1.1
Lagen om behandling av personuppgifter i polisens verksamhet
1 kap. Allmänna bestämmelser
1 §.Tillämpningsområde. I paragrafen anges lagens tillämpningsområde. Lagen tillämpas enligt 1 mom. på helt eller delvis automatisk behandling av personuppgifter som behövs för skötseln av polisens uppgifter enligt 1 kap. 1 § i polislagen samt på annan behandling av personuppgifter, då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant.
Lagens tillämpningsområde begränsas utifrån ändamålet med behandlingen av personuppgifter. Bestämmelsen motsvarar till denna del bestämmelsen om tillämpningsområdet för den gällande lagen om behandling av personuppgifter i polisens verksamhet. Lagen om behandling av personuppgifter i polisens verksamhet tillämpas på samma sätt som i dagsläget endast när polisen behandlar personuppgifter för utförandet av de uppgifter som föreskrivs i polislagen. Lagen tillämpas alltså inte på t.ex. behandling av personuppgifter i anknytning till personal- och ekonomiförvaltning.
I det fall att det någon annanstans i lag finns bestämmelser om den behandling av personuppgifter som behövs för utförandet av de polisuppgifter som avses i polislagen som avviker från bestämmelserna i lagen om behandling av personuppgifter i polisens verksamhet, ska de bestämmelserna tillämpas i stället för denna lag. Bestämmelser om behandling av personuppgifter i anknytning till polisens uppgifter ingår bl.a. i lagen om penningtvätt, lagen om centralen för utredning av penningtvätt, lagen om vittnesskyddsprogram samt i den föreslagna lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet. Separata bestämmelser finns också om behandlingen av personuppgifter i utlänningsregistret (lagen om utlänningsregistret och den lag om behandling av personuppgifter i migrationsförvaltningen som föreslås ersätta lagen om utlänningsregistret) samt i nödcentralssystemet (lagen om nödcentralsverksamhet). Lagen om behandling av personuppgifter i polisens verksamhet tillämpas dock kompletterande på behandlingen av personuppgifter för utförandet av polisens uppgifter till den del som speciallagstiftningen inte innehåller bestämmelser som avviker från bestämmelserna i lagen om behandling av personuppgifter i polisens verksamhet.
I 2 mom. beaktas skyddspolisens nuvarande ställning som en polisenhet underställd inrikesministeriet. Fram till ingången av 2016 var skyddspolisen i enlighet med 1 § i polisförvaltningslagen en enhet under Polisstyrelsen som är polisens högsta ledning. Genom ändringen 860/2015 av polisförvaltningslagen blev skyddspolisen en riksomfattande enhet under inrikesministeriet. Eftersom skyddspolisen inte längre lyder under Polisstyrelsen, som föreslås vara personuppgiftsansvarig för de uppgifter som avses i 2 kap., grundar sig utbytet av information mellan skyddspolisen och övriga polisenheter i fortsättningen på bestämmelser om rätt att lämna ut och få uppgifter. I enlighet med ändringen samlas bestämmelserna om skyddspolisens behandling av personuppgifter i ett separat 7 kap. Övriga kapitel i lagförslag 1 ska inte tillämpas på skyddspolisens behandling av personuppgifter.
2 §.Förhållande till annan lagstiftning. I 1 och 2 mom. preciseras hur allmänt tillämpliga bestämmelser om behandling av personuppgifter tillämpas på sådan behandling av personuppgifter som avses i lagförslaget och på vilket sätt den behandling av personuppgifter som avses i lagförslaget fördelas i förhållande till tillämpningsområdet för dessa allmänna bestämmelser.
På polisens behandling av personuppgifter tillämpas i dagsläget personuppgiftslagen som allmän lag. Genomförandet av EU:s dataskyddspaket spjälkar dock upp författningsgrunden så att samma rättsakt inte längre kan tillämpas på all behandling av personuppgifter. På en del av polisens behandling av personuppgifter ska som allmän författning tillämpas dataskyddsförordningen och den nationella dataskyddslag som kompletterar förordningen (RP 9/2018 rd). På den största delen av behandlingen av personuppgifter som omfattas av tillämpningsområdet för lagförslaget tillämpas dock som allmän författning dataskyddslagen avseende brottmål, genom vilken dataskyddsdirektivet genomförs. Den föreslagna lagen om behandling av personuppgifter i polisens verksamhet är en speciallag som kompletterar de nämnda allmänna författningarna.
Dataskyddslagen avseende brottmål ska tillämpas vid sådan behandling av personuppgifter som utförs av de behöriga myndigheter som anges i lagen i fråga när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åtalsprövning och annan åklagarverksamhet som har samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med verksamhet som avses i 1—4 punkten. Avsikten är att den allmänna lagen ska kompletteras med speciallagstiftning för de olika förvaltningsområdena.
Det föreslås att bestämmelserna i lagen om behandling av personuppgifter i polisens verksamhet, vilka omfattas av tillämpningsområdet för dataskyddsdirektivets genomförandelagstiftning, begränsas i enlighet med skäl 12 till direktivet. Enligt skälet är polisens och andra brottsbekämpande myndigheters verksamhet främst inriktad på att förebygga, förhindra, utreda, avslöja och lagföra brott, inbegripet polisverksamhet där man inte på förhand vet om det inträffade utgör ett brott eller inte. Sådan verksamhet kan också innefatta myndighetsutövning genom vidtagande av tvångsåtgärder vid demonstrationer, större idrottsevenemang och upplopp. Denna verksamhet omfattar också upprätthållande av lag och ordning som en uppgift som anförtros åt polisen eller andra brottsbekämpande myndigheter när det är nödvändigt för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och mot i lag skyddade grundläggande allmänna intressen som kan leda till ett brott.
Av bestämmelserna i 2 kap. i lagförslaget hör till tillämpningsområdet för dataskyddslagen avseende brottmål de ändamål med behandlingen av personuppgifter som föreskrivs i 5—8 och 10 § samt den behandling av uppgifter om informationskällor som avses i 9 § när behandlingen är inriktad på de ändamål med behandlingen som föreskrivs i 5—8 §.
Utanför tillämpningsområdet för dataskyddsförordningen och dataskyddsdirektivet har ställts behandling av personuppgifter i samband med sådan verksamhet som inte hör till tillämpningsområdet för unionsrätten. Utanför unionsrätten står bl.a. behandling av personuppgifter i samband med uppgifter i anknytning till säkerställandet av den nationella säkerheten. Dataskyddslagen avseende brottmål tillämpas med stöd av propositionen RP 31/2018 rd dock vid behöriga myndigheters behandling av personuppgifter i samband med säkerställandet av den nationella säkerheten. Behöriga myndigheter är enligt propositionen Försvarsmakten, Gränsbevakningsväsendet och polisen, i synnerhet skyddspolisen. Till denna del grundar sig inte dataskyddslagen avseende brottmål på genomförandet av direktivet, utan det är fråga om en nationell lösning. Dataskyddsdirektivet gör det möjligt att regleringen i enlighet med direktivet nationellt omfattar också behandling av personuppgifter inom området för nationell säkerhet och nationellt försvar. Dataskyddslagen avseende brottmål ska förutom på skyddspolisen tillämpas även på sådan behandling av personuppgifter som utförs av andra polisenheter, när uppgifter behandlas i en i 1 § 1 mom. i polislagen avsedd uppgift som har samband med skyddet av den nationella säkerheten.
I 1 mom. 2 punkten ingår en hänvisningsbestämmelse till offentlighetslagen. Enligt skäl 16 till dataskyddsdirektivet påverkar direktivet inte tillämpningen av principen om allmänhetens rätt att få tillgång till allmänna handlingar. Enligt artikel 86 i dataskyddsförordningen får personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter. När uppgifter lämnas ut ur en myndighets personregister ska offentlighetsprincipen och sekretessbestämmelserna beaktas på det sätt som föreskrivs i offentlighetslagen och i synnerhet i dess 16 § 3 mom.
Bestämmelser om tystnadsplikt och tystnadsrätt för tjänstemän som hör till polisens personal finns förutom i offentlighetslagen också i 7 kap. i polislagen. Bestämmelserna i 7 kap. i polislagen ska också i fortsättningen tillämpas på utlämnande av enskilda personuppgifter ur polisens personregister. I den föreslagna lagen om behandling av personuppgifter i polisens verksamhet ingår bestämmelser om utlämnande av personuppgifter genom teknisk anslutning eller som en datamängd samt de behövliga bestämmelser om utlämnade av personuppgifter till utlandet som kompletterar den allmänna lagstiftningen.
Enligt skäl 12 till direktivet får medlemsstaterna åt behöriga myndigheter anförtro andra uppgifter som inte nödvändigtvis utförs för att förebygga, förhindra, utreda, avslöja eller lagföra brott, inklusive att skydda mot och förebygga hot mot den allmänna säkerheten. Behandlingen av personuppgifter för dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas således av tillämpningsområdet för dataskyddsförordningen.
Paragrafens 2 mom. innehåller en hänvisning till dataskyddsförordningen, som är direkt tillämplig lagstiftning för polisen. När det gäller de uppgifter som föreskrivs för polisen i 1 kap. 1 § i polislagen, behandlas personuppgifter för att den personuppgiftsansvarige ska kunna uppfylla en i lag föreskriven skyldighet, vilket gör det möjligt att precisera och komplettera dataskyddsförordningen genom nationell lagstiftning. Det nationella handlingsutrymme som dataskyddsförordningen gör möjligt kan utöver för dataskyddslagen också användas för speciallagstiftning. Regleringen av sådan behandling av personuppgifter i anknytning till polisens uppgifter som omfattas av dataskyddsförordningen består i fortsättningen av dataskyddsförordningen, den allmänna dataskyddslag som kompletterar förordningen, den föreslagna lagen om behandling av personuppgifter i polisens verksamhet samt av annan speciallagstiftning som gäller polisens uppgifter och som innehåller bestämmelser om rättsliga grunder för behandling av personuppgifter.
Av de föreslagna bestämmelserna i 2 kap. i första lagförslaget hör till dataskyddsförordningens tillämpningsområde de ändamål med behandlingen som föreskrivs i 11 § samt den behandling av uppgifter om informationskällor som avses i 9 § när behandlingen är inriktad på de ändamål som föreskrivs i 11 §. Utöver preciseringarna i fråga om behandlingsändamål, kategorier av personer och typ av uppgifter som behandlas i 11 och 12 § ingår i lagförslaget också andra särskilda bestämmelser som avses i artikel 6, genom vilka tillämpningen av bestämmelserna i dataskyddsförordningen kan anpassas. Dessa bestämmelser gäller behandling av personuppgifter för andra ändamål än det ursprungliga, utlämnande av uppgifter, lagringstid, tillgodoseende av den registrerades rättigheter och inskränkningar i den registrerades rättigheter.
Den allmänna författning som ska tillämpas vid behandling av personuppgifter för ett annat ändamål än det ursprungliga (13—15 § i lagförslaget) bestäms utifrån för vilket ändamål som avviker från det ursprungliga ändamålet med behandlingen av personuppgifter man har för avsikt att behandla personuppgifterna. Behandling av personuppgifter för andra ändamål än det ursprungliga omfattas av tillämpningsområdet för dataskyddsdirektivets genomförandelagstiftning när det är fråga om behandling av uppgifterna för de ändamål som föreskrivs i 1 § i dataskyddslagen avseende brottmål.
I 3 mom. finns en informativ hänvisning enligt vilken bestämmelser om polisens informationsinhämtning och befogenheter i anknytning till den utfärdas särskilt. Bestämmelser om polisens befogenheter att inhämta information som behövs för att förebygga och avslöja brott samt avvärja fara finns i polislagen, och bestämmelser om befogenheterna att inhämta information som behövs för brottsutredning finns i tvångsmedelslagen och förundersökningslagen. Lagstiftning om polisens befogenheter ingår också i annan speciallagstiftning som gäller polisens uppgifter. I samband med sina uppgifter får polisen dessutom personuppgifter på sätt som inte kräver särskilda befogenheter, t.ex. när de gör observationer i samband med arbete på fältet och vid sådan övervakning i det allmänna datanätet som inte har en viss person som föremål.
I 3 kap. i lagförslaget ingår också bestämmelser om polisens rätt att få uppgifter. Dessa bestämmelser i 3 kap. stämmer överens med den rätt att få information som föreskrivs i 4 kap. i polislagen till den del det gäller att få information genom en teknisk anslutning eller som en datamängd.
3 §.Definitioner. Paragrafen motsvarar i huvudsak bestämmelserna i den gällande lagen och där ingår de nationella definitionerna i anknytning till samarbetet inom Schengen och Europol samt definitionen av Eurodacförordningen. På behandling av personuppgifter i enlighet med lagförslaget tillämpas till övriga delar definitionerna i dataskyddslagen avseende brottmål och dataskyddsförordningen.
2 kap. Behandling av personuppgifter
I lagens 2 kap. preciseras de ändamål för vilka polisen för att utföra sin uppgifter får behandla personuppgifter samt det tillåtna datainnehållet för respektive användningsändamål. Bestämmelserna om det uppgiftsinnehåll som får behandlas innehåller inte motsvarande detaljerade förteckningar som bestämmelserna om polisens riksomfattande informationssystem i den gällande lagen om behandling av personuppgifter i polisens verksamhet, utan i bestämmelserna föreskrivs om de uppgiftskategorier som får behandlas. Det mer detaljerade innehållet i uppgiftskategorierna bestäms utifrån ändamålet med personuppgiftsbehandlingen. Därmed blir regleringstekniken smidigare än i dagsläget. Bestämmelserna om ändamålet med behandlingen av personuppgifter och det tillåtna datainnehållet ska alltid tillämpas som en helhet och bestämmelserna ska med tanke på ändamålet inte göra onödig behandling av personuppgifter möjlig.
Bestämmelserna i 11 § om behandling av överskottsinformation som erhållits med hemliga informationsinhämtningsmetoder och i 12 § om behandling av uppgifter som inte hänför sig till ett visst uppdrag i den gällande lagen om behandling av personuppgifter i polisens verksamhet slopas som onödiga i och med ändringen av regleringstekniken. De uppgifter som avses i de nämnda paragraferna kan behandlas när villkoren för behandlingen av personuppgifter uppfylls enligt vad som föreskrivs i det föreslagna 2 kap., polislagen eller tvångsmedelslagen. Bestämmelserna om polisens övriga personregister i 6 § i den gällande lagen slopas på motsvarande sätt som obehövliga. Bestämmelserna i 10 § i den gällande lagen om behandling av känsliga uppgifter ersätts med de för ändamålen med behandlingen specifika bestämmelser om datainnehållet i vilka ingår villkoren för behandling av personuppgifter som hör till särskilda kategorier av personuppgifter.
Det föreslagna 2 kap. innehåller också bestämmelser om behandling av personuppgifter för andra ändamål än det ursprungliga (13—15 §). Med dessa bestämmelser ersätts bestämmelserna om användning av uppgifter för andra ändamål än de som uppgifterna har samlats in och registrerats för i 4 kap. 16 och 16 a § i den gällande lagen.
4 §.Behandling av grundläggande personuppgifter. Paragrafen innehåller en detaljerad förteckning över grundläggande personuppgifter som det är tillåtet att behandla i behövlig utsträckning för de ändamål som anges i 5, 7, 9 och 11 §. Förteckningen över grundläggande uppgifter ska tillämpas på alla ursprungliga ändamål behandling av personuppgifter enligt 2 kap., med undantag för sådan behandling av personuppgifter i anknytning till kvalitetssäkring av DNA-prov som avses i 10 §, på vilken tillämpas den snävare förteckningen över personuppgifter i 10 §.
De grundläggande personuppgifterna i förteckningen motsvarar till sitt innehåll i huvudsak de personuppgifter som enligt 2, 3 och 4 § i den gällande lagen får registreras i informationssystemet för polisärenden, informationssystemet för förvaltningsärenden och informationssystemet för misstänkta. Som nya punkter i förteckningen föreslås kontaktspråk samt uppgift om intressebevakning, försättande i konkurs eller meddelande om näringsförbud och uppgift om fullgörande av värnplikt. Dessa uppgifter har det i enlighet med den gällande lagen varit möjligt att behandla som övriga uppgifter som anknyter till ärendet, men för tydlighetens skull ska det i fortsättningen föreskrivas om dessa i bestämmelsen om behandling av grundläggande personuppgifter. De grundläggande personuppgifter som avses i paragrafen får behandlas i fråga om alla i 5, 7, 9 och 11 § avsedda personkategorier då uppgifterna är behövliga med tanke på ändamålet med behandlingen.
I 5—9, 11 och 12 § som gäller de ursprungliga ändamålen med behandlingen av personuppgifter föreskrivs närmare kriterier för behandlingen av både grundläggande personuppgifter och övriga behövliga personuppgifter.
5 §.Behandling av personuppgifter i undersöknings- och övervakningsuppgifter. I paragrafen avses behandling av personuppgifter i enlighet med dataskyddslagen avseende brottmål för att utreda brott eller föra brott till åtalsprövning eller skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med utredning av brott.
I 1 mom. preciseras de syften för vilka polisen får behandla behövliga personuppgifter för utförande av undersöknings- och övervakningsuppgifter. Bestämmelsen innefattar all form av undersökning och utredning som polisen utför, inklusive utredning som föregår förundersökning samt annan undersökning som polisen enligt lag ska företa än förundersökning med anledning av brott (polisundersökning). Också sådan teknisk undersökning som ingår i förundersökning eller polisundersökning omfattas av tillämpningsområdet för bestämmelsen. Bestämmelsen ersätter bestämmelserna i den gällande lagen, enligt vilka uppgifter om den som är misstänkt för brott eller den som är föremål för förundersökning, polisundersökning, polisens åtgärder eller tvångsmedel och den som gjort anmälan, den som uppträder som vittne eller målsägande eller den som har något annat samband med ett ärende får registreras i informationssystemet för polisärenden.
Paragrafen ska dessutom tillämpas på behandling av personuppgifter i anknytning till upprätthållande av allmän ordning och säkerhet. Enligt skäl 12 till dataskyddsdirektivet är polisens och andra brottsbekämpande myndigheters verksamhet främst inriktad på att förebygga, förhindra, utreda, avslöja och lagföra brott, inbegripet polisverksamhet där man inte på förhand vet om det inträffade utgör ett brott eller inte. Sådan verksamhet kan också innefatta myndighetsutövning genom vidtagande av tvångsåtgärder vid demonstrationer, större idrottsevenemang och upplopp. Denna verksamhet omfattar också upprätthållande av lag och ordning som en uppgift som anförtros åt polisen eller andra brottsbekämpande myndigheter om det är nödvändigt för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och mot i lag skyddade grundläggande allmänna intressen som kan leda till ett brott. Till tillämpningsområdet för paragrafen hör i synnerhet personuppgifter som behandlas i samband med fältverksamhet och som larmuppgifter samt behandling av personuppgifter i anknytning till handräckningsuppgifter och övervakningsuppgifter som föreskrivits för polisen, i det fall att uppgiften på det sätt som det avses i dataskyddsdirektivet och i 1 § 1 mom. i direktivets genomförandelag anknyter till förebyggande, avslöjande och utredning av brott.
Paragrafen ersätter också i 6 § i den gällande lagen avsedda temporära register upprättade för brottsanalys som behövs för att utreda ett brott eller en brottshelhet. Bestämmelsen kompletteras av bestämmelserna om behandling av personuppgifter för annat ändamål än det ursprungliga i 13 och 14 §, enligt vilka uppgifter som samlats in för behandling för ändamål i enlighet med 2 kap. får utnyttjas för ändamål som avses i 5 kap. Bestämmelserna om temporära analysregister som upprättas för att förhindra eller avslöja ett brott eller en brottshelhet i 6 § i den gällande lagen ingår i fortsättningen i de föreslagna 7 och 8 §.
I 2 mom. preciseras de personkategorier vars uppgifter får användas för de ändamål som avses i 1 mom. Med avvikelse från 2 § i den gällande lagen beaktas personer under 15 år som misstänks för en brottslig gärning särskilt. Dessutom nämns personer som direkt anknyter till polisens fältuppgifter och i lag särskilt föreskrivna övervakningsuppgifter separat som en egen kategori i förteckningen. Som personer som direkt anknyter till en uppgift betraktas t.ex. personer vars personuppgifter polisen måste behandla på grund av barnskyddsanmälningar som görs i samband med fältuppdrag. Med stöd av denna punkt kan vid behov också personuppgifterna för sådana kontaktpersoner registreras som behövs för åtkomst till ett utrymme eller en lokal i anknytning till ett fält- eller tillsynsuppdrag. En person som annars anknyter till ärendet kan i synnerhet vara någon som lämnar tilläggsupplysningar, men som ändå inte har ställning som vittne. Personer som annars anknyter till ärendet omfattar även t.ex. personer som agerar som sakkunniga och personer i anknytning till annan undersökning än förundersökning.
Det föreslagna 3 mom. är en ny bestämmelse. Förslaget om bedömning av huruvida uppgifterna är av betydelse är knuten till en regleringsteknik baserad på ändamålet med behandlingen av uppgifterna som ersätter den registerbaserade regleringen i den gällande lagen om behandling av personuppgifter i polisens verksamhet. I lagen om behandling av personuppgifter i polisens verksamhet föreskrivs i fortsättningen om all behandling av personuppgifter för utförande av polisens uppgifter i stället för att det endast föreskrivs om registrering av uppgifterna i informationssystem som nämns i lagen och om användning av uppgifterna i de namngivna registren.
I momentet är det fråga om behandling av personuppgifter som fåtts i samband med utförandet av polisens uppgifter i situationer där uppgifterna inte direkt anknyter till det enskilda uppdrag som utförs. Ett av syftena med bestämmelsen är att göra nuläget tydligare med tanke på situationer där personuppgifter som har fåtts i samband med utförandet av polisens uppgifter ska behandlas med hjälp av automatisk databehandling för bedömning av deras innehåll och betydelse.
Enligt skäl 18 till dataskyddsdirektivet bör skyddet för fysiska personer vara teknikneutralt och inte vara beroende av den teknik som används för att förhindra att det uppstår en allvarlig risk för att reglerna kringgås. Skyddet av fysiska personer ska också gälla automatisk databehandling av personuppgifter samt sådan manuell behandling av personuppgifter som ingår i eller kommer att ingå i ett register.
Automatisk behandling av personuppgifter är utöver den registrering, användning och utlämnande av personuppgifter som föreskrivs i den gällande lagen om behandling av personuppgifter i polisens verksamhet också behandlingsåtgärder som utförs före personuppgifterna registreras i polisens riksomfattande informationssystem. Den gällande lagen om behandling av personuppgifter i polisens verksamhet innehåller inte bestämmelser som gäller detta skede av personuppgiftsbehandlingen, varför t.ex. den maximala bevaringstiden för personuppgifterna avgörs från fall till fall av den personuppgiftsansvarige. Bestämmelsen om bedömning av huruvida uppgifterna är av betydelse för med sig att behovsbedömningen blir en del av tillämpningsområdet för lagen om behandling av personuppgifter i polisens verksamhet. Samtidigt föreslås en enhetlig bevaringstid på sex månader för personuppgifter som behandlas för bedömning av deras betydelse.
Exempelvis i fråga om sådana uppgifter från teknisk övervakning som avses i 4 kap. 2 § i polislagen förtydligar bestämmelsen betydligt nuläget, då det för närvarande inte finns bestämmelser om en enhetlig tidsfrist för radering av uppgifterna. Den maximala bevaringstiden på sex månader för information från teknisk övervakning bestäms utifrån den ursprungliga registreringstidpunkten för uppgifterna så att uppgifterna ska raderas senast sex månader efter den ursprungliga tidpunkten när de samlades in.
Förutom att nuläget förtydligas, innebär 3 mom. också en utvidgning av polisens gällande personuppgiftsbehandling. Med avvikelse från den gällande lagen gör bestämmelsen det uttryckligen möjligt att registrera personuppgifter i ett särskilt personregister för att utreda huruvida de i 5 och 6 § föreskrivna förutsättningarna uppfylls för behandling av personuppgifterna. Personuppgifter får inte behandlas för undersöknings- och övervakningsändamål, om det är oklart huruvida kriterierna för behandling av personuppgifter i 5 och 6 § uppfylls. Personuppgifter som fåtts i samband med polisuppdrag får dock behandlas för bedömning av deras betydelse under högst sex månader, om uppgifterna kan ha betydelse med tanke på de i 5 § föreskrivna ändamålen. Personuppgifter som med tanke på polisens uppgifter är uppenbart obetydliga ska raderas omedelbart och får inte registreras annat än med stöd av 3 mom.
Polisens verksamhetsmiljö har ändrats avsevärt efter det att den gällande lagen om behandling av personuppgifter i polisens verksamhet stiftades. De sätt som polisen traditionellt har använt sig av för att bedöma uppgifternas betydelse erbjuder i dagens digitala verksamhetsmiljö inte tillräckliga möjligheter för behandling av sådana uppgifter som behövs vid brottsanalys. En systematisk utveckling av analysverksamheten kräver möjligheter att bedöma uppgifternas betydelse med moderna tekniska metoder. De uppgifter som behandlas med stöd av momentet kan också vara bildmaterial eller text från offentliga källor, t.ex. från internet och myndigheternas offentliga register, där det kan ingå också stora mängder information om personer vilkas betydelse är oklar i registreringsögonblicket.
Uppgifter får med stöd av 3 mom. också jämföras med personuppgifter som redan har registrerats i polisens informationssystem för att klargöra om kriterierna för behandlingen av personuppgifter enligt 5 och 6 § uppfylls. Ett krav för behandlingen är dock att uppgifterna har skaffats eller annars fåtts i samband med polisens uppgifter med stöd av sådana befogenheter som föreskrivs någon annanstans i lagen. Polisen kan alltså inte med stöd av 3 mom. skaffa sådana uppgifter som den inte har tillgång till med stöd av andra i lagen föreskrivna befogenheter att inhämta information.
Enligt kraven i dataskyddslagstiftningen får inte personuppgifter behandlas i onödan. I 3 mom. föreskrivs det på vilket sätt behovet av personuppgifter som fåtts i samband med uppdrag kan bedömas och man kan försäkra sig om att uppgifterna är av betydelse innan de behandlas för en längre tid. Den sista meningen i momentet betonar kravet enligt 6 § i dataskyddslagen avseende brottmål om att onödiga uppgifter ska raderas utan obefogat dröjsmål. Kravet kompletteras en tidsfrist på sex månader, under vilken betydelsen av personuppgifterna senast ska bedömas. Propositionens inverkan på skyddet av personlig integritet bedöms mer ingående i den del som gäller propositionens förhållande till grundlagen.
Åtkomsten till de personuppgifter som avses i momentet begränsas i enlighet med kraven i den allmänna lagstiftningen via polisens förvaltning av användarrättigheter till endast dem vars arbetsuppgifter innefattar sådan bedömning av uppgifternas betydelse som avses i bestämmelserna. Behandlingen av uppgifter ska liksom andra behandlingsändamål omfattas av de skyldigheter som gäller styrningen av behandlingen av personuppgifter, tillsynen och skyddet av uppgifter. Behandlingen omfattas av alla de skyldigheter som ålagts den personuppgiftsansvarige i lagen, t.ex. skyldigheten att sörja för dataskyddet för uppgifter som hör till särskilda kategorier av personuppgifter till de delar som det behandlade materialet innehåller sådana uppgifter. Den personuppgiftsansvarige ska också bevara logguppgifterna om behandlingen i enlighet med kraven i 19 § i dataskyddslagen avseende brottmål. De logguppgifter som gäller läsning och utlämnande ska göra det möjligt att utreda grund, datum och tidpunkt för läsning och utlämnande och i möjligaste mån vem som har läst eller lämnat ut personuppgifterna samt mottagarnas identitet. Logguppgifterna får användas för att kontrollera om behandlingen är lagenlig, för intern kontroll, för att säkerställa personuppgifternas integritet och säkerhet samt inom ramen för straffrättsliga förfaranden.
Den personuppgiftsansvarige ska i enlighet med kraven i 8 § i dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas.
6 §.Innehållet i personuppgifter som behandlas i undersöknings- och övervakningsuppgifter. I paragrafen preciseras de personuppgifter som utöver de grundläggande personuppgifter som avses i 4 § får behandlas för de ändamål som föreskrivs i 5 §. Till innehållet motsvarar uppgifterna i huvudsak de uppgifter som enligt 2 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet får registreras informationssystemet för polisärenden.
Enligt 1 punkten får behövliga specificeringar, beskrivningar och klassificeringar i anknytning till polisens uppgifter, åtgärder och händelser behandlas. Med en händelse avses en helhet av ärenden som ingår i polisens uppgiftsområde enligt 1 § 1 mom. i polislagen och på vilken kan följa myndighetsförpliktelser, såsom utredningsskyldighet (t.ex. göra en hotbedömning i anknytning till ett hot) eller skyldighet att vidta en åtgärd (t.ex. skyldighet att utföra förundersökning). En händelse kan också uppkomma till följd av polisens verksamhet på eget initiativ (t.ex. övervakningstillfällen och övervakningsplaner i anknytning till dem). Med en uppgift avses en prestation (t.ex. alarmuppdrag, övervakningsuppdrag, förundersökning eller polisundersökning) i anslutning till en händelse som anknyter till polisens uppgiftsområde enligt 1 § 1 mom. i polislagen. Till samma händelse kan hänföra sig flera uppgifter. En åtgärd är en del av en uppgift som har ett visst föremål, t.ex. en fysisk person, juridisk person, sak, ett ämne eller egendom. Till en enskild uppgift kan anknyta flera åtgärder och utövning av offentlig makt på olika nivåer, t.ex. ett uppdrag som gäller tvångsmedel riktat mot en person (gripande, anhållande, reseförbud, häktning) eller efterlysning av en person, ett fordon eller egendom.
I de behövliga specificeringar, beskrivningar och klassificeringar i anknytning till polisens uppdrag, åtgärder och händelser som avses i 1 punkten ingår i synnerhet 1) uppgifter om en anmälan om brott eller en anmälan om någon annan händelse, 2) uppgifter om besöksförbud eller vittnesskydd, 3) uppgifter om fältuppdrag och övervakningsuppdrag som särskilt föreskrivs i lag, 4) uppgifter om tvångsmedel, polisens åtgärder samt skeden i förundersökningar och polisundersökningar, 5) uppgifter som beskriver klassificeringen av gärningsmän, händelser eller gärningar samt uppgifter som behövs för sammanlänkning och teknisk undersökning av brott, 6) tillvägagångssätt och metoder som använts eller kan användas för att förbereda och begå brott, 7) uppgifter om myndigheter som behandlar ett ärende och de identifieringsuppgifter som de använder för ärenden, och 8) uppgifter om ett brott som fåtts av en person eller genom en person och vid behov även personernas förhållande till andra personer. Polisen får med stöd av 1 punkten på motsvarande sätt som enligt 2 § 3 mom. 2 punkten i den gällande lagen också behandla uppgifter om den rätta identiteten för en person som missbrukat identitet och för den vars identitet missbrukats. I de uppgifter som avses i 1 punkten ingår dessutom uppgifter om sådana skyddsåtgärder som meddelats med stöd av 4 § i lagen om tillämpning av Europaparlamentets och rådets förordning om ömsesidigt erkännande av skyddsåtgärder i civilrättsliga frågor (227/2015), på vilka i enlighet med 47 a § i den gällande lagen bestämmelserna om besöksförbud i lagen om behandling av personuppgifter i polisens verksamhet tillämpas.
Till i 2 punkten avsedda signalementsuppgifter som behövs för fastställande av identiteten hör uppgifter som för närvarande registreras i informationssystemet för polisärenden enligt följande: 1) uppgifter om efterlysningar av personer, som är fotografi, fingeravtryck samt oföränderliga fysiska kännetecken, för att en person ska kunna påträffas, övervakas, observeras och skyddas bl.a. i fråga om personer som är efterlysta, som har meddelats nationellt inreseförbud, som försatts i övervakad frihet på prov eller som ett besöksförbud avses skydda för att en person ska kunna påträffas, övervakas, observeras och skyddas, 2) identifieringsuppgifter, som är fotografi, fingeravtryck, tandkartor och DNA-profil, för att personer som anmälts försvunna ska kunna hittas och för att okända avlidna ska kunna identifieras, samt 3) signalementsuppgifter, som är fotografi, finger-, hand- och fotavtryck samt handstils-, röst- och luktprov samt DNA-profil, för identifiering av personer som misstänks för brott, för utredning av brott och registrering av gärningsmän. Polisen får också behandla en persons skoavtryck på motsvarande sätt som i dagsläget. Bestämmelser om polisens befogenhet att samla in sådana uppgifter som avses i punkten finns annanstans i lagstiftningen. Bestämmelserna berättigar inte till behandling av personuppgifter i större omfattning än befogenhetsregleringen medger.
Behandlingen av sådana biometriska och genetiska uppgifter som gäller särskilda kategorier av personuppgifter och som avses i 11 § i dataskyddslagen avseende brottmål begränsas på det sätt som krävs enligt dataskyddsdirektivet och dataskyddslagen avseende brottmål endast till behandling av nödvändiga uppgifter. Med biometriska uppgifter avses i enlighet med artikel 3.13 i dataskyddsdirektivet och på motsvarande sätt i 3 § 13 punkten i datastyddslagen avseende brottmål personuppgifter som tagits fram genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av personen i fråga. Exempelvis ansiktsbilder hör därmed till biometriska uppgifter endast när de har tagits fram genom en teknisk behandling som rör en fysisk persons fysiska och fysiologiska egenskaper eller beteende.
I dataskyddsdirektivet fästs särskild uppmärksamhet vid behovet av att begränsa behandlingen av sådana genetiska personuppgifter (skäl 23 till direktivet) som kan avslöja känslig information om bl.a. om en persons hälsotillstånd. Den DNA-profil som tas fram ur DNA-prov är dock för polisen en väsentlig signalementsuppgift vid utredning av brott och med den kan en person identifieras på ett tillförlitligt sätt i situationer när t.ex. fingeravtryck inte finns att tillgå. Utöver den behandling av DNA-profiler som avses i 9 kap. 4 § i tvångsmedelslagen behandlar polisen DNA-profiler också för att personer som anmälts försvunna ska kunna hittas och för att okända avlidna ska kunna identifieras. Behandling av uppgifter om nära släktingar som behövs för identifiering kräver enligt 2 punkten på samma sätt som i den gällande lagen samtycke av personen i fråga.
Till de uppgifter som avses i 2 punkten hör också identifieringsuppgifter för utlänningar, i vilka ingår fingeravtryck, fotografier och andra signalement i enlighet med 131 § i utlänningslagen. På samma sätt som i dagsläget får identifieringsuppgifterna behandlas för de uppgifter som föreskrivs för polisen i 131 § i utlänningslagen, dvs. för verifiering av identitet, för behandling, beslut och övervakning av utlänningars inresa och utresa samt vistelse och arbete och för tryggande av statens säkerhet. Identifieringsuppgifterna får behandlas endast i fråga om de personkategorier som avses i 131 § i utlänningslagen.
Bestämmelser om identifieringsuppgifter för utlänningar finns i den gällande lagen som en del av informationssystemet för förvaltningsärenden. De uppgifter som i 131 § i utlänningslagen föreskrivs för polisen är dock inte jämbördiga med de i 11 § i lagförslaget avsedda uppgifterna som gäller tillståndsförvaltning och övervakning, som inte gäller förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning eller skydd mot eller förhindrande av hot mot den allmänna säkerheten. Identifieringsuppgifter behandlas som en del av den övervakningsuppgift som särskilt föreskrivs för polisen i utlänningslagen, dvs. övervakning av utlänningar. Polisen utövar övervakning av utlänningar antingen som en separat åtgärd eller som en del av polisens verksamhet, såsom trafikövervakning, brottsutredning, larmuppdrag eller i samband med uppgifter med anknytning till allmän ordning eller säkerhet (RP 169/2014 rd, s. 23). Ett syfte med övervakningen av utlänningar är att förebygga att utlänningar som befinner sig i en sårbar situation utnyttjas av brottslingar eller kriminella sammanslutningar. Övervakningen av utlänningar har på det sätt som avses i dataskyddsdirektivet och i 1 § 1 mom. i direktivets genomförandelag samband med förebyggande, avslöjande och utredning av brott. När övervakning av utlänningar utförs annat än för ändamål som hör till tillämpningsområdet för dataskyddsdirektivet ska på behandlingen av personuppgifter tillämpas lagen om utlänningsregistret samt den lag om behandling av personuppgifter i migrationsförvaltningen som ersätter den.
I 3 punkten finns bestämmelser om behandling av s.k. säkerhetsinformation. Den föreslagna bestämmelsen motsvarar i sak 2 § 3 mom. 6 punkten i den gällande lagen. Säkerhetsuppgifter som hör till särskilda kategorier av personuppgifter, t.ex. uppgifter som rör en persons hälsa, får behandlas endast om det är nödvändigt med tanke på ändamålet med behandlingen. Polisen får dessutom, på samma sätt som enligt den gällande lagen, som en del av säkerhetsinformationen också behandla sådana uppgifter om hur farlig eller oberäknelig ett objekt eller en person är, som inte ingår i särskilda kategorier av personuppgifter, samt sådana uppgifter som beskriver eller är avsedda att beskriva en brottslig gärning, ett straff eller någon annan påföljd för brott.
I 4 punkten beaktas separat identifieringsuppgift om avgörande av åklagare eller domstol och uppgift om någon har dömts till straff, om det fattats beslut om åtalseftergift eller domseftergift, om ett åtal förkastats, lämnats utan prövning eller avskrivits samt uppgift om ett avgörandes laga kraft. Punkten ersätter 2 § 3 mom. 1 punkten underpunkt a i den gällande lagen.
I 11 § i dataskyddslagen avseende brottmål föreskrivs i enlighet med kraven i dataskyddsdirektivet om en högre behandlingströskel för personuppgifter som hör till särskilda kategorier av personuppgifter. Uppgifter som hör till särskilda kategorier av personuppgifter och som ingår i de uppgifter som avses i 1–4 punkten får behandlas endast om det är nödvändigt med tanke på ändamålet med behandlingen. Uppgifter som hör till särskilda kategorier av personuppgifter kan ingå i alla de kategorier av uppgifter som anges i 1 mom., men särskilt i de signalementsuppgifter som behövs för fastställande av identiteten i 1 mom. 2 punkten och i säkerhetsuppgifterna i 3 punkten.
7 §.Behandling av personuppgifter för förebyggande eller avslöjande av brott. I paragrafen avses behandling i enlighet med dataskyddsdirektivet och dataskyddslagen avseende brottmål av personuppgifter för förebyggande eller avslöjande av brott eller skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med förbyggande eller avslöjande av brott.
Enligt 1 mom. får polisen behandla personuppgifter som anknyter till utförandet av en uppgift i anknytning till förebyggande eller avslöjande av brott. Med paragrafen ersätts bestämmelsen om informationssystemet för misstänkta i den gällande lagen, som i sin nuvarande form inte på ett heltäckande sätt betjänar polisens brottsförebyggande verksamhet, framsyn och utnyttjande av systematiskt insamlad och behandlad information på alla nivåer inom det beslutsfattande som leder till handling. Paragrafen ersätter också sådana i 6 § i den gällande lagen avsedda tillfälliga register för brottsanalys som är specifika för en viss polisenhet, vars syfte är att förhindra eller avslöja ett brott eller en brottshelhet som består av flera brott. Bestämmelsen gör det möjligt att riksomfattande behandla uppgifter.
Definitionen av förhindrande av brott infördes i 5 kap. 1 § 2 mom. i polislagen vid den helhetsreform som trädde i kraft vid ingången av 2014. Med förhindrande av brott avses åtgärder som syftar till att förhindra brott, försök till brott och förberedelse till brott, när det utifrån iakttagelser av en persons verksamhet eller utifrån annan information om en persons verksamhet finns grundad anledning att anta att personen i fråga kommer att göra sig skyldig till brott, samt åtgärder som syftar till att avbryta ett redan påbörjat brott eller begränsa den direkta skada eller fara som brottet medför. Det är fråga om att förhindra ett brott när detta kan ske innan sådana åtgärder har vidtagits som uppfyller brottsrekvisiten (RP 224/2010 rd, s. 92—93).
Det förebyggande av brott som avses i 1 kap. 1 § i polislagen är dock som begrepp mer vidsträckt än förhindrande av brott. Förebyggande av brott anknyter också till överbegreppet brottsbekämpning, som täcker avslöjande och utredning av brott och förande av brott till åtalsprövning, men också till sådana egenskaper som säkerhet och säkerhetskänsla. I förarbetena till polislagen konstateras på allmän nivå att åtgärder i anslutning till brott anses hänföra sig till tryggandet av rätts- och samhällsordningen som överbegrepp (RP 224/2010 rd, s. 73). Förebyggande av brott är en del av polisens förebyggande verksamhet som man strävar efter att på ett heltäckande sätt genomföra i all polisverksamhet. Därmed har begreppet ett nära samband också med upprätthållandet av allmän ordning och säkerhet.
Enligt motiveringen till den polislag som trädde i kraft 1995 är brottsbekämpningen en på polisen ankommande helhetsbetonad verksamhet där det inte är möjligt att skilja mellan förebyggande åtgärder och åtgärder för utredning av brott (RP 57/1994 rd, s. 63). I kommentaren betonas komplexiteten för och den stora omfattningen av polisens verksamhetsfält. Syftet med brottsförebyggande verksamhet är i första hand preventivitet, där man påverkar potentiella gärningsmän redan innan brottet har skett. Den av polisen som myndighetssamarbete genomförda verksamhetsmodellen Ankkuri är ett exempel på sådant säkerhetsarbete i ett tidigt skede.
I anknytning till ramen för brottsbekämpning delar rådet för brottsförebyggande in förebyggande av brott i två kategorier; socialt förebyggande och situationell prevention. Vid socialt förebyggande är strävan att påverka människornas självkontroll och förbindande till ett normalt samhälle, bl.a. genom åtgärder till ungdomar som riskerar att bli marginaliserade eller återfallsförbrytare. I den situationella preventionen ingår att öka ansträngningen som krävs för att genomföra ett brott, öka risken för den som har för avsikt att begå brott och minska belöningen för den som begår brott. (Rådet för brottsförebyggande, 2013). Inom båda dessa dimensioner har polisen sin egen roll tillsammans med andra myndigheter.
Brottsförebyggande brottsanalyser kräver kunskap som grund. Identifiering av olika hot redan på grund av svaga signaler och eventuellt genom sammanställning av information från olika källor förbättrar polisverksamhetens effektivitet samt polisens möjligheter att bekämpa brott och brottslighet i ett så tidigt skede som möjligt. Före brottets förhindrande känner man inte alltid till det exakta brottsrekvisitet eller den exakta brottsrubriceringen. Det kan vara fråga om att polisen fått information om att en person är skuldsatt och planerar att begå ett egendomsbrott. Som ett annat exempel kan nämnas en situation där en person frigetts från fängelset efter att ha avtjänat ett långt straff för våldsbrott. Enligt de kriminalunderrättelser som polisen har fått är personens beteende fortfarande våldsamt, i synnerhet i samband med bruk av berusningsmedel. Det finns skäl att anta att personen i framtiden kommer att göra sig skyldig till ett våldsbrott, men någon närmare brottsrubricering känner man inte till. Behandling av sådan information gör det möjligt att göra en bedömning av nivån på det antagna hotet samt om eventuella åtgärder ska inledas. Åtgärderna kan inbegripa bl.a. strävan att bryta rusmedelsspiralen samt olika stödåtgärder i samarbete med andra myndigheter.
Avslöjande av brott infördes i 1 kap. 1 § 1 mom. i polislagen i förteckningen över polisens uppgifter i samband med den helhetsreform av polislagen som trädde i kraft vid ingången av 2014. Begreppet avslöjande av brott hade använts redan före helhetsreformen av polislagen i de bestämmelser som gällde polisens befogenheter att inhämta information, där det definierades att användningsområdet för informationsinhämtningsmetoderna utsträckte sig till förutom förhindrande och utredning av brott också till avslöjande. Skillnaden mellan att förhindra och avslöja brott var dock inte tolkningsmässigt entydig i tidigare lagstiftning. Före reformen av polislagen 2014 användes i praktiken i polisverksamheten vid sidan av förhindrande och utredning begreppet avslöjande i situationer där man aktivt utnyttjade de i polislagen föreskrivna hemliga metoderna för inhämtande av information för att ”förhindra” ett brott, då man bedömde att tröskeln för förundersökning inte ännu överskridits, eller på motsvarande sätt då verksamheten redan hade överskridit förundersökningens tröskel för skäl att misstänka. Denna tolkningsbara otydlighet preciserades genom att i det nya 5 kap. om hemliga metoder för inhämtande av information i polislagen införa specificerade definitioner av förhindrande och avslöjande av brott i samband med helhetsreformen av polislagen 2014.
Med avslöjande av brott avses enligt definitionen i 5 kap. 1 § 3 mom. i polislagen åtgärder som syftar till att klarlägga om det för inledande av förundersökning finns en i 3 kap. 3 § 1 mom. i förundersökningslagen avsedd grund, när det utifrån iakttagelser av en persons verksamhet eller utifrån annan information om en persons verksamhet kan antas att ett brott har begåtts. Definitionen av förhindrande av brott och avslöjande av brott inverkar på hurudana metoder för inhämtande av information polisen får använda i olika skeden i anknytning till brotten samt på vilka villkor uppgifter som inhämtats med olika informationsinhämtningsmetoder får behandlas och registreras.
Exempelvis är narkotikabrottslighet en typisk dold brottslighet, där det i synnerhet på införsel- och distributionsnivå eftersträvas stor ekonomisk vinning. Verksamheten anknyter ofta till kända organiserade kriminella sammanslutningar och den uppfyller också definitionen för vad som avses med en organiserad kriminell sammanslutning i 6 kap. 5 § 2 mom. i strafflagen. När polisen vanligen får information om förmedling av narkotika har den brottsliga verksamheten redan kunnat på under en längre tid, men tröskeln för förundersökning har inte ännu överskridits. Då blir element i anknytning till avslöjande av brott aktuella och polisen behöver då behandla personuppgifterna för personer som kan antas göra sig skyldiga till narkotikabrott eller grovt narkotikabrott och vidare fortsätta med sin verksamhet. Den gällande polislagen medger användning av hemliga metoder för inhämtande av information endast för avslöjande av brott som nämns i 3 §, där t.ex. inte de i 50 kap. i strafflagen definierade narkotikabrotten ingår och inte heller grova våldsbrott som begås utan sådant terroristiskt syfte som avses i 34 a kap. i strafflagen. Polisen har dock möjlighet att utföra andra åtgärder för att avslöja sådana brott. I dessa fall blir behandling och sammanlänkning av informationen, dvs. analys, synnerligen viktig och den kräver att de uppgifter som överskrider behandlingströskeln registreras i ett ändamålsenligt informationssystem.
Intresset i fråga om uppgifter som behandlas för förebyggande och avslöjande av brott är underrättelsebetonat. Uppgifter behandlas för att man ska kunna rikta polisverksamheten, men också för att på ett större plan bli varse ändringar i den säkerhetspolitiska miljön så att man kan sträva efter att förebygga och att upprätthålla säkerheten. Det centrala målet med det underrättelsebetonade intresset för uppgifterna är att få en bättre förståelse för att kunna kontrollera de situationsfaktorer som rör säkerhets- och verksamhetsmiljön. Inom kriminalunderrättelseverksamheten gäller intresset för uppgifterna i första hand hur verksamheten ska riktas, medan tyngdpunkten vid undersökning ligger på det straffprocessuella användningsändamålet (bevisföring för tryggande av enskilda straffprocesser).
Analysverksamheten som är nödvändig för att förutse händelseförlopp, upprätthålla lägesuppfattningen och upptäcka svaga signaler och fenomen kräver ett mångsidigt utnyttjande av informationsresurserna samt sammanställning och bearbetning av information ur flera källor. Utmaningarna i verksamhetsmiljön och den ökande mängden data kräver också att behandlingen av uppgifterna kan automatiseras i en högre grad än för närvarande, bl.a. genom utnyttjande av analysapplikationer. Bestämmelsen kompletteras till denna del av bestämmelserna om behandling av personuppgifter för annat ändamål än det ursprungliga i 13 och 14 §, enligt vilka uppgifter som samlats in för andra ändamål med behandlingen i enlighet med 2 kap. får utnyttjas för sådana ändamål med behandlingen som avses i 7 kap.
I skäl 27 till dataskyddsdirektivet har beaktats att om behöriga myndigheter ska kunna förebygga, förhindra, utreda och lagföra brott är det nödvändigt att de behandlar personuppgifter som insamlats inom ramen för förebyggande, förhindrande, utredning och lagföring av specifika brott i ett bredare sammanhang för att utveckla förståelsen för kriminell verksamhet och göra kopplingar mellan olika upptäckta brott. Vid behandling av personuppgifter med syfte att förebygga och avslöja brott ska också beaktas principen om ändamålsbegränsning samt andra krav på lagenlighet och proportionalitet som ställs i direktivet och dataskyddslagen avseende brottmål.
I 2 mom. finns bestämmelser om de kategorier av personer i fråga om vilka de personuppgifter som föreskrivs i 1 mom. i huvudsak får behandlas. Vid utformningen av den föreslagna paragrafen har uppmärksamhet fästs vid förvaltningsutskottets anmärkningar i fråga om informationssystemet för misstänkta. I paragrafen finns en uttömmande förteckning över de kategorier av personer som får behandlas för ändamålen enligt paragrafen. För registrering och annan behandling av personuppgifter i fråga om dessa kategorier av personer gäller särskilda behandlingskriterier. När det gäller andra personer än sådana som antas ha anknytning till egentlig brottslig verksamhet får personuppgifterna behandlas endast när det är nödvändigt för att utföra ett uppdrag.
Den föreslagna 7 § ersätter utöver informationssystemet för misstänkta också i 6 § i den gällande lagen avsedda tillfälliga register för brottsanalys som är specifika för en viss polisenhet, vars syfte är att förhindra eller avslöja ett brott eller en brottshelhet som består av flera brott. I den gällande lagen om behandling av personuppgifter i polisens verksamhet föreskrivs inte om personkategorier vars personuppgifter får registreras i tillfälliga register för brottsanalys. Till denna del förtydligar 2 mom. nuläget och där preciseras de personkategorier som kan behandlas för brottsanalys.
I momentet föreslås att behandlingströskeln ska vara knuten till uttrycket ”med fog kan antas”. Med tanke på kriminalunderrättelseverksamhet beskriver uttrycket på ett ändamålsenligt sätt behandlingströskeln, som är lägre än tröskeln för inledande av förundersökning. Med uttrycket ”med fog kan antas ha gjort sig eller göra sig skyldig” hänvisas till en situation där man har fått tips om ett brott, men att tröskeln ”skäl att misstänka” för inledande av förundersökning ännu inte har nåtts, dvs. ett brott som planeras och pågår och kriminalunderrättelser inhämtas för att förhindra brottet. I momentet avses personer som har anknytning till en förmodad brottslig verksamhet, men rollen för alla personer som anknyter till ärendet är inte nödvändigtvis klar.
Till den personkategori som avses i 1 punkten hör utöver personer som antas vara gärningsmän i enlighet med straffrättens delaktighetslära också delaktiga, dvs. medhjälpare, anstiftare och medgärningsmän.
I momentet föreslås en, jämfört med den gällande lagen, ny bestämmelse om en personkategori som gäller personer som anknyter till brott. Bestämmelsen kompletterar den om personer som är delaktiga i eller främjar brott. I 2 punkten föreskrivs om personer som har kontakt med en i 1 punkten avsedd person eller påträffas i dennes sällskap, och kontakten eller sammanträffandena på grund av att de har upprepats, omständigheterna eller personens beteende kan antas ha samband med ett brott. I artikel 6 i dataskyddsdirektivet föreskrivs om åtskillnad mellan olika kategorier av registrerade. I artikel 6 d nämns personer med kontakter eller band till de aktuella personerna. Dessa personer ska anknyta till personer avseende vilka det finns tungt vägande skäl att anta att de har begått eller är på väg att begå ett brott eller personer som dömts för brott.
Betydelsen av förhållandet för en person som är i kontakt med en person som är på väg att begå ett brott ska bedömas redan när det vid en brottsanalys upptäcks flera kontakter mellan personerna, av vilka den ena är en person i enlighet med 1 punkten och den andra inte är det. Det kan finnas en naturlig förklaring till förhållandet, t.ex. ett kundförhållande. I 2 punkten avses personer genom vilka man kan få betydande information om personer som avses i 1 punkten och med tanke på brottsanalysen. I bestämmelsen krävs det dock att också en sådan personkategori har kontakt med ett antaget brott, med beaktande av kriminalunderrättelseinhämtningens eventuella inverkan på personernas ställning och rättsskydd. Därmed räcker det inte enbart med ett antagande eller upprepade sammanträffande för att tröskeln för registrering ska överskridas.
I 3 punkten avses personer som är föremål för observation i enlighet med 5 kap. 13 § i polislagen i fråga om ett uppdrag som gäller att förebygga eller avslöja brott. Med observation avses i enlighet med 5 kap. 13 § 1 mom. i polislagen iakttagande av en viss person i hemlighet i syfte att inhämta information. Till i punkten avsedda personer hör sådana personer som är föremål för observation, vars uppgifter inte kan behandlas med stöd av 1 och 2 punkten.
I 3 mom. föreskrivs om sådana kategorier av personer som inte i första hand är målpersoner för polisens kriminalunderrättelseinhämtning. Dessa personkategorier är personer som är offer för brott eller som uppträder som målsägande, som har anmält ett brott eller är vittnen till ett brott. Med vittne avses i detta moment inte nödvändigtvis personer som namngetts som vittnen i en straffprocess. För behandlingen av personuppgifter i fråga om dessa kategorier ställs särskilda skyddsgarantier. Behandlingen av personuppgifter som gäller dessa kategorier av personer får inte gå längre än vad som är nödvändigt för att nå målet, t.ex. att förebygga ett brott. Det kan vara nödvändigt att behandla personuppgifterna för dessa kategorier av personer t.ex. i situationer när man försöker förebygga ett brott mot ett vittne eller en målsägande i ett redan inträffat brott, exempelvis i ett hotärende, där den planerade gärningen riktar sig mot en viss individ. En sådan situation kan t.ex. vara planering av en kidnappning eller en hämndåtgärd från en organiserad kriminell sammanslutning mot en person i en annan kriminell sammanslutning.
I 4 mom. föreskrivs om inledande av behandling av personuppgifter i anknytning till en brottsanalys som behövs för förebyggande eller avslöjande av brott. Med brottsanalys avses behandling av information som inhämtats genom planerade och systematiska metoder för inhämtning av kriminalunderrättelser eller från någon annan källa i syfte att upptäcka likheter och olikheter i fråga om brott eller brottsfenomen och för att kunna förutse och förhindra brott i framtiden. En effektiv brottsanalys är en nödvändig förutsättning för en planmässig och systematisk brottsbekämpning. Ett i momentet avsett beslut kan fattas av den personuppgiftsansvarige eller av en annan polisenhet som den personuppgiftsansvarige har förordnat till uppgiften. Beslutet ska fattas skriftligt. Utgångspunkten är att den personuppgiftsansvarige beslutar om behandlingen av personuppgifter. I fortsättningen fattar Polisstyrelsen som personuppgiftsansvarig beslut om inrättande av riksomfattande, permanenta analysbaser.
Enligt 8 § i den gällande lagen fattas beslut om inrättande av temporära personregister av den polisenhet som svarar för verksamheten. I den gällande lagen finns inga bestämmelser om inledande av en sådan behandling av personuppgifter i form av en underrättelsepromemoria som inte leder till att ett personregister inrättas. Till denna del för bestämmelsen som utgångspunkt inte med sig någon ändring i det rådande rättsläget.
Polisstyrelsen får enligt det föreslagna 4 mom. fortfarande bestämma om beslutanderätten, t.ex. så att en polisenhet fortfarande får fatta beslut om sådan temporär brottsanalys som enheten behöver för sin verksamhet.
I 5 mom. föreskrivs om behandlingen av observationsuppgifter. Bestämmelsen motsvarar i sak 2 § 2 mom. 11 punkten i den gällande lagen. Observationsuppgifter kan innehålla uppgifter om observationer som gjorts av poliser eller uppgifter som anmälts till polisen i anslutning till händelser eller personer som utifrån omständigheterna eller en persons hotelser eller uppträdande i övrigt med fog kan bedömas ha samband med brottslig verksamhet. Det är fråga om uppgifter som polisen får vid observation av verksamhetsmiljön eller uppgifter som en utomstående har meddelat till polisen. Polisen kan t.ex. få ett anonymt tips om personer som uppträder misstänkt eller om misstänkt verksamhet som i sig inte nödvändigtvis är lagstridig. Kombinerat med andra faktorer eller omständigheter kan observationsuppgifterna dock tyda på brottslig verksamhet.
Polisen får också observationsuppgifter av utomstående personer t.ex. genom systemet för nättips. Av de tips som kommer in förmedlas sådana tips vidare till polisens enheter för åtgärder där man måste bedöma om ärendet ska skötas av polisen eller om det finns skäl att misstänkta brott. Genom att analysera informationen strävar man efter att förhindra, avslöja och utreda brott och brottsplaner, att identifiera gärningsmännen samt rikta eventuella åtgärder för övervakning av tillstånd mot dem som stöder förhindrandet av brott.
I 6 mom. föreskrivs, på motsvarande sätt som i 5 § 3 mom., om polisens rätt att behandla personuppgifter för bedömning av om uppgifterna är av betydelse med tanke på ändamålet med behandlingen enligt 7 §.
I den gällande lagen i 4 § 4 om informationssystemet för misstänkta ingår en begränsningsbestämmelse, enligt vilken endast polispersonal som förordnats till kriminalunderrättelse-, brottsanalys- och observationsuppgifter samt de kontaktpersoner som polisen sänt utomlands genom teknisk anslutning har tillgång till informationssystemet för misstänkta. Avsikten är inte att genom den föreslagna paragrafen som en särskild skyddsgaranti ändra behovet av begränsning i fråga om dem som har rätt att använda registret. I 4 § i det första lagförslaget föreslås dock inte någon motsvarande begränsningsbestämmelse, utan begränsningen av tillgången till registret bedöms ske genom bestämmelserna om den allmänna informationssäkerheten. Bestämmelser om informationssäkerhet finns i 32 § i dataskyddslagen avseende brottmål. Enligt 5 punkten i den lagen har den personuppgiftsansvarige skyldighet säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till personuppgifter som omfattas av deras användarrättigheter. Användarrättigheter till informationssystemet för polisärenden beviljas med arbetsuppgifterna som grund.
Den personuppgiftsansvarige ska i enlighet med kraven i 8 § i dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas.
8 §.Innehållet i personuppgifter som anknyter till förbyggande eller avslöjande av brott. I 1 mom. preciseras de personuppgifter som utöver de grundläggande personuppgifter som avses i 4 § får behandlas för de ändamål som föreskrivs i 7 §.
I de i 1 punkten avsedda behövliga specificeringar, beskrivningar och klassificeringar i anknytning till polisens uppdrag uppgifter, åtgärder och händelser ingår i synnerhet uppgifter som gäller kriminalunderrättelseuppdrag och förebyggande verksamhet, uppgifter om de metoder för inhämtande av information som använts, polisens åtgärder och ärendets behandlingsskeden samt uppgifter om brott som fåtts av en person eller via denne, vid behov även personernas förhållande till andra personer. Reglering av denna karaktär har i fråga om förebyggande och avslöjande verksamhet delvis ingått i 2 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet. Tolkningstvetydigheten i regleringen har dock i någon mån lett till ett osäkert rättsläge. Syftet med punkten är att skapa klarhet i det nuvarande rättsläget. En tillräcklig beskrivning av händelser och specificering av anknytande uppdrag och åtgärder är viktigt förutom med tanke på polisens verksamhetsmässiga behov också för laglighetskontrollen och tillsynen av de registrerades rättigheter. Genom dokumentering av verksamheten säkerställs både objektets rättsskydd och polisens förmåga att utföra sina uppgifter. Nertecknad information kan också utnyttjas för att rikta polisens verksamhet på ett ändamålsenligt sätt i enlighet med den föreslagna 13 § 1 mom. 8 punkten.
Momentets 2 punkt är till sitt innehåll de facto omfattande och med stöd av den får polisen behandla behövliga uppgifter som gäller en persons verksamhet och beteende. Sådana uppgifter kan gälla t.ex. en persons kontakter, livsstil, ekonomiska situation, hobbyer och annat av intresse till den delen att uppgifterna är behövliga med tanke på förbyggande och utredning av brott.
Signalementsuppgifter enligt 3 punkten innefattar bl.a. en persons längd, vikt och ögonfärg. Signalementsuppgifterna omfattar också bl.a. en persons tatueringar eller andra externa kännetecken, t.ex. ärr och födelsemärken. Dessutom innefattar punkten också biometriska uppgifter såsom finger-, hand- och fotavtryck, ansiktsbild, röst-, lukt och handstilsprov samt fysiskt DNA-prov och den digitala eller någon annan DNA-profil som bestämts utifrån provet. Behandlingen av biometriska uppgifter som hör till särskilda kategorier av personuppgifter är begränsad endast till behandling av nödvändiga uppgifter. Med tanke på polisens och den registrerades rättsskydd är det nödvändigt att polisen på ett tillförlitligt sätt kan säkerställa identiteten för den som ska registreras. En persons signalementsuppgifter behövs för att det ska gå att identifiera en person på ett tillförlitligt sätt och de kan också vara de enda till buds stående individualiserings- och identifieringsuppgifterna om en person. Exempelvis är en persons fotografi ofta mer tillförlitligt än det namn som personen använder. Förslaget ändrar inte på det rådande rättsläget, utan innehåller närmast de preciseringar som krävs för EU:s reform av referensramen för dataskyddet.
I momentets 4punkt föreskrivs om behandlingen av s.k. säkerhetsuppgifter på motsvarande sätt som i den föreslagna 6 § 1 mom. 3 punkten.
I 11 § i dataskyddslagen avseende brottmål föreskrivs i enlighet med kraven i dataskyddsdirektivet om en högre behandlingströskel för personuppgifter som hör till särskilda kategorier av personuppgifter. Uppgifter som hör till särskilda kategorier av personuppgifter och som ingår i de uppgifter som avses i 1—4 punkten får behandlas endast om det är nödvändigt med tanke på ändamålet med behandlingen. Uppgifter som hör till särskilda kategorier av personuppgifter ingår utöver i de signalementsuppgifter som behövs för fastställande av identiteten och som avses i 1 mom. 3 punkten dessutom i synnerhet i de säkerhetsuppgifter som avses i 4 punkten.
I 2 mom. föreskrivs om skyldighet att till personuppgifterna om möjligt foga en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet. I praktiken är det fråga om en vedertaget förfarande där polisen bedömer graden av uppgifternas tillförlitlighet. Genom bestämmelsen beaktas kravet enligt artikel 7.1 i dataskyddsdirektivet på att personuppgifter som grundar sig på fakta så långt det är möjligt ska åtskiljas från personuppgifter som grundar sig på personliga bedömningar. Genom bestämmelsen stöds kravet i artikel 7.2 på att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Polisen ska också i den mån det är möjligt kontrollera kvaliteten på personuppgifterna innan dessa överförs eller görs tillgängliga.
9 §.Behandling av uppgifter om informationskällor. I paragrafen föreslås bestämmelser om behandling av uppgifter om informationskällor. I 2 § 3 mom. 9 punkten i den gällande lagen om behandling av personuppgifter i polisens verksamhet föreskrivs om registrering informationssystemet för polisärenden av uppgifter om en person som avses i 5 kap. 40 § i polislagen och som har använts som informationskälla för hindrande, avslöjande eller utredning av brott samt uppgifter om hur informationskällan har använts samt om tillsynen. Bestämmelserna om användning av informationskällor och styrd användning av informationskällor skiljer sig dock från de flesta bestämmelserna om inhämtande av information i 5 kap. i polislagen i den meningen att de inhämtade uppgifterna kan vara av betydelse för skötseln av alla slag av uppgifter som avses i 1 kap. 1 § i polislagen.
Enligt 5 kap. 40 § 1 mom. i polislagen avses med användning av informationskällor annat än sporadiskt konfidentiellt mottagande av information av betydelse för skötseln av i 1 kap. 1 § i polislagen avsedda uppgifter av personer som inte hör till polisen eller till någon annan förundersökningsmyndighet. Enligt 2 mom. i den paragrafen får polisen be att en för ändamålet godkänd informationskälla som har lämpliga personliga egenskaper och är registrerad och har samtyckt till inhämtandet av information inhämtar den information som avses i 1 mom.
Polisen får med stöd av den föreslagna 10 § behandla uppgifter om personer som avses i 5 kap. 40 § i polislagen för ändamål som avses i 5, 7 och 11 §, dvs. för det ursprungliga ändamålet med behandlingen i anknytning till utförande av samtliga i 1 kap. 1 § i polislagen avsedda uppgifter. Som exempel på annat än brottsbekämpning kan nämnas den situationen att polisen via en informationskälla får sådan information om en hobbyskytts hälsotillstånd som leder till att myndigheten kräver ett läkarintyg och därefter drar in dennes vapenlicens (RP 224/2010 rd, s. 129).
I paragrafen klargörs dessutom ställningen för de uppgifter som informationskällan lämnat som uppgifter om en informationskälla. Bestämmelsen gör det med tanke på användningen och övervakningen av informationskällor också möjligt att behandla uppgifter i anknytning till verifiering av de uppgifter källan lämnat. I dessa uppgifter kan ingå t.ex. uppgifter i olika system som behandlas för att säkerställa identiteten på den person som källan har uppgett.
I paragrafen föreslås en hänvisning också till tvångsmedelslagen, där det i 10 kap. 39 § finns bestämmelser om användning av informationskällor för utredning av brott. Ytterligare bestämmelser om registreringen och övervakningen av informationskällor finns i 13 § 2 mom. och 14 § i statsrådets förordning om förundersökning, tvångsmedel och hemligt inhämtande av information (122/2014).
Uppgifter som hör till särskilda kategorier av personuppgifter får behandlas endast när det är nödvändigt med tanke på ändamålet med behandlingen.
10 §.Behandling av personuppgifter i anknytning till kvalitetssäkring av DNA-prov. Metoderna för analyser av DNA har utvecklats och blivit mycket känsligare under de senaste åren. I dagsläget gör metodernas känslighet å ena sidan en effektive brottsundersökning möjlig, å andra sidan avslöjar de DNA också från andra källor. Med hjälp av DNA-profiler som fastställts utifrån DNA-prov för eliminering är det möjligt att konstatera en eventuell brottsplats eller att ett prov från en brottsplats har nedsmutsats och rikta undersökningen med hjälp av uteslutningsmetoden. Dessutom kan man med hjälp av de fastställda profilerna och när nedsmutsning upptäcks instruera personalen för ett kvalitativt arbete och få fram de arbetsskeden då risken för kontaminering är speciellt stor.
Syftet med behandling av personuppgifter i anknytning till kvalitetssäkring av DNA-prov är att undersöka eventuell nedsmutsning, eller kontaminering, av de DNA-prov som registrerats vid polisens tekniska undersökning (prov från brottsplatser) och att identifiera, korrigera och förebygga de faktorer som lett till nedsmutsningen. Syftet är dessutom att undersöka olika kvalitetssäkringsfaktorer, t.ex. renheten i polisinrättningarnas kriminaltekniska arbetsutrymmen (övervakningsprov). I första hand är strävan att registrera DNA-profiler för polispersonal som deltar i behandlingen av prov från brottsplatser.
Det är frivilligt att lämna ett DNA-prov för eliminering. Av utredningstekniska skäl har undersökningsledarna behov av att t.ex. till brottsplatser sända endast sådana personer vars DNA-prov för kvalitetssäkring har registrerats. Med hjälp av information om kontaminering som fåtts vid en eventuell DNA-träff har undersökningsledaren möjlighet att rikta undersökningen eller utesluta en eventuell främmande DNA-profil från de prov som registrerats på brottsplatsen.
11 §.Behandling av personuppgifter i polisens övriga lagstadgade uppgifter. Den behandling av personuppgifter som avses i paragrafen hör till tillämpningsområdet för dataskyddsförordningen och den nationella dataskyddslag som kompletterar förordningen. Med paragrafen ersätts bestämmelserna i 3 § i den gällande lagen, vilka gäller registrering av personuppgifter i informationssystemet för förvaltningsärenden för skötseln av de ärenden som föreskrivs i skjutvapenlagen, lagen om identitetskort (663/2016), passlagen, lagen om privata säkerhetstjänster (1085/2015), lagen om penninginsamlingar (255/2006), lotterilagen och lagen om saluföring och användning av sprängämnesprekursorer (653/2014). På behandling av identifieringsuppgifter enligt 3 § 3 mom. 7 punkten i den gällande lagen, som avser behandling av personuppgifter för skötseln av uppgifterna enligt 131 § i utlänningslagen, tillämpas 5 och 6 §.
Med avvikelse från 3 § i den gällande lagen räknas i paragrafen inte upp de bestämmelser där det föreskrivs om polisens uppgifter i anslutning till tillståndsförvaltningen. Den föreslagna regleringstekniken, som är smidigare än den nuvarande, gör det möjligt att i större utsträckning än för närvarande riksomfattande behandla personuppgifter för skötseln av de uppgifter som föreskrivs i 1 kap. 1 § 2 mom.
För polisen har utöver skötseln av uppgifter i samband med tillståndsförvaltning separat föreskrivits sådana övervakningsuppgifter som inte anknyter till förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning eller skydd mot eller förhindrande av hot mot den allmänna säkerheten. Paragrafen ska utöver på uppgifter i samband med tillståndsförvaltningen också tillämpas på den behandling av personuppgifter som behövs för utförandet av dessa uppgifter.
Alla uppgifter enligt 1 kap. 1 § 2 mom. i polislagen hör dock inte till tillämpningsområdet för paragrafen. Exempelvis hör behandling av personuppgifter för att eftersöka försvunna personer typiskt till tillämpningsområdet för dataskyddsdirektivet och lagen om genomförande av direktivet. När det gäller uppgifter i anslutning till tillståndsförvaltningen hör tillståndsförvaltningen till tillämpningsområdet för 11 och 12 §, men på övervakningen av tillstånd tillämpas beroende av verksamhetens mer detaljerade karaktär 11 och 12 § eller 5 och 6 §. När tillståndsövervakning utförs i samband med polisens fältuppgifter, behandlas personuppgifterna med stöd av 5 och 6 § och på behandlingen tillämpas som allmänna författningar dataskyddsdirektivet och dataskyddslagen avseende brottmål.
Exempelvis överförs personuppgifter som behandlas vid hantering av hittegods enligt hittegodslagen i enlighet med den föreslagna 11 § från de enhetsspecifika personregister som upprättats med stöd av 6 § i den gällande lagen och där uppgifterna registrerats hittills, till polisens riksomfattande registerföring. Förslaget gör det också möjligt att behandla personuppgifter i anknytning till de uppgifter som föreskrivs för polisen i lagen om skjutbanor i riksomfattande informationssystem. Dessutom får polisen med stöd av paragrafen behandla personuppgifter behövliga för skötseln av de uppgifter som föreskrivs bl.a. i körkortslagen (386/2011), vägtrafiklagen (729/2018) och lagen om penningtvätt.
Kategorierna av personer som får behandlas för de ändamål som föreskrivs i paragrafen bestäms utifrån den speciallagstiftning som gäller polisen. För skötseln av de lagstadgade uppgifter som avses i paragrafen behandlar polisen i synnerhet personuppgifterna för följande kategorier av personer: 1) i enlighet med de lagar som gäller polisens uppgifter i samband med tillståndsförvaltningen uppgifter om tillstånd, beslut om godkännande och personer som ansöker om och får godkännande samt föremålet för ansökan och anmälare, inklusive också personer som ansöker om och innehar pass och identitetskort, 2) för skötseln av uppgifter i samband med tillståndsförvaltningen ombud för samfund som behandlas, medlemmarna i samfundens förvaltningsorgan samt banansvariga i enlighet med lagen om skjutbanor, 3) personer som är föremål för en skjutvapenanmälan och yrkesutbildade personer inom hälso- och sjukvården som har gjort en anmälan i enlighet med 114 § i skjutvapenlagen, 4) kontaktpersoner och ansvariga för samt personer som i praktiken anordnar penninginsamlingar och lotterier, samt 5) personer som är anställda hos näringsidkare eller sammanslutningar som det föreskrivs att polisen ska övervaka.
Med stöd av paragrafen får också uppgifter om personkategorier behövliga för skötseln av andra uppgifter som föreskrivs för polisen i samband med tillståndsförvaltning och tillståndsövervakning samt hittegodsverksamhet behandlas. Till dessa kategorier hör t.ex. personer i anknytning till expedieringsuppgifter för handlingar, förvaltare av konkursbon och dödsbon och delägare i dödsbon, personer som lämnat utlåtande, personer som ska registreras med stöd av hittegodslagen, sysslomän som förordnas i enlighet med lagen om lagen om penninginsamlingar och lotterilagen, fotografer som registrerar fotografier för tillståndshandlingar samt personer som lämnar in ett skjutvapen eller något annat med stöd av skjutvapenlagen registrerat föremål och ägare till skjutvapen, vars personuppgifter registreras i vapenregistersystemet för att den uppföljning av ett vapens livscykel som krävs enligt vapenlagstiftningen ska vara möjlig. Paragrafen omfattar dessutom personer vars personuppgifter ska behandlas för administrativa påföljder i enlighet med vägtrafiklagen och lagen om penningtvätt samt andra personer i anknytning till de övervakningsuppgifter som avses i paragrafen, vars personuppgifter behöver behandlas för skötseln av polisens lagstadgade uppgifter.
12 §.Innehållet i personuppgifter som behandlas för utförande av polisens övriga lagstadgade uppgifter. I paragrafen preciseras de uppgiftskategorier i fråga om vilka polisen utöver de grundläggande personuppgifterna som avses i 4 § får behandla personuppgifter för de ändamål som avses i 11 §. Med tillstånd avses alla de tillstånd, inklusive godkännanden och resedokument, i anknytning till vilka det för polisen har föreskrivits uppgifter som gäller beviljande och övervakning.
I 1 mom. 1 punkten avsedda uppgifter som gäller ansökan, tillstånd, utlåtande, anmälan och beslut ingår också uppgifter om återkallande av tillstånd, om försvunna eller stulna tillståndshandlingar samt om redovisning och slutanmälan i enlighet med lagen om penninginsamlingar och lotterilagen. I 2 punkten avsedda uppgifter som gäller hinder för beviljande eller giltighet av ett tillstånd samt uppgifter som behövs för utredande av förutsättningarna för beviljande eller giltighet av ett tillstånd ingår t.ex. intyg och uppgifter som fåtts av tillståndshavaren eller andra myndigheter, läroanstalter och yrkesutbildade personer inom hälso- och sjukvården samt uppgifter för skjutvapenanmälan i enlighet med 114 § i skjutvapenlagen. Med stöd av 3 punkten får bl.a. uppgifter om myndighetens kontroller, varningar och anmärkningar samt åtgärder i anknytning till förbud och vitesförfarande. Utöver polisens åtgärder registreras i anknytning till ärenden i samband med tillståndsförvaltningen också t.ex. åtgärder av Migrationsverket och finska beskickningar.
I 4 punkten förskrivs om behandlingen av en persons fotografi och namnteckningsprov, som personen har lämnat till polisen, utrikesministeriet eller en myndighet inom utrikesförvaltningen vid ansökan om ett sådant tillstånd eller beslut som fotografiet och namnteckningsprovet behövs för. I enlighet med skäl 51 till dataskyddsförordningen bör behandling av foton inte systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person genom biometriska uppgifter. Ett sådant fotografi som avses i 4 punkten hör inte till biometriska uppgifter i enlighet med definitionen i artikel 4 i dataskyddsförordningen. På grund av den särskilda ställningen för biometriska uppgifter föreskrivs i 5 punkten särskilt om biometrisk behandling av fingeravtrycksuppgifter och den ansiktsbild som behövs för skötseln av ärenden som föreskrivs i lagen om identitetskort och i passlagen.
I 6 punkten föreskrivs om behandlingen av behövliga uppgifter för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet. I 3 § i den gällande lagen finns inte några bestämmelser om registrering av s.k. säkerhetsinformation i informationssystemet för förvaltningsärenden. I synnerhet behandling av uppgifter som gäller farlighet eller oberäknelighet i fråga om ett objekt eller en person kan dock för att garantera personens säkerhet eller myndighetens säkerhet i arbetet vara behövligt också i situationer där uppgifterna behandlas för skötseln av i 11 § avsedda polisens lagstadgade uppgifter.
Momentets 7 punkt omfattar uppgifter behövliga för behandlingen av de administrativa påföljder som polisen påför. Till de administrativa påföljder som avses i punkten hör avgift för trafikförseelse i enlighet med 160 § och fordonspecifik avgift för trafikförseelse i enlighet med 161 § i vägtrafiklagen samt de administrativa påföljder som avses i 8 kap. i lagen om penningtvätt.
Polisen får som en del av de uppgifter som avses i 12 § behandla också i artikel 9 i dataskyddsförordningen avsedda särskilda kategorier av personuppgifter. Dessa är i 1 mom. 2 punkten avsedda hälsouppgifter och övriga behövliga uppgifter som hör till särskilda kategorier av personuppgifter, i 5 punkten för skötseln av ärenden enligt lagen om identitetskort och passlagen avsedda biometriska fingeravtrycksuppgifter och den ansiktsbild som tagits av sökanden vid ansökan om identitetskort eller pass samt uppgifter som ingår i de i 6 punkten avsedda nödvändiga uppgifter som hör till särskilda kategorier av personuppgifter, t.ex. uppgifter om hälsotillstånd.
Som en del av tillsynen av det penningspelsbolag som nämns i 11 § i lotterilagen behandlar polisen också personuppgifter i bolagets kundregister och spelmaterial. För behandlingen av sådana personuppgifter föreslås ett separat 2 mom. Behandlingen av spelbolagets uppgifter om kunder och spelare ska begränsas till vad som behövs för tillsynen av penningspelsbolaget, eftersom det ursprungliga ändamålet med behandlingen av personuppgifterna i fråga är behandling av penningspelsbolagets kunduppgifter. Polisen får behandla uppgifter om spelare också för sådan tillsyn enligt lagen om penningtvätt som gäller penningspelsbolag och sammanslutningar som förmedlar deltagaranmälningar och deltagaravgifter i anslutning till penningspel, t.ex. för att utreda om penningspelsbolaget eller dess ombud har utfört kundkontrollen i enlighet med kraven i lagen. Kundens personuppgifter behövs dessutom för att garantera spelarnas rättskydd vid kontrollen av spelarnas spelhändelser.
När det gäller uppgifter om spelare får polisen behandla i synnerhet följande personuppgifter: spelarkod, födelsetid, kön, kontaktuppgifter, dödsdag, den kundnummer som spelbolaget gett, spelarens kontonummer, registreringsdag, spelkontots stängningsdatum, spelgränser som spelaren satt, penningöverföringar till spelkontot, gräns för penningöverföring till spelkontot, uppgifter om spelhändelser, spärrar och spelförbud. Förteckningen är dock inte uttömmande. En del av de uppgifter som får behandlas kan direkt kopplas till en enskild spelare (t.ex. spelarkoden eller spelarens kontonummer) och personen kan därmed identifieras utifrån denna information. En del av de uppgifter som behandlas är däremot sådana uppgifter i anknytning till personuppgifterna (t.ex. spelgränser, spärrar eller spelförbud) utifrån vilka en enskild spelare inte direkt kan identifieras, utan en identifiering kräver att också någon annan information som individualiserar personen kombineras med den aktuella informationen. Dock ska uppgifter om spelare inte vara möjligt att koppla samman med enskilda fysiska personer enbart utifrån de uppgifter som penningspelsbolaget överför som datamängd till polisen, utan polisen får personuppgifterna för en enskild spelare endast via penningspelsbolaget.
Skyldigheter i fråga om registerföring samt preciserande bestämmelser om registrens datainnehåll finns också i de speciallagar där det föreskrivs om polisens uppgifter i samband med tillståndsförvaltningen. Exempelvis föreskrivs det om tillsynsregistret över lotterier i 42 b § i lotterilagen, om passregistret i 29 § i passlagen och om identitetskortsregistret i 31 § i lagen om identitetskort.
13 §.Behandling av personuppgifter för andra ändamål än det ursprungliga. I den föreslagna 13 § föreskrivs om behandling av de personuppgifter som avses i 5—9, 11 och 12 § för andra ändamål med behandlingen än det ursprungliga, med undantag av behandling av uppgifter som hör till särskilda kategorier av personuppgifter, som det föreskrivs om i 14, och behandling av personuppgifter vid tillståndsprövning och tillsyn över tillstånd, som det föreskrivs om i 15 §. Med paragrafen ersätts i huvudsak bestämmelserna i 16 § 1 och 2 mom. i den gällande lagen, men bestämmelserna utvidgas och preciseras till vissa delar.
I 1 mom. räknas de ändamål upp för vilka polisen får behandla personuppgifter som samlats in för ett annat ursprungligt ändamål. Bestämmelserna i momentet tillämpas om det inte någon annanstans i lag föreskrivs strängare villkor för behandlingen av en uppgift. Med detta avses t.ex. bestämmelserna om villkoren för användning av överskottsinformation som fåtts genom vissa åtgärder i 5 kap. 54 § i polislagen och 10 kap. 56 § i tvångsmedelslagen.
Enligt 1 punkten får polisen behandla personuppgifterna för att förebygga eller avslöja brott. I denna punkt beaktas med tanke på 16 § i den gällande lagen som nytt behandlingsändamål avslöjande av brott, som infördes i förteckningen över polisens uppgifter i 1 kap. 1 § 1 mom. i polislagen vid ingången av 2014 i samband med helhetsreformen av polislagen. Det är tillåtet att behandla uppgifter för att förebygga brott också enligt 16 § 1 mom. i den gällande lagen, men till skillnad från den föreslagna 1 punkten är behandlingen begränsad till förebyggande av ett brott som kan medföra fängelsestraff.
Momentets 2 punkt motsvarar i sak gällande lag. Behandling av personuppgifter för att utreda ett brott är enligt 2 punkten möjlig, på samma sätt som i 16 § 1 mom. 3 punkten i den gällande lagen, endast när det är fråga om ett brott som kan medföra fängelsestraff.
Momentets 3 och 4 punkt är nya jämfört med den gällande lagen. I 3 punkten föreskrivs om behandling av personuppgifter för att påträffa en efterlyst. Efterlysning definieras inte i lagen. Enligt motiveringen till 2 kap. 3 § som gäller gripande av en efterlyst i polislagen avses med en efterlysning som utfärdas av polisen ett meddelande som är baserat på en behörig polismyndighets beslut och som med hjälp av polisens personregister delges myndigheterna med begäran om information som behövs för att påträffa en viss person. Syftet med efterlysningen är att en i den angiven tjänsteåtgärd ska kunna riktas mot den efterlyste eller mot egendom i dennes besittning. (RP 224/2010 rd, s. 76). Behandling av personuppgifter för annat ändamål än det ursprungliga ändamålet är behövligt för att påträffa en efterlyst t.ex. i en situation när behovet av att påträffa en efterlyst gäller att tillkännage den efterlyste handlingar som anknyter till tillståndsförvaltningen. En efterlysning ska kunna meddelas alla aktörer som eventuellt har att göra med den efterlyste.
Momentets 5 punkt motsvarar delvis till sitt innehåll 16 § 1 mom. 2 punkten i den gällande lagen, men i stället för avvärjande av en omedelbart förestående allvarlig fara som hotar den allmänna säkerheten föreskrivs det om förhindrande av betydande fara för någons liv, hälsa eller frihet. I punkten ingår i motsats till tidigare också förhindrande av betydande miljö-, egendoms- eller förmögenhetsskada.
Momentets 6 punkt motsvarar till sitt innehåll 16 § 1 mom. 1 punkten i den gällande lagen, men ordalydelsen ändras så att den motsvarar den terminologi som används i dataskyddslagen avseende brottmål och i övrigt i lagstiftningen. Med momentets 7 punkt ersätts 16 § 1 mom. 4 punkten i den gällande lagen. Momentets 8 punkt är en ny bestämmelse genom vilken behandling av personuppgifter görs möjlig för att rikta polisens verksamhet.
Ändamålen med behandlingen enligt den föreslagna 1, 4, 5 och 8 punkten motsvarar till sitt innehåll bestämmelserna i 5 kap. 54 § 4 och 5 mom. i polislagen och 10 kap. 56 § 4 och 5 mom. i tvångsmedelslagen om behandling av överskottsinformation som erhållits med hemliga metoder för inhämtande av information och hemliga tvångsmedel. Överskottsinformation får i enlighet med polislagen och tvångsmedelslagen alltid användas för förhindrande av brott, för inriktning av polisens verksamhet och som en utredning som stöder det att någon är oskyldig. Överskottsinformation får också användas för att förhindra betydande fara för någons liv, hälsa eller frihet eller betydande miljö-, egendoms- eller förmögenhetsskada. Med användning av informationen för inriktning av polisens verksamhet avses i den föreslagna 8 punkten också sådant indirekt utnyttjande av informationen så att den inte används som bevisning eller som grund för att använda en metod för informationsinhämtning. Överskottsinformation kan användas för att inrikta polisens verksamhet t.ex. när det gäller förhindrande eller avslöjande av brott, analysverksamhet, utredning av tröskeln för inledande av förundersökning eller inriktande av förundersökningen (RP 224/2010 rd, s. 139).
I 2 mom. föreskrivs om behandling av personuppgifter för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål. I 2 mom. beaktas dessutom polisens med dessa jämförbara behov att behandla personuppgifter för laglighetsövervakning, analys, planering och utveckling. På samma sätt som i dagsläget får personuppgifter också användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras.
Det föreslagna momentet motsvarar 16 § 2 mom. om laglighetsövervakning samt planerings-, utvecklings- och utbildningsverksamhet i den gällande lagen. Momentet ändrades genom lagändringen 1181/2013 som trädde i kraft vid ingången av 2014 så att användningen av uppgifterna i informationssystemet för laglighetsövervakning uttryckligen nämns som ett användningsändamål. Det är viktigt att hålla kvar denna bestämmelse, också med beaktande av behovet att stärka den ändamålsenliga tillsynen av polisens informationssystem. För tydlighetens skull föreslås i momentet en ny punkt om analysverksamhet, som till sin karaktär är jämförbar med den planerings- och utvecklingsverksamhet som avses i 16 § 2 mom. i den gällande lagen. Med analysverksamhet som stöder en informationsstyrd polisverksamhet avses i synnerhet strategisk analys för att upprätthålla en lägesbild över brottsligheten och förutse hotbilder inom brottsligheten, vilket förutsätter möjlighet att utnyttja också de personuppgifter som polisen har. När det gäller de ändamål med behandlingen som avses i momentet är det inte fråga om utförande av ett enskilt polisuppdrag, utan ett mer allmänt behov av att behandla personuppgifter för vissa ändamål.
I 3 mom. föreskrivs på motsvarande sätt som i 3 § 3 mom. 3 punkten i den gällande lagen att ett fotografi av en person och personens namnteckningsprov som registrerats för framställning av en identitetshandling, med personens samtycke får även användas för något annat förvaltningstillstånd eller beslut som personen ansökt om. Enligt skäl 51 till dataskyddsförordningen bör behandling av foton inte systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Vid utarbetning av ett sådant förvaltningstillstånd eller beslut som avses i 3 mom. är det alltså inte fråga om sådan behandling av särskilda kategorier av personuppgifter som avses i 14 §.
I 4 mom. avgränsas de tillsynsuppgifter som polisen fått i samband med tillsyn av penningspelsbolag i enlighet med lotterilagen och lagen om förhindrande av penningtvätt och av finansiering av terrorism till att stå utanför tillämpningsområdet i fråga om behandling av personuppgifter för andra ändamål än det ursprungliga och dessa uppgifter får endast användas för sitt ursprungliga ändamål i enlighet med 11 §. Bestämmelsen utgör inget hinder för att använda personuppgifterna för sådana anmälningar till centralen för utredning av penningtvätt som avses i 7 kap. 1 § 1 mom. 4 punkten i lagen om penningtvätt eller för att uppfylla någon annan anmälningsskyldighet som föreskrivs i lagen.
14 §.Behandling av uppgifter som hör till särskilda kategorier av personuppgifter för andra ändamål än det ursprungliga. I paragrafen preciseras de ändamål för vilka uppgifter som hör till särskilda kategorier av personuppgifter får behandlas utöver det ursprungliga ändamålet. I 1 mom. begränsas behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter till situationer där behandling i enlighet med de i 13 § 1 och 2 mom. föreskrivna ändamålen är nödvändig. I lag kan dock föreskrivas undantag till bestämmelsen i 1 mom. inom ramarna för dataskyddslagstiftningen.
I 2 mom. föreskrivs med avvikelse från 1 mom. om en noggrannare avgränsning, som gäller användning av biometriska uppgifter som behandlas för utförande av de uppgifter som föreskrivs i lagen om identitetskort och passlagen. Dessa uppgifter får användas för andra ändamål än det ursprungliga ändamålet med behandlingen av uppgifterna endast om det är nödvändigt för att identifiera ett offer för en naturkatastrof, storolycka eller någon annan katastrof eller för ett brott eller ett offer som annars förblivit oidentifierat. Grundlagsutskottet bedömde i sitt utlåtande 47/2010 rd att fingeravtrycksuppgifter i passregistret får användas för att identifiera ett offer som annars inte kan identifieras kan ses som ett sådant exakt avgränsat och obetydligt undantag från ändamålsbundenheten som utskottet krävt. Bestämmelsen motsvarar till sitt innehåll 16 a § 1 mom. till den del det gäller behandlingen av fingeravtrycksuppgifter för pass. Fingeravtrycksuppgifter i passregistret får utöver för sitt ursprungliga ändamål med behandlingen, för utförande av de uppgifter som föreskrivs i passlagen, behandlas endast om det är nödvändigt för att identifiera ett offer som annars förblivit oidentifierat.
Med ett oidentifierat offer avses i 2 mom. utöver avlidna också offer som befinner sig allvarlig fara för liv eller hälsa och som kan identifieras endast med hjälp av fingeravtrycksuppgifter eller andra biometriska uppgifter, t.ex. då offret länge är i medvetslöst tillstånd. Begränsningen avgränsas med avvikelse från 16 a § i den gällande lagen till att gälla också biometriska bilduppgifter vars ursprungliga ändamål med behandlingen är identifiering av en person och framställning av en identitetshandling.
I 3 mom. föreskrivs på motsvarande sätt som i 3 § 3 mom. 4 punkten i den gällande lagen om att fingeravtrycksuppgifter för en person som ansökt om pass med den berörda personens tillstånd får användas också för framställning av en identitetshandling som personen ansökt om senare. Andra uppgifter utöver fingeravtryck som behandlas för utförande av de uppgifter som föreskrivs i lagen om identitetskort och i passlagen används inte för framställning av en handling i biometrisk form som styrker identiteten som personen ansökt om senare, varför det föreskrivs om motsvarande användning av fotografi och namnteckning i 13 §.
Paragrafens 4 mom. är ny i förhållande till den gällande lagen. Enligt 16 a § 1 mom. i den gällande lagen får polisen med stöd av 131 § i utlänningslagen använda fingeravtrycksuppgifter i polisens register för andra ändamål än de ursprungliga under samma förutsättningar som i fråga om fingeravtryck för pass. Det föreslås att användningen av fingeravtryck som registrerats med stöd av utlänningslagen ska utvidgas så att det är möjligt att använda fingeravtryck även för att förebygga, avslöja eller utreda terroristbrott och andra grova brott som avses i Eurodacförordningen. Bestämmelsen gäller utöver fingeravtryck också andra biometriska uppgifter som behandlas med stöd av 131 § i utlänningslagen och om vars behandling det inte separat föreskrivs i gällande lag.
Villkoret för användningen av biometriska uppgifter är den nödvändighet som föreskrivs i 11 § 2 mom. i dataskyddslagen avseende brottmål, varför jämförelsen av fingeravtryck dessutom ska begränsas till motsvarande brott som jämförelse av fingeravtryck enligt Eurodacförordningen. Enligt artikel 20.1 i Eurodacförordningen är villkoret för jämförelse av fingeravtryck för brottsbekämpande ändamål att jämförelse för identifiering av den registrerade först görs i nationella databaser, i mån av möjlighet i fingeravtrycksdatabaser i andra medlemsstater i EU som är tillgängliga för tillämpningen av Prümbesluten samt i informationssystemet för viseringar (VIS). Av de nationella databaserna är det dock inte möjligt att med stöd av gällande lagstiftning använda polisens nationella register med fingeravtryck som registrerats med 131 § i utlänningslagen som grund för brottsbekämpning. Detta har ansetts vara ett problem med tanke på brottsbekämpningen. Problemet framträder i synnerhet vid bekämpning av terroristbrott och andra brott som samhälleligt sett medför betydande och allvarliga följder och i fråga om vilka utredningsintresset är stort och som det är synnerligen viktigt att förebygga.
Identifieringsuppgifter för utlänningar behandlas med stöd av utlänningslagen som en del av polisens övervakning av utlänningar. Jämförelse av en utlännings fingeravtrycksuppgifter med fingeravtrycksuppgifterna bland signalementsuppgifterna i polisens informationssystem för polisärenden för kontroll av inreseförutsättningarna har gjorts möjligt i 131 § i utlänningslagen till den del som de registrerade signalementsuppgifterna har samband med ett brott för vilket det föreskrivna strängaste straffet är fängelse i minst ett år. Den föreslagna utvidgningen till jämförelse av brottsförebyggande orsaker är betydande med tanke på skyddet för personlig integritet för de personer som registrerats med stöd av 131 § i utlänningslagen. I fråga om andra biometriska uppgifter än fingeravtryck begränsar förslaget dock behandlingsmöjligheterna så att de blir snävare än i den gällande lagen. Den föreslagna bestämmelsens förhållande till skyddet för personlig integritet enligt grundlagen och likställighetsprincipen bedöms närmare i avsnittet om propositionens förhållande till grundlagen och lagstiftningsordning.
I 5 mom. begränsas behandlingen av uppgifter för kvalitetssäkring av DNA-prov till endast det ursprungliga ändamålet med behandlingen. Uppgifterna får dessutom behandlas för laglighetsövervakning, planering och utveckling samt för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras.
Paragrafens 6 mom. avgränsar på samma sätt som i 16 § i den gällande lagen användningen av uppgifter i en skjutvapenanmälan enligt 114 § i skjutvapenlagen till endast uppgifter som gäller vapentillstånd. Med detta avses också, på motsvarande sätt som i 10 § i gällande lag, att uppgifter om en skjutvapenanmälan inte får framgå ur systemet förutom när vapentillstånd behandlas.
15 §.Behandling av personuppgifter vid tillståndsprövning och tillsyn över tillstånd. I 1 mom. föreskrivs villkoren för att polisen ska få behandla personuppgifter som avses i 5, 6, 9, 11 och 12 § för andra ändamål än det ursprungliga ändamålet med behandlingen av uppgifterna när det behövs för skötseln av i 11 § förskrivna uppgifter i samband med tillståndsförvaltningen. Uppgifterna kan i enlighet med bestämmelsen användas för att besluta eller lämna utlåtande om beviljande eller giltighet av ett tillstånd, när tillståndet enligt gällande bestämmelser är beroende av sökandens eller tillståndshavarens tillförlitlighet, lämplighet eller någon liknande egenskap, och det för bedömningen av egenskapen krävs uppgifter om sökandens eller tillståndshavarens hälsotillstånd, bruk av rusmedel, brottslighet eller våldsamma uppträdande.
Bestämmelser om förutsättningar för beviljande eller giltighet av tillstånd finns i den speciallagstiftning som gäller tillståndsförvaltningen. Av betydelse med tanke på den föreslagna bestämmelsen är i synnerhet de villkor för beviljande eller giltighet av tillstånd som föreskrivs i skjutvapenlagen och lagen om privata säkerhetstjänster.
De i 7 och 8 § avsedda personuppgifterna som får behandlas för förebyggande och avslöjande av brott samt de i 10 § avsedda personuppgifterna som får behandlas för kvalitetssäkring av DNA-prov avgränsas så att de står utanför den behandling som avses i 1 mom. Den föreslagna bestämmelsen motsvarar i sak 16 § 1 mom. 5 punkten i den gällande lagen.
I 16 § 3 mom. i den gällande lagen föreskrivs att de observationsuppgifter som avses i 2 § 3 mom. 11 punkten och uppgifter i informationssystemet för misstänka enligt 4 §, i skyddspolisens funktionella informationssystem enligt 5 § eller i ett temporärt register enligt 6 § 2 mom. 2 punkten får inte användas för utförande av de uppdrag som avses i 16 § 1 mom. 5 punkten. Bestämmelser om utlämnande av personuppgifter som behandlas av skyddspolisen finns i fortsättningen i det föreslagna 7 kap. Det föreslagna 2 mom. är en ny bestämmelse. I momentet föreslås det att användningen av personuppgifter i anknytning till sådant förebyggande och avslöjande av brott som avses i 7 och 8 § utvidgas till skötseln av uppgifter som anknyter till tillståndsförvaltning.
I de personuppgifter som anknyter till förebyggande och avslöjande av brott som avses i paragrafen ingår uppgifter som motsvarar uppgifterna i det informationssystem för misstänkta som avses i 4 § i den gällande lagen samt uppgifter i sådana tillfälliga register som avses i 6 § 2 mom. 2 punkten. Momentet gör det också möjligt att behandla andra i 7 och 8 § avsedda uppgifter i anknytning till förebyggande och avslöjande av brott för tillståndsförvaltningens syften när villkoren enligt 2 mom. uppfylls. Uppgifterna kan dock inte direkt användas i polisens tillståndsförvaltning, utan de kan behandlas i situationer som avses i 1 mom. endast via ett förfarande som motsvarar anmälningsförfarandet enligt 25 § 1 mom. i säkerhetsutredningslagen.
Polisens tillståndsförvaltning har till uppgift att i och med det administrativa beslutsfattandet och genom olika övervakningsmetoder förebygga brott och störningar av den allmänna ordningen och säkerheten i ett samhälle där säkerhetsläget håller på att förändras (Polisens tillståndsförvaltningsstrategi 2017—2021). Polisens tillståndsförvaltning är en del av den administrativa brottsbekämpningen. Med administrativ brottsbekämpning avses intervenering i kriminella aktörers ekonomiska och övriga verksamhetsförutsättningar genom administrativa förfaranden. Syftet med det föreslagna förfarandet med utlåtande är att uppgifter som olika myndigheter har om brottslig verksamhet kan beaktas också vid administrativt beslutsfattande. På så sätt kan det säkerställas att man inte genom beslutsfattandet i tillståndsförvaltningen främjar verksamhetsförutsättningarna för organiserad brottslighet eller fortsatt brottslig verksamhet.
I enlighet med villkoren i 2 mom. får centralkriminalpolisen göra en anmälan endera på eget initiativ eller efter att den ur registren för tillståndsförvaltning fått kännedom om en anhängig tillståndsansökan eller ett ärende som gäller återkallande av tillstånd. Anmälan får endast grunda sig på uppgifter om sådana personer som avses i 7 § 2 mom. En anmälan får inte göras utifrån i 7 § 3 mom. avsedda uppgifter om vittnen till brott, offer för brott eller målsäganden, i 7 § 5 mom. avsedda observationsuppgifter eller i 7 § 6 mom. avsedda uppgifter som behandlas för bedömning av om uppgifterna är av betydelse.
Centralkriminalpolisen bedömer från fall till fall om det finns orsak att göra anmälan. Syftet med förfarandet är att i synnerhet skydda de intressen som ligger till grund för de föreskrivna förutsättningarna för beviljande eller giltighet av tillståndet mot att personer som deltar i organiserad kriminalitet eller misstänkts för sådan verksamhet på ett lagligt sätt kommer åt en tillståndspliktig uppgift med inverkan på säkerheten i samhället samt att skjutvapen kan skaffas på ett lagligt sätt i situationer förknippade med risk för allvarligt missbruk. Den föreslagna bestämmelsens förhållande till skyddet för personlig integritet enligt grundlagen och rättsskyddet bedöms i avsnittet om propositionens förhållande till grundlagen.
3 kap. Rätt att få uppgifter
16 §.Polisens rätt att få uppgifter ur vissa register och informationssystem. Det föreslås att bestämmelserna i 1 mom. i huvudsak bevaras som i 13 § i den gällande lagen med undantag av vissa preciseringar och ändringar som föreslagits i hänvisningsbestämmelserna. I momentet föreslås en ny 14 punkt med bestämmelser om polisens rätt att få uppgifter ur Lantmäteriverkets bostadsdatasystem och fastighetsdatasystem. Genom tillägget beaktas polisens behov av att för att förhindra, förebygga och utreda brott få uppgifter ur det föreslagna bostadsdatasystemet (RP 127/2018 rd). Bestämmelsen kompletterar dessutom bestämmelsen om Lantmäteriverkets rätt med hjälp av en teknisk anslutning lämna ut uppgifter ur fastighetsdatasystemet till förundersökningsmyndigheter i 6 § i lagen om ett fastighetsdatasystem och anslutande informationstjänster (453/2002).
Enligt 4 kap. 3 § 1 mom. i polislagen har polisen oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet på begäran av en polisman som hör till befälet rätt att få information som behövs för att förhindra eller utreda brott. Samma rätt har polisen att få information som behövs vid polisundersökning enligt 6 kap., om ett viktigt allmänt eller enskilt intresse kräver det. I paragrafens 1 mom. motsvarar 15 punkten den genom lagändring 29/2015 i 13 § i den gällande lagen införda 16 punkten, som kompletterar polisens rätt att i enskilda fall få uppgifter om passagerare för förhindrande eller utredning av brott i enlighet med 4 kap. 3 § i polislagen. Rätten att få i punkten avsedda uppgifter om passagerare genom en teknisk anslutning eller som en datamängd gäller alla trafikidkare oberoende av trafikslag. Uppgifter som fåtts med stöd av punkten kan jämföras med andra personuppgifter som polisen behandlar på det sätt som beskrivs i regeringspropositionen RP 168/2014. Efter jämförelsen förstörs uppgifterna, om det inte finns sådana grunder för att registrera uppgifterna i något annat polisregister som med avseende på brottsbekämpningen uppfyller registreringsvillkoren i dessa register (RP 168/2014 rd, s. 7—8).
För tydlighetens skull föreslås i 15 punkten om passageraruppgifter en informativ hänvisning till den föreslagna lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet (RP 55/2018 rd), där det föreskrivs om polisens rätt att få uppgifter ur flygtrafikens passagerarregister. PNR-direktivet och dess föreslagna genomförandelag begränsar inte en sådan rätt att få information eller behandling av uppgifter som grundar sig på annan lagstiftning och inte heller utbytet av uppgifter om passagerare i utrikestrafiken, utan ålägger lufttrafikföretagen en preciserad skyldighet att lämna ut information.
I 2 mom. föreskrivs på motsvarande sätt som i 13 § 3 mom. i den gällande lagen om polisens rätt att få de uppgifter som avses i 1 mom. avgiftsfritt, om inte något annat föreskrivs i lag.
I 3 mom. föreskrivs en skyldighet för polisen att ge den personuppgiftsansvarige som lämnat personuppgifterna information om behandlingen av de personuppgifter polisen fått. Bestämmelsen motsvarar till denna del med undantag av en ändring av ordalydelsen 13 § 4 mom. i den gällande lagen. Paragrafen innehåller dock inte skyldighet för polisen i enlighet med 13 § 4 mom. i den gällande lagen att utan dröjsmål granska om uppgifterna behövs för det ändamål för vilket de har lämnats ut i det fallet att personuppgifter har lämnats ut utan begäran. Bestämmelser om den personuppgiftsansvariges skyldighet att behandla endast ändamålsenlig och behövliga personuppgifter samt skyldighet att radera onödiga personuppgifter utan obefogat dröjsmål finns i dataskyddsförordningen och dataskyddslagen avseende brottmål.
Med stöd av sin rätt att få uppgifter får polisen med tanke på ändamålen med behandlingen enligt 2 kap. vid behov genom automatisk jämförelse klarlägga behovet av de personuppgifter som polisen fått. Obehövliga uppgifter ska i enlighet med 6 § i dataskyddslagen avseende brottmål raderas utan obefogat dröjsmål.
Den föreslagna 16 § medför inte ovillkorlig rätt för polisen att få de i momentet avsedda uppgifterna, utan vid genomförandet av rätten att få information ska också andra villkor för utlämnande av uppgifter som föreskrivs någon annanstans i lag beaktas.
17 §. Uppgifter som andra myndigheter lämnar ut till polisen genom registrering via direkt anslutning eller för registrering som en datamängd. I paragrafen föreskrivs om utlämnande av personuppgifter till polisen genom direkt anslutning eller som en datamängd. Förteckningen i 1 mom. motsvarar i huvudsak förteckningen i 14 § 1 mom. i den gällande lagen.
I momentet införs som en ny 1 punkt skyddspolisen, vars informationsutbyte med andra polisenheter genom teknisk anslutning eller som en datamängd i fortsättningen grundar sig på bestämmelserna om utlämnade av information och rätt att få uppgifter i 3, 4 och 7 kap. i denna lag. Skyddspolisen får till polisens personregister lämna ut uppgifter som behövs för skötseln av andra polisenheters uppgifter också genom registrering vid direkt anslutning eller för registrering som en datamängd i enlighet med vad som avtalas med den personuppgiftsansvarige. I den gällande lagen finns inte någon motsvarande bestämmelse, eftersom de personregister som inrättats för polisens riksomfattande bruk enligt 15 § i den gällande lagen får användas av polisenheterna, med undantag av Polisyrkeshögskolan. Den föreslagna 1 punkten är en del av de ändringar som föreslås i lagförslaget, genom vilken skyddspolisens ändrade ställning som en polisenhet underlydande inrikesministeriet beaktas. Skyddspolisen får till polisens personregistergenom genom direkt anslutning eller som en datamängd lämna ut de personuppgifter som den också annars i enlighet med 7 kap. får lämna ut till polisen.
I 2 punkten beaktas rätten för Rättsregistercentralen att till polisens personregister lämna ut uppgifter som gäller sådana skyddsåtgärder som avses i lagen om tillämpning av Europaparlamentets och rådets förordning om ömsesidigt erkännande av skyddsåtgärder i civilrättsliga frågor. Bestämmelser om behandlingen av dessa uppgifter finns i 47 a § i den gällande lagen. I sak motsvarar 2 punkten den gällande regleringen.
I 2 mom. åläggs i överensstämmelse med 16 § en skyldighet att ge den personuppgiftsansvarige som lämnat personuppgifterna information om behandlingen av uppgifterna. Momentet motsvarar till denna del med undantag av en ändring av ordalydelsen bestämmelsen i 14 § 2 mom. i den gällande lagen. Paragrafen innehåller dock inte skyldighet för polisen i enlighet med 14 § 2 mom. i den gällande lagen att utan dröjsmål granska om uppgifterna behövs för det ändamål för vilket de har lämnats ut i det fallet att personuppgifter har lämnats ut utan begäran. Det föreskrivs om den personuppgiftsansvariges skyldighet att behandla endast adekvata och behövliga personuppgifter samt om skyldigheten att obehövliga personuppgifter ska raderas utan obefogat dröjsmål i dataskyddsförordningen och dataskyddslagen avseende brottmål.
18 §.Europeiska unionens informationssystem för viseringar. I paragrafen förskrivs om rätten att genom en teknisk anslutning få uppgifter ur Europeiska unionens informationssystem för viseringar. Paragrafens 1 mom. gäller mottagande av uppgifter för utförande av en uppgift enligt utlänningslagen. Paragrafens 2 mom. gäller polisens rätt att få uppgifter i syfte att utreda terroristbrott och andra allvarliga brott. Bestämmelserna är informativa till sin karaktär och motsvarar till sitt innehåll 42 § i den gällande lagen.
19 §.Vite. Genom bestämmelsen ersätts regleringen i 13 § 2 mom. i den gällande lagen, enligt vilken polisen kan ålägga samfund och sammanslutningar att inom en rimlig tid lämna uppgifter ur register som gäller passagerare och fordons personal, för förhindrande, avslöjande och utredning av brott, för överlämnande till åtalsprövning samt för att nå efterlysta personer. Polisen har på samma sätt som enligt 13 § 1 mom. i den gällande lagen befogenhet att i enlighet med villkoren i paragrafen förena åläggandet med vite.
Bestämmelser om vite tillämpas inte på passageraruppgifter som avses i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet (RP 55/2018 rd). För brott mot skyldigheten att överföra PNR-uppgifter påförs en påföljdsavgift i enlighet med bestämmelserna i den föreslagna lagen.
20 §.Behandling av personuppgifter som erhållits i internationellt samarbete. Innehållet i bestämmelsen motsvarar i delvis 31 § i den gällande lagen. Det föreslås att 31 § 3—5 mom. i den gällande lagen dock slopas som obehövliga, eftersom de i momenten föreskrivna kraven ingår i dataskyddslagen avseende brottmål. Den föreslagna 20 § gäller enbart behandling av personuppgifter som fåtts från ett tredjeland eller en internationell organisation eller myndighet.
I 1 mom. föreskrivs, på samma sätt som i 31 § 1 mom. i den gällande lagen, om sekretess och tystnadsplikt samt om skyldighet att iaktta de begränsningar i fråga om användningen av personuppgifterna som den som lämnat ut uppgifterna ställt. Huvudregeln i momentet har till syfte att säkerställa förtroendet inom internationellt samarbete. I 2 mom. föreskrivs om möjligheten att använda de mottagna personuppgifterna för andra ändamål än det ursprungliga när inga sådana begräsningar som avses i 1 mom. har meddelats. Den strängare bestämmelsen om användningen av uppgifter för andra ändamål med behandlingen än det ursprungliga som finns i 31 § 2 mom. i den gällande lagen grundar sig på EU:s upphävda dataskyddsrambeslut och gäller alla personuppgifter som fåtts från andra stater eller internationella organ, även behandlingen av personuppgifter som fåtts från andra EU-stater. Det föreslås att momentet justeras så att personuppgifter som fåtts från ett tredjeland eller en internationell organisation eller myndighet får behandlas för andra ändamål med behandlingen än det ursprungliga under de förutsättningar som föreslås i 13 § 1 mom. På behandlingen av personuppgifter som fåtts från en annan EU-stat i situationer som avses i 31 § 2 mom. i den gällande lagen tillämpas i framtiden dataskyddslagen avseende brottmål.
4 kap. Utlämnande av personuppgifter
I kapitlet föreskrivs om sådant utlämnande av personuppgifter till andra myndigheter som sker med hjälp av teknisk anslutning eller som en datamängd, utlämnande av uppgifter via det allmänna datanätet samt utlämnande av personuppgifter till privata sammanslutningar eller näringsidkare via e-tjänster. I kapitlet ingår också bestämmelser i anknytning till internationellt informationsutbyte.
Till den del det är fråga om behandling som hör till tillämpningsområdet för dataskyddsdirektivet och direktivets genomförandelag tillämpas som allmän författning 7 kap. i dataskyddslagen avseende brottmål på utlämnande av personuppgifter till tredjeländer och internationella organisationer. Det föreslagna 4 kap. innehåller de behövliga kompletterande bestämmelserna i fråga om utlämnande av uppgifter till tredjeländer och internationella organisationer. I kapitlet föreskrivs också om utlämnande av uppgifter till brottsbekämpande myndigheterna i Europeiska unionens medlemsstater. Dessutom beaktas i kapitlet på samma sätt som i 6 kap. i den gällande lagen de datasystem som gäller i hela EU som de brottsbekämpande myndigheterna kan använda sig av. I fråga om bestämmelserna om utlämnande av personuppgifter i anknytning till internationellt polissamarbete föreslås inga betydande ändringar i innehållet jämfört med de reformerade bestämmelserna i den gällande lagen som trädde i kraft genom lagändringen 2013.
Det föreslagna 4 kap. innehåller också bestämmelser om utlämnande av personuppgifter inom tillämpningsområdet för dataskyddsförordningen. Till denna del gäller regleringen de särskilda bestämmelser som avses i artikel 6 genom vilka tillämpningen av bestämmelserna i förordningen anpassas. De särskilda bestämmelserna kan enligt artikel 6 gälla också utlämnandet av personuppgifter.
Personuppgifter kan enligt bestämmelserna i 4 kap. lämnas ut trots sekretessbestämmelserna. När uppgifter lämnas ut ska dock i alla situationer beaktas de bestämmelser som gäller skyddet för personuppgifter. På utlämnandet av personuppgifter i enskilda fall (annars än genom en teknisk anslutning eller som en datamängd) ska på samma sätt som nu tillämpas sekretessbestämmelserna i 7 kap. i polislagen samt kompletterande lagstiftningen om personuppgifter när det gäller utlämnande av personuppgifter till tredjeland eller internationella organisationer.
21 §.Utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål. I paragrafen föreskrivs om utlämnande av personuppgifter till en i dataskyddslagen avseende brottmål avsedd behörig myndighet för sådana ändamål med behandlingen som ingår i den nämnda lagens tillämpningsområde. Dataskyddslagen avseende brottmål ska i enlighet med 1 § 1 i den nämnda lagen tillämpas på behandling av personuppgifter som utförs av polisen, åklagarna, de allmänna domstolarna, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter, när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åtalsprövning och annan åklagarverksamhet i samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av brott mot den allmänna säkerheten i samband med annan verksamhet än sådan som avses i 1 § 1 mom.
Lagen ska tillämpas utifrån den nationella lösningen i enlighet med dess 1 § 2 mom. också när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten.
Till de behöriga myndigheter som avses i paragrafen hör skyddspolisen, till vilken uppgifter kan lämnas ut för det ändamål som föreskrivs i 48 §, dvs. för skötseln av skyddspolisens lagstadgade uppgifter. I de personuppgifter som får lämnas ut ingår personuppgifter som behandlas för de uppgifter som avses i 1 kap. 1 § 1 mom. i polislagen, för vilkas del det är fråga om utlämnande av uppgifter för ett ändamål med behandlingen som motsvarar det ursprungliga. Exempelvis i fråga om identifieringsuppgifter för utlänningar som registreras i polisens register med stöd av 131 § i utlänningslagen är det fråga om utlämnade av uppgifter för det ursprungliga ändamålet med behandlingen uppgifterna som definieras i utlänningslagen. Dessutom får till skyddspolisen med stöd av bestämmelsen också lämnas ut andra personuppgifter som behandlas för skötseln av polisens övriga uppgifter, t.ex. uppgifter i anknytning till tillståndsförvaltning. Trots att skyddspolisen inte längre är en enhet under Polisstyrelsen är den fortfarande en polisenhet och dess rättighet att behandla de personuppgifter som ingår i polisens register måste tryggas. Skyddspolisens behov av samarbete med den övriga polisen för att skydda den nationella säkerheten har i den befintliga säkerhetspolitiska miljön ytterligare betonats.
I paragrafen beaktas dessutom utlämnande av personuppgifter till Tullen och Gränsbevakningsväsendet för behandlingsändamål som gäller att förebygga, avslöja och utreda brott samt föra brott till åtalsprövning på det sätt som avses i 1 § 1 mom. i dataskyddslagen avseende brottmål.
Bestämmelsen gör det också möjligt att lämna ut personuppgifter till Gränsbevakningsväsendet i situationer som avses i 1 § 2 mom. i dataskyddslagen avseende brottmål. Uppgifter kan därmed lämnas till Gränsbevakningsväsendet också för uppdrag som avses i 3 § 2 och 3 mom. i gränsbevakningslagen, vilka anknyter till skyddet av den nationella säkerheten. På motsvarande sätt får personuppgifter lämnas ut också till Försvarsmakten samt för ändamål med behandlingen som avses i 1 § 2 mom. i dataskyddslagen avseende brottmål. Till Försvarsmakten får uppgifter lämnas ut i synnerhet för förordnande av en värnpliktig till utbildning och en uppgift samt för anordnade av tjänstgöring, förordnande till krishanteringsuppdrag och anordnande av krishanteringstjänstgöring, skötsel av uppdrag inom militär underrättelseinhämtning, skötsel av territorialövervakningsuppgifter, skötsel av sådana förundersökningsuppgifter och uppgifter för förebyggande och avslöjande av brott som avses i lagen om militär disciplin och brottsbekämpning inom försvarsmakten (255/2014) samt för befordran till militär grad och belöning.
I momentet beaktas dessutom övriga behöriga myndigheter som omfattas av tillämpningsområdet för direktivets genomförandelag. I fråga om dessa myndigheter får personuppgifter lämnas ut för ändamål som föreskrivs i 1 § 1 mom. dataskyddslagen avseende brottmål. Till denna del motsvarar situationerna med utlämnande av uppgifter i huvudsak 19 § 12 och 14 punkten i den gällande lagen.
Personuppgifter får lämnas ut genom en teknisk anslutning eller som en datamängd till de myndigheter som avses i paragrafen. I de situationer som avses i paragrafen är utlämning av uppgifter genom en teknisk anslutning i praktiken huvudregel. Bestämmelsen är ny och mer allmänt formulerad än den gällande lagen, men i praktiken innebär den inga förändringar jämfört med nuläget.
Personuppgifter som hör till särskilda kategorier av personuppgifter får behandlas i enlighet med den tröskel för behandling som föreskrivs i 11 § endast om det är nödvändigt med tanke på ändamålet med behandlingen.
22 §.Övrigt utlämnande av personuppgifter till myndigheter. I paragrafen föreskrivs om utlämnande av personuppgifter genom en teknisk anslutning eller som en datamängd för andra ändamål med behandlingen än de som hör till tillämpningsområdet för dataskyddslagen avseende brottmål. Paragrafen innehåller bestämmelser om lämnande av personuppgifter till de behöriga myndigheter som avses i dataskyddslagen avseende brottmål för sådana ändamål med behandlingen på vilka den nämnda lagen inte tillämpas.
I 1 mom. räknas de myndigheter upp till vilka polisen får lämna ut personuppgifter genom en teknisk anslutning. I momentet föreskrivs också om de ändamål med behandlingen av personuppgifter för vilka personuppgifter får lämnas ut. Bestämmelserna motsvarar till sitt innehåll i huvudsak 19 § i den gällande lagen, med undantag för vissa preciseringar.
Förteckningen i det föreslagna 1 mom. är inte uttömmande och begränsar inte tillämpningen av bestämmelser någon annanstans i lag i fråga om utlämnande av eller rätt att få uppgifter. Rätten att lämna ut uppgifter i enlighet med paragrafen kräver å andra sidan heller inte att det i lagstiftningen för den mottagande myndigheten föreskrivs om motsvarande rätt att få information, utan uppgifter kan lämnas ut med stöd av den föreslagna 22 § också utan att det någon annanstans i lag har föreskrivits om rätt för mottagaren att få uppgifter. När polisen lämnar ut eller får personuppgifter genom en teknisk anslutning ska det dock, i enlighet med grundlagsutskottets ställningstaganden, alltid föreskrivas om detta i lag.
När uppgifter lämnas ut ska det alltid bedömas vilka uppgifter som behövs för skötseln av mottagarens lagstadgade uppgifter och om hanteringen av de uppgifter som ska lämnas ut eventuellt är föremål för begräsningar i enlighet med bestämmelser någon annanstans i lag. Paragrafen möjliggör alltså inte ett obegränsat utlämnande av alla personuppgifter som polisen behandlar för vilket ändamål med behandlingen som helst som nämns i paragrafen.
På utlämnande av personuppgifter till andra myndigheter i enskilda fall (annat än genom en teknisk anslutning eller som datamängd) tillämpas också i framtiden i stället för första lagförslaget bestämmelserna om utlämnande av sekretessbelagd information till myndigheter eller sammanslutningar som sköter offentliga uppdrag i 7 kap. 2 § i polislagen. Offentliga uppgifter får dessutom lämnas ut till andra myndigheter också som datamängd även i andra fall än de som avses i 22 § 1 mom. Också vid situationer med sådant utlämnande ska dock bestämmelserna om skydd för personuppgifter beaktas.
I 2 mom. ingår en begränsningsbestämmelse, med stöd av vilken biometriska uppgifter som behandlas för utförande av de uppgifter som föreskrivs i lagen om identitetskort och passlagen trots sekretessbestämmelserna får lämnas ut endast till vissa myndigheter som avses i momentet för styrkande av identitet och konstaterande av ett dokuments äkthet, när det behövs för behandling av ärenden som gäller en persons inresa, vistelse i landet eller utresa. Bestämmelsen motsvarar begräsningen om utlämnande av fingeravtrycksuppgifter i pass i 19 § 2 mom. i den gällande lagen, men den utvidgas till att gälla också andra biometriska uppgifter i lagen om identitetskort och passlagen. Begränsningen gäller inte t.ex. utlämnande av ansiktsbild i situationer då uppgifterna inte behandlas i biometrisk form.
I paragrafens 3 mom. föreskrivs om en högre tröskel för utlämnande av uppgifter som hör till särskilda kategorier av personuppgifter. Uppgifter får endast lämnas ut när det är nödvändigt för att genomföra en uppgift som myndigheten enligt lag ska sköta.
I 4 mom. föreskrivs om skyldigheten för mottagaren av personuppgifterna att för den personuppgiftsansvarige lägga fram en tillförlitlig utredning om att de skyddas på behörigt sätt.
I 5 mom. föreskrivs att kvaliteten på de uppgifter som lämnas ut om möjligt ska bekräftas och uppgifterna vid behov förses med information som gör det möjligt för mottagaren att bedöma hur korrekta, fullständiga, aktuella och tillförlitliga uppgifterna är. Mottagaren ska utan dröjsmål meddelas också om det framgår att felaktiga uppgifter har lämnats ut eller att uppgifter lämnats ut i strid med lag. Med kraven strävar man efter att garantera möjligheterna för både den personuppgiftsansvarige och den som tar emot informationen att personuppgifterna behandlas på det sätt som dataskyddslagstiftningen kräver. När uppgifter lämnas ut ska den personuppgiftsansvarige även ta hänsyn till de särskilda villkoren för behandling av personuppgifter, som grundar sig på dataskyddslagen avseende brottmål eller dataskyddsförordningen. Dessa är bl. a. begräsningar i fråga om användningen av personuppgifter som fåtts från en annan myndighet eller stat och om vilka det ska göras en anteckning.
23 §.Utlämnande av personuppgifter via det allmänna datanätet. I paragrafen föreskrivs om polisens rätt att lämna ut personuppgifter via det allmänna datanätet. Uppgifterna kan trots bestämmelserna i 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet lämnas vid de situationer som avses i den föreslagna paragrafen.
Paragrafens 1 mom. är i förhållande till den gällande lagen en ny paragraf. Med stöd av den föreslagna bestämmelsen får polisen för att allmänheten ska kunna underrättas och för att tips från allmänheten ska kunna fås via det allmänna datanätet lämna ut personuppgifter i situationer när uppgifterna behövs för att brott ska kunna förebyggas, egendom ska kunna återställas till ägaren eller av skäl som har samband med utredningen. Jämfört med 19 § i den gällande lagen får uppgifter lämnas ut i fler situationer, men sättet som uppgifterna lämnas ut på avgränsas på motsvarande sätt som i fråga om garantin för privatlivet till enskilda sökningar. Polisen får lämna ut personuppgifter med stöd av 1 mom. endast så att uppgifterna kan sökas via en tjänst i det allmänna datanätet i enlighet med på förhand definierade sökvillkor.
Med stöd av bestämmelsen kan t.ex. uppgifter om huruvida viss egendom har anmälts stulen lämnas ut på polisens webbplats. Möjligheten att kontrollera stulen egendom ur på förhand fastställda egendomskategorier, bl.a. cyklar, betjänar medborgarna och förhindrar att stulen egendom säljs, vilket inverkar på själva brottsvolymen. Grundlagsutskottet har i sina utlåtanden (GrUU 2/2017 och de utlåtanden som nämns där) tolkat avgränsningen till enskilda sökningar som ett ändamålsenligt sätt att skydda utlämnandet av uppgifter via det allmänna datanätet.
I 2 mom. föreskrivs om polisens rätt att annat än som enskilda sökningar lämna personuppgifter via det allmänna datanätet för att allmänheten ska kunna underrättas och tips från allmänheten ska kunna fås. Syftet med bestämmelsen är att göra information om brott möjlig på polisens webbplats på motsvarande sätt som i 19 a § i den gällande lagen. Via det allmänna datanätet får utlämnas endast personuppgifter som motsvarar de uppgifter om informationsförmedling som avses i 2 § 3 mom. 8 punkten och som måste tillkännages särskilt på grund av grund av att saken är brådskande, att det är fråga om en farosituation, för att brott ska kunna förebyggas, egendom ska kunna återställas till ägaren eller av skäl som har samband med en utredning. Utlämnandet av uppgifterna har begränsats snävare än i 1 mom., eftersom det utlämnade av uppgifter som görs med stöd av momentet inte föreslås vara begränsat till enskilda sökningar. Med stöd av momentet kan t.ex. uppgifter om försvunna personer eller okända avlidna samt uppgifter som sådana brott som man särskilt behöver informera om lämnas ut. Personuppgifter som lämnas ut via det allmänna datanätet ska dock begränsas så långt det är möjligt.
24 §.Utlämnande av personuppgifter till privata sammanslutningar eller näringsidkare via e-tjänster. Bestämmelsen är ny. I paragrafen föreskrivs om utlämnade av personuppgifter i anslutning till giltighet av tillstånd en privat sammanslutning eller en näringsidkare, om uppgifterna är nödvändiga för utförande av en uppgift som i lag föreskrivs för sammanslutningen eller näringsidkaren i fråga. I tillstånd ingår alla tillstånd och godkännanden, inklusive resedokument, i fråga om vilka polisen behandlar uppgifterna för de ändamål som föreskrivs i 11 §. Sättet för utlämnandet av uppgifterna avgränsas så att uppgifterna endast fås som enskilda sökningar. Grundlagsutskottet har tolkat denna avgränsning som ett ändamålsenligt sätt att skydda utlämnande av uppgifter via det allmänna datanätet. I paragrafen är det inte fråga om att lämna ut uppgifter till allmänheten utan att via en e-tjänst lämna ut uppgifter till en grupp mottagare som begränsas med hjälp av kontroll av användarrättigheterna. Den föreslagna avgränsningen till enskilda sökningar fungerar som en garant för skyddet av uppgifterna och en skyddsåtgärd som säkerställer att skyddet för personlig integritet tillgodoses.
De privat sammanslutning eller en näringsidkare som är mottagare av uppgifterna definieras inte i paragrafen, utan mottagarna avgränsas utifrån de uppgifter som föreskrivs någon annanstans i lag. Behovet av att kontrollera tillstånds giltighetstid anknyter i huvudsak till situationer då den som tar emot uppgifterna kontrollerar ett tillstånds giltighet vid skötseln av ett ärende som sker på den registrerades initiativ.
Uppgifter kan lämnas ut med stöd av paragrafen t.ex. till en vapennäringsidkare för att uppfylla anmälningsskyldigheten enligt 42 c § i skjutvapenlagen. Vapennäringsidkaren kompletterar ett tillstånd med identifieringsuppgifter för ett vapen eller en vapendel via den elektroniska tjänsten, om vapnet eller vapendelen köps av en vapennäringsidkare i enlighet med 20 § i skjutvapenlagen. I samband med överlåtelsen meddelar vapennäringsidkaren genom att använda stark autentisering identifieringsuppgifterna till polisens vapenregistersystem med hjälp av den elektroniska tjänsten. De vapen, vapendelar och effektiva luftvapen som vapennäringsidkaren har är antecknade i polisens vapenregistersystem och genom den elektroniska anmälan som görs om överlåtelsen av dem överförs identifieringsuppgifterna till förvärvarens vapentillstånd. I samband med den elektroniska anmälan kompletterar vapennäringsidkaren tillståndets uppgifter med skjutvapnets eller vapendelens identifieringsuppgifter (RP 266/2016 rd, s. 41).
Till de situationer som avses i paragrafen hör också utlämnande av sådan information om giltighet för pass eller identitetskort till leverantörer av identifieringstjänster som föreskrivs i 7 b § i lagen om stark autentisering och betrodda elektroniska tjänster. Paragrafen gör det möjligt att lämna ut uppgifter också i andra situationer där det är nödvändigt att kontrollera giltigheten för ett tillstånd på grund av skötseln av uppgifter som föreskrivits för en privat sammanslutning eller enskild person. Den personuppgiftsansvarige har alltid prövningsrätt och paragrafen innebär därför inte någon skyldighet för polisen att lämna ut personuppgifter.
25 §.Utlämnande av personuppgifter till brottsbekämpande myndigheter i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet. I paragrafens 1 mom. beaktas den s.k. tillgänglighetsprincipen för uppgifter, enligt vilken personuppgifter och andra uppgifter ska vara tillgängliga för de brottsbekämpande myndigheterna i andra medlemsstater i EU och stater som hör till Europeiska ekonomiska samarbetsområdet på samma villkor som de är tillgängliga för polisen för förebyggande, avslöjande och utredning av brott.
I 2 mom. föreskrivs om utlämnande av personuppgifter till Eurojust som inrättats för att stärka kampen mot grov brottslighet och till andra institutioner som inrättats med stöd av fördraget om Europeiska unionens funktionssätt. Till sådana andra institutioner som avses i momentet hör utöver Eurojust också t.ex. Europeiska byrån för bedrägeribekämpning.
I 3 mom. preciseras att uppgifterna i de situationer som avses i 1 och 2 mom. får lämnas ut också som en datamängd.
Innehållsmässigt motsvarar bestämmelsen i huvudsak 29 § i den gällande lagen. I den gällande lagen är utlämnande av uppgifter till de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater stater och som hör till Europeiska ekonomiska samarbetsområdet emellertid till vissa delar strängare begränsat än polisens möjligheter att behandla personuppgifter för andra ändamål med behandlingen än det ursprungliga. Uppgifter får därmed med stöd av den föreslagna bestämmelsen i vissa situationer lämnas ut i en vidare omfattning än enligt den gällande regleringen. Utvidgningen gäller t.ex. utlämnande av personuppgifter som samlats in för skötseln av de uppgifter som föreskrivs i 1 kap. 1 § 2 mom. i polislagen. En mer omfattande möjlighet att lämna ut uppgifter innebär på grund av tillgänglighetsprincipen också större möjligheter för polisen att behandla uppgifterna för andra ändamål än de ursprungliga, som det föreslås i 13—15 §. Uppgifterna får lämnas ut också som en datamängd. Polismyndigheterna i EU:s medlemsstater använder en skyddad kanal för informationsutbytet.
I 4 mom. ingår en informativ hänvisning till lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet för att säkerställa att rambeslutet har genomförts korrekt i fråga om utlämnandet av personuppgifter. Lagen om genomförande av rambeslutet är en specialförfattning i förhållande till lagförslaget.
26 §.Utlämnande av personuppgifter ur det nationella systemet inom Schengens informationssystem. I paragrafen föreskrivs om utlämnande av personuppgifter ur det nationella systemet inom Schengens informationssystem. Bestämmelsen är informativ och motsvarar 35 § i den gällande lagen.
27 §.Utlämnande av personuppgifter till stater som använder Schengens informationssystem och till Schengens informationssystem. I paragrafen föreskrivs om polisens rätt att lämna ut personuppgifter till behöriga myndigheter i Schengenstater och för registrering i Schengens informationssystem. Bestämmelsen är av informativ karaktär och motsvarar för polisens del 36 § i den gällande lagen, där det föreskrivs om rätten för alla behöriga Schengenmyndigheter att lämna ut uppgifter. Med beaktande av lagens tillämpningsområde avgränsas bestämmelsen dock så att den gäller endast polisens rätt att lämna ut uppgifter.
I paragrafen föreslås det dessutom att tilläggsinformationen ska lämnas ut genom förmedling av centralkriminalpolisen som fungerar som Sirenekontor. Centralkriminalpolisens roll som det Sirenekontor som avses i författningsgrunden för Schengens informationssystem har beaktats i den gällande lagen i 32 § om definitionerna i anknytning till internationellt samarbete.
28 §.Utlämnande av personuppgifter till Europol. Paragrafen innehåller en informativ hänvisning till Europolförordningen och lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning, som kompletterar förordningen.
29 §.Utlämnande av personuppgifter till Eurodacsystemet. Paragrafen motsvarar 39 § i den gällande lagen, som är en informativ bestämmelse, men rättsaktshänvisningarna uppdateras så att de motsvarar ändringarna i EU-lagstiftningen. Det i rådets förordning (EG) nr 2725/2000 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen avsedda Eurodacsystemets användningsändamål i fråga om uppgifterna utvidgades genom Europaparlamentets och rådets förordning (EU) nr 603/2013 (Eurodacförordningen), som började tillämpas den 20 juli 2015. Förordningen gör det möjligt att använda fingeravtryck registrerade i Eurodacsystemet för brottsbekämpande ändamål vid bekämpning av terroristbrott och andra allvarliga brott. I paragrafen föreslås dessutom en bestämmelse om att centralkriminalpolisen är den nationella den utsedda myndigheten för brottsbekämpande ändamål som avses i artikel 5.1 i Eurodacförordningen.
30 §.Utlämnande av personuppgifter med stöd av Prümfördraget och Prümrådsbeslutet. Genom bestämmelsen genomförs bestämmelserna i Prümfördraget och Prümrådsbeslutet till den del det gäller utlämnande av personuppgifter i anslutning till utredning av brott med stöd av dessa.
I paragrafens 1 mom. föreskrivs om en s.k. sökträff i anknytning till DNA-uppgifter, fingeravtryckuppgifter och fordonsregisteruppgifter. I fråga om dessa uppgifter använder medlemsstaterna i EU ett decentraliserat system där polisen kan söka träffar i referensuppgifterna i det aktuella registret i en annan medlemsstat.
I 2 mom. föreslås en informativ bestämmelse som preciserar de bestämmelser som ska tillämpas på utbytet av personuppgifter efter en i 1 mom. avsedd träff. Bestämmelsen är ny och syftet med den är att göra förhållandet mellan Prümfördraget och annan lagstiftning tydligare. Enligt rådets beslut 2008/615/RIF får de brottsbekämpande myndigheterna i medlemsstaterna avgöra förfarandet och kanalen för informationsutbytet, varför en precisering av dem genom en hänvisningsbestämmelse på lagnivå är ändamålsenlig. Syftet är att på detta sätt garantera ett effektivt genomförande av både Prümfördraget och Prümrådsbeslutet samt av rådets rambeslut 2006/960/RIF.
Den informativa bestämmelsen om behandling av uppgifter som grundar sig på Prümfördraget och Prümrådsbeslutet i 40 § i den gällande lagen föreslås i fråga om utplåning av logguppgifter och övervakningsuppgifter bli flyttad till 5 kap. och bestämmelsen om den registrerades granskningsrätt föreslås bli beaktad i 6 kap.
31 §.Övrigt utlämnande av personuppgifter till utlandet. På utlämnande av personuppgifter till tredjeländer och internationella organisationer tillämpas bestämmelserna i kapitel V i dataskyddsförordningen samt i 7 kap. i dataskyddslagen avseende brottmål. Paragrafen innehåller dock vissa preciserande bestämmelser om utlämnande av uppgifter till utlandet.
I 1 mom. finns en bestämmelse i fråga om personuppgifter som omfattas av tillämpningsområdet för dataskyddslagen avseende brottmål, som ger polisen rätt att trots sekretessbestämmelserna lämna ut personuppgifter.
I 2 och 3 mom. föreskrivs dessutom kompletterande om vissa specialsituationer i anslutning till visst utlämnande av personuppgifter.
Enligt 2 mom. 1 punkten får polisen lämna ut personuppgifter till de behöriga myndigheter som avses i internationella avtal eller andra arrangemang som gäller återtagande av personer som olagligen kommit in och vistas i landet för utförande av de uppgifter som avses i de internationella avtalen eller arrangemangen. Punkten motsvarar i huvudsak 30 § 4 mom. i den gällande lagen. Till punkten fogas också ett omnämnande om andra arrangemang för återtagande för situationer när en person återsänds till en stat med vilken Finland inte har en överenskommelse om återtagande.
I 2 punkten föreskrivs om utlämnande av nödvändiga personuppgifter till de myndigheter som ansvarar för vapentillsynen i en annan stat. Bestämmelsen motsvarar 30 § 3 mom. i den gällande lagen, men gäller också utlämnande av uppgifter till myndigheterna i EU:s medlemsstater. Bestämmelsen inbegriper också sådant utbyte av information som avses i artikel 13.4 i Europaparlamentets och rådets direktiv (EU) 2017/853 om ändring av rådets direktiv 91/477/EEG om kontroll av förvärv och innehav av vapen (nedan vapendirektivet). Enligt artikel 13.4 i vapendirektivet ska medlemsstaternas behöriga myndigheter på elektronisk väg utbyta information om tillstånd som beviljats för överföring av skjutvapen till en annan medlemsstat samt information om avslag på ansökningar om tillstånd av säkerhetsskäl eller med avseende på den berörda personens pålitlighet.
I 3 mom. finns en begränsningsbestämmelse som gäller utlämnande av biometriska uppgifter som behandlas för utförande av de uppgifter som föreskrivs i lagen om identitetskort och passlagen. Bestämmelsen motsvarar till sitt innehåll 30 § 3 mom. i den gällande lagen, som gäller utlämnande av fingeravtrycksuppgifter i pass, men bestämmelsen utvidgas att utöver fingeravtryck också gälla biometriska uppgifter. Uppgifterna får lämnas ut endast för de ändamål som föreskrivs i 14 § 2 mom. Genom den föreslagna bestämmelsen beaktas de strängare krav på behandling av biometriska uppgifter som ställs i EU:s dataskyddslagstiftning.
I 4 mom. preciseras att uppgifterna i situationer som avses i 1 och 2 mom. får lämnas ut också som en datamängd.
32 §.Beslut om utlämnande av uppgifter. I paragrafen föreskrivs det om beslut som gäller rätten att lämna ut uppgifter ur polisens personregister som en datamängd eller genom en teknisk anslutning samt om rätten för de myndigheter som avses i 3 kap. att på detta sätt lämna ut personuppgifter till polisens informationssystem (1 mom.).
När uppgifter lämnas ut genom en teknisk anslutning är det svårare för den personuppgiftsansvarige att övervaka hur personuppgifterna skyddas och används. Avtal om utlämnande av uppgifter genom en teknisk anslutning ska liksom nu alltid göras upp särskilt mellan den personuppgiftsansvarige och den som lämnar ut eller tar emot uppgifter. Bestämmelserna i det föreslagna 4 kap. medför på så sätt inte i sig exempelvis rätt för en mottagare att få polisens personuppgifter genom en teknisk anslutning utan ett särskilt beslut. Beslutet om utlämnandet av uppgifter ska fattas av den personuppgiftsansvarige eller den polisenhet som den personuppgiftsansvarige har förordnat till uppgiften. Den personuppgiftsansvarige kan i varje enskilt fall separat bedöma om det är motiverat att öppna den tekniska anslutningen.
Enligt 2 mom. ska uppgifternas art beaktas på samma sätt som enligt 20 § 2 mom. i den gällande lagen, när beslut om utlämnande fattas.
5 kap. Radering och arkivering av personuppgifter
Enligt artikel 5.1 e i dataskyddsförordningen och artikel 4.1 e i dataskyddsdirektivet får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. I kapitlet föreskrivs om de maximala bevaringstiderna för personuppgifter. Bestämmelserna i kapitlet begränsar inte tillämpningen av bestämmelser om radering av uppgifter eller bedömning av behövlighet någon annanstans i lag, utan de raderingstider som nämns i kapitlet ska iakttas ifall inte någon annan bestämmelse förutsätter att uppgifterna ska raderas redan tidigare.
33 §.Radering av personuppgifter som anknyter till brottmål. Genom paragrafen ersätts de bestämmelser i 22 § i den gällande lagen som gäller utplåning av uppgifter som anknyter till förundersökning av brott och signalementsuppgifter. Det föreslås inga stora ändringar i förvaringstiderna för personuppgifter jämfört med lagändringen 2013. Det föreslås dock att bestämmelserna om radering av uppgifter ytterligare ska förenklas och förtydligas. I förslaget har också beaktats de ändringsbehov som den nya dataskyddslagstiftningen kräver.
Utöver radering av uppgifter om brottsanmälningar och signalementsuppgifter föreskrivs i den föreslagna 33 § även om radering av andra personuppgifter som anknyter till brottmål. Med personuppgifter som anknyter till brottmål avses alla personuppgifter som inhämtats för förundersökningsändamål och för vilka det är ändamålsenligt att ha raderingstider som överensstämmer med raderingstiderna för uppgifter som gäller brottsanmälningar. Exempelvis efterlysningsuppgifter i anslutning till undersökningssyften samt uppgifter om informationsförmedling som behandlas för att allmänheten ska kunna underrättas och för att tips från allmänheten ska kunna fås får eller för att rikta undersökningsmyndigheters övervakning ska framöver raderas med iakttagande av bevaringstiden för det brottmål till vilket uppgifterna ansluter sig. Bevaringstiderna ska alltjämt vara beroende av hur grov gärningen är. I bestämmelsen beaktas även att minderåriga som gjort sig skyldiga till brott är i en mera sårbar ställning.
Enligt paragrafens 1 mom. ska uppgifterna i ett brottmål raderas 5 år efter att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till böter eller till ett fängelsestraff på högst ett år, 10 år efter att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på högst fem år och 20 år efter att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till fängelse i över fem år. Med de föreslagna bevaringstiderna ska man, på samma sätt som enligt den gällande lagen, se till att uppgifterna bevaras i polisens informationssystem minst den tid det tar att behandla ärendet och nå en lagakraftvunnen lösning inom rättsväsendet. Bevaringstiden avkortas från 10 till 5 år i fråga om sådana brottmål som överförts till åklagaren där det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på högst ett år. Den kortare bevaringstiden bedöms vara tillräcklig för att säkerställa att uppgifterna bevaras fram till ett lagakraftvunnet avgörande.
De uppgifter som avses i 1 mom. raderas enligt 2 mom. dock tidigast ett år efter det att åtalsrätten för brottet har preskriberats. Med detta säkerställs, på motsvarande sätt som i dagsläget, att uppgifter som anknyter till mordutredningar förblir tillgängliga för polisen.
Uppgifter i övriga brottmål ska enligt 3 mom. raderas ett år efter att åtalsrätten för det sista misstänkta brottet preskriberats, dock tidigast 5 år efter att brottmålet registrerades. En bevaringstid på minst fem år motsvarar preskriptionstiden för åtalsrätten för tjänstebrott och behövs för att garantera både målsägandens och polisens rättsskydd.
I 4 mom. föreskrivs om radering av signalementsuppgifter som har registrerats för att identifiera personer misstänkta för brott, utreda brott och registrera personer som har begått brott. Uppgifterna ska raderas senast 10 år efter att den sista uppgiften om en person misstänkt för brott infördes. Uppgifterna ska dock raderas senast 10 år efter den registrerades död, om det strängaste föreskrivna straffet för det grövsta brott som använts som grund för registrering är fängelse i minst ett år. Genom de föreslagna ändringarna förkortas de raderingstider som anges i den gällande lagen avsevärt när det gäller lindrigare brottmål. Det ska inte längre finnas särskilda bestämmelser om radering av registrerade spår från en okänd gärningsman i anslutning till ett brott som förblivit oidentifierade, utan uppgifterna ska i överensstämmelse med den raderingstid som föreskrivs i 2 mom. raderas ett år efter att åtalsrätten för brottet har preskriberats.
I 5 mom. beaktas minderåriga som misstänks för en brottslig gärning. Syftet med momentet är att säkerställa att barnets bästa beaktas i enlighet med barnkonventionen. Enligt 22 § 2 mom. i den gällande lagen ska uppgifter om en registrerad som var under 15 år då han eller hon begick brottet utplånas när den registrerade fyller 18 år, om inte den registrerade har gjort sig skyldig till ett brott efter att ha fyllt 15 år. Uppgifterna ska dock inte utplånas på denna grund om anmälan även gäller andra misstänkta för brottet och uppgifterna om dem ännu inte utplånas eller om någon av anteckningarna gäller en brottslig gärning för vilken inte föreskrivs någon annan påföljd än fängelse. Det har emellertid visat sig vara problematiskt att tillämpa denna bestämmelse på ett ändamålsenligt sätt. Betydelsen av den gällande raderingsbestämmelsen för skyddet av den registrerades personliga integritet är också liten på grund av att det i brottsanmälningar som gäller personer under 15 år ofta också har antecknats andra personer och därför leder raderingsbestämmelsen i praktiken till att uppgifter raderas för endast en liten del av de registrerade som är under 15 år.
Enligt det föreslagna 5 mom. ska signalementsuppgifterna för registrerade personer under 15 år raderas senast 5 år efter att den sista uppgiften om den för brott misstänkta personen infördes, om inte någon av uppgifterna gäller ett brott för vilket det inte föreskrivs någon annan påföljd än fängelse. I annat fall raderas uppgifterna om registrerade personer under 15 år i enlighet med de allmänna bestämmelserna i den föreslagna 33 §. Exempelvis ska en brottsanmälan där enbart en person under 15 år antecknats i enlighet med 2 mom. raderas fem år efter att brottmålet registrerades eftersom brottmålet inte ska överföras till en åklagare.
För att trygga skyddet av personlig integritet finns en undantagsbestämmelse i 6 mom., enligt vilken de signalementsuppgifter som behövs för att fastställa identiteten raderas senast ett år efter att uppgiften infördes, om det vid utredningen har framgått att inget brott har begåtts eller att det inte längre finns skäl att misstänka personen för brott.
Enligt 7 mom. får alla de uppgifter som avses i 1—5 mom. dock fortfarande bevaras, om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. Det är alltså möjligt att bevara uppgifter t.ex. medan en undersökning av ett tjänstebrott ännu pågår. Det kan också finnas behov av att förlänga efterlysningstiden för t.ex. fordon för att det ska vara möjligt att returnera egendomen till ägaren. I princip avgör undersökningsledaren utifrån fordonets skick, ålder, värde eller antikvärde och brottsbenämningen hur länge en efterlysning ska vara i kraft. Bevaringstiden för efterlysningar för gamla fordon i dåligt skick ska normalt vara samma som för det brottmål som saken gäller. Äganderätten till ett fordon kvarstår dock hos ägaren trots att brottet preskriberas eller någon får egendomen i sin besittning genom att t.ex. köpa den i god tro. Av denna orsak finns det skäl att hålla efterlysningen i kraft så länge som fordonet har något värde.
Enligt 7 mom. ska det med avvikelse från de gällande bestämmelserna också vara möjligt att bevara uppgifter av någon annan grundad anledning. En annan grundad anledning för att bevara uppgifterna kan vara t.ex. behov av att förlänga giltighetstiden för efterlysningen av ett försvunnet skjutvapen trots att undersökningen redan har avslutats. I momentet föreskrivs också om skyldighet att bedöma behovet av att bevara uppgifter minst vart femte år. Tiden för bedömningen av nödvändigheten, fem år, motsvarar den tid som föreskrivits för bedömningen i 6 § i dataskyddslagen avseende brottmål. På motsvarande sätt som i dagsläget kan nödvändigheten av att bevara information även bedömas enligt informationskategori så att man genom ett separat beslut t.ex. kan radera uppgifter som gäller vissa grupper, utan att uppgifterna behöver genomgås individuellt.
I 8 mom. ingår en hänvisningsbestämmelse som gäller Prümfördraget och Prümrådsbeslutet. För tillämpningen av Prümfördraget och Prümrådsbeslutet har EU:s medlemsstater för s.k. sökträffar tagit i användning informationssystem för informationsutbyte av uppgifter i fordonsregister, i fingeravtrycksregister och av DNA-uppgifter. I de författningar som nämns i momentet krävs att logguppgifterna och övervakningsuppgifterna bevaras och raderingstiderna för dessa uppgifter föreskrivs i författningarna.
34 §.Radering av andra personuppgifter som behandlas i undersöknings- och övervakningsuppgifter. Bestämmelsen omfattar personuppgifter som ska behandlas för sådana ändamål som avses i 5 § och som inte anknyter till förundersökning. Med stöd av bestämmelsen raderas därmed t.ex. uppgifterna om personer som direkt anknyter till polisens fältuppdrag, handräckningsuppdrag och till i lag särskilt föreskrivna övervakningsuppdrag. Genom paragrafen ersätts bestämmelserna i 22 § i den gällande lagen om utplåning av uppgifterna i andra anmälningar, utplåning av identifieringsuppgifter och säkerhetsinformation samt utplåning av vissa uppgifter som gäller efterlysta personer. Också i fråga om andra utrednings- och övervakningsuppgifter föreslås det att bestämmelserna om radering görs enklare och tydligare jämfört med 22 § i den gällande lagen.
I enlighet med 1 mom. ska andra personuppgifter som behandlas för undersöknings- och övervakningsuppgifter än de uppgifter som avses i 33 § raderas 5 år efter det att anmälan eller ärendet registrerades, om inte de hänför sig till ett brottmål som utreds. Exempelvis utredande av dödsorsak samt utredning av förutsättningarna för ett besöksförbud eller ett näringsförbud är typiska exempel på omständigheter som ska utredas i samband med undersökningen av ett brottmål.
I 2 mom. 1—4 punkten beaktas avvikande bevaringstider som anknyter till annan lagstiftning. Momentets 1—3 punkt gäller näringsförbud och besöksförbud samt sådana skyddsåtgärder, sådan övervakad frihet på prov och sådant övervakningsstraff som avses i lagen om tillämpning av Europaparlamentets och rådets förordning om ömsesidigt erkännande av skyddsåtgärder i civilrättsliga frågor. I 4 punkten föreskrivs om radering av övriga uppgifter för att en person ska kunna påträffas, övervakas, observeras och skyddas i fråga om personer som är efterlysta, som har meddelats rese-, djurhållnings- eller jaktförbud, som har meddelats nationellt inreseförbud, som avtjänar samhällspåföljd eller är villkorligt frigivna.
Bevaringstiderna för de uppgifter som avses i 1—4 punkten grundar sig, med avvikelse från huvudregeln i 1 mom., på när efterlysningen eller förbudet meddelades, återkallades eller upphörde. En bevaringstid som grundar sig på anmälan eller registrering av ärendet kunde leda till situationer där de personuppgifter som hänför sig till ärendet ska raderas medan efterlysningen eller förbudet ännu är i kraft eller omedelbart efter att giltighetstiden har upphört.
Bevaringstiden för personuppgifter som behandlas för att personer som anmälts försvunna ska kunna hittas och okända avlidna ska kunna identifieras förlängdes i och med lagändringen 2013 från ett år till fem år. Det föreslås att bevaringstiden ytterligare preciseras i 2 mom. 5 punkten på så sätt att uppgifterna raderas tidigast fem år efter att den försvunna påträffades eller en okänd avliden identifierades. I komplicerade fall och i synnerhet om personen har påträffats utomlands eller den avlidna är utlänning, gör handräckningsförfarandena processen så långsam att det efter identifieringen ännu tar lång tid att avsluta ett ärende. Personuppgifter om nära släktingar som behövs för att personer som anmälts försvunna ska kunna hittas och för att okända avlidna ska kunna identifieras raderas dock på den registrerades begäran eller omedelbart när uppgifterna inte längre behövs med tanke på ändamålet med behandlingen.
Med avvikelse från de gällande bestämmelserna föreslås det inte en separat bestämmelse om radering av uppgifter om efterspanade fordon eller egendomsuppgifter, utan efterlysningsuppgifter i anslutning till undersökningssyften ska raderas i enlighet med bevaringstiden för den anmälan eller det ärende till vilken efterlysningsuppgifterna anknyter. Uppgifterna ska raderas när de inte längre behövs för behandlingen av ett ärende, för utförande av ett uppdrag eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har.
I 6 punkten föreskrivs om raderingstiden för uppgifter för identifiering av utlänningar på motsvarande sätt som i 23 § i den gällande lagen. Genom att flytta bestämmelsen om bevaringstiden för uppgifter för identifiering av utlänningar så att den ingår i bestämmelserna om radering av personuppgifter som behandlas i undersöknings- och övervakningsuppgifter motsvarar de ändringarna som föreslås i 2 kap., genom vilka sambandet mellan övervakningen av utlänningar och förebyggandet, avslöjandet och utredningen av brott beaktas.
I 3 mom. finns i överensstämmelse med den gällande lagen ett undantag som gäller radering av säkerhetsinformation. Med avvikelse från huvudregeln i 1 mom. ska säkerhetsinformation raderas senast ett år efter den registrerades död. På detta sätt blir det möjligt att bevara uppgifter som gäller t.ex. en persons farlighet eller hälsotillstånd så länge som det behövs för att garantera säkerheten för personen själv eller för personer som hör till polispersonalen. För att säkerställa att säkerhetsinformationen behövs ska den enligt polisens föreskrifter uppdateras så att den motsvarar användningsändamålet minst en gång om året. I samband med granskningen ska det göras en anteckning om att en granskning har utförts. Onödiga eller felaktiga uppgifter ska omedelbart raderas ur systemet. På motsvarande sätt som i 23 § i den gällande lagen ska också enligt momentet uppgifter för identifiering av utlänningar raderas senast ett år efter den registrerades död.
I 4 mom. föreskrivs det om ett undantag som ska gälla alla de uppgifter som avses i 1—3 mom. Man får fortsätta att bevara uppgifterna om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. Det är alltså möjligt att bevara uppgifter t.ex. medan en undersökning av ett tjänstebrott ännu pågår. Enligt 4 mom. ska det med avvikelse från de gällande bestämmelserna också vara möjligt att bevara uppgifter av någon annan grundad anledning. I momentet föreskrivs det på motsvarande sätt som i 33 § i den gällande lagen om skyldighet att bedöma behovet av att bevara uppgifterna minst vart femte år.
De uppgifter som avses i 5 § 3 mom., som behandlas för bedömning av deras betydelse, ska raderas genast efter att de har bedömts vara onödiga. Uppgifterna ska dock raderas senast sex månader efter att anteckningen infördes. Om raderingen av uppgifter ska det med anledning av behandlingens exceptionella natur föreskrivas direkt i samband med bestämmelsen om behandlingen i 5 § 3 mom. De uppgifter som anses vara behövliga och som uppfyller förutsättningarna för behandling enligt 5 och 6 § ska överföras till de aktuella ändamålen med behandlingen och beträffande dem ska de raderingstider som föreskrivs för i 5 och 6 § avsedda uppgifter iakttas.
35 §.Radering av personuppgifter som anknyter till förbyggande eller avslöjande av brott. Personuppgifter i anknytning till förebyggande och avslöjande av brott ska enligt det föreslagna 1 mom. raderas senast tio år efter att den sista anteckningen om ett brott, brottslig verksamhet eller ett uppdrag infördes. Den föreslagna huvudregeln motsvarar i huvudsak bestämmelsen om utplåning av uppgifter ur informationssystemet för misstänkta i 24 § i den gällande lagen, men bestämmelsen ska i fortsättningen gälla alla personuppgifter som med stöd av 7 och 8 § behandlas i syfte att förebygga och avslöja brott. I fråga om observationsuppgifter gäller en kortare förvaringstid än i vad som föreskrivs i 22 § 1 mom. 12 punkten i den gällande lagen. Uppgifterna ska raderas sex månader efter att anteckningen infördes. På detta sätt beaktas det att observationsuppgifter är osäkra till sin natur och att de inte ska bevaras längre än nödvändigt.
Säkerhetsinformation som behandlas i syfte att förebygga och avslöja brott ska på motsvarande sätt som sådan säkerhetsinformation som avses i 34 § raderas senast ett år efter den registrerades död. På detta sätt blir det möjligt att bevara uppgifter som gäller t.ex. en persons farlighet eller hälsotillstånd så länge som det behövs för att garantera säkerheten för personen själv eller för personer som hör till polispersonalen.
Exempelvis sådana personuppgifter som hänför sig till brottsanalyser som görs i syfte att förebygga eller avslöja brott och som behandlas i sådana temporära register för brottsanalys som avses i 6 § 2 mom. 2 punkten i den gällande lagen ska raderas i enlighet med den föreslagna paragrafen. Enligt 26 § i den gällande lagen raderas uppgifter ur personregister som avses i 6 § 2 mom. 2 punkten då fem år och ur andra personregister som har inrättats för en eller flera polisenheter, då tio år har förflutit sedan den gärning, åtgärd eller händelse som föranledde registreringen antecknades, om inte uppgifterna fortfarande behöver bevaras på grund av undersökning eller övervakning. Enligt den gällande lagen raderas personuppgifter dock inte om de inbegriper uppgifter som hänför sig till en persons egen säkerhet eller polisens säkerhet i arbetet.
Införandet av samma systematiska bevaringstider för alla personuppgifter som behandlas enligt 7 och 8 § för att förebygga och avslöja brott klarlägger och förenklar raderingen av uppgifter med tanke såväl på genomförandet av systemen som på den registrerade personens rättsskydd. Samtidigt säkerställer man att det finns möjlighet att förebygga och avslöja de med tanke på hotpotentialen största och allvarligaste brotten.
Det föreslagna 2 mom. innehåller en bestämmelse som motsvarar bestämmelsen i 33 § 7 mom. och 34 § 4 mom., enligt vilken personuppgifter fortfarande får bevaras om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. Som garanti för den personliga integriteten fungerar även de allmänt tillämpliga bestämmelserna om behovet av att behandla personuppgifter i 6 § i dataskyddslagen avseende brottmål.
Den kortare bevaringstiden ska även gälla i 7 § 6 mom. avsedda uppgifter som behandlas för att bedöma deras betydelse. Uppgifterna ska raderas utan dröjsmål efter att de har bedömts vara onödiga, dock senast sex månader efter att de registrerats. Om raderingen av uppgifter ska det emellertid med anledning av behandlingens exceptionella natur föreskrivas direkt i samband med bestämmelsen i 7 § 6 mom. som gäller behandlingen. De uppgifter som anses vara behövliga och som uppfyller förutsättningarna för behandling enligt 7 och 8 § ska överföras till de aktuella ändamålen med behandlingen och beträffande dem ska de raderingstider som föreskrivs för i 7 och 8 § avsedda uppgifter iakttas.
36 §.Radering av uppgifter om informationskällor. Det föreslås en separat paragraf med bestämmelser om radering av uppgifter om informationskällor. Förslaget motsvarar de ändringar som föreslås i 2 kap. och som innebär att bestämmelserna om behandlingen av uppgifter om informationskällor överförs till separat 9 §. Enligt 22 § 1 mom. 9 punkten i den gällande lagen ska uppgifter om en informationskälla utplånas då tio år har förflutit från den sista anteckningen om informationen. Det förslås att bestämmelsen ändras så att en maximal bevaringstid på tio år föreskrivs för uppgifterna. Genom ändringen beaktas att uppgifterna också kan raderas tidigare än efter tio år, t.ex. om uppgifterna inte längre behövs med tanke på ändamålet med behandlingen.
37 §.Radering av personuppgifter som behandlas för kvalitetssäkring av DNA-prov. Bestämmelsen är ny i förhållande till den gällande lagen och i den beaktas raderingen av de personuppgifter som i enlighet med den föreslagna 10 § behandlats i anknytning till kvalitetssäkring av DNA-prov. Vid raderingen av uppgifterna iakttas kravet på att onödiga uppgifter ska raderas utan obefogat dröjsmål som föreskrivs i 6 § i dataskyddslagen avseende brottmål. En registrerad har rätt att i enlighet med 10 § förbjuda behandlingen av hans eller hennes personuppgifter, varför uppgifterna raderas utan dröjsmål också alltid när den registrerade begär det (1 mom.).
Det är inte möjligt att fastställa en allmän bevaringstid för de uppgifter som avses i paragrafen, utan behovet av bevarandet bestäms från fall till fall. På grund av detta är tidsfristen för behovet av fortsatt bevarande av personuppgifterna kortare jämfört med tidsfristen när det gäller andra ändamål med behandlingen. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst varje år (2 mom.).
38 §.Radering av personuppgifter som behandlas i polisens övriga lagstadgade uppgifter. Genom den föreslagna bestämmelsen ersätts 23 § i den gällande lagen, med undantag för uppgifter för identifiering av utlänningar som det föreskrivs om i den föreslagna 34 §. Bestämmelsen omfattar också övriga personuppgifter som behandlas med stöd av 11 och 12 § och om vars behandling det inte finns några bestämmelser i den gällande lagen om behandling av personuppgifter i polisens verksamhet.
De gällande bestämmelserna om utplåning av uppgifter i informationssystemet för förvaltningsärenden infördes i samband med lagändringarna 2013. Bestämmelserna om utplåning har dock till vissa delar visat sig vara problematiska med tanke på polisens uppgifter inom tillståndsförvaltningen. I bestämmelserna föreskrivs olika långa bevaringstider för olika uppgiftskategorier som gäller samma tillståndsärende, vilket anses problematiskt med tanke på uppgifternas integritet. Bestämmelserna anses dessutom vara otydliga och krångliga. En problematisk situation med tanke på uppgifternas integritet är t.ex. att kravet på radering av uppgifter är olika för tillståndsbeslutet och uppgifterna om tillståndet. De förenklade bestämmelserna har vid beredningen bedömts främja den registrerades rättsskydd och avhjälper för sin del, på det sätt som grundlagsutskottet förutsatt, problemet med otydliga, tungrodda och komplicerade bestämmelser om behandling av personuppgifter.
Det föreslås att bestämmelserna om radering ändras så att personuppgifter som behandlas för utförande av tillståndsförvaltningsuppgifter som regel ska raderas senast tjugo år efter att beslutet fattades eller förföll eller den i beslutet angivna giltighetstiden gick ut eller personuppgiften infördes (1 mom.) Den föreslagna bestämmelsen förlänger bevaringstiden enligt 23 § i den gällande lagen i fråga om uppgifterna om identitetskort och pass som behandlas för skötseln av de uppgifter som föreskrivs i lagen om identitetskort och i passlagen, bilduppgifter som behandlas för identifiering och framställning av en identitetshandling samt uppgifterna för tillsynen över säkerhetsbranschen och av uppgifterna för tillsynen över penninginsamlingar och lotterier.
Den gällande bevaringstiden på tio år för uppgifter om identitetskort och pass har visat sig vara för kort i situationer då man behöver behandla uppgifterna för att undersöka förutsättningarna för behållande av medborgarskap. I och med den tekniska utvecklingen under den senaste tiden finns det inte längre behov av att av tekniska orsaker begränsa bevaringstiden för bilduppgifter så att den är kortare än i fråga om andra uppgifter i anslutning till tillståndsärenden. Förlängningen av bevaringstiden för uppgifter som gäller tillsynen över säkerhetsbranschen och uppgifter för tillsynen över penninginsamlingar och lotterier förbättrar möjligheten att följa upp tillstånden under hela deras livscykel och samla behövliga uppgifter om övervakade tillställningar. För en förlängning av bevaringstiden i fråga om tillstånd till penninginsamlingar och lotteritillstånd talar också bestämmelserna om förutsättningarna för beviljandet av dessa tillstånd, enligt vika det krävs att uppgifter om tidigare tillstånd beaktas vid tillståndsprövningen. Bevaringstiden enligt den gällande lagen, tio år, leder i praktiken ofta till situationer där en enskild tillståndssökande endast har tillgång till uppgifterna i den senaste tillståndsansökan.
1 2 mom. föreskrivs om undantag till den bevaringstid på 20 år som föreslås i 1 mom. I momentets 1 punkt föreskrivs en förvaringstid, på motsvarande sätt som i den gällande lagen, på tre år i fråga om radering av uppgifterna i en skjutvapenanmälan enligt skjutvapenlagen. 1 2 punkten beaktas det krav som i vapendirektivet ställs på medlemsstaterna att säkerställa att de behöriga myndigheterna behåller uppgifterna för skjutvapen och väsentliga delar i registret, inklusive tillhörande personuppgifter, under en period av 30 år efter det att skjutvapnen eller de väsentliga delarna i fråga skrotats. Tillgång till dessa registerposter och alla tillhörande personuppgifter bör enligt vapendirektivet för beviljande eller återkallande av tillstånd eller tullförfarande, inbegripet ett eventuellt påförande av administrativa sanktioner, begränsas till behöriga myndigheter och tillåtas endast upp till 10 år efter det att skjutvapnet eller de väsentliga delarna i fråga skrotats, och upp till 30 år efter det att skjutvapnet eller de väsentliga delarna i fråga skrotats när sådan tillgång är nödvändig i brottsbekämpningssyfte. brottsbekämpningssyfte.
I 3 punkten föreskrivs en kortare förvaringstid på ett år för personuppgifter som anknyter till hittegodsverksamhet, inom vilken uppgifterna ska raderas. Behandlingen av personuppgifter som gäller ägaren eller upphittaren i anknytning till hittegodsverksamhet är till sin karaktär kortvarig och i samband med verksamheten görs inte förvaltningsbeslut som skulle kräva en längre bevaringstid.
I 4 punkten föreskrivs om radering av personuppgifter som anknyter till tillsynsuppdrag i enlighet med 7 kap. i lagen om penningtvätt. Bestämmelser om radering av personuppgifter som ingår i sådana rapporter om misstänkta överträdelser som avses i 9 § i det kapitlet finns i 2 mom. i den nämnda paragrafen (fem år efter rapporteringen). För tydlighetens skull föreslås att också andra personuppgifter i anknytning till tillsyn enligt 7 kap. ska raderas inom fem år efter att anteckningen infördes.
I 5 punkten föreskrivs om radering av uppgifter behövliga för behandlingen av de administrativa påföljder som polisen påför. Till de administrativa påföljder som avses i punkten hör avgift för trafikförseelse i enlighet med 160 § och fordonspecifik avgift för trafikförseelse i enlighet med 161 § i vägtrafiklagen samt de administrativa påföljder som avses i 8 kap. i lagen om penningtvätt. Uppgifterna ska utplånas två år efter att de infördes.
I 6 punkten föreskrivs särskilt om bevaringstiden för personuppgifter som behandlas för övervakning enligt lotterilagen eller lagen om penningtvätt och som gäller kunder hos ett penningspelsbolag eller bolagets ombud. Dessa uppgifter ska raderas genast när de inte längre behövs för utförande av tillsynsuppdraget. Behandlingen av personuppgifter som gäller kunderna hos ett spelbolag eller bolagets ombud kan behövas t.ex. för behandlingen av en spelares ansökan om en rekommendation till avgörande, då behovet att behandla personuppgifterna i allmänhet upphör inom ca två år efter att de togs emot. Tillsynen av spelbeteendet i anslutning till och skadeverkningar på grund av penningspelande kan dock kräva också längre tid för behandlingen av personuppgifter.
I 3 mom. föreskrivs på motsvarande sätt som i 23 § 2 mom. i den gällande lagen att personuppgifter, med vissa undantag, ska raderas senast ett år efter den registrerades död. Bestämmelserna gäller också de säkerhetsuppgifter som avses i den föreslagna 12 § 1 mom. 6 punkten. De uppgifter som avses i 2 mom. 2—5 punkten raderas dock inte på grund av en persons död. Den bevaringstid på 30 år som krävs enligt vapendirektivet begränsas för iakttagande av förpliktelserna i direktivet inte utifrån en persons död, eftersom behovet av att för en lång tid bevara personuppgifterna för innehavare och ägare av ett vapen grundar sig på behovet av att övervaka livscykeln för vapnet. Uppgifter som anknyter till hittegodsverksamhet raderas i enlighet med punkten i fråga inom ett år efter att uppgiften infördes och då har bestämmelserna i 3 mom. inte någon praktisk betydelse med tanke på bevaringstiden för uppgifterna. Paragrafen tillämpas på rapporter om misstänkta överträdelser i enlighet med 7 kap. 9 § i lagen om penningtvätt, i vilken det inte föreskrivs om radering av uppgifter på grund av den registrerades död. För tillsyn enligt lotterilagen och lagen om penningtvätt ska uppgifterna om de kunder som behandlas inte vara möjliga att plocka ut ur det informationsmaterial som penningspelsbolaget lämnar till polisen på grund av en kunds död. Uppgifterna om spelare kan inte kopplas samman med enskilda fysiska personer enbart utifrån de uppgifter som penningspelsbolaget överför som datamängd till polisen, utan polisen får personuppgifterna för en enskild spelare endast via penningspelsbolaget.
39 §.Uppgifter som konstaterats vara felaktiga. Paragrafen motsvarar till sitt innehåll 27 § i den gällande lagen. Genom den föreslagna bestämmelsen blir det möjligt att bevara en felaktig uppgift i registret tillsammans med den korrigerade uppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har (1 mom.). Felaktiga uppgifter får inte användas för något annat ändamål.
I 7 § i dataskyddslagen avseende brottmål föreskrivs att de personuppgifter som behandlas ska vara korrekta och uppdaterade med hänsyn till ändamålet med behandlingen. Den personuppgiftsansvarige ska se till att alla rimliga åtgärder har vidtagits för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas antingen utplånas eller rättas utan dröjsmål. Enligt 25 § 1 mom. i den nämnda lagen ska den personuppgiftsansvarige på eget initiativ eller på yrkande av den registrerade utan obefogat dröjsmål rätta eller komplettera sådana personuppgifter om den registrerade som är oriktiga eller bristfälliga med tanke på ändamålet med behandlingen. Paragrafen ersätter inte kravet på begränsning av behandlingen av personuppgifter i enlighet med 25 § 2 mom. i dataskyddslagen avseende brottmål, utan genom att bevara paragrafen som den är säkerställs en problemfri övergång till regleringen enligt den nya lagen.
Enligt artikel 5 i dataskyddsförordningen ska personuppgifter vara korrekta och om nödvändigt uppdaterade och alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt artikel 16 i förordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Den föreslagna bestämmelsen kompletterar den registrerades rätt i fråga om de ändamål med behandlingen som föreskrivs i 11 och 12 § att få uppgifter rättade i enlighet med artikel 16 i dataskyddsförordningen. Bestämmelsen begränsar inte denna rätt, men det ska vara möjligt att bevara uppgifter som konstaterats vara felaktiga tillsammans med de rättade uppgifterna i sådana situationer som avses i 1 mom.
I 2 mom. föreskrivs om ett undantag i fråga om bevarande av en uppgift som har konstaterats vara felaktig. Undantaget gäller det nationella systemet inom Schengens informationssystem. Enligt 3 mom. ska en uppgift som konstaterats vara felaktig raderas genast när den inte längre behövs för att trygga rättigheterna.
40 §.Arkivering av uppgifter. Paragrafen innehåller en informativ bestämmelse där det hänvisas till den lagstiftning som ska tillämpas på arkivfunktionens uppgifter och handlingar som ska arkiveras. Bestämmelsen motsvarar till sitt innehåll 28 § i den gällande lagen.
6 kap. De registrerades rättigheter
Bestämmelserna om de registrerades rättigheter kommer främst att finnas i 4 kap. i dataskyddslagen avseende brottmål och i kapitel III i dataskyddsförordningen. I detta kapitel preciseras bestämmelserna i fråga om tillgodoseende av den registrerades rätt till insyn och inskränkningar i den registrerades rätt.
I dataskyddsförordningen är det delvis den rättsliga grunden för behandlingen som avgör vilka rättigheter för en registrerad som ska tillämpas på behandlingen av personuppgifter. Rätten till radering enligt artikel 17 i förordningen tillämpas inte om personuppgifter behandlas för att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. Rätten till dataportabilitet enligt artikel 20 i förordningen tillämpas för sin del endast på behandling som grundar sig på samtycke eller ett avtal. Dessutom omfattar rätten enligt artikel 21 att göra invändningar mot behandling av uppgifter endast sådan behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning eller för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen. Eftersom sådan behandling av personuppgifter som avses i denna lag ska ske i syfte att utföra någon av polisens lagstadgade uppgifter ska inte artiklarna 17, 20 och 21 i förordningen tillämpas på den.
41 §.Tillgodoseende av den registrerades rätt till insyn. I 1 mom. preciseras att den personuppgiftsansvarige svarar för att lämna ut de behövliga personuppgifterna och andra uppgifter för utövande av insyn när det är fråga om sådan rätt till insyn som avses i 23 § i dataskyddslagen avseende brottmål samt den registrerades rätt till tillgång till uppgifter enligt artikel 15 i dataskyddsförordningen. Den personuppgiftsansvarige kan också förordna en annan polisenhet att lämna ut uppgifterna.
I 23 § i dataskyddslagen avseende brottmål föreskrivs att den registrerade kan begära att rätten till insyn ska tillgodoses genom att lämna in en egenhändigt undertecknad handling eller på ett därmed jämförbart bestyrkt sätt eller begära detta personligen hos den personuppgiftsansvarige. I artikel 15 i dataskyddsförordningen föreskrivs inte uttryckligen om sätten för att förverkliga insynsrätten, men uppgifterna ska enligt artikeln tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade gör begäran i elektronisk form och inte begär något annat.
En begäran genom en egenhändigt undertecknad handling eller på ett därmed jämförbart bestyrkt sätt räcker emellertid inte för att man ska kunna säkerställa identiteten på den som framförde begäran på ett tillräckligt tillförlitligt sätt med tanke på de personuppgifter som behandlas av polisen. Av denna orsak föreskrivs i 2 mom. med avvikelse från dataskyddslagen avseende brottmål att en registrerad som vill utöva sin rätt till insyn ska framställa en personlig begäran om detta till den personuppgiftsansvarige eller någon annan i 1 mom. avsedd myndighet samt styrka sin identitet. En begäran kan alternativt också framställas med hjälp av en elektronisk tjänst som tillhandahålls av den personuppgiftsansvarige genom användning av stark autentisering. Vid identifieringen ska kraven enligt lagstiftningen om elektronisk kommunikation i myndigheternas verksamhet iakttas.
Tillhandahållandet av en elektronisk tjänst underlättar den registrerades möjligheter att utöva sin rätt till insyn på det sätt som det nya dataskyddsdirektivet och dataskyddsförordningen förutsätter. I bestämmelsen tar man dock i beaktande att en elektronisk tjänst inte nödvändigtvis är i bruk genast då lagen träder i kraft, utan tjänsten ska genomföras i mån av möjlighet vid en tidpunkt som den personuppgiftsansvarige närmare fastställer.
Ytterligare information som begärts för att styrka den registrerades identitet bör enligt skäl 41 till dataskyddsdirektivet enbart behandlas för detta specifika ändamål och bör inte lagras längre än vad som krävs för detta ändamål.
42 §.Inskränkningar i rätten till insyn. Bestämmelser om inskränkningar i den registrerades rätt till insyn i enskilda fall finns i 24 och 28 § i dataskyddslagen avseende i brottmål. Genom den föreslagna 42 § kompletteras dessa bestämmelser med bestämmelser om allmänna undantag som gäller polisens behandling av personuppgifter när det gäller den rätt till insyn för en registrerad i enlighet med 23 § i dataskyddslagen avseende brottmål. I fråga om begräsningar i rätten till insyn när det gäller personuppgifter som omfattas av tillämpningsområdet för dataskyddsförordningen gäller vad som föreskrivs i dataskyddsförordningen och 34 § i dataskyddslagen.
Enligt 1 mom. 1 punkten gäller rätten till insyn inte personuppgifter som avses i 5 § 3 mom. och 7 § 6 mom., i fråga om vilka polisen först i det skedet gör en bedömning av deras behövlighet. Rätten till insyn gäller inte heller de uppgifter om informationskällor som avses i 9 §, i fråga om dessa har rätten till insyn också inskränkts i 45 § 1 mom. 4 punkten i den gällande lagen.
I 2 punkten inskränks på motsvarande sätt som i 45 § 1 mom. 3 punkten i den gällande lagen insynsrätten i fråga om personuppgifter om hemlig övervakning och särskild kontroll i Schengens informationssystem.
I 3 punkten utesluts insynsrätten gällande i 5—8 § avsedda personuppgifter i vilka uppgifter om polisens taktiska eller tekniska metoder, observationsuppgifter, uppgifter om informationskällor eller uppgifter som används för teknisk undersökning ingår. Punkten ersätter och innehåller i den tidigare omfattningen bestämmelserna i 45 § 1 mom. 1 och 4 punkten i den gällande lagen, men bestämmelsen ska omformuleras för att iaktta de ändringar som föreslås i 2 kap. Samtidigt harmoniseras formuleringen med 24 § 1 mom. 5 punkten i offentlighetslagen, där det föreskrivs om sekretessen gällande handlingar som innehåller uppgifter om polisens, Gränsbevakningsväsendets och tullverkets samt fångvårdsmyndigheternas taktiska och tekniska metoder och planer, samt med 7 kap. 3 § i polislagen, enligt vilken de som hör till polisens personal är inte skyldiga att lämna ut information om sekretessbelagda taktiska eller tekniska metoder. När det gäller sådana uppgifter är även en parts rätt att ta del av en handling begränsad på grund av ett sådant synnerligen viktigt allmänt intresse som avses i 11 § 2 mom. i offentlighetslagen. Avslöjandet av dessa uppgifter kan leda till farosituationer eller förlusten av förtroendeförhållanden eller avslöjandet av metoder och skadar förebyggandet och utredningen av brott eller upprätthållandet av allmän ordning och säkerhet.
I uppgifter om polisens taktiska och tekniska metoder ingår också uppgifterna om användningen av hemliga metoder för inhämtning av information enligt 4 punkten samt om själva metoderna. Till den särskilda karaktären för dessa inhämtningsmetoder hör att behandlingen, beslutsfattandet och genomförandet av ett ärende som gäller en inhämtningsmetod sker utan målpersonens vetskap genom domstolens beslut. Det föreskrivs separat om informeringen av målpersonen. Det finns ett separat övervakningsförfarande för att övervaka användningen av dessa metoder. Eftersom hemliga tvångsmedel genomförs utan målpersonens vetskap, kan uppgifter inte heller lämnas till honom eller henne med stöd av personuppgiftslagstiftningen.
I 3 punkten inskränks, på motsvarande sätt som i den gällande lagen, insynsrätten så att den inte omfattar uppgifter om en person vilka inverkar på personens egen säkerhet eller på säkerheten i arbetet inom polisen, efterlysningsuppgifter som registrerats i efterlysningsuppgifter för att iaktta personen, efterlysningsuppgifter om personer under uppsyn som rör sig med motorfordon som har registrerats i uppgifterna om motorfordon som söks, uppgifter om målpersonens säkerhet vid förvaring som har registrerats i uppgifter om anhållna personer, uppgifter om gärningssätt samt bland signalementsuppgifter t.ex. nyckelord, särskilda kännetecken, fotografier, finger- och handavtryck, DNA-prov och klassificeringsuppgifter för dem samt skoavtryck.
Momentets 4 punkt motsvarar 45 § 1 mom. 5 punkten i den gällande lagen och genom denna punkt utesluts en registrerads rätt till insyn när det gäller personuppgifter som fåtts genom de inhämtningsmetoder som avses i 5 kap. i polislagen och 10 kap. i tvångsmedelslagen samt med stöd av 19 kap. 157 § i lagen om tjänster inom elektronisk kommunikation (917/2014).
Enligt 2 mom. har den registrerade rätt att be dataombudsmannen kontrollera lagenligheten av behandlingen av sådana personuppgifter som avses i 1 mom. på det sätt som föreskrivs i 29 § i dataskyddslagen avseende brottmål. Den registrerade ska lämna en begäran om utövning av rättigheterna till dataombudsmannen eller polisen i enlighet med 41 § 2 mom. Polisen ska därefter utan dröjsmål överföra begäran till dataombudsmannen. Den föreslagna bestämmelsen motsvarar nuvarande praxis, enligt vilken begäran till dataombudsmannen kan lämnas till polisen. Då kan polisen verifiera personens identitet och kontrollera att personuppgifterna stämmer. Förutom när det gäller en sådan begäran om att rätten till insyn ska tillgodoses som avses i 41 § är det också nödvändigt att säkerställa identiteten på en person som framfört en sådan begäran om att få utnyttja sin indirekta rätt till insyn som ska sändas till dataombudsmannen eftersom behandlingen av begäran ofta förutsätter omfattande behandling av personuppgifter.
Konsekvenserna av de förslag som gäller inskränkningar i rätten till insyn för skyddet av personlig integritet granskas närmare i det avsnitt som gäller propositionens förhållande till grundlagen.
43 §.Utövande av rätten till insyn i den datafil som upprätthålls av den tekniska stödfunktionen i Schengens informationssystem. Paragrafen ersätter 47 § i den gällande lagen och innehåller en specialbestämmelse om tillgodoseende av rätten till insyn. Var och en har enligt paragrafen rätt att begära att den tillsynsmyndighet som avses i artikel 115 i Schengenkonventionen kontrollerar att insamlingen, registreringen, behandlingen och användningen av personuppgifter som gäller honom eller henne i den datafil som upprätthålls av den tekniska stödfunktionen i Schengens informationssystem sker på ett lagligt och riktigt sätt. Dataombudsmannen är tillsynsmyndighet.
Bestämmelser om begäran harmoniseras med andra bestämmelser om tillgodoseende av rätten till insyn i 6 kap. En begäran om kontroll ska läggas fram till polisen på det sätt som föreskrivs i 41 § 1 mom. Polisen ska utan dröjsmål överföra den mottagna begäran till dataombudsmannen.
44 §.Utövande av rätten till insyn i fråga om behandlingen av personuppgifter som grundar sig på Prümfördraget och Prümrådsbeslutet. Bestämmelsen motsvarar 40 § 3 mom. i den gällande lagen, men flyttas till de bestämmelser som gäller registrerades övriga rättigheter. Dessutom harmoniseras bestämmelserna om sättet att lägga fram begäran med andra bestämmelser om tillgodoseende av rätten till insyn i 6 kap. Behandlingen av personuppgifter med stöd av Prümfördraget och Prümrådsbeslutet anknyter till brottmål och den registrerade har indirekt kontrollrätt genom dataombudsmannens förmedling.
45 §.Den registrerades rätt till begränsning av behandling. Genom den föreslagna 45 § inskränks den registrerades rätt med stöd av artikel 18 i dataskyddsförordningen att begränsa behandlingen av sina personuppgifter. Inskränkningen grundar sig på det handlingsutrymme som medlemsstaterna ges i artikel 23 i dataskyddsförordningen.
Den registrerade har med stöd av artikel 18 i dataskyddsförordningen rätt att kräva en begränsning av behandlingen av hans eller hennes personuppgifter, t.ex. i situationer där den registrerade bestrider personuppgifternas korrekthet eller anser att behandlingen av personuppgifterna är olaglig. Om behandlingen har begränsats får personuppgifter behandlas endast med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat. Enligt skäl 67 till dataskyddsförordningen kan sätten att begränsa behandlingen av personuppgifter bland annat inbegripa att man tillfälligt flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör klart anges inom systemet.
Ett tillgodoseende av den registrerades rätt till begränsning i enlighet med artikel 18 skulle ha betydande inverkningar på polisens arbetsuppgifter i samband med tillståndsförvaltningen samt på behandlingen av personuppgifter för utförandet av de tillsynsuppgifter som föreskrivs för polisen på vilken tillämpas 11 och 12 § i lagförslag 1. Problematiska med tanke på uppgifter i samband med tillståndsförvaltningen är t.ex. situationer där den registrerade bestrider riktigheten av en uppgift som gäller hinder för beviljandet eller ikraftvarandet av ett tillstånd, och denna uppgift som eventuellt är väsentlig med tanke på tillståndsprövningen och tillsynen över tillstånd därmed inte kan användas i beslutsfattandet i samband med tillståndsförvaltningen. Polisen har därmed ingen möjlighet att på ett heltäckande sätt utnyttja registeruppgifter behövliga för att fatta tillståndsbeslut eller följa upp villkoren för tillstånds giltighet på det sätt som krävs enligt speciallagstiftningen för tillståndsförvaltningen, t.ex. enligt skjutvapenlagen. På motsvarande sätt skulle en begränsning av behandlingen av uppgifter i anknytning till t.ex. administrativa påföljder som polisen påför försvåra polisens skötsel av de lagstadgade uppgifterna. Automatiseringen av de funktioner som krävs för begränsningen av behandlingen innebär dessutom betydande ändringsbehov i polisens informationssystem.
Polisens tillståndsförvaltning har till uppgift att i och med det administrativa beslutsfattandet och genom olika övervakningsmetoder förebygga brott och störningar av den allmänna ordningen och säkerheten i ett samhälle där säkerhetsläget håller på att förändras (Polisens tillståndsförvaltningsstrategi 2017—2021). En begränsning av behandlingen av uppgifter utifrån den registrerades krav med stöd av artikel 18 skulle kunna äventyra tillgången till personuppgifter som behandlas för uppdrag i anslutning till polisens tillståndsförvaltning samt för de ursprungliga ändamålen med behandlingen av personuppgifterna och för de ändamål med behandlingen som anknyter till brottmål, för vilka personuppgifter som insamlats för tillståndsförvaltningens ändamål med stöd av 13 och 14 § i lagförslaget får behandlas. Utöver personuppgifter som anknyter till tillståndsförvaltningen bedöms också att en begränsning av behandlingen av övriga uppgifter som avses i 11 och 12 §, t.ex. personuppgifter som behövs för skötseln av övervakningsuppdrag och administrativa påföljder, skulle orsaka en betydande risk för utförandet av polisens lagstadgade uppgifter.
Propositionens inverkan på den registrerades rättsskydd bedöms mer ingående i den del som gäller propositionens förhållande till grundlagen.
7 kap. Behandling av personuppgifter vid skyddspolisen
46 §.Tillämpningsområde. I detta kapitel föreskrivs om behandling av personuppgifter behövliga för skötseln av de uppgifter som föreskrivs för skyddspolisen i 10 § i polisförvaltningslagen. Till övriga delar iakttas i tillämpningsområdet motsvarande reglering som för polisen i övrigt, dvs. i lagen föreskrivs om helt eller delvis automatisk behandling av personuppgifter som behövs för skötseln av skyddspolisens uppgifter samt om annan behandling av personuppgifter, då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant.
Enligt 2 mom. tillämpas som allmän lag dataskyddslagen avseende brottmål på skyddspolisens behandling av personuppgifter, om inte något annat föreskrivs i detta kapitel. Bestämmelserna i 10 § 2 mom., 54 § och 7 kap. i dataskyddslagen avseende brottmål är på grund av anknytningen till EU:s dataskyddslagstiftning inte tillämpliga på skyddspolisens behandling av personuppgifter. Bestämmelserna motsvarar bestämmelserna i 1 § 3 mom. i dataskyddslagen avseende brottmål. I fråga om uteslutningen hänvisas för motiveringens del till detaljmotiveringen i lagen i fråga. På skyddspolisens behandling av personuppgifter tillämpas inte alls dataskyddsförordningen och med stöd av den utfärdade dataskyddslagen.
Paragrafens 3 mom. är informativt och iakttar bestämmelsen i 2 § i denna lag
47 §.Personuppgiftsansvarig. Skyddspolisen är personuppgiftsansvarig för de personuppgifter som avses i detta kapitel. Paragrafen motsvarar bestämmelsen i 7 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet, enligt vilken skyddspolisen är registeransvarig för det i 5 § avsedda skyddspolisens funktionella informationssystem.
48 §.Behandling av personuppgifter vid skyddspolisen. Definitionen av behandlingen av personuppgifter vid skyddspolisen motsvarar definitionen i 5 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet. I enlighet med den gällande och den föreslagna bestämmelsen får skyddspolisen behandla personuppgifter som behövs för utförande av de lagstadgade uppgifter som skyddspolisen ska sköta. I det fallet att lagstiftningsförslaget om civil underrättelseinhämtning träder i kraft är avsikten att i det sammanhanget slopa skyddspolisens förundersökningsuppgift och befogenheterna i anslutning till den. Detta kommer att framgå också av 10 § i polisförvaltningslagen. Då utredning av brott av denna orsak stryks i ändamålen med behandlingen så leder detta inte till att skyddspolisen inte också i fortsättningen ändå skulle ha behov av att behandla förundersökningsuppgifter för skötseln av sina egna uppdrag. I förundersökningsmaterial kan ingå uppgifter som behövs för skyddandet av den nationella säkerheten eller brottsbekämpning. Det är vanligt att det vid förundersökning avslöjas information med stöd av vilken man kan förhindra andra brott. Dessutom ska skyddspolisen också i fortsättningen fungera som sakkunnig i olika helheter av förundersökningar. Skyddspolisen ska vara sakkunnig i polisens förundersökningar i synnerhet när ärendet anknyter till den nationella säkerheten eller när det utreds om det har anknytning. Skyddspolisen ska utan undantag vara sakkunnig i synnerhet vid utredning av brottsrubriceringar som gäller terrorism, spioneri och motsvarande rubriceringar, men behovet av att med beaktande av den egna uppgiften vid behov delta och behandla personuppgifter finns också i fråga om andra förundersökningar, t.ex. sådana som gäller penningtvätt. Trots att ändamålet utredning av brott i och med lagstiftningen om civil underrättelseinhämtning stryks i paragrafen, får skyddspolisen således för skötseln av sina egna uppgifter fortfarande behandla material som anknyter till utredning av brott.
Skyddspolisen måste kunna bedöma behovet av personuppgifterna för de i 1 mom. avsedda ändamålen med behandlingen. Skötseln av skyddspolisens uppgifter kräver en omfattande informationsinhämtning, och det är inte nödvändigtvis möjligt att i fråga om alla tillgängliga informationsmassor omedelbart bedöma huruvida informationen är av betydelse eller inte med tanke på ett uppdrag. Enligt 2 mom. tillåts att de uppgifter som avses i 1 mom. tillfälligt får behandlas för att utreda huruvida en uppgift är av betydelse eller inte med tanke på skyddspolisens uppdrag. Till denna del motsvarar regleringen datainnehållet i den föreslagna bestämmelsen om registret för militär underrättelseverksamhet i 13 § i RP 13/2018 rd om behandling av personuppgifter inom Försvarsmakten. Med av betydelse hänvisas, som i fråga om militär underrättelseinhämtning, till uppfyllandet av tröskeln för behandling. Huruvida uppgifterna är av betydelse ska bedömas utan dröjsmål, dock senast inom sex månader från den tidpunkt då de registrerades. Ifall en uppgift inte inom utsatt tid har konstaterats vara behövlig för skötseln av uppdragen, eller i fråga om de särskilda personuppgiftskategorierna nödvändig, ska den utplånas ur registret. Tiden på sex månader ska anses som en skälig bakre gräns med tanke på myndighetens uppgifter, inom ramen för vilken bedömningen senast ska göras. Bestämmelserna motsvarar också dem som i 2 kap. föreslås för den övriga polisen.
Paragrafens 3 mom. innehåller en informativ hänvisning till säkerhetsutredningslagen, med stöd av vilken skyddspolisen också behandlar personuppgifter.
49 §.Behandling av grundläggande personuppgifter. Skyddspolisen får endast behandla personuppgifter behövliga med tanke på skyddspolisens uppgift.
Behandlingen av personuppgifter vid skyddspolisen motsvarar till sin karaktär närmast behandlingen av personuppgifter vid militär underrättelseinhämtning. Av denna orsak ska det i bestämmelserna om behandling av personuppgifter vid skyddspolisen beaktas vad som föreskrivs om behandling av personuppgifter vid militär underrättelseinhämtning.
Enligt förslaget formuleras bestämmelserna om behandling av grundläggande personuppgifter i en mer flexibel form än de gällande bestämmelserna om datainnehåll genom att regleringstekniskt övergå från enskilda uppgifter som får registreras till vilka uppgiftskategorier som är tillåtna på samma sätt som föreslås i fråga om Försvarsmakten i regeringens proposition 13/2018 rd. I lagen ska därmed inte längre föreskrivas om vilka enskilda personuppgifter som får behandlas, utan om uppgiftskategorier ifråga om vilka personuppgifter får behandlas. Det exaktare innehållet i varje uppgiftskategori bestäms utifrån användningsändamålet och behandlingströskeln. Exempelvis vilka enskilda personuppgifter som ska få behandlas utifrån uppgiftskategorins identifikationsuppgifter, ska grunda sig på hurdana identifikationsuppgifter man behöver behandla med tanke på ändamålet med användningen. Regleringstekniken ska till denna del vara mera flexibel än i dagsläget, eftersom innehållet i uppgiftskategorierna kan förändras i och med behandlingsbehoven och t.ex. teknikutvecklingen. Bestämmelserna om användningsändamål och tillåtna datainnehåll bör alltid tillämpas som en helhet och personuppgifter som inte behövs med tanke på användningsändamålet får därför inte behandlas, även om en bestämmelse om datainnehållet skulle tillåta det, om man läste den separat.
Ett undantag från den mer generella regleringstekniken i fråga om datainnehåll är dock fortfarande uppgifter som hör till särskilda kategorier av personuppgifter, s.k. känsliga uppgifter. Exempelvis ger uppgiftskategorin ”identifikationsuppgifter” i sig inte rätt till behandling av biometriska identifikationsuppgifter eller andra uppgifter som hör till de särskilda kategorierna av personuppgifter. Sådana personuppgifter ska dessutom få behandlas endast om behandlingen av dem är nödvändig, dvs. tröskeln för behandling av dem ska vara högre än för andra personuppgifter. De uppgifter som hör till de särskilda kategorierna av personuppgifter definieras i 11 § i dataskyddslagen avseende brottmål.
I och med ändringen av regleringstekniken görs inte några betydande ändringar i behandlingen av personuppgifter vid skyddspolisen jämför med den gällande lagen. De grundläggande personuppgifter som skyddspolisen behandlar motsvarar de uppgifter som skyddspolisen behandlar redan med stöd av den gällande lagen som grund.
Enligt 1 mom. 2 punkten får identifikationsuppgifter som grundar sig på en persons fysiska egenskaper samt ljud- och bildupptagningar behandlas, genom vilka en viss person kan identifieras eller som kan kopplas till en viss person. Identifikationsuppgifter som grundar sig på fysiska egenskaper är bl.a. personens längd, vikt, ögonfärg och andra yttre kännetecken. Med stöd av denna punkt kan med iakttagande av den högre behandlingströskeln uppgifter som hör till särskilda kategorier av personuppgifter också behandlas.
I övriga identifikationsuppgifter enligt 3 punkten ingår bl.a. personens namn och kön. Med stöd av denna punkt får uppgifter utifrån vilka en person kan identifieras behandlas. Uppgifterna kan också vara identifikationsuppgifter som grundar sig på fysiska egenskaper. Identifikationsuppgifter är dock som begrepp mera vidsträckt än endast de i 2 mom. avsedda identifikationsuppgifterna som grundar sig på fysiska egenskaper och de omfattar bl.a. en persons tatueringar eller andra motsvarande yttre kännetecken.
I uppgifter om medborgarskap och familjeförhållanden i 4 punkten ingår bl.a. uppgifter om uppgifter om medborgarskap, tidigare medborgarskap, statslöshet, nationalitet samt behövliga uppgifter i anslutning till familjeförhållanden.
De uppgifter som avses i 5, 6 och 7 punkten kräver som uppgiftskategorier inte något förtydligande, utan de omfattar, som det står i punkterna, bosättningsort, uppgifter om utbildning och yrke samt arbetslivserfarenhet och tidigare anställningar och personens kontaktuppgifter. I uppgifterna om bosättningsort ingår uppgifter om en persons hemkommun och grunderna för en persons vistelse i Finland. Uppgifter i anslutning till en pesons vistelse i Finland kan också hänföras till andra punkter, t.ex. uppgifter om resande.
Uppgifter som avses i 8 punkten och som anknyter till resande ska vara bl.a. uppgifter i resedokument samt andra behövliga uppgifter i anknytning till inresa och gränsöverskridande, t.ex. uppgifter om passagerare inom flygtrafiken.
Med stöd av 10 punkten får identifikationsuppgifter, som kan vara t.ex. de IP-adresser och telefonnummer som personen använder och de förmedlingsuppgifter som hänför sig till kommunikationen, behandlas. Identifikationsuppgifter kan också vara fastighetsbeteckningar i fastighetsdatasystemet, när man uttryckligen har för avsikt att med stöd av dem identifiera ägaren till en fastighet.
Uppgifter om en juridisk person enligt 11 punkten är som begrepp omfattande och gör det möjligt bl.a. att behandla uppgifter som gäller en juridisk persons ägar- och bestämmanderättsförhållanden, om behandlingen av uppgifterna är behövlig med tanke på ändamålet med behandlingen.
Momentets 12 punkt är till sitt innehåll verkligt omfattande och med stöd av den får sådana uppgifter som gäller en persons verksamhet och beteende behandlas som kan ha betydelse med tanke på ändamålet med personuppgiftsbehandlingen vid skyddspolisen. Sådana uppgifter är t.ex. en persons kontakter, levnadssätt, hobbyer, andra intressen eller andra motsvarande uppgifter. Behandlingen av dessa uppgifter ska vara behövlig med tanke på skyddspolisens uppdrag. Med stöd av denna punkt kan med iakttagande av den högre behandlingströskeln uppgifter som hör till särskilda kategorier av personuppgifter också behandlas.
Enligt 2 mom. får skyddspolisen dessutom behandla i 11 § i dataskyddslagen avseende brottmål definierade uppgifter som gäller särskilda kategorier av personuppgifter om det är nödvändigt för att skyddspolisen ska kunna utföra sina uppgifter. I nödvändiga uppgifter som hör till särskilda kategorier av personuppgifter kan ingå också andra uppgifter än de som hör till de i 1 mom. avsedda uppgiftskategorierna. I fråga om uppgiftsinnehållet görs inga betydande ändringar jämfört med den gällande regleringen. Den enda ändringen jämfört med den gällande regleringen är bestämmelserna om biometriska uppgifter. Skyddspolisen får redan i dagsläget direkt med stöd av lagen behandla biometriska uppgifter och får sådana också vid internationellt samarbete varför det är motiverat att bestämmelser om behandlingen av dem också ingår i den lag som gäller behandling av personuppgifter.
50 §.Utlämnande av personuppgifter. Skyddspolisens primära uppgift är att skaffa information för att skydda den nationella säkerheten. I detta syfte måste det också vara möjligt att trots sekretessbestämmelserna lämna ut uppgifter. Personuppgifter ska kunna lämnas till behöriga myndigheter, sammanslutningar som sköter offentliga uppgifter och i vissa fall också till privata aktörer. I paragrafen föreslås med tanke på den gällande lagstiftningen inte några ändringar i sak. Den enda ändringen är att termen nationell säkerhet används i stället för statens säkerhet som i den gällande lagen. I sak motsvarar termerna dock varandra.
Enligt 1 mom. får skyddspolisen till andra myndigheter eller sammanslutningar som sköter offentliga uppgifter lämna ut personuppgifter som skyddspolisen behöver för att utföra sina egna uppgifter. Till denna del föreslås inte några ändringar i den gällande lagstiftningen, dvs. i och med regleringen kvarstår nuläget.
Enligt 2 mom. får skyddspolisen, på samma sätt som den övriga polisen, lämna ut personuppgifter också till andra myndigheter för att en uppgift som föreskrivs för dem ska kunna utföras. Till denna del hänvisas i momentet till 4 kap. i denna lag och till motsvarande reglering i fråga om den övriga polisen. I momentet avses alltså utlämnande av information i situationer där utlämnandet inte behövs för utförandet av skyddspolisens egna uppgift, utan för utförandet av en uppgift som det föreskrivs att en annan myndighet eller polisenhet ska sköta. Skyddspolisen kan då med stöd av detta moment lämna ut personuppgifter till andra polisenheter när detta behövs för de ändamål som föreskrivs i 13 §. Till denna del ska skyddspolisen iaktta vad som föreskrivs om befogenheter. Om bestämmelserna om utlämnande av uppgifter i brottsbekämpning begränsas i lagstiftningen om civil underrättelseinhämtning, ska dessa bestämmelser iakttas. Med denna bestämmelse om nyttjandebegränsning avses den s.k. brandmursbestämmelsen i lagstiftningen om civil underrättelseinhämtning, dvs. i 5 a kap. 44 § polislagen. När personuppgifter och uppgifter om brott i anknytning till dem har fåtts genom en metod för underrättelseinhämtning, ska bestämmelsen i fråga iakttas när uppgifterna lämnas ut för brottsbekämpning. Därmed får skyddspolisen lämna ut personuppgifter till andra polisenheter och myndigheter för skötseln av deras uppgifter, om utlämnandet av uppgifterna inte har begränsats eller förbjudits med stöd av någon annan bestämmelse.
I 3 mom. föreskrivs om skyddspolisens möjlighet att registrera uppgifter direkt i polisens register. Bestämmelser om möjligheten att genom en teknisk anslutning direkt registrera uppgifter i polisens register finns i 17 §, varför momentet i denna paragraf är av informativ karaktär. Skyddspolisen får föra in uppgifter i polisens register för skötseln av en egen sådan uppgift, dvs. att skydda den nationella säkerheten, där också den övriga polisen behövs. Skyddspolisen får också lämna ut uppgifter till polisen som behövs för utförandet av ett annat uppdrag som polisen ska sköta. Skyddspolisen kan ha eller få uppgifter som är behövliga för ett uppdrag som polisen ska sköta och som inte anknyter till utförandet av skyddspolisens egna uppgifter. Dessa uppgifter ska kunna överföras för skötseln av en annan polisenhets uppdrag.
I 4 mom. finns bestämmelser om hur personuppgifter lämnas ut till privata sammanslutningar och personer. Utlämnande av personuppgifter trots sekretessbestämmelserna till privata aktörer är ovanligt och kräver att det är nödvändigt för att skyddspolisen ska kunna utföra sina uppgifter.
51 §. Utlämnande av personuppgifter i internationellt samarbete. I paragrafen föreslås inte några ändringar i den gällande lagstiftningen om behandling av personuppgifter i internationellt samarbete. Paragraferna motsvarar 29 och 30 § i gällande lag. En central uppgift för skyddspolisen är internationellt samarbete med utländska säkerhets- och underrättelsetjänster. I denna avsikt får skyddspolisen lämna ut personuppgifter också till utländska behöriga myndigheter. Skyddspolisen får lämna ut personuppgifter förutom till utländska säkerhets- och underrättelsetjänster också till andra myndigheter som har till uppgift att skydda den nationella säkerheten, trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet eller att förebygga och utreda brott och föra brott till åtalsprövning. Dessutom får skyddspolisen vid behov samarbeta också med internationella kriminalpolisorganisationer. Skyddspolisen får samarbeta med och lämna ut personuppgifter till också andra internationella myndigheter, t.ex. Europol och Interpol, när myndigheten i fråga ska sköta de uppgifter som i denna paragraf namns för andra utländska myndigheter.
Villkoret för att lämna ut uppgifter är att de är nödvändiga med tanke på uppgiften i fråga. Till denna del kvarstår tröskeln enligt den gällande lagen för lämnande av uppgifter.
Med stöd av 2 mom. får skyddspolisen också lämna ut personuppgifter för att en utländsk myndighet ska kunna utföra sina uppdrag. Skyddspolisens uppgift är inte att skydda en annan stats nationella säkerhet, varför det ska föreskrivas särskilt om nödvändigt utlämnande av uppgifter för att en utländsk myndighet ska kunna utföra sina uppdrag. I allt utlämnande av personuppgifter ska de grundläggande principerna för behandling av personuppgifter samt de grundläggande fri- och rättigheterna och de mänskliga rättigheterna iakttas.
I 3 mom. föreskrivs att skyddspolisen får lämna ut personuppgifter till övernationella register på samma sätt som den övriga polisen. I datasystem som grundar sig på internationellt samarbete inom Europol och Schengen och annat internationellt samarbete får uppgifter föras in direkt i enlighet med vad som föreskrivs i lagstiftningen om dem. Skyddspolisen använder redan dessa datasystem med stöd av den gällande lagen, så det föreslås inte några ändringar jämfört med nuläget.
Enligt 4 mom. ska det när beslut fattas om utlämnande av uppgifter beaktas människorättssituationen i den stat som är mottagare av personuppgifterna, utlämnandets betydelse för Finlands internationella relationer samt och andra förpliktelser som binder Finland. Skyddspolisen ska i all sin verksamhet respektera de grundläggande fri- och rättigheterna och de mänskliga rättigheterna samt välja det motiverbara alternativ som bäst tillgodoser dessa rättigheter. På detta sätt ska skyddspolisen agera också när den behandlar personuppgifter och lämnar ut personuppgifter till utlandet. Vid prövningen ska i möjligaste mån också beaktas nivån på datasekretessen för den som tar emot uppgifterna och betydelsen av utlämnandet av uppgifterna med tanke på den registrerades rättigheter.
I 5 mom. förbjuds utlämnande i stor omfattning av personuppgifter som hör till särskilda kategorier av personuppgifter till andra stater eller internationella organisationer. Behandlingen av uppgifter som hör till särskilda kategorier av uppgifter ingriper djupare i integritetsskyddet och man ska därför i regel förhålla sig restriktivt till utlämnande av dem till utlandet. Om det ändå är behövligt att lämna ut sådana uppgifter ska utlämnandet i enlighet med 1 och 2 mom. vara nödvändigt, noga övervägt och riktat. Momentet är nytt i förhållande till den gällande lagstiftningen. Utlämnande av personuppgifter av motsvarande slag är redan med stöd av den gällande lagen förbjudet och vid all behandling av personuppgifter ska principen om minsta olägenhet och de grundläggande fri- och rättigheterna och de mänskliga rättigheterna iakttas. För tydligheten skull införs momentet dock uttryckligen i lagen.
Enligt 6 mom. ska det enligt behov eftersträvas att minska risken för att uppgifterna missbrukas genom att foga villkor till utlämnandet, vilka gäller ändamålet med personuppgifterna och vidareöverlåtelsen av dem. Också detta moment är nytt och där införs i lagen nuvarande praxis och den gällande princip som iakttas också utan någon uttrycklig bestämmelse.
52 §.Rätt att få uppgifter. Skyddspolisen har med stöd av 1 mom. rätt att få sådana uppgifter ur den övriga polisens informationssystem som behövs för att skyddspolisen ska kunna utföra sin uppgifter. Inga ändringar jämfört med nuläget föreslås till denna del, den enda ändringen är att det föreskrivs särskilt om rätten att få uppgifter. Skyddspolisen är en polisenhet och behöver personuppgifter som polisen behandlar med stöd av 2 kap. eller någon annan lag för att utföra sin egen uppgift. Exempelvis registreras utlänningars signalementsuppgifter med stöd av 131 § i utlänningslagen i polisens register, som skyddspolisen dock använder i enlighet med det ursprungliga ändamålet med insamlingen av uppgifterna enligt 131 § i utlänningslagen för tryggande av statens säkerhet. De i 2 kap. avsedda personuppgifterna är genom en teknisk anslutning tillgängliga för skyddspolisen för skötseln av skyddspolisens uppgifter precis på motsvarande sätt som alla andra polisenheter har tillgång till dem. Personuppgifter som behandlas av den övriga polisen är en ytterst viktig informationskälla för skyddspolisen när den utför sina lagstadgade uppgifter. Med tanke på ett effektivt skyddande av den nationella säkerheten är det av största vikt att skyddspolisen, på samma sätt som för närvarande, har tillgång till personuppgifter som behandlas av den övriga polisen.
I 16 § i polisens gällande personuppgiftslag föreskrivs om användning av uppgifterna för andra ändamål än de som uppgifterna har samlats in och registrerats för. I propositionen ingår en motsvarande bestämmelse i 2 kap. 13 § och i fråga om särskilda personkategorier i 14 §. Enligt motiveringen till den gällande lagen ingår i 16 § sådana bestämmelser som avviker från ändamålsbegränsningen som kan betraktas som nödvändiga i ett demokratiskt samhälle för att bl.a. skydda statens säkerhet, den allmänna säkerheten samt för brottsbekämpning.
På grund av den föreslagna regleringsstrukturen och ändringen av skyddspolisens administrativa ställning har det bedömts att skyddspolisens rätt att få information inte längre kan ordnas som ett förenligt ändamål med behandlingen. En ytterligare skillnad i förhållande till den gällande lagen är att på behandlingen av personuppgifter vid skyddspolisen ska endast detta kapitel tillämpas. Av denna orsak ska det föreskrivas separat att skyddspolisen har rätt att få sådana uppgifter som behandlas med stöd av 2 kap., om de behövs för att skyddspolisen ska kunna utföra sina uppgifter. Denna paragraf ersätter alltså 16 § i den gällande lagen.
Genom lösningen är syftet inte att ändra på skyddspolisens möjlighet att använda uppgifter som den övriga polisen har samlat in för olika användningsändamål i samband med skötseln av sina uppgifter. På motsvarande sätt som det konstateras om förebyggande och avslöjande av brott i 7 §, gäller det omfattande behovet av att länka samman och analysera uppgifter också skyddspolisens underrättelseverksamhet. På samma sätt som enligt den gällande lagen ska uppgifter som samlats in för att utreda eller förhindra brott kunna användas för att upprätthålla den nationella säkerheten. Dessutom ska skyddspolisen fortfarande ha den beskrivna rollen vid förundersökningar. Rätten att få uppgifter omfattar också uppgifter som i stor omfattning samlats in för administrativa ändamål. Exempelvis är uppgifterna i vapenregistret viktiga för att man ska kunna följa hur skyddspolisens målpersoner försöker skaffa vapen. På motsvarande sätt gäller rätten att få uppgifter också de uppgifter som hör till särskilda kategorier av personuppgifter, som skyddspolisen behöver för att kunna utföra sina uppgifter samt material som samlats in vid teknisk övervakning. I 2 kap. 13 § 1 mom. 6 punkten hänvisas vidare till den nationella säkerheten, som för sin del också speglar skyddspolisens rätt att använda uppgifterna.
När lösningen bedömdes övervägdes också möjligheten att införa skyddspolisen som gemensamt personuppgiftsansvarig för polisens informationssystem. Under beredningen stannade man dock för att föreslå utlämnande av uppgifter genom en teknisk anslutning eller som en datamängd, med beaktande av att genom bestämmelserna om utlämnande avgränsas ansvaret mer tydligt i förhållande till den faktiska användningen av register.
I 2 mom. föreskrivs att skyddspolisen har motsvarande rätt som den övriga polisen har att få uppgifter i enlighet 3 kap. ur andra myndigheters register och informationssystem. För att utföra sina uppgifter ska skyddspolisen få uppgifter av de aktörer som nämns och på det sätt som nämns i kapitlet. Skyddspolisen har också rätt att förelägga vite i enlighet med i 19 § på samma sätt som den övriga polisen.
I 3 mom. föreskrivs att skyddspolisen har rätt att få uppgifterna avgiftsfritt, om inte något annat föreskrivs i lag. Inte heller till denna del görs några ändringar i bestämmelserna i 13 § i den gällande lagen.
53 §.Behandling av personuppgifter som erhållits i internationellt samarbete. Paragrafen motsvarar 31 § i den gällande lagen. Enligt bestämmelsen ska vid behandlingen av personuppgifter som fåtts från utländska säkerhets- och underrättelsetjänster i fråga om sekretess, tystnadsplikt, begränsningar i användningen av uppgifter, vidare överlåtelse av uppgifter eller återsändande av utlämnat material iakttas vad som anges i de villkor som den som lämnat ut uppgifterna ställt. Med villkor avses endera uttryckligen nämnda villkor eller vedertagen praxis mellan parterna i informationsutbytet. I bestämmelsen ingår ingen förpliktelse att i fråga om materialets förstörande iaktta krav ställda av den som lämnar ut uppgifterna, utan till denna del tillämpas skyddspolisens egna gällande bestämmelser om bevaringstid för uppgifterna. Den nämnda begränsningen behövs i synnerhet för att säkerställa lagenligheten för informationsutbytet i situationer när uppgifter lämnats ut från Finland till utlandet på grund av de uppgifter som fåtts från utlandet.
54 §.Skyddspolisens rätt att upprätthålla sitt personregister. Den föreslagna bestämmelsen är ny i förhållande till den gällande lagen. Syftet med bestämmelsen är att främja dataskyddet och säkerställa att de uppgifter som förts in i skyddspolisens register är korrekta och uppdaterade. Eftersom skyddspolisens personregister innehåller uppgifter som behandlas för skyddande av den nationella säkerheten, är registret föremål för särskilda informationssäkerhets- och dataskyddsrisker och synnerligen allvarliga hot om olaglig underrättelseverksamhet. För att hantera dessa har registret klassificerats på en hög informationssäkerhetsnivå och på grund av detta har systemet inga automatiserade kontakter utåt. Av denna orsak kan uppdateringen av uppgifterna inte heller göras på samma sätt som i system med en lägre informationssäkerhetsnivå, där uppgifterna kan uppdateras genom direkta förfrågningar om registrerade personer. Ett centralt krav är att det till ett register med lägre informationssäkerhetsnivå inte överförs uppgifter från ett register med högre informationssäkerhetsnivå i samband med en förfrågan. På grund av detta måste uppdateringen av uppgifter i register med hög informationssäkerhetsnivå göras så att det i det mottagande registret inte uppstår logguppgifter eller andra datamängder som gäller vilka uppgifter i skyddspolisens personregister som har uppdaterats. Avslöjande av objekt eller intressen som är föremål för skyddspolisens informationsinhämtning för utomstående eller för objekten själv kan äventyra den nationella säkerheten.
Den föreslagna bestämmelsen kan med tanke på skyddet för personlig integritet inte anses vara särskilt betydande, eftersom möjligheten till jämförande inte utvidgar datainnehållet som skyddspolisen redan för närvarande har rätt till. Bestämmelsen gör lagstiftningen tydligare och mer exakt till den del skyddspolisen har rätt att få behövliga personuppgifter för skötseln av sina uppgifter och förvaltningen av sitt register genom en teknisk anslutning eller som en datamängd. Bestämmelsen ändrar inte på det rådande rättsläget, men beaktar de krav som den tekniska utvecklingen ställer på dataskyddet och registrets korrekthet.
I 31 § i dataskyddslagen avseende brottmål föreskrivs om skydd av personuppgifter. Enligt den föreslagna paragrafen ska den personuppgiftsansvarige och personuppgiftsbiträdet genom tekniska och organisatoriska åtgärder se till att personuppgifterna är tillräckligt skyddade med hänsyn till den risk för den registrerades rättigheter som behandlingen medför. Personuppgifterna ska särskilt skyddas för obehörig behandling och mot förlust, förstöring eller skada genom olyckshändelse. Åtgärder som ska planeras och genomföras med beaktande av den senaste tekniska utveckling, kostnaderna för att genomföra åtgärderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter.
I 19 § i dataskyddslagen avseende brottmål föreskrivs om logguppgifter. Den personuppgiftsansvarige och personuppgiftsbiträdet ska se till att logguppgifter bevaras över insamling, ändring, läsning, utlämnande, överföring, sammanförande och utplåning av personuppgifter som utförts i deras automatiserade behandlingssystem. De logguppgifter som gäller läsning och utlämnande ska göra det möjligt att utreda grund, datum och tidpunkt för läsning och utlämnande och i möjligaste mån vem som har läst eller lämnat ut personuppgifterna samt mottagarnas identitet. Logguppgifterna får användas endast för att kontrollera om behandlingen är lagenlig, för intern kontroll, för att säkerställa personuppgifternas integritet och säkerhet samt inom ramen för straffrättsliga förfaranden. Vid jämförelseuppgiftsgranskningen uppkommer ett spår i systemet för den som lämnar ut uppgifterna i fråga om den datamängd som skyddspolisen har begärt. I skyddspolisens register uppkommer på motsvarande sätt logguppgifter för mottagna uppgifter, eventuella jämförelseträffar och uppgifter som överförts till registret. Registret ska vara underställt ett heltäckande loggsystem så att effektiv laglighetskontroll kan utföras över registret. Den rättsliga grunden för varje utlämnande av uppgifter ska kunna säkerställas också i efterhand.
I 1 mom. kopplas rätten att jämföra till den lagenliga rätten att få och lämna ut uppgifter. Bestämmelser om skyddspolisens rätt att få uppgifter finns i 52 § i denna lag. I bestämmelsen upprepas för tydlighetens skull att skyddspolisen trots sekretessbestämmelserna har rätt att få uppgifter för skötseln av sina uppdrag. En större datamängd ur det register varifrån uppgifterna lämnas jämförs genom automatisk behandling med personuppgifterna i skyddspolisens register. Personregistren står inte i direkt kontakt med varandra, utan de jämförs på en särskild teknisk plattform. Den tillräckliga mängden jämförelseuppgifter bedöms från fall till fall. Den kan gälla t.ex. ändrade uppgifter, ett visst urvalsförfarande eller hela registerinnehållet. Vid tolkningen och tillämpningen av bestämmelsen ska i enskilda fall alltid de grundläggande principerna för behandling av personuppgifter beaktas.
Före överföringen av uppgifterna inleds ska det utredas hur man ur olika register och informationssystem tekniskt kan hämta ut de jämförelseuppgifter och övriga uppgifter som behövs och sammanställa dem i elektronisk form så att datainnehållet uppfyller jämförelsebehovet, och att hämtningen och sammanställningen av uppgifterna inte orsakar onödigt extra arbete och kostnader för den aktör som lämnar ut uppgifterna. Samtidigt minimeras behovet av extra behandling av uppgifterna.
I 1 mom. föreskrivs också om skyldigheten att förstöra onödiga uppgifter. Efter att analysen och behandlingen av jämförelseuppgifterna har gjorts ska onödiga jämförelseuppgifter raderas utan dröjsmål. I praktiken jämförs uppgifterna i en informationssäker miljö och sedan förstörs de uppgifter som har visat sig vara onödiga omedelbart. För tydlighetens skull indelas behandlingen av personuppgifter närmare i olika delar i paragrafen. Utgångspunkten är att man med behandling av personuppgifter avser alla åtgärder i anslutning till behandlingen av personuppgifter. I detta sammanhang nämns som en särskild tröskel registreringen av personuppgifter. Indelningen är ett uttryck för att det i skyddspolisens register till följd av jämförelsen inte ska finnas personer som inte uppfyller de föreslagna kraven i 48 och 49 §.
I 2 mom. är det fråga om att för jämförelse föra in personuppgifter i en separat del av skyddspolisens informationssystem, för vilka den nationella säkerheten föreskrivits som det ursprungliga eller som ett annat än det ursprungliga ändamålet med behandlingen. Behandlingen av uppgifter sker i sin helhet i ett informationssystem med hög informationssäkerhetsnivå utan onödiga överföringar av uppgifterna till informationssystem med lägre informationssäkerhetsnivå, vilket väsentligt höjer informationssäkerheten. Förfarandet behövs också med anledning av de informationssäkerhetskrav som beskrivs ovan.
Syftet med bestämmelsen är att göra det möjligt att använda uppgifterna i situationer när behovet av att behandla samma uppgifter är återkommande. Av denna orsak, i motsats till i fråga om uppgifterna enligt 1 mom., behöver uppgifterna inte raderas omedelbart efter jämförelsen, om man vet att jämförelsen ska göras upprepade gånger. Den insamlade datamängden ska dock förstöras genast när syftet med behandlingen av uppgifterna har uppnåtts. Med datamängd avses i detta sammanhang en icke närmare definierad utifrån sitt användningsändamål avgränsad grupp, som kan vara t.ex. ett register, en del av ett register, en databas eller konsoliderade uppgifter. I bestämmelsen definieras inte särskilt de personuppgiftskategorier som får jämföras. Därmed kan också särskilda kategorier av personuppgifter bli aktuella. Förfarandet ska tillämpas endast i sådana situationer när det anses vara nödvändigt att överföra en större datamängd från ett informationssystem för att göra behandling av personuppgifter i ett visst definierat syfte möjlig. De insamlade uppgifterna ska hållas åtskilda från andra uppgifter. I praktiken innebär detta att uppgifterna ska bevaras i en del av informationssystemet i fråga om vilken rätten till tillträde är särskilt begränsad. Uppgifterna i fråga ska användas för att skydda den nationella säkerheten, som endera ska vara det ursprungliga användningsändamålet för uppgifterna eller ett annat än det ursprungliga föreskrivet ändamål.
I 3 mom. föreskrivs att skyddspolisen har rätt att få uppgifterna avgiftsfritt, om inte något annat föreskrivs i lag. Det kan medföra kostnader och extra arbete för den personuppgiftsansvarige att hämta uppgifter ur register för granskning och eventuellt kombinera dem. Detta ska emellertid om det är möjligt beaktas när uppgifter ur ett material begärs och när sådana begäranden avgränsas. I praktiken innebär polisens begäran om information alltid extra arbete för mottagaren av begäran.
55 §.Behandling av personuppgifter för annat ändamål än det ursprungliga. Skyddspolisen får utöver vad som föreskrivs om överensstämmande ändamål i 5 § 3 mom. i dataskyddslagen avseende brottmål behandla uppgifter i skyddspolisens register även för med dem jämförbara ändamål, dvs. laglighetsövervakning, planering och utveckling. På samma sätt som i dagsläget får personuppgifter också för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. Det föreslagna momentet motsvarar 16 § 2 mom. om laglighetsövervakning samt planerings-, utvecklings- och utbildningsverksamhet i den gällande lagen. I den gällande lagen ändrades 16 § 2 mom. genom ändringen 1181/2013 som trädde i kraft vid ingången av 2014 så att användningen av uppgifterna i informationssystemet för laglighetsövervakning uttryckligen nämns som ett användningsändamål. Det är viktigt att hålla kvar denna bestämmelse, också med beaktande av behovet att stärka den ändamålsenliga tillsynen av informationssystemen.
56 §.Inskränkningar i rätten till insyn. Bestämmelsen motsvarar 45 § i den gällande lagen. Inskränkningarna i rätten till insyn omfattar alla personuppgifter som skyddspolisen behandlar med stöd av detta kapitel. I dataskyddslagen avseende brottmål föreskrivs om indirekt rätt till insyn. Av denna orsak föreskrivs i denna paragraf att den indirekta rätten till insyn kan användas på det sätt som avses i 29 § i dataskyddslagen avseende brottmål. Inte heller till denna del föreslås några ändringar jämfört med nuläget.
Rätten till insyn kan användas också med stöd av den gällande lagen genom att lämna en begäran om utövande av indirekt rätt till insyn till en polisinrättning och samtidigt bekräfta sin identitet. Till denna del iakttas vad polisen föreskriver om det praktiska ordnandet av utövande av indirekt rätt till insyn. I det fall att polisen gör det möjligt att elektroniskt lämna en begäran om utövande av rätt till insyn, får en begäran om utövande av rätt till insyn i fråga om personuppgifter som skyddspolisen behandlar lämnas på samma sätt via polisen.
57 §.Radering av uppgifter. Bestämmelsen motsvarar 25 § i den gällande lagen. Som en ny bestämmelse införs i lagen en möjlighet att bevara uppgifter över 25 år, om det finns särskilda skäl i anslutning till skyddspolisens uppgifter att fortfarande bevara dem. I lagen införs skyldighet att bedöma behovet av uppgifterna och grunderna för behandlingen av dem med fem års mellanrum i det fallet att uppgifterna behöver bevaras längre än maximitiden enligt lagen. Om det konstateras att uppgifterna fortfarande behöver bevaras, görs en anteckning om att bedömningen gjorts i anslutning till personuppgiften.
Den kortare bevaringstiden ska även gälla i 48 § 2 mom. avsedda uppgifter som behandlas för att bedöma deras betydelse. Uppgifterna ska raderas utan dröjsmål efter att de har bedömts vara onödiga, dock senast sex månader efter att de antecknats. Om raderingen av uppgifter ska det emellertid med anledning av behandlingens exceptionella natur föreskrivas direkt i samband med bestämmelsen om behandlingen i 48 § 2 mom.
58 §.Uppgifter som konstaterats vara felaktiga. I paragrafen föreskrivs, på motsvarande sätt som i fråga om den övriga polisen, en möjlighet att bevara en uppgift som konstaterats vara felaktig om detta behövs för ett i paragrafen beskrivet ändamål. Enligt 2 mom. ska en uppgift som konstaterats vara felaktig raderas genast när den inte längre behövs för något av de ändamål som avses i paragrafen.
59 §.Arkivering av uppgifter. I paragrafen ingår en informativ hänvisning till den lagstiftning som ska tillämpas på arkivfunktionens uppgifter och handlingar som ska arkiveras.
8 kap. Särskilda bestämmelser
60 §.Personuppgiftsansvarig. I paragrafen preciseras vilken enhet inom polisen som är personuppgiftsansvarig för de personuppgifter som behandlas för de ändamål med behandlingen som föreskrivs i 2 kap. Eftersom det i propositionen inte föreslås bestämmelser om inrättande av sådana i 6 § 2 mom. i den gällande lagen avsedda personregister för användning av en eller flera polisenheter, är Polisstyrelsen personuppgiftsansvarig för all behandling av personuppgifter i enlighet med ändamålen i 2 kap. Polisstyrelsen är på motsvarande sätt som i 7 § i den gällande lagen personuppgiftsansvarig för det nationella systemet inom Schengens informationssystem.
61 §.Ikraftträdande. Det föreslås att lagen träder i kraft så snart som möjligt. Genom lagen upphävs lagen av den 1 oktober 2003 om behandling av personuppgifter i polisens verksamhet (761/2003).
I 3 mom. ingår en övergångsbestämmelse om raderingstider för personuppgifter som avses i 5—8, 11 och 12 §. Raderingen av uppgifterna ska genomföras i enlighet med denna lag inom fyra år från lagens ikraftträdande.
På radering av personuppgifter som behandlas för att förebygga och avslöja brott samt för skötseln av polisens övriga lagstadgade uppgifter tillämpas under övergångstiden bestämmelserna om radering av uppgifter i informationssystemet för förvaltningsärenden, informationssystemet för polisärenden och polisens övriga personregister i lagen om behandling av personuppgifter i polisens verksamhet sådana de lyder vid ikraftträdande av denna lag. På radering av personuppgifter i anknytning till undersöknings- och övervakningsuppgifter tillämpas dock bestämmelserna om radering av uppgifter i informationssystemet för polisärenden sådana de lyder före ikraftträdandet av lagändring 1181/2013 vid ingången av 2014.
Då lagändring 1181/2013 stiftades pågick redan reformen av informationssystemet för polisärenden (Vitja-projektet). De ändringar i fråga om raderingstiderna för uppgifter som trädde i kraft vid ingången av 2014 ansågs på grund av de stora kostnaderna inte vara ändamålsenliga att genomföra i det gamla informationssystemet för polisärenden. Av denna orsak infördes en övergångsbestämmelse i lagens ikraftträdandebestämmelse, enligt vilken den databehandling som avses i lagen ska genomföras i enlighet med lagen inom fyra år från ikraftträdandet av lagen. På grund av att Vitja-projektet försenades var det inte möjligt att enligt den tidsplan som förutsätts i ikraftträdandebestämmelsen i lag 1181/2013 genomföra uppdateringen av informationssystemet för polisärenden före den 1 december 2018. De bedömdes dessutom vara ändamålsenligt att vänta på bedömningen av ändringsbehoven i fråga om raderingstiderna i samband med totalreformen av lagen om behandling av personuppgifter i polisens verksamhet före genomförandet av ändringarna i fråga om informationssystemet för polisärenden i enlighet med lagändring 1181/2013. Övergångstiden för utplåning av uppgifter ur informationssystemet för polisärenden i enlighet med den gällande 22 § förlängdes med två år till den 1 januari 2020 genom lagändring 1052/2017. Det är ändamålsenligt att ytterligare förlänga övergångstiden, så att raderingstiderna kan genomföras i enlighet med 5 kap. i denna lag under övergångstiden.