Betänkande
FvUB
41
2018 rd
Förvaltningsutskottet
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter inom Tullen och till vissa lagar som har samband med den
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter inom Tullen och till vissa lagar som har samband med den (RP 259/2018 rd): Ärendet har remitterats till förvaltningsutskottet för betänkande och till grundlagsutskottet för utlåtande. 
Utlåtande
Utlåtande har lämnats av 
grundlagsutskottet
GrUU 60/2018 rd
Sakkunniga
Utskottet har hört 
specialsakkunnig
Jaana
Vehmaskoski
finansministeriet
lagstiftningsråd
Niklas
Vainio
justitieministeriet
lagstiftningsråd
Anne
Ihanus
inrikesministeriet
specialsakkunnig
Suvi
Pato-Oja
inrikesministeriet
dataombudsman
Reijo
Aarnio
dataombudsmannens byrå
chef för it-förvaltningen
Jari
Råman
Polisstyrelsen
tullöverinspektör
Juha
Vilkko
Tullen.
Skriftligt yttrande har lämnats av 
Riksdagens justitieombudsmans kansli
försvarsministeriet
kommunikationsministeriet
justitiekanslersämbetet
Riksåklagarämbetet
Nödcentralsverket
centralkriminalpolisen
Migrationsverket
Skatteförvaltningen.
Inget yttrande av 
Ålands landskapsregering.
PROPOSITIONEN
I propositionen föreslås det att det stiftas en ny lag om behandling av personuppgifter inom Tullen. Samtidigt upphävs den gällande lagen med samma namn. Lagen ska tillämpas på Tullens behandling av personuppgifter. Syftet med propositionen är att lagstiftningen om behandling av personuppgifter som behövs för skötseln av Tullens uppgifter ska motsvara kraven enligt Europeiska unionens dataskyddslagstiftning. Dessutom beaktas vissa nationella behov att behandla uppgifter som särskilt gäller Tullens brottsbekämpning samt tullövervakning och skattekontroll. 
Lagen kompletterar Europeiska unionens allmänna dataskyddsförordning och den allmänna lagstiftningen om genomförande av dataskyddsdirektivet avseende brottmål. Bestämmelserna om riksomfattande informationssystem och andra Tullens personregister i den gällande lagen ersätts med bestämmelser om ändamålet med behandlingen av personuppgifter som behövs för skötseln av de övervakningsuppdrag som i lag föreskrivs för Tullen och för att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning samt innehållet i de personuppgifter som behandlas. Lagen innehåller dessutom bestämmelser om nationellt och internationellt informationsutbyte, radering av uppgifter och arkivering samt tillgodoseende av den registrerades rätt till insyn och vissa inskränkningar av den registrerades rättigheter. 
Propositionen innehåller dessutom förslag till ändring av lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet, lagen om brottsbekämpning inom Tullen, tvångsmedelslagen, lagen om genomförande av vissa bestämmelser i beslutet om Eurojust, lagen om Enheten för utredning av grå ekonomi, bilskattelagen, punktskattelagen, lagen om tjänster inom elektronisk kommunikation och säkerhetsutredningslagen. I dessa lagar föreslås i huvudsak tekniska ändringar som gäller laghänvisningar. 
Lagarna avses träda i kraft så snart som möjligt. Den radering av personuppgifter som avses i lagen ska genomföras i enlighet med lagens krav inom fyra år från ikraftträdandet. 
UTSKOTTETS ÖVERVÄGANDEN
Allmänt
Regeringen föreslår en ny lag om behandling av personuppgifter inom Tullen (lagförslag 1, nedan också Tullens personuppgiftslag). Samtidigt upphävs den gällande lagen (639/2015) med samma namn. Propositionen innehåller dessutom nio anknytande lagförslag med i huvudsak tekniska ändringar. 
Det viktigaste målet med propositionen är att se över lagstiftningen om behandling av personuppgifter inom Tullen så att den uppfyller kraven i EU:s dataskyddslagstiftning med beaktande av behoven inom brottsbekämpning, tullövervakning och skattekontroll samt kraven på skydd för de grundläggande och mänskliga rättigheterna. Ett annat mål är att få lagstiftningen att motsvara behandlingen av personuppgifter och behovet av dataskydd som beror på ändringar i verksamhetsbetingelserna och tullagstiftningen samt att korrigera de missförhållanden som kommit fram i lagtillämpningen. 
Till riksdagen har också lämnats propositioner med förslag till nya lagar om behandling av personuppgifter i polisens verksamhet och vid Gränsbevakningsväsendet (RP 242/2018 rd och RP 241/2018 rd). Tanken är att Tullens personuppgiftslag revideras på motsvarande sätt. Tullens brottsbekämpningsverksamhet förutsätter bestämmelser som överensstämmer med bestämmelserna för de övriga myndigheterna som verkställer brottsbekämpning. Det är viktigt också med tanke på det nära samarbetet mellan PTG-myndigheterna. Förvaltningsutskottet har vid behandlingen av Tullens nuvarande personuppgiftslag konstaterat att upprätthållandet av en effektiv brottsbekämpning förutsätter att lagstiftningen om Tullens personregister mer än i nuläget förenhetligas med i synnerhet polisens motsvarande lagstiftning (FvUB 54/2014 rd). Eftersom det har föreslagits att personuppgiftslagarna gällande polisen respektive Gränsbevakningsväsendet ska revideras genomgripande finns det också skäl att se över Tullens personuppgiftslag med samma utgångspunkt, trots att den gällande lagen är tämligen ny. 
EU:s nya dataskyddslagstiftning har spjälkat upp författningsgrunden så att samma reglering inte längre kan tillämpas på all behandling av personuppgifter. EU:s allmänna dataskyddsförordning (EU 2016/679) började tillämpas den 25 maj 2018. Dataskyddslagen (1050/2013). trädde i kraft den 1 januari 2019 och kompletterar EU:s dataskyddsförordning nationellt. Samtidigt som dataskyddslagen trädde även lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018, dataskyddslagen avseende brottmål), varmed det så kallade dataskyddsdirektivet för brottsbekämpande myndigheter (EU) 2016/680 (nedan även polisdirektivet) genomfördes nationellt. 
Dataskyddsförordningen och dataskyddslagen, som kompletterar förordningen, tillämpas vid Tullen till exempel på tullövervakning och skattekontroll, övriga övervakningsuppgifter som föreskrivs för Tullen och behandling av personuppgifter i samband med gränsbevakningsuppgifter. Till dataskyddsdirektivets tillämpningsområde inom Tullen hör förebyggande, avslöjande och utredande av brott och förande av brott till åtalsprövning. Den föreslagna lagen om behandling av personuppgifter inom Tullen är en speciallag som kompletterar den beskrivna allmänna lagstiftningen. 
Enligt förslaget ska lagens struktur omarbetas i sin helhet. Målet att åstadkomma en klar och tydlig reglering har emellertid inte uppnåtts till fullo, vilket i många avseenden beror på det begränsade och speciella tillämpningsområdet för unionsrätten och dess dataskyddsnormer. Lagstiftningen måste också iaktta de krav på en detaljerad och noggrant avgränsad lagstiftning som följer tolkningspraxis när det gäller grundlagen och människorättskonventionerna. 
Förvaltningsutskottet ser det som en betydelsefull ändring jämfört med gällande lagstiftning att bestämmelserna om Tullens nuvarande informationssystem och andra personregister i den gällande lagen ersätts med bestämmelser om ändamålet med behandlingen av personuppgifter och innehållet i de personuppgifter som behandlas. I lagen ska det föreskrivas om grundläggande personuppgifter och om uppgiftskategorier. Enligt förslaget är Tullen personuppgiftsansvarig för de personuppgifter som avses i 2 kap. i Tullens personuppgiftslag. I fråga om signalement föreskrivs det särskilt vem som är personuppgiftsansvarig. Enligt polisens personuppgiftslag är det polisen som är personuppgiftsansvarig i fråga om dem. 
Enligt grundlagsutskottets utlåtande kan lagförslagen behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar mot lagförslagets principbestämmelser och mot dess 5–9, 12, 14, 15, 18 och 19 § beaktas på behörigt sätt. 
Sammantaget anser utskottet att propositionen behövs och fyller sitt syfte. Utskottet tillstyrker lagförslagen, men med följande kommentarer och ändringsförslag. 
Ändamålsbundenhet i behandlingen
Artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna förutsätter att behandling av personuppgifter sker för ett särskilt ändamål. Enligt artikel 5.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt artikel 5.2 ska den personuppgiftsansvarige ansvara för och kunna visa att 1 punkten har följts. Dataskyddsförordningen tillämpas emellertid bland annat inte på sådan behandling av personuppgifter som utförs i samband med verksamhet som inte omfattas av unionsrättens tillämpningsområde eller som behöriga myndigheter utför i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Till det först nämnda undantaget hänförs i regel exempelvis den nationella säkerheten (se även GrUU 35/2018 rd och GrUU 36/2018 rd), och till det senare undantaget närmast polisdirektivet. 
Enligt artikel 2 i polisdirektivet tillämpas direktivet på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1. I den sist nämnda artikeln nämns som godtagbara ändamål behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten. Enligt artikel 4.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt artikel 4.4 ska den personuppgiftsansvarige ansvara för, och kunna visa att personuppgifterna har behandlats enligt denna princip. I artikel 8.2 sägs att medlemsstaternas nationella rätt, som reglerar behandling av personuppgifter inom tillämpningsområdet för direktivet, åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. 
När grundlagsutskottet har tagit ställning till lagstiftning om behandling av personuppgifter har det med avseende på skyddet för personuppgifter ansett det viktigt att reglera bland annat uppgifternas innehåll, syftet med registreringen av uppgifterna, och de tillåtna användningsändamålen (se GrUU 14/1998 rd och t.ex. GrUU 14/2018 rd). Enligt utskottet ska dessa omständigheter på lagnivå i den nu aktuella normkontexten även framöver vara täckande och detaljerad. 
Bestämmelserna om riksomfattande informationssystem och andra Tullens personregister i den gällande lagen ersätts med bestämmelser om ändamålet med behandlingen av personuppgifter som behövs för skötseln av de övervakningsuppdrag som i lag föreskrivs för Tullen och för att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning samt innehållet i de personuppgifter som behandlas. Grundlagsutskottet har ingenting att invända mot den principen. 
Andra utgångspunkter för propositionen
Grundlagsutskottet har nyligen (GrUU 26/2018 rd) behandlat en regeringsproposition med förslag till lag om dataskyddslag avseende brottmål som bland annat syftar till att genomföra polisdirektivet. Utskottet har inom tillämpningsområdet för EU:s dataskyddsförordning justerat sin ståndpunkt till skyddet för personuppgifter i fråga om kraven på föreskrivande genom lag. Grundlagsutskottet fäster avseende vid att till skillnad från den direkt tillämpliga dataskyddsförordningen innehåller polisdirektivet inte några sådana detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund när det gäller skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen (GrUU 14/2018 rd, s.6). Det är också av betydelse att nationell säkerhet är ett område som i fördraget om Europeiska unionen faller utanför EU:s behörighet och därmed inte heller i första hand kan hänföras till polisdirektivets tillämpningsområde. Till följd av förpliktelsen att skydda personuppgifter enligt 10 § i grundlagen krävs det nationell lagstiftning om behandling av personuppgifter på grundval av nationell säkerhet (se GrUU 26/2018 rd). 
Enligt grundlagsutskottet (GrUU 26/2018 rd och GrUU 14/2018 rd) får dock de rättigheter som är tryggade enligt 10 § i grundlagen en speciell betydelse i sammanhang som är särskilt känsliga med avseende på de grundläggande fri- och rättigheterna. Före reformen av de grundläggande fri- och rättigheterna kom utskottet med en karaktärisering som senare blivit vedertagen, nämligen att "polislagen är typexemplet på en lag som lätt kan råka i konflikt med medborgarnas grundläggande rättigheter, i synnerhet de klassiska friheterna” (GrUU 15/1994 rd och GrUU 67/2010 rd). Grundlagsutskottet anser att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en kontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (se även GrUU 14/2018 rd). 
Relevant i detta avseende var också att det då aktuella förslaget till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten är en lag som blir tillämplig som allmän lag på sitt tillämpningsområde, och som ska kompletteras med speciallagstiftning för olika förvaltningsområden (GrUU 26/2018 rd). Enligt utskottets uppfattning är det nu aktuella lagförslaget tänkt att utgöra sådan kompletterande speciallagstiftning. 
I konstitutionella analyser av behandlingen av personuppgifter har utskottet sett ändamålet med behandlingen som relevant, eftersom behandlingen möjliggör utövning av offentlig makt gällande individer (se GrUU 1/2018 rd). Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. För lagar gäller det allmänna kravet på att en lag ska vara exakt och noga avgränsad. Befogenheterna ska med tanke på rättsstatsprincipen i grundlagens 2 § 3 mom. grunda sig på lag (se även GrUU 10/2016 rd och GrUU 51/2006 rd). Enligt utskottet är regleringen av befogenheter vanligen relevant också i förhållande till de i grundlagen inskrivna grundläggande fri- och rättigheterna (GrUU 51/2006 rd). 
Av propositionens motiv till lagstiftningsordning framgår det att känsliga personuppgifter behandlas vid Tullen för att de uppgifter som hör till direktivets och förordningens tillämpningsområde ska kunna skötas. Tullens behov att behandla uppgifter som hör till särskilda kategorier av personuppgifter ansluter sig till nästan alla ändamål med behandlingen enligt lagförslag 1. Exempelvis biometriska uppgifter, som i grundlagsutskottets praxis i många avseenden ansetts kunna liknas vid känsliga uppgifter, (se t.ex. GrUU 14/2009 rd, s. 3/I) behandlas både för förebyggande, avslöjande och utredning av brott. 
Grundlagsutskottet har tagit ställning till hantering av känsliga uppgifter med utgångspunkt i att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar i de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd och de utlåtanden som nämns där). Här är det relevant att utskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför ansett att i synnerhet tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd), vilket inneburit att inrättandet av register med exempelvis sådana uppgifter måste bedömas i skenet av villkoren för inskränkningar i de grundläggande fri- och rättigheterna och med hänsyn till inskränkningarnas acceptabilitet och proportionalitet (GrUU 29/2016 rd och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 38/2016 rd). 
Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd och GrUU 14/2009 rd). Även enligt EU:s allmänna dataskyddsförordning bör särskilda personuppgifter, som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter, åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande fri- och rättigheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd). Denna avgränsning har i utskottets senare praxis ansetts vara en fråga som är relevant för lagstiftningsordningen (se t.ex. GrUU 15/2018 rd). 
Följaktligen menar utskottet att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxis för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter. Behovet av lagbestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. I fråga om behovet bör också det riskbaserade synsättet i förordningen vägas in. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd). 
Tullens personregister innehåller mycket sådan information som det är ytterst viktigt att skydda mot obehörig användning. I en sådan situation måste också övervakningen av användningen av informationen ägnas särskild uppmärksamhet (GrUU 51/2018 rd och GrUU 42/2014 rd, se även GrUU 35/2018 rd). Utskottet betonar att skyddet för uppgifter från obehörig användning inte uteslutande kan baseras på det tjänsteansvar som gäller för den personuppgiftsansvarige eller den som hanterar uppgifterna eller på något annat påföljdssystem (GrUU 51/2018 rd och GrUU 52/2018 rd). 
Grundlagsutskottet konstaterar att det inte inom ramen för sitt konstitutionella uppdrag gjort någon övergripande bedömning av hur den föreslagna regleringen förhåller sig till unionsrätten. Förvaltningsutskottet har anledning att försäkra sig om att den föreslagna regleringen inte står i konflikt med de krav som följer av unionsrätten. 
Förvaltningsutskottet konstaterar att det i direktivet om dataskydd i brottmål sägs att medlemsstaternas nationella rätt som reglerar behandling av personuppgifter inom tillämpningsområdet för direktivet åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. Direktivet fastställer således ett slags miniminivå. Grundlagsutskottet har i anslutning till dataskyddsreformen konstaterat att direktivet inte innehåller några detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund för skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen (GrUU 14/2018 rd). Bestämmelserna måste därför kompletteras med nationell lagstiftning. 
Dataskyddsförordningen är däremot direkt tillämplig rätt. Den ger dock i någon mån nationellt handlingsutrymme. Genom nationell lag kan man preciseras den rättsliga grunden för behandlingen av personuppgifter och innehållet i behandlingen samt t.ex. möjligheten att under vissa förutsättningar göra undantag från den registrerades rättigheter. Artikel 6 i dataskyddsförordningen innehåller närmare bestämmelser om laglig behandling av personuppgifter. Med stöd av artikel 9 i dataskyddsförordningen kan närmare bestämmelser utfärdas också om behandling av personuppgifter inom särskilda kategorier av personuppgifter. Grundlagsutskottet har framhållit att i den mån EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan är det viktigt att hänsyn tas till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella spelrummet utnyttjas (GrUU 14/2018 rd). 
I propositionsmotiven redogörs det för hur förslagen i propositionen relaterar till dataskyddslagen avseende brottmål och till dataskyddsförordningen. Förvaltningsutskottet föreslår vissa ändringar i lagförslaget som är av betydelse med avseende på unionsrätten. Valet i den nationella lagstiftningen mellan en registerbaserad regleringslösning eller en lösning som utgår från ändamålen med behandlingen begränsas dock inte i något avseende av EU-lagstiftningen om dataskydd. 
Förvaltningsutskottet konstaterar vidare att dataskyddsförordningen, dataskyddslagen och dataskyddslagen avseende brottmål innehåller detaljerade bestämmelser bland annat om de allmänna principerna för behandling av personuppgifter, om den personuppgiftsansvariges skyldigheter, om den registrerades rättigheter, om informationssäkerhet och övervakning och om följderna av lagstridig behandling av personuppgifter. 
Enligt förvaltningsutskottets uppfattning beaktas i propositionen på behörigt sätt de krav som följer av unionsrätten. Behörigheten att bedöma om lagstiftningen harmonierar med unionsrätten hör emellertid till EU-domstolen. 
Lagens tillämpningsområde
Grundlagsutskottet menar att det komplex som den tillämpliga lagstiftningen utgör inte kan anses klart och begripligt trots att strukturen i den reglering som nu utvärderas bär spår av försök till klarhet och tydlighet. Förhållandet mellan unionsrätten och de nationella bestämmelserna är delvis överlappande och delvis avskiljande. Det är svårt och tidsödande att utifrån de bestämmelser som ingår i lagförslaget få klarhet i det exakta tillämpningsområdet för den föreslagna regleringen. Bestämmelserna i 2 § om lagförslagets tillämpningsområde i förhållande till annan lagstiftning är inte särskilt tydliga i detta avseende. Trots att grundlagsutskottet anser det klart att det begränsade och specifika tillämpningsområdet för unionsrätten och dess dataskyddsbestämmelser är en synnerligen starkt bidragande orsak till den komplicerade regleringen, bör förvaltningsutskottet undersöka om det finns några sätt att förtydliga frågan om tillämpningsområdet. 
Förvaltningsutskottet anser att det till följd av de villkor som ingår i EU-regleringen inte egentligen finns några möjligheter att precisera tillämpningsområdet för den föreslagna lagen. I 2 § i lagförslaget beskrivs hur de föreslagna bestämmelserna relaterar till tillämpningsområdet för de allmänna lagarna med den noggrannhet som den allmänna lagstiftningen om dataskydd tillåter. Utskottet kommer dock med följande påpekanden. 
Tillämpningsområdet för Tullens personuppgiftslag framgår av det som föreskrivs i 1 § om tillämpningsområdet och av det som föreskrivs i 2 § om förhållandet till annan lagstiftning. Förvaltningsutskottet föreslår vissa preciseringar i 1 § som framgår närmare av detaljmotiven. Det finns speciallagstiftning inom såväl Tullens som polisens och Gränsbevakningsväsendets ansvarsområde. Som exempel på specialbestämmelser kan nämnas den lag som föreslås i proposition RP 55/2018 rd om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet. 
I 1 punkten till 2 § 1 mom. föreskrivs det om när dataskyddslagen avseende brottmål ska tillämpas som allmän lag på behandling av personuppgifter vid Tullen (1 mom.). Enligt 1 § ska dataskyddslagen avseende brottmål tillämpas på behandlingen av personuppgifter i syfte att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning samt för att skydda mot eller förebygga hot mot den allmänna säkerheten. Dataskyddsförordningen är direkt tillämplig rätt och dess tillämpningsområde kan inte begränsas eller förklaras genom nationell reglering. För den skull ingår i 2 § 2 mom. endast in informativ hänvisning till dataskyddsförordningen. Dataskyddsförordningen och den nationella dataskyddslagen, som kompletterar förordningen, tillämpas vid Tullen till exempel på tullövervakning och skattekontroll, övriga övervakningsuppgifter som föreskrivs för Tullen och behandling av personuppgifter i samband med gränsbevakningsuppgifter. 
EU:s dataskyddsreform har genomförts med beaktande av principen om handlingars offentlighet. I artikel 86 i dataskyddsförordningen föreskrivs det om att samordna dataskyddslagstiftningen och principen om handlingars offentlighet. Enligt skäl 16 i dataskyddsdirektivets ingress påverkar direktivet inte tillämpningen av principen om allmänhetens rätt att få tillgång till allmänna handlingar. När uppgifter lämnas ut ur en myndighets personregister ska offentlighetsprincipen och sekretessbestämmelserna beaktas på det sätt som föreskrivs i offentlighetslagen och i synnerhet i dess 16 § 3 mom. När dataskyddslagen avseende brottmål stiftades framhölls det att avsikten inte är att genom den föreslagna lagen ändra det nuvarande inbördes förhållandet mellan offentlighetslagstiftningen och lagstiftningen om skydd för personuppgifter (FvUB 14/2018 rd). Med hänvisning till grundlagsutskottets utlåtande föreslår förvaltningsutskottet nedan att hänvisningen i 2 § i lagförslaget till offentlighetslagen preciseras på det sätt som framgår av detaljmotiven. 
I det föreliggande lagförslaget föreslås inga särskilda befogenhetsbestämmelser. Bestämmelser om tullens uppgifter och befogenheter finns i tullagen (304/2016), lagen om Tullens organisation (960/2012) och lagen om brottsbekämpning inom Tullen (623/2015). I många speciallagar finns det dessutom bestämmelser om tullövervakning och därtill anslutna befogenheter. Bestämmelser om befogenheter att inhämta information som behövs för att förebygga och avslöja brott samt avvärja fara trots skyddet för hemligheten i fråga om förtroliga meddelanden finns i tullagen och bestämmelser om befogenheter att inhämta motsvarande information som behövs för brottsutredning finns i tvångsmedelslagen (806/2011) och förundersökningslagen (805/2011). Vid behandling av personuppgifter som inhämtats med Tullens befogenheter ska den allmänna lagstiftningen om dataskydd iakttas och dessutom den föreslagna Tullens personuppgiftslag. Om befogenhetsbestämmelserna innehåller strängare villkor för behandling av personuppgifter ska dessa iakttas i stället för Gränsbevakningsväsendets personuppgiftslag. 
Under alla omständigheter kommer den allmänna lagstiftningen och speciallagstiftningen att utgöra ett mångbottnat komplex. Det kan vara svårt att identifiera de tillämpliga bestämmelserna i synnerhet i den praktiska verksamheten. Även den i sammanhanget nya principen om ändamålsbundenhet förutsätter nya attityder. Förvaltningsutskottet framhåller att allt detta ger upphov till ett stort behov att styra in verksamheten i nya banor och att ge personalen en gedigen utbildning. Myndigheterna måste behandla sina personregister och personuppgifter på ett korrekt sätt i alla hänseenden och uppfylla de lagstadgade kraven på personregister, påpekar utskottet. Det är också viktigt att genomföra en god informationshantering och att följa bästa praxis. 
Behandling av personuppgifter för förebyggande eller avslöjande av brott
Den gällande lagen om behandling av personuppgifter inom Tullen tillämpas enligt dess 1 § på automatisk behandling av personuppgifter som behövs för skötseln av de uppdrag som i lag föreskrivs för Tullen och på annan behandling av personuppgifter, då de utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. Syftet med den gällande lagen har dock varit att reglera lagringen av uppgifter i Tullens rikstäckande informationssystem och i andra i lagen avsedda personregister. Bestämmelserna gäller därmed inte behandlingen av information som omfattas av lagens tillämpningsområde innan de lagras i ett namngivet personregister eller informationssystem. 
Ett syfte med en reglering som utgår från behandlingsändamålet är att täcka in alla typer av behandling av personuppgifter som behövs för skötseln av de övervakningsuppdrag som i lag föreskrivs för Tullen och för att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning. Med avvikelse från den gällande lagen kommer de nya bestämmelserna som grundar sig på ändamålsbundenhet att också gälla behandling av det som enligt definitioner i den allmänna lagstiftningen utgör ett personregister samt automatisk behandling, även om det inte finns några bestämmelser om detta i Tullens personuppgiftslag. 
Således gäller 7 och 8 § om att behandla personuppgifter i syfte att förbygga eller avslöja tullbrott i lagförslag 1 i propositionen all registrering och annan behandling av personuppgifter som behövs för Tullens förebyggande och avslöjande verksamhet. Paragraferna ska ersätta den gällande lagens bestämmelser i 3 § om behandling av information i informationssystemet för brottsbekämpning, i 4 § om underrättelseregistret och i 7 § om Tullens övriga personregister för att förhindra och avslöja brott. 
Avsikten är dessutom att 7 och 8 § i enlighet med ändamålsbundenhetsgrunden ska inbegripa också sådan informationsbehandling i anknytning till Tullens förebyggande verksamhet som den gällande lagen saknar bestämmelser om. Enligt 3 kap. i lagen om brottsbekämpning inom Tullen får Tullen genom hemliga metoder för inhämtande av information samla in uppgifter om personer i fråga om vilka det finns grundad anledning att anta att de kommer att begå brott. Det finns inga bestämmelser i den gällande lagen om hur dessa uppgifter ska behandlas i inledningsfasen även om de måste behandlas automatiskt bland annat för att utröna om tröskeln för registrering i underrättelseregistret överskrids. I den gällande lagen om behandling av personuppgifter inom Tullen regleras med andra ord inte behandlingen av uppgifter som inhämtats med hemliga metoder för inhämtande av information förrän de registreras i något av de informationssystem som nämns i lagen. Villkoret för behandling enligt föreslagna 7 § 2 mom. 1 punkten (”med fog kan antas”) täcker in behandlingen av uppgifter som inhämtats med metoder som avses i 3 kap. i Tullens brottsbekämpningslag i syfte att förhindra brott. Detta är inte fallet med det villkor, ”skäl att misstänka”, som nämns i den gällande lagen. 
Grundlagsutskottet har reagerat på att enligt motiven i propositionen till lagstiftningsordningen innebär de föreslagna 7 och 8 § en utvidgning i jämförelse med den gällande lagen av det datainnehåll som behandlas riksomfattande, både vad gäller datainnehållet och de kategorier av personer som får registreras. Enligt gällande lag är antecknande i registret knutet till straffet för ett misstänkt brott på så sätt att personuppgifter om en person som gör sig skyldig eller misstänks ha gjort sig skyldig till ett brott får behandlas om straffpåföljden kan vara fängelse. Uppgifter om en person som har medverkat eller medverkar till ett brott får enligt gällande lag behandlas om det misstänkta brottet kan följas av fängelse i minst ett år. Grundlagsutskottet konstaterar att det i 7 § inte uppställs några kriterier för hur grova brott det är fråga om utan de uppgifter som lagrummet avser förutsätts anknyta till personer som "med fog kan antas ha gjort sig eller göra sig skyldiga till brott". Enligt gällande 4 § 1 mom. är en förutsättning för behandling av uppgifter att en person "skäligen kan misstänkas" göra eller ha gjort sig skyldig till brott. Utskottet påpekar att myndighetsmisstanke om brott enligt artikel 10 i dataskyddsförordningen utgör en känslig personuppgift som kräver särskild konstitutionell reglering. Förvaltningsutskottet måste komplettera regleringen så att behandlingen knyts till brottets grovhetsgrad. En sådan komplettering är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Dessutom finns det anledning för förvaltningsutskottet att höja graden av antagande exempelvis till "skäl att misstänka" i överensstämmelse med den gällande lagen, anser grundlagsutskottet. 
I det följande jämförs närmare de föreslagna ändringarna i propositionen med den gällande lagen. 
Underrättelseregistret.
I den gällande lagen finns bestämmelser om underrättelseregistret i 4 §. För att förhindra, avslöja och utreda tullbrott samt föra dessa brott till åtalsprövning får i underrättelseregistret det införas information om personer som skäligen kan misstänkas för att göra sig skyldiga eller ha gjort sig skyldiga till ett brott på vilket kan följa fängelse, eller medverka eller ha medverkat till ett brott på vilket kan följa fängelse i minst ett år. 
Förvaltningsutskottet har fäst uppmärksamhet vid brister i anknytning till behandlingen av personuppgifter i polisens informationssystemet för misstänkta (FvUU 40/2014 rd). I det registret kan endast antecknas misstänkta och medverkande. Förvaltningsutskottet har i sitt betänkande (FvUB 16/2014 rd) konstaterat att när uppgifter om en person förs in i registret över misstänkta måste kriterierna uppfyllas, det vill säga att personen kan misstänkas göra sig eller ha gjort sig skyldig alternativt medverka eller ha medverkat till ett brott. Tröskeln för “skäl att misstänka" (”skäligen kan misstänkas”) är densamma som tröskeln för att inleda förundersökning av brott enligt förundersökningslagen. Förvaltningsutskottets ovan refererade ställningstaganden till polisens informationssystem för misstänkta är relevanta vid bedömningen av förutsättningarna för att föra in information i Tullens underrättelseregister. 
Att det inte är så enkelt att tillämpa bestämmelserna om registret över misstänkta framgår enligt förvaltningsutskottet av att registret inte bara innehåller uppgifter om misstänkta personer som har gjort sig skyldiga eller har medverkat till ett brott som nämns i bestämmelsen, utan också om ett sådant brott som personen kan göra sig skyldig eller medverka till i framtiden. Det är uppenbart att misstanken också i sådana fall måste grunda sig på konkreta iakttagelser som ger anledning att sluta sig till att personen kommer att handla så att kravet "skäl att misstänka" uppfylls på ett godtagbart sätt. Att bedöma hur en person kommer att bete sig i framtiden är kopplat till en så osäker slutledningskedja att risken för felbedömning är mycket stor. 
Bestämmelserna om underrättelseregistret har betraktats som oändamålsenliga och bristfälliga även med tanke på Tullens verksamhet. I sin nuvarande utformning gynnar bestämmelsen inte fullt ut Tullens förebyggande verksamhet, prognostisering och utnyttjande av systematiskt inhämtad och behandlad information. 
Vid utformningen av de föreslagna 7 och 8 § om behandling av personuppgifter för förebyggande och avslöjande av brott har uppmärksamhet fästs vid de förvaltningsutskottets anmärkningar som refererats ovan i fråga om informationssystemet för misstänkta (FvUU 40/2014 rd och FvUB 16/2014 rd). Enligt föreslagna 7 § får Tullen behandla personuppgifter som hänger samman med en uppgift i anknytning till förebyggande eller avslöjande av brott. I paragrafen finns en uttömmande förteckning över vilka personkategorier bestämmelsen gäller. 
Enligt propositionen kan man med stöd av 7 § 2 mom. 1 punkten behandla personuppgifter om personer som med fog kan antas ha gjort sig eller göra sig skyldiga till brott. Med hänvisning till grundlagsutskottets utlåtande föreslår förvaltningsutskottet på det sätt som närmare framgår av detaljmotiven att tröskeln för behandling av personuppgifter höjs så att bestämmelsen endast kan tillämpas i fråga om personer som med fog kan antas ha gjort sig eller göra sig skyldiga till brott på vilket kan följa fängelse. Formuleringen ”skäligen kan misstänkas” i 4 § i den gällande lagen är ett begrepp som hänför sig till inledande av förundersökning och den definitionen är svår att anpassa till verksamhet som anknyter till förhindrande och avslöjande verksamhet. Tullens verksamhet för att förhindra brott riktar sig normalt mot personer i fråga om vilka det ännu inte uppkommit någon skyldighet att inleda förundersökning. Begreppet ”skäligen kan misstänkas” kan inte i verksamhet som handlar om att förhindra eller avslöja brott tolkas på samma sätt som vid en förundersökning. Det är därför befogat att formulera tröskeln för behandling av personuppgifter på ett sätt som uttryckligen hänger samman med att förhindra och avslöja brott och till den till verksamheten bundna befogenheter att inhämta information. Den föreslagna nya tröskeln för behandling av personuppgifter (”med fog kan antas”) kan också motiveras med att den tydligare än tröskeln ”skäligen kan misstänkas” anknyter till 3 kap. i Tullens brottsbekämpningslag, som handlar om informationsinhämtning för att förhindra och avslöja brott. 
Med stöd av förslaget till 7 § 2 mom. 2 punkten är det möjligt att behandla personuppgifter om personer som har kontakt med en i 1 punkten avsedd person eller påträffas i dennes sällskap, och kontakten eller sammanträffandena på grund av att de har upprepats, omständigheterna eller personens beteende kan antas ha samband med ett brott. Jämfört med den gällande lagen är denna kategori av personer tämligen ny. Behovet att behandla uppgifter om kontakter och medgärningsmän noteras också i dataskyddsdirektivet för brottsbekämpande myndigheter och i artikel 6 föreskrivs det om åtskillnad mellan olika kategorier av registrerade. I artikel 6 d nämns personer med kontakter eller medgärningsmän till de aktuella personerna. Dessa personer ska anknyta till personer i fråga om vilka det finns tungt vägande skäl att anta att de har begått eller är på väg att begå ett brott eller personer som dömts för brott. 
Eftersom grundlagsutskottet förutsätter att behandlingen av personuppgifter är knuten till brottets grovhetsgrad måste också den personkategori som avses i 2 punkten begränsas på ett annat sätt än i propositionen. Med stöd av 2 punkten kan uppgifter behandlas endast i fråga om personer som har kontakt med sådana i 1 punkten avsedda personer som misstänks ha begått brott på vilka kan följa fängelsestraff. Den personuppgiftsansvarige ska i enlighet med kraven i dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. 
Tullen kan med stöd av den föreslagna 7 § 2 mom. 3 punkten behandla uppgifter om personer som är föremål för sådan observation som avses i 3 kap. 9 § i Tullens brottsbekämpningslag. Med observation avses i enlighet med 3 kap. 9 § 1 mom. i lagen om brottsbekämpning inom Tullen iakttagande av en viss person i hemlighet i syfte att inhämta information. Till i punkten avsedda personer hör sådana personer som är föremål för observation, vars uppgifter inte kan behandlas med stöd av 1 och 2 punkten. Det har framkommit ett behov att komplettera punkten med bestämmelser om registrering av uppgifter också om andra personer som är föremål för tullövervakning eller tullbrottsbekämpning. Denna frågar behandlas närmare nedan i samband med informationssystemet för brottsbekämpning. 
I vissa situationer måste Tullen nödvändigt behandla uppgifter också om andra personer än de som i första hand är föremål för kriminalunderrättelseinhämtning. I det föreslagna 7 § 3 mom. kan för dessa personers vidkommande föreskrivas om en högre behandlingströskel. Behandling av uppgifter om de som är offer för brott eller som uppträder som målsägande, som har anmält ett brott eller är vittnen till ett brott kan vara nödvändigt t.ex. i situationer när man försöker förebygga ett brott mot ett vittne eller en målsägande i ett redan inträffat brott. Bestämmelsen förtydligar nuläget och gör det möjligt att till exempel behandla uppgifter om brottsoffer, något som hittills i fråga om underrättelseregistret bara har framgått av motiveringen till bestämmelsen. 
Tillfälliga brottsanalysregister
I den gällande lagen föreskrivs det om temporära register för brottsanalys i 7 § 2 mom. 2 punkten, som gäller Tullens övriga personregister. För att användas av en eller flera av Tullens verksamhetsenheter kan det inrättas ett temporärt register för sådan brottsanalys som behövs för att förhindra, avslöja eller utreda sådana tullbrott som kan leda till fängelse, i vilket får samköras, lagras och i övrigt behandlas uppgifter i de informationssystem och personregister inom Tullen som avses i 3—6 §, uppgifter som i samband med utförandet av ett enskilt tulluppdrag har inhämtats genom kriminalunderrättelseverksamhet, observation eller iakttagelser, samt andra behövliga uppgifter som Tullen har rätt att få enligt 13 §. De gällande bestämmelserna inriktar också analysverksamheten och situationsbilden utifrån analyser i riktning mot enskilda brott eller brottskomplex, och inte mot en sammantagen bild av brottsligheten eller omvärldsförändringar. Funktionellt sett är det också ett problem att uppgifterna i registren för brottsanalys inte kan användas i hela landet. Tillsynen över registreringen försvåras likaså av att registreringen är så splittrad. 
I förslaget till 7 § har behandlingströskeln för vissa personkategorier höjts. I den gällande lagen finns inga bestämmelser om personkategorier om vilka uppgifter kan registreras i tillfälliga analysregister. Förslaget innebär således välkomna preciseringar jämfört med nuläget. Personuppgifter skulle emellertid framöver få behandlas i hela landet för utförandet av en uppgift som anknyter till förebyggande eller avslöjande av brott. Uppgifterna kommer att behandlas enhetligt i enlighet med riksomfattande processer, vilket underlättar styrningen och övervakningen av behandlingen och förbättrar skyddet för uppgifterna. 
Informationssystemet för brottsbekämpning.
Bestämmelserna om iakttagelser som registrerats i informationssystemet för brottsbekämpning (gällande 3 § 3 mom. 2 punkten) ingår i propositionens 7 § 5 mom. om förebyggande eller avslöjande av brott. Det föreslås inga materiella ändringar i bestämmelserna om observationer, utan behandlingströskeln är den samma som hittills. 
Utöver observationer registreras i Tullens informationssystem för brottsbekämpning också i den gällande lagens 3 § 2 mom. avsedda personuppgifter om vittnen, dem som anmäler brott eller som har något annat samband med ärendet. Om dessa registreras i systemet enligt 3 § 3 mom. 1 punkten underpunkt c) uppgifter om andra behövliga beskrivningar, omständigheter eller specificeringar som hänför sig till Tullens uppgifter, åtgärder eller händelser. 
Tullens brottsförebyggande verksamhet riktar sig ofta också mot personer som inte med fog kan antas göra sig skyldiga till brott på vilket det kan följa fängelsestraff på ett sådant sätt som den behandlingströskel som utskottet föreslagit i 7 § 2 mom. 1 punkten. Tullen kan vara skyldig att utreda eller vidta åtgärder också innan en person med fog kan antas göra sig skyldig till brott. Föremål för åtgärder kan också vara en person som med fog kan antas göra sig skyldig till brott eller ha en sådan kontakt till denna brottslighet som avses i 7 § 2 mom. 2 punkten, men brottets grovhetsgrad kan vara oklar. En del av de personuppgifter som enligt den gällande lagen kan behandlas i informationssystemet för brottsbekämpning utan bundenhet till grovhetsgraden skulle därmed lämnas utanför en sådan behandling av personuppgifter som avses paragraferna. Den föreslagna ändringen försämrar således Tullens möjligheter att registrera uppgifter i den förebyggande verksamheten. 
Bestämmelsen i 7 § 2 mom. 3 punkten måste kompletteras med en ny personkategori, personer som är föremål för åtgärder för tullövervakning och tullbrottsbekämpning, för att det ska vara möjligt att behandla uppgifter som gäller personer som är föremål för åtgärder inom ramen för den Tullens förebyggande verksamhet. Tullen ska ha möjlighet att behandla uppgifter också om personer som är föremål för dessa åtgärder. Det här behövs för att förebygga och avslöja brott fram till dess att man kan avgöra om den behandlingströskel som avses i 7 § 2 mom. 1 eller 2 punkten överskrids. Tullens åtgärder i fråga om fysiska personer är alltid en del av ett enskilt uppdrag och kan vara förenat med olika grad av utövande av offentlig makt. 
Det saknas egentliga bestämmelser om registrering av förebyggande verksamhet i informationssystemet för brottsbekämpning, om man undantar definitionen av behandlingssyfte i det föreslagna 3 § 1 mom. som gäller Tullen samtliga lagfästa uppgifter för tillsyn och brottsbekämpning. De föreslagna 7 och 8 § skulle i detta avseende förtydliga Tullens behörighet att behandla uppgifter om personer som är föremål för åtgärder. Utskottet påpekar att den gällande 3 § tillåter behandling av uppgifter om ”den som har något annat samband med ärendet”. Begreppet definieras inte närmare och därmed skulle de personkategorier vilkas uppgifter får behandlas snävas in märkbart enligt lagförslaget. Utskottet hänvisar till det som sägs i detaljmotiveringen. 
Sammanfattning
Utskottet beaktar grundlagsutskottet konstitutionella anmärkningar och föreslår på det sätt som framgår av detaljmotiven att behandlingen av personuppgifter ska anknyta till det misstänkta brottets grovhetsgrad. Tröskeln för behandling av personuppgifter föreslås således bli höjd så att uppgifter kan behandlas endast om personer som med fog kan antas ha gjort sig eller göra sig skyldiga till brott på vilket kan följa fängelse. 
Förvaltningsutskottet konstaterar att om behandlingströskeln höjs till nivån ”skäligen misstänkas” ökar samtidigt trycket på att behandla uppgifter om de personer som är föremål för åtgärder. Uppgifter om den som är föremål för åtgärder skulle i så fall behandlas med stöd av föreslagna 7 § 2 mom. 3 punkten till dess att det blir klart om personen skäligen kan misstänkas ha gjort eller göra sig skyldig till ett brott på vilket kan följa fängelse. Utskottet hänvisar till det som sägs ovan om förebyggande och avslöjande av brott och jämförelser mellan och konstaterar att det anser att den behandlingströskel som föreslås i 7 § 2 mom. 1 punkten i propositionen (”med fog kan antas”) är motiverad och utskottet lägger inte fram något förslag till ändring. 
Förvaltningsutskottet understryker att beslutsfattandet i Tullens verksamhet måste grunda sig på saklig, korrekt och aktuell information. Genom att behandla uppgifter kan man försäkra sig om att åtgärderna är proportionerliga i sin inriktning och att verksamheten är informationsdriven. Att behandla uppgifter och dokumentera är samtidigt en rättssäkerhetsfaktor med vilken man tryggar rättssäkerheten för såväl de som är föremål för som de som vidtar åtgärderna. En utvärdering av verksamheten i efterskott kan i princip endast bygga på dokumenterad information. 
Rätt att lämna ut och att få uppgifter
I sitt utlåtande om Tullens personuppgiftslag hänvisar grundlagsutskottet till bestämmelsen om Tullens rätt att få uppgifter ur vissa register och informationssystem (GrUU 60/2018 rd). Grundlagsutskottet har bedömt bestämmelserna om myndigheternas rätt att få och skyldighet att lämna ut information med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och att lämna ut information kan gälla ”nödvändiga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över vad uppgifterna ska innehålla. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "informationen är nödvändig" för ett visst syfte (se t.ex. GrUU 17/2016 rd, s. 5—6, och de utlåtanden som nämns där). I sina analyser av exakthet och innehåll har utskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om överlåtelse av uppgifter har gällt också känsliga uppgifter, har det för vanlig lagstiftningsordning krävts att bestämmelserna preciseras så att de följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se t.ex. GrUU 15/2018 rd, s 39). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 14/2018 rd, s. 5). Utskottet anser att motsvarande utgångspunkter också kan tillämpas på rätten att få och lämna ut information trots banksekretessen (se GrUU 48/2018 rd, s. 5). 
Grundlagsutskottet menar att förslaget till 14 § om Tullens rätt att få uppgifter ur vissa register och informationssystem i Tullens personuppgiftslag, på grund av grundlagens 10 § 1 mom. om skydd för privatlivet och personuppgifter måste preciseras så att den följer grundlagsutskottets ovan refererade praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Motsvarande ställningstagande i fråga om lagstiftningsordningen gäller också 15 § i lagförslaget om uppgifter som andra myndigheter lämnar ut till Tullen genom registrering via direkt anslutning eller för registrering som en datamängd, 18 § om utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål och 19 § om övrigt utlämnande av personuppgifter till myndigheter. 
Enligt grundlagsutskottets utlåtande (GrUU 58/2018 rd) om RP 241/2018 rd med förslag till lag om behandling av personuppgifter vid Gränsbevakningsväsendet måste regleringen i 17 § i lagförslag 1 på grund av grundlagens 10 § 1 mom. om skydd för privatlivet och personuppgifter preciseras så att den följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Samma ståndpunkt gäller förslaget till 18 § om rätt att få uppgifter av privata sammanslutningar och personer, 20 § om rätt att få uppgifter ur vissa register och datasystem, 30 § om utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål samt 31 § om övrigt utlämnande av personuppgifter till myndigheter. 
Också i polisens personuppgiftslag finns det bestämmelser om rätten att lämna ut och få uppgifter (RP 242/2018 rd). Grundlagsutskottets utlåtande innehåller en konstitutionell anmärkning bara i fråga om den föreslagna 51 §, som gäller skyddspolisen (GrUU 51/2018 rd). Förvaltningsutskottet anser att regleringen ska vara så överensstämmande som möjligt av hänsyn till PTG-samarbetet mellan polisen, Tullen och Gränsbevakningsväsendet. Regleringen får inte heller leda till att uppgifter får lämnas ut till andra EU/EES-länder eller tredje länder på vagare grunder än de som gäller nationellt. 
Enligt allmän praxis har bestämmelser om utlämnande av uppgifter och om rätt att få information tagits in i både den överlåtande myndighetens och den mottagande myndighetens lagstiftning. Men detta regleringssätt har inte varit täckande. I sitt betänkande FvUB 36/2014 rd har förvaltningsutskottet uppmärksammat den dubbla regleringen. Förutom dubbel reglering har frågan i speciallagstiftningen också löst så att bestämmelser om rätten att få information tas in enbart i fråga om den aktör som lämnar ut uppgifter eller enbart i fråga om den aktör som har rätt att få uppgifter. 
Förvaltningsutskottet konstaterar att den föreslagna regleringen nu ser ut att utformas på olika sätt i den lagstiftning som gäller dels förhållandet polisen och Gränsbevakningsväsendet/Tullen, dels till vissa delar också förhållandet mellan Tullen och Gränsbevakningsväsendet. De föreslagna ändringar skulle samtidigt leda till att uppgifter får lämnas ut till andra EU/EES-länder eller tredje länder på vagare grunder än de som gäller nationellt. 
I sina analyser av exakthet och innehåll har grundlagsutskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om överlåtelse av uppgifter har gällt också känsliga uppgifter, har det för vanlig lagstiftningsordning krävts att bestämmelserna preciseras så att de följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se t.ex. GrUU 15/2018 rd, s 39). 
Förvaltningsutskottet konstaterar att känsliga personuppgifter behandlas inom Tullen för att de tulluppgifter som hör till direktivets och förordningens tillämpningsområde ska kunna skötas. Dessutom ansluter sig Tullens behov att behandla uppgifter som hör till särskilda kategorier av personuppgifter till nästan alla ändamål med behandlingen enligt lagförslaget. 
EU:s dataskyddsreform har skärpt dataskyddet. I artikel 5 i dataskyddsförordningen föreskrivs det om principerna för behandling av personuppgifter och i artikel 6 om behandlingens laglighet. Behandlingen av personuppgifter är laglig bland annat när behandlingen behövs för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. 
Enligt artikel 9.1 i dataskyddsförordningen är behandling av särskilda kategorier av personuppgifter i princip förbjuden. Särskilda kategorier av personuppgifter är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Hantering av särskilda kategorier av personuppgifter är också behandling av genetiska uppgifter, hantering av biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Enligt artikel 9.2 får uppgifterna behandlas om något av villkoren i punkt 2 led a–j uppfylls. En del av de här leden ska tillämpas direkt medan andra kräver nationell lagstiftning. 
I 6 § i den nationella dataskyddslagen, som kompletterar dataskyddsförordningen, föreskrivs det om situationer där känsliga personuppgifter får behandlas i den mån den aktuella behandlingen av personuppgifter inte är möjlig direkt med stöd av artikel 9.2 i dataskyddsförordningen. Det är dock viktigt att i sammanhanget observera att begreppet särskilda kategorier av personuppgifter inte är exakt detsamma som de personuppgifter som avses i 12 § i den tidigare personuppgiftslagen. Förordningen förutsätter att medlemsstatens lagstiftning då innehåller bestämmelser om lämpliga och särskilda åtgärder för att skydda den registrerades grundläggande fri- och rättigheter och intressen. 
Enligt 6 § i dataskyddslagen avseende brottmål ska personuppgifterna vara adekvata och behövliga och inte för omfattande i förhållande till de syften för vilka de behandlas. Enligt 11 § i den lagen är de särskilda kategorierna av personuppgifter desamma som i dataskyddsförordningen. Enligt paragrafen är behandling av särskilda kategorier av personuppgifter tillåten endast om det är nödvändigt och de skyddsåtgärder som krävs för att trygga den registrerades rättigheter har vidtagits och en sådan särskild rättsgrund som nämns i paragrafen, exempelvis en speciallag, är för handen. 
I dataskyddsförordningen avses med behandling en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring (artikel 4.2). I 3 § i dataskyddslagen avseende brottmål definieras behandling på motsvarande sätt. 
Enligt grundlagsutskottets utlåtande måste ett i särklass grundrättighetskänsligt lagförslag kompletteras med en allmän bestämmelse med ett nödvändighetskrav för behandling av känsliga uppgifter. Alternativt kan regleringen kompletteras paragrafvis med bestämmelser som knyter behandlingen av känsliga uppgifter till ett nödvändighetskrav. Med anledning av grundlagsutskottets utlåtande föreslår förvaltningsutskottet att en sådan allmän bestämmelse tas in i den nya 4 § på det sätt som närmare framgår av detaljmotiven. 
Eftersom utlämnande och mottagande av uppgifter på det sätt som konstateras ovan betraktas som behandling av uppgifter inom de båda dataskyddsförfattningarnas tillämpningsområde, gäller utskottets förslag till ny bestämmelse om ett nödvändighetskriterium för behandling av särskilda kategorier av personuppgifter också att lämna ut och att få uppgifter. Därmed uppfyller bestämmelsen samtidigt de kriterier som grundlagsutskottet i sin praxis har uppställt för att bestämmelser om att få och kunna lämna ut personuppgifter trots sekretessbestämmelser för behandling av särskilda kategorier av personuppgifter. 
På andra uppgifter än särskilda kategorier av personuppgifter ska den allmänna lagstiftningen tillämpas, alltså dataskyddsförordningen och dataskyddslagen samt dataskyddslagen avseende brottmål, enligt vilka personuppgifter får behandlas bara om det behövs för att sköta lagfästa myndighetsuppgifter. 
Utskottet anser att bestämmelserna i den form som utskottet föreslår uppfyller de villkor som EU-lagstiftningen och grundlagsutskottets etablerade tolkningspraxis ställer på behandling av personuppgifter och att de också beaktar de konstitutionella anmärkningarna mot 14, 15, 18 och 19 § i lagförslag 1. 
Lagringstid
Det föreslagna 5 kap. innehåller bestämmelser om arkivering av personuppgifter. Enligt artikel 5.1 e i dataskyddsförordningen och artikel 4.1 e i dataskyddsdirektivet får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. I kapitlet föreskrivs om de maximala bevaringstiderna för personuppgifter. Kapitlets bestämmelser begränsar inte tillämpningen av bestämmelser om radering av uppgifter eller bedömning av behövlighet någon annanstans i lag, utan de raderingstider som nämns i kapitlet ska iakttas ifall inte någon annan bestämmelse förutsätter att uppgifterna ska raderas redan tidigare. 
Under utfrågningen av sakkunniga har förvaltningsutskottet bland annat uppmärksammats på att arkiveringstiden i fråga om vissa uppgifter har uttryckts absolut (”5 år efter det att”), medan andra försetts med en maximitid (”senast 10 år efter det att”). Arkiveringstiden bör uttryckas absolut bara när man på förhand kan veta hur lång arkivering det behövs. Vid tillämpningen bör det emellertid beaktas att uppgifterna ska raderas när det inte längre finns någon grund för att arkivera dem. Med tanke på proportionalitetsprincipen kan det dessutom var nödvändigt att differentiera arkiveringen utifrån behovsprövning. 
Tiderna för radering av uppgifter enligt 5 kap. iakttas om inte någon annan bestämmelser kräver att uppgifterna raderas tidigare, menar förvaltningsutskottet. Utskottet anser emellertid att det är motiverat att arkiveringstiderna till vissa delar anges i absolut form. Den arkiveringstid på fem år som anges i det föreslagna 25 § 1 mom. garanterar att uppgifter sparas åtminstone under den tid det tar att behandla ett ärende i domstolsväsendet till dess att ett avgörande vinner laga kraft. När det gäller t.ex. föreslagna 27 och 28 § finner utskottet det lämpligt att understryka att uppgifter ska raderas redan före arkiveringstiden på tio år löpt ut, om de visat sig vara överflödiga med tanke på ändamålet med behandlingen. 
Förvaltningsutskottet anser det likaså lämpligt att säkerställa att de arkiveringstider som avses i 5 kap. inte blir ett hinder för arkivering om det finns grundad anledning att anse att uppgifterna fortsatt behövs (25 § 4 mom., 26 § 4 mom. och 27 § 2 mom. i RP). Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. Bestämmelserna motsvarar 6 § 3 mom. i lagen om dataskyddslagen avseende brottmål, enligt vilken behovet att bevara personuppgifter ska bedömas med minst fem års mellanrum, om inte något annat föreskrivs om bevaringstider för personuppgifter någon annanstans. Förvaltningsutskottet konstaterar vidare att en kortare arkiveringstid för uppgifter av känslig natur skulle leda till att en del av uppgifterna som hänför sig till ett specifikt fall skulle raderas vid en annan tidpunkt än övriga uppgifter. Det skulle vara problematiskt främst med tanke på informationens integritet. 
Sammantaget anser utskottet att den föreslagna arkiveringstiderna är ändamålsenliga. Grundlagsutskottet har inte haft någonting att anmärka beträffande arkiveringstiderna. 
Tillsyn
Grundlagsutskottet har konstaterat att Tullens personregister innehåller mycket sådan information som det är ytterst viktigt att skydda mot obehörig användning. I sådana situationer måste också användningen övervakas särskilt noga. Utskottet betonar att skyddet för uppgifter från obehörig användning inte uteslutande kan baseras på det tjänsteansvar som gäller för den personuppgiftsansvarige eller den som hanterar uppgifterna eller på något annat påföljdssystem. 
I 30 § i den gällande lagen sägs det att utöver vad som föreskrivs någon annanstans i lag ska Tullens bevakningsavdelning och den verksamhetsenhet inom Tullen som är registeransvarig övervaka att bestämmelserna om behandling av personuppgifter iakttas hos Tullen. I Tullens reglemente för brottsbekämpning, som ligger på en hierarkisk nivå motsvarande Tullens arbetsordning, finns det en förpliktande bestämmelse som gäller laglighetsövervakningen av Tullens brottsbekämpning. Enligt 6 kap. 6 § ska cheferna för de ansvariga enheterna inom brottsbekämpningen i tillräcklig utsträckning ansvara för laglighetsövervakningen av brottsbekämpningen inom det egna uppgiftsområdet och vid behov ge tillräckligt stöd till den allmänna laglighetsövervakning som Tullen och Tullens bevakningsavdelning utför. Den laglighetsövervakning som utförs av Tullen omfattar t.ex. att behandla förvaltningsklagan och respons från allmänheten, övervaka behandlingen av personuppgifter, granskningar samt ge utlåtanden i synnerhet till de högsta laglighetsövervakarna. 
Enligt Tullens arbetsordning (157/2018), som utfärdats med stöd av lagen om Tullens organisation, svarar Tullens avdelningar och övriga enheter inom sitt eget uppgiftsområde för uppgifter som hör till den registeransvarige. Ledningen för avdelningarna och enheterna svarar för att behandlingen av personuppgifter och övervakningen av användning av personregister har ordnats lagenligt på ett ändamålsenligt och effektivt sätt. För bevakningsavdelningens laglighetskontroll svarar i sin tur också avdelningens enhet för internationella och juridiska ärenden 
I Tullens interna laglighetskontroll betonas betydelsen av enhetschefernas, de övriga chefernas och de närmaste chefernas agerande samt anvisningarna om behandlingen av personuppgifter. Tillsynen över behandlingen av personuppgifter baserar sig dels på den dagliga chefstillsynen, del på praxis rörande användarrättighet och logguppföljning samt på olika kontroller. Genom praxis för beviljande av användarrättigheter kan man se till att personuppgifter behandlas endast av personer i vars arbetsuppgifter behandling av personuppgifter ingår och som uppfyller de lagfästa villkoren för att få användarrättigheter. Tullen utför dessutom övervakning i form av stickprov i användarlogguppgifterna för de register som den för. Kontrollerna görs systematiskt och alltid när behov uppstår. 
I 7 § i statsrådets förordning (1126/2009), som utfärdats med stöd av lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet (687/2009, PTG-lagen), föreskrivs det att för övervakningen av behandlingen av personuppgifter vid PTG-kriminalunderrättelseenheterna svarar den PTG-myndighet som har inrättat registret i fråga. PTG-myndigheterna ordnar enligt paragrafens 2 mom. I samband med övervakningen av behandlingen av personuppgifter gemensamma inspektioner och annan övervakning enligt vad som närmare avtalas i PTG-myndigheternas riksomfattande samarbetsavtal. 
EU:s dataskyddsreform har medfört viktiga ändringar i lagstiftningen om övervakningen av behandlingen av personuppgifter. Den nya dataskyddslagstiftningen betonar övervakningen av att lagligheten i behandlingen av personuppgifter säkerställs. I dataskyddsförordningen föreskrivs om tillsynsmyndigheten och tillsynsmyndighetens befogenheter. Enligt dataskyddslagen finns dataombudsmannen i anslutning till justitieministeriet och är den nationella tillsynsmyndigheten enligt dataskyddsförordningen. 
Dataombudsmannen ska också vara specialmyndighet för efterlevnaden av dataskyddslagen avseende brottmål. Dataombudsmannen ska utöva tillsyn över efterlevnaden av lagen både på eget initiativ och på basis av begäranden om åtgärder som lämnas in till ombudsmannen. Dataombudsmannen kan göra utredningar av hur lagen följs och behandla begäranden om åtgärder som lämnats in till ombudsmannen. Ombudsmannen kan i fall av ett lagstridigt förfarande t.ex. meddela den personuppgiftsansvarige en anmärkning eller uppställa ett tillfälligt eller bestående förbud eller någon annan tillfällig eller bestående begränsning av behandlingen av personuppgifter. Ombudsmannen kan förena ett rättsligt förpliktande beslut med vite. 
Också riksdagens justitieombudsman och justitiekanslern i statsrådet ska i egenskap av högsta laglighetsövervakare följa efterlevnaden av lagstiftningen om behandling av personuppgifter som en del av den allmänna laglighetsövervakningen av myndigheter och tjänstemän. Båda två utför regelbundna inspektioner för att granska lagenligheten i verksamhet och behandling av personuppgifter. Riksdagens justitieombudsman och justitiekanslern i statsrådet övervakar dessutom lagenligheten i dataombudsmannens verksamhet. 
Förslaget till ändringar i Tullens personuppgiftslagstiftning innehåller förslag som innebär att behovet av övervakning kommer att öka. Avsikten är ändå att styra lagstiftningen i en sådan riktning att det blir lättare att leda och övervaka skyddet av uppgifterna. Enligt förvaltningsutskottets uppfattning kommer den nya lagstiftning som reglerar övervakningen, normbasen för övervakningen i övrigt och de praktiska effektiviseringsåtgärderna att skapa bättre förutsättningar att övervaka behandlingen av personuppgifter. Men det krävs också tillräckliga resurser för att förverkliga skyddet för personuppgifter och en effektiv övervakning. 
Den nya dataskyddslagstiftningen innefattar detaljerade bestämmelser om övervakning av behandlingen av personuppgifter och påföljder vid lagstridig behandling av sådana uppgifter, om den personuppgiftsansvariges ansvar och skyldigheter, den registrerades rättigheter och om informationssäkerheten. EU:s dataskyddsreform har skärpt den personuppgiftsansvariges ansvar. Den personuppgiftsansvarige ska ansvara för att personuppgifter behandlas i överensstämmelse med lag. Den personuppgiftsansvarige ska dessutom kunna visa att behandlingen av personuppgifter också i verkligheten överensstämmer med dataskyddslagstiftningen. Också det har betydelse med avseende på övervakningen. 
DETALJMOTIVERING
1 §. Tillämpningsområde.
Utskottet föreslår att 1 mom. kompletteras med att lagen tillämpas om inte något annat anges någon annanstans i lag. Det kan finnas specialreglering också om Tullen. 
i det föreslagna 2 mom. sägs det bland annat att lagen innehåller bestämmelser om den registrerades rättigheter. Med detta avses 6 kap. i förslaget där det föreskrivs om tillgodoseende av den registrerades rätt till insyn, inskränkningar i rätten till insyn och om begränsning av den inskränkning av rätten till insyn som följer av artikel 18 i dataskyddsförordningen. Utskottet konstaterar att lagförslaget inte innehåller några egentliga bestämmelser om den registrerades rättigheter utan bestämmelser om utnyttjande och begränsning av rättigheterna. Bestämmelser om den registrerades rättigheter finns i dataskyddslagen avseende brottmål och i EU:s allmänna dataskyddsförordning. Dataskyddsförordningen är direkt tillämplig rätt och det går inte att avvika från den genom nationell lagstiftning annat än på det sätt som sägs i förordningen. Utskottet föreslår därför att hänvisningen i 2 mom. får lydelsen ”Denna lag innehåller bestämmelser om tillgodoseende av och inskränkningar i den registrerades rättigheter”. 
2 §. Förhållande till annan lagstiftning.
Utskottet lägger till författningsnumret i 1 mom. 1 punkten. 
Den föreslagna 1 mom. 2 punkten har en hänvisning till lagen om offentlighet i myndigheternas verksamhet. Grundlagsutskottet påpekar i sitt utlåtande att enligt 28 § i dataskyddslagen, som ska tillämpas som allmän lag och som i detta avseende stiftats med grundlagsutskottets uttryckliga medverkan (GrUU 14/2018 rd, GrUU 26/2018 rd), tillämpas på rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister vad som föreskrivs om offentlighet i myndigheternas verksamhet. Utskottet ser det av orsaker hänförliga till 12 § 2 mom. i grundlagen som nödvändigt att bestämmelsens ordalydelse samordnas med den allmänna lagen. Det här är viktigt också för att undvika kontradiktoriska slutsatser. Bestämmelsen kan kompletteras med föreskrifter enligt 62 § i dataskyddslagen avseende brottmål om tystnadsplikt och om förbud mot utnyttjande av uppgifter. 
Hänvisningen måste preciseras och därför föreslår utskottet att 1 mom. 2 punkten får en materiell hänvisning till lagen om offentlighet i myndigheternas verksamhet på samma sätt som 28 § i dataskyddslagen och 2 § i dataskyddslagen avseende brottmål. Enligt 62 § i dataskyddslagen med avseende på brottmål har 23 § i lagen om offentlighet i myndigheternas verksamhet bestämmelser om tystnadsplikt och förbud mot att utnyttja information. Utskottet anser att det inte behövs någon sådan informativ hänvisning i detta sammanhang. 
Utskottet har kompletterat 2 mom. med ett författningsnummer. 
3 §. Principer som ska följas vid behandlingen av personuppgifter och förbud mot diskriminering. (Ny)
Vid tillämpningen av den föreslagna regleringen ska utöver de allmänna principerna för behandling av personuppgifter enligt dataskyddslagen avseende brottmål även de krav beaktas som följer av unionsrätten i fråga om nödvändighet, proportionalitet, jämlikhet och icke-diskriminering, säger grundlagsutskottet i sitt utlåtande. När grundlagsutskottet tog ställning till polisens befogenheter mot bakgrunden av bestämmelserna om civil underrättelseinhämtning underströk det vikten av enhetliga bestämmelser i lagen om civil underrättelseinhämtning avseende datatrafik, lagen om militär underrättelseverksamhet och polislagen. Det här är viktigt också för att undvika kontradiktoriska slutsatser. När utskottet behandlade förslaget till lag om behandling av personuppgifter i polisens verksamhet ansåg det att även om de principiella bestämmelserna i polislagen är tillämpliga också vid tillämpningen av den lag som då var aktuell, fanns det enligt utskottet skäl att komplettera förslaget med den typ av principiella bestämmelser som finns i 1 kap. 2–5 § i polislagen. Utskottet menar att också det nu föreliggande lagförslaget bör kompletteras med motsvarande bestämmelser. 
När grundlagsutskottet tog ställning till lagstiftningen om civil underrättelseinhämtning konstaterade det att med tanke på den risk för profilering som underrättelseinhämtningen är förknippad med, är det också nödvändigt att i lagen ta in ett uttryckligt och korrekt formulerat förbud mot diskriminering. Detta är ett villkor för att lagen ska kunna behandlas i vanlig lagstiftningsordning. När grundlagsutskottet tog ställning till lagstiftningen om militär underrättelseinhämtning konstaterade det i fråga om lagstiftningsordningen att ett sådant diskrimineringsförbud måste motsvara diskrimineringsförbudet i 6 § 2 mom. i grundlagen i det avseendet att förteckningen över diskrimineringsgrunder inte är uttömmande. Grundlagsutskottet förutsatte att också lagen om behandling av personuppgifter i polisens verksamhet kompletteras med ett allmänt diskrimineringsförbud för att lagen skulle kunna behandlas i vanlig lagstiftningsordning. Utskottet menar att också det nu aktuella lagförslaget måste kompletteras på motsvarande sätt för att kunna behandlas i vanlig lagstiftningsordning. 
Utifrån grundlagsutskottets utlåtande GrUU 75/2018 rd har förvaltningsutskottet föreslagit följande formulering i lagförslag 2 om civil underrättelseinhämtning avseende datatrafik som ingår den ovan nämnda propositionen om lagstiftning om civil underrättelseinhämtning (RP 202/2018 rd): ”Inriktningen av en åtgärd inom underrättelseinhämtning som avser datatrafik får inte utan godtagbart skäl grunda sig på en persons kön, ålder, ursprung, nationalitet, bosättningsort, språk, religion, övertygelse, åsikt, politiska verksamhet, fackföreningsverksamhet, familjeförhållanden, hälsotillstånd, funktionsnedsättning, sexuella läggning eller någon annan orsak som gäller hans eller hennes person.” (FvUB 36/2018 rd). 
Med hänvisning till grundlagsutskottets utlåtande föreslår förvaltningsutskottet att lagen kompletteras med en ny 3 § där det hänvisas till tullagens 6 kap. om respekten för de grundläggande fri- och rättigheterna och de mänskliga rättigheterna, proportionalitetsprincipen, principen om minsta olägenhet, principen om ändamålsbundenhet. Dessutom föreslås en bestämmelse om diskrimineringsförbud på samma sätt som i polisens personuppgiftslag (FvUB 39/2018). På grund av den nya paragrafen ändras paragrafnumreringen i hela lagen. Dessutom måste paragrafhänvisningarna i andra lagar i propositionen ändras. 
4 §. Behandling av uppgifter som hör till särskilda kategorier av personuppgifter. (Ny).
Grundlagsutskottet fäster i sitt utlåtande uppmärksamhet vid att det föreslås bestämmelser om nödvändighetskriteriet i fråga om behandling av uppgifter som hör till särskilda kategorier av personuppgifter exempelvis i 6 § 3 punkten och 8 § 1 mom. 4 punkten. Men formuleringarna i paragrafförslagen är delvis diffusa. Det förefaller som om nödvändighetsförutsättningen inte i de nämnda bestämmelserna skulle utsträckas till andra uppgifter som hör till särskilda kategorier av personuppgifter och som regleras i de aktuella punkterna. Enligt grundlagsutskottets vedertagna praxis måste det finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt. Därför måste i synnerhet i särklass grundrättighetskänsliga lagförslag kompletteras med en allmän bestämmelse med ett nödvändighetskrav för behandling av känsliga uppgifter. Alternativt kan regleringen kompletteras paragrafvis med bestämmelser som knyter behandlingen av känsliga uppgifter till ett nödvändighetskrav. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Förvaltningsutskottet föreslår med beaktande av grundlagsutskottets utlåtande att lagen kompletteras med en ny 4 § med en allmän bestämmelse om nödvändighetskriteriet för att behandla uppgifter som hör till särskilda kategorier av personuppgifter. Nödvändighetskriteriet gäller alla former av behandling. Utskottet hänvisar här till det som sägs i de allmänna övervägandena. 
Förslaget till ny 4 § innebär att överlappande reglering i vissa andra paragrafer måste strykas. Dessutom måste vissa paragrafer i 2 kap. omformuleras så att hänvisningar till ”behövliga” uppgifter stryks för att undvika kontradiktoriska slutsatser. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Av förslaget till ny 4 § följer att paragrafnumreringen måste ändras. Dessutom måste paragrafhänvisningarna i andra lagar i propositionen ändras. 
6 (4) §. Behandling av grundläggande personuppgifter.
Med hänvisning till det som sägs ovan i anknytning till 4 § föreslår utskottet att omnämnandet av behövlighetskriteriet i det inledande stycket till 1 mom, och 14 punkten stryks. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. Dessutom måste paragrafhänvisningarna i det inledande stycket ses över. 
7 (5) §. Behandling av personuppgifter inom undersökningsuppdrag
I paragrafens 1 mom. föreskrivs det om behandlingen av personuppgifter inom undersökningsuppdrag. Tullen får enligt förslaget behandla personuppgifter för utredning av tullbrott eller en annan åtgärd i anknytning till att föra brott till åtalsprövning. Enligt paragrafens 2 mom. krävs det dessutom att de i 1 mom. avsedda uppgifterna anknyter till personer som är misstänkta för brott eller för medverkan till brott, är under 15 år och misstänkta för en brottslig gärning, är föremål för förundersökning, har anmält ett brott eller uppträder som målsägande, vittne, offer, eller på ett annat sätt än det som nämns i 1–6 direkt anknyter till ett ärende som avses i 1 mom. I 2 mom. sägs det att det är fråga om en preciserande bestämmelse. I fråga om sådana personer som avses i det nämnda momentet får man enligt 6 § också behandla vissa känsliga uppgifter såsom biometriska uppgifter och uppgifter som gäller hälsotillståndet. 
Grundlagsutskottet menar att ordalydelsen i 2 mom. 7 punkten är öppen på ett problematiskt sätt. När utskottet tog ställning till lagen om behandling av personuppgifter i polisens verksamhet ansåg det att preciseringen av en sådan bestämmelse var en fråga som påverkade lagstiftningsordningen (GrUU 51/2018 rd, s.11). Enligt utskottet måste bestämmelsen i den nu föreslagna formuleringen oundvikligen preciseras i allt väsentligt till exempel med de synpunkter som har framförts i grundlagsutskottets utlåtande GrUU 51/2018 rd. Det är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Förvaltningsutskottet föreslår utifrån grundlagsutskottets utlåtande att 2 mom. 7 punkten ändras så att den enbart gäller personer som enligt propositionsmotiven kan lämna anknytande tilläggsupplysningar till polisen. Det är redan nu möjligt att med stöd av 3 § i den gällande lagen om behandling av personuppgifter inom Tullen registrera personuppgifter i informationssystemet för brottsbekämpning om personer som lämnar sådan tilläggsinformation som Tullen behöver för sina undersökningsuppdrag. Också de som har rollen av sakkunniga är sådana personer som lämnar tilläggsinformation enligt den paragrafen. 
Enligt paragrafens 3 mom. får Tullen behandla personuppgifter som en i lagen om brottsbekämpning inom Tullen (623/2015) avsedd tullman inom tullbrottsbekämpningen inhämtat eller erhållit också för att bedöma om uppgifterna är av betydelse med tanke på det ändamål med behandlingen som avses i 1 mom. Uppgifternas betydelse ska bedömas och onödiga uppgifter raderas utan dröjsmål, dock senast sex månader från det att de registrerats. Motsvarande bestämmelse ingår i 7 § 6 mom. om förebyggande eller avslöjande av brott. 
I bestämmelsen är det fråga om behandling av personuppgifter som fåtts i samband med utförandet av myndighetens uppgifter i situationer där uppgifterna inte direkt anknyter till det enskilda uppdrag som utförs. Enligt propositionsmotiven är det fråga om insamling av uppgifter för brottsanalys från offentliga källor såsom internet och myndigheters offentliga register. Uppgifterna kan jämföras med personuppgifter som redan har registrerats i informationssystem för att klargöra om de lagfästa kriterierna för behandlingen av personuppgifter uppfylls. 
Det är oundvikligt att det i registret också införs uppgifter som efter bedömning av nödvändigheten visar sig vara betydelselösa med tanke på Gränsbevakningsväsendets uppgifter, sägs det i motiven. De registrerades rättssäkerhet förbättras emellertid enligt motiven av att uppgifter får bevaras högst sex månader och att uppgifter som bedömts vara onödiga ska raderas utan dröjsmål redan innan det har gått sex månader. 
Grundlagsutskottet har i sitt utlåtande analyserat förslaget både ur ett nationellt och ett EU-rättsligt perspektiv samt med beaktande av EU-domstolens praxis. Grundlagsutskottet anför vidare i utlåtandet att den föreslagna bestämmelsen skulle leda till att Tullen kan registrera en stor mängd personuppgifter i sina elektroniska databaser och att relevansen av de här uppgifterna är oklara i registreringsögonblicket. I lagen definieras inte innehållet i de registrerade uppgifterna eller det tillåtna användningsändamålet. Utskottet konstaterar bland annat att det inte går att övervaka i vilken mån behandlingen av personuppgifter enbart omfattar betydelsefulla uppgifter, eftersom bestämmelsen skulle ge Tullen befogenheter att obegränsat registrera personuppgifter i sina databaser utan att definiera användningsändamål, innehåll eller registreringsvillkor. 
Med stöd av den föreslagna lagstiftningen om bedömning av informationens relevans kunde det skapas ett omfattande register som är helt okontrollerat i rättslig mening vad beträffar innehåll och ändamål, och registret kunde också innehålla en stor mängd känsliga uppgifter, menar grundlagsutskottet. Utskottet anser det självklart att behandling av insamlade personuppgifter för ett särskilt ändamål kräver att uppgifternas innehåll bedöms med avseende på ändamålet. Utskottet framhåller att såväl i dataskyddsförordningen som i polisdirektivet avses med behandling av personuppgifter även insamling av uppgifter, vilket är möjligt endast för ett uttalat ändamål. Det är således inte fråga om något "förberedande behandlingsskede" på det sätt som det sägs i propositionsmotiven. Grundlagsutskottet har likaså i sin praxis på det sätt som sägs ovan förutsatt att det finns reglering på lagnivå om registreringens syften, innehåll och tillåtna ändamål. I synnerhet när det gäller behandling av känsliga uppgifter måste bestämmelserna vara exakta och noggrant avgränsade på ett sätt som begränsar behandlingen till endast det nödvändiga. 
Så som lagförslagen är utformade i propositionen skulle det vara möjligt att samla in uppgifter som är betydelselösa för Tullens verksamhet och att spara dem i register i upp till sex månader. Grundlagsutskottet ansåg att motsvarande bestämmelser i regeringens proposition med förslag till lag om behandling av personuppgifter i polisens verksamhet (GrUU 51/2018 rd) och i förslaget till lag om behandling av personuppgifter inom försvarsmakten (GrUU 52/2018 rd) och i förslaget till lag om behandling av personuppgifter inom Gränsbevakningsväsendet (GrUU 58/2018 rd) var grundlagsstridiga i den föreslagna formen. 
De bestämmelser utskottet tar ställning till i detta utlåtande är något mer exakta. Rätten att behandla uppgifter för att bedöma deras betydelse är bundet till det sätt på vilket de har inhämtats. I t.ex. 5 § 3 mom. föreskrivs det att Tullen får behandla personuppgifter som en i lagen om brottsbekämpning inom Tullen avsedd tullman inom tullbrottsbekämpningen inhämtat eller erhållit. Men enligt grundlagsutskottet är denna begränsning inte tillräcklig och eliminerar inte heller de problem som påtalas ovan. Utskottet menar att bestämmelserna i 5 § 3 mom. och 7 § 6 mom. i lagförslag 1 om behandling för att avgöra om uppgifterna är betydelsefulla måste strykas i sin nuvarande utformning. Utan dessa ändringar kan lagförslag 1 enligt grundlagsutskottet inte behandlas i vanlig lagstiftningsordning. Utskottet påpekar att man utan hinder av grundlagen kan välja att reglera bedömningen av grunderna för behandling av personuppgifter till exempel genom bestämmelser som motsvarar 5 kap. 55 § i polislagen om utplåning av information (se även 57 § i tvångsmedelslagen och GrUU 66/2010 rd och GrUU 32/2013 rd). Bestämmelsen i polislagen har tillkommit genom grundlagsutskottets medverkan (GrUU 60/2010 rd). 
Med hänvisning till grundlagsutskottets utlåtande föreslår förvaltningsutskottet att 3 mom. om bedömning av uppgifternas betydelse stryks och att i 3 mom. i stället tas in en bestämmelse motsvarande 5 kap. 55 § i polislagen om att information som fåtts i samband med uppdrag som hör till Tullen ska utplånas utan dröjsmål efter det att det framgått att de inte behövs för sådana behandlingsändamål som avses i 1 mom. eller i 15 § 1 mom. 
En sådan bestämmelse utökar inte Tullens befogenheter att inhämta information. Bestämmelserna gäller endast behandling av sådant material som Tullen kommer i besittning av i samband med ett uppdrag, antingen med stöd av befogenheter som föreskrivs någon annanstans eller genom metoder som inte kräver några explicita befogenheter. 
Förvaltningsutskottet konstaterar att det ofta inte går att bedöma uppgifternas relevans och den eventuella skyldigheten att utan dröjsmål utplåna dem utan möjlighet att utnyttja modern teknik, i synnerhet om det rör sig om ett omfattande material. Den föreslagna bestämmelsen gör det möjligt att behandla lagligen inhämtad information till exempel med automatisk databehandling för att fastställa om informationen ska utplånas såsom obehövlig eller om de lagfästa villkoren för att utnyttja informationen för ett tulluppdrag är uppfyllt. Utskottet betonar vikten av att regleringen av hur personuppgifter behandlas i Tullens verksamhet täcker in alla skeden då personuppgifter behandlas. Behandlingen av personuppgifter inom Tullen omfattas i varje fas av de skyldigheter som gäller styrning och övervakning av behandlingen samt skyddet för uppgifter, framhåller utskottet. 
8 (6) §. Innehållet i personuppgifter som behandlas inom undersökningsuppdrag
Med hänvisning till det som sägs ovan i anknytning till förslaget till ny 4 § föreslår utskottet att omnämnandet av behövlighetskriteriet stryks i 1 och 2 punkten. Därmed måste 2 punkten dessutom omformuleras. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. Dessutom måste paragrafhänvisningarna i det inledande stycket ses över när paragrafnumreringen ändras. 
Grundlagsutskottet har fäst uppmärksamhet vid 1 mom. 3 punkten med bestämmelser om lagring av så kallade säkerhetsuppgifter. Enligt förslaget får Tullen behandla uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård och andra uppgifter som hör till särskilda kategorier av personuppgifter. Grundlagsutskottet har tidigare tagit ställning till motsvarande förslag och då ansett att de förefaller möjliggöra fortsatt omfattande registrering av hälsorelaterade uppgifter och uppgifter om åtgärder inom socialvården (se också GrUU 18/2012 rd, GrUU 51/2002 rd och GrUU 37/2002 rd). Utskottet påpekar att bestämmelsen måste preciseras med en definition av vilka hälsorelaterade uppgifter och uppgifter om åtgärder inom socialvården det är tillåtet att registrera, även om nödvändighetskravet på ett adekvat sätt begränsar området för registrerbara uppgifter (GrUU 18/2012 rd). Enligt utskottet är den föreslagna bestämmelsen behäftad med samma slags öppenhet när det gäller behandlingen av känsliga uppgifter, trots att förslaget inte nämner uppgifter som hänför sig till åtgärder inom socialvården. När utskottet tog ställning till lagen om behandling av personuppgifter i polisens verksamhet ansåg det att preciseringen av en sådan bestämmelse var en fråga som påverkade lagstiftningsordningen (GrUU 51/2018 rd, se även GrUU 58/2018 rd). Den nu föreslagna bestämmelsen måste således preciseras i synnerhet i fråga om de nämnda övriga känsliga uppgifterna. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Motsvarande ställningstagande till lagstiftningsordningen gäller även 8 § 1 mom. 4 punkten i lagförslag 1. 
Förvaltningsutskottet föreslår utifrån grundlagsutskottets utlåtande att bestämmelserna i 3 punkten preciseras så att innehållet i säkerhetsuppgifterna, på samma sätt som i den gällande lagen, anges i en uttömmande förteckning, varvid det blir omöjligt att behandla andra känsliga uppgifter med stöd av det lagrummet än de som uttryckligen nämns. 
9 (7) §. Behandling av personuppgifter för förebyggande eller avslöjande av brott
I förslaget till paragraf föreskrivs det om när personuppgifter får behandlas i syfte att förebygga eller avslöja brott. I linje med det som sägs i utskottets allmänna överväganden föreslår förvaltningsutskottet att behandlingen av uppgifter knyts till brottets grovhetsgrad på det sätt som grundlagsutskottet har förutsatt, genom att 2 mom. 1 punkten ändras så att personuppgifter kan behandlas med stöd av det lagrummet endast när påföljden för det brott som lagrummet avser kan vara fängelse. Däremot stöder utskottet med hänvisning till sina överväganden uttrycket ”med fog kan antas”, som regeringen föreslår. 
Förvaltningsutskottet har i sina allmänna överväganden påpekat att de persongrupper som nämns i paragrafens 2 mom. inte inbegriper personer med ett så kallat oroväckande beteende eller andra personer som är föremål för åtgärder inom ramen för Tullens brottsförebyggande verksamhet. Lagförslaget tillåter sålunda inte registrering av åtgärder som riktats mot denna personkategori och därmed inte heller behandling av anknytande personuppgifter. Med stöd av det som sägs i utskottets allmänna övervägande föreslår utskottet att paragrafens 2 mom. 3 punkten kompletteras med ett omnämnande av personer som är föremål för andra åtgärder från tullövervakningen eller tullbrottsbekämpningen. Därmed blir det möjligt att registrera uppgifter om de som är föremål för åtgärder, vilket för närvarande är möjligt endast med stöd av bestämmelserna i 3 § om informationssystemet för brottsbekämpning i den gällande Tullens personuppgiftslag. 
Tullens åtgärder för att förebygga och avslöja brott hänför sig när det gäller fysiska personer alltid till ett enskilt uppdrag som kan vara förenade med utövande av olika grader av offentlig makt. Det kan vara fråga om att föra samtal med någon, sätta in stödåtgärder tillsammans med någon annan myndighet eller utfärda en efterlysning av en person, ett fordon eller egendom. Registrering av information om tullens åtgärder är en förutsättning för en effektiv bedömning i efterskott, vilket i regel alltid ska grunda sig på dokumenterade fakta. Bestämmelsen främjar detta syfte. 
Enligt paragrafens 4 mom. ska beslut om inledande av behandling av personuppgifter i anknytning till en brottsanalys som behövs för förebyggande eller avslöjande av brott fattas av chefen för Tullens brottsbekämpning eller av en av denne till uppgiften förordnad chef för en verksamhetsenhet inom Tullens brottsbekämpning. För tydlighetens skull påpekar utskottet att en sådan brottsanalys som behövs för förebyggande eller avslöjande av brott redan nu kan införas i tillfälliga brottsanalysregister som inrättats med stöd av 6 §. Den största skillnaden mellan den typen av tillfälliga brottsanalysregister jämfört med det som nu föreslås är att behandlingen är rikstäckande och att analyserna inte begränsas till att enbart gälla brott på vilka det kan följa fängelse. Dessutom regleras både de persongrupper och innehållet i den information som berörs av brottsanalys enligt 7 och 8 § noggrannare än i den gällande lagen. De preciseringar som utskottet föreslår i 7 och 8 § t.ex. i fråga om bindning till hot om fängelsestraff innebär en striktare begränsning än i propositionen av vilken information som får användas vid brottsanalys. Behandlingen av information som gäller särskilda kategorier av personuppgifter ska både enligt den allmänna lagstiftningen och den nya 4 § som utskottet föreslår begränsas till information som är nödvändig med tanke på ändamålet med behandlingen. 
På de grunder som nämns ovan i samband med 5 § föreslår förvaltningsutskottet med beaktande av grundlagsutskottets utlåtande att 6 mom. om bedömning av uppgifternas betydelse stryks och att i 6 mom. i stället tas in en bestämmelse motsvarande 5 kap. 55 § i polislagen om att information som fåtts i samband med Gränsbevakningsväsendets uppdrag ska utplånas utan dröjsmål efter det att det framgått att den inte behövs för sådana behandlingsändamål som avses i 1 mom. eller i 13 § 1 mom. 
10 (8) §. Innehållet i personuppgifter som anknyter till förbyggande eller avslöjande av brott.
Med hänvisning till det som sägs ovan i anknytning till förslaget till ny 4 § föreslår utskottet att omnämnandet av behövlighetskriteriet stryks. Därmed måste också 3 punkten omformuleras. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. Dessutom måste paragrafhänvisningarna i det inledande stycket ses över. 
I förslaget till 9 § föreskrivs det om vilka uppgifter som får behandlas utöver de grundläggande personuppgifter som nämns i 4 §. Grundlagsutskottet menar att åtminstone sådana uppgifter som avses i 1 mom. 2–4 punkten kan inkludera känsliga uppgifter. Utskottet omfattar den syn som framgår av propositionsmotiven, enligt vilken 2 punkten i momentet i själva verket är mycket vid till innehållet. Med stöd av det lagrummet skulle Tullen få behandla behövliga uppgifter som gäller en persons verksamhet och beteende. Sådana uppgifter kan enligt propositionsmotiven gälla t.ex. en persons kontakter, levnadsvanor, ekonomiska situation, fritidsintressen och andra intressen till den del de behövs med tanke på förebyggandet och utredningen av tullbrott. När utskottet tog ställning till lagen om behandling av personuppgifter i polisens verksamhet ansåg det att preciseringen av en motsvarande bestämmelse var en fråga som påverkade lagstiftningsordningen (GrUU 51/2018 rd). Bestämmelsen måste preciseras exempelvis med den beskrivning som framgår av motiven. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Också förvaltningsutskottet anser det motiverat att begreppet behövliga uppgifter som gäller en persons verksamhet och beteende bör preciseras genom sådana karaktäriseringar som nämns i propositionen. Preciseringarna minskar också den risk som sammanhänger med en vag reglering. Förvaltningsutskottet föreslår med beaktande av grundlagsutskottets utlåtande att 2 punkten preciseras genom formuleringen ”uppgifter som gäller en persons kontakter, levnadsvanor, ekonomiska situation, fritidsintressen och andra intressen”. 
Med hänvisning till det som sägs i samband med 6 § föreslår förvaltningsutskottet utifrån grundlagsutskottets utlåtande att bestämmelserna i 1 mom. 4 punkten preciseras så att innehållet i säkerhetsuppgifterna, på samma sätt som i den gällande lagen, anges i en uttömmande förteckning, varvid det blir omöjligt att behandla andra känsliga uppgifter med stöd av det lagrummet än de som uttryckligen nämns. 
11 (9) §. Behandling av uppgifter om informationskällor.
Enligt förslaget får Tullen behandla uppgifter om en i 3 kap. 39 § i lagen om brottsbekämpning inom Tullen eller 10 kap. 39 § i tvångsmedelslagen avsedd person som har använts som informationskälla, uppgifter om användningen och övervakningen av informationskällan samt uppgifter om det huvudsakliga innehållet i de uppgifter som informationskällan lämnat. 
Grundlagsutskottet påpekar att det överhuvudtaget inte framgår av bestämmelsen vilken typ av personuppgifter som avses bli behandlade med stöd av lagrummet. Av propositionsmotiven framgår emellertid att känsliga uppgifter får behandlas endast när det är nödvändigt med tanke på ändamålet med behandlingen. Bestämmelsen måste kompletteras. När grundlagsutskottet tog ställning till lagen om behandling av personuppgifter i polisens verksamhet ansåg det att preciseringen av en sådan bestämmelse var en fråga som påverkade lagstiftningsordningen (GrUU 51/2018 rd). En sådan ändring är också nu en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Förvaltningsutskottet delar grundlagsutskottets åsikt och föreslår att paragrafen kompletteras med en hänvisning till grundläggande personuppgifter enligt 6 §. Tullen skulle således kunna behandla grundläggande personuppgifter enligt 6 § om personer som har använts som informationskälla på samma sätt som om andra personer som avses i de paragrafer i 2 kap. som reglerar ändamålet med behandlingen. 
För tydlighetens skull föreslår förvaltningsutskottet dessutom att bestämmelserna om dels uppgifter om hur informationskällan har använts och om tillsynen, dels det huvudsakliga innehållet i de uppgifter som informationskällan lämnat spjälkas upp i 1 mom. på punkterna 1 och 2, varvid denna paragraf får samma utformning som andra bestämmelser i 2 kap. 
Vidare poängterar utskottet att behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. 
12 (10) §. Behandling av personuppgifter vid tullövervakning och skattekontroll.
Utskottet föreslår att omnämnandet av uppgifternas behövlighet stryks i det inledande stycket i 1 mom. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. Utskottet föreslår att paragrafhänvisningen justeras till följd av den ändrade paragrafnumreringen. 
Enligt paragrafens 2 mom. 2 punkten får Tullen utöver det som sägs i 1 mom. behandla uppgifter som gäller riktande av tullövervakning och skattekontroll. Förvaltningsutskottet noterar att det med stöd av lagrummet skulle vara möjligt att behandla vilken som helst information som behövs för tull- och skatteövervakning. Enligt motiven avses med denna typ av information exempelvis ” en persons rörelser via oändamålsenliga inreseställen”. Av motiven framgår emellertid inte om man med detta avser exempelvis registrering av inresor och tidpunkter i samband med övervakning av alkoholimport. På grund av kravet på att lagstiftning som berör de grundläggande rättigheterna ska vara exakt och noga avgränsad och med beaktande av grundlagsutskottets ståndpunkt i samband med dataskyddslagen till behovet av mer detaljerad lagstiftning när det rör sig om denna typ av behandling av personuppgifter med hög känslighetsfaktor som anknyter till individens grundläggande rättigheter och skyldigheter, anser förvaltningsutskottet att innehållet i de uppgifter som får behandlas behöver preciseras. 
Utskottet föreslår att 2 punkten preciseras så att Tullen för riktande av tullövervakning och skattekontroll får behandla importuppgifter som gäller varuimport och uppgifter antalet gränspassager och tidpunkterna för dessa. Bestämmelsen avser att omfatta bland annat behandling av information om import, antal inresor och tidpunkterna för dem i samband med övervakning av alkoholimport. 
13 (11) §. Behandling av personuppgifter i Tullens övriga lagstadgade uppgifter.
Utskottet föreslår att paragrafhänvisningen justeras till följd av den ändrade paragrafnumreringen. 
14 (12) §. Behandling av personuppgifter som erhållits genom teknisk övervakning
Utskottet föreslår att paragrafhänvisningen i 1 mom.justeras till följd av den ändrade paragrafnumreringen. 
Grundlagsutskottet konstaterar i sitt utlåtande att propositionen ger en oklar bild av vilket slag av personuppgiftsbehandling som den föreslagna automatiska ansiktsidentifieringen egentligen omfattar. Det är därför svårt att avgöra vilken betydelse förslaget sist och slutligen har. Grundlagsutskottet anser att bestämmelsen i 12 § om automatisk ansiktsidentifiering måste styrkas eller preciseras i flera avseenden. Det är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Enligt utskottets uppfattning är det klart att det inte på grundval av en så öppen reglering är möjligt att exempelvis i ett landsomfattande register ta in ansiktsbilder av alla som passerat riksgränsen för att behandla informationen på det sätt som sägs i motiveringen och för att bland annat utsätta personerna för övervakningsåtgärder. Utskottet anser det också märkligt att bestämmelsen motiveras med att uppgifter som konstaterats vara överflödiga skulle kunna behandlas under hela sex månader. 
Också förvaltningsutskottet konstaterar att bestämmelsen om automatisk ansiktsidentifiering är mycket öppen. Den innehåller t.ex. inga begränsningar av persongrupper, platser eller brottsmisstankar som ska ligga till grund för att detta slag av identifiering ska kunna användas. Automatisk ansiktsidentifiering är enligt bestämmelsen möjligt i anknytning till förebyggande, utredning eller avslöjande av brott eller förande av brott till åtalsprövning eller för användning av tvångsmedel. Av de allmänna förutsättningarna för begränsning av grundläggande rättigheter följer att de får begränsas endast i nödvändig utsträckning. 
Förvaltningsutskottet föreslår att bestämmelsen preciseras och avgränsas så att det vid automatisk ansiktsidentifiering är tillåtet att behandla personuppgifter genom att jämföra personuppgifter som fåtts vid teknisk övervakning med uppgifter som behandlats med stöd av 6 och 8 §, alltså i praktiken ansiktsbilder. Bilder som fåtts genom teknisk övervakning kan således i anslutning till en åtgärd för en åtgärd i anknytning till utredning av brott eller förande av brott till åtalsprövning och för att förebygga eller avslöja brott jämföras med bilder som registrerats i Tullens personregister. Dessutom föreslår utskottet att bestämmelsen ändras så att den ovan avsedda behandlingen för genomföras för en åtgärd i anknytning till förebyggande, utredning eller avslöjande av brott eller förande avbrott till åtalsprövning eller för användning av tvångsmedel. För att regleringen ska vara tydlig föreslår utskottet ytterligare att bestämmelserna om automatisk ansiktsidentifiering tas in i ett nytt 2 mom. i paragrafen. 
Grundlagsutskottet har dessutom lyft fram en passus ur motiveringen där det sägs att ”m det inte finns grund för att behandla dessa uppgifter, till exempel för undersökning eller underrättelseinhämtning, ska de raderas inom sex månader efter att de har konstaterats vara onödiga.” Förvaltningsutskottet förtydligar saken genom att konstatera att på det sätt som sägs i 6 § i dataskyddslagen ska obehövliga personuppgifter utplånas utan dröjsmål. Bild- och ljudupptagningar som erhållits genom teknisk övervakning ska dock raderas sex månader efter det att anteckningen infördes i datasystemet och uppgifter som gäller inspelning och identifiering av registreringsskyltar ska raderas vid utgången av det kalenderår som följer på registreringen av uppgiften. 
15 (13) §. Behandling av personuppgifter för andra ändamål än det ursprungliga.
Med hänvisning till det som sägs ovan i anknytning till förslaget till ny 4 § föreslår utskottet att omnämnandet av behövlighetskriteriet stryks i 1 och 2 mom. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. Dessutom måste paragrafhänvisningarna ses över när paragrafnumreringen ändras. 
I enlighet med det som sägs i utskottets allmänna överväganden föreslås det att 1 mom. 2 punkten får formuleringen ”2) att utreda brott för vilka det strängaste straffet enligt lag är fängelse,” Bestämmelsen motsvarar till sitt innehåll motsvarande bestämmelse i 9 (7) § 2 mom. 1 punkten i lagförslaget. 
Under utfrågningen av sakkunniga uppmärksammades förvaltningsutskottet bland annat på att personuppgifter som avses i de föreslagna 5—12 § enligt den föreslagna paragrafen får användas bland annat för att förebygga eller avslöja brott eller för att utreda brott på vilka det kan följa fängelsestraff. Det ansågs vara fråga om en betydande utvidgning jämfört med den gällande lagen som endast tillåter behandling av uppgifter för att avvärja eller utreda brott på vilka det kan följa fängelsestraff. Enligt förslaget får uppgifter likaså användas för inriktning av Tullens verksamhet och för Tullens indrivningsuppdrag. De föreslagna bestämmelserna om sekundär användning av uppgifter har ansetts så till den grad vaga att skillnaden mellan det ursprungliga ändamålet och andra ändamål blir otydligt. Följden blir att transparensen och förutsägbarheten vid behandling av personuppgifter försämras för även om bestämmelserna om de ursprungliga ändamålen begränsar behandlingen på ett tydligt sätt får uppgifterna enligt 13 § också behandlas för andra ändamål. Det har också påpekats att det samtidigt i viss mån sker en avvikelse från indelningen i administrativa respektive brottsförebyggande behandlingsändamål. Det här betyder att en personuppgift som någon lämnat i ett administrativt ärende också skulle kunna behandlas i en brottsförebyggande åtgärd. 
Förvaltningsutskottet konstaterar att de föreslagna bestämmelserna om behandling av uppgifter för förhindrande också av andra brott än sådana där påföljden kan vara fängelse och för inriktning av Tullens verksamhet till sitt innehåll motsvarar 3 kap. 53 § 4 och 5 mom. i Tullens brottsbekämpningslag och 10 kap. 56 § 4 och 5 mom. i tvångsmedelslagen om behandling av överskottsinformation som erhållits med hemliga metoder för inhämtande av information och hemliga tvångsmedel. Överskottsinformation får enligt Tullens brottsbekämpningslag och tvångsmedelslagen alltid användas för förhindrande av brott och för inriktning av Tullens brottsbekämpningsverksamhet. Med förhindrande av tullbrott avses enligt 1 kap. 2 § i lagen om brottsbekämpning inom Tullen åtgärder som syftar till att förhindra tullbrott, försök till tullbrott och förberedelse till tullbrott, eller till att avbryta ett redan påbörjat tullbrott eller begränsa den direkta skada eller fara som brottet medför. Med användningen av uppgifter för inriktning av Tullens verksamhet avses indirekt användning av uppgifterna, så att de inte används som bevis eller som grund för användning av en metod för inhämtande av information. 
Förvaltningsutskottet konstaterar att gällande 16 § i Tullens personuppgiftslag tillåter användning av information i Tullens personregister för brottsförebyggande verksamhet. Förvaltningsutskottet anser att också den nya allmänna lagstiftningen om dataskydd har acceptans för att använda information i anknytning till Tullens tull- och skatteövervakning ärenden för andra ändamål än de ursprungliga. 
I artikel 5.1 b i dataskyddsförordningen föreskrivs om ändamålsbegränsning när det gäller personuppgifter. Behandling av personuppgifter för andra ändamål än det för vilka de samlats in kan enligt artikel 6.4 i dataskyddsförordningen grunda sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1. Enligt skäl 50 i förordningens ingress ska den personuppgiftsansvarige i sådana fall ha rätt att behandla uppgifterna i ett senare skede oberoende av sambanden mellan ändamålen. Under alla omständigheter ska man dock försäkra sig om att de principer dataskyddsförordningens principer följs och att den registrerade informeras om dessa andra ändamål och om sina rättigheter. 
Till den del ovan avsedda uppgifter i anknytning till tillstånds- och övervakningsärenden används för brottsförebyggande syften är det fråga om en sådan på medlemsstatens nationella rätt baserad behandling som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1. Med avseende på de behandlingsmål som nämns i 16 § bör särskild vikt fästas i synnerhet vid artikel 23.1 a om nationell säkerhet, 23.1 c om den allmänna säkerheten och 23.1 d om förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten. Enligt utskottets uppfattning uppfyller förslaget också kraven på innehållet i lagstiftningsåtgärder enligt artikel 23.2. 
Den allmänna författning som ska tillämpas vid behandling av personuppgifter för ett annat ändamål än det ursprungliga bestäms utifrån för vilket ändamål som avviker från det ursprungliga ändamålet med behandlingen av personuppgifter man har för avsikt att behandla personuppgifterna. Behandling av personuppgifter för andra ändamål än det ursprungliga omfattas av tillämpningsområdet för dataskyddsdirektivets genomförandelagstiftning när det är fråga om behandling av uppgifter för de ändamål som föreskrivs i 1 § i dataskyddslagen avseende brottmål. På behandling av uppgifter för exempelvis att förebygga brott ska dataskyddslagen avseende brottmål tillämpas. 
Utöver vad som föreskrivs om behandling av personuppgifter i 5 § 3 mom. i dataskyddslagen avseende brottmål får enligt paragrafens 3 mom. uppgifter i Tullens personregister trots sekretessbestämmelserna behandlas även för laglighetsövervakning, analys, planering och utveckling. Uppgifterna får dessutom användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. För tydlighetens skull konstaterar förvaltningsutskottet i fråga om sådan strategisk analys som omtalas i momentet att användningen av uppgifter i detta syfte inte märkbart avviker från sådan planering och utveckling för vilka Tullen med stöd av 16 § i den gällande Tullens personuppgiftslag kan behandla personuppgifter som ursprungligen insamlats för brottmål eller för tull- och skatteövervakning eller andra lagfästa uppgifter. Olika typer av omvärldsöversikter, rapporter om brottsfenomen samt utvärderingar av åtgärder i anslutning till brottsbekämpning kan hänföras till begreppet strategisk analys. Avsikten är att skapa en sammantagen situationsbild, granska trender och hotbilder och göra riskbedömningar när det gäller tullbrottslighet. Strategisk analys tar inte sikte på att avvärja eller utreda ett enskilt tullbrott utan till att få fram en lägesbild av tullbrottsligheten. 
16 (14) §. Tullens rätt att få uppgifter ur vissa register och informationssystem.
Utöver vad som föreskrivs annanstans i lag har Tullen enligt 1 mom. trots sekretessbestämmelserna rätt att ur vissa register genom en teknisk anslutning eller som en datamängd få information för att utföra sina uppgifter och föra sina personregister, på det sätt som avtalas om saken med den personuppgiftsansvarige. Grundlagsutskottet påpekar att till följd av kravet på reglering i lag kan avtal av denna karaktär närmast omfatta de praktiska åtgärder som öppnande av en teknisk anslutning till en annan myndighets personregister kräver (se GrUU 71/2014 rd). Grundlagsutskottet menar följaktligen att regleringen måste preciseras. 
Förvaltningsutskottet föreslår med hänvisning till det som sägs ovan att det inledande stycket i 1 mom. preciseras så att tillvägagångssätten för att få uppgifter ur register avtalas med den personuppgiftsansvarige
Utskottet hänvisar till sina allmänna överväganden och föreslår att behövlighetskriteriet utgår ur paragrafen. Det innebär att bestämmelsen delvis behöver formuleras om. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. 
Enligt den föreslagna 1 mom. 1 punkten har Tullen trots sekretessbestämmelserna rätt att genom en teknisk anslutning eller som en datamängd få information för att utföra sina uppgifter och föra sina personregister av samfund och sammanslutningar ur sådana register som gäller passagerare och fordons personal samt fordon och varor som transporteras uppgifter som behövs för förhindrande, avslöjande och utredning av tullbrott och förande av tullbrott till åtalsprövning samt för att nå efterlysta personer, trots bestämmelserna i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet ( / ). Den föreslagna 1 punkten motsvarar 13 § 1 mom. 1 punkten i den gällande lagen. För klarhets skull föreslås punkten innehålla en hänvisning till den s.k. PNR-lagen (PNR = Passenger Name Record, flygpassageraruppgifter). Lagen avses innehålla bestämmelser om Tullens rätt att få uppgifter ur passagerarregister inom flygtrafiken. Hänvisningen skiljer sig dock från den informativa hänvisningen i polisens personuppgiftslag (RP 242/2018 rd) och ger i relation till PNR-lagen en nationellt reglerad parallell möjlighet att få flygpassageraruppgifter för användningsändamål som är mer omfattande än enligt PNR-lagen. Utskottet föreslår motsvarande informativa hänvisning som i polisens personuppgiftslag också i Gränsbevakningsväsendets personuppgiftslag (FvUB 40/2018 rd). 
Enligt inhämtad utredning ansågs det när polisens personuppgiftslag bereddes att Europaparlamentets och rådets direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (nedan PNR-direktivet) inte medger en utvidgad användning av de uppgifter som avses i direktivet till annat än de behandlingssyften som avses i den förslagna lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet (RP 55/2018 rd). Denna ståndpunkt bygger på skäl 33 i ingressen till direktivet och på att man i samband med trepartsförhandlingar uteslöt möjligheten att föreskriva om mer omfattande insamling och behandling av uppgifter. Enligt uppgift säger direktivet inte någon annanstans än i ingressen något om medlemsstaternas möjlighet att nationellt införa bestämmelser om användning av de i direktivet avsedda uppgifterna för andra ändamål än de som nämns i direktivet. Avsikten och syftet med proposition RP 55/2018 rd är att genomföra PNR-direktivet nationellt, så den propositionen gäller bara insamling och användning av de uppgifter som direktivet gäller. 
Den föreslagna bestämmelsen i Tullens personuppgiftslag avses komplettera Tullens rätt att med stöd av 102 § i tullagen i enskilda fall få uppgifter om en passagerare. De avsedda passageraruppgifterna är av avgörande betydelse exempelvis när det ska göras en riskanalys för bekämpningen av tullbrott. Utskottet erfar att det ändamål som Tullen inhämtar och använder passageraruppgifter för är klart bredare än ändamålet enligt PNR-direktivet. Med andra ord används passageraruppgifter redan i dagens läge för att bekämpa tullbrott av alla allvarlighetsgrader och för att inrikta övervakningen effektivt och ändamålsenligt. 
Utskottet anser att polisen, Gränsbevakningsväsendet och Tullen bör ha likadana rättigheter när det gäller att få flygpassageraruppgifter. Enligt utskottets uppfattning kan den föreslagna bestämmelsen i Tullens personuppgiftslag antas effektivisera myndigheternas verksamhet. Däremot kan utskottet inte utifrån tillgänglig information försäkra sig om huruvida bestämmelsen står i strid med PNR-direktivet, utan detta måste vid behov utredas särskilt. Därför föreslår utskottet att bestämmelsen ändras till en informativ hänvisning till lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet, precis som i polisens personuppgiftslag. 
Utskottet föreslår att paragrafhänvisningen i 5 och 6 punkten justeras till följd av den ändrade paragrafnumreringen. Dessutom föreslår utskottet att 7 punkten preciseras genom att närmare ange vilka uppgifter som avses och att utrikesförvaltningen ändras till utrikesministeriet i 12 punkten
17 (15) §. Uppgifter som andra myndigheter lämnar ut till Tullen genom registrering via direkt anslutning eller för registrering som en datamängd
Förvaltningsutskottet föreslår med hänvisning till grundlagsutskottet att det inledande stycket i 1 mom. preciseras också i denna paragraf på så sätt att de praktiska tillvägagångssätten för att få uppgifter ur register avtalas med den personuppgiftsansvarige. 
Utskottet hänvisar till sina allmänna överväganden och föreslår att behövlighetskriteriet utgår ur paragrafen. Därmed behöver 3 och 4 punkten omformuleras. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. 
Utskottet föreslår att paragrafhänvisningen i 2 mom. justeras till följd av den ändrade paragrafnumreringen. 
18 (16) §. Vite.
19 (17) §. Behandling av personuppgifter som fåtts från en tredje stat eller en internationell organisation eller myndighet.
Utskottet föreslår att paragrafhänvisningen justeras till följd av den ändrade paragrafnumreringen. 
20 (18) §. Utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål.
Utskottet föreslår att paragrafhänvisningarna justeras till följd av den ändrade paragrafnumreringen. 
Vidare konstaterar utskottet med hänvisning till sina allmänna överväganden att behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. Utskottet understryker dessutom att enligt förslaget till 20 § kan uppgifter lämnas ut bara för utförande av uppgifter som avses i 1 § dataskyddslagen avseende brottmål. 
Samtidigt bör uttrycket ”andra myndigheter” preciseras i överensstämmelse med paragrafrubriken, menar utskottet. I 3 § 1 mom. 5 punkten i dataskyddslagen avseende brottmål definieras begreppet behörig myndighet. Enligt motiven avses med behöriga myndigheter exempelvis polis- och tullmyndigheterna, Gränsbevakningsväsendet, de allmänna domstolarna, åklagarväsendet, rättsregistercentralen och Brottspåföljdsmyndigheten. Också en i lagen om Forststyrelsens jakt- och fiskeövervakning (1157/2005) avsedd jakt- och fiskeövervakare är en sådan behörig myndighet som avses i lagrummet, för övervakaren gör i vissa situationer summarisk förundersökning i brottmål. Även exempelvis riksdagens justitieombudsman och justitiekanslern är sådana behöriga myndigheter som avses i sammanhanget eftersom de under vissa omständigheter har åtalsrätt. Däremot är exempelvis en i lagen om verkställighet av samhällspåföljder (400/2015) avsedd socialarbetare som utsetts att i egenskap av biträdande övervakare bistå en tjänsteman som svarar för verkställigheten av en enskild samhällspåföljd inte en sådan behörig myndighet som avses i lagrummet. I lagrummet utsträcks definitionen av behörig myndighet också till Försvarsmakten, polisen och Gränsbevakningsväsendet när de sköter uppgifter som avses i § 2 mom. i dataskyddslagen avseende brottmål. 
21 (19) §. Övrigt utlämnande av personuppgifter till myndigheter.
Utskottet hänvisar till sina allmänna överväganden och föreslår att behövlighetskriteriet utgår ur paragrafen. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. Utskottet föreslår också att paragrafhänvisningarna justeras till följd av den ändrade paragrafnumreringen. 
I 1 mom. 1 punkten föreskrivs det om utlämnande av uppgifter till Skatteförvaltningen. Skatteförvaltningen behöver för sina beskattningsuppdrag dels de uppgifter som nämns i 1 punkten, dels också de tullövervaknings- och skattekontrolluppgifter som avses i 10 §. Utskottet föreslår att bestämmelsen preciseras till denna del. 
Riksdagen antog 15.2.2019 en lag om ändring av lagen om transportservice (RP 157/2018 rdKoUB 39/2018 rd). I 1 mom. 2 punkten finns en hänvisning till vissa bestämmelser i lagen om transportservice. Hänvisningen måste justeras på grund av ändrad paragrafnumrering. Samtidigt bör namnet Trafiksäkerhetsverket ändras till Transport- och kommunikationsverket. Transport- och kommunikationsverket behöver för sina beskattningsuppdrag också de tullövervaknings- och skattekontrolluppgifter som avses i 10 §. Utskottet föreslår en komplettering också i fråga om detta. 
Dessutom föreslår utskottet att uttrycket ”uppehållstillstånd för näringsidkare” I paragrafens 1 mom. 7 och 8 punkterna ändras til”uppehållstillstånd för företagare”. Utlänningslagen ändrades genom lag 121/2018 och då gjordes motsvarande ändring. Utskottet har dessutom uppmärksammats på att 8 punkten bör preciseras. 
Till följd av den nya 4 § som utskottet föreslår föreslås det att det i propositionen föreslagna 2 mom. om behandling av uppgifter som hör till särskilda kategorier av personuppgifter stryks. 
Bestämmelserna om utlämnande av uppgifter i 17 § i den gällande lagen gäller alla uppgifter som lagrats i Tullens personregister. Men 1 mom. gäller dock bara de uppgifter som avses i dess inledande stycke. Utskottet föreslår att 2 mom. ska innehålla en ny bestämmelse som innebär att Tullen utöver vad som föreskrivs i 1 mom. av grundad anledning trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd får lämna ut till en myndighet personuppgifter som är nödvändiga för att utföra en uppgift som i lag föreskrivits för myndigheten. Motsvarande bestämmelse ingår i den föreslagna 22 § i polisens personuppgiftslag (FvUB 39/2018 rd) och den föreslagna 33 § i Gränsbevakningsväsendets personuppgiftslag (FvUB 40/2018 rd). Genom bestämmelsen görs det möjligt att lämna ut uppgifter som är nödvändiga för att utföra en myndighets i lagen föreskrivna uppgifter till den del det inte finns bestämmelser om utlämnanderätten i 1 mom. Bestämmelsen måste ingå också i Tullens personuppgiftslag för att se till att myndigheterna kan fungera och samarbeta. 
23 (21) §. Utlämnande av personuppgifter till brottsbekämpande myndigheter i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet.
Utskottet föreslår att omnämnande av behövlighet stryks i den första meningen i 2 mom., liksom hela den sista meningen om nödvändighetskriteriet för behandling av personuppgifter som hör till särskilda kategorier av uppgifter. Behövlighetskravet vid behandling av personuppgifter följer direkt av artikel 5 i dataskyddsförordningen och 4 § i dataskyddslagen avseende brottmål. Bestämmelser om behandling av särskilda kategorier av personuppgifter föreslås bli intagna i den nya 4 § som utskottet föreslår. Utskottet föreslår att paragrafhänvisningarna justeras till följd av den ändrade paragrafnumreringen. 
28 (26) §. Radering av andra personuppgifter som behandlas i undersökningsuppgifter. 29 (27) §. Radering av personuppgifter som anknyter till förbyggande eller avslöjande av brott. 31 (29 §). Radering av personuppgifter som anknyter till tullövervakning och skattekontroll.
Utskottet föreslår att paragrafhänvisningarna justeras till följd av den ändrade paragrafnumreringen. 
36 (34) §. Inskränkningar i rätten till insyn.
Bestämmelser om inskränkningar i den registrerades rätt till insyn i enskilda fall finns i 24 och 28 § i dataskyddslagen avseende i brottmål. Genom den föreslagna paragrafen kompletteras dessa bestämmelser med bestämmelser om allmänna undantag som gäller Tullens behandling av personuppgifter när det gäller den rätt till insyn för en registrerad som det föreskrivs om i 23 § i dataskyddslagen avseende brottmål. Om den registrerade inte har omedelbar rätt till insyn har hen dock rätt att be dataombudsmannen granska lagligheten i behandlingen av personuppgifterna. 
Enligt förslaget till 1 mom. 1 punkten i propositionen gäller rätten till insyn inte personuppgifter som avses i 5 § 3 mom. och 8 § 6 mom., i fråga om vilka Tullen först i det skedet gör en bedömning av deras behövlighet. Förvaltningsutskottet har ovan med anledning av grundlagsutskottets utlåtande föreslagit att bestämmelserna om bedömning av uppgifternas betydelse stryks och att det i stället intas bestämmelser motsvarande 5 kap. 55 § i polislagen om skyldighet att utplåna uppgifter. Förvaltningsutskottet anser att denna skyldighet inte kräver någon begränsning av insynsrätten och utskottet föreslår därför att hänvisningarna i 1 punkten stryks. Dessutom måste hänvisningarna ses över när paragrafnumreringen ändras. 
38 (36) §. Personuppgiftsansvarig.
Utskottet föreslår att paragrafhänvisningarna justeras till följd av den ändrade paragrafnumreringen. 
39 §. Straffbestämmelse. (Ny)
Grundlagsutskottet påpekar i sitt utlåtande att det i lagförslaget inte ingår någon hänvisning till bestämmelsen om dataskyddsbrott i 38 kap. 9 § i strafflagen. Straffbart enligt 1 mom. 4 punkten i bestämmelsen om dataskyddsbrott är i den närmare specificerad verksamhet i strid med någon annan lag som gäller behandling av personuppgifter. Också bestämmelsens 2 mom. gäller verksamhet i strid med någon annan lag om behandling av personuppgifter. Utskottets uppfattning är att lagen om behandling av personuppgifter inom Tullen är en sådan "annan lag som gäller behandling av personuppgifter" som avses i 38 kap. 9 § 1 mom. 4 punkten i strafflagen. Lagförslaget måste kompletteras med en hänvisning till bestämmelsen om dataskyddsbrott i strafflagen, menar utskottet. 
Förvaltningsutskottet föreslår med hänvisning till grundlagsutskottets utlåtande att det till lagen fogas en ny 39 § med en straffbestämmelse som har en hänvisning till strafflagens 38 kap. 9 § om dataskyddsbrott. Som en följd den nya paragrafen ändras numreringen av de efterföljande paragraferna. 
40 (37) §. Ikraftträdande.
Utskottet föreslår att paragrafhänvisningarna i 3 mom. ses över till följd av den ändrade paragrafnumreringen. 
2.
Lag om ändring av lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet
Också i andra propositioner som gäller behandling av personuppgifter och som förvaltningsutskottet behandlar har det föreslagits att paragrafen ska ändras. Avsikten är att regleringen ska beaktas i samband med regeringens proposition RP 242/2018 rd och utskottet föreslår därför att lagförslag 2 förkastas. 
3.
Lag om ändring av lagen om brottsbekämpning inom Tullen
2 kap. Tullens befogenheter vid tullbrottsbekämpning
15 §. Identifiering.
Det föreslagna 2 mom. har föreslagits bli ändrat också i proposition RP 242/2018 rd, som utskottet också behandlar. Regleringen bör samordnas vid behandlingen av den föreliggande propositionen. Utskottet föreslår att hänvisningen i 2 mom. till den gällande lagen om behandling av personuppgifter i polisens verksamhet ändras till en hänvisning till de aktuella paragraferna i den nya personuppgiftslagen för polisen enligt vad som föreslås i förvaltningsutskottets betänkande FvUB 39/2018 rd. Också hänvisningen till Tullens personuppgiftslag måste ses över. 
4.
Lag om ändring av 10 kap. 57 § i tvångsmedelslagen
Också i andra propositioner som gäller behandling av personuppgifter och som förvaltningsutskottet behandlar har det föreslagits att paragrafen ska ändras. Avsikten är att regleringen ska beaktas i samband med proposition RP 242/2018 rd och utskottet föreslår därför att lagförslag 12 förkastas. 
5.
Lag om ändring av 10 § i lagen om genomförande av vissa bestämmelser i beslutet om Eurojust
Också i andra propositioner som gäller behandling av personuppgifter och som förvaltningsutskottet behandlar har det föreslagits att paragrafen ska ändras. Avsikten är att regleringen ska beaktas i samband med proposition RP 242/2018 rd och utskottet föreslår därför att lagförslag 12 förkastas. 
6.
Lag om ändring av 12 § i lagen om Enheten för utredning av grå ekonomi
12 §. Behandling av personuppgifter och rätt till insyn.
Det föreslagna 2 mom. har föreslagits bli ändrat också i propositionerna RP 241/2018 rd och RP 242/2018 rd, som utskottet också behandlar. Regleringen bör samordnas vid behandlingen av den föreliggande propositionen. Utskottet föreslår därför att hänvisningen i 2 mom. till den gällande lagen om behandling av personuppgifter i polisens verksamhet ändras till en hänvisning till de aktuella paragraferna i den nya personuppgiftslagen för polisen enligt vad som föreslås i förvaltningsutskottets betänkande FvUB 39/2018 rd. Dessutom ska hänvisningen till den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet ändras till en hänvisning till de aktuella paragraferna i den nya personuppgiftslag för Gränsbevakningsväsendet enligt vad som föreslås i förvaltningsutskottets betänkande FvUB 40/2018 rd. Också hänvisningen till Tullens personuppgiftslag måste ses över. 
7. Lag om ändring av 87 a § i bilskattelagen. 8. Lag om ändring av 4 a § i punktskattelagen.
Utskottet föreslår att paragrafhänvisningarna i lagförslagen ses över till följd av den ändrade paragrafnumreringen. 
9.
Lag om ändring av 322 § i lagen om tjänster inom elektronisk kommunikation
322 §. Vissa andra myndigheters rätt att få information.
Det föreslagna 1 mom. har föreslagits bli ändrat också i proposition RP 241/2018 rd, som utskottet också behandlar. Regleringen bör samordnas vid behandlingen av den föreliggande propositionen. Därför föreslår utskottet att hänvisningen i 1 mom. till den gällande lagen om behandling av personuppgifter vid gränsbevakningsväsendet ändras till en hänvisning till den föreslagna nya personuppgiftslag för Gränsbevakningsväsendet enligt vad som föreslås i förvaltningsutskottets betänkande FvUB 40/2018 rd
10. Lag om ändring av 25 § i säkerhetsutredningslagen.
Utskottet föreslår att paragrafhänvisningarna i lagförslaget ses över till följd av den ändrade paragrafnumreringen. 
FÖRSLAG TILL BESLUT
Förvaltningsutskottets förslag till beslut:
Riksdagen godkänner lagförslag 1, 3 och 6—10 i proposition RP 259/2018 rd med ändringar. (Utskottets ändringsförslag) 
Riksdagen förkastar lagförslag 2, 4 och 5 i proposition RP 259/2018 rd. 
Utskottets ändringsförslag
1. 
Lag 
om behandling av personuppgifter inom Tullen 
I enlighet med riksdagens beslut föreskrivs: 
1 kap. 
Allmänna bestämmelser 
1 § 
Tillämpningsområde 
Om inte annat föreskrivs någon annanstans i lag ska denna lag tillämpas på behandling av personuppgifter som behövs för skötseln av de övervakningsuppdrag som Tullen har enligt lag och för att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning, om 
1) behandlingen är helt eller delvis automatisk, eller 
2) personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. 
Dessutom innehåller denna lag bestämmelser om den registrerades rättigheter, om Tullens rätt att få personuppgifter och andra uppgifter som behövs för skötseln av Tullens lagstadgade uppdrag samt om rätten att lämna ut personuppgifter och andra uppgifter. 
2 § 
Förhållande till annan lagstiftning 
Om inte något annat föreskrivs i denna lag 
1) tillämpas på behandlingen av personuppgifter i syfte att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning, samt för att skydda mot eller förebygga hot mot den allmänna säkerheten lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018), nedan dataskyddslagen avseende brottmål, 
2) tillämpas på rätten till information och annat utlämnande av personuppgifter ur myndigheternas personregister vad som föreskrivs om offentlighet i myndigheternas verksamhet. 
Bestämmelser om behandling av personuppgifter finns dessutom i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och i dataskyddslagen (1050 /2018). 
I fråga om Tullens informationsinhämtning och befogenheter i anknytning till den gäller vad som förskrivs särskilt. 
3 § (Ny) 
Principer som ska iakttas vid behandling av personuppgifter samt förbud mot diskriminering 
Vid behandlingen av personuppgifter ska bestämmelserna i 6 kap. i tullagen om respekt för de grundläggande rättigheterna och de mänskliga rättigheterna, proportionalitetsprincipen, principen om minsta olägenhet och principen om ändamålsbundenhet iakttas. 
Behandlingen av personuppgifter får inte utan godtagbart skäl grunda sig på en persons ålder, kön, ursprung, nationalitet, bosättningsort, språk, religion, övertygelse, åsikt, politiska verksamhet, fackföreningsverksamhet, familjeförhållanden, hälsotillstånd, funktionsnedsättning, sexuella läggning eller någon annan orsak som gäller hans eller hennes person. 
 
4 § (Ny
Behandling av uppgifter som hör till särskilda kategorier av personuppgifter 
Tullen får behandla uppgifter som hör till särskilda kategorier av personuppgifter endast om det är nödvändigt med hänsyn till ändamålet med behandlingen. 
5 (3) § 
Definitioner 
I denna lag avses med 
1) tullbrott:
a) brott som innebär överträdelse av en sådan bestämmelse i tullagen (304/2016) eller någon annan lag vars iakttagande Tullen ska övervaka eller som Tullen ska verkställa,
b) mot tullman riktat hindrande av tjänsteman enligt 16 kap. 3 § i strafflagen (39/1889) och tredska mot tullman enligt 4 b § i det kapitlet,
c) olaga befattningstagande med infört gods enligt 46 kap. 6 och 6 a § i strafflagen,
d) ett sådant brott i vilket ingår import, export eller transitering genom Finland av egendom,
 
2) skattekontroll utförande av en övervakningsuppgift som gäller ett visst skatteslag och som särskilt föreskrivits för Tullen,skattekontroll Tullin tehtäväksi erikseen säädetyn, tiettyä verolajia koskevan, valvontatehtävän suorittamista; 
3) författningsgrunden för Schengens informationssystem Europaparlamentets och rådets förordning (EG) nr 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), rådets beslut 2007/533/RIF om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) samt Europaparlamentets och rådets förordning (EG) nr 1986/2006 om tillträde till andra generationen av Schengens informationssystem (SIS II) för de enheter i medlemsstaterna som ansvarar för att utfärda registreringsbevis för fordon, 
4) Schengens informationssystem andra generationen av Schengens informationssystem så som det definieras i författningsgrunden för Schengens informationssystem (SIS II) 
5) 5) Europolförordningen Europaparlamentets och rådets förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF. 
2 kap. 
Behandling av personuppgifter 
6 (4) § 
Behandling av grundläggande personuppgifter 
Tullen får för de ändamål som anges i 7, 9 och 11—13 § behandla följande behövliga grundläggande personuppgifter: 
1) namn, 
2) födelsedatum och födelseort, 
3) personbeteckning, 
4) kön, 
5) modersmål, 
6) kontaktspråk, 
7) civilstånd, 
8) medborgarskap eller avsaknad av medborgarskap samt nationalitet, 
9) hemvist och bostadsort, 
10) yrke och utbildning, 
11) kontaktuppgifter, 
12) uppgifter ur handlingar som behövs för att fastställa identiteten, 
13) i fråga om en utländsk person föräldrarnas namn, medborgarskap och nationalitet, 
14) uppgifterna i ett resedokument samt övrig behövlig information som gäller inresa och passerande av gräns, 
15) fordons registreringstecken, 
16) klientnummer som en myndighet gett, 
17) uppgift om att personen avlidit eller förklarats död, 
18) uppgift om intressebevakning, försättande i konkurs eller meddelande om näringsförbud. 
7 (5) § 
Behandling av personuppgifter inom undersökningsuppdrag 
Tullen får behandla personuppgifter för utredning av tullbrott eller en annan åtgärd i anknytning till att föra brott till åtalsprövning. 
Dessutom krävs det att de i 1 mom. avsedda uppgifterna anknyter till personer som 
1) är misstänkta för brott eller för medverkan till brott, 
2) är under 15 år och misstänkta för en brottslig gärning, 
3) är föremål för förundersökning, 
4) har anmält ett brott eller uppträder som målsägande, 
5) är vittnen, 
6) är offer, 
7) på något annat sätt lämnat tilläggsuppgifter som har anknytning till ett ärende. 
De uppgifter som Tullen har inhämtat för utförandet av sina uppgifter ska raderas utan dröjsmål efter att det blivit klart att de inte behövs för behandling enligt 1 mom. eller 15 § 1 mom. 
8 (6) § 
Innehållet i personuppgifter som behandlas inom undersökningsuppdrag 
Tullen får i fråga om i 7 § avsedda personer utöver de grundläggande personuppgifter som avses i 6 § behandla också följande personuppgifter: 
1) behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Tullens uppgifter, åtgärder och händelser, 
2) signalementsuppgifter som behövs för fastställande av identiteten, inklusive finger-, hand- och fotavtryck, handstils-, röst- och luktprov, DNA-profil, ansiktsbild och andra biometriska uppgifter, 
3) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller för att trygga en myndighets säkerhet i arbetet, inklusive nödvändiga, uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård, uppgifter om övervakningsobjektets eller en persons farlighet eller oberäknelighet samt uppgifter som beskriver eller är avsedda att beskriva en brottslig gärning, ett straff eller någon annan påföljd för brott, 
4) identifieringsuppgift om avgörande av åklagare eller domstol och uppgift om någon har dömts till straff, om det fattats beslut om åtalseftergift eller domseftergift, om ett åtal förkastats, lämnats utan prövning eller avskrivits samt uppgift om ett avgörandes laga kraft. 
9 (7) § 
Behandling av personuppgifter för förebyggande eller avslöjande av brott 
Tullen får behandla personuppgifter för förebyggande eller avslöjande av tullbrott. 
Dessutom krävs det att de i 1 mom. avsedda uppgifterna anknyter till personer som 
1) med fog kan antas ha gjort sig eller göra sig skyldiga till brott, för vilka lagens strängaste straff är fängelse, 
2) har kontakt med en i 1 punkten avsedd person eller påträffas i dennes sällskap, och kontakten eller sammanträffandena på grund av att de har upprepats, omständigheterna eller personens beteende kan antas ha samband med ett brott, 
3) är föremål för observation enligt 3 kap. 9 § i lagen om brottsbekämpning inom Tullen eller för tullövervakning eller tullbrottsbekämpning. 
Tullen får, om det är nödvändigt för förebyggande eller avslöjande av ett tullbrott, behandla i 1 mom. avsedda uppgifter också i fråga om följande personer: 
1) vittnen till ett brott, 
2) offer för ett brott, 
3) den som har anmält ett brott eller uppträder som målsägande. 
Beslut om inledande av behandling av personuppgifter i anknytning till en brottsanalys som behövs för förebyggande eller avslöjande av brott fattas av chefen för Tullens brottsbekämpning eller av en av denne till uppgiften förordnad chef för en verksamhetsenhet inom Tullens brottsbekämpning. 
Tullen får dessutom behandla uppgifter om observationer som gjorts av tullmän och uppgifter som anmälts till Tullen i anslutning till händelser eller personer som utifrån omständigheterna eller en persons beteende med fog kan bedömas ha samband med tullbrott. 
De uppgifter som Tullen har inhämtat för utförandet av sina uppgifter ska raderas utan dröjsmål efter att det blivit klart att de inte behövs för behandling enligt 1 mom. eller 15 § 1 mom. 
10 (8) § 
Innehållet i personuppgifter som anknyter till förbyggande eller avslöjande av brott 
Tullen får i fråga om i 9 § avsedda personer utöver de grundläggande personuppgifter som avses i 4 § behandla också följande personuppgifter: 
1) behövliga specificeringar, beskrivningar och klassificeringar i anknytning till Tullens uppgifter, åtgärder och händelser, 
2) uppgifter som gäller en persons kontakter, livsstil, ekonomiska situation, hobbyer och andra intressen, 
3) signalementsuppgifter som behövs för fastställande av identiteten, inklusive röstprov, ansiktsbild och andra biometriska uppgifter, 
4) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller för att trygga en myndighets säkerhet i arbetet samt uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård, uppgifter om övervakningsobjektets eller en persons farlighet eller oberäknelighet samt uppgifter som beskriver eller är avsedda att beskriva en brottslig gärning, ett straff eller någon annan påföljd för brott. 
Till personuppgifterna ska det om möjligt fogas en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet. 
11 (9) § 
Behandling av uppgifter om informationskällor 
Tullen får, utöver sådana grundläggande personuppgifter som avses i 6 §, om en i 3 kap. 39 § i lagen om brottsbekämpning inom Tullen eller 10 kap. 39 § i tvångsmedelslagen (806/2011) avsedd person som har använts som informationskälla, behandla 
1) uppgifter om användningen och övervakningen av informationskällan, 
2) uppgifter om det huvudsakliga innehållet i de uppgifter som informationskällan har lämnat. 
12 (10) § 
Behandling av personuppgifter vid tullövervakning och skattekontroll 
Tullen får för utförande av tullövervakning och skattekontroll behandla i 4 § avsedda behövliga personuppgifter 
1) med anknytning till anmälningar och annan information som lämnas till Tullen med stöd av lag, 
2) som gäller tullövervaknings- och skattekontrollåtgärder som vidtagits och fortsatta åtgärder som föreslagits på basis av dem. 
Utöver vad som föreskrivs i 1 mom. får behandlingen omfatta 
1) identifieringsuppgifter om en utredningsbegäran eller anmälan om brott som gjorts på basis av en inspektion eller om ett yrkande eller avgörande som avses i lagen om föreläggande av böter och ordningsbot (754/2010), 
2) uppgifter som gäller riktande av tullövervakning och skattekontroll. 
 
13 (11) § 
Behandling av personuppgifter i Tullens övriga lagstadgade uppgifter 
Tullen får behandla i 6 § avsedda personuppgifter för gränskontrolluppgifter, utförande av handräckningsuppdrag samt upprätthållande av ordningen och säkerheten i förvaringslokaler. 
14 (12) § 
Behandling av personuppgifter som erhållits genom teknisk övervakning 
Tullen har rätt att behandla i 6 § avsedda personuppgifter som har erhållits genom teknisk övervakning, inklusive biometriska uppgifter, för att övervaka efterlevnaden av tullagstiftningen och annan lagstiftning som omfattas av Tullens tillsynsbefogenhet och för identifiering av personer i enlighet med 28 § i tullagen. Personuppgifter får också behandlas vid automatisk ansiktsidentifiering för en åtgärd i anknytning till förebyggande, utredning eller avslöjande av brott eller förande av brott till åtalsprövning eller för användning av tvångsmedel. 
Personuppgifter som erhållits genom teknisk övervakning får också behandlas vid automatisk ansiktsidentifiering genom att jämföra uppgifterna med personuppgifter som med stöd av 8 och 10 § har lagrats för förebyggande, utredning eller avslöjande av brott eller förande av brott till åtalsprövning eller för användning av tvångsmedel
15 (13) § 
Behandling av personuppgifter för andra ändamål än det ursprungliga 
Tullen får behandla personuppgifter som avses i 7—14 § för andra ändamål med behandlingen än det ursprungliga, om detta behövs för 
1) att förebygga eller avslöja tullbrott, 
2) att utreda ett tullbrott för vilket lagens strängaste straff är fängelse, 
3) att påträffa en efterlyst, 
4) en utredning som stöder det att någon är oskyldig, 
5) förhindrande av betydande fara för någons liv, hälsa eller frihet eller betydande miljö-, egendoms- eller förmögenhetsskada, 
6) skyddande av den nationella säkerheten, 
7) att utreda identitet i samband med en sådan tullåtgärd som nödvändigt kräver att identiteten styrks, 
8) utförande av handräckningsuppdrag, 
9) inriktning av Tullens brottsbekämpningsverksamhet, 
10) Tullens indrivningsuppdrag. 
Dessutom får Tullen behandla personuppgifter som avses i 7, 8 och 11—13 § för andra ändamål med behandlingen än det ursprungliga om detta behövs för beslut eller utlåtanden som gäller beviljande eller giltighet av ett tillstånd, när tillståndet enligt gällande bestämmelser är beroende av sökandens eller tillståndshavarens tillförlitlighet, lämplighet eller någon liknande egenskap och det för bedömningen av egenskapen krävs uppgifter om sökandens, tillståndshavarens eller deras ansvariga personers brottslighet eller någon annan verksamhet i strid med bestämmelserna. 
Utöver vad som föreskrivs om behandling av personuppgifter i 5 § 3 mom. i dataskyddslagen avseende brottmål får uppgifter i Tullens personregister trots sekretessbestämmelserna behandlas även för laglighetsövervakning, analys, planering och utveckling. Uppgifter får också användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. 
3 kap. 
Rätt att få uppgifter 
16 (14) § 
Tullens rätt att få uppgifter ur vissa register och informationssystem 
Utöver vad som föreskrivs annanstans i lag har Tullen trots sekretessbestämmelserna rätt att ur vissa register genom en teknisk anslutning eller som en datamängd få information för att utföra sina uppgifter och föra sina personregister, på det sätt som avtalas om tillvägagångssättet med den personuppgiftsansvarige, enligt följande: 
1) av samfund och sammanslutningar ur sådana register som gäller passagerare och fordons personal samt fordon och varor som transporteras uppgifter som behövs för förhindrande, avslöjande och utredning av tullbrott och förande av tullbrott till åtalsprövning samt för att nå efterlysta personer; i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet ( / ) föreskrivs om rätten att få uppgifter ur passagerarregister inom flygtrafiken, 
2) ur Skatteförvaltningens datasystem och register sådana uppgifter och identifieringsuppgifter om den skattskyldige som behövs för beskattning, skattekontroll, indrivning och tullbrottsbekämpning samt för tillståndsprövning behövliga uppgifter om tillståndssökandens eller dennes ansvariga personers fullgörande av sin skattebetalningsskyldighet och betalningsarrangemangen i anslutning till betalningen av dessa skatter, samt uppgifter om överträdelser av tullagstiftningen eller skattelagstiftningen, om dessa är en förutsättning för beviljande av tillstånd, 
3) ur det trafik- och transportregister som avses i lagen om transportservice (320/2017) sådana uppgifter som är nödvändiga för utförande av Tullens lagstadgade uppdrag, 
4) ur Patent- och registerstyrelsens handelsregister sådana uppgifter om anmälningar och meddelanden som gäller näringsidkare för tullövervakning, skattekontroll, tillståndsprövning, beskattning, indrivning och tullbrottsbekämpning, samt för tullövervakning, skattekontroll och brottsbekämpning uppgifter ur handelsregistret om registrerade förmånstagare och identifieringsuppgifter om dem, 
5) ur polisens personregister sådana uppgifter som behövs för tullövervakning, skattekontroll och tullbrottsbekämpning samt för Tullens övriga uppdrag i enlighet med de ändamål som uppgifterna har registrerats för och, i de fall som avses i 15 §, för andra ändamål än de som uppgifterna har registrerats för, 
6) ur Gränsbevakningsväsendets personregister uppgifter som behövs för tullövervakning, skattekontroll, tullbrottsbekämpning och Tullens in- och utresekontroll i enlighet med 31 § i tullagen samt för Tullens övriga uppdrag i enlighet med de ändamål som uppgifterna har registrerats för och, i de fall som avses i 15 §, för andra ändamål än de som uppgifterna har registrerats för, 
7) ur Brottspåföljdsmyndighetens informationssystem enligt lagen om behandling av personuppgifter vid Brottspåföljdmyndigheten (1069/2015), i enlighet med 20 § i den lagen, uppgifter som gäller för brott misstänkta eller dömda personer, fångar, samt intagna i en enhet vid Brottspåföljdsmyndigheten, för förhindrande, avslöjande, utredning eller överlämnande för åtalsprövning av brott, 
8) av dem som utövar inkvarteringsverksamhet och av polisen sådana uppgifter som avses i 6 § 1 mom. i lagen om inkvarterings- och förplägnadsverksamhet (308/2006) och som behövs för tullbrottsbekämpning, 
9) sådana uppgifter som avses i 13—17 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) för tullövervakning, skattekontroll, beskattning, indrivning och tullbrottsbekämpning, 
10) ur det bötesregister som avses i lagen om verkställighet av böter (672/2002) uppgifter om bötesstraff och verkställigheten av dem, ur det straffregister som avses i straffregisterlagen (770/1993) uppgifter om personer och juridiska personer för de ändamål som nämns i 4 och 4 a § i den lagen och ur det register över avgöranden och meddelanden om avgöranden som avses i lagen om justitieförvaltningens riksomfattande informationssystem (372/2010) uppgifter om avgöranden i brottmål och om avgörandenas laga kraft samt ur det rikssystem för behandling av diarie- och ärendehanteringsuppgifter som avses i den lagen uppgifter om brottmål som är eller har varit anhängiga vid åklagarmyndigheter och domstolar, 
11) av justitieförvaltningsmyndigheterna uppgifter om personer som är efterlysta av justitieförvaltningen, 
12) ur utrikesministeriets informationssystem uppgifter om ärenden som gäller visum och om dem som hör till personalen vid diplomatiska beskickningar och konsulat som representerar den utsändande staten i Finland och om dem som hör till personalen vid en internationell organisations organ i Finland eller något annat internationellt organ i samma ställning samt om dessa personers familjemedlemmar och om dem som är i privat tjänst hos dessa personer, för utförande av de uppdrag som Tullen har enligt utlänningslagen (301/2004) och för tullövervakning, skattekontroll och tullbrottsbekämpning, 
13) ur Migrationsverkets informationssystem uppgifter om ärenden som gäller resedokument, vistelse, internationellt skydd, avlägsnande ur landet, inreseförbud och medborgarskap, för utförande av de uppdrag som Tullen har enligt utlänningslagen och för tullövervakning, skattekontroll och tullbrottsbekämpning, 
14) av teleföretag uppgifter som avses i 10 kap. 6—8 § i tvångsmedelslagen och i 2 kap. 14 § 2 mom. och 3 kap. 4 och 5 § i lagen om brottsbekämpning inom Tullen, under de förutsättningar som anges i de lagarna, för tullbrottsbekämpning, 
15) av Statens ämbetsverk på Åland, ur de uppgifter om registrering av fartyg, fartyg under byggnad och fartygs historik som avses i fartygsregisterlagen (512/1993), sådana uppgifter om fartyg samt ägare och innehavare av fartyg som behövs för de uppdrag som Tullen sköter enligt lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet (485/2004), för påförande av påföljdsavgift för transportör enligt 179 § i utlänningslagen samt för tullövervakning, skattekontroll, beskattning, indrivning och tullbrottsbekämpning, 
16) av trafik-, fiske- och miljömyndigheterna samt av polisen, Gränsbevakningsväsendet och Försvarsmakten uppgifter om fordon och deras position samt om trafik, för tullövervakning, skattekontroll och tullbrottsbekämpning, 
17) av myndigheter som har begärt handräckning de uppgifter som är nödvändiga för att handräckning ska kunna ges, 
18) ur regionförvaltningsverkets register för övervakning av penningtvätt de uppgifter och identifieringsuppgifter om den registrerade som behövs för tullövervakning, skattekontroll och tullbrottsbekämpning, 
19) av Lantmäteriverket för förhindrande, avslöjande och utredning av brott uppgifter ur det fastighetsdatasystem som avses i lagen om ett fastighetsdatasystem och anslutande informationstjänster (453/2002) och det bostadsdatasystem som avses i lagen om ett bostadsdatasystem (1328 /2018 ). 
Tullen har rätt att få de uppgifter som avses i 1 mom. avgiftsfritt, om inte något annat föreskrivs i lag. 
När Tullen har fått personuppgifter av en personuppgiftsansvarig med stöd av 1 mom. ska Tullen på begäran lämna den personuppgiftsansvarige information om behandlingen av de utlämnade personuppgifterna. 
17 (15) § 
Uppgifter som andra myndigheter lämnar ut till Tullen genom registrering via direkt anslutning eller för registrering som en datamängd 
Enligt avtal om tillvägagångssättet med den personuppgiftsansvarige får uppgifter lämnas ut till Tullens personregister genom direkt anslutning eller för registrering som en datamängd enligt följande: 
1) av justitieförvaltningsmyndigheterna, Brottspåföljdsmyndigheten samt Rättsregistercentralen uppgifter om personer som de har efterlyst, av Brottspåföljdsmyndigheten signalementsuppgifter om personer som avtjänar eller har avtjänat straff som riktar sig mot friheten och av Rättsregistercentralen uppgifter om näringsförbud, 
2) av polisen, Gränsbevakningsväsendet och militärmyndigheterna uppgifter om personer som de har efterlyst och av polisen och Gränsbevakningsväsendet uppgifter om identifiering av utlänningar och uppgifter som behövs för att förhindra, avslöja och utreda tullbrott, 
3) av Försvarsmakten uppgifter som behövs för att förhindra, avslöja och utreda tullbrott samt för att skydda den nationella säkerheten, 
4) av utrikesministeriet behövliga uppgifter om dem som hör till personalen vid diplomatiska beskickningar och konsulat som representerar den utsändande staten i Finland och om dem som hör till personalen vid en internationell organisations organ i Finland eller något annat internationellt organ i samma ställning samt om dessa personers familjemedlemmar och om dem som är i privat tjänst hos dessa personer, 
5) av Forststyrelsens jakt- och fiskeövervakare sådana behövliga uppgifter om vidtagna åtgärder som registrerats vid jakt- och fiskeövervakning som hör till deras behörighet. 
När Tullen har fått personuppgifter av en personuppgiftsansvarig med stöd av 1 mom. ska Tullen på begäran lämna den personuppgiftsansvarige information om behandlingen av de utlämnade personuppgifterna. 
18 (16) § 
Vite 
Tullen kan ålägga den av vilken Tullen har rätt att få uppgifter som avses i 16 § 1 mom. 1 och 8 punkten att lämna uppgifterna inom en skälig tid. Tullen kan förena åläggandet med vite. Beslutet om föreläggande av vite ska iakttas även om ändring i beslutet söks. Vite får dock inte föreläggas om det finns skäl att misstänka någon för brott och det begärda materialet har samband med brottsmisstanken. Bestämmelser i övrigt om vite finns i viteslagen (1113/1990). 
19 (17) § 
Behandling av personuppgifter som erhållits från en tredje stat eller en internationell organisation eller myndighet 
Vid behandlingen av personuppgifter som erhållits från en tredje stat eller en internationell organisation eller myndighet ska i fråga om sekretess, tystnadsplikt, begränsningar i användningen av personuppgifter, vidarelämnande av personuppgifter eller återsändande av utlämnat material iakttas vad som anges i de villkor som den som lämnat ut uppgifterna ställt. 
Om inte något annat följer av 1 mom., får Tullen använda de utlämnade personuppgifterna för andra ändamål än de för vilka uppgifterna lämnades ut, med iakttagande av 15 § 1 mom. 
4 kap. 
Utlämnande av personuppgifter 
20 (18) § 
Utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål 
Tullen får trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd lämna ut sådana personuppgifter som avses i 7—10 och 13 § till polisen, Gränsbevakningsväsendet, Försvarsmakten, åklagare, domstolar, Rättsregistercentralen, Brottspåföljdsmyndigheten och andra myndigheter för de uppgifter enligt 1 § i dataskyddslagen avseende brottmål som myndigheten har enligt lag. 
21 (19) § 
Övrigt utlämnande av personuppgifter till myndigheter 
Tullen får trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd lämna ut sådana personuppgifter som avses i 7—10 och 13 § och som behövs för att utföra en uppgift som myndigheten har enligt lag, enligt följande: 
1) till Skatteförvaltningen, utöver det som sägs ovan även personuppgifter enligt 12 § ,för verkställande av beskattning, indrivning av skatter och avgifter, ändringssökande i skatteärenden, utsökning och bevakning av statens intresse eller rätt; bestämmelser om utlämnande av uppgifter till Skatteförvaltningen finns dessutom i 160 § 3 mom. i mervärdesskattelagen (1501/1993) och i 29 § 6 mom. i lagen om beskattningsförfarandet beträffande skatter som betalas på eget initiativ (768/2016), 
2) till Transport- och kommunikationsverket, utöver det som sägs ovan, även sådana personuppgifter enligt 12 § som är nödvändiga för utförandet av verkets uppgifter i enlighet med 197 och 217 § i lagen om transport- och kommunikationsverket, 
3) till Nödcentralsverket för utförande av de uppdrag som anges i 19 § 1 mom. i lagen om nödcentralsverksamhet (692/2010) uppgifter som behövs för att säkerställa förberedande åtgärder eller arbetarskyddet eller för att stödja enheten i fråga, med iakttagande av vad som föreskrivs om begränsning av rätten att få uppgifter i 2 mom. i den paragrafen, 
4) till räddningsmyndigheterna för räddningsverksamhet som avses i 32 § i räddningslagen (379/2011), brandutredning som avses i 41 § i den lagen och brandsyn som avses i 80 § i den lagen samt för övriga tillsynsuppgifter, 
5) till polisen och till en person som verkar utomlands i egenskap av en av Finland utsänd kontaktperson för polisen, för övervakning av personers inresa och utresa och utförande av den in- och utresekontroll som ingår i det, för övervakning av efterlevnaden av bestämmelserna om utlänningar samt för vidtagande av tullåtgärder, för andra polisuppdrag som uppgifterna har samlats in och registrerats för och för andra ändamål än de som uppgifterna har samlats in och registrerats för när det gäller de fall som avses 13 § och 14 § 1 mom. i lagen om behandling av personuppgifter i polisens verksamhet ( / ), samt för stämning och annan delgivning, 
6) till Gränsbevakningsväsendet för gränskontroll samt upprätthållande av gränssäkerheten och gränsordningen, för övervakning av efterlevnaden av bestämmelserna om utlänningar, för vidtagande av tullåtgärder, för de uppgifter som anges i sjöräddningslagen (1145/2001) samt för stämning och annan delgivning, för ändamål som motsvarar de som uppgifterna har samlats in och registrerats för samt för andra ändamål i de fall som avses i 16 och 17 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ), 
7) till utrikesministeriet och finska beskickningar för behandling av ärenden som hör till deras behörighet och som gäller pass eller något annat resedokument, visum, uppehållstillstånd för arbetstagare, uppehållstillstånd för företagare eller något annat uppehållstillstånd, 
8) till arbets- och näringmyndigheten för behandling av ärenden som gäller uppehållstillstånd för arbetstagare eller uppehållstillstånd för företagare, 
9) till Migrationsverket för behandling och avgörande av sådana ärenden avseende utlänningar och finskt medborgarskap som enligt lag hör till Migrationsverket, 
10) till en utmätningsman i enlighet med 3 kap. 67 § i utsökningsbalken (705/2007) för utsökningsutredningar eller annan verkställighet av utsökningsärenden, 
11) till en tjänsteman som nämns i 1 eller 6 § i lagen om stämningsmän (505/1986), för stämning till en rättegång för bestämmande av förvandlingsstraff samt till stämningsmän för delgivning av stämning samt annan delgivning, behövliga personuppgifter, uppgifter om säkerhet i arbetet och uppgifter om anhållna i informationssystemet för brottsbekämpning, 
12) till Forststyrelsens jakt- och fiskeövervakare för jakt- och fiskeövervakning som hör till deras behörighet, 
13) till de myndigheter som avses i lagen om transport av farliga ämnen (719/1994) för övervakning av transport av farliga ämnen, 
14) till strålsäkerhetscentralen för de tillsynsuppgifter som avses i 6 § i strålskyddslagen (592/1991), 
15) till finansministeriet för beredning av skattelagstiftning och uppföljning av verkställigheten av den samt för uppgörande av statsbudgeten. 
Utöver det som föreskrivs i 1 mom. får Tullen av grundad anledning trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd till en myndighet lämna ut personuppgifter som är nödvändiga för att utföra en uppgift som i lag föreskrivits för myndigheten. 
Innan personuppgifter lämnas ut ska mottagaren av uppgifterna för den personuppgiftsansvarige lägga fram tillförlitlig utredning om att uppgifterna skyddas på behörigt sätt. 
Kvaliteten på de uppgifter som lämnas ut ska om möjligt bekräftas och uppgifterna ska vid behov förses med information som gör det möjligt för mottagaren att bedöma hur korrekta, fullständiga, aktuella och tillförlitliga uppgifterna är. Om det framgår att felaktiga uppgifter har lämnats ut eller att uppgifter lämnats ut i strid med lag, ska detta utan dröjsmål meddelas mottagaren. 
22 (20) § 
Utlämnande av personuppgifter via det allmänna datanätet 
För att underrätta allmänheten och få in tips från allmänheten får Tullen trots sekretessbestämmelserna via det allmänna datanätet lämna ut uppgifter som Tullen behöver informera om för att brott ska kunna förebyggas, för att egendom ska kunna återställas till ägaren eller av skäl som har samband med utredningen. Personuppgifter ska kunna sökas endast genom enskilda sökningar. 
För att underrätta allmänheten och få in tips från allmänheten får Tullen trots sekretessbestämmelserna via det allmänna datanätet dessutom lämna ut uppgifter som det särskilt måste informeras om för att saken är brådskande, för att det är fråga om en farosituation, för att brott ska kunna förebyggas, för att egendom ska kunna återställas till ägaren eller av skäl som har samband med en utredning. Uppgifterna får lämnas på något annat sätt än vad som avses i 1 mom. endast när det är av väsentlig betydelse för utförande av en för Tullen i lag föreskriven uppgift och utlämnandet av uppgifterna inte strider mot den registrerades legitima intresse. Uppgifter som erhållits från en annan myndighet får endast lämnas ut med samtycke av den myndighet som lämnat ut uppgifterna. 
23 (21) § 
Utlämnande av personuppgifter till brottsbekämpande myndigheter i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet 
Tullen får trots sekretessbestämmelserna lämna ut personuppgifter som avses i 7—10, 13 och 14 § till sådana behöriga myndigheter i andra medlemsstater i Europeiska unionen och i stater som hör till Europeiska ekonomiska samarbetsområdet som behandlar personuppgifterna för de ändamål som anges i artikel 1.1 i Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, under samma förutsättningar som Tullen själv får behandla personuppgifterna i fråga. 
Tullen får dessutom trots sekretessbestämmelserna lämna ut uppgifter som avses i 7—10 och 13 § till Eurojust och sådana andra institutioner som inrättats med stöd av fördraget om Europeiska unionens funktionssätt som har till uppgift att trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet eller förebygga och utreda brott och sörja för att brott blir föremål för åtalsprövning, om uppgifterna behövs för utförande av dessa uppdrag. Personuppgifter som hör till särskilda kategorier av personuppgifter får dock lämnas ut endast om de är nödvändiga för utförandet av dessa uppdrag. 
Uppgifter som avses i 1 och 2 mom. får lämnas ut också som en datamängd. 
Utöver vad som föreskrivs i denna lag och i dataskyddslagen avseende brottmål finns bestämmelser om utlämnande av personuppgifter till de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater i lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009). 
24 (22) § 
Utlämnande av personuppgifter till stater som använder Schengens informationssystem och till Schengens informationssystem 
Tullen får trots sekretessbestämmelserna för registrering i Schengens informationssystem lämna ut personuppgifter som behövs för de ändamål som anges i författningsgrunden för Schengens informationssystem. Den tilläggsinformation som avses i författningsgrunden för Schengens informationssystem ska lämnas ut genom förmedling av Sirenekontoret. Centralkriminalpolisen är Sirenekontor. Uppgifterna får också lämnas ut genom en teknisk anslutning eller som en datamängd. 
25 (23) § 
Utlämnande av personuppgifter till Europol 
Tullen får trots sekretessbestämmelserna lämna ut personuppgifter till Europeiska unionens byrå för samarbete inom brottsbekämpning med iakttagande av bestämmelserna i Europolförordningen och lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning (214/2017). 
26 (24) § 
Beslut om utlämnande av uppgifter 
Beslut om rätten att lämna ut uppgifter ur Tullens personregister genom en teknisk anslutning eller som en datamängd samt om rätten för myndigheter som avses i 3 kap. att lämna ut uppgifter till Tullens informationssystem genom en teknisk anslutning eller som en datamängd fattas av den personuppgiftsansvarige eller av en sådan verksamhetsenhet inom Tullen som den personuppgiftsansvarige har förordnat till uppgiften. 
När beslut om utlämnande fattas ska uppgifternas art beaktas för att den registrerades integritetsskydd och datasäkerheten ska kunna tryggas. 
5 kap. 
Radering och arkivering av personuppgifter 
27 (25) § 
Radering av personuppgifter som anknyter till brottmål 
Uppgifterna i ett brottmål som överförts till en åklagare för avgörande ska raderas 
1) 5 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till böter eller ett fängelsestraff på högst ett år, 
2) 10 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på över ett och högst fem år, 
3) 20 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till fängelse i över fem år. 
De uppgifter som avses i 1 mom. raderas dock tidigast ett år efter det att åtalsrätten för brottet har preskriberats. 
Uppgifterna i övriga brottmål än de som avses i 1 mom. ska raderas ett år efter det att åtalsrätten för det sista misstänkta brottet preskriberats, dock tidigast 5 år efter det att brottmålet registrerades. 
De i 1 mom. avsedda personuppgifter som anknyter till brottmål får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Tullens personal har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
28 (26) § 
Radering av andra personuppgifter som behandlas i undersökningsuppgifter 
Andra personuppgifter som behandlas för ändamål som avses i 7 § än de uppgifter som avses i 27 § ska raderas 5 år efter det att anmälan eller ärendet registrerades, om inte de hänför sig till ett brottmål som utreds. 
Med avvikelse från vad som anges i 1 mom. ska 
1) uppgifter om näringsförbud raderas 5 år efter det att näringsförbudet upphörde, 
2) uppgifter om efterlysning eller reseförbud som behandlas för att personer ska kunna påträffas, övervakas, observeras och skyddas raderas 3 år efter det att efterlysningen eller förbudet upphörde. 
De uppgifter som avses i 8 § 3 punkten raderas dock senast ett år efter den registrerades död. 
De personuppgifter som avses i 1—3 mom. får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Tullens personal har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
29 (27) § 
Radering av personuppgifter som anknyter till förbyggande eller avslöjande av brott 
Personuppgifter i anknytning till förebyggande och avslöjande av brott ska raderas senast 10 år från det att den sista uppgiften om ett brott, brottslig verksamhet eller ett uppdrag infördes. Uppgifter som avses i 9 § 5 mom. ska dock raderas senast sex månader från det att anteckningen infördes och uppgifter som avses i 10 § 1 mom. 4 punkten senast ett år efter den registrerades död. 
Personuppgifter som avses i 1 mom. får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Tullens personal har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
30 (28) § 
Radering av uppgifter om informationskällor 
Uppgifter om en informationskälla ska raderas senast 10 år från det att den sista uppgiften infördes. 
31 (29) § 
Radering av personuppgifter som anknyter till tullövervakning och skattekontroll 
Personuppgifter som anknyter till tullövervakning och skattekontroll ska raderas vid utgången av det sjätte kalenderår som följer på registreringen av uppgiften. De identifieringsuppgifter som avses i 12 § 2 mom. 1 punkten raderas dock med iakttagande av bestämmelserna i 27 och 28 §. 
32 (30) § 
Radering av personuppgifter som erhållits genom teknisk övervakning 
Bild- och ljudupptagningar som erhållits genom teknisk övervakning ska raderas sex månader efter det att anteckningen infördes i datasystemet. 
Uppgifter som gäller inspelning och identifiering av registreringsskyltar ska raderas vid utgången av det kalenderår som följer på registreringen av uppgiften. 
33 (31) § 
Uppgifter som konstaterats vara felaktiga 
Oberoende vad som i dataskyddslagen avseende brottmål och dataskyddsförordningen föreskrivs om rättelse av oriktiga uppgifter, får en uppgift som konstaterats vara felaktig bevaras tillsammans med den korrigerade uppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till Tullens personal har. En sådan uppgift får användas endast i detta syfte. 
En uppgift som konstaterats vara felaktig och som bevaras med stöd av 1 mom. ska raderas genast när den inte längre behövs för att trygga rättigheterna. 
34 (32) § 
Arkivering av uppgifter 
Bestämmelser om arkivfunktionens uppgifter och om handlingar som ska arkiveras finns i arkivlagen (831/1994). 
6 kap. 
Den registrerades rättigheter 
35 (33) § 
Tillgodoseende av den registrerades rätt till insyn 
I syfte att tillgodose den registrerades rätt till insyn enligt 23 § i dataskyddslagen avseende brottmål och den registrerades rätt till tillgång till uppgifter enligt artikel 15 i dataskyddsförordningen lämnar den personuppgiftsansvarige ut de behövliga personuppgifterna och andra uppgifter för utövande av insyn, om inte den personuppgiftsansvarige har förordnat en verksamhetsenhet inom Tullen att lämna ut uppgifterna. 
En registrerad som vill utöva sin rätt till insyn ska framställa en personlig begäran om detta till den personuppgiftsansvarige eller någon annan i 1 mom. avsedd verksamhetsenhet inom Tullen samt styrka sin identitet. En begäran kan också framställas genom att använda sådan stark autentisering som avses i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009), om en sådan tjänst används. 
36 (34) § 
Inskränkningar i rätten till insyn 
Med avvikelse från 23 § i dataskyddslagen avseende brottmål har den registrerade inte rätt till insyn i 
1) personuppgifter som avses i 5 § 3 mom., 7 § 6 mom. och11 §, 
2) sådana uppgifter om Tullens taktiska eller tekniska metoder, observationsuppgifter, uppgifter om informationskällor eller uppgifter som används för teknisk undersökning, som ingår i de personuppgifter som avses i 7—10 och 12 §, 
3) uppgifter för inspelning och identifiering av registreringsskyltar, 
4) personuppgifter som erhållits genom de inhämtningsmetoder som avses i 3 kap. i lagen om brottsbekämpning inom Tullen och 10 kap. i tvångsmedelslagen samt med stöd av 157 § i lagen om tjänster inom elektronisk kommunikation (917/2014). 
Bestämmelser om utövande av den registrerades rättigheter via dataombudsmannen finns i 29 § i dataskyddslagen avseende brottmål och 34 § i dataskyddslagen. En begäran om utövande av rättigheterna ska lämnas till dataombudsmannen eller Tullen i enlighet med 33 § 2 mom. i denna lag. En begäran som lämnats till Tullen ska utan dröjsmål sändas till dataombudsmannen. 
37 (35) § 
Den registrerades rätt till begränsning av behandling 
Vad som i artikel 18 i dataskyddsförordningen föreskrivs om den registrerades rätt till begränsning av behandling ska inte tillämpas på sådan behandling av personuppgifter som avses i denna lag. 
7 kap. 
Särskilda bestämmelser 
38 (36) § 
Personuppgiftsansvarig 
Tullen är personuppgiftsansvarig för de personuppgifter som avses i 2 kap. I fråga om den personuppgiftsansvarige för de signalementsuppgifter som avses i 8 § 1 mom. 2 punkten och 10 § 1 mom. 3 punkten gäller dock vad som föreskrivs särskilt. 
39 § (Ny) 
Straffbestämmelse 
I 38 kap. 9 § i strafflagen (39/1889) finns bestämmelser om dataskyddsbrott. 
40 (37) § 
Ikraftträdande 
Denna lag träder i kraft den 20 . 
Genom denna lag upphävs lagen om behandling av personuppgifter inom Tullen (639/2015), nedan den upphävda lagen
På radering av personuppgifter som avses i denna lag får de bestämmelser som gällde vid ikraftträdandet av denna lag tillämpas i fyra år från ikraftträdandet av lagen. Under denna övergångstid ska på radering av personuppgifter som avses i 7—10, 12 och 13 § tillämpas den upphävda lagens 19—23 § i den lydelse paragraferna hade vid ikraftträdandet av denna lag. 
Utskottet föreslår att lagförslag 2 förkastas
3. 
Lag 
om ändring av lagen om brottsbekämpning inom Tullen 
I enlighet med riksdagens beslut 
ändras i lagen om brottsbekämpning inom Tullen (623/2015) 2 kap. 15 § 2 mom. och 3 kap. 40 § 1 mom. samt 54 § 2 mom., sådana de lyder i lag 310/2016, som följer: 
2 kap. 
Tullens befogenheter vid tullbrottsbekämpning 
15 § 
Identifiering 
Om någon vägrar lämna uppgifter enligt 1 mom. och personen inte kan identifieras på annat sätt, har en tullman inom tullbrottsbekämpningen rätt att utreda identiteten med hjälp av signalement samt med stöd av de uppgifter som avses i 7 och 8 § i lagen om behandling av personuppgifter inom Tullen ( / ) och i 5, 6, 11 och 12 § i lagen om behandling av personuppgifter i polisens verksamhet (761/2003). I sådana situationer ska det som föreskrivs i 8 kap. 33 § 2—4 mom. i tvångsmedelslagen om förrättande av genomsökning av personer iakttas. 
3 kap. 
Hemliga metoder för inhämtande av information 
40 § 
Behandling av uppgifter om en informationskälla och betalning av arvode 
Uppgifter om en informationskälla får behandlas i enlighet med 11 § i lagen om behandling av personuppgifter inom Tullen. 
54 § 
Utplåning av information 
Överskottsinformation får dock bevaras och lagras i enlighet med 7 och 9 § i lagen om behandling av personuppgifter inom Tullen, om den gäller ett brott som avses i 53 §. Information som inte har lagrats eller fogats till förundersökningsmaterial ska utan onödigt dröjsmål utplånas så snart det blivit uppenbart att den inte kan användas eller den inte längre behövs för att förhindra eller utreda ett tullbrott. 
Denna lag träder i kraft den 20 . 
Utskottet föreslår att lagförslag 4 förkastas.
Utskottet föreslår att lagförslag 5 förkastas.
6. 
Lag 
om ändring av 12 § i lagen om Enheten för utredning av grå ekonomi 
I enlighet med riksdagens beslut 
ändras i lagen om Enheten för utredning av grå ekonomi (1207/2010) 12 § 2 mom., sådant det lyder i lag 645/2015, som följer: 
12 § 
Behandling av personuppgifter och rätt till insyn 
En registrerad har dock inte rätt till insyn i de uppgifter som avses i 42 § i lagen om behandling av personuppgifter i polisens verksamhet (761/2003), i 51 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (579/2005) eller i 36 § i lagen om behandling av personuppgifter inom Tullen ( / ). 
Denna lag träder i kraft den 20 . 
7. 
Lag 
om ändring av 87 a § i bilskattelagen 
I enlighet med riksdagens beslut 
ändras i bilskattelagen (1482/1994) 87 a § 3 mom., sådant det lyder i lag 1192/2016, som följer: 
87 a § 
Bestämmelser om Tullens rätt att få uppgifter ur skattemyndighetens datasystem finns i 16 § 1 mom. 2 punkten i lagen om behandling av personuppgifter inom Tullen ( / ). 
Denna lag träder i kraft den 20 . 
8. 
Lag 
om ändring av 4 a § i punktskattelagen 
I enlighet med riksdagens beslut 
ändras i punktskattelagen (182/2010) 4 a § 3 mom., sådant det lyder i lag 1178/2016, som följer: 
4 a § 
Utbyte av information mellan Tullen och Skatteförvaltningen 
Bestämmelser om Tullens rätt att få uppgifter ur Skatteförvaltningens datasystem finns i 16 § 1 mom. 2 punkten i lagen om behandling av personuppgifter inom Tullen ( / ). 
Denna lag träder i kraft den 20 . 
9. 
Lag 
om ändring av 322 § i lagen om tjänster inom elektronisk kommunikation 
I enlighet med riksdagens beslut 
ändras i lagen om tjänster inom elektronisk kommunikation (917/2014) 322 § 1 mom., sådant det lyder i lag 118/2018, som följer: 
322 § 
Vissa andra myndigheters rätt att få information 
Bestämmelser om myndigheters rätt att få förmedlingsuppgifter för att förebygga, avslöja och utreda brott finns i polislagen, lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018), lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (579/2005), lagen om brottsbekämpning inom Tullen (623/2015), lagen om behandling av personuppgifter inom Tullen ( / ) och tvångsmedelslagen. 
Denna lag träder i kraft den 20 . 
10. 
Lag 
om ändring av 25 § i säkerhetsutredningslagen 
I enlighet med riksdagens beslut 
ändras i säkerhetsutredningslagen (726/2014) 25 § 1 mom. 7 punkten som följer: 
25 § 
Informationskällor vid normal säkerhetsutredning av person 
En säkerhetsutredning av person får bygga enbart på registeruppgifter som finns i 
7) uppgifter som avses i 7 § 1 och 2 mom. och 8 § i lagen om behandling av personuppgifter inom Tullen ( / ), 
Denna lag träder i kraft den 20 . 
Helsingfors 12.3.2019 
I den avgörande behandlingen deltog
ordförande
Juho
Eerola
saf
vice ordförande
Timo V.
Korhonen
cent
medlem
Anders
Adlercreutz
sv
medlem
Pertti
Hakanen
cent
medlem
Antti
Kurvinen
cent
medlem
Sirpa
Paatero
sd
medlem
Olli-Poika
Parviainen
gröna
medlem
Juha
Pylväs
cent
medlem
Wille
Rydman
saml
medlem
Joona
Räsänen
sd
medlem
Matti
Semi
vänst
medlem
Mari-Leena
Talvitie
saml
ersättare
Ilkka
Kantola
sd.
Sekreterare var
utskottsråd
Minna-Liisa
Rinne.
Senast publicerat 13.3.2019 18:45