Betänkande
FvUB
40
2018 rd
Förvaltningsutskottet
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter vid Gränsbevakningsväsendet och till vissa lagar som har samband med den
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter vid Gränsbevakningsväsendet och till vissa lagar som har samband med den (RP 241/2018 rd): Ärendet har remitterats till förvaltningsutskottet för betänkande och till grundlagsutskottet för utlåtande. 
Utlåtande
Utlåtande har lämnats av 
grundlagsutskottet
GrUU 58/2018 rd
Sakkunniga
Utskottet har hört 
lagstiftningsråd
Anne
Ihanus
inrikesministeriet
kriminalinspektör
Jari
Nyström
inrikesministeriet
specialsakkunnig
Suvi
Pato-Oja
inrikesministeriet
ledande expert
Tuuli
Tuunanen
inrikesministeriet
lagstiftningsråd
Niklas
Vainio
justitieministeriet
specialsakkunnig
Jaana
Vehmaskoski
finansministeriet
dataombudsman
Reijo
Aarnio
dataombudsmannens byrå
kommendörkapten
Mikko
Hirvi
Ledningscentralen vid Västra Finlands sjöbevakningssektion
resultatenhetschef
Kaj
Välimäki
Migrationsverket
chef för it-förvaltningen
Jari
Råman
Polisstyrelsen
tullöverinspektör
Juha
Vilkko
Tullen.
Skriftligt yttrande har lämnats av 
Riksdagens justitieombudsmans kansli
utrikesministeriet
försvarsministeriet
kommunikationsministeriet
justitiekanslersämbetet
Riksåklagarämbetet
Brottspåföljdsmyndigheten
Nödcentralsverket
centralkriminalpolisen
Gräns- och sjöbevakningsskolan
Finlands näringsliv rf.
Inget yttrande av 
Ålands landskapsregering.
PROPOSITIONEN
Regeringen föreslår en ny lag om behandling av personuppgifter vid Gränsbevakningsväsendet, som ersätter den gällande lagen med samma namn. Lagen kompletterar Europeiska unionens allmänna dataskyddsförordning och den allmänna lagstiftningen om genomförande av dataskyddsdirektivet avseende brottmål. Bestämmelserna om Gränsbevakningsväsendets personregister i den gällande lagen ersätts med bestämmelser om ändamålet med behandlingen av personuppgifter behövliga för utförandet av Gränsbevakningsväsendets uppgifter samt innehållet i de personuppgifter som behandlas. Dessutom innehåller lagen bestämmelser om nationellt och internationellt informationsutbyte, radering av uppgifter, tillgodoseende av den registrerades rätt till insyn och vissa inskränkningar av den registrerades rättigheter. 
Syftet med propositionen är att uppdatera lagstiftningen om behandling av personuppgifter vid Gränsbevakningsväsendet. I bestämmelserna beaktas Europeiska unionens reformerade dataskyddslagstiftning samt nationella ändringsbehov. Syftet är att i synnerhet göra den gällande lagstiftningen tydligare och enklare. 
I bestämmelserna om behandling av personuppgifter i sjöräddningslagen görs också de ändringar som behövs. I propositionen föreslås det dessutom ändringar i ytterligare 14 lagar. Ändringarna är i huvudsak lagtekniska. 
Lagarna avses träda i kraft så snart som möjligt. 
UTSKOTTETS ÖVERVÄGANDEN
Allmänt
Regeringen föreslår en ny lag om behandling av personuppgifter inom Gränsbevakningsväsendet (lagförslag 1, nedan också Gränsbevakningsväsendets personuppgiftslag). Samtidigt upphävs den gällande lagen (579/2005) med samma namn. 
Syftet är att behandlingen av personuppgifter vid Gränsbevakningsväsendet på så sätt att den svarar mot kraven i EU:s reviderade dataskyddslagstiftning. Avsikten är också att göra den gällande lagstiftningen tydligare och enklare. Riksdagen förutsatte i sitt svar på RP 66/2012 rd (RSv 216/2013 rd) att regeringen snarast möjligt påbörjar en totalrevidering av polisens personuppgiftslag och att man på samma gång också justerar bestämmelserna i Gränsbevakningsväsendets personuppgiftslag. Utöver det föreslås det vissa ändringar som följer av nationella behov. Det föreslås ändringar i sjöräddningslagens (1145/2001) bestämmelser om behandling av personuppgifter. I propositionen föreslås det dessutom ändringar i ytterligare 14 lagar. Ändringarna är i huvudsak av teknisk natur. 
EU:s nya dataskyddslagstiftning har spjälkat upp författningsgrunden så att samma reglering inte längre kan tillämpas på all behandling av personuppgifter. EU:s allmänna dataskyddsförordning (EU 2016/679) började tillämpas den 25 maj 2018. Dataskyddslagen (1050/2013). trädde i kraft den 1 januari 2019 och kompletterar EU:s dataskyddsförordning nationellt. Samtidigt som dataskyddslagen trädde även lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018, dataskyddslagen avseende brottmål), varmed det så kallade dataskyddsdirektivet för brottsbekämpande myndigheter (EU) 2016/680 (nedan även polisdirektivet) genomfördes nationellt. 
Dataskyddsförordningen och dataskyddslagen, som kompletterar förordningen, tillämpas vid Gränsbevakningsväsendet på behandling av personuppgifter i anknytning till exempelvis gränskontroll, ett flertal tillsynsuppgifter som föreskrivits för Gränsbevakningsväsendet samt på tulluppgifter och räddningsuppdrag. Vid Gränsbevakningsväsendet omfattas följande uppgifter av tillämpningsområdet för dataskyddsdirektivet: förebyggande, avslöjande och utredning av brott, förande av brott till åtalsprövning samt relaterade åtgärder för upprätthållande av den allmänna ordningen och säkerheten. Gränsbevakningsväsendets uppgifter i anknytning till upprätthållandet av den nationella säkerheten omfattas inte av tillämpningsområdet för unionsrätten, inte heller sjöräddningen. Som en nationell lösning tillämpas dataskyddslagen avseende brottmål på upprätthållande av nationell säkerhet och EU:s dataskyddsförordning och den kompletterande dataskyddslagen på sjöräddningen. Den föreslagna lagen om behandling av personuppgifter vid Gränsbevakningsväsendet är en speciallag som kompletterar de allmänna lagarna. 
Det är inte bara den nya dataskyddslagstiftningen som dikterar behovet av en översyn av den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet. Till följd av de många partiella reformerna har det till vissa delar blivit svårt att förstå lagens struktur och innehåll. Den gällande regleringen är mycket detaljerad, i synnerhet när det gäller uppgifter som registreras i informationssystemen. Detta regleringssätt är osmidigt, och det är en utmaning att hålla bestämmelserna uppdaterade. I propositionen görs ett försök att förtydliga regleringen och den nya lagens struktur är helt omarbetad. Målet att åstadkomma en klar och tydlig reglering har inte uppnåtts till fullo, vilket i många avseenden beror på det begränsade och speciella tillämpningsområdet för unionsrätten och dess dataskyddsnormer. Lagstiftningen måste också iaktta de krav på en detaljerad och noggrant avgränsad lagstiftning som följer tolkningspraxis när det gäller grundlagen och människorättskonventionerna. 
Förvaltningsutskottet ser det som en betydelsefull ändring jämfört med gällande lagstiftning att bestämmelserna om riksomfattande informationssystem och andra Gränsbevakningsväsendets personregister i den gällande lagen ersätts med bestämmelser om ändamålet med behandlingen av personuppgifter och innehållet i de personuppgifter som behandlas. I lagen ska det föreskrivas om grundläggande personuppgifter och om uppgiftskategorier. Personuppgiftsansvarig inom lagens tillämpningsområde är enligt förslaget staben för Gränsbevakningsväsendet. 
Ändamålet med behandlingen av personuppgifter ändras inte nämnvärt jämfört med den gällande lagstiftningen. Gränsbevakningsväsendets nya uppgifter beaktas emellertid i regleringen i synnerhet när det gäller bekämpning av miljökatastrofer i havsområden. 
Förslaget till ny personuppgiftslag för Gränsbevakningsväsendet bygger på samma sätt som den gällande lagen i stor utsträckning på lagen om behandling av personuppgifter i polisens verksamhet (RP 242/2018 rd), såväl till struktur som till innehåll. Ett viktigt mål är att trygga Gränsbevakningsväsendets möjligheter att utifrån fakta i realtid reagera på förändringar i säkerhetsmiljön och att säkerställa den nödvändiga informationsgången mellan myndigheterna. De förslag som gäller att förebygga och avslöja brott motsvarar i stor utsträckning det som föreslås i polisens personuppgiftslag. 
Enligt grundlagsutskottets utlåtande kan lagförslagen behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar mot lagförslaget principbestämmelser och mot 5, 6, 8, 9, 10, 12, 13, 17, 18, 20, 30 och 31 § beaktas på behörigt sätt. 
Sammantaget anser utskottet att propositionen behövs och fyller sitt syfte. Utskottet tillstyrker lagförslagen, men med följande kommentarer och ändringsförslag. 
Ändamålsbundenhet i behandlingen
Artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna förutsätter att behandling av personuppgifter sker för ett särskilt ändamål. Enligt artikel 5.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt artikel 5.2 ska den personuppgiftsansvarige ansvara för och kunna visa att 1 punkten har följts. Dataskyddsförordningen tillämpas emellertid bland annat inte på sådan behandling av personuppgifter som utförs i samband med verksamhet som inte omfattas av unionsrättens tillämpningsområde eller som behöriga myndigheter utför i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Till det först nämnda undantaget hänförs i regel exempelvis den nationella säkerheten (se även GrUU 35/2018 rd och GrUU 36/2018 rd), och till det senare undantaget närmast polisdirektivet. 
Enligt artikel 2 i polisdirektivet tillämpas direktivet på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1. I den sist nämnda artikeln nämns som godtagbara ändamål behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten. Enligt artikel 4.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt artikel 4.4 ska den personuppgiftsansvarige ansvara för, och kunna visa att personuppgifterna har behandlats enligt denna princip. I artikel 8.2 sägs att medlemsstaternas nationella rätt, som reglerar behandling av personuppgifter inom tillämpningsområdet för direktivet, åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. 
När grundlagsutskottet har tagit ställning till lagstiftning om behandling av personuppgifter har det med avseende på skyddet för personuppgifter ansett det viktigt att reglera bland annat syftet med registreringen av uppgifterna, uppgifternas innehåll och det tillåtna användningsändamålet (se GrUU 14/1998 rd och t.ex. GrUU 14/2018 rd). Enligt utskottet ska dessa omständigheter på lagnivå i den nu aktuella normkontexten även framöver vara täckande och detaljerad. 
Bestämmelserna om Gränsbevakningsväsendets personregister i den gällande lagen föreslås bli ersatta med bestämmelser om ändamålet med behandlingen av personuppgifter som är behövliga för utförandet av Gränsbevakningsväsendets uppgifter samt om innehållet i de personuppgifter som behandlas. Grundlagsutskottet har ingenting att invända mot den principen. 
Andra utgångspunkter för propositionen
Grundlagsutskottet har nyligen (GrUU 26/2018 rd) behandlat en regeringsproposition med förslag till lag om dataskyddslag avseende brottmål som bland annat syftar till att genomföra polisdirektivet. Utskottet har inom tillämpningsområdet för EU:s dataskyddsförordning justerat sin ståndpunkt till skyddet för personuppgifter i fråga om kraven på föreskrivande genom lag. Grundlagsutskottet fäster avseende vid att till skillnad från den direkt tillämpliga dataskyddsförordningen innehåller polisdirektivet inte några sådana detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund när det gäller skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen (se även GrUU 14/2018 rd). Det är också av betydelse att nationell säkerhet är ett område som i fördraget om Europeiska unionen faller utanför EU:s behörighet och därmed inte heller i första hand kan hänföras till polisdirektivets tillämpningsområde. Till följd av förpliktelsen att skydda personuppgifter enligt 10 § i grundlagen krävs det nationell lagstiftning om behandling av personuppgifter på grundval av nationell säkerhet (se GrUU 26/2018 rd). 
Enligt grundlagsutskottet (GrUU 26/2018 rd och GrUU 14/2018 rd) får dock de rättigheter som är tryggade enligt 10 § i grundlagen en speciell betydelse i sammanhang som är särskilt känsliga med avseende på de grundläggande fri- och rättigheterna. Före reformen av de grundläggande fri- och rättigheterna kom utskottet med en karaktärisering som senare blivit vedertagen, nämligen att "polislagen är typexemplet på en lag som lätt kan råka i konflikt med medborgarnas grundläggande rättigheter, i synnerhet de klassiska friheterna” (GrUU 15/1994 rd och GrUU 67/2010 rd). Grundlagsutskottet anser att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en kontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (se även GrUU 14/2018 rd). 
Relevant i detta avseende var också att det då aktuella förslaget till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten är en lag som blir tillämplig som allmän lag på sitt tillämpningsområde, och som ska kompletteras med speciallagstiftning för olika förvaltningsområden (GrUU 26/2018 rd). Enligt utskottets uppfattning är det nu aktuella lagförslaget tänkt att utgöra sådan kompletterande speciallagstiftning. 
I konstitutionella analyser av behandlingen av personuppgifter har utskottet sett ändamålet med behandlingen som relevant, eftersom behandlingen möjliggör utövning av offentlig makt gällande individer (se GrUU 1/2018 rd, s. 6). Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. För lagar gäller det allmänna kravet på att en lag ska vara exakt och noga avgränsad. Befogenheterna ska med tanke på rättsstatsprincipen i grundlagens 2 § 3 mom. grunda sig på lag GrUU 10/2016 rd, s. 3, och GrUU 51/2006 rd, s. 2/I). Enligt utskottet är regleringen av befogenheter vanligen relevant också i förhållande till de i grundlagen inskrivna grundläggande fri- och rättigheterna (GrUU 51/2006 rd, s. 2/I). 
Av propositionens motiv till lagstiftningsordning framgår att känsliga personuppgifter behandlas vid Gränsbevakningsväsendet för att de uppgifter som hör till direktivets och förordningens tillämpningsområde ska kunna skötas. Gränsbevakningsväsendets behov att behandla uppgifter som hör till särskilda kategorier av personuppgifter ansluter sig till nästan alla ändamål för behandlingen enligt lagförslag 1. Exempelvis biometriska uppgifter, som i grundlagsutskottets praxis i många avseenden ansetts kunna liknas vid känsliga uppgifter, (se t.ex. GrUU 14/2009 rd, s. 3/I) behandlas inom Gränsbevakningsväsendet för att upprätthålla säkerheten vid gränsen samt i brottmål. 
Grundlagsutskottet har tagit ställning till hantering av känsliga uppgifter med utgångspunkt i att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar i de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd och de utlåtanden som nämns där). Här är det relevant att utskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför ansett att i synnerhet tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd), vilket inneburit att inrättandet av register med exempelvis sådana uppgifter måste bedömas i skenet av villkoren för inskränkningar i de grundläggande fri- och rättigheterna och med hänsyn till inskränkningarnas acceptabilitet och proportionalitet (GrUU 29/2016 rd och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 38/2016 rd). 
Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd och GrUU 14/2009 rd). Även enligt EU:s allmänna dataskyddsförordning bör särskilda personuppgifter, som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter, åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande fri- och rättigheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd). Denna avgränsning har i utskottets senare praxis ansetts vara en fråga som är relevant för lagstiftningsordningen (se t.ex. GrUU 15/2018 rd). 
Följaktligen menar utskottet att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxis för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter. Behovet av lagbestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. I fråga om behovet bör också det riskbaserade synsättet i förordningen vägas in. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd). 
Gränsbevakningsväsendets personregister innehåller mycket sådan information som det är ytterst viktigt att skydda mot obehörig användning. I en sådan situation måste också övervakningen av användningen av informationen ägnas särskild uppmärksamhet (GrUU 51/2018 rd och GrUU 42/2014 rd, se även GrUU 35/2018 rd). Utskottet betonar att skyddet för uppgifter från obehörig användning inte uteslutande kan baseras på det tjänsteansvar som gäller för den personuppgiftsansvarige eller den som hanterar uppgifterna eller på något annat påföljdssystem (GrUU 51/2018 rd och GrUU 52/2018 rd). 
Grundlagsutskottet har inte inom ramen för sitt konstitutionella uppdrag gjort någon övergripande bedömning av den föreslagna regleringens överensstämmelse med unionsrätten. Förvaltningsutskottet har anledning att försäkra sig om att den föreslagna regleringen inte står i konflikt med de krav som följer av unionsrätten. 
Förvaltningsutskottet konstaterar att det i direktivet om dataskydd i brottmål sägs att medlemsstaternas nationella rätt som reglerar behandling av personuppgifter inom tillämpningsområdet för direktivet åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. Direktivet fastställer således ett slags miniminivå. Grundlagsutskottet har i anslutning till dataskyddsreformen konstaterat att direktivet inte innehåller några detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund för skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen (GrUU 14/2018 rd). Bestämmelserna måste därför kompletteras med nationell lagstiftning. 
Dataskyddsförordningen är däremot direkt tillämplig rätt. Den ger dock i någon mån nationellt handlingsutrymme. Genom nationell lag kan man preciseras den rättsliga grunden för behandlingen av personuppgifter och innehållet i behandlingen samt t.ex. möjligheten att under vissa förutsättningar göra undantag från den registrerades rättigheter. Artikel 6 i dataskyddsförordningen innehåller närmare bestämmelser om laglig behandling av personuppgifter. Med stöd av artikel 9 i dataskyddsförordningen kan närmare bestämmelser utfärdas också om behandling av personuppgifter inom särskilda kategorier av personuppgifter. Grundlagsutskottet har framhållit att i den mån EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan är det viktigt att hänsyn tas till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella spelrummet utnyttjas (GrUU 14/2018 rd). 
I propositionsmotiven redogörs det för hur förslagen i propositionen relaterar till dataskyddslagen avseende brottmål och till dataskyddsförordningen. Förvaltningsutskottet föreslår vissa ändringar i lagförslaget som är av betydelse med avseende på unionsrätten. Valet i den nationella lagstiftningen mellan en registerbaserad regleringslösning eller en lösning som utgår från ändamålen med behandlingen begränsas dock inte i något avseende av EU-lagstiftningen om dataskydd. 
Förvaltningsutskottet konstaterar vidare att dataskyddsförordningen, dataskyddslagen och dataskyddslagen avseende brottmål innehåller detaljerade bestämmelser bland annat om de allmänna principerna för behandling av personuppgifter, om den personuppgiftsansvariges skyldigheter, om den registrerades rättigheter, om informationssäkerhet och övervakning och om följderna av lagstridig behandling av personuppgifter. 
Enligt förvaltningsutskottets uppfattning beaktas i propositionen på behörigt sätt de krav som följer av unionsrätten. Behörigheten att bedöma om lagstiftningen harmonierar med unionsrätten hör emellertid till EU-domstolen. 
Lagens tillämpningsområde
Grundlagsutskottet menar att det komplex som den tillämpliga lagstiftningen utgör inte kan anses klart och begripligt trots att strukturen i den reglering som nu utvärderas bär spår av försök till klarhet och tydlighet. Förhållandet mellan unionsrätten och den nationella lagstiftningen är delvis överlappande och delvis avskiljande. Det är svårt och tidsödande att utifrån de bestämmelser som ingår i lagförslaget få klarhet i det exakta tillämpningsområdet för den föreslagna regleringen. Bestämmelserna i 2 § om lagförslagets tillämpningsområde i förhållande till annan lagstiftning är inte särskilt informativ i detta avseende. Trots att grundlagsutskottet anser det klart att det begränsade och specifika tillämpningsområdet för unionsrätten och dess dataskyddsbestämmelser är en synnerligen starkt bidragande orsak till den komplicerade regleringen, bör förvaltningsutskottet undersöka om det finns några sätt att förtydliga frågan om tillämpningsområdet. 
Förvaltningsutskottet anser att det till följd av de villkor som ingår i EU-regleringen inte egentligen finns några möjligheter att precisera tillämpningsområdet för den föreslagna lagen. I 2 § i lagförslaget beskrivs hur de föreslagna bestämmelserna relaterar till tillämpningsområdet för de allmänna lagarna med den noggrannhet som den allmänna lagstiftningen om dataskydd tillåter. Utskottet kommer med följande klargöranden. 
Tillämpningsområdet för Gränsbevakningsväsendets personuppgiftslag framgår av det som föreskrivs i 1 § om tillämpningsområdet och av det som föreskrivs i 2 § om förhållandet till annan lagstiftning. Enligt den föreslagna 1 § tillämpas lagen bara på behandlingen av personuppgifter vid skötseln av de uppgifter som Gränsbevakningsväsendet har enligt lag. Lagen tillämpas alltså inte på t.ex. behandling av personuppgifter i anknytning till personal- och ekonomiförvaltning. Enligt förslaget till 1 § tillämpas Gränsbevakningsväsendets personuppgiftslag, om inte något annat föreskrivs någon annanstans i lag. Det finns specialbestämmelser bland annat i sjöräddningslagen och lagen om utlänningsregistret (1270/1997). 
I 2 § föreskrivs om när dataskyddslagen avseende brottmål ska tillämpas som allmän lag på behandling av personuppgifter vid Gränsbevakningsväsendet (2 mom.). Enligt 1 § ska dataskyddslagen avseende brottmål tillämpas på behandlingen av personuppgifter i syfte att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning, samt för att skydda mot eller förebygga hot mot den allmänna säkerheten, skydda den nationella säkerheten samt inom militärrättsvården. Den nationella säkerheten och den militära rättsvården hänförs till tillämpningsområdet för dataskyddslagen avseende brottmål på grundval av 1 § 2 mom. 3 punkten i den lagen. 
Den allmänna dataskyddsförordningen är direkt tillämplig rätt och dess tillämpningsområde kan inte begränsas eller förklaras genom nationell reglering. Därför ingår det i 2 § endast en informativ hänvisning till dataskyddsförordningen (1 mom.). Dataskyddsförordningen och dataskyddslagen, som kompletterar förordningen, tillämpas vid Gränsbevakningsväsendet på behandling av personuppgifter i anknytning till exempelvis gränskontroll, ett flertal tillsynsuppgifter som föreskrivits för Gränsbevakningsväsendet samt på tulluppgifter och räddningsuppdrag. 
EU:s dataskyddsreform har genomförts med beaktande av principen om handlingars offentlighet. I artikel 86 i dataskyddsförordningen föreskrivs det om att samordna dataskyddslagstiftningen och principen om handlingars offentlighet. Enligt skäl 16 i dataskyddsdirektivets ingress påverkar direktivet inte tillämpningen av principen om allmänhetens rätt att få tillgång till allmänna handlingar. När uppgifter lämnas ut ur en myndighets personregister ska offentlighetsprincipen och sekretessbestämmelserna beaktas på det sätt som föreskrivs i offentlighetslagen och i synnerhet i dess 16 § 3 mom., sägs det i propositionsmotiven. När dataskyddslagen avseende brottmål stiftades framhölls det att avsikten inte är att genom den föreslagna lagen ändra det nuvarande inbördes förhållandet mellan offentlighetslagstiftningen och lagstiftningen om skydd för personuppgifter (FvUB 14/2018 rd). Med hänvisning till grundlagsutskottets utlåtande föreslår förvaltningsutskottet nedan att hänvisningarna i 2 § till offentlighetslagen preciseras på det sätt som framgår av detaljmotiven. 
Sjöräddningsverksamhet och uppgifter som hänför sig till upprätthållande av den nationella säkerheten omfattas inte av tillämpningsområdet för EU-rätten, och följaktligen inte heller av tillämpningsområdet för dataskyddsförordningen eller dataskyddsdirektivet. För de personuppgifter som behandlas i dessa uppgifter gäller en nationell lösning. Dataskyddslagen avseende brottmål tillämpas enligt 1 § 2 mom. 3 punkten i lagen på sådan behandling av personuppgifter som utförs av Gränsbevakningsväsendet, när uppgifterna behandlas inom ramen för en i 3 § 2 och 3 mom. i gränsbevakningslagen (578/2005) avsedd uppgift som hänför sig till skyddet av den nationella säkerheten. På sådan behandling som avses ovan ska emellertid inte 10 § 2 mom., 54 § eller 7 kap. i dataskyddslagen tillämpas. Under begreppet nationell säkerhet kan inom Gränsbevakningsväsendet anses sortera framför allt territorialövervakning och militärt försvar, men även inom Gränsbevakningsväsendets övriga verksamhet kan det bli aktuellt att behandla personuppgifter med anknytning till upprätthållande av den nationella säkerheten (behandlingsändamål enligt 11 § och delvis 13 § i propositionen). 
Enligt 2 § 1 mom. i dataskyddslagen sägs det att med stöd av den tillämpas dataskyddsförordningen dessutom, med undantag för artikel 56 och kapitel VII, på sådan behandling av personuppgifter som utförs i samband med verksamhet som inte hör till unionens behörighet, om inte något annat föreskrivs någon annanstans i lag. Därmed blir de nämnda författningarna tillämpliga också på behandlingen av personuppgifter inom sjöräddningen. Förvaltningsutskottet menar att det är lämpligt att dataskyddsbestämmelserna är möjligast överensstämmande med övriga bestämmelser som gäller räddningsverksamheten. Med hänvisning till grundlagsutskottets utlåtande föreslår förvaltningsutskottet i detaljmotiven att hänvisningen i 20 § i lagförslag 2 ändras till en informativ hänvisning till dataskyddslagen. På behandlingen av personuppgifter inom sjöräddningsväsendet tillämpas Gränsbevakningsväsendets personuppgiftslag som kompletterande lag. 
Bestämmelser om Gränsbevakningsväsendets befogenheter att inhämta information som behövs för att förebygga och avslöja brott samt avvärja fara trots skyddet för hemligheten i fråga om förtroliga meddelanden finns i lagen om Gränsbevakningsväsendet (108/2018) och bestämmelser om befogenheter att inhämta motsvarande information som behövs för brottsutredning finns i tvångsmedelslagen (806/2011) och förundersökningslagen (805/2011). Vid behandling av personuppgifter som inhämtats med Gränsbevakningsväsendets befogenheter ska den allmänna lagstiftningen om dataskydd iakttas och dessutom den föreslagna Gränsbevakningsväsendets personuppgiftslag. Om befogenhetsbestämmelserna innehåller strängare villkor för behandling av personuppgifter ska dessa iakttas i stället för Gränsbevakningsväsendets personuppgiftslag. 
Under alla omständigheter kommer den allmänna lagstiftningen och speciallagstiftningen att utgöra ett mångbottnat komplex. Det kan vara svårt att identifiera de tillämpliga bestämmelserna i synnerhet i den praktiska verksamheten. Även den i sammanhanget nya principen om ändamålsbundenhet förutsätter nya attityder. Förvaltningsutskottet framhåller att allt detta ger upphov till ett stort behov att styra in verksamheten i nya banor och att ge personalen en gedigen utbildning. Myndigheterna måste behandla sina personregister och personuppgifter på ett korrekt sätt i alla hänseenden och uppfylla de lagstadgade kraven på personregister, påpekar utskottet. Det är också viktigt att genomföra en god informationshantering och att följa bästa praxis. 
Behandling av personuppgifter för förebyggande eller avslöjande av brott
Enigt 1 § i den gällande personuppgiftslagen för Gränsbevakningsväsendet ska personuppgiftslagen eller vad som föreskrivs någon annanstans i lag iakttas vid behandlingen av personuppgifter vid Gränsbevakningsväsendet, om inte något annat föreskrivs i den lagen. Personuppgiftslagen och den ersättande dataskyddslagen tillämpas på automatisk behandling av personuppgifter och annan behandling av personuppgifter, då de utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. Syftet med den gällande personuppgiftslagen för Gränsbevakningsväsendet har dock varit att reglera lagringen av uppgifter i Gränsbevakningsväsendets rikstäckande informationssystem och i andra i lagen avsedda personregister. Bestämmelserna gäller därmed inte behandlingen av personuppgifter innan uppgifterna lagras i ett namngivet personregister eller informationssystem. 
Ett av målen med ändamålsbundenhet i behandlingen av personuppgifter är att inkludera all sådan behandling av personuppgifter som behövs i Gränsbevakningsväsendets verksamhet. Med avvikelse från den gällande lagen kommer de nya bestämmelserna som grundar sig på ändamålsbundenhet att också gälla behandling av det som enligt definitioner i den allmänna lagstiftningen utgör ett personregister samt automatisk behandling, även om det inte finns några bestämmelser om detta i Gränsbevakningsväsendets personuppgiftslag. 
Således gäller 8 och 9 § om att behandla personuppgifter i syfte att förbygga eller avslöja brott i lagförslag 1 i propositionen all registrering och annan behandling av personuppgifter som behövs för Gränsbevakningsväsendets förebyggande och avslöjande verksamhet. Bestämmelserna ska ersätta den gällande lagens bestämmelser om behandling av information det i 7 § avsedda undersöknings- och handräckningsregistret, i 11 § avsedda registret för Gränsbevakningsväsendet över personer misstänkta för brott och i 4 § avsedda övriga registren. 
Avsikten är dessutom att 8 och 9 § i enlighet med ändamålsbundenhetsgrunden ska inbegripa också sådan informationsbehandling i anknytning till Gränsbevakningsväsendets förebyggande verksamhet som den gällande lagen saknar bestämmelser om. Gränsbevakningsväsendet får till exempel genom sådana metoder för informationsinhämtning som avses i 3 kap. i lagen om brottsbekämpning inom Gränsbevakningsväsendet information om personer om vilka det finns grundad anledning att anta att de har gjort sig skyldiga till brott. Det finns inga bestämmelser i den gällande lagen om hur dessa uppgifter ska behandlas i inledningsfasen även om de måste behandlas automatiskt bland annat för att utröna om tröskeln för registrering i datasystemet för brottsmisstänkta överskrids. I den gällande lagen om behandling av personuppgifter vid Gränsbevakningsväsendet beaktas med andra ord inte behandlingen av uppgifter som inhämtats med hemliga metoder för inhämtande av information enligt 3 kap. i lagen om brottsbekämpning inom Gränsbevakningsväsendet förrän de registreras i något av de informationssystem som nämns i lagen. Villkoret för behandling enligt den föreslagna 8 § 2 mom. 1 punkten (”med fog kan antas”) täcker in behandlingen av uppgifter som inhämtats med de metoder som avses i 3 kap. i Gränsbevakningsväsendets brottsbekämpningslag i syfte att förhindra brott. Detta är inte fallet med det villkor, ”skäligen kan misstänkas”, som nämns i den gällande lagen. 
Grundlagsutskottet har reagerat på att enligt motiven i propositionen till lagstiftningsordningen innebär de föreslagna 8 och 9 § en utvidgning i jämförelse med den gällande lagen av det datainnehåll som behandlas riksomfattande, både vad gäller datainnehållet och de kategorier av personer som får registreras. Enligt gällande lag är antecknande i registret knutet till straffet för ett misstänkt brott på så sätt att personuppgifter om en person som gör sig skyldig eller misstänks ha gjort sig skyldig till ett brott får behandlas om straffpåföljden kan vara fängelse. Uppgifter om en person som har medverkat eller medverkar till ett brott får enligt gällande lag behandlas om det misstänkta brottet kan följas av fängelse i mer än sex månader eller om det misstänkta brottet är straffbart bruk av narkotika. Grundlagsutskottet konstaterar att det i 8 § inte uppställs några kriterier för hur grova brott det är fråga om utan de uppgifter som lagrummet avser förutsätts anknyta till personer som "med fog kan antas ha gjort sig eller göra sig skyldiga till brott". Enligt gällande 11 § 1 mom. är en förutsättning för behandling av uppgifter att en person "skäligen kan misstänkas" göra eller ha gjort sig skyldig till brott. Utskottet påpekar att myndighetsmisstanke om brott enligt artikel 10 i dataskyddsförordningen utgör en känslig personuppgift som kräver särskild konstitutionell reglering. Förvaltningsutskottet måste komplettera regleringen så att behandlingen knyts till brottets grovhetsgrad. En sådan komplettering är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Dessutom finns det skäl för förvaltningsutskottet att höja graden av antagande exempelvis till "skäligen misstänkas" i överensstämmelse med den gällande lagen, anser grundlagsutskottet. 
I det följande jämförs närmare de föreslagna ändringarna i propositionen med den gällande lagen. För tydlighets skull påpekar utskottet att Gränsbevakningsväsendet saknar sådana bestämmelser om temporära register för brottsanalys som finns i fråga om polisen. 
Gränsbevakningsväsendets register över personer misstänkta för brott
Bestämmelser om Gränsbevakningsväsendets register över personer misstänkta för brott finns i 11 § i den gällande lagen. Registret kan innehålla uppgifter som för utförande av de åligganden enligt 1 kap. 1 § 1 mom. i polislagen som föreskrivs för Gränsbevakningsväsendet i gränsbevakningslagen, lagen om brottsbekämpning inom Gränsbevakningsväsendet eller någon annanstans i lag har inhämtats genom kriminalunderrättelseverksamhet, observation eller iakttagelser som gäller personer som skäligen kan misstänkas göra eller ha gjort sig skyldiga till ett brott som det ankommer på Gränsbevakningsväsendet att undersöka och på vilket det kan följa fängelse, eller medverkar eller har medverkat till ett brott som det ankommer på Gränsbevakningsväsendet att undersöka och på vilket det kan följa fängelse i mer än sex månader, eller till straffbart bruk av narkotika.  
Förvaltningsutskottet har fäst uppmärksamhet vid brister i anknytning till behandlingen av personuppgifter i polisens motsvarande informationssystem för misstänkta (FvUU 40/2014 rd). I det registret kan endast antecknas misstänkta och medverkande. Förvaltningsutskottet har i sitt betänkande (FvUB 16/2014 rd) konstaterat att när uppgifter om en person förs in i registret över misstänkta måste kriterierna uppfyllas, det vill säga att personen kan misstänkas göra sig eller ha gjort sig skyldig alternativt medverka eller ha medverkat till ett brott. Tröskeln för “skäl att misstänka" (”skäligen kan misstänkas”) är densamma som tröskeln för att inleda förundersökning av brott enligt förundersökningslagen. 
Att det inte är så enkelt att tillämpa bestämmelserna om registret över misstänkta framgår enligt förvaltningsutskottet av att registret inte bara innehåller uppgifter om misstänkta personer som har gjort sig skyldiga eller har medverkat till ett brott som nämns i bestämmelsen, utan också om ett sådant brott som personen kan göra sig skyldig eller medverka till i framtiden. Det är uppenbart att misstanken också i sådana fall måste grunda sig på konkreta iakttagelser som ger anledning att sluta sig till att personen kommer att handla så att kravet "skäl att misstänka" uppfylls på ett godtagbart sätt. Att bedöma hur en person kommer att bete sig i framtiden är kopplat till en så osäker slutledningskedja att risken för felbedömning är mycket stor. 
Bestämmelserna om Gränsbevakningsväsendets registret över misstänkta för brott har ansetts vara oändamålsenliga och bristfälliga också med tanke på Gränsbevakningsväsendets verksamhet. I sin nuvarande utformning gynnar bestämmelsen om registret inte fullt ut Gränsbevakningsväsendets förebyggande verksamhet, prognostisering och utnyttjande av systematiskt inhämtad och behandlad information. Enligt motiveringen till bestämmelsen i regeringens proposition (RP 6/2005 rd) kan på grund av syftet med Gränsbevakningsväsendets registret kan inte en mycket precis specificering av brottet förutsättas. Detta gäller t.ex. den verksamhet som medlemmarna i en känd kriminell grupp bedriver. Utgångspunkten för ordalydelsen i paragrafen är dock personbaserad kriminalunderrättelseinhämtning så att Gränsbevakningsväsendet ska ha en konkret brottsmisstanke mot en enskild person, och regleringen omfattar inte i större utsträckning t.ex. uppgiftsbaserad brottsanalys som gäller organiserad brottslighet eller kriminella sammanslutningar. 
Vid utformningen av de föreslagna 8 och 9 § om behandling av personuppgifter för förebyggande och avslöjande av brott har uppmärksamhet fästs vid de förvaltningsutskottets anmärkningar som refererats ovan i fråga om informationssystemet för misstänkta (FvUU 40/2014 rd och FvUB 16/2014 rd). Enligt den föreslagna 8 § får Gränsbevakningsväsendet behandla personuppgifter som hänger samman med en uppgift i anknytning till förebyggande eller avslöjande av brott. I paragrafen finns en uttömmande förteckning över vilka personkategorier bestämmelsen gäller. 
Enligt propositionen kan man med stöd av 8 § 2 mom. 1 punkten behandla personuppgifter om personer som med fog kan antas ha gjort sig eller göra sig skyldiga till brott. Med hänvisning till grundlagsutskottets utlåtande föreslår förvaltningsutskottet på det sätt som närmare framgår av detaljmotiven att tröskeln för behandling av personuppgifter höjs så att bestämmelsen endast kan tillämpas i fråga om personer som med fog kan antas ha gjort sig eller göra sig skyldiga till brott på vilket kan följa fängelse. Formuleringen ”skäligen kan misstänkas” i 11 § i den gällande lagen är ett begrepp som hänför sig till inledande av förundersökning och den definitionen är svår att anpassa till verksamhet som anknyter till förhindrande och avslöjande verksamhet. Gränsbevakningsväsendets verksamhet för att förhindra brott riktar sig normalt mot personer i fråga om vilka det ännu inte uppkommit någon skyldighet att inleda förundersökning. Begreppet ”skäligen kan misstänkas” kan inte i verksamhet som handlar om att förhindra eller avslöja brott tolkas på samma sätt som vid en förundersökning. Det är därför befogat att formulera tröskeln för behandling av personuppgifter på ett sätt som uttryckligen hänger samman med att förhindra och avslöja brott och till den till verksamheten bundna befogenheter att inhämta information. Den föreslagna nya tröskeln för behandling av personuppgifter (”med fog kan antas”) kan också motiveras med att den tydligare än tröskeln ”skäligen kan misstänkas” anknyter till 3 kap. i Gränsbevakningsväsendets brottsbekämpningslag, som handlar om informationsinhämtning för att förhindra och avslöja brott. 
Med stöd av förslaget till 8 § 2 mom. 2 punkten är det möjligt att behandla personuppgifter om personer som har kontakt med en i 1 punkten avsedd person eller påträffas i dennes sällskap, och kontakten eller sammanträffandena på grund av att de har upprepats, omständigheterna eller personens beteende kan antas ha samband med ett brott. Jämfört med den gällande lagen är denna kategori av personer tämligen ny. Behovet att behandla uppgifter om kontakter och medgärningsmän noteras också i dataskyddsdirektivet för brottsbekämpande myndigheter och i artikel 6 föreskrivs det om åtskillnad mellan olika kategorier av registrerade. I artikel 6 d nämns personer med kontakter eller medgärningsmän till de aktuella personerna. Dessa personer ska anknyta till personer i fråga om vilka det finns tungt vägande skäl att anta att de har begått eller är på väg att begå ett brott eller personer som dömts för brott. 
Eftersom grundlagsutskottet förutsätter att behandlingen av personuppgifter är knuten till brottets grovhetsgrad måste också den personkategori som avses i 2 punkten begränsas på ett annat sätt än i propositionen. Med stöd av 2 punkten kan uppgifter behandlas endast i fråga om personer som har kontakt med sådana i 1 punkten avsedda personer som misstänks ha begått brott på vilka kan följa fängelsestraff. Den personuppgiftsansvarige ska i enlighet med kraven i dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. 
Gränsbevakningsväsendet kan med stöd av den föreslagna 8 § 2 mom. 3 punkten behandla uppgifter om personer som är föremål för sådan observation som avses i 21 § i Gränsbevakningsväsendets brottsbekämpningslag. Med observation avses i enlighet med 21 § 1 mom. i den lagen iakttagande av en viss person i hemlighet i syfte att inhämta information. Till i punkten avsedda personer hör sådana personer som är föremål för observation, vars uppgifter inte kan behandlas med stöd av 1 och 2 punkten. Det har framkommit ett behov att komplettera punkten med bestämmelser om registrering av uppgifter också om andra personer som är föremål för Gränsbevakningsväsendets åtgärder. Denna frågar behandlas närmare nedan i samband med undersöknings- och handräckningsregistret. 
Förvaltningsutskottet har i fråga om polisens motsvarande informationssystem för misstänkta fäst uppmärksamhet vid att det i en kompletterande "förklaringsdel” dessutom kan ha funnits anteckningar om till exempel den mot vilken den misstänkte riktat eller kan rikta hot om våld (FvUU 40/2014 rd). Även grundlagsutskottet har redan tidigare i fråga om polisens system lagt vikt vid att det i motiveringen anges att också uppgifter om potentiella eller verkliga brottsoffer får införas i registret såsom uppgifter som hänför sig till brottet. Innehållet i den gällande lagen omfattar dock inte detta syfte (GrUU 51/2002 rd). Det faktum att registrering av uppgifter om offer i registret framkommer endast i motiveringen till bestämmelsen kan inte anses vara en sådan noggrann avgränsning som grundlagsutskottet krävt i sin tolkningspraxis. 
I vissa situationer måste Gränsbevakningsväsendet nödvändigt behandla uppgifter också om andra personer än de som i första hand är föremål för kriminalunderrättelseinhämtning. I det föreslagna 8 § 3 mom. kan för dessa personers vidkommande föreskrivas om en högre behandlingströskel. Behandling av uppgifter om de som är offer för brott eller som uppträder som målsägande, som har anmält ett brott eller är vittnen till ett brott kan vara nödvändigt t.ex. i situationer när man försöker förebygga ett brott mot ett vittne eller en målsägande i ett redan inträffat brott. Bestämmelsen förtydligar nuläget och gör det möjligt att till exempel behandla uppgifter om brottsoffer, något som hittills i fråga om registret över brottsmisstänkta bara har framgått av motiveringen till bestämmelsen. 
Förvaltningsenhetsspecifika register
Enligt 4 § i den gällande lagen kan det vid Gränsbevakningsväsendet inrättas personregister som behövs för Gränsbevakningsväsendets riksomfattande bruk, att användas av en eller flera förvaltningsenheter eller att användas av en arbetsgrupp som har tillsatts vid Gränsbevakningsväsendet. Enligt uppgift har det med stöd av bestämmelsen inrättats exempelvis register specifika för en förvaltningsenhet i syfte att förebygga eller avslöja brott. Funktionellt sett är det också ett problem att uppgifterna i sådana register inte kan användas i hela landet. Tillsynen över registreringen försvåras likaså av att registreringen är så splittrad. 
I förslaget till 8 § har behandlingströskeln för vissa personkategorier höjts. I den gällande lagen finns inga bestämmelser om personkategorier om vilka uppgifter kan registreras i register som inrättats med stöd av 4 §. Förslaget innebär således välkomna preciseringar jämfört med nuläget. Personuppgifter skulle emellertid framöver få behandlas i hela landet för utförandet av en uppgift som anknyter till förebyggande eller avslöjande av brott. Uppgifterna kommer i registerföringen vid Gränsbevakningsväsendets stab att behandlas enhetligt i enlighet med riksomfattande processer, vilket underlättar styrningen och övervakningen av behandlingen och förbättrar skyddet för uppgifterna. 
Undersöknings- och handräckningsregistret
Bestämmelserna om iakttagelser som registrerats i Gränsbevakningsväsendets undersöknings- och handräckningsregister (gällande 7 § 3 mom. 3 punkten) ingår i propositionens 8 § 5 mom. om förebyggande eller avslöjande av brott. Det föreslås inga materiella ändringar i bestämmelserna om observationer, utan behandlingströskeln är den samma som hittills. 
Utöver observationer registreras i Gränsbevakningsväsendets undersöknings- och handräckningsregister också i den gällande lagens 7 § 2 mom. avsedda personuppgifter om vittnen, de som anmäler brott eller som har något annat samband med ärendet. Om dessa registreras i systemet i 7 § 3 mom. 1 punkten underpunkt c) uppgifter om andra behövliga beskrivningar, omständigheter eller specificeringar som hänför sig till Gränsbevakningsväsendets uppgifter, åtgärder eller händelser. I registret införs på denna grund information bland annat om personer vilkas uppträdande, prat, verksamhet eller skriverier ger anledning till oror på ett sätt som aktiverar Gränsbevakningsväsendets skyldighet att utreda eller vidta åtgärder. Det är fråga om att i samband med ett uppdrag inhämta information som i huvudsak fås direkt av den som är föremål för åtgärden. Åtgärden avviker från observation så till vida att det i allmänhet handlar om insamling av uppgifter som sker i växelverkan och inte i hemlighet. Åtgärderna innefattar också ofta olika slags tilläggsutredningar (såsom slagningar i register), utifrån vilka Gränsbevakningsväsendet bedömer behovet av fortsatta åtgärder. Om handlingar har omhändertagits kan exempelvis deras ursprung behöva utredas. En sådan åtgärd leder ändå inte nödvändigtvis till att ett brott blir utrett. Det är emellertid viktigt att informationen registreras och lagras bland annat med tanke på de inblandades rättssäkerhet. Gränsbevakningsväsendet registrerar årligen ungefär 200 anmälningar i undersöknings- och handräckningsregister. 
De personkategorier som föreslås i 8 § 2 mom. omfattar bland annat inte behandling av personuppgifter av de personobjekt som beskrivs ovan även om informationsinhämtningen har likheter med observation. Gränsbevakningsväsendets förebyggande verksamhet riktar sig ofta också mot personer som inte med fog kan antas göra sig skyldiga till brott på vilket det kan följa fängelsestraff på ett sådant sätt som avses i det förslag till 2 mom. 1 punkten som utskottet lägger fram. Gränsbevakningsväsendet kan vara skyldigt att utreda eller vidta åtgärder också innan en person med fog kan antas göra sig skyldig till brott. Föremål för åtgärder kan också vara en person som med fog kan antas göra sig skyldig till brott eller ha en sådan kontakt till denna brottslighet som avses i 8 § 2 mom. 2 punkten, men brottets grovhetsgrad kan vara oklar. En del av de personuppgifter som enligt den gällande lagen kan behandlas i det nuvarande undersöknings- och handräckningsregistret utan bundenhet till grovhetsgraden skulle därmed lämnas utanför sådan behandling av personuppgifter som avses i förslaget till det ovan nämnda lagrummet. Den föreslagna ändringen försämrar således Gränsbevakningsväsendets möjligheter att registrera uppgifter i den förebyggande verksamheten. 
Bestämmelsen i den föreslagna 8 § 2 mom. 3 punkten måste kompletteras med en ny personkategori, för att det ska vara möjligt att behandla uppgifter som gäller personer med ett oroväckande beteende och andra personer som är föremål för åtgärder inom ramen för den brottsförebyggande verksamheten. Gränsbevakningsväsendet ska ha möjlighet att behandla uppgifter också om personer som är föremål för dessa åtgärder. Det här behövs för att förebygga och avslöja brott fram till dess att man kan avgöra om den behandlingströskel som avses i 8 § 2 mom. 1 eller 2 punkten överskrids. Gränsbevakningsväsendets åtgärder i fråga om fysiska personer är alltid en del av ett enskilt uppdrag och kan vara förenat med olika grad av utövande av offentlig makt. 
Det saknas egentliga bestämmelser om registrering av förebyggande verksamhet i Gränsbevakningsväsendets undersöknings- och handräckningsregister, om man undantar definitionen av behandlingsändamål i 7 § 1 mom. som gäller alla polisiära uppgifter enligt 1 kap. 1 § 1 mom. i polislagen som Gränsbevakningsväsendet har enligt gränsbevakningslagen, lagen om brottsbekämpning inom Gränsbevakningsväsendet eller någon annan i lag. Förslagen till 8 och 9 § skulle i detta avseende förtydliga villkoren för Gränsbevakningsväsendet att behandla uppgifter om personer som är föremål för åtgärder. Utskottet påpekar att den gällande 7 § tillåter behandling av uppgifter om ”den som har något annat samband med ärendet”. Begreppet definieras inte närmare och därmed skulle de personkategorier vilkas uppgifter får behandlas snävas in märkbart enligt lagförslaget. Utskottet hänvisar till det som sägs i detaljmotiveringen. 
Sammanfattning
Utskottet beaktar grundlagsutskottet konstitutionella anmärkningar och föreslår på det sätt som framgår av detaljmotiven att behandlingen av personuppgifter ska anknyta till det misstänkta brottets grovhetsgrad. Tröskeln för behandling av personuppgifter föreslås således bli höjd så att uppgifter kan behandlas endast om personer som med fog kan antas ha gjort sig eller göra sig skyldiga till brott på vilket kan följa fängelse. 
Förvaltningsutskottet konstaterar att om behandlingströskeln höjs till nivån ”skäligen misstänkas” ökar samtidigt trycket på att behandla uppgifter om de personer som är föremål för åtgärder. Uppgifter om den som är föremål för åtgärder skulle i så fall behandlas med stöd av 8 § 2 mom. 3 punkten till dess att det blir klart om personen skäligen kan misstänkas ha gjort eller göra sig skyldig till ett brott på vilket kan följa fängelse. Utskottet hänvisar till det som sägs ovan om förebyggande och avslöjande av brott och jämförelser mellan och konstaterar att det anser att den behandlingströskel som föreslås i propositionen (”med fog kan antas”) är motiverad och utskottet lägger inte fram något förslag till ändring. 
Förvaltningsutskottet understryker att beslutsfattandet i Gränsbevakningsväsendets verksamhet måste grunda sig på saklig, korrekt och aktuell information. Genom att behandla uppgifter kan man försäkra sig om att åtgärderna är proportionerliga i sin inriktning och att verksamheten är informationsdriven. Att behandla uppgifter och dokumentera är samtidigt en rättssäkerhetsfaktor med vilken man tryggar rättssäkerheten för såväl de som är föremål för som de som vidtar åtgärderna. En utvärdering av verksamheten i efterskott kan i princip endast bygga på dokumenterad information. 
Rätt att lämna ut och att få uppgifter
I sitt utlåtande om Gränsbevakningsväsendets personuppgiftslag hänvisar grundlagsutskottet till 17 § i lagförslaget, där det föreskrivs om Gränsbevakningsväsendets rätt att få uppgifter av myndigheter (GrUU 58/2018 rd). Grundlagsutskottet har bedömt bestämmelserna om myndigheternas rätt att få och skyldighet att lämna ut information med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och att lämna ut information kan gälla ”nödvändiga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över vad uppgifterna ska innehålla. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "informationen är nödvändig" för ett visst syfte (se t.ex. GrUU 17/2016 rd, s. 5—6, och de utlåtanden som nämns där). I sina analyser av exakthet och innehåll har utskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om överlåtelse av uppgifter har gällt också känsliga uppgifter, har det för vanlig lagstiftningsordning krävts att bestämmelserna preciseras så att de följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se t.ex. GrUU 15/2018 rd, s 39). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 14/2018 rd, s. 5). Utskottet anser att motsvarande utgångspunkter också kan tillämpas på rätten att få och lämna ut information trots exempelvis banksekretessen. (Se GrUU 48/2018 rd, s. 5). 
Grundlagsutskottet menar att förslaget till 17 § i Gränsbevakningsväsendets personuppgiftslag på grund av grundlagens 10 § 1 mom. om skydd för privatlivet och personuppgifter måste preciseras så att den följer grundlagsutskottets ovan refererade praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Samma ståndpunkt gäller förslaget till 18 § om rätt att få uppgifter av privata sammanslutningar och personer, 20 § om rätt att få uppgifter ur vissa register och datasystem, 30 § om utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål samt 31 § om övrigt utlämnande av personuppgifter till myndigheter. 
Enligt grundlagsutskottets utlåtande (GrUU 60/2018 rd) om RP 259/2018 rd med förslag till lag om behandling av personuppgifter inom Tullen måste Tullens rätt att få uppgifter ur vissa register och informationssystem på grund av grundlagens 10 § 1 mom. om skydd för privatlivet och personuppgifter preciseras så att den följer grundlagsutskottets ovan refererade praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Motsvarande ställningstagande i fråga om lagstiftningsordningen gäller också 15 § i lagförslaget om uppgifter som andra myndigheter lämnar ut till Tullen genom registrering via direkt anslutning eller för registrering som en datamängd, 18 § om utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål och 19 § om övrigt utlämnande av personuppgifter till myndigheter. 
Också i polisens personuppgiftslag finns det bestämmelser om rätten att lämna ut och få uppgifter (RP 242/2018 rd). Grundlagsutskottets utlåtande innehåller en konstitutionell anmärkning bara i fråga om den föreslagna 51 §, som gäller skyddspolisen (GrUU 51/2018 rd). Förvaltningsutskottet anser att regleringen ska vara så överensstämmande som möjligt av hänsyn till PTG-samarbetet mellan polisen, Tullen och Gränsbevakningsväsendet. Regleringen får inte heller leda till att uppgifter får lämnas ut till andra EU/EES-länder eller tredje länder på vagare grunder än de som gäller nationellt. 
Enligt allmän praxis har bestämmelser om utlämnande av uppgifter och om rätt att få information tagits in i både den överlåtande myndighetens och den mottagande myndighetens lagstiftning. Men detta regleringssätt har inte varit täckande. I sitt betänkande FvUB 36/2014 rd har förvaltningsutskottet uppmärksammat den dubbla regleringen. 
Förutom dubbel reglering har frågan i speciallagstiftningen också löst så att bestämmelser om rätten att få information tas in enbart i fråga om den aktör som lämnar ut uppgifter eller enbart i fråga om den aktör som har rätt att få uppgifter. Avsikten är att i Gränsbevakningsväsendets personuppgiftslag frångå dubbel reglering där det är möjligt på så sätt att bestämmelserna om Gränsbevakningsväsendets rätt att få information bara är bestämmelser som gäller den som lämnar ut information. Det skulle ändå inte vara möjligt att i någon av de speciallagar som gäller rätten att få uppgifter enligt den gällande personuppgiftslagen för Gränsbevakningsväsendet ta in motsvarande bestämmelser om att lämna ut uppgifter. 
Förvaltningsutskottet konstaterar att den föreslagna regleringen nu ser ut att utformas på olika sätt i den lagstiftning som gäller dels förhållandet polisen och Gränsbevakningsväsendet/Tullen, dels till vissa delar också förhållandet mellan Tullen och Gränsbevakningsväsendet. De föreslagna ändringar skulle samtidigt leda till att uppgifter får lämnas ut till andra EU/EES-länder eller tredje länder på vagare grunder än de som gäller nationellt. 
I sina analyser av exakthet och innehåll har grundlagsutskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om överlåtelse av uppgifter har gällt också känsliga uppgifter, har det för vanlig lagstiftningsordning krävts att bestämmelserna preciseras så att de följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se t.ex. GrUU 15/2018 rd, s 39). 
Förvaltningsutskottet konstaterar att känsliga personuppgifter behandlas inom Gränsbevakningsväsendet för att det ska kunna sköta de uppgifter som hör till direktivets och förordningens tillämpningsområde. Dessutom ansluter sig Gränsbevakningsväsendets behov att behandla uppgifter som hör till särskilda kategorier av personuppgifter till nästan alla ändamål med behandlingen enligt lagförslaget. 
EU:s dataskyddsreform har skärpt dataskyddet. I artikel 5 i dataskyddsförordningen föreskrivs det om principerna för behandling av personuppgifter och i artikel 6 om behandlingens laglighet. Behandlingen av personuppgifter är laglig bland annat när behandlingen behövs för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. 
Enligt artikel 9.1 i dataskyddsförordningen är behandling av särskilda kategorier av personuppgifter i princip förbjuden. Särskilda kategorier av personuppgifter är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Hantering av särskilda kategorier av personuppgifter är också behandling av genetiska uppgifter, hantering av biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Enligt artikel 9.2 får uppgifterna behandlas om något av villkoren i punkt 2 led a–j uppfylls. En del av de här leden ska tillämpas direkt medan andra kräver nationell lagstiftning. 
I 6 § i den nationella dataskyddslagen, som kompletterar dataskyddsförordningen, föreskrivs det om situationer där känsliga personuppgifter får behandlas i den mån den aktuella behandlingen av personuppgifter inte är möjlig direkt med stöd av artikel 9.2 i dataskyddsförordningen. Det är dock viktigt att i sammanhanget observera att begreppet särskilda kategorier av personuppgifter inte är exakt detsamma som de personuppgifter som avses i 12 § i den tidigare personuppgiftslagen. Förordningen förutsätter att medlemsstatens lagstiftning då innehåller bestämmelser om lämpliga och särskilda åtgärder för att skydda den registrerades grundläggande fri- och rättigheter och intressen. 
Enligt 6 § i dataskyddslagen avseende brottmål ska personuppgifterna vara adekvata och behövliga och inte för omfattande i förhållande till de syften för vilka de behandlas. Enligt 11 § i den lagen är de särskilda kategorierna av personuppgifter desamma som i dataskyddsförordningen. Enligt paragrafen är behandling av särskilda kategorier av personuppgifter tillåten endast om det är nödvändigt och de skyddsåtgärder som krävs för att trygga den registrerades rättigheter har vidtagits och en sådan särskild rättsgrund som nämns i paragrafen, exempelvis en speciallag, är för handen. 
I dataskyddsförordningen avses med behandling en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring (artikel 4.2). I 3 § i dataskyddslagen avseende brottmål definieras behandling på motsvarande sätt. 
Enligt grundlagsutskottets utlåtande måste ett i särklass grundrättighetskänsligt lagförslag kompletteras med en allmän bestämmelse med ett nödvändighetskrav för behandling av känsliga uppgifter. Alternativt kan regleringen kompletteras paragrafvis med bestämmelser som knyter behandlingen av känsliga uppgifter till ett nödvändighetskrav. Med anledning av grundlagsutskottets utlåtande föreslår förvaltningsutskottet att en sådan allmän bestämmelse tas in i den nya 4 § på det sätt som närmare framgår av detaljmotiven. 
Eftersom utlämnande och mottagande av uppgifter på det sätt som konstateras ovan betraktas som behandling av uppgifter inom de båda dataskyddsförfattningarnas tillämpningsområde, gäller utskottets förslag till ny bestämmelse om ett nödvändighetskriterium för behandling av särskilda kategorier av personuppgifter också att lämna ut och att få uppgifter. Därmed uppfyller bestämmelsen samtidigt de kriterier som grundlagsutskottet i sin praxis har uppställt för att bestämmelser om att få och kunna lämna ut personuppgifter trots sekretessbestämmelser för behandling av särskilda kategorier av personuppgifter. 
På andra uppgifter än särskilda kategorier av personuppgifter ska den allmänna lagstiftningen tillämpas, alltså dataskyddsförordningen och dataskyddslagen samt dataskyddslagen avseende brottmål, enligt vilka personuppgifter får behandlas bara om det behövs för att sköta lagfästa myndighetsuppgifter. 
Utskottet anser att bestämmelserna i den form som utskottet föreslår uppfyller de villkor som EU-lagstiftningen och grundlagsutskottets etablerade tolkningspraxis ställer på behandling av personuppgifter och att de också beaktar de konstitutionella anmärkningarna mot 17, 18, 20, 30 och 31 § i lagförslag 1. 
Lagringstid
I förslaget till 5 kap. finns bestämmelser om arkivering av personuppgifter. Under utfrågningen av sakkunniga har förvaltningsutskottet uppmärksammats på att arkiveringstiden i fråga om vissa uppgifter har uttryckts absolut (”5 år efter det att”) medan andra försetts med en maximitid (”senast 10 år efter det att”). Arkiveringstiden bör uttryckas absolut bara när man på förhand kan veta hur lång arkivering det behövs. Vid tillämpningen bör det emellertid beaktas att uppgifterna ska raderas när det inte längre finns någon grund för att arkivera dem. Med tanke på proportionalitetsprincipen kan det dessutom var nödvändigt att differentiera arkiveringen utifrån behovsprövning. Det har också ansetts att t.ex. 44 § 4 mom. 6 punkten och 45 § 2 mom. 1 punkten tillåter att arkiveringen fortgår upprepat på synnerligen obestämbara grunder. 
Tiderna för radering av uppgifter enligt 5 kap. iakttas om inte någon annan bestämmelser kräver att uppgifterna raderas tidigare, menar förvaltningsutskottet. Utskottet anser emellertid att det är motiverat att arkiveringstiderna till vissa delar anges i absolut form. Den arkiveringstid på fem år som anges i det föreslagna 42 § 1 mom. garanterar att uppgifter sparas åtminstone under den tid det tar att behandla ett ärende i domstolsväsendet till dess att ett avgörande vinner laga kraft. När det å andra sidan gäller 44 §:n 1 mom., 45 §, 46 § 4 mom. 6 punkten och 47 § mom. 1 punkten finner utskottet det lämpligt att understryka att uppgifter ska raderas redan före arkiveringstiden på tio år löpt ut om de visat sig vara överflödiga med tanke på ändamålet med behandlingen. 
Förvaltningsutskottet anser det likaså lämpligt att säkerställa att de arkiveringstider som avses i 5 kap. inte blir ett hinder för arkivering om det finns grundad anledning att anse att uppgifterna fortsatt behövs (42 § 7 mom., 43 § 3 mom. och 44 § 2 mom. i RP). Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. Bestämmelserna motsvarar 6 § 3 mom. i lagen om dataskyddslagen avseende brottmål, enligt vilken behovet att bevara personuppgifter ska bedömas med minst fem års mellanrum, om inte något annat föreskrivs om bevaringstider för personuppgifter någon annanstans. Förvaltningsutskottet konstaterar vidare beträffande differentierade arkiveringstider att en kortare arkiveringstid för uppgifter av känslig natur skulle leda till att en del av uppgifterna som hänför sig till ett specifikt fall skulle raderas vid en annan tidpunkt än övriga uppgifter. Det skulle vara problematiskt främst med tanke på informationens integritet. 
I 44 § 4 mom. 6 punkten (tio år från det att den sista uppgiften antecknades) är det fråga om förundersökning inom militärrättsvården. De föreslagna bestämmelserna om radering motsvarar det som föreslås om radering av personuppgifter i förslaget (42 §) till lag om behandling av personuppgifter inom Försvarsmakten (FsUB 3/2018 rd). Utskottet finner det viktigt att personuppgifter behandlas i ett överensstämmande förfarande när ändamålet med behandlingen är de samma. Därför bör också raderingsbestämmelserna motsvara varandra. 
I ovan nämnda 45 § 2 mom. 1 punkten (uppgifter som gäller utlänningar som tagits i förvar raderas 5 år efter det att den sista uppgiften om personen antecknades) är avsikten att säkerställa att uppgifterna finns tillgängliga så länge det är ändamålsenligt med avseende på ändamålet med behandlingen. Uppgifterna kan behövas exempelvis för att i efterskott klarlägga åtgärder. 
Sammantaget anser utskottet att den föreslagna arkiveringstiderna är ändamålsenliga. Grundlagsutskottet har inte haft någonting att anmärka beträffande arkiveringstiderna. 
Tillsyn
Grundlagsutskottet har konstaterat att Gränsbevakningsväsendets personregister innehåller mycket sådan information som det är ytterst viktigt att skydda mot obehörig användning. I en sådan situation måste övervakningen av användningen av informationen ägnas särskild uppmärksamhet (GrUU 51/2018 rd och GrUU 42/2014 rd). I propositionsmotiven redogörs det för den interna och externa laglighetsövervakningen av behandlingen av personuppgifter vid Gränsbevakningsväsendet. 
Enligt 3 § 3 mom. 2 punkten i statsrådets förordning om gränsbevakningsväsendet (651/2005) ska staben för Gränsbevakningsväsendet övervaka att Gränsbevakningsväsendets uppgifter utförs på behörigt sätt, leda och granska den verksamheten i de underlydande förvaltningsenheterna samt planera och utveckla Gränsbevakningsväsendets verksamhet. Enligt 5 § 3 mom. i lagen om gränsbevakningsväsendets förvaltning utgör staben för Gränsbevakningsväsendet samtidigt inrikesministeriets gränsbevakningsavdelning. Enligt 16 § 2 mom. i inrikesministeriets förordning om inrikesministeriets arbetsordning (1078/2013) behandlar gränsbevakningsavdelningen de ärenden som gäller laglighetsövervakning i fråga om Gränsbevakningsväsendet. Avdelningen utför sin laglighetsövervakning i enlighet med anvisningen för laglighetsövervakning vid inrikesministeriet och inom dess förvaltningsområde (SMDno-2016-329) och den interna föreskriften om laglighetsövervakning vid Gränsbevakningsväsendet (RVLPAK A.22). Laglighetsövervakningen omfattar exempelvis att behandla förvaltningsklagan och respons från allmänheten, övervaka behandlingen av personuppgifter, granskningar samt ge utlåtanden i synnerhet till de högsta laglighetsövervakarna. Enligt den interna föreskriften om laglighetsövervakning ska särskild uppmärksamhet ägnas bl.a. åt användningen av personregister och genomförandet av personregistreringen. 
Ledningen för ämbetsverken och inrättningarna inom inrikesministeriets förvaltningsområde svarar för att behandlingen av personuppgifter och övervakningen av användning av personregister har ordnats lagenligt på ett ändamålsenligt och effektivt sätt. Chefen för en förvaltningsenhet inom Gränsbevakningsväsendet svarar för att ordna laglighetsövervakningen och för att resurserna är tillräckliga för övervakningen i enheten. 
I Gränsbevakningsväsendets interna laglighetskontroll betonas betydelsen av förvaltningsenhetschefernas och de närmaste chefernas agerande samt anvisningarna om behandlingen av personuppgifter. Tillsynen över behandlingen av personuppgifter baserar sig dels på den dagliga chefstillsynen, del på praxis rörande användarrättighet och logguppföljning samt på olika kontroller. Genom praxis för beviljande av användarrättigheter kan man se till att personuppgifter behandlas endast av personer i vars arbetsuppgifter behandling av personuppgifter ingår och som uppfyller de lagfästa villkoren för att få användarrättigheter. Staben för Gränsbevakningsväsendet meddelar årligen en föreskrift om övervakning av användningen av personregister. Med stöd av den övervakar staben och förvaltningsenheterna både systematiskt och genom stickprov användningen av personuppgifter i de register som Gränsbevakningsväsendet förvaltar och använder.  
Avdelningarna och enheterna vid Gränsbevakningsväsendets stab samt förvaltningsenheterna ska stödja dataskyddsombudet vid staben för sitt eget ansvarsområdes vidkommande. Enligt Gränsbevakningsväsendets informationsförvaltningsföreskrift (RVLPAK D.50) ska förvaltningsenheterna och stabsavdelningarna årligen ge in ett bokslut om sin registerförvaltning till Gränsbevakningsväsendets juridiska avdelning. 
Avdelningen sammanställer en årsrapport om sina övervaknings- och inspektionsåtgärder inklusive observationer och utvecklings- eller åtgärdsförslag. Rapporten inbegriper också rapporter från förvaltningsenheterna och en sammanfattning av deras observationer. I rapporten behandlas bl.a. loggkontroll, resultatet av den och åtgärder som krävts och genomförts på grund av kontrollen samt andra åtgärder i anknytning till övervakningen av behandlingen av personuppgifter. Rapporten sänds för kännedom till inrikesministeriet, justitiekanslern i statsrådet och riksdagens justitieombudsman. 
I 7 § i statsrådets förordning (1126/2009), som utfärdats med stöd av lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet (687/2009, PTG-lagen), föreskrivs det att för övervakningen av behandlingen av personuppgifter vid PTG-kriminalunderrättelseenheterna svarar den PTG-myndighet som har inrättat registret i fråga. PTG-myndigheterna ordnar enligt paragrafens 2 mom. I samband med övervakningen av behandlingen av personuppgifter gemensamma inspektioner och annan övervakning enligt vad som närmare avtalas i PTG-myndigheternas riksomfattande samarbetsavtal. 
EU:s dataskyddsreform har medfört viktiga ändringar i lagstiftningen om övervakningen av behandlingen av personuppgifter. Den nya dataskyddslagstiftningen betonar övervakningen av att lagligheten i behandlingen av personuppgifter säkerställs. I dataskyddsförordningen föreskrivs om tillsynsmyndigheten och tillsynsmyndighetens befogenheter. Enligt dataskyddslagen finns dataombudsmannen i anslutning till justitieministeriet och är den nationella tillsynsmyndigheten enligt dataskyddsförordningen. 
Dataombudsmannen ska också vara specialmyndighet för efterlevnaden av dataskyddslagen avseende brottmål. Dataombudsmannen ska utöva tillsyn över efterlevnaden av lagen både på eget initiativ och på basis av begäranden om åtgärder som lämnas in till ombudsmannen. Dataombudsmannen kan göra utredningar av hur lagen följs och behandla begäranden om åtgärder som lämnats in till ombudsmannen. Ombudsmannen kan i fall av ett lagstridigt förfarande t.ex. meddela den personuppgiftsansvarige en anmärkning eller uppställa ett tillfälligt eller bestående förbud eller någon annan tillfällig eller bestående begränsning av behandlingen av personuppgifter. Ombudsmannen kan förena ett rättsligt förpliktande beslut med vite. 
Också riksdagens justitieombudsman och justitiekanslern i statsrådet ska i egenskap av högsta laglighetsövervakare följa efterlevnaden av lagstiftningen om behandling av personuppgifter som en del av den allmänna laglighetsövervakningen av myndigheter och tjänstemän. Båda två utför regelbundna inspektioner för att granska lagenligheten i verksamhet och behandling av personuppgifter. Riksdagens justitieombudsman och justitiekanslern i statsrådet övervakar dessutom lagenligheten i dataombudsmannens verksamhet. 
Förslaget till ändringar i Gränsbevakningsväsendets personuppgiftslagstiftning innehåller förslag som innebär att behovet av övervakning kommer att öka. Avsikten är ändå att styra lagstiftningen i en sådan riktning att det blir lättare att leda och övervaka skyddet av uppgifterna. Enligt förvaltningsutskottets uppfattning kommer den nya lagstiftning som reglerar övervakningen, normbasen för övervakningen i övrigt och de praktiska effektiviseringsåtgärderna att skapa bättre förutsättningar att övervaka behandlingen av personuppgifter. Men det krävs också tillräckliga resurser för att förverkliga skyddet för personuppgifter och en effektiv övervakning. 
Den nya dataskyddslagstiftningen innefattar detaljerade bestämmelser om övervakning av behandlingen av personuppgifter och påföljder vid lagstridig behandling av sådana uppgifter, om den personuppgiftsansvariges ansvar och skyldigheter, den registrerades rättigheter och om informationssäkerheten. EU:s dataskyddsreform har skärpt den personuppgiftsansvariges ansvar. Den personuppgiftsansvarige ska ansvara för att personuppgifter behandlas i överensstämmelse med lag. Den personuppgiftsansvarige ska dessutom kunna visa att behandlingen av personuppgifter också i verkligheten överensstämmer med dataskyddslagstiftningen. Också det har betydelse med avseende på övervakningen. 
DETALJMOTIVERING
1.
Lag om behandling av personuppgifter vid Gränsbevakningsväsendet
2 §. Förhållande till annan lagstiftning.
Enligt propositionsmotiven finns det i 2 mom. en informativ hänvisning till lagen om offentlighet i myndigheternas verksamhet och till lagen om Gränsbevakningens förvaltning, som har kompletterande bestämmelse om sekretess och tystnadsplikt och om rätt att trots det lämna ut uppgifter. Bestämmelsen är emellertid skriven som en hänvisning (”tillämpas”) och begränsar sig enligt formuleringen till sekretess och tystnadsplikt i fråga om personuppgifter. Formuleringen bör ändras så att det i stället på det sätt som sägs i motiven ”föreskrivs”, menar grundlagsutskottet. 
Grundlagsutskottet påpekar ytterligare att enligt 28 § i dataskyddslagen, som ska tillämpas som allmän lag och som i detta avseende stiftats med grundlagsutskottets uttryckliga medverkan (GrUU 14/2018 rd och GrUU 26/2018 rd) tillämpas på rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister vad som föreskrivs om offentlighet i myndigheternas verksamhet. Utskottet ser det av orsaker hänförliga till 12 § 2 mom. i grundlagen som nödvändigt att bestämmelsens ordalydelse samordnas med den allmänna lagen. Det här är viktigt också för att undvika kontradiktoriska slutsatser. Bestämmelsen kan kompletteras med föreskrifter enligt 62 § i dataskyddslagen avseende brottmål om tystnadsplikt och om förbud mot utnyttjande av uppgifter. 
Förvaltningsutskottet föreslår följaktligen att 2 mom. ändras så att i 2 punkten intas en materiell hänvisning till lagen om offentlighet i myndigheternas verksamhet motsvarande bestämmelsen i 28 § i dataskyddslagen och 2 § i dataskyddslagen avseende brottmål. Enligt 62 § i dataskyddslagen med avseende på brottmål har 23 § i lagen om offentlighet i myndigheternas verksamhet bestämmelser om tystnadsplikt och förbud mot att utnyttja information. Dessutom innehåller lagen om gränsbevakningsväsendets förvaltning bestämmelser om sekretess och tystnadsplikt och om rätten att trots det lämna ut uppgifter, vilka kompletterar offentlighetslagen. Utskottet anser emellertid att det i detta sammanhang inte behövs någon separat informativ hänvisning om detta.  
Utskottet lägger till ett författningsnummer i 1 och 2 mom. 
3 §. Principer för behandlingen av personuppgifter samt förbud mot diskriminering. (Ny).
Grundlagsutskottet konstaterar i sitt utlåtande att de krav som följer av unionsrätten i fråga om nödvändighet, proportionalitet, jämlikhet och icke-diskriminering ska beaktas vid tillämpningen av den föreslagna regleringen. När utskottet behandlade förslaget till lag om behandling av personuppgifter i polisens verksamhet ansåg det att även om de principiella bestämmelserna i polislagen är tillämpliga också vid tillämpningen av den lag som då var aktuell, fanns det enligt utskottet skäl att komplettera förslaget med den typ av principiella bestämmelser som finns i 1 kap. 2—5 § i polislagen. Utskottet menar att också det nu föreliggande lagförslaget bör kompletteras med motsvarande bestämmelser. I fråga om polisens personuppgiftslag avsåg utskottet att kompletteringen kan göras genom en hänvisningsbestämmelse. 
När grundlagsutskottet tog ställning till lagstiftningen om civil underrättelseinhämtning konstaterade det att med tanke på den risk för profilering som underrättelseinhämtningen är förknippad med, är det också nödvändigt att i lagen ta in ett uttryckligt och korrekt formulerat förbud mot diskriminering. Detta är ett villkor för att lagen ska kunna behandlas i vanlig lagstiftningsordning (GrUU 35/2018 rd). När grundlagsutskottet tog ställning till lagstiftningen om militär underrättelseinhämtning konstaterade det i fråga om lagstiftningsordningen att ett sådant diskrimineringsförbud måste motsvara diskrimineringsförbudet i 6 § 2 mom. i grundlagen i det avseendet att förteckningen över diskrimineringsgrunder inte är uttömmande (GrUU 36/2018 rd). Grundlagsutskottet förutsatte att också lagen om behandling av personuppgifter i polisens verksamhet kompletteras med ett allmänt diskrimineringsförbud för att lagen skulle kunna behandlas i vanlig lagstiftningsordning (GrUU 51/2018 rd, se även GrUU 52/2018 rd). Utskottet menar att också det nu aktuella lagförslaget måste kompletteras på motsvarande sätt för att kunna behandlas i vanlig lagstiftningsordning. 
Utifrån grundlagsutskottets utlåtande GrUU 75/2018 rd har förvaltningsutskottet föreslagit följande formulering i lagförslag 2 om civil underrättelseinhämtning avseende datatrafik som ingår den ovan nämnda propositionen om lagstiftning om civil underrättelseinhämtning (RP 202/2018 rd): ”Inriktningen av en åtgärd inom underrättelseinhämtning som avser datatrafik får inte utan godtagbart skäl grunda sig på en persons kön, ålder, ursprung, nationalitet, bosättningsort, språk, religion, övertygelse, åsikt, politiska verksamhet, fackföreningsverksamhet, familjeförhållanden, hälsotillstånd, funktionsnedsättning, sexuella läggning eller någon annan orsak som gäller hans eller hennes person.” (FvUB 36/2018 rd). 
Förvaltningsutskottet föreslår med beaktande av grundlagsutskottets utlåtande att lagen kompletteras med en ny 3 § där det hänvisas till de allmänna principerna i gränsbevakningslagen (578/2005) och närmare bestämt till dess 2 kap. om proportionalitetsprincipen, principen om minsta olägenhet, principen om ändamålsbundenhet samt om respekten för de grundläggande fri- och rättigheterna och de mänskliga rättigheterna. Dessutom föreslås en bestämmelse om diskrimineringsförbud på samma sätt som i polisens personuppgiftslag (FvUB 39/2018 rd). På grund av den nya paragrafen ändras paragrafnumreringen i hela lagen. Dessutom måste paragrafhänvisningarna i andra lagar i propositionen ändras. 
4 §. Behandling av uppgifter som hör till särskilda kategorier av personuppgifter. (Ny).
Grundlagsutskottet fäster i sitt utlåtande uppmärksamhet vid att det föreslås bestämmelser om nödvändighetskriteriet i fråga om behandling av uppgifter som hör till särskilda kategorier av personuppgifter t.ex. i lagförslagets 5 § 10 punkt och i 7 § 3 punkt om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård. Men formuleringarna i paragrafförslagen är delvis diffusa. I t.ex. 15 § i lagförslaget tillåts behandling av personuppgifter för andra ändamål med behandlingen än det ursprungliga, när det behövs för beslut eller utlåtanden som gäller beviljande eller giltighet av ett tillstånd, om tillståndet enligt gällande bestämmelser är beroende av sökandens eller tillståndshavarens tillförlitlighet, lämplighet eller någon liknande egenskap, och det för bedömningen av egenskapen krävs uppgifter om sökandens eller tillståndshavarens hälsotillstånd, bruk av berusningsmedel, brottslighet eller våldsamma uppträdande. 
Enligt grundlagsutskottets vedertagna praxis måste det finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt. Därför måste i synnerhet i särklass grundrättighetskänsliga lagförslag kompletteras med en allmän bestämmelse med ett nödvändighetskrav för behandling av känsliga uppgifter. Alternativt kan regleringen kompletteras paragrafvis med bestämmelser som knyter behandlingen av känsliga uppgifter till ett nödvändighetskrav. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Förvaltningsutskottet föreslår med beaktande av grundlagsutskottets utlåtande att lagen kompletteras med en ny 4 § med en allmän bestämmelse om nödvändighetskriteriet för att behandla uppgifter som hör till särskilda kategorier av personuppgifter. Nödvändighetskriteriet gäller alla former av behandling. Utskottet hänvisar här till det som sägs i de allmänna övervägandena. 
Förslaget till ny 4 § innebär att överlappande reglering i vissa andra paragrafer måste strykas. Dessutom måste vissa paragrafer i 2 kap. omformuleras så att hänvisningar till ”behövliga” uppgifter stryks för att undvika kontradiktoriska slutsatser. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Utskottet hänvisar till det som sägs nedan. Av förslaget till ny 4 § följer att paragrafnumreringen måste ändras. Dessutom måste paragrafhänvisningarna i andra lagar i propositionen ändras. 
6 (4) §. Behandling av grundläggande personuppgifter.
Med hänvisning till det som sägs ovan i anknytning till 4 § föreslår utskottet att omnämnandet av behövlighetskriteriet i det inledande stycket till 1 mom. och 16 punkten stryks. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. Dessutom måste paragrafhänvisningarna i det inledande stycket ses över. 
I propositionen föreslås det att det till förteckningen över grundläggande personuppgifter fogas uppgifter om bland annat värnplikt och militärtjänst (11 punkten) samt om militär utbildning och militär grad (12 punkten). De föreslagna formuleringarna grundar sig på bestämmelserna om behandling av personuppgifter inom Försvarsmaktens (RP 13/2018 rd) och om vilka uppgifter som ska lagras i värnpliktsregistret och registret för militärrättsvården. Förvaltningsutskottet har emellertid noterat att uppgifterna delvis är överlappande. Som exempel kan nämnas att det finns en allmän bestämmelse om utbildning i 10 punkten. För att göra regleringen tydligare föreslår utskottet att punkterna 11 och 12 kombineras så att den nya 11 punkten innehåller formuleringen ”uppgifter om värnplikt och militärtjänst”. Numreringen av de andra punkterna måste därmed ses över. 
Uppgifterna om värnplikt ska innefatta uppgifter om beväringsutbildningen. Uppgifterna om militärtjänst ska bland annat innefatta uppgifter om de som fullgör frivillig militärtjänst för kvinnor, de som fullgör annan i värnpliktslagen avsedd tjänstgöring samt de som tjänstgör i en militärtjänst vid Gränsbevakningsväsendet. Uppgifterna innefattar också information om militär grad och eventuell tjänstgöringsgrad. Utskottet konstaterat att strävan har varit att förteckningen i 4 § så långt som möjligt ska motsvara förteckningen i polisens personuppgiftslag. Vid registreringen av grundläggande personuppgifter måste man likväl beakta Gränsbevakningsväsendets lagfästa uppgifter i det militära försvaret och därför finns det ett större behov än vid polisen att lagra uppgifter om värnplikt och tjänstgöring. För tydlighetens skull konstaterar utskottet att militära uppgifter om utlänningar kunde lagras redan nu med stöd av den föreslagna 7 (5) § 2 mom. 8 punkten på samma sätt som enligt den gällande lagen. 
7 (5) §. Behandling av personuppgifter vid gränskontroll samt för upprätthållande av gränssäkerheten och gränsordningen.
Med hänvisning till det som sägs ovan i anknytning till förslaget till ny 4 § föreslår utskottet att omnämnandet av behövlighetskriteriet i 2 mom. stryks. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. 
Grundlagsutskottet har fäst uppmärksamhet vid 2 mom. 10 punkten med bestämmelser om lagring av så kallade säkerhetsuppgifter. Enligt förslaget får Gränsbevakningsväsendet behandla uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård och andra uppgifter som hör till särskilda kategorier av personuppgifter. Grundlagsutskottet har tidigare tagit ställning till motsvarande förslag och då ansett att de förefaller möjliggöra fortsatt omfattande registrering av hälsorelaterade uppgifter och uppgifter om åtgärder inom socialvården (se också GrUU 18/2012 rd, GrUU 51/2002 rd och GrUU 37/2002 rd). Utskottet påpekar att bestämmelsen måste preciseras med en definition av vilka hälsorelaterade uppgifter och uppgifter om åtgärder inom socialvården det är tillåtet att registrera, även om nödvändighetskravet på ett adekvat sätt begränsar området för registrerbara uppgifter (GrUU 18/2012 rd). Enligt utskottet är den föreslagna bestämmelsen behäftad med samma slags öppenhet när det gäller behandlingen av känsliga uppgifter, trots att förslaget inte nämner uppgifter som hänför sig till åtgärder inom socialvården. När utskottet tog ställning till lagen om behandling av personuppgifter i polisens verksamhet ansåg det att preciseringen av en sådan bestämmelse var en fråga som påverkade lagstiftningsordningen (GrUU 51/2018 rd). Den nu föreslagna bestämmelsen måste således preciseras i synnerhet i fråga om de nämnda övriga känsliga uppgifterna. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Motsvarande ställningstagande i fråga om lagstiftningsordningen gäller också 12 § 3 mom. och 13 § 2 mom. 4 punkten i lagförslag 1. Förvaltningsutskottet konstaterar att bestämmelser om säkerhetsuppgifter också finns i 9 (7) § 1 mom. 3 punkten och 11 (9) § 1 mom. 4 punkten. 
Förvaltningsutskottet föreslår utifrån grundlagsutskottets utlåtande att bestämmelserna preciseras så att innehållet i säkerhetsuppgifterna, på samma sätt som i den gällande lagen, anges i en uttömmande förteckning, varvid det blir omöjligt att behandla andra känsliga uppgifter med stöd av det lagrummet än de som uttryckligen nämns. 
Under utfrågningen av sakkunniga anfördes det bland annat att det inte framgår av 7 (5) § eller motiveringen till den vad som avses med sådan utredning som regleras i 27 § i gränsbevakningslagen och den anknyter till gränsbevakningen eller till upprätthållandet av gränssäkerheten och gränsordningen. Förvaltningsutskottet konstaterar att det i 27 § föreskrivs om utredning av gränstilldragelser samt förutsättningar för in- och utresa. Det handlar uttryckligen om ärenden som har samband med gränstilldragelser samt förutsättningar för in- och utresa. Utskottet menar att det materiella innehållet i hänvisningen i 7 (5) § klart framgår av 27 § i gränsbevakningslagen och ser inget behov av att precisera formuleringen. 
Förvaltningsutskottet hänvisar dessutom till definitionen i 5 (3) § 2 punkten enligt vilken med upprätthållande av gränsordningen avses verkställighet av bestämmelser som gäller riksgränsen och gränsövergångsställen samt av bestämmelser och föreskrifter som gäller internationellt samarbete mellan gränsmyndigheter samt tillsyn över att de iakttas. Definitionen från den motsvarande definitionen i gränsbevakningslagen till den delen att där ingår inte åtgärder i anknytning till förhindrande av brott eller upprätthållande av allmän ordning och säkerhet. Detta är ändamålsenligt med tanke på behandlingen av personuppgifter så att man tydligt kan skilja tillämpningsområdena för ändamålen med behandlingen av personuppgifter enligt dataskyddsförordningen och enligt dataskyddsdirektivet från varandra. Utskottet anser bestämmelserna vara relevanta. 
8 (6) §. Behandling av personuppgifter för utredning av brott samt upprätthållande av allmän ordning och säkerhet
Enligt 1 mom. får Gränsbevakningsväsendet behandla personuppgifter vid utförandet av en uppgift i anknytning till utredning av brott eller en åtgärd i anknytning till att föra brott till åtalsprövning samt för upprätthållande av allmän ordning och säkerhet. Enligt paragrafens 2 mom. krävs det dessutom att de i 1 mom. avsedda uppgifterna anknyter till personer som är misstänkta för brott eller för medverkan till brott, är under 15 år och misstänkta för en brottslig gärning, är föremål för förundersökning eller en åtgärd av Gränsbevakningsväsendet, har anmält ett brott eller uppträder som målsägande, vittne, offer, eller på ett annat sätt än det som nämns i 1–6 direkt anknyter till ett ärende som avses i 1 mom. I 2 mom. sägs det att det är fråga om en preciserande bestämmelse. I fråga om sådana personer som avses i det nämnda momentet får man enligt 9 (7) § också behandla vissa känsliga uppgifter såsom biometriska uppgifter och uppgifter som gäller hälsotillståndet. 
Grundlagsutskottet menar att ordalydelsen i 2 mom. 7 punkten är öppen på ett problematiskt sätt. Enligt propositionsmotiven kan det t.ex. vara fråga om en person som lämnat tilläggsupplysningar men som ändå inte har ställning som vittne eller om en person som agerar som sakkunnig. Oberoende av 2 mom. i övrigt utvidgar bestämmelsen tillämpningsområdet för det föreslagna 8 (6) § 1 mom. till alla personer som har anknytning till ett sådant uppdrag som avses i 1 mom. När utskottet tog ställning till lagen om behandling av personuppgifter i polisens verksamhet ansåg det att preciseringen av en sådan bestämmelse var en fråga som påverkade lagstiftningsordningen (GrUU 51/2018 rd). Enligt utskottet måste bestämmelsen i den nu föreslagna formuleringen oundgängligen preciseras i allt väsentligt till exempel med de synpunkter som har framförts i propositionsmotiven. Det är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Förvaltningsutskottet föreslår utifrån grundlagsutskottets utlåtande att 2 mom. 7 punkten ändras så att den enbart gäller personer som enligt propositionsmotiven kan lämna anknytande tilläggsupplysningar till Gränsbevakningsväsendet. Också de som har rollen av sakkunniga är sådana personer som lämnar tilläggsinformation enligt den paragrafen. Personuppgifter om de som kan lämna anknytande tilläggsupplysningar kan med stöd av 7 § i den gällande lagen om behandling av personuppgifter inom Gränsbevakningsväsendet föras in i undersöknings- och handräckningsregistret. 
Enligt 3 mom. i lagförslaget får Gränsbevakningsväsendet behandla personuppgifter i uppgifter som gäller utredning av brott och upprätthållande av allmän ordning och säkerhet också för att bedöma om informationen är av betydelse med tanke på ändamålet med behandlingen enligt 1 mom. Uppgifternas betydelse ska bedömas och onödiga uppgifter raderas utan dröjsmål, dock senast sex månader från det att de registrerats. Motsvarande bestämmelse ingår förslaget till 10 (8) § 6 mom. om förebyggande och avslöjande av brott. 
I bestämmelsen är det fråga om behandling av personuppgifter som fåtts i samband med utförandet av myndighetens uppgifter i situationer där uppgifterna inte direkt anknyter till det enskilda uppdrag som utförs. Enligt propositionsmotiven är det fråga om insamling av uppgifter för brottsanalys från offentliga källor såsom internet och myndigheters offentliga register. Uppgifterna kan jämföras med personuppgifter som redan har registrerats i informationssystem för att klargöra om de lagfästa kriterierna för behandlingen av personuppgifter uppfylls. 
Det är oundvikligt att det i registret också införs uppgifter som efter bedömning av nödvändigheten visar sig vara betydelselösa med tanke på Gränsbevakningsväsendets uppgifter, sägs det i motiven. I momentets sista mening understryks kravet i 6 § i dataskyddslagen avseende brottmål på att obehövliga personuppgifter ska utplånas utan obefogat dröjsmål. Kravet kompletteras av den tidsgräns på sex månader inom vilken bedömningen av om personuppgifterna är betydelsefulla ska ske. 
Grundlagsutskottet har i sitt utlåtande analyserat förslaget både ur ett nationellt och ett EU-rättsligt perspektiv samt med beaktande av EU-domstolens praxis. Grundlagsutskottet anför vidare i utlåtandet att den föreslagna bestämmelsen skulle leda till att Gränsbevakningsväsendet kan registrera en stor mängd personuppgifter i sina elektroniska databaser och att relevansen av de här uppgifterna är oklara i registreringsögonblicket. I lagen definieras inte innehållet i de registrerade uppgifterna eller det tillåtna användningsändamålet. Utskottet konstaterar bland annat att det inte går att övervaka i vilken mån behandlingen av personuppgifter enbart omfattar betydelsefulla uppgifter eftersom bestämmelsen skulle ge Gränsbevakningsväsendet befogenheter att obegränsat registrera personuppgifter i sina databaser utan att definiera användningsändamål, innehåll eller registreringsvillkor. 
Med stöd av den föreslagna lagstiftningen om bedömning av informationens relevans kunde det skapas ett omfattande register som är helt okontrollerat i rättslig mening vad beträffar innehåll och ändamål, och registret kunde också innehålla en stor mängd känsliga uppgifter, menar grundlagsutskottet. Utskottet anser det självklart att behandling av insamlade personuppgifter för ett särskilt ändamål kräver att uppgifternas innehåll bedöms med avseende på ändamålet. Utskottet framhåller att såväl i dataskyddsförordningen som i polisdirektivet avses med behandling av personuppgifter även insamling av uppgifter, vilket är möjligt endast för ett uttalat ändamål. Det är således inte fråga om något "förberedande behandlingsskede" på det sätt som det sägs i propositionsmotiven. Grundlagsutskottet har likaså i sin praxis på det sätt som sägs ovan förutsatt att det finns reglering på lagnivå om registreringens syften, innehåll och tillåtna ändamål. I synnerhet när det gäller behandling av känsliga uppgifter måste bestämmelserna vara exakta och noggrant avgränsade på ett sätt som begränsar behandlingen till endast det nödvändiga. 
Så som lagförslagen är utformade i propositionen skulle det vara möjligt att samla in uppgifter som är betydelselösa för Gränsbevakningsväsendet och att spara dem i register i upp till sex månader, konstaterar grundlagsutskottet. Grundlagsutskottet ansåg att motsvarande bestämmelser i regeringens proposition med förslag till lag om behandling av personuppgifter i polisens verksamhet (GrUU 51/2018 rd) och i förslaget till lag om behandling av personuppgifter inom försvarsmakten (GrUU 52/2018 rd) var grundlagsstridiga i den föreslagna formen. De då föreslagna bestämmelserna i 6 § 3 mom. och 8 § 6 mom. om behandling för att avgöra om uppgifterna är betydelsefulla måste i sin nuvarande utformning strykas. Utan dessa ändringar kan lagförslag 1 enligt grundlagsutskottet inte behandlas i vanlig lagstiftningsordning. Utskottet påpekar att man utan hinder av grundlagen kan välja att reglera bedömningen av grunderna för behandling av personuppgifter till exempel genom bestämmelser som motsvarar 5 kap. 55 § i polislagen om utplåning av information (se även 57 § i tvångsmedelslagen och GrUU 66/2010 rd och GrUU 32/2013 rd). Bestämmelsen i polislagen har tillkommit genom grundlagsutskottets medverkan (GrUU 60/2010 rd). 
Enligt utredning är syftet med de föreslagna bestämmelserna inte att utvidga Gränsbevakningsväsendets befogenheter att inhämta information. Men begreppet ”behandling av personuppgifter” antyder, vilket också grundlagsutskottet påpekar, att det handlar om att samla information. Med hänvisning till grundlagsutskottets utlåtande föreslår förvaltningsutskottet att 3 mom. om bedömning av uppgifternas betydelse stryks och att i 3 mom. i stället tas in en bestämmelse motsvarande 5 kap. 55 § i polislagen om att information som fåtts i samband med uppdrag som hör till Gränsbevakningen ska utplånas utan dröjsmål efter det att det framgått att de inte behövs för sådana behandlingsändamål som avses i 1 mom. eller i 13 § 1 mom. 
En sådan bestämmelse utökar inte Gränsbevakningsväsendets befogenheter att inhämta information. Bestämmelserna gäller endast behandling av sådant material som Gränsbevakningsväsendet kommer i besittning av i samband med ett uppdrag, antingen med stöd av befogenheter som föreskrivs någon annanstans eller genom metoder som inte kräver några explicita befogenheter. 
Förvaltningsutskottet konstaterar att det ofta inte går att bedöma uppgifternas relevans och den eventuella skyldigheten att utan dröjsmål utplåna dem utan möjlighet att utnyttja modern teknik, i synnerhet om det rör sig om ett omfattande material. Den föreslagna bestämmelsen gör det möjligt att behandla lagligen inhämtad information till exempel med automatisk databehandling för att fastställa om informationen ska utplånas såsom obehövlig eller om de lagfästa villkoren för att utnyttja informationen för ett gränsbevakningsuppdrag uppfylls. Utskottet betonar vikten av att regleringen av hur personuppgifter behandlas i Gränsbevakningsväsendets verksamhet täcker in alla skeden då personuppgifter behandlas. Behandlingen av personuppgifter vid Gränsbevakningsväsendet omfattas i varje fas av de skyldigheter som gäller styrning och övervakning av behandlingen samt skyddet för uppgifter, framhåller utskottet. 
9 (7) §. Innehållet i personuppgifter som behandlas för utredning av brott samt upprätthållande av allmän ordning och säkerhet
Med hänvisning till det som sägs ovan i anknytning till förslaget till ny 4 § föreslår utskottet att omnämnandet av behövlighetskriteriet i det inledande stycket till 1 mom. 1 och 2 punkten stryks. Dessutom måste 2 punkten omformuleras till följd av detta. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. Dessutom måste paragrafhänvisningarna i det inledande stycket ses över. 
Med hänvisning till det som sägs i samband med 7 (5) § föreslår förvaltningsutskottet utifrån grundlagsutskottets utlåtande att bestämmelserna i 1 mom. 3 punkten preciseras så att innehållet i säkerhetsuppgifterna, på samma sätt som i den gällande lagen, anges i en uttömmande förteckning, varvid det blir omöjligt att behandla andra känsliga uppgifter med stöd av det lagrummet än de som uttryckligen nämns. 
10 (8) §. Behandling av personuppgifter för förebyggande och avslöjande av brott
I förslaget till paragraf föreskrivs det om när personuppgifter får behandlas i syfte att förebygga eller avslöja brott. I linje med det som sägs i utskottets allmänna överväganden föreslår förvaltningsutskottet att behandlingen av uppgifter knyts till brottets grovhetsgrad på det sätt som grundlagsutskottet har förutsatt, genom att 2 mom. 1 punkten ändras så att personuppgifter kan behandlas med stöd av det lagrummet endast när påföljden för det brott som lagrummet avser kan vara fängelse. På de grunder som redovisas i de allmänna övervägandena anser utskottet däremot att behandlingströskeln ska bibehållas i den form som föreslås i propositionen. 
Förvaltningsutskottet har i sina allmänna överväganden påpekat att de persongrupper som nämns i paragrafens 2 mom. inte inbegriper personer med ett så kallat oroväckande beteende eller andra personer som är föremål för åtgärder inom ramen för Gränsbevakningsväsendets brottsförebyggande verksamhet. Lagförslaget tillåter sålunda inte registrering av åtgärder som riktats mot denna personkategori och därmed inte heller behandling av anknytande personuppgifter. Med stöd av det som sägs i utskottets allmänna överväganden föreslår utskottet att 2 mom. 3 punkten kompletteras med ett omnämnande av personer som är föremål för andra åtgärder från Gränsbevakningsväsendets sida. Därmed blir det möjligt att registrera uppgifter om de som är föremål för åtgärder, vilket för närvarande är möjligt endast med stöd av bestämmelserna i 7 § om Gränsbevakningsväsendets informationssystem i den gällande polisens personuppgiftslag. 
Den gällande 7 § tillåter också att uppgifter om andra personer än de som är föremål för åtgärder från Gränsbevakningsväsendets sida och som har något samband med ett ärende får registreras i Gränsbevakningsväsendets undersöknings- och handräckningsregister. Men förvaltningsutskottet anser att det med beaktande av de anmärkningar som grundlagsutskottet har anfört mot motsvarande bestämmelse i 8 (6) § 2 mom. 7 punkten inte är möjligt att komplettera föreliggande 2 mom. med en tämligen opreciserad personkategori under definitionen ”andra som har något samband med ett ärende”. 
Beslut om inledande av behandling av personuppgifter i anknytning till en brottsanalys som behövs för förebyggande eller avslöjande av brott fattas enligt förslaget till 4 mom. av den personuppgiftsansvarige eller av en annan förvaltningsenhet som den personuppgiftsansvarige har förordnat till uppgiften. För tydlighetens skull påpekar utskottet att en sådan brottsanalys som behövs för förebyggande eller avslöjande av brott redan nu kan införas i den tillfälliga, för förvaltningsenheten specifika register som inrättas med stöd av 4 §. Den största skillnaden jämfört med det som nu föreslås är att behandlingen skulle ske genom rikstäckande registerföring. Dessutom regleras både de persongrupper och innehållet i den information som berörs av brottsanalys enligt 10 (8) och 11 (9) § noggrannare än i den gällande lagen. De preciseringar som utskottet föreslår i 10 (8) och 11 (9) § exempelvis i fråga om bindning till hot om fängelsestraff innebär en striktare begränsning än i propositionen av vilken information som får användas vid brottsanalys. Behandlingen av information som gäller särskilda persongrupper ska både enligt den allmänna lagstiftningen och den nya 4 § begränsas till information som är nödvändig med tanke på ändamålet med behandlingen. 
På de grunder som nämns ovan i samband med 8 (6) § föreslår förvaltningsutskottet med beaktande av grundlagsutskottets utlåtande att 6 mom. om bedömning av uppgifternas betydelse stryks och att i 6 mom. i stället tas in en bestämmelse motsvarande 5 kap. 55 § i polislagen om att information som fåtts i samband med Gränsbevakningsväsendets uppdrag ska utplånas utan dröjsmål efter det att det framgått att den inte behövs för sådana behandlingsändamål som avses i 1 mom. eller i 16 § 1 mom. 
11 (9) §. Innehållet i personuppgifter som behandlas för förbyggande eller avslöjande av brott
I paragrafen föreskrivs det om information som Gränsbevakningsväsendet får behandla utöver de grundläggande personuppgifter som nämns i 6 (4) §. Grundlagsutskottet menar att åtminstone sådana uppgifter som avses i 1 mom. 2–4 punkten kan inkludera känsliga uppgifter. Utskottet omfattar den syn som framgår av propositionsmotiven, enligt vilken 2 punkten i momentet i själva verket är mycket vid till innehållet. Med stöd av det lagrummet skulle Gränsbevakningsväsendet få behandla behövliga uppgifter som gäller en persons verksamhet och beteende. Sådana uppgifter kan enligt propositionsmotiven gälla t.ex. en persons kontakter, livsstil, ekonomiska situation, hobbyer och annat av intresse till den del uppgifterna är behövliga med tanke på förbyggande och utredning av brott. När utskottet tog ställning till lagen om behandling av personuppgifter i polisens verksamhet ansåg det att preciseringen av en sådan bestämmelse var en fråga som påverkade lagstiftningsordningen (GrUU 51/2018 rd). Bestämmelsen måste preciseras exempelvis med den beskrivning som framgår av motiven. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Också förvaltningsutskottet anser det motiverat att begreppet behövliga uppgifter som gäller en persons verksamhet och beteende bör preciseras genom sådana karaktäriseringar som nämns i propositionen. Preciseringarna minskar också den risk som sammanhänger med en vag reglering. Förvaltningsutskottet föreslår med beaktande av grundlagsutskottets utlåtande att 2 punkten preciseras genom formuleringen ”uppgifter som gäller en persons kontakter, levnadsvanor, ekonomiska situation, fritidsintressen och andra intressen”. 
Med hänvisning till det som sägs i samband med 7 (5) § föreslår förvaltningsutskottet utifrån grundlagsutskottets utlåtande att bestämmelserna i 1 mom. 4 punkten preciseras så att innehållet i säkerhetsuppgifterna, på samma sätt som i den gällande lagen, anges i en uttömmande förteckning, varvid det blir omöjligt att behandla andra känsliga uppgifter med stöd av den bestämmelsen än de som uttryckligen nämns. 
Med hänvisning till det som sägs ovan i anknytning till förslaget till ny 4 § föreslår utskottet dessutom att omnämnandet av behövlighetskriteriet i 1 mom. stryks. Därmed måste också 3 punkten omformuleras. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. 
12 (10) §. Behandling av uppgifter om informationskällor.
Enligt paragrafen får Gränsbevakningsväsendet behandla uppgifter om en i 36 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet avsedd informationskälla, uppgifter om hur informationskällan har använts och om tillsynen samt uppgifter om det huvudsakliga innehållet i de uppgifter som informationskällan lämnat. 
Grundlagsutskottet påpekar i sitt utlåtande att det överhuvudtaget inte framgår av bestämmelsen vilken typ av personuppgifter som avses bli behandlade med stöd av lagrummet. Av propositionsmotiven framgår emellertid att känsliga uppgifter får behandlas endast när det är nödvändigt med tanke på ändamålet med behandlingen. Bestämmelsen måste kompletteras. När utskottet tog ställning till lagen om behandling av personuppgifter i polisens verksamhet ansåg det att preciseringen av en sådan bestämmelse var en fråga som påverkade lagstiftningsordningen (GrUU 51/2018 rd). En sådan ändring är också nu en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Förvaltningsutskottet delar grundlagsutskottets åsikt och föreslår att paragrafen kompletteras med en hänvisning till grundläggande personuppgifter enligt 6 (4) §. Det här betyder att Gränsbevakningsväsendet skulle kunna behandla grundläggande personuppgifter enligt 6 (4) § om personer som har använts som informationskälla på samma sätt som om andra personer som avses i de paragrafer i 2 kap. som reglerar ändamålet med behandlingen. 
För tydlighetens skull föreslår förvaltningsutskottet dessutom att bestämmelserna om dels uppgifter om hur informationskällan har använts och om tillsynen, dels det huvudsakliga innehållet i de uppgifter som informationskällan lämnat spjälkas upp på 1 och 2 punkterna, varvid denna paragraf får samma utformning som andra bestämmelser i 2 kap. 
14 (12) §. Innehållet i personuppgifter som behandlas inom militärrättsvården.
Med hänvisning till det som sägs ovan i anknytning till förslaget till ny 4 § föreslår utskottet att omnämnandet av behövlighetskriteriet i 1 mom. 1 och 2 punkten stryks. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. Utskottet föreslår också att paragrafhänvisningarna justeras till följd av den ändrade paragrafnumreringen. 
Med hänvisning till det som sägs i samband med 7 (5) § föreslår förvaltningsutskottet utifrån grundlagsutskottets utlåtande att bestämmelserna i 3 punkten preciseras så att innehållet i säkerhetsuppgifterna, på samma sätt som i den gällande lagen, anges i en uttömmande förteckning, varvid det blir omöjligt att behandla andra känsliga uppgifter med stöd av det lagrummet än de som uttryckligen nämns. 
15 (13) §. Behandling av personuppgifter i Gränsbevakningsväsendets övriga lagstadgade uppgifter
Med hänvisning till det som sägs ovan i anknytning till förslaget till ny 4 § föreslår utskottet att omnämnandet av behövlighetskriteriet i 2 mom. 1 och 2 punkten stryks. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. Dessutom måste paragrafhänvisningarna i det inledande stycket till 2 mom. ses över på grund av den ändrade numreringen. 
Med hänvisning till det som sägs i samband med 7 (5) § föreslår förvaltningsutskottet utifrån grundlagsutskottets utlåtande att bestämmelserna i 2 mom. 4 punkten preciseras så att innehållet i säkerhetsuppgifterna, på samma sätt som i den gällande lagen, anges i en uttömmande förteckning, varvid det blir omöjligt att behandla andra känsliga uppgifter med stöd av den bestämmelsen än de som uttryckligen nämns. 
16 (14) §. Behandling av personuppgifter för andra ändamål än det ursprungliga.
I enlighet med det som sägs i utskottets allmänna överväganden föreslås det att 1 mom. 2 punkten får formuleringen ”2) att utreda brott för vilka det strängaste straffet enligt lag är fängelse,”. Bestämmelsen motsvarar till sitt innehåll motsvarande bestämmelse i 10 (8) § 2 mom. 1 punkten i lagförslaget. 
Under utfrågningen av sakkunniga uppmärksammades förvaltningsutskottet på att personuppgifter som avses i lagens 2 kap. enligt den föreslagna paragrafen får användas bland annat för att förebygga eller avslöja brott eller för att utreda brott på vilka det kan följa fängelsestraff. Det ansågs vara fråga om en betydande utvidgning jämfört med den gällande lagen som endast tillåter behandling av uppgifter för att avvärja eller utreda brott på vilka det kan följa fängelsestraff. Enligt förslaget får uppgifter likaså användas för inriktning av gränsbevakningsväsendets verksamhet. De föreslagna bestämmelserna om sekundär användning av uppgifter har ansetts så till den grad vaga att skillnaden mellan det ursprungliga ändamålet och andra ändamål blir otydligt. Följden blir att öppenheten och förutsägbarheten vid behandling av personuppgifter försämras för även om bestämmelserna om de ursprungliga ändamålen begränsar behandlingen på ett tydligt sätt får uppgifterna enligt 16 (14) och 17 (15) § också behandlas för andra ändamål. Det har också påpekats att det samtidigt i viss mån sker en avvikelse från indelningen i administrativa respektive brottsförebyggande behandlingsändamål. Det här betyder att en personuppgift som någon lämnat i ett administrativt ärende också skulle kunna behandlas i en brottsförebyggande åtgärd. 
Förvaltningsutskottet konstaterar att de föreslagna bestämmelserna om behandling av uppgifter för förhindrande också av andra brott än sådana där påföljden kan vara fängelse och för inriktning av Gränsbevakningsväsendets verksamhet till sitt innehåll motsvarar 48 § 4 och 5 mom. i lagen om brottsbekämpning inom Gränsbevakningsväsendet och 10 kap. 56 § 4 och 5 mom. i tvångsmedelslagen om behandling av överskottsinformation som erhållits med hemliga metoder för inhämtande av information och hemliga tvångsmedel. Överskottsinformation får enligt de nämnda lagarna alltid användas för förhindrande av brott och inriktning av Gränsbevakningsväsendets verksamhet (tvångsmedelslagen, 806/2011) eller för förhindrande av brott som det ankommer på Gränsbevakningsväsendet att undersöka och för inriktning av Gränsbevakningsväsendets brottsbekämpningsverksamhet (lagen om brottsbekämpning inom Gränsbevakningsväsendet, 108/2018). Överskottsinformation får också användas för en utredning till stöd för att någon är oskyldig samt för att förhindra betydande fara för någons liv, hälsa eller frihet eller betydande miljö-, egendoms- eller förmögenhetsskada. 
Med förhindrande av brott avses enligt definitionen i 2 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet endast åtgärder som syftar till att förhindra brott, försök till brott och förberedelse till brott, när det utifrån iakttagelser av en persons verksamhet eller utifrån annan information om en persons verksamhet finns grundad anledning att anta att personen i fråga kommer att göra sig skyldig till brott, samt åtgärder som syftar till att avbryta ett redan påbörjat brott eller begränsa den direkta skada eller fara som brottet medför. Med användningen av uppgifter för inriktning av Gränsbevakningsväsendets verksamhet avses indirekt användning av uppgifterna, så att de inte används som bevis eller som grund för användning av en metod för inhämtande av information. 
Förvaltningsutskottet konstaterar att gällande 25 § i Gränsbevakningsväsendets personuppgiftslag tillåter användning av information som insamlats för tillståndsärenden inom Gränsbevakningsväsendet används för att förebygga brott. Förvaltningsutskottet anser att också den nya allmänna lagstiftningen om dataskydd har acceptans för att använda information i anknytning till Gränsbevakningsväsendets tillstånds- och övervakningsärenden ärenden för andra ändamål än de ursprungliga. 
I artikel 5.1 b i dataskyddsförordningen föreskrivs om ändamålsbegränsning när det gäller personuppgifter. Behandling av personuppgifter för andra ändamål än det för vilka de samlats in kan enligt artikel 6.4 i dataskyddsförordningen grunda sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1. Enligt skäl 50 i förordningens ingress ska den personuppgiftsansvarige i sådana fall ha rätt att behandla uppgifterna i ett senare skede oberoende av sambanden mellan ändamålen. Under alla omständigheter ska man dock försäkra sig om att de principer dataskyddsförordningens principer följs och att den registrerade informeras om dessa andra ändamål och om sina rättigheter. 
Till den del ovan avsedda uppgifter i anknytning till tillstånds- och övervakningsärenden används för brottsförebyggande syften är det fråga om en sådan på medlemsstatens nationella rätt baserad behandling som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1. Med avseende på de behandlingsmål som nämns i 16 § bör särskild vikt fästas i synnerhet vid artikel 23.1 a om nationell säkerhet, 23.1 c om den allmänna säkerheten och 23.1 d om förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten. Enligt utskottets uppfattning uppfyller förslaget också kraven på innehållet i lagstiftningsåtgärder enligt artikel 23.2. 
Förvaltningsutskottet understryker vidare att behandling av uppgifter som hör till särskilda kategorier av personuppgifter för de ändamål som nämns i 16 § är begränsat enligt den föreslagna nya 4 § uteslutande till situationer där det är nödvändigt med avseende på ändamålet. 
Den allmänna författning som ska tillämpas vid behandling av personuppgifter för ett annat ändamål än det ursprungliga bestäms utifrån för vilket ändamål som avviker från det ursprungliga ändamålet med behandlingen av personuppgifter man har för avsikt att behandla personuppgifterna. Behandling av personuppgifter för andra ändamål än det ursprungliga omfattas av tillämpningsområdet för dataskyddsdirektivets genomförandelagstiftning när det är fråga om behandling av uppgifter för de ändamål som föreskrivs i 1 § i dataskyddslagen avseende brottmål. På behandling av uppgifter för exempelvis att förebygga brott ska dataskyddslagen avseende brottmål tillämpas. 
Förvaltningsutskottet konstaterar emellertid att det finns ett fel i det föreslagna inledande stycket till 14 § 1 mom. Enligt propositionen gäller bestämmelserna om behandling av personuppgifter för annat ändamål än det ursprungliga sådana uppgifter som avses i lagens 5—7 och 11—13 §. Enligt utredning till utskottet har avsikten dock varit att på samma sätt som i 25 § i den gällande lagen och i den föreslagna 13 § i polisens personuppgiftslag (RP 242/2018 rd) för att förebygga eller avslöja brott tillåta behandling av personuppgifter för andra ändamål än de som nämns i paragrafen om det är behövligt med tanke på det aktuella ändamålet. Enligt 36 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet är behandling av uppgifter om informationskällor möjligt endast för skötseln av uppgifter som gäller förhindrande och utredning av brott som Gränsbevakningsväsendet enligt lag ska sköta och således innefattas inte den typ av uppgifter som avses i 12 (10) § i bestämmelsen. Med beaktande av de nya paragrafer som utskottet har föreslagit ska det i det inledande stycket finnas hänvisningar till 7—11 ja 13—15 §. 
Enligt paragrafens 2 mom. får uppgifter i Gränsbevakningsväsendets personregister trots sekretessbestämmelserna behandlas även för laglighetsövervakning, analys, planering och utveckling. Uppgifter får också användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. För tydlighetens skull konstaterar förvaltningsutskottet i fråga om sådan strategisk analys som omtalas i momentet att användningen av uppgifter i detta syfte inte märkbart avviker från sådan planering och utveckling för vilka Gränsbevakningsväsendet med stöd av 25 § i den gällande Gränsbevakningsväsendets personuppgiftslag kan behandla personuppgifter som ursprungligen insamlats för brottmål eller för tillstånds- och övervakningsärenden. Olika typer av omvärldsöversikter, rapporter om brottsfenomen samt utvärderingar av brottsbekämpningsåtgärders genomslag kan hänföras till begreppet strategisk analys. Avsikten är att skapa en sammantagen situationsbild, granska trender och hotbilder och göra riskbedömningar. Strategisk analys tar inte sikte på att avvärja eller utreda ett enskilt brott utan till att få fram en lägesbild av brottsligheten. 
Till följd av den föreslagna nya 4 § föreslår utskottet dessutom att omnämnandet av uppgifternas behövlighet ska utgå ur det inledande stycket i 1 mom. och att hela 3 mom. om behandling av uppgifter som hör till särskilda kategorier av personuppgifter stryks. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. 
17 (15) §. Behandling av personuppgifter vid tillståndsprövning.
Enligt propositionen får Gränsbevakningsväsendet behandla personuppgifter som avses i 5—13 § vid tillståndsprövning. Enligt detaljmotiven får Gränsbevakningsväsendet dock behandla uppgifter som avses i 5—7 och 11—13 §. Enligt utredning finns det ett fel i paragrafformuleringen och i detaljmotiven. Avsikten med den föreslagna bestämmelsen har varit att på samma sätt som i den gällande lagen möjliggöra användning av alla andra personuppgifter vid tillståndsprövning utom personuppgifter som behandlas för förebyggande och avslöjande av brott eller uppgifter om informationskällor. 
Förvaltningsutskottet föreslår att paragrafens omformuleras så att den motsvarar den avsedda. På grund av de nya paragrafer som utskottet har föreslagit bör bestämmelsen hänvisa till personuppgifter som avses i 7—9 och 13—15 §. Det är inte möjligt att behandla uppgifter om informationskällor i samband med tillståndsärenden eftersom 36 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet begränsar behandling av informationskällor endast till förhindrande och utredning av brott som Gränsbevakningsväsendet enligt lag ska undersöka i det syftet. 
Till följd av den föreslagna nya 4 § föreslår utskottet att behövlighetskriteriet utgår ur paragrafen. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Behandling av de uppgifter som hör till särskilda kategorier av personuppgifter ska enligt förslaget till ny 4 § vara tillåten endast om det är nödvändigt med hänsyn till ändamålet med behandlingen. 
I paragrafen intas bestämmelser om behandling av personuppgifter för andra ändamål än de ursprungliga vid tillståndsprövning. Utskottet föreslår att paragrafrubriken preciseras för att bättre motsvara innehållet. 
18 (16) §. Personuppgiftsansvarig.
Enligt paragrafen är staben för Gränsbevakningsväsendet personuppgiftsansvarig för de personuppgifter som avses i denna lag. Enligt utredning är avsikten inte att ändra det nuvarande förfarandet där Gränsbevakningsväsendet registrerar om signalement och efterlysningar samt säkerhetsinformation i polisens register. När den registerbaserade regleringen frångås måste det föreskrivas om Gränsbevakningsväsendets rätt att temporärt behandla den informationen innan de överförs mera permanent till polisen för lagring. Exempelvis polisen och Tullen registrerar gränsbevakningsinformation i Gränsbevakningsväsendets register trots att myndigheternas egna personuppgiftslagar tillåter att sådan information också lagras i polisens och Tullens egna register. 
19 (17) §. Rätt att få uppgifter av en myndighet.
Enligt propositionens förslag till paragraf har Gränsbevakningsväsendet rätt att trots sekretessen av en myndighet och av en sådan sammanslutning eller person som tillsatts för att handha ett offentligt uppdrag få de uppgifter och handlingar som behövs för utförande av ett tjänsteuppdrag, om inte lämnandet av uppgiften eller handlingen till Gränsbevakningsväsendet eller användningen av uppgiften såsom bevis har förbjudits eller begränsats i lag. 
Utskottet hänvisar till sina allmänna överväganden och föreslår att behövlighetskriteriet utgår ur paragrafen. Samtidigt måste bestämmelsen omformuleras. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. 
20 (18) §. Rätt att få uppgifter av privata sammanslutningar och personer
Utskottet hänvisar till sina allmänna överväganden och föreslår att behövlighetskriteriet utgår ur paragrafen. Samtidigt måste bestämmelsen omformuleras. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. 
Dessutom måste hänvisningen i 3 mom. ses över på grund av den ändrade paragrafnumreringen. 
21 (19) §. Vite.
Utskottet föreslår att paragrafhänvisningen justeras till följd av den ändrade paragrafnumreringen. 
22 (20) §. Rätt att få uppgifter ur vissa register och datasystem
Utskottet hänvisar till sina allmänna överväganden och föreslår att behövlighetskriteriet utgår ur paragrafen. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. Därmed måste formuleringen i 3 punkten också preciseras. 
Utskottet föreslår för konsekvensens skull att den föreslagna 9 punkten kompletteras med en likadan informativ hänvisning till lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet (RP 55/2018 rd) som föreslås i polisens personuppgiftslag (RP 242/2018 rd). 
24 (22) §. Uppgifter om personer i fordon som passerar den yttre gränsen
Utskottet föreslår att omnämnandet av uppgifternas behövlighet stryks i 1 mom. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. 
Utskottet föreslår att hänvisningarna i 2 mom. ses över på grund av den ändrade paragrafnumreringen. 
25 (23) §. Uppgifter om passagerare inom flygtrafiken 26 (24) §. Uppgifter om passagerare och besättning i fartygs- och tågtrafik 27 (25) §. Behandling av uppgifter om passagerare och besättning 28 (26) §. Påföljder.
Utskottet föreslår att paragrafhänvisningarna justeras till följd av den ändrade paragrafnumreringen. 
29 (27) §. Lämnande av uppgifter till Gränsbevakningsväsendet
Enligt 1 mom. har Gränsbevakningsväsendet rätt att få de uppgifter som avses i detta kapitel avgiftsfritt, om inte något annat föreskrivs i lag. Enligt överenskommelse med den personuppgiftsansvarige har Gränsbevakningsväsendet rätt att få uppgifterna också genom en teknisk anslutning eller som en datamängd. Med överenskommelse avses de praktiska förfaranden som krävs för att öppna en teknisk anslutning till en annan myndighets personregister. Grundlagsutskottet anser att bestämmelsen måste preciseras i överensstämmelse med det som sägs i motiveringen. 
Därför föreslår förvaltningsutskottet att 1 mom. preciseras och får lydelsen ”Enligt överenskommelse med den personuppgiftsansvarige om tillvägagångssätten”. 
31 (29) §. Behandling av uppgifter som erhållits i internationellt samarbete
Utskottet föreslår att hänvisningen i 2 mom. ses över på grund av den ändrade paragrafnumreringen. 
32 (30) §. Utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål.
Paragrafen avses innehålla bestämmelser om Gränsbevakningsväsendets rätt att trots sekretessbestämmelserna genom teknisk anslutning eller som en datamängd lämna ut i paragrafen avsedda personuppgifter till de myndigheter som där räknas upp för lagstadgade uppgifter myndigheterna har enligt 1 § i dataskyddslagen avseende brottmål. 
Utskottet hänvisar till grundlagsutskottets utlåtande och sina allmänna överväganden, där det slås fast att utlämnande och mottagande av personuppgifter ska anses vara behandling av sådana uppgifter. Förvaltningsutskottet poängterar att behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om ett krav på nödvändighet vid behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. Utskottet understryker att enligt förslaget till 32 § kan uppgifter lämnas ut bara för utförande av sådana lagstadgade myndighetsuppgifter som avses i 1 § dataskyddslagen avseende brottmål. 
Samtidigt bör uttrycket ”andra myndigheter” i paragraftexten preciseras i överensstämmelse med paragrafrubriken, menar utskottet. I 3 § 1 mom. 5 punkten i dataskyddslagen avseende brottmål definieras begreppet behörig myndighet. Enligt motiven avses med behöriga myndigheter exempelvis polis- och tullmyndigheterna, Gränsbevakningsväsendet, de allmänna domstolarna, åklagarväsendet, rättsregistercentralen och Brottspåföljdsmyndigheten. Också en i lagen om Forststyrelsens jakt- och fiskeövervakning (1157/2005) avsedd jakt- och fiskeövervakare är en sådan behörig myndighet som avses i lagrummet, för övervakaren gör i vissa situationer summarisk förundersökning i brottmål. Även exempelvis riksdagens justitieombudsman och justitiekanslern är sådana behöriga myndigheter som avses i sammanhanget eftersom de under vissa omständigheter har åtalsrätt. Däremot är exempelvis en i lagen om verkställighet av samhällspåföljder (400/2015) avsedd socialarbetare som utsetts att i egenskap av biträdande övervakare bistå en tjänsteman som svarar för verkställigheten av en enskild samhällspåföljd inte en sådan behörig myndighet som avses i lagrummet. I lagrummet utsträcks definitionen av behörig myndighet också till Försvarsmakten, polisen och Gränsbevakningsväsendet när de sköter uppgifter som avses i § 2 mom. i dataskyddslagen avseende brottmål. 
Utskottet föreslår dessutom att paragrafhänvisningarna justeras till följd av den ändrade paragrafnumreringen. 
33 (31) §. Övrigt utlämnande av personuppgifter till myndigheter
Utskottet hänvisar till sina allmänna överväganden och föreslår att behövlighetskriteriet utgår ur det inledande stycket i 1 mom. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. Utskottet föreslår också att paragrafhänvisningarna justeras till följd av den ändrade paragrafnumreringen. 
Utskottet konstaterar att 1 mom. 8 punkten enligt inkommen utredning behöver kompletteras. Utöver de lagfästa skyldigheter att behandla och avgöra ärenden som nämns i lagrummet dessutom ett tillsynsuppdrag enligt 212 § i utlänningslagen. För detta ändamål bör det vara möjligt att till Migrationsverket utlämna exempelvis uppgifter om efterlysta personer. De uppgifter som behövs för tillsynen hör till tillämpningsområdet för Gränsbevakningsväsendets personuppgiftslag och inte till exempel till området för förslaget till lag om behandling av personuppgifter i migrationsförvaltningen (RP 224/2018 rd) och formuleringen i 8 punkten omfattar inte behandling av uppgifter för tillsyn. Utskottet föreslår därför att punkten kompletteras med en bestämmelse om att lämna ut uppgifter till Migrationsverket för föreskrivna tillsynsuppgifter. 
Dessutom föreslår utskottet att uttrycket ”uppehållstillstånd för näringsidkare” I paragrafens 1 mom. 9 och 10 punkterna ändras till ”uppehållstillstånd för företagare”. Utlänningslagen ändrades genom lag 121/2018 och då gjordes motsvarande ändring. Utskottet har dessutom uppmärksammats på att 10 punkten bör förenklas. 
På grund av förslaget till ny 4 § föreslår utskottet att 3 mom. stryks. 
35 (33) §. Utlämnande av personuppgifter till brottsbekämpande myndigheter i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet.
Utskottet föreslår att omnämnande av behövlighet stryks i den första meningen i 2 mom., liksom hela den sista meningen om nödvändighetskriteriet för behandling av personuppgifter som hör till särskilda kategorier av uppgifter. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. Utskottet föreslår också att paragrafhänvisningarna justeras till följd av den ändrade paragrafnumreringen. 
36 (34) §. Utlämnande av personuppgifter inom Europeiska unionens gränskontrollsamarbete. 38 (36) §. Annan utlämning av uppgifter till utlandet. 40 (38) §. Radering av personuppgifter som behandlas vid gränskontroll samt för upprätthållande av gränssäkerheten och gränsordningen.
Utskottet föreslår att paragrafhänvisningarna justeras till följd av den ändrade paragrafnumreringen. 
41 (39) §. Radering av uppgifter om passagerare inom flygtrafiken.
Utskottet föreslår att paragrafhänvisningarna justeras till följd av den ändrade paragrafnumreringen. Dessutom behövs inte författningsnumret eftersom lagen nämns redan tidigare. 
42 (40) §. Radering av personuppgifter som anknyter till brottmål.
Utskottet föreslår att ordet ”behövliga” ersätts med ”som behandlas” i 4 mom. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. 
43 (41) §. Radering av andra personuppgifter som behandlas för utredning av brott och av personuppgifter som behandlas för upprätthållande av allmän ordning och säkerhet. 44 (42) §. Radering av personuppgifter som behandlas för förbyggande och avslöjande av brott. 46 (44) §. Radering av personuppgifter som behandlas inom militärrättsvården. 47 (45) §. Radering av andra personuppgifter.
Utskottet föreslår att paragrafhänvisningarna justeras till följd av den ändrade paragrafnumreringen. 
51 (49) §. Inskränkningar i rätten till insyn.
Bestämmelser om inskränkningar i den registrerades rätt till insyn i enskilda fall finns i 24 och 28 § i dataskyddslagen avseende i brottmål. I den föreslagna 51 § kompletteras dessa bestämmelser med bestämmelser om allmänna undantag som gäller Gränsbevakningsväsendets behandling av personuppgifter och rätten till insyn för en registrerad i enlighet med 23 § i dataskyddslagen avseende brottmål. Om den registrerade inte har omedelbar rätt till insyn har denne dock rätt att be dataombudsmannen granska lagligheten i behandlingen av personuppgifterna. 
Enligt förslaget till 1 mom. 1 punkten i propositionen gäller rätten till insyn inte personuppgifter som avses i 6 § 3 mom. och 8 § 6 mom., i fråga om vilka Gränsbevakningsväsendet först i det skedet gör en bedömning av deras behövlighet. Förvaltningsutskottet har ovan med anledning av grundlagsutskottets utlåtande föreslagit att bestämmelserna om bedömning av uppgifternas betydelse stryks och att det i stället intas bestämmelser motsvarande 5 kap. 55 § i polislagen om skyldighet att utplåna uppgifter. Förvaltningsutskottet anser att denna skyldighet inte kräver någon begränsning av insynsrätten och utskottet föreslår därför att hänvisningarna i 1 punkten stryks. 
Utskottet föreslår också att paragrafhänvisningarna i 1 mom. 2 punkten och 2 mom. ses över på grund av den ändrade paragrafnumreringen. 
54 §. Straffbestämmelse. (Ny)
I lagförslaget ingår ingen hänvisning till bestämmelsen om dataskyddsbrott i 38 kap. 9 § i strafflagen. Straffbart enligt 1 mom. 4 punkten i bestämmelsen om dataskyddsbrott är i den närmare specificerad verksamhet i strid med någon annan lag som gäller behandling av personuppgifter. Också bestämmelsens 2 mom. gäller verksamhet i strid med någon annan lag om behandling av personuppgifter. Grundlagsutskottets uppfattning är att lagen om behandling av personuppgifter vid Gränsbevakningsväsendet är en sådan "annan lag som gäller behandling av personuppgifter" som avses i 38 kap. 9 § 1 mom. 4 punkten i strafflagen. Lagförslaget måste kompletteras med en hänvisning till bestämmelsen om dataskyddsbrott i strafflagen. 
Förvaltningsutskottet föreslår med hänvisning till grundlagsutskottets utlåtande att till lagen fogas en ny 54 § med en straffbestämmelse som har en hänvisning till strafflagens 38 kap. 9 § om dataskyddsbrott. Som en följd därav ändras numreringen av de efterföljande paragraferna. 
55 (52) §. Ikraftträdande.
Utskottet föreslår att hänvisningarna i 3 mom. ses över på grund av den ändrade paragrafnumreringen. 
2.
Lag om ändring av sjöräddningslagen
14 §. Rätt att få uppgifter av myndigheter samt av leverantörer av fartygstrafikservicetjänster och flygtrafikledningstjänster.
Utskottet hänvisar till sina allmänna överväganden och föreslår att behövlighetskriteriet utgår ur 1 och 2 mom. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. Därmed måste formuleringen i 1 mom. och i 2 mom. 6 punkten också preciseras. 
Utskottet föreslår att hänvisningarna i 3 mom. ses över på grund av den ändrade paragrafnumreringen i lagförslag 1. 
17 §. Hur uppgifter lämnas.
Grundlagsutskottet har konstaterat 27 § i lagförslag 1 om rätt att få personuppgifter genom en teknisk anslutning måste preciseras i fråga om innebörden i ordet ”överenskommelse”. Eftersom paragrafnumreringen ändras gäller hänvisningen i stället 29 § i lagförslag 1. 
Förvaltningsutskottet anser att 17 § i lagförslag 2 behöver ändras på motsvarande sätt som 29 § i lagförslag 1 eftersom man med överenskommelse också i detta sammanhang avser de tillvägagångssätt som krävs för att öppna en teknisk anslutning till en annan myndighets personregister. Utskottet föreslår således att paragrafen kompletteras med ett omnämnande av tillvägagångssätten.  
20 §. Bestämmelser om behandlingen av personuppgifter i sjöräddningsregistret och om uppgifternas offentlighet.
Grundlagsutskottet anser att det finns skäl för förvaltningsutskottet att dryfta om den förslagna materiella hänvisningsbestämmelsen i 1 mom. behövs, med hänsyn till 2 § 1 mom. i dataskyddslagen, samt vid behov omformulera bestämmelsen i en informativ riktning för att undvika kontradiktoriska slutsatser. Enligt utskottet är det emellertid väsentligt att tillämpningsområdet för de centrala principerna vid behandling av personuppgifter därmed förefaller bli heltäckande. 
Förvaltningsutskottet konstaterar att den materiella hänvisningen till dataskyddsförordningen och dataskyddslagen på de grunder som nämns i utskottets allmänna överväganden är överflödig. Däremot bör det för tydlighetens skull finnas en informativ hänvisning i lagen och utskottet föreslår därför att bestämmelsen omformuleras till en informativ hänvisning till dataskyddslagen. 
Ingressen.
Utskottet har kompletterat ingressen med ett författningsnummer. 
4.
Lag om ändring av gränsbevakningslagen
Ingressen.
Grundlagsutskottet har i sitt utlåtande om Tullens personuppgiftslag (GrUU 60/2018 rd) tagit ställning till automatisk behandling av ansiktsbilder som fåtts genom teknisk övervakning. Utskottet anser att den föreslagna bestämmelsen är för vag och att propositionen ger en oklar bild av vilket slag av personuppgiftsbehandling som den föreslagna automatiska ansiktsidentifieringen egentligen omfattar. 
I lagförslag 4 föreslås det att 31 § i lagen om gränsbevakningsväsendet upphävs. Enligt den paragrafen har Gränsbevakningsväsendet rätt att på ett gränsövergångsställe använda bild- och ljudupptagningar som skapas vid teknisk övervakning för automatisk identifiering av personer som enligt efterlysning som har utfärdats av en behörig myndighet ska delges stämning, gripas, anhållas, tas i förvar, häktas eller tas under observation av myndigheterna. Enligt propositionen föreskrivs det i 5 och 14 § i lagförslag 1 om behandling av uppgifter som fåtts genom teknisk övervakning. Men de bestämmelserna innehåller inte något uttryckligt stadgande om exempelvis automatisk ansiktsidentifiering. Till följd av grundlagsutskottets ståndpunkt föreslår förvaltningsutskottet att 31 § i gränsbevakningsväsendet inte upphävs utan kvarstår i sin nuvarande form. 
Enligt utredning till förvaltningsutskottet ska inrikesministeriet göra en förstudie av hur regleringen av teknisk övervakning ska utvecklas. Utskottet anser att det är mest ändamålsenligt att i samband med den studien göra en sammantagen bedömning av regleringen av teknisk övervakning vid Gränsbevakningsväsendet för att eventuellt föreslå ändringar i den. 
5.
Lag om ändring av lagen om brottsbekämpning inom Gränsbevakningsväsendet
49 §. Utplåning av information.
Utskottet föreslår att 2 mom. preciseras i enlighet med den lydelse som i lagförslag 12 i propositionen föreslås för 10 kap. 57 § i tvångsmedelslagen. 
6.
Lag om ändring av utlänningslagen
Utskottet föreslår att de paragrafhänvisningar som ingår i lagförslaget ändras så att de överensstämmer med lagförslag 1. 
7.
Lagen om ändring av 11 kap. 8 § i förundersökningslagen
Utskottet föreslår att den paragrafhänvisning som ingår i den föreslagna paragrafen ändras så att den överensstämmer med lagförslag 1. 
8.
Lag om ändring av 10 § i lagen om genomförande av vissa bestämmelser i beslutet om Eurojust
Också i andra propositioner som gäller behandling av personuppgifter och som förvaltningsutskottet behandlar har det föreslagits att paragrafen ska ändras. Avsikten är att regleringen ska beaktas i samband med proposition RP 242/2018 rd och utskottet föreslår därför att lagförslag 8 förkastas. 
9.
Lag om ändring av lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet
Också i andra propositioner som gäller behandling av personuppgifter och som förvaltningsutskottet behandlar har det föreslagits att paragrafen ska ändras. Avsikten är att regleringen ska beaktas i samband med proposition RP 242/2018 rd och utskottet föreslår därför att lagförslag 9 förkastas. 
10.
Lag om ändring av 12 § i lagen om Enheten för utredning av grå ekonomi
Också i andra propositioner som gäller behandling av personuppgifter och som förvaltningsutskottet behandlar har det föreslagits att paragrafen ska ändras. Avsikten är att regleringen ska beaktas i samband med proposition RP 259/2018 rd och utskottet föreslår därför att lagförslag 10 förkastas. 
11.
Lag om ändring av 19 och 20 § i lagen om försvarsmakten
Utskottet föreslår att de paragrafhänvisningar som ingår i lagförslaget ändras så att de överensstämmer med lagförslag 1. 
12.
Lag om ändring av 10 kap. 57 § i tvångsmedelslagen
Också i andra propositioner som gäller behandling av personuppgifter och som förvaltningsutskottet behandlar har det föreslagits att paragrafen ska ändras. Avsikten är att regleringen ska beaktas i samband med proposition RP 242/2018 rd och utskottet föreslår därför att lagförslag 12 förkastas. 
13.
Lagen om ändring av 2 kap. 21 § i polislagen
Ingressen.
Utskottet föreslår att ingressen kompletteras med en hänvisning till lag 13/2019, där 2 kap. 21 § 1 mom. i polislagen ändrades. 
14.
Lag om ändring av 322 § i lagen om tjänster inom elektronisk kommunikation
Också i andra propositioner som gäller behandling av personuppgifter och som förvaltningsutskottet behandlar har det föreslagits att paragrafen ska ändras. Avsikten är att regleringen ska beaktas i samband med proposition RP 259/2018 rd och utskottet föreslår därför att lagförslag 14 förkastas. 
16.
Lagen om ändring av 25 § i lagen om skatteuppbörd
Utskottet föreslår att den paragrafhänvisning som ingår i den föreslagna paragrafen ändras så att den överensstämmer med lagförslag 1. 
FÖRSLAG TILL BESLUT
Förvaltningsutskottets förslag till beslut:
Riksdagen godkänner lagförslag 3 och 15 i proposition RP 241/2018 rd utan ändringar. 
Riksdagen godkänner lagförslag 1, 2, 4—7, 11, 13, 16 i proposition RP 241/2018 rd med ändringar.(Utskottets ändringsförslag) 
Riksdagen förkastar lagförslag 8—10, 12 och 14 i proposition RP 241/2018 rd. 
Utskottets ändringsförslag
1. 
Lag 
om behandling av personuppgifter vid Gränsbevakningsväsendet 
I enlighet med riksdagens beslut föreskrivs: 
1 kap. 
Allmänna bestämmelser 
1 § 
Tillämpningsområde 
Denna lag tillämpas, om inte annat föreskrivs någon annanstans i lag, på behandlingen av personuppgifter vid skötseln av de uppgifter som Gränsbevakningsväsendet har enligt lag, om 
1) behandlingen är helt eller delvis automatisk, eller 
2) personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. 
Utöver vad som föreskrivs någon annanstans i lag, innehåller denna lag också bestämmelser om Gränsbevakningsväsendets rätt att få uppgifter av myndigheter och av privata sammanslutningar och personer. 
2 § 
Förhållande till annan lagstiftning 
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och i dataskyddslagen (1050/2018). 
Om inte något annat föreskrivs i denna lag 
1) tillämpas på behandlingen av personuppgifter i syfte att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning, samt för att skydda mot eller förebygga hot mot den allmänna säkerheten, skydda den nationella säkerheten samt inom militärrättsvården lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018), nedan dataskyddslagen avseende brottmål, 
2) tillämpas på rätten till information och annat utlämnande av personuppgifter ur myndigheternas personregister vad som föreskrivs om offentlighet i myndigheternas verksamhet. 
3 § (Ny) 
Principer för behandlingen av personuppgifter samt förbud mot diskriminering 
Vid behandlingen av personuppgifter ska bestämmelserna i 2 kap. i gränsbevakningslagen (578/2005) om proportionalitetsprincipen, principen om minsta olägenhet, principen om ändamålsbundenhet och respekt för de grundläggande fri- och rättigheterna och de mänskliga rättigheterna iakttas. 
Behandlingen av personuppgifter får inte utan godtagbart skäl grunda sig på en persons ålder, kön, ursprung, nationalitet, bosättningsort, språk, religion, övertygelse, åsikt, politiska verksamhet, fackföreningsverksamhet, familjeförhållanden, hälsotillstånd, funktionsnedsättning, sexuella läggning eller någon annan orsak som gäller hans eller hennes person. 
4 § (Ny) 
Behandling av uppgifter som hör till särskilda kategorier av personuppgifter 
Gränsbevakningsväsendet får behandla uppgifter som hör till särskilda kategorier av uppgifter endast om behandlingen är nödvändig med hänsyn till ändamålet med behandlingen. 
5 (3) § 
Definitioner 
I denna lag avses med 
1) upprätthållande av gränssäkerheten åtgärder som vidtas i Finland och utomlands för att förhindra brott mot bestämmelserna om passerande av riksgränsen och den yttre gränsen, 
2) upprätthållande av gränsordningen verkställighet av bestämmelser som gäller riksgränsen och gränsövergångsställen samt av bestämmelser och föreskrifter som gäller internationellt samarbete mellan gränsmyndigheter samt tillsyn över att de iakttas, 
3) kodexen om Schengengränserna Europaparlamentets och rådets förordning (EG) nr 2016/399 om en unionskodex om gränspassage för personer (kodex om Schengengränserna), 
4) författningsgrunden för Schengens informationssystem Europaparlamentets och rådets förordning (EG) nr 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), rådets beslut 2007/533/RIF om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) samt Europaparlamentets och rådets förordning (EG) nr 1986/2006 om tillträde till andra generationen av Schengens informationssystem (SIS II) för de enheter i medlemsstaterna som ansvarar för att utfärda registreringsbevis för fordon, 
5) Europolförordningen Europaparlamentets och rådets förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF. 
2 kap. 
Behandling av personuppgifter 
6 (4) § 
Behandling av grundläggande personuppgifter 
Gränsbevakningsväsendet får för de ändamål som anges i 7, 8, 10, 12, 13 och 15 § behandla följande behövliga grundläggande personuppgifter: 
1) namn, 
2) personbeteckning, 
3) kön, 
4) födelsedatum och födelseort, 
5) medborgarskap eller avsaknad av medborgarskap samt nationalitet, 
6) modersmål, 
7) kontaktspråk, 
8) civilstånd, 
9) hemvist och bostadsort, 
10) yrke och utbildning, 
11) uppgifter om värnplikt och militärtjänst, 
12) militär utbildning och militär grad, 
12) kontaktuppgifter, 
13) uppgifter ur handlingar som behövs för att fastställa identiteten, 
14) klientnummer som en myndighet gett, 
15) uppgifterna i ett resedokument samt övrig behövlig information som gäller passerande av gräns, 
16) i fråga om en utländsk person föräldrarnas namn, medborgarskap och nationalitet samt kontaktuppgifter, 
17) uppgift om att personen avlidit eller förklarats död, 
18) uppgift om intressebevakning, försättande i konkurs eller meddelande om näringsförbud. 
7 (5) § 
Behandling av personuppgifter vid gränskontroll samt för upprätthållande av gränssäkerheten och gränsordningen 
Gränsbevakningsväsendet får behandla personuppgifter för utförande av gränskontroll i enlighet med kodexen om Schengengränserna, upprätthållande av gränssäkerheten och gränsordningen samt för utförande av sådana utredningar som avses i 27 § i gränsbevakningslagen (578/2005). 
Gränsbevakningsväsendet får i en uppgift som avses i 1 mom. utöver de grundläggande personuppgifter som avses i 6 § dessutom behandla följande personuppgifter: 
1) behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser, 
2) de uppgifter som avses i bilaga II till kodexen om Schengengränserna, 
3) upptagningar från sådan teknisk övervakning som avses i 29 § i gränsbevakningslagen, 
4) behövliga uppgifter om personers och fordons rörelser och position i närheten av gränsen samt om resande och besättning i persontrafik över gränserna, 
5) behövliga uppgifter för påförande av påföljdsavgift för transportör, 
6) behövliga uppgifter för behandling av ärenden som gäller i gränsbevakningslagen avsett gränszonstillstånd och tillstånd att passera gränsen, 
7) uppgifter om gränszonsanmälningar och andra anmälningar som gjorts till Gränsbevakningsväsendet, 
8) behövliga uppgifter om verksamheten för andra staters gränsbevakningsmyndigheter och deras sammansättning samt gränssituationen i Finland och Europeiska unionen, 
9) signalementsuppgifter som behövs för fastställande av identiteten, inklusive ansiktsbild, 
10) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård, om ett övervakningsobjekts eller en persons farlighet eller oberäknelighet samt uppgifter som beskriver eller är avsedda att beskriva en brottslig gärning, ett straff eller någon annan påföljd för brott. 
8 (6) § 
Behandling av personuppgifter för utredning av brott samt upprätthållande av allmän ordning och säkerhet 
Gränsbevakningsväsendet får behandla personuppgifter för utförandet av en uppgift som anknyter till utredning av brott eller till att föra brott till åtalsprövning samt för upprätthållande av allmän ordning och säkerhet. 
Dessutom krävs det att de i 1 mom. avsedda uppgifterna anknyter till personer som 
1) är misstänkta för brott eller för medverkan till brott, 
2) är under 15 år och misstänkta för en brottslig gärning, 
3) är föremål för förundersökning eller en åtgärd av Gränsbevakningsväsendet, 
4) har anmält ett brott eller uppträder som målsägande, 
5) är vittnen, 
6) är offer, 
7) på något annat sätt lämnat tilläggsuppgifter som har anknytning till ett ärende. 
De uppgifter som Gränsbevakningsväsendet har inhämtat för utförandet av sina uppgifter ska raderas utan dröjsmål efter att det blivit klart att de inte behövs för behandling enligt 1 mom. eller 16 § 1 mom. 
9 (7) § 
Innehållet i personuppgifter som behandlas för utredning av brott samt upprätthållande av allmän ordning och säkerhet 
Utöver de grundläggande personuppgifter som avses i 6 § får Gränsbevakningsväsendet i fråga om personer som avses i 8 § behandla följande personuppgifter: 
1) behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser, 
2) signalementsuppgifter som behövs för fastställande av identiteten, inklusive finger-, hand- och fotavtryck, handstils-, röst- och luktprov, DNA-profil, ansiktsbild och andra biometriska uppgifter, 
3) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård, om ett övervakningsobjekts eller en persons farlighet eller oberäknelighet samt uppgifter som beskriver eller är avsedda att beskriva en brottslig gärning, ett straff eller någon annan påföljd för brott, 
4) identifieringsuppgift om avgörande av åklagare eller domstol och uppgift om någon har dömts till straff, om det fattats beslut om åtalseftergift eller domseftergift, om ett åtal förkastats, lämnats utan prövning eller avskrivits samt uppgift om ett avgörandes laga kraft. 
10 (8) § 
Behandling av personuppgifter för förebyggande och avslöjande av brott 
Gränsbevakningsväsendet får behandla personuppgifter för utförandet av en uppgift i anknytning till förebyggande eller avslöjande av brott. 
Dessutom krävs det att de i 1 mom. avsedda uppgifterna anknyter till personer som 
1) med fog kan antas ha gjort sig eller göra sig skyldiga till brott för vilka lagens strängaste straff är fängelse, 
2) har kontakt med en i 1 punkten avsedd person eller påträffas i dennes sällskap, och kontakten eller sammanträffandena på grund av att de har upprepats, omständigheterna eller personens beteende kan antas ha samband med ett brott, eller 
3) är föremål för sådan observation i enlighet med 21 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018) eller någon annan åtgärd från Gränsbevakningsväsendets sida. 
Gränsbevakningsväsendet får behandla i 1 mom. avsedda uppgifter också om vittnen till brott, brottsoffer eller den som uppträder som målsägande samt om den som anmält ett brott eller någon annan iakttagelse, om detta är nödvändigt för att förebygga eller avslöja ett brott. 
Beslut om inledande av behandling av personuppgifter i anknytning till en brottsanalys som behövs för att förebygga eller avslöja brott fattas av den personuppgiftsansvarige eller av en annan förvaltningsenhet som den personuppgiftsansvarige har förordnat till uppgiften. 
Gränsbevakningsväsendet får dessutom behandla uppgifter om observationer som gjorts av gränsbevakningsmän eller uppgifter som anmälts till Gränsbevakningsväsendet i anslutning till händelser eller personer som utifrån omständigheterna eller en persons uppträdande med fog kan bedömas ha samband med brottslig verksamhet. 
De uppgifter som Gränsbevakningsväsendet har inhämtat för utförandet av sina uppgifter ska raderas utan dröjsmål efter att det blivit klart att de inte behövs för behandling enligt 1 mom. eller 16 § 1 mom. 
11 (9) § 
Innehållet i personuppgifter som behandlas för förbyggande eller avslöjande av brott 
Utöver de grundläggande personuppgifter som avses i 6 § får Gränsbevakningsväsendet i fråga om personer som avses i 10 § behandla följande personuppgifter: 
1) behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser, 
2) behövliga uppgifter som gäller en persons kontakter, livsstil och ekonomiska situation, hobbyer och andra intressen, 
3) signalementsuppgifter som behövs för fastställande av identiteten, inklusive röstprov, ansiktsbild och andra biometriska uppgifter, 
4) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård, om ett övervakningsobjekts eller en persons farlighet eller oberäknelighet samt uppgifter som beskriver eller är avsedda att beskriva en brottslig gärning, ett straff eller någon annan påföljd för brott. 
Till personuppgifterna ska det om möjligt fogas en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet. 
12 (10) § 
Behandling av uppgifter om informationskällor 
Gränsbevakningsväsendet får, utöver sådana grundläggande personuppgifter som avses i 6 § om en i 36 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet avsedd person, behandla 
1) uppgifter om hur informationskällan har använts och övervakats, 
2) det huvudsakliga innehållet i de uppgifter som informationskällan lämnat. 
Gränsbevakningsväsendet får, utöver sådana grundläggande personuppgifter som avses i 6 § om en i 36 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet avsedd person, behandla informationskälla, uppgifter om hur informationskällan har använts och om tillsynen samt uppgifter om det huvudsakliga innehållet i de uppgifter som informationskällan lämnat. 
13 (11) § 
Behandlingen av personuppgifter inom militärrättsvården 
Gränsbevakningsväsendet får behandla personuppgifter för utförande av uppgifter i anknytning till sådan förundersökning och sådant militärdisciplinförfarande som avses i 31 § 3 mom. i lagen om gränsbevakningsväsendets förvaltning (militärrättsvård). 
Dessutom krävs det att de i 1 mom. avsedda uppgifterna anknyter till den som är eller har varit föremål för förundersökning eller tvångsmedel eller som gjort anmälan eller varit vittne, målsägande eller annars har hörts. 
14 (12) § 
Innehållet i personuppgifter som behandlas inom militärrättsvården 
Utöver de grundläggande personuppgifter som avses i 6 § får Gränsbevakningsväsendet i fråga om personer som avses i 13 § behandla följande personuppgifter: 
1) behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser, 
2) signalementsuppgifter som behövs för fastställande av identiteten, inklusive röstprov och ansiktsbild, 
3) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård, om ett övervakningsobjekts eller en persons farlighet eller oberäknelighet samt uppgifter som beskriver eller är avsedda att beskriva en brottslig gärning, ett straff eller någon annan påföljd för brott, 
4) uppgifter om avgöranden som gäller disciplinära beslut samt ärenden som åklagare och domstolar har behandlat som ett militärt rättegångsärende samt uppgifter om delgivning av beslut och domar, om ändringssökande och om verkställande av påföljder, 
5) uppgifter om övervakning som gäller militärdisciplinförfarande. 
15 (13) § 
Behandling av personuppgifter i Gränsbevakningsväsendets övriga lagstadgade uppgifter 
Gränsbevakningsväsendet får behandla personuppgifter för utförande av Gränsbevakningsväsendets lagstadgande tillsynsuppgifter, tulluppgifter, efterspanings- och räddningsuppdrag och prehospital akutsjukvård samt för utförande av andra uppgifter som det föreskrivs att Gränsbevakningsväsendet ska sköta. 
Gränsbevakningsväsendet får i en uppgift som avses i 1 mom. utöver de grundläggande personuppgifter som avses i 6 § dessutom behandla följande personuppgifter: 
1) behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Gränsbevakningsväsendets uppgifter, åtgärder och händelser, 
2) behövliga uppgifter om sjötrafiken och vattenfarkosters position, 
3) uppgifter om administrativa påföljder, 
4) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård, om ett övervakningsobjekts eller en persons farlighet eller oberäknelighet samt uppgifter som beskriver eller är avsedda att beskriva en brottslig gärning, ett straff eller någon annan påföljd för brott. 
16 (14) § 
Behandling av personuppgifter för andra ändamål än det ursprungliga 
Om inte något annat föreskrivs någon annanstans i lag, får Gränsbevakningsväsendet behandla personuppgifter som avses i 7—11 och 13—15 § för andra ändamål med behandlingen än det ursprungliga, om detta behövs för 
1) att förebygga eller avslöja ett brott, 
2) att utreda ett brott för vilket lagens strängaste straff är fängelse, 
3) att påträffa en efterlyst, 
4) en utredning som stöder det att någon är oskyldig, 
5) förhindrande av betydande fara för någons liv, hälsa eller frihet eller betydande miljö-, egendoms- eller förmögenhetsskada, 
6) skyddande av den nationella säkerheten, 
7) utförande av gränskontroll i enlighet med kodexen om Schengengränserna, 
8) bestämmande av tjänsteduglighet samt planering och ordnande av tjänstgöringen, 
9) placering i uppgifter under undantagsförhållanden eller skapande av beredskap, 
10) befordran till militär grad eller belöning, 
11) att utreda identitet i samband med en sådan åtgärd av Gränsbevakningsväsendet som nödvändigt kräver att identiteten styrks, 
12) inriktning av Gränsbevakningsväsendets verksamhet. 
Uppgifter i Gränsbevakningsväsendets personregister får trots sekretessbestämmelserna även behandlas för laglighetsövervakning samt analys, planering och utveckling. Uppgifter får också användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. 
Behandling av uppgifter som hör till särskilda kategorier av personuppgifter för andra ändamål med behandlingen än det ursprungliga är tillåten endast om behandlingen är nödvändig med tanke på ändamålet med uppgiftsbehandlingen. 
17 (15) § 
Behandling av personuppgifter för andra ändamål än det ursprungliga vid tillståndsprövning 
Om inte något annat föreskrivs någon annanstans i lag, får Gränsbevakningsväsendet behandla personuppgifter som avses i 7—9 och 13—15 § för andra ändamål med behandlingen än det ursprungliga när det behövs för beslut eller utlåtanden som gäller beviljande eller giltighet av ett tillstånd, om tillståndet enligt gällande bestämmelser är beroende av sökandens eller tillståndshavarens tillförlitlighet, lämplighet eller någon liknande egenskap, och det för bedömningen av egenskapen krävs uppgifter om sökandens eller tillståndshavarens hälsotillstånd, bruk av berusningsmedel, brottslighet eller våldsamma uppträdande. 
18 (16) § 
Personuppgiftsansvarig 
Staben för Gränsbevakningsväsendet är personuppgiftsansvarig för de personuppgifter som avses i denna lag. 
3 kap. 
Rätt att få uppgifter 
19 (17) § 
Rätt att få uppgifter av myndigheter 
Gränsbevakningsväsendet har trots sekretessen rätt att av en myndighet och av en sådan sammanslutning eller person som tillsatts för att handla ett offentligt uppdrag få de uppgifter och handlingar som behövs för utförande av ett tjänsteuppdrag, om inte lämnandet av uppgifterna eller handlingarna till Gränsbevakningsväsendet eller användningen av uppgifterna såsom bevis har förbjudits eller begränsats i lag. 
Beslut om inhämtande av sekretessbelagda uppgifter fattas av en anhållningsberättigad tjänsteman, om inte något annat avtalas med den som lämnar ut uppgifterna. 
20 (18) § 
Rätt att få uppgifter av privata sammanslutningar och personer 
Trots att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företagshemlighet, bankhemlighet eller försäkringshemlighet, har Gränsbevakningsväsendet på begäran av en anhållningsberättigad tjänsteman rätt att få uppgifter som behövs för att förebygga, avslöja eller utreda brott som undersöks av Gränsbevakningsväsendet. Om ett viktigt allmänt eller enskilt intresse kräver det, har Gränsbevakningsväsendet samma rätt att få sådana uppgifter som behövs för en utredning enligt 27 § i gränsbevakningslagen. 
Gränsbevakningsväsendet har på begäran av en anhållningsberättigad tjänsteman rätt att i enskilda fall av ett teleföretag och av en sammanslutningsabonnent få kontaktuppgifter om en sådan teleadress som inte är upptagen i en offentlig katalog samt uppgifter som specificerar en teleadress eller teleterminalutrustning, om uppgifterna behövs för utförande av ett uppdrag som ankommer på Gränsbevakningsväsendet. Gränsbevakningsväsendet har motsvarande rätt att få uppgifter om utdelningsadresser av en sammanslutning som bedriver postverksamhet. 
För sin tillståndsförvaltning har Gränsbevakningsväsendet rätt att få uppgifter av en privat sammanslutning eller en privatperson med iakttagande av vad som föreskrivs i 19 §. 
21 (19) § 
Vite 
Gränsbevakningsväsendet kan meddela ett åläggande om att de i 20 § avsedda uppgifterna ska lämnas inom en skälig tid, om uppgifterna behövs för att förebygga eller utreda ett brott som Gränsbevakningsväsendet undersöker. Gränsbevakningsväsendet kan förena åläggandet med vite. Beslutet om föreläggande av vite ska iakttas även om ändring i beslutet söks. Vite får dock inte föreläggas om det finns skäl att misstänka någon för brott och det begärda materialet har samband med brottsmisstanken. Bestämmelser i övrigt om vite finns i viteslagen (1113/1990). 
22 (20) § 
Rätt att få uppgifter ur vissa register och datasystem 
Utöver vad som föreskrivs annanstans i lag har Gränsbevakningsväsendet trots sekretessbestämmelserna för utförandet av sina uppgifter rätt få behövliga uppgifter enligt följande: 
1) för utförande av de övervakningsuppdrag till havs som enligt gällande bestämmelser ska skötas av Gränsbevakningsväsendet, av sjöfartsmyndigheterna och leverantörer av fartygstrafikservice ur informationssystemen för övervakning till havs, anmälningssystemet för fartyg, informationssystemen för hamntrafiken och andra informationssystem för fartygstrafiken, uppgifter om sjötrafiken och övervakning av den samt om vattenfarkosters position, 
2) för upprätthållande av gränssäkerheten, räddningsuppdrag samt för utförande av de övervakningsuppgifter till havs och vid landgränsen som enligt gällande bestämmelser ska skötas av Gränsbevakningsväsendet, av luftfarts-, fiskeri-, sjöfarts- miljö- och räddningsmyndigheterna samt av polisen, Tullen och Försvarsmakten, uppgifter om fordon, trafik, myndigheternas aktionsberedskap och alarmering, 
3) ur nödcentralsdatasystemet uppgifter för att garantera en persons egen säkerhet eller säkerheten i arbetet för Gränsbevakningsväsendets tjänstemän i samband med att Gränsbevakningsväsendets lagstadgade uppgifter utförs, 
4) uppgifter om brott och straffrättsliga påföljder ur det bötesregister som avses i lagen om verkställighet av böter (672/2002) för upprätthållande av gränssäkerheten, förundersökning, annan undersökning, räddningsuppdrag, uppdrag som avses i lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet (485/2004), påförande av påföljdsavgift för transportörer och påförande av oljeutsläppsavgift. 
5) av justitieförvaltningsmyndigheterna uppgifter om personer som är efterlysta av dem, ur det register över avgöranden och meddelanden om avgöranden som avses i lagen om justitieförvaltningens riksomfattande informationssystem (372/2010) uppgifter om avgöranden i brottmål och om avgörandenas laga kraft samt ur det rikssystem för behandling av diarie- och ärendehanteringsuppgifter som avses i den lagen uppgifter om brottmål som är eller har varit anhängiga vid åklagarmyndigheter eller domstolar, 
6) ur utrikesministeriets informationssystem, för upprätthållande av gränssäkerheten, förundersökning och annan undersökning och för utförande av de uppdrag som Gränsbevakningsväsendet har enligt utlänningslagen (301/2004), uppgifter om dem som hör till personalen vid diplomatiska beskickningar och konsulat som representerar den utsändande staten i Finland och om dem som hör till personalen vid en internationell organisations organ i Finland eller något annat internationellt organ i samma ställning samt om dessa personers familjemedlemmar och om dem som är i privat tjänst hos dessa personer, 
7) ur det datasystem för övervakning som avses i 29 § i lagen om ett påföljdssystem för och tillsynen över den gemensamma fiskeripolitiken (1188/2014) uppgifter för fiskeriövervakning, övervakning av sjötrafiken, upprätthållande av gränssäkerheten, förundersökning, annan undersökning, räddningsuppdrag och uppdrag som avses i lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet samt för påförande av påföljdsavgift för transportörer, 
8) för lämnande av handräckning uppgifter av den myndighet som har begärt handräckning, 
9) av samfund och sammanslutningar uppgifter om passagerare och fordons personal för utförandet av uppgifter som utförs i samverkan och som avses i lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet (687/2009); bestämmelser om rätten att få uppgifter ur passagerarregistren inom flygtrafiken finns i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottlighet ( / ). 
23 (21) § 
Uppgifter som andra myndigheter lämnar ut till Gränsbevakningsväsendet genom registrering via direkt anslutning 
Gränsbevakningsväsendet får bevilja följande myndigheter rätt att lämna ut uppgifter till Gränsbevakningsväsendets personregister genom registrering via direkt anslutning: 
1) justitieförvaltningsmyndigheterna, Brottspåföljdsmyndigheten och Rättsregistercentralen, 
2) polisen, Tullen och Försvarsmakten, 
3) utrikesförvaltningen. 
24 (22) § 
Uppgifter om personer i fordon som passerar den yttre gränsen 
Gränsbevakningsväsendet har trots sekretessbestämmelserna rätt att få och behandla sådana uppgifter om samfunds och sammanslutningars passagerare och fordons personal som behövs för utförande av gränskontroll och upprätthållande av gränssäkerheten. 
Föraren av ett fordon som anländer till eller avgår från Finland och passerar den yttre gränsen ska till gränskontrollmyndigheten vid in- respektive utresestället lämna uppgifter om personerna i fordonet. Befälhavaren för ett fartyg eller luftfartyg samt ägaren eller innehavaren av ett tåg eller något annat trafikmedel eller dennes företrädare ska till gränskontrollmyndigheten vid in- eller utresestället lämna en passagerar- och besättningsförteckning eller i övrigt uppgifter om trafikmedlets personal och passagerare samt övriga personer i trafikmedlet, om inte uppgifterna redan har lämnats med stöd av 25 eller 26 §. 
Av passagerar- och besättningsförteckningen ska framgå efternamn, förnamn, födelsedatum, kön och medborgarskap för varje person som antecknats i förteckningen samt trafikmedlets nationalitet och registeruppgifter samt ankomst- och avgångsorten. 
De uppgifter som avses i 2 och 3 mom. ska också lämnas vid trafik över de inre gränserna, om gränskontroll tillfälligt har återinförts vid dem i enlighet med kapitel 2 i avdelning III i kodexen om Schengengränserna och 15 § i gränsbevakningslagen. 
25 (23) § 
Uppgifter om passagerare inom flygtrafiken 
Utöver vad som föreskrivs i 24 §, ska en fysisk eller juridisk person som yrkesmässigt idkar flygtransport av personer på begäran av gränskontrollmyndigheten lämna myndigheten i denna paragraf avsedda uppgifter om passagerare som transporteras till ett officiellt gränsövergångsställe via vilket personerna anländer till Europeiska unionens medlemsstaters territorium eller lämnar medlemsstaternas territorium (uppgifter om passagerare inom flygtrafiken). 
Uppgifterna om passagerare inom flygtrafiken ska omfatta numret på och typen av passagerarens resedokument, passagerarens medborgarskap eller avsaknad av medborgarskap, fullständiga namn och födelsetid, det gränsövergångsställe där personen anländer till eller lämnar Europeiska unionens medlemsstaters territorium, transportkod, transportens avgångs- och ankomsttider, det totala antalet personer som ingår i transporten i fråga samt den ursprungliga avgångsorten. Uppgifterna ska lämnas omedelbart efter incheckning. Uppgifterna ska lämnas elektroniskt eller, om detta inte är möjligt, på något annat adekvat sätt. 
Denna paragraf tillämpas också på trafik över de inre gränserna, om gränskontroll tillfälligt har återinförts vid dem i enlighet med kapitel 2 i avdelning III i kodexen om Schengengränserna och 15 § i gränsbevakningslagen. 
26 (24) § 
Uppgifter om passagerare och besättning i fartygs- och tågtrafik 
En fysisk eller juridisk person som bedriver yrkesmässig transport av personer eller varor sjövägen eller per järnväg ska lämna de uppgifter om passagerare och besättning som avses i 24 § 2 och 3 mom. till gränskontrollmyndigheten före ankomsten till gränskontrollen. 
I tågtrafik ska uppgifterna lämnas senast när tåget har avgått från den sista station där passagerare stigit ombord på tåget. På skyldigheten att i fartygstrafik lämna förhandsuppgifter tillämpas bestämmelserna i kodexen om Schengengränserna samt andra bestämmelser och föreskrifter. 
Denna paragraf tillämpas också på trafik över de inre gränserna, om gränskontroll tillfälligt har återinförts vid dem i enlighet med kapitel 2 i avdelning III i kodexen om Schengengränserna och 15 § i gränsbevakningslagen. 
27 (25) § 
Behandling av uppgifter om passagerare och besättning 
De i 24—26 § avsedda uppgifterna om passagerare och besättning får behandlas för att underlätta gränskontroller samt bekämpa olaglig inresa och olaglig invandring. Uppgifterna får dessutom behandlas i andra uppgifter som Gränsbevakningsväsendet, polisen och Tullen ska utföra enligt gällande bestämmelser. 
Uppgifter om passagerare och besättning får i samband med den behandling som avses i 1 mom. jämföras med de register och databaser som behövs med tanke på behandlingen. 
28 (26) § 
Påföljder 
Bestämmelser om den påföljdsavgift för åsidosättande av skyldigheten enligt 25 och 26 § som tas ut hos en transportör finns i 179 § i utlänningslagen. 
Bestämmelser om utlänningsförseelse finns i 185 § i utlänningslagen. 
29 (27) § 
Lämnande av uppgifter till Gränsbevakningsväsendet 
Gränsbevakningsväsendet har rätt att få de uppgifter som avses i detta kapitel avgiftsfritt, om inte något annat föreskrivs i lag. Enligt överenskommelse om tillvägagångssättet med den personuppgiftsansvarige har Gränsbevakningsväsendet rätt att få uppgifterna också genom en teknisk anslutning eller som en datamängd. 
Gränsbevakningsväsendet ska på begäran till en personuppgiftsansvarig som lämnat ut uppgifter lämna information om behandlingen av de personuppgifter som det har fått genom en teknisk anslutning, som en datamängd eller genom registrering via direkt anslutning. 
30 (28) § 
Europeiska unionens informationssystem för viseringar 
Bestämmelser om Gränsbevakningsväsendets rätt att få uppgifter ur Europeiska unionens informationssystem för viseringar finns i Europaparlamentets och rådets förordning (EG) nr 767/2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen). 
Bestämmelser om Gränsbevakningsväsendet rätt att ur Europeiska unionens informationssystem för viseringar få uppgifter för förebyggande och utredning av brott som ska undersökas av Gränsbevakningsväsendet och avses i 3 § 2 mom. i lagen om utlämning för brott mellan Finland och de övriga medlemsstaterna i Europeiska unionen (1286/2003) finns i rådets beslut 2008/633/RIF om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. Uppgifterna ska begäras via staben för Gränsbevakningsväsendet. 
31 (29) § 
Behandling av uppgifter som erhållits i internationellt samarbete 
Vid behandlingen av uppgifter som erhållits från ett tredjeland eller en internationell organisation eller myndighet ska i fråga om sekretess, tystnadsplikt, begränsningar i användningen av uppgifter, vidarelämnande av uppgifter och återsändande av utlämnat material iakttas vad som anges i de villkor som den som lämnat ut uppgifterna ställt. 
Om inte något annat följer av 1 mom., får Gränsbevakningsväsendet behandla de utlämnade uppgifterna för andra ändamål än de för vilka uppgifterna lämnades ut, med iakttagande av det som föreskrivs i 16 § 1 mom. 
4 kap. 
Utlämnande av personuppgifter 
32 (30) § 
Utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål 
Gränsbevakningsväsendet får trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd lämna ut sådana personuppgifter som avses i 7—15 § till polisen, Tullen, Försvarsmakten, åklagare, domstolar, Rättsregistercentralen, Brottspåföljdsmyndigheten och andra behöriga myndigheter enligt dataskyddslagen för de uppgifter enligt 1 § i dataskyddslagen avseende brottmål som myndigheten har enligt lag. 
33 (31) § 
Övrigt utlämnande av personuppgifter till myndigheter 
Utöver vad som föreskrivs annanstans i lag får Gränsbevakningsväsendet trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd lämna ut sådana i 7—15 § avsedda personuppgifter som behövs för att utföra en uppgift som myndigheten har enligt lag, enligt följande: 
1) till polisen för utförande av gränskontroll, för ändamål som motsvarar det ursprungliga ändamålet med behandlingen av personuppgifterna samt för andra ändamål i de fall som avses i 13 § och 14 § 1 mom. i lagen om behandling av personuppgifter i polisens verksamhet ( / ), 
2) till Tullen för tullövervakning, skattekontroll, utförande av gränskontroll samt för stämning och annan delgivning, för ändamål som motsvarar det ursprungliga ändamålet med behandlingen av personuppgifterna samt för andra ändamål i de fall som avses i 15 § i lagen om behandling av personuppgifter inom Tullen ( / ), 
3) till räddningsmyndigheterna för räddningsverksamhet, 
4) till Nödcentralsverket för utförande av de uppdrag som anges i lagen om nödcentralsverksamhet (692/2010), för säkerställande av förberedande åtgärder eller arbetarskyddet och för stödjande av enheten i fråga, med beaktande av vad som i den lagen föreskrivs om begränsning av rätten att få uppgifter, 
1) till Transport- och kommunikationsverket i enlighet med 197 och 217 § i lagen om transportservice (320/2017) uppgifter som är nödvändiga för utförande av verkets lagstadgade uppgifter, 
6) till Trafikledsverket för styrningen av sjötrafiken, 
7) till miljömyndigheterna för uppdrag som gäller att förhindra sådan förorening av vatten som orsakats av fartyg samt för uppdrag som gäller övervakningen av havsskyddet, 
8) till Migrationsverket för behandling och avgörande av sådana ärenden avseende utlänningar och finskt medborgarskap som enligt lag eller förordning hör till Migrationsverket samt för de tillsynsuppgifter som hör till verket, 
9) till utrikesministeriet och finska beskickningar för behandling av sådana ärenden som omfattas av deras behörighet och som gäller pass eller något annat resedokument, visum eller uppehållstillstånd för arbetstagare, uppehållstillstånd för företagare eller något annat uppehållstillstånd, 
10) till arbets- och näringsmyndigheterna för behandlingen av ärenden som gäller beviljande av uppehållstillstånd för arbetstagare eller uppehållstillstånd för företagare, 
11) till socialmyndigheterna för utredning av en utlännings försörjning samt ordnande av social- och hälsovård för en utlänning. 
12) till en utmätningsman i enlighet med 3 kap. 67 § i utsökningsbalken (705/2007) för verkställighet av utsökningsärenden, 
13) till Forststyrelsens jakt- och fiskeövervakare för jakt- och fiskeövervakning som hör till deras behörighet. 
Utöver vad som föreskrivs i 1 mom. får Gränsbevakningsväsendet av grundad anledning trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd till en myndighet lämna ut sådana personuppgifter som är nödvändiga för utförandet av en uppgift som myndigheten har enligt lag. 
Uppgifter som hör till särskilda kategorier av personuppgifter får lämnas ut för de ändamål som anges i 1 mom. endast om detta är nödvändigt för att utföra en uppgift som myndigheten har enligt lag. 
34 (32) § 
Utlämnande av personuppgifter via det allmänna datanätet 
För att underrätta allmänheten och få in tips från allmänheten får Gränsbevakningsväsendet trots sekretessbestämmelserna via det allmänna datanätet lämna ut personuppgifter som det särskilt behöver informeras om för att saken är brådskande, för att det är fråga om en farosituation, för att brott ska kunna förebyggas, för att egendom ska kunna återställas till ägaren, för upprätthållande av gränssäkerheten eller av skäl som har samband med en utredning. Personuppgifterna får lämnas ut endast när det är av väsentlig betydelse för utförande av en uppgift som enligt gällande bestämmelser ska skötas av Gränsbevakningsväsendet och utlämnandet av uppgifterna inte strider mot den registrerades legitima intresse. Personuppgifter som erhållits från en annan myndighet får endast lämnas ut med samtycke av den myndighet som lämnat ut uppgifterna. 
35 (33) § 
Utlämnande av personuppgifter till brottsbekämpande myndigheter i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet 
Gränsbevakningsväsendet får trots sekretessbestämmelserna lämna ut personuppgifter som avses i 7—15 § till sådana behöriga myndighet i andra medlemsstater i Europeiska unionen och i stater som hör till Europeiska ekonomiska samarbetsområdet som behandlar personuppgifterna för de ändamål som anges i artikel 1.1 i Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, under samma förutsättningar som Gränsbevakningsväsendet självt får behandla personuppgifterna i fråga. 
Gränsbevakningsväsendet får dessutom trots sekretessbestämmelserna lämna ut uppgifter som avses i 7—15 § till Eurojust och sådana andra institutioner som inrättats med stöd av fördraget om Europeiska unionens funktionssätt som har till uppgift att trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet eller förebygga och utreda brott och sörja för att brott blir föremål för åtalsprövning,om uppgifterna behövs för utförande av dessa uppdrag. Personuppgifter som hör till särskilda kategorier av personuppgifter får dock lämnas ut endast om de är nödvändiga för utförandet av dessa uppdrag. 
Uppgifter som avses i 1 och 2 mom. får lämnas ut också som en datamängd. 
Utöver vad som föreskrivs i denna lag och i dataskyddslagen avseende brottmål, finns det bestämmelser om utlämnande av personuppgifter till de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater i lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009). 
36 (34) § 
Utlämnande av personuppgifter inom Europeiska unionens gränskontrollsamarbete 
Gränsbevakningsväsendet får trots sekretessbestämmelserna lämna ut i 7—11 och 15 § avsedda personuppgifter till 
1) en myndighet som ansvarar för gränskontroll i en annan medlemsstat i Europeiska unionen eller i någon annan stat som tillämpar kodexen om Schengengränserna för utförande av gränskontroll, 
2) Europeiska gräns- och kustbevakningsbyrån, byråns sambandsmän samt till de tjänstemän i en medlemsstat som deltar i av byrån samordnade insatser eller pilotprojekt i Finland, med iakttagande av bestämmelserna i Europaparlamentets och rådets förordning (EU) 2016/1624 om en europeisk gräns- och kustbevakning och om ändring av Europaparlamentets och rådets förordning (EU) 2016/399 och upphävande av Europaparlamentets och rådets förordning (EG) nr 863/2007, rådets förordning (EG) nr 2007/2004 och rådets beslut 2005/267/EG, 
3) en sådan tjänsteman från en medlemsstat i Europeiska unionen som lämnar gränssäkerhetsbistånd som avses i 15 d § 1 mom. i gränsbevakningslagen, för vidtagande av åtgärder som den biståndsbegäran som Finland framställt förutsätter. 
De uppgifter som avses i denna paragraf får lämnas ut också som en datamängd. 
37 (35) § 
Vissa internationella informationssystem 
Gränsbevakningsväsendet får trots sekretessbestämmelserna, för registrering i Schengens informationssystem, lämna ut personuppgifter som behövs för de ändamål som anges i författningsgrunden för Schengens informationssystem. Den tilläggsinformation som avses i författningsgrunden för Schengens informationssystem ska lämnas ut genom förmedling av centralkriminalpolisen. Uppgifterna får lämnas ut också som en datamängd. 
Gränsbevakningsväsendet får trots sekretessbestämmelserna lämna ut personuppgifter till Europeiska unionens byrå för samarbete inom brottsbekämpning med iakttagande av bestämmelserna i lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning (214/2017). 
38 (36) § 
Övrigt utlämnande av uppgifter till utlandet 
Gränsbevakningsväsendet får trots sekretessbestämmelserna lämna ut personuppgifter med iakttagande av bestämmelserna i 7 kap. i dataskyddslagen avseende brottmål. 
Gränsbevakningsväsendet får trots sekretessbestämmelserna lämna ut i 7—11 och 15 § avsedda personuppgifter till 
1) myndigheter som avses i överenskommelsen angående ordningen på gränsen mellan Finland och Sovjetunionen och ordningen för utredning av gränstilldragelser (FördrS 32/1960) för utförande av de uppdrag som avses i överenskommelsen, 
2) en myndighet som ansvarar för gränskontrollen i en annan stat, om uppgifterna är nödvändiga för utförandet av gränskontrollen, 
3) behöriga myndigheter som avses i internationella förpliktelser eller arrangemang som avser återtagande av personer som olagligen inkommit och vistas i landet, för utförande av de uppdrag som avses i de internationella förpliktelserna eller arrangemangen. 
Gränsbevakningsväsendet får trots sekretessbestämmelserna till de myndigheter som ansvarar för vapentillsynen i en annan stat lämna ut personuppgifter om förvärv, innehav, överföring, införsel och utförsel av skjutvapen, vapendelar, patroner och särskilt farliga projektiler, om det med tanke på vapentillsynen är nödvändigt att lämna ut uppgifterna. 
De uppgifter som avses i denna paragraf får lämnas ut också som en datamängd. 
39 (37) § 
Förfarande när uppgifter lämnas ut 
Den personuppgiftsansvarige eller den förvaltningsenhet som den personuppgiftsansvarige har förordnat till uppgiften fattar beslut om utlämnande av sådana personuppgifter som avses i denna lag, om utlämnandet sker genom en teknisk anslutning eller som en datamängd eller om det är fråga om utlämnande av andra än enstaka uppgifter till utlandet. 
När beslut om utlämnande fattas ska uppgifternas art beaktas för att den registrerades integritetsskydd och datasäkerheten ska kunna tryggas. Innan personuppgifter lämnas ut genom en teknisk anslutning eller som en datamängd ska mottagaren av uppgifterna för den personuppgiftsansvarige lägga fram tillförlitlig utredning om att uppgifterna skyddas på behörigt sätt. 
Kvaliteten på de uppgifter som lämnas ut ska bekräftas och uppgifterna ska om möjligt förses med information som gör det möjligt för mottagaren att bedöma hur korrekta, fullständiga, aktuella och tillförlitliga uppgifterna är. Om det framgår att felaktiga uppgifter har lämnats ut eller att uppgifter lämnats ut i strid med lag, ska detta utan dröjsmål meddelas mottagaren. 
5 kap. 
Radering och arkivering av personuppgifter 
40 (38) § 
Radering av personuppgifter som behandlas vid gränskontroll samt för upprätthållande av gränssäkerheten och gränsordningen 
Personuppgifter som behandlas vid gränskontroll samt för upprätthållande av gränssäkerheten och gränsordningen ska raderas senast 5 år från det att den sista uppgiften antecknades. 
Med avvikelse från vad som anges i 1 mom. ska 
1) tillståndsuppgifter raderas 10 år efter det att tillståndet upphörde att gälla, 
2) anmälningsuppgifter raderas 10 år efter det att uppgiften antecknades i registret, 
3) upptagningar från sådan teknisk övervakning som avses i 29 § i gränsbevakningslagen raderas senast 6 månader från det att upptagningen uppkom, 
4) uppgifter om påförande av påföljdsavgift för transportör raderas 10 år efter det att uppgifterna antecknades i registret, 
5) uppgifter om inreseförbud raderas tre år efter det att förbudet återkallades eller upphörde, 
6) uppgifter som avses i 7 § 2 mom. 8 punkten raderas 25 år efter det att den sista uppgiften antecknades, 
7) uppgifter som avses i 7 § 2 mom. 10 punkten raderas senast ett år efter den registrerades död. 
De uppgifter som avses i 1 och 2 mom. får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. 
Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
41 (39) § 
Radering av uppgifter om passagerare inom flygtrafiken 
Sådana uppgifter om passagerare inom flygtrafiken som avses i 25 § ska raderas senast 24 timmar från det att de lämnades till gränskontrollmyndigheterna när passagerarna reste in i eller ut ur landet, om inte uppgifterna behövs för någon annan lagstadgad uppgift som ska utföras av Gränsbevakningsväsendet, polisen eller Tullen. På behandlingen av uppgifter om passagerare inom flygtrafiken efter 24 timmar tillämpas dessutom bestämmelserna i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet ( / )
Om inte något annat föreskrivs ska den som lämnar ut sådana passageraruppgifter inom flygtrafiken som avses i 25 § utplåna de personuppgifter som denne har inhämtat och lämnat till gränskontrollmyndigheterna senast 24 timmar från det att det trafikmedel som användes vid transporten anlände till destinationen. 
42 (40) § 
Radering av personuppgifter som anknyter till brottmål 
Uppgifterna i ett brottmål som överförts till en åklagare för avgörande ska raderas 
1) 5 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till böter eller ett fängelsestraff på högst ett år, 
2) 10 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på över ett och högst fem år, 
3) 20 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till fängelse i över fem år. 
De uppgifter som avses i 1 mom. ska dock raderas tidigast ett år från det att brottets åtalsrätt har preskriberats. 
Uppgifterna i andra brottmål än de som avses i 1 mom. ska raderas ett år efter det att åtalsrätten för det sista misstänkta brottet har preskriberats, dock tidigast fem år från det att brottmålet registrerades. 
Signalementsuppgifter som behandlas för fastställande av identiteten ska raderas senast 10 år från det att den sista uppgiften om en person misstänkt för brott infördes. Uppgifterna ska dock raderas senast 10 år efter den registrerades död, om det strängaste föreskrivna straffet för det grövsta brott som använts som grund för registrering är fängelse i minst ett år. 
Signalementsuppgifterna för en person som var under 15 år när brottet begicks raderas dock senast 5 år från det att den sista uppgiften om den för brott misstänkta personen infördes, om inte någon av uppgifterna gäller ett brott för vilket inte föreskrivs någon annan påföljd än fängelse. 
De uppgifter som avses i 4 och 5 mom. raderas senast ett år från det att uppgiften infördes, om det vid utredningen har framgått att inget brott har begåtts eller att det inte längre finns skäl att misstänka personen för brott. 
De i 1–5 mom. avsedda personuppgifter som anknyter till brottmål får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
43 (41) § 
Radering av andra personuppgifter som behandlas för utredning av brott och av personuppgifter som behandlas för upprätthållande av allmän ordning och säkerhet 
Andra personuppgifter som behandlas för utredning av brott än de uppgifter som avses i 42 § samt personuppgifter som behandlas för upprätthållande av allmän ordning och säkerhet ska raderas 5 år efter det att anmälan eller ärendet registrerades, om inte de hänför sig till ett brottmål som utreds. 
Med avvikelse från vad som anges i 1 mom. ska 
1) uppgifter om efterlysning eller reseförbud som behandlas för att personer ska kunna påträffas, övervakas, observeras eller skyddas raderas 3 år efter det att efterlysningen eller förbudet upphörde, 
2) uppgifter som avses i 9 § 1 mom. 3 punkten raderas senast ett år efter den registrerades död. 
De personuppgifter som avses i 1 och 2 mom. får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
44 (42) § 
Radering av personuppgifter som behandlas för förbyggande och avslöjande av brott 
Personuppgifter som behandlas för att förebygga och avslöja brott ska raderas senast 10 år från det att den sista uppgiften om ett brott, brottslig verksamhet eller ett uppdrag infördes. Uppgifter som avses i 10 § 5 mom. ska dock raderas senast sex månader från det att anteckningen infördes och uppgifter som avses i 11 § 1 mom. 4 punkten senast ett år efter den registrerades död. 
Personuppgifter som avses i 1 mom. får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
45 (43) § 
Radering av uppgifter om informationskällor 
Uppgifter om en informationskälla ska raderas senast 10 år från det att den sista uppgiften antecknades. 
46 (44) § 
Radering av personuppgifter som behandlas inom militärrättsvården 
Ur personuppgifter som behandlas inom militärrättsvården ska uppgifter raderas enligt följande: 
1) en uppgift om anmärkning, extra tjänstgöring eller utegångsförbud på högst tio dygn raderas 3 år efter det att personen dömdes till eller påfördes disciplinärt straff, om inte personen under denna tid har straffats genom ett domstolsbeslut eller i ett militärdisciplinförfarande, 
2) en uppgift om varning, utegångsförbud på över tio dygn, disciplinbot eller arrest raderas 5 år efter det att personen dömdes till eller påfördes disciplinärt straff, om inte personen under denna tid har straffats genom ett domstolsbeslut eller i ett militärdisciplinförfarande. 
En uppgift om ett straff som en domstol har påfört i ett militärrättegångsförfarande raderas med iakttagande av vad som föreskrivs i 10 § i straffregisterlagen (770/1993) och i 52 § i lagen om verkställighet av böter. 
Om en person har straffats genom ett domstolsbeslut eller i ett militärdisciplinförfarande fler än en gång, ska uppgifterna raderas 5 år efter det sista disciplinära straffet. 
Uppgifter som behandlas inom militärrättsvården och som gäller en förundersökning ska raderas senast 
1) ett år från det att åtalsrätten för brottet har preskriberats, om preskriptionstiden för åtalsrätten är över 10 år, 
2) ett år från det att den personuppgiftsansvarige har fått kännedom om att åklagaren har beslutat avstå från att vidta åtgärder för att väcka åtal mot den skyldige eller kännedom om ett beslut av åklagaren enligt vilket det inte i ärendet är fråga om ett brott eller inte finns bevis om ett brott, 
3) ett år från det att den personuppgiftsansvarige har fått kännedom om åklagarens beslut om att brottet har preskriberats, 
4) ett år från det att den personuppgiftsansvarige har fått kännedom om att åtalet har förkastats genom ett lagakraftvunnet beslut eller att ett väckt åtal har förkastats till följd av att åtalsrätten har preskriberats, 
5) ett år efter den brottsmisstänktes död, 
6) tio år från det att den sista uppgiften om den registrerade antecknades. 
I 14 § 1 mom. 3 punkten avsedda uppgifter som behandlas inom militärrättsvården ska raderas senast ett år efter den registrerades död. 
47 (45) § 
Radering av andra personuppgifter 
Personuppgifter som avses i 15 § ska raderas 5 år efter det att uppgifterna infördes i registret, om det inte finns någon särskild orsak att fortsatt bevara dem med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
Med avvikelse från vad som anges i 1 mom. ska 
1) uppgifter som gäller utlänningar som tagits i förvar raderas 5 år efter det att den sista uppgiften om personen antecknades, 
2) uppgifter om näringsförbud raderas 5 år efter det att näringsförbudet upphörde, 
3) uppgifter som avses i 15 § 2 mom. 4 punkten raderas senast ett år efter den registrerades död. 
48 (46) § 
Uppgifter som konstaterats vara felaktiga 
Oberoende av vad som i dataskyddsförordningen och dataskyddslagen avseende brottmål föreskrivs om rättelse av oriktiga uppgifter i ett register, får en uppgift som konstaterats vara felaktig bevaras tillsammans med den korrigerade uppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Gränsbevakningsväsendets personal har. En sådan uppgift får användas endast i det syfte som här avses. 
En uppgift som konstaterats vara felaktig och som bevaras med stöd av 1 mom. ska raderas genast när den inte längre behövs för att trygga rättigheterna. 
49 (47) § 
Arkivering av uppgifter 
I fråga om arkivfunktionens uppgifter och om handlingar som ska arkiveras gäller vad som föreskrivs särskilt. 
6 kap. 
Den registrerades rättigheter 
50 (48) § 
Tillgodoseende av den registrerades rätt till insyn 
I syfte att tillgodose den registrerades rätt till tillgång till uppgifter enligt artikel 15 i dataskyddsförordningen och den registrerades rätt till insyn enligt 23 § i dataskyddslagen avseende brottmål lämnar den personuppgiftsansvarige eller en annan av den personuppgiftsansvarige förordnad myndighet ut uppgifterna för utövande av insyn. 
En registrerad som vill utöva sin rätt till insyn ska framställa en personlig begäran om detta till den personuppgiftsansvarige eller någon annan i 1 mom. avsedd myndighet samt styrka sin identitet. En begäran kan också framställas med användning av stark autentisering enligt lagen om stark autentisering och betrodda elektroniska tjänster (617/2009), om en sådan tjänst används. 
51 (49) § 
Inskränkningar i rätten till insyn 
Med avvikelse från 23 § i dataskyddslagen avseende brottmål och utöver det som föreskrivs i 28 § i den lagen har den registrerade inte rätt till insyn i fråga om 
1) personuppgifter som avses i 6 § 3 mom., 8 § 6 mom. och 12 §, 
2) sådana uppgifter om Gränsbevakningsväsendets taktiska eller tekniska metoder, observationsuppgifter, uppgifter om informationskällor eller uppgifter som används för teknisk undersökning, som ingår i de personuppgifter som avses i 8—11 §, 
Bestämmelser om utövande av den registrerades rättigheter via dataombudsmannen finns i 29 § i dataskyddslagen avseende brottmål. En begäran om utövning av rättigheterna ska lämnas till dataombudsmannen, den personuppgiftsansvarige eller en annan i 50 § 1 mom. i denna lag avsedd myndighet på det sätt som föreskrivs i 2 mom. i den paragrafen. En begäran som lämnats till den personuppgiftsansvarige eller en annan myndighet ska utan dröjsmål sändas till dataombudsmannen. 
52 (50) § 
Den registrerades rätt till begränsning av behandling 
Vad som i artikel 18 i dataskyddsförordningen föreskrivs som den registrerades rätt till begränsning av behandling ska inte tillämpas på sådan behandling av personuppgifter som avses i denna lag. 
7 kap. 
Särskilda bestämmelser 
53 (51) § 
Elektroniska identifikationsuppgifter som grundar sig på fysiska egenskaper 
För att identifiera en person och säkerställa att ett dokument är äkta har Gränsbevakningsväsendet rätt att ta emot till resedokument fogade elektroniska identifikationsuppgifter som grundar sig på en persons fysiska egenskaper, om inte något annat föreskrivs. 
Gränsbevakningsväsendet har rätt att jämföra identifikationsuppgifterna i ett dokument med personen i fråga. Om inte något annat föreskrivs, får elektroniska identifikationsuppgifter inte registreras. 
54 § (Ny) 
Straffbestämmelse 
Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen (39/1889). 
55 (52) § 
Ikraftträdande 
Denna lag träder i kraft den 20 . 
Genom denna lag upphävs lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005). 
I fråga om radering av sådana personuppgifter som avses i denna lag får de bestämmelser som gällde vid ikraftträdandet av denna lag tillämpas under fyra år från ikraftträdandet av lagen. I fråga om radering av personuppgifter som avses i 8 och 9 § i denna lag ska dock under den ovan nämnda tiden tillämpas vad som i 61 § 3 mom. i lagen om behandling av personuppgifter i polisens verksamhet ( / ) föreskrivs om radering av personuppgifter som avses i 5 och 6 § i den lagen. 
2. 
Lag 
om ändring av sjöräddningslagen 
I enlighet med riksdagens beslut 
upphävs i sjöräddningslagen (1145/2001) 16 §, sådan den lyder i lag 521/2004, 
ändras 12, 14, 17 och 20 §, av dem 14 § sådan den lyder i lag 993/2018, samt 
fogas till 15 §, sådan den lyder i lag 1660/2009, ett nytt 2 mom. som följer: 
12 § 
Sjöräddningsregister 
I syfte att på ett ändamålsenligt sätt kunna sköta uppgifterna inom sjöräddningstjänsten samt i efterhand utreda händelser i kritiska lägen och efterspanings- och räddningsåtgärder i anslutning till dessa, för staben för Gränsbevakningsväsendet ett riksomfattande sjöräddningsregister över handlingsplaner för kritiska lägen samt mottagna nödmeddelanden och de åtgärder som vidtagits med anledning av dem. 
14 § 
Rätt att få uppgifter av myndigheter samt av leverantörer av fartygstrafikservicetjänster och flygtrafikledningstjänster 
Gränsbevakningsväsendet har rätt att trots sekretessbestämmelserna avgiftsfritt av övriga sjöräddningsmyndigheter få sådana uppgifter för planeringen av sjöräddningstjänsten och som gäller de ifrågavarande myndigheternas aktionsberedskap och placering samt beredskaps-, identifierings- och kontaktuppgifter i fråga om personalen. Gränsbevakningsväsendet har rätt att få motsvarande uppgifter av leverantörer av fartygstrafikservicetjänster och flygtrafikledningstjänster samt rätt att lämna ut uppgifter till leverantörer av fartygstrafikservicetjänster och flygtrafikledningstjänster. 
Utöver vad som föreskrivs annanstans i lag har Gränsbevakningsväsendet rätt att trots sekretessbestämmelserna avgiftsfritt få följande uppgifter som behövs för planeringen av sjöräddningstjänstens beredskap samt i kritiska lägen för att utföra uppgifter inom sjöräddningstjänsten: 
1) av Transport- och kommunikationsverket uppgifter om fordon, båtar, fartyg och luftfartyg samt deras ägare och innehavare ur trafik- och transportregistret, uppgifter om radioanläggningar samt deras ägare och innehavare ur registret över radiotillstånd, uppgifter om radioanläggningars läge, uppgifter om luftfarkoster och deras ägare och innehavare ur registret över luftfartens automatiska nödradiosändare samt en uppdaterad lägesbild av fartygstrafiken, 
2) av fiskerimyndigheterna uppgifter om fiskefartyg, fartygens ägare och innehavare samt fartygens verksamhet, 
3) av de kommunala hamnverken uppgifter om fartyg samt fartygs- och godstrafik, 
4) av leverantörer av fartygstrafikservice uppgifter om fartygstrafiken och av leverantörer av lufttrafikledningstjänster uppgifter om luftfartygstrafiken, 
5) av Försvarsmakten uppgifter om övervakningen av havsområdet, 
6) ur nödcentralsdatasystemet, inbegripet polisens uppdragsregister, uppgifter om nödmeddelanden och kritiska lägen, behövliga uppgifter för garanterande av en persons egen säkerhet eller säkerheten i arbetet samt beredskaps- och positionsuppgifter om de myndighetsenheter som är verksamma till havs, 
7) av registermyndigheten i landskapet Åland uppgifter om fordon, fartyg och nöjesbåtar samt deras ägare och innehavare. 
Personuppgifter som avses i 7—9 och 15 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ) och i 30 § i territorialövervakningslagen (755/2000) får i kritiska lägen vid behov användas för organisering av efterspanings- och räddningsåtgärder. 
15 § 
Rätt att få uppgifter av privata företag och sammanslutningar 
Bestämmelser om rätt att få uppgifter av teleföretag finns i 321 § i lagen om tjänster inom elektronisk kommunikation (917/2014). 
17 § 
Hur uppgifter lämnas 
Gränsbevakningsväsendet har rätt att få de uppgifter som avses i 14 och 15 § med hjälp av en teknisk anslutning enligt vad som avtalas särskilt om tillvägagångssättet, eller på något annat sätt. 
20 § 
Bestämmelser om behandlingen av personuppgifter i sjöräddningsregistret och om uppgifternas offentlighet 
Bestämmelser om behandlingen av personuppgifter finns i dataskyddslagen (1050/2018). Om inte något annat föreskrivs i denna lag, tillämpas på behandlingen av personuppgifter dessutom lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. Bestämmelser om behandlingen av personuppgifter i sjöräddningsregistret finns dessutom i internationella avtal som är bindande för Finland. 
När det gäller offentlighet i fråga om uppgifter i sjöräddningsregistret tillämpas bestämmelserna om offentlighet för myndighetshandlingar. 
Denna lag träder i kraft den 20 . 
3. 
Lag 
om ändring av lagen om gränsbevakningsväsendets förvaltning 
I enlighet med riksdagens beslut 
ändras i lagen om gränsbevakningsväsendets förvaltning (577/2005) 28 c och 31 a §, sådana de lyder, 28 c § i lag 1229/2013 och 31 a § i lag 750/2014, samt 
fogas till lagen en ny 18 §, i stället för den 18 § som upphävts genom lag 877/2011, som följer: 
18 § 
Hänvisning till bestämmelser om utlämnande av uppgifter 
Bestämmelser om utlämnande av uppgifter som registrerats i Gränsbevakningsväsendets personregister genom en teknisk anslutning eller som en datamängd och till utlandet finns i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ). 
28 c § 
Behandling av uppgifter som hör till särskilda kategorier av personuppgifter 
Personuppgifter i anknytning till hälsotillstånd och fällande domar i brottmål och överträdelser och som gäller studerande och personer som ansöker om att bli antagna som studerande får vid Gräns- och sjöbevakningsskolan endast behandlas av personer som bereder eller fattar beslut om antagning av studerande, avbrytande av studier eller förlust av studierätt eller som ger utlåtanden i sådana ärenden. 
Gräns- och sjöbevakningsskolan ska förvara i 1 mom. avsedda uppgifter åtskilda från övriga personuppgifter som skolan samlat in. 
De uppgifter som avses i 1 mom. ska raderas ur registret omedelbart när det inte längre med avseende på utförandet av lagstadgade uppgifter finns någon grund för att bevara dem, dock senast tre år efter att de förts in i registret. 
31 a § 
Granskning av militärdisciplinavgöranden 
Staben för Gränsbevakningsväsendet ska granska förvaltningsenheternas militärdisciplinavgöranden minst en gång om året. 
Denna lag träder i kraft den 20. 
4. 
Lag 
om ändring av gränsbevakningslagen 
I enlighet med riksdagens beslut 
upphävs i gränsbevakningslagen (578/2005) 31 §, sådan den lyder i lag 749/2014, och 
ändrasi gränsbevakningslagen (578/2005) 1 § 2 mom., 28 § 1 mom. 11 punkten, 28 a § och 35 f § 4 mom., 
sådana de lyder, 1 § 2 mom. i lag 109/2018, 28 § 1 mom. 11 punkten och 28 a § i lag 749/2014 och 35 f § 4 mom. i lag 425/2017, som följer: 
1 § 
Tillämpningsområde 
Lagen om gränsbevakningsväsendets förvaltning (577/2005) innehåller bestämmelser om ordnandet av Gränsbevakningsväsendets förvaltning, utbildning och forskningsverksamhet samt om Gränsbevakningsväsendets tjänster och om särskilda rättigheter och skyldigheter för Gränsbevakningsväsendets tjänstemän. Bestämmelser om behandlingen av personuppgifter och om rätten att få och lämna ut uppgifter i Gränsbevakningsväsendets verksamhet finns i denna lag, i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ), i sjöräddningslagen (1145/2001) samt annanstans i lag. Bestämmelser om Gränsbevakningsväsendets uppgifter inom brottsbekämpning finns i lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018). Bestämmelser om samarbetet mellan polisen, Tullen och Gränsbevakningsväsendet finns också i lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet (687/2009). 
28 § 
Befogenheter i fråga om gränskontroll 
Utöver vad som föreskrivs i denna eller någon annan lag har en gränsbevakningsman, för att genomföra gränskontroller enligt kodexen om Schengengränserna, rätt att utan brottsmisstanke 
11) registrera uppgifter som erhållits i samband med gränskontroll, med iakttagande av vad som föreskrivs i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
28 a § 
Kroppsvisitation vid gränskontroll 
Den gränsbevakningsman som tjänstgör som chef vid ett gränsövergångsställe eller en gränsbevakningsman med minst löjtnants grad beslutar om kroppsvisitation enligt 28 § 1 mom. 9 punkten. En gränsbevakningsman som utför in- eller utresekontroll kan dock besluta om kroppsvisitation som riktas mot en persons ytterkläder eller personens medhavda bagage eller som utförs manuellt eller med en teknisk anordning. 
Kroppsvisitationer ska registreras i Gränsbevakningsväsendets personregister. Ett protokoll med en tillräckligt noggrann redogörelse för förrättningens gång ska dessutom upprättas över sådan kroppsvisitation som utförs med stöd av de befogenheter som innehas av den som tjänstgör som chef vid gränsövergångsstället eller av en gränsbevakningsman med minst löjtnants grad. Den som kroppsvisiterats ska på begäran ges en kopia av protokollet. 
35 f § 
Övriga rättigheter och skyldigheter för en tjänsteman från en EU-medlemsstat som lämnar gränssäkerhetsbistånd 
Bestämmelser om tjänstemannens rätt att använda Gränsbevakningsväsendets personregister finns i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
Denna lag träder i kraft den 20 . 
5. 
Lag 
om ändring av lagen om brottsbekämpning inom Gränsbevakningsväsendet 
I enlighet med riksdagens beslut 
ändras i lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018) 1, 6 och 49 § samt 54 § 1 mom. som följer: 
1 § 
Tillämpningsområde 
Denna lag tillämpas utöver gränsbevakningslagen (578/2005), lagen om gränsbevakningsväsendets förvaltning (577/2005) och lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ) på till Gränsbevakningsväsendets uppgifter hörande åtgärder för förhindrande, avslöjande, utredning och överlämnande för åtalsprövning av brott. 
Om inte något annat föreskrivs i denna lag, ska vid sådan förundersökning av brottmål som hör till Gränsbevakningsväsendets uppgifter iakttas vad som i förundersökningslagen (805/2011) och tvångsmedelslagen (806/2011) samt annanstans i lag föreskrivs om förundersökning och tvångsmedel. 
6 § 
En gränsbevakningsmans uppgifter och befogenheter vid brottsbekämpning 
Bestämmelser om en gränsbevakningsmans uppgifter, befogenheter, rättigheter och skyldigheter finns förutom i denna lag även i gränsbevakningslagen, lagen om gränsbevakningsväsendets förvaltning, lagen om behandling av personuppgifter vid Gränsbevakningsväsendet och i annan lag. 
Vid förundersökning som görs av Gränsbevakningsväsendet har en gränsbevakningsman samma rätt att vidta utredningsåtgärder enligt förundersökningslagen och använda tvångsmedel enligt tvångsmedelslagen som en polisman vid en polismyndighets förundersökning, om inte något annat föreskrivs i denna eller någon annan lag. 
49 § 
Utplåning av information 
Hemligt inhämtad information ska utplånas utan dröjsmål efter att det har framgått att den inte behövs för förhindrande eller utredning av brott eller för avvärjande av en fara. 
Överskottsinformation får dock bevaras och lagras i enlighet med lagen om behandling av personuppgifter vid Gränsbevakningsväsendet, om informationen gäller ett brott som avses i 48 § 1 eller 2 mom. eller om den behövs för förhindrande av ett brott som avses i 15 kap. 10 § i strafflagen. Information som inte har lagrats eller fogats till förundersökningsmaterial ska utan obefogat dröjsmål utplånas så snart det blivit uppenbart att den inte kan användas eller den inte längre behövs för förhindrande eller utredning av ett brott. 
Basstationsuppgifter ska utplånas efter att det har framgått att informationen inte behövs för förhindrande eller utredning av ett brott eller för avvärjande av en fara. 
54 § 
Begränsning av partsoffentlighet i vissa fall 
Med avvikelse från vad som föreskrivs i 11 § i lagen om offentlighet i myndigheternas verksamhet (621/1999) har den vars rättigheter eller skyldigheter saken gäller inte rätt att få vetskap om användningen av en metod för inhämtande av information enligt detta kapitel förrän en underrättelse enligt 52 § har gjorts. Han eller hon har inte heller rätt till insyn för registrerade enligt lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ). 
Denna lag träder i kraft den 20 . 
6. 
Lag 
om ändring av utlänningslagen 
I enlighet med riksdagens beslut 
ändras i utlänningslagen (301/2004) 174 § 2 mom., 179 § 1 och 3 mom., 181 § 1 mom., 182 § 2 mom. och 185 § 2 mom., sådana de lyder i lag 755/2014, som följer: 
174 § 
Anmälnings- och övervakningsskyldighet för fordonsförare och transportörer 
Bestämmelser om anmälningsskyldighet för fordonsförare och transportörer finns i 24—26 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ). 
179 § 
Påföljdsavgift för transportör 
Av en transportör som bryter mot den kontrollskyldighet som föreskrivs i 173 § eller den skyldighet att lämna uppgifter som avses i 25 eller 26 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet tas det ut en påföljdsavgift (påföljdsavgift för transportör). Avgiften för brott mot 173 § är 3 000 euro per person som transporterats. Avgiften för brott mot 25 och 26 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet är 3 000 euro för varje sådan resa för vilken uppgifter om passagerare inte meddelats eller för vilken bristfälliga eller felaktiga uppgifter meddelats. 
Bestämmelserna i 2 mom. 1 punkten tillämpas inte när det tas ut en avgift för brott mot 25 och 26 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
181 § 
Påförande av påföljdsavgift för transportör 
Påföljdsavgiften för transportör påförs i samband med in- och utresekontrollen av kommendören eller biträdande kommendören för den gräns- eller sjöbevakningssektion eller chefen för den gräns- eller sjöbyrå inom vars verksamhetsområde överträdelsen av 173 § i denna lag eller av 25 och 26 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet har konstaterats. Om polisen har varit in- och utresekontrollmyndighet, påförs påföljdsavgiften för transportör av en polisman som hör till befälet vid polisinrättningen. Om Tullen har varit in- och utresekontrollmyndighet, påförs påföljdsavgiften för transportör av en till uppgiften förordnad tullman i överordnad ställning vid verksamhetsenheten vid den ansvariga enheten vid Tullen. 
182 § 
Avlyftande av påföljdsavgift för transportör 
Bestämmelserna i 1 mom. 1 punkten gäller inte en påföljdsavgift som tas ut för brott mot 25 och 26 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
185 § 
Utlänningsförseelse 
För utlänningsförseelse döms även den som uppsåtligen eller av grov oaktsamhet försummar sin skyldighet enligt 174 eller 175 § i denna lag eller 24 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
Denna lag träder i kraft den 20 . 
7. 
Lag 
om ändring av 11 kap. 8 § i förundersökningslagen 
I enlighet med riksdagens beslut 
ändras i förundersökningslagen (805/2011) 11 kap. 8 §, sådan den lyder i lag 113/2018, som följer: 
11 kap. 
Särskilda bestämmelser 
8 § 
Rätt att få information från myndigheter, privata sammanslutningar och fysiska personer 
Bestämmelser om rätten att få information som behövs för utredning av brott från myndigheter, privata sammanslutningar och fysiska personer finns i 4 kap. 2 och 3 § i polislagen, 2 kap. 14 § i lagen om brottsbekämpning inom Tullen och 19—21 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
Denna lag träder i kraft den 20 . 
Utskottet föreslår att lagförslag 8 förkastas.
Utskottet föreslår att lagförslag 9 förkastas.
Utskottet föreslår att lagförslag 10 förkastas.
11. 
Lag 
om ändring av 19 och 20 § i lagen om nödcentralsverksamhet 
I enlighet med riksdagens beslut 
ändras i lagen om nödcentralsverksamhet (692/2010) 19 § 1 mom. 12 punkten och 20 § 4 mom., sådana de lyder i lag 1172/2016, som följer: 
19 § 
Rätt att få information ur registren 
Nödcentralsverket och dess anställda har enligt vad som överenskommits med registerföraren och trots sekretessbestämmelserna, för att kunna sköta Nödcentralsverkets lagstadgade uppgifter, rätt att avgiftsfritt få information som behövs för att säkerställa förberedande åtgärder i samband med uppdrag eller arbetarskyddet eller för att stödja myndigheten eller enheten i fråga. I detta syfte har Nödcentralsverket och dess anställda rätt att 
12) få information enligt 33 § 1 mom. 4 punkten i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ), 
20 § 
Utlämnande av uppgifter 
Bestämmelser om Gränsbevakningsväsendets rätt att få information ur nödcentralsdatasystemet finns utöver i denna lag i 14 § i sjöräddningslagen och i 22 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet. 
Denna lag träder i kraft den 20 . 
Utskottet föreslår att lagförslag 12 förkastas.
13. 
Lag 
om ändring av 2 kap. 21 § i polislagen 
I enlighet med riksdagens beslut 
ändras i polislagen (872/2011) 2 kap. 21 § 1 mom., sådant det lyder i lag 13/2019, som följer: 
2 kap. 
Allmänna befogenheter 
21 § 
Gränskontroll och tullåtgärder 
En polisman har rätt att genomföra gränskontroller med sådana befogenheter som föreskrivs för en gränsbevakningsman i 28 och 28 a § i gränsbevakningslagen. En polisman har dessutom rätt att styra och begränsa vistelse på ett gränsövergångsställe på det sätt som föreskrivs i 30 a § i den lagen i fråga om en gränsbevakningsman som tjänstgör som chef för ett gränsövergångsställe och en gränsbevakningsman med minst löjtnants grad. 
Denna lag träder i kraft den 20 . 
Utskottet föreslår att lagförslag 14 förkastas.
15. 
Lag 
om ändring av 31 § i tullagen 
I enlighet med riksdagens beslut 
ändras i tullagen (304/2016) 31 § som följer: 
31 § 
In- och utresekontroller 
En tullman har rätt att genomföra in- och utresekontroller med de befogenheter som föreskrivs för en gränsbevakningsman i 28, 28 a, 36 och 38 § i gränsbevakningslagen. En tullman som tjänstgör som chef för ett tullkontor har dessutom rätt att styra och begränsa vistelse på ett gränsövergångsställe på det sätt som föreskrivs i 30 a § i gränsbevakningslagen i fråga om en gränsbevakningsman som tjänstgör som chef för ett gränsövergångsställe och en gränsbevakningsman med minst löjtnants grad. 
Beslut om sådant kvarhållande samt temporärt omhändertagande av gods och fordon som avses i 28 § 1 mom. 1 och 2 punkten i gränsbevakningslagen under tiden för in- eller utresekontrollen fattas av en tullman som tjänstgör som chef för ett tullkontor eller en till uppgiften förordnad tullman som tjänstgör som chef för tullbrottsbekämpningen eller tullövervakningen. I brådskande fall utförs kvarhållandet och omhändertagandet av den tullman som genomför in- eller utresekontrollen. Tullmannen ska då utan dröjsmål överföra ärendet för avgörande till en tullman som tjänstgör som chef för ett tullkontor eller till en tullman som tjänstgör som chef för tullbrottsbekämpningen eller tullövervakningen. 
Beslut om sådan kroppsvisitation som avses i 28 § 1 mom. 9 punkten i gränsbevakningslagen fattas av en till uppgiften förordnad tullman som tjänstgör som chef för tullbrottsbekämpningen eller tullövervakningen. En tullman som genomför in- och utresekontroll får dock besluta om kroppsvisitation som begränsas till en persons kläder eller personens medhavda bagage. 
Denna lag träder i kraft den 20 . 
16. 
Lag 
om ändring av 25 § i säkerhetsutredningslagen 
I enlighet med riksdagens beslut 
ändras i säkerhetsutredningslagen (726/2014) 25 § 1 mom. 6 punkten, sådan den lyder i lag 931/2016, som följer: 
25 § 
Informationskällor vid normal säkerhetsutredning av person 
En säkerhetsutredning av person får bygga enbart på registeruppgifter som finns i 
6) Gränsbevakningsväsendets personregister som innehåller sådana uppgifter som avses i 7 §, 8 § 1 och 2 mom. och 9, 13 och 14 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ) och sådana uppgifter som behandlas för skötseln av tillsynsuppgifter enligt 15 § i den lagen, 
Denna lag träder i kraft den 20 . 
Helsingfors 12.3.2019 
I den avgörande behandlingen deltog
ordförande
Juho
Eerola
saf
vice ordförande
Timo V.
Korhonen
cent (delvis)
medlem
Anders
Adlercreutz
sv
medlem
Pertti
Hakanen
cent
medlem
Antti
Kurvinen
cent
medlem
Sirpa
Paatero
sd
medlem
Olli-Poika
Parviainen
gröna
medlem
Juha
Pylväs
cent
medlem
Wille
Rydman
saml
medlem
Joona
Räsänen
sd
medlem
Matti
Semi
vänst
medlem
Mari-Leena
Talvitie
saml
ersättare
Ilkka
Kantola
sd.
Sekreterare var
utskottsråd
Minna-Liisa
Rinne.
Senast publicerat 13.3.2019 18:48