1 §  Syftet med denna lag är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin operativa verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

2 §  Denna lag gäller vid behandling av personuppgifter i Kustbevakningens operativa verksamhet som rör

1. sjöövervakning,
2. räddningstjänst,
3. samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation, och
4. internationellt samarbete.

Lagen gäller inte vid behandling av personuppgifter som omfattas av lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

3 §  Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

4 §  Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som meddelats i anslutning till lagen.

5 §  Följande bestämmelser om personuppgifter gäller även vid behandling av uppgifter om juridiska personer:

1. 6 § om personuppgiftsansvar,
2. 7-11 §§ om ändamålen för behandlingen,
3. 15 § om tillgången till personuppgifter, och
4. 24 § om bevarande och gallring.

6 §  Kustbevakningen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

7 §  Personuppgifter får behandlas om det är nödvändigt för att

1. bedriva sjöövervakning för att övervaka den allmänna ordningen och säkerheten till sjöss samt bedriva den kontroll och tillsyn som Kustbevakningen är skyldig att utföra,
2. bedriva räddningstjänst,
3. samordna civila behov av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter,
4. utreda och besluta i ärenden om vattenföroreningsavgift och ta emot sådana avgifter, eller
5. fullgöra skyldigheter inom ramen för internationellt samarbete med sjöövervakning och räddningstjänst.

8 §  Utöver vad som anges i 7 § får personuppgifter behandlas om

1. behandlingen är nödvändig för diarieföring, eller
2. uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

9 §  Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs i

1. Kustbevakningens verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet,
2. någon annan myndighets verksamhet, om
   1. Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med en viss uppgift, eller
   2. informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan, eller
3. likartad verksamhet hos en utländsk myndighet.

10 §  Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldigheten att lämna uppgifter följer av lag eller förordning, till någon annan.

11 §  Personuppgifter som behandlas enligt 7 § får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

12 §  Om uppgifter om en person behandlas får de kompletteras med sådana uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) när det är absolut nödvändigt för syftet med behandlingen. Känsliga personuppgifter får också behandlas med stöd av 8 §.

13 §  Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Första stycket hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp.

14 §  Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

15 §  Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.

16 §  Personuppgifter som får behandlas enligt 7 § får göras gemensamt tillgängliga.

Med gemensamt tillgängliga uppgifter avses personuppgifter som görs eller har gjorts gemensamt tillgängliga i Kustbevakningens operativa verksamhet och som fler än endast ett fåtal personer inom myndigheten har rätt att ta del av.

17 §  Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om i vilken utsträckning personuppgifter får lämnas ut till svenska och utländska myndigheter.

18 §  Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av 20-22 §§.

19 §  Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst.

20 §  Direktåtkomst får endast avse personuppgifter som har gjorts gemensamt tillgängliga. Direktåtkomsten får inte avse känsliga personuppgifter.

21 §  Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka svenska och utländska myndigheter som får ha direktåtkomst till personuppgifter som behandlas med stöd av 7 § i denna lag.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomsten och om behörighet och säkerhet.

22 §  En svensk myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

23 §  Information enligt artikel 13 i EU:s dataskyddsförordning behöver inte lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud, såvida behandlingen i övrigt inte innebär en direkt identifiering av en person. Sådan information behöver inte heller lämnas om uppgifterna samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.

24 §  Personuppgifter som behandlas automatiserat ska gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behandlas, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om digital arkivering.