gränsbevakningsväsendet, de allmänna domstolarna, åklagarväsendet, rättsregistercentralen och Brottspåföljdsmyndigheten. Också en i lagen om Forststyrelsens jakt- och fiskeövervakning (1157/2005) avsedd jakt- och fiskeövervakare är en sådan behörig myndighet som avses i lagrummet, för övervakaren gör i vissa situationer summarisk förundersökning i brottmål. Även exempelvis riksdagens justitieombudsman och justitiekanslern är sådana behöriga myndigheter som avses i sammanhanget eftersom de under vissa omständigheter har åtalsrätt. Däremot är exempelvis en i lagen om verkställighet av samhällspåföljder (400/2015) avsedd socialarbetare som utsetts att i egenskap av biträdande övervakare bistå en tjänsteman som svarar för verkställigheten av en enskild samhällspåföljd inte en sådan behörig myndighet som avses i lagrummet. I lagrummet utsträcks definitionen av behörig myndighet också till Försvarsmakten, polisen och Gränsbevakningsväsendet när de sköter uppgifter som avses i § 2 mom. i dataskyddslagen avseende brottmål. 
Utskottet understryker vidare att enligt förslaget till 21 § kan uppgifter lämnas ut bara för utförande av uppgifter som avses i 1 § dataskyddslagen avseende brottmål. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i 15 § i denna lag. 
22 §. Övrigt utlämnande av personuppgifter till myndigheter.
Utskottet föreslår strykning av hänvisningar till uppgifternas behövlighet. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i 15 § i denna lag. 
I paragrafens 1 mom. 1 punkten finns en hänvisning till vissa bestämmelser i lagen om transportservice. Riksdagen antog 15.2.2019 en lag om ändring av lagen om transportservice (RP 157/2018 rd — KoUB 39/2018 rd). En teknisk justering måste göras på grund av ändrad paragrafnumrering. 
Också i 1 mom. 4 och 6 punkten bör det göras justeringar av hänvisningarna på grund av ändrad paragrafnumrering. 
Enligt utredning är det inte nödvändigt att i 1 mom. 7 punkten hänvisa till ärenden som gäller övervakning av arbete. Begreppet arbetsmyndighet föreslås bli ersatt med arbets- och näringsmyndighet. Utlänningslagen (301/2004) ändrades genom lag 121/2018 och då ändrades begreppet uppehållstillstånd för näringsidkare till uppehållstillstånd för företagare. Denna ändring bör göras i såväl 7 som 8 punkten. 
Utskottet menar dessutom att 9 punkten behöver kompletteras. Utöver de lagfästa skyldigheter att behandla och avgöra ärenden som nämns i lagrummet dessutom ett tillsynsuppdrag enligt 212 § i utlänningslagen. För detta ändamål bör det vara möjligt att till Migrationsverket utlämna exempelvis uppgifter om efterlysta personer. De uppgifter som behövs för tillsynen hör till tillämpningsområdet för polisens personuppgiftslag och inte till exempel till området för förslaget till lag om behandling av personuppgifter i migrationsförvaltningen (RP 224/2018 rd) och formuleringen i 9 punkten omfattar inte behandling av uppgifter för tillsyn. Utskottet föreslår därför att punkten kompletteras med en bestämmelse om att lämna ut uppgifter till Migrationsverket för föreskrivna tillsynsuppgifter. 
I 15 punkten föreslår utskottet att begreppet arbetarskyddsförvaltning ändras till arbetarskyddsmyndighet. 
I paragrafens 2 mom. finns bestämmelser om utlämnande av biometriska uppgifter som behandlas för utförande av uppgifter som föreskrivs i lagen om identitetskort och passlagen gällande övervakning av utlänningars inresa och utresa samt vistelse. Trots att utskottet har föreslagit en särskild paragraf (15 §) med bestämmelser om behandling av uppgifter som hör till särskilda kategorier av personuppgifter, anse utskottet att den specialbestämmelse som ingår i momentet behövs. Enligt den begränsas utlämnandet av biometriska uppgifter för utförande av uppgifter enligt lagen om identitetskort och passlagen striktare än i den gällande lagen när det kommer till uppgifter som hör till särskilda kategorier av personuppgifter. Eftersom det handlar om uppgifter som hör till särskilda kategorier av personuppgifter föreslår utskottet att behövlighetskriteriet ändras till ett nödvändighetskriterium. 
I paragrafens 3 mom. föreslås en bestämmelse om utlämnande av andra än i 2 mom. avsedda uppgifter som hör till särskilda kategorier av personuppgifter för de ändamål som anges i 1 mom. Utskottet föreslår att bestämmelsen stryks i det här sammanhanget eftersom det i stället föreslås bestämmelser i 15 § om behandling av uppgifter som hör till särskilda kategorier av personuppgifter. 
I motsvarande 31 § 2 mom. i Gränsbevakningsväsendets personuppgiftslag (RP 241/2018)föreslås det att Gränsbevakningsväsendet utöver vad som föreskrivs i 1 mom. av grundad anledning trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd får lämna ut till en myndighet personuppgifter som är nödvändiga för att utföra en uppgift som i lag föreskrivits för myndigheten. Genom detta görs det möjligt att lämna ut uppgifter som är nödvändiga för att utföra en myndighets i lagen föreskrivna uppgifter till den del det inte finns bestämmelser om utlämnanderätten i 1 mom. En motsvarande bestämmelse behövs också i polisens personuppgiftslag. Utskottet föreslår att den tas in i paragrafens 3 mom. 
25 §. Utlämnande av personuppgifter till brottsbekämpande myndigheter i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet.
Utskottet föreslår att omnämnande av behövlighet stryks i den näst sista meningen i 2 mom. och att hela den sista meningen om nödvändighetskriteriet för behandling av personuppgifter som hör till särskilda kategorier av uppgifter. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i 15 § i denna lag. 
31 §. Övrigt utlämnande av personuppgifter till myndigheter.
Utskottet föreslår att paragrafhänvisningen justeras till följd av den ändrade paragrafnumreringen. 
33 §. Radering av personuppgifter som anknyter till brottmål.
Utskottet föreslår att ordet ”behövliga” ersätts med ”som behandlas”. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i 15 §. 
42 §. Inskränkningar i rätten till insyn.
Bestämmelser om inskränkningar i den registrerades rätt till insyn i enskilda fall finns i 24 och 28 § i dataskyddslagen avseende i brottmål. I den föreslagna 42 § kompletteras dessa bestämmelser med bestämmelser om allmänna undantag som gäller polisens behandling av personuppgifter och rätten till insyn för en registrerad i enlighet med 23 § i dataskyddslagen avseende brottmål. Om den registrerade inte har omedelbar rätt till insyn har hen dock rätt att be dataombudsmannen granska lagligheten i behandlingen av personuppgifterna. 
Enligt 1 mom. 1 punkten gäller rätten till insyn inte personuppgifter som avses i 5 § 3 mom. och 7 § 6 mom., i fråga om vilka polisen håller på att göra en bedömning av deras behövlighet. Förvaltningsutskottet har ovan med anledning av grundlagsutskottets utlåtande föreslagit att bestämmelserna om bedömning av uppgifternas betydelse stryks och att det i stället intas bestämmelser motsvarande den gällande lagen om skyldighet att utplåna uppgifter. Förvaltningsutskottet anser att denna skyldighet inte kräver någon begränsning av insynsrätten och utskottet föreslår därför att hänvisningen i 1 punkten till 5 § 3 mom. och 7 § 6 mom. stryks. 
46 §. Tillämpningsområde.
Förvaltningsutskottet hänvisar till det som sägs i 2 § och föreslår med beaktande av grundlagsutskottets utlåtande att paragrafen kompletteras med en sådan hänvisning till principerna i polislagen som föreslagits i lagstiftningen om civil underrättelse om som gäller diskrimineringsförbud i anknytning till respekten för de grundläggande rättigheterna FvUB 36/2018 rd — RP 202/2018 rd). Utskottet föreslår att bestämmelserna läggs till som nya 3 och 4 mom. 
Efter grundlagsutskottets utlåtande är det också nödvändigt att ta in en hänvisning till strafflagens 38 kap. 9 § om dataskydd. Utskottet föreslår att bestämmelsen läggs till som ett nytt 5 mom. På grund av de nya moment som utskottet föreslår blir propositionens 3 mom. paragrafens 6 mom. 
48 §. Behandling av personuppgifter vid skyddspolisen
Riksdagen antog den 11 mars 2019 lagstiftning om civil underrättelseinhämtning (RP 202/2017 rd — FvUB 36/2018 rd). När den lagstiftningen träder i kraft förlorar skyddspolisen sina förundersökningsbefogenheter. Detta måste beaktas i 48 § som innehåller bestämmelser om ändamålet med behandling av personuppgifter vid skyddspolisen. I övrigt har lagstiftningen om civil underrättelseinhämtning och dess konsekvenser för behandlingen av personuppgifter vid skyddspolisen beaktats. 
Eftersom förundersökningsbefogenheterna inte är aktuella måste bestämmelsen i 1 mom. om behandling av personuppgifter för utredande av brott strykas. Utskottet gör därför tekniska ändringar i momentet. Förvaltningsutskottets förslag påverkar inte i övrigt skyddspolisens rätt att behandla personuppgifter. 
Grundlagsutskottet har noterat paragrafens 2 mom. när det tog ställning till de förslag som gäller bedömning av uppgifternas betydelse. Frågan diskuteras närmare ovan i samband med 5 § 3 mom. Grundlagsutskottet uppmärksammar särskilt att i motiveringen till 48 § om skyddspolisen hänvisas det till att skötseln av skyddspolisens uppgifter kräver en omfattande informationsinhämtning, och det är inte nödvändigtvis möjligt att i fråga om alla tillgängliga informationsmassor omedelbart bedöma huruvida informationen är av betydelse eller inte med tanke på ett uppdrag. Enligt paragrafens 2 mom. tillåts det att de uppgifter som avses i 1 mom. tillfälligt får behandlas för att utreda om en uppgift är av betydelse eller inte med tanke på skyddspolisens uppdrag. När grundlagsutskottet behandlade lagförslaget om civil underrättelseinhämtning ansåg det i fråga om lagstiftningsordningen att lagförslaget måste kompletteras med en uttrycklig bestämmelse om förbud mot allmän och oriktad övervakning av datatrafik (GrUU 35/2018 rd, s. 21, se ävenGrUU 36/2018 vp, s. 24). Utskottet har fått den uppfattningen att det föreslagna 2 mom. åtminstone delvis dikteras av ett behov av en sådan allmän och oriktadövervakning av datatrafik som utskottet har ansett strida mot 10 § 4 mom. i grundlagen. 
Med stöd av den föreslagna lagstiftningen kunde det skapas ett omfattande register som är helt okontrollerat i rättslig mening vad beträffar innehåll och ändamål och registret kunde också innehålla en stor mängd känsliga uppgifter. Utskottet anser det självklart att behandling av insamlade personuppgifter för ett särskilt ändamål kräver att uppgifternas innehåll bedöms med avseende på ändamålet. Utskottet framhåller att såväl i dataskyddsförordningen som i polisdirektivet avses med behandling av personuppgifter även insamling av uppgifter, vilket är möjligt endast för ett uttalat ändamål. Det är således inte fråga om något "förberedande behandlingsskede"på det sättsom det sägs i propositionsmotiven. Grundlagsutskottet har likaså i sin praxis på det sätt som sägs ovan förutsatt att det finns reglering på lagnivå om registreringens syften, innehåll och tillåtna ändamål. I synnerhet när det gäller behandling av känsliga uppgifter måste bestämmelserna vara exakta och noggrant avgränsade på ett sätt som begränsar behandlingen till endast det nödvändiga. 
Så som lagförslagen är utformade i propositionen skulle det vara möjligt att samla in uppgifter som är betydelselösa för polisens verksamhet och att spara dem i register i upp till sex månader, konstaterar grundlagsutskottet. De föreslagna bestämmelserna i 5 § 3 mom. 7 § 4 mom. och 48 § 2 mom. om behandling för att avgöra om uppgifterna är betydelsefulla måste i sin nuvarande utformning strykas. Utan dessa ändringar kan lagförslag 1 enligt grundlagsutskottet inte behandlas i vanlig lagstiftningsordning. Utskottet påpekar att det utan hinder av grundlagen kan föreskrivas om värderingen av grunderna för behandling av personuppgifter till exempel på motsvarande sätt som i 5 kap. 55 § i polislagen om radering av information. Det nämnda lagrummet har kommit till med grundlagsutskottets medverkan. 
Med hänvisning till grundlagsutskottets utlåtande föreslår förvaltningsutskottet att 2 mom. stryks. Enligt 6 § i dataskyddslagen avseende brottmål ska personuppgifterna vara adekvata och behövliga och inte för omfattande i förhållande till de syften för vilka de behandlas. Obehövliga personuppgifter ska utan dröjsmål utplånas. Enligt utredning ger bestämmelsen skyddspolisen direkt behörighet att bedöma uppgifternas behövlighet. Därför finns det inget behov att föreskriva om saken i det här sammanhanget. 
49 §. Behandling av grundläggande personuppgifter
Grundlagsutskottet väcker frågan om förhållandet mellan 48 och 49 §. Med stöd av föreslagna 49 § 1 mom. 8 punkten ska skyddspolisen bland annat få behandla uppgifter om resande såsom grundläggande personuppgifter och med stöd av 12 punkten uppgifter som gäller en persons verksamhet och beteende. Det är oklart hur bestämmelserna relaterar till varandra trots att det i propositionsmotiven till 49 § hänvisas till att skyddspolisen endast får behandla uppgifter som är behövliga med tanke på dess uppdrag. 
När grundlagsutskottet behandlade den gällande lagen konstaterade det att de allmänt hållna bestämmelserna om skyddspolisens funktionella informationssystem på sätt och vis är förståeligt med tanke på sammanhanget (GrUU 51/2002 rd, s. 2/II). Men den nu föreslagna regleringens ordalydelse lämnar ändå till vissa delar frågan öppen om vilka uppgifter det är möjligt att behandla som personuppgifter. Uppgifter som gäller resande skulle i praktiken täcka in alla situationer där en person utnyttjar sin rörelsefrihet, som är skyddad i 9 § i grundlagen. Särskilt problematiskt framstår omnämnandet av uppgifter om verksamhet och beteende i 12 punkten, som enligt ordalydelsen i praktiken täcker in en privat persons hela livssfär. Sådana uppgifter kan innehålla känsliga uppgifter. Regleringen måste nödvändigt preciseras till exempel genom att klart avgränsa och i lag föreskriva om när resande respektive beteende och verksamhet är av sådan art att det uppfyller nödvändighetskravet med avseende på skyddspolisens befogenheter att behandla anknytande personuppgifter, menar grundlagsutskottet. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Beträffande det inbördes förhållandet mellan bestämmelserna konstaterar utskottet att 49 § inte är lösryckt utan har samband både med 48 §, där det föreskrivs om för vilka ändamål skyddspolisen kan behandla personuppgifter, och med 46 §, som gäller tillämpningsområdet för hela 7 kap. Den föreslagna 49 § preciserar bestämmelserna i 48 §. I 46 § föreskrivs om tillämpningsområdet för hela 7 kap. som binder behandlingen av personuppgifter till skyddspolisens lagfästa uppgifter. Skyddspolisen kan således inte behandla vilka som hels personuppgifter som avses i förteckningen över grundläggande personuppgifter utan endast de om vilka föreskrivs i 48 §. Avsikten är att regleringen ska harmoniera med bestämmelserna i förslaget till lag om behandling av personuppgifter i Försvarsmakten (RP 13/2018 rd — FsUB 3/2018 rd). 
Förvaltningsutskottet konstaterar att syftet med skyddspolisens personuppgiftsregister är att vara ett underrättelseregistret som i första hand innehåller personbeskrivningar med fokus på de registrerades beteende och verksamhet. Men med hänsyn till grundlagsutskottets utlåtande föreslår förvaltningsutskottet att 49 § ändras när det gäller information om resande och om verksamhet och beteende på det sätt som grundlagsutskottet föreslår. Behandlingen ska således bindas till ett nödvändighetskrav. Samtidigt görs det ändringar i den inbördes ordningen i punktuppställningen. Utskottet föreslår dessutom att det inledande stycket i 49 § 1 mom. för tydlighetens skull kompletteras med en hänvisning till 48 § 1 mom. 
50 §. Utlämnande av personuppgifter.
Av de skäl som nämns i de allmänna övervägandena föreslår utskottet att det i slutet av 2 mom. läggs till en förtydligande hänvisning enligt vilken på utlämnade av information som erhållits genom underrättelseinhämtning som för brottsbekämpning tillämpas bestämmelserna i 5 a kap. 44 § i polislagen. 
Utskottet föreslår också att 4 mom. preciseras på det sätt som nämns i utskottets överväganden. I momentet understryks det att i överensstämmelse med den gällande lagen kan utlämnande ske i enskilda fall när det föreligger vägande skäl. 
51 §. Utlämnande av personuppgifter i internationellt samarbete.
I paragrafen föreskrivs det om skyddspolisens rätt att lämna ut personuppgifter i internationellt samarbete. I paragrafens 4 mom. sägs det att när beslut fattas om utlämnande av uppgifter ska hänsyn dessutom tas till människorättssituationen i den stat som är mottagare av personuppgifterna, utlämnandets betydelse för Finlands internationella relationer samt de internationella fördrag och andra förpliktelser som binder Finland. Dessutom ska nivån på dataskyddet i den stat som är mottagare av personuppgifterna beaktas och vilken betydelse utlämnandet har med tanke på den registrerades rättigheter. Skyddspolisen ska enligt propositionsmotiven i all sin verksamhet respektera de grundläggande fri- och rättigheterna och de mänskliga rättigheterna samt välja det motiverbara alternativ som bäst tillgodoser dessa rättigheter, sägs det i propositionsmotiven. På detta sätt bör skyddspolisen agera också när den behandlar personuppgifter och lämnar ut personuppgifter till utlandet. Vid prövningen ska i möjligaste mån också beaktas nivån på datasekretessen hos den som tar emot uppgifterna och betydelsen av utlämnandet av uppgifterna med tanke på den registrerades rättigheter. Grundlagsutskottet anser att bestämmelsen är motiverad. 
Grundlagsutskottet har ansett att av förbudet enligt 9 § 4 mom. i grundlagen mot att utvisa en utlänning om han eller hon till följd av detta riskerar dödsstraff, tortyr eller någon annan behandling som kränker människovärdet, följer att det inte är tillåtet att lämna ut uppgifter, om de kan leda till att någon t.ex. döms till dödsstraff eller till att ett ådömt dödsstraff verkställs (GrUU 51/2002 rd). Utskottet har vidare i samband med bedömningen av underrättelselagarna ansett att det är ett villkor för vanlig lagstiftningsordning att regleringen av internationellt informationsutbyte kompletteras så att det av lagen uttryckligen framgår att information inte får lämnas ut till en stat som kan anses göra sig skyldig till systematiska människorättskränkningar eller där metoderna för underrättelseinhämtning inte följer de standarder som fastställts i de internationella människorättskonventionerna. Avgränsningen kunde enligt utskottets uppfattning göras exempelvis så att det i bestämmelsen införs en hänvisning till att internationella avtal som är bindande för Finland ska följas vid utlämnande och mottagande av information och genom att uttryckligen förbjuda internationellt samarbete och utbyte av information, om det finns grundad anledning att misstänka att någon på grund av samarbetet eller utlämnandet av information riskerar dödsstraff, tortyr, någon annan behandling som kränker människovärdet, förföljelse, godtyckligt frihetsberövande eller orättvis rättegång (se även GrUU 35/2018 rd, s. 26—27 GrUU 36/2018 rd, s. 29). Utskottet menar att de nu aktuella föreslagna bestämmelserna måste kompletteras med ett sådant uttryckligt förbud. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Med anledning av grundlagsutskottets utlåtande föreslår förvaltningsutskottet att till paragrafen fogas ett nytt 5 mom. i överensstämmelse med de tillägg som har föreslagits i bestämmelserna om internationellt samarbete när det gäller civil underrättelseinhämtning (RP 202/2018 rd—FvUB 36/2018 rd). Eftersom man i 51 § redan beaktat för Finland bindande internationella avtal och andra åtaganden samt människorättssituationen och nivån på dataskyddet i det mottagande landet (4 mom.) behöver det bara fogas det förbud som grundlagsutskottet krävde mot att lämna ut uppgifter när det finns grundad anledning att misstänka att någon på grund av samarbetet eller utlämnandet av information riskerar dödsstraff, tortyr, någon annan behandling som kränker människovärdet, förföljelse, godtyckligt frihetsberövande eller orättvis rättegång. 
På grund av de nya moment som utskottet föreslår blir propositionens 5 och 6 mom. paragrafens 6 och 7 mom. 
57 §. Radering av uppgifter.
Utskottet föreslår att paragrafhänvisningen preciseras så att den gäller 48 § 1 mom. som gäller ändamålet med behandlingen av uppgifter. Särskilda bestämmelser finns om behandling av personuppgifter för säkerhetsutredningar. 
2.
Lag om ändring av 113 § i skjutvapenlagen
I propositionen föreslås en ändring av 113 § 2 mom. för att justera en laghänvisning. I regeringens proposition RP 179/2018 rd med förslag till lagar om ändring av skjutvapenlagen, lagen om frivilligt försvar samt 97 a § i värnpliktslagen ingår också ett förslag till ändring av lagrummet.Författningshänvisningen behöver inte ändras på grund av det förslag till ändring som ingår i förvaltningsutskottets betänkande FvUB 37/2018 rd och utskottet föreslår därför att lagförslaget förkastas. 
4. Lag om ändring av lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet
3 §. Definition av information och underrättelse.
I samband med behandlingen i utskottet av propositionerna RP 241/2018 och 259/2018 rd har det föreslagits att paragrafen ses över. Regleringen bör samordnas vid behandlingen av den föreliggande propositionen. Utskottet föreslår att hänvisningen i 2 mom. till den gällande Tullens personuppgiftslag ändras till en hänvisning till de aktuella paragraferna i Tullens nya personuppgiftslag enligt vad som föreslås i förvaltningsutskottets betänkanden FvUB 41/2018 rd. Dessutom ska hänvisningen till den gällande Gränsbevakningens personuppgiftslag ändras till en hänvisning till de aktuella paragraferna i Gränsbevakningens nya personuppgiftslag enligt vad som föreslås i förvaltningsutskottets betänkanden FvUB 40/2018 rd. Samtidigt bör hänvisningen till lagen om brottsbekämpning inom Gränsbevakningsväsendet. 
5 §. Utlämnande av information och underrättelser på begäran
6 §. Utlämnande av information och underrättelser på eget initiativ
Paragrafhänvisningarna måste justeras i syfte att samordna regleringen. 
5. Lag om ändring av 10 § i lagen om genomförande av vissa bestämmelser i beslutet om Eurojust
10 §. Utlämnande av personuppgifter till Eurojust
I samband med behandlingen i utskottet av propositionerna RP 241/2018 och 259/2018 rd har det föreslagits att paragrafen ses över. Regleringen bör samordnas vid behandlingen av den föreliggande propositionen. Utskottet föreslår att hänvisningarna till den gällande Gränsbevakningsväsendets personuppgiftslag ändras till en hänvisning till de aktuella paragraferna i Gränsbevakningsväsendets nya personuppgiftslag enligt vad som föreslås i förvaltningsutskottets betänkanden FvUB 40/2018 rd. Dessutom ska hänvisningen till den gällande Tullens personuppgiftslag ändras till en hänvisning till de aktuella paragraferna i Tullens nya personuppgiftslag enligt vad som föreslås i förvaltningsutskottets betänkanden FvUB 41/2018 rd. 
6.
Lag om ändring av 12 § i lagen om Enheten för utredning av grå ekonomi
Också i andra propositioner som gäller behandling av personuppgifter och som förvaltningsutskottet behandlar har det föreslagits att lagrummet ska ändras. Avsikten är att regleringen ska beaktas i samband med regeringens proposition RP 259/2018 rd och utskottet föreslår därför att lagförslag 2 förkastas. 
11. Lagen om ändring av 9 kap. 4 § och 10 kap. 62 § i ärvdabalken
10 kap. Hemliga tvångsmedel 
57 §. Utplåning av information.
I samband med behandlingen i utskottet av propositionerna RP 241/2018 och 259/2018 rd har det föreslagits att paragrafen ses över. De föreslagna bestämmelserna bör samordnas och intas i den föreslagna lagen i den aktuella propositionen, där det föreslås ändringar i 4 och 62 §. 
62 §. Begränsning av partsoffentlighet i vissa fall.
Utskottet har kompletterat paragrafen med ett författningsnummer. 
Ingressen.
Den ändring som utskottet föreslår bör noteras i ingressen. 
Lagrubriken.
Samtidigt måste lagrubriken ses över. 
13. Lag om ändring av 5 kap. 41 och 60 § i tvångsmedelslagen
55 §. Utplåning av information. (Ny)
I RP 241/2018 rd och RP 259/2018 rd föreslås ändringar i 10 kap. 57 § i tvångsmedelslagen och utskottet har föreslagit att regleringen samordnas och tas in i lagförslag 11 i den aktuella propositionen. Utskottet konstaterar att motsvarande ändring måste göras i 5 kap. 55 § i polislagen, som inte ingår i propositionen, och föreslår att ändringen görs i detta sammanhang. 
60 §. Begränsning av partsoffentlighet i vissa fall.
Utskottet har kompletterat paragrafen med ett författningsnummer. 
Ingressen.
Den ändring som utskottet föreslår bör noteras i ingressen. 
Lagrubriken.
Samtidigt måste lagrubriken ses över. 
19.
Lag om ändring av 2 kap. 15 § i lagen om brottsbekämpning inom Tullen.
Också i andra propositioner som gäller behandling av personuppgifter och som förvaltningsutskottet behandlar har det föreslagits att lagrummet ska ändras. Avsikten är att regleringen ska beaktas i samband med regeringens proposition RP 259/2018 rd och utskottet föreslår därför att lagförslag 2 förkastas. 
22. Lag om ändring av 25 och 32 § i säkerhetsutredningslagen
Lagrubriken.
Utskottet föreslår att lagrubriken justeras. 
23. Lag om ändring av 131 § i utlänningslagen.
131 §. Upptagande av signalement.
Regeringen föreslår en ändring i 2 och 3 mom. I 4 mom., som inte finns med i propositionen, finns det en hänvisning till personuppgiftslagen (523/1999), som upphävts genom dataskyddslagen (1050/2018). Förvaltningsutskottet anser att det finns skäl att uppdatera bestämmelsen med ett nytt 4 mom. Bestämmelsen måste ha en hänvisning både till dataskyddslagen och till dataskyddslagen avseende brottmål, som båda har bestämmelser som kan tillämpas vid utlämnande av personuppgifter till tredje länder för olika typer av användningsändamål. Eftersom de uppgifter som bestämmelsen avser införs i polisens register och det också i övrigt föreskrivs om behandlingen av uppgifterna i polisens personuppgiftslag, bör 4 mom. också ha en hänvisning till den lagen. Polisens personuppgiftslag har bestämmelser som kompletterar de allmänna bestämmelserna om utlämnande av personuppgifter i polisens register till utlandet. 
Ingressen.
På grund av det föreslagna nya 4 mom. måste också ingressen ses över. 
24. Lag om ändring av lagen om utlänningsregistret
3 a §. Användning av fingeravtrycksuppgifter i delregistret för främlingspass och resedokument för flykting.
3 b § Användning och jämförelse av fingeravtrycksuppgifter i delregistret för ansökningsärenden.
Utskottet föreslår att paragrafhänvisningarna justeras till följd av den ändrade paragrafnumreringen. 
8 §. Externa datakällor (Ny).
I paragrafens 1 mom. 11 punkten finns en hänvisning till bestämmelserna i den gällande Gränsbevakningsväsendets personuppgiftslag om gränskontrolluppgifter, uppgifter om övervakning av land- och sjögränsen samt personuppgifter i gränstrafiken. Utskottet anser att hänvisningen bör ändras i detta sammanhang och föreslår att den ersätts med en hänvisning till 7 § i Gränsbevakningsväsendets nya personuppgiftslag, där det föreskrivs om behandlingen av personuppgifter vid gränskontroll samt för upprätthållande av gränssäkerheten och gränsordningen. 
FÖRSLAG TILL BESLUT
Förvaltningsutskottets förslag till beslut:
Riksdagen godkänner lagförslag 3, 7—10, 12, 14–18, 20, 21, 25 och 26 i proposition RP 242/2018 rd utan ändringar. 
Riksdagen godkänner lagförslag 1, 4, 5, 11, 13 och 22—24 i proposition RP 242/2018 rd med ändringar. (Utskottets ändringsförslag) 
Riksdagen förkastar lagförslag 2, 6 och 19 i proposition RP 242/2018 rd. 
Riksdagen godkänner ett uttalande. (Utskottets förslag till uttalande) 
Utskottets ändringsförslag
1. 
Lag 
om behandling av personuppgifter i polisens verksamhet 
I enlighet med riksdagens beslut föreskrivs: 
1 kap. 
Allmänna bestämmelser 
1 § 
Tillämpningsområde 
Om inte annat föreskrivs någon annanstans i lag, tillämpas denna lag på behandling av personuppgifter som behövs för skötseln av polisens uppgifter enligt 1 kap. 1 § i polislagen (872/2011), om 
1) behandlingen är helt eller delvis automatisk, eller 
2) personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. 
På behandlingen av personuppgifter som behövs för skötseln av skyddspolisens uppgifter tillämpas 7 kap. 
2 § 
Förhållande till annan lagstiftning 
Om inte något annat föreskrivs i denna lag 
1) tillämpas på behandlingen av personuppgifter i syfte att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning, samt för att skydda mot eller förebygga hot mot den allmänna säkerheten lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054 /2018) nedan dataskyddslagen avseende brottmål, 
2) tillämpas på rätten till information och annat utlämnande av personuppgifter ur myndigheternas personregister vad som föreskrivs om offentlighet i myndigheternas verksamhet. 
Bestämmelser om behandling av personuppgifter finns dessutom i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och i dataskyddslagen (1050 /2018)
Vid behandlingen av personuppgifter ska bestämmelserna i 1 kap. i polislagen om respekt för de grundläggande rättigheterna och de mänskliga rättigheterna, proportionalitetsprincipen, principen om minsta olägenhet och principen om ändamålsbundenhet iakttas. (Nytt 3 mom.) 
Behandlingen av personuppgifter får inte utan godtagbart skäl grunda sig på en persons ålder, kön, ursprung, nationalitet, bosättningsort, språk, religion, övertygelse, åsikt, politiska verksamhet, fackföreningsverksamhet, familjeförhållanden, hälsotillstånd, funktionsnedsättning, sexuella läggning eller någon annan orsak som gäller hans eller hennes person. (Nytt 4mom.)  
I fråga om polisens informationsinhämtning och befogenheter i anknytning till den gäller vad som föreskrivs särskilt. 
3 § 
Definitioner 
I denna lag avses med 
1) författningsgrunden för Schengens informationssystem Europaparlamentets och rådets förordning (EG) nr 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), rådets beslut 2007/533/RIF om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) samt Europaparlamentets och rådets förordning (EG) nr 1986/2006 om tillträde till andra generationen av Schengens informationssystem (SIS II) för de enheter i medlemsstaterna som ansvarar för att utfärda registreringsbevis för fordon, 
2) Schengens informationssystem andra generationen av Schengens informationssystem så som det definieras i författningsgrunden för Schengens informationssystem (SIS II), 
3) det nationella systemet inom Schengens informationssystem systemet N.SIS II enligt författningsgrunden för Schengens informationssystem, 
4) behöriga Schengenmyndigheter polisen, Gränsbevakningsväsendet, Tullen, Försvarsmakten, åklagarna, Migrationsverket, Transport- och kommunikationsverket, utrikesministeriet samt finländska beskickningar, om utrikesministeriet har beviljat en finsk medborgare som tjänstgör där behövligt bemyndigande att bevilja visum, 
5) Europolförordningen Europaparlamentets och rådets förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF, 
6) Eurodacförordningen Europaparlamentets och rådets förordning (EU) nr 603/2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa. 
2 kap. 
Behandling av personuppgifter 
4 § 
Behandling av grundläggande personuppgifter 
Polisen får för de ändamål som anges i 5, 7, 9 och 11 § behandla följande behövliga grundläggande personuppgifter: 
1) namn, 
2) födelsedatum och födelseort, 
3) personbeteckning, 
4) kön, 
5) modersmål, 
6) kontaktspråk, 
7) civilstånd, 
8) medborgarskap eller avsaknad av medborgarskap samt nationalitet, 
9) hemvist och bostadsort, 
10) yrke och utbildning, 
11) kontaktuppgifter, 
12) uppgifter ur handlingar som behövs för att fastställa identiteten, 
13) i fråga om en utländsk person föräldrarnas namn, medborgarskap och nationalitet, 
14) uppgifterna i ett resedokument samt övrig behövlig information som gäller inresa och passerande av gräns, 
15) klientnummer som en myndighet gett, 
16) uppgift om att personen avlidit eller förklarats död, 
17) uppgift om intressebevakning, försättande i konkurs eller meddelande om näringsförbud, 
18) uppgift om fullgörande av värnplikt. 
5 § 
Behandling av personuppgifter i undersöknings- och övervakningsuppgifter 
Polisen får behandla personuppgifter för utförandet av en uppgift som anknyter till förundersökning, polisundersökning eller någon annan utredning av brott eller till att föra brott till åtalsprövning, för utförandet av en uppgift som anknyter till upprätthållande av allmän ordning och säkerhet och för utförandet av någon annan övervakningsuppgift som föreskrivits för polisen. 
Dessutom krävs det att de i 1 mom. avsedda uppgifterna anknyter till personer som 
1) är misstänkta för brott eller för medverkan till brott, 
2) är under 15 år och misstänkta för en brottslig gärning, 
3) är föremål för förundersökning, polisundersökning eller en åtgärd av polisen, 
4) har anmält ett brott eller uppträder som målsägande, 
5) är vittnen, 
6) är offer, 
7) direkt anknyter till polisens fältuppgifter eller i lag särskilt föreskrivna övervakningsuppgifter, 
8) på något annat sätt lämnat tilläggsuppgifter som har anknytning till ett ärende. 
De uppgifter som polisen har inhämtat för utförandet av sina uppgifter ska raderas utan dröjsmål efter att det blivit klart att de inte behövs för behandling enligt 1 mom. eller 13 § 1 mom. 
6 § 
Innehållet i personuppgifter som behandlas i undersöknings- och övervakningsuppgifter 
Polisen får i fråga om personer som avses i 5 § utöver de grundläggande personuppgifter som avses i 4 § behandla följande personuppgifter: 
1) behövliga specificeringar, beskrivningar och klassificeringar i anknytning till polisens uppgifter, åtgärder och händelser, 
2) signalementsuppgifter som behövs för fastställande av identiteten, inklusive finger-, hand- och fotavtryck, handstils-, röst- och luktprov, DNA-profil, ansiktsbild och andra biometriska uppgifter; för att personer som anmälts försvunna ska kunna hittas och för att okända avlidna ska kunna identifieras får behövliga uppgifter om nära släktingar behandlas endast med samtycke från den som uppgifterna gäller, 
3) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård, om ett övervakningsobjekts eller en persons farlighet eller oberäknelighet samt uppgifter som beskriver eller är avsedda att beskriva en brottslig gärning, ett straff eller någon annan påföljd för brott, 
4) identifieringsuppgift om avgörande av åklagare eller domstol och uppgift om någon har dömts till straff, om det fattats beslut om åtalseftergift eller domseftergift, om ett åtal förkastats, lämnats utan prövning eller avskrivits samt uppgift om ett avgörandes laga kraft. 
7 § 
Behandling av personuppgifter för förebyggande eller avslöjande av brott 
Polisen får behandla personuppgifter för utförandet av en uppgift som anknyter till förebyggande eller avslöjande av brott. 
Dessutom krävs det att de i 1 mom. avsedda uppgifterna anknyter till personer som 
1) med fog kan antas ha gjort sig eller göra sig skyldiga till brott för vilka lagens strängaste straff är fängelse, 
2) har kontakt med en i 1 punkten avsedd person eller påträffas i dennes sällskap, och kontakten eller sammanträffandena på grund av att de har upprepats, omständigheterna eller personens beteende kan antas ha samband med ett brott, 
3) är föremål för observation i enlighet med 5 kap. 13 § i polislagen eller någon annan polisiär åtgärd. 
Polisen får, om det är nödvändigt för förebyggande eller avslöjande av ett brott, behandla i 1 mom. avsedda uppgifter också i fråga om följande personer: 
1) vittnen till ett brott, 
2) offer för ett brott, 
3) den som har anmält ett brott eller uppträder som målsägande. 
Beslut om inledande av behandling av personuppgifter i anknytning till en brottsanalys som behövs för förebyggande eller avslöjande av brott fattas av den personuppgiftsansvarige eller av en annan polisenhet som den personuppgiftsansvarige har förordnat till uppgiften. 
Polisen får dessutom behandla uppgifter om observationer som gjorts av polismän och uppgifter som anmälts till polisen i anslutning till händelser eller personer som utifrån omständigheterna eller en persons uppträdande med fog kan bedömas ha samband med brottslig verksamhet. 
De uppgifter som polisen har inhämtat för utförandet av sina uppgifter ska raderas utan dröjsmål efter att det blivit klart att de inte behövs för behandling enligt 1 mom. eller 13 § 1 mom.
8 § 
Innehållet i personuppgifter som anknyter till förbyggande eller avslöjande av brott 
Polisen får i fråga om personer som avses i 7 § utöver de grundläggande personuppgifter som avses i 4 § behandla följande personuppgifter: 
1) behövliga specificeringar, beskrivningar och klassificeringar i anknytning till polisens uppgifter, åtgärder och händelser, 
2) behövliga uppgifter som gäller en persons kontakter, livsstil, ekonomiska situation, hobbyer och andra intressen, 
3) signalementsuppgifter som behövs för fastställande av identiteten, inklusive röstprov, ansiktsbild och andra biometriska uppgifter, 
4) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård, om ett övervakningsobjekts eller en persons farlighet eller oberäknelighet samt uppgifter som beskriver eller är avsedda att beskriva en brottslig gärning, ett straff eller någon annan påföljd för brott. 
Till personuppgifterna ska det om möjligt fogas en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet. 
9 § 
Behandling av uppgifter om informationskällor 
Polisen får, utöver sådana grundläggande personuppgifter som avses i 4 § om en i 5 kap. 40 § i polislagen eller 10 kap. 39 § i tvångsmedelslagen avsedd person som har använts som informationskälla, behandla  
1) uppgifter om hur informationskällan har använts och övervakats, 
2) det huvudsakliga innehållet i de uppgifter som informationskällan lämnat. 
10 § 
Behandling av personuppgifter i anknytning till kvalitetssäkring av DNA-prov 
Polisen får för kvalitetssäkring av DNA-prov som upptagits i polisens undersökningar i fråga om andra personer än brottsmisstänkta och okända gärningsmän i anslutning till brott behandla följande uppgifter: 
1) namn, 
2) personbeteckning, 
3) DNA-profil, 
4) tjänsteställe. 
En person har rätt att vägra ge ett DNA-prov och förbjuda behandlingen av hans eller hennes personuppgifter. 
11 § 
Behandling av personuppgifter i polisens övriga lagstadgade uppgifter 
Polisen får behandla personuppgifter också för utförande av uppgifter som anknyter till tillståndsförvaltning samt för sådana övervakningsuppgifter som polisen ska utföra enligt särskilda bestämmelser i lag och som inte anknyter till förebyggande, avslöjande eller utredning av brott eller förande av brott till åtalsprövning eller skydd mot eller förebyggande av hot mot den allmänna säkerheten. 
12 § 
Innehållet i personuppgifter som behandlas för utförande av polisens övriga lagstadgade uppgifter 
Utöver de grundläggande personuppgifter som avses i 4 § får polisen för syften som avses i 11 § behandla följande personuppgifter: 
1) uppgifter som gäller ansökningar, tillstånd, utlåtanden, anmälningar och beslut, 
2) uppgifter som gäller hinder för beviljande eller för giltigheten av ett tillstånd samt uppgifter som behövs för utredande av förutsättningarna för beviljande eller utredande av giltigheten av ett tillstånd, inklusive hälsouppgifter och övriga behövliga uppgifter som hör till särskilda kategorier av personuppgifter, 
3) uppgifter om myndigheternas åtgärder, 
4) de fotografier av en person och namnteckningsprov som personen har lämnat till polisen, utrikesministeriet eller en myndighet inom utrikesförvaltningen vid ansökan om ett tillstånd eller beslut som fotografiet och namnteckningsprovet behövs för, 
5) för skötseln av ärenden enligt lagen om identitetskort (663/2016) och passlagen (671/2006) biometriska fingeravtrycksuppgifter och den ansiktsbild som tagits av sökanden vid ansökan om identitetskort eller pass, 
6) uppgiftersom behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård och om ett övervakningsobjekts eller en persons farlighet eller oberäknelighet samt uppgifter som beskriver eller är avsedda att beskriva en brottslig gärning, ett straff eller någon annan påföljd för brott, 
7) uppgifter om administrativa påföljder, 
8) andra än i 1—7 punkten avsedda uppgifter som är nödvändiga för utförande av de uppgifter som avses i 11 §, förutom uppgifter som hör till särskilda kategorier av personuppgifter. 
Polisen får som en del av tillsynen i enlighet med lotterilagen (1047/2001) och lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017) i den utsträckning som det behövs för att tillsynsuppgiften ska kunna utföras behandla personuppgifter som avser kunderna hos penningspelsbolag och andra näringsidkare och sammanslutningar som polisen enligt de lagarna ska övervaka. 
13 § 
Behandling av personuppgifter för andra ändamål än det ursprungliga 
Om inte något annat föreskrivs någon annanstans i lag, får polisen behandla de personuppgifter som avses i 5—9, 11 och 12 § för andra ändamål med behandlingen än det ursprungliga, om detta behövs för 
1) att förebygga eller avslöja ett brott, 
2) att utreda ett brott för vilket lagens strängaste straff är fängelse, 
3) att påträffa en efterlyst, 
4) en utredning som stöder det att någon är oskyldig, 
5) förhindrande av betydande fara för någons liv, hälsa eller frihet eller betydande miljö-, egendoms- eller förmögenhetsskada, 
6) skyddande av den nationella säkerheten, 
7) att utreda identitet i samband med en sådan polisåtgärd som nödvändigt kräver att identiteten styrks, 
8) inriktning av polisens verksamhet. 
Uppgifter i polisens personregister får trots sekretessbestämmelserna behandlas även för laglighetsövervakning, analys, planering och utveckling. Uppgifter får också användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. 
Det fotografi och namnteckningsprov som avses i 12 § 1 mom. 4 punkten får med den berörda personens samtycke även användas för något annat förvaltningstillstånd eller beslut som personen ansökt om än den handling som fotografiet och namnteckningsprovet har lämnats för. 
De personuppgifter som avses i 12 § 2 mom. får användas endast för det ursprungliga ändamålet med behandlingen. 
14 (15) § 
Behandling av personuppgifter för andra ändamål än det ursprungliga vid tillståndsprövning och tillsyn över tillstånd 
Om inte något annat föreskrivs någon annanstans i lag, får polisen behandla personuppgifter som avses i 5, 6, 9, 11 och 12 § för andra ändamål med behandlingen än det ursprungliga när det behövs för beslut eller utlåtanden som gäller beviljande eller giltighet av ett tillstånd, om tillståndet enligt gällande bestämmelser är beroende av sökandens eller tillståndshavarens tillförlitlighet, lämplighet eller någon liknande egenskap och det för bedömningen av egenskapen krävs uppgifter om sökandens eller tillståndshavarens hälsotillstånd, bruk av berusningsmedel, brottslighet eller våldsamma uppträdande. 
För bedömning av förutsättningarna för beviljande eller giltighet av tillstånd får i de situationer som avses i 1 mom. också användas en sådan av centralkriminalpolisen gjord anmälan, som grundar sig på uppgifter om personer som avses i 7 § 2 mom. Anmälan ska innehålla de uppgifter som behövs för bedömningen av förutsättningarna för beviljandet eller giltigheten av tillståndet. Centralkriminalpolisen får göra en anmälan, om 
1) den som ansöker om eller innehar tillståndet, utifrån de uppgifter som avses i 8 §, har återkommande kontakter av permanent natur med sådana personer som enligt domstolsbeslut funnits skyldiga till deltagande i en organiserad kriminell sammanslutnings verksamhet eller som i en pågående förundersökning eller åtalsprövning misstänkts ha deltagit i sådan verksamhet, om kontakterna kan göra den som ansöker om eller innehar tillståndet mottaglig för extern osaklig påverkan och genom det kan äventyra skyddet för de intressen som ligger till grund för de föreskrivna förutsättningarna för beviljandet eller giltigheten av tillståndet, eller 
2) centralkriminalpolisen utifrån de uppgifter som avses i 8 § och andra eventuella upplysningar anser att det föreligger grundad anledning att misstänka att den som ansöker om eller innehar tillståndet gjort sig skyldig till deltagande i en organiserad kriminell sammanslutnings verksamhet och det är nödvändigt att förmedla informationen för att skydda de intressen som ligger till grund för de föreskrivna förutsättningarna för beviljandet eller giltigheten av tillståndet mot åtgärder eller påverkan från organiserade kriminella sammanslutningars sida. 
15 (14) §  
Behandling av uppgifter som hör till särskilda kategorier av personuppgifter för andra ändamål än det ursprungliga 
Polisen får behandla uppgifter som hör till särskilda kategorier av personuppgifter endast om det är nödvändigt för ändamålet med behandlingen som föreskrivs i 13 §
Biometriska uppgifter som behandlas för utförande av de uppgifter som föreskrivs i lagen om identitetskort och passlagen får användas för andra ändamål än det ursprungliga ändamålet med behandlingen av uppgifterna endast om det är nödvändigt för att identifiera ett offer för en naturkatastrof, storolycka eller någon annan katastrof eller ett offer för ett brott eller ett offer som annars förblivit oidentifierat. Rätt att använda uppgifterna har endast den som nödvändigtvis måste använda dem för skötseln av sina arbetsuppgifter. Uppgifter som tagits för jämförelse får användas endast när jämförelsen görs och ska därefter förstöras omedelbart. 
Fingeravtrycksuppgifter för en person som ansökt om pass får med den berörda personens samtycke användas också för framställning av en identitetshandling som personen ansökt om senare. 
Biometriska uppgifter som behandlas för utförande av uppgifter enligt 131 § i utlänningslagen (301/2004) får användas för andra ändamål än det ursprungliga ändamålet med behandlingen av uppgifterna endast i de fall som avses i 2 mom. samt om det är nödvändigt att använda uppgifterna för att förebygga, avslöja eller utreda ett brott som avses i 11—14 kap., 17 kap. 2—4, 7, 7 c eller 8 a §, 34 kap. 3 eller 5 §, 34 a kap. eller 46 kap. 1 eller 2 §. Rätt att använda uppgifterna har endast den som nödvändigtvis måste använda dem för skötseln av sina arbetsuppgifter. Uppgifter som insamlats för jämförelse får användas endast när jämförelsen görs och ska därefter omedelbart förstöras
Uppgifter som behandlas för kvalitetssäkring av DNA-prov får användas endast för det ursprungliga ändamålet med behandlingen. Uppgifterna får dessutom behandlas för laglighetsövervakning, planering och utveckling samt för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. 
Uppgifter i en skjutvapenanmälan enligt 114 § i skjutvapenlagen (1/1998) får inte användas för andra ändamål än för behandling av uppgifter som gäller vapentillstånd. 
3 kap. 
Rätt att få uppgifter 
16 § 
Polisens rätt att få uppgifter ur vissa register och informationssystem 
Utöver vad som föreskrivs annanstans i lag har polisen trots sekretessbestämmelserna rätt att ur vissa register genom en teknisk anslutning eller som en datamängd få sådan information som polisen behöver för att utföra sina uppgifter och föra sina personregister, på det sätt det avtalas om tillvägagångssättet med den personuppgiftsansvarige, enligt följande: 
1) ur det trafik- och transportregister som avses i lagen om transportservice (320/2017) sådana uppgifter som är nödvändiga för fullgörandet av polisens lagstadgade uppgifter, 
2) ur Brottspåföljdsmyndighetens informationssystem enligt lagen om behandling av personuppgifter vid Brottspåföljdmyndigheten (1069/2015), i enlighet med 14 § 1 och 2 mom. i den lagen, uppgifter som gäller dömda, fångar, eller intagna i en enhet vid Brottspåföljdsmyndigheten eller personer som avtjänar en samhällspåföljd, för förhindrande eller utredning av brott eller förande av brott till åtalsprövning, gripande av efterlysta personer eller för sådana tillstånd eller godkännanden från polisen som förutsätter att personen i fråga är tillförlitlig, eller för behandling av ett ärende som gäller vistelse i landet, internationellt skydd, avlägsnande ur landet, medborgarskap eller meddelande eller återkallande av inreseförbud. 
3) av dem som utövar inkvarteringsverksamhet sådana uppgifter om resande som avses i 6 § 1 mom. i lagen om inkvarterings- och förplägnadsverksamhet (308/2006), för upprätthållande av allmän ordning och säkerhet samt för förhindrande, avslöjande eller utredning av brott och för fullgörande av polisens lagstadgade uppgifter i övrigt, 
4) ur det bötesregister som avses i lagen om verkställighet av böter (672/2002), för ändamål enligt 50 § i den lagen, uppgifter om brott och straffrättsliga påföljder samt uppgifter för behandling av tillståndsärenden, ur det straffregister som avses i straffregisterlagen (770/1993), för ändamål enligt 4 och 4 a § i den lagen, uppgifter om personer, av justitieförvaltningsmyndigheterna uppgifter om personer som är efterlysta av dem, ur det register över avgöranden och meddelanden om avgöranden som avses i lagen om justitieförvaltningens riksomfattande informationssystem (372/2010) uppgifter om avgöranden i brottmål och om avgörandenas laga kraft samt ur det rikssystem för behandling av diarie- och ärendehanteringsuppgifter som avses i den lagen uppgifter om brottmål som är eller har varit anhängiga vid åklagarmyndigheter och domstolar, om sådan information kan fås, 
5) ur Patent- och registerstyrelsens handelsregister, för förhindrande, avslöjande och utredande av brott, uppgifter om anmälningar och meddelanden som gäller näringsidkare, 
6) ur Gränsbevakningsväsendets och Tullens personregister, uppgifter för polisuppdrag som motsvarar de uppdrag för vilka uppgifterna har samlats in och registrerats för samt för andra ändamål när det gäller fall som avses i 13 § och 15 § 1 mom., 
7) ur utrikesministeriets informationssystem, för förundersökning, för annan undersökning och för utförande av de uppgifter polisen har enligt utlänningslagen, uppgifter om dem som hör till personalen vid diplomatiska beskickningar och konsulat som representerar den utsändande staten i Finland och om dem som hör till personalen vid en internationell organisations organ i Finland eller något annat internationellt organ i samma ställning samt om dessa personers familjemedlemmar och om dem som är i privat tjänst hos dessa personer, 
8) ur Migrationsverkets informationssystem, för förundersökning, annan undersökning och för utförande av de uppgifter polisen har enligt utlänningslagen, uppgifter om ärenden som gäller resedokument, visum, vistelse, internationellt skydd, avlägsnande ur landet, inreseförbud och medborgarskap, 
9) av teleföretag uppgifter som avses i 10 kap. 6—8 § i tvångsmedelslagen (806/2011), i 5 kap. 8 och 9 § i polislagen samt i 19 kap. i lagen om tjänster inom elektronisk kommunikation (917/2014), 
10) av myndigheter som har begärt handräckning de uppgifter som behövs för att handräckning ska kunna ges, 
11) uppgifter som avses i 13—17 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009), 
12) av Försvarsmakten nödvändiga uppgifter om en värnpliktigs tjänstgöring och tjänsteduglighet, för bedömningen av den personliga lämpligheten hos en person som söker eller innehar ett tillstånd som avses i skjutvapenlagen och en person för vilken ett godkännande som avses i skjutvapenlagen söks eller som har fått ett sådant godkännande samt för utredning av hinderlöshet hos sökande och innehavare av ett tillstånd enligt passlagen eller lagen om identitetskort, 
13) ur det register över kompetensbrev för laddare som avses i 22 § i lagen om laddare (423/2016) uppgifter för övervaknings- och larmuppdrag samt för förhindrande, utredning och avslöjande av brott, 
14) av Lantmäteriverket, för förhindrande, avslöjande och utredning av brott, uppgifter ur det fastighetsdatasystem som avses i lagen om ett fastighetsdatasystem och anslutande informationstjänster (453/2002) och det bostadsdatasystem som avses i lagen om ett bostadsdatasystem ( / ), 
15) av samfund och sammanslutningar uppgifter ur register som gäller passagerare och fordons personal, för förhindrande, avslöjande och utredning av brott och förande av brott till åtalsprövning samt för att nå efterlysta personer; bestämmelser om rätten att få uppgifter ur flygtrafikens PNR-uppgifter finns i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet (1328/2018). 
Polisen har rätt att få de uppgifter som avses i 1 mom. avgiftsfritt, om inte något annat föreskrivs i lag. 
När polisen har fått personuppgifter av en personuppgiftsansvarig med stöd av 1 mom. ska polisen på begäran lämna den personuppgiftsansvarige information om behandlingen av de utlämnade personuppgifterna. 
17 § 
Uppgifter som andra myndigheter lämnar ut till polisen genom registrering via direkt anslutning eller för registrering som en datamängd 
Enligt avtal med den personuppgiftsansvarige om tillvägagångssättet får uppgifter lämnas ut till polisens personregister genom en direkt anslutning eller för registrering som en datamängd enligt följande: 
1) av skyddspolisen uppgifter som behövs för förebyggande, avslöjande och utredning av brott samt för skyddande av den nationella säkerheten, 
2) av justitieförvaltningsmyndigheterna, Brottspåföljdsmyndigheten samt Rättsregistercentralen uppgifter om personer som de har efterlyst, av Brottspåföljdsmyndigheten signalementsuppgifter om personer som avtjänar eller har avtjänat straff som riktar sig mot friheten samt av Rättsregistercentralen uppgifter om besöksförbud, näringsförbud och uppgifter som gäller sådana skyddsåtgärder som avses i lagen om tillämpning av Europaparlamentets och rådets förordning om ömsesidigt erkännande av skyddsåtgärder i civilrättsliga frågor (227/2015), 
3) av Tullen och militärmyndigheterna uppgifter om personer som de har efterlyst och av Tullen för utförande av de uppgifter som föreskrivs i 131 § i utlänningslagen behövliga signalementsuppgifter och uppgifter om resedokument samt uppgifter som behövs för förebyggande och utredning av brott, 
4) av utrikesministeriet och finska beskickningar uppgifter som behövs för skötseln av utrikesministeriets och finska beskickningars uppgifter enligt passlagen, av utrikesministeriet uppgifter om dem som hör till personalen vid diplomatiska beskickningar och konsulat som representerar den utsändande staten i Finland och om dem som hör till personalen vid en internationell organisations organ i Finland eller något annat internationellt organ i samma ställning samt om dessa personers familjemedlemmar och om dem som är i privat tjänst hos dessa personer, 
5) av Gränsbevakningsväsendet i 5—8 § avsedda uppgifter som behöver behandlas för utförande av de uppgifter enligt 1 kap. 1 § 1 mom. i polislagen som Gränsbevakningsväsendet har enligt gränsbevakningslagen (578/2005), lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018) eller någon annan i lag, samt i 11 och 12 § i denna lag avsedda uppgifter som behöver behandlas för utförande av de uppgifter enligt 1 kap. 1 § 2 mom. i polislagen som Gränsbevakningsväsendet har enligt gränsbevakningslagen eller någon annan lag, 
6) av Forststyrelsens jakt- och fiskeövervakare sådana behövliga uppgifter om vidtagna åtgärder som registrerats vid jakt- och fiskeövervakning som hör till deras behörighet, 
7) av nödcentralsmyndigheterna uppgifter om en person som har registrerats i nödcentralsdatasystemet när uppgifterna behövs, med tanke på den registrerades egen säkerhet eller säkerheten i arbetet, 
8) av Migrationsverket uppgifter om nationella inreseförbud samt om polisåtgärder i anslutning till beslut om avvisning, utvisning och handräckning. 
När polisen har fått personuppgifter av en personuppgiftsansvarig med stöd av 1 mom. ska polisen på begäran lämna den personuppgiftsansvarige information om behandlingen av de utlämnade personuppgifterna. 
18 § 
Europeiska unionens informationssystem för viseringar 
Bestämmelser om polisens rätt att genom en teknisk anslutning få uppgifter ur Europeiska unionens informationssystem för viseringar för utförande av en uppgift som enligt utlänningslagen ska skötas av polisen finns i Europaparlamentets och rådets förordning (EG) nr 767/2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen). 
Dessutom har polisen rätt att genom en teknisk anslutning få uppgifter ur Europeiska unionens informationssystem för viseringar i syfte att förhindra och utreda terroristbrott som avses i 34 a kap. i strafflagen (39/1889) och brott som avses i 3 § 2 mom. i lagen om utlämning för brott mellan Finland och de övriga medlemsstaterna i Europeiska unionen (1286/2003). Bestämmelser om utlämnande av sådana uppgifter finns i rådets beslut 2008/633/RIF om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. Uppgifterna ska begäras via centralkriminalpolisen eller skyddspolisen. 
19 § 
Vite 
Polisen kan ålägga den av vilken polisen har rätt att få uppgifter som avses i 16 § 1 mom. 15 punkten att lämna uppgifterna inom en skälig tid. Polisen kan förena åläggandet med vite. Beslutet om föreläggande av vite ska iakttas även om ändring i beslutet söks. Vite får dock inte föreläggas om det finns skäl att misstänka någon för brott och det begärda materialet har samband med brottsmisstanken. Bestämmelser i övrigt om vite finns i viteslagen (1113/1990). 
20 § 
Behandling av personuppgifter som erhållits i internationellt samarbete 
Vid behandlingen av personuppgifter som erhållits från ett tredjeland eller en internationell organisation eller myndighet ska i fråga om sekretess, tystnadsplikt, begränsningar i användningen av personuppgifter, vidarelämnande av personuppgifter eller återsändande av utlämnat material iakttas vad som anges i de villkor som den som lämnat ut uppgifterna ställt. 
Om inte något annat följer av 1 mom., får polisen använda de utlämnade personuppgifterna för andra ändamål än de för vilka uppgifterna lämnades ut, med iakttagande av 13 § 1 mom. 
4 kap. 
Utlämnande av personuppgifter 
21 § 
Utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål 
Polisen får trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd lämna ut sådana personuppgifter som avses i 5—9, 11 och 12 § till skyddspolisen, Tullen, Gränsbevakningsväsendet, Försvarsmakten, åklagare, domstolar, Rättsregistercentralen, Brottspåföljdsmyndigheten och andra behöriga myndigheter enligt dataskyddslagen för de uppgifter enligt 1 § i dataskyddslagen avseende brottmål som myndigheten har enligt lag. 
22 § 
Övrigt utlämnande av personuppgifter till myndigheter 
Polisen får trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd lämna ut sådana personuppgifter som avses i 5—8, 11 och 12 § och som behövs för att utföra en uppgift som myndigheten har enligt lag, enligt följande: 
1) till Transport- och kommunikationsverket de uppgifter i enlighet med 197 och 217 § i lagen om transportservice som är nödvändiga för skötseln av verkets lagstadgade uppgifter, 
2) till Nödcentralsverket, för utförande av de uppgifter som anges i lagen om nödcentralsverksamhet (692/2010), uppgifter som behövs för att säkerställa förberedande åtgärder eller arbetarskyddet eller för att stödja enheten i fråga, med iakttagande av vad som föreskrivs om begränsning av rätten att få information i 19 § 2 mom. i den lagen, samt sådan säkerhetsinformation som avses i 6 § 3 punkten i denna lag för registrering i nödcentralsdatasystemet, 
3) till räddningsmyndigheterna för räddningsverksamhet som avses i 32 § i räddningslagen (379/2011), 
4) till Gränsbevakningsväsendet för gränskontroll samt upprätthållande av gränssäkerheten och gränsordningen, för andra ändamål som motsvarar det ursprungliga ändamålet med behandlingen samt för andra ändamål i de fall som avses i 16 och 17 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ), 
5) till socialmyndigheterna för behandling av ärenden som gäller en utlännings försörjning, 
6) till Tullen för tullövervakning, skattekontroll, övervakning av personers inresa och utresa och utförande av den in- och utresekontroll som ingår i detta, för stämning och annan delgivning, för andra ändamål som motsvarar det ursprungliga ändamålet med behandlingen samt för andra ändamål i de fall som avses i 15 § i lagen om behandling av personuppgifter inom Tullen ( / ), 
7) till arbets- och näringsmyndigheterna för behandling av ärenden som gäller beviljande av uppehållstillstånd för arbetstagare eller uppehållstillstånd för företagare, 
8) till utrikesministeriet och finska beskickningar för behandling av ärenden som hör till deras behörighet och som gäller pass eller något annat resedokument, visum, uppehållstillstånd för arbetstagare, uppehållstillstånd för företagare eller något annat uppehållstillstånd, 
9) till Migrationsverket för behandling och avgörande av sådana ärenden avseende utlänningar och finskt medborgarskap som enligt lag eller förordning hör till Migrationsverket samt för de tillsynsuppgifter som hör till verket, 
10) till domstolarna för behandling av ärenden som gäller skjutvapen, vapendelar, patroner eller särskilt farliga projektiler, 
11) till en utmätningsman i enlighet med 3 kap. 67 § i utsökningsbalken (705/2007) för utsökningsutredningar eller annan verkställighet av utsökningsärenden, 
12) till en tjänsteman som nämns i 1 eller 6 § i lagen om stämningsmän (505/1986) för stämning till en rättegång för bestämmande av förvandlingsstraff samt till stämningsmän för delgivning av stämning, behövliga grundläggande personuppgifter, uppgifter om säkerhet i arbetet och uppgifter om anhållna som behandlats för de ändamål som anges i 5 § i denna lag, 
13) till Forststyrelsens jakt- och fiskeövervakare för jakt- och fiskeövervakning som hör till deras behörighet, 
14) till kommuner som är väghållare och Trafikledsverket uppgifter om trafikolyckor för främjande av trafiksäkerheten, 
15) till arbetarskyddsmyndigheten för övervakning av förarnas kör- och vilotider uppgifter enligt Europaparlamentets och rådets direktiv 2006/22/EG om minimivillkor för genomförande av rådets förordningar (EEG) nr 3820/85 och (EEG) nr 3821/85 om sociallagstiftning på vägtransportområdet samt om upphävande av rådets direktiv 88/599/EEG, 
16) till magistraten för uppgifter som avses i 38 § i medborgarskapslagen (359/2003), 
17) till Försvarsmakten, Tullen, Gränsbevakningsväsendet och Brottspåföljdsmyndigheten för bedömning av om en hos dessa anställd med rätt att bära skjutvapen i sina tjänste- eller arbetsuppdrag är lämplig att bära skjutvapen. 
Biometriska uppgifter som behandlas för utförande av uppgifter som föreskrivs i lagen om identitetskort och passlagen får trots sekretessbestämmelserna lämnas ut endast till de myndigheter som avses i 1 mom. 4, 6, 8 och 9 punkten i denna paragraf för styrkande av identitet och konstaterande av ett dokuments äkthet, om det är nödvändigt för behandling av ärenden som gäller en persons inresa, vistelse i landet eller utresa. 
Utöver det som föreskrivs i 1 mom. får polisen av grundad anledning trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd till en myndighet lämna ut personuppgifter som är nödvändiga för att utföra en uppgift som i lag föreskrivits för myndigheten. 
Andra än i 2 mom. avsedda uppgifter som hör till särskilda kategorier av personuppgifter får lämnas ut för de ändamål som anges i 1 mom. endast om detta är nödvändigt för att utföra en uppgift som myndigheten har enligt lag. 
Innan personuppgifter lämnas ut ska mottagaren av uppgifterna för den personuppgiftsansvarige lägga fram tillförlitlig utredning om att uppgifterna skyddas på behörigt sätt. 
Kvaliteten på de uppgifter som lämnas ut ska i den mån det är möjligt bekräftas och uppgifterna ska vid behov förses med information som gör det möjligt för mottagaren att bedöma hur korrekta, fullständiga, aktuella och tillförlitliga uppgifterna är. Om det framgår att felaktiga uppgifter har lämnats ut eller att uppgifter lämnats ut i strid med lag, ska detta utan dröjsmål meddelas mottagaren. 
23 § 
Utlämnande av personuppgifter via det allmänna datanätet 
För att underrätta allmänheten och få in tips från allmänheten får polisen trots sekretessbestämmelserna via det allmänna datanätet lämna ut uppgifter som polisen behöver informera om för att brott ska kunna förebyggas, för att egendom ska kunna återställas till ägaren eller av skäl som har samband med en utredning. Personuppgifter ska kunna sökas endast genom enskilda sökningar. 
För att underrätta allmänheten och få in tips från allmänheten får polisen dessutom trots sekretessbestämmelserna via det allmänna datanätet lämna ut uppgifter som det särskilt behöver informeras om för att saken är brådskande, för att det är fråga om en farosituation, för att brott ska kunna förebyggas, för att egendom ska kunna återställas till ägaren eller av skäl som har samband med en utredning. Uppgifterna får lämnas ut på något annat sätt än vad som avses i 1 mom. endast när det är av väsentlig betydelse för utförande av en i 1 kap. 1 § 1 mom. i polislagen föreskriven uppgift och utlämnandet av uppgifterna inte strider mot den registrerades legitima intresse. Uppgifter som erhållits från en annan myndighet får endast lämnas ut med samtycke av den myndighet som lämnat ut uppgifterna. 
24 § 
Utlämnande av personuppgifter till privata sammanslutningar eller näringsidkare via e-tjänster 
Polisen får trots sekretessbestämmelserna lämna ut uppgifter om tillstånd som behandlas för de ändamål som anges i 11 § till en privat sammanslutning eller näringsidkare, om uppgifterna är nödvändiga för utförande av en uppgift som sammanslutningen eller näringsidkaren i fråga har enligt lag. Personuppgifter ska via e-tjänster endast kunna sökas som enskilda sökningar. 
25 § 
Utlämnande av personuppgifter till brottsbekämpande myndigheter i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet 
Polisen får trots sekretessbestämmelserna lämna ut personuppgifter som avses i 5—8, 11 och 12 § till sådana behöriga myndigheter i andra medlemsstater i Europeiska unionen och i stater som hör till Europeiska ekonomiska samarbetsområdet som behandlar personuppgifterna för de ändamål som anges i artikel 1.1 i Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, under samma förutsättningar som polisen själv får behandla personuppgifterna i fråga. 
Polisen får dessutom trots sekretessbestämmelserna lämna ut uppgifter som avses i 5—8, 11 och 12 § till Eurojust och sådana andra institutioner som inrättats med stöd av fördraget om Europeiska unionens funktionssätt som har till uppgift att trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet eller förebygga och utreda brott och sörja för att brott blir föremål för åtalsprövning, om uppgifterna behövs för utförande av dessa uppdrag. Personuppgifter som hör till särskilda kategorier av personuppgifter får dock lämnas ut endast om de är nödvändiga för utförandet av dessa uppdrag. 
Uppgifter som avses i 1 och 2 mom. får lämnas ut också som en datamängd. 
Utöver vad som föreskrivs i denna lag och i dataskyddslagen avseende brottmål finns bestämmelser om utlämnande av personuppgifter till de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater i lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009). 
26 § 
Utlämnande av personuppgifter ur det nationella systemet inom Schengens informationssystem 
Polisen får trots sekretessbestämmelserna till de behöriga Schengenmyndigheterna lämna ut uppgifter ur det nationella systemet inom Schengens informationssystem med iakttagande av författningsgrunden för Schengens informationssystem. Uppgifterna får också lämnas ut genom en teknisk anslutning eller som en datamängd. 
27 § 
Utlämnande av personuppgifter till stater som använder Schengens informationssystem och till Schengens informationssystem 
Polisen får trots sekretessbestämmelserna till Schengenstaternas behöriga myndigheter och för registrering i Schengens informationssystem lämna ut uppgifter som avses i författningsgrunden för Schengens informationssystem, om uppgifterna behövs för ändamål som anges i författningsgrunden för Schengens informationssystem. Den tilläggsinformation som avses i författningsgrunden för Schengens informationssystem ska lämnas ut genom förmedling av Sirenekontoret. Centralkriminalpolisen är Sirenekontor. Uppgifterna får också lämnas ut genom en teknisk anslutning eller som en datamängd. 
28 § 
Utlämnande av personuppgifter till Europol 
Polisen får trots sekretessbestämmelserna lämna ut personuppgifter till Europeiska unionens byrå för samarbete inom brottsbekämpning med iakttagande av bestämmelserna i Europolförordningen och lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning (214/2017). 
29 § 
Utlämnande av personuppgifter till Eurodacsystemet 
Polisen får trots sekretessbestämmelserna lämna ut personuppgifter till Eurodacsystemet med iakttagande av bestämmelserna i Eurodacförordningen. Centralkriminalpolisen är den nationella enheten i Eurodacsystemet och den utsedda myndighet för brottsbekämpande ändamål som avses i artikel 5.1 i Eurodacförordningen. 
30 § 
Utlämnande av personuppgifter med stöd av Prümfördraget och Prümrådsbeslutet 
I fråga om utlämnande, på basis av en sökning som lett till en träff, av DNA-uppgifter, fingeravtryckuppgifter och fordonsregisteruppgifter med stöd av fördraget mellan Konungariket Belgien, Förbundsrepubliken Tyskland, Konungariket Spanien, Republiken Frankrike, Storhertigdömet Luxemburg, Konungariket Nederländerna och Republiken Österrike om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism, gränsöverskridande brottslighet och olaglig migration (FördrS 53 och 54/2007), nedan Prümfördraget, och med stöd av rådets beslut 2008/615/RIF om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, nedan Prümrådsbeslutet, tillämpas artiklarna 3, 9 och 12 i Prümrådsbeslutet. 
Utöver vad som föreskrivs i artiklarna 5, 10 och 14 i Prümrådsbeslutet ska 25 § i denna lag tillämpas på utlämnande av personuppgifter efter den uppgift om en träff som avses i 1 mom. 
31 § 
Övrigt utlämnande av personuppgifter till utlandet 
Polisen får trots sekretessbestämmelserna lämna ut personuppgifter med iakttagande av bestämmelserna i 7 kap. i dataskyddslagen avseende brottmål. 
Polisen får trots sekretessbestämmelserna 
1) till de behöriga myndigheter som avses i internationella avtal eller andra arrangemang som gäller återtagande av personer som olagligen kommit in och vistas i landet lämna ut personuppgifter för utförande av de uppgifter som avses i de internationella avtalen eller arrangemangen, 
2) till de myndigheter som ansvarar för vapentillsynen i en annan stat lämna ut personuppgifter om förvärv, innehav, överföring, införsel och utförsel av skjutvapen, vapendelar, patroner och särskilt farliga projektiler, om det med tanke på vapentillsynen är nödvändigt att lämna ut uppgifterna. 
Biometriska uppgifter som behandlas för utförande av de uppgifter som föreskrivs i lagen om identitetskort och passlagen får lämnas ut endast för de ändamål som anges i 15 § 2 mom. 
De uppgifter som avses i denna paragraf får lämnas ut också som en datamängd. 
32 § 
Beslut om utlämnande av uppgifter 
Beslut om rätten att lämna ut uppgifter ur polisens personregister genom en teknisk anslutning eller som en datamängd samt om rätten för myndigheter som avses i 3 kap. att lämna ut uppgifter till polisens informationssystem genom en teknisk anslutning eller som en datamängd fattas av den personuppgiftsansvarige eller av en annan polisenhet som den personuppgiftsansvarige har förordnat till uppgiften. 
När beslut om utlämnande fattas ska uppgifternas art beaktas för att den registrerades integritetsskydd och datasäkerheten ska kunna tryggas. 
5 kap. 
Radering och arkivering av personuppgifter 
33 § 
Radering av personuppgifter som anknyter till brottmål 
Uppgifterna i ett brottmål som överförts till en åklagare för avgörande ska raderas 
1) 5 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till böter eller ett fängelsestraff på högst ett år, 
2) 10 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på över ett och högst fem år, 
3) 20 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till fängelse i över fem år. 
De uppgifter som avses i 1 mom. raderas dock tidigast ett år efter det att åtalsrätten för brottet har preskriberats. 
Uppgifterna i övriga brottmål än de som avses i 1 mom. ska raderas ett år efter det att åtalsrätten för det sista misstänkta brottet preskriberats, dock tidigast 5 år efter det att brottmålet registrerades. 
Signalementsuppgifter som behandlas för fastställande av identiteten ska raderas senast 10 år efter det att den sista uppgiften om en person misstänkt för brott infördes. Uppgifterna ska dock raderas senast 10 år efter den registrerades död, om det strängaste föreskrivna straffet för det grövsta brott som använts som grund för registrering är fängelse i minst ett år. 
Signalementsuppgifterna för en person som var under 15 år när brottet begicks raderas dock senast 5 år från det att den sista uppgiften om den för brott misstänkta personen infördes, om inte någon av uppgifterna gäller ett brott för vilket inte föreskrivs någon annan påföljd än fängelse. 
De uppgifter som avses i 4 och 5 mom. raderas senast ett år från det att uppgiften infördes, om det vid utredningen har framgått att inget brott har begåtts eller att det inte längre finns skäl att misstänka personen för brott. 
De i 1—5 mom. avsedda personuppgifter som anknyter till brottmål får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
Logguppgifterna och övervakningsuppgifterna om sådan behandling av uppgifter som grundar sig på Prümfördraget och Prümrådsbeslutet lagras och raderas med iakttagande av bestämmelserna i artikel 39.4 och 39.5 i Prümfördraget och artikel 30.4 och 30.5 i Prümrådsbeslutet. 
34 § 
Radering av andra personuppgifter som behandlas i undersöknings- och övervakningsuppgifter 
Andra personuppgifter som behandlas för undersöknings- och övervakningsuppgifter än de uppgifter som avses i 33 § ska raderas 5 år efter det att anmälan eller ärendet registrerades, om inte de hänför sig till ett brottmål som utreds. 
Med avvikelse från vad som anges i 1 mom. ska 
1) uppgifter om näringsförbud raderas 5 år efter det att näringsförbudet upphörde, 
2) uppgifter om besöksförbud och uppgifter som gäller sådana skyddsåtgärder som avses i lagen om tillämpning av Europaparlamentets och rådets förordning om ömsesidigt erkännande av skyddsåtgärder i civilrättsliga frågor raderas 5 år efter det att besöksförbudet upphörde eller skyddsåtgärden meddelades, 
3) uppgifter om övervakad frihet på prov eller övervakningsstraff raderas 5 år efter det att den övervakade friheten på prov upphörde eller övervakningsstraffet avtjänats, 
4) andra uppgifter om efterlysning, reseförbud, djurhållningsförbud, jaktförbud, nationellt inreseförbud, samhällspåföljd eller villkorlig frigivning som behandlas för att personer ska kunna påträffas, övervakas, observeras och skyddas raderas 3 år efter det att efterlysningen eller förbudet upphörde, 
5) personuppgifter som behandlas för att personer som anmälts försvunna ska kunna hittas och för att okända avlidna ska kunna identifieras raderas tidigast 5 år efter det att den försvunna påträffades eller en okänd avliden identifierades; sådana uppgifter om nära släktingar som behövs för att personer som anmälts försvunna ska kunna hittas och för att okända avlidna ska kunna identifieras raderas dock på den registrerades begäran eller genast när uppgifterna inte längre behövs med tanke på ändamålet med behandlingen, 
6) signalementsuppgifter och uppgifter om resedokument som behandlas för utförande av de uppgifter som föreskrivs i 131 § i utlänningslagen raderas 10 år efter det att den sista anteckningen om den registrerade infördes; om en registrerad har beviljats finskt medborgarskap ska uppgifterna dock raderas ett år efter det att den personuppgiftsansvarige fått kännedom om medborgarskapet. 
De uppgifter som avses i 2 mom. 6 punkten och 6 § 1 mom. 3 punkten raderas dock senast ett år efter den registrerades död. 
De i 1—3 mom. avsedda personuppgifterna får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
35 § 
Radering av personuppgifter som anknyter till förbyggande eller avslöjande av brott 
Personuppgifter i anknytning till förebyggande och avslöjande av brott ska raderas senast 10 år från det att den sista uppgiften om ett brott, brottslig verksamhet eller ett uppdrag infördes. Uppgifter som avses i 7 § 5 mom. ska dock raderas senast sex månader från det att anteckningen infördes och uppgifter som avses i 8 § 1 mom. 4 punkten senast ett år efter den registrerades död. 
Personuppgifter som avses i 1 mom. får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
36 § 
Radering av uppgifter om informationskällor 
Uppgifter om en informationskälla ska raderas senast 10 år från det att den sista uppgiften infördes. 
37 § 
Radering av personuppgifter som behandlas för kvalitetssäkring av DNA-prov 
Personuppgifter som behandlas för kvalitetssäkring av DNA-prov ska raderas på den registrerades begäran eller genast när uppgifterna inte längre behövs med tanke på ändamålet med behandlingen. 
Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst varje år. 
38 § 
Radering av personuppgifter som behandlas i polisens övriga lagstadgade uppgifter 
Personuppgifter som behandlas för utförande av tillståndsförvaltnings- och tillsynsuppgifter ska raderas senast 20 år från det att beslutet fattades eller förföll eller den i beslutet angivna giltighetstiden gick ut eller personuppgiften infördes. 
Med avvikelse från vad som anges i 1 mom. ska 
1) uppgifterna i en skjutvapenanmälan enligt skjutvapenlagen raderas senast 3 år från det att uppgiften infördes, 
2) personuppgifter som behandlas med stöd av 42 c § i skjutvapenlagen raderas 30 år efter det att föremålet förstördes; uppgifterna får dock behandlas för de ändamål som föreskrivs i 11 § i endast 10 år efter det att föremålet förstördes, 
3) personuppgifter som anknyter till hittegodsverksamhet raderas senast ett år från det att uppgiften infördes, 
4) personuppgifter som ingår i sådana rapporter om misstanke om överträdelser som avses i 7 kap. 9 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism raderas i enlighet med 2 mom. i den paragrafen samt övriga personuppgifter som anknyter till tillsyn enligt det kapitlet senast 5 år från det att anteckningen infördes, 
5) uppgifter om administrativa påföljder raderas senast 5 år från det att anteckningen infördes, 
6) personuppgifter som ska behandlas för övervakning enligt lotterilagen eller lagen om förhindrande av penningtvätt och av finansiering av terrorism och som gäller kunder hos en i de lagarna avsedd penningspelssammanslutning, näringsidkare eller sammanslutning som ska övervakas raderas genast när de inte längre behövs för tillsynsuppdraget. 
Personuppgifter som avses i 1 mom. och 2 mom. 1 punkten ska dock raderas senast ett år efter den registrerades död, om det inte finns särskilda skäl att fortfarande bevara dem. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
39 § 
Uppgifter som konstaterats vara felaktiga 
Oberoende av vad som i dataskyddslagen avseende brottmål och i dataskyddsförordningen föreskrivs om rättelse av oriktiga uppgifter, får en uppgift som konstaterats vara felaktig bevaras tillsammans med den korrigerade uppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. En sådan uppgift får användas endast i det syfte som här avses. 
En uppgift som har konstaterats vara felaktig får dock inte bevaras i det nationella systemet inom Schengens informationssystem. 
En uppgift som konstaterats vara felaktig och som bevaras med stöd av 1 mom. ska raderas genast när den inte längre behövs för att trygga rättigheterna. 
40 § 
Arkivering av uppgifter 
Bestämmelser om arkivfunktionens uppgifter och om handlingar som ska arkiveras utfärdas särskilt. 
6 kap. 
De registrerades rättigheter 
41 § 
Tillgodoseende av den registrerades rätt till insyn 
I syfte att tillgodose den registrerades rätt till insyn enligt 23 § i dataskyddslagen avseende brottmål och den registrerades rätt till tillgång till uppgifter enligt artikel 15 i dataskyddsförordningen lämnar den personuppgiftsansvarige ut de behövliga personuppgifterna och andra uppgifter för utövande av insyn, om inte den personuppgiftsansvarige har förordnat någon annan polisenhet att lämna ut uppgifterna. 
En registrerad som vill utöva sin rätt till insyn ska framställa en personlig begäran om detta till den personuppgiftsansvarige eller någon annan i 1 mom. avsedd polisenhet samt styrka sin identitet. En begäran kan också framställas genom att använda sådan stark autentisering som avses i lagen om stark autentisering och betrodda elektroniska tjänster HYPERLINK "https://www.finlex.fi/fi/laki/ajantasa/2009/20090617%20" \o "Ajantasainen säädös" (617/2009), om en sådan tjänst används. 
42 § 
Inskränkningar i rätten till insyn 
Med avvikelse från 23 § i dataskyddslagen avseende brottmål gäller rätten till insyn inte 
1) personuppgifter som avses i 5 § 3 mom., 7 § 6 mom. och 9 §, 
2) personuppgifter som gäller hemlig övervakning och särskild kontroll i Schengens informationssystem, 
3) sådana uppgifter om polisens taktiska eller tekniska metoder, observationsuppgifter, uppgifter om informationskällor eller uppgifter som används för teknisk undersökning, som ingår i de personuppgifter som avses i 5—8 §, 
4) personuppgifter som erhållits genom de inhämtningsmetoder som avses i 5 kap. i polislagen och 10 kap. i tvångsmedelslagen samt med stöd av 157 § i lagen om tjänster inom elektronisk kommunikation, 
Bestämmelser om utövande av den registrerades rättigheter via dataombudsmannen finns i 29 § i dataskyddslagen avseende brottmål. En begäran om utövning av rättigheterna ska lämnas till dataombudsmannen eller till polisen i enlighet med 41 § 2 mom. i denna lag. En begäran som lämnats till polisen ska utan dröjsmål sändas till dataombudsmannen. 
43 § 
Utövande av rätten till insyn i den datafil som upprätthålls av den tekniska stödfunktionen i Schengens informationssystem 
Utöver vad som föreskrivs i 41 § har var och en rätt att begära att den tillsynsmyndighet som avses i artikel 115 i tillämpningskonventionen till Schengenavtalet om gradvis avskaffande av kontroller vid de gemensamma gränserna (FördrS 23/2001) kontrollerar att insamlingen, registreringen, behandlingen och användningen av personuppgifter som gäller honom eller henne i den datafil som upprätthålls av den tekniska stödfunktionen i Schengens informationssystem sker på ett lagligt och riktigt sätt. En begäran om detta ska lämnas till dataombudsmannen eller till polisen i enlighet med 41 § 2 mom. i denna lag. En begäran om kontroll som lämnats till polisen ska utan dröjsmål sändas till dataombudsmannen. 
44 § 
Utövande av rätten till insyn i fråga om behandlingen av personuppgifter som grundar sig på Prümfördraget och Prümrådsbeslutet 
Utöver vad som föreskrivs i 42 § har var och en rätt att begära att dataombudsmannen kontrollerar att den behandling av personuppgifter om honom eller henne som grundar sig på Prümfördraget och Prümrådsbeslutet är lagenlig. En begäran om detta ska lämnas till dataombudsmannen eller till polisen i enlighet med 41 § 2 mom. i denna lag. En begäran om kontroll som lämnats till polisen ska utan dröjsmål sändas till dataombudsmannen. 
45 § 
Den registrerades rätt till begränsning av behandling 
Vad som i artikel 18 i dataskyddsförordningen föreskrivs som den registrerades rätt till begränsning av behandling ska inte tillämpas på sådan behandling av personuppgifter som avses i denna lag. 
7 kap. 
Behandling av personuppgifter vid skyddspolisen 
46 § 
Tillämpningsområde 
Detta kapitel innehåller bestämmelser om behandlingen av sådana personuppgifter enligt 1 § 1 mom. som behövs för skötseln av skyddspolisens uppgifter enligt 10 § i polisförvaltningslagen (110/1992). 
På behandlingen av personuppgifter som behövs för skyddspolisens skötsel av uppgifter som avses i 1 mom. tillämpas dataskyddslagen avseende brottmål, med undantag av 10 § 2 mom., 54 § och 7 kap., i den lagen, om inte något annat föreskrivs i detta kapitel. 
Vid behandlingen av personuppgifter ska bestämmelserna i 1 kap. i polislagen om respekt för de grundläggande rättigheterna och de mänskliga rättigheterna, proportionalitetsprincipen, principen om minsta olägenhet och principen om ändamålsbundenhet iakttas. (Nytt 3 mom.) 
Behandlingen av personuppgifter får inte utan godtagbart skäl grunda sig på en persons ålder, kön, ursprung, nationalitet, bosättningsort, språk, religion, övertygelse, åsikt, politiska verksamhet, fackföreningsverksamhet, familjeförhållanden, hälsotillstånd, funktionsnedsättning, sexuella läggning eller någon annan orsak som gäller hans eller hennes person. (Nytt 4 mom.) 
Bestämmelser om dataskyddsbrott finns i 38 kap. 9 § i strafflagen. (Nytt 5 mom.) 
På sekretess för personuppgifter tillämpas lagen om offentlighet i myndigheternas verksamhet, om inte något annat föreskrivs i detta kapitel. 
47 § 
Personuppgiftsansvarig 
Skyddspolisen är personuppgiftsansvarig för de personuppgifter som avses i detta kapitel. 
48 § 
Behandling av personuppgifter vid skyddspolisen 
Skyddspolisen får behandla personuppgifter som behövs för att skydda den nationella säkerheten, för att förhindra, avslöja och utreda verksamhet och förehavanden och brott som hotar stats- och samhällsordningen eller statens säkerhet samt för att förhindra och avslöja brott som hotar stats- och samhällsord ingen eller statens säkerhet
Skyddspolisen får behandla personuppgifter också för att bedöma om uppgifterna är av betydelse med tanke på ändamålet med användningen enligt 1 mom. Huruvida uppgifterna är av betydelse ska bedömas och onödiga uppgifter raderas utan dröjsmål, dock senast sex månader från det att de registrerats
I fråga om personuppgifter som behandlas med avseende på säkerhetsutredningar gäller vad som föreskrivs särskilt. (2 mom. som 3 mom. i RP) 
49 § 
Behandling av grundläggande personuppgifter 
Skyddspolisen får behandla följande behövliga grundläggande personuppgifter som avses i 48 § 1 mom.: 
1) personbeteckning och födelsetid, 
2) identifikationsuppgifter som grundar sig på personens fysiska egenskaper samt ljud- och bildupptagningar, 
3) andra än i 1 och 2 punkten avsedda identifikationsuppgifter, 
4) uppgifter om medborgarskap och familjeförhållanden, 
5) uppgifter om bosättningsort, 
6) uppgifter om utbildning och yrke samt arbetslivserfarenhet och tidigare anställningar, 
7) kontaktuppgifter, 
8) uppgifter om resande, 
8) uppgift om att personen avlidit eller förklarats död, 
9) identifikationsuppgifter som kan kopplas till en juridisk eller fysisk person, 
10) uppgifter om en juridisk person, 
11) nödvändiga uppgifter om resande, 
12) nödvändiga uppgifter om en persons verksamhet och beteende. 
Skyddspolisen får dessutom behandla sådana uppgifter som hör till särskilda kategorier av personuppgifter som är nödvändiga för att skyddspolisen ska kunna utföra sina uppgifter. 
50 § 
Utlämnande av personuppgifter 
Skyddspolisen får, för att sköta sina uppgifter, trots sekretessbestämmelserna lämna ut personuppgifter till andra myndigheter eller sammanslutningar som sköter offentliga uppgifter. 
Skyddspolisen får dessutom trots sekretessbestämmelserna lämna ut personuppgifter till andra polisenheter för de ändamål med behandlingen som avses i 13 § samt till andra myndigheter eller sammanslutningar som sköter offentliga uppgifter för de ändamål med behandlingen som avses i 4 kap. På utlämnande för brottsbekämpning av uppgifter som har fåtts genom en metod för underrättelseinhämtning, ska 5 a kap. 44 § i polislagen iakttas. 
Skyddspolisen får registrera personuppgifter som avses i 1 och 2 mom. i polisens personregister i enlighet med 17 §. 
Om det finns vägande skäl får skyddspolisen trots sekretessbestämmelserna i enskilda fall lämna ut personuppgifter till privata sammanslutningar och personer, för att skyddspolisen ska kunna utföra sina uppgifter. 
51 § 
Utlämnande av personuppgifter i internationellt samarbete 
Skyddspolisen får trots sekretessbestämmelserna lämna ut personuppgifter till utländska säkerhets- och underrättelsetjänster och till utländska myndigheter som har till uppgift att skydda den nationella säkerheten, trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet eller att förebygga och utreda brott och föra brott till åtalsprövning samt till Internationella kriminalpolisorganisationen (Interpol) och Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol), om utlämnandet är nödvändigt för att skyddspolisen ska kunna utföra sina uppdrag. 
Skyddspolisen får trots sekretessbestämmelserna lämna ut i 1 mom. avsedda uppgifter till de aktörer som avses i det momentet också om uppgifterna är nödvändiga för att de utländska myndigheterna i fråga ska kunna utföra sina uppdrag. 
Skyddspolisen får lämna ut personuppgifter till internationella datasystem i enlighet med 26—29 §. 
När beslut fattas om utlämnande av uppgifter ska hänsyn dessutom tas till människorättssituationen i den stat som är mottagare av personuppgifterna, utlämnandets betydelse för Finlands internationella relationer samt de internationella fördrag och andra förpliktelser som binder Finland. Vidare ska hänsyn tas till nivån på dataskyddet i den stat som är mottagare av personuppgifterna och vilken betydelse utlämnandet har med tanke på den registrerades rättigheter. 
Internationellt samarbete och utbyte av information är förbjudet om det finns grundad anledning att misstänka att någon på grund av samarbetet eller utlämnandet av information riskerar dödsstraff, tortyr, någon annan behandling som kränker människovärdet, förföljelse, godtyckligt frihetsberövande eller orättvis rättegång. (Nytt 5 mom.) 
Personuppgifter som hör till särskilda kategorier av personuppgifter får inte lämnas ut i stor omfattning.(6 mom. som 5 mom. i RP) 
Till personuppgifter som lämnas ut ska det vid behov fogas villkor för ändamålet med uppgifterna och vidarelämnande av dem. (7 mom. som 6 mom. i RP) 
52 § 
Rätt att få uppgifter 
Skyddspolisen har rätt att få sådana uppgifter som behandlas med stöd av 2 kap., om de behövs för att skyddspolisen ska kunna utföra sina uppgifter. 
Skyddspolisen har för utförandet av sina uppgifter rätt att få sådana uppgifter som avses i 3 kap. på det sätt som föreskrivs i det kapitlet. Skyddspolisen har rätt att förelägga vite i enlighet med 19 §. 
Skyddspolisen har rätt att få uppgifterna avgiftsfritt, om inte något annat föreskrivs i lag. 
53 § 
Behandling av personuppgifter som erhållits i internationellt samarbete 
Vid behandlingen av personuppgifter som erhållits från utländska säkerhets- och underrättelsetjänster ska i fråga om sekretess, tystnadsplikt, begränsningar i användningen av uppgifter, vidarelämnande av uppgifter eller återsändande av utlämnat material iakttas vad som anges i de villkor som den som lämnat ut uppgifterna ställt. 
54 § 
Skyddspolisens rätt att upprätthålla sitt personregister 
Om en personuppgiftsansvarig enligt någon annan lag har rätt att ur sitt personregister lämna ut personuppgifter till polisen genom en teknisk anslutning eller som en datamängd trots sekretessbestämmelserna, får skyddspolisen för att upprätthålla sitt informationssystem jämföra uppgifterna i personregistret i fråga med innehållet i sina registrerade personuppgifter. Onödiga uppgifter ska raderas utan dröjsmål efter det att jämförelsen har gjorts. Onödiga personuppgifter får inte registreras. 
Om det föreskrivs att den nationella säkerheten är det ursprungliga ändamålet med behandlingen av uppgifterna eller att den nationella säkerheten är ett annat ändamål än det ursprungliga, har skyddspolisen dessutom trots sekretessbestämmelserna rätt att i sitt informationssystem jämföra en datamängd insamlad från ett annat informationssystem, om förfarandet är nödvändigt för att göra behandlingen av uppgifter möjlig i ett informationssystem med hög informationssäkerhetsnivå. Datamängden ska förstöras utan dröjsmål efter att behovet av jämförelse har upphört. De uppgifter som insamlas för jämförelsen ska hållas åtskilda från övriga uppgifter som skyddspolisen behandlar. 
Skyddspolisen har rätt att få uppgifterna avgiftsfritt, om inte något annat föreskrivs i lag. 
55 § 
Behandling av personuppgifter för annat ändamål än det ursprungliga 
Utöver vad som föreskrivs i 5 § 3 mom. i dataskyddslagen avseende brottmål får uppgifter i skyddspolisens informationssystem trots sekretessbestämmelserna behandlas även för laglighetsövervakning, planering och utveckling. Uppgifterna får dessutom användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. 
56 § 
Inskränkningar i rätten till insyn 
Rätt till insyn föreligger inte alls i fråga om de personuppgifter som skyddspolisen behandlar med stöd av detta kapitel. 
Bestämmelser om utövande av den registrerades rättigheter via dataombudsmannen finns i 29 § i dataskyddslagen avseende brottmål. En begäran om utövning av rättigheterna ska lämnas till dataombudsmannen eller till polisen i enlighet med 41 § 2 mom. i denna lag. En begäran som lämnats till polisen ska utan dröjsmål sändas till dataombudsmannen. 
57 § 
Radering av uppgifter 
Sådana uppgifter om personer som har registrerats med stöd av 48 § 1 mom. ska raderas 25 år från det att den sista uppgiften fördes in, om det inte finns särskilda skäl att fortfarande bevara personuppgifterna. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
58 § 
Uppgifter som konstaterats vara felaktiga 
En uppgift som konstaterats vara felaktig får bevaras tillsammans med den korrigerade uppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till skyddspolisens personal har. En sådan uppgift får användas endast i det syfte som här avses. 
En uppgift som konstaterats vara felaktig och som bevaras med stöd av 1 mom. ska raderas genast när den inte längre behövs för att trygga rättigheterna. 
59 § 
Arkivering av uppgifter 
Bestämmelser om arkivfunktionens uppgifter och om handlingar som ska arkiveras utfärdas särskilt. 
8 kap. 
Särskilda bestämmelser 
60 § 
Personuppgiftsansvarig 
Personuppgiftsansvarig för de personuppgifter som avses i 2 kap. och det nationella systemet inom Schengens informationssystem är Polisstyrelsen. 
61 § 
Ikraftträdande 
Denna lag träder i kraft den 20 . 
Genom denna lag upphävs lagen om behandling av personuppgifter i polisens verksamhet (761/2003), nedan den upphävda lagen
På radering av personuppgifter som avses i denna lag får de bestämmelser som gällde vid ikraftträdandet av denna lag tillämpas i fyra år från ikraftträdandet av lagen. Under denna övergångstid ska på radering av personuppgifter som avses i 7, 8, 11 och 12 § tillämpas den upphävda lagens 23, 24 och 26 § i den lydelse paragraferna hade vid ikraftträdandet av denna lag. På radering av personuppgifter som avses i 5 och 6 § tillämpas under denna tid den upphävda lagens 22 §, sådan den lyder delvis ändrad i lagarna 529/2005 och 851/2006. 
Utskottet föreslår att lagförslag 2 förkastas.
3. 
Lag 
om ändring av 42 b § i lotterilagen 
I enlighet med riksdagens beslut 
ändras i lotterilagen (1047/2001) 42 b § 2 mom., sådant det lyder i lag 1184/2013, som följer: 
42 b § 
Tillsynsregister över lotterier 
Bestämmelser om behandlingen av personuppgifter i polisens register finns i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
Denna lag träder i kraft den 20 . 
4. 
Lag 
om ändring av lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet 
I enlighet med riksdagens beslut 
ändras i lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009) 3 §, 5 § 2 och 3 mom. samt 6 § 2 och 3 mom., 
sådana de lyder, 3 § i lagarna 1180/2013 och 649/2015, 5 § 2 mom. och 6 § 2 mom. i lag 312/2016 samt 5 § 3 mom. och 6 § 3 mom. i lag 649/2015, som följer: 
3 § 
Definition av information och underrättelser 
I denna lag avses med information och underrättelser 
1) uppgifter som avses i 2 kap. i lagen om behandling av personuppgifter i polisens verksamhet ( / ), 
2) uppgifter som avses i Tullens personregister enligt 2 kap. i lagen om behandling av personuppgifter inom Tullen (/), 
3) uppgifter i de personregister som avses i 2 kap. i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (/), 
4) uppgifter som annars med stöd av 4 kap. 2 och 3 § samt 5 kap. 40—42 § i polislagen (872/2011), 16 § i lagen om behandling av personuppgifter i polisens verksamhet, 2 kap. 14 § i lagen om brottsbekämpning inom Tullen (623/2015), 36 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018), 19, 20 och 22 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet eller någon annan lag eller ett avtal innehas av polisen, Tullen eller Gränsbevakningsväsendet eller som är tillgängliga för dem utan att de vidtar tvångsåtgärder. 
5 § 
Utlämnande av information och underrättelser på begäran 
Information och underrättelser lämnas ut under de förutsättningar som anges i 25 § i lagen om behandling av personuppgifter i polisens verksamhet, 21 § i lagen om behandling av personuppgifter inom Tullen och 35 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
På beslutsfattande som gäller utlämnande av information och underrättelser tillämpas vad som föreskrivs i 32 § i lagen om behandling av personuppgifter i polisens verksamhet, 24 § i lagen om behandling av personuppgifter inom Tullen, 39 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet samt någon annanstans i lag. 
6 § 
Utlämnande av information och underrättelser på eget initiativ 
Information och underrättelser lämnas ut under de förutsättningar som anges i 25 § i lagen om behandling av personuppgifter i polisens verksamhet, 21 § i lagen om behandling av personuppgifter inom Tullen och 35 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
På beslutsfattande som gäller utlämnande av information och underrättelser tillämpas vad som föreskrivs i 32 § i lagen om behandling av personuppgifter i polisens verksamhet, 24 § i lagen om behandling av personuppgifter inom Tullen, 39 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet samt någon annanstans i lag. 
Denna lag träder i kraft den 20 . 
5. 
Lag 
om ändring av 10 § i lagen om genomförande av vissa bestämmelser i beslutet om Eurojust 
I enlighet med riksdagens beslut 
ändras i lagen om genomförande av vissa bestämmelser i beslutet om Eurojust (742/2010) 10 § 2 mom., sådant det lyder i lag 648/2015, som följer: 
10 § 
Utlämnande av personuppgifter till Eurojust 
Vid utlämnande av uppgifter till Eurojust ur polisens, Gränsbevakningsväsendets och Tullens personregister tillämpas 25 § i lagen om behandling av personuppgifter i polisens verksamhet ( / ), 35 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (579/2005), 21 § i lagen om behandling av personuppgifter inom Tullen (639/2015) och 30 § i lagen om offentlighet i myndigheternas verksamhet (621/1999). 
Denna lag träder i kraft den 20 . 
6. 
Lag 
om ändring av 12 § i lagen om Enheten för utredning av grå ekonomi 
I enlighet med riksdagens beslut 
ändras i lagen om Enheten för utredning av grå ekonomi (1207/2010) 12 § 2 mom., sådant det lyder i lag 645/2015, som följer: 
12 § 
Behandling av personuppgifter och rätt till insyn 
En registrerad har dock inte rätt till insyn i de uppgifter som avses i 42 § i lagen om behandling av personuppgifter i polisens verksamhet ( / ) och i 42 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005) och inte heller i uppgifter i de register som nämns i 29 § i lagen om behandling av personuppgifter inom Tullen (639/2015). 
Denna lag träder i kraft den 20 . 
7. 
Lag 
om ändring av 17 och 31 § i lagen om identitetskort 
I enlighet med riksdagens beslut 
ändras i lagen om identitetskort (663/2016) 17 § 5 mom. och 31 § som följer: 
17 § 
Förvägrande av identitetskort och identitetskort utan rätt att resa 
Uppgift om utfärdande av ett sådant identitetskort som avses i 3 mom. antecknas i polisens personregister. 
31 § 
Identitetskortsregister 
För utförande av de uppgifter som enligt denna lag ankommer på polisen och finska beskickningar ska polisen föra ett identitetskortsregister där det förs in 
1) de behövliga grundläggande personuppgifter som avses i 4 § i lagen om behandling av personuppgifter i polisens verksamhet ( / ), 
2) uppgifter om ansökningar, beslut, tillstånd, polisens och finska beskickningars åtgärder, hinder, anmärkningar och anmälningar som gäller identitetskort, 
3) de fotografier av personer och namnteckningsprov, som personerna lämnat till polisen, utrikesministeriet eller en myndighet inom utrikesförvaltningen vid ansökan om identitetskort. 
Bestämmelser om användning av uppgifterna i registret finns i 11—15 § i lagen om behandling av personuppgifter i polisens verksamhet. Bestämmelser om utlämnande och radering av uppgifter finns i 4 kap. och i 38 § i den lagen. 
Denna lag träder i kraft den 20 . 
8. 
Lag 
om ändring av 17 och 19 § i lagen om nödcentralsverksamhet 
I enlighet med riksdagens beslut 
upphävs i lagen om nödcentralsverksamhet (692/2010) 19 § 1 mom. 11 punkten, sådan den lyder i lag 1172/2016, och 
ändras 17 § 4 mom. och 19 § 1 mom. 1 punkten, sådana de lyder i lag 1172/2016, som följer: 
17 § 
Information som ska lagras i nödcentralsdatasystemet 
Bestämmelser om registrerades rätt att ta del av information som polisen lagrat i nödcentralsdatasystemet finns i 4 kap. i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ) och i 6 kap. i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
19 § 
Rätt att få information ur registren 
Nödcentralsverket och dess anställda har enligt vad som överenskommits med registerföraren och trots sekretessbestämmelserna, för att kunna sköta Nödcentralsverkets lagstadgade uppgifter, rätt att avgiftsfritt få information som behövs för att säkerställa förberedande åtgärder i samband med uppdrag eller arbetarskyddet eller för att stödja myndigheten eller enheten i fråga. I detta syfte har Nödcentralsverket och dess anställda rätt att 
1) få sådan information ur polisens informationssystem som avses i 5, 6, 11 och 12 § i lagen om behandling av personuppgifter i polisens verksamhet samt information ur det i 3 § 3 punkten i den lagen avsedda nationella systemet inom Schengens informationssystem, 
Denna lag träder i kraft den 20 . 
9. 
Lag 
om ändring av 6 § i lagen om kontrollavgift i kollektivtrafik 
I enlighet med riksdagens beslut 
ändras i lagen om kontrollavgift i kollektivtrafik (469/1979) 6 § 5 mom., sådant det lyder i lag 448/2006, som följer: 
6 § 
Biljettkontrollörer 
Polisen för en förteckning över beslut om godkännanden som kontrollör och återkallande av godkännanden. Bestämmelser om behandlingen av personuppgifter finns dessutom i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
Denna lag träder i kraft den 20 . 
10. 
Lag 
om ändring av 15 § i lagen om besöksförbud 
I enlighet med riksdagens beslut 
ändras i lagen om besöksförbud (898/1998) 15 §, sådan den lyder i lag 711/2004, som följer: 
15 § 
Registrering av besöksförbud 
Bestämmelser om behandlingen av uppgifter om besöksförbud i polisens register finns i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
Denna lag träder i kraft den 20 . 
11. 
Lag 
om ändring av 9 kap. 4 § och 10 kap. 62 § i tvångsmedelslagen 
I enlighet med riksdagens beslut 
ändras i tvångsmedelslagen (806/2011) 9 kap. 4 § 3 mom. samt 10 kap. 57 § 1 mom. och 62 § 1 mom., av dem 9 kap. 4 § 3 mom. sådant det lyder i lag 101/2018 och 10 kap. 57 § 1 mom. sådant det lyder i lag 112/2018, som följer: 
9 kap. 
Tvångsmedel i samband med särskilda undersökningsmetoder 
4 § 
Bestämning och registrering av DNA-profiler 
För utförande av uppgifter som anges i 1 § 1 mom. i polislagen får DNA-profiler registreras i polisens personregister. DNA-profiler som innehåller uppgifter om den registrerades andra personliga egenskaper än kön får dock inte registreras. Bestämmelser om utplåning av DNA-profiler ur registret finns i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
10 kap. 
Hemliga tvångsmedel 
57 § (Ny) 
Utplåning av information 
Överskottsinformationen ska utplånas efter det att målet har avgjorts genom en lagakraftvunnen dom eller avskrivits. Informationen får dock bevaras och lagras i ett register som avses i lagen om behandling av personuppgifter i polisens verksamhet, ett register som avses i lagen om behandling av personuppgifter inom Tullen ( /) eller ett register som avses i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (/), om informationen gäller ett brott som avses i 56 § 1 eller 2 mom. i detta kapitel eller om den behövs för att förhindra ett brott som avses i 15 kap. 10 § i strafflagen. Information som inte ska utplånas ska bevaras i fem år efter det att målet har avgjorts genom en lagakraftvunnen dom eller avskrivits.sä. 
62 § 
Begränsning av partsoffentlighet i vissa fall 
Med avvikelse från vad som föreskrivs i 11 § i lagen om offentlighet i myndigheternas verksamhet (621/1999) har den vars rättigheter eller skyldigheter saken gäller inte rätt att få vetskap om användning av tvångsmedel enligt detta kapitel förrän en underrättelse enligt 60 § har gjorts. Han eller hon har inte heller rätt till insyn för registrerade enligt lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018). 
Denna lag träder i kraft den 20 . 
12. 
Lag 
om ändring av 49 § i lagen om Polisyrkeshögskolan 
I enlighet med riksdagens beslut 
ändras i lagen om Polisyrkeshögskolan (1164/2013) 49 § som följer: 
49 § 
Behandling av känslig information 
I ärenden som gäller antagning av studerande, disciplin, avbrytande av studierna och indragning av studierätten har Polisyrkeshögskolan rätt att behandla personuppgifter som rör hälsotillstånd och domar i brottmål samt överträdelser. I samband med ett disciplinärende får dock inte uppgifter som gäller den studerandes hälsotillstånd behandlas. 
Polisyrkeshögskolan ska förvara den känsliga informationen separat från övriga personuppgifter. Den känsliga informationen ska avföras ur registret omedelbart när skötseln av lagstadgade uppgifter inte längre förutsätter att informationen bevaras, dock senast inom sex år från det att informationen fördes in i registret. 
Polisyrkeshögskolan ska bestämma vilka tjänstemän som har rätt att i sina arbetsuppgifter behandla i 1 mom. avsedda känsliga uppgifter. 
Denna lag träder i kraft den 20 . 
13. 
Lag 
om ändring av 5 kap. 41 och 60 § i polislagen 
I enlighet med riksdagens beslut 
ändras i polislagen (872/2011) 5 kap. 41 § 1 mom., 55 § 2 mom. och 60 § 1 mom., av dem 5 kap. 55 § 2 mom. sådan den lyder i lag 1168/2013, som följer: 
5 kap. 
Hemliga metoder för inhämtande av information 
41 § 
Behandling av uppgifter om en informationskälla och betalning av arvode 
Uppgifter om en informationskälla får registreras i ett personregister. Bestämmelser om behandlingen av uppgifterna finns i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
55 § (Ny) 
Utplåning av information 
Överskottsinformation får dock bevaras och lagras i ett register som avses i lagen om behandling av personuppgifter i polisens verksamhet, om den gäller ett brott som avses i 54 § 1 eller 2 mom. eller om den behövs för att förhindra ett brott som avses i 15 kap. 10 § i strafflagen. Information som inte har lagrats i ett register eller fogats till förundersökningsmaterial ska utan onödigt dröjsmål utplånas så snart det blivit uppenbart att den inte kan användas eller den inte längre behövs för att förhindra eller utreda ett brott 
60 § 
Begränsning av partsoffentlighet i vissa fall 
Med avvikelse från vad som föreskrivs i 11 § i lagen om offentlighet i myndigheternas verksamhet (621/1999) har den vars rättigheter eller skyldigheter saken gäller inte rätt att få vetskap om användningen av en metod för inhämtande av information enligt detta kapitel förrän en underrättelse enligt 58 § har gjorts. Han eller hon har inte heller rätt till insyn för registrerade enligt lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018). 
Denna lag träder i kraft den 20 . 
14. 
Lag 
om ändring av lagen om behandlingen av personer i förvar hos polisen 
I enlighet med riksdagens beslut 
ändras i lagen om behandlingen av personer i förvar hos polisen (841/2006) 1 kap. 7 § 5 mom., 2 kap. 4 § 2 mom. och 7 kap. 5 § 5 mom., av dem 1 kap. 7 § 5 mom. sådant det lyder i lag 1086/2015, som följer: 
1 kap. 
Allmänna bestämmelser 
7 § 
Ställningen för en väktare som är anställd av en innehavare av näringstillstånd inom säkerhetsbranschen 
En väktare som avses i denna paragraf har inte användarrättigheter till sådana personregister hos polisen, på vilka lagen om behandling av personuppgifter i polisens verksamhet ( / ) tillämpas, och inte heller till andra register eller informationssystem som har upprättats för myndighetsändamål. 
2 kap. 
Intagning i förvaringslokal 
4 § 
Ankomstgranskning och registrering av uppgifter 
Bestämmelser om registrering av uppgifter om frihetsberövade som intagits i en förvaringslokal finns i lagen om behandling av personuppgifter i polisens verksamhet. 
7 kap. 
Besök och andra kontakter utanför förvaringslokalen 
5 § 
Besöksförbud 
Bestämmelser om behandlingen av uppgifter om besöksförbud i polisens personregister finns i lagen om behandling av personuppgifter i polisens verksamhet. 
Denna lag träder i kraft den 20 . 
15. 
Lag 
om ändring av 6 § i lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet 
I enlighet med riksdagens beslut 
ändras i lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet (687/2009) 6 §, sådan den lyder delvis ändrad i lag 642/2015, som följer: 
6 § 
Behandlingen av uppgifter vid PTG-kriminalunderrättelseenheterna 
Bestämmelser om behandlingen av personuppgifter vid PTG-kriminalunderrättelseenheterna finns i lagen om behandling av personuppgifter i polisens verksamhet ( / ), lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ) och lagen om behandling av personuppgifter inom Tullen ( / ). 
Denna lag träder i kraft den 20 . 
16. 
Lag 
om ändring av 29 § i passlagen 
I enlighet med riksdagens beslut 
ändras i passlagen (671/2006) 29 § 1 och 2 mom., sådana de lyder i lag 456/2009, som följer: 
29 § 
Passregister 
För utförande av de uppgifter som enligt denna lag ankommer på polisen, utrikesministeriet och en sådan finsk beskickning som avses i 10 § ska polisen föra ett register där det förs in 
1) de behövliga grundläggande personuppgifter som avses i 4 § i lagen om behandling av personuppgifter i polisens verksamhet ( / ), 
2) uppgifter om passansökningar och beslut i passärenden, om pass och andra resehandlingar som har utfärdats av en finsk myndighet, om pass som har förkommit, blivit stulna eller tillvaratagits samt om hinder för utfärdande av pass och anmärkningar som hänför sig till passärenden, 
3) fingeravtryck som enligt 6 a § tagits av sökanden vid ansökan om pass, 
4) de fotografier av personer och namnteckningsprov, som personerna lämnat till polisen, utrikesministeriet eller till en myndighet inom utrikesförvaltningen vid ansökan om pass. 
Bestämmelser om användning av uppgifterna i registret finns i 11—15 § lagen om behandling av personuppgifter i polisens verksamhet. Bestämmelser om utlämnande och radering av uppgifter finns i 4 kap. och i 38 § i den lagen. 
Denna lag träder i kraft den 20 . 
17. 
Lag 
om ändring av 27 § i lagen om penninginsamlingar 
I enlighet med riksdagens beslut 
ändras i lagen om penninginsamlingar (255/2006) 27 § 2 mom. som följer: 
27 § 
Tillsynsregister över penninginsamlingar 
Bestämmelser om behandlingen av personuppgifter i polisens register finns i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
Denna lag träder i kraft den 20 . 
18. 
Lag 
om ändring av 3 § i lagen om centralen för utredning av penningtvätt 
I enlighet med riksdagens beslut 
ändras i lagen om centralen för utredning av penningtvätt (445/2017) 3 § 9 mom. som följer: 
3 § 
Registret för förhindrande, avslöjande och utredning av penningtvätt och av finansiering av terrorism 
Bestämmelser om polisens behandling av personuppgifter finns dessutom i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ) och i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
Denna lag träder i kraft den 20 . 
Utskottet föreslår att lagförslah 19 förkastas.
20. 
Lag 
om ändring av 19 § i lagen om verkställighet av böter 
I enlighet med riksdagens beslut 
ändras i lagen om verkställighet av böter (672/2002) 19 § 2 mom. som följer: 
19 § 
Efterlysning 
Efterlysningen omfattar en uppmaning som riktar sig till polismännen och som har förts in i polisens informationssystem. Enligt uppmaningen ska en polisman när den betalningsskyldige påträffas driva in en fordran som avses i 1 mom. eller stämma in den betalningsskyldige till en rättegång för bestämmande av förvandlingsstraff. Efterlysningen ska innehålla de uppgifter som behövs för betalning av fordran och redovisning av prestationen samt orsaken till åtgärden, de begärda åtgärderna, den myndighet som har hand om efterlysningen, preskription av efterlysningen och övriga uppgifter som behövs vid övervakningen av efterlysningar. 
Denna lag träder i kraft den 20 . 
21. 
Lag 
om ändring av 13 § i lagen om vittnesskyddsprogram 
I enlighet med riksdagens beslut 
ändras i lagen om vittnesskyddsprogram (88/2015) 13 § 1 och 3 mom. som följer: 
13 § 
Register över vittnesskyddsprogram 
Centralkriminalpolisen ska för skötseln av sina uppgifter enligt denna lag föra ett register över vittnesskyddsprogram. I registret ska också ingå upptagningar och andra handlingar som uppstått i verksamheten. Om inte något annat föreskrivs i denna lag, tillämpas på sekretess för och utlämnande av i registret införda personuppgifter lagen om offentlighet i myndigheternas verksamhet (621/1999) samt på annan behandling av personuppgifter lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ). 
Utöver vad som föreskrivs i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten kan den registrerades rätt till insyn begränsas, om utövandet av rätten till insyn på sannolika skäl kan leda till ett allvarligt hot mot den skyddades eller någon annans säkerhet. 
Denna lag träder i kraft den 20 . 
22. 
Lag 
om ändring av 25 och 32 § i säkerhetsutredningslagen 
I enlighet med riksdagens beslut 
upphävs i säkerhetsutredningslagen (726/2014) 32 § 1 mom. 2 punkten, och 
ändras 25 § 1 mom. 4 punkten och 2 mom. samt 32 § 3 mom. som följer: 
25 § 
Informationskällor vid normal säkerhetsutredning av person 
En säkerhetsutredning av person får bygga enbart på registeruppgifter som finns i 
4) polisens personregister som innehåller sådana uppgifter som avses i 5 § 1 och 2 mom., 6 och 11 §, 12 § 1 mom., 48 § 1 mom. och 49 § i lagen om behandling av personuppgifter i polisens verksamhet ( / ), 
För en normal säkerhetsutredning får användas en anmälan som centralkriminalpolisen gjort utifrån sådana uppgifter om persongrupper i polisens personregister som avses i 7 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet. Anmälan ska innehålla sådana uppgifter som skyddspolisen behöver för att bedöma informationens betydelse. Centralkriminalpolisen får göra en anmälan, om 
1) den som utredningen gäller utifrån de uppgifter som avses i 8 § i lagen om behandling av personuppgifter i polisens verksamhet har återkommande kontakter av permanent natur med sådana personer som enligt domstolsbeslut ansetts ha deltagit i en organiserad kriminell sammanslutnings verksamhet eller som i en pågående förundersökning eller åtalsprövning misstänkts ha deltagit i sådan verksamhet, om kontakterna kan göra den som utredningen gäller mottaglig för extern osaklig påverkan och därmed riskera skyddet för ett intresse som ligger till grund för säkerhetsutredningen, 
2) centralkriminalpolisen utifrån de uppgifter som avses i 8 § i lagen om behandling av personuppgifter i polisens verksamhet och andra eventuella upplysningar anser att det föreligger grundad anledning att misstänka att den som utredningen gäller gjort sig skyldig till deltagande i en organiserad kriminell sammanslutnings verksamhet och det är nödvändigt att förmedla informationen för att skydda ett intresse som ligger till grund för säkerhetsutredningen mot åtgärder eller påverkan från organiserade kriminella sammanslutningars sida eller för att förebygga brott, eller 
3) det i de uppgifter som avses i 8 § i lagen om behandling av personuppgifter i polisens verksamhet i fråga om den som utredningen gäller finns flera sådana anteckningar som till sin natur och sitt innehåll är betydande för bedömningen av personens tillförlitlighet och som sammantagna ger centralkriminalpolisen grundad anledning att misstänka att den som utredningen gäller kan äventyra skyddet för de handlingar på skyddsnivåerna I och II och uppgifterna i dem som personen fått i den arbetsuppgift som ligger till grund för utredningen och därmed gynna organiserade kriminella sammanslutningars åtgärder, om det är nödvändigt att förmedla informationen för att skydda statens viktiga säkerhetsintressen mot åtgärder eller påverkan från organiserade kriminella sammanslutningars sida eller för att förebygga brott. 
32 § 
Begränsning av användningen av uppgifter i säkerhetsutredning av person 
Sådana uppgifter om en persons hälsotillstånd som ingår i de uppgifter som avses i 5 § 1 och 2 mom., 6 och 11 §, 12 § 1 mom., 48 § 1 mom. och 49 § i lagen om behandling av personuppgifter i polisens verksamhet, får beaktas när en utredning görs endast om det är nödvändigt för att trygga andras personliga säkerhet och uppgifterna baserar sig på ett läkarintyg eller andra anteckningar av en legitimerad yrkesutbildad person inom hälso- och sjukvården eller på uppgifter som han eller hon lämnat muntligt med stöd av lag, och det inte råder oklarhet om att uppgifterna är korrekta. Vad som föreskrivs ovan i detta moment hindrar inte den behöriga myndigheten från att fästa arbetsgivarens uppmärksamhet på behovet att vidta åtgärder som avses i 17 § 2 mom. 4 punkten i denna lag. 
Denna lag träder i kraft den 20 . 
23. 
Lag 
om ändring av 131 § i utlänningslagen 
I enlighet med riksdagens beslut 
ändras i utlänningslagen (301/2004) 131 § 2—4 mom., av dem 2 och 3 mom. sådana de lyder i lag 631/2011, som följer: 
131 § 
Upptagande av signalement 
De i 1 mom. avsedda signalementen införs i ett register som polisen för. Uppgifterna ska hållas åtskilda från signalementen för personer som är misstänkta för brott och från de fingeravtryck som i enlighet med 3 b § i lagen om utlänningsregistret (1270/1997) förs in i utlänningsregistret och som tas för ansökan om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlemmar. Uppgifterna raderas med iakttagande av 34 § i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
Fingeravtrycksuppgifter som avses i 1 mom. får jämföras med fingeravtrycksuppgifter som för de ändamål med behandlingen som föreskrivs i 5 § i lagen om behandling av personuppgifter i polisens verksamhet har registrerats med stöd av denna paragraf samt med fingeravtrycksuppgifter som registrerats i det delregister för ansökningsärenden och delregister för främlingspass och resedokument för flykting som avses i 3 § i lagen om utlänningsregistret, vilka ingår i det utlänningsregister som avses i den lagen. Dessutom får fingeravtrycksuppgifter som förs in i registret för kontroll av inreseförutsättningarna jämföras med fingeravtryck som ingår i signalementsuppgifter enligt tvångsmedelslagen och som avses i 6 § i lagen om behandling av personuppgifter i polisens verksamhet, när de redan registrerade fingeravtrycksuppgifterna har samband med ett brott för vilket det föreskrivna strängaste straffet är fängelse i minst ett år. 
Personuppgifter som avses i 1 mom. kan utan hinder av sekretessbestämmelserna för identifiering av en utlänning lämnas ut till en utländsk myndighet med beaktande av personuppgiftslagen Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018) och lagen om behandling av personuppgifter i polisens verksamhet (/). 
Denna lag träder i kraft den 20 . 
24. 
Lag 
om ändring av lagen om utlänningsregistret 
I enlighet med riksdagens beslut 
ändras i lagen om utlänningsregistret (1270/1997) 3 a § 2 mom., 3 b § 2 och 3 mom. samt 4 a § och 8 § 1 mom. 11 punkten, sådana de lyder, 3 a § 2 mom. i lag 459/2009, 3 b § 2 och 3 mom. i lag 122/2018 samt 4 a § i lag 763/2003 och 8 § 1 mom. 11 punkten i lag 618/2007, som följer: 
3 a § 
Användning av fingeravtrycksuppgifter i delregistret för främlingspass och resedokument för flykting 
Rätt att använda fingeravtrycksuppgifterna har endast den som nödvändigtvis behöver dem för skötseln av sina arbetsuppgifter. Fingeravtryck får användas endast för fastställande av identitet och tillverkning av främlingspass eller resedokument för flykting. Polisen har dessutom rätt att använda fingeravtrycksuppgifter med iakttagande av 15 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet ( / ). Den som har rätt att använda uppgifterna har rätt att ta fingeravtryck av en registrerad och jämföra dessa med registrerade fingeravtryck. Uppgifter som tagits för jämförelsen får användas endast när jämförelsen görs och ska därefter förstöras omedelbart. 
3 b § 
Användning och jämförelse av fingeravtrycksuppgifter i delregistret för ansökningsärenden 
Fingeravtryck som förs in i registret får endast användas för att inom ramen för befogenheter i anknytning till de ändamål som anges i 2 § 2 mom. verifiera autenticiteten av ett uppehållstillståndskort och identiteten hos innehavaren av ett uppehållstillstånd, för behandling, beslut och övervakning av utlänningars inresa och utresa samt vistelse och arbete och för tryggande av statens säkerhet. En myndighet som har rätt att använda uppgifterna har rätt att jämföra dem med tidigare registrerade fingeravtryck i delregistret för ansökningsärenden och med fingeravtrycksuppgifter i delregistret för främlingspass och resedokument för flykting och med fingeravtryck som med stöd av 131 § i utlänningslagen (301/2004) registrerats i polisens register. Dessutom får uppgifter för kontroll av inreseförutsättningarna jämföras med fingeravtryck som ingår i sådana signalementsuppgifter enligt tvångsmedelslagen som avses i 6 § i lagen om behandling av personuppgifter i polisens verksamhet, när de redan registrerade fingeravtrycksuppgifterna har samband med ett brott för vilket det föreskrivna strängaste straffet är fängelse i minst ett år. 
Polisen har dessutom rätt att med iakttagande av 15 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet använda de fingeravtrycksuppgifter som registrerats i delregistret för ansökningsärenden. 
4 a § 
Den registrerades rättigheter 
I fråga om framställande av en begäran till polisen om tillgodoseende av en registrerads rätt till insyn tillämpas 41 § i lagen om behandling av personuppgifter i polisens verksamhet. 
8 § (Ny) 
Externa datakällor 
Den registeransvarige har utan hinder av sekretessbestämmelserna rätt att för utlänningsregistret få sådan information som är nödvändig för utförande av de uppgifter som föreskrivs för den i lag enligt följande: 
11) ur Gränsbevakningsväsendets personregister uppgifter som avses i 7 § i lagen om behandling av personregister vid Gränsbevakningsväsendet (/), 
Denna lag träder i kraft den 20 . 
25. 
Lag 
om ändring av 9 § i lagen om tillämpning av Europaparlamentets och rådets förordning om ömsesidigt erkännande av skyddsåtgärder i civilrättsliga frågor 
I enlighet med riksdagens beslut 
ändras i lagen om tillämpning av Europaparlamentets och rådets förordning om ömsesidigt erkännande av skyddsåtgärder i civilrättsliga frågor (227/2015) 9 § som följer: 
9 § 
Registrering av skyddsåtgärder 
Bestämmelser om registrering av uppgifter om i Finland verkställda skyddsåtgärder som har meddelats i en annan medlemsstat i Europeiska unionen i polisens informationssystem och om radering av uppgifter ur systemet finns i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
Denna lag träder i kraft den 20 . 
26. 
Lag 
om ändring av 86 § i lagen om privata säkerhetstjänster 
I enlighet med riksdagens beslut 
ändras i lagen om privata säkerhetstjänster (1085/2015) 86 § som följer: 
86 § 
Uppgifter för tillsynen över säkerhetsbranschen 
Polisen förvarar uppgifter om väktare, utbildare i användningen av maktmedel, skytteinstruktörer, ordningsvakter, utförare av säkerhetsskyddsuppgifter, utbildare av ordningsvakter, innehavare av näringstillstånd för säkerhetsbranschen och deras ansvariga föreståndare samt om i 71 § 2 mom. 2 punkten avsedda ansvariga personer. Närmare bestämmelser om behandlingen av dessa uppgifter för tillsynen över säkerhetsbranschen finns i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
Denna lag träder i kraft den 20 . 
Utskottets förslag till uttalande
Förvaltningsutskottet förutsätter att regeringen följer upp och utvärderar verkställigheten av personuppgiftslagstiftningen och uppmärksammar bland annat hur den nya på ändamålsbundenhet baserade regleringen fungerar, hur skyddet för personuppgifter genomförs, vilka konsekvenserna blir för polisens och andra myndigheters verksamhet samt hur behandlingen av personuppgifter övervakas, samt avfattar en detaljerad rapport om detta till förvaltningsutskottet under 2021
Helsingfors 12.3.2019 
I den avgörande behandlingen deltog
ordförande
Juho
Eerola
saf
vice ordförande
Timo V.
Korhonen
cent
medlem
Anders
Adlercreutz
sv
medlem
Pertti
Hakanen
cent
medlem
Antti
Kurvinen
cent
medlem
Sirpa
Paatero
sd
medlem
Olli-Poika
Parviainen
gröna
medlem
Juha
Pylväs
cent
medlem
Wille
Rydman
saml
medlem
Joona
Räsänen
sd
medlem
Matti
Semi
vänst
medlem
Mari-Leena
Talvitie
saml
ersättare
Ilkka
Kantola
sd.
Sekreterare var
utskottsråd
Minna-Liisa
Rinne.
Senast publicerat 13.3.2019 18:39