Beaktats t.o.m. FörfS 1003/2019.

10.5.2019/616

Lag om behandling av personuppgifter i polisens verksamhet

Se anmärkningen för upphovsrätt i användningsvillkoren.

I enlighet med riksdagens beslut föreskrivs:

1 kap

Allmänna bestämmelser

1 §
Tillämpningsområde

Om inte annat föreskrivs någon annanstans i lag, tillämpas denna lag på behandling av personuppgifter som behövs för skötseln av polisens uppgifter enligt 1 kap. 1 § i polislagen (872/2011), om

1) behandlingen är helt eller delvis automatisk, eller

2) personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant.

På behandlingen av personuppgifter som behövs för skötseln av skyddspolisens uppgifter tillämpas 7 kap.

2 §
Förhållande till annan lagstiftning

Om inte något annat föreskrivs i denna lag

1) tillämpas på behandlingen av personuppgifter i syfte att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning, samt för att skydda mot eller förebygga hot mot den allmänna säkerheten lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054 /2018) nedan dataskyddslagen avseende brottmål,

2) tillämpas på rätten till information och annat utlämnande av personuppgifter ur myndigheternas personregister vad som föreskrivs om offentlighet i myndigheternas verksamhet.

Bestämmelser om behandling av personuppgifter finns dessutom i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och i dataskyddslagen (1050 /2018).

Vid behandlingen av personuppgifter ska bestämmelserna i 1 kap. i polislagen om respekt för de grundläggande rättigheterna och de mänskliga rättigheterna, proportionalitetsprincipen, principen om minsta olägenhet och principen om ändamålsbundenhet iakttas.

Behandlingen av personuppgifter får inte utan godtagbart skäl grunda sig på en persons ålder, kön, ursprung, nationalitet, bosättningsort, språk, religion, övertygelse, åsikt, politiska verksamhet, fackföreningsverksamhet, familjeförhållanden, hälsotillstånd, funktionsnedsättning, sexuella läggning eller någon annan orsak som gäller hans eller hennes person.

Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen (39/1889).

I fråga om polisens informationsinhämtning och befogenheter i anknytning till den gäller vad som föreskrivs särskilt.

3 §
Definitioner

I denna lag avses med

1) författningsgrunden för Schengens informationssystem Europaparlamentets och rådets förordning (EG) nr 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), rådets beslut 2007/533/RIF om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) samt Europaparlamentets och rådets förordning (EG) nr 1986/2006 om tillträde till andra generationen av Schengens informationssystem (SIS II) för de enheter i medlemsstaterna som ansvarar för att utfärda registreringsbevis för fordon,

2) Schengens informationssystem andra generationen av Schengens informationssystem så som det definieras i författningsgrunden för Schengens informationssystem (SIS II),

3) det nationella systemet inom Schengens informationssystem systemet N.SIS II enligt författningsgrunden för Schengens informationssystem,

4) behöriga Schengenmyndigheter polisen, Gränsbevakningsväsendet, Tullen, Försvarsmakten, åklagarna, Migrationsverket, Transport- och kommunikationsverket, utrikesministeriet samt finländska beskickningar, om utrikesministeriet har beviljat en finsk medborgare som tjänstgör där behövligt bemyndigande att bevilja visum,

5) Europolförordningen Europaparlamentets och rådets förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF,

6) Eurodacförordningen Europaparlamentets och rådets förordning (EU) nr 603/2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa.

2 kap

Behandling av personuppgifter

4 §
Behandling av grundläggande personuppgifter

Polisen får för de ändamål som anges i 5, 7, 9 och 11 § behandla följande grundläggande personuppgifter:

1) namn,

2) födelsedatum och födelseort,

3) personbeteckning,

4) kön,

5) modersmål,

6) kontaktspråk,

7) civilstånd,

8) medborgarskap eller avsaknad av medborgarskap samt nationalitet,

9) hemvist och bostadsort,

10) yrke och utbildning,

11) kontaktuppgifter,

12) uppgifter ur handlingar som behövs för att fastställa identiteten,

13) i fråga om en utländsk person föräldrarnas namn, medborgarskap och nationalitet,

14) uppgifterna i ett resedokument samt övrig information som gäller inresa och passerande av gräns,

15) klientnummer som en myndighet gett,

16) uppgift om att personen avlidit eller förklarats död,

17) uppgift om intressebevakning, försättande i konkurs eller näringsförbud,

18) uppgift om fullgörande av värnplikt.

5 §
Behandling av personuppgifter i undersöknings- och övervakningsuppgifter

Polisen får behandla personuppgifter för utförandet av en uppgift som anknyter till förundersökning, polisundersökning eller någon annan utredning av brott eller till att föra brott till åtalsprövning, för utförandet av en uppgift som anknyter till upprätthållande av allmän ordning och säkerhet och för utförandet av någon annan övervakningsuppgift som föreskrivits för polisen.

Dessutom krävs det att de i 1 mom. avsedda uppgifterna anknyter till personer som

1) är misstänkta för brott eller för medverkan till brott,

2) är under 15 år och misstänkta för en brottslig gärning,

3) är föremål för förundersökning, polisundersökning eller en åtgärd av polisen,

4) har anmält ett brott eller uppträder som målsägande,

5) är vittnen,

6) är offer,

7) direkt anknyter till polisens fältuppgifter eller i lag särskilt föreskrivna övervakningsuppgifter,

8) på något annat sätt lämnat tilläggsuppgifter som har anknytning till ett ärende.

De uppgifter som polisen har erhållit vid utförandet av sina uppgifter ska raderas utan dröjsmål efter att det blivit klart att de inte behövs för behandling enligt 1 mom. eller 13 § 1 mom.

6 §
Innehållet i personuppgifter som behandlas i undersöknings- och övervakningsuppgifter

Polisen får i fråga om personer som avses i 5 § utöver de grundläggande personuppgifter som avses i 4 § behandla följande personuppgifter:

1) specificeringar, beskrivningar och klassificeringar i anknytning till polisens uppgifter, åtgärder och händelser,

2) signalementsuppgifter för fastställande av identiteten, inklusive finger-, hand- och fotavtryck, handstils-, röst- och luktprov, DNA-profil, ansiktsbild och andra biometriska uppgifter; för att personer som anmälts försvunna ska kunna hittas och för att okända avlidna ska kunna identifieras får uppgifter om nära släktingar behandlas endast med samtycke från den som uppgifterna gäller,

3) uppgifter för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård, om ett övervakningsobjekts eller en persons farlighet eller oberäknelighet samt uppgifter som beskriver eller är avsedda att beskriva en brottslig gärning, ett straff eller någon annan påföljd för brott,

4) identifieringsuppgift om avgörande av åklagare eller domstol och uppgift om någon har dömts till straff, om det fattats beslut om åtalseftergift eller domseftergift, om ett åtal förkastats, lämnats utan prövning eller avskrivits samt uppgift om ett avgörandes laga kraft.

7 §
Behandling av personuppgifter för förebyggande eller avslöjande av brott

Polisen får behandla personuppgifter för utförandet av en uppgift som anknyter till förebyggande eller avslöjande av brott.

Dessutom krävs det att de i 1 mom. avsedda uppgifterna anknyter till personer som

1) med fog kan antas ha gjort sig eller göra sig skyldiga till brott för vilka det strängaste straffet enligt lag är fängelse,

2) har kontakt med en i 1 punkten avsedd person eller påträffas i dennes sällskap, och kontakten eller sammanträffandena på grund av att de har upprepats, omständigheterna eller personens beteende kan antas ha samband med ett brott,

3) är föremål för observation i enlighet med 5 kap. 13 § i polislagen eller någon annan polisiär åtgärd.

Polisen får, om det är nödvändigt för förebyggande eller avslöjande av ett brott, behandla i 1 mom. avsedda uppgifter också i fråga om följande personer:

1) vittnen till ett brott,

2) offer för ett brott,

3) den som har anmält ett brott eller uppträder som målsägande.

Beslut om inledande av behandling av personuppgifter i anknytning till en brottsanalys som behövs för förebyggande eller avslöjande av brott fattas av den personuppgiftsansvarige eller av en annan polisenhet som den personuppgiftsansvarige har förordnat till uppgiften.

Polisen får dessutom behandla uppgifter om observationer som gjorts av polismän och uppgifter som anmälts till polisen i anslutning till händelser eller personer som utifrån omständigheterna eller en persons uppträdande med fog kan bedömas ha samband med brottslig verksamhet.

De uppgifter som polisen har erhållit vid utförandet av sina uppgifter ska raderas utan dröjsmål efter att det blivit klart att de inte behövs för behandling enligt 1 mom. eller 13 § 1 mom.

8 §
Innehållet i personuppgifter som anknyter till förbyggande eller avslöjande av brott

Polisen får i fråga om personer som avses i 7 § utöver de grundläggande personuppgifter som avses i 4 § behandla följande personuppgifter:

1) specificeringar, beskrivningar och klassificeringar i anknytning till polisens uppgifter, åtgärder och händelser,

2) uppgifter som gäller en persons kontakter, livsstil, ekonomiska situation, hobbyer och andra intressen,

3) signalementsuppgifter för fastställande av identiteten, inklusive röstprov, ansiktsbild och andra biometriska uppgifter,

4) uppgifter för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård, om ett övervakningsobjekts eller en persons farlighet eller oberäknelighet samt uppgifter som beskriver eller är avsedda att beskriva en brottslig gärning, ett straff eller någon annan påföljd för brott.

Till personuppgifterna ska det om möjligt fogas en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet.

9 §
Behandling av uppgifter om informationskällor

Polisen får, utöver sådana grundläggande personuppgifter som avses i 4 § om en i 5 kap. 40 § i polislagen eller 10 kap. 39 § i tvångsmedelslagen (806/2011) avsedd person som har använts som informationskälla, behandla

1) uppgifter om hur informationskällan har använts och övervakats,

2) det huvudsakliga innehållet i de uppgifter som informationskällan lämnat.

10 §
Behandling av personuppgifter i anknytning till kvalitetssäkring av DNA-prov

Polisen får för kvalitetssäkring av DNA-prov som upptagits i polisens undersökningar, i fråga om andra personer än brottsmisstänkta och okända gärningsmän i anslutning till brott, behandla följande uppgifter:

1) namn,

2) personbeteckning,

3) DNA-profil,

4) tjänsteställe.

En person har rätt att vägra ge ett DNA-prov och förbjuda behandlingen av sina personuppgifter.

11 §
Behandling av personuppgifter i polisens övriga lagstadgade uppgifter

Polisen får behandla personuppgifter också för utförande av uppgifter som anknyter till tillståndsförvaltning samt för sådana övervakningsuppgifter som polisen ska utföra enligt särskilda bestämmelser i lag och som inte anknyter till förebyggande, avslöjande eller utredning av brott eller förande av brott till åtalsprövning eller skydd mot eller förebyggande av hot mot den allmänna säkerheten.

12 §
Innehållet i personuppgifter som behandlas för utförande av polisens övriga lagstadgade uppgifter

Utöver de grundläggande personuppgifter som avses i 4 § får polisen för syften som avses i 11 § behandla följande personuppgifter:

1) uppgifter som gäller ansökningar, tillstånd, utlåtanden, anmälningar och beslut,

2) uppgifter som gäller hinder för beviljande eller för giltigheten av ett tillstånd samt uppgifter som behövs för utredande av förutsättningarna för beviljande eller utredande av giltigheten av ett tillstånd, inklusive hälsouppgifter och övriga uppgifter som hör till särskilda kategorier av personuppgifter,

3) uppgifter om myndigheternas åtgärder,

4) de fotografier av en person och namnteckningsprov som personen har lämnat till polisen, utrikesministeriet eller en myndighet inom utrikesförvaltningen vid ansökan om ett tillstånd eller beslut som fotografiet och namnteckningsprovet behövs för,

5) för skötseln av ärenden enligt lagen om identitetskort (663/2016) och passlagen (671/2006) biometriska fingeravtrycksuppgifter och den ansiktsbild som tagits av sökanden vid ansökan om identitetskort eller pass,

6) uppgifter för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård, om ett övervakningsobjekts eller en persons farlighet eller oberäknelighet samt uppgifter som beskriver eller är avsedda att beskriva en brottslig gärning, ett straff eller någon annan påföljd för brott,

7) uppgifter om administrativa påföljder,

8) andra än i 1–7 punkten avsedda uppgifter som är nödvändiga för utförande av de uppgifter som avses i 11 §, förutom uppgifter som hör till särskilda kategorier av personuppgifter.

Polisen får som en del av tillsynen i enlighet med lotterilagen (1047/2001) och lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017), i den utsträckning som det behövs för att tillsynsuppgiften ska kunna utföras, behandla personuppgifter om kunder hos penningspelsbolag och andra näringsidkare och sammanslutningar som polisen enligt de lagarna ska övervaka.

13 §
Behandling av personuppgifter för andra ändamål än det ursprungliga

Om inte något annat föreskrivs någon annanstans i lag, får polisen behandla de personuppgifter som avses i 5–9, 11 och 12 § för andra ändamål med behandlingen än det ursprungliga för

1) att förebygga eller avslöja ett brott,

2) att utreda ett brott för vilket det strängaste straffet enligt lag är fängelse,

3) att påträffa en efterlyst,

4) en utredning som stöder det att någon är oskyldig,

5) förhindrande av betydande fara för någons liv, hälsa eller frihet eller betydande miljö-, egendoms- eller förmögenhetsskada,

6) skyddande av den nationella säkerheten,

7) att utreda identiteten i samband med en sådan polisåtgärd som nödvändigt kräver att identiteten styrks,

8) inriktning av polisens verksamhet.

Uppgifter i polisens personregister får trots sekretessbestämmelserna behandlas även för laglighetsövervakning, analys, planering och utveckling. Uppgifter får också användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras.

Det fotografi och namnteckningsprov som avses i 12 § 1 mom. 4 punkten får med den berörda personens samtycke även användas för något annat förvaltningstillstånd eller beslut som personen ansökt om än den handling som fotografiet och namnteckningsprovet har lämnats för.

De personuppgifter som avses i 12 § 2 mom. får användas endast för det ursprungliga ändamålet med behandlingen.

14 §
Behandling av personuppgifter för andra ändamål än det ursprungliga vid tillståndsprövning och tillsyn över tillstånd

Om inte något annat föreskrivs någon annanstans i lag, får polisen behandla personuppgifter som avses i 5, 6, 9, 11 och 12 § för andra ändamål med behandlingen än det ursprungliga för beslut eller utlåtanden som gäller beviljande eller giltighet av ett tillstånd, om tillståndet enligt gällande bestämmelser är beroende av sökandens eller tillståndshavarens tillförlitlighet, lämplighet eller någon liknande egenskap och det för bedömningen av egenskapen krävs uppgifter om sökandens eller tillståndshavarens hälsotillstånd, bruk av berusningsmedel, brottslighet eller våldsamma uppträdande.

För bedömning av förutsättningarna för beviljande eller giltighet av tillstånd får i de situationer som avses i 1 mom. också användas en sådan av centralkriminalpolisen gjord anmälan som grundar sig på uppgifter om personer som avses i 7 § 2 mom. Anmälan ska innehålla de uppgifter som behövs för bedömningen av förutsättningarna för beviljandet eller giltigheten av tillståndet. Centralkriminalpolisen får göra en anmälan, om

1) den som ansöker om eller innehar tillståndet, utifrån de uppgifter som avses i 8 §, har återkommande kontakter av permanent natur med sådana personer som enligt domstolsbeslut funnits skyldiga till deltagande i en organiserad kriminell sammanslutnings verksamhet eller som i en pågående förundersökning eller åtalsprövning misstänkts ha deltagit i sådan verksamhet, om kontakterna kan göra den som ansöker om eller innehar tillståndet mottaglig för extern osaklig påverkan och genom det kan äventyra skyddet för de intressen som ligger till grund för de föreskrivna förutsättningarna för beviljandet eller giltigheten av tillståndet, eller

2) centralkriminalpolisen utifrån de uppgifter som avses i 8 § och andra eventuella upplysningar anser att det föreligger grundad anledning att misstänka att den som ansöker om eller innehar tillståndet gjort sig skyldig till deltagande i en organiserad kriminell sammanslutnings verksamhet och det är nödvändigt att förmedla informationen för att skydda de intressen som ligger till grund för de föreskrivna förutsättningarna för beviljandet eller giltigheten av tillståndet mot åtgärder eller påverkan från organiserade kriminella sammanslutningars sida.

15 §
Behandling av uppgifter som hör till särskilda kategorier av personuppgifter

Polisen får behandla uppgifter som hör till särskilda kategorier av personuppgifter endast om det är nödvändigt för ändamålet med behandlingen.

Biometriska uppgifter som behandlas för utförande av de uppgifter som föreskrivs i lagen om identitetskort och passlagen får användas för andra ändamål än det ursprungliga ändamålet med behandlingen av uppgifterna endast om det är nödvändigt för att identifiera ett offer för en naturkatastrof, storolycka eller någon annan katastrof eller ett offer för ett brott eller ett offer som annars förblivit oidentifierat. Rätt att använda uppgifterna har endast den som nödvändigtvis måste använda dem för skötseln av sina arbetsuppgifter. Uppgifter som tagits för jämförelse får användas endast när jämförelsen görs och ska därefter omedelbart förstöras.

Fingeravtrycksuppgifter för en person som ansökt om pass får med den berörda personens samtycke användas också för framställning av en identitetshandling som personen ansökt om senare.

Biometriska uppgifter som behandlas för utförande av uppgifter enligt 131 § i utlänningslagen (301/2004) får användas för andra ändamål än det ursprungliga ändamålet med behandlingen av uppgifterna endast i de fall som avses ovan i 2 mom. samt om det är nödvändigt att använda uppgifterna för att förebygga, avslöja eller utreda ett brott som avses i 11–14 kap., 17 kap. 2–4, 7, 7 c eller 8 a §, 34 kap. 3 eller 5 §, 34 a kap. eller 46 kap. 1 eller 2 § i strafflagen. Rätt att använda uppgifterna har endast den som nödvändigtvis måste använda dem för skötseln av sina arbetsuppgifter. Uppgifter som insamlats för jämförelse får användas endast när jämförelsen görs och ska därefter omedelbart förstöras.

Uppgifter som behandlas för kvalitetssäkring av DNA-prov får användas endast för det ursprungliga ändamålet med behandlingen. Uppgifterna får dessutom behandlas för laglighetsövervakning, planering och utveckling samt för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras.

Uppgifter i en skjutvapenanmälan enligt 114 § i skjutvapenlagen (1/1998) får inte användas för andra ändamål än för behandling av uppgifter som gäller vapentillstånd.

3 kap

Rätt att få uppgifter

16 §
Polisens rätt att få uppgifter ur vissa register och informationssystem

Utöver vad som föreskrivs annanstans i lag har polisen trots sekretessbestämmelserna rätt att ur vissa register genom en teknisk anslutning eller som en datamängd få information för att utföra sina uppgifter och föra sina personregister, på det sätt det avtalas om tillvägagångssättet med den personuppgiftsansvarige, enligt följande:

1) ur det trafik- och transportregister som avses i lagen om transportservice (320/2017) sådana uppgifter som är nödvändiga för fullgörandet av polisens lagstadgade uppgifter,

2) ur Brottspåföljdsmyndighetens informationssystem enligt lagen om behandling av personuppgifter vid Brottspåföljdmyndigheten (1069/2015), i enlighet med 14 § 1 och 2 mom. i den lagen, uppgifter som gäller dömda, fångar, intagna i en enhet vid Brottspåföljdsmyndigheten eller personer som avtjänar en samhällspåföljd, för förhindrande eller utredning av brott eller förande av brott till åtalsprövning, gripande av efterlysta personer eller för sådana tillstånd eller godkännanden från polisen som förutsätter att personen i fråga är tillförlitlig, eller för behandling av ett ärende som gäller vistelse i landet, internationellt skydd, avlägsnande ur landet, medborgarskap eller meddelande eller återkallande av inreseförbud,

3) av dem som utövar inkvarteringsverksamhet sådana uppgifter om resande som avses i 6 § 1 mom. i lagen om inkvarterings- och förplägnadsverksamhet (308/2006), för upprätthållande av allmän ordning och säkerhet samt för förhindrande, avslöjande eller utredning av brott och för fullgörande av polisens lagstadgade uppgifter i övrigt,

4) ur det bötesregister som avses i lagen om verkställighet av böter (672/2002), för ändamål enligt 50 § i den lagen, uppgifter om brott och straffrättsliga påföljder samt uppgifter för behandling av tillståndsärenden, ur det straffregister som avses i straffregisterlagen (770/1993), för ändamål enligt 4 och 4 a § i den lagen, uppgifter om personer, av justitieförvaltningsmyndigheterna uppgifter om personer som är efterlysta av dem, ur det register över avgöranden och meddelanden om avgöranden som avses i lagen om justitieförvaltningens riksomfattande informationssystem (372/2010) uppgifter om avgöranden i brottmål och om avgörandenas laga kraft samt ur det rikssystem för behandling av diarie- och ärendehanteringsuppgifter som avses i den lagen uppgifter om brottmål som är eller har varit anhängiga vid åklagarmyndigheter och domstolar,

5) ur Patent- och registerstyrelsens handelsregister, för förhindrande, avslöjande och utredande av brott, uppgifter om anmälningar och meddelanden som gäller näringsidkare,

6) ur Gränsbevakningsväsendets och Tullens personregister, uppgifter för polisuppdrag som motsvarar de uppdrag för vilka uppgifterna har samlats in och registrerats för samt för andra ändamål när det gäller fall som avses i 13 § och 14 § 1 mom.,

7) ur utrikesministeriets informationssystem, för förundersökning, för annan undersökning och för utförande av de uppgifter polisen har enligt utlänningslagen, uppgifter om visum samt uppgifter om dem som hör till personalen vid diplomatiska beskickningar och konsulat som representerar den utsändande staten i Finland och om dem som hör till personalen vid en internationell organisations organ i Finland eller något annat internationellt organ i samma ställning samt om dessa personers familjemedlemmar och om dem som är i privat tjänst hos dessa personer,

8) ur Migrationsverkets informationssystem, för förundersökning, annan undersökning och för utförande av de uppgifter polisen har enligt utlänningslagen, uppgifter om ärenden som gäller resedokument, vistelse, internationellt skydd, avlägsnande ur landet, inreseförbud och medborgarskap,

9) av teleföretag uppgifter som avses i 10 kap. 6–8 § i tvångsmedelslagen, i 5 kap. 8 och 9 § i polislagen samt i 19 kap. i lagen om tjänster inom elektronisk kommunikation (917/2014),

10) av myndigheter som har begärt handräckning de uppgifter som behövs för att handräckning ska kunna ges,

11) uppgifter som avses i 13–17 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009),

12) av Försvarsmakten nödvändiga uppgifter om en värnpliktigs tjänstgöring och tjänsteduglighet, för bedömningen av den personliga lämpligheten hos en person som söker eller innehar ett tillstånd som avses i skjutvapenlagen och en person för vilken ett godkännande som avses i skjutvapenlagen söks eller som har fått ett sådant godkännande samt för utredning av hinderlöshet hos sökande och innehavare av ett tillstånd enligt passlagen eller lagen om identitetskort,

13) ur det register över kompetensbrev för laddare som avses i 22 § i lagen om laddare (423/2016) uppgifter för övervaknings- och larmuppdrag samt för förhindrande, utredning och avslöjande av brott,

14) av Lantmäteriverket, för förhindrande, avslöjande och utredning av brott, uppgifter ur det fastighetsdatasystem som avses i lagen om ett fastighetsdatasystem och anslutande informationstjänster (453/2002) och det bostadsdatasystem som avses i lagen om ett bostadsdatasystem (1328/2018),

15) av samfund och sammanslutningar uppgifter ur register som gäller passagerare och fordons personal, för förhindrande, avslöjande och utredning av brott och förande av brott till åtalsprövning samt för att nå efterlysta personer; bestämmelser om rätten att få uppgifter ur flygtrafikens PNR-uppgifter finns i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet (657/2019).

Polisen har rätt att få de uppgifter som avses i 1 mom. avgiftsfritt, om inte något annat föreskrivs i lag.

När polisen har fått personuppgifter av en personuppgiftsansvarig med stöd av 1 mom. ska polisen på begäran lämna den personuppgiftsansvarige information om behandlingen av de utlämnade personuppgifterna.

17 §
Uppgifter som andra myndigheter lämnar ut till polisen genom registrering via direkt anslutning eller för registrering som en datamängd

Enligt avtal med den personuppgiftsansvarige om tillvägagångssättet får uppgifter lämnas ut till polisens personregister genom en direkt anslutning eller för registrering som en datamängd enligt följande:

1) av skyddspolisen uppgifter för förebyggande, avslöjande och utredning av brott samt för skyddande av den nationella säkerheten,

2) av justitieförvaltningsmyndigheterna, Brottspåföljdsmyndigheten samt Rättsregistercentralen uppgifter om personer som de har efterlyst, av Brottspåföljdsmyndigheten signalementsuppgifter om personer som avtjänar eller har avtjänat straff som riktar sig mot friheten samt av Rättsregistercentralen uppgifter om besöksförbud, näringsförbud och uppgifter som gäller sådana skyddsåtgärder som avses i lagen om tillämpning av Europaparlamentets och rådets förordning om ömsesidigt erkännande av skyddsåtgärder i civilrättsliga frågor (227/2015),

3) av Tullen och militärmyndigheterna uppgifter om personer som de har efterlyst och av Tullen för utförande av de uppgifter som föreskrivs i 131 § i utlänningslagen signalementsuppgifter och uppgifter om resedokument samt uppgifter för förebyggande och utredning av brott,

4) av utrikesministeriet och finska beskickningar uppgifter för skötseln av utrikesministeriets och finska beskickningars uppgifter enligt passlagen, av utrikesministeriet uppgifter om dem som hör till personalen vid diplomatiska beskickningar och konsulat som representerar den utsändande staten i Finland och om dem som hör till personalen vid en internationell organisations organ i Finland eller något annat internationellt organ i samma ställning samt om dessa personers familjemedlemmar och om dem som är i privat tjänst hos dessa personer,

5) av Gränsbevakningsväsendet i 5–8 § avsedda uppgifter som behandlas för utförande av de uppgifter enligt 1 kap. 1 § 1 mom. i polislagen som Gränsbevakningsväsendet har enligt gränsbevakningslagen (578/2005), lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018) eller någon annan lag, samt i 11 och 12 § i denna lag avsedda uppgifter som behandlas för utförande av de uppgifter enligt 1 kap. 1 § 2 mom. i polislagen som Gränsbevakningsväsendet har enligt gränsbevakningslagen eller någon annan lag,

6) av Forststyrelsens jakt- och fiskeövervakare sådana uppgifter om vidtagna åtgärder som registrerats vid jakt- och fiskeövervakning som hör till deras behörighet,

7) av nödcentralsmyndigheterna uppgifter om en person som har registrerats i nödcentralsdatasystemet, med tanke på den registrerades egen säkerhet eller säkerheten i arbetet,

8) av Migrationsverket uppgifter om nationella inreseförbud samt om polisåtgärder i anslutning till beslut om avvisning, utvisning och handräckning.

När polisen har fått personuppgifter av en personuppgiftsansvarig med stöd av 1 mom. ska polisen på begäran lämna den personuppgiftsansvarige information om behandlingen av de utlämnade personuppgifterna.

18 §
Europeiska unionens informationssystem för viseringar

Bestämmelser om polisens rätt att genom en teknisk anslutning få uppgifter ur Europeiska unionens informationssystem för viseringar för utförande av en uppgift som enligt utlänningslagen ska skötas av polisen finns i Europaparlamentets och rådets förordning (EG) nr 767/2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen).

Dessutom har polisen rätt att genom en teknisk anslutning få uppgifter ur Europeiska unionens informationssystem för viseringar i syfte att förhindra och utreda terroristbrott som avses i 34 a kap. i strafflagen och brott som avses i 3 § 2 mom. i lagen om utlämning för brott mellan Finland och de övriga medlemsstaterna i Europeiska unionen (1286/2003). Bestämmelser om utlämnande av sådana uppgifter finns i rådets beslut 2008/633/RIF om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. Uppgifterna ska begäras via centralkriminalpolisen eller skyddspolisen.

19 §
Vite

Polisen kan ålägga den av vilken polisen har rätt att få uppgifter som avses i 16 § 1 mom. 15 punkten att lämna uppgifterna inom en skälig tid. Polisen kan förena åläggandet med vite. Beslutet om föreläggande av vite ska iakttas även om ändring i beslutet söks. Vite får dock inte föreläggas om det finns skäl att misstänka någon för brott och det begärda materialet har samband med brottsmisstanken. Bestämmelser i övrigt om vite finns i viteslagen (1113/1990).

20 §
Behandling av personuppgifter som erhållits i internationellt samarbete

Vid behandlingen av personuppgifter som erhållits från ett tredjeland eller en internationell organisation eller myndighet ska i fråga om sekretess, tystnadsplikt, begränsningar i användningen av personuppgifter, vidarelämnande av personuppgifter eller återsändande av utlämnat material iakttas vad som anges i de villkor som den som lämnat ut uppgifterna ställt.

Om inte något annat följer av 1 mom., får polisen använda de utlämnade personuppgifterna för andra ändamål än de för vilka uppgifterna lämnades ut, med iakttagande av 13 § 1 mom.

4 kap

Utlämnande av personuppgifter

21 §
Utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål

Polisen får trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd lämna ut sådana personuppgifter som avses i 5–9, 11 och 12 § till skyddspolisen, Tullen, Gränsbevakningsväsendet, Försvarsmakten, åklagare, domstolar, Rättsregistercentralen, Brottspåföljdsmyndigheten och andra behöriga myndigheter enligt dataskyddslagen avseende brottmål för de uppgifter enligt 1 § i dataskyddslagen avseende brottmål som myndigheten har enligt lag.

22 §
Övrigt utlämnande av personuppgifter till myndigheter

Polisen får trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd lämna ut sådana personuppgifter som avses i 5–8, 11 och 12 § för en uppgift som myndigheten har enligt lag, enligt följande:

1) till Transport- och kommunikationsverket de uppgifter i enlighet med 197 och 217 § i lagen om transportservice som är nödvändiga för skötseln av verkets lagstadgade uppgifter,

2) till Nödcentralsverket, för utförande av de uppgifter som anges i lagen om nödcentralsverksamhet (692/2010), uppgifter för att säkerställa förberedande åtgärder eller skyddet i arbetet eller för att stödja enheten i fråga, med iakttagande av vad som i 19 § 2 mom. i den lagen föreskrivs om begränsning av rätten att få information, samt sådan säkerhetsinformation som avses i 6 § 3 punkten i denna lag för registrering i nödcentralsdatasystemet,

3) till räddningsmyndigheterna för räddningsverksamhet som avses i 32 § i räddningslagen (379/2011),

4) till Gränsbevakningsväsendet för gränskontroll samt upprätthållande av gränssäkerheten och gränsordningen, för andra ändamål som motsvarar det ursprungliga ändamålet med behandlingen samt för andra ändamål i de fall som avses i 16 och 17 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (639/2019),

5) till socialmyndigheterna för behandling av ärenden som gäller en utlännings försörjning,

6) till Tullen för tullövervakning, skattekontroll, övervakning av personers inresa och utresa och utförande av den gränskontroll som ingår i detta, för stämning och annan delgivning, för andra ändamål som motsvarar det ursprungliga ändamålet med behandlingen samt för andra ändamål i de fall som avses i 15 § i lagen om behandling av personuppgifter inom Tullen (650/2019),

7) till arbets- och näringsmyndigheterna för behandling av ärenden som gäller beviljande av uppehållstillstånd för arbetstagare eller uppehållstillstånd för företagare,

8) till utrikesministeriet och finska beskickningar för behandling av ärenden som hör till deras behörighet och som gäller pass eller något annat resedokument, visum, uppehållstillstånd för arbetstagare, uppehållstillstånd för företagare eller något annat uppehållstillstånd,

9) till Migrationsverket för behandling och avgörande av sådana ärenden avseende utlänningar och finskt medborgarskap som enligt lag eller förordning hör till Migrationsverket samt för de tillsynsuppgifter som hör till verket,

10) till domstolarna för behandling av ärenden som gäller skjutvapen, vapendelar, patroner eller särskilt farliga projektiler,

11) till en utmätningsman i enlighet med 3 kap. 67 § i utsökningsbalken (705/2007) för utsökningsutredningar eller annan verkställighet av utsökningsärenden,

12) till en tjänsteman som nämns i 1 eller 6 § i lagen om stämningsmän (505/1986) för stämning till en rättegång för bestämmande av förvandlingsstraff samt till stämningsmän för delgivning av stämning, grundläggande personuppgifter, uppgifter om säkerhet i arbetet och uppgifter om anhållna som behandlats för de ändamål som anges i 5 § i denna lag,

13) till Forststyrelsens jakt- och fiskeövervakare för jakt- och fiskeövervakning som hör till deras behörighet,

14) till kommuner som är väghållare och Trafikledsverket uppgifter om trafikolyckor för främjande av trafiksäkerheten,

15) till arbetarskyddsmyndigheten för övervakning av förarnas kör- och vilotider, uppgifter enligt Europaparlamentets och rådets direktiv 2006/22/EG om minimivillkor för genomförande av rådets förordningar (EEG) nr 3820/85 och (EEG) nr 3821/85 om sociallagstiftning på vägtransportområdet samt om upphävande av rådets direktiv 88/599/EEG,

16) till magistraten för uppgifter som avses i 38 § i medborgarskapslagen (359/2003),

17) till Försvarsmakten, Tullen, Gränsbevakningsväsendet och Brottspåföljdsmyndigheten för bedömning av om en hos dessa anställd med rätt att bära skjutvapen i sina tjänste- eller arbetsuppdrag är lämplig att bära skjutvapen.

Biometriska uppgifter som behandlas för utförande av uppgifter som föreskrivs i lagen om identitetskort och passlagen får trots sekretessbestämmelserna lämnas ut endast till de myndigheter som avses i 1 mom. 4, 6, 8 och 9 punkten i denna paragraf för styrkande av identiteten och konstaterande av ett dokuments äkthet, om det är nödvändigt för behandling av ärenden som gäller en persons inresa, vistelse i landet eller utresa.

Utöver det som föreskrivs i 1 mom. får polisen av grundad anledning trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd till en myndighet lämna ut personuppgifter som är nödvändiga för att utföra en uppgift som i lag föreskrivits för myndigheten.

Innan personuppgifter lämnas ut ska mottagaren av uppgifterna för den personuppgiftsansvarige lägga fram tillförlitlig utredning om att uppgifterna skyddas på behörigt sätt.

Kvaliteten på de uppgifter som lämnas ut ska i den mån det är möjligt bekräftas och uppgifterna ska vid behov förses med information som gör det möjligt för mottagaren att bedöma hur korrekta, fullständiga, aktuella och tillförlitliga uppgifterna är. Om det framgår att felaktiga uppgifter har lämnats ut eller att uppgifter lämnats ut i strid med lag, ska detta utan dröjsmål meddelas mottagaren.

23 §
Utlämnande av personuppgifter via det allmänna datanätet

För att underrätta allmänheten och få in tips från allmänheten får polisen trots sekretessbestämmelserna via det allmänna datanätet lämna ut uppgifter som polisen behöver informera om för att brott ska kunna förebyggas, för att egendom ska kunna återställas till ägaren eller av skäl som har samband med en utredning. Personuppgifter ska kunna sökas endast som enskilda sökningar.

För att underrätta allmänheten och få in tips från allmänheten får polisen dessutom trots sekretessbestämmelserna via det allmänna datanätet lämna ut uppgifter som det särskilt behöver informeras om för att saken är brådskande, för att det är fråga om en farosituation, för att brott ska kunna förebyggas, för att egendom ska kunna återställas till ägaren eller av skäl som har samband med en utredning. Personuppgifter får lämnas ut på något annat sätt än vad som avses i 1 mom. endast när det är av väsentlig betydelse för utförande av en i 1 kap. 1 § 1 mom. i polislagen föreskriven uppgift och utlämnandet av uppgifterna inte strider mot den registrerades legitima intresse. Uppgifter som erhållits från en annan myndighet får lämnas ut endast med samtycke av den myndighet som lämnat ut uppgifterna.

24 §
Utlämnande av personuppgifter till privata sammanslutningar eller näringsidkare via e-tjänster

Polisen får trots sekretessbestämmelserna lämna ut uppgifter om tillstånd som behandlas för de ändamål som anges i 11 § till en privat sammanslutning eller näringsidkare, om uppgifterna är nödvändiga för utförande av en uppgift som sammanslutningen eller näringsidkaren i fråga har enligt lag. Personuppgifter ska via e-tjänster kunna sökas endast som enskilda sökningar.

25 §
Utlämnande av personuppgifter till brottsbekämpande myndigheter i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet

Polisen får trots sekretessbestämmelserna lämna ut personuppgifter som avses i 5–8, 11 och 12 § till sådana behöriga myndigheter i andra medlemsstater i Europeiska unionen och i stater som hör till Europeiska ekonomiska samarbetsområdet som behandlar personuppgifterna för de ändamål som anges i artikel 1.1 i Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, under samma förutsättningar som polisen själv får behandla personuppgifterna i fråga.

Polisen får dessutom trots sekretessbestämmelserna lämna ut uppgifter som avses i 5–8, 11 och 12 § till Eurojust och sådana andra institutioner som inrättats med stöd av fördraget om Europeiska unionens funktionssätt som har till uppgift att trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet eller förebygga och utreda brott och sörja för att brott blir föremål för åtalsprövning, för utförande av dessa uppdrag.

Uppgifter som avses i 1 och 2 mom. får lämnas ut också som en datamängd.

Utöver vad som föreskrivs i denna lag och i dataskyddslagen avseende brottmål finns bestämmelser om utlämnande av personuppgifter till de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater i lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009).

26 §
Utlämnande av personuppgifter ur det nationella systemet inom Schengens informationssystem

Polisen får trots sekretessbestämmelserna till de behöriga Schengenmyndigheterna lämna ut uppgifter ur det nationella systemet inom Schengens informationssystem med iakttagande av författningsgrunden för Schengens informationssystem. Uppgifterna får också lämnas ut genom en teknisk anslutning eller som en datamängd.

27 §
Utlämnande av personuppgifter till stater som använder Schengens informationssystem och till Schengens informationssystem

Polisen får trots sekretessbestämmelserna till Schengenstaternas behöriga myndigheter och för registrering i Schengens informationssystem lämna ut uppgifter som avses i författningsgrunden för Schengens informationssystem, om uppgifterna behövs för ändamål som anges i författningsgrunden för Schengens informationssystem. Den tilläggsinformation som avses i författningsgrunden för Schengens informationssystem ska lämnas ut genom förmedling av Sirenekontoret. Centralkriminalpolisen är Sirenekontor. Uppgifterna får också lämnas ut genom en teknisk anslutning eller som en datamängd.

28 §
Utlämnande av personuppgifter till Europol

Polisen får trots sekretessbestämmelserna lämna ut personuppgifter till Europeiska unionens byrå för samarbete inom brottsbekämpning med iakttagande av bestämmelserna i Europolförordningen och lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning (214/2017).

29 §
Utlämnande av personuppgifter till Eurodacsystemet

Polisen får trots sekretessbestämmelserna lämna ut personuppgifter till Eurodacsystemet med iakttagande av bestämmelserna i Eurodacförordningen. Centralkriminalpolisen är den nationella enheten i Eurodacsystemet och den utsedda myndighet för brottsbekämpande ändamål som avses i artikel 5.1 i Eurodacförordningen.

30 §
Utlämnande av personuppgifter med stöd av Prümfördraget och Prümrådsbeslutet

I fråga om utlämnande, på basis av en sökning som lett till en träff, av DNA-uppgifter, fingeravtrycksuppgifter och fordonsregisteruppgifter med stöd av fördraget mellan Konungariket Belgien, Förbundsrepubliken Tyskland, Konungariket Spanien, Republiken Frankrike, Storhertigdömet Luxemburg, Konungariket Nederländerna och Republiken Österrike om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism, gränsöverskridande brottslighet och olaglig migration (FördrS 54/2007), nedan Prümfördraget, och med stöd av rådets beslut 2008/615/RIF om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, nedan Prümrådsbeslutet, tillämpas artiklarna 3, 9 och 12 i Prümrådsbeslutet.

Utöver vad som föreskrivs i artiklarna 5, 10 och 14 i Prümrådsbeslutet ska 25 § i denna lag tillämpas på utlämnande av personuppgifter efter den uppgift om en träff som avses i 1 mom.

31 §
Övrigt utlämnande av personuppgifter till utlandet

Polisen får trots sekretessbestämmelserna lämna ut personuppgifter med iakttagande av bestämmelserna i 7 kap. i dataskyddslagen avseende brottmål.

Polisen får trots sekretessbestämmelserna

1) till de behöriga myndigheter som avses i internationella avtal eller andra arrangemang som gäller återtagande av personer som olagligen kommit in och vistas i landet lämna ut personuppgifter för utförande av de uppgifter som avses i de internationella avtalen eller arrangemangen,

2) till de myndigheter som ansvarar för vapentillsynen i en annan stat lämna ut personuppgifter om förvärv, innehav, överföring, införsel och utförsel av skjutvapen, vapendelar, patroner och särskilt farliga projektiler, om det med tanke på vapentillsynen är nödvändigt att lämna ut uppgifterna.

Biometriska uppgifter som behandlas för utförande av de uppgifter som föreskrivs i lagen om identitetskort och passlagen får lämnas ut endast för de ändamål som anges i 15 § 2 mom.

De uppgifter som avses i denna paragraf får lämnas ut också som en datamängd.

32 §
Beslut om utlämnande av uppgifter

Beslut om rätten att lämna ut uppgifter ur polisens personregister genom en teknisk anslutning eller som en datamängd samt om rätten för myndigheter som avses i 3 kap. att lämna ut uppgifter till polisens informationssystem genom en teknisk anslutning eller som en datamängd fattas av den personuppgiftsansvarige eller av en annan polisenhet som den personuppgiftsansvarige har förordnat till uppgiften.

När beslut om utlämnande fattas ska uppgifternas art beaktas för att den registrerades integritetsskydd och datasäkerheten ska kunna tryggas.

5 kap

Radering och arkivering av personuppgifter

33 §
Radering av personuppgifter som anknyter till brottmål

Uppgifterna i ett brottmål som överförts till en åklagare för avgörande ska raderas

1) 5 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till böter eller ett fängelsestraff på högst ett år,

2) 10 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på över ett och högst fem år,

3) 20 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till fängelse i över fem år.

De uppgifter som avses i 1 mom. raderas dock tidigast ett år efter det att åtalsrätten för brottet har preskriberats.

Uppgifterna i övriga brottmål än de som avses i 1 mom. ska raderas ett år efter det att åtalsrätten för det sista misstänkta brottet preskriberats, dock tidigast 5 år efter det att brottmålet registrerades.

Signalementsuppgifter som behandlas för fastställande av identiteten ska raderas senast 10 år efter det att den sista uppgiften om en person misstänkt för brott infördes. Uppgifterna ska dock raderas senast 10 år efter den registrerades död, om det strängaste föreskrivna straffet för det grövsta brott som använts som grund för registrering är fängelse i minst ett år.

Signalementsuppgifterna för en person som var under 15 år när brottet begicks raderas dock senast 5 år från det att den sista uppgiften om den för brott misstänkta personen infördes, om inte någon av uppgifterna gäller ett brott för vilket inte föreskrivs någon annan påföljd än fängelse.

De uppgifter som avses i 4 och 5 mom. raderas senast ett år från det att uppgiften infördes, om det vid utredningen har framgått att inget brott har begåtts eller att det inte längre finns skäl att misstänka personen för brott.

De i 1–5 mom. avsedda personuppgifter som anknyter till brottmål får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år.

Logguppgifterna och övervakningsuppgifterna om sådan behandling av uppgifter som grundar sig på Prümfördraget och Prümrådsbeslutet lagras och raderas med iakttagande av bestämmelserna i artikel 39.4 och 39.5 i Prümfördraget och artikel 30.4 och 30.5 i Prümrådsbeslutet.

34 §
Radering av andra personuppgifter som behandlas i undersöknings- och övervakningsuppgifter

Andra personuppgifter som behandlas för undersöknings- och övervakningsuppgifter än de uppgifter som avses i 33 § ska raderas 5 år efter det att anmälan eller ärendet registrerades, om inte de hänför sig till ett brottmål som utreds.

Med avvikelse från vad som anges i 1 mom. ska

1) uppgifter om näringsförbud raderas 5 år efter det att näringsförbudet upphörde,

2) uppgifter om besöksförbud och uppgifter som gäller sådana skyddsåtgärder som avses i lagen om tillämpning av Europaparlamentets och rådets förordning om ömsesidigt erkännande av skyddsåtgärder i civilrättsliga frågor raderas 5 år efter det att besöksförbudet upphörde eller skyddsåtgärden meddelades,

3) uppgifter om övervakad frihet på prov eller övervakningsstraff raderas 5 år efter det att den övervakade friheten på prov upphörde eller övervakningsstraffet avtjänats,

4) andra uppgifter om efterlysning, reseförbud, djurhållningsförbud, jaktförbud, nationellt inreseförbud, samhällspåföljd eller villkorlig frigivning som behandlas för att personer ska kunna påträffas, övervakas, observeras och skyddas raderas 3 år efter det att efterlysningen eller förbudet upphörde,

5) personuppgifter som behandlas för att personer som anmälts försvunna ska kunna hittas och för att okända avlidna ska kunna identifieras raderas tidigast 5 år efter det att den försvunna påträffades eller en okänd avliden identifierades; sådana uppgifter om nära släktingar som behövs för att personer som anmälts försvunna ska kunna hittas och för att okända avlidna ska kunna identifieras raderas dock på den registrerades begäran eller genast när uppgifterna inte längre behövs med tanke på ändamålet med behandlingen,

6) signalementsuppgifter och uppgifter om resedokument som behandlas för utförande av de uppgifter som föreskrivs i 131 § i utlänningslagen raderas 10 år efter det att den sista anteckningen om den registrerade infördes; om en registrerad har beviljats finskt medborgarskap ska uppgifterna dock raderas ett år efter det att den personuppgiftsansvarige fått kännedom om medborgarskapet.

De uppgifter som avses i 2 mom. 6 punkten och 6 § 3 punkten raderas dock senast ett år efter den registrerades död.

De i 1–3 mom. avsedda personuppgifterna får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år.

35 §
Radering av personuppgifter som anknyter till förebyggande eller avslöjande av brott

Personuppgifter med anknytning till förebyggande och avslöjande av brott ska raderas senast 10 år från det att den sista uppgiften om ett brott, brottslig verksamhet eller ett uppdrag infördes. Uppgifter som avses i 7 § 5 mom. ska dock raderas senast sex månader från det att anteckningen infördes och uppgifter som avses i 8 § 1 mom. 4 punkten senast ett år efter den registrerades död.

Personuppgifter som avses i 1 mom. får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år.

36 §
Radering av uppgifter om informationskällor

Uppgifter om en informationskälla ska raderas senast 10 år från det att den sista uppgiften infördes.

37 §
Radering av personuppgifter som behandlas för kvalitetssäkring av DNA-prov

Personuppgifter som behandlas för kvalitetssäkring av DNA-prov ska raderas på den registrerades begäran eller genast när uppgifterna inte längre behövs med tanke på ändamålet med behandlingen.

Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst varje år.

38 §
Radering av personuppgifter som behandlas i polisens övriga lagstadgade uppgifter

Personuppgifter som behandlas för utförande av tillståndsförvaltnings- och tillsynsuppgifter ska raderas senast 20 år från det att beslutet fattades eller förföll eller den i beslutet angivna giltighetstiden gick ut eller personuppgiften infördes.

Med avvikelse från vad som anges i 1 mom. ska

1) uppgifterna i en skjutvapenanmälan enligt skjutvapenlagen raderas senast 3 år från det att uppgiften infördes,

2) personuppgifter som behandlas med stöd av 42 c § i skjutvapenlagen raderas 30 år efter det att föremålet förstördes; uppgifterna får dock behandlas för de ändamål som föreskrivs i 11 § i denna lag i endast 10 år efter det att föremålet förstördes,

3) personuppgifter som anknyter till hittegodsverksamhet raderas senast ett år från det att uppgiften infördes,

4) personuppgifter som ingår i sådana rapporter om misstanke om överträdelser som avses i 7 kap. 9 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism raderas i enlighet med 2 mom. i den paragrafen samt övriga personuppgifter som anknyter till tillsyn enligt det kapitlet senast 5 år från det att anteckningen infördes,

5) uppgifter om administrativa påföljder raderas senast 5 år från det att anteckningen infördes,

6) personuppgifter som ska behandlas för övervakning enligt lotterilagen eller lagen om förhindrande av penningtvätt och av finansiering av terrorism och som gäller kunder hos en i de lagarna avsedd penningspelssammanslutning, näringsidkare eller sammanslutning som ska övervakas raderas genast när de inte längre behövs för tillsynsuppdraget.

Personuppgifter som avses i 1 mom. och 2 mom. 1 punkten ska dock raderas senast ett år efter den registrerades död, om det inte finns särskilda skäl att fortfarande bevara dem. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år.

39 §
Uppgifter som konstaterats vara felaktiga

Oberoende av vad som i dataskyddslagen avseende brottmål och i dataskyddsförordningen föreskrivs om rättelse av oriktiga uppgifter, får en uppgift som konstaterats vara felaktig bevaras tillsammans med den korrigerade uppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. En sådan uppgift får användas endast i det syfte som här avses.

En uppgift som har konstaterats vara felaktig får dock inte bevaras i det nationella systemet inom Schengens informationssystem.

En uppgift som konstaterats vara felaktig och som bevaras med stöd av 1 mom. ska raderas genast när den inte längre behövs för att trygga rättigheterna.

40 §
Arkivering av uppgifter

Bestämmelser om arkivfunktionens uppgifter och om handlingar som ska arkiveras utfärdas särskilt.

6 kap

De registrerades rättigheter

41 §
Tillgodoseende av den registrerades rätt till insyn

I syfte att tillgodose den registrerades rätt till insyn enligt 23 § i dataskyddslagen avseende brottmål och den registrerades rätt till tillgång till uppgifter enligt artikel 15 i dataskyddsförordningen lämnar den personuppgiftsansvarige ut de behövliga personuppgifterna och andra uppgifter för utövande av insyn, om inte den personuppgiftsansvarige har förordnat någon annan polisenhet att lämna ut uppgifterna.

En registrerad som vill utöva sin rätt till insyn ska framställa en personlig begäran om detta till den personuppgiftsansvarige eller någon annan i 1 mom. avsedd polisenhet samt styrka sin identitet. En begäran kan också framställas genom att använda sådan stark autentisering som avses i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009), om en sådan tjänst är tillgänglig.

42 §
Inskränkningar i rätten till insyn

Med avvikelse från 23 § i dataskyddslagen avseende brottmål gäller rätten till insyn inte

1) personuppgifter som avses i 9 §,

2) personuppgifter som gäller hemlig övervakning och särskild kontroll i Schengens informationssystem,

3) sådana uppgifter om polisens taktiska eller tekniska metoder, observationsuppgifter, uppgifter om informationskällor eller uppgifter som används för teknisk undersökning, som ingår i de personuppgifter som avses i 5–8 §,

4) personuppgifter som erhållits genom de inhämtningsmetoder som avses i 5 kap. i polislagen och 10 kap. i tvångsmedelslagen samt med stöd av 157 § i lagen om tjänster inom elektronisk kommunikation.

Bestämmelser om utövande av den registrerades rättigheter via dataombudsmannen finns i 29 § i dataskyddslagen avseende brottmål. En begäran om utövning av rättigheterna ska lämnas till dataombudsmannen eller till polisen i enlighet med 41 § 2 mom. i denna lag. En begäran som lämnats till polisen ska utan dröjsmål sändas till dataombudsmannen.

43 §
Utövande av rätten till insyn i den datafil som upprätthålls av den tekniska stödfunktionen i Schengens informationssystem

Utöver vad som föreskrivs i 41 § har var och en rätt att begära att den tillsynsmyndighet som avses i artikel 115 i tillämpningskonventionen till Schengenavtalet om gradvis avskaffande av kontroller vid de gemensamma gränserna (FördrS 23/2001) kontrollerar att insamlingen, registreringen, behandlingen och användningen av personuppgifter som gäller honom eller henne i den datafil som upprätthålls av den tekniska stödfunktionen i Schengens informationssystem sker på ett lagligt och riktigt sätt. En begäran om detta ska lämnas till dataombudsmannen eller till polisen i enlighet med 41 § 2 mom. i denna lag. En begäran om kontroll som lämnats till polisen ska utan dröjsmål sändas till dataombudsmannen.

44 §
Utövande av rätten till insyn i fråga om behandlingen av personuppgifter som grundar sig på Prümfördraget och Prümrådsbeslutet

Utöver vad som föreskrivs i 42 § har var och en rätt att begära att dataombudsmannen kontrollerar att den behandling av personuppgifter om honom eller henne som grundar sig på Prümfördraget och Prümrådsbeslutet är lagenlig. En begäran om detta ska lämnas till dataombudsmannen eller till polisen i enlighet med 41 § 2 mom. i denna lag. En begäran om kontroll som lämnats till polisen ska utan dröjsmål sändas till dataombudsmannen.

45 §
Den registrerades rätt till begränsning av behandling

Vad som i artikel 18 i dataskyddsförordningen föreskrivs om den registrerades rätt till begränsning av behandling ska inte tillämpas på sådan behandling av personuppgifter som avses i denna lag.

7 kap

Behandling av personuppgifter vid skyddspolisen

46 §
Tillämpningsområde

Detta kapitel innehåller bestämmelser om behandlingen av sådana personuppgifter enligt 1 § 1 mom. i denna lag som behövs för skötseln av skyddspolisens uppgifter enligt 10 § i polisförvaltningslagen (110/1992).

På behandlingen av personuppgifter som behövs för skyddspolisens skötsel av uppgifter som avses i 1 mom. tillämpas dataskyddslagen avseende brottmål, med undantag av 10 § 2 mom., 54 § och 7 kap., i den lagen, om inte något annat föreskrivs i detta kapitel.

Vid behandlingen av personuppgifter ska bestämmelserna i 1 kap. i polislagen om respekt för de grundläggande rättigheterna och de mänskliga rättigheterna, proportionalitetsprincipen, principen om minsta olägenhet och principen om ändamålsbundenhet iakttas.

Behandlingen av personuppgifter får inte utan godtagbart skäl grunda sig på en persons ålder, kön, ursprung, nationalitet, bosättningsort, språk, religion, övertygelse, åsikt, politiska verksamhet, fackföreningsverksamhet, familjeförhållanden, hälsotillstånd, funktionsnedsättning, sexuella läggning eller någon annan orsak som gäller hans eller hennes person.

Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen.

På sekretess för personuppgifter tillämpas lagen om offentlighet i myndigheternas verksamhet (621/1999), om inte något annat föreskrivs i detta kapitel.

47 §
Personuppgiftsansvarig

Skyddspolisen är personuppgiftsansvarig för de personuppgifter som avses i detta kapitel.

48 §
Behandling av personuppgifter vid skyddspolisen

Skyddspolisen får behandla personuppgifter som behövs för att skydda den nationella säkerheten, för att förhindra, avslöja och utreda verksamhet och förehavanden som hotar stats- och samhällsordningen eller statens säkerhet samt för att förhindra och avslöja brott som hotar stats- och samhällsordningen eller statens säkerhet.

I fråga om personuppgifter som behandlas med avseende på säkerhetsutredningar gäller vad som föreskrivs särskilt.

49 §
Behandling av grundläggande personuppgifter

Skyddspolisen får behandla följande behövliga grundläggande personuppgifter som avses i 48 § 1 mom.:

1) personbeteckning och födelsetid,

2) identifikationsuppgifter som grundar sig på personens fysiska egenskaper samt ljud- och bildupptagningar,

3) andra än i 1 och 2 punkten avsedda identifikationsuppgifter,

4) uppgifter om medborgarskap och familjeförhållanden,

5) uppgifter om bosättningsort,

6) uppgifter om utbildning och yrke samt arbetslivserfarenhet och tidigare anställningar,

7) kontaktuppgifter,

8) uppgift om att personen avlidit eller förklarats död,

9) identifikationsuppgifter som kan kopplas till en juridisk eller fysisk person,

10) uppgifter om en juridisk person,

11) nödvändiga uppgifter om resande,

12) nödvändiga uppgifter om en persons verksamhet och beteende.

Skyddspolisen får dessutom behandla sådana uppgifter som hör till särskilda kategorier av personuppgifter som är nödvändiga för att skyddspolisen ska kunna utföra sina uppgifter.

50 §
Utlämnande av personuppgifter

Skyddspolisen får, för att sköta sina uppgifter, trots sekretessbestämmelserna lämna ut personuppgifter till andra myndigheter eller till sammanslutningar som sköter offentliga uppgifter.

Skyddspolisen får dessutom trots sekretessbestämmelserna lämna ut personuppgifter till andra polisenheter för de ändamål med behandlingen som avses i 13 § samt till andra myndigheter eller till sammanslutningar som sköter offentliga uppgifter för de ändamål med behandlingen som avses i 4 kap. På utlämnande för brottsbekämpning av uppgifter som har fåtts genom en metod för underrättelseinhämtning ska 5 a kap. 44 § i polislagen iakttas.

Skyddspolisen får registrera personuppgifter som avses i 1 och 2 mom. i polisens personregister i enlighet med 17 §.

Om det finns vägande skäl får skyddspolisen trots sekretessbestämmelserna i enskilda fall lämna ut personuppgifter till privata sammanslutningar och personer, och om det är nödvändigt för att skyddspolisen ska kunna utföra sina uppgifter.

51 §
Utlämnande av personuppgifter i internationellt samarbete

Skyddspolisen får trots sekretessbestämmelserna lämna ut personuppgifter till utländska säkerhets- och underrättelsetjänster och till utländska myndigheter som har till uppgift att skydda den nationella säkerheten, trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet eller att förebygga och utreda brott och föra brott till åtalsprövning, samt till Internationella kriminalpolisorganisationen (Interpol) och Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol), om utlämnandet är nödvändigt för att skyddspolisen ska kunna utföra sina uppdrag.

Skyddspolisen får trots sekretessbestämmelserna lämna ut i 1 mom. avsedda uppgifter till de aktörer som avses i det momentet också om uppgifterna är nödvändiga för att de utländska myndigheterna i fråga ska kunna utföra sina uppdrag.

Skyddspolisen får lämna ut personuppgifter till internationella datasystem i enlighet med 26–29 §.

När beslut fattas om utlämnande av uppgifter ska hänsyn dessutom tas till människorättssituationen i den stat som är mottagare av personuppgifterna, utlämnandets betydelse för Finlands internationella relationer samt de internationella fördrag och andra förpliktelser som är bindande för Finland. Vidare ska hänsyn tas till nivån på dataskyddet i den stat som är mottagare av personuppgifterna och vilken betydelse utlämnandet har med tanke på den registrerades rättigheter.

Internationellt samarbete och utbyte av information är förbjudet om det finns grundad anledning att misstänka att någon på grund av samarbetet eller utlämnandet av information riskerar dödsstraff, tortyr, någon annan behandling som kränker människovärdet, förföljelse, godtyckligt frihetsberövande eller orättvis rättegång.

Personuppgifter som hör till särskilda kategorier av personuppgifter får inte lämnas ut i stor omfattning.

Till personuppgifter som lämnas ut ska det vid behov fogas villkor för ändamålet med uppgifterna och vidarelämnande av dem.

52 §
Rätt att få uppgifter

Skyddspolisen har rätt att få sådana uppgifter som behandlas med stöd av 2 kap., om de behövs för att skyddspolisen ska kunna utföra sina uppgifter.

Skyddspolisen har för utförandet av sina uppgifter rätt att få sådana uppgifter som avses i 3 kap. på det sätt som föreskrivs i det kapitlet. Skyddspolisen har rätt att förelägga vite i enlighet med 19 §.

Skyddspolisen har rätt att få uppgifterna avgiftsfritt, om inte något annat föreskrivs i lag.

53 §
Behandling av personuppgifter som erhållits i internationellt samarbete

Vid behandlingen av personuppgifter som erhållits från utländska säkerhets- och underrättelsetjänster ska i fråga om sekretess, tystnadsplikt, begränsningar i användningen av uppgifter, vidarelämnande av uppgifter eller återsändande av utlämnat material iakttas vad som anges i de villkor som den som lämnat ut uppgifterna ställt.

54 §
Skyddspolisens rätt att upprätthålla sitt personregister

Om en personuppgiftsansvarig enligt någon annan lag har rätt att ur sitt personregister lämna ut personuppgifter till polisen genom en teknisk anslutning eller som en datamängd trots sekretessbestämmelserna, får skyddspolisen för att upprätthålla sitt informationssystem jämföra uppgifterna i personregistret i fråga med innehållet i sina registrerade personuppgifter. Onödiga uppgifter ska raderas utan dröjsmål efter det att jämförelsen har gjorts. Onödiga personuppgifter får inte registreras.

Om det föreskrivs att den nationella säkerheten är det ursprungliga ändamålet med behandlingen av uppgifterna eller att den nationella säkerheten är ett annat ändamål än det ursprungliga, har skyddspolisen dessutom trots sekretessbestämmelserna rätt att i sitt informationssystem jämföra en datamängd insamlad från ett annat informationssystem, om förfarandet är nödvändigt för att göra behandlingen av uppgifter möjlig i ett informationssystem med hög informationssäkerhetsnivå. Datamängden ska förstöras utan dröjsmål efter det att behovet av jämförelse har upphört. De uppgifter som insamlas för jämförelsen ska hållas åtskilda från övriga uppgifter som skyddspolisen behandlar.

Skyddspolisen har rätt att få uppgifterna avgiftsfritt, om inte något annat föreskrivs i lag.

55 §
Behandling av personuppgifter för annat ändamål än det ursprungliga

Utöver vad som föreskrivs i 5 § 3 mom. i dataskyddslagen avseende brottmål får uppgifter i skyddspolisens informationssystem trots sekretessbestämmelserna behandlas även för laglighetsövervakning, planering och utveckling. Uppgifterna får dessutom användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras.

56 §
Inskränkningar i rätten till insyn

Rätt till insyn föreligger inte alls i fråga om de personuppgifter som skyddspolisen behandlar med stöd av detta kapitel.

Bestämmelser om utövande av den registrerades rättigheter via dataombudsmannen finns i 29 § i dataskyddslagen avseende brottmål. En begäran om utövning av rättigheterna ska lämnas till dataombudsmannen eller till polisen i enlighet med 41 § 2 mom. i denna lag. En begäran som lämnats till polisen ska utan dröjsmål sändas till dataombudsmannen.

57 §
Radering av uppgifter

Sådana uppgifter om personer som har registrerats med stöd av 48 § 1 mom. ska raderas 25 år från det att den sista uppgiften fördes in, om det inte finns särskilda skäl att fortfarande bevara personuppgifterna. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år.

58 §
Uppgifter som konstaterats vara felaktiga

En uppgift som konstaterats vara felaktig får bevaras tillsammans med den korrigerade uppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till skyddspolisens personal har. En sådan uppgift får användas endast i det syfte som här avses.

En uppgift som konstaterats vara felaktig och som bevaras med stöd av 1 mom. ska raderas genast när den inte längre behövs för att trygga rättigheterna.

59 §
Arkivering av uppgifter

Bestämmelser om arkivfunktionens uppgifter och om handlingar som ska arkiveras utfärdas särskilt.

8 kap

Särskilda bestämmelser

60 §
Personuppgiftsansvarig

Personuppgiftsansvarig för de personuppgifter som avses i 2 kap. och för det nationella systemet inom Schengens informationssystem är Polisstyrelsen.

61 §
Ikraftträdande

Denna lag träder i kraft den 1 juni 2019.

Genom denna lag upphävs lagen om behandling av personuppgifter i polisens verksamhet (761/2003), nedan den upphävda lagen.

På radering av personuppgifter som avses i denna lag får de bestämmelser som gällde vid ikraftträdandet av denna lag tillämpas i fyra år från ikraftträdandet av lagen. Under denna övergångstid ska på radering av personuppgifter som avses i 7, 8, 11 och 12 § tillämpas den upphävda lagens 23, 24 och 26 § i den lydelse paragraferna hade vid ikraftträdandet av denna lag. På radering av personuppgifter som avses i 5 och 6 § tillämpas under denna tid den upphävda lagens 22 §, sådan den lyder delvis ändrad i lagarna 529/2005 och 851/2006.

RP 242/2018, FvUB 39/2018, GrUU 51/2018, RSv 318/2018, Europaparlamentets och rådets förordning (EU) nr 679/2016 (32016R0679); EUT L 119, 4.5.2016, s. 1, Europaparlamentets och rådets direktiv 2016/680/EU (32016L0680); EUT L 119, 4.5.2016, s. 89, Europaparlamentets och rådets direktiv 2016/853/EU (32017L0853); EUT L 137, 24.5.2017, s. 22

Finlex ® är en offentlig och gratis internettjänst för rättsligt material som ägs av justitieministeriet.
Innehållet i Finlex produceras och upprätthålls av Edita Publishing Ab. Varken justitieministeriet eller Edita svarar för eventuella fel i innehållet i databaserna, för den omedelbara eller medelbara skada som orsakas av att felaktig information används eller för avbrott i användningen av eller andra störningar i Internet.