Dir. 1999:99
Genomförandet av polisregisterlagstiftningen
Dir. 1999:99
Beslut vid regeringssammanträde den 9 december 1999.
Sammanfattning av uppdraget
En särskild utredare skall tillsättas för att följa genomförandet av den nya polisregisterlagstiftningen. Utredaren skall analysera konsekvenserna av den nya regleringen om polisens rätt att behandla personuppgifter automatiserat. En särskild analys skall göras av de samlade konsekvenserna från integritetssynpunkt av lagstiftningen på området.
Utredaren skall överväga om fler register än i dag bör regleras särskilt i lagstiftningen och i så fall lägga fram förslag till sådana regleringar. I övrigt skall utredaren peka på eventuella reformbehov.
En ny utgångspunkt för behandling av personuppgifter
Den 24 oktober 1998 trädde personuppgiftslagen (1998:204) i kraft. Lagen ersätter datalagen (1973:289) och syftar till att hindra att den personliga integriteten kränks genom behandling av personuppgifter.
Personuppgiftslagen genomför Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Lagen är generellt tillämplig och omfattar även sådana verksamheter som faller utanför EG-rätten. Avvikande bestämmelser i lag eller förordning gäller dock framför personuppgiftslagen.
Grundläggande regler om inrättande och förande av personregister med hjälp av automatisk databehandling fanns tidigare i datalagen (1973:289). Varje sammanställning av personuppgifter med hjälp av automatisk databehandling ansågs innebära att ett personregister hade inrättats. Bara den som anmält sig till Datainspektionen och fått licens fick inrätta och föra personregister. För att få registrera känsliga personuppgifter krävdes dessutom ett särskilt tillstånd från Datainspektionen. Ett sådant tillstånd behövdes t.ex. i regel för att inrätta och föra register med uppgifter om brott och brottsmisstankar, uppgifter om hälsotillstånd eller sexualliv, omdömen om den registrerade eller personuppgifter som hämtats från något annat register. Om ett personregister beslutats av riksdagen eller regeringen krävdes inget tillstånd.
Genom personuppgiftslagen har det tidigare licens- och tillståndsförfarandet avskaffats. Utgångspunkten för personuppgiftslagen är i stället att behandling av personuppgifter är tillåten i de fall och på de villkor lagen anger.
Personuppgiftslagen innehåller vissa grundläggande krav på hur uppgifter får behandlas. Dessa krav innebär bl.a. att personuppgifter får behandlas endast för särskilda, uttryckligt angivna och berättigade ändamål. Enligt huvudregeln får behandling av uppgifter endast ske med samtycke från den registrerade. Från den regeln finns det dock flera undantag, t.ex. om det är nödvändigt att behandla personuppgifter för att en arbetsuppgift av allmänt intresse skall kunna utföras eller för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet.
Om en behandling av personuppgifter för ett visst ändamål har påbörjats före den 24 oktober 1998, gäller fortfarande datalagen till den 1 oktober 2001.
Den nya polisregisterlagstiftningen
Polisens möjligheter att föra kriminal- och polisregister har hittills reglerats av lagen (1963:197) om allmänt kriminalregister och lagen (1965:94) om polisregister m.m. Dessa lagar skrevs med utgångspunkten att registren skulle föras manuellt. Det rättsliga stödet för att föra vissa datoriserade register, t.ex. person- och belastningsregistret, finns i stället i förordningen (1970:517) om rättsväsendets informationssystem (RI-förordningen). Många polisregister förs också med stöd av Datainspektionens tillstånd enligt datalagen (1973:289).
Sedan den 1 april i år gäller en ny lag om behandling av personuppgifter hos polisen, polisdatalagen (1998:622). Den nya lagen bygger på personuppgiftslagen (1998:204) och innehåller de särregler som ansetts nödvändiga i polisens verksamhet. Polisdatalagen utgör en del av den nya lagstiftningen om polisens register. Lagstiftningen, som har antagits av riksdagen, (prop. 1997/98:97, bet. 1997/98:JuU20, rskr 1997/98:276) består av tre nya lagar. Dessa är lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister och polisdatalagen (1998:622). Vidare görs vissa ändringar i sekretesslagen (1980:100). Av tekniska skäl har uppbyggnaden av de nya registren försenats. Regeringen har dock nyligen beslutat att lagen om belastningsregister och lagen om misstankeregister skall träda i kraft den 1 januari 2000 (SFS 1999:1134).
De register som är under uppbyggnad inom Europol och den svenska enheten av Schengens informationssystem (SIS) kommer också att få stor betydelse för den svenska polisen och de bör därför omnämnas i samband med en redogörelse av den nya polisregisterlagstiftningen.
Lagen (1998:620) om belastningsregister innehåller bestämmelser om registrering av utdömda påföljder. Registreringen skall ersätta den registrering av påföljder som för närvarande sker i person- och belastningsregistret med stöd av lagen (1963:197) om allmänt kriminalregister och lagen (1965:94) om polisregister m.m.
Belastningsregistret skall föras för att olika myndigheter, främst inom rättsväsendet, på ett enkelt sätt skall få tillång till de uppgifter om utdömda påföljder de behöver i sin verksamhet.
Lagen (1998:621) om misstankeregister innehåller bestämmelser om registrering av personer mot vilka förundersökning inletts. Tidigare registrerades sådana misstankeuppgifter tillsammans med uppgifter om utdömda påföljder i person- och belastningsregistret.
Misstankeregistret skall föras för att underlätta samordningen av olika förundersökningar. Ett annat ändamål med registret är att förse olika myndigheter, främst inom rättsväsendet, med de uppgifter om brottsmisstankar de behöver i sin verksamhet.
Polisdatalagen (1998:622), som trädde i kraft den 1 april 1999, innehåller dels allmänna bestämmelser om polisens behandling av personuppgifter, dels särskilda bestämmelser om automatiserad behandling av personuppgifter. Polisdatalagen gäller utöver personuppgiftslagen och innehåller den särreglering som ansetts nödvändig för polisens verksamhet. Lagen innehåller såväl inskränkningar som utvidgningar i förhållande till personuppgiftslagen. Några register regleras särskilt i polisdatalagen, nämligen kriminalunderrättelseregister, DNA-register, fingeravtrycks- och signalementsregister samt SÄPO-registret.
Medlemsstaterna i Europeiska unionen har genom Europolkonventionen beslutat att upprätta en europeisk polisbyrå, Europol. Sverige har tillträtt konventionen (prop. 1996/97:164, bet. 1997/98:JuU02, rskr. 1997/98:22). Målsättningen med Europol är att förbättra effektiviteten hos behöriga myndigheter i medlemsstaterna och deras samarbete när det gäller att förebygga och motverka viss definierad brottslighet, t.ex. grova narkotikabrott eller gränsöverskridande handel med barn som utnyttjas sexuellt.
Europols arbetsuppgifter skall i första hand bestå av att underlätta informationsutbytet mellan medlemsstaterna, inhämta, sammanställa och analysera information och underrättelser samt delge de nationella enheterna de underrättelser som berör deras länder. Europol skall ha ett informationssystem bestående av ett informationsregister med begränsat tydligt innehåll som tillåter snabb sökning av de uppgifter som finns hos medlemsstaterna och hos Europol, analysregister för arbetet i olika undersökningar och ett indexregister, som innehåller vissa uppgifter från analysregistren.
Sverige har även anslutit sig till Schengensamarbetet (prop. 1997/98:42, bet. 1997/98:JuU15, rskr 1997/98:121). För närvarande pågår lagstiftningsarbete och annat förberedelsearbete med sikte på att Sverige skall kunna bli operativ medlem under år 2000.
Schengensamarbetet bygger på två grundtankar. Den första är den fria rörligheten för personer, i den betydelsen att personkontrollerna vid nationsgränserna mellan Schengenstaterna skall upphöra. Den andra är att kampen skall stärkas mot internationell kriminalitet och illegal invandring. Ett hjälpmedel i detta sammanhang är dataregistret Schengens informationssystem (SIS). Registret är uppbyggt som ett spanings- och efterlysningshjälpmedel. I SIS kan varje Schengenstat föra in uppgifter om personer eller föremål som är efterlysta eller på annat sätt eftersökta med en begäran om att någon åtgärd skall vidtas när den efterlysta personen påträffas. I SIS förekommer endast identifieringsuppgifter av dessa personer. De kompletterande uppgifter som behövs för att ett land som har påträffat den efterlyste skall kunna verkställa åtgärden lämnas över först när det blir aktuellt i varje enskilt fall genom direkt kontakt mellan de berörda länderna.
För polisens del innebär personuppgiftslagen, tillsammans med den särreglering som görs i polisdatalagen, att möjligheterna till automatiserad behandling av personuppgifter ökar. Tidigare hade polisen t.ex. inte möjlighet att behandla personuppgifter automatiserat i kriminalunderrättelseverksamhet, dvs. för att klargöra om brottslig verksamhet har utövats eller kan komma att utövas. Genom den nya lagstiftningen har polisen fått vissa sådana möjligheter. Polisen har också fått nya möjligheter att behandla uppgifter automatiserat i särskilda register, t.ex. i kriminalunderrättelseregister och DNA-register.
Den nya lagstiftningen om polisens rätt att behandla personuppgifter är totalt sett omfattande. Det är frågan om tre helt nya lagar som bygger på den nya personuppgiftslagen och för att de skall komma i praktisk tillämpning krävs en omfattande teknisk uppbyggnad. Mot denna bakgrund finns det ett behov av att noga följa införandet av den nya registerstrukturen och på så sätt snabbt kunna uppmärksamma ett eventuellt behov av justeringar.
Polisdatalagen innehåller bara bestämmelser om vissa register, nämligen register som innehåller sådana känsliga uppgifter att en särreglering i förhållande till personuppgiftslagen bedömts nödvändig. Hos polisen förs för närvarande ett stort antal andra register såväl centralt som lokalt. Flertalet av dessa är närmare beskrivna i bilaga 5 till Registerutredningens slutbetänkande Polisens register (SOU 1997:65). Någon redogörelse för registrens innehåll ges därför inte här. Till de centrala registren hör t.ex. allmänt spaningsregister (ASP), centrala brottsspaningsregistret (CBS), beslags- och analysregistret (BAR), U-boksregistret, Interpolregistret, personefterlysningsregistret (EP) och passregistret. Till de lokala registren hör t.ex. rationell anmälansrutin (RAR) och förundersökningsregister (FU). Rikskriminalpolisen för vidare, efter tillstånd av regeringen, ett datoriserat referensbibliotek över barnpornografi.
Polisen är även en stor användare av det statliga personadressregistret (SPAR) som förs med stöd av lagen (1998:527) om det statliga personadressregistret. I anslutning till SPAR för polisen en rad register, tekniskt nära knutna till SPAR, med tillstånd från Datainspektionen.
De register som för närvarande förs med Datainspektionens tillstånd får föras till och med den 30 september 2001. De flesta register kommer även därefter att kunna föras med stöd av polisdatalagen och personuppgiftslagen. Målsättningen är dock fortfarande att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras i lag (jfr prop. 1997/98:97 s. 114 och prop 1997/98:44 s. 41). Mot denna bakgrund finns det anledning att undersöka om det finns ett behov av att författningsreglera ytterligare register.
Det finns också ett behov av att utreda hur möjligheterna att lagra bilder, ljud och andra upptagningar på datamedium förhåller sig till polisdatalagen och personuppgiftslagen. Ett exempel på ett register bestående av bilder är det digitala referensbiblioteket över barnpornografiska framställningar som förs av Rikskriminalpolisen. Även beträffande sådana register bör frågan om lagreglering övervägas.
Utbyggnaden av nätverk inom polisen, s.k. intranät, har gett polisen nya möjligheter att förmedla information. Detta är också ett område där det finns anledning att noga följa utvecklingen och bevaka vad den nya lagstiftningen kommer att få för konsekvenser.
De nya tekniska möjligheterna att behandla uppgifter automatiserat medför ofrånkomligt ökade risker för intrång i den enskildes personliga integritet. En utgångspunkt för lagstiftningen om polisens register har därför varit att finna en lämplig avvägning mellan polisens rätt att använda modern teknik och den enskildes integritet. Det saknas i och för sig skäl att nu ompröva den avvägning som kommit till uttryck genom polisregisterlagstiftningen.
Balansgången mellan integritet och effektivitet är emellertid inte helt okomplicerad. Från integritetssynpunkt är den praktiska tillämpningen av lagstiftningen av avgörande betydelse. Med lagstiftningen avses då inte enbart den egentliga polisregisterlagstiftningen, utan den totala effekten av tillämpningen av den lagstiftning som på något sätt påverkar polisens tillgång till och behandling av information. Lagstiftning om polisens arbetsmetoder är naturligtvis av stor betydelse i sammanhanget, liksom det ökade internationella samarbetet, t.ex. Sveriges tillträde till Europol- och Schengenkonventionerna. Ny teknik i form av lagring av personuppgifter i form av digitala bilder, ljud etc. innebär också helt nya möjligheter för polisens arbetssätt. Från integritetssynpunkt är det därför viktigt att på ett övergripande sätt följa såväl den praktiska tillämpningen av lagstiftningen i sin helhet som den tekniska utvecklingen. Också mot denna bakgrund är det angeläget att den nya lagstiftningen noga följs upp och utvärderas.
En särskild utredare skall, mot bakgrund av vad som nu har redovisats, följa genomförandet av lagstiftningen och påtala eventuella brister, särskilt från integritetssynpunkt.
Utredaren skall inventera de register som förs inom polisen med stöd av personuppgiftslagen (1998:204) och polisdatalagen (1998:622) samt, övergångsvis, med stöd av Datainspektionens tillstånd. Utredaren skall vidare kartlägga i vilken utsträckning personuppgifter behandlas automatiserat på annat sätt än i traditionella register. Utredaren skall även undersöka hur informationsutbytet med Europol fungerar.
Utredaren skall göra en särskild analys av vilka konsekvenser den nya lagstiftningen om polisens register har fått för den enskildes personliga integritet. I det sammanhanget skall effekten av all den lagstiftning som på något sätt påverkar polisens tillgång till och behandling av personuppgifter beaktas. Mot bakgrund av vad som tidigare anförts blir en viktig uppgift för utredaren att följa konsekvenserna av nya arbetssätt och ny teknik. Resultatet av analysen skall ställas mot de effekter lagstiftningen har fått för polisens brottsförebyggande och brottsbekämpande verksamhet.
I utredningsuppdraget ingår självfallet också att uppmärksamma eventuella tillämpningssvårigheter och belysa eventuella brister i lagstiftningen. En fråga som särskilt skall uppmärksammas i det sammanhanget är hur personuppgiftslagens bestämmelser om information till den registrerade tillämpas.
Utredaren skall på grundval av inventeringen överväga om något av de register som för närvarande förs med Datainspektionens tillstånd är av sådan omfattning att det bör författningsregleras och i så fall föreslå en sådan reglering.
I uppdraget ingår också att utreda hur utvecklingen av den digitala tekniken påverkat polisens arbetsmetoder t.ex. i form av lagring av personuppgifter i form av bilder, ljud etc. I det sammanhanget skall utredaren också överväga om det digitala referensbibliotek över barnpornografiska framställningar som Rikskriminalpolisen för bör lagregleras.
Utredaren skall, mot bakgrund av det som framkommit vid analysen av konsekvenserna av den nya lagstiftningen, överväga om det behöver vidtas några åtgärder, t.ex. i form av författningsändringar eller genom ökade möjligheter till insyn eller kontroll, för att lagstiftningen skall uppnå sitt syfte att öka möjligheten till effektiv brottsbekämpning och samtidigt värna om den enskildes personliga integritet.
Utredaren skall lägga fram fullständiga förslag till de författningsändringar som anses motiverade för att uppnå tillräcklig grad av författningsreglering av befintliga register. I övriga delar skall arbetet inriktas på att analysera och identifiera behov av ytterligare reformer på området. Redovisningen skall därvid ske på ett överskådligt sätt utan att förslag till författningsändringar behöver utarbetas.
Under uppdraget skall utredaren samråda med Rikspolisstyrelsen, Riksåklagaren, Ekobrottsmyndigheten och Datainspektionen. Om utredaren anser det befogat skall samråd även ske med Registernämnden.
Utredaren skall även följa arbetet med den lagstiftning som föranleds av Sveriges tillträde till Schengen.
Förslagets konsekvenser skall redovisas enligt vad som anges i 14 och 15 §§kommittéförordningen (1998:1474).
Uppdraget skall redovisas slutligt senast vid utgången av år 2001.