Dir. 2016:22

Genomförande av direktiv om användning av passageraruppgiftssamlingar

Kommittédirektiv

Genomförande av direktiv om användning av passageraruppgiftssamlingar

Beslut vid regeringssammanträde den 17 mars 2016

Sammanfattning

En särskild utredare ska föreslå hur direktivet om användning av passageraruppgiftssamlingar för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (PNR-direktivet) ska genomföras i svensk rätt. Utredaren ska föreslå ett system för hanteringen av flygpassageraruppgifter och den reglering för personuppgiftsbehandling och sekretess som detta kräver. Utredaren ska också lämna de författningsförslag som krävs för att svensk lagstiftning ska leva upp till direktivet och den deklaration som medlemsstaterna ska anta samtidigt som direktivet. Vid utformningen av regleringen ska skyddet för enskildas personliga integritet särskilt beaktas.

Uppdraget ska redovisas senast den 31 maj 2017.

PNR-direktivet

Passageraruppgiftssamlingar består av uppgifter som lämnats av passagerare (Passenger Name Records – PNR) och samlats in av lufttrafikföretag (härefter benämnda flygbolag) i samband med beställning och bokning av biljetter samt vid incheckning, t.ex. namn, betalningssätt, bagageinformation, destination och resebolag. Flygbolag samlar redan i dag in och behandlar sådana uppgifter om sina passagerare för kommersiella syften.

Ett direktiv om användning av passageraruppgiftssamlingar för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (PNR-direktivet) kommer att antas inom kort. Medlemsstaterna måste genomföra direktivet i nationell rätt inom två år efter att det trätt i kraft.

Direktivet reglerar skyldigheten för flygbolag att överföra passageraruppgiftssamlingar till enheter för passagerarinformation i medlemsstaterna, för vilka ändamål uppgifterna får behandlas, hur länge uppgifterna får lagras och under vilka förutsättningar de får lämnas ut. Flygpassageraruppgifterna får endast behandlas för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Terroristbrott definieras som de brott enligt nationell rätt som avses i artiklarna 1–4 i rådets rambeslut 2002/475/RIF av den 13 juni 2002 om bekämpande av terrorism. Med grov brottslighet avses de brott som listas i bilaga II till direktivet, t.ex. människohandel, olaglig handel med narkotika, våldtäkt och sabotage, om de kan bestraffas med fängelse eller annan frihetsberövande åtgärd i minst tre år enligt nationell rätt.

Direktivet innehåller även andra bestämmelser om dataskydd.

Utredningsuppdraget

Allmänna utgångspunkter

Utredarens övergripande uppdrag är att analysera direktivet och föreslå de författningsändringar och andra åtgärder som krävs för att PNR-systemet ska kunna genomföras i svensk rätt. Förslagen ska sammantaget ge en väl balanserad reglering. I det ligger att utredaren ska ta hänsyn till intresset av en rättssäker och effektiv brottsbekämpning samtidigt som skyddet för den personliga integriteten och andra grundläggande fri- och rättigheter säkerställs. Vid utformningen av de författningsförslag som lämnas ska utredaren beakta EU:s stadga om de grundläggande rättigheterna (EUT C 83, 30.3.2010, s. 389) och de internationella konventioner på området som Sverige är

förpliktat att följa. Utredaren ska vidare eftersträva kostnadseffektiva lösningar för dem som berörs av direktivet.

Direktivet kräver endast att flygbolagen lämnar passageraruppgiftssamlingar för flygtransporter som anländer från eller avgår till ett land utanför Europeiska unionen (EU). Medlemsstaterna har också möjlighet att tillämpa det på flygningar inom EU. Medlemsstaterna kommer i en deklaration som ska antas samtidigt som direktivet åta sig att utnyttja denna möjlighet. Genom deklarationen har medlemsstaterna även uttalat att man ska eftersträva att, med hänsyn till nationellt parlamentariskt förfarande, införa nationella bestämmelser som innebär skyldighet att överföra flygpassageraruppgifter även för ekonomiska aktörer som inte är transportörer, t.ex. de resebyråer och researrangörer som erbjuder bokningsförmedling vid vilken sådana uppgifter samlas in och behandlas. Utgångspunkten för uppdraget är därför att direktivet även ska tillämpas på flygningar inom EU och att skyldigheten att föra över flygpassageraruppgifter till de nationella enheterna i medlemsstaterna även ska omfatta resebyråer och researrangörer.

Utredaren ska föreslå ett system för hanteringen av flygpassageraruppgifter och den reglering för personuppgiftsbehandling och sekretess som detta kräver. Utredaren ska även analysera om och i så fall hur PNR-direktivet påverkar det svenska genomförandet av rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (API-direktivet).

Ett system för hantering av flygpassageraruppgifter

PNR-direktivet ställer krav på medlemsstaterna att se till att det finns ett fungerande system för att hantera flygpassageraruppgifter. Enligt direktivet ska flygbolag överföra flygpassageraruppgifter för ankommande och avgående transporter till den medlemsstat som flyget ankommer till eller avgår ifrån. I enlighet med den deklaration som medlemsstaterna ska anta ska det eftersträvas att det i nationell rätt föreskrivs samma skyldighet för resebyråer och researrangörer. Medlemsstaterna

ska säkerställa att det i nationell rätt införs effektiva proportionella och avskräckande sanktioner, inklusive ekonomiska sådana, för flygbolag som inte uppfyller sina skyldigheter enligt direktivet vad gäller överföring av uppgifter eller som inte översänder uppgifterna i det fastställda formatet. För svenskt vidkommande bör ett sådant system vara uppbyggt enligt den struktur som redan gäller i dag, dvs. att en myndighets beslut om sanktioner kan överklagas till allmän förvaltningsdomstol.

Varje medlemsstat ska inrätta eller utse en myndighet eller del av myndighet med behörighet att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet som ska fungera som medlemsstatens enhet för passagerarinformation. Enheten ska ansvara för att samla in flygpassageraruppgifter från flygbolagen, lagra, behandla och överföra dessa uppgifter eller resultatet av behandlingen av dem till behöriga brottsbekämpande myndigheter. Enheten ska också ansvara för att utbyta flygpassageraruppgifter och resultatet av behandlingen av sådana uppgifter med andra medlemsstaters enheter för passagerarinformation och med Europol. Enheten ska lagra uppgifterna i fem år. Efter sex månader ska uppgifterna maskeras på ett sådant sätt att passageraren inte kan identifieras. De insamlade uppgifterna får endast behandlas för vissa angivna ändamål och lämnas ut under vissa förutsättningar. Polismyndigheten har till uppgift att förebygga, upptäcka och utreda de flesta av de brott som omfattas av direktivet. Utgångspunkten för uppdraget är därför att den nationella enheten ska placeras vid Polismyndigheten. Myndigheten ska även ansvara för genomförandet av direktivets tekniska bestämmelser.

Medlemsstaterna ska utse de myndigheter som ska vara behöriga att begära eller ta emot flygpassageraruppgifter och underrätta Europeiska kommissionen om dessa senast ett år efter det att direktivet trätt i kraft. Regeringen kommer inom kort att utse dessa myndigheter och det ingår därför inte i uppdraget att föreslå vilka myndigheter som ska anses behöriga enligt direktivet.

Utredaren ska föreslå

  • ett system för hur flygpassageraruppgifter ska hanteras i

Sverige,

  • hur enheten för passagerarinformation ska organiseras,
  • vilka sanktioner som ska kunna åläggas flygbolag som inte uppfyller sina skyldigheter enligt direktivet, och
  • de författningsändringar som behövs.

Behandling av personuppgifter och sekretess

Ett effektivt system för hantering av flygpassageraruppgifter förutsätter att uppgifter kan överföras inom systemet. Samtidigt måste skyddet för enskildas personliga integritet säkerställas.

För att myndigheter ska kunna utbyta information krävs att informationen inte omfattas av sekretess eller att sekretessen kan brytas. Vidare krävs att det finns stöd för att uppgifterna får lämnas ut. Regler om utlämnande av uppgifter från en myndighet till en annan finns, vad gäller den behandling som direktivet föreskriver, dels i offentlighets- och sekretesslagen (2009:400), dels i de författningar som reglerar myndigheternas personuppgiftsbehandling. Dessa är polisdatalagen (2010:361) och lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Enligt direktivet ska medlemsstaterna säkerställa att den behandling av personuppgifter som sker vid den nationella enheten och vid behöriga brottsbekämpande myndigheter omfattas av nationella dataskyddsbestämmelser som överensstämmer med rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) och de dataskyddsbestämmelser som finns angivna i PNR-direktivet. Med hänvisningen till dataskyddsrambeslutet ska förstås såväl nuvarande lagstiftning som de framtida bestämmelser som kommer att ersätta detta. Inom kort kommer nämligen ett nytt direktiv att antas med regler om skydd av personuppgifter när myndigheter behandlar sådana uppgifter vid brottsbekämpning, brottmålshantering eller straffverkställighet (det nya dataskyddsdirektivet).

Utredaren ska därför

  • analysera vilken personuppgiftsbehandling som aktualiseras vid tillämpningen av direktivet,
  • ta ställning till om reglerna i offentlighets- och sekretesslagen innebär ett tillräckligt skydd för de uppgifter som ska utbytas enligt direktivet eller om nuvarande lagstiftning behöver ändras för att Sverige ska leva upp till bestämmelserna i direktivet,
  • föreslå en reglering för personuppgiftsbehandling och sekretess som passar in i den befintliga svenska strukturen och ger en rättssäker och mer effektiv brottsbekämpning samtidigt som skyddet för den personliga integriteten säkerställs, och
  • i den utsträckning det är möjligt, beakta det arbete som genomförs av den utredning som kommer att få i uppdrag att genomföra det nya dataskyddsdirektivet.

Påverkar PNR-direktivet det svenska genomförandet av APIdirektivet?

Enligt bilaga I till direktivet omfattar flygpassageraruppgifter bl.a. förhandsuppgifter om passagerare (Advance Passenger Information, API). Inhämtandet av sådana uppgifter regleras i direktiv 2004/82/EG om skyldighet för transportörer att lämna uppgifter om passagerare (API-direktivet). API-direktivet har genomförts i svensk rätt genom en bestämmelse i 9 kap. 3 a § utlänningslagen (2005:716) och genom lagen (2006:444) om passagerarregister. Bestämmelsen i utlänningslagen innebär att en transportör som luftvägen transporterar passagerare till Sverige från en stat utanför Schengenområdet, på begäran av Polismyndigheten ska överföra uppgifter om de ankommande passagerarna så snart incheckningen avslutats. Informationen ska föras över till Polismyndigheten som ska spara uppgifterna i ett passagerarregister.

PNR-direktivet innebär en skyldighet för flygbolag att överföra de förhandsuppgifter om passagerare och flygpassageraruppgifter som framgår av bilaga I till direktivet. Tillämpningen av bestämmelserna i PNR-direktivet ska i övrigt inte påverka tillämpningen av API-direktivet.

I regeringens skrivelse Förebygga, förhindra, försvåra – den svenska strategin mot terrorism (skr. 2014/15:146) anges att

systemet för hantering av flygpassageraruppgifter bör samordnas med systemet för API-uppgifter, eftersom de tillsammans kan vara ett användbart verktyg i terrorismbekämpningen.

Utredaren ska därför

  • analysera hur PNR-direktivet förhåller sig till regleringen i

9 kap. 3 a § utlänningslagen och lagen om passagerarregister,

  • föreslå hur systemet för flygpassageraruppgifter ska möjliggöra hantering av både PNR-uppgifter och APIuppgifter, och
  • föreslå de författningsändringar som bedöms nödvändiga.

Konsekvensbeskrivningar

Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för de behöriga brottsbekämpande myndigheterna och konsekvenserna i övrigt av förslagen. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras. Utredaren ska även bedöma vilka konsekvenser förslagen får för enskilda.

Samråd och redovisning av uppdraget

Utredaren ska inhämta synpunkter från berörda myndigheter, särskilt Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten, Transportstyrelsen, Säkerhets- och integritetsskyddsnämnden och Datainspektionen. I lämplig omfattning ska utredaren även inhämta synpunkter från berörda flygbolag, andra ekonomiska aktörer och branschorganisationer. Utredaren ska vidare hålla sig informerad om arbetet med att genomföra det nya dataskyddsdirektivet och Polismyndighetens arbete med att genomföra PNR-direktivet i dess tekniska delar.

Uppdraget ska redovisas senast den 31 maj 2017.

(Justitiedepartementet)