1 §  I denna förordning finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av polisdatalagen (2010:361). Begrepp och uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i lagen.

2 §  När polisen planerar nya IT-system av större omfattning eller nya IT-system som kan innebära särskilda risker för intrång i den personliga integriteten, ska den ansvariga myndigheten samråda med Datainspektionen i god tid innan beslut i frågan fattas. Detsamma ska gälla när polisen genomför betydande förändringar i sådana system. Rikspolisstyrelsen får meddela föreskrifter om att sådant samråd ska ske genom styrelsen.

Om samråd krävs enligt första stycket, ska Rikspolisstyrelsen även samråda med Säkerhets- och integritetsskyddsnämnden i frågor som anges i 5 kap.polisdatalagen (2010:361) eller 1 § första stycket eller andra stycket andra meningen lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet.

Vid bedömningen av risken för intrång i den personliga integriteten ska särskild vikt läggas vid om känsliga personuppgifter kommer att behandlas.

3 §  Rikspolisstyrelsen får meddela närmare föreskrifter om tillgången till personuppgifter för personer som är verksamma inom polisväsendet. För tilldelning av behörighet för åtkomst till personuppgifter ska särskilt beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och erfarenhet.

4 §  Rikspolisstyrelsen och varje polismyndighet ansvarar för att det inom den egna myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter. Säkerhetspolisen ansvarar för att det finns sådana rutiner i dess verksamhet.

5 §  Vid sökning enligt 3 kap. 6 § polisdatalagen (2010:361) får uppgift som visar att den sökta personen tidigare varit misstänkt för ett visst brott inte tas fram om en domstol, genom avgörande som har vunnit laga kraft, har ogillat åtalet, meddelat frikännande dom eller avskrivit målet sedan åtalet lagts ned.

Rikspolisstyrelsen får meddela föreskrifter om begränsning av tillgången till sådana uppgifter som avses i 3 kap. 6 § första stycket polisdatalagen. Särskild hänsyn ska då tas till den enskildes rätt till skydd mot intrång i den personliga integriteten. Tillgången till personuppgifter om tidigare misstankar om brott ska särskilt begränsas.

6 §  Vid sökning som utförs av särskilt angivna tjänstemän som utför beredningsuppgifter inom underrättelseverksamhet gäller inte sökbegränsningarna i 3 kap. 6 § första stycket polisdatalagen (2010:361). Vid Rikspolisstyrelsen och varje polismyndighet ska det löpande föras en förteckning över de tjänstemän vid myndigheten som har sådana arbetsuppgifter.

7 §  Vid Rikspolisstyrelsen och varje polismyndighet ska det löpande föras en förteckning över de tjänstemän vid myndigheten som utför uppgifter enligt 3 kap. 7 § andra stycket polisdatalagen (2010:361).

8 §  Rikspolisstyrelsen får meddela närmare föreskrifter om under vilka förutsättningar sökning enligt 3 kap. 7 § första stycket 2 polisdatalagen (2010:361) får äga rum.

9 §  Rikspolisstyrelsen får meddela föreskrifter om sökning i gemensamt tillgängliga uppgifter hos Säkerhetspolisen.

10 §  Utöver de ändamål som anges i 2 kap. 8 § polisdatalagen (2010:361) får personuppgifter behandlas för att tillhandahållas enligt 11 och 12 §§. Utöver för de ändamål som anges i 5 kap. 2 § polisdatalagen får personuppgifter behandlas för att tillhandahållas enligt 12 §.

11 §  Om en uppgift i en förundersökning kan antas ha betydelse för en konkursutredning, får uppgiften lämnas ut till konkursförvaltaren.

12 §  Rikspolisstyrelsen får lämna ut uppgifter om efterlysta personer och om avlägsnanden ur landet och uppgifter om beslut som har samband därmed till

1. Regeringskansliet,
2. Migrationsverket,
3. en polismyndighet,
4. Ekobrottsmyndigheten,
5. Åklagarmyndigheten,
6. Tullverket,
7. Kustbevakningen,
8. Skatteverket,
9. en länsstyrelse,
10. en svensk beskickning eller ett svenskt konsulat, och
11. de centrala utlänningsmyndigheterna i Danmark, Finland, Island och Norge.

13 §  Uppgifter som behandlas enligt 2 kap. 7 § polisdatalagen (2010:361) får, om det är förenligt med svenska intressen, lämnas ut till en utländsk myndighet som ansvarar för bekämpning av penningtvätt eller finansiering av särskilt allvarlig brottslighet, om det behövs för att den utländska myndigheten ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott.

14 §  Rikspolisstyrelsen får meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att en polismyndighet ska kunna medge direktåtkomst för myndigheter som anges i 3 kap. 8 § polisdatalagen (2010:361) till uppgifter som polismyndigheten behandlar enligt samma lag.

Direktåtkomst till uppgifterna får inte medges innan den personuppgiftsansvariga myndigheten har försäkrat sig om att den mottagande myndigheten uppfyller uppställda krav på behörighet och säkerhet.

15 §  Polismyndigheternas, Ekobrottsmyndighetens, Åklagarmyndighetens, Tullverkets och Kustbevakningens direktåtkomst enligt 4 kap. 10 § polisdatalagen (2010:361) till register över DNA-profiler ska begränsas till uppgifter om huruvida någon förekommer i sådana register.

16 §  Ekobrottsmyndighetens, Tullverkets, Kustbevakningens och Skatteverkets direktåtkomst enligt 4 kap. 17 § polisdatalagen (2010:361) till personuppgifter om fingeravtryck ska begränsas till uppgifter om huruvida någon förekommer i fingeravtrycksregister.

Rikspolisstyrelsen får meddela föreskrifter om polismyndigheternas direktåtkomst enligt 4 kap. 17 § polisdatalagen till fingeravtryck i fingeravtrycksregister.

17 §  Begränsningen i 2 kap. 20 § första meningen polisdatalagen (2010:361) gäller inte för myndigheter som får ha direktåtkomst enligt 3 kap. 8 § samma lag i fråga om personuppgifter som har gjorts gemensamt tillgängliga.

18 §  Om det inte är olämpligt, får fler personuppgifter än vad som anges i 2 kap. 20 § första meningen polisdatalagen (2010:361) lämnas ut på medium för automatiserad behandling till

1. konkursförvaltare,
2. Justitiekanslern,
3. Brottsförebyggande rådet,
4. Europol,
5. Interpol, och
6. en utländsk myndighet som ansvarar för bekämpning av penningtvätt eller finansiering av särskilt allvarlig brottslighet.

Uppgifter får inte lämnas ut på medium för automatiserad behandling om det kan antas att ett utlämnande skulle medföra att uppgiften kan komma att behandlas i strid med personuppgiftslagen (1998:204).

19 §  När Rikspolisstyrelsen och polismyndigheterna arkiverar uppgifter och handlingar digitalt ska de arkiverade uppgifterna och handlingarna avskiljas från polisens brottsbekämpande verksamhet. Åtkomsten till arkiverade uppgifter och handlingar ska begränsas till särskilt angivna tjänstemän.

Rikspolisstyrelsen får, efter samråd med Riksarkivet, meddela närmare föreskrifter om digital arkivering.

20 §  I 21–26 §§ föreskrivs att vissa kategorier av uppgifter i brottsanmälningar och avslutade förundersökningar får behandlas i polisens brottsbekämpande verksamhet efter utgången av den tid som anges i 3 kap.10 och 11 §§polisdatalagen (2010:361). Detsamma gäller uppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap.rättegångsbalken.

När uppgifter får behandlas enligt 21–26 §§ får, utöver vad som sägs i de bestämmelserna, följande uppgifter behandlas:

1. ärendenummer eller liknande referensuppgift,
2. brottskod, och
3. uppgifter om omständigheterna kring brottet.

21 §  Uppgifter om den dömde i en förundersökning som lett till fällande dom får behandlas efter utgången av den tid som anges i 3 kap. 11 § första stycket polisdatalagen (2010:361), om behandlingen av särskilda skäl är nödvändig för att finna samband mellan olika brott eller mellan tänkbara gärningsmän.

Uppgifterna ska dock gallras senast i samband med att uppgifterna om den dömde gallras ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

22 §  Uppgifter om en person som har varit misstänkt i en förundersökning som har lagts ned eller har avslutats på annat sätt än genom åtal, får i ett enskilt fall behandlas efter utgången av den tid som anges i 3 kap. 11 § andra stycket polisdatalagen (2010:361), om behandlingen är nödvändig för att trots detta kunna lagföra personen.

Uppgifterna ska dock gallras senast då åtal inte längre får väckas för brottet eller, i fall som avses i 35 kap. 2 § första stycket brottsbalken, senast sjuttio år från den dag då brottet begicks.

23 §  Uppgifter om personer som har dömts för, eller har varit misstänkta för, brott där det finns en betydande risk för återfall i samma eller likartad brottslighet, får behandlas efter utgången av den tid som anges i 3 kap.10 och 11 §§polisdatalagen (2010:361), om behandlingen av särskilda skäl är nödvändig för att förebygga, förhindra eller upptäcka brott för vilket fängelse i fyra år eller däröver är föreskrivet.

Uppgifterna ska dock gallras, i fråga om brott som har lett till fällande dom, senast i samband med att uppgifterna gallras ur belastningsregistret enligt lagen (1998:620) om belastningsregister och i övriga fall senast femton år efter det att förundersökningen lades ner eller avslutades på annat sätt.

Rikspolisstyrelsen får meddela närmare föreskrifter om vid vilka typer av brott det får anses finnas en sådan risk för återfall som anges i första stycket.

24 §  Om uppgifter om egendom som har varit föremål för brott finns i en förundersökning eller i en brottsanmälan, får uppgifterna behandlas efter utgången av den tid som anges i 3 kap.10 och 11 §§polisdatalagen (2010:361), om behandlingen av särskilda skäl är nödvändig för att kunna återställa egendomen till rätt ägare eller för att kunna spåra föremålets användning vid annat brott eller brottslig verksamhet.

Personuppgifter knutna till sådan egendom ska dock gallras när behandlingen inte längre är nödvändig för något av de ändamål som anges i första stycket.

25 §  Uppgifter om en person som är eftersökt såsom försvunnen får behandlas så länge uppgiften behövs för ändamålet med behandlingen.

Uppgifterna ska dock gallras senast tre månader efter det att personen har anträffats.

26 §  Skildringar av barn i det digitala referensbiblioteket över barnpornografiska framställningar får behandlas efter utgången av den tid som anges i 3 kap.10 och 11 §§polisdatalagen (2010:361), om behandlingen är nödvändig för att förebygga, förhindra eller upptäcka följande brott mot barn: brott mot 4 kap. 1 a §, 6 kap. eller 16 kap. 10 a §brottsbalken.

Uppgifterna ska dock gallras senast fyrtio år efter det att de infördes i referensbiblioteket.

27 §  Riksarkivet får, efter samråd med Rikspolisstyrelsen, meddela föreskrifter om att uppgifter som ska gallras enligt 2 kap. 13 §, 3 kap. 14 §, 4 kap.14, 15, 20 och 22 §§ eller 5 kap.7 och 12 §§polisdatalagen (2010:361) får bevaras för historiska, statistiska eller vetenskapliga ändamål.

28 §  Rikspolisstyrelsen får meddela de ytterligare föreskrifter som behövs för verkställighet av polisdatalagen (2010:361) och denna förordning.

29 §  Innan Rikspolisstyrelsen meddelar föreskrifter med stöd av denna förordning i frågor som berör särskilda risker för intrång i den personliga integriteten ska samråd ske med Datainspektionen och Säkerhets- och integritetsskyddsnämnden.