Ds 2011:16

Kustbevakningsdatalag

Sammanfattning

Promemorian innehåller förslag till en lag om behandling av personuppgifter i Kustbevakningens verksamhet, en kustbevakningsdatalag. Den föreslagna lagen ska ersätta den nuvarande förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen. Lagen ska gälla i stället för personuppgiftslagen (1998:204), men innehålla hänvisningar till vissa bestämmelser i personuppgiftslagen som är tillämpliga i Kustbevakningens verksamhet.

Syftet med lagförslaget är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. En utgångspunkt är att skapa en teknikneutral och flexibel reglering där de yttre ramarna för behandlingen av uppgifter i Kustbevakningens verksamhet som är särskilt skyddsvärda från integritetssynpunkt slås fast i lagen, däribland ändamålen för behandlingen och de begränsningar som ska gälla för behandling av vissa uppgifter. Förslagen innebär vidare att vissa grundläggande krav ställs på all behandling av uppgifter som omfattas av lagen medan det för sådan verksamhet som är särskilt känslig ur integritetssynpunkt, framförallt behandlingen av uppgifter för brottsbekämpande ändamål, uppställs särskilda villkor.

Lagförslaget reglerar, med några få undantag, all behandling av personuppgifter i Kustbevakningens operativa verksamhet. Behandling av personuppgifter i samband med interna och administrativa åtgärder faller dock utanför den föreslagna lagens tilllämpningsområde. I sådana fall tillämpas personuppgiftslagen.

Promemorian innehåller också förslag till ändringar i offentlighets- och sekretesslagen (2009:400). Lagförslagen föreslås träda i kraft den 1 mars 2012.

1. Promemorians lagförslag

1.1. Förslag till kustbevakningsdatalag

1 kap. Lagens syfte och tillämpningsområde

Lagens syfte

1 § Syftet med denna lag är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i Kustbevakningens verksamhet som rör:

1. brottsbekämpning,

2. övrig sjöövervakning,

3. räddningstjänst,

4. samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation, och

5. internationellt samarbete om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

I lagen (2000:343) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

3 § Följande bestämmelser gäller även vid behandling av uppgifter om juridiska personer:

1. 2 kap. 3 § om tillgången till personuppgifter,

Promemorians lagförslag Ds 2011:16

2. 2 kap. 4 § om personuppgiftsansvar,

3. 3 kap. 2–4 §§ och 5 kap. 1 och 2 §§ om ändamålen för behandlingen,

4. 3 kap. 5 och 6 §§ och 5 kap. 8 § om bevarande och gallring, och

5. 4 kap. 1, 2, 8–11, 13 och 14 §§ om gemensamt tillgängliga uppgifter.

4 § Med gemensamt tillgängliga uppgifter avses i denna lag personuppgifter som görs eller har gjorts gemensamt tillgängliga i

Kustbevakningens verksamhet och som fler än endast ett fåtal personer inom myndigheten har rätt att ta del av.

5 § I 2 kap. finns allmänna bestämmelser om behandling av personuppgifter.

Bestämmelserna i 3 och 4 kap. gäller vid behandling av personuppgifter i Kustbevakningens brottsbekämpande verksamhet. Bestämmelserna i 5 kap. gäller vid behandling av personuppgifter i annan operativ verksamhet hos Kustbevakningen.

2 kap. Allmänna bestämmelser

Förhållandet till personuppgiftslagen

1 § Om inte annat anges i 2 §, gäller denna lag i stället för personuppgiftslagen (1998:204).

2 § När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i personuppgiftslagen (1998:204):

1. 3 § om definitioner,

2. 8 § om förhållandet till offentlighetsprincipen,

3. 9 § om grundläggande krav på behandling av personuppgifter, dock med undantag för paragrafens första stycke i) och tredje stycket,

4. 22 § om behandling av personnummer och samordningsnummer,

5. 23 och 25–27 §§ om information till den registrerade,

Ds 2011:16 Promemorians lagförslag

6. 28 § om rättelse,

7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,

8. 33–35 §§ om överföring av personuppgifter till tredjeland,

9. 38–41 §§ om personuppgiftsombud m.m., 10. 42 § om upplysningar till allmänheten om vissa behandlingar,

11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,

12. 48 § om skadestånd, och 13. 51 § första stycket, 52 § första stycket och 53 § om överklagande.

Om personuppgifter ska gallras enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.

Information enligt 23 § personuppgiftslagen behöver inte lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud. Sådan information behöver inte heller lämnas om uppgifterna samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.

Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.

Tillgången till personuppgifter

3 § Tillgången till personuppgifter ska alltid begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om tillgången till personuppgifter.

Personuppgiftsansvar

4 § Kustbevakningen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Promemorians lagförslag Ds 2011:16

Personuppgiftsombud

5 § Kustbevakningen ska utse ett eller flera personuppgiftsombud.

Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas.

Behandling av personuppgifter för diarieföring

6 § Utöver för de ändamål som anges i 3 kap. och 5 kap. får personuppgifter alltid behandlas om

1. behandlingen är nödvändig för diarieföring, eller

2. uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Behandling av känsliga personuppgifter

7 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Om uppgifter om en person behandlas på annan grund, får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som avses i första stycket får också behandlas med stöd av 6 §.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Utlämnande på medium för automatiserad behandling

8 § Enstaka personuppgifter får lämnas ut på medium för automatiserad behandling. Regeringen meddelar föreskrifter om att uppgifter får lämnas ut på sådant medium även i andra fall.

9 § Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av denna lag.

Ytterligare bestämmelser om direktåtkomst finns i 4 kap. 7 § och 5 kap. 6 §.

Ds 2011:16 Promemorians lagförslag

Grundläggande krav på behandlingen

10 § Personuppgifter ska behandlas på ett sådant sätt att det klart framgår om behandlingen sker med stöd av bestämmelserna för den brottsbekämpande verksamheten eller för annan operativ verksamhet hos Kustbevakningen.

3 kap. Behandling av uppgifter i Kustbevakningens brottsbekämpande verksamhet

1 § Bestämmelserna i detta kapitel tillämpas när Kustbevakningen behandlar personuppgifter i brottsbekämpande verksamhet.

För behandling som innebär att sådana uppgifter görs eller gjorts gemensamt tillgängliga gäller också 4 kap.

Ändamål

2 § Personuppgifter får behandlas i Kustbevakningens brottsbekämpande verksamhet endast om det behövs för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller beivra brott, eller

3. fullgöra de förpliktelser som följer av internationella åtaganden.

3 § Personuppgifter som behandlas enligt 2 § får även behandlas i

Kustbevakningens brottsbekämpande verksamhet när det är nödvändigt för att tillhandahålla information som behövs i

1. brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket,

2. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,

3. annan verksamhet hos Kustbevakningen för

a) utredning och beslut i ärenden som rör vattenföroreningsavgift,

b) tillsyn och kontroll enligt lag eller förordning,

4. en annan myndighets verksamhet

Promemorians lagförslag Ds 2011:16

a) om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift, eller

b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.

Personuppgifter som behandlas enligt 2 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till annan.

4 § I ett enskilt fall får personuppgifter som behandlas enligt 2 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i 3 §, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

Bevarande och gallring

5 § Personuppgifter får inte bevaras under längre tid än vad som behövs för något eller några av de i kapitlet angivna ändamålen.

I följande bestämmelser anges hur länge uppgifter som behandlas automatiserat längst får bevaras:

1. 6 § om uppgifter som inte har gjorts gemensamt tillgängliga,

2. 4 kap. 8–12 §§ om uppgifter i ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga, och

3. 4 kap. 13 och 14 §§ om andra uppgifter som har gjorts gemensamt tillgängliga än som anges i 2.

Regeringen meddelar föreskrifter om digital arkivering.

6 § Personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga ska, om de behandlas i ett ärende, gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende, ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången.

Första stycket gäller inte personuppgifter i ärenden om utredning eller beivrande av brott.

Ds 2011:16 Promemorians lagförslag

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med avvikelse från första stycket, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Utlämnande av uppgifter och uppgiftsskyldighet

7 § Om det är förenligt med svenska intressen, får personuppgifter lämnas till

1. Interpol,

2. Europol,

3. polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller

4. utländsk kustbevakning eller tullmyndighet inom Europeiska ekonomiska samarbetsområdet (EES)

om det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott.

Uppgifter får vidare lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnande följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

8 § Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.

9 § Regeringen meddelar föreskrifter om att personuppgifter får lämnas ut i andra fall än som anges i 7 och 8 §§.

Bestämmelser om att uppgifter får lämnas ut finns även i offentlighets- och sekretesslagen (2009:400).

Promemorians lagförslag Ds 2011:16

4 kap. Gemensamt tillgängliga uppgifter i Kustbevakningens brottsbekämpande verksamhet

Personuppgifter som får göras gemensamt tillgängliga

1 § Följande personuppgifter får göras gemensamt tillgängliga i

Kustbevakningens brottsbekämpande verksamhet:

1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a) innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver, eller

b) sker systematiskt.

2. Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott.

3. Uppgifter som behövs för att fullgöra vad som följer av internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

4. Uppgifter som har rapporterats till Kustbevakningens ledningscentraler.

Särskilda upplysningar

2 § Vid behandling enligt 1 § ska det genom särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas.

3 § Om uppgifter, som behandlas enligt 1 §, direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 1 § första stycket 1, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt.

Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta på grund av särskilda omständigheter är onödigt.

Ds 2011:16 Promemorians lagförslag

Sökning

4 § Vid sökning i personuppgifter som har gjorts gemensamt tillgängliga får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp.

Första stycket hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.

5 § Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får sådana uppgifter tas fram som anger att den sökta personen

1. är anmäld för brott,

2. är eller har varit misstänkt för brott,

3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 1 § första stycket 1,

4. har anmält ett brott,

5. är målsägande i ett ärende som rör ansvar för brott,

6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

7. har gett in eller tillhandahållits en handling,

8. är anmäld försvunnen,

9. har bedömts kunna komma att möta ett ingripande med grovt våld, eller

10. är efterlyst. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket.

6 § Bestämmelserna i 5 § gäller inte vid

1. sökning i en viss handling eller i ett visst ärende, eller

2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet och som enbart de som arbetar i undersökningen har åtkomst till.

Promemorians lagförslag Ds 2011:16

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första stycket.

Regeringen meddelar föreskrifter om ytterligare undantag från 5 §.

Direktåtkomst

7 § Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket får medges direktåtkomst till personuppgifter i Kustbevakningens brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Bevarande av personuppgifter i ärenden om utredning eller beivrande av brott

8 § I 9–10 §§ anges hur länge personuppgifter i vissa ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga längst får bevaras i Kustbevakningens brottsbekämpande verksamhet.

9 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i Kustbevakningens brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i Kustbevakningens brottsbekämpande verksamhet när åtal inte längre får väckas för brottet.

10 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna inte behandlas i Kustbe-

Ds 2011:16 Promemorians lagförslag

vakningens brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, vann laga kraft.

Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i Kustbevakningens brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.

Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

11 § Regeringen meddelar föreskrifter om att vissa kategorier av personuppgifter får bevaras i Kustbevakningens brottsbekämpande verksamhet under längre tid än vad som anges i 9 och 10 §§.

12 § Om en förundersökning mot en person har lagts ned, om åtal har lagts ned eller om frikännande dom, som har vunnit laga kraft, har meddelats, får personen inte längre vara sökbar som misstänkt.

Bevarande och gallring av övriga personuppgifter

13 § Personuppgifter som har gjorts gemensamt tillgängliga enligt 1 § 1, 3 eller 4 ska gallras enligt andra–fjärde styckena.

Uppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 1 § 1 ska gallras senast tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Uppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver ska dock gallras senast fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras.

Promemorians lagförslag Ds 2011:16

Uppgifter som har behandlats med stöd av 1 § 3 ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Uppgifter som har behandlats med stöd av 1 § 4 ska gallras senast ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

14 § Regeringen meddelar föreskrifter om att vissa kategorier av personuppgifter får bevaras under längre tid än vad som anges i 13 §.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med avvikelse från 13 §, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

5 kap. Behandling av uppgifter i annan operativ verksamhet hos Kustbevakningen

Ändamål

1 § Personuppgifter får behandlas i annan operativ verksamhet än den brottsbekämpande hos Kustbevakningen endast om det behövs för att

1. bedriva sjöövervakning för att övervaka den allmänna ordningen och säkerheten till sjöss samt bedriva den kontroll och tillsyn som Kustbevakningen är skyldig att utföra enligt särskilda föreskrifter,

2. bedriva räddningstjänst,

3. samordna civila behov av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter,

4. utreda och besluta i ärenden om vattenföroreningsavgift samt ta emot sådana avgifter, eller

5. fullgöra åligganden inom ramen för internationellt samarbete med sjöövervakning och räddningstjänst.

2 § Personuppgifter som behandlas enligt 1 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs i

Ds 2011:16 Promemorians lagförslag

1. Kustbevakningens brottsbekämpande verksamhet,

2. en annan myndighets verksamhet

a) om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift, eller

b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan, och

3. likartad verksamhet hos utländsk myndighet. Personuppgifter som behandlas enligt 1 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.

I ett enskilt fall får personuppgifter som behandlas enligt 1 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första och andra styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

3 § Uppstår misstanke om brott eller brottslig verksamhet när personuppgifter behandlas i Kustbevakningens verksamhet enligt 1 § tillämpas 3 och 4 kap.

Sökning

4 § Vid sökning i personuppgifter får uppgift som avses i 2 kap. 7 § inte användas.

Första stycket hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp.

Gemensamt tillgängliga uppgifter och direktåtkomst

5 § Personuppgifter i annan operativ verksamhet än den brottsbekämpande hos Kustbevakningen får göras gemensamt tillgängliga, om det är nödvändigt för Kustbevakningen att fullgöra sina uppgifter i den verksamhet som framgår av 1 §.

6 § Regeringen meddelar föreskrifter om vilka svenska myndigheter som får ha direktåtkomst till personuppgifter som behandlas med stöd av 1 §. Direktåtkomsten får endast avse personupp-

Promemorians lagförslag Ds 2011:16

gifter som har gjorts gemensamt tillgängliga enligt 5 §. Direktåtkomst till uppgifter som behandlas med stöd av 1 § får inte avse känsliga personuppgifter. En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen meddelar föreskrifter om att utländska myndigheter får ha direktåtkomst till personuppgifter som behandlas med stöd av 1 §. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga enligt 5 §. Direktåtkomst till uppgifter som behandlas med stöd av 1 § får inte avse känsliga personuppgifter.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Utlämnande av uppgifter

7 § Regeringen meddelar föreskrifter om i vilken utsträckning personuppgifter får lämnas ut till svenska och utländska myndigheter i andra fall än som anges i offentlighets- och sekretesslagen (2009:400).

Bevarande och gallring

8 § Personuppgifter som behandlas automatiserat ska gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behandlas, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om att gallring ska ske senast vid viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Regeringen meddelar föreskrifter om digital arkivering.

Denna lag träder i kraft den 1 mars 2012.

Ds 2011:16 Promemorians lagförslag

1.2. Förslag till lag om ändring i lagen (2010:369) om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 18 kap. 2 § och 35 kap. 10 §offentlighets- och sekretesslagen (2009:400) i stället för dess lydelse enligt lagen (2010:369) om ändring i nämnda lag ska ha följande lydelse.

Lydelse enligt SFS 2010:369 Föreslagen lydelse

18 kap.

2 §

Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 7 § 1 eller 5 kap. 1 § 1 polisdatalagen (2010:361), om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.

Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till

1. sådan underrättelseverksamhet som avses i 2 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar, eller

2. sådan verksamhet som avses i 7 § 1 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

1. sådan underrättelseverksamhet som avses i 2 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,

2. sådan verksamhet som avses i 7 § 1 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, eller

3. sådan verksamhet som avses i 3 kap. 2 § 1 kustbevakningsdatalagen (2011:000) .

Promemorians lagförslag Ds 2011:16

Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en allmän handling före år 1949.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

35 kap.

10 §

Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut

1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,

2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som har meddelats med stöd i den lagen,

3. enligt vad som föreskrivs i

– lagen (1998:621) om misstankeregister,

polisdatalagen (2010:361), – lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,

– lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,

– förordningar som har stöd i dessa lagar, eller

3. enligt vad som föreskrivs i

– lagen (1998:621) om misstankeregister,

polisdatalagen (2010:361), – lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,

– lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,

– 3 och 4 kap. kustbevakningsdatalagen (2011:000) ,

– förordningar som har stöd i dessa lagar, eller

4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken.

2. Ärendet och dess beredning

Regeringen beslutade den 21 oktober 2004 att tillkalla en särskild utredare för att göra en översyn av regleringen av behandling av personuppgifter i Kustbevakningens verksamhet och lämna förslag till en författningsreglering. I uppdraget ingick att kartlägga behandlingen av personuppgifter och analysera behovet av särskilda bestämmelser. Utgångspunkten för uppdraget var att Kustbevakningens verksamhet ska kunna bedrivas effektivt med rationellt datorstöd samtidigt som nödvändig respekt visas för enskildas personliga integritet.

Den 25 oktober 2004 förordnades kammarrättslagmannen Sten Wahlqvist att från och med den 1 november 2004 vara särskild utredare.

I en skrivelse till regeringen den 25 maj 2005 föreslog Kustbevakningen en ny bestämmelse i då gällande sekretesslagen (1980:100) med innebörden att sekretess ska gälla för uppgift om enskilds affärs- eller driftförhållanden i databas som förs av Kustbevakningen för samordning av de civila behoven av sjöinformation och förmedling av denna information till berörda myndigheter. Regeringen beslutade den 29 september 2005 att överlämna framställningen till utredningen (Fö 2004:04).

Utredningen, som antog namnet Utredningen om Kustbevakningens personuppgiftsbehandling, överlämnade den 28 februari 2006 betänkandet Kustbevakningens personuppgiftsbehandling, Integritet – Effektivitet (SOU 2006:18). En sammanfattning av betänkandet finns i bilaga 1. Utredningens lagförslag finns i bilaga 2.

Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. En sammanställning över remissyttrandena finns tillgänglig i Försvarsdepartementet (dnr Fö2006/618/RS).

Sedan betänkandet remissbehandlats bedömdes att den fortsatta beredningen av förslaget skulle samordnas med beredning-

Ärendet och dess beredning Ds 2011:16

en av Polisdatautredningens förslag – Behandling av personuppgifter i polisens verksamhet (SOU 2001:92). Under den fortsatta beredningen i det ärendet framkom att Polisdatautredningens förslag behövde ändras och kompletteras i olika avseenden.

Inom Regeringskansliet (Justitiedepartementet) utarbetades därför departementspromemorian Behandling av personuppgifter i polisens brottsbekämpande verksamhet (Ds 2007:43). I promemorian togs vissa principiella överväganden om regleringen av Kustbevakningens personuppgiftsbehandling upp, i syfte att åstadkomma en mer enhetlig reglering av förutsättningarna för personuppgiftsbehandling hos brottsbekämpande myndigheter. Promemorian innehåller dock inga lagförslag rörande Kustbevakningens personuppgiftsbehandling. Den del av promemorian som rör vilka grundläggande principer som föreslås gälla för Kustbevakningen i dess brottsbekämpande verksamhet finns i bilaga 4. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 5. Remissvaren och remisssammanställning finns tillgängliga i Justitiedepartementet (dnr Ju2007/9805/PO).

Med anledning av i proposition framlagt förslag till lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet, har framkommit behov av att ändra och komplettera förslaget till den i SOU 2006:18 föreslagna lagen om behandling av personuppgifter i Kustbevakningens verksamhet. Detta för att nå enhetlighet i personuppgiftsbehandlingen i myndigheternas brottsbekämpande verksamheter och tydligare reglera vad som bör gälla i annan operativ verksamhet hos Kustbevakningen. Ändringarna och kompletteringarna har bedömts vara av sådan art att ett nytt underlag måste tas fram och remitteras. Denna promemoria har därför, med förslagen i SOU 2006:18 som utgångspunkt, utarbetats inom Regeringskansliet (Försvarsdepartementet).

Kustbevakningen har vidare i en framställan till Justitiedepartementet begärt att myndigheten i sin brottsbekämpande verksamhet ska få tillgång till uppgifter i belastningsregistret och misstankeregistret genom direktåtkomst (dnr Ju2005/319/PO,

Ds 2011:16 Ärendet och dess beredning

numera dnr Fö2008/1488/RS). Saken har behandlats i ovan nämnda Ds 2007:43 och i propositionen Några frågor om sekretess och tillgång till register (prop. 2008/09:152). I den propositionen har även behandlats den del av SOU 2006:18 som avser sekretess för uppgifter om enskilds affärs- eller driftförhållanden i verksamhet som avser förande av eller uttag ur Kustbevakningens register för samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation och frågan om sekretess hos Kustbevakningen för uppgift ur sjömansregistret. Dessa frågor är således inte föremål för denna promemoria.

3. Gällande rätt och internationella överenskommelser

3.1. Inledning

Grundläggande bestämmelser till skydd för den personliga integriteten finns i regeringsformen. I målsättningsstadgandet i 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. Av 2 kap. 6 § andra stycket regeringsformen följer vidare sedan den 1 januari 2011 att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (prop. 2009/10:80, bet. 2009/10:KU19 och 2010/11:KU4, rskr. 2010/11:130). Begränsningar i denna rättighet får göras endast i lag i den ordning som föreskrivs i 2 kap.21 och 22 §§regeringsformen. Vidare följer av 2 kap. 19 § regeringsformen att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Europakonventionen gäller som lag i Sverige (se närmare avsnitt 3.2.1).

Personuppgiftslagen (1998:204) har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen trädde i kraft den 24 oktober 1998. Genom lagen genomfördes Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) i svensk rätt. Personuppgiftslagen är tillämplig om det inte i nå-

Gällande rätt och internationella överenskommelser Ds 2011:16

gon annan lag eller i en förordning har meddelats avvikande bestämmelser. Då gäller dessa. Direktivet omfattar däremot inte all personuppgiftsbehandling. Verksamhet som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område omfattas till exempel inte. Personuppgiftslagen (1998:204) innehåller dock inte något undantag för dessa områden.

Sedan slutet av 1990-talet har det emellertid utöver personuppgiftslagen utarbetats en stor mängd specialförfattningar med bestämmelser om behandling av personuppgifter, däribland förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen.

Detta avsnitt innehåller en beskrivning av gällande rätt och en redogörelse för aktuella internationella överenskommelser och rekommendationer på dataskyddsområdet. Dessa instrument utgör en utgångspunkt för en ny reglering gällande behandlingen av personuppgifter i Kustbevakningens verksamhet och respekten för och medvetenheten om dessa rättigheter ska vara tydlig i denna verksamhet. Vidare redovisas ett antal antagna beslut inom Europeiska unionen (EU) som rör informationsutbyte mellan medlemsstaterna. Redovisningen fokuserar på överenskommelser som har bäring på personuppgiftsbehandling inom Kustbevakningens verksamhet.

3.2. Internationella överenskommelser och personuppgiftslagen

3.2.1. Europakonventionen och FN-konventionen om medborgerliga och politiska rättigheter

År 1948 antog Förenta nationerna (FN) den allmänna förklaringen om de mänskliga rättigheterna. De rättigheter som räknas upp i förklaringen har därefter vidareutvecklats bl.a. i den europiska konventionen om skydd för de mänskliga rättigheterna och grundläggande friheterna (Europakonventionen) från år 1950

Ds 2011:16 Gällande rätt och internationella överenskommelser

och FN:s konvention om medborgerliga och politiska rättigheter från år 1966.

Enligt artikel 8 i Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka åtnjutandet av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Såvitt gäller laglighetskriteriet krävs bl.a. att den nationella rättighetsinskränkande författningen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. Reglerna ska vara tillräckligt tydliga för att tillämpningen ska vara förutsebar och den ska vara allmänt tillgänglig. Kravet att ett ingripande ska vara nödvändigt i ett demokratiskt samhälle innebär att det ska föreligga ett ”angeläget samhälleligt behov” av åtgärden i fråga. I det ligger bl.a. en begränsning som innebär att åtgärden inte får gå längre än vad som är erforderligt med beaktande av proportionalitetsprincipen, dvs. den ska stå i rimlig relation till det intresse åtgärden är avsedd att tillgodose. Vid denna avvägning har staterna ett visst handlingsutrymme att inom rimliga gränser avgöra vilka åtgärder som kan anses nödvändiga för att tillgodose det eftersträvade ändamålet.

Det står klart att behandling av personuppgifter och t.ex. rätt till tillgång till registrerade personuppgifter i och för sig kan falla inom tillämpningsområdet för artikel 8 i Europakonventionen. All slags behandling av personuppgifter omfattas dock inte, utan frågan måste gälla privatliv, familjeliv, hem eller korrespondens.

I artikel 13 i Europakonventionen föreskrivs att var och en, vars i konventionen angivna fri- och rättigheter kränkts, ska ha tillgång till ett effektivt rättsmedel inför en nationell myndighet. Detta gäller även om kränkningen förövats av någon under utövning av offentlig myndighet. Innebörden av artikeln är att den enskilde ska ha tillgång till en nationell instans för att kunna få saken prövad och kunna få rättelse. Prövningen kan utföras av

Gällande rätt och internationella överenskommelser Ds 2011:16

domstol, men något krav på domstolsprövning uppställs inte. Prövning av en stats regering eller av en förvaltningsmyndighet kan vara tillräckligt för att uppfylla konventionens krav på tillgång till ett effektivt rättsmedel.

Även i FN:s konvention om medborgerliga och politiska rättigheter finns en bestämmelse till skydd mot godtyckligt eller olagligt ingripande i någons privat- och familjeliv (artikel 17).

3.2.2. Europeiska unionens stadga om de grundläggande rättigheterna

Lissabonfördraget innebär att Europeiska unionens stadga om de grundläggande rättigheterna, tillkännagiven av parlamentet, rådet och kommissionen den 7 december 2000 och anpassad den 12 december 2007, är rättsligt bindande. En referens till stadgan har införts i artikel 6.1 i det ändrade EU-fördraget (prop. 2007/08:168 s. 58). I stadgan bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser, Europakonventionen, unionens och Europarådets sociala stadgor samt rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte är att kodifiera de grundläggande fri- och rättigheter som EU redan erkänner.

I stadgans artikel 7 föreskrivs, efter förebild i artikel 8 i Europakonventionen, att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sin korrespondens. I artikel 8 i stadgan föreskrivs vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs. Av artikel 51 i stadgan följer att den riktar sig till verksamhet som utförs av EU:s egna organ och institutioner och att den blir tilllämplig för medlemsstaterna endast i de fall där de tillämpar EU-

Ds 2011:16 Gällande rätt och internationella överenskommelser

rätten. Stadgan är följaktligen inte tillämplig på nationell lagstiftning som inte har sin grund i unionsrätten.

När det gäller de garanterade rättigheternas räckvidd följer av artikel 52 i stadgan att varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan ska vara föreskriven i lag och vara förenlig med proportionalitetsprincipen och det väsentliga innehållet i fri- och rättigheterna. I den mån rättigheterna i stadgan motsvarar rättigheter som skyddas av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen. Stadgans artiklar får inte tolkas som att de inskränker eller inkräktar på rättigheter enligt andra konventioner eller överenskommelser om fri- och rättigheter.

3.2.3. Dataskyddskonventionen m.m.

Reglering om automatiserad behandling av personuppgifter finns i bl.a. Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Dataskyddskonventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen.

Dataskyddskonventionens innehåll kan ses som en precisering av skyddet vid användning av automatiserad behandling av personuppgifter enligt artikel 8 Europakonventionen. Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med automatiserad behandling av personuppgifter.

Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste iaktta i sin nationella lagstiftning. Personuppgifter som är föremål för automatiserad behandling ska samlas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Vidare måste uppgifterna vara relevanta för ändamålen med behandlingen och får inte senare användas på ett sätt som är oförenligt med dessa. Uppgifterna måste också vara riktiga och aktuella och de får inte bevaras längre än vad som är nödvändigt för ändamålen.

Gällande rätt och internationella överenskommelser Ds 2011:16

Vissa kategorier av personuppgifter får, enligt konventionen, behandlas endast om den nationella lagstiftningen ger ett ändamålsenligt skydd. Till sådana personuppgifter hör uppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv samt uppgifter om brott.

För att skydda personuppgifter mot bl.a. oavsiktlig eller otillåten förstörelse föreskriver konventionen att lämpliga skyddsåtgärder ska vidtas. Vidare föreskrivs att den registrerade bl.a. ska ha möjlighet till insyn i register och till att få uppgifter rättade. Under vissa förutsättningar får undantag göras från bestämmelserna i konventionen bl.a. i fråga om uppgifternas beskaffenhet och rätten till insyn. Sådana inskränkningar förutsätter, enligt konventionen, stöd i den nationella lagstiftningen och att inskränkningen är nödvändig i ett demokratiskt samhälle för vissa angivna ändamål, t.ex. statens ekonomiska intressen och brottsbekämpning, samt för att skydda enskildas fri- och rättigheter.

Dataskyddskonventionens roll som riktmärke för automatiserad behandling av personuppgifter inom Europeiska unionen har emellertid i princip övertagits av dataskyddsdirektivet inom dess tillämpningsområde i och med att detta har införlivats i medlemsstaternas nationella lagstiftningar. Direktivet omfattar dock inte behandling av personuppgifter inom områden som allmän säkerhet, försvar och statens säkerhet. På dessa områden är dataskyddskonventionen således fortfarande av betydelse.

Europarådets ministerkommitté antog år 2001 ett tilläggsprotokoll till dataskyddskonventionen. Det innehåller bestämmelser om tillsynsmyndigheter och överföring av personuppgifter till länder som inte är bundna av konventionen. Tilläggsprotokollet trädde i kraft den 1 juli 2004.

Internationella riktlinjer i fråga om integritetsskydd och persondataflöde över gränserna har även utarbetats inom Organisationen för ekonomiskt samarbete och utveckling (OECD). Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som finns i dataskyddskonventionen.

Ds 2011:16 Gällande rätt och internationella överenskommelser

3.2.4. Dataskyddsdirektivet

Dataskyddsdirektivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Medlemsstaterna får inom den ram som anges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen. Direktivet gäller inte för sådan behandling av personuppgifter som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. Direktivet omfattar således inte statens behandling av personuppgifter i brottsbekämpande verksamhet.

Dataskyddsdirektivet är endast tillämpligt på behandling av uppgifter om fysiska personer och berör således inte skyddet för juridiska personer. Direktivet omfattar inte bara automatiserad behandling, utan också manuell behandling av personuppgifter som ingår eller kommer att ingå i ett register. Utanför tillämpningsområdet faller t.ex. ostrukturerade akter. Dataskyddsdirektivet omfattar inte behandling av personuppgifter för privat bruk.

Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligt angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.

Personuppgifter får enligt direktivet behandlas bara i vissa fall. Här kan nämnas att uppgifter får behandlas i första hand efter att den registrerade otvetydigt har lämnat sitt samtycke, men också om det är nödvändigt för att fullgöra en rättslig förpliktelse som åligger den registeransvarige eller för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Personuppgifter får även behandlas

Gällande rätt och internationella överenskommelser Ds 2011:16

om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas.

Vissa särskilda i direktivet angivna kategorier av uppgifter får som huvudregel inte behandlas. Det gäller uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Enligt direktivet får dock behandling av sådana uppgifter ske i vissa undantagsfall, bl.a. med uttryckligt samtycke av den registrerade. Medlemsländerna får vidare under förutsättning att lämpliga skyddsåtgärder införs och av hänsyn till ett viktigt allmänt intresse besluta om undantag från förbudet.

Dataskyddsdirektivet föreskriver att den registeransvarige ska informera den registrerade om att personuppgifter är föremål för behandling och därvid redogöra för ändamålet med behandlingen. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige dock inte lämna någon information, om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade.

Direktivet innehåller även regler om säkerhet vid behandlingen. Genom lämpliga tekniska och organisatoriska åtgärder ska den registeransvarige skydda personuppgifter mot otillåten behandling samt mot förstöring, förlust, ändring eller otillåten spridning.

Som ovan nämnts syftar direktivet till ett fritt flöde av personuppgifter mellan medlemsländerna. En överföring av personuppgifter till tredjeland får dock som huvudregel endast ske om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. Vad som är en adekvat skyddsnivå får avgöras med hänsyn taget till bl.a. de uppgifter som ska behandlas och ändamålet med behandlingen.

Ds 2011:16 Gällande rätt och internationella överenskommelser

3.2.5. Personuppgiftslagen

Dataskyddsdirektivet har genomförts i svensk rätt genom personuppgiftslagen (1998:204). Till skillnad från dataskyddsdirektivet har dock personuppgiftslagen gjorts generellt tillämplig och omfattar således även verksamhet som faller utanför direktivets tillämpningsområde (prop. 1997/98:44, bet. 1997/98:KU18). Lagen, som trädde i kraft den 24 oktober 1998, innehåller de generella regler som krävs för genomförande av direktivet. Särreglering i annan lag eller i förordning gäller emellertid framför bestämmelserna i personuppgiftslagen. Att det krävs en särskild författning för att avvika från det integritetsskydd som personuppgiftslagen ger, är en garanti för att behovet av särregler övervägs noga i den ordning som gäller för författningsgivning.

Personuppgifter i personuppgiftslagens mening är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Uppgifter om juridiska personer och avlidna omfattas således inte av lagen.

Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, exempelvis att samla in, söka, bevara och sprida uppgifter. Lagen omfattar endast behandling av personuppgifter som är helt eller delvis automatiserad. Även manuell behandling kan dock omfattas, nämligen om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Enligt personuppgiftslagen ska en personuppgiftsansvarig bl.a. se till att personuppgifter behandlas bara om det är lagligt. Den personuppgiftsansvarige ska vidare se till att personuppgifter behandlas på ett korrekt sätt och i enlighet med god sed, att personuppgifter samlas in bara för särskilda uttryckligt angivna och berättigade ändamål, att de inte behandlas för något ändamål som är oförenligt med det för vilket de samlades in, att de personuppgifter som behandlas är riktiga och om nödvändigt aktuella, att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga

Gällande rätt och internationella överenskommelser Ds 2011:16

med hänsyn till ändamålen med behandlingen och att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Enligt lagen är det vidare förbjudet att till tredjeland föra över personuppgifter om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller både uppgifter som är under behandling och uppgifter som ska undergå behandling. När det gäller att avgöra om skyddsnivån är adekvat ska alla omständigheter kring överföringen beaktas, varvid särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen och de regler som finns för behandlingen i det tredjelandet. I vissa fall får dock överföring av personuppgifter till tredjeland ske även om det aktuella landet inte har en sådan adekvat skyddsnivå som avses i personuppgiftslagen, t.ex. om den registrerade har lämnat sitt samtycke eller för att rättsliga anspråk ska kunna fastställas.

Den 1 januari 2007 trädde vissa ändringar i personuppgiftslagen i kraft, som innebär att lagen i viss utsträckning har utformats enligt en s.k. missbruksmodell (prop. 2005/06:173). Regleringen tar därmed inte sikte på själva hanteringen av personuppgifterna utan på att uppgifterna inte får missbrukas till skada för någons personliga integritet. Behandling av personuppgifter i ostrukturerat material, t.ex. löpande text och enstaka ljud- och bildupptagningar, undantas från de flesta av personuppgiftslagens detaljerade hanteringsregler. Sådan behandling får dock inte innebära att den registrerades personliga integritet kränks.

Bestämmelserna i personuppgiftslagen redovisas närmare i samband med de förslag som lämnas i avsnitt 8.3.

3.3. Den nuvarande regleringen av Kustbevakningens behandling av personuppgifter

Kustbevakningens behandling av personuppgifter regleras idag genom bestämmelserna i personuppgiftslagen (1998:204) och förordningen (2003:188) om behandling av personuppgifter

Ds 2011:16 Gällande rätt och internationella överenskommelser

inom Kustbevakningen. Förordningen gäller utöver personuppgiftslagen i fråga om behandling av personuppgifter i Kustbevakningens verksamhet som rör brottsbekämpning, kontroll och tillsyn samt ärenden om vattenföroreningsavgift.

I förordningen anges att Kustbevakningen får behandla personuppgifter i sin brottsbekämpande verksamhet. Detta förutsätter att behandlingen är nödvändig för att förhindra eller upptäcka brottslig verksamhet som Kustbevakningen enligt lag eller förordning har till uppgift att ingripa mot eller för att utreda sådana brott. Personuppgifter får också behandlas i den kontroll- och tillsynsverksamhet som Kustbevakningen enligt lag eller förordning har att genomföra, om det är nödvändigt för att inrikta och genomföra verksamheten. Personuppgifter får vidare behandlas vid Kustbevakningens handläggning av ärenden om vattenföroreningsavgift. Slutligen får Kustbevakningen även behandla personuppgifter om det är nödvändigt för att planera, följa upp eller utvärdera nämnda verksamheter.

Kustbevakningen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Uppgifter om en person får i verksamheterna brottsbekämpning samt kontroll och tillsyn inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa och filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får uppgifterna dock kompletteras med sådana uppgifter, om det är oundgängligen nödvändigt för syftet med behandlingen.

I förordningen skiljer man mellan behandling av uppgifter som är gemensamt tillgängliga i verksamheten (kustbevakningsdatabasen) och sådan behandling där uppgifterna endast är tillgängliga för en enskild tjänsteman eller en begränsad grupp av tjänstemän. Tillgången till uppgifterna i databasen ska vara förbehållen de personer som på grund av sina arbetsuppgifter behöver ha tillgång till uppgifterna. Behandling av uppgifter i kustbevakningsdatabasen är också omgärdad av särskilda regler vad

Gällande rätt och internationella överenskommelser Ds 2011:16

gäller de personer om vilka uppgifter får behandlas i databasen, vilka uppgifter som får behandlas i databasen samt sökbegrepp.

I kustbevakningsdatabasen får uppgifter om personer som kan antas ha samband med brottslig verksamhet för vilken är föreskriven fängelse i två år eller mer behandlas. Uppgifter om personer som är misstänkta för lindrigare brottslighet får behandlas endast om den brottsliga verksamheten har samband med sådan brottslighet som kan leda till fängelse i två år eller mer. Vidare får i kustbevakningsdatabasen behandlas uppgifter om personer som förekommer i ärende om utredning av brott.

För att inrikta och genomföra kontroll- och tillsynsverksamhet får Kustbevakningen i kustbevakningsdatabasen behandla uppgifter om personer som har anknytning till ett transportmedel eller en verksamhet som omfattas av kontrollen eller tillsynen. I kustbevakningsdatabasen får även uppgifter om personer som förekommer i ett ärende om vattenföroreningsavgift behandlas.

I förordningen regleras också vilka andra myndigheter som kan få åtkomst till uppgifterna i kustbevakningsdatabasen. Rikspolisstyrelsen, polismyndigheterna, Ekobrottsmyndigheten, Tullverket, Skatteverket och Åklagarmyndigheten får ha direktåtkomst till kustbevakningsdatabasen och uppgifter i databasen lämnas ut till dessa myndigheter på medium för automatiserad behandling. Även här anges att direktåtkomst till personuppgifter ska vara förbehållen de personer inom myndigheten som p.g.a. sina arbetsuppgifter behöver ha tillgång till dessa.

Enligt förordningen ska personuppgifter gallras när de inte längre behövs med hänsyn till ändamålen med behandlingen. Uppgifter om personer som inte är misstänkta för brott ska gallras senast ett år efter det att behandlingen inleddes. Riksarkivet får föreskriva att personuppgifter trots detta får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Som nämnts i det föregående framgår det av förordningen vilka myndigheter som har direktåtkomst till kustbevakningsdatabasen. Däremot innehåller förordningen inga regler om vilka uppgifter som får lämnas ut från databasen på annat sätt än ge-

Ds 2011:16 Gällande rätt och internationella överenskommelser

nom direktåtkomst eller annat datoriserat förfarande. Förordningen innehåller inte heller någon sekretessbrytande bestämmelse. Frågor om sekretess och uppgiftsskyldighet behandlas i avsnitt 12 och avsnitt 13.5.

3.4. Regler för behandling av personuppgifter i brottsbekämpande verksamhet

3.4.1. Inledning

Vid sidan av personuppgiftslagen (1998:204) finns en mängd särskilda registerlagar som spänner över olika samhällsområden, bl.a. lagar och förordningar som innefattar regler om hur personuppgifter i brottsbekämpande verksamhet ska behandlas. Vad avser Tullverkets verksamhet finns lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet med anslutande förordningen (2005:791) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Vidare finns för Skatteverkets verksamhet lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och förordningen (1999:105) med samma namn. Slutligen finns det ett flertal regelverk som berör polisens brottsbekämpande verksamhet.

När översynen av regleringen av behandling av personuppgifter i Kustbevakningen utfördes hade Utredningen om Kustbevakningens personuppgiftsbehandling (SOU 2006:18) som särskild förutsättning för uppdraget att beakta intresset av att regleringen av behandling av personuppgifter inom den brottsbekämpande verksamheten skulle vara enhetlig. Vid tidpunkten för översynen hade lagen om behandling av Tullverkets brottsbekämpande verksamhet nyligen trätt i kraft (närmare bestämt den 1 december 2005), liksom tillhörande förordning. Mot den bakgrunden har utredningen vid utformningen av förslagen till en lag och förordning om personuppgiftsbehandling i Kustbevakningens verksamhet haft dessa regler som förebild. Efter det att betänkandet överlämnades till regeringen i februari 2006 har

Gällande rätt och internationella överenskommelser Ds 2011:16

emellertid förändringar föreslagits och beslutats gällande registerlagstiftningen inom polisens område, vilka är av betydelse vid utarbetandet av förslag avseende Kustbevakningens personuppgiftsbehandling. Av den anledningen lämnas i detta avsnitt en kort redogörelse för polisdatalagen och särskilda registerlagstiftningar, då dessa är av stort intresse för förslagen i denna lagrådsremiss.

3.4.2. Polisdatalagen

Polisdatalagen (1998:622)

Den nu gällande polisdatalagen (1998:622) trädde i kraft den 1 april 1999. Polisdatalagen utgår från personuppgiftslagen och innehåller endast de särbestämmelser som är nödvändiga för polisens verksamhet. Vid sidan av polisdatalagen finns andra författningar som reglerar behandling av personuppgifter inom polisen. Polisdatalagen innehåller både allmänna regler om behandling av personuppgifter i polisiärt arbete och särskilda bestämmelser om behandling i kriminalunderrättelseverksamhet och om vissa register. Det finns två kategorier av allmänna bestämmelser i lagen, dels sådana som gäller för all behandling av personuppgifter (dvs. även sådan behandling som inte är automatiserad), dels sådana som endast gäller automatiserad behandling. Till den förstnämnda kategorin hör bestämmelser som reglerar behandling av känsliga personuppgifter (5 §), utlämnande av uppgifter, bl.a. till statistikmyndighet och utländsk myndighet (6–8 §§) och bestämmelser om rättelse och skadestånd (9 §). Därutöver gäller för automatiserad behandling även allmänna bestämmelser om behandling av uppgifter om kvarstående misstankar (10–12 §§) och om gallring (13 §).

För att personuppgifter ska få behandlas i kriminalunderrättelseverksamhet föreskriver lagen antingen att en s.k. särskild undersökning ska ha inletts, vilket förutsätter att det finns anledning att anta att allvarlig brottslighet har utövats eller kan komma att utövas, eller att behandlingen sker i underrättelsere-

Ds 2011:16 Gällande rätt och internationella överenskommelser

gister (14–21 §§). De register som regleras särskilt i lagen är – utöver kriminalunderrättelseregister – register med uppgifter om DNA-analyser i brottmål, fingeravtrycks- och signalementsregistret samt register som förs i Säkerhetspolisens verksamhet.

Den nya polisdatalagen (2010:361)

I propositionen ”Integritet och effektivitet i polisens brottsbekämpande verksamhet” (prop. 2009/10:85) föreslog regeringen en helt ny polisdatalag. Detta för att komma till rätta med vissa svagheter som uppmärksammats i systemet, bland annat att polisdatalagen (1998:622) endast täcker delar av personuppgiftsbehandlingen i polisens brottsbekämpande verksamheten. Vidare framhöll regeringen i propositionen behoven av en teknikneutral lagstiftning och av regler som ger förutsättningar för ett bättre samarbete mellan de brottsbekämpande myndigheterna genom utökade möjligheter till informationsutbyte (se prop. 2009/10:85, s. 59 f.).

Riksdagen beslutade i april 2010 att anta regeringens förslag till en ny polisdatalag (bet. 2009/10:JuU19, rskr. 2009/10:255).

Den nya polisdatalagen (2010:361) träder i kraft den 1 mars 2012 och ersätter då den nuvarande polisdatalagen från år 1998. Den nya lagen ska gälla i stället för personuppgiftslagen (1998:204). Lagen innehåller hänvisningar till de bestämmelser i personuppgiftslagen som ska vara tillämpliga i polisens brottsbekämpande verksamhet. Behandling av personuppgifter som sker med stöd av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister eller lagen (2010:362) om polisens allmänna spaningsregister har uttryckligen undantagits från polisdatalagens område (1 kap. 2 § andra stycket). Lagen gäller inte heller när personuppgifter behandlas i vapenregister med stöd av vapenlagen, om inte detta särskilt har angetts i den lagen (1 kap. 2 § tredje stycket).

Syftet med polisdatalagen är att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras

Gällande rätt och internationella överenskommelser Ds 2011:16

personliga integritet kränks vid sådan behandling (1 kap. 1 §). Polisdatalagen reglerar, med några få undantag, all behandling av personuppgifter i polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten (1 kap. 2 §). Personuppgiftsbehandling i sådan verksamhet som inte är brottsbekämpande, exempelvis hanteringen av förvaltningsärenden, regleras i huvudsak i personuppgiftslagen (1998:204).

Polisdatalagen gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet och i sådan verksamhet vid Ekobrottsmyndigheten om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden (2 kap. 7 §). Personuppgifter som behandlas för dessa ändamål får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i bl.a. brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket eller brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation. Vidare får personuppgifter behandlas för att tillhandahålla information som behövs i en myndighets verksamhet om det enligt lag eller förordning åligger polisen att bistå myndigheten med viss uppgift (2 kap. 8 §). Personuppgifter får även behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen (2 kap. 9 §).

Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Om uppgifter om en person behandlas på annan grund, får de emellertid kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen (2 kap. 10 §).

Lagen innehåller även bestämmelser om vad som gäller för t.ex. tillgången till personuppgifter, utlämnande av personupp-

Ds 2011:16 Gällande rätt och internationella överenskommelser

gifter och uppgiftsskyldighet samt elektroniskt utlämnande av personuppgifter (2 kap. 11–21 §§).

För behandling av personuppgifter som fler än ett fåtal personer har åtkomst till, s.k. gemensamt tillgängliga uppgifter, finns det särskilda bestämmelser i lagen (3 kap. 1–15 §§). Huruvida uppgifter har gjorts gemensamt tillgängliga eller inte är av betydelse när det gäller möjligheten att medge vissa andra i lagen utpekade myndigheter direktåtkomst till personuppgifter i polisens brottsbekämpande verksamhet. Vad gäller gemensamt tillgängliga uppgifter innehåller lagen även andra begränsande bestämmelser för att värna den personliga integriteten, bl.a. sökbegränsningar.

Slutligen ska nämnas att den nya polisdatalagen innehåller bestämmelser om ett fåtal register som regleras särskilt, bl.a. register över DNA-profiler, fingeravtrycks- eller signalementsregister, och penningtvättsregister (4 kap.). I polisdataförordningen (2010:1155) finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av polisdatalagen.

3.4.3. Polisregisterlagstiftningen i övrigt

Vid sidan av polisdatalagstiftningen finns det andra författningar som reglerar behandling av personuppgifter inom polisen. Några av dessa är s.k. registerförfattningar och innehåller uteslutande bestämmelser om personuppgiftsbehandling medan andra endast innehåller ett fåtal sådana bestämmelser, t.ex. om ett visst register. Bestämmelser om personuppgiftsbehandling finns i vapenlagen (1996:67), lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:343) om internationellt polisiärt samarbete, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister, efterlysningskungörelsen (1969:293), passförordningen (1979:664), förordningen (1997:902) om register över strafförelägganden och förordningen (1997:903) om register över förelägganden av ordningsbot. De aktuella författningarna har behandlats utförligt i prop. 2009/10:85, s. 462 f. I detta avsnitt avhandlas de av för-

Gällande rätt och internationella överenskommelser Ds 2011:16

fattningarna som har betydelse för Kustbevakningens personuppgiftsbehandling.

Belastningsregistret

Enligt 1 § lagen om belastningsregister ska Rikspolisstyrelsen med hjälp av automatiserad behandling föra ett belastningsregister. Ändamålet med belastningsregistret är att ge information om sådana belastningsuppgifter som behövs i verksamhet hos polismyndigheter, Skatteverket, Tullverket och Kustbevakningen för att förebygga, upptäcka och utreda brott, hos åklagarmyndigheter för beslut om förundersökning och åtal och för utfärdande av strafföreläggande samt hos allmänna domstolar för straffmätning och val av påföljd. Uppgifter i registret får också användas av polismyndigheter och andra myndigheter vid sådan lämplighetsprövning, tillståndsprövning eller annan prövning som anges i författning samt för att lämna uppgifter till enskilda om det är av särskild betydelse i den enskildes verksamhet.

I 6 § lagen om belastningsregister föreskrivs bl.a. att polismyndighet, Skatteverket, Tullverket och Kustbevakningen har rätt att få ut de uppgifter ur belastningsregistret som behövs i verksamhet för att förebygga, upptäcka och utreda brott. Kustbevakningen har enligt 19 § förordningen (1999:1134) om belastningsregister direktåtkomst till uppgifter i registret.

Alla påföljder för brott ska registreras i belastningsregistret. Registret ska vidare innehålla uppgifter om den som har ålagts förvandlingsstraff för böter, den som med tillämpning av 30 kap. 6 § brottsbalken har förklarats fri från påföljd, den som med stöd av vissa bestämmelser inte har åtalats för brott samt om den som har meddelats besöksförbud eller tillträdesförbud. Vissa uppgifter om den som är dömd i utlandet ska också registreras.

Misstankeregistret

Enligt 1 § lagen om misstankeregister ska Rikspolisstyrelsen med hjälp av automatiserad behandling föra ett register med uppgifter om dem som är skäligen misstänkta för brott. Misstankeregistret ska föras för att underlätta tillgången till sådana uppgifter om

Ds 2011:16 Gällande rätt och internationella överenskommelser

skälig misstanke om brott som behövs i verksamhet hos polismyndigheter, Skatteverket, Tullverket och Kustbevakningen för att samordna förundersökningar mot en misstänkt person och för att förebygga, upptäcka och utreda brott samt hos åklagarmyndigheter för beslut om förundersökning och åtal. Registret får även användas av polismyndigheter och andra myndigheter som ska utföra lämplighetsprövning, tillståndsprövning eller annan prövning som anges i författning. Slutligen får registret användas för att till enskild lämna uppgift som är av särskild betydelse i dennes verksamhet.

De myndigheter för vars räkning registret förs samt domstolarna har rätt att få uppgifter ur registret. Enligt 6 § förordningen (1999:1135) om misstankeregister får bl.a. Kustbevakningen ha direktåtkomst till uppgifter i registret.

Misstankeregistret innehåller uppgifter om den som har fyllt femton år och som är skäligen misstänkt, antingen för något brott mot brottsbalken eller för något annat brott, för vilket svårare straff än böter är föreskrivet. Uppgifter förs också in om den som är skäligen misstänkt för ett motsvarande brott utomlands, om frågan om lagföring för brottet ska avgöras i Sverige. Registret innehåller vidare uppgifter om den mot vilken det har inletts utredning om förvandling av böter och om den som begärts överlämnad eller utlämnad för brott.

Schengens informationssystem

Sverige är anslutet till Schengensamarbetet (prop. 1997/98:42, bet. 1997/98:JuU15, rskr. 1997/98:121). Schengensamarbetet bygger på två grundtankar. Den första är den fria rörligheten för personer, i den betydelsen att någon personkontroll vid nationsgränserna mellan Schengenstaterna inte ska förekomma. Den andra är att kampen mot internationell kriminalitet och illegal invandring ska stärkas.

Ett hjälpmedel i detta sammanhang är dataregistret Schengens informationssystem (SIS). SIS består av ett nationellt register för varje Schengenstat och en central teknisk stödfunktion, som är gemensam för Schengenstaterna. Rikspolisstyrelsen för med stöd

Gällande rätt och internationella överenskommelser Ds 2011:16

av lagen (2000:344) om Schengens informationssystem ett register som utgör den svenska nationella enheten av databasen Schengens informationssystem (SIS). Registret är anslutet till den centrala enheten i SIS.

Registrets syfte är att vara ett hjälpmedel för de andra Schengenstaterna att göra framställningar hos Sverige om bl.a. omhändertagande av personer och om dold övervakning eller särskilda kontrollåtgärder. I lagen finns bestämmelser om vilka uppgifter som får förekomma i registret och om vem som har rätt att få ut uppgifter ur registret. Enligt lagens 9 § har bl.a. polismyndigheter, Tullverket, Kustbevakningen och Migrationsverket rätt att få ut uppgifter ur registret när de utför gränskontroller eller bistår i sådan verksamhet samt när de utför undersökningar och andra kontroller än gränskontroller i sin verksamhet för att förebygga och utreda brott. Enligt 10 § får en svensk myndighet inte utnyttja en uppgift i registret för något annat syfte än det som den registrerande Schengenstaten har angivit vid registreringen, om inte den staten samtycker till att uppgiften används för annat ändamål.

Enligt 10 § förordningen (2000:836) om Schengens informationssystem får polismyndigheterna, Tullverket och Kustbevakningen ha direktåtkomst till uppgifter ur SIS-registret.

Under 2010 har förändringar skett i lagen om Schengens informationssystem. Förändringarna, som kommer att träda i kraft den dag regeringen bestämmer, är föranledda av ett rådsbeslut och två EU-förordningar om inrättandet av en andra generation av Schengens informationssystem (prop. 2009/10:86, bet. 2009/10:JuU20, rskr. 2009/10:107). Rådsbeslutet gäller inom det som före Lissabonsfördragets ikraftträdande benämndes tredjepelarområdet (polissamarbete och straffrättsligt samarbete) medan förordningarna reglerar frågor inom det som tidigare kallades första pelaren (gränskontroll och immigrationskontroll).

Grunden för inrättandet av SIS II är att det nuvarande systemet anses vara tekniskt föråldrat och sakna den kapacitet som krävs med hänsyn till kommande behov. Rättsakterna innebär att ett antal nya kategorier av uppgifter ska kunna registreras, vilket

Ds 2011:16 Gällande rätt och internationella överenskommelser

syftar till att öka effektiviteten i brottsbekämpningen. Samtidigt innehåller de bestämmelser som syftar till att ge en bättre kontroll av att de uppgifter som registreras används på föreskrivet sätt, vilket förstärker skyddet för enskildas personliga integritet.

Passförordningen

Polismyndigheterna är passmyndigheter inom riket och Rikspolisstyrelsen ska enligt 23 § passförordningen (1979:664) föra ett centralt passregister. På begäran från bl.a. polismyndigheter, Tullverket och Kustbevakningen ska Rikspolisstyrelsen lämna ut uppgifter i form av fotografisk bild av enskild från registret.

Ordningsbotsregistret

Rikspolisstyrelsen för, med stöd av förordningen (1997:903) om register över förelägganden av ordningsbot, ett särskilt register över alla ordningsbotsförelägganden. Registret omfattar även de förelägganden som beslutas inom Tullverket och Kustbevakningen. Enligt 2 § får registret användas i ärenden om föreläggande av ordningsbot för handläggning, uppbörd och underrättelser till myndigheter samt för tillsyn, planering, uppföljning och framställning av statistik. Rikspolisstyrelsen är personuppgiftsansvarig för registret. Polismyndigheterna, Tullverket och Kustbevakningen är emellertid personuppgiftsansvariga för uppgifter i de ärenden i registret som handläggs hos respektive myndighet. Enligt 4 § får Kustbevakningen ha direktåtkomst till uppgifter i de ärenden i registret som handläggs hos myndigheten.

Registret får bl.a. innehålla uppgifter om fysiska personers namn, adress och personnummer, den brottsliga gärningen, förelagd ordningsbot, godkännande samt beslut av polisman, åklagare, tulltjänsteman, kustbevakningstjänsteman och domstol.

Gällande rätt och internationella överenskommelser Ds 2011:16

3.5. Vissa EU-beslut och lagstiftningsförslag

3.5.1. Dataskyddsrambeslutet

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) reglerar dataskyddet inom angivna områden. Rambeslutet är föranlett av ett antal nya EU-instrument rörande utvidgat polisiärt och rättsligt samarbete avseende gränsöverskridande informationsutbyte.

Dataskyddsrambeslutet förpliktar medlemsstaterna att behandla uppgifter som utbyts mellan staterna inom ramen för det angivna samarbetet på ett sådant sätt att skyddet för enskildas integritet värnas. Det innehåller bestämmelser som avser att förstärka skyddet vid behandling av personuppgifter som överförs. Rambeslutet utgör ett komplement till andra instrument om informationsutbyte inom ramen för polisiärt och straffrättsligt samarbete. Det innehåller bl.a. bestämmelser om allmänna utgångspunkter för behandlingen av personuppgifter och känsliga personuppgifter, rättelse, radering och gallring av personuppgifter, information till den registrerade samt skadestånd och sanktioner. Till stora delar motsvarar innehållet dataskyddsdirektivet, som i svensk rätt har genomförts i personuppgiftslagen (1998:204). Vidare finns bl.a. särskilda bestämmelser som begränsar möjligheterna att behandla personuppgifter som mottagits från en annan stat.

Regeringen har i propositionen Godkännande av dataskyddsrambeslutet (prop. 2009/09:16) på ett övergripande plan övervägt vilka lagändringar som kan krävas. Riksdagen godkände utkastet till rambeslutet (bet. 2008/09:JuU7, rskr. 2008/09:41), som därefter har antagits av rådet. Rambeslutet har ännu inte genomförts i svensk rätt. Den 15 mars 2011 överlämnades delbetänkandet Dataskydd vid europeiskt polisiärt och straffrättsligt samarbete (SOU 2011:20), vilket för närvarande bereds inom Regeringskansliet.

Ds 2011:16 Gällande rätt och internationella överenskommelser

3.5.2. Rådsbeslutet om tillgång till informationssystemet för viseringar

Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) trädde i kraft den 2 september 2008. Kommissionen ska enligt VIS-förordningen besluta när VIS ska tas i drift. Förordningen ska tillämpas från och med den dagen. Driftsstart planeras under hösten 2011.

De övergripande målen för inrättandet av VIS är att förbättra genomförandet av den gemensamma viseringspolitiken, det konsulära samarbetet och samrådet mellan viseringsmyndigheter. VIS ska underlätta utbytet av uppgifter om viseringsansökningar och beslut med anledning av sådana ansökningar. I VISförordningen finns också närmare bestämmelser om bl.a. viseringsmyndigheternas registrering och användning av uppgifterna i VIS, andra myndigheters åtkomst till dessa uppgifter samt om lagring och ändring av uppgifterna.

Departementspromemorian Författningsändringar med anledning av VIS-förordningen (Ds 2009:5) innehåller förslag till författningsändringar som behövs med anledning av förordningen. Förslagen bereds för närvarande inom Regeringskansliet.

VIS-förordningen innehåller vidare en s.k. broklausul, som medger att brottsbekämpande myndigheter och Europol ges tillgång till uppgifter i VIS för att förhindra, upptäcka eller utreda terroristbrott och andra grova brott. Villkoren för åtkomst till VIS i detta syfte har fastställts i rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystem för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott.

Enligt rådsbeslutet ska särskilt utsedda brottsbekämpande myndigheter i medlemsstaterna och Europol under vissa förutsättningar ges tillgång till uppgifter ur VIS i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. Reglerna för hur myndigheterna får använda registret är restriktiva

Gällande rätt och internationella överenskommelser Ds 2011:16

och uppgifter får endast lämnas ut under vissa speciella förutsättningar. Ett grundläggande krav för att en brottsbekämpande myndighet ska få tillgång till uppgifter i VIS är att den lämnar en motiverad, skriftlig eller elektronisk, begäran till en central åtkomstpunkt som ska kontrollera att samtliga villkor för tillgång till VIS är uppfyllda. Vidare krävs bl.a. att sökningarna är nödvändiga för att förebygga, upptäcka eller utreda terroristbrott eller andra grova brott, att sökningarna krävs i ett specifikt ärende och att det finns rimliga skäl att anse att inhämtandet av VISuppgifter väsentligen kommer att bidra till att brotten i fråga förebyggs, upptäcks eller utreds.

Regeringen har i propositionen Godkännande av rådets beslut om åtkomst till informationssystemet för viseringar i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott (prop. 2007/08:132) på ett övergripande plan övervägt vilka lagändringar som kan bli nödvändiga med anledning av rådsbeslutet. Riksdagen godkände utkastet till rådsbeslut (bet. 2007/08:JuU27, rskr. 2007/08:250), som därefter har antagits av rådet. Också författningsändringar med anledning av rådsbeslutet bereds för närvarande inom Regeringskansliet.

3.5.3. Prümrådsbeslutet

Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet) bygger på en konvention kallad Prümkonventionen, som år 2005 ingicks mellan sju av EU:s medlemsstater. Prümrådsbeslutet innehåller bestämmelser som syftar till att fördjupa det gränsöverskridande samarbetet mellan de myndigheter inom EU som ansvarar för att förebygga och utreda brott. I huvudsak ska detta ske genom förenklade former för utbyte av DNA-profiler, fingeravtryck och uppgifter om fordon. Rådsbeslutet aktualiserar inte inrättande av några nya databaser, utan bygger på ett automatiserat utbyte av uppgifter som redan finns lagrade i medlemsstaternas befintliga databaser. I rådsbeslutet regleras också skyl-

Ds 2011:16 Gällande rätt och internationella överenskommelser

digheten att översända vissa personuppgifter och andra uppgifter till en annan medlemsstat vid större evenemang med gränsöverskridande verkningar. Därutöver finns en fakultativ bestämmelse om översändande av uppgifter till skydd mot terrorism. Bestämmelserna om uppgiftsutbyte kompletteras med utförliga bestämmelser om dataskydd. Dessa bestämmelser måste genomföras innan uppgiftsutbytet får inledas. Rådsbeslutet innehåller också en skyldighet för medlemsstaterna att lämna varandra bistånd i samband med större evenemang, katastrofer och allvarliga olyckor. Därutöver finns bestämmelser om frivilligt operativt samarbete.

Regeringen föreslog i proposition 2007/08:83 ”Godkännande av Prümrådsbeslutet” att riksdagen skulle godkänna utkastet till rådsbeslut, vilket riksdagen har gjort (bet. 2007/08:JuU20, rskr. 2007/08:197).

De obligatoriska delarna av rådsbeslutet ska vara genomförda i två steg. Den del som bl.a. gäller informationsutbyte vid större evenemang, skyldigheten att lämna bistånd vid större evenemang, katastrofer och olyckor samt de generella dataskyddsbestämmelserna (art. 13–15, delar av 18 samt 24–32) har behandlats i propositionen Genomförande av delar av Prümrådsbeslutet (prop. 2009/2010:177). Lagändringarna godkändes av riksdagen (bet. 2009/10:JuU30, rskr. 2009/10:265) och trädde i kraft den 1 juli 2010. Den därmed sammanhängande förordningsregleringen trädde i kraft den 1 augusti 2010. Den del som gäller automatiserat utbyte av DNA-, fingeravtrycks- och fordonsuppgifter (artiklarna 2–12) ska genomföras senast i augusti 2011 och bereds för närvarande i Justitiedepartementet.

För Rikspolisstyrelsen, polismyndigheter och Kustbevakningen innebär den nya regleringen bl.a. att myndigheterna i samband med större evenemang med gränsöverskridande verkningar i syfte att förebygga brott eller upprätthålla allmän ordning och säkerhet, ska lämna ut uppgifter om en person om det av olika anledningar finns skäl att anta att personen kommer att begå brott vid evenemanget eller utgöra hot mot den allmänna ordningen och säkerheten vid detta. Uppgifter kan lämnas ut på

Gällande rätt och internationella överenskommelser Ds 2011:16

begäran av en myndighet i en annan stat eller på eget initiativ. Myndigheterna ska även lämna ut andra uppgifter än personuppgifter som bedöms vara nödvändiga för att förebygga brott eller hot mot den allmänna ordningen och säkerheten vid evenemanget (3 kap. 1 § förordningen (2010:705) om internationellt polisiärt samarbete). En förutsättning för att uppgifter ska få lämnas ut är att de i motsvarande fall skulle få lämnas ut till annan svensk myndighet.

Utöver att lämna information vid större evenemang ska Kustbevakningen och andra i förordningen utpekade myndigheter även i vissa fall lämna olika former av bistånd vid större evenemang, katastrofer och allvarliga olyckor som har gränsöverskridande verkningar i syfte att förhindra brott eller upprätthålla allmän ordning och säkerhet. En form av bistånd är att underrätta berörda myndigheter i en annan stat om situationen så snart det är möjligt och förmedla väsentlig information (3 kap. 3 § förordningen). Respektive myndighet beslutar om bistånd ska lämnas.

3.5.4. Rambeslutet om förenklat informations- och underrättelseutbyte

Den tillgänglighetsprincip som är väsentlig i EU:s arbete för att utveckla informationsutbytet är en av hörnstenarna i rambeslutet om förenklat informations- och underrättelseutbyte. Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater kom till efter ett svenskt initiativ. Rambeslutet innebär att brottsbekämpande myndigheter i medlemsstaterna redan på underrättelsestadiet, och över myndighetsgränserna, snabbt ska kunna utbyta befintlig information för användning i underrättelseverksamhet om brott eller utredning av brott. Genom rambeslutet åtar sig medlemsstaterna bl.a. dels att på begäran av en annan stat lämna viss information, dels att spontant lämna vissa uppgifter.

Ds 2011:16 Gällande rätt och internationella överenskommelser

Rambeslutet har genomförts i svensk rätt genom förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen, som trädde i kraft den 1 februari 2009. Förordningen, som bygger på förutsättningen att gällande svensk rätt redan medger utlämnande av sådana uppgifter som ska utbytas enligt rambeslutet, innehåller framför allt bestämmelser om förfarandet i samband med uppgiftsutbytet.

Enligt förordningens 3 § ska en svensk brottsbekämpande myndighet efter begäran från en utländsk brottsbekämpande myndighet lämna ut uppgifter. I förordningen anges som svensk brottsbekämpande myndighet bl.a. polismyndigheterna, Tullverket och Kustbevakningen. En svensk brottsbekämpande myndighet kan med stöd av rambeslutet även begära uppgifter från en annan medlemsstat. Förordningen innehåller vidare regler om villkor för användandet av tillhandahållna uppgifter och tidsfrister inom vilka en inkommen begäran ska behandlas.

4. Kustbevakningens organisation och geografiska verksamhetsområde

4.1. Inledning

Kustbevakningen tillhörde organisatoriskt under lång tid Tullverket. På våren 1988 beslutade dock riksdagen att den svenska kustbevakningsverksamheten skulle föras över till en ny civil statlig myndighet benämnd Kustbevakningen (prop. 1986/87:95, bet. FöU 1986/87:11, rskr. 1986/87:310). Därmed avskiljdes kustbevakningsverksamheten från Tullverket. Kustbevakningen började sin verksamhet som självständig myndighet den 1 juli 1988. I detta kapitel beskrivs översiktligt Kustbevakningens organisation och verksamhetsområde.

4.2. Kustbevakningens huvudkontor

Kustbevakningen leds av en generaldirektör, som är myndighetschef. Vid Kustbevakningen finns också en överdirektör som är generaldirektörens ställföreträdare. Huvudkontoret, som är myndighetschefens stab, består av avdelningen för räddningstjänst och sjöövervakning, tekniska avdelningen, ekonomiavdelningen, personal- och utbildningsavdelningen och informationsavdelningen. Vid den centrala ledningen finns även ett verkssekretariat.

Vad gäller avdelningen för räddningstjänst och sjöövervakning så omfattar den centralt stöd, metodutveckling, samordning och strategier som rör kustbevakningsuppgifter enligt förordningen (2007:853) med instruktion för Kustbevakningen. Verksamheten omfattar sjöövervakning, miljöräddningstjänst och annan räddningstjänst, krisberedskap, sjöövervakningsuppdraget och sjö-

Kustbevakningens organisation och geografiska verksamhetsområde Ds 2011:16

övervakningsrådet, internationell samverkan och uppdragsverksamhet.

Avdelningen för räddningstjänst och sjöövervakning är indelad i fyra enheter. Enheterna benämns brottsbekämpningsenheten, övervaknings- och kontrollenheten, räddningstjänstenheten och strategienheten.

Brottsbekämpningsenheten ska ansvara för avdelningens sammanhållande funktion för stöd och metodutveckling i brottsutredningsverksamheten och verksamheten för att upptäcka och förhindra brott (underrättelseverksamhet). I enhetens uppgifter ingår bl.a. metodik, styrning, kontroll och uppföljning samt övrigt stöd avseende spaning, underrättelseverksamhet och personuppgiftsbehandling, ingripanden mot brott, utredning och beivrande av brott samt den ordningshållande verksamheten. I uppgifterna ingår även frågor som rör skydd mot våld och hot samt tjänstevapen.

Övervaknings- och kontrollenheten ansvarar för avdelningens sammanhållande funktion för stöd och metodutveckling för

Kustbevakningens kontroll- och tillsynsverksamhet samt för sådan övervakningsverksamhet som utförs rutinmässigt förebyggande och inte förutsätter någon misstanke om brott.

Räddningstjänstenheten står för stöd och utveckling av Kustbevakningens operativa räddningstjänst och dykeriverksamhet, bl.a. riskanalys och Kustbevakningens program för räddningstjänst. Strategienheten ansvarar för analys och beredning av långsiktig inriktning av kustbevakningsverksamheten, bl.a. genom strategisk planering och analys.

4.3. Kustbevakningens regioner

Inom Kustbevakningen finns fyra regionala ledningar som benämns Region Nord, Region Ost, Region Syd och Region Väst, vilka vardera leds av en regionchef. Organisatoriskt jämställs Kustbevakningsflyget, som leds av chefen för Kustbevakningsflyget, med en region och dess ledning likställs med en regionledning. Den lokala organisationen utgörs av 26 stationer, varav

Ds 2011:16 Kustbevakningens organisation och geografiska verksamhetsområde

en är en flygkuststation. Regionledningarna för regionerna Nord, Ost, Syd och Väst är belägna i Härnösand, Nacka, Karlskrona och Göteborg. Kustbevakningsflygets ledning finns i Nyköping.

Regionledningen har en mängd uppgifter och ska bl.a. samordna regionens verksamhet och rutiner för ingripande mot, utredning av och beivrande av brott samt svara för förundersökningsledarskap och annan ärendehandläggning i sjöövervakningstjänsten. Vidare ska regionledningen även svara för informations- och underrättelseinhämtning inom regionens geografiska område samt bearbetning och analys av detta underlag i samverkan med Kustbevakningens maritima underrättelsecentrum (MUC). Det är Regionledning Ost som har till särskild uppgift att vid MUC svara för nationell samordning och utveckling i Kustbevakningen av informations- och underrättelseanalyser samt bearbetning av information och underrättelser.

Vid varje regionledning finns en ständigt bemannad ledningscentral med vakthavande befäl. Från ledningscentralerna styrs den dagliga operativa verksamheten. Varje ledningscentral har särskilda uppgifter. Ledningscentralen i Region Nord är kontaktpunkt dels för den administrativa kontrollen av anmälningar från fartyg till följd av Schengenavtalet, dels för Kustbevakningens uppgifter såvitt avser sjöfartsskydd. Ledningscentralen benämns i de sammanhangen Swedish Maritime Clearance (SMC). Ledningscentralen i Region Ost ansvarar för administration och uppföljning av ordningsbot samt samordnar verksamhet med Rikskriminalpolisen och den internationella insatsstyrkan. Ledningscentralen i Region Syd är Kustbevakningens kontaktpunkt dels för gränsövervakningssamarbetet i Östersjöregionen (Baltic Sea Region Border Control Cooperation/BSRBCC) och EU- och Schengenfrågor, dels för miljöräddningssamarbetet t.ex. inom FN:s International Maritime Organization (IMO) och EU.

Ledningscentralen i Region Väst svarar för Kustbevakningsflyget flygsäkerhetsuppföljning.

Kustbevakningens verksamhet är operativt inriktad med hög närvaro av fartyg till sjöss och myndigheten har därigenom all-

Kustbevakningens organisation och geografiska verksamhetsområde Ds 2011:16

mänt sett en hög beredskap. Verksamheten genomförs som målinriktad patrullering med stöd av fartyg, flygplan, svävare, mindre båtar och från land.

4.4. Geografiskt verksamhetsområde

Kustbevakningen svarar tillsammans med andra myndigheter för frågor som rör myndighetsutövning till sjöss eller i anslutning till sjötrafiken. Det geografiska verksamhetsområdet består framför allt av Sveriges sjöterritorium och svensk ekonomisk zon samt enligt vissa författningar land i anslutning till dessa vatten. När det gäller de delar av sjöterritoriet som består av sjöar, kanaler och vattendrag omfattar uppdraget att bedriva sjöövervakning endast i Vänern och Mälaren, medan räddningstjänsten också omfattar Vättern (1 § förordningen (2007:853) med instruktion för Kustbevakningen och 4 kap. 3 § lagen (2003:778) om skydd mot olyckor). I och med att verksamheten i viss utsträckning utövas också på land i anslutning till övervakningsområdet utför Kustbevakningen vissa uppgifter t.ex. i hamnar, på stränder och öar samt kobbar och skär.

Uppdraget att övervaka fisket är med stöd av myndighetens instruktion geografiskt utsträckt även till sådana områden som det enligt olika mellanstatliga överenskommelser och EU-rätten åligger svensk myndighet att övervaka. Kustbevakningen kan också verka utanför sitt geografiska område som en följd av EU:s operativa samarbete för kontroll av medlemsstaternas yttre gränser (s.k. Schengensamarbetet) och med stöd av förpliktelser som Sverige åtagit sig genom internationella överenskommelser avseende bl.a. räddningsinsatser (10–12 §§ förordningen).

5. Kustbevakningens uppgifter m.m.

5.1. Inledning

Kustbevakningens uppgifter regleras primärt i förordningen (2007:853) med instruktion för Kustbevakningen, men även i de särskilda lagar och förordningar som innehåller bestämmelser om verksamheten samt i regleringsbrev och enskilda regeringsbeslut. Nämnas kan t.ex. lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning, smugglingslagen (2000:1225), narkotikastrafflagen (1968:64), sjölagen (1994:1009), lagen (2003:778) om skydd mot olyckor och fartygssäkerhetslagen (2003:364). Kustbevakningens verksamhet kan, något förenklat, delas in under de två huvudrubrikerna sjöövervakning och räddningstjänst.

Den mångfald av författningar som reglerar Kustbevakningens verksamhet har emellertid medfört bristande överskådlighet, t.ex. vad avser gränserna för Kustbevakningens geografiska verksamhetsområden och kustbevakningstjänstemans befogenheter. Regeringen beslutade därför att i januari 2007 utse en särskild utredare till att göra en översyn av regleringen av bl.a. Kustbevakningens befogenheter i den brottsbekämpande och ordningshållande verksamheten samt lämna förslag till en mer ändamålsenlig författningsreglering (Dir 2007:5).

I maj 2008 överlämnade Utredningen om Kustbevakningens befogenheter betänkandet Kustbevakningens rättsliga befogenheter (SOU 2008:55). Inom Regeringskansliet bereds för närvarande en lagrådsremiss utifrån betänkandet. I betänkandet lämnas en utförlig redogörelse för bl.a. Kustbevakningens uppdrag, verksamhetsområden och Kustbevakningens och kustbevakningstjänstemännens befogenheter.

I detta kapitel ges en kortfattad beskrivning av ett antal regelverk som är centrala för Kustbevakningens verksamhet.

Kustbevakningens uppgifter m.m. Ds 2011:16

5.2. Sjöövervakning

Enligt 1 § förordningen (2007:853) med instruktion för Kustbevakningen har Kustbevakningen till uppgift att bedriva sjöövervakning inom Sveriges sjöterritorium och ekonomiska zon samt på land i anslutning till dessa vatten. Vad gäller sjöar, kanaler och vattendrag omfattar sjöövervakningen enbart Vänern och Mälaren.

I Kustbevakningens uppgift att bedriva sjöövervakning ingår att ansvara för eller bistå andra myndigheter med övervakning, brottsbekämpande verksamhet, ordningshållning samt kontroll och tillsyn enligt vad som närmare sägs i förordningens 3–10 §§.

Den polisiära och i övrigt brottsbekämpande verksamhet som Kustbevakningen ska bedriva preciseras i 3 §, där det anges att Kustbevakningen genom sjöövervakning ska förebygga och ingripa mot störningar av ordningen i sjötrafiken samt, i enlighet med särskilda föreskrifter, förhindra och upptäcka brottslig verksamhet, ingripa vid misstanke om brott samt utreda och beivra eller bistå med utredningen av brott.

Kustbevakningen ska enligt 4 § utreda och besluta i ärenden om vattenföroreningsavgift samt ta emot sådana avgifter.

Inom ramen för uppdraget att bedriva sjöövervakning har Kustbevakningen vidare enligt 5 § till uppgift att, med stöd av föreskrifter och i förekommande fall efter överenskommelse med annan myndighet, bedriva tillsyns- och kontrollverksamhet.

Sådan verksamhet ska bedrivas bl.a. i fråga om

1. sjötrafik, sjösäkerhet och transport av farligt gods,

2. fartygs registrering och identifiering,

3. personers inresa i, utresa från och vistelse i Sverige,

4. in- och utförsel av varor,

5. fiske och därtill anknuten verksamhet,

6. jakt och annat ianspråktagande av naturresurser,

7. skydd av miljö- och naturvårdsintressen, och

8. skyddsobjekt, militära skyddsområden och tillträde för utländska statsfartyg.

Kustbevakningen ska därutöver utöva tillsyn över den svenska delen av kontinentalsockeln och Sveriges ekonomiska zon.

Ds 2011:16 Kustbevakningens uppgifter m.m.

Beträffande kontinentalsockeln beslutar myndigheten också om tillstånd till marinvetenskaplig forskning och svarar för tillsyn över sådan verksamhet, 6 §.

Av 7 § följer att Kustbevakningen ska vara kontaktpunkt för sjötrafiken i fråga om förhandsanmälningar enligt föreskrifter om gränskontroll vad gäller personer och i fråga om sjöfartsskydd och fiskerikontroll enligt överenskommelser med annan myndighet. Med stöd av tilläggsprotokollet mot människosmuggling land-, luft- och sjövägen till Förenta nationernas konvention den 15 november 2000 mot gränsöverskridande organiserad brottslighet är Kustbevakningen vidare behörig myndighet att ta emot och besvara förfrågningar från andra konventionsstater.

Kustbevakningens uppdrag att bedriva övervakning av fisket kan utsträckas sakligt eller geografiskt om detta följer av vissa särskilt angivna konventioner eller internationella överenskommelser. Detta framgår av 8 §. Exempelvis kan nämnas rådets förordning (EG) nr 2371/2002 av den 20 december 2002 om bevarande och hållbart utnyttjande av fiskeresurserna inom ramen för den gemensamma fiskeripolitiken.

Kustbevakningen ansvarar enligt 9 § även för de kontrollåtgärder som ankommer på Sverige och som EU genomför till sjöss inom det område som regleras av Nordostatlantiska fiskerikommissionen (NEAFC).

Som en följd av EU:s operativa samarbete för kontroll av medlemsstaternas yttre gränser får Kustbevakningen även, utanför det primära verksamhetsområdet, medverka i Europeiska unionens operativa samarbete för kontroll av medlemsstaternas yttre gränser.

Sammanfattningsvis utgörs alltså sjöövervakning av en stor mängd skilda verksamheter som tillsammans berör flera olika politikområden där motsvarande verksamheter på land ofta är uppdelade mellan olika myndigheter.

Kustbevakningens uppgifter m.m. Ds 2011:16

5.2.1. Övervakning och brottsbekämpande verksamhet

Lagen ( 1982:395 ) om Kustbevakningens medverkan vid polisiär övervakning

Den centrala befogenhetsregleringen finns i lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning (LKP). Den innehåller en uppräkning av rättsområden som faller in under Kustbevakningens polisiära ansvar. Lagen är utformad så att den inledningsvis anger tillämpningsområdet för Kustbevakningens verksamhet men därefter i princip bara behandlar tjänstemännens rättsliga befogenheter vid brottsbekämpning och ordningshållning.

Av 1 § LKP framgår att Kustbevakningen ska bedriva övervakning för att hindra brott mot föreskrifter och andra författningar som gäller

1. skyddsobjekt och militära skyddsområden,

2. jakt,

3. fiske,

4. bevarande av den marina miljön och annan naturvård,

5. trafikregler och säkerhetsanordningar för sjötrafiken,

6. åtgärder mot vattenföroreningar från fartyg,

7. dumpning av avfall i vatten,

8. kontinentalsockeln,

9. fornminnen och sjöfynd, 10. fartygs registrering och identifiering, 11. skydd för den marina miljön mot andra förorenande åtgärder än sådana som sägs i 6 och 7,

12. märkning och användning av oljeprodukter, 13. utlänningars inresa till och utresa från eller vistelse i Sverige,

14. åtgärder beträffande djur och växter som tillhör skyddade arter, och

15. sjöfartsskydd. Förutom vid brott inom de i 1 § uppräknade områdena tilllämpas också LKP när Kustbevakningen bedriver övervakning i fråga om brott mot lagen (1992:1140) om Sveriges ekonomiska

Ds 2011:16 Kustbevakningens uppgifter m.m.

zon eller brott mot lagen (2006:263) om transport av farligt gods eller föreskrifter som har meddelats med stöd av dessa lagar.

Kustbevakningens befogenheter

Kustbevakningstjänstemännens uppgifter och befogenheter inom ramen för den brottsbekämpande och brottsutredande verksamheten regleras vad avser straffprocessuella befogenheter, förutom av rättegångsbalken och förundersökningskungörelsen (1947:948), särskilt i LKP, lagen (2000:1225) om straff för smuggling, lagen (1980:424) om åtgärder mot förorening från fartyg och lagen (2008:322) om Tullverkets och Kustbevakningens befogenheter att ingripa mot rattfylleribrott (TKBR).

Genom LKP får en kustbevakningstjänsteman straffprocessuella befogenheter inte bara på svenskt territorium utan i vissa fall också inom svensk ekonomisk zon.

I befogenheterna enligt lagen om straff för smuggling innefattas förutom brott mot bestämmelser avseende införsel av narkotika, alkohol- eller tobaksvaror även brott enligt bl.a. lagen (2003:148) om straff för terroristbrott, lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd samt tullagen (2000:1281).

Med stöd av lagen om åtgärder mot förorening från fartyg har Kustbevakningen visst eget förundersökningsledarskap. Kustbevakningen kan också vid många andra brott utföra utredningsåtgärder på begäran av åklagare eller polis. Detta sker idag regelmässigt beträffande vissa miljöbrott och fiskebrott och andra brott som Kustbevakningen bedöms ha särskild kompetens att utreda. TKBR innehåller bestämmelser om befogenheter för Kustbevakningen samt tjänstemän vid myndigheten att vidta vissa åtgärder för att förhindra, upptäcka och utreda brott enligt 4 och 4 a §§ lagen (1951:649) om straff för vissa trafikbrott (rattfylleribrott). Kustbevakningen får även besluta att inleda förundersökning om sådana brott och har då de befogenheter och skyldigheter som undersökningsledare har enligt rättegångsbalken, 3 § TKBR. Vidare har kustbevakningstjänsteman befogenheter att med stöd av lagen vidta tvångsåtgärder i form av t.ex.

Kustbevakningens uppgifter m.m. Ds 2011:16

gripande, beslag, husrannsakan, kroppsvisitation och kroppsbesiktning.

Kustbevakningens befogenheter inom det polisiära och brottsbekämpande området regleras alltså i flera olika författningar.

Om anledning förekommer att brott har förövats mot någon av de föreskrifter som avses i LKP har kustbevakningstjänsteman samma befogenhet som tillkommer polisman att hålla förhör, ta med någon till förhör, gripa någon och att företa husrannsakan eller verkställa beslag (2 §). För att kunna utöva de angivna befogenheterna får kustbevakningstjänsteman stoppa och visitera fartyg eller inbringa det till svensk hamn (4 §).

Vid förundersökning rörande brott mot de föreskrifter som avses i 1 § LKP och vid brott mot vattenföroreningslagen får åklagaren, eller polismyndighet om denna bedriver undersökningen, enligt 7 § LKP, anlita biträde av Kustbevakningen samt uppdra åt kustbevakningstjänsteman att vidta de särskilda åtgärder som behövs för undersökningen, om det är lämpligt med hänsyn till omständigheterna. Kustbevakningen får dessutom besluta att inleda förundersökning gällande sjöfylleri och har då de befogenheter och skyldigheter som en undersökningsledare har enligt rättegångsbalken (7 a §).

Kustbevakningen får enligt lagen om åtgärder mot förorening från fartyg inleda förundersökning rörande brott avseende olagliga utsläpp av olja och andra skadliga ämnen från fartyg. Lagen ger en tjänsteman vid Kustbevakningen samma befogenhet som polisman att hålla förhör, ta med någon till förhör, gripa någon och att företa husrannsakan eller verkställa beslut (11 kap. 2 och 5–7 §§). I befogenheterna ingår även att stoppa och kvarhålla fartyg (11 kap. 14 §). I fråga om biträde till polis och åklagare hänvisas till 7 § LKP (11 kap. 3 §). Vid sidan av att Kustbevakningen biträder polismyndighet eller åklagare vid förundersökningar har Kustbevakningen även handläggningsansvar för egna brottsutredningar.

Vid brott mot vissa bestämmelser som rör införsel till eller utförsel från landet av varor får en tjänsteman vid Kustbevak-

Ds 2011:16 Kustbevakningens uppgifter m.m.

ningen, innan förundersökning har hunnit inledas, på i princip motsvarande sätt som enligt LKP hålla förhör och vidta andra utredningsåtgärder som är av betydelse för utredningen av brott. Härvid får kustbevakningstjänstemannen även ålägga någon att följa med till förhör och ta med någon till förhör, gripa den som misstänks för brott, ta egendom i beslag och göra husrannsakan samt utföra kroppsvisitation och kroppsbesiktning. Detta gäller t.ex. för vissa terroristbrott och för brott enligt lagen om straff för smuggling, narkotikastrafflagen (1968:64), lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen, lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter och tullagen (2000:1281).

Enligt 2 § ordningsbotskungörelsen (1968:199) får tjänsteman vid Kustbevakningen utfärda förelägganden av ordningsbot för brott enligt 5 kap. 1 § sjötrafikförordningen (1986:300) samt för brott enligt 16 § tredje stycket lagen (2006:263) om transport av farligt gods.

Ordningshållning

En kustbevakningstjänsteman har enligt 3 § LKP samma befogenhet som en polisman har enligt 13 § polislagen (1984:387) att avvisa, avlägsna eller omhänderta den som genom sitt uppträdande i trafiken till sjöss stör ordningen eller utgör omedelbar fara för denna. Sådan befogenhet har han eller hon också när det behövs för att avvärja brott som avses i 1 § 5, 6 och 7, vilka bestämmelser avser trafikregler och säkerhetsanordningar för sjötrafiken, åtgärder mot vattenföroreningar från fartyg samt dumpning av avfall i vatten.

Kustbevakningstjänstemans befogenheter enligt polislagen (1984:387)

Av 29 § polislagen (1984:387) följer att en tjänsteman vid Kustbevakningen som enligt särskilda bestämmelser medverkar vid polisiär övervakning har rätt att använda våld enligt vad som föreskrivs i 10 § första stycket 1–4 samma lag. Enligt dessa be-

Kustbevakningens uppgifter m.m. Ds 2011:16

stämmelser får en polisman använda våld för att genomföra en tjänsteåtgärd, i den mån andra medel är otillräckliga och det med hänsyn till omständigheterna är försvarligt, bl.a. om han eller hon möts med våld eller hot om våld, det är fråga om att avvärja en straffbelagd handling eller en fara för liv, hälsa eller värdefull egendom eller för omfattande skada i miljön. När en kustbevakningstjänsteman med rättsligt stöd berövar någon friheten eller avlägsnar någon får han eller hon i anslutning till ingripandet också kroppsvisitera den som omhändertas eller avlägsnas i den utsträckning som är nödvändigt för att vapen eller andra farliga föremål ska kunna tas om hand (29 § andra stycket polislagen och 19 § 1 samma lag).

5.2.2. Gränskontroll

Allmänt om gränskontroll

Gränskontroll är civil verksamhet som innefattar att övervaka och kontrollera samfärdseln över rikets gränser. Det finns olika regelverk för personkontroll och varukontroll. Kustbevakningens gränskontroll av sjötrafiken omfattar både person- och utlänningskontroll enligt utlänningslagen (2005:716) och varukontroll enligt i första hand tullagen (2000:1281).

Gränskontrollen utgör en särskild inriktning inom Kustbevakningens verksamhet och kan, liksom övrig kontroll, tillsyn och övervakning, övergå i brottsbekämpande åtgärder om situationen så kräver.

Kustbevakningen är en av Sveriges tre gränskontrollmyndigheter, de övriga är polisen och Tullverket. Kustbevakningens ansvar för gränskontrollen förutsätter ett nära samarbete med polis- och tullmyndigheter inom och utom landet med ett ömsesidigt utbyte av information och underrättelser. I anslutning till Kustbevakningens gränskontrollverksamhet sker samverkan också med Migrationsverket.

Gränskontroll avseende handelssjöfarten sker bl.a. genom administrativa kontroller t.ex. genom att besättnings- och passa-

Ds 2011:16 Kustbevakningens uppgifter m.m.

gerarlistor kontrolleras mot olika register, främst Schengens informationssystem. Kontroll utförs vidare genom allmän patrullering.

Person- och utlänningskontroll

I Europaparlamentets och rådets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer (kodex för Schengengränserna) och utlänningslagen finns bestämmelser om kontroll i samband med inresa och utresa samt under vistelsen i Sverige. Kustbevakningen är skyldig att bistå polisen vid kontroll av utlänningars inresa och utresa enligt 9 kap. 1 § andra stycket utlänningslagen. Kustbevakningen har emellertid också en självständig rätt att kontrollera sjötrafiken och deltar främst i polisens kontrollverksamhet genom egna sådana kontroller. En tjänsteman vid Kustbevakningen har samma befogenheter som en polisman vad avser t.ex. kroppsvisitation och undersökning av bagage.

Kustbevakningen medverkar också i polisens inre utlänningskontroll enligt 9 kap. 9 § utlänningslagen genom att utöva kontroll av och i anslutning till sjötrafiken, bl.a. genom kontroll av pass och andra handlingar som visar att en person har rätt att uppehålla sig i Sverige.

Kustbevakningen är inom ramen för personkontrollen kontaktpunkt för handels-, fiske- och fritidsfartygen med anledning av resa till svensk hamn. Kustbevakningen ansvarar således för den administrativa kontrollen av sjöfarten. Kontrollen innebär att samtliga fartyg som kommer från utrikes ort eller, såvitt avser fiske- och fritidsfartyg, från en ort utanför Schengenstaterna, ska anmäla sig till Kustbevakningen för administrativ kontroll av uppgifter om personer ombord.

Alla anmälningar går till Kustbevakningens kontaktpunkt Swedish Maritime Clearance (SMC). SMC tar också emot anmälningar enligt lagstiftningen om sjöfartsskydd. Där kontrolleras anmälningarna bl.a. genom sökning i Schengens informationssystem. Anmälan tillsammans med övriga kända uppgifter kan utgöra underlag för en mer utförlig riskanalys som genom-

Kustbevakningens uppgifter m.m. Ds 2011:16

förs i samverkan mellan Kustbevakningen och berörd polismyndighet samt, i förekommande fall, Tullverket. Utfallet av riskanalysen avgör i vilken omfattning fysiska ombordkontroller eller s.k. verifieringar av besättningslistor anses påkallade.

I fråga om fiskefartyg är inriktningen att personkontroll ombord ska ske i samband med den kontroll som görs enligt den gemensamma fiskeripolitiken. Kontrollen av fritidsbåtstrafiken genomförs främst genom övervakning och kontroll i gäst- och naturhamnar.

I detta sammanhang bör också nämnas Kustbevakningens särskilda uppdrag att ta emot och besvara förfrågningar enligt tilläggsprotokollet mot människosmuggling land-, luft- och sjövägen till Förenta nationernas konvention den 15 november 2000 mot gränsöverskridande organiserad brottslighet (7 § tredje stycket förordningen (2007:853) med instruktion för Kustbevakningen). Uppdraget avser närmast att som s.k. 24-timmarsmyndighet med maritim kompetens besvara frågor om ett visst fartyg bär svensk flagg eller inte samt förmedla kontakten vidare till Regeringskansliet från den stat som framställer en begäran om att få borda ett fartyg.

Varukontroll

Kustbevakningens medverkan i tullkontrollen sker genom kontroll av sjötrafiken. Kustbevakningen ska vidare på begäran bistå Tullverket om det behövs för att Tullverket ska kunna vidta en avsedd tullkontrollåtgärd. Kustbevakningens medverkan regleras, förutom genom tullagen (2000:1281) och lagen (2000:1225) om straff för smuggling, främst genom tullförordningen (2000:1306) och lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen.

Ds 2011:16 Kustbevakningens uppgifter m.m.

5.2.3. Kontroll- och tillsynsverksamhet

Fiskerikontroll

Kustbevakningen ansvarar tillsammans med Fiskeriverket för fiskerikontrollen i landet. Kustbevakningen har ansvar för fiskerikontrollen till sjöss och bedriver fiskeriövervakning inom sitt verksamhetsområde. Målet för Kustbevakningens fiskerikontroll är att säkerställa att fiskekvoter inte överskrids och att såväl gemenskapslagstiftning som nationell lagstiftning efterlevs. Vid misstanke om brott kan Kustbevakningen vidta inledande brottsutredande åtgärder och rapportera till polismyndighet och åklagare samt utföra utredningsåtgärder på begäran av dessa.

Fiskeriövervakningen riktas i huvudsak mot det yrkesmässiga fisket. Övervakningen av yrkesfisket sker t.ex. genom riktade kontroller till sjöss och i samband med landning av fisk i svenska hamnar.

Kustbevakningen och Fiskeriverket bedriver ett samarbete som syftar till att fördjupa och effektivisera fiskerikontrollen genom mer utvecklad samverkan och ett effektivare informationsutbyte. Kustbevakningen bistår t.ex. med att ta emot anmälningar, sammanställa dessa och vidarebefordra dem till berörda parter.

Tillsammans med Fiskeriverket utvecklar Kustbevakningen metoder och kontrollsystem som ska säkerställa att de nationella och de europeiska fiskebestämmelserna följs och att fiskekvoterna inte överskrids. Från och med den 1 juli 2011 kommer dock Fiskeriverkets uppgifter tas över av andra myndigheter, se nedan avsnitt 6.2.3.

Annan kontroll- och tillsynsverksamhet

I 5 § förordningen (2007:853) med instruktion för Kustbevakningen anges att tillsyns- och kontrollverksamheten också bl.a. omfattar fartygs registrering och identifiering, jakt och annat ianspråktagande av naturresurser, skydd av miljö- och naturvårdsintressen samt skyddsobjekt och tillträde för utländska statsfartyg. Dessutom omfattar verksamheten sjösäkerhetstillsyn

Kustbevakningens uppgifter m.m. Ds 2011:16

vad gäller fartygssäkerhet och transport av farligt gods, jakt- och naturvård, skyddsobjekt, kontinentalsockeln, ekonomisk zon, maritima fornfynd samt tillträdeskontroll för utländska statsfartyg. Myndighetens uppdrag att utöva kontroll och tillsyn styrs av ett stort antal föreskrifter i skilda författningar.

Sjöfartsskydd

Reglerna om sjöfartsskydd syftar till att skydda sjöfartssektorn mot grova våldsbrott, bl.a. terrorism. Inom ramen för regelverket om sjöfartsskydd är Kustbevakningen mottagare av anmälningar från handelssjöfarten enligt lagen (2004:487) om sjöfartsskydd. Alla fartyg över viss storlek som avser att anlöpa svensk hamn är skyldiga att lämna information om t.ex. vilken hamnanläggning fartyget ska anlöpa samt en övergripande beskrivning av lasten.

Vattenföroreningsavgifter

Kustbevakningen är beslutande myndighet i ärenden om vattenföroreningsavgift. Vattenföroreningsavgift tas enligt 8 kap. 1 § lagen (1980:424) om åtgärder mot förorening från fartyg bl.a. ut om något av de förbud mot utsläpp av olja från fartyg som avses i 2 kap. 2 § samma lag har överträtts och utsläppet inte är obetydligt.

Vattenföroreningsavgift ska påföras den fysiska eller juridiska person som vid överträdelsen var fartygets ägare eller redare. Avgiften bestäms med hänsyn till utsläppets omfattning samt fartygets storlek.

5.2.4. Internationell samverkan inom sjöövervakningen

Enligt 15 § förordningen (2007:853) med instruktion för Kustbevakningen ingår det i myndighetens uppgifter att följa den internationella utvecklingen inom verksamhetsområdet och att medverka i internationellt samarbete för att utveckla gränskontroll, brottsbekämpning till sjöss, annan sjöövervakning och mil-

Ds 2011:16 Kustbevakningens uppgifter m.m.

jöräddningstjänst. Kustbevakningen ska vidare samverka med andra myndigheter för att främja svenskt deltagande i internationellt samarbete inom sitt verksamhetsområde.

En viktig del av den internationella samverkan inom området för sjöövervakning för civila ändamål sker numera inom ramen för gränsövervakningssamarbetet Baltic Sea Region Border Control Cooperation (BSRBCC) som bildades år 1997. Genom BSRBCC bedrivs ett aktivt, operativt inriktat, samarbete mellan gränsbevakande och brottsbekämpande myndigheter i Östersjöregionen. Samtliga Östersjöstater samt Norge är medlemmar och Island har observationsstatus. Samarbetet syftar bl.a. till att begränsa illegal invandring och att bekämpa gränsöverskridande brottslighet. I samarbetet ingår även andra brottsbekämpande myndigheter. Finska Gränsbevakningsväsendet administrerar inom ramen för samarbetet en särskild databas – CoastNet – som bl.a. innehåller underrättelser avseende fartyg. I systemet behandlas bl.a. uppgifter om intressanta fartyg (”list of suspicious Ships”), där varje land kan lägga in uppgifter om vissa fartyg som är intressanta ur brottsbekämpnings- eller kontrollsynpunkt. I anslutning till fartygen lämnas endast uppgift om vem som vill bli kontaktad om fartyget iakttas och inte uppgift om vilken brottslig verksamhet det misstänks finnas kopplingar till.

Informationsutbyte avseende aktuella iakttagelser eller företeelser inom brottsbekämpning och gränskontroll i anslutning till sjötrafiken sker tämligen formlöst med prövning av frågan om utlämnande från fall till fall.

Kustbevakningens internationella samverkan omfattar i övrigt löpande samarbete med polis- och tullmyndigheter i EU, bl.a. i gränskontrollfrågor, samt verksamhet inom Interpol, Europol, FN:s sjöfartsorganisation International Maritime Organization (IMO) och Task Force on Organized Crime in the Baltic Sea Region.

Kustbevakningen är också aktiv i det operativa samarbetet mellan medlemsstaterna när det gäller förvaltningen av de yttre gränserna, vilket samordnas av Europeiska byrån för förvalt-

Kustbevakningens uppgifter m.m. Ds 2011:16

ningen av det operativa samarbetet vid EU:s medlemsstaters yttre gränser (Frontex).

Kustbevakningen deltar vidare i ett särskilt samarbetsorgan för EU-medlemsstaternas tullmyndigheter (MARINFO) och följer arbetet inom rådsarbetsgruppen för tullsamarbete. Kustbevakningens internationella samverkan omfattar även EU:s Fiskerikontrollcenter (CFCA) respektive Europeiska Sjösäkerhetsbyrån (EMSA).

5.3. Räddningstjänst m.m. till sjöss

Med räddningstjänst avses i lagen (2003:778) om skydd mot olyckor de räddningsinsatser som staten eller kommunerna ska svara för vid olyckor och överhängande fara för olyckor för att hindra och begränsa skador på människor, egendom eller miljön. Till räddningstjänst hänförs också räddningsinsatser som görs i vissa situationer som anges i lagen utan att det har inträffat någon olycka eller föreligger en överhängande fara för en olycka.

Den statliga räddningstjänsten omfattar fjällräddningstjänst, flygräddningstjänst, sjöräddningstjänst, efterforskning av försvunna personer i vissa fall, miljöräddningstjänst till sjöss och räddningstjänst vid utsläpp av radioaktiva ämnen. Ansvaret för den statliga räddningstjänsten är delat mellan flera myndigheter. Kommunen svarar för all annan räddningstjänst. Av lagen framgår att kommunerna och de statliga myndigheterna som bedriver räddningstjänst ska samarbeta med varandra och med andra som berörs av verksamheten.

Med miljöräddningstjänst till sjöss avses enligt 4 kap. 5 § lagen om skydd mot olyckor den räddningstjänst som statlig myndighet ska bedriva när olja eller andra skadliga ämnen har kommit ut i vattnet eller när det föreligger en överhängande fara för detta. Geografiskt omfattar ansvaret Sveriges sjöterritorium och ekonomiska zon. Vattendrag, kanaler, hamnar samt andra insjöar än Vänern, Vättern och Mälaren ingår däremot inte. Enligt 4 kap. 12 § förordningen (2003:789) om skydd mot olyckor ansvarar Kustbevakningen för miljöräddningstjänsten till sjöss.

Ds 2011:16 Kustbevakningens uppgifter m.m.

Kustbevakningens räddningstjänstuppdrag regleras även i 11 och 12 §§ i förordningen (2007:853) med instruktion för Kustbevakningen. Härav framgår bl.a. att Kustbevakningen i enlighet med särskilda föreskrifter ska ansvara för miljöräddningstjänsten till sjöss i syfte att begränsa konsekvenserna av olyckor och utsläpp samt ha beredskap för att på anmodan av räddningsledare delta i sjöräddningstjänst och annan räddningstjänst. Kustbevakningen får även i vissa situationer begära bistånd från och lämna bistånd till utländska myndigheter eller en medlemsstat i EU.

Ansvaret för miljöräddningstjänsten till sjöss innebär bl.a. att Kustbevakningen ska agera när olja eller andra skadliga ämnen har kommit ut i vattnet eller när det föreligger en överhängande fara för sådana utsläpp. I första hand utnyttjas kustbevakningsflyget och satellitövervakning för upptäckt och dokumentation av oljeutsläpp i farvatten runt Sveriges kuster. Kustbevakningens miljöövervakning omfattar främst regler om förbud mot vattenförorening och dumpning samt tillsyn av t.ex. naturskydds-, fågelskydds- och sälskyddsområden. Staterna runt Nordsjön och Östersjön samt inom EU har ett omfattande miljöskyddssamarbete i syfte att gemensamt flygövervaka sjötrafiken och för att kunna samarbeta vid stora olje- och kemikalieolyckor. Det operativa samarbetet bedrivs huvudsakligen inom ramen för Helsingforskommissionen (HELCOM) samt inom ramen för Köpenhamns- respektive Bonnavtalet. Detta samarbete omfattar bl.a. ett allmänt informationsutbyte och regler och rutiner för dokumentation.

Nämnas ska att EMSA bl.a. har inrättat SafeSeaNet, som är ett system för övervakning av fartyg som transporterar farlig last samt CleanSeaNet vilket är ett system med satellitbilder som gör det möjligt att snabbt förvarna en medlemsstat om utsläpp nära dess kust.

Kustbevakningens uppgifter m.m. Ds 2011:16

5.4. Samordning av de civila behoven av sjöövervakning och förmedling av sjöinformation

Enligt 1 § tredje stycket förordningen med instruktion för Kustbevakningen har myndigheten ett särskilt uppdrag att samordna civila behov av sjöövervakning och att förmedla civil sjöinformation till berörda myndigheter, det s.k. sjöövervakningsuppdraget.

Uppgiften beskrevs i propositionen ”Det nya försvaret” (prop. 1999/2000:30 s. 148 f). Regeringen bedömde att de civila myndigheternas behov av sjöinformation skulle komma att öka, bl.a. avseende gränskontroll och gränsöverskridande brottslighet, men också i fråga om tillgänglighet, framkomlighet och säkerhet för sjöfarten. Mot denna bakgrund ansåg regeringen att Kustbevakningen borde ges ett formaliserat ansvar att koordinera de civila behoven av sjöövervakning samt förmedla denna information till berörda civila verksamheter.

Uppdraget motsvarar till stor del avgränsningen av Kustbevakningens verksamhet. Myndigheten förmedlar t.ex. fortlöpande iakttagelser om sjöläget, lämnar information från förhandsanmälningar och inspektioner samt avrapporterar brott. Inom ramen för sjöövervakningsuppdraget förmedlar Kustbevakningen även information om iakttagelser avseende t.ex. brott och misstänkt brottslig verksamhet utanför det egna verksamhetsområdet. Kustbevakningens samordning av information sker därför både som en del i den egna verksamheten och som samordning och förmedling med hänsyn till andra myndigheters behov.

Kustbevakningen ska samordna och förmedla information främst till de myndigheter som ingår i det s.k. Sjöövervakningsrådet, som enligt förordningens 19 § knutits till Kustbevakningen för att bistå myndigheten i arbetet med att samordna de civila behoven av sjöövervakning och förmedla sjöinformation. Sjöövervakningsrådet består av generaldirektören och högst tolv andra ledamöter samt ersättare för dessa. I rådet deltar, förutom Kustbevakningen, bl.a. Rikspolisstyrelsen, Försvarsmakten,

Ds 2011:16 Kustbevakningens uppgifter m.m.

Tullverket, Fiskeriverket, Myndigheten för samhällsskydd och beredskap och Transportstyrelsen. Alla myndigheter som ingår i rådet har uppdrag med anknytning till verksamhet eller förhållanden till sjöss eller i anslutning till sjötrafiken, såsom t.ex. räddningstjänst, gränskontroll, sjötrafikövervakning och sjösäkerhetstillsyn.

Syftet med samordningen är att förbättra de berörda myndigheternas tillgång till varandras information. Det handlar emellertid inte bara om att tillgängliggöra befintlig information, utan också att med hjälp av sambearbetning framställa ny sjöinformation. För att möjliggöra informationshantering och utbyte används informationssystemet SJÖBASIS, se avsnitt 6.1.2.

6. Kustbevakningens informationshantering och informationsutbyte

6.1. Kustbevakningens informationshantering

6.1.1. Kustbevakningsdatabasen

Som redovisats i avsnitt 3.3 regleras Kustbevakningens behandling av personuppgifter idag genom bestämmelserna i personuppgiftslagen (1998:204) och förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen.

Förordningen gäller för behandling av personuppgifter i Kustbevakningens verksamhet som rör brottsbekämpning, kontroll och tillsynsverksamhet om det är nödvändigt för att inrikta och genomföra verksamheten samt ärenden om vattenföroreningsavgift. Vidare får personuppgifter behandlas om det är nödvändigt för att planera, följa upp och utvärdera tidigare nämnda verksamheter. Övrig behandling av personuppgifter i Kustbevakningens verksamhet regleras i sin helhet av personuppgiftslagen.

Enligt 11 § förordningen om behandling av personuppgifter inom Kustbevakningen får det i Kustbevakningens verksamhet finnas en samling uppgifter och handlingar som med hjälp av automatiserad behandling används gemensamt i verksamheten för vissa angivna ändamål, den s.k. kustbevakningsdatabasen.

Begreppet databas har i förordningen en rättslig innebörd utan direkt teknisk anknytning avsedd att möjliggöra särskilda regler för sådan automatiserad behandling av personuppgifter som används gemensamt i verksamheten och som inte är av helt tillfällig natur.

Kustbevakningens informationshantering och informationsutbyte Ds 2011:16

6.1.2. Informationssystem inom Kustbevakningen

KIBS

Kustbevakningens Informations- och Beslutsstödssystem (KIBS) är ett system som innehåller uppgifter om fartyg och anmärkningar om vidtagna åtgärder gentemot fartyg. KIBS används vid planering, genomförande och uppföljning av sådan sjöövervakning, kontroll- och tillsynsverksamhet samt miljöräddningstjänst till sjöss som i enlighet med särskilda föreskrifter åligger Kustbevakningen.

Samtliga kustbevakningstjänstemän har eller kan få tillgång till KIBS. Behörigheten kan sträcka sig från att endast få söka och läsa information till att få bearbeta (ändra, införa eller utplåna) information.

Landbas

I Landbas behandlas bl.a. uppgifter om fiske och fiskefartyg för genomförande, uppföljning, planering och riskanalysbaserad inriktning av fiskerikontrollen. Vidare hanteras i databasen bl.a. förhandsanmälningar från fisket och resultat från inspektioner.

Rapportdiarier

Vid Kustbevakningen finns vid varje region särskilda s.k. rapportdiarier över de brott som myndigheten rapporterar till polismyndighet, Tullverket eller Åklagarmyndigheten. Diarierna har även inrättats för att möjliggöra återrapportering till regeringen avseende bl.a. antalet rapporter som lett till rättsliga åtgärder.

Tillgång till diariet har endast Kustbevakningens egna vakthavande befäl, förundersökningsledare och vissa handläggare vid regionerna samt personer vid huvudkontoret.

Underrättelsediariet och underrättelseregistret m.m.

Underrättelsediariet är ett renodlat diarium med en förteckning över underrättelseärenden. Det innehåller inte i sig några självständiga underrättelser. Endast ett mycket begränsat antal tjäns-

Ds 2011:16 Kustbevakningens informationshantering och informationsutbyte

temän har tillgång till uppgifterna i underrättelsediariet. Inom Kustbevakningen finns även ett underrättelseregister. I detta behandlas underrättelser avseende viss grövre brottslighet. Kustbevakningen har även s.k. särskilda undersökningar, med vilket avses ärenden i vilka för viss tid upprättas särskilda register där behandling av underrättelser sker. De särskilda undersökningarna bedrivs i ärendeform. Dessa finns inte i kustbevakningsdatabasen.

Bilddatabas

Kustbevakningens bilddatabas över fartyg som omfattas av myndighetens kontroll och tillsyn är en databas under uppbyggnad med bilder av kontrollobjekt, dvs. fartyg. Bilderna i databasen är sökbara på fartygsnummer.

Marinvetenskaplig forskningsdatabas

Kustbevakningen är ansvarig för tillståndsgivningen enligt lagen (1992:1140) om Sveriges ekonomiska zon och förordningen (1992:1226) med likalydande namn, avseende marinvetenskaplig forskning från utländska forskningsfartyg. Uppgifter i ärenden om sådana tillstånd finns samlade i en databas hos Kustbevakningen. Kustbevakningen är också tillsynsmyndighet enligt denna lagstiftning. Den marinvetenskapliga forskningsdatabasen är inrättad för den databehandling som sker inom ramen för handläggning av ärenden om tillstånd till marinvetenskaplig forskning.

SJÖBASIS

Som en del av Kustbevakningens uppdrag enligt 1 § tredje stycket förordningen (2007:853) med instruktion för Kustbevakningen att samordna de civila behoven av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter har Kustbevakningen utvecklat ett system för Sjöbaserad informationssamordning, SJÖBASIS, mellan myndigheterna. Systemet innehåller aktuell och historisk information om bl.a. fartygs namn, position, kurs och fart kompletterad med information om iakt-

Kustbevakningens informationshantering och informationsutbyte Ds 2011:16

tagelser, jämte uppgifter från förhandsanmälningar och underrättelser.

TRANSAS

TRANSAS är ett sjökortssystem som finns ombord på kustbevakningsfartyg och i vilket fartyg kan registreras. TRANSAS innehåller inga direkta personuppgifter om t.ex. ett fartygs besättning och liknande, men däremot fartygsnamn och vissa andra uppgifter om själva fartygen.

Maritime Surveillance System (MSS)

MSS är ett system med olika typer av övervakningskameror som i första hand används av kustbevakningsflyget för att upptäcka och dokumentera händelser till sjöss, t.ex. oljeutsläpp och fiske- eller smugglingsbrott. Särskild behörighet för Kustbevakningen att registrera uppgifterna finns i 3 § förordningen (1993:1745) om skydd för landskapsinformation. Enligt bestämmelsen får Försvarsmakten, Kustbevakningen, Lantmäteriverket, Sjöfartsverket, Sveriges geologiska undersökning, SMHI, Rikspolisstyrelsen och polismyndigheterna utföra fotografering och liknande registrering från luftfartyg enligt 4 § lagen (1993:1742) om skydd för landskapsinformation.

DIANA

Kustbevakningens allmänna diarium för ärendehandläggning förs i ett system benämnt DIANA.

Utöver de system som redovisats ovan finns inom Kustbevakningen en rad andra datorsystem för behandling av personuppgifter m.m. som inte omfattas av de särskilda bestämmelserna i förordningen om behandling av personuppgifter inom Kustbevakningen, eftersom behandlingen sker för andra ändamål än brottsbekämpning, kontroll och tillsyn eller handläggning av ärenden om vattenföroreningsavgift. Behandlingen i dessa system regleras därmed för närvarande i sin helhet av bestämmel-

Ds 2011:16 Kustbevakningens informationshantering och informationsutbyte

serna i personuppgiftslagen. Det rör sig huvudsakligen om system för intern administration.

6.2. Samverkan och informationsutbyte med andra myndigheter och organisationer

6.2.1. Inledning

Kustbevakningen samverkar i sin verksamhet med flera andra myndigheter, såväl brottsbekämpande myndigheter som myndigheter med kontroll- och tillsynsuppgifter. Inom ramen för samverkan har Kustbevakningen bl.a. tillgång till diverse externa databaser med information av betydelse för Kustbevakningens verksamhet. Det rör sig om i princip öppna system till vilka Kustbevakningen har direktåtkomst. Uppgifterna överförs inte strukturerat till en särskild databas inom Kustbevakningen, utan används främst som ett direkt stöd i den operativa verksamheten.

I flera sammanhang förekommer att uppgifter inhämtas från eller lämnas till myndigheter i andra länder, i första hand medlemsländer i EU. Nedan följer en kort redogörelse för dessa myndigheters verksamheter samt en beskrivning av den samverkan och det informationsutbyte som förekommer, nationellt och internationellt.

Kustbevakningens uppdrag att följa den internationella utvecklingen inom sitt verksamhetsområde och medverka i internationellt samarbete har beskrivits i avsnitt 5.2.4.

6.2.2. Brottsbekämpande verksamhet och gränskontroll

Tullverket

Tullverket har till uppgift att övervaka efterlevnaden av särskilda bestämmelser om införsel och utförsel av varor. Tullverket ska både tillse att en riktig uppbörd kan säkerställas och kontrollera

Kustbevakningens informationshantering och informationsutbyte Ds 2011:16

in- och utförselrestriktioner. Verket har också befogenhet att bekämpa brott inom hela sitt ansvarsområde.

Kustbevakningen övervakar och kontrollerar sjötrafiken till och från utlandet så att bestämmelserna om in- och utförsel av varor efterlevs. Kustbevakningen har, som nämnts i avsnitt 5.2.1, med stöd av bestämmelserna i lagen (2000:1225) om straff för smuggling möjlighet att ingripa och beivra brott mot denna lag. I lagen ges tjänstemän vid Kustbevakningen bl.a. befogenhet att hålla förhör och gripa någon som misstänks för brott mot föregående nämnda lag. Kustbevakningen informerar härvid alltid Tullverket om tullkontroller som resulterar i en anmälan om brott eller att brister annars noterats. Konkreta tull- och smugglingsbrott rapporteras till Tullverket, vilket även kan inkludera vissa förundersökningsdokument och uppgifter om beslag eller andra tvångsmedel.

Kustbevakningen lämnar även information om andra iakttagelser i samband med genomförda kontroller som bedöms vara av intresse för Tullverket. Kustbevakningen vidarebefordrar även tips, från t.ex. allmänheten, om misstänkt brottslig verksamhet eller annan underrättelseinformation till Tullverket.

Kustbevakningen är kontaktpunkt för sjötrafiken i fråga om anmälningar enligt föreskrifter om gränskontroll avseende personer och i fråga om sjöfartsskydd. Inom ramen för detta arbete kan Kustbevakningen överlämna uppgifter om fartygs ankomst till svensk hamn till Tullverket.

Information från Tullverket till Kustbevakningen, som överlämnas i pappersform, kan bestå i bokningsuppgifter rörande förhandsanmälningar avseende sjötrafik.

Enligt 6 § förordningen (2005:791) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet får Kustbevakningen ha direktåtkomst till uppgifter i tullbrottsdatabasen som behandlas för ändamålet att förhindra eller upptäcka brottslig verksamhet. Kustbevakningen ges i förordningen däremot inte möjlighet till direktåtkomst till uppgifter som behandlas i den brottsutredande verksamheten (7 § förordningen).

Ds 2011:16 Kustbevakningens informationshantering och informationsutbyte

EU:s tullinformationssystem (TIS) har inrättats dels genom rådets förordning (EG) nr 515/97 om ömsesidigt bistånd i tullärenden, dels genom den s.k. CIS-konventionen, som den 27 maj 2011 ersätts av rådets beslut 2009/917/RIF av den 30 november 2009 om användning av informationsteknik för tulländamål. Förordningen (1998:64) om tillämpning av Europeiska unionens tullinformationssystem innehåller kompletterande bestämmelser till rådsförordningen avseende svenska myndigheters tillämpning och användning av TIS. Syftet med TIS är att underlätta informationsutbytet mellan medlemsstaterna för att effektivisera bekämpningen av brott på tullområdet. TIS består av två skilda databaser - TIS I för den fiskala verksamheten och TIS III för den brottsbekämpande verksamheten. TIS I ska hjälpa tullmyndigheterna att utbyta information för att bekämpa brott mot EU:s gemensamma tull- och jordbrukslagstiftning medan TIS III ska underlätta informationsutbyte för att bekämpa brott mot medlemsstaternas nationella tullagstiftning. Tullinformationssystemet innehåller också en särskild databas kallad FIDE. Tullverket, polismyndigheter och Kustbevakningen får ha direktåtkomst till uppgifter i samtliga kategorier i tullinformationssystemet, 4 § förordningen.

Polisen

Kustbevakningen överlämnar tips och underrättelser avseende brottslig verksamhet till polisen och får i viss utsträckning samma typ av information tillbaka.

Vid övervakning till sjöss ingriper Kustbevakningen mot upptäckta brott och ordningsstörningar i sjötrafiken, vilket föranleder uppgiftslämnande eller avrapportering till polisen. När fråga är om utsläppsbrott lämnas informationen till Åklagarmyndigheten.

Inom gränskontrollverksamheten är Kustbevakningen kontaktpunkt för förhandsanmälningar från handels-, fiske- och fritidsfartyg med anledning av resa till svensk hamn. Kustbevakningen är vidare kontaktpunkt för handelssjöfarten avseende sjöfartsskydd. Kustbevakningen kräver också in uppgifter från an-

Kustbevakningens informationshantering och informationsutbyte Ds 2011:16

mälningspliktiga fartyg när sådana inte lämnas i tid eller i rätt omfattning. I samband med sådan gränskontrollverksamhet genomför Kustbevakningen sökningar i Schengens informationssystem (SIS).

Vid konstaterad träff i SIS, registerträff och rätt fysisk person, vidarebefordras uppgifterna till berörd polismyndighet med hänsyn till aktuell ankomsthamn. Utfallet av efterföljande ombordkontroller redovisas också för polisen. Ombordkontroller genomförs även utan träff i SIS. Om någon brist föreligger underrättas polisen och berörd region inom Kustbevakningen. Vidare rapporteras brott mot utlänningslagen (2005:716) till polisen. Vid efterlysning, t.ex. med anledning av en europeisk arresteringsorder, kan gripande komma i fråga även med anledning av andra brott, vilket i sin tur föranleder uppgiftsutbyte och överlämning av den gripne till polis.

Vid brister i sjöfartsskyddet som inte åtgärdas underrättas Transportstyrelsen. Vid brister som föranleder brottsmisstanke avrapporteras brott till berörd polismyndighet.

Till polisen rapporteras vidare brott som upptäcks i samband med Kustbevakningens miljöövervakning och tillsyn i verksamhet med djur- och naturskyddsområden, jakt- och naturvårdstillsyn, maritima fornminnen och sjöfynd. Merparten av rapporterade brott har tidigare avsett brott mot sjötrafikförordningen och sjölagen, främst hastighetsöverträdelser men också t.ex. bristande lanternaföring. Dessa brott hanteras dock sedan den 1 april 2006 huvudsakligen genom att Kustbevakningen utfärdar föreläggande av ordningsbot.

Tilläggas ska att när det kommer till det internationella polissamarbetet har EU genom förordning 2007/2004 inrättat en europeisk byrå för förvaltningen av det operativa samarbetet vid Europeiska unionens yttre gränser (Frontex) i Warszawa, som Kustbevakningen samarbetar och utbyter information med. Genom att tillträda Europolkonventionen har Sverige även åtagit sig att förse Europols informationssystem (EIS) med svenska underrättelser. Eftersom Kustbevakningen ingår i Europol kommer myndigheten också att få åtkomst till systemet.

Ds 2011:16 Kustbevakningens informationshantering och informationsutbyte

Åklagarmyndigheten

När Kustbevakningen utreder miljöbrott samt rattfylleri- och sjöfylleribrott svarar myndigheten för all dokumentation från förundersökningen. Beroende på vilket brott som utreds är Kustbevakningen eller åklagare förundersökningsledare. I de åklagarledda förundersökningarna sker ett löpande informationsutbyte mellan åklagaren och de tjänstemän vid Kustbevakningen som genomför förundersökningen. I vissa situationer föreligger även behov av informationsutbyte mellan Kustbevakningen och berörd myndighet. Detta sker bl.a. när polisen bedriver förundersökning och behöver anlita biträde av Kustbevakningen enligt 7 § lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning (LKP).

Vid utsläppsbrott genomför Kustbevakningen även vissa brottsutredningar som kräver ett nationellt informationsutbyte med, förutom polis och tull, även åklagare, samt ett internationellt informationsutbyte som bl.a. sker i gemensamma utredningsgrupper.

Det förekommer att Kustbevakningen genomför utredningar avseende brott med stöd av LKP efter begäran, främst vad gäller fiskebrott, brott mot utlänningslagen och mot lagen om sjöfartsskydd.

Kustbevakningen är beroende av återrapportering från Åklagarmyndigheten eller domstol avseende beslut eller dom i de brottsutredningar eller brottmål som initierats genom rapport från Kustbevakningen, detta för att kunna fullgöra egna återrapporteringskrav, men också för att kunna uppfylla interna behov av uppföljning och kvalitetssäkring. Åklagare för också talan i sjörättsdomstol när Kustbevakningens beslut om vattenföroreningsavgift överklagats dit. Behovet av återrapportering omfattar även åklagares beslut i sådana ärenden.

Domstolarna

För att kunna fullgöra myndighetens återrapporteringskrav har Kustbevakningen behov av information från domstolarna, i första hand återrapportering av domstolsavgöranden i mål som av-

Kustbevakningens informationshantering och informationsutbyte Ds 2011:16

ser brott där Kustbevakningen varit anmälningsupptagande eller avrapporterande myndighet. Behovet avser även domstolarnas beslut i mål avseende vattenföroreningsavgift.

Skatteverket och Ekobrottsmyndigheten

Kustbevakningens samverkan med Skatteverket och Ekobrottsmyndigheten är än så länge begränsad. Det förekommer dock att Kustbevakningen på uppdrag av Ekobrottsmyndigheten eller skattebrottsenheterna muntligen eller skriftligen vidarebefordrar uppgifter och iakttagelser i sjöövervakningsverksamheten.

Särskilt om myndigheter i samverkan mot organiserad brottslighet m.m.

Vid Kustbevakningen finns det ett Maritimt underrättelsecentrum (MUC) som svarar för nationell samordning och utveckling i Kustbevakningen av informations- och underrättelseanalyser samt bearbetning av information och underrättelser. MUC utgör med andra ord Kustbevakningens nationella underrättelsefunktion. Tidigare var Kustbevakningen, Polisen och Tullverket samlokaliserade men detta myndighetsgemensamma arbete har upphört. Kustbevakningen arbetar emellertid fortfarande med att ta fram maritim underrättelseinformation som används internt och av andra myndigheter.

Idag äger samverkan mellan ett flertal myndigheter i stället rum inom ramen för regeringens särskilda satsning i kampen mot grov organiserad brottslighet, den s.k. GOB-satsningen. De myndigheter som samverkar är Ekobrottsmyndigheten, Kriminalvården, Kronofogden, Kustbevakningen, Polisen, Skatteverket, Säkerhetspolisen, Tullverket och Åklagarmyndigheten. Dessutom finns Försäkringskassan och Migrationsverket representerade.

Samverkan inom GOB sker på nationell nivå i det Nationella underrättelsecentret (NUC), vilket är ett samverkanscenter. Inom NUC sker ett utbyte av metodfrågor och kriminalunderrättelseinformation mellan de myndigheter som ingår i GOBsatsningen. Kustbevakningen lämnar ut uppgifter med stöd av

Ds 2011:16 Kustbevakningens informationshantering och informationsutbyte

personuppgiftslagen (1998:204) och förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen, när så är möjligt. Vidare är en handläggare från MUC Kustbevakningens representant i NUC.

Det finns även regionala underrättelsecenter (RUC), för närvarande på åtta platser i landet. Kustbevakningen deltar här med en underrättelsehandläggare eller motsvarande vid alla RUC, utom den i Örebro. Inom RUC delas operativ kriminalunderrättelseinformation. Då Kustbevakningen idag inte har egna förundersökningar av relevans för GOB-satsningen utbyter myndigheten endast bearbetad kriminalunderrättelseinformation kopplad till den maritima miljön eller specifik maritim kompetens. Från RUC får Kustbevakningen tillbaka kriminalunderrättelseinformation om de kriminella nätverk som befinner sig i, eller ägnar sig åt, brottslig verksamhet i den maritima miljön. Arbetet inom RUC är ärendebaserat och kriminalunderrättelseverksamheten syftar till att ta fram och bereda ärendet så att det kan leda till att förundersökningar kan inledas och vidtagande av operativa insatser.

Kustbevakningen har även nationell samverkan och regional samverkan med andra brottsbekämpande myndigheter. Den ligger utanför GOB-satsningen. Utöver operativ planering handlar det om att utbyta information och underrättelser. Härvid delger Kustbevakningen andra brottsbekämpande myndigheter uppgifter enligt personuppgiftslagen och förordningen om behandling av personuppgifter inom Kustbevakningen.

6.2.3. Kontroll, tillsynsverksamhet och räddningstjänst

Sjöfartsverket

Sjöfartsverket är en förvaltningsmyndighet som ska verka för att de transportpolitiska målen uppnås. Några av huvuduppgifterna är att svara för farledshållning, lotsning, isbrytning, sjögeografisk information, publicera sjökort, sjö- och flyggräddning m.m. samt ansvara för att sjöfartens påverkan på miljön minimeras. Sjö-

Kustbevakningens informationshantering och informationsutbyte Ds 2011:16

fartsverket tillhandahåller även sjötrafikinformationstjänster (Vessel Traffic System – VTS). Kustbevakningen samverkar med Sjöfartsverket bl.a. genom att Kustbevakningen har beredskap för sjöräddning.

Via handelsfartygens transpondrar, AIS (Automatic Identification System), tillhandahåller Sjöfartsverket samlad och fortlöpande information om var olika fartyg befinner sig. AIS är ett internationellt GPS-baserat system för presentation av fartygs positioner och identitet. Systemet är baserat på att vissa fartyg är utrustade med transpondrar som via radio löpande förmedlar sjölägesinformation i form av positioner och identitet. Inom ramen för SJÖBASIS tillhandahålls Kustbevakningen denna information även av Försvarsmakten, varvid informationen är kompletterad med uppgifter från bl.a. Försvarsmaktens radarsystem. Sjöfartsverket tillhandahåller ett sjörapporteringssystem (SRS) som är ett system för rapportering som samlar in och förmedlar information av betydelse för fartygens säkra framförande, skyddet av miljön och räddningstjänsten och ett fartygsrapporteringssystem (FRS) till vilken fartygen ska rapportera sina anlöp till en hamn eller ett ankarområde samt last av farligt gods senast 24 timmar innan anlöpet. Dessutom ska rapportering av fartygsgenererat avfall göras.

Informationen om var fartyg befinner sig m.m. är av betydelse för Kustbevakningens sjötrafikövervakning och gränskontroll.

Transportstyrelsen

Den 1 januari 2009 inrättades en ny myndighet, Transportstyrelsen, som övertog bl.a. all verksamhet vid Järnvägsstyrelsen och Luftfartstyrelsen samt delar av verksamheten vid Sjöfartsverket och Vägverket. Transportstyrelsens huvudsakliga verksamhet består av normgivning, tillsyn, tillståndsgivning och registerhållning inom de fyra transportslagen. Vad avser Transportstyrelsens tillsynsverksamhet inom sjöfartsområdet styrs denna i huvudsak av fartygssäkerhetslagen (2003:364), lagen (1980:424) om åtgärder mot förorening från fartyg, arbetsmiljölagen

Ds 2011:16 Kustbevakningens informationshantering och informationsutbyte

(1977:1160), lagen (2006:1209) om hamnskydd och lagen (2004:487) om sjöfartsskydd.

Vid Transportstyrelsen förs ett fartygsregister som också är ett personregister. Av fartygsregisterförordningen (1975:927) framgår under vilka förutsättningar myndigheter eller någon annan får ha direktåtkomst till registret. Kustbevakningen har idag direktåtkomst till fartygsregistret.

På området kontroll och tillsyn av sjötrafik och sjösäkerhet har Kustbevakningen en omfattande samverkan med Transportstyrelsen. Samverkan avser bl.a. sjösäkerhetstillsyn och annan kontrollverksamhet avseende t.ex. farligt gods, fartygssäkerhet och bemanning samt fartygs registrering och identifiering. Kustbevakningen genomför också riskanalysbaserad sjösäkerhetstillsyn i samverkan med Transportstyrelsen. Tillsynsinsatserna grundas på utfallet av tidigare kontrollverksamhet avseende visst objekt, vilket även inkluderar eventuella rapporter om brott eller särskilda riskprofiler baserat på verksamhetstyp eller område m.m. Framkommer uppgifter om brister föranleder detta underrättelse till Transportstyrelsen.

Kustbevakningen är mottagare av anmälningar från handelssjöfarten avseende sjöfartsskydd. Vid brister i sjöfartsskyddet som inte åtgärdas underrättas i tillsynshänseende Transportstyrelsen.

Kustbevakningen lämnar även Transportstyrelsen uppgifter av betydelse för fartygssäkerhetstillsyn.

Fiskeriverket

Fiskeriverket är en förvaltningsmyndighet med sektorsansvar för miljön med avseende på fiskefrågor. Fiskeriverket ska verka för ett rikt varierat fiskbestånd och en ekologiskt hållbar förvaltning av fiskeresurserna.

Kustbevakningen genomför i samverkan med Fiskeriverket riskanalysbaserad fiskerikontroll. Kustbevakningen ansvarar därvid för kontrollen till sjöss medan Fiskeriverket har ansvaret för den landbaserade landnings- och kvalitetskontrollen.

Kustbevakningens informationshantering och informationsutbyte Ds 2011:16

Genomförda kontroller noteras i Landdatabasen och i inspektionsrapporter, som sedan delges Fiskeriverket.

Eventuella brottsmisstankar som uppkommer i samband med fiskerikontroll rapporterar Kustbevakningen till polismyndighet. I ökad utsträckning bistår Kustbevakningen även med fortsatta utredningsåtgärder på polismyndighets eller åklagares begäran.

Fiskeriverket ska enligt 5 kap. 1 a § förordningen (1994:1716) om fisket, vattenbruket och fiskerinäringen till Kustbevakningen lämna sådana uppgifter om fiskefartyg, yrkesfiskelicenser och fartygstillstånd som Kustbevakningen behöver för sin verksamhet inom fiskerikontrollen. Kustbevakningen förser i sin tur Fiskeriverket med uppgifter i kustbevakningsdatabasen om personer som har anknytning till transportmedel eller verksamhet som omfattas av Kustbevakningens kontroll eller tillsyn av fisket om uppgifterna behövs i den kontroll- eller tillsynsverksamhet som rör fisket, och som Fiskeriverket enligt lag eller förordning har att genomföra, 20 § andra stycket förordningen om behandling av personuppgifter inom Kustbevakningen.

Fiskeriverket tillhandahåller Kustbevakningen information beträffande fiskefartygs positioner genom systemet VMS (Vessel Monitoring System) som är en del av SJÖBASIS. VMS sänder positionsuppgifter varannan timme.

Kustbevakningen har åtkomst till Fiskeriverkets fiskefartygsregister som innehåller information om fiskefartygs egenskaper och ägarförhållanden m.m. Kustbevakningen har också tillgång till Fiskeriverkets register över yrkesfiskelicens, med aktuell information om gällande licenser med sedvanliga personuppgifter, såsom namn och adress m.m.

Fiskeriverket är kontaktpunkt för näringen, andra myndigheter med uppgifter inom fiskerikontrollen och för kontrollmyndigheter i andra länder. Kustbevakningens centrala ledning och övervaknings- och kontrollenhet har motsvarande funktion inom sitt verksamhetsområde.

Från och med den 1 juli 2011 kommer dock Fiskeriverkets uppgifter tas över av andra myndigheter. Fiskeriverkets verk-

Ds 2011:16 Kustbevakningens informationshantering och informationsutbyte

samhet fördelas då mellan en ny myndighet för havs- och vattenmiljö och Jordbruksverket.

Försvarsmakten

Försvarsmakten har enligt 3 § förordningen (2007:1266) med instruktion för Försvarsmakten till särskild uppgift att ansvara för att samla in, bearbeta och lämna Kustbevakningen sjölägesinformation sammanställd för civila behov. Inom ramen för denna uppgift förmedlar Försvarsmakten viss sjörelaterad information till Kustbevakningen på medium för automatiserad behandling.

Kustbevakningen har på så sätt åtkomst till Försvarsmaktens maritima stridsledningssystem STRIMA där IGRIS (International Graphical Registration and Identification help for Ships), en bilddatabas över fartyg, ingår. I registret finns uppgifter om fartygets namn, typ, anropssignal (s.k. callsign), rederi, kurs, fart och nationalitet. Kustbevakningsflyget bidrar till att uppdatera eller korrigera uppgifter i databasen genom fotografering och identifiering av fartyg. Bilderna skickas till Försvarsmakten, som sedan för in dem i IGRIS. Kustbevakningen använder informationen för att bl.a. kunna upprätthålla den civila gränskontrollen genom att övervaka och kontrollera samfärdseln över rikets gränser.

Försvarsmakten övervakar också samfärdseln över rikets gränser och har härvid befogenheter att ingripa enligt förordningen (1982:756) om Försvarsmaktens ingripanden vid kränkningar av Sveriges territorium under fred och neutralitet, m.m. (IKFN-förordningen). Försvarsmakten ska upptäcka och med stöd av denna förordning avvisa kränkningar av svenskt territorium och i samarbete med civila myndigheter ingripa vid andra överträdelser av tillträdesförordningen (1992:118). Tillträdesförordningen innehåller bestämmelser om krav på tillstånd för utländska statsfartygs, statsluftfartygs och militära fordons tillträde till svenskt territorium. I den utsträckning som anges i IKFNförordningen ska Försvarsmakten vidare bl.a. medverka vid kontroll av sjöfarten och luftfarten inom svenskt territorium, medverka vid tillsynen av utländskt fiske inom svenskt territorium

Kustbevakningens informationshantering och informationsutbyte Ds 2011:16

och Sveriges ekonomiska zon samt i övrigt på begäran biträda civila myndigheter vid ingripanden mot fartyg eller luftfartyg. Försvarsmaktens ingripanden enligt IKFN-förordningen ligger utanför gränskontrollen, även om verksamheten inbegriper att kontrollera förflyttningar över rikets gränser. Verksamheten kallas i stället tillträdeskontroll. Kustbevakningen samverkar med Försvarsmakten i de fall ingripanden mot utländska statsfartyg enligt IKFN-förordningen sker.

IKFN-förordningen och tillträdesförordningen upphör att gälla om Sverige kommer i krig. Bestämmelserna om gränskontroll upphör däremot inte att gälla. Under sådana förhållanden finns det emellertid ett särskilt behov av att kunna samordna polismyndigheters, Tullverkets, Kustbevakningens och Försvarsmaktens resurser för övervakning av rikets gränser. Samordningen av gränsövervakningen i krig ska då ske i enlighet med bestämmelserna i lagen (1979:1088) och förordningen (1979:1091) om gränsövervakningen i krig m.m. samt enligt föreskrifter som meddelats med stöd av dessa författningar. Regeringen kan också förordna att bestämmelserna om gränsövervakning ska tillämpas när riket är i krigsfara eller om det råder vissa utomordentliga förhållanden föranledda av krig eller krigsfara som riket har befunnit sig i. Enligt 5 § lagen om gränsövervakningen i krig ska gränsövervakningspersonalen tas ut bland polispersonal, annan passkontrollpersonal inom polisväsendet, tullpersonal samt personal ur försvarsmaktens enheter.

Enligt bestämmelsen gäller dock särskilda föreskrifter för Kustbevakningens personal. Dessa föreskrifter finns i förordningen (1982:314) om utnyttjande av Kustbevakningen inom Försvarsmakten. Enligt den förordningen ska under krig personal och materiel ur Kustbevakningen användas för övervakning, transporter och andra uppgifter. Det är Försvarsmakten som står för den kostnad som upparbetas med anledning av verksamhet som utförs med stöd av förordningen.

Skyldigheten att medverka i den samordnade gränsövervakningen utgör en syssla vid sidan av den uppgift som tillkommer vederbörande i den ordinarie befattningen som t.ex. kustbevak-

Ds 2011:16 Kustbevakningens informationshantering och informationsutbyte

ningstjänsteman. Det innebär att den uttagna personalen som huvudregel ska kunna utföra dels de särskilda gränsövervakningsuppgifterna, dels de normala tjänsteåliggandena. En kustbevakningstjänsteman kommer därför att ha kvar vissa befogenheter enligt lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning och vissa andra befogenheter enligt lagen om gränsövervakning vid krig m.m. (1 § andra stycket lagen).

Övriga myndigheter och organisationer

Inom ramen för sitt räddningstjänstuppdrag utbyter Kustbevakningen information med framför allt Myndigheten för samhällsskydd och beredskap, kommunernas räddningstjänst och landstingen, liksom med sjöräddningssällskapet och SOS-alarm. Den information som utbyts avser ofta planering, samordning och övning, men kan vid en pågående räddningstjänst eller sjuktransport också utgöras av information av omedelbar operativ karaktär. Utbytet omfattar emellertid i huvudsak andra uppgifter än personuppgifter.

Vidare har Kustbevakningen ett informationsutbyte med kommunernas miljö- och hälsoskyddsavdelningar eller avdelningar för dricksvattenförsörjning, Naturvårdsverket, Naturskyddsföreningen, Världsnaturfonden, Naturhistoriska riksmuseet och Sjöhistoriska museet, där utbytet huvudsakligen avser andra uppgifter än personuppgifter.

7. En ny lag om behandling av personuppgifter i Kustbevakningens verksamhet

7.1. Behovet av en ny lagstiftning

Förslag: Kustbevakningens personuppgiftsbehandling ska re-

gleras i en ny teknikneutral lag.

De grundläggande principerna för behandling av personuppgifter i Kustbevakningens operativa verksamhet regleras i lagen. Kompletterande bestämmelser meddelas av regeringen eller den myndighet som regeringen bestämmer.

Utredningens förslag: Överensstämmer huvudsakligen med

promemorians.

Remissinstanserna: Har tillstyrkt eller har inget att invända

mot förslaget. TCO har anfört att frågor om övergripande struktur, enskilda myndigheters uppdrag och möjligheterna för olika myndigheter att få tillgång till den information de behöver för att kunna fullgöra sina uppdrag på sikt måste samordnas och beredas ur ett helhetsperspektiv.

Skäl för förslaget

Allmänna utgångspunkter

Sedan många år tillbaka utgör modern informationsteknik en naturlig del av Kustbevakningens verksamhet. Denna utveckling har varit ett led i effektiviseringen av verksamheten och det finns inte någon anledning att anta annat än att behovet av informationsteknik kommer att fortsätta att öka i Kustbevakningens arbete. En väl utnyttjad informationsteknik är av stor betydelse och en förutsättning för myndighetens möjligheter att bedriva

En ny lag om behandling av personuppgifter i Kustbevakningens verksamhet Ds 2011:16

sin verksamhet på ett effektivt sätt. Samtidigt måste informationshanteringen ske med respekt för enskildas integritet.

Efter det att förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen trädde i kraft har den tekniska utvecklingen hastigt fortskridit och antalet personuppgifter som behandlas i Kustbevakningens verksamhet har ökat. Den tekniska utvecklingen och användandet av informationsteknik har medfört att det finns ett behov av en ny författningsreglering som styr Kustbevakningens personuppgiftsbehandling och som inte hindrar den effektivisering av verksamheten som kontinuerligt pågår. Reglerna för behandlingen av personuppgifter bör härvid vara utformade på ett sådant sätt att de underlättar för Kustbevakningen att på ett rationellt sätt använda informationsteknik i sin verksamhet för att möjliggöra för myndigheten att bedriva en effektiv brottsbekämpning samt kontroll- och tillsynsverksamhet m.m. enligt de särskilda föreskrifter som Kustbevakningen har att beakta. Kustbevakningens verksamhet har dessutom alltmer kommit att präglas av samverkan med andra myndigheter och med organisationer, både nationella och internationella, med vilka ett utbyte av personuppgifter behöver ske. Det är därför av vikt att förutsättningar även ges för att underlätta detta informationsutbyte så långt som det är möjligt. Därvid bör särskilt beaktas intresset av att regleringen av behandlingen av personuppgifter inom brottsbekämpande verksamhet blir enhetlig. Från brottsbekämpningssynpunkt är det angeläget att samhällets samlade resurser används rationellt och effektivt. En utgångspunkt för den nya författningsregleringen måste därför vara att, med beaktande av befogade krav på skydd för enskildas integritet, var och en av de brottsbekämpande myndigheterna kan få tillgång till uppgifter från andra brottsbekämpande myndigheter, i den mån uppgifterna behövs där.

När det gäller frågan om hur Kustbevakningens personuppgiftshantering ska regleras på det brottsbekämpande området bör en allmän utgångspunkt vara att den motsvarar vad som gäller polisens brottsbekämpande verksamhet. Detta med hänsyn taget dels till att polisen har huvudansvaret för sådan verksamhet, dels

Ds 2011:16 En ny lag om behandling av personuppgifter i Kustbevakningens verksamhet

för att tillgodose intresset av att regleringen på detta område blir enhetlig. Av särskilt intresse när det kommer till utformningen av en ny författningsreglering, både vad avser dess systematik och innehåll, är därför den polisdatalag (2010:361) som riksdagen har antagit och som kommer att träda i kraft den 1 mars 2012 (se prop. 2009/10:85, bet. 2009/10:JuU19, rskr. 2009/10:255).

Såvitt avser Kustbevakningens verksamhet utöver den brottsbekämpande är de regler som gäller idag i behov av kompletteringar och moderniseringar.

Fortsatt behov av en särskild författningsreglering

I avsnitt 3.3 har redogjorts för de regler som gäller för Kustbevakningen när personuppgifter behandlas. Som där har nämnts gäller förordningen om behandling av personuppgifter i Kustbevakningens verksamhet utöver personuppgiftslagen. Det finns ingen enhetlig systematik bland de registerförfattningar som idag gäller inom skilda myndighetsområden. Vilken systematik som väljs kan vara beroende av olika faktorer, t.ex. hur omfattande regleringen är, vilken verksamhet den avser och om författningen gäller utöver eller i stället för personuppgiftslagen (1998:204).

Personuppgiftslagen gäller generellt för all behandling av personuppgifter, såvida det inte finns avvikande regler i lag eller förordning. I det lagstiftningsärende som föregick personuppgiftslagen uttalade regeringen att lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar (prop. 1997/98:44 s. 40 f.). Sådan författningsreglering, främst i form av s.k. registerlagar, har skett utifrån det principiella ställningstagandet att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör regleras i lag.

Med hänsyn till omfattningen och arten av Kustbevakningens verksamhet, den ingripande myndighetsutövning som ingår i uppgiften samt behovet av att kunna behandla personuppgifter

En ny lag om behandling av personuppgifter i Kustbevakningens verksamhet Ds 2011:16

även av känsligare slag inom främst brottsbekämpningen finns det av såväl effektivitets- som integritetsskyddsskäl alltjämt ett behov av en särskild författningsreglering av behandlingen av personuppgifter i Kustbevakningens verksamhet.

Val av reglering och behovet av en teknikneutral författningsreglering

En viktig fråga är om en ny författningsreglering bör ske i form av lag eller i förordning. I Kustbevakningens verksamhet behandlas en stor mängd uppgifter om enskilda personer i olika register eller datorsystem. Uppgifterna kan i flera fall vara känsliga och det är därför viktigt att de behandlas på ett sådant sätt att vederbörlig hänsyn tas till de registrerades personliga integritet.

Frågor om regleringen av personregister har behandlats av Konstitutionsutskottet, som bl.a. påpekat att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll bör regleras i lag (bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 48), en uppfattning som även regeringen har gett uttryck för i tidigare lagstiftningsärenden (se bl.a. prop. 1990/91:60 s. 58 och 1997/98:44 s. 41). Med hänsyn tagen till arten av den personuppgiftsbehandling som sker i Kustbevakningens verksamhet bör den regleras i lag.

En utgångspunkt vid utformningen av förslag till en lag för personuppgiftsbehandling i Kustbevakningens verksamhet bör vara att skapa en så flexibel och teknikneutral lagstiftning som möjligt. Ingen remissinstans har ifrågasatt denna utgångspunkt. För att åstadkomma detta föreslås i promemorian, i likhet med utredningen, att lagen ska innehålla ramarna och de grundläggande principerna för den automatiserade behandlingen av personuppgifter som förekommer i Kustbevakningens verksamhet. Med en sådan lagstiftning skapas möjligheter bl.a. för en utvecklad och fortsatt samverkan mellan Kustbevakningen och andra myndigheter samtidigt som den personliga integriteten värnas. Vidare måste det ställas höga krav på kontroll och tillsyn av verksamheten, både internt och externt.

Ds 2011:16 En ny lag om behandling av personuppgifter i Kustbevakningens verksamhet

De bestämmelser som bör återfinnas i lagen är främst sådana som anger för vilka ändamål personuppgifter får behandlas, i vilken omfattning andra myndigheter ska tillåtas direktåtkomst, i vilken omfattning uppgifter ska få lämnas ut i elektronisk form, under vilka förutsättningar vissa känsliga uppgifter får behandlas, när uppgifter ska gallras samt vilka rättigheter enskilda har. I vissa fall bör sådana bestämmelser vara ovillkorliga, medan regeringen i andra fall bör kunna medge undantag. Regeringen bör dessutom få möjlighet att meddela vissa kompletterande bestämmelser. Härigenom undviks att detaljregler som kan komma att behöva ändras ofta, t.ex. som en följd av ändrade villkor för verksamheten, måste prövas av riksdagen. Det kan i vissa fall även vara lämpligt att regeringen bemyndigas att delegera rätten att meddela kompletterande föreskrifter av mer formell natur.

Sammanfattningsvis föreslås en ny lag för Kustbevakningens personuppgiftsbehandling i vilken de grundläggande principerna för personuppgiftsbehandling regleras. Regeringen eller den myndighet som regeringen bestämmer bör i vissa fall meddela kompletterande bestämmelser.

En eller flera lagar?

Mot bakgrund av att Kustbevakningen har uppgifter inom flera olika områden (se avsnitt 5) finns det anledning att överväga om Kustbevakningens personuppgiftsbehandling ska regleras i en eller flera lagar. Även om Kustbevakningens olika uppgifter skiljer sig åt innehållsmässigt så är de i den operativa verksamheten integrerade och utförs ofta av samma tjänstemän. Kustbevakningens verksamheter är vidare inte organisatoriskt indelade i självständiga verksamhetsgrenar, på det sätt som är vanligt hos andra myndigheter med olika uppgifter. Det skulle därför försvåra tillämpningen om regleringen av Kustbevakningens personuppgiftsbehandling i myndighetens operativa verksamhet delades upp på flera lagar. Mot den bakgrunden föreslås, i likhet med utredningen, att övervägande skäl talar för att regleringen av Kustbevakningens personuppgiftsbehandling bör omfatta hela Kustbevakningens operativa verksamhet.

En ny lag om behandling av personuppgifter i Kustbevakningens verksamhet Ds 2011:16

När det gäller myndighetens interna administrativa förvaltning, t.ex. lokal- och personalfrågor, kan redan här emellertid nämnas att förslaget innebär att personuppgiftslagens regler är fullt tillräckliga för att hantera behandlingen av personuppgifter. Frågan om lagens tillämpningsområde kommer att behandlas vidare i avsnitt 8.1.

Lagstiftningens systematik och struktur

Kustbevakningen har, som tidigare framgått, ett stort antal uppgifter. Dessa omfattar bl.a. räddningstjänst och fiskerikontroll. Dessutom bedriver myndigheten brottsbekämpande verksamhet. Detta får av nödvändighet konsekvenser för lagens systematik. Inom den brottsbekämpande verksamheten, där särskilt känsliga uppgifter kan komma att behandlas, krävs med hänsyn till skyddet av den personliga integriteten regler som på ett eller annat sätt ytterligare begränsar möjligheten att behandla personuppgifter, än vad som är fallet för den del av Kustbevakningens verksamhet som innefattar sjöövervakning för att övervaka den allmänna ordningen och säkerheten till sjöss, kontroll, tillsyn och räddningstjänst. Det gäller särskilt förutsättningarna för att göra uppgifter gemensamt tillgängliga. Med gemensamt tillgängliga menas att fler än ett fåtal personer har rätt att få ta del av uppgifterna i fråga. Frågan om gemensamt tillgängliga uppgifter kommer att behandlas i avsnitt 8.2.

Kustbevakningen har därutöver även ett särskilt uppdrag att samordna civila behov av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter, en verksamhet som kräver särskild reglering i vissa avseenden.

TCO har menat att det finns frågor gällande bl.a. övergripande struktur som på sikt måste samordnas och beredas ur ett helhetsperspektiv. Genom att den föreslagna lagen i systematik och struktur såvitt avser den brottsbekämpande verksamheten överensstämmer med den nya polisdatalagen, tillgodoses till viss del behovet av den bredare analys som organisationen efterlyser.

Ds 2011:16 En ny lag om behandling av personuppgifter i Kustbevakningens verksamhet

7.2. Lagens syfte och skyddet för den personliga integriteten

Förslag: Syftet med lagen ska vara att ge Kustbevakningen

möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet och att skydda människor mot att deras personliga integritet kränks vid behandlingen.

Utredningen har inte något motsvarande förslag. Remissinstanserna har inte yttrat sig i frågan. Skäl för förslaget: För att Kustbevakningen ska kunna full-

göra sina uppgifter på ett effektivt sätt måste myndigheten ha lagliga förutsättningar att utnyttja en ändamålsenlig informationsteknik som gör det möjligt att samla in och i övrigt behandla stora informationsmängder. Det kan gälla personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet eller personuppgifter som behöver behandlas i annan Kustbevakningens operativa verksamhet. Exempelvis kan det handla om uppgifter om en misstänkt eller en målsägande, eller andra personer vilka kan ha blivit föremål för Kustbevakningens verksamhet med räddningstjänst, kontroll och tillsyn m.m. Kustbevakningen måste därför i olika sorters verksamhet ha möjlighet att registrera och lagra personuppgifter av vitt skilda slag. Uppgifterna måste vid behov kunna tillhandahållas ett större antal personer vid myndigheten på automatiserad väg. Dessutom måste i vissa fall andra myndigheter kunna få tillgång till uppgifter. Uppgifter måste också – inom ramen för det internationella samarbetet – kunna utbytas med myndigheter i andra länder.

En effektiv verksamhet förutsätter alltså att Kustbevakningen har möjlighet att använda sig av en väl fungerande informationsteknik. Detta kan dock innebära en risk för intrång i den personliga integriteten. Sådana intrång måste stå i rimlig proportion till det intresse som ska tillgodoses med behandlingen.

De grundläggande bestämmelserna till skydd för den personliga integriteten finns i regeringsformen (se närmare avsnitt 3.1). Begreppet personlig integritet är inte definierat i vare sig lag eller

En ny lag om behandling av personuppgifter i Kustbevakningens verksamhet Ds 2011:16

annan författning. Ett sätt att beskriva innebörden av detta begrepp är att skilja mellan olika former av handlanden som kan anses kränka den personliga integriteten. Man kan då sortera in handlanden som utgör intrång i integriteten i tre huvudkategorier: 1) intrång i en persons privata sfär, oavsett om det sker i fysisk eller annan mening; 2) insamlandet av uppgifter om en persons privata förhållanden; 3) offentliggörande eller annan användning av uppgifter om en persons privata förhållanden (se Stig Strömholm, SvJT 1971 s. 695 och Individens skyddade personlighetssfär i Om våra rättigheter. Antologi utgiven av Rättsfonden, 1980, samt Integritetsskyddskommitténs betänkande Skyddet för den personliga integriteten. Kartläggning och analys. Del 1 [SOU 2007:22] s. 52 f.). Ett annat sätt att beskriva begreppet är att skilja mellan olika former av integritet med utgångspunkt från bl.a. de grundläggande fri- och rättigheterna i 2 kap. regeringsformen (se t.ex. SOU 1984:54 s. 42). Med denna utgångspunkt utgör regler om dataskydd bestämmelser som tar sikte på den personliga integriteten när det gäller respekten för privatlivet. Bestämmelser om skydd för privatlivet kan sägas vara inriktade på att tillvarata integriteten i ideell mening (se SOU 1992:84 s. 187). Gemensamt för beskrivningarna synes vara att de alla utgår från att en kränkning av integriteten innebär ett oönskat intrång i en fredad sfär som den enskilde bör vara tillförsäkrad (prop. 2005/06:173 s.15 och 2009/10:80 s. 175).

Även om det alltså inte är möjligt att entydigt definiera vad som avses med begreppet personlig integritet torde det stå klart att vissa faktorer är särskilt viktiga att ta hänsyn till när det gäller att bedöma intrånget i den personliga integriteten vid automatiserad behandling av personuppgifter. Det gäller arten av de personuppgifter som samlas in och registreras, för vilka ändamål detta görs, hur och av vem uppgifterna används, hur sökning får ske, hur länge uppgifterna sparas samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar. Stora informationsmängder som är samlade så att uppgifter är enkelt sökbara på elektronisk väg och som används vid myndighets-

Ds 2011:16 En ny lag om behandling av personuppgifter i Kustbevakningens verksamhet

verksamhet medför typiskt sett en risk för att enskilda personer utsätts för intrång i den personliga integriteten.

Rätten till skydd mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen är inte absolut. Som framgår av avsnitt 3.1 får denna rättighet begränsas i lag enligt de förutsättningar som framgår av 2 kap.21 och 22 §§regeringsformen. En begränsning av rätten till skydd mot sådana integritetsintrång får ske endast för att tillgodose ett ändamål som är godtagbart i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Av Europadomstolens praxis följer för övrigt att en liknande proportionalitetsprincip också gäller enligt artikel 8 i Europakonventionen, som reglerar rätten till skydd för privat- och familjeliv.

Med hänvisning till det som sagts ovan måste alltså den närmare utformningen av de nya bestämmelserna föregås av en avvägning mellan å ena sidan intresset av en effektiv verksamhet och å andra sidan intresset av skyddet för den personliga integriteten. Vid den avvägningen finns det anledning att hålla i minnet att de uppgifter som kan bli aktuella för Kustbevakningens verksamhet, framförallt i den brottsbekämpande delen, kan vara särskilt integritetskänsliga, dels därför att de kan peka ut personer såsom misstänkta för brott, dels därför att de inte sällan rör enskildas personliga sfär. För den enskilde kan enbart det förhållandet att omfattande uppgifter om hans eller hennes privata förhållanden kan komma att sammanställas och göras tillgängliga uppfattas som ett allvarligt integritetsintrång.

I 1 § personuppgiftslagen (1998:204) finns en bestämmelse som anger den lagens syfte. Syftet anges vara att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Det finns därför skäl för att även låta den nya lagen om Kustbevakningens personuppgiftsbehandling omfatta en bestämmelse i vilken förtydligas att lagens syfte är att skydda den personliga integriteten. Som nämnts i det föregående finns det emellertid även andra intressen som ska vägas mot detta skydd. Även dessa bedöms väsentliga för den här föreslagna

En ny lag om behandling av personuppgifter i Kustbevakningens verksamhet Ds 2011:16

lagen. Mot denna bakgrund bör i lagförslaget införas en inledande bestämmelse som uttrycker att lagens övergripande syfte är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

I de följande avsnitten kommer det att redovisas närmare hur behovet av att kunna behandla vissa uppgifter lämpligen bör vägas mot intresset av skyddet för den personliga integriteten.

8. Allmänna bestämmelser

8.1. Lagens tillämpningsområde

Förslag: Lagen ska gälla vid behandling av personuppgifter i

Kustbevakningens verksamhet som rör

1. brottsbekämpning,

2. övrig sjöövervakning,

3. räddningstjänst,

4. samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation, och

5. internationellt samarbete om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Avvikande bestämmelser om behandling av personuppgifter i lagen (2000:343) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen ska gälla i stället för Kustbevakningsdatalagen.

Lagen ska till viss del omfatta bestämmelser om behandling av uppgifter om juridiska personer.

Utredningens förslag: Överensstämmer huvudsakligen med

promemorians. Emellertid innehåller inte förslaget någon hänvisning till lagen (2000:343) om internationellt polisiärt samarbete.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt

eller har inget att invända mot förslaget. Kalmar tingsrätt har anfört att man för att åstadkomma en konsekvent lagstiftning även för juridiska personer bör överväga att låta juridiska personer få samma reglering som fysiska personer när det gäller reglerna om rättelse och information till den registrerade. Eftersom avsikten uppenbarligen varit att även juridiska personer ska ha

Allmänna bestämmelser Ds 2011:16

rätt att få rättelse i registret borde detta framgå av lagen. Även informationsskyldigheten framstår enligt tingsrätten som en väsentlig del av regelsystemet också för juridiska personer. Rikspolisstyrelsen har invänt mot att vissa bestämmelser i lagen ska vara tillämpliga även vid behandling av uppgifter om juridiska personer och anför att det kan finnas en risk för negativa konsekvenser för den brottsbekämpande verksamheten om förslaget genomförs, varför frågan bör utredas närmare.

Skäl för förslaget

Kustbevakningens verksamhet

Som framgår av avsnitt 5 består Kustbevakningens verksamhet främst av sjöövervakning och räddningstjänst. Dessutom finns, som vid alla myndigheter, en intern administrativ verksamhet.

Enligt 1 § förordningen (2007:853) med instruktion för Kustbevakningen har myndigheten till uppgift att bedriva sjöövervakning och utföra räddningstjänst till sjöss. Kustbevakningen ska också ha förmåga att förebygga, motstå och hantera krissituationer inom sitt ansvarsområde. Verksamheten bedrivs inom Sveriges sjöterritorium och ekonomiska zon samt på land i anslutning till dessa vatten. Med sjöövervakning avses att ansvara för eller bistå andra myndigheter med övervakning, brottsbekämpande verksamhet samt kontroll och tillsyn enligt vad som närmare anges i förordningen. Att utreda och besluta i vattenföroreningsärenden ingår t.ex. i denna verksamhet. Enligt bestämmelsen har Kustbevakningen vidare till särskild uppgift att samordna de civila behoven av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter. Kustbevakningen ska också delta i internationellt samarbete inom sitt verksamhetsområde.

Samtliga dessa Kustbevakningens verksamhetsområden innehåller uppgifter som främst är av operativ karaktär. Detta talar för att den verksamhet som nämns i förordningens 1 § bör omfattas av den nya lagens tillämpningsområde. Emellertid förutsätter ett sådant förslag att det verkligen utförs personuppgiftsbehandling i all den verksamhet som nämns i bestämmelsen. Så är

Ds 2011:16 Allmänna bestämmelser

emellertid inte fallet när det gäller Kustbevakningens uppgift att ha förmåga att förebygga, motstå och hantera krissituationer inom sitt ansvarsområde. Detta uppdrag ger uttryck för Kustbevakningens ansvar att dimensionera verksamheten för att ha förmågan att vidta åtgärder i en uppkommen krissituation. Någon personuppgiftsbehandling bör således inte förekomma här, utan sker i stället inom ramen för Kustbevakningens andra verksamheter.

Mot bakgrund av ovanstående föreslås och vad som sagts i avsnitt 7.1 att lagens tillämpningsområde ska omfatta Kustbevakningens brottsbekämpande verksamhet och övrig sjöövervakning, räddningstjänst, samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation samt internationellt samarbete. I avsnitten 9 och 13 lämnas förslag till bestämmelser om för vilka ändamål som personuppgifter får behandlas. Då dessa ändamål föreslås korrespondera med det föreslagna tilllämpningsområdet för lagen, lämnas den närmare beskrivningen av vad som omfattas av lagens tillämpningsområde i de avsnitten.

Utanför lagens tillämpningsområde bör, som tidigare konstaterats i avsnitt 7.1, behandling av personuppgifter i samband med de interna och administrativa åtgärder som kan förekomma i Kustbevakningens verksamhet falla. Som exempel på administrativa arbetsområden kan nämnas personal- och lokalfrågor. Förslaget innebär att bestämmelserna i personuppgiftslagen (1998:204) är tillräckliga för att kunna hantera behandlingen av personuppgifter i den administrativa verksamheten.

Behandling som omfattas

Den nya lagen om behandling av personuppgifter i Kustbevakningens verksamhet bör gälla för sådan behandling som omfattas av personuppgiftslagen (1998:204). Härmed avses behandling av personuppgifter som är helt eller delvis automatiserad samt annan behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Allmänna bestämmelser Ds 2011:16

Med personuppgifter avses enligt personuppgiftslagen all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det innebär att behandling av uppgifter om juridiska personer och avlidna inte omfattas av lagen. Kustbevakningen behandlar i sin verksamhet stora mängder uppgifter som rör andra än levande fysiska personer, t.ex. uppgifter om företag, myndigheter och andra organisationer. Även om juridiska personer inte har samma behov av integritetsskydd som fysiska personer bör vissa grundläggande bestämmelser tilllämpas även på juridiska personer. En av orsakerna till detta är att det kan vara svårt att i den elektroniska hanteringen skilja uppgifter om juridiska personer från uppgifter om fysiska personer som är ägare av eller ställföreträdare för dessa. Även lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och polisdatalagen (2010:361) är delvis tillämpliga på behandling av uppgifter om juridiska personer och det finns mot bakgrund av vad som nyss sagts och av intresset av enhetlighet inte anledning att ytterligare utreda frågan, så som Rikspolisstyrelsen har föreslagit.

Det föreslås därför att även juridiska personer ska omfattas av de bestämmelser i lagen om behandling av uppgifter i Kustbevakningens verksamhet som reglerar personuppgiftsansvar, tilllåtna ändamål för behandlingen, tillgången till personuppgifter, bevarande och gallring samt vissa bestämmelser om gemensamt tillgängliga uppgifter i verksamheten. Starka verksamhetsskäl talar dock för att undanta juridiska personer från bestämmelserna om sökbegränsningar. Den frågan tas upp i avsnitt 10.3.

Syftet med förslaget är emellertid inte att juridiska personer ska få samma ställning som fysiska personer i förhållande till den personuppgiftsansvarige. Personuppgiftslagens bestämmelser om information och rättelse bör inte, som föreslås av Kalmar tingsrätt, tillämpas för juridiska personer (se vidare avsnitt 8.5). Så är inte heller fallet enligt lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet eller polisdatalagen. Det ligger dock naturligtvis i Kustbevakningens eget intresse att de uppgifter som behandlas är riktiga.

Ds 2011:16 Allmänna bestämmelser

Undantag från lagens tillämpningsområde

I den nya polisdatalagen anges att den lagen inte omfattar personuppgiftsbehandling som bl.a. sker med stöd av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister eller lagen (2010:362) om polisens allmänna spaningsregister. Orsaken till det, är att dessa lagar har väl avgränsade tillämpningsområden när det gäller behandling av personuppgifter som gäller i stället för polisdatalagen. Regeringen uttalar i förarbetena till lagen att det inte har framkommit att det finns några påtagliga tillämpningssvårigheter eller problem med en fortsatt särreglering. Regeringen påpekar även att polisdatalagen inte heller omfattar personuppgiftsbehandling som sker med stöd av dessa författningar (prop. 2009/10:85 s. 76).

Det är Rikspolisstyrelsen som med hjälp av automatiserad behandling för de register som undantagits från polisdatalagens tillämpningsområde enligt ovan. Det är även Rikspolisstyrelsen som i dessa fall är personuppgiftsansvarig för hanteringen. När Kustbevakningen behandlar uppgifter som myndigheten har fått från dessa register blir Kustbevakningens regler om behandling av personuppgifter tillämpliga. Det finns därför inte skäl att i en lag om Kustbevakningens personuppgiftsbehandling införa undantag för de författningar som räknas upp i polisdatalagen.

Det finns även andra register som innehåller personuppgifter vilka Kustbevakningen har tillgång till, t.ex. register som förs med stöd av förordningen (1997:903) om register över förelägganden av ordningsbot. På de föregående nämnda skälen finns ingen anledning att föreslå att någon annan lagstiftning som rör nationella register ska undantas från den nya lagens tillämpningsområde.

I avsnitt 3.5.3 har redogjorts för Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, det s.k. Prümrådsbeslutet. Där framgår att Kustbevakningen i viss utsträckning berörs av det brottsbekämpande samarbete som

Allmänna bestämmelser Ds 2011:16

behandlas i rådsbeslutet. På vilket sätt framgår närmare av 3 kap. förordningen (2010:305) om internationellt polisiärt samarbete. Kustbevakningen ska bl.a. delta i informationsutbyte med utländsk myndighet vid större evenemang.

I promemorian Genomförandet av delar av Prümrådsbeslutet (Ds 2009:8) föreslås att rådsbeslutets bestämmelser om personuppgiftsbehandling i huvudsak ska genomföras i lagen (2000:343) om internationellt polisiärt samarbete med tillhörande förordning. Det föreslås också att det ska införas en bestämmelse i polisdatalagen som hänvisar till att det finns särskilda bestämmelser om personuppgiftsbehandling i dessa författningar. De bestämmelser som framförallt berör Kustbevakningen har redan genomförts i förordningen (2010:705) om internationellt polisiärt samarbete. Den nu föreslagna lagen om personuppgiftsbehandling i Kustbevakningens verksamhet uppfyller kraven i de allmänna dataskyddsbestämmelserna i rådsbeslutet. För att tydliggöra förhållandet mellan denna lag och bestämmelserna om personuppgiftsbehandling i lagen och förordningen om internationellt polisiärt samarbete föreslås att det i lagen om personuppgiftsbehandling i Kustbevakningens verksamhet införs en bestämmelse som hänvisar till att det finns särskilda bestämmelser om personuppgiftsbehandling i dessa författningar. Bestämmelsen bör huvudsakligen utformas i enlighet med det förslag som har lämnats för polisens verksamhet.

8.2. Behandling av gemensamt tillgängliga uppgifter

Förslag: I stället för bestämmelser om register och databaser

ska den nya lagen innehålla särskilda bestämmelser om behandling av uppgifter som görs eller har gjorts gemensamt tillgängliga i Kustbevakningens verksamhet. Bestämmelserna ska framförallt reglera sådan behandling av uppgifter som sker i för verksamheten gemensamma uppgiftssamlingar.

Ds 2011:16 Allmänna bestämmelser

Behandling som utförs av en enskild tjänsteman, eller inom en begränsad grupp personer, t.ex. genom vanlig ordbehandling eller e-postkommunikation mellan ett fåtal tjänstemän, ska inte omfattas av dessa bestämmelser.

Utredningens förslag: Överensstämmer huvudsakligen med

promemorians.

Remissinstanserna: Justitiekanslern har anfört att det på de av

utredningen anförda skälen i och för sig finns visst fog för att avstå från att använda begreppet databas, men att det med hänsyn till att detta begrepp används i annan likartad lagstiftning som reglerar behandling av personuppgifter i offentlig verksamhet även bör användas i förevarande fall. Det torde vara lämpligt att, liksom nu är fallet, benämna databasen kustbevakningsdatabasen. Justitiekanslern har vidare anfört att om begreppet databas ersätts av uttrycket gemensamt tillgänglig bör motsvarande ändring göras i andra författningar som reglerar behandling av personuppgifter i offentlig verksamhet, eftersom i möjligaste mån centrala begrepp bör användas på ett enhetligt sätt i författningar. Enligt Justitiekanslern bör det däremot inte i lagstiftningen läggas fast vilka uppgiftssamlingar för gemensam användning som ska finnas i Kustbevakningens verksamhet. Det bör sålunda inte föreskrivas att Kustbevakningen ska ha en kustbevakningsdatabas. I stället bör det, liksom nu gäller enligt 11 § förordningen om behandling av personuppgifter inom Kustbevakningen, framgå att det får finnas en sådan databas.

Tullverket har anfört att flera problem har uppstått vid tolkningen av vad som är ett register respektive vad som ska ingå i tullbrottsdatabasen. Även det av utredningen föreslagna uttrycket ”gemensamt tillgängliga” är ett begrepp som måste tolkas. I lagstiftningen finns inte någon definition av begreppet gemensamt tillgänglig. Väljer lagstiftaren att anta ”gemensamt tillgänglig” bör man även använda sig av detta begrepp i annan registerlagstiftning.

Allmänna bestämmelser Ds 2011:16

Kustbevakningen har tillstyrkt utredningens förslag att i stället för begreppen register eller databas använda uttrycket gemensamt tillgängliga.

Skatteverket har framfört att förslaget att lämna begreppet ”databas” och övergå till begreppet ”gemensamt tillgänglig” innebär ett avsteg från att samordna och likforma olika registerlagstiftningar. Begreppet databas har sedan det infördes fått genomslag i de regelsystem som hanterar behandling av personuppgifter i förekommande registerförfattningar. Begreppet är dessutom rent språkligt lätt att hantera. Införandet av ett nytt begrepp, ”gemensamt tillgänglig”, kan enligt Skatteverkets uppfattning ifrågasättas mot bakgrund av att ett av syftena med den nu föreslagna lagen är att skapa en enhetlig systematik och enhetliga begrepp i de olika registerförfattningarna.

Verva har ifrågasatt förslaget att frångå databasbegreppet, framförallt mot bakgrund av att ett särskilt syfte med författningsförslagen anges vara att göra regleringen av personuppgifter inom den brottsbekämpande verksamheten mer enhetlig. I lagen om Tullverkets uppgiftsbehandling hänvisas till Tullbrottsdatabasen. I nu föreslagen lag menar utredningen att begreppet databas är för tekniskt och svårförståeligt och istället föreslås begreppet uppgifter som är gemensamt tillgängliga. Det förefaller dock vara lämpligare att införa nya begrepp i ett bredare sammanhang än i samband med en enskild registerlag.

Skäl för förslaget

Begreppet gemensamt tillgängliga uppgifter

Den nya lagen kommer att gälla för all automatiserad behandling av personuppgifter i Kustbevakningens operativa verksamhet. Detta innebär att inte bara uppgifter som behandlas i för verksamheten gemensamma uppgiftssamlingar, t.ex. register eller ärendehanteringssystem, ska omfattas utan även sådan behandling som utförs av en enskild eller begränsad grupp personer, t.ex. vanlig ordbehandling och e-postkommunikation. Som framhållits i andra lagstiftningsärenden är risken för otillbörliga intrång i den personliga integriteten större när personuppgifter

Ds 2011:16 Allmänna bestämmelser

används av flera gemensamt i verksamheten än när behandlingen sker av en enskild tjänsteman vid den egna datorn utan att någon annan har åtkomst till uppgifterna. Även i tidigare lagstiftningsarbeten när det gäller reglering av behandling av personuppgifter i offentlig verksamhet har en åtskillnad gjorts mellan sådan behandling som avser uppgifter som är gemensamt tillgängliga i verksamheten och sådan behandling där uppgifterna endast är tillgängliga för en enskild eller en begränsad grupp av tjänstemän. Därför är det nödvändigt att införa särskilda och mer begränsande regler för behandling av uppgifter som används av eller i vart fall är tillgängliga för fler än ett fåtal personer.

Frågan är då hur man bör avgränsa den personuppgiftsbehandling för vilken mer begränsande regler är nödvändiga.

I tidigare lagstiftning om personuppgiftsbehandling har begreppen register och databas använts för att definiera uppgifter som har gjorts tillgängliga för en större krets. Till respektive register har sedan knutits regler om åtkomst, sökmöjligheter m.m. Registerbegreppet har dock kritiserats, bland annat därför att det har en teknisk anknytning och därför att dagens datasystem normalt inte byggs som traditionella register. Också begreppet databas har en stark teknisk anknytning och leder tanken till ett visst, i tekniskt avseende avgränsat, informationssystem. Detta är inte ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan t.ex. införas helt ostrukturerat och oorganiserat i olika filer för olika sammanställningar m.m.

Som en följd av detta bör den nya regleringen inte bygga på att behandlingen av personuppgifter sker i olika slag av register eller databaser utan i stället ges en mera generell utformning. Regleringen bör vara teknikneutral. Ett tänkbart alternativ är att skapa särskilda begränsande regler för personuppgiftsbehandling som avser ”samlingar av uppgifter” eller ”uppgiftssamlingar”. Beteckningen uppgiftssamling används i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Denna verksamhet skiljer sig dock i många avseenden från den som bedrivs av Kustbevakningen. Begreppet uppgiftssamling är därför inte helt

Allmänna bestämmelser Ds 2011:16

ändamålsenligt, bl.a. därför att det kan ge intryck av att det finns i förväg definierade och avgränsade uppgiftssamlingar för all behandling av personuppgifter i Kustbevakningens operativa verksamhet, trots att så inte är fallet. Eftersom den nya regleringen ska omfatta all automatiserad behandling bör ett annat begrepp väljas.

Utredningen har i stället för databas, register eller uppgiftssamling föreslagit uttrycket gemensamt tillgängliga uppgifter för att uttrycka samma sak. Flera remissinstanser har ifrågasatt förslaget med hänsyn till behovet av att lagstiftning som reglerar personuppgiftsbehandling inom offentlig verksamhet så långt möjligt bör vara likartad. Det finns visst fog för denna uppfattning. I dag finns inte någon gemensam terminologi på området. Som beskrivits ovan används numera begreppen register, databas respektive uppgiftssamling för att benämna likartade företeelser. För polisen kommer begreppet gemensamt tillgängliga uppgifter att användas. Bedömningen görs att strävan efter likhet i regleringen bör ta sig det uttrycket att lagstiftningen för Kustbevakningens del utformas i enlighet med vad som har beslutats för polisen, dvs. att begreppet gemensamt tillgängliga uppgifter etableras (prop. 2009/10:85 s. 124 f.).

Lagförslaget bör följaktligen innehålla särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i den verksamhet vid Kustbevakningen som omfattas av lagen. Med den formuleringen görs det klart att det viktiga inte är var eller med vilken metod uppgiften rent tekniskt är lagrad eller behandlas, utan om ett flertal personer har möjlighet att ta del av uppgiften.

Gränsdragningen mellan behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga och annan behandling

Det ligger i sakens natur att det inte är enkelt att dra en tydlig gräns mellan uppgifter som är gemensamt tillgängliga och andra uppgifter. I det följande anges dock några principer som bör ligga till grund för gränsdragningen när det gäller behandlingen av personuppgifter i Kustbevakningens verksamhet.

Ds 2011:16 Allmänna bestämmelser

En grundläggande förutsättning för att personuppgifter ska anses vara gemensamt tillgängliga bör vara att de kan användas gemensamt av flera, dvs. att fler än en person har åtkomst till uppgifterna. Uppgifter som endast ett fåtal personer har rätt att ta del av bör dock inte anses som gemensamt tillgängliga. Att en uppgift ”är tillgänglig” för en viss person bör förstås så att personen har såväl faktisk möjlighet att ta del av uppgiften som rättslig behörighet till det. Det bör däremot inte spela någon roll hur många som faktiskt tar del av de aktuella uppgifterna. Det bör inte heller spela någon roll om den som har tillgång till uppgiften kan påverka den eller bara läsa den.

Det här innebär till att börja med att uppgifter blir att anse som gemensamt tillgängliga om behandlingen sker för att en obestämd krets – t.ex. hela Kustbevakningen eller en viss mindre organisationsenhet inom myndigheten – ska kunna ta del av uppgifterna. Också andra uppgifter som är tillgängliga för en mer begränsad men i förväg obestämd krets av personer bör, som huvudregel, anses gemensamt tillgängliga. Överhuvudtaget kommer begreppet ”gemensamt tillgängliga uppgifter” att täcka inte enbart register i traditionell bemärkelse utan alla uppgiftssamlingar i Kustbevakningens verksamhet, avsedda för en obestämd krets av personer.

Vidare bör uppgifter vara att anse som gemensamt tillgängliga även i vissa fall när den personkrets som har tillgång till uppgifterna är bestämd och avgränsad. Om uppgifterna är tillgängliga för ett stort antal bestämda personer, bör de således anses vara gemensamt tillgängliga. Personuppgifter som behandlas i t.ex. brottsbekämpande verksamhet eller kontrollverksamhet som involverar ett flertal tjänstemän som gemensamt behandlar viss information bör alltså regelmässigt anses som gemensamt tillgängliga. Uppgifter bör dock inte anses som gemensamt tillgängliga enbart därför att två eller flera personer har tillgång till dem. Kan man redan från början konstatera att uppgifterna endast kommer att vara tillgängliga för en avgränsad krets av en handfull personer, bör uppgifterna inte anses som gemensamt tillgängliga. De integritetsskyddsintressen som motiverar särskilda

Allmänna bestämmelser Ds 2011:16

regler för gemensamt tillgängliga uppgifter gör sig inte lika starkt gällande när bara ett fåtal personer har tillgång till uppgifterna.

En förutsättning för att uppgifterna inte ska anses vara gemensamt tillgängliga måste dock vara att kretsen omfattar endast ett litet antal personer. Så kan vara fallet t.ex. med ett mindre underrättelseprojekt. Om projektet enbart engagerar en avgränsad krets, bestående av ett fåtal på förhand utpekade personer eller funktioner, bör de uppgifter som behandlas inom ramen för projektet normalt inte betraktas som gemensamt tillgängliga. Så snart det är fråga om mer än ett fåtal personer som har tillgång till uppgifterna bör utgångspunkten vara den motsatta. Det bör inte i lag anges någon exakt gräns för antalet personer. Emellertid kan det vara lämpligt att ange en tumregel. I prop. 2009/10:185 s. 129 f. har regeringen, då det gäller polisens verksamhet, bedömt att uppgifter anses som gemensamt tillgängliga när fler än ett tiotal personer har tillgång till dem. Samma bedömning kan göras ifråga om den verksamhet som Kustbevakningen bedriver.

När det talas om en bestämd krets bör detta inte uppfattas som att det alltid från början måste kunna anges exakt vilka tjänstemän eller vilken krets av tjänstemän som avses få tillgång till uppgifterna. Bedömningen blir naturligtvis enklare om man på förhand vet att endast ett fåtal respektive en större krets kommer att behandla uppgifterna. Även i de fall där detta inte står klart från början kan man oftast av arbetsuppgiftens art och storlek sluta sig till om uppgifterna sannolikt kommer att behandlas av ett fåtal tjänstemän eller av en större krets.

I viss utsträckning kan tidsaspekten ha betydelse för om uppgifter ska anses vara gemensamt tillgängliga eller inte. En del verksamhet, främst underrättelseverksamhet inom ramen för brottsbekämpningen, leder inte alltid till ett bestämt avslut av ett visst konkret ärende. Ett underrättelseprojekt har inte sällan en obestämd varaktighet och kan därför komma att löpa över en längre tid. Som exempel kan nämnas projekt riktade mot narkotikasmuggling via vissa hamnar. Det ligger i sakens natur att i sådana långvariga projekt kan den personal som sysslar med pro-

Ds 2011:16 Allmänna bestämmelser

jektet komma att bytas ut under arbetets gång. Även om tanken från början har varit att endast en liten avgränsad krets ska syssla med projektet, är det därför långtifrån alltid möjligt att upprätthålla det kravet. Underrättelsematerial som tas fram i ett sådant projekt bör därför också anses som gemensamt tillgängliga uppgifter. Motsvarande bör i princip gälla andra typer av uppgifter som behandlas för att användas under en längre tid.

Givetvis bör detta inte gälla undantagslöst. Om en enskild tjänsteman gör sammanställningar av olika slag för eget bruk, bör detta inte göra att uppgifterna anses vara gemensamt tillgängliga, även om han eller hon har för avsikt använda dem under längre tid. I författningskommentaren berörs den närmare avgränsningen mellan gemensamt tillgängliga och icke gemensamt tillgängliga uppgifter.

Det är emellertid inte bara antalet personer som har tillgång till uppgifterna som är av betydelse. Från integritetssynpunkt har det också betydelse om uppgifterna stannar inom Kustbevakningen eller om de sprids till andra myndigheter. I det senare fallet har Kustbevakningen inte längre någon kontroll över hur uppgifterna används. Kustbevakningen bör kunna samarbeta med andra myndigheter och inom ramen för sådant samarbete behandla personuppgifter i gemensamma projekt. Bland annat för att möjliggöra ett sådant samarbete behandlas frågan om direktåtkomst för andra myndigheter till uppgifter som har gjorts gemensamt tillgängliga i Kustbevakningens verksamhet i avsnitt 11.3.3 gällande den brottsbekämpande verksamheten och avsnitt 13.5 gällande Kustbevakningens övriga verksamhet.

8.3. Den nya lagen och personuppgiftslagen

8.3.1. Förhållandet till personuppgiftslagen

Förslag: Lagen ska gälla i stället för personuppgiftslagen. I la-

gen hänvisas till de bestämmelser i personuppgiftslagen som

Allmänna bestämmelser Ds 2011:16

ska gälla vid behandling av personuppgifter i Kustbevakningens verksamheten.

Utredningens förslag: Överensstämmer i huvudsak med

promemorians förslag.

Remissinstanserna har tillstyrkt eller har inte haft något att

invända mot promemorians förslag.

Skäl för förslaget

Hänvisning till personuppgiftslagen

Personuppgiftslagen (1998:204) är generellt tillämplig på all behandling av personuppgifter och gäller därför för Kustbevakningens personuppgiftsbehandling, om det inte finns avvikande bestämmelser i lag eller förordning. Som framgått i avsnitt 7.1 behövs det även fortsättningsvis avvikande bestämmelser för Kustbevakningens behandling av personuppgifter i myndighetens operativa verksamhet. Det innebär att det i den lag som nu föreslås finns bestämmelser som avviker från personuppgiftslagen vad avser personuppgiftsbehandling inom Kustbevakningen.

Genom personuppgiftslagens ikraftträdande genomfördes Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet omfattar emellertid inte behandling av personuppgifter som utförs på området för statens brottsbekämpande verksamhet. I sammanhanget bör dock påpekas att direktivet i huvudsak bygger på och vidareutvecklar de bestämmelser som finns i Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Konventionen gäller även i statens brottsbekämpande verksamhet. Sverige är folkrättsligt bundet av konventionen och dess tilläggsprotokoll. Vidare bör beaktas att dataskyddsrambeslutet, som ska genomföras i svensk rätt, i stora delar liknar dataskyddsdirektivet (se avsnitt 3.5.1). Trots att EG:s dataskyddsdirektiv formellt inte är

Ds 2011:16 Allmänna bestämmelser

tillämpligt i fråga om behandling av personuppgifter i den brottsbekämpande verksamheten bör en reglering som avviker från de grundläggande reglerna i personuppgiftslagen införas bara om det finns goda skäl för det. Systematiska skäl talar också för att den nya regleringen bör ansluta till personuppgiftslagen. Det är således önskvärt att de bestämmelser till skydd för enskilds integritet som uppställs i personuppgiftslagen så långt som möjligt tillämpas även vid personuppgiftsbehandling inom Kustbevakningens verksamhet.

Med hänvisning till det som sagts ovan bör personuppgiftslagens bestämmelser i väsentliga delar även gälla i Kustbevakningens verksamhet. I denna verksamhet finns emellertid – som tidigare har nämnts – särskilda behov av bestämmelser som avviker från lagen.

Härvid uppstår frågan om hur man ska hantera de bestämmelser som inte ska avvika från personuppgiftslagens regler. I tidigare lagstiftningsärenden har olika lösningar valts. En modell har varit att i den författning som reglerar behandling av personuppgifter i viss verksamhet över huvud taget inte nämna personuppgiftslagen. Då personuppgiftslagen gäller om inte det i en annan lag eller förordning finns avvikande bestämmelser innebär det att personuppgiftslagens bestämmelser fått gälla (jfr 2 § personuppgiftslagen). En liknande modell, som ger samma effekt, är att i den särskilda författningen ange att den gäller utöver personuppgiftslagen. Den modellen användes i den nu gällande polisdatalagen (1998:622). Nackdelen med lösningar av detta slag är att det kan vara svårt att överblicka vilka bestämmelser i personuppgiftslagen som är tillämpliga.

En annan variant är att lagen är heltäckande och upprepar de bestämmelser i personuppgiftslagen som är tillämpliga. En sådan lösning gäller för personuppgiftsbehandling hos Försvarsmakten och Försvarets radioanstalt, se lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet (prop. 2006/07:46).

Allmänna bestämmelser Ds 2011:16

Fördelen med en sådan lösning är att tillämparen snabbt får klart för sig vilka bestämmelser som gäller utan att behöva gå till personuppgiftslagen. En nackdel är dock att det i viss mån blir fråga om en dubbelreglering, eftersom personuppgiftslagens regler ändå gäller om inget annat anges. Dessutom innebär även mindre ändringar i personuppgiftslagen att motsvarande justeringar måste göras i den särskilda lagen. Beroende av vilket område lagen avser att reglera kan denna dessutom komma att bli onödigt omfattande.

Ytterligare en lösning har valts i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och den nya polisdatalagen (2010:361). Lagarna innehåller, utöver de bestämmelser som avviker från personuppgiftslagen, en hänvisning till de lagrum i personuppgiftslagen som ska vara tilllämpliga. Fördelarna med en sådan koppling till personuppgiftslagen är att lagstiftningen blir mer överskådlig och lättillämpad jämfört med om inga hänvisningar görs till personuppgiftslagen. Samtidigt undviks en omfattande dubbelreglering.

Utvecklingen går mot ökat samarbete mellan de brottsbekämpande myndigheterna. Det ligger ett värde i att använda samma lagstiftningsteknik för all behandling av personuppgifter inom den brottsbekämpande verksamheten, oavsett vilken myndighet det gäller. Den brottsbekämpande verksamheten är den del av Kustbevakningens verksamhet som omfattas av den nya lagen där likhet med övriga myndigheters reglering är mest angelägen. Förslaget innebär därför att samma lagstiftningsteknik väljs för Kustbevakningen, som i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och den nya polisdatalagen. Det lagförslag som rör Kustbevakningens personuppgiftsbehandling bör med andra ord gälla i stället för personuppgiftslagen och innehålla tydliga hänvisningar till tillämpliga lagrum i den lagen.

Ds 2011:16 Allmänna bestämmelser

8.3.2. Tillämpliga bestämmelser i personuppgiftslagen

Förslag: Följande bestämmelser i personuppgiftslagen ska vara

tillämpliga vid behandling av personuppgifter i Kustbevakningens verksamhet:

– definitioner (3 §), – förhållandet till offentlighetsprincipen (8 §), – grundläggande krav på behandlingen av personuppgifter (9 §), dock med undantag för paragrafens första stycke i) och tredje stycket,

– behandling av personnummer och samordningsnummer (22 §),

– information till den registrerade (23 och 25–27 §§), – rättelse (28 §), – säkerheten vid behandling (30 och 31 §§ samt 32 § första stycket),

– överföring av personuppgifter till tredjeland (33–35 §§), – personuppgiftsombudets uppgifter m.m. (38–41 §§), – upplysningar till allmänheten om vissa behandlingar (42 §), – tillsynsmyndighetens befogenheter (43 och 44 §§, 45 § första stycket samt 47 §),

– skadestånd (48 §), och – överklagande (51 § första stycket, 52 § första stycket och 53 §).

Bestämmelserna i 8 § andra stycket personuppgiftslagen ska dock inte tillämpas om personuppgifter ska gallras enligt bestämmelser i den nya lagen eller enligt föreskrifter som meddelats i anslutning till lagen.

Bestämmelserna om informationsskyldighet i 23 § personuppgiftslagen behöver inte tillämpas om uppgifterna samlas in

1. genom bild- eller ljudupptagning eller

2. i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.

Tillsynsmyndigheten ska inte kunna förena ett förbud att utföra viss behandling med vite.

Bedömning: Straffbestämmelsen i 49 § personuppgiftslagen

bör inte vara tillämplig.

Allmänna bestämmelser Ds 2011:16

Utredningens förslag: Överensstämmer i huvudsak med

promemorians förslag men skiljer sig från detta beträffande bl.a. tillämpligheten av vissa av de grundläggande kraven på behandling, behandling av personnummer och bestämmelserna om informationsskyldighet.

Remissinstanserna: Har tillstyrkt eller har inte haft något att

invända mot förslaget.

Skäl för förslaget

Nedan redovisas de bestämmelser i personuppgiftslagen som föreslås vara tillämpliga vid behandling av personuppgifter i Kustbevakningens verksamhet. Övriga bestämmelser i personuppgiftslagen är därmed antingen inte tillämpliga på det område som ska omfattas av den nya lagen eller föreslås ersättas av bestämmelser i denna.

Definitioner (3 §)

I 3 § personuppgiftslagen definieras vissa begrepp som är centrala vid behandling av personuppgifter. Där definieras t.ex. vad personuppgifter är (”All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.”) och vad som utgör behandling av personuppgifter (”Varje åtgärd eller serie åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning och annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.”). Det saknas anledning att definiera begrepp som förekommer i den föreslagna lagen på något annat sätt än i 3 § personuppgiftslagen. En hänvisning till 3 § personuppgiftslagen bör därför tas in i det lagförslag som föreslås här.

Ds 2011:16 Allmänna bestämmelser

Förhållandet till offentlighetsprincipen (8 §)

I 8 § första stycket personuppgiftslagen erinras om att personuppgiftslagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen, som reglerar allmänna handlingars offentlighet. Bestämmelsen är en ren upplysning och markering av offentlighetsprincipens företräde.

I paragrafens andra stycke anges att bestämmelserna inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

I klargörande syfte föreslås att en hänvisning till bestämmelserna i 8 § personuppgiftslagen tas in i lagförslaget. Det bör dock tydliggöras att bestämmelserna i 8 § andra stycket inte är tilllämpliga när uppgifter ska gallras enligt särskilda bestämmelser i den nya lagen. Utgallrade uppgifter bör bl.a. inte få bevaras i ett digitalt arkiv och vara åtkomliga för arkivändamål. Sådant bevarande kommer att vara tillåtet endast om det meddelas föreskrifter med undantag från den nya lagens gallringsbestämmelser som tillåter ett bevarande.

Grundläggande krav på behandlingen av personuppgifter (9 §)

Några av personuppgiftslagens viktigaste bestämmelser om behandling av personuppgifter finns i 9 §. Där uppställs vissa grundläggande krav på den personuppgiftsansvarige. I första stycket a) och b) anges att den personuppgiftsansvarige ska se till att personuppgifter endast behandlas om det är lagligt och att personuppgifter alltid ska behandlas på ett korrekt sätt och i enlighet med god sed. Enligt e)–h) ska den ansvarige se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än vad som är nödvändigt, att de personuppgifter som behandlas är riktiga och om nödvändigt aktuella samt att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.

Allmänna bestämmelser Ds 2011:16

Det är naturligt att dessa krav tillämpas även vid behandling av personuppgifter i Kustbevakningens verksamhet. Den här föreslagna lagen bör därför hänvisa till 9 § första stycket a), b) och

e) – h) personuppgiftslagen.

I 9 § första stycket c) anges att personuppgifter får samlas in bara för särskilda, uttryckligt angivna ändamål och i punkten d) att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Förslaget innehåller framöver uttryckligt angivna ändamål för vilka personuppgiftsbehandling i Kustbevakningens verksamhet ska få ske. För att tydliggöra att personuppgifter endast får samlas in för sådana preciserade ändamål bör det därför tas in en hänvisning till 9 § första stycket c) personuppgiftslagen i lagförslaget.

Punkten d) ger uttryck för den s.k. finalitetsprincipen. Den personuppgiftsansvarige bör liksom för närvarande ha till uppgift att tillse att uppgifter inte behandlas för ändamål som är oförenliga med insamlingsändamålet. Det finns därför skäl att göra en hänvisning även till 9 § första stycket d) personuppgiftslagen.

I 9 § första stycket i) och tredje stycket personuppgiftslagen finns bestämmelser om hur länge uppgifter får bevaras. Frågan om gallring och bevarande av uppgifter bör regleras särskilt i den nya lagen och någon hänvisning till personuppgiftslagens bestämmelser om hur länge uppgifter får bevaras behövs därför inte.

Frågor om bevarande och gallring behandlas i avsnitt 15.

Behandling av personnummer och samordningsnummer (22 §)

I 22 § personuppgiftslagen föreskrivs att uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Personnummer eller samordningsnummer bör således inte användas av ren slentrian. Bestämmelserna innebär att den personuppgiftsansvarige måste göra en intresseavvägning. Tyngden av de skäl som talar för att behandlingen av personnummer eller samordningsnummer är påkallad måste således vägas mot beho-

Ds 2011:16 Allmänna bestämmelser

vet av skydd för den personliga integriteten. Principen bör gälla även vid behandling av personuppgifter i Kustbevakningens arbete. Av integritetsskäl kan det många gånger vara nödvändigt att använda personnummer med hänsyn till den större säkerhet för en riktig identifiering som detta innebär.

Sammanfattningsvis bör en hänvisning även till 22 § personuppgiftslagen ske i det lagförslaget som läggs fram här.

Information till den registrerade (23 och 25–27 §)

Av 23 § personuppgiftslagen framgår att den personuppgiftsansvarige självmant ska informera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som lämnas är enligt 25 § uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen samt övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Information ska också, enligt 26 § personuppgiftslagen, lämnas på begäran av den registrerade. Om uppgifter behandlas ska information lämnas om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Information behöver dock inte lämnas om personuppgifter i löpande text som inte har fått sin slutliga utformning när ansökan gjordes, eller som utgör minnesanteckning eller liknande, under förutsättning att uppgifterna inte har lämnats ut till tredje man. För information eller begäran av en registrerad gäller särskilda bestämmelser. Rätten till information gäller enligt 27 § personuppgiftslagen inte om det i lag eller annan författning, eller i beslut som har meddelats med stöd av författning, särskilt föreskrivits att uppgifter inte får lämnas ut till den registrerade. Information behöver alltså inte lämnas ut om sådana förhållanden för vilka sekretess gäller.

Dessa bestämmelser utgör i allt väsentligt en lämplig avvägning mellan den enskildes intresse av att få information om vilken behandling som sker av uppgifter om denne och Kustbevak-

Allmänna bestämmelser Ds 2011:16

ningens intresse av effektivitet i verksamheten. En hänvisning till bestämmelserna bör därför införas i lagförslaget. Det bör dock övervägas om det i det lagförslag som lämnas i denna promemoria behövs undantag från informationsskyldigheten för viss insamling av uppgifter som t.ex. insamling genom bild och ljud och insamling i samband med larm.

I sin operativa verksamhet bedriver Kustbevakningen bl.a. spaning med Kustbevakningsflyget. I samband med det görs insamling genom bild och ljud, t.ex. filmning av oljeutsläpp från fartyg. I en sådan situation framstår det inte bara som orimligt utan också som praktiskt ogörligt att informera den person eller de personer som kan tänkas fångas på bild om att deras personuppgifter behandlas. Värdet av sådan information kan också ifrågasättas. Mot denna bakgrund bör det inte krävas att Kustbevakningen tillämpar 23 § personuppgiftslagen vid insamling av personuppgifter genom bild och ljud.

När det kommer till undantag gällande insamling av uppgifter vid larm konstateras följande. Av Datainspektionens allmänna råd om information till registrerade enligt personuppgiftslagen framgår att information enligt 23 § personuppgiftslagen bör lämnas muntligen när personuppgifter samlas in vid telefonkontakt eller annan muntlig kontakt. I praktiken uppstår emellertid inte sällan svårigheter att lämna information om behandlingen till den som ringer upp i avsikt att larma eller lämna en motsvarande brådskande underrättelse som kräver omedelbar åtgärd. Både med hänsyn till risken för försening av den åtgärd som efterfrågas i det enskilda fallet och till risken för negativa konsekvenser i stort för den verksamhet som bedrivs är det inte rimligt att kräva att det alltid lämnas information i samband med larm. Såsom utredningen gjort kan det också ifrågasättas om personen i fråga som larmar över huvud taget är intresserad av att i den aktuella situationen få information om att lämnade personuppgifter kan komma att behandlas automatiserat. Vidare torde alla som vänder sig till en myndighet i en sådan situation redan känna till att uppgifter registreras i någon form av automatiserat register. Den registrerade får därmed antas känna till vem den per-

Ds 2011:16 Allmänna bestämmelser

sonuppgiftsansvarige är och ändamålen med behandlingen. Information föreslås därför inte behöva lämnas vid larm om det med hänsyn till omständigheterna inte finns tid att lämna informationen. Detta bör klart framgå av den föreslagna lagen. Bedömningen av om information ska lämnas bör göras från fall till fall.

Rättelse (28 §)

I 28 § personuppgiftslagen anges att den personuppgiftsansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte behandlats i enlighet med personuppgiftslagens bestämmelser. När en personuppgiftsansvarig rättar en personuppgift, ska underrättelse lämnas till tredje man som har fått del av uppgiften, om den registrerade begär det eller om mer betydande skada eller olägenhet därigenom kan undvikas. Sådan underrättelse behöver dock inte lämnas om det visar sig vara omöjligt eller om det skulle innebära en oproportionerligt stor arbetsinsats.

Det är viktigt att personuppgifter som behandlats felaktigt hos en myndighet rättas så att intrång i den personliga integriteten kan begränsas. Bedömningen av om en uppgift har behandlats på ett felaktigt sätt måste göras mot bakgrund av de bestämmelser som gäller för behandlingen, oavsett om det är grundläggande regler i personuppgiftslagen eller specialbestämmelser som gäller för Kustbevakningen. Förslaget innebär därför att bestämmelserna i 28 § personuppgiftslagen ska tillämpas vid behandling av personuppgifter i Kustbevakningens verksamhet.

Säkerheten vid behandling (30–32 §§)

I 3032 §§personuppgiftslagen finns regler om hur den personuppgiftsansvarige ska organisera arbetet med behandling av personuppgifter för att garantera säkerheten. Det rör sig om instruktioner till personalen samt tekniska och organisatoriska åtgärder. Dessa bestämmelser ska vara tillämpliga i Kustbevakningens verksamhet, vilket innebär att det måste finnas bestämda rutiner för hanteringen av personuppgifter. Det kan t.ex. behö-

Allmänna bestämmelser Ds 2011:16

vas såväl tekniska lösningar för datorsystemen som olika behörighetsnivåer för skilda personalkategorier, för att garantera att regleringen i den föreslagna lagen kan efterlevas.

Med hänsyn till att tillsynsmyndigheten inte bör ha möjlighet att förena förbud med vite (se nedan under rubriken Tillsynsmyndighetens befogenheter) bör någon hänvisning till 32 § andra stycket personuppgiftslagen inte göras i den föreslagna lagen.

Överföring av personuppgifter till tredjeland (33–35 §§)

Personuppgifter som är under behandling får enligt 33 § personuppgiftslagen inte föras över till tredjeland, dvs. en stat som inte ingår i EU eller är ansluten till Europeiska ekonomiska samarbetsområdet (EES) om inte det mottagande landet har en adekvat nivå för skyddet av personuppgifter. Från förbudet finns vissa undantag i 34 §, bl.a. för överföring till länder som har anslutit sig till dataskyddskonventionen. Enligt 35 § har regeringen också möjlighet att föreskriva ytterligare undantag från förbudet, bl.a. om det behövs med hänsyn till ett viktigt allmänt intresse. I dataskyddsdirektivets ingresspunkt 58 nämns utbyte av uppgifter mellan bl.a. tullmyndigheter och skattemyndigheter som ett sådant viktigt intresse och i 3 § förordningen (2000:1222) om internationellt tullsamarbete, som också är tillämplig på Kustbevakningen, finns en bestämmelse om undantag från 33 § personuppgiftslagen.

Förbudet mot överföring till tredjeland som inte har tillräckliga skyddsnivåer, och de undantag från förbudet som föreskrivs, bör vara tillämpliga även på behandling enligt den här föreslagna lagstiftningen.

Upplysningar till allmänheten, personuppgiftsombudets uppgifter m.m. (38–42 §§)

Automatiserade behandlingar av personuppgifter ska enligt 36 § första stycket personuppgiftslagen anmälas till tillsynsmyndigheten (Datainspektionen). Anmälan behöver dock enligt 3 § personuppgiftsförordningen (1998:1191) inte göras för behandling-

Ds 2011:16 Allmänna bestämmelser

ar som regleras genom särskilda föreskrifter i lag eller förordning. Det finns därför inte någon anledning att ställa krav på anmälningsskyldighet för behandlingar som utförs med stöd av den föreslagna lagen. Någon hänvisning till 36 § första stycket personuppgiftslagen behövs således inte införas i lagförslaget.

Den personuppgiftsansvarige kan enligt 36 § andra personuppgiftslagen utse ett personuppgiftsombud. Om ett sådant ombud utses, ska bestämmelserna om ombudets skyldigheter i 3840 §§personuppgiftslagen tillämpas. I personuppgiftsombudets skyldigheter ingår bl.a. att se till att behandlingen av personuppgifter sker på ett lagligt sätt och att hjälpa registrerade att få rättelse. Den personuppgiftsansvarige ska anmäla ombudet hos Datainspektionen. Även entledigande ska anmälas hos inspektionen. I avsnitt 8.5 föreslås en särskild bestämmelse om skyldighet för Kustbevakningen att utse personuppgiftsombud och att anmäla till Datainspektionen när ett sådant ombud utses och entledigas. Någon hänvisning till 36 § andra stycket behövs därför inte. Lagförslaget bör dock hänvisa till 3840 §§personuppgiftslagen där ombudets skyldigheter regleras.

Regeringen har enligt 41 § personuppgiftslagen möjlighet att föreskriva att vissa särskilt känsliga behandlingar ska anmälas till Datainspektionen för förhandskontroll. Denna möjlighet bör regeringen även ha i fråga om sådana behandlingar som utförs i Kustbevakningen. Lagförslaget bör därför innehålla en hänvisning till denna paragraf.

Enligt 42 § personuppgiftslagen ska den personuppgiftsansvarige, till den som begär det, lämna upplysningar om de behandlingar av personuppgifter som utförs och som inte har anmälts till Datainspektionen. Det är från integritetssynpunkt viktigt att den enskilde på ett snabbt och enkelt sätt kan få besked av Kustbevakningen om vilka behandlingar som utförs även för sådana fall då den behandling som utförs inte omfattas av någon anmälningsskyldighet till Datainspektionen. En hänvisning till 42 § personuppgiftslagen bör återfinnas i lagförslaget.

Allmänna bestämmelser Ds 2011:16

Tillsynsmyndighetens befogenheter (43–45 och 47 §§)

För att kunna säkerställa att personuppgifter behandlas på ett korrekt sätt har Datainspektionen vissa befogenheter gentemot personuppgiftsansvariga. Datainspektionens befogenheter i förhållande till Kustbevakningen regleras idag i personuppgiftslagen och personuppgiftsförordningen (1998:1191) Det är rimligt att Datainspektionen fortsättningsvis i stort sett har samma befogenheter vid tillsyn över Kustbevakningens personuppgiftsbehandling i myndighetens verksamhet.

Enligt 43 § personuppgiftslagen har Datainspektionen möjlighet att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler. Lagförslaget bör innehålla en hänvisning till paragrafen.

Om Datainspektionen inte efter en begäran enligt 43 § personuppgiftslagen får tillräckligt underlag för att konstatera att personuppgiftsbehandlingen är laglig, får myndigheten med stöd av 44 § vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än att lagra dem. Beträffande myndigheters personuppgiftsbehandling har man valt olika lösningar när det gäller Datainspektionens möjlighet att meddela sådana förbud. En sådan möjlighet finns exempelvis inte enligt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och inte heller enligt lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Däremot har Datainspektionen möjlighet att meddela sådana förbud enligt lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar. Den ordningen har också valts i den nya polisdatalagen (2010:361); 2 kap. 2 § polisdatalagen och prop. 2009/10:85 s. 89 f.

När det gäller frågan om Datainspektionen bör ha rätt att förbjuda behandling av personuppgifter i Kustbevakningens verksamhet kan det inledningsvis konstateras att det idag inte finns någon enhetlig lösning. Utredningen har inte föreslagit att Datainspektionen ska ha denna möjlighet. Kustbevakningen behand-

Ds 2011:16 Allmänna bestämmelser

lar visserligen personuppgifter i betydligt mer begränsad utsträckning än polisen, men det finns ett värde i att regleringen av personuppgiftsbehandlingen är likartad när det gäller myndigheter med brottsbekämpande uppgifter. Förutsättningarna för behandlingen av personuppgifter i den brottsbekämpande verksamheten – där riskerna för den personliga integriteten är störst – föreslås också motsvara dem som gäller för polisens del. Några direkta nackdelar med att införa en sådan ordning också för Kustbevakningens del är svåra att se. Detta talar för att Datainspektionen bör kunna förbjuda viss behandling, om det någon gång skulle inträffa att inspektionen inte får tillgång till tillräckligt underlag för att kunna bedöma personuppgiftsbehandlingen. En hänvisning föreslås därför göras också till 44 §.

När det sedan gäller möjligheten för Datainspektionen att förena ett ovan diskuterat förbud med vite har regeringen i flera propositioner valt att inte ge Datainspektionen någon sådan möjlighet. Detta har motiverats med att regler om vite inte bör tillämpas i förhållandet mellan statliga myndigheter (prop. 2004/05:164 s. 544 och 2006/07:46 s. 105). Det finns inte någon anledning att här frångå denna uppfattning. Ett förbud enligt 44 § föreslås således inte förenas med vite.

Lagförslaget bör vidare innehålla en hänvisning till 45 § första stycket. Där anges att Datainspektionen, om den konstaterar att personuppgifter behandlas felaktigt, ska försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden. Om det inte går att få till stånd rättelse, eller om saken är brådskande, får Datainspektionen förbjuda behandlingen. Det torde visserligen, som utredningen har framhållit, vara självklart att Datainspektionen vidtar de åtgärder som är rimliga för att få till stånd rättelse när eventuella brister i Kustbevakningens hantering av personuppgifter upptäcks. Det är emellertid inte någon nackdel att det uttryckligen i lagförslaget framgår att Datainspektionen har detta ansvar. Bestämmelsen bör därför finnas i lagförslaget. Däremot bör någon hänvisning till paragrafens andra stycke eller till 46 §, som båda behandlar frågor om vite, inte göras.

Allmänna bestämmelser Ds 2011:16

Enligt 47 § personuppgiftslagen har Datainspektionen rätt att hos allmän förvaltningsdomstol ansöka om att sådana uppgifter som har behandlats på ett olagligt sätt ska utplånas. Bestämmelsen har sin grund i artikel 28.3 i dataskyddsdirektivet. Där anges att varje nationell tillsynsmyndighet ska ha särskild befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. Även denna bestämmelse föreslås vara tillämplig vi behandling av uppgifter enligt här föreslagen lag. En hänvisning till bestämmelsen bör alltså tas in i lagförslaget.

Skadestånd (48 §)

Enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat.

Det bör finnas en rätt till skadestånd vid skada och kränkning som uppstår när uppgifter behandlas i strid med den nya lagen. En hänvisning till 48 § personuppgiftslagen bör därför tas in i lagförslaget.

Straff (49 §)

Utredningen har bedömt att det inte föreligger något behov av en hänvisning till 49 § personuppgiftslagen i vilken föreskrivs straffansvar för överträdelse av olika bestämmelser i personuppgiftslagen. Lagrådet har i ett tidigare lagstiftningsärende (prop. 2000/01:33 s. 346) ansett att bestämmelsen enligt legalitetsprincipen inte kan ges motsvarande tillämpning på bestämmelser som avviker från personuppgiftslagen och som har tagits in i särlagstiftning. Paragrafen kan alltså inte ges en generell tillämpning på de regler som förs in i lagförslaget. Däremot skulle i och för sig en hänvisning kunna tas in med innebörd att straffbestämmelserna i personuppgiftslagen ska gälla i de delar som personuppgiftslagen ska tillämpas. En sådan ordning kan vid en första anblick förefalla naturlig. Emellertid framhålls att behandlingen

Ds 2011:16 Allmänna bestämmelser

av personuppgifter enligt lagförslaget kommer att utföras av personer som är anställda vid en statlig myndighet och därför omfattas av bestämmelserna om tjänstefel m.m. i brottsbalken. Det föreligger därför inte något behov av en hänvisning till 49 § personuppgiftslagen. Det kan tilläggas att samma bedömning gjordes vid tillkomsten av lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (prop. 2004/05:164 s. 55) och den nya polisdatalagen (prop. 2009/10:85 s. 91).

Överklagande (51–53 §§)

I 51 § första stycket personuppgiftslagen föreskrivs att Datainspektionens beslut enligt lagen om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol. Förslaget om att Datainspektionen ska kunna meddela förbud enligt 44 § eller 45 §personuppgiftslagen innebär att en hänvisning bör göras till 51 § första stycket.

Enligt 51 § andra stycket får tillsynsmyndigheten bestämma att dess beslut ska gälla även om det överklagas. Det är svårt att se något egentligt praktiskt behov av en sådan möjlighet när det gäller Kustbevakningens personuppgiftsbehandling. Datainspektionen bör inte ges möjlighet att meddela interimistiska beslut. Förslaget innebär att hänvisningen endast bör avse första stycket i paragrafen.

I personuppgiftslagen har sedan utredningen lämnade sitt betänkande införts nya bestämmelser om överklagande. En myndighets beslut om information, rättelse och underrättelse till tredje man om rättelseåtgärder, information om automatiserade beslut och allmänna upplysningar om pågående behandlingar får, enligt 52 § personuppgiftslagen, överklagas hos allmän förvaltningsdomstol. Andra beslut enligt personuppgiftslagen får enligt 53 § inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten. I förarbetena till dessa bestämmelser (prop. 2005/06:173 s. 53) uttalade regeringen att det efter införandet av en bestämmelse om överklagande i personuppgiftslagen inte är nödvändigt att ta in några överklagandebestämmelser i särskilda registerförfattningar, som hänvisar till personuppgiftslagen. I

Allmänna bestämmelser Ds 2011:16

konsekvens med detta bör den föreslagna lagen inte innehålla någon särskild bestämmelse om överklagande utan i stället enbart hänvisa till personuppgiftslagens bestämmelser om överklagande.

8.4. Tillgången till personuppgifter

Förslag: Tillgången till personuppgifter ska alltid begränsas

till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om tillgången till personuppgifter.

Utredningens förslag: Överensstämmer huvudsakligen med

promemorians. Utredningens förslag innehåller dock ingen upplysning om att regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om tillgången till personuppgifter.

Remissinstanserna: Har tillstyrkt eller har inte haft något att

invända mot förslaget.

Skäl för förslaget: Stora informationsmängder som är samla-

de så att uppgifter är enkelt sökbara på elektronisk väg utgör allmänt sett en betydande risk för intrång i den personliga integriteten. Risken för integritetsintrång är givetvis särskilt stor om det – såsom ofta är fallet i brottsbekämpande verksamhet – rör sig om känsliga uppgifter. Risken påverkas bl.a. av hur uppgifterna sprids och vem som har rätt att använda dem. Lagförslaget bör därför bygga på principen att enbart de som behöver uppgifterna för att fullgöra sitt arbete ska ha tillgång till dem. En bestämmelse med denna innebörd bör tas in i lagförslaget. Bestämmelsen bör omfatta både direkt tillgång till automatiserade uppgiftssamlingar och tillgång i allmänhet. Kustbevakningen ska således organisera sin verksamhet på ett sådant sätt att obefogad spridning av personuppgifter motverkas. Bestämmelsen får också

Ds 2011:16 Allmänna bestämmelser

till följd att enskilda tjänstemän blir förhindrade att lämna uppgifterna vidare till den som inte behöver dem för sitt arbete.

Modern teknik gör det enklare att organisera verksamheten så att tillgången till uppgifter som behandlas automatiserat begränsas på ett lämpligt sätt. Detta bör beaktas vid utvecklingen av framtida datasystem inom Kustbevakningen.

En enskilds tjänstemans åtkomst till personuppgifter (behörighet) kan knytas till viss information i stället för till olika register. Därmed kan tillgången till information om en person eller uppgifter knutna till en person begränsas med utgångspunkt från tjänstemannens arbetsuppgifter. De mest känsliga uppgifterna kommer med en sådan ordning att lättare kunna avgränsas och omges av extra integritets- och säkerhetsskydd. Vidare kommer kunskapen om och kontrollen av varje tjänstemans informationstillgång att öka. På förhand bestämda behörigheter som avgör tillgången till uppgifter kan utarbetas. Behörigheterna kan vidare anpassas till olika befattningshavares behov med hänsyn till tjänstenivå och arbetsuppgifter.

Den föreslagna bestämmelsen om tillgång till personuppgifter innebär en generell begränsning av åtkomsten till uppgifter för att förhindra att tjänstemän får tillgång till mer information än vad de behöver för att kunna fullgöra sina arbetsuppgifter. Det är därefter Kustbevakningens uppgift att, utifrån myndighetens organisation och struktur, säkerställa att åtkomsten till personuppgifter begränsas i enlighet med bestämmelsen. För att kunna säkerställa detta finns behov av närmare föreskrifter på området. Det bör därför föras in en bestämmelse i lagförslaget, som upplyser om att regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om tillgången till personuppgifter.

Frågor om direktåtkomst och bemyndiganden kopplade till sådan åtkomst kommer att behandlas i avsnitten 11.3 och 13.5.

Allmänna bestämmelser Ds 2011:16

8.5. Personuppgiftsansvaret och personuppgiftsombud

Förslag: Kustbevakningen ska vara personuppgiftsansvarig

för den behandling av personuppgifter som myndigheten utför.

Kustbevakningen ska vid sidan av personuppgiftsansvaret även ha ansvar för att uppgifter om juridiska personer behandlas i enlighet med de grundläggande bestämmelserna i lagstiftningen.

Kustbevakningen ska utse ett eller flera personuppgiftsombud. Detta – liksom entledigande av personuppgiftsombud – ska anmälas till tillsynsmyndigheten.

Utredningens förslag: Överensstämmer i huvudsak med

promemorians men skiljer sig från detta dels beträffande personuppgiftsansvaret för mottagande myndighet vid direktåtkomst, dels beträffande förslaget om att Kustbevakningen ska utse ett eller flera personuppgiftsombud.

Remissinstanserna: Har tillstyrkt eller har inte haft något att

invända mot förslaget.

Skäl för förslaget: Enligt 3 § personuppgiftslagen (1998:204)

är det den personuppgiftsansvarige som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

I registerförfattningar är det vanligt att man tydligt pekar ut vem som är ansvarig för den behandling av uppgifter som regleras i respektive författning. I 8 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen anges Kustbevakningen som personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Det föreslås att denna ordning även fortsättningsvis ska gälla. Personuppgiftsansvaret bör med andra ord utformas så, att Kustbevakningen ansvarar för den behandling av personuppgifter som Kustbevakningen utför. På det sättet markeras att det finns ett ansvar för att utförd behandling är korrekt.

Ds 2011:16 Allmänna bestämmelser

Med personuppgiftsansvaret följer en rad skyldigheter. Den personuppgiftsansvarige ska bl.a. se till att behandlingen av uppgifter sker på ett korrekt och säkert sätt, att information lämnas till den registrerade och att uppgifter gallras i rätt tid.

Ansvaret för uppgifter om juridiska personer

Begreppet personuppgifter avser endast uppgifter om levande fysiska personer. Det innebär att personuppgiftslagen (1998:204) inte är tillämplig för juridiska personer.

Den lag som föreslås bör emellertid i vissa delar vara tillämplig även på behandling av uppgifter om juridiska personer (se avsnitt 8.1). Kustbevakningen bör även ha ett visst ansvar för uppgifter om juridiska personer, dvs. sådana uppgifter som inte utgör personuppgifter. Ansvaret innebär motsvarande skyldigheter som personuppgiftsansvaret i fråga om de krav som lagen ställer på behandling av uppgifter om juridiska personer. Dit hör att uppgifterna endast får behandlas för tillåtna ändamål och ska gallras i rätt tid. Även ansvaret för att de krav som ställs upp för behandling av uppgifter i Kustbevakningens verksamhet uppfylls, gäller för behandling av uppgifter gentemot juridiska personer. Däremot bör bestämmelserna om enskildas rättigheter inte vara tillämpliga, vilket innebär att Kustbevakningens ansvar gentemot juridiska personer inte omfattar skyldighet att lämna information eller rätta uppgifter enligt personuppgiftslagen. Förslaget överensstämmer med vad som gäller för Tullverkets verksamhet (jfr lagen [2005:787] om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, lagen [2001:185] om behandling av uppgifter i Tullverkets verksamhet och prop. 2004/05:164 s. 58). Tilläggas ska att någon bestämmelse om skyldighet att lämna information och rätta uppgifter inte kommer att gälla för polisens verksamhet, 1 kap. 3 § polisdatalagen (2010:361).

Personuppgiftsombud

Regleringen i 36 § andra stycket personuppgiftslagen ger myndigheten valfrihet när det gäller frågan om personuppgiftsombud

Allmänna bestämmelser Ds 2011:16

ska utses. Behandlingen av personuppgifter i Kustbevakningens verksamhet, framförallt i den brottsbekämpande verksamheten, rör i stor utsträckning uppgifter som får anses integritetskänsliga, vilket gör det särskilt angeläget med den kontroll som kan utövas av ett personuppgiftsombud. Det är också viktigt att enskilda registrerade enkelt kan vända sig till rätt person hos myndigheterna bl.a. i frågor om information om behandlingen och om rättelse av felaktiga uppgifter. Förslaget medför att skyldigheten att utse ett personuppgiftsombud ska framgå direkt av lagförslaget. Det kan anmärkas att motsvarande reglering finns i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet (prop. 2006/07:46 s. 98) samt i polisdatalagen (2010:361), (prop. 2009/10:85 s. 93).

Personuppgiftsansvaret hos andra myndigheter som har direktåtkomst till uppgifter

Utredningen har föreslagit att det i den nya lagen förs in en uttrycklig bestämmelse om att en myndighet som har direktåtkomst till uppgifter som behandlas enligt den föreslagna lagen ska ha personuppgiftsansvaret för att åtkomsten till uppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Enligt 8 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen är det Kustbevakningens som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Motsvarande reglering återfinns t.ex. i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och den nya polisdatalagen (2010:361). Med andra ord pekar dessa registerlagstift-

Ds 2011:16 Allmänna bestämmelser

ningar endast ut den egna myndigheten som personuppgiftsansvarig.

Det får anses vara en etablerad princip att den myndighet som samlar in och lagrar personuppgifter endast är personuppgiftsansvarig för den behandling som myndigheten själv utför. Om samma uppgift lämnas ut till en annan myndighet, genom direktåtkomst eller på annat sätt, blir den mottagande myndigheten personuppgiftsansvarig för den fortsatta behandlingen av uppgiften hos den myndigheten. När uppgifter lämnas ut till olika myndigheter kan alltså personuppgiftsansvaret ligga hos flera myndigheter. Var och en av dessa ansvarar då för den egna behandlingen. Mot den bakgrunden finns inte skäl att föreslå en sådan bestämmelse som utredningen har fört fram.

8.6. Behandling av uppgifter för diarieföring

Förslag: Utöver för de särskilda ändamål som anges i lagen

ska personuppgifter alltid få behandlas om behandlingen är nödvändig för diarieföring eller om uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Utredningens förslag: Innehåller inte någon motsvarande

bestämmelse.

Remissinstanserna har inte yttrat sig i frågan. Skäl för förslaget: I följande kapitel redovisas för vilka ända-

mål det föreslås att personuppgifter ska få behandlas i Kustbevakningens verksamhet. Bestämmelserna kommer att ge Kustbevakningen möjlighet att behandla uppgifter som behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller för att utreda eller beivra brott. De kommer också att ge möjlighet att behandla personuppgifter i bl.a. kontroll- och tillsynsverksamhet, räddningstjänsten, samordning av civil sjöövervakning och förmedling av civil sjöinformation samt internationellt samarbete. Dessa ändamål täcker hela Kustbevakningens operativa

Allmänna bestämmelser Ds 2011:16

verksamhet. De kommer dock inte med nödvändighet att ge stöd för behandling av alla de personuppgifter som kan komma in till Kustbevakningen i form av anmälningar, tips och meddelanden av olika slag. Kustbevakningen tar emot stora mängder av information av vitt skilda slag, ibland i elektronisk form. En del av denna information lämnas vidare för åtgärder inom ramen för brottsbekämpande eller annan operativ verksamhet, men den kan inte alltid anses behövlig för sådan verksamhet. Behandlingen av uppgifterna kommer i sådana fall inte att ligga inom ramen för de primära ändamål som diskuteras i det följande.

De inkommande uppgifterna kan utgöra en del av en allmän handling i tryckfrihetsförordningens mening. Enligt 5 kap. 1 § offentlighets- och sekretesslagen (2009:400) gäller som huvudregel att allmänna handlingar som kommit in eller upprättats hos myndigheten ska registreras, dvs. diarieföras, så snart som möjligt. Syftet med bestämmelsen är bl.a. att garantera allmänhetens rätt att få tillgång till allmänna handlingar. I 5 kap. 2 § offentlighets- och sekretesslagen uppställs vissa minimikrav beträffande uppgifterna i ett register. När en handling registreras ska det av registret framgå (1) datum då handlingen kom in eller upprättades, (2) diarienummer eller annan beteckning handlingen fått vid registreringen, (3) i förekommande fall från vem handlingen har kommit in eller till vem den har expedierats samt (4) i korthet vad handlingen rör. Utgångspunkten är att dessa uppgifter ska vara tillgängliga för allmänheten. Uppgifterna under punkterna 3 och 4 får utelämnas eller särskiljas, om det behövs för att registret i övriga delar ska kunna företes för allmänheten.

Vid sidan av skyldigheten att registrera allmänna handlingar ska enligt 5 § andra stycket förvaltningslagen (1986:223) en myndighet se till att det är möjligt för enskilda att kontakta myndigheten med hjälp av bl.a. e-post och att svar kan lämnas på samma sätt.

När en personuppgift kommer in till en myndighet, t.ex. i ett e-postmeddelande, kan det många gånger vara svårt att avgöra för vilket ändamål, om något, som det finns behov av att behandla uppgiften. I den mån personuppgiften utgör en del av en all-

Ds 2011:16 Allmänna bestämmelser

män handling måste den ändå utan dröjsmål kunna behandlas för diarieföring. Därutöver måste myndigheten alltid kunna leva upp till de krav på kommunikation med enskilda som ställs i förvaltningslagen. Det måste alltså finnas en möjlighet att ta emot och diarieföra personuppgifter i elektronisk form, liksom att behandla dem i det ärende som handlingen föranleder, oavsett om myndigheten anser att personuppgifterna behövs eller inte.

Utredningen har inte föreslagit någon bestämmelse som reglerar detta förhållande. En sådan bestämmelse finns dock numera för polisens del i den myndighetens brottsbekämpande verksamhet, 2 kap. 9 § polisdatalagen, (prop. 2009/10:85 s. 111 f.).

Även om Kustbevakningen mottar färre uppgifter av nu aktuellt slag än polisen görs bedömningen att det finns ett behov av en bestämmelse som säkerställer att myndigheten alltid kan diarieföra allmänna handlingar och vidta sådana åtgärder som har nämnts i det föregående. Det föreslås därför att en bestämmelse införs av vilken det framgår att personuppgifter alltid ska få behandlas dels om behandlingen är nödvändig för diarieföring, dels om uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Förslagets syftet med den nu aktuella ändamålsbestämmelsen är inte att möjliggöra behandling av personuppgifter i Kustbevakningens verksamhet i sig. Det är i stället fråga om en särreglering som tar sikte på sådan behandling av personuppgifter som inte ryms inom lagens ändamålsbestämmelser men som Kustbevakningen ändå måste kunna utföra, dels för att hantera inkommande handlingar, dels för att tillgodose tryckfrihetsförordningens krav på allmänhetens tillgång till allmänna handlingar.

8.7. Behandling av känsliga personuppgifter

Förslag: Uppgifter om en person ska inte få behandlas enbart

på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska överty-

Allmänna bestämmelser Ds 2011:16

gelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Uppgifter om en person som behandlas på annan grund ska dock få kompletteras med känsliga personuppgifter, om det är absolut nödvändigt för syftet med behandlingen. Känsliga personuppgifter ska också få behandlas, om detta är nödvändigt för diarieföring eller om uppgifterna har lämnats till Kustbevakningen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Utredningens förslag: Överensstämmer i huvudsak med

promemorians.

Remissinstanserna: Flera remissinstanser har tillstyrkt eller

har inte haft något att invända mot förslaget. Lunds universitet har ifrågasatt behovet av en bestämmelse om att personers utseende ska beskrivas objektivt eftersom regeringsformens bestämmelser om objektivitet och saklighet gäller också för Kustbevakningen. Vidare har universitetet ifrågasatt om inte kravet bör gälla alla personuppgifter i registren. Formuleringen föreslås därför utgå.

Skäl för förslaget: I lagstiftning om behandling av person-

uppgifter har känsliga personuppgifter en särställning. Enligt 13 § personuppgiftslagen (1998:204) är det i princip förbjudet att behandla känsliga personuppgifter utan enskildas samtycke. Med känsliga personuppgifter avses uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Om sådana uppgifter måste behandlas i offentlig verksamhet utan samtycke, behövs det särskilda och avvikande bestämmelser för i vilka fall detta får göras.

I 9 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen finns en avvikande bestämmelse som handlar om känsliga personuppgifter. Av bestämmelsen, som definierar känsliga personuppgifter på samma sätt som i 13 § personuppgiftslagen, framgår även att om uppgifter om en

Ds 2011:16 Allmänna bestämmelser

person redan behandlas på annan grund, får dessa kompletteras med känsliga personuppgifter, om det är oundgängligen nödvändigt för syftet med behandlingen.

Kustbevakningen bör ha samma möjligheter som idag att registrera och på annat sätt behandla känsliga personuppgifter i verksamheten. I denna promemoria föreslås därför, i likhet med utredningen, att det i lagförslaget ska finnas en bestämmelse av vilken framgår att uppgifter om en person inte ska få behandlas enbart på grund av vad som är känt om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Det innebär t.ex. att det inte är tillåtet att i Kustbevakningens verksamhet föra register över, eller på annat sätt göra anteckningar om, enskilda personer enbart på den grunden att de tillhör en viss etnisk grupp.

Såvitt avser begreppet ras poängteras följande. Riksdagen har uttalat att det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och ur biologisk synpunkt följaktligen heller ingen grund för att använda ordet ras om människor. Användningen av ordet ras i författningstexter riskerar enligt riksdagen att underblåsa fördomar. Riksdagen har dock, med anledning av ett krav i en motion, konstaterat att den inte har möjlighet att besluta att ordet ska utmönstras ur all lagstiftning, eftersom det så gott som uteslutande används i författningar som grundas på internationella överenskommelser eller författningar som genomför EG-direktiv (bet. 1997/98:KU29 s. 7). Användningen av ordet ras har även kritiserats i propositionen till den nya diskrimineringslagen (prop. 2007/08:95 s. 117). I propositionen ”En reformerad grundlag” (prop. 2009/10:80) föreslog regeringen att begreppet ras utmönstras ur regeringsformen. Riksdagen har antagit förslaget (se avsnitt 3.1). Det har emellertid inte varit möjligt att i detta lagförslag utmönstra ordet ras och därmed ändra den vedertagna beskrivningen av känsliga personuppgifter, jfr t.ex. 13 § personuppgiftslagen och 11 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Ambition är dock att i ett annat sam-

Allmänna bestämmelser Ds 2011:16

manhang se över frågan om huruvida ordet ras bör utmönstras i all lagstiftning.

Det föreslås vidare att det även fortsättningsvis bör finnas en möjlighet för Kustbevakningen att komplettera uppgifter med känsliga personuppgifter när det är oundgängligen nödvändigt för syftet med behandlingen. Detta bör komma till uttryck i lagförslaget. På samma sätt som i 11 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och 2 kap. 10 § polisdatalagen (2010:361) bör dock ordet ”oundgängligen” ersättas med ”absolut”. Som exempel kan nämnas att en person är aktuell i ett ärende, t.ex. en förundersökning. Om det är absolut nödvändigt för handläggningen av ärendet får de övriga uppgifterna i ärendet kompletteras med känsliga personuppgifter. Känsliga personuppgifter kan även få behandlas i underrättelseverksamhet och verksamhet med gränskontroll. Skulle Kustbevakningen få ett tips från allmänheten om en person som troligen smugglar narkotika, måste naturligtvis anteckningar få föras om sådant som är nödvändigt för att underlätta identifiering vid gränsen, t.ex. fysiska kännetecken och etniskt ursprung m.m. På samma sätt är det i den informationsbearbetning som äger rum i underrättelseverksamheten tillåtet att anteckna känsliga personuppgifter om personer som på saklig grund kan antas utöva brottslig verksamhet, under förutsättning att de känsliga uppgifterna är nödvändiga för att få fram den fullständiga underrättelseinformation som behövs.

Föreslagen bestämmelse om känsliga personuppgifter bör gälla oavsett för vilket ändamål uppgifterna behandlas. Ett undantag från begränsningen av behandling av känsliga personuppgifter föreslås emellertid när det gäller behandling som är nödvändig för diarieföring, eller om uppgifterna har lämnats till Kustbevakningen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen. Undantaget är föranlett av Kustbevakningens behov av att alltid ha möjlighet att diarieföra och handlägga inkommande anmälningar och liknande skrivelser. Skälen för detta har utvecklats i avsnitt 8.6. Sådan behandling bör vara tillåten även i de fall där inkommande anmälningar innehåller

Ds 2011:16 Allmänna bestämmelser

känsliga personuppgifter. Detta bör komma till uttryck i föreslagen lagtext.

Slutligen bör det i lagtexten framhållas att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. Utredningen har lämnat ett motsvarande förslag. Syftet är att förhindra att personer beskrivs i förklenande ordalag som kan anses kränkande för individen. Denna bestämmelse får inte medföra att omskrivning sker av vad någon har uppgivit vid t.ex. ett förhör.

Såsom Lunds universitet har anfört finns krav på att uppgifter om en persons utseende alltid ska utformas på ett objektivt sätt med respekt för människovärdet och att detta redan följer av regeringsformens krav på objektivitet och saklighet, ett krav som naturligtvis även gäller i fråga om andra uppgifter. Emellertid finns det anledning att i detta sammanhang likväl särskilt betona vikten av att denna typ av uppgifter utformas på ett sätt som inte kan uppfattas som kränkande. Det finns också anledning att framhålla att en motsvarande bestämmelse återfinns i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och i polisdatalagen, varför det skulle komma att framstå som märkligt om inte motsvarande krav gällde enligt det nu aktuella lagförslaget.

8.8. Utlämnande på medium för automatiserad behandling

Förslag: Enstaka uppgifter ska få lämnas ut på medium för

automatiserad behandling. Regeringen meddelar föreskrifter om att uppgifter får lämnas ut på sådant medium även i andra fall.

Utredningens förslag: Överensstämmer i huvudsak med

promemorians men har formulerats något annorlunda. Utredningens förslag omfattar utöver enstaka uppgifter också handlingar samt innebär vidare att det inte ska finnas någon begräns-

Allmänna bestämmelser Ds 2011:16

ning av utlämnandemöjligheten i förhållande till annan svensk myndighet.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt el-

ler har inte haft något att invända mot förslaget. Kalmar tingsrätt har anfört att den föreslagna regleringen innebär att man begränsar visst utlämnande till andra än svenska myndigheter och att det därför kan ifrågasättas om den föreslagna regleringen är förenlig med Sveriges internationella åtaganden. Vid en jämförelse med lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet framstår motsvarande bestämmelse i den lagen som lämpligare utformad. Kustbevakningen har påpekat att det internationella samarbetet innebär att bestämmelsen måste förenas med föreskrifter av regeringen avseende utlämnande av mer än enstaka uppgifter eller handlingar på medium för automatiserad behandling till annan än svensk myndighet. Tullverket har anfört att bestämmelsen genom att omfatta såväl uppgifter som handlingar skiljer sig från motsvarande bestämmelse i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och att man bör ha samma konstruktion avseende de olika registerlagstiftningarna för att tydliggöra vad som gäller, varvid Tullverket har förordat den föreslagna lydelsen. Tullverket påpekar vidare att det vid myndighetens tillämpning av motsvarande bestämmelse visat sig bekymmersamt att avgöra vad som är ”enstaka” uppgifter. Skatteverket har anfört att användningen av ordet ”endast” antyder en förstärkning av inskränkning av rätten att lämna ut uppgifter på medium för automatiserad behandling som redan uttrycket ”enstaka” väl uppfyller. Verva har yttrat att lagstiftningen på sikt bör förhålla sig neutral till förekommande metoder för elektronisk åtkomst men att detta bör utredas samlat. SEKO sjöfolk har framhållit att det är viktigt att den enskilde, oavsett nationalitet, har samtyckt till att överföra uppgifter till ett annat land.

Skäl för förslaget: Begreppet direktåtkomst har ingen legalde-

finition. Den grundläggande innebörden av begreppet är att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kun-

Ds 2011:16 Allmänna bestämmelser

na påverka innehållet i registret eller databasen. Det innebär att beslutet om överföring vid direktåtkomst i varje enskilt fall beslutas av mottagaren. För annat elektroniskt utlämnande än genom direktåtkomst används begreppet utlämnande på medium för automatiserad behandling. Sådant utlämnande kan innebära t.ex. att elektronisk information överförs via e-post, genom utlämnande av uppgifter på cd-rom, DVD, USB-minne eller genom direkt överföring från ett datorsystem till ett annat via allmänna kommunikationsnät. När det kommer till uttrycket elektronisk utlämnande bör detta användas som ett överordnat begrepp, som omfattar både direktåtkomst och utlämnande på medium för automatiserad behandling (se SOU 2007:64 s. 160; jfr prop. 2008/09:96 s.8). Frågor om direktåtkomst behandlas i avsnitten 11.3 och 13.5. I detta avsnitt behandlas frågor om utlämnande på medium för automatiserad behandling.

Inte bara direktåtkomst utan även utlämnande av personuppgifter på medium för automatiserad behandling anses medföra särskilda risker från integritetssynpunkt. Sådant utlämnande innebär nämligen som regel att mottagaren kan bearbeta informationen, t.ex. genom att samköra den mot elektroniska uppgifter som har hämtats från andra informationskällor. Det ökar riskerna för att uppgifterna ska behandlas i strid med de grundläggande kraven på dataskydd. Utlämnande i elektronisk form skapar också möjlighet för myndigheterna att inrätta rutiner som innefattar dagliga överföringar av större mängder av uppgifter via t.ex. e-post. Även om direktåtkomst generellt får betraktas som den mest känsliga formen av elektroniskt utlämnande kan i vissa fall likartade risker föreligga vid andra former av elektroniskt utlämnande. Med hänsyn härtill bör förutsättningarna för utlämnande av personuppgifter på medium för automatiserad behandling författningsregleras.

Härvid framhålls följande. Utlämnande på medium för automatiserad behandling innebär som regel att informationen lämnas ut i elektronisk form på ett sådant sätt att mottagaren kan bearbeta informationen. Det betyder att elektroniskt tillhandahållande av uppgifter där mottagaren endast kan läsa informatio-

Allmänna bestämmelser Ds 2011:16

nen i myndighetens lokaler och inte bearbeta den, t.ex. genom en allmänhetens terminal, inte kan anses vara ett utlämnande på medium för automatiserad behandling. Vidare, för att inte möjligheterna att utnyttja datorteknik vid myndigheter ska inskränkas på ett orimligt sätt, bör det inte sättas upp onödiga hinder mot att e-post utnyttjas som ett sätt att vidarebefordra information som idag ofta lämnas ut via telefon, telefax eller vanlig brevförsändelse. Det måste vara möjligt för tjänstemän vid Kustbevakningen att kommunicera med andra myndigheter och enskilda samt utbyta information på elektronisk väg. I detta sammanhang framhålls särskilt att uppgifter inte får lämnas ut vare sig elektroniskt eller på annat sätt utan föregående sekretessprövning.

Den tekniska utvecklingen har i praktiken lett till att skillnaderna mellan direktåtkomst och utlämnande på medium för automatiserad behandling i vissa fall har blivit så liten att det ibland kan vara svårt att dra en gräns mellan dessa former av utlämnande. Detta är fallet framförallt när utlämnande av uppgifter sker på medium för automatiserad behandling av större mängder uppgifter med viss regelbundenhet. Det kan därför som Verva har anfört diskuteras om lagstiftningen på sikt bör förhålla sig neutral till förekommande metoder för elektronisk åtkomst, men som verket framhåller är detta emellertid inte något som kan övervägas närmare i detta sammanhang.

Eftersom lagförslaget föreslås innehålla bestämmelser om direktåtkomst är det mot den bakgrunden naturligt att också möjligheten till utlämnande på medium för automatiserad behandling regleras. Så har även skett i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och polisdatalagen (2010:361), i vilka föreskrivs att enstaka uppgifter får lämnas ut på medium för automatiserad behandling och att regeringen får meddela föreskrifter om att utlämnande på sådant medium får ske även i andra fall. Samma bedömning görs här, nämligen att utlämnande av enstaka personuppgifter utan vidare bör få ske när detta i övrigt är möjligt enligt den föreslagna lagen, offentlighets- och sekretesslagen (2009:400) och annan till-

Ds 2011:16 Allmänna bestämmelser

lämplig lagstiftning. Mer omfattande utlämnande ska endast tilllåtas i den utsträckning som regeringen har föreskrivit det.

Utredningen har därutöver föreslagit att utlämnande av uppgifter på medium för automatiserad behandling ska kunna ske utan begränsningar till andra svenska myndigheter och att begränsningen till enstaka uppgifter följaktligen endast ska gälla utlämnande på sådant sätt till enskilda eller myndigheter i andra länder. Kalmar tingsrätt har invänt mot en sådan ordning och ifrågasatt om den är förenlig med Sveriges internationella åtaganden.

Av följande avsnitt framgår att förslaget innebär en reglering av direktåtkomst för andra myndigheter till uppgifter som Kustbevakningen behandlar och att regeringen i vissa fall bör ges ett bemyndigande att kunna föreskriva om omfattningen av sådan åtkomst. Motsvarande bör gälla i nu aktuellt avseende och förslaget medför därför – i motsats till utredningen – att omfattningen och de närmare formerna för utlämnande av uppgifter på medium för automatiserad behandling till annan myndighet inte ska särregleras i lag. I stället bör regeringen ges ett bemyndigande att föreskriva om detta. Det görs därmed inte i lagförslaget någon åtskillnad mellan svensk och utländsk myndighet vilket

Kalmar tingsrätt har haft synpunkter på. I samband med utarbetandet av föreskrifter som ansluter till föreslagen lag kommer det behov att övervägas som Kustbevakningen har pekat på av att möjliggöra utlämnande på medium för automatiserad behandling av annat än enstaka uppgifter också till utländska myndigheter inom ramen för internationellt samarbete.

I förhållande till myndigheter som får medges direktåtkomst bör det inte gälla några begränsningar i fråga om utlämnande på annat elektroniskt medium, med hänsyn till att den föreslagna lagen ska vara teknikneutral. Förslaget innebär att regeringen kan meddela föreskrifter om detta i förordning.

Begreppet ”enstaka” kan, som Tullverket påpekat, innebära vissa gränsdragningsproblem när det gäller att avgöra hur omfattande ett utlämnande av uppgifter på medium för automatiserad behandling egentligen får vara. Tullverket har anfört att begrep-

Allmänna bestämmelser Ds 2011:16

pet orsakat problem vid tillämpningen av motsvarande bestämmelse i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Det är emellertid inte möjligt att i lagtext närmare ange innebörden av begreppet enstaka. I sammanhanget bör dock följande påpekas. Ordet enstaka i har i den här aktuella lagtexten en något annan innebörd än i vanligt språkbruk. När personuppgifter förekommer i en eller ett fåtal handlingar är föreslagen bestämmelse inte avsedd att utgöra ett hinder mot att handlingarna lämnas ut genom t.ex. ett epostmeddelande. Det förhållandet att en handling, t.ex. en lista över telefonnummer, innehåller ett större antal personuppgifter hindrar inte att handlingen lämnas ut med stöd av föreslagen paragraf (prop. 2009/10:85 s. 333). Den är också avsedd att ge stöd för utlämnande av t.ex. ett ärende eller delar av ett ärende där personuppgifter förekommer (jfr prop. 2006/07:46 s. 124).

Utredningen har föreslagit att bestämmelsen uttryckligen ska avse också utlämnande av enstaka handlingar. Detta gäller enligt motiven för Tullverket (prop. 2004/05:164 s. 126) men har inte i det sammanhanget kommit till uttryck i lagtexten. Emellertid talar vad har anförts i det föregående och systematiska skäl för att utforma föreslagen bestämmelse på samma sätt som enligt lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och polisdatalagen. Mot den bakgrunden finns det inte anledning att göra någon sådan förändring som utredningen har föreslagit.

Liksom när det gäller annan offentlig verksamhet väger ofta ändamålet med den verksamhet som Kustbevakningen bedriver tyngre än den enskildes intresse av att ha fullständig kontroll över hur uppgifter om honom eller henne behandlas. Personuppgiftsbehandling måste därför kunna ske även utan den enskildes samtycke oaktat att den innebär överföring av sådana uppgifter till andra länder. SEKO Sjöfolks uppfattning att sådan överföring endast ska få ske om samtycke föreligger delas därför inte.

Ds 2011:16 Allmänna bestämmelser

8.9. Grundläggande krav på behandlingen

Förslag: Personuppgifter ska behandlas på ett sådant sätt att

det klart framgår om behandlingen sker med stöd av bestämmelserna för den brottsbekämpande verksamheten eller för annan operativ verksamhet hos Kustbevakningen.

Utredningens förslag: Innehåller inte någon motsvarande

bestämmelse.

Remissinstanserna har inte yttrat sig i frågan. Skäl för förslaget: I förordningen (2003:188) om behandling

av personuppgifter inom Kustbevakningen finns reglerat att personuppgifter ska behandlas på ett sådant sätt att det klart framgår med stöd av vilken bestämmelse behandlingen sker. Därigenom tillåts inte att informationssamlingar innehåller uppgifter som kan hänföras både till den brottsbekämpande och den övriga operativa verksamheten. Ett sådant klargörande är av vikt främst för att upprätthålla skyddet för den personliga integriteten. En motsvarande bestämmelse bör införas i förslaget till kustbevakningsdatalag.

9. Behandling av personuppgifter i den brottsbekämpande verksamheten

9.1. Ändamål för behandlingen

Förslag: I lagen ska det anges för vilka ändamål behandling av

personuppgifter i Kustbevakningens brottsbekämpande verksamhet får ske. Ändamålen ska delas in i primära ändamål och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns i Kustbevakningens brottsbekämpande verksamhet. Dessa ändamål ska vara uttömmande angivna i lagen.

De sekundära ändamålen ska avse behandling för olika typer av utlämnande av personuppgifter. I fråga om behandling av personuppgifter för andra sekundära ändamål än de i lagen angivna ska den s.k. finalitetsprincipen tillämpas.

Utredningens förslag: Överensstämmer delvis med prome-

morians. Utredningen har föreslagit att personuppgifter ska få samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och att senare behandling inte får ske för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.

Remissinstanserna: Har tillstyrkt eller har inget att invända

mot förslaget.

Skäl för förslaget

Ändamålsbestämmelserna bör ge utrymme för Kustbevakningen att bedriva brottsbekämpande verksamhet med modern teknik

Den här föreslagna lagen ska vara tillämplig i all Kustbevakningens operativa verksamhet, bl.a. den brottsbekämpande. I den verksamheten förekommer personuppgiftsbehandling av vitt

Behandling av personuppgifter i den brottsbekämpande verksamheten Ds 2011:16

skilda slag. Det handlar t.ex. om sedvanligt kontorsarbete som tidigare inte innebar behandling av personuppgifter, men som gör det med dagens ordbehandlingsteknik. Det är självklart att föreslagen kustbevakningsdatalag bör utformas så att den ger Kustbevakningen samma möjligheter som andra myndigheter att använda modern teknik för att upprätta vanliga dokument, göra löpande noteringar i arbetet m.m. Sådant teknikutnyttjande innefattar inte i sig några påtagliga integritetsrisker.

När det emellertid kommer till kvalificerad personuppgiftsbehandling, t.ex. i form av uppbyggandet och förandet av stora uppgiftssamlingar som är tillgängliga för ett flertal personer, uppstår dock större risker för intrång i den personliga integriteten. Den föreslagna lagen behöver därför även utformas på ett sådant sätt att den möter behovet av att kunna värna den enskildes integritet.

För att tillgodose båda dessa intressen har i promemorian, vid utformningen av de förslag som nu lämnas gällande den personuppgiftsbehandling som bör få ske i Kustbevakningens brottsbekämpande verksamhet, satts upp ett antal begränsande regler. Reglerna föreslås utformas efter hur integritetskänsliga uppgifterna bedöms vara. I följande avsnitt föreslås därför att bestämmelserna om personuppgiftsbehandling ska göra skillnad mellan å ena sidan sådan behandling som avser uppgifter som har gjorts gemensamt tillgängliga i den brottsbekämpande verksamheten och å andra sidan annan behandling i denna verksamhet. Vid behandling av det förra slaget bör det gälla särskilda bestämmelser som kan minimera de integritetsrisker som mera kvalificerad personuppgiftsbehandling kan ge upphov till.

Personuppgiftslagens regler om ändamål

Bestämmelser om för vilka ändamål uppgifter får behandlas har en central roll i registerförfattningar. Genom ändamålen sätts ramen för vilken behandling som är tillåten. Det följer av centrala dataskyddsprinciper att uppgifter endast får samlas in för specifika och legitima ändamål och att insamlade uppgifter inte får behandlas för något ändamål som är oförenligt med det ur-

Ds 2011:16 Behandling av personuppgifter i den brottsbekämpande verksamheten

sprungliga ändamålet. Dessa principer kommer till uttryck bl.a. i artikel 6.1 a i dataskyddsdirektivet och artikel 3 i dataskyddsrambeslutet. Artikeln i dataskyddsdirektivet har genomförts i svensk rätt genom 9 § första stycket c) och d) personuppgiftslagen (1998:204).

I fråga om efterföljande behandling sägs i 9 § andra stycket personuppgiftslagen att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in. I de fall där en tilltänkt behandling inte omfattas av de ursprungliga ändamålen måste det i princip prövas om ändamålet med den senare behandlingen är oförenligt med de ursprungliga ändamålen. Detta följer av den s.k. finalitetsprincipen, som uttrycks i 9 § första stycket d) personuppgiftslagen.

Datalagskommittén uttalade i betänkandet ”Integritet – Offentlighet – informationsteknik” (SOU 1997:39 s. 351) att vad som är oförenligt med de ursprungliga ändamålen får bestämmas genom praxis och de mer preciserade regler som regeringen och Datainspektionen kan utfärda.

Den nya lagens ändamålsreglering i Kustbevakningens brottsbekämpande verksamhet och finalitetsprincipen

Utgångspunkten i lagförslaget är att personuppgifter får behandlas enbart för vissa berättigade, angivna ändamål. Därmed kan användningen och spridningen av uppgifterna begränsas. Frågan är då hur ändamålsregleringen bör utformas.

Det är vanligt att man i registerförfattningar delar upp ändamålen i primära och sekundära. De primära ändamålen är utformade för att tillgodose den behandling som behövs i de berörda myndigheternas egna verksamheter. De sekundära ändamålen reglerar i vilken utsträckning uppgifter som samlats in för något primärt ändamål, får behandlas för att lämnas ut till enskilda eller till andra myndigheter i syfte att tillgodose deras behov. För Kustbevakningens del kan det vara fråga om att uppgifter i den brottsbekämpande verksamheten kan behöva användas i myn-

Behandling av personuppgifter i den brottsbekämpande verksamheten Ds 2011:16

dighetens andra verksamheter eller att uppgifterna behövs i verksamhet som någon annan myndighet bedriver.

Det finns flera olika möjligheter att utforma ändamålsregleringen i registerförfattningar. Det går dock att urskilja två principiellt olika sätt. Det ena innebär att man i lagen anger att uppgifter får samlas in enbart för vissa angivna ändamål och att senare behandling inte får ske för något ändamål som är oförenligt med det i lagen angivna ändamålet (jfr finalitetsprincipen). I flertalet registerlagar är ändamålsbestämmelserna utformade på detta sätt. Så är bl.a. fallet med förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen eftersom förordningen gäller utöver personuppgiftslagens regler där finalitetsprincipen återfinns (9 § c–d).

Det andra sättet är att i lagen uttömmande ange de ändamål för vilka behandling får ske, vare sig det är fråga om insamling av uppgifter eller efterföljande behandling. Som ett exempel på en sådan lösning kan nämnas lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (7–9 §§).

Utredningen har föreslagit att personuppgifter ska få samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och att senare vidarebehandling av uppgifterna endast får ske om det är förenligt med insamlingsändamålet. Utredningen har vidare bedömt att den föreslagna lagen tillsammans med finalitetsprincipen i personuppgiftslagen och bestämmelserna i sekretesslagstiftningen sammantaget utgör en tillräcklig reglering av för vilka ändamål uppgifter får behandlas och i övrigt lämnas ut till andra. Enligt utredningen undviks på så sätt ett onödigt tyngande av lagstiftningen genom en lång uppräkning av samtliga ändamål för vilka Kustbevakningen kan komma att behöva utbyta uppgifter med andra myndigheter och vilka dessa myndigheter är.

En utgångspunkt för den här föreslagna lagstiftningen bör vara att tillåtna ändamål anges så tydligt och fullständigt som möjligt. De primära ändamålen för Kustbevakningens brottsbekämpande verksamhet bör därför anges uttömmande. I avsnitt 9.2 redogörs närmare för vilka dessa ändamål bör vara.

Ds 2011:16 Behandling av personuppgifter i den brottsbekämpande verksamheten

En svårare fråga är om även de sekundära ändamålen, som syftar till att beskriva för vilka ändamål uppgifter får tillhandahållas andra, bör anges uttömmande. Det kan finnas fördelar med en sådan reglering. Lagstiftaren kan därmed sägas en gång för alla ha bestämt i vilken utsträckning uppgifter ska få behandlas för att spridas till andra. Under förutsättning att ändamålen är tydligt avgränsade står det genom en sådan reglering klart både för tillämpare och andra vilken personuppgiftsbehandling som får förekomma med stöd av den aktuella lagen.

I förarbetena till flera registerlagar har regeringen emellertid gjort bedömningen att det inte är möjligt att i en lag om personuppgiftsbehandling på ett tillräckligt preciserat sätt ange alla de situationer där utlämnande av uppgifter kan komma att aktualiseras. Det anmärks att så även är fallet vad avser Kustbevakningens verksamhet, som både är varierad och under utveckling, bl.a. vad avser det brottsbekämpande området. Mot den bakgrunden innebär lagförslaget att de sekundära ändamålen för personuppgiftsbehandling i Kustbevakningens brottsbekämpande verksamhet inte anges uttömmande i lagen. Detta överensstämmer dels med den reglering som gäller idag för Kustbevakningens personuppgiftsbehandling, dels med den nya polisdatalagen. I avsnitt 9.3 behandlas de sekundära ändamålen.

I anledning av vad som ovan föreslagits bör följande framhållas. Den hänvisning till 9 § första stycket c) och d) personuppgiftslagen som föreslås införas i lagförslaget (se avsnitt 9.3) innebär att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade, ändamål och att insamlade uppgifter inte får behandlas för ändamål som är oförenliga med det ursprungliga ändamålet. En av Kustbevakningens uppgifter är att bedriva sjöövervakning i vilket ingår att ansvara för eller bistå andra myndigheter med bl.a. övervakning och brottsbekämpande verksamhet. Har personuppgifter samlats in för att utreda ett visst brott kan det generellt sett – mot bakgrund av Kustbevakningens övergripande uppgift på området – inte anses vara oförenligt med det ursprungliga ändamålet att behandla samma uppgifter för att utreda annat brott eller bekämpa brotts-

Behandling av personuppgifter i den brottsbekämpande verksamheten Ds 2011:16

lig verksamhet. En grundtanke med förslaget är således att det inom Kustbevakningen bör vara tillåtet att använda sig av uppgifter som samlats in för ett visst brottsbekämpande ändamål för ett annat sådant ändamål. Under sistnämnda förutsättning bör vidarebehandling också få ske om det behövs för brottsbekämpande ändamål hos andra myndigheter eller för vissa andra sekundära ändamål som kan förutses och som anses förenliga med finalitetsprincipen. Genom att ange de primära och sekundära ändamålen i lagförslaget anses vidarebehandling för dessa ändamål är förenliga med den s.k. finalitetsprincipen. Som tidigare nämnts bör de primära ändamålen anges uttömmande i den här föreslagna lagen. När det gäller de sekundära ändamålen bör dessa uttryckas så preciserat och fullständigt som möjligt. Det är dock även nödvändigt för Kustbevakningen att i vissa fall kunna behandla information för andra sekundära ändamål än de som anges i lagförslaget under förutsättning att det i det enskilda fallet inte kan anses vara oförenligt med insamlingsändamålet att lämna ut uppgifterna.

Bestämmelserna om ändamål för behandling av personuppgifter bör inte få hindra rationella rutiner för diarieföring och ärendehantering. Det har föranlett särskilda överväganden som redovisats i avsnitt 8.6.

I 8 § första stycket personuppgiftslagen, som föreslås vara tillämplig på behandlingen av personuppgifter enligt lagförslaget, finns en erinran om att bestämmelserna i personuppgiftslagen inte ska tillämpas i den utsträckning det skulle inskränka skyldigheten enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter. Bestämmelser i grundlag tar över bestämmelser i vanlig lag. Tryckfrihetsförordningens bestämmelser har därför företräde framför bestämmelserna i detta lagförslag. Behandling av personuppgifter kommer därmed alltid att vara tillåten för att uppfylla de krav som offentlighetsprincipen ställer.

Frågan om hur de primära och sekundära ändamålen ska utformas för uppgifter som behandlas i Kustbevakningens verksamhet med sjöövervakning, räddningstjänst m.m. kommer att behandlas i avsnitt 13.

Ds 2011:16 Behandling av personuppgifter i den brottsbekämpande verksamheten

9.2. Primära ändamål för personuppgiftsbehandling

9.2.1. Förebygga, förhindra eller upptäcka brottslig verksamhet

Förslag: Personuppgifter ska få behandlas i Kustbevakning-

ens brottsbekämpande verksamhet om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet.

Utredningen föreslår att behandling av personuppgifter ska

få ske för att förhindra eller upptäcka brottslig verksamhet. Som ytterligare begränsning har utredningen föreslagit att uppgifter om en person ska få behandlas för detta ändamål endast om det finns grundad anledning att anta att personen har utövat eller kan komma att utöva allvarlig brottslig verksamhet eller brottslig verksamhet som bedrivs systematiskt. Med allvarlig brottslig verksamhet avses i utredningens förslag verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver. Utredningen har vidare föreslagit att i ett ärende som rör viss preciserad eller allvarlig eller systematisk brottslig verksamhet ska även uppgifter om personer som kan antas ha samband med verksamheten få behandlas. Endast de personer som arbetar med ärendet ska få ges direkt tillgång till uppgifterna. Slutligen har utredningen föreslagit att även i andra fall än de nyssnämnda ska uppgifter få behandlas som avser transportmedel, varor eller hjälpmedel som kan antas ha samband med allvarlig eller systematisk brottslig verksamhet, om uppgifterna inte direkt kan hänföras till en person.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt

eller har inget att invända mot förslaget. Säkerhetspolisen har anfört att reglerna bör utformas så att Kustbevakningens behandling av uppgifter av det här slaget begränsas till vad som är absolut nödvändigt och att endast de personer som arbetar med ärendet ska få tillgång till uppgifterna. Registernämnden har ansett att bestämmelserna bör utformas i överensstämmelse med motsva-

Behandling av personuppgifter i den brottsbekämpande verksamheten Ds 2011:16

rande bestämmelse för tullen för att undvika missförstånd. Tullverket har förordat utredningens förslag framför motsvarande bestämmelse i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Skäl för förslaget

Generella begränsningar för all behandling?

I avsnitt 9.1 har redovisats vilka allmänna utgångspunkter som bör läggas till grund för utformningen av ändamålsbestämmelserna för behandling av uppgifter i den brottsbekämpande verksamheten i lagförslaget. Mot bakgrund av dessa allmänna utgångspunkter redogörs i detta avsnitt för vilken utsträckning behandling av personuppgifter bör få ske inom ramen för den brottsbekämpande verksamhet som inte avser utredandet eller beivrandet av ett konkret begånget brott, utan i stället att avslöja om viss brottslighet har förekommit, pågår eller kan förutses, dvs. underrättelseverksamhet. Utgångspunkten för arbetet är i huvudsak att ta fram underlag för vilken inriktning den brottsbekämpande verksamheten ska ha eller för att initiera konkreta brottsutredningar. I begreppet förhindra eller upptäcka brottslig verksamhet innefattas således all egentlig brottsbekämpande verksamhet inom Kustbevakningen som inte direkt kan knytas till en konkret brottsutredning. Med brottsutredning avses då det arbete som utförs i eller i anslutning till en förundersökning (jfr 3 § polisdatalagen [1998:622], 2 § första stycket lagen [1999:90] om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och 2 § första stycket i den numera upphävda lagen [2001:85] om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet).

Utredningen har föreslagit att personuppgifter ska få behandlas för att förhindra eller upptäcka brottslig verksamhet men har kompletterat förslaget med långtgående begränsningar beträffande vilka typer av uppgifter som får behandlas, framförallt när det gäller personer beträffande vilka det saknas grundad anledning att anta att de utövar eller har utövat brottslig verksamhet. Utredningen har härigenom eftersträvat att åstadkomma en

Ds 2011:16 Behandling av personuppgifter i den brottsbekämpande verksamheten

lämplig avvägning mellan effektivitetsintressena i brottsbekämpningen och skyddet för den enskildes personliga integritet.

Å ena sidan måste Kustbevakningen för att kunna bedriva ett framgångsrikt brottsförebyggande arbete få behandla uppgifter om personer som inte är misstänkta för något konkret brott men väl för att ha utövat eller ta del i pågående eller planerad brottslig verksamhet. Å andra sidan skulle en möjlighet att utan någon närmare begränsning behandla personuppgifter som inte har samband med något konkret brott öppna vägen för en mycket omfattande behandling av personuppgifter med betydande risker för intrång i den personliga integriteten.

Det förslag som utredningen har lämnat är avsett att gälla generellt och täcker även sådan behandling av personuppgifter som rimligen inte är så känslig att de föreslagna begränsningarna är nödvändiga för att tillgodose skyddet för den personliga integriteten. Förslaget omfattar nämligen, utöver sådan behandling som sker i gemensamt tillgängliga uppgiftssamlingar avsedda t.ex. för särskilda underrättelseprojekt där ett större antal tjänstemän har åtkomst till uppgifterna, även Kustbevakningens dagliga löpande arbete med att hantera information som på olika sätt kan förebygga, förhindra eller upptäcka brottslig verksamhet. Utredningens förslag bedöms leda till alltför långtgående begränsningar av möjligheten att behandla uppgifter i sådana sammanhang där risken för integritetsintrång är begränsad, samtidigt som användandet av modern teknik skulle bidra till en ökad effektivisering.

Mot den bakgrunden föreslås, i enlighet med de grundläggande överväganden som har redovisats i avsnitt 8.2, att det bör gälla olika regler för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i den brottsbekämpande verksamheten och annan behandling. Regeringen har gjort motsvarande bedömning när det gäller behandlingen av personuppgifter i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 103).

Den allra största delen av Kustbevakningens personuppgiftsbehandling inom det brottsbekämpande området kommer att omfattas av reglerna för behandling av gemensamt tillgängliga

Behandling av personuppgifter i den brottsbekämpande verksamheten Ds 2011:16

uppgifter. Här ska särskilda regler gälla. För övrig behandling som behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet är det däremot tillräckligt från integritetssynpunkt att grundläggande dataskyddsbestämmelser gäller.

I promemorian utvecklas frågan om vilka begränsningar som bör gälla vid personuppgiftsbehandling av uppgifter som har gjorts gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet i avsnitt 10.

Utformningen av ändamålsbestämmelsen

Enligt 4 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen får personuppgifter behandlas om det är nödvändigt för att förhindra eller upptäcka brottslig verksamhet som innefattar brott som Kustbevakningen enligt lag eller förordning har som uppgift att ingripa mot.

Som nyss har nämnts användes begreppet underrättelseverksamhet i den numera upphävda lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Begreppet fördes dock inte över till den nuvarande lagen med samma ämne. Lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet innehåller i stället en bestämmelse om behandling av personuppgifter för ändamålet att förhindra eller upptäcka brottslig verksamhet. I likhet med utredningen föreslås att samma principiella lösning bör väljas för Kustbevakningens del. Ett tillägg bör dock göras för att harmonisera bestämmelsen med det som kommer att gälla för polisen enligt polisdatalagen (2010:361), nämligen att bestämmelsen i förtydligande syfte även bör innehålla ordet förebygga. Av den nya lagen bör alltså framgå att personuppgifter får behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet. I avsnitt 8.1 har föreslagits att dessa ändamål även ska avse uppgiftsbehandling som rör juridiska personer. Såväl behandling av mera rutinmässig karaktär, t.ex. ordbehandling, som behandling av mera kvalificerat slag kommer att omfattas av bestämmelsen.

Utanför ändamålet faller behandling av uppgifter dels när det ”finns anledning att anta att ett brott har förövats” och en för-

Ds 2011:16 Behandling av personuppgifter i den brottsbekämpande verksamheten

undersökning ska inledas enligt 23 kap. rättegångsbalken, dels när ett konkret brott har begåtts och åtal kan ske utan förundersökning genom ett förenklat förfarande enligt 23 kap. 22 § rättegångsbalken. Detta gäller även när ett brott beivras med stöd av 48 kap. rättegångsbalken utan att åtal väcks. I sådana fall får uppgifter i stället behandlas med stöd av ändamålet att utreda eller beivra visst brott, se nästa avsnitt.

9.2.2. Utreda och beivra brott

Förslag: Personuppgifter ska få behandlas i Kustbevakning-

ens brottsbekämpande verksamhet om det behövs för att utreda eller beivra brott.

Utredningens förslag: Kustbevakningen ska i sin verksamhet

få behandla uppgifter om det behövs för att utreda och beivra brott. Därvid ska uppgifter få behandlas om personer som förekommer i ett ärende om utredning eller beivrande av visst brott. Vid sådan behandling får endast de personer som arbetar med ärendet ha direkt tillgång till uppgifterna. Regeringen ska dock få meddela föreskrifter om att även andra personer får ha tillgång till vissa särskilda kategorier av uppgifter.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt el-

ler har inget att invända mot utredningens förslag.

Skäl för förslaget: Att utreda och beivra brott är en av Kust-

bevakningens uppgifter. Arbetet sker framförallt inom ramen för förundersökning enligt 23 kap. rättegångsbalken som Kustbevakningen kan bedriva med stöd av t.ex. lagen (1980:424) om åtgärder mot förorening från fartyg eller lagen (2008:322) om Tullverkets och Kustbevakningens befogenheter att ingripa mot rattfylleribrott. Vidare kan det handla om situationer när Kustbevakningen medverkar i förundersökning med stöd av t.ex. 7 § lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning. Åtgärder som därvid vidtas av Kustbevakningen kan avse spaning, förhör, informationsbearbetning och olika

Behandling av personuppgifter i den brottsbekämpande verksamheten Ds 2011:16

former av beslutsfattande, bl.a. tvångsmedelsanvändning. Närmast handlar det om beslag för att säkra förverkande. Till uppgiften att utreda och beivra brott hör också sådant arbete som sker inom ramen för förenklade förfaranden vilka kan mynna ut i utfärdande av föreläggande av ordningsbot.

I arbetet med att utreda eller beivra visst brott innefattas också sådana åtgärder som vidtas med stöd av 1–2 §§ lagen om Kustbevakningens medverkan vid polisiär övervakning och 23 kap. 3 § tredje stycket och 8 §rättegångsbalken innan förundersökning har inletts samt andra åtgärder som vidtas i syfte att samla in underlag för beslut om huruvida förundersökning ska inledas eller inte, s.k. förutredning.

Vad som skiljer arbetet med att utreda och beivra brott från arbetet att förebygga, förhindra eller upptäcka brottslig verksamhet är att arbetet i det förra fallet utförs med anledning av att ett konkret brott har eller misstänks har begåtts, medan arbetet i det senare fallet utförs med anledning av misstankar om begången, pågående eller planerad brottslig verksamhet som inte kan konkretiseras eller allmänna misstankar om framtida brott. När det kommer till att avgöra om ett konkret brott har eller misstänks har begåtts saknar det betydelse om förundersökning har hunnit inledas eller inte eller om ett brott utreds i förenklad form.

Det är självklart att personuppgifter måste få behandlas inom ramen för arbetet med att utreda och beivra brott. En förutsättning måste emellertid vara att behandlingen behövs för något av dessa ändamål. Inom ramen för ändamålet att utreda eller beivra visst brott bör, förutom uppgifter om den misstänkte, behandling av uppgifter om andra personer tillåtas om det har betydelse för ärendet. Det kan t.ex. vara fråga om uppgifter om målsägande, vittnen och andra som på olika sätt berörs av utredningen.

I avsnitt 8.1 har föreslagits att dessa ändamål även ska avse uppgiftsbehandling som rör juridiska personer.

I övrigt är det inte lämpligt att ställa upp några särskilda begränsningar i fråga om vilka uppgifter som ska få behandlas på det sätt som utredningen har föreslagit. På samma sätt som har

Ds 2011:16 Behandling av personuppgifter i den brottsbekämpande verksamheten

föreslagits i föregående avsnitt i fråga om personuppgiftsbehandling för att förebygga, förhindra och upptäcka brottslig verksamhet bör endast de grundläggande bestämmelserna i den här föreslagna lagen vara tillämpliga så länge uppgifterna inte görs gemensamt tillgängliga, på motsvarande sätt som för polisens del enligt polisdatalagen (2010:361) (prop. 2009/10:85 s. 124 f.).

9.2.3. Internationellt samarbete

Förslag: Personuppgifter ska få behandlas i Kustbevakning-

ens brottsbekämpande verksamhet om detta krävs för att fullgöra ett internationellt åtagande.

Utredningens förslag: Innehåller inte någon motsvarande

bestämmelse då utredningen har bedömt att något särskilt ändamål för behandling av uppgifter i internationell samverkan inte behövs.

Remissinstanserna: Tillstyrker eller har inget att invända mot

utredningens bedömning. Kustbevakningen har emellertid efterfrågat att ett ytterligare ändamål, som utformas med förebild i myndighetens uppgift att medverka i internationellt samarbete för att utveckla gränskontroll, brottsbekämpning m.m. tas in i den nya lagen

Skäl för förslaget: Enligt 15 § förordningen (2007:853) med

instruktion för Kustbevakningen ska Kustbevakningen medverka i internationellt samarbete för att utveckla gränskontroll, brottsbekämpning till sjöss, annan sjöövervakning och miljöräddningstjänst. Kustbevakningen ska vidare samverka med andra myndigheter för att främja svenskt deltagande i internationellt samarbete inom sitt verksamhetsområde.

Med ökad internationalisering och större rörlighet för såväl personer och kapital som varor och tjänster över nationsgränserna följer större krav på samarbete över gränserna. Det gäller såväl i Kustbevakningens miljöräddningstjänst och kontroll- och tillsynsverksamhet som i den brottsbekämpande verksamheten. Det

Behandling av personuppgifter i den brottsbekämpande verksamheten Ds 2011:16

brottsbekämpande samarbetet regleras i stor utsträckning genom olika internationella överenskommelser, både multilaterala och bilaterala. En given utgångspunkt är att Sverige på bästa sätt ska kunna fullgöra sina internationella åtaganden i fråga om sådant samarbete över gränserna. Med internationella åtaganden avses här folkrättsligt bindande förpliktelser. Sådana åtaganden kan avse samarbete med en utländsk myndighet eller med en mellanfolklig organisation. Samarbetet behöver inte avse brott eller brottslig verksamhet inom den svenska Kustbevakningens ansvarsområde. Detta är en anledning till att det finns ett behov av en särskild ändamålsbestämmelse som ger stöd för sådan behandling av personuppgifter som sker inom ramen för det internationella samarbetet.

Kustbevakningens internationella samarbete på det brottsbekämpande området regleras i flera författningar som också omfattar andra myndigheters internationella samarbete på området, t.ex. lagen (2000:343) om internationellt polisiärt samarbete, lagen (2000:1219) om internationellt tullsamarbete, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder och lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar. Dessa lagar tar huvudsakligen sikte på brottsbekämpande samarbete över gränserna. För att fullgöra bindande åtaganden om sådant samarbete måste Kustbevakningen kunna behandla personuppgifter i den utsträckning som den konkreta arbetsuppgiften kräver det och med hjälp av modern teknik. Tilläggas bör att det som regleras i nyssnämnda författningar är främst vilken typ av samarbete som ska förekomma. Hur samarbetet ska ske ägnas mindre utrymme.

Lagar som reglerar rättslig hjälp, bl.a. lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen (1957:668) om utlämning för brott, lagen (1959:294) om utlämning för brott till Danmark, Finland, Island och Norge och lagen (2005:500) om erkännande och verkställighet inom Europeiska unionen av frysningsbeslut, bygger också på folkrättsligt bindande överenskommelser. Indirekt ställs samma krav på behandling av personuppgifter vid rättslig hjälp som vid polisiärt samarbete över grän-

Ds 2011:16 Behandling av personuppgifter i den brottsbekämpande verksamheten

serna. Enligt den svenska regleringen är det åklagare som ger rättslig hjälp, men i det praktiska utredningsarbetet och vid verkställighet av tvångsmedel anlitar åklagaren i regel biträde av polisen på samma sätt som i en svensk brottsutredning. Åklagaren kan också anlita biträde av Kustbevakningen om det är lämpligare med hänsyn till brottets karaktär. Det innebär att Kustbevakningen i princip måste kunna behandla personuppgifter i ett ärende om rättslig hjälp i samma utsträckning som i en förundersökning.

Detta innebär att det krävs en bestämmelse som medger behandling av personuppgifter för att fullgöra internationella åtaganden i Kustbevakningens brottsbekämpande verksamhet. Den behandling som åsyftas kan bestå i insamlande av skriftligt material, sammanställningar av förhörsutsagor, kontroll i register eller annat. I vissa fall kan det vara fråga om personuppgiftsbehandling som sträcker sig över en längre tid.

Sammanfattningsvis föreslås att lagförslaget ska innehålla en särskild ändamålsbestämmelse som ger stöd för sådan behandling av personuppgifter. Ändamålet ska även vara tillämpligt vid behandling av uppgifter som rör juridiska personer (se avsnitt 8.1). Detta tillgodoser vad Kustbevakningen har efterfrågat.

I detta sammanhang bör vidare följande förtydligas. En del av samarbetet över gränserna äger rum som ett led i en utredning eller lagföring av svensk brottslighet, t.ex. när en svensk myndighet begär rättslig hjälp i en annan stat. Behandlingen av personuppgifter sker då med stöd av det primära ändamålet att utreda och beivra brott.

Behandling av personuppgifter i den brottsbekämpande verksamheten Ds 2011:16

9.3. Sekundära ändamål för personuppgiftsbehandling

9.3.1. Behandling av uppgifter för att tillhandahålla information till andra

Förslag: Personuppgifter som behandlas i Kustbevakningens

brottsbekämpande verksamhet ska också få behandlas om det är nödvändigt för att tillhandahålla information som behövs i

1. brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndigheterna, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket,

2. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,

3. annan verksamhet hos Kustbevakningen för

a) utredning och beslut i ärenden som rör vattenföroreningsavgift,

b) tillsyn och kontroll enligt lag eller förordning,

4. en annan myndighets verksamhet

a) om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift, eller

b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.

Personuppgifter som behandlas enligt de primära ändamålen ska även få behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt till annan, om skyldighet att lämna uppgifter följer av lag eller förordning.

För att tillhandahålla information för andra ändamål än de ovan uppräknade får behandling ske endast om det nya ändamålet i det enskilda fallet inte kan anses oförenligt med det ändamål för vilket uppgifterna samlades in.

Utredningens förslag: Innehåller inte någon motsvarande

bestämmelse. Utredningen har i stället föreslagit att personuppgifter som har samlats in i den brottsbekämpande verksamheten

Ds 2011:16 Behandling av personuppgifter i den brottsbekämpande verksamheten

inte ska få behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.

Remissinstanserna: Har tillstyrkt eller har inget att invända

mot utredningens förslag.

Skäl för förslaget

Allmänna utgångspunkter

I avsnitt 9.2 har lämnats förslag till hur lagens ändamålsreglering bör utformas och vilka de primära ändamålen bör vara i Kustbevakningens brottsbekämpande verksamhet. I detta avsnitt diskuteras vilka sekundära ändamål som bör anges för sådan verksamhet eller med andra ord i vilken utsträckning uppgifter som har samlats in i Kustbevakningens brottsbekämpande verksamhet ska få användas även av andra myndigheter eller i annan verksamhet som Kustbevakningen bedriver. Det rör sig alltså om behandling för ett annat ändamål än det ursprungliga. I och med att regleringen av sekundära ändamål inte föreslås vara uttömmande finns det vidare ett visst utrymme att tillhandahålla uppgifter även för andra ändamål än de i lagen angivna, under förutsättning att det nya ändamålet inte kan anses oförenligt med insamlingsändamålet (finalitetsprincipen). Som tidigare har betonats är dock målsättningen att de sekundära ändamålen ska vara så fullständiga som möjligt och omfatta merparten av Kustbevakningens uppgiftsutlämnande.

I sammanhanget är det viktigt att komma ihåg att utlämnande av uppgifter även kan ske inom ramen för något av de primära ändamålen. Utlämnande av uppgifter till andra kan i många fall vara ett led i den egna brottsbekämpande verksamheten och således omfattas av de primära ändamålen.

Frågan om det behövs en särskild ändamålsbestämmelse som ger stöd för behandling av personuppgifter för bl.a. planering, uppföljning och utvärdering av Kustbevakningens verksamhet uppmärksammas här. En sådan ändamålsbestämmelse återfinns idag i 7 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen. I lagstiftningsärendet angående lagen (2005:787) om behandling av uppgifter i Tullverkets

Behandling av personuppgifter i den brottsbekämpande verksamheten Ds 2011:16

brottsbekämpande verksamhet uttalade emellertid Lagrådet att en sådan bestämmelse är obehövlig (prop. 2004/05:164 s. 179). Lagrådet ansåg att planering, uppföljning och utvärdering av verksamhet är en integrerad del av själva verksamheten och inte någon fristående aktivitet som behöver regleras särskilt. Något sådant ändamål finns därför inte angivet i nyss nämnda lag. Av samma skäl avstod regeringen från att föreslå någon sådan ändamålsbestämmelse för polisens vidkommande (prop. 2009/10:85 s. 116). Det finns inte skäl att göra någon annan bedömning än vad regeringen har gjort tidigare, vad avser Kustbevakningens verksamhet.

Tillhandahållande av information till andra brottsbekämpande myndigheter

Det är från brottsbekämpningssynpunkt angeläget att samhällets samlade resurser används på ett så rationellt och effektivt sätt som möjligt. En väl utvecklad samverkan mellan de olika myndigheterna som har ett ansvar för brottsbekämpningen ger goda förutsättningar att bekämpa nationell och internationell brottslighet. Att brottsbekämpande myndigheter bör samverka framstår därför som självklart liksom att en sådan samverkan förutsätter möjligheter till ett effektivt utbyte av information. Ett väl fungerande informationsutbyte skapar förutsättningar att se kopplingar mellan brottslighet inom skilda myndigheters ansvarsområden. Det är därför viktigt att den moderna teknikens möjligheter kan tas till vara för sådant informationsutbyte. Så bör t.ex. möjligheterna att få tillgång till underrättelseinformation genom direktåtkomst förbättras. De risker för intrång i den personliga integriteten som direktåtkomst och andra former av elektroniskt informationsutbyte kan ge upphov till och hur dessa risker bör hanteras diskuteras i avsnitt 11.

Det bör därför i lagförslaget uttryckligen anges att de uppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet får behandlas för att tillhandahålla information som andra brottsbekämpande myndigheter behöver i sin brottsbekämpande verksamhet.

Ds 2011:16 Behandling av personuppgifter i den brottsbekämpande verksamheten

Motsvarande bestämmelser finns i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, i förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet och i den nya polisdatalagen finns bestämmelser om att behandling av personuppgifter får ske för att tillhandahålla information till övriga brottsbekämpande myndigheter.

Tillhandahållande av information till utländska brottsbekämpande myndigheter eller organisationer

Kustbevakningen måste kunna behandla personuppgifter i den utsträckning det behövs för att fullgöra internationella åtaganden. Det kan exempelvis vara fråga om översändande av uppgifter till internationella organisationer. Likaså måste Kustbevakningen kunna utföra sådan behandling som krävs för att lämna upplysningar till en utländsk myndighet om vilka åtgärder som har vidtagits i Sverige med anledning av utländsk information. Eftersom det internationella informationsutbytet förutsätter att uppgifter i vissa fall kan lämnas utan föregående förfrågan från en annan stat, bör det vara möjligt att behandla och lämna ut uppgifter även om detta endast är ett allmänt åtagande enligt en viss överenskommelse och inte ett åtagande enligt en internationellt bindande överenskommelse.

Mot den bakgrunden bör det i lagförslaget tas in en bestämmelse om att uppgifter får behandlas om det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation.

Tillhandahållande av information till annan verksamhet inom Kustbevakningen

För att Kustbevakningen ska kunna fullgöra arbetsuppgifter som faller utanför den brottsbekämpande verksamheten behöver myndigheten i vissa fall ha tillgång till uppgifter som har samlats in för brottsbekämpande ändamål. Uppgifter som behandlas inom den brottsbekämpande verksamheten behöver alltså i viss utsträckning kunna tillhandahållas till annan verksamhet. Men en

Behandling av personuppgifter i den brottsbekämpande verksamheten Ds 2011:16

generell möjlighet att använda information, insamlad för brottsbekämpande ändamål, i annan verksamhet hos Kustbevakningen inger vissa betänkligheter från integritetssynpunkt, bl.a. därför att det skulle kunna leda till en omfattande spridning av information.

Den omständligheten att Kustbevakningen kan ha ett behov av att få del av information i den brottsbekämpande verksamheten bör, med hänsyn till vad som nyss nämnts, inte föranleda ett rutinmässigt tillhandahållande av sådana personuppgifter. Möjligheten att få tillgång till uppgifter av denna karaktär bör alltså förbehållas situationer i vilka det tydligt kan identifieras ett starkt behov i verksamheten. Det finns ett sådant behov för Kustbevakningen vad avser att använda personuppgifter som samlats in i den brottsbekämpande verksamheten dels i ärenden som rör vattenföroreningsavgift när det behövs för att utreda och besluta i sådana ärenden, dels när Kustbevakningen bedriver all tillsyn och kontroll som myndigheten är skyldig att utföra enligt lag eller förordning, t.ex. kontroll enligt utlänningslagen (2005:716) och tillsyn enligt förordningen (2006:311) om transport av farligt gods.

Ett överlämnande av personuppgifter från denna typ av brottsbekämpande verksamhet till annan verksamhet vid myndigheten, främst för att inrikta kontroll- och tillsynsverksamheten, sker redan idag regelmässigt.

Det föreslås därför att personuppgifter som har samlats in och behandlas i Kustbevakningens brottsbekämpande verksamhet även ska få behandlas i nu nämnda ärenden om detta är nödvändigt.

Tillhandahållande av information till myndigheter i vissa andra fall

Det finns även vissa andra fall där personuppgifter bör få behandlas av Kustbevakningen för utlämnande. Kustbevakningen måste ha möjlighet att behandla personuppgifter, om det behövs för att fullgöra författningsenliga förpliktelser att biträda en an-

Ds 2011:16 Behandling av personuppgifter i den brottsbekämpande verksamheten

nan svensk myndighet. En bestämmelse om detta bör därför tas in i lagförslaget.

En effektiv brottsbekämpning förutsätter samverkan inte bara mellan myndigheter som har till uppgift att bekämpa brott utan även mellan brottsbekämpande myndigheter och andra myndigheter. Sådan myndighetssamverkan förutsätter utbyte av information. Kustbevakningen bör därför ges möjlighet att behandla uppgifter för att tillhandahålla information till andra än brottsbekämpande myndigheter, när syftet är att samverka mot brott. Informationen bör få tillhandahållas om utlämnandet kan vara till nytta för den brottsbekämpande verksamheten. Begreppet samverkan kan omfatta flera olika former av samarbete. Exempel på samverkan är arbetet mellan polisen, Tullverket, Kustbevakningen och Migrationsverket vid gränskontroll.

Enligt 10 kap. 15 § offentlighets- och sekretesslagen (2009:400) hindrar sekretess inte att uppgift lämnas till regeringen eller riksdagen. Det bör därför i den här föreslagna lagen anges att personuppgifter får behandlas, om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen.

Det bör även anges att uppgifter får behandlas för att lämnas ut till andra, om Kustbevakningen enligt lag eller förordning är skyldig att tillhandahålla sådan information. En motsvarande bestämmelse finns i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och i polisdatalagen (2010:361). Med andra avses i sammanhanget såväl myndigheter som enskilda. Med skyldighet att lämna ut uppgifter avses dels uppgiftsskyldighet enligt 10 kap. 28 § första stycket offentlighets- och sekretesslagen, dels andra författningsreglerade skyldigheter att lämna ut uppgifter. Enligt 6 kap. 5 § offentlighets- och sekretesslagen ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Den bestämmelsen får anses innefatta en sådan skyldighet att lämna uppgifter som avses i den här föreslagna lagen (jfr prop. 2009/10:85 s. 121). Uppgiftsskyl-

Behandling av personuppgifter i den brottsbekämpande verksamheten Ds 2011:16

dighet till enskilda finns bl.a. i regleringen av förundersökningsförfarandet.

10. Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten

10.1. Uppgifter som får göras gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet

10.1.1. Förebygga, förhindra eller upptäcka brottslig verksamhet

Förslag: I Kustbevakningens arbete som avser att förebygga,

förhindra och upptäcka brottslig verksamhet ska enbart sådana personuppgifter få göras gemensamt tillgängliga som kan antas ha samband med misstänkt brottslig verksamhet som antingen innefattar brott för vilket är föreskrivet fängelse i ett år eller därutöver, eller som sker systematiskt.

Utredningens förslag: Innebär att i huvudsak motsvarande

bestämmelse ska gälla generellt i Kustbevakningens brottsbekämpande verksamhet, d.v.s. inte begränsas till gemensamt tillgängliga uppgifter.

Utredningen har dock ansett att bestämmelsen ska gälla vid misstanke om allvarlig brottslig verksamhet eller brottslighet som bedrivs systematiskt. Med allvarlig brottslig verksamhet har utredningen avsett verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller därutöver.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt el-

ler har inget att invända mot förslaget. Säkerhetspolisen har anfört att reglerna bör utformas så att Kustbevakningens behandling av uppgifter av detta slag begränsas till vad som är absolut nödvän-

Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten Ds 2011:16

digt och att endast de personer som arbetar med ärendet ska få tillgång till uppgifterna. Registernämnden har ansett att bestämmelserna bör utformas i överensstämmelse med motsvarande bestämmelse för tullen för att undvika missförstånd. Tullverket har förordat utredningens förslag framför motsvarande bestämmelse i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Skäl för förslaget

Den brottsliga verksamheten måste vara av allvarligare slag

I avsnitt 8.2 har redogjorts för de utgångspunkter och förslag som bör gälla vid behandling för personuppgifter som har gjorts gemensamt tillgängliga. I det sammanhanget har det faktum att behandling av gemensamt tillgängliga uppgifter medför särskilda risker för intrång i den enskildes personliga integritet berörts. Det är därför av vikt att begränsa möjligheterna till sådan behandling till de fall där behovet av att göra informationen gemensamt tillgänglig är mera påtagligt.

En första fråga är om den brottsliga verksamhet som underrättelsearbetet avser måste vara av allvarligare slag för att personuppgifter ska få göras gemensamt tillgängliga.

Utredningen har i denna del föreslagit att det ska vara fråga om brottslig verksamhet som innefattar fängelse i två år eller mer. I lagen (2005:787) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet uppställs ett liknande krav. Enligt den lagen får uppgifter behandlas om de ger anledning att anta att verksamhet som innefattar brott för vilket är föreskrivet fängelse i minst två år eller mer eller brott som sker systematiskt, har utövats eller kan komma att utövas (12 § första stycket 1).

Sedan tillkomsten av lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet och remitteringen av utredningens förslag om Kustbevakningens personuppgiftsbehandling har emellertid ny registerlagstiftning på det brottsbekämpande området tillkommit, främst den nya polisdatalagen. I propositionen som föregick den lagen (prop. 2009/10:85, s. 132

Ds 2011:16 Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten

f.) kom regeringen, efter ingående överväganden kring om gränsen skulle sättas vid ett eller två års fängelse, till ett annat resultat än vad som gäller enligt lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Regeringen konstaterade därvid att, om gränsen drogs vid ett istället för vid två års fängelse, så innebär det bl.a. att polisen får större möjlighet att behandla personuppgifter i underrättelseverksamhet angående brott som regleras inom specialstraffrätten. Av tradition har många sådana brott en annan straffskala än brottsbalksbrott. Samtidigt är det fråga om brott som kan drabba enskilda brottsoffer mycket hårt och som av det skälet bör kunna beivras effektivare. Vidare påpekades det faktum, att ju mindre allvarlig brottslig verksamhet det är fråga om desto mindre är som regel behovet av att sprida uppgifter, och att polisen ansvarar för att tillgången till uppgifter begränsas till den personal som behöver ha tillgång till dem för att kunna utföra sina arbetsuppgifter. Sammanfattningsvis ansåg regeringen att det i verksamhet för att förebygga, förhindra och upptäcka brott skulle vara möjligt att göra uppgifter gemensamt tillgängliga när den brottsliga verksamheten innefattar brott med ett års fängelse i straffskalan. Det finns inte anledning att frångå denna bedömning i det nu aktuella lagstiftningsärendet. I Kustbevakningens arbete som avser att förebygga, förhindra och upptäcka brottslig verksamhet ska således sådana personuppgifter få göras gemensamt tillgängliga, som kan antas ha samband med misstänkt brottslig verksamhet och som innefattar brott för vilket är föreskrivet fängelse i ett år eller därutöver. Därmed omfattas bl.a. sådana brott som sjöfylleri och fiskebrott enligt fiskelagen (1993:787).

Det förekommer även brottslighet där ett års fängelse inte ingår i straffskalan för det enskilda brottet, men där verksamheten kan misstänkas ske systematiskt. Det kan t.ex. röra sig om en person som för in en mindre mängd cigaretter, vilka hade fått införas om de var avsedda för privat bruk. Personen i fråga gör dock så frekventa resor att den totala mängden infört gods ger anledning att anta att det inte är för privat bruk utan för återförsäljning som införseln sker, s.k. myrtrafik. Intresset av en effek-

Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten Ds 2011:16

tiv brottsbekämpning talar för att Kustbevakningen bör kunna göra även personuppgifter, som har samband med misstänkt brottslig verksamhet som sker systematiskt, gemensamt tillgängliga. En sådan bestämmelse bör återfinnas i lagförslaget. En motsvarande ordning gäller för Tullverket och polisen.

Uppgifterna måste antas ha samband med den brottsliga verksamheten

En annan fråga är vilka personuppgifter som bör få göras gemensamt tillgängliga och därefter behandlas gemensamt. Det är en självklarhet att uppgifter om brottsmisstankar och om de personer som är misstänkta för delaktighet i brottslig verksamhet ska få behandlas. Även uppgifter om den som inte kan misstänkas måste emellertid kunna få behandlas. Som exempel kan nämnas uppgifter om den som har informerat Kustbevakningen om den misstänkta brottsliga verksamheten, uppgifter om en juridisk person som äger ett fartyg med hjälp av vilket den misstänkt brottsliga verksamheten bedrivs och uppgifter om anhöriga eller andra som genom sitt samröre med den misstänkte kan vara av intresse i underrättelsearbetet. Som förutsättning för att uppgifter av detta slag ska få behandlas bör dock gälla att uppgifterna har en koppling till misstänkt brottslig verksamhet. För att även sådana uppgifter ska kunna behandlas föreslås att uppgifter som kan antas ha samband med den misstänkt brottsliga verksamheten får behandlas.

Förslaget innebär att det i vissa fall kommer att vara möjligt att göra uppgifter om personer som inte själva är misstänka för vare sig ett konkret brott eller för att delta i viss brottslig verksamhet gemensamt tillgängliga. Att sådan behandling bör omgärdas av särskilda bestämmelser till skydd för den enskildes integritet är självklart. Det behövs bl.a. bestämmelser som förhindrar omotiverad spridning.

Frågan är då hur sådana skyddsregler lämpligen bör utformas. I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anges att personuppgifter av det nu diskuterade slaget får behandlas endast i ett ärende som rör viss preciserad

Ds 2011:16 Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten

brottslighet (12 § första stycket 2 och andra stycket). Dessutom uppställs den begränsningen att endast de som arbetar med ärendet ska få ha direkt tillgång till uppgifterna. Utredningen har föreslagit motsvarande begränsningar. Begränsningar av detta slag framstår emellertid som mindre ändamålsenligt för Kustbevakningens del. De skulle i alltför hög grad begränsa Kustbevakningens möjlighet att förebygga, förhindra och upptäcka brottslig verksamhet. Det är inte ovanligt att samma personer är inblandade i flera olika brottsliga aktiviteter som pågår i skilda delar av landet vid en och samma tidpunkt. Om endast de, som arbetar med det ärende där en viss uppgift har kommit fram, ges tillgång till uppgiften kommer det normalt inte att vara möjligt att upptäcka sambanden med brottsliga aktiviteter som bedrivs på andra håll. Sådana samband kan utgöra grunden för en brottsmisstanke mot en person som förekommer som ”kringperson” i flera utredningar om likartad brottslig verksamhet. Uppgifter om personer som har samband med brottslig verksamhet utan att vara misstänkta bör därför kunna behandlas gemensamt inom Kustbevakningen även utanför ett visst ärende. Samma ordning kommer att gälla för polisens del (jfr 3 kap. 2 § polisdatalagen och prop. 2009/10:85 s. 136 f.).

De särskilda risker för intrång i den personliga integriteten som detta skulle kunna innebära bör kunna motverkas genom bl.a. begränsningar i möjligheterna att genom sökning få fram särskilda slag av uppgifter. Den frågan behandlas i avsnitt 10.3. Dessutom bör det beträffande uppgifter som görs eller har gjorts gemensamt tillgängliga alltid framgå huruvida en person är misstänkt eller inte samt för vilket närmare slag av brottslig verksamhet som behandlingen sker, vilket utvecklas i avsnitt 10.2. Av stor betydelse i detta sammanhang är också den allmänna bestämmelse som föreslås i avsnitt 8.4 om att endast de personer som behöver uppgifterna för sitt arbete får ges tillgång till dem.

Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten Ds 2011:16

10.1.2. Utreda och beivra brott

Förslag: Personuppgifter i ärenden om utredning eller beiv-

rande av brott ska få göras gemensamt tillgängliga.

Utredningens förslag: Utredningen har inte föreslagit att

man ska skilja på uppgifter som är gemensamt tillgängliga och andra uppgifter. Utredningen anser att den begränsningen ska gälla, att endast de personer som arbetar med ärendet ska få ha direkt tillgång till uppgifterna. Regeringen ska dock få meddela föreskrifter om att även andra personer får ha tillgång till vissa särskilda kategorier av sådana uppgifter.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt

eller har inget att invända mot förslaget.

Skäl för förslaget: Det finns ett uppenbart behov för Kustbe-

vakningen att uppgifter som behandlas för att utreda och beivra brott måste kunna göras gemensamt tillgängliga för de tjänstemän som arbetar med utredningen. Att sådana uppgifter kan göras gemensamt tillgängliga är också en förutsättning för att direktåtkomst ska kunna ges till åklagare, som ofta leder förundersökningar. Det finns inte anledning att ställa upp något krav på att det ska vara fråga om utredning av allvarligare brott för att sådan behandling ska vara tillåten.

Av lagförslaget bör det således framgå att samtliga uppgifter som förekommer i ett ärende som avser utredning eller beivrande av brott får göras gemensamt tillgängliga.

I lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet föreskrivs som huvudregel att endast de personer som arbetar med ett ärende får ha direkt tillgång till uppgifterna som behandlas i ärendet. Utredningen har föreslagit en motsvarande bestämmelse. En följd av detta är att möjligheten att i annat sammanhang utnyttja uppgifter som behandlas inom ramen för en utredning försvåras. Det är inte rimligt att införa någon motsvarande bestämmelse för Kustbevakningen. I stället bör samma förutsättningar gälla för Kustbevakningen som polisen, d.v.s. att uppgifter som förekommer i ett

Ds 2011:16 Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten

ärende om utredning eller beivrande av brott ska få göras gemensamt tillgängliga. En sådan ordning ligger även i linje med den reglering som gäller för Kustbevakningen idag där åtkomsten till personuppgifter i kustbevakningsdatabasen, där nyss nämnda uppgifter behandlas automatiserat, är förbehållen de personer som p.g.a. sina arbetsuppgifter behöver ha tillgång till uppgifterna (11–13 §§ förordningen).

I en brottsutredning kan det vara av största betydelse att uppgifter snabbt kan inhämtas från andra brottsutredningar, så att det blir möjligt att bedöma om det finns några samband mellan utredningarna. Uppgifter i en förundersökning måste således kunna göras gemensamt tillgängliga för andra än de som arbetar med förundersökningen. I de flesta fall är det endast fråga om att göra vissa typer av uppgifter tillgängliga för andra än dem som arbetar med en viss förundersökning, inte att göra hela förundersökningen tillgänglig.

Det förhållandet att det öppnas en möjlighet att göra uppgifter om utredning av brott gemensamt tillgängliga innebär naturligtvis inte någon skyldighet att göra det. Uppgifter i vissa förundersökningar av särskilt känsligt slag bör sannolikt över huvud taget inte göras tillgängliga för andra än dem som arbetar med förundersökningen. I vilken utsträckning möjligheten bör utnyttjas överlämnas till Kustbevakningen att bestämma i det enskilda fallet.

10.1.3. Uppgifter som rapporteras till Kustbevakningens ledningscentraler

Förslag: Uppgifter som rapporteras till Kustbevakningens

ledningscentraler ska få göras gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet.

Utredningens förslag: Utredningen har inte behandlat frå-

gan.

Remissinstanserna har inte yttrat sig i frågan.

Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten Ds 2011:16

Skäl för förslaget: I varje region inom Kustbevakningen finns

en ledningscentral från vilken den operativa verksamheten inom myndigheten styrs. Vid ledningscentralen finns ett vakthavande befäl i tjänst dygnet runt. Frågor och larm kommer in till ledningscentralerna från såväl privatpersoner som samverkande myndigheter och organisationer, t.ex. Sjöräddningscentralen. Samtal till SOS Alarm kan också kopplas till Kustbevakningens ledningscentraler.

Ledningscentralerna tar emot och vidarebefordrar inkommande larm och andra meddelanden samt vidtar och samordnar åtgärder med anledning av larm. Till ledningscentralerna rapporterar kustbevakningstjänstemännen in händelser, iakttagelser och utförda uppdrag.

När en ledningscentral tar emot larm och meddelanden, antecknas det som rapporteras in. Vidare antecknas vilka åtgärder som vidtas med anledning av ett larm, exempelvis om en kustbevakningspatrull skickas till platsen där något har inträffat, t.ex. en plats där ett brott påstås ha begåtts. När patrullen har varit på platsen, rapporterar den till ledningscentralen vad som har hänt och vilka ytterligare åtgärder som bedöms vara nödvändiga. Uppgifter registreras om brottsplats eller plats för händelsen, tidpunkt för och typ av händelse samt övrig information som kan vara till hjälp vid en kommande insats. Bland uppgifterna finns också personuppgifter.

Uppgifterna i ledningscentralerna används normalt inte i den brottsbekämpande verksamheten för att söka efter information. Det är dock möjligt att använda uppgifterna för att få fram information till en pågående brottsutredning, t.ex. om vad som har rapporterats in till Kustbevakningen under en viss kortare tidsperiod eller på en viss plats.

Det är angeläget att Kustbevakningen på det sätt som beskrivits ovan kan dokumentera händelser och iakttagelser som har rapporterats till myndighetens ledningscentraler. För att en sådan dokumentation ska kunna användas som informationskälla är det också nödvändigt att uppgifterna får göras gemensamt tillgängliga. Som framgått av redogörelsen ovan kan emellertid det

Ds 2011:16 Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten

som rapporteras innehålla vilka personuppgifter som helst. Meddelandena kan således mycket väl innehålla uppgifter som inte annars får göras gemensamt tillgängliga enligt de andra bestämmelserna i den här föreslagna lagen. Det kan t.ex. röra sig om personer som enbart misstänks för brottslig verksamhet som inte innefattar sådana brott för vilket är föreskrivet ett års fängelse eller mer. Mot den bakgrunden föreligger det ett behov av att på ett tydligt sätt reglera sådana situationer bl.a. för att underlätta den praktiska hanteringen av personuppgiftsbehandling som sker vid Kustbevakningens ledningscentraler.

Lagförslaget bör innehålla en särskild bestämmelse som ger ett generellt stöd för den behandling av uppgifter som sker vid Kustbevakningens ledningscentraler. Uppgifterna bör få göras gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet.

10.1.4. Uppgifter i det internationella samarbetet

Förslag: Uppgifter i det internationella samarbetet ska få gö-

ras gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet, om det behövs för att fullgöra den aktuella förpliktelsen.

Utredningen behandlar inte frågan. Remissinstanserna har inte yttrat sig i frågan. Skäl för förslaget: En särskild fråga är hur man ska se på möj-

ligheten att göra uppgifter gemensamt tillgängliga när det gäller internationellt samarbete. I princip bör man kunna utgå från samma kriterier i det arbetet som vid personuppgiftsbehandling för nationella behov.

Kustbevakningens internationella kontakter är inte lika omfattande som polisens, där det förekommer dagligt utbyte via t.ex. Interpol av information om exempelvis stulna pass, stulna fordon, stulen konst och efterlysta personer. Interpol för olika register över sådana uppgifter och medlemsstaterna utbyter fort-

Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten Ds 2011:16

löpande information med varandra. Även Kustbevakningen deltar i Interpolsamarbetet.

I Sverige hanteras det dagliga Interpolarbetet av Enheten för internationellt polissamarbete (IPO) som är en del av Rikskriminalpolisen under Rikspolisstyrelsen. IPO fungerar som kontaktpunkt vid allt internationellt polisiärt samarbete som inte sker genom direktkontakter mellan myndigheterna. Där samordnas bland annat Interpol-, Europol- och Schengensamarbetet samt det nordiska polis- och tullsamarbetet. IPO utgör en länk till internationella underrättelsekanaler och myndigheter. Vid enheten bearbetas och vidarebefordras information. Personalen på IPO har tillgång till en mängd register, både nationella och internationella, till exempel register över stulna pass och DNA-, fordons- och belastningsregister. Vanliga åtgärder som går genom Interpol är begäran om förhör, efterlysningar av försvunna och häktade personer, fastställande av personers identitet och uppgifter om fordon i samband med brott.

När en svensk myndighet sänder en internationell efterlysning till Interpol sker detta som ett led i den svenska brottsbekämpningen. Uppgifterna har då gjorts gemensamt tillgängliga med stöd av de regler som föreslås i avsnitt 10.1.2 och 10.1.3.

När Kustbevakningen tar emot uppgifter från andra länder om internationella efterlysningar beror det på att den andra staten vill ha bistånd med upplysningar om var det efterlysta föremålet finns (och eventuellt med ett ingripande i form av beslag) eller hjälp med att ingripa mot den efterlysta personen om denne påträffas i Sverige. Upplysningarna om efterlysta personer och efterlysta föremål måste därför kunna vidarebefordras till i princip all personal som berörs av en sådan begäran. För att Kustbevakningen ska kunna fullgöra de uppgifter som följer av internationella åtaganden i nu aktuella hänseenden måste således personuppgifter i viss utsträckning kunna göras gemensamt tillgängliga.

Ett annat exempel där det kan krävas att uppgifter görs gemensamt tillgängliga är förundersökningar som bedrivs parallellt i Sverige och i en annan stat och som gäller brott och

Ds 2011:16 Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten

brottsmisstankar som har samband med varandra. Även underrättelseuppgifter som lämnas till Sverige som ett led i allmänt informationsutbyte kan behöva behandlas gemensamt för att Kustbevakningen ska kunna bidra med sina kunskaper.

Sammanfattningsvis bör lagförslaget ge utrymme för Kustbevakningen att göra uppgifter som behandlas inom ramen för internationellt samarbete gemensamt tillgängliga. Mot bakgrund av de särskilda risker för intrång i den enskildes personliga integritet som behandling av gemensamt tillgängliga uppgifter kan medföra bör behandlingen begränsas till de fall där behovet är mera påtagligt. När det gäller personuppgifter som behandlas för att fullgöra internationella åtaganden bör därför dessa få göras gemensamt tillgängliga endast om det krävs för att förpliktelsen ska kunna fullgöras. Lagförslaget bör innehålla en uttrycklig bestämmelse om detta.

10.2. Särskilda upplysningar för gemensamt tillgängliga uppgifter

Förslag: Vid behandling av gemensamt tillgängliga uppgifter

ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål uppgifterna behandlas. Om en uppgift direkt kan hänföras till en person som inte är misstänkt vare sig för visst brott eller för att ha utövat eller komma att utöva allvarlig eller systematisk brottslig verksamhet, ska det på samma sätt framgå att personen i fråga inte är misstänkt.

Uppgifter, som avser en person som kan antas ha samband med misstänkt brottslig verksamhet, ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta på grund av särskilda omständigheter är onödigt.

Utredningens förslag: Utredningens förslag är inte begränsat

till gemensamt tillgängliga uppgifter. Utredningen har föreslagit

Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten Ds 2011:16

att uppgifter om en person som inte är misstänkt för visst brott ska förses med särskild upplysning om detta, om det inte på annat sätt klart framgår att personen inte är registrerad som misstänkt för visst brott. Saknas grundad anledning att anta att personen har utövat eller kan komma att utöva sådan brottslig verksamhet, eller verksamhet som innefattar brott som sker systematiskt, ska upplysningen omfatta även detta.

Remissinstanserna: Remissinstanserna har tillstyrkt eller har

inget att invända mot förslaget.

Skäl för förslaget

Upplysning om ändamålet med behandlingen

Både integritetsskyddsskäl och verksamhetsskäl talar för att det av den här föreslagna lagen bör framgå för vilket ändamål en uppgift som har gjorts gemensamt tillgänglig behandlas.

Från integritetssynpunkt har en precisering av för vilket ändamål en personuppgift behandlas betydelse bl.a. för möjligheterna att genom tekniska förfaranden eller administrativa bestämmelser kunna styra åtkomsten till vissa uppgifter. En upplysning om ändamålet med behandlingen kan vidare vara en förutsättning för att tillsynsmyndigheterna ska kunna kontrollera att viss behandling är berättigad och sker i enlighet med lagens bestämmelser.

Vad avser verksamhetsskälen är information om ändamålet med behandlingen viktig för att de tjänstemän som får tillgång till personuppgifter ska kunna värdera uppgifterna korrekt och använda sig av dem på ett effektivt och lagenligt sätt. Informationen behövs bl.a. för att en tjänsteman ska kunna ta ställning till om uppgiften får och bör behandlas för ett nytt ändamål.

En särskild bestämmelse bör därför tas in i lagförslaget som innebär att när en personuppgift behandlas, det antingen genom en särskild upplysning eller på något annat sätt framgår för vilket närmare ändamål behandlingen sker.

I linje med utgångspunkten att några särskilda upplysningar inte behövs när det ändå framgår varför en viss uppgift behandlas, föreslås inte några motsvarande bestämmelser för uppgifter

Ds 2011:16 Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten

som inte har gjorts gemensamt tillgängliga. Om t.ex. uppgifter förekommer i en enskild tjänstemans dator eller behandlas i en liten, klart avgränsad projektgrupp vet handläggande tjänsteman varifrån uppgiften har kommit, varför den behandlas och om en omnämnd person är misstänkt för att utöva brottslig verksamhet eller inte (jfr 2009/10:85 s. 147).

Upplysning om att personen inte är misstänkt för brott eller brottslig verksamhet

Av stor betydelse för skyddet av den personliga integriteten är att Kustbevakningen behandlar personuppgifter på ett sådant sätt att det klart framgår om en person är misstänkt för brott eller brottslig verksamhet eller om behandlingen sker av någon annan anledning.

Utredningen har framhållit att utgångspunkten när det kommer till särskilda upplysningar är att sådana inte behöver lämnas när det av sammanhanget inte kan uppstå några tvivel om varför uppgifterna i fråga behandlas och det därför inte föreligger risk för att någon av misstag kan uppfattas som misstänkt för brott eller för brottslig verksamhet. Promemorians förslag följer utredningens bedömning. Det kan bl.a. av sammanhanget på annat sätt klart framgå att personen inte är registrerad som misstänkt för brott eller brottslig verksamhet. I en förundersökning kan det t.ex. anges att någon är försvarare för en misstänkt person eller så kan det av uppgiftssamlingens natur klart framgå att de personer som ingår i samlingen inte är registrerade som misstänka för brottslig verksamhet.

I denna promemoria föreslås därför att det i lagförslaget slås fast att uppgifter om en person som inte är misstänkt vare sig för ett konkret brott eller för att ha utövat eller kan komma att utöva brottslig verksamhet ska förses med en särskild upplysning om detta förhållande. Det kan anmärkas att det redan idag finns krav på särskilda upplysningar vid behandlingen av personuppgifter inom Kustbevakningen. Av förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen (10 § andra stycket) framgår nämligen att vissa uppgifter om en person

Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten Ds 2011:16

som behandlas i den brottsbekämpande verksamheten ska förses med en särskild upplysning bl.a. om att personen inte misstänks för något visst brott eller om en uppgiftslämnares trovärdighet och uppgifternas riktighet i sak.

Som har framhållits i det föregående kan det framgå av omständigheterna att en uppgift avser en person som t.ex. inte är misstänkt. Vidare behöver inte enskilda uppgifter i förhör, inlagor eller i bild- och ljudupptagningar förses med särskilda upplysningar, eftersom det i dessa fall normalt framgår av sammanhanget om en omnämnd – eller på bild synlig person – inte är misstänkt. Det är, som tidigare nämnts, framför allt när uppgifter presenteras utanför sitt sammanhang som det kan behövas särskilda upplysningar.

En viss uppgiftssamling kan också vara sådan till sin natur att det är uppenbart att de personer som ingår i samlingen inte är registrerade som misstänkta, exempelvis en förteckning över målsägande.

Upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak

I Europarådets rekommendation No. R (87) 15 om användningen av personuppgifter inom polissektorn anges att skilda kategorier av lagrade uppgifter så långt som möjligt ska kunna skiljas från varandra efter graden av riktighet och tillförlitlighet (princip 3.2). I synnerhet ska uppgifter som grundar sig på fakta kunna skiljas från uppgifter som har sin grund i omdömen eller personliga värderingar. Det ska således gå att utläsa om den som lämnat uppgifter som sedan registreras kan anses vara tillförlitlig samt graden av riktighet i sak, t.ex. om informationen består av kontrollerade fakta eller endast icke styrkta påståenden. I 16 § andra stycket lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet föreskrivs att uppgifter om en person som kan antas ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Numera finns en motsvarande

Ds 2011:16 Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten

bestämmelse för polisens del i 3 kap. 4 § andra stycket polisdatalagen (2010:361).

Enligt promemorians förslag kommer det att vara möjligt att i en och samma uppgiftssamling sammanföra uppgifter med skiftande grad av tillförlitlighet. Mot den bakgrunden finns det fog för att i den nya lagen ställa upp ett krav på tilläggsupplysningar motsvarande 16 § andra stycket lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och 3 kap. 4 § andra stycket polisdatalagen. I lagförslaget bör det alltså tas in en bestämmelse om att uppgifter om personer som kan antas ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Vid personuppgiftsbehandling inom Kustbevakningens verksamhet uppställs redan idag vissa krav på upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak (10 § andra stycket förordningen om behandling av personuppgifter inom Kustbevakningen).

I denna promemoria föreslås emellertid, till skillnad från utredningen, att bestämmelsen endast ska gälla för uppgifter som har gjorts gemensamt tillgängliga. Behovet av en upplysning av detta slag är nämligen ganska litet så länge den behandlade uppgiften inte har gjorts gemensamt tillgänglig.

När det gäller personuppgiftsbehandling som sker inom ramen för en förundersökning som rör ett konkret brott, framgår det som regel direkt av sammanhanget varför det har ansetts finnas fog för att behandla uppgifter, t.ex. av förhörsprotokoll eller vittneslistor. Risken för missuppfattningar inom ramen för handläggningen av en sådan utredning är därför liten. Det föreslås därför att bestämmelsen inte bör gälla personuppgiftsbehandling inom ramen för brottsutredning utan enbart underrättelseverksamhet.

Slutligen bör det finnas utrymme för att inte lämna någon tilläggsupplysning i situationer där upplysningen framstår som överflödig. Så kan vara fallet beträffande personuppgifter av helt ”neutral” karaktär, exempelvis uppgifter som har inhämtats från folkbokföringen, vägtrafikregistret och liknande källor. En upp-

Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten Ds 2011:16

lysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak saknar betydelse beträffande sådana uppgifter.

Sammanfattningsvis bör det framgå av den här föreslagna lagen att uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet, och som gjorts gemensamt tillgängliga, ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta på grund av särskilda omständigheter skulle sakna betydelse.

10.3. Sökbegränsningar för gemensamt tillgängliga uppgifter

10.3.1. Känsliga personuppgifter som sökbegrepp

Förslag: Känsliga personuppgifter ska inte få användas som

sökbegrepp vid sökning i personuppgifter som har gjorts gemensamt tillgängliga i den brottsbekämpande verksamheten. Det ska dock inte finnas något hinder mot att använda brottsrubriceringar eller uppgifter som beskriver en persons utseende som sökbegrepp.

Utredningens förslag: Överensstämmer i huvudsak med

promemorians.

Remissinstanserna: Har tillstyrkt eller har inte haft något att

invända mot förslaget.

Skäl för förslaget: Vissa slag av uppgifter är till sin natur sär-

skilt integritetskänsliga, i synnerhet uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör hälsa eller sexualliv. Detta kommer till uttryck bl.a. genom bestämmelser i dataskyddsdirektivet och dataskyddsrambeslutet (se avsnitt 3.2.4 och avsnitt 3.5.1) om särskilda begränsningar i rätten att behandla känsliga personuppgifter. I avsnitt 8.7 föreslås därför att känsliga personuppgifter som huvudregel inte får behandlas, men att uppgifter om en person som behandlas på annan

Ds 2011:16 Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten

grund ska få kompletteras med känsliga personuppgifter bl.a. när det är absolut nödvändigt för syftet med behandlingen. Det innebär att det i Kustbevakningens olika uppgiftssamlingar kommer att finnas känsliga personuppgifter.

Sökning på känsliga personuppgifter inger särskilda betänkligheter. Förutom innehåll i och åtkomst till sådana uppgifter är frågan om på vilket sätt uppgifter kan sammanställas en av de viktigare från integritetssynpunkt. Ju större möjligheter det finns att i olika konstellationer sammanställa uppgifter om enskilda, desto större blir riskerna för otillbörliga intrång i enskildas integritet. En metod som kan användas för att förhindra att det görs oönskade sammanställningar är att begränsa sökmöjligheterna.

Det är framför allt då det gäller känsliga personuppgifter som det av integritetsskäl finns anledning att ha rättsliga begränsningar för vilka uppgifter som ska få användas vid sökning efter uppgifter. I denna promemoria föreslås därför att det inte bör vara möjligt att använda känsliga personuppgifter som sökbegrepp vid eftersökande av information inom ramen för Kustbevakningens verksamhet, oavsett för vilket ändamål uppgifterna behandlas. Bestämmelsen bör dock utformas så, att den endast omfattar sökning i gemensamt tillgängliga uppgifter, eftersom det är vid sökning i mer omfattande informationsmängder som risken för integritetskränkning gör sig gällande. Uppgifter som beskriver en persons utseende bör dock få användas som sökbegrepp. Det gäller signalementsuppgifter om t.ex. kroppsbyggnad, ansiktsform, hår- och hudfärg, klädsel och fysiska kännetecken såsom födelsemärken, blindhet och tatueringar. Detta – som överensstämmer med vad som gäller enligt 20 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och 3 kap. 5 § polisdatalagen (2010:361) – föreslås komma till uttryck i lagförslaget. Som anförts i det föregående ska dock uppgifter som beskriver en persons utseende alltid utformas på ett objektivt sätt med respekt för människovärdet.

Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten Ds 2011:16

Vidare bör framhållas att bestämmelsen inte hindrar sökning på brottsrubriceringar. Detta bör tydliggöras i den föreslagna lagtexten.

10.3.2. Sökning på namn, personnummer eller samordningsnummer m.m.

Förslag: Vid sökning på namn, personnummer, samord-

ningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga, ska sådana uppgifter få tas fram som anger att den sökta personen

1. är anmäld för brott,

2. är eller har varit misstänkt för brott,

3. är misstänkt för att ha utövat eller komma att utöva viss brottslig verksamhet,

4. har anmält brott,

5. är målsägande i ett ärende som rör ansvar för brott,

6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

7. har gett in eller tillhandahållits en handling,

8. är anmäld försvunnen,

9. har bedömts kunna möta ett ingripande med grovt våld, eller

10. är efterlyst. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om begränsning av tillgången till uppgifterna.

De nu angivna begränsningarna ska dock inte gälla vid sökning i en viss handling eller i ett visst ärende. De ska inte heller gälla vid sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet och som enbart de som arbetar i undersökningen har tillgång till.

Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om under vilka förutsättningar sökning får äga rum.

Ds 2011:16 Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten

Regeringen får meddela föreskrifter om ytterligare undantag från bestämmelserna om sökbegränsningar.

Utredningens förslag: Utredningen – vars förslag inte är be-

gränsat till gemensamt tillgängliga uppgifter – har föreslagit att namn, personnummer och samordningsnummer ska få användas som sökbegrepp i den brottsbekämpande verksamheten endast om uppgifterna avser en person som är misstänkt för visst brott eller kan antas utöva brottslig verksamhet. Sökning får dock ske avseende en person annan än den misstänkte, om sökningen avser ett visst ärende eller en viss handling. Vidare får sökning ske efter den som en handling kommit in från eller expedierats till i ett ärende.

Vid sökning efter en handling som kommit in eller upprättats i ett ärende får endast följande uppgifter användas som sökbegrepp:

1. uppgift från vem handlingen har kommit in eller till vem den har expedierats,

2. datum då handlingen kom in eller upprättades,

3. diarienummer eller annan beteckning som har åsatts handlingen, och

4. uppgifter som i korthet beskriver vad handlingen rör.

Remissinstanserna: Remissinstanserna har tillstyrkt eller har

inget att invända mot förslaget.

Skäl för förslaget

Får sökning göras på personnummer och liknande uppgifter?

I avsnitt 10.3.1 har användningen av känsliga personuppgifter som sökbegrepp behandlats. Förslaget innebär att känsliga personuppgifter inte får användas som sökbegrepp vid sökning i personuppgifter som har gjorts gemensamt tillgängliga, men att det inte ska finnas något hinder mot att använda brottsrubriceringar eller uppgifter som beskriver en persons utseende som sökbegrepp.

Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten Ds 2011:16

Utgångspunkten när det kommer till utformningen av sökbegränsningar för gemensamt tillgängliga uppgifter i Kustbevakningens brottsbekämpande verksamhet är att myndigheten inte vid varje tillfälle och varje situation ska kunna göra en sökning som kan leda till en kartläggning av om en viss person förekommer i denna del av verksamheten. Frågan är då hur Kustbevakningens informationsinhämtning ska begränsas.

Det är självklart att Kustbevakningen behöver göra sökningar bl.a. med hjälp av personnummer. Namn och personnummer är viktiga för identifieringen av en person och kontrolleras regelmässigt i samband med brottsutredningar och annat brottsbekämpande arbete. Detsamma gäller samordningsnummer, dvs. sådana identitetsbeteckningar som enligt 19 a § folkbokföringslagen (1991:481) kan tilldelas personer som inte är eller har varit folkbokförda i Sverige. Personuppgifter av nu aktuellt slag måste i stor utsträckning användas i brottsutredningar för att undanröja risken för personförväxling. Det är uppenbart att möjligheten att göra sökningar på sådana uppgifter även kan vara av betydelse vid underrättelseverksamhet. Det bör t.ex. vara möjligt att inom ramen för det arbete som bedrivs i en undersökning som avser viss misstänkt brottslig verksamhet söka fram uppgifter om huruvida de personer som figurerar i det ärendet också är eller har varit misstänkta i andra ärenden. Det ökar möjligheterna att förhindra, upptäcka och beivra brott väsentligt. Lagförslaget bör därför ge utrymme för sökningar på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar.

Samtidigt är det tydligt att användandet av detta slag av uppgifter som sökbegrepp ger upphov till särskilda risker från integritetssynpunkt. En sökning på exempelvis ett personnummer ger, i vart fall om den sker i en större informationsmängd av den karaktär som kan finnas i den brottsbekämpande verksamheten, möjlighet till ingående kartläggningar av en persons privata förhållanden. Från ett integritetsperspektiv är därför sådana sökningar ägnade att inge betänkligheter. Mot den bakgrunden bör en obegränsad möjlighet att göra sökningar med hjälp av detta slag av uppgifter inte komma i fråga. Frågan är om det, som ut-

Ds 2011:16 Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten

redningen har föreslagit, i lagförslaget bör tas in en bestämmelse motsvarande 21 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Enligt den bestämmelsen får namn, personnummer och samordningsnummer användas som sökbegrepp bara om uppgifterna avser en person som är misstänkt för något visst brott eller viss brottslig verksamhet. En sådan bestämmelse är dock inte ändamålsenlig i Kustbevakningens brottsbekämpande verksamhet. En dylik bestämmelse tillåter nämligen inte att det görs sökningar som kan vara nödvändiga inom ramen för ett underrättelseprojekt eller en brottsutredning. I ett sådant projekt/en sådan utredning kan det vara av vikt att kunna klarlägga om personer som har anknytning till den undersökta verksamheten – men som vid den tidpunkten inte är misstänkta – förekommer som misstänkta i andra underrättelseprojekt eller i brottsutredningar som gäller liknande brott. Det kan också vara viktigt att få fram uppgifter om att en viss person frekvent anmäler brott, eftersom det kan ha betydelse för dennes trovärdighet. Mot bakgrund härav bör möjligheten att söka på namn, personnummer och liknande identitetsuppgifter också omfatta andra än misstänkta personer i vissa fall.

När det kommer till uppgifter om juridiska personer behandlas sådana i Kustbevakningens verksamhet bl.a. på grund av att juridiska personer inte sällan äger fartyg och andra transportmedel. Vid utredning och kartläggning av brott är sökning på firma eller organisationsnummer för att hitta samband och kopplingar mellan olika personer en viktig del i Kustbevakningens brottsbekämpande arbete. Det finns således ett tydligt behov av att kunna söka på uppgifter om juridiska personer. Behovet av integritetsskydd bedöms inte vara lika stort för juridiska personer som för fysiska personer. Till detta kommer att uppgifter om juridiska personer i stor utsträckning redan förekommer i offentliga register, bl.a. hos Bolagsverket. Idag är det även möjligt att få tillgång till sådana uppgifter via Internet. Samma skäl gör sig gällande beträffande fordonsnummer och fartygsnamn. Därför finns inte skäl att föreslå några bestämmelser som begränsar

Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten Ds 2011:16

möjligheten att göra sökningar beträffande juridiska personer, fordonsnummer och fartygsnamn.

Vilka uppgifter bör få tas fram?

Vid sökningar på namn, personnummer och liknande identitetsuppgifter bör enbart vissa slag av uppgifter om den person som sökningen avser kunnas tas fram. En regel om sökbegränsningar måste dock utformas så att uppgifter som det generellt sett finns ett stort behov av får tas fram. Frågan är då vilka uppgifter som är sådana att de bör ingå i träffbilden vid en sökning som omfattas av sökbegränsningar.

Först och främst bör det vara möjligt att ta fram uppgifter som anger att den sökte har anmälts för brott eller är misstänkt för brott eller för allvarlig brottslig verksamhet. Med allvarlig brottslig verksamhet avses här detsamma som i avsnitt 10.1.1, dvs. verksamhet som innefattar brott för vilket kan följa fängelse i ett år eller däröver. Vidare bör det vara möjligt att få fram uppgift om huruvida en person har anmält ett brott eller om han eller hon är målsägande eller vittne i en brottsutredning. Det bör också vara möjligt att få fram uppgift om en handling har lämnats in av eller expedierats till personen i fråga.

Även uppgiften att en person är anmäld försvunnen, har bedömts kunna möta ett ingripande med grovt våld eller är efterlyst är viktig information i Kustbevakningens arbete. I denna promemoria föreslås därför att sådana uppgifter också bör få tas fram vid en sökning.

Det som nu har sagts avser endast begränsningar av den initiala sökningen. En allmän sökning som görs med hjälp av personnummer eller motsvarande identitetsbeteckning ska alltså, enligt promemorians förslag, endast ge uppgifter om huruvida vederbörande tillhör någon eller några av de kategorier som nyss har angetts. Sedan man väl har fått träff på en viss person, exempelvis som misstänkt för brott i en viss förundersökning, ska ytterligare uppgifter kunna tas fram genom en fortsatt behandling i den uppgiftsmängden. Möjligheten att få tillgång till ytterligare uppgifter, kanske hela förundersökningen, avgörs av vilken be-

Ds 2011:16 Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten

hörighet den berörda tjänstemannen har och om behandlingen behövs för något av ändamålen i den föreslagna lagen.

De integritetsrisker som motiverar den föreslagna inskränkningen i möjligheten att söka fritt gör sig dock inte på samma sätt gällande när det är fråga om sökningar i ett begränsat material. Den bör därför inte gälla vid sökning som sker inom ramen för ett visst ärende eller en viss handling.

För vissa delar av den brottsbekämpande verksamheten kan den nu föreslagna begränsningsregeln emellertid leda till problem. Det gäller t.ex. en del arbete som sker inom ramen för en begränsad undersökning och som avser vissa preciserade slag av brottslighet (t.ex. smugglingsbrott i en viss region). I sådant arbete upprättas ofta särskilda uppgiftssamlingar som syftar till att kartlägga brottsligheten. Endast de tjänstemän som deltar i undersökningen har tillgång till uppgiftssamlingarna i fråga. Det bör vara möjligt för dessa att göra obegränsade sökningar. I denna promemoria föreslås därför att begränsningsregeln inte ska gälla vid sökning i en uppgiftssamling som har skapats för att undersöka vissa preciserade slag av brottslighet och som enbart de som arbetar i undersökningen har åtkomst till.

Möjligheten att vid en sökning få fram vissa typer av personuppgifter kan behöva begränsas ytterligare. Det kan t.ex. handla om personuppgifter av vilka det framgår att någon är eller har varit misstänkt för brott som förekommer i en nedlagd förundersökning eller underrättelseinformation, som typiskt sett är av mera integritetskänsligt slag. Det kan därför i vissa fall finnas skäl att begränsa sökmöjligheterna till sådana uppgifter än mer. Det föreslås därför att det i lagen införs en bestämmelse som ger regeringen eller den myndighet som regeringen bestämmer möjlighet att meddela föreskrifter om ytterligare begränsningar av tillgången till sådana uppgifter. I sammanhanget påminns om förslaget i avsnitt 8.4 om att tillgången till personuppgifter i Kustbevakningens verksamhet ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

11. Informationsutbyte i brottsbekämpande verksamhet

11.1. Behovet av ett effektivt informationsutbyte mellan brottsbekämpande myndigheter

Bedömning: En effektiv brottsbekämpning förutsätter att de

brottsbekämpande myndigheterna kan utbyta information på ett rationellt sätt.

Utredningen har inte behandlat frågan. Remissinstanserna: Några remissinstanser har allmänt pekat

på behovet av ökat informationsutbyte mellan brottsbekämpande myndigheter.

Skäl för bedömningen

Samarbetet mellan de brottsbekämpande myndigheterna har blivit allt viktigare i det brottsförebyggande och brottsutredande arbetet. Ett effektivt och framgångsrikt arbete mot brottsligheten förutsätter att man kan dra nytta av den samlade kunskap om brott och brottslingar som finns hos andra brottsbekämpande myndigheter.

Uppdelningen av den brottsbekämpande verksamheten på flera fristående myndigheter har emellertid i stor utsträckning kommit att styra möjligheterna till informationsutbyte, eftersom det kan råda sekretess mellan myndigheterna. Det har i viss mån påverkat effektiviteten i brottsbekämpningen. Behovet av informationsutbyte mellan de brottsbekämpande myndigheterna är särskilt stort när det gäller att kartlägga och begränsa organiserad brottslighet, men det finns även behov av sådant samarbete för att angripa brottslighet av mera vardagligt slag. Av samma skäl som det är viktigt att man inom Kustbevakningen på ett effektivare sätt än idag kan tillgodogöra sig den information som finns

Informationsutbyte i brottsbekämpande verksamhet Ds 2011:16

inom den egna organisationen, är det viktigt att nyttiggöra information i samarbete med andra brottsbekämpande organ.

Möjligheten till informationsutbyte mellan olika myndigheter är således av central betydelse i det brottsbekämpande arbetet. Ett förbättrat informationsutbyte skapar bättre förutsättningar för att utnyttja de samlade resurserna effektivt och därmed också för att brott ska kunna klaras upp snabbare och i större utsträckning.

Mot de fördelar som ett ökat informationsutbyte innebär ska ställas att ett ökat flöde av uppgifter mellan myndigheter kan skapa större risker för intrång i den personliga integriteten. Även insamling och utbyte av förhållandevis harmlösa uppgifter kan, om de skapar en totalbild av en enskilds personliga förhållanden, riskera att leda till intrång i den personliga integriteten. Ett väl fungerande informationsutbyte mellan brottsbekämpande myndigheter behöver emellertid inte vara till nackdel för de personer som berörs av en brottsutredning. Tvärtom kan såväl brottsoffer som misstänkta ibland ha ett gemensamt intresse av att brott klaras upp snabbt och att lagföring kommer till stånd i de fall där bevisningen är tillräcklig samt att felaktiga eller otillräckligt underbyggda brottsmisstankar avförs så snabbt som möjligt.

Risken för ökade intrång i den personliga integriteten genom informationsutbyte mellan myndigheter måste också ses i ljuset av att det numera i princip råder samma sekretess för uppgifter om brottsbekämpning hos alla berörda myndigheter. Även om det kan finnas nackdelar med ett ökat informationsflöde mellan de brottsbekämpande myndigheterna får sammantaget fördelarna anses väga över.

Det ligger i sakens natur att informationsutbytet till stor del avser uppgifter som omfattas av sekretess, eftersom de flesta av de uppgifter som behandlas inom olika myndigheters brottsbekämpande verksamhet skyddas av sekretess. En grundläggande förutsättning för att uppgifter ska få lämnas till en annan myndighet är att sekretess inte hindrar att uppgifterna lämnas ut. Detta gäller oberoende av om det rör sig om elektroniskt lagrade uppgifter eller uppgifter på papper. I offentlighets- och sekre-

Ds 2011:16 Informationsutbyte i brottsbekämpande verksamhet

tesslagen (2009:400) finns emellertid ett antal bestämmelser som innebär att sekretess inte hindrar utbyte av uppgifter mellan nationella brottsbekämpande myndigheter.

Med stöd av hänvisningar i offentlighets- och sekretesslagen finns det dessutom en möjlighet att meddela sekretessbrytande föreskrifter i andra lagar och förordningar, se 10 kap. 28 § offentlighets- och sekretesslagen. Det bör övervägas om den här föreslagna lagen ska innehålla sådana bestämmelser. Behovet av sekretessbrytande bestämmelser behandlas i avsnitt 12.

Det pågår ett fortlöpande arbete med att utveckla system för informationsutbyte inom och mellan brottsbekämpande myndigheter. Inom ramen för arbetet med rättsväsendets informationsförsörjning (i vilket polisen, Domstolverket, Åklagarmyndigheten, Ekobrottsmyndigheten, Kriminalvården, Brottsförebyggande rådet, Brottsoffermyndigheten, Kustbevakningen, Tullverket och Skatteverket deltar) pågår ett arbete som syftar till att införa ett elektroniskt, enhetligt strukturerat, informationsflöde i brottsmålsprocessen. Flera utredningar har också under senare år betonat att det måste skapas förutsättningar för ett förbättrat utbyte av information mellan de brottsbekämpande myndigheterna (se bl.a. SOU 2002:113, 2005:117 och 2006:18). Den gemensamma uppfattningen hos dessa utredningar har varit att en brottsbekämpande myndighet ska kunna lämna information till en annan sådan myndighet, om den senare myndigheten behöver informationen i sin brottsbekämpande verksamhet. Informationsutbytet sker idag framförallt på manuell väg, efter en begäran från en myndighet i ett enskilt fall eller genom spontant uppgiftsutlämnande. Det kan röra sig både om utlämnande av uppgifter i pappersform och om olika former av elektroniskt utlämnande, t.ex. via e-post. I viss utsträckning förekommer utlämnande genom att mottagaren ges rätt att själv söka efter information som den utlämnande myndigheten har tillgång till (direktåtkomst).

En ordning som innebär att informationsutbytet i huvudsak sker genom manuell behandling skapar praktiska problem, särskilt som brottsbekämpningen bedrivs dygnet runt. Uppgifter

Informationsutbyte i brottsbekämpande verksamhet Ds 2011:16

som en tjänsteman behöver omedelbart för att kunna genomföra en tjänsteåtgärd måste vara lätt tillgängliga även utanför vanlig kontorstid. Elektronisk åtkomst till uppgifter utan föregående begäran är således inte bara ett enkelt och arbetsbesparande sätt att lämna ut information utan ibland det enda i praktiken möjliga sättet att göra uppgifterna tillgängliga när de behövs.

Mot denna bakgrund står det klart att det finns ett ökande behov av ett effektivt informationsutbyte mellan de brottsbekämpande myndigheterna och att detta måste kunna tillgodoses genom ökad användning av elektronisk kommunikation. Regeringen har även i ett annat lagstiftningsärende framhållit att ett utökat elektroniskt informationsutbyte mellan myndigheter är ett nödvändigt steg i samhällets IT-utveckling (prop. 2007/08:160 s. 49). Den här föreslagna lagen bör således underlätta sådant informationsutbyte och bidra till att utveckla samarbetet med andra brottsbekämpande myndigheter, samtidigt som den ska värna om den enskildes integritet.

En fråga som måste övervägas särskilt är i vilken form uppgifterna bör få lämnas ut, t.ex. om utlämnande bör få ske genom direktåtkomst. Den frågan behandlas i avsnitt 11.3. Utlämnande på medium för automatiserad behandling – både till svenska och utländska mottagare – har behandlats i avsnitt 8.8.

11.2. Utgångspunkterna för informationsutbyte i det internationella samarbetet

Bedömning: Det internationella utbytet av information spe-

lar en viktig roll för bekämpningen av framför allt allvarlig och gränsöverskridande brottslighet.

Utredningen har inte behandlat frågan. Remissinstanserna: Några remissinstanser har allmänt pekat

på behovet av ett ökat informationsutbyte mellan brottsbekämpande myndigheter. Kustbevakningen har särskilt framhållit vikten av att kunna samverka internationellt.

Ds 2011:16 Informationsutbyte i brottsbekämpande verksamhet

Skälen för bedömningen: Av samma skäl som ett ökat in-

formationsutbyte mellan svenska myndigheter bidrar till en effektivare brottsbekämpning gör även internationellt samarbete i brottsbekämpande syfte det. Det är framför allt vid bekämpningen av allvarlig och gränsöverskridande brottslighet som det internationella informationsutbytet har betydelse. Utan sådant informationsutbyte skulle exempelvis bekämpningen av narkotikasmuggling, människohandel, penningtvätt och många andra typer av allvarliga brott inte kunna bedrivas lika framgångsrikt.

Dessutom har Sverige, som framgått tidigare, genom olika internationella överenskommelser åtagit sig att överlämna information som härrör från brottsbekämpande verksamhet dels till brottsbekämpande myndigheter i andra länder, dels till Interpol och Europol.

Under senare år har det polisära samarbetet mellan länderna inom EU utvecklats snabbt. Rådets rambeslut 2006/960 RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater har genomförts genom förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen. Syftet med rambeslutet är att få till stånd ett snabbare och enklare informationsutbyte. Dessutom antogs i december 2008 rambeslutet om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet; EUT L 350, 30.12.2008, s. 60). Syftet med rambeslutet är att säkerställa en gemensam hög skyddsnivå för enskilda personer. Dataskyddsrambeslutet, som ska vara genomfört inom två år efter ikraftträdandet, innebär att det finns bindande förpliktelser om dataskydd mellan medlemsstaterna inom polisområdet. En redogörelse för rambeslutet finns i avsnitt 3.5.1.

Det finns också anledning att i detta sammanhang framhålla att det brottsbekämpande samarbetet över gränserna i stor utsträckning sker som ett led i bl.a. svenskt underrättelsearbete eller i svensk förundersökning.

Informationsutbyte i brottsbekämpande verksamhet Ds 2011:16

Sammantaget innebär utvecklingen att Kustbevakningen kommer att ha ett fortsatt behov av att kunna utbyta uppgifter med andra länder. Promemorian föreslår därför att den här föreslagna lagen om behandling av uppgifter i Kustbevakningens verksamhet inte bör ställa upp onödiga hinder för ett sådant utbyte.

11.3. Direktåtkomst till personuppgifter som behandlas i brottsbekämpande verksamhet

11.3.1. Olika former av elektroniskt utlämnande av uppgifter

I många författningar om behandling av personuppgifter regleras frågor om utlämnande av personuppgifter i elektronisk form genom särskilda bestämmelser i lag eller förordning. Enligt gängse begreppsbildning kan personuppgifter lämnas ut i elektronisk form endera på s.k. medium för automatiserad behandling eller genom direktåtkomst.

Utlämnande på medium för automatiserad behandling innebär att den utlämnande myndigheten i varje enskilt fall tar ställning till om uppgifter kan lämnas ut och vilka uppgifter som ska lämnas. En eventuell sekretessprövning kan därmed ske i samband med utlämnandet i det enskilda fallet. Utlämnande av uppgifter kan även ske genom direktåtkomst. Vid direktåtkomst fattas beslutet om överföring i varje enskilt fall av mottagaren. Sekretessprövningen måste därför ske redan då uppgifterna görs tillgängliga för direktåtkomst, oavsett om någon mottagare vid den tidpunkten tar del av dem.

Av dessa olika varianter av elektroniskt utlämnande är direktåtkomst den mest känsliga. Denna fråga kommer därför att beröras mer ingående i det följande.

Ds 2011:16 Informationsutbyte i brottsbekämpande verksamhet

11.3.2. Begreppet direktåtkomst

Det finns ingen legaldefinition av begreppet direktåtkomst. Den grundläggande innebörden av begreppet är att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. I begreppet direktåtkomst ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av. Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte beslut om utlämnande av de uppgifter som den enskilde tar del av i varje enskilt fall. I stället måste som angetts ovan en förhandsprövning göras av förutsättningarna för utlämnande. En sådan prövning innefattar alla de uppgifter som mottagaren har möjlighet att ta del av genom sin direktåtkomst. Den faktiska begränsningen av direktåtkomsten görs sedan med hjälp av olika tekniska lösningar, beroende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet, exempelvis genom olika behörighetsnivåer. Det är den personuppgiftsansvariga myndigheten som ska se till att åtkomsten rent faktiskt begränsas på det sätt som föreskrivs.

Vid författningsreglering av direktåtkomst till uppgifter anges ofta att någon får ha direktåtkomst. Innebörden av detta är inte att den eller de angivna myndigheterna har en ovillkorlig rätt att få ut uppgifterna, utan att den myndighet som innehar informationen har en rätt att medge sådan åtkomst. Den utlämnande myndigheten har ett principiellt ansvar att förvissa sig om att den myndighet som beviljas direktåtkomst vidtar de åtgärder som bedöms vara nödvändiga från säkerhetssynpunkt. I några författningar tydliggörs detta genom bestämmelser som anger att myndigheten i fråga inte får medge andra direktåtkomst till sina register innan den har försäkrat sig om att behörighets- och säkerhetsfrågorna är lösta på ett sätt som är tillfredsställande ur integritetssynpunkt (se t.ex. 4 kap. 4 § förordningen [2001:650] om vägtrafikregister). Medgivandet av direktåtkomst förutsätter också att utlämnande får ske enligt den gällande sekretessre-

Informationsutbyte i brottsbekämpande verksamhet Ds 2011:16

gleringen för berörda myndigheter, vilket utvecklas närmare i avsnitt 12.2.

11.3.3. Regleringen av möjligheten till direktåtkomst

Förslag: Utlämnande genom direktåtkomst till uppgifter som

behandlas i Kustbevakningens brottsbekämpande verksamhet ska vara tillåtet enbart i den utsträckning som följer av den nya lagen.

Utredningens förslag: Överensstämmer med promemorians. Remissinstanserna: Remissinstanserna har inte haft något att

invända mot förslaget.

Skäl för förslaget: I förordningen (2003:188) om behandling

av personuppgifter inom Kustbevakningen finns bestämmelser om direktåtkomst för vissa andra brottsbekämpande myndigheter till kustbevakningsdatabasen. För vissa av dessa myndigheter är tillgången begränsad.

Utredningen har, mot bakgrund av att det i den brottsbekämpande verksamheten behandlas särskilt känsliga uppgifter, menat att det av den nya lagen bör framgå vilka myndigheter som kan få direktåtkomst till personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet. Denna promemoria instämmer i utredningens förslag. Från integritetssynpunkt har det fördelar med en lösning där det i lagen framgår i vilken utsträckning direktåtkomst får medges. Det underlättar också för tillämparen att det anges i vilken utsträckning direktåtkomst kan förekomma. Mot den bakgrunden föreslås att utlämnande genom direktåtkomst till personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet ska vara tillåtet enbart i den utsträckning som följer av den föreslagna lagen.

Ds 2011:16 Informationsutbyte i brottsbekämpande verksamhet

11.3.4. De brottsbekämpande myndigheternas behov av direktåtkomst

Bedömning: Samtliga brottsbekämpande myndigheter har

behov av att kunna få direktåtkomst till personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet.

Utredningens bedömning: Överensstämmer med promemo-

rians.

Remissinstanserna: Flera remissinstanser, bl.a. Rikspolissty-

relsen, Åklagarmyndigheten, Säkerhetspolisen och Tullverket, har på olika sätt framhållit fördelarna med att lagstiftningen medger utbyte av information mellan de brottsbekämpande myndigheterna. Advokatsamfundet har dock framhållit att den omständigheten att uppgifter sprids till flera myndigheter med olika regelverk, olika huvuduppgifter och olika myndighetskulturer etc. innebär i sig att risken för t.ex. missbruk och spridning av uppgifterna föreligger. Advokatsamfundet har menat att frågan om samverkan mellan myndigheter i den brottsbekämpande verksamheten bör lösas i ett bredare sammanhang.

Skäl för bedömningen: Enligt 18 § förordningen om behand-

ling av personuppgifter inom Kustbevakningen får, vilket har nämnts ovan, övriga brottsbekämpande myndigheter ha direktåtkomst till uppgifter hos Kustbevakningen. För vissa myndigheter, dock inte polisen, är tillgången till uppgifter begränsad. I utredningen föreslås att Åklagarmyndigheten, Ekobrottsmyndigheten, Rikspolisstyrelsen, polismyndigheterna, Tullverket och Skatteverket ska kunna medges direktåtkomst till uppgifter som Kustbevakningen behandlar i sin brottsbekämpande verksamhet. Det konstateras att en sådan modell är i överensstämmelse med det som gäller för polisens verksamhet, 3 kap. 8 § polisdatalagen (2010:361).

Det har tidigare redogjorts för vilken tillgång Kustbevakningen har till personuppgifter som övriga brottsbekämpande myndigheter behandlar. Här kan bl.a. igen nämnas att Kustbevakningen har direktåtkomst till Schengens informationssystem.

Informationsutbyte i brottsbekämpande verksamhet Ds 2011:16

Sedan den 1 juli 2009 kan Kustbevakningen, i likhet med övriga brottsbekämpande myndigheter, medges direktåtkomst till misstankeregistret och belastningsregistret. Vidare får Kustbevakningen enligt den nya polisdatalagen medges direktåtkomst till register över DNA-profiler och fingeravtrycks- eller signalementsregister (4 kap. 10 § och 17 § lagen).

I utredningen anförs att det förhållandet att olika uppgifter inom brottsbekämpningen av organisatoriska, historiska eller andra skäl är uppdelade och ligger på skilda myndigheter, inte nödvändigtvis innebär att det uppstår större risker från integritetssynpunkt med direktkopplingar mellan myndigheterna än vad som skulle ha varit fallet om all brottsbekämpande verksamhet låg hos en och samma myndighet (jfr prop. 2004/05:164 s. 87). Advokatsamfundet har ifrågasatt detta påstående.

Vittgående möjligheter till direktåtkomst kan förvisso öka riskerna för intrång i den personliga integriteten. Typiskt sett innebär direktåtkomst att uppgifter blir tillgängliga för fler personer och att den ursprungliga myndighetens möjligheter att kontrollera användningen av uppgifterna minskar. Det är mot den bakgrunden som det föreslås att särskilda regler ska gälla vid direktåtkomst till personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet.

Såsom utredningen konstaterar förekommer redan i dag direktåtkomst mellan de brottsbekämpande myndigheterna. De brottsbekämpande myndigheterna måste kunna bedriva sitt arbete effektivt, något som flera remissinstanser framhållit. Modern teknik ökar möjligheterna att skapa överblick och samordning i det brottsbekämpande arbetet och att utnyttja tillgänglig information på ett effektivt sätt. Det är angeläget att dessa möjligheter kan utnyttjas. De brottsbekämpande myndigheterna har ofta behov av att på ett snabbt och enkelt sätt få omedelbar tillgång till information genom direktåtkomst i stället för att på begäran få del av viss information. Verksamhetsskäl talar således för att utöka de brottsbekämpande myndigheternas möjlighet till direktåtkomst.

Ds 2011:16 Informationsutbyte i brottsbekämpande verksamhet

Sammanfattningsvis görs bedömningen att samtliga brottsbekämpande myndigheter har ett behov av att kunna få direktåtkomst till uppgifter som behandlas av Kustbevakningen i aktuell verksamhet.

11.3.5. Direktåtkomst för svenska brottsbekämpande myndigheter

Förslag: Rikspolisstyrelsen, polismyndigheter, Ekobrotts-

myndigheten, Åklagarmyndigheten, Tullverket och Skatteverket ska kunna medges direktåtkomst till personuppgifter i Kustbevakningens brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Utredningens förslag: Överensstämmer i huvudsak med

promemorians.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt el-

ler har inget att invända mot förslaget. SEKO Sjöfolk har anfört att det är viktigt att om uppgifter ska lämnas ut så ska det i så fall röra sig om brott som kan ge två år eller mer i fängelse.

Informationsutbyte i brottsbekämpande verksamhet Ds 2011:16

Skäl för förslaget

Bör övriga brottsbekämpande myndigheter kunna medges direktåtkomst till uppgifter i Kustbevakningens brottsbekämpande verksamhet?

I det föregående har konstaterats att de brottsbekämpande myndigheterna ofta har ett påtagligt behov av att få direktåtkomst till den information som andra brottsbekämpande myndigheter behandlar. En möjlighet till direktåtkomst skapar bättre förutsättningar för ett framgångsrikt brottsbekämpande arbete. För en sådan möjlighet talar också kostnads- och säkerhetsskäl. Det är inte kostnadseffektivt att myndigheter avsätter resurser för att manuellt administrera ett informationsutbyte när behovet av ett sådant utbyte kan konstateras redan på förhand.

Mot det nu sagda måste emellertid integritetsskyddsintresset vägas. Integritetsaspekterna måste tillmätas en central betydelse vid bedömningen av i vilken omfattning myndigheter bör kunna medges direktåtkomst till uppgifter i varandras verksamhet. I de databaser och register som förs av brottsbekämpande myndigheter finns det ofta stora mängder personuppgifter. Många av dessa kan vara av känslig karaktär. För den enskilde kan enbart det förhållandet att omfattande uppgifter om hans eller hennes förhållanden samlas in och bevaras uppfattas som ett intrång i den personliga integriteten. Ju fler personer som har omedelbar tillgång till sådana uppgiftssamlingar, desto mera påtagligt torde intrånget uppfattas av den enskilde. Direktåtkomst kan också minska den personuppgiftsansvariga myndighetens möjligheter att kontrollera den vidare användningen av uppgifterna. Dessa förhållanden utgör i sig skäl för en restriktiv hållning i fråga om direktåtkomst till uppgifter i Kustbevakningens brottsbekämpande verksamhet.

En viktig aspekt vid den avvägning som här måste göras är sekretesskyddet för uppgifterna hos den mottagande myndigheten. Om sekretesskyddet hos den mottagande myndigheten är lika långtgående som sekretesskyddet hos den utlämnande myndigheten, behöver ett utlämnande av uppgifterna genom direktåtkomst inte innebära någon ökning av integritetsriskerna i för-

Ds 2011:16 Informationsutbyte i brottsbekämpande verksamhet

hållande till allmänheten. En annan viktig aspekt är hur uppgifterna sprids och används inom den mottagande myndigheten. Om användandet av uppgifterna inom den mottagande myndigheten kan begränsas till en liten krets personer, innebär detta givetvis mindre integritetsrisker än om uppgifterna ges en vid spridning. En tredje betydelsefull aspekt är vilka bestämmelser om informationssäkerhet (exempelvis system för behörighet, loggning och tillsyn) som gäller hos den mottagande myndigheten. Om det finns en hög informationssäkerhet hos den mottagande myndigheten, så att det kan garanteras att informationen når endast dem som har rätt till den, inger naturligtvis system för direktåtkomst mindre betänkligheter från integritetssynpunkt än vad som annars hade varit fallet.

Vad först gäller sekretessregleringen kan det konstateras att denna i princip ger samma skydd för uppgifter i brottsbekämpningen hos samtliga brottsbekämpande myndigheter. Myndigheterna omfattas således av bl.a. bestämmelserna om skydd för brottsbekämpningen i 18 kap.1 och 2 §§offentlighets- och sekretesslagen (2009:400) och bestämmelserna om skydd för enskildas personliga och ekonomiska förhållanden i sådan verksamhet, som regleras i 35 kap. samma lag. Numera finns det också en särskild bestämmelse, 11 kap. 4 §, om överföring av sekretess vid direktåtkomst. Om en myndighet har elektronisk tillgång till en annan myndighets upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad hos den andra myndigheten, blir sekretessbestämmelsen tillämplig också hos den mottagande myndigheten. Detta gäller dock inte om uppgiften ingår i ett beslut hos den mottagande myndigheten. Det finns även en särskild bestämmelse om vad som gäller vid konkurrens mellan den överförda sekretessen och den sekretess som är direkt tillämplig hos den mottagande myndigheten, 11 kap. 8 § offentlighets- och sekretesslagen.

Vad sedan gäller tillgången till uppgifterna hos den mottagande myndigheterna har i denna promemoria föreslagits att en enskild tjänsteman inom Kustbevakningen ska ges tillgång endast till sådana uppgifter som han eller hon behöver för att kunna

Informationsutbyte i brottsbekämpande verksamhet Ds 2011:16

fullgöra sina arbetsuppgifter på ett ändamålsenligt sätt. Motsvarande begränsning bör gälla hos de myndigheter som genom direktåtkomst får tillgång till personuppgifter som Kustbevakningen behandlar. En särskild bestämmelse om detta bör införas i lagförslaget. Det är nämligen inte rimligt att Kustbevakningen ska ha ansvar för den interna tillgången till uppgifter hos andra myndigheter efter det att uppgifter överlämnats dit genom direktåtkomst. En möjlighet till direktåtkomst behöver alltså inte innebära att annat än en begränsad krets av tjänstemän – eller enbart en viss tjänsteman – hos den mottagande myndigheten får tillgång till uppgifterna.

Vad slutligen gäller informationssäkerhet i samband med direktåtkomst bör det ankomma på regeringen eller den myndighet som regeringen bestämmer att meddela särskilda föreskrifter om detta. Utredningen har inte föreslagit någon bestämmelse av detta innehåll, men en sådan återfinns numera för polisens del i 3 kap. 8 § polisdatalagen (2010:361). Om de brottsbekämpande myndigheterna ska ges möjlighet till direktåtkomst till varandras uppgifter, bör den myndighet som beslutar om dylik åtkomst således vara skyldig att försäkra sig om att den mottagande myndigheten har en acceptabel säkerhetsnivå, exempelvis vad gäller system för utlämnande av behörighet, för tillsyn och för loggning av transaktioner. Det kan i sammanhanget noteras att den tekniska utvecklingen fortlöpande ger bättre möjligheter att begränsa åtkomsten till olika uppgifter och att i efterhand genom bl.a. loggningsuppgifter kontrollera hur åtkomsten har utnyttjats.

De ökade integritetsrisker som en möjlighet till direktåtkomst kan medföra kan alltså motverkas genom bestämmelser av annat slag, såsom bestämmelser om sekretess, om tillgång till uppgifter och om informationssäkerhet. Övervägande skäl talar därför för att den här föreslagna lagen bör tillåta att övriga brottsbekämpande myndigheter ges direktåtkomst till de personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet.

Ds 2011:16 Informationsutbyte i brottsbekämpande verksamhet

Hur bör direktåtkomsten avgränsas?

En första förutsättning för att en myndighet ska kunna ges direktåtkomst till uppgifter hos en annan myndighet bör vara att uppgifterna är gemensamt tillgängliga hos den senare myndigheten. Därmed kommer de särskilda bestämmelser som gäller vid behandling av gemensamt tillgängliga uppgifter att få genomslag vid utnyttjandet av direktåtkomsten, t.ex. vad gäller särskilda upplysningar och sökbegränsningar.

Ytterligare en förutsättning för att direktåtkomst ska kunna medges bör vara att den myndighet som beslutar om sådan åtkomst försäkrar sig om att den mottagande myndigheten har en acceptabel säkerhetsnivå, exempelvis vad gäller system för utlämnande av behörighet, tillsyn och för loggning av transaktioner.

En annan förutsättning bör vara att en enskild tjänsteman ska få ha direktåtkomst endast till sådana uppgifter som han eller hon behöver för att kunna fullgöra sina arbetsuppgifter på ett ändamålsenligt sätt. Frågor av detta slag regleras lämpligen i förordning eller myndighetsföreskrifter. I övrigt finns inte skäl att i lagförslaget uppställa andra begränsningar vad gäller de brottsbekämpande myndigheternas direktåtkomst än de behörighets- och behovsbegränsningar som föreslagits i det föregående.

En sådan inskränkning som SEKO Sjöfolk har förespråkat skulle i alltför hög grad på ett negativt sätt påverka möjligheten till informationsutbyte mellan brottsbekämpande myndigheter. Någon motsvarande begränsning gäller inte heller i Tullverkets brottsbekämpande verksamhet eller i polisens verksamhet.

Sammanfattningsvis föreslås att de brottsbekämpande myndigheterna, dvs. Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagaremyndigheten, Tullverket och Skatteverket ska kunna medges direktåtkomst till personuppgifter i Kustbevakningens brottsbekämpande verksamhet, dock att direktåtkomsten endast bör få avse personuppgifter som har gjorts gemensamt tillgängliga. Den myndighet som har getts möjlighet att få direktåtkomst till uppgifter har ansvaret för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver

Informationsutbyte i brottsbekämpande verksamhet Ds 2011:16

för att kunna fullgöra sina arbetsuppgifter. Det får ankomma på regeringen eller den myndighet som regeringen bestämmer att meddela närmare föreskrifter som rör direktåtkomst m.m.

11.3.6. Direktåtkomst för utländska myndigheter m.fl.

Bedömning: Något behov för regeringen att meddela före-

skrifter om att en utländsk myndighet, Europol eller en mellanfolklig organisation ska få medges direktåtkomst till uppgifter i Kustbevakningens brottsbekämpande verksamhet finns inte.

Utredningen har inte behandlat frågan. Remissinstanserna har inte yttrat sig i saken. Skäl för bedömningen: Det ökade internationella samarbetet

när det gäller brottsbekämpning aktualiserar frågan om elektronisk informationsöverföring till myndigheter i andra länder och internationella organisationer. De argument som har anförts i det föregående angående behovet av att utifrån integritetsskyddsskäl iaktta restriktivitet när det gäller att medge direktåtkomst gör sig naturligtvis i än högre grad gällande i fråga om åtkomst för utländska myndigheter och andra organ. Problemet med direktåtkomst är att den kan minska den personuppgiftsansvariga myndighetens möjligheter att kontrollera den vidare användningen av uppgifterna.

Numera finns en stor del av Kustbevakningens information i automatiserad form. Det sker ett utbyte av personuppgifter i Kustbevakningens brottsbekämpande verksamhet, om än utlämnandet inte har samma omfattning eller är lika frekvent som i polisens verksamhet. Som har framhållits i det föregående är det av stor vikt att det regelverk som gäller på området så långt som det är möjligt utformas på ett likartat sätt. Vidare kan en fortsatt utveckling av informationsutbytet, framför allt inom EU, förutses.

Ds 2011:16 Informationsutbyte i brottsbekämpande verksamhet

Enligt 2 kap. 21 § polisdatalagen (2010:361) meddelar regeringen föreskrifter om att en utländsk myndighet, Europol eller en mellanfolklig organisation får medges direktåtkomst till personuppgifter i polisens brottsbekämpande verksamhet, om detta är nödvändigt för att fullgöra en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt eller om det följer av en EU-rättsakt. I motiven till polisdatalagen hänvisar regeringen till att det s.k. Prümrådsbeslutet bl.a. innehåller bestämmelser som ålägger medlemsstaterna att tillåta direktåtkomst till vissa uppgifter i nationella DNA-register och fingeravtrycksregister och att det går att förutse en fortsatt utveckling av informationsutbyte framför allt inom EU. Om direktåtkomst till vissa uppgifter i framtiden skulle komma att regleras i EUrättsakter som inte kräver riksdagens godkännande framstår det som naturligt med en bestämmelse som kan täcka behovet av reglering av detaljfrågor även i sådana fall (prop. 2009/10:85 s. 183 f.).

Emellertid bör restriktivitet iakttas vad avser möjligheten att medge direktåtkomst för utländska myndigheter till Kustbevakningens uppgifter. Oaktat den flexibilitet som skulle kunna uppnås genom att regeringen ges möjlighet att meddela föreskrifter om direktåtkomst på motsvarande sätt som gäller för polisens brottsbekämpande verksamhet, kan behovet av en sådan bestämmelse såvitt avser Kustbevakningens brottsbekämpande verksamhet ifrågasättas. Detta bl.a. mot bakgrund av att Kustbevakningen inte har ett sådant utbyte med utländska myndigheter m.fl. inom den brottsbekämpande verksamheten som polisdatalagens bestämmelse tar sikte på (se prop. 2009/10:85 s. 183 f.).

Sammanfattningsvis görs bedömningen att något behov för regeringen att meddela föreskrifter om att en utländsk myndighet, Europol eller en mellanfolklig organisation ska få medges direktåtkomst till uppgifter i Kustbevakningens brottsbekämpande verksamhet inte finns. Med andra ord föreslås inte någon bestämmelse som motsvarar 2 kap. 21 § polisdatalagen.

12. Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

12.1. Allmänna utgångspunkter

Förslag: De grundläggande reglerna för sekretessgenombrott

ska regleras i lagen. Kompletterande bestämmelser meddelas av regeringen.

Utredningens förslag: Utredningen konstaterar behovet av

en sekretessbrytande bestämmelse men föreslår att den ska regleras i förordning.

Remissinstanserna: De flesta remissinstanserna har tillstyrkt

eller har inget att invända mot förslaget. Tullverket har uppmärksammat vikten av att en sekretessbrytande regel införs för Kustbevakningen.

Skäl för förslaget

Sekretess i den brottsbekämpande verksamheten

Sekretesslagen (1980:100) ersattes den 30 juni 2009 av offentlighets- och sekretesslagen. Sekretess till skydd för intresset av att förebygga och beivra brott regleras i 18 kap. offentlighets- och sekretesslagen. Sekretess gäller, i större eller mindre utsträckning, för förundersökningar och motsvarande utredningar enligt 23 kap. rättegångsbalken (18 kap. 1 §) och som regel för underrättelseuppgifter (18 kap. 2 §). De sekretessbestämmelser till skydd för enskild som tidigare fanns i 9 kap. 17 § sekretesslagen har delats upp på flera paragrafer och finns nu huvudsakligen i 35 kap. offentlighets- och sekretesslagen, som reglerar sekretess

Ds 2011:16

Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

till skydd för enskild i verksamhet som syftar till att förebygga och beivra brott.

Sekretessen enligt 35 kap. 1 § offentlighets- och sekretesslagen skyddar enskildas personliga och ekonomiska förhållanden. Sekretessen omfattar bl.a. uppgifter i utredning enligt bestämmelserna om förundersökning i brottmål (punkten 1), användning av tvångsmedel (punkten 2), registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (punkten 3) annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, en polismyndighet, Skatteverket, Statens kriminaltekniska laboratorium, Tullverket och Kustbevakningen (punkten 4), register som förs av Rikspolisstyrelsen enligt polisdatalagen eller som annars behandlas där med stöd av den lagen (punkten 6) eller misstankeregistret (punkten 7). Brottsanmälningar omfattas också av sekretessen. Sekretessen gäller endast om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men. För beslut att väcka åtal eller att inte inleda eller lägga ned en förundersökning gäller inte sekretessen (35 kap. 6 §). Sekretessen upphör också normalt om uppgiften lämnas till domstol med anledning av åtal (35 kap. 7 §), men i en förundersökning förekommer det ofta uppgifter om t.ex. andra brott som den misstänkte har begått eller om personer som inte berörs av åtalet. För sådana uppgifter upphör sekretessen inte, om uppgiften uppenbart saknar betydelse i målet (35 kap. 7 § punkten 2). Om åtal inte väcks kvarstår också sekretessen. Därför är det mycket vanligt att det förekommer kvarstående sekretess till skydd för enskild i förundersökningar och andra brottsutredningar.

När en förundersökning eller annan motsvarande utredning inleds gäller som regel sekretess enligt både 18 kap. 1 eller 2 § och 35 kap. 1 §offentlighets- och sekretesslagen. Sekretessen enligt 18 kap. minskar efter hand och brukar normalt upphöra senast i samband med att åtal väcks.

Enligt 35 kap. 2 § gäller sekretess för uppgift i en anmälan eller utsaga av enskild i förhållande till den som anmälan eller

Ds 2011:16 Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

utsagan avser, om det kan antas att fara uppkommer för att någon utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

Bestämmelser om sekretess för vissa andra av polisens register än de som regleras i 35 kap. 1 § punkterna 6 och 7 finns i 35 kap. 3 och 4 §§. I 3 § regleras sekretessen för belastningsregistret. I 4 § regleras sekretessen för bl.a. register över strafföreläggande och föreläggande av ordningsbot (punkten 1) och uppgift hos Rikspolisstyrelsen som rör brott eller den som har misstänkts, åtalats eller dömts för brott, om uppgiften har lämnats dit för databehandling inom rättsväsendets informationssystem i ett annat register än som avses i 1 § (punkten 2). Några sekretessbrytande bestämmelser som tidigare fanns i 9 kap. 17 § sekretesslagen finns nu i 35 kap. 8–10 §§.

Sekretess mellan brottsbekämpande myndigheter

Ansvaret för brottsbekämpningen i Sverige är, som redan framgått, organisatoriskt uppdelat mellan flera myndigheter. Gemensamt för dessa är att sekretess i större eller mindre utsträckning gäller för åtskilliga av de personuppgifter som behandlas inom ramen för den brottsbekämpande verksamheten. När uppgifter ska lämnas mellan myndigheterna måste därför hänsyn tas till bl.a. offentlighets- och sekretesslagstiftningen.

Enligt 8 kap. 1 § offentlighets- och sekretesslagen får uppgifter för vilka sekretess gäller inte röjas för andra myndigheter, om inte annat framgår av lagen (eller lag eller förordning till vilken lagen hänvisar). När uppgifter ska lämnas mellan myndigheter måste därför hänsyn tas till sekretesslagstiftningen.

Motsvarande begränsning gäller vid uppgiftslämnande mellan olika verksamhetsgrenar inom en myndighet, när dessa är att betrakta som självständiga i förhållande till varandra. Det är två kriterier som är viktiga vid bedömningen av om det är fråga om olika verksamhetsgrenar. Den ena är om verksamheterna tillämpar samma eller olika sekretessregler. Det andra är om verksamhetsgrenarna är åtskilda rent organisatoriskt (prop. 2008/09:150 s.

Ds 2011:16

Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

356 f.). I detta sammanhang ska nämnas att Kustbevakningen inte har några självständiga verksamhetsgrenar.

Det finns ett antal bestämmelser i offentlighets- och sekretesslagen som möjliggör utbyte av uppgifter mellan myndigheter utan hinder av sekretess. Av 10 kap. 2 § offentlighets- och sekretesslagen framgår att sekretessbelagda uppgifter får lämnas från en myndighet till en annan om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestämmelsen, som är avsedd att tillämpas restriktivt, medger inte sekretessgenombrott på den grunden att den mottagande myndigheten behöver uppgifterna i sin verksamhet.

Ytterligare sekretessbrytande bestämmelser finns i 10 kap. offentlighets- och sekretesslagen. I 10 kap. 28 § första stycket föreskrivs bl.a. att sekretess inte hindrar att uppgifter lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. Uppgifter kan vidare, med vissa undantag, lämnas ut med stöd av 10 kap. 19–26 §§, när uppgifterna behövs för olika i paragraferna angivna ändamål inom brottsbekämpningen, bl.a. förundersökning. Enligt 10 kap. 27 §, den s.k. generalklausulen, gäller som huvudregel att en uppgift får lämnas ut till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Bedömningen av om uppgiften kan lämnas ut görs av den myndighet som innehar uppgiften, utom i de fall där utlämnandebestämmelsen har konstruerats så att uppgiften alltid ska lämnas ut om det begärs.

Av stor betydelse i sammanhanget är vidare bestämmelsen i 6 kap. 5 § offentlighets- och sekretesslagen, som innebär att en myndighet på begäran av en annan myndighet ska lämna ut uppgifter i den mån hinder inte möter på grund av sekretess eller arbetets behöriga gång. Det innebär att om en myndighet begär att få del av uppgifter från en annan myndighet och någon av de ovan nämnda sekretessbrytande bestämmelserna är tillämplig, så ska uppgifterna lämnas ut. Detsamma gäller givetvis om de begärda uppgifterna är offentliga. Bestämmelsen kan sägas motsvara allmänhetens rätt att få tillgång till handlingar genom offent-

Ds 2011:16 Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

lighetsprincipen, men utlämnandeskyldigheten är mer vidsträckt och omfattar alla typer av uppgifter som myndigheten förfogar över, bl.a. uppgifter i handlingar som inte är allmänna.

Förhållandet mellan direktåtkomst och sekretess

En bestämmelse om direktåtkomst reglerar endast tillåtligheten av ett visst tillvägagångssätt för utlämnande av personuppgifter. En sådan bestämmelse har alltså inte någon sekretessbrytande effekt; den är inte att se som en uppgiftsskyldighet enligt 10 kap. 28 § första stycket offentlighets- och sekretesslagen (se bl.a. prop. 2004/05:164 s. 83 och 2006/07:46 s. 80). Möjligheterna för t.ex. en myndighet att vid informationsutbyte med en annan myndighet överföra uppgifter genom att medge den myndigheten direktåtkomst till uppgifter som behandlas automatiserat begränsas därför inte sällan av bestämmelser i offentlighets- och sekretesslagen.

Eftersom direktåtkomst innebär att den mottagande myndigheten fritt kan avgöra vilka uppgifter – inom ramen för den beviljade direktåtkomsten – den vill ta del av, blir uppgifterna att anse som utlämnade i och med att direktåtkomst medges. Det spelar i det avseendet ingen roll om den mottagande myndigheten faktiskt tar del av en viss uppgift eller inte. En myndighet kan därför inte tillåta en annan myndighet direktåtkomst till uppgifter som den senare myndigheten inte med säkerhet skulle ha rätt att ta del av vid en sekretessprövning (prop. 2007/08:160 s. 73). Direktåtkomst förutsätter därför att det är fråga om offentliga uppgifter, uppgifter som omfattas av en författningsbestämmelse om uppgiftsskyldighet, eller – i undantagsfall – uppgifter som kan lämnas ut rutinmässigt med stöd av generalklausulen.

Gällande personuppgiftsbehandlingen i Tullverkets verksamhet analyserade regeringen i förarbetena (prop. 2004/05:164 s. 84 f.) vilken sekretess som gäller vid informationsutbyte mellan myndigheter i brottsutredningar respektive i underrättelseverksamhet. I propositionen gjorde regeringen bedömningen att en

Ds 2011:16

Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

möjlighet för Tullverket att lämna ut uppgifter till övriga brottsbekämpande myndigheter genom direktåtkomst förutsatte att det infördes en sekretessbrytande uppgiftsskyldighet i förhållande till övriga myndigheter. Det infördes därför en sekretessbrytande bestämmelse i 2 § förordningen (2004:791) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Denna bedömning har även haft bärkraft såvitt gäller förutsättningarna för uppgiftslämnande från polisen (prop. 2009/10:85 s. 189 f.). Utredningen har gjort samma bedömning vad avser Kustbevakningens möjlighet att lämna ut uppgifter.

De skäl som anfördes i lagstiftningsärendena rörande Tullverkets och polisens personuppgiftsbehandling för att det behövs sekretessbrytande regler är av betydelse även när det gäller uppgiftslämnande från Kustbevakningen. Beredningen för rättsväsendets utveckling har övervägt det generella behovet av sekretessbrytande regler och kommit till samma slutsats. Lagförslaget bör därför innehålla sekretessbrytande regler. Emellertid bör det även finnas möjligheter för regeringen att meddela föreskrifter om utlämnande av personuppgifter (se vidare avsnitt 12.2 och 12.3).

Det finns en särskild bestämmelse om överföring av sekretess vid direktåtkomst (prop. 2007/08:160). Om en myndighet hos en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad blir sekretessbestämmelsen, enligt 11 kap. 4 § offentlighets- och sekretesslagen, tillämplig även hos den mottagande myndigheten. Sekretessen gäller dock inte om uppgiften ingår i ett beslut hos den mottagande myndigheten. Sekretessen enligt paragrafen ska inte heller tillämpas när det hos den mottagande myndigheten finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 5 och 7 §§ som skyddar samma intresse (11 kap. 8 § offentlighets- och sekretesslagen). Sekretessen enligt 11 kap. 4 § gäller sådana uppgifter som andra myndigheter får tillgång till genom direktåtkomst till uppgifter som Kustbevakningen behandlar. Eftersom samtliga brottsbekämpande myndigheter i princip tillämpar samma primära sekretessbe-

Ds 2011:16 Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

stämmelser, och en bestämmelse om primär sekretess gäller framför den nu angivna paragrafen, får 11 kap. 4 § offentlighets- och sekretesslagen begränsad betydelse.

12.2. Sekretessgenombrott

Förslag: Rikspolisstyrelsen, polismyndigheter, Ekobrotts-

myndigheten, Åklagarmyndigheten, Tullverket och Skatteverket ska ha, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen, rätt att ta del av uppgifter som har gjorts gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.

Utredningens förslag: Utredningen konstaterar att det finns

behov av en sekretessbrytande bestämmelse, men har hänvisat till det förslag till generell sekretessbrytande bestämmelse för uppgifter om enskilda i den brottsbekämpande verksamheten som lämnats i betänkandet Ett effektivare brottmålsförfarande – några ytterligare åtgärder (SOU 2005:117). Utredningen har emellertid, för det fall att detta förslag inte kommer att genomföras, föreslagit att en sekretessbrytande bestämmelse om uppgiftsskyldighet införs i tillämplig förordning för Kustbevakningen. Bestämmelsen bör utformas på motsvarande sätt som 2 § förordningen (2005:791) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Av denna bestämmelse framgår att Tullverket på begäran av Ekobrottsmyndigheten, Rikspolisstyrelsen, polismyndigheterna, Kustbevakningen, Skatteverket och Åklagarmyndigheten ska lämna ut uppgifter i tullbrottsdatabasen.

Remissinstanserna: De flesta remissinstanserna har tillstyrkt

eller har inget att invända mot förslaget. Tullverket har uppmärk-

Ds 2011:16

Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

sammat vikten av att en sekretessbrytande regel införs för Kustbevakningen.

Skäl för förslaget

Sekretessgenombrott mellan de brottsbekämpande myndigheterna

För att öka möjligheterna till informationsutbyte med andra brottsbekämpande myndigheter och för att skapa förutsättningar för att Kustbevakningen ska kunna medge direktåtkomst till uppgifter som gjorts gemensamt tillgängliga i dess brottsbekämpande verksamhet behövs det regler som bryter sekretess. Frågan är då hur dessa regler bör utformas.

Sekretessbrytande regler kan föreskrivas såväl i lag som förordning. Som framgått i föregående avsnitt återfinns en sådan bestämmelse för Tullverkets del i förordning. Regeringen har emellertid i fråga om polisens brottsbekämpande verksamhet gjort bedömningen, mot bakgrund av polisverksamhetens särskilda natur, att andra myndigheters tillgång till uppgifter som behandlas av polisen bör regleras i lag (prop. 2009/10:85 s. 193). Detta har föranlett att ett antal bestämmelser om sekretessgenombrott har införts i den nya polisdatalagen (2010:361).

Eftersom det eftersträvas att lagförslaget om personuppgiftsbehandling i Kustbevakningens verksamhet i så stor utsträckning som möjligt, vad avser den brottsbekämpande verksamheten, ska motsvara den reglering som valts för polisen, bör den sekretessbrytande bestämmelsen också för Kustbevakningens del tas in i den här föreslagna lagen. Som en erinran om att sekretessbrytande bestämmelser utöver vad som anges i lagen kan meddelas genom förordning, föreslås att det i lagförslaget bör intas en bestämmelse som anger att regeringen har möjlighet att meddela föreskrifter om att uppgifter får lämnas ut även i andra fall.

Det ligger i sakens natur att en sekretessbrytande bestämmelse som ska möjliggöra direktåtkomst mellan brottsbekämpande myndigheter måste vara generellt utformad eftersom det vid direktåtkomst saknas möjlighet att göra en sekretessprövning i varje enskilt fall. Prövningen måste i stället göras i förväg. Med

Ds 2011:16 Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

hänsyn till intresset av ett gott skydd för den personliga integriteten kan det emellertid ifrågasättas om ett fullständigt sekretessgenombrott mellan de brottsbekämpande myndigheterna kan accepteras. Även om sekretessen består gentemot allmänheten och effektivitetsaspekterna väger tungt, finns det anledning att överväga om inte någon form av begränsning i den sekretessbrytande bestämmelsen bör göras.

Då uppgifter som omfattas av sekretess till skydd för enskilda kan vara mycket integritetskänsliga, är det viktigt att andra brottsbekämpande myndigheter får tillgång till sådana uppgifter bara när de har behov av det för att kunna bedriva den brottsbekämpande verksamhet som de är ålagda enligt lag eller annan författning. Just detta behov bör kunna utgöra rekvisitet som begränsar den sekretessbrytande bestämmelsen.

Eftersom den sekretessbrytande bestämmelsen ska möjliggöra direktåtkomst, måste sekretessprövningen göras innan direktåtkomsten beviljas. Sekretessprövningen kan därför inte vara alltför komplicerad. Den föreslagna sekretessbrytande regeln måste således tillåta ett relativt brett sekretessgenombrott men i gengäld kommer den, som utvecklas närmare i det följande, att kompletteras med andra integritetsskyddande bestämmelser. Det sekretessgenombrott som här föreslås bör därför vara villkorat av ett behovsrekvisit.

Den föreslagna regeln har det uttryckliga syftet att tillåta frekvent utlämnande. Med hänsyn taget till det, bör behovsbedömningen kunna göras inom tämligen vida ramar. Bedömningen av vad mottagaren har behov av får i ett sådant fall göras främst utifrån myndighetens brottsbekämpande uppgifter och med utgångspunkt i det behov som typiskt sett föreligger. Personuppgifter som en myndighet allmänt sett inte behöver bör alltså inte vara åtkomliga.

Utgångspunkten för den sekretessbrytande regeln bör alltså vara att den kan täcka de behov av information som andra brottsbekämpande myndigheter typiskt sett har. Det kan självfallet uppkomma situationer där en brottsbekämpande myndighet i ett enskilt fall har behov av uppgifter som ligger utanför det

Ds 2011:16

Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

normala. Uppgifter av det slaget kan, på samma sätt som nu, lämnas ut efter en prövning i det enskilda fallet med stöd av andra sekretessbrytande bestämmelser, t.ex. 10 kap. 18 § offentlighets- och sekretesslagen (2009:400). Den nu föreslagna regeln är alltså inte avsedd att innebära någon ändring i detta avseende.

Vidare bör den sekretessbrytande regeln endast ta sikte på personuppgifter som har gjorts gemensamt tillgängliga (jfr prop. 2009/10:85 s. 193 och 2 kap. 16 § polisdatalagen).

Mot bakgrund av dessa överväganden föreslås att en sekretessbrytande regel införs i lagförslaget. Den bör utformas så att uppgifter som har gjorts gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet ska få lämnas till Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket, utan hinder av viss närmare angiven sekretess, om den myndigheten har behov av uppgifterna i sin brottsbekämpande verksamhet.

Vilka sekretessbestämmelser ska den nya regleringen omfatta?

Frågan är då vilka slag av sekretess som ska kunna brytas. Uppgifter i Kustbevakningens brottsbekämpande verksamhet omfattas vanligen av sekretess till skydd för verksamheten enligt 18 kap.1 och 2 §§offentlighets- och sekretesslagen. Sådan sekretess gäller nära nog undantagslöst för underrättelseuppgifter och, i större eller mindre utsträckning, för de flesta pågående förundersökningar och motsvarande utredningar enligt bestämmelser i 23 kap. rättegångsbalken. Eftersom tidigare nämnda bestämmelser i offentlighets- och sekretesslagen till skydd för intresset att förebygga och förhindra brott är tillämpliga hos alla brottsbekämpande myndigheter bör det i de flesta fall inte innebära någon skada för Kustbevakningens verksamhet att lämna ut uppgifterna. Utgångspunkten är således redan enligt gällande rätt att uppgifter som omfattas av sekretess enligt de aktuella paragraferna normalt kan lämnas ut till en annan brottsbekämpande myndighet. Detta förutsätter emellertid att det är möjligt att på förhand

Ds 2011:16 Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

bedöma om en viss förundersökning eller motsvarande kan lämnas ut. En sådan bedömning bör kunna göras för olika brottstyper eller olika slags underrättelseprojekt.

På motsvarande sätt bör det redan enligt gällande bestämmelser vara möjligt att bedöma den risk som kan vara förknippad med att lämna ut uppgifter som är sekretessbelagda med stöd av någon annan bestämmelse i 18 kap. offentlighets- och sekretesslagen.

Något generellt behov av att bryta den sekretess som kan gälla enligt 18 kap. 1 och 2 §§ kan således inte anses föreligga. I de fall där utlämnandet av en uppgift till en annan brottsbekämpande myndighet skulle innebära att Kustbevakningens egen verksamhet riskerar att skadas, bör direktåtkomst givetvis inte komma i fråga. I sådana fall får, som nyss nämnts, i stället övervägas om uppgiften kan lämnas ut med stöd av någon annan sekretessbrytande bestämmelse, exempelvis 10 kap.2 eller 27 §§offentlighets- och sekretesslagen.

När det sedan gäller sekretess med hänsyn till skyddet för enskilds förhållanden kan följande anmärkas. När en brottsutredning inleds gäller, som nyss nämnts, normalt sekretess enligt 18 kap.12 §§ och 35 kap. 1 §offentlighets- och sekretesslagen. Den förstnämnda sekretessen minskar efter hand och brukar normalt upphöra senast i samband med att åtal väcks. Sekretessen enligt 35 kap. offentlighets- och sekretesslagen skyddar enskilds ekonomiska förhållanden bl.a. vid förundersökning och annan brottsutredning. Sekretessen upphör normalt om uppgiften lämnas till domstol med anledning av åtal, men i en förundersökning förekommer det ofta uppgifter t.ex. om andra brott som den misstänkte har begått eller om personer som inte berörs av åtalet. För sådana uppgifter upphör sekretessen inte. Därför är det mycket vanligt att det förekommer kvarstående sekretess till skydd för enskild.

Mot bakgrund av att de flesta pågående eller avslutade förundersökningar som inte har lett till åtal och flertalet uppgifter i underrättelseverksamhet kringgärdas av sekretess enligt bestämmelser i 35 kap. offentlighets- och sekretesslagen till skydd

Ds 2011:16

Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

för enskild, krävs det sekretessprövning i varje enskilt fall när en sådan uppgift ska lämnas till en annan brottsbekämpande myndighet. Även om uppgifterna kan lämnas ut efter en sådan prövning innebär det att tid och kraft måste läggas på en prövning som normalt alltid ger samma resultat. Mot den bakgrunden görs i denna promemoria bedömningen att en sekretessbrytande regel skulle underlätta informationsutbytet.

I tidigare utredningar (se t.ex. tidigare nämnda betänkande Ett effektivare brottmålsförfarande – några ytterligare åtgärder (SOU 2005:117) och i utredningen (s. 226) har man pekat på verksamhetsbehovet av att kunna bryta sekretessen enligt 9 kap. 17 § sekretesslagen, eftersom det påtagligt skulle underlätta informationsutbytet mellan de brottsbekämpande myndigheterna. Den paragrafen har delats upp på flera paragrafer i offentlighets- och sekretesslagen, varav flertalet saknar betydelse i detta sammanhang. Den sekretessbestämmelse som nu är av intresse är 35 kap. 1 § offentlighets- och sekretesslagen, som reglerar sekretessen bl.a. i förundersökningar och andra liknande utredningar, i misstankeregistret och i flertalet andra register i den brottsbekämpande verksamheten. Sekretessen enligt 35 kap. 1 § är tilllämplig hos alla brottsbekämpande myndigheter, vilket innebär att uppgifterna har samma skydd gentemot utomstående hos den mottagande myndigheten som hos den utlämnande myndigheten. En regel som bryter denna sekretess skulle förenkla informationslämnandet till andra brottsbekämpande myndigheter och bör därför införas i den här föreslagna lagen. Med hänsyn till de vinster för brottsbekämpningen som detta skulle innebära kan den ökade risken för integritetsintrång godtas.

I 35 kap. 2 § offentlighets- och sekretesslagen finns en bestämmelse om sekretess för uppgift i en anmälan eller utsaga av en enskild. Då 35 kap. 2 § offentlighets- och sekretesslagen endast gäller i förhållande till den som anmälan eller utsagan avser finns det enligt promemorias förslag inte något skäl att bryta sekretessen enligt denna paragraf (jfr prop. 2009/10:85 s. 194).

Det finns emellertid fler sekretessbestämmelser som kan aktualiseras vid informationsöverföring mellan de brottsbekäm-

Ds 2011:16 Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

pande myndigheterna. Mot den bakgrunden bör det övervägas sekretessbrytande regler som tar sikte på några av de i detta sammanhang vanligaste sekretessreglerna i offentlighets- och sekretesslagen.

Frågan är då vilka sekretessregler som en ny sekretessbrytande bestämmelse bör ta sikte på. Regeringen har i förarbetena till den nya polisdatalagen anfört att behovet av genombrott för sekretess vad avser 35 kap. offentlighets- och sekretesslagen, endast bör omfatta sekretess enligt 1 §. I den mån andra sekretessbestämmelser i kapitlet är tillämpliga får det, på samma sätt som nu, göras en bedömning i det enskilda fallet av huruvida sekretessen hindrar att uppgifterna lämnas ut till en annan brottsbekämpande myndighet (prop. 2009/10:85 s. 195). Det finns inte skäl att nu göra en annan bedömning gällande regleringen i den föreslagna lagen.

Sekretessen i 21 kap. 3 § första stycket offentlighets- och sekretesslagen (tidigare 7 kap. 1 a § sekretesslagen) gäller för uppgift om enskilds bostadsadress, telefonnummer och andra jämförbara uppgifter som kan användas för att komma i kontakt med den enskilde, om det finns särskild anledning att anta att han eller hon eller någon närstående, kan komma att utsättas för våld eller annat allvarlig men om uppgiften röjs. Denna sekretess har införts för att säkerställa skyddet för det som brukar kallas skyddade adresser hos alla myndigheter (se prop. 2005/06:161 s. 55 f.). Sekretess enligt 21 kap. 3 § första stycket offentlighets- och sekretesslagen gäller hos alla myndigheter och är relativt vanlig i brottsutredningar. Det innebär att en uppgift som lämnas till en annan brottsbekämpande myndighet har samma skydd gentemot allmänheten hos den mottagande myndigheten. Dessutom är de brottsbekämpande myndigheterna vana vid att hantera denna sekretess. Mot den nu angivna bakgrund görs bedömningen att uppgifter som omfattas av sekretess enligt 21 kap. 3 § första stycket bör kunna lämnas vidare utan hinder av sekretessen. Detta överensstämmer med vad som anges för polisens verksamhet (2 kap. 16 § polisdatalagen).

Ds 2011:16

Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

När det gäller övriga sekretessbestämmelser som kan aktualiseras i Kustbevakningens brottsbekämpande verksamhet, t.ex. de i 21 kap. 1 § offentlighets- och sekretesslagen (enskilds hälsa och sexualliv) och 21 kap. 5 § (utlänningars säkerhet i vissa fall) får emellertid behovet av skydd för den enskilde anses väga över behovet av sekretessgenombrott. När det gäller sekretess enligt 37 kap.67 §§offentlighets- och sekretesslagen (framställningar om omhändertaganden m.m. enligt lagen [2000:344] om Schengens informationssystem) är dessa bestämmelser utformade på ett sådant sätt att det är möjligt att i vissa fall lämna uppgifter vidare utan hinder av sekretessen. Den sekretessbrytande regel som nu föreslås behöver därför inte omfatta sekretess enligt nu nämnda bestämmelser.

Den föreslagna regleringen innebär alltså att ett sekretessgenombrott ska tillåtas i vissa fall. Bestämmelsen om utlämnande måste emellertid ses tillsammans med hur regelsystemet i övrigt har byggts upp. För det första får utlämnande bara avse uppgifter som har gjorts gemensamt tillgängliga. Detta innebär i sig en begränsning, eftersom en del av de uppgifter som Kustbevakningen behandlar i den brottsbekämpande verksamheten aldrig kommer att göras gemensamt tillgängliga. För behandlingen av gemensamt tillgängliga uppgifter har föreslagits att särskilda begränsningar ska gälla, vilket bl.a. innebär att bara vissa typer av uppgifter ska vara åtkomliga vid sökning. Dessutom har föreslagits att vissa typer av uppgifter ska markeras i syfte att det tydligt ska kunna utläsas dels om upplysningar rör en icke misstänkt person, dels kvaliteten på upplysningarna. Upplysningar som rör brottslig verksamhet ska förses med upplysning om källans tillförlitlighet och uppgifternas riktighet i sak. Om direktåtkomst beviljas, kommer dessutom tillgången till olika typer av uppgifter att begränsas genom behörighetsregler. När en uppgift blir åtkomlig för en tjänsteman vid en annan myndighet, kommer den myndighetens registerförfattningar att bli tillämpliga. Vidare kommer den föreslagna regeln inte att genombryta alla de regler om sekretess som kan vara tillämpliga i Kustbevakningens verksamhet. Den sekretessbrytande regeln måste också ses tillsam-

Ds 2011:16 Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

mans med bestämmelserna som begränsar den enskilde tjänstemannens tillgång till uppgifter till vad just han eller hon behöver för sin verksamhet. Sammantaget bedöms förslaget innebära att den sekretessbrytande regeln skapar förutsättningar för ett bättre informationsutbyte i brottsbekämpningen samtidigt som risken för integritetsintrång beaktas.

Sammanfattningsvis föreslås således att personuppgifter som har gjorts gemensamt tillgängliga bör kunna lämnas till en annan brottsbekämpande myndighet utan hinder av sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen, om den mottagande myndigheten har behov av uppgiften i sin brottsbekämpande verksamhet. De brottskämpande myndigheterna som föreslås anges i bestämmelsen är Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket. Bestämmelsen motsvarar vad som ska gälla i polisens verksamhet.

I de mån andra sekretessbestämmelser är tillämpliga får det, på samma sätt som nu, göras en bedömning i det enskilda fallet om huruvida sekretessen hindrar att uppgifterna lämnas ut till en annan brottsbekämpande myndighet före uppgifterna görs tillgängliga för direktåtkomst.

12.3. Uppgiftsutlämnande till utlandet

Förslag: Om det är förenligt med svenska intressen, ska per-

sonuppgifter få lämnas till Interpol eller Europol, till en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller till utländsk kustbevakning eller tullmyndighet inom Europeiska ekonomiska samarbetsområdet (EES) om det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott.

Uppgifter ska vidare få lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnande följer av en

Ds 2011:16

Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

Utredningens förslag: Utredningen har inte föreslagit någon

motsvarande bestämmelse.

Remissinstanserna: Remissinstanserna har inte yttrat sig i

frågan.

Skäl för förslaget

Möjligheterna att lämna ut uppgifter

En utgångspunkt i offentlighets- och sekretesslagen (2009:400) är att en uppgift som omfattas av sekretess inte får röjas för en utländsk myndighet. Enligt 8 kap. 3 § offentlighets- och sekretesslagen får en sekretesskyddad uppgift röjas för en utländsk myndighet eller mellanfolklig organisation i två situationer. Den ena är när utlämnande sker i enlighet med en särskild föreskrift i lag eller förordning. Den andra är när uppgiften i motsvarande fall skulle få lämnas till en svensk myndighet och det enligt den utlämnande myndigheten står klart att det är förenligt med svenska intressen att uppgiften lämnas. Den sistnämnda bestämmelsen är, som framgår av lydelsen, avsedd att tillämpas restriktivt.

I 10 kap. 2 § offentlighets- och sekretesslagen föreskrivs att sekretess inte hindrar att en uppgift lämnas ut om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin egen verksamhet. Enligt förarbetena är denna sekretessbrytande bestämmelse avsedd att tillämpas restriktivt (prop. 1970/80 Del A s. 465 och 494).

Inom vissa myndighetsområden är det dock i ganska stor utsträckning nödvändigt att lämna ut sekretessbelagda uppgifter för att över huvud taget kunna genomföra exempelvis förhör. I ett internationellt perspektiv är ett typiskt exempel att svenska myndigheter i samband med begäran om rättslig hjälp i en förundersökning lämnar uppgifter som omfattas av sekretess enligt

Ds 2011:16 Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

18 kap. 1 eller 2 § och 35 kap. 1 §offentlighets- och sekretesslagen till en utländsk åklagar- eller polismyndighet i syfte att få ett visst förhör genomfört. Om det är nödvändigt för en myndighet att lämna ut sekretessbelagda uppgifter för att myndigheten ska kunna fullgöra sin egen verksamhet står det i regel klart att det är förenligt med svenska intressen att lämna uppgifterna. I det följande diskuteras inte sådant internationellt samarbete som sker i svenskt intresse, utan uteslutande samarbete i syfte att bistå andra länder i deras brottsbekämpande verksamhet.

Enligt 33 § personuppgiftslagen (1998:204) är det förbjudet att till tredjeland, dvs. ett land utanför EU och EES-området, föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skydd av personuppgifter. Förbudet omfattar även överföring av personuppgifter för behandling i tredjeland. Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter. Särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredjelandet. Trots förbudet i 33 § är det enligt 34 § tillåtet att under vissa förutsättningar föra över uppgifter till tredjeland, men det förutsätter antingen att den registrerade gett sitt samtycke till överföringen eller att överföringen är nödvändig bl.a. för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller att vitala intressen för den registrerade ska kunna skyddas. Vidare är det tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till dataskyddskonventionen. Regeringen kan också enligt 35 § meddela föreskrifter om undantag från förbudet mot överföring av uppgifter till vissa stater eller till tredjeland. I avsnitt 8.3.1 har föreslagits att bl.a. reglerna i personuppgiftslagen om överföring av uppgifter till tredjeland ska tillämpas på Kustbevakningens personuppgiftsbehandling.

Ds 2011:16

Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

Utgångspunkterna för den nya regleringen

Det går att urskilja tre olika situationer där informationsutbyte aktualiseras i internationellt samarbete med brottsbekämpning. Den första är där Sverige i en internationell överenskommelse, som har trätt i kraft, har förbundit sig att tillhandahålla information av visst slag utan särskild anmodan, genom direktåtkomst eller på annat sätt. Ett exempel på det är Schengens informationssystem. Den andra situationen är där Sverige i en sådan överenskommelse har åtagit sig att genomföra en viss åtgärd eller att lämna viss information på begäran av en annan stat eller mellanfolklig organisation. Rättslig hjälp i form av förhör, som hålls på begäran av en annan stat, är exempel på det förstnämnda.

Den tredje situationen är s.k. spontant uppgiftsutlämnande, där initiativet till informationsutbytet tas av den svenska myndigheten. Ett väl fungerande samarbete över gränserna förutsätter att svenska myndigheter inte bara bistår myndigheter i andra länder med svar på konkreta förfrågningar eller med rättslig hjälp i enskilda ärenden, utan även att uppgifter kan lämnas spontant i de fall där utbytet främst gagnar utländska intressen. Sverige har i olika internationella överenskommelser accepterat att medverka i sådant frivilligt informationsutbyte och har också varit pådrivande när det gäller att utveckla informationsutbytet.

Mot denna bakgrund är det tydligt att enbart den sekretessbrytande bestämmelsen i 8 kap. 3 § offentlighets- och sekretesslagen inte är tillräcklig för att Sverige ska kunna fullgöra sina internationella åtaganden. Särskilda sekretessbrytande bestämmelser bör därför finnas i lagförslaget.

Tyngdpunkten i informationsutbytet ligger för närvarande på uppgifter som antingen förmedlas via Interpol eller utbyts genom Europol. Som tidigare nämnts kan det t.ex. röra sig om efterlysningar av personer eller föremål eller konkreta förfrågningar om personer eller egendom. Sådant informationsutbyte berör främst polisen och endast indirekt Kustbevakningen. På sikt kommer emellertid det internationella samarbetet sannolikt att i ökad utsträckning ske direkt mellan myndigheter i olika länder.

Ds 2011:16 Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

Det innebär att Kustbevakningen kommer att ha ett behov av att kunna direkt utbyta information med motsvarande myndigheter, t.ex. runt Östersjön. För att ett sådant samarbete ska kunna fungera är det nödvändigt att den föreslagna lagen tydligt anger gränserna för vilka uppgifter som får lämnas ut.

Internationella överenskommelser reglerar normalt informationsutbyte på ett visst, begränsat område. En överenskommelse avser ofta informationsutbytet mellan vissa utpekade myndigheter eller informationsutbyte avseende viss typ av brottslighet. Regleringen i den här föreslagna lagen bör så långt möjligt vara generell.

Den första frågan är på vilken författningsnivå man ska reglera uppgiftslämnande till utländska myndigheter och mellanfolkliga organisationer. Sakfrågan faller i och för sig inom regeringens restkompetens och skulle alltså kunna regleras i förordning.

Ett av syftena med föreslagen lag är emellertid att åstadkomma en tydligare reglering av förutsättningarna för uppgiftslämnandet mellan svenska brottsbekämpande myndigheter. Det framstår då som naturligt att också uppgiftslämnande till brottsbekämpande utländska myndigheter och organisationer i huvudsak regleras i lagförslaget. Detta bör därför innehålla de grundläggande reglerna om uppgiftslämnande, medan vissa kompletterande regler kan finnas i förordning. Vad som är särskilt viktigt att reglera i lag är dels sådant uppgiftslämnande som följer direkt av bindande internationella åtaganden, dels sådant informationsutbyte som förekommer frekvent eller kan antas förekomma frekvent i framtiden.

Bindande åtaganden om att lämna uppgifter

Den föreslagna lagens bestämmelse om utlämnande av uppgifter till utländska myndigheter och organisationer bör i huvudsak ha samma innehåll som för polisen (2 kap. 15 § polisdatalagen [2010:361]). Lagförslaget bör därför omfatta alla folkrättsligt bindande åtaganden om att lämna viss information till en annan stat eller till en mellanfolklig organisation.

Ds 2011:16

Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

Interpol är ett mellanstatligt samarbete på folkrättslig grund. Interpol fungerar främst som ett kontaktorgan mellan stater som är medlemmar i organisationen och som en kanal för att sprida polisiär information till ett flertal länder.

Europol har en betydligt aktivare roll i det polisiära samarbetet över gränserna. Europol har som förstahandsuppgift att underlätta informationsutbytet mellan länderna och att inhämta, sammanställa och analysera information och underrättelser samt att genast informera medlemsländerna om sådant som berör dem, t.ex. upptäckta samband mellan brottsliga gärningar i olika länder. Europol bedriver underrättelse- och analysverksamhet och upprättar allmänna lägesrapporter om viss brottslighet. Europol kan också bistå enskilda medlemsländer med råd och forskning kring bl.a. utbildning, polisära metoder och brottsförebyggande arbete.

Medlemsländerna är skyldiga att lämna vissa uppgifter inom Europols verksamhetsområde till Europol, i vissa fall utan särskild anmodan. Medlemsländerna förutsätts också kunna lämna över uppgifter till Europol spontant.

En viktig fråga är huruvida de föreslagna bestämmelserna ska möjliggöra utlämnande av uppgifter oberoende av på vilken nivå de internationella överenskommelserna har ingåtts. I propositionen med förslag om godkännande av Europolkonventionen (prop. 1996/97:164, s. 64) framhöll den dåvarande regeringen att det i fråga om utlämnande av uppgifter var nödvändigt att begränsa uppgiftslämnandet till överenskommelser som godtagits av riksdagen. Skälet till detta var att man ville förhindra ett mer extensivt utbyte av personuppgifter. De uttalanden som gjordes i det lagstiftningsärendet har fortfarande viss bärkraft. Den föreslagna allmänna regeln om uppgiftslämnande till en utländsk myndighet eller mellanfolklig organisation bör därför endast omfatta internationella åtaganden som har godkänts av riksdagen.

Ds 2011:16 Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

Informationsutbyte med polis- och åklagarmyndigheter m.m. på begäran

Informationsutlämnande sker vanligtvis med anledning av en begäran från en utländsk myndighet om viss information. I och med att varje land organiserar den brottsbekämpande verksamheten efter sina traditioner kan informationsutbyte äga rum mellan polismyndigheter, en polismyndighet och en åklagarmyndighet eller vice versa eller med någon annan utländsk myndighet som har polisiära uppgifter, t.ex. tullmyndigheter eller motsvarigheter till Kustbevakningen.

Enligt den nya polisdatalagen får personuppgifter lämnas till Interpol eller Europol, eller till en polismyndighet eller åklagarmyndighet som är ansluten till Interpol, om det bl.a. behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Detta under förutsättning att det är förenligt med svenska intressen. Vidare får uppgifter lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnande följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt (2 kap. 15 § lagen och prop. 2009/10:85 s. 200 f.).

Även om Kustbevakningens utgiftslämnande inte är av samma omfattning som det som sker i polisens verksamhet, förekommer sådant och kan förmodas öka efterhand som det internationella samarbetet utvecklas. Det finns därför ett behov av en sekretessbrytande bestämmelse som möjliggör, i likhet med vad som gäller i polisens verksamhet, för Kustbevakningen att lämna personuppgifter i förhållande till Interpol och Europol, samt till tullmyndighet och Kustbevakningens motsvarigheter i länder som ingår i Europeiska ekonomiska samarbetsområdet (EES).

Sverige har förbundit sig att på begäran lämna vissa uppgifter till andra stater som är anslutna till Europol. Det följer således redan av den föreslagna huvudregeln att information kan lämnas på begäran av en sådan stat, men en tydlig reglering av vilken det framgår att uppgifter alltid får lämnas till stater som tillhör Euro-

Ds 2011:16

Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

pol, om förutsättningarna i övrigt är uppfyllda, underlättar för tillämparen.

Sverige har även förbundit sig att inom ramen för Interpol lämna andra stater bistånd med information, men dessa åtaganden är inte lika långtgående som när det gäller åtagandena i förhållande till stater som är medlemmar i Europol. Likaså har Sverige förbundit sig att lämna viss information till Interpol i dess egenskap av samarbetsorganisation. Den föreslagna lagen bör därför ge utrymme för att uppgifter kan lämnas både till en annan stat som är medlem i Interpol och till organisationen som sådan.

Sammanfattningsvis föreslås att lagförslaget innehåller en bestämmelse om utlämnande av personuppgifter. Den bör utformas så att det direkt framgår att personuppgifter får lämnas till polis- och åklagarmyndigheter i stater som är anslutna till Interpol. Därmed täcks även motsvarande uppgiftslämnande till stater som ingår i Europol, eftersom staterna inom EU är medlemmar i båda. Utlämnande bör också få ske till båda organisationerna. Vidare bör utlämnande få ske till utländsk kustbevakning eller tullmyndighet inom Europeiska ekonomiska samarbetsområdet (EES). Förutsättningen för att lämna uppgifter bör vara att uppgiften behövs för att förebygga, förhindra, upptäcka, utreda eller beivra brott. Dessutom ska utlämnande vara förenligt med svenska intressen.

Spontant uppgiftslämnande

Ett flertal konventioner och andra internationella överenskommelser som rör brottsbekämpning och som Sverige har undertecknat, innehåller bestämmelser om spontant uppgiftslämnande. Eftersom bestämmelser om spontant uppgiftslämnande normalt hänvisar till vad som är tillåtet enligt nationell lagstiftning, brukar bestämmelser av detta slag inte betraktas som något bindande åtagande. Å andra sidan brukar det läggas stor vikt vid det spontana informationsutbytet vid utvärdering av internationella överenskommelser och deras effektivitet. Sverige har också i oli-

Ds 2011:16 Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

ka sammanhang varit pådrivande när det gäller att utöka det internationella informationsutbytet, bl.a. genom att ta initiativ till rambeslutet av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater (2006/960/RIF).

Vidare innehåller förordningen (2010:705) om internationellt polisiärt samarbete, i vilken bl.a. regleras samarbete enligt det s.k. Prümrådsbeslutet, regler som under vissa förhållanden ålägger Kustbevakningen att spontant lämna uppgifter till en myndighet i en annan stat.

Om uppgifter lämnas spontant kan informationen som regel förses med villkor att den mottagande staten bara får använda den på visst sätt eller för visst ändamål. Ett sådant villkor, som är bindande för mottagaren, kan underlätta informationsutbytet i enskilda fall. Ett villkor angående användningen kan bl.a. innebära ett skydd mot att uppgifterna sprids vidare och utgör därför ett integritetsskydd för den enskilde.

Om Sverige fullt ut ska kunna leva upp till sina internationella åtaganden, bör det finnas utrymme för att också spontant lämna ut information till en annan stats brottsbekämpande myndighet, om informationen är värdefull för den statens brottsbekämpning. Uppgifter bör således kunna lämnas till en utländsk polis-, eller åklagarmyndighet, Interpol eller Europol eller till utländsk kustbevakning eller tullmyndighet inom EES, utan föregående begäran. Det enda krav som bör ställas i den här föreslagna lagen, utöver att uppgifterna ska behövas i den mottagande statens brottsbekämpning, är att uppgiftslämnandet ska vara förenligt med svenska intressen. Som tidigare framhållits måste, innan en personuppgift lämnas ut, den utlämnande myndigheten också bedöma om det mottagande landet har en tillräcklig dataskyddsnivå.

Ds 2011:16

Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

Utlämnande i andra fall

Uppgifter kan även lämnas till en utländsk myndighet eller organisation med stöd av 8 kap. 3 § offentlighets- och sekretesslagen, efter en sekretessprövning i det enskilda fallet. Det kan t.ex. vara fråga om uppgiftslämnande till någon annan mottagare än de som anges i lagförslaget eller utlämnande för något annat ändamål.

Det bör tydliggöras i lagförslaget att regeringen har möjlighet att meddela sekretessbrytande föreskrifter om utlämnande av uppgifter för andra ändamål eller till andra utländska mottagare än de som angetts i det föregående.

Överföring av uppgifter till tredjeland

Vid utlämnande av personuppgifter till utlandet måste Kustbevakningen också göra en bedömning av om överföringen är förenlig med bestämmelserna i 33 och 34 § § personuppgiftslagen.

De stater som tillhör Europol har samtliga tillträtt Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Detta innebär att reglerna i 33 § personuppgiftslagen inte hindrar överföring av personuppgifter (se 34 § andra stycket lagen). Motsvarande gäller organisationen Europol.

När det gäller uppgiftslämnande till stater som enbart är anslutna till Interpol kan noteras att vissa av dessa stater också har tillträtt dataskyddskonventionen och således har en dataskyddsnivå som medger överföring av personuppgifter utan någon särskild bedömning. Många andra stater har också en tillräcklig dataskyddsnivå, men det kräver en bedömning i det enskilda fallet. Interpol som organisation uppfyller också kraven på tillträcklig dataskyddsnivå.

Uppgiftslämnande till en polis- eller åklagarmyndighet i en annan stat som enbart är medlem i Interpol förutsätter alltså en noggrannare prövning, eftersom den utlämnande myndigheten då – utöver att bedöma om det ligger i svenskt intresse att lämna uppgiften – alltid måste avgöra om den andra staten har en till-

Ds 2011:16 Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

räcklig dataskyddsnivå för att överföring av personuppgifter ska vara tillåten enligt personuppgiftslagen.

13. Behandling för andra ändamål än brottsbekämpning

13.1. Primära ändamål för behandling av personuppgifter i annan operativ verksamhet hos Kustbevakningen

Förslag: I lagen ska det anges för vilka ändamål behandling av

personuppgifter i annan operativ verksamhet hos Kustbevakningen än den brottsbekämpande får ske. Ändamålen ska delas in i primära ändamål och sekundära ändamål. De primära ändamålen, som ska anges uttömmande i lagen, är behandling av personuppgifter som behövs för att

1. bedriva sjöövervakning för att övervaka den allmänna ordningen och säkerheten till sjöss samt bedriva den kontroll och tillsyn som Kustbevakningen är skyldig att utföra enligt särskilda föreskrifter,

2. bedriva räddningstjänst,

3. samordna civila behov av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter,

4. utreda och besluta i ärenden om vattenföroreningsavgift samt ta emot sådana avgifter, eller

5. fullgöra åligganden inom ramen för internationellt samarbete med sjöövervakning och räddningstjänst.

Utredningens förslag: Överensstämmer i huvudsak med

promemorians. Utredningen har emellertid endast föreslagit primära ändamål. Utredningen har vidare, till skillnad från promemorian, inte föreslagit någon primär ändamålsbestämmelse avseende internationellt samarbete.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt el-

ler har inget att invända mot förslaget. Kustbevakningen har anfört att eftersom samordning och förmedling av sjöinformation

Behandling för andra ändamål än brottsbekämpning Ds 2011:16

ingår som en fortlöpande och daglig del även i den brottsbekämpande verksamheten bör det av ändamålsbestämmelsen som avser samordning och förmedling av sjöinformation framgå att vid behandling av uppgifter för detta ändamål gäller även de bestämmelser som avser brottsbekämpande verksamhet. Vidare anför Kustbevakningen att med hänsyn till de särskilda behov som det internationella samarbetet föranleder och den betydelse detta samarbete har för en effektiv gränskontroll bör möjligheten till internationell samverkan regleras genom att ett ytterligare ändamål tas in i lagen.

Sjöfartsverket har ansett att ändamålet att ”samordna civila behov av sjöövervakning och förmedla civil sjöinformation” inte bör tas med då ändamålet är svävande och luddigt. Det är olämpligt från integritetssynpunkt att i bearbetningsbar form lagra stora mängder personuppgifter för andra ändamål än bekämpning av brott. Sjöfartsverket anför även att det är svårt att se vad i miljöräddningstjänsten och hanteringen av krissituationer som kan motivera en möjlighet att hantera personuppgifter av den typ det här är fråga om.

Skäl för förslaget

Allmänna utgångspunkter

I avsnitt 8.1 har redovisats bedömningen av den föreslagna lagens tillämpningsområde. Som har framgått där kommer tilllämpningsområdet att omfatta den del av Kustbevakningens operativa verksamhet i vilken det utförs personuppgiftsbehandling. Det innebär att det i lagförslaget behöver anges ändamål också för behandling som inte avser brottsbekämpning.

Vad avser personuppgiftslagens (1998:204) regler om ändamål, Kustbevakningens behov av att ändamålen utformas för att ge myndigheten utrymme att använda modern teknik i sin verksamhet och de grundläggande principerna för hur den föreslagna lagens ändamålsreglering ska utformas hänvisas till det som har anförts i kapitel 9.

Den personuppgiftsbehandling som utförs i annan verksamhet vid Kustbevakningen än den brottsbekämpande innefattar

Ds 2011:16 Behandling för andra ändamål än brottsbekämpning

inte personuppgifter av lika känslig karaktär som de som behandlas i den brottsbekämpande verksamheten. Det finns därför inte anledning att ställa upp lika restriktiva regler för den behandling av personuppgifter som sker i Kustbevakningens övriga verksamhet.

Emellertid bör här, på samma sätt som för Kustbevakningens brottsbekämpande verksamhet, anges för vilka specifika och legitima ändamål som uppgifter får samlas in och hur de får vidarebehandlas. Förslaget innebär därför, i likhet med utredningens, att den nya lagen ska innehålla ett antal primära ändamål. De primära ändamålen bör vara uttömmande angivna. Vidare finns det skäl att införa ett antal sekundära ändamål. Frågan om vilka de sekundära ändamålen bör vara övervägs i avsnitt 13.2.

De primära ändamål för vilka Kustbevakningen ska få behandla personuppgifter bör lämpligen indelas efter hur Kustbevakningens huvuduppgifter anges i förordningen (2007:853) med instruktion för Kustbevakningen. I enlighet härmed är de ändamål som föreslås kopplade till områdena sjöövervakning som inte bedrivs för brottsbekämpande ändamål, räddningstjänst, samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation samt internationellt samarbete.

Sjöövervakning för att upprätthålla allmän ordning och säkerhet till sjöss, kontroll och tillsyn

Kustbevakningen ska enligt 5 § förordningen med instruktion för Kustbevakningen i den utsträckning det följer av föreskrifter, och i förekommande fall efter överenskommelse med annan myndighet, bedriva tillsyns- och kontrollverksamhet i fråga om bl.a.

1. sjötrafik, sjösäkerhet och transport av farligt gods,

2. fartygs registrering och identifiering,

3. personers inresa i, utresa från och vistelse i Sverige,

4. in- och utförsel av varor,

5. fiske och därtill anknuten verksamhet,

6. jakt och annat ianspråktagande av naturresurser,

7. skydd av miljö- och naturvårdsintressen, och

Behandling för andra ändamål än brottsbekämpning Ds 2011:16

8. skyddsobjekt, militära skyddsområden och tillträde för utländska statsfartyg.

Kustbevakningen utövar också bl.a. tillsyn över svensk kontinentalsockel och ekonomisk zon, 6 § förordningen.

Kustbevakningen ska dessutom, enligt 7 §, vara kontaktpunkt för sjötrafiken i fråga om anmälningar enligt föreskrifter om gränskontroll avseende personer och i fråga om sjöfartsskydd och fiskerikontroll enligt överenskommelse med andra myndigheter. Utöver den rena kontroll- och tillsynsverksamheten har Kustbevakningen i sin sjöövervakningsverksamhet ett generellt ansvar för att öka respekten för lagar och föreskrifter samt för att öka säkerheten till sjöss. Uppgiften kan formuleras som övervakning av den allmänna ordningen och säkerheten till sjöss. Till verksamheten räknas t.ex. Kustbevakningens allmänna övervakningsverksamhet i form av patrullering och sjösäkerhetsövervakning. Inom ramen för sådan övervakning har Kustbevakningen och dess tjänstemän samma befogenheter som tillkommer polisman, bl.a. vad gäller ordningshållning enligt 13 § polislagen (1984:387).

Till sådan verksamhet som avses här räknas inte aktiviteter som föranleds av en misstanke om brott eller brottslig verksamhet. I den utsträckning övervakningsverksamhet kan hänföras till verksamhet för att förebygga, upptäcka och förhindra brott gäller alltså de förutsättningar för personuppgiftsbehandling som behandlats i föregående avsnitt. Det är mot denna bakgrund särskilt viktigt att skilja Kustbevakningens sjöövervakningsuppdrag med brottsbekämpande syfte från myndighetens uppdrag att bedriva sjöövervakning för andra syften.

Mot den bakgrunden föreslås att Kustbevakningen i den egna verksamheten ska få behandla personuppgifter när det behövs för att kunna bedriva sjöövervakning för att övervaka den allmänna ordningen och säkerheten till sjöss samt bedriva den kontroll och tillsyn som ankommer på myndigheten enligt särskilda föreskrifter. Dessa föreslagna s.k. primära ändamål stämmer väl överens med de verksamhetsområden som Kustbevakningen verkar inom och avgränsar på ett tillfredställande sätt de regler

Ds 2011:16 Behandling för andra ändamål än brottsbekämpning

som ska gälla för personuppgiftsbehandling inom dessa områden, med de regler för personuppgiftsbehandling som har föreslagits gälla för den brottsbekämpande verksamheten.

Räddningstjänst

Förslaget innebär vidare att det som primärt ändamål bör anges att Kustbevakningen får behandla uppgifter som behövs för myndighetens utövande av eller deltagande i räddningstjänst. Denna uppgift innebär enligt 11 § förordningen med instruktion för Kustbevakningen att myndigheten i enlighet med särskilda föreskrifter ska ansvara för miljöräddningstjänsten till sjöss i syfte att begränsa konsekvenserna av olyckor och utsläpp. På anmodan av räddningsledare ska Kustbevakningen också delta i sjöräddningstjänst och annan räddningstjänst och därigenom bidra till ökad sjösäkerhet, att människoliv kan räddas, att personskador begränsas och att konsekvenserna för egendom och miljö minskas.

Av 4 kap. 5 § lagen (2003:778) om skydd mot olyckor framgår att inom Sveriges sjöterritorium och ekonomiska zon ska den myndighet som regeringen bestämmer ansvara för räddningstjänst, när olja eller andra skadliga ämnen har kommit ut i vattnet eller det föreligger en överhängande fara för detta. Ansvaret gäller dock inte vattendrag, kanaler, hamnar och andra insjöar än Vänern, Vättern och Mälaren. Att Kustbevakningen är den myndighet som ansvarar för uppgiften framgår av 4 kap. 12 § förordningen (2003:789) om skydd mot olyckor.

I Kustbevakningens uppgift inom miljöräddningstjänsten ingår att ha en ständig beredskap för att påbörja och leda oljebekämpningsinsatser till sjöss. Kustbevakningen ska tidigt kunna bekämpa utsläpp av farliga ämnen till sjöss. Bekämpningsinsatserna ska påtagligt bidra till att minimera konsekvenserna av olyckor och till att minska de negativa effekterna på vattenmiljön och strandzonen.

Kustbevakningen ska också enligt 1 § förordningen med instruktion för Kustbevakningen ha förmåga att förebygga, motstå och hantera krissituationer inom sitt ansvarsområde. Kustbevak-

Behandling för andra ändamål än brottsbekämpning Ds 2011:16

ningen ska med andra ord ha beredskap för särskild krishantering i anledning av situationer som allvarligt påverkar samhällets funktionsförmåga eller tillgång till nödvändiga resurser. Kustbevakningen ska härvid kunna uthålligt delta i ledning och samordning av omfattande krishanteringssituationer för att minska konsekvenserna för liv, egendom och miljö vid svåra påfrestningar på samhället i fred. Detta Kustbevakningens uppdrag i förhållande till den föreslagna lagens tillämpningsområde har behandlats i avsnitt 8.1. För det fall att personuppgifter behöver behandlas i denna verksamhet kommer detta i första hand att ske enligt det särskilda ändamålet räddningstjänst.

Samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation

Ett stort antal myndigheter i Sverige arbetar regelbundet med sjöbaserad information, dvs. uppgifter som på ett eller annat sätt rör aktiviteter på svenskt vatten. De berörda myndigheterna samlar var och en för sig in verksamhetsspecifik information, som sedan utbyts med andra myndigheter i den utsträckning de behöver få tillgång till den. Detta innebär att det dagligen pågår ett omfattande informationsutbyte mellan svenska myndigheter som arbetar med sjörelaterade frågor.

För att effektivisera detta informationsutbyte har Kustbevakningen fått regeringens uppdrag att samordna de civila myndigheternas behov av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter. Uppdraget följer uttryckligen av 1 § förordningen med instruktion för Kustbevakningen och har sitt ursprung i regeringens uttalanden i propositionen ”Det nya försvaret” (prop. 1999/2000:30 s. 148 f.). Regeringen ansåg i det sammanhanget att de civila myndigheternas behov av sjöinformation skulle komma att öka, bl.a. avseende gränskontroll och gränsöverskridande brottslighet, men också i fråga om tillgänglighet, framkomlighet och säkerheten för sjöfarten. Regeringen framhöll också vikten av att den information som finns i olika system görs tillgänglig för sammanställning och tillhandahålls de myndigheter som behöver den. Mot denna bakgrund bedömde

Ds 2011:16 Behandling för andra ändamål än brottsbekämpning

regeringen att Kustbevakningen borde ges ett formaliserat samordningsansvar att koordinera de civila behoven av sjöövervakning samt att förmedla denna information till berörda civila verksamheter.

I avsnitten 5.4, 6.1.4 och 6.2 har redogjorts för hur Kustbevakningen samverkar och utbyter information med andra myndigheter. Saken berörs därför inte ytterligare här, utan det är tillräckligt att konstatera att det är Kustbevakningen som har ansvaret för det tekniska systemet för att information samlas in, bearbetas och lämnas ut. Kustbevakningen fungerar med andra ord som en värdmyndighet för den information som behandlas. Informationen kommer visserligen att kunna användas i Kustbevakningens operativa verksamhet, men det primära syftet med Kustbevakningens behandling av uppgifter är att samordna och förmedla information till berörda myndigheter.

Eftersom verksamheten inte bedrivs enbart för Kustbevakningens egna informationsbehov utan för att tillgodose behoven hos samtliga berörda myndigheter, omfattas verksamheten inte alltid av de ändamål som hittills föreslagits. En uttrycklig ändamålsbestämmelse är därför nödvändig. Det finns inte anledning att formulera ändamålet på annat sätt än så som uppgiften anges i förordningen med instruktion för Kustbevakningen.

Sjöfartsverket har mot utredningens förslag i denna del invänt att ändamålet att ”samordna civila behov av sjöövervakning och förmedla sjöinformation” är alltför svävande och luddigt och därför inte bör tas med och att stora mängder personuppgifter av integritetsskäl inte bör lagras i bearbetningsbar form för andra ändamål än bekämpning av brott.

Syftet med att ange samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation som ett särskilt primärt ändamål för behandling av uppgifter är inte att det inom denna verksamhet ska förekomma någon mer omfattande behandling av uppgifter om fysiska personer. Huvuddelen av behandlingen kommer liksom idag, avse helt andra typer av uppgifter. Det rör sig om att, vilket också utredningen har uppgett, främst sjörelaterad information avseende uppgifter om fartyg

Behandling för andra ändamål än brottsbekämpning Ds 2011:16

och andra objekt till sjöss (position, fart, kurs m.m.). Det är dock oundvikligt att det inom ramen för verksamheten behandlas personuppgifter, såsom indirekta personuppgifter avseende t.ex. ägarskap till ett fartyg. Sådan behandling av uppgifter sker redan idag inom Kustbevakningen med stöd av personuppgiftslagen. Bedömningen görs att det är sådana integritetsskäl som Sjöfartsverket framhåller som medför att det finns skäl att uttryckligen reglera förutsättningarna för behandlingen i lagen.

Kustbevakningen har anfört att informationsutbyte mellan de brottsbekämpande myndigheterna också innefattar samordning av sjöövervakning och förmedling av sjöinformation, och att det därför bör framgå att det vid behandling av uppgifter för det särskilda ändamålet samordning och förmedling av sjöinformation även gäller vad som i lagen föreskrivs om behandling i den brottsbekämpande verksamheten. Kustbevakningens synpunkt föranleds av den särskilda reglering som utredningen har föreslagit gällande behandlingen av uppgifter om brott och brottslig verksamhet samt känsliga personuppgifter när de behandlas för ändamålet att samordna civila behov av sjöövervakning och förmedla civil sjöinformation. Sådana uppgifter ska enligt utredningens förslag inte få göras gemensamt tillgängliga. Som framgår framledes av avsnitten 13.3 och 13.5 har emellertid en annan lösning valts i detta avseende. Därmed föreligger inte något behov av ett sådant tillägg som Kustbevakningen har föreslagit.

Vattenföroreningsavgifter

I Kustbevakningens uppdrag att bedriva sjöövervakning ingår att myndigheten enligt 4 § förordningen (2007:853) med instruktion för Kustbevakningen ska utreda och besluta i ärenden om vattenföroreningsavgift samt ta emot sådana avgifter.

Vattenföroreningsavgift är en administrativ sanktion vid olovliga oljeutsläpp. Närmare bestämmelser om sådana avgifter finns i lagen (1980:424) om åtgärder mot förorening från fartyg (vattenföroreningslagen). Lagen kompletteras av förordningen (1980:789) om åtgärder mot förorening från fartyg. Lagstiftningen är tillämplig på såväl svenska som utländska fartyg, men

Ds 2011:16 Behandling för andra ändamål än brottsbekämpning

inte på andra utländska fartyg än sådana som används i affärsdrift (1 kap. 1 och 3 § lagen). Bestämmelserna gäller inte heller på fritidsfartyg (2 kap. 8 § förordningen).

Vattenföroreningsavgift tas ut om något förbud mot utsläpp av olja från fartyg har överträtts och utsläppet inte är obetydligt eller i vissa fall om ett utsläpp inte har begränsats så långt det är möjligt (8 kap. 1 § lagen). Avgiften, som bestäms med hänsyn till utsläppets omfattning samt fartygets storlek, påförs som huvudregel den fysiska eller juridiska person som vid överträdelsen var fartygets ägare eller redare.

Enligt 6 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen får personuppgifter behandlas vid myndighetens handläggning av ärenden om vattenföroreningsavgift om det är nödvändigt för att utreda frågan om sådan avgift, besluta om att påföra någon sådan avgift, eller besluta om förbud eller förelägganden som avses i lagens 8 kap.

Även fortsättningsvis finns ett behov för Kustbevakningen att få behandla personuppgifter i samband med ärenden om vattenföroreningsavgift. Det föreslås därför att lagförslaget tillförs ett primärt ändamål som motsvarar den uppgift som Kustbevakningen har enligt 4 § förordningen med instruktion för Kustbevakningen, d.v.s. att utreda och besluta i ärenden om vattenföroreningsavgift samt att ta ut sådana avgifter.

Utredningen har föreslagit att behandlingen av uppgifter i ärenden om vattenföroreningsavgift bör omfattas av samma reglering som ska gälla för den brottsbekämpande verksamheten. Utredningen har som skäl för förslaget anfört att det i ärenden om vattenföroreningsavgift i stor utsträckning behandlas samma typ av uppgifter som i den brottsbekämpande verksamheten. I denna promemoria delas inte den uppfattningen. Även om det i sådana ärenden i viss utsträckning behandlas samma typ av uppgifter som i den brottsbekämpande verksamheten rör det sig om administrativa åtgärder som typiskt sett är hänförliga till kontroll- och tillsynsverksamhet. Detta framstår som än mer klart då Kustbevakningen sedan den 1 augusti 2010 även har uppgiften

Behandling för andra ändamål än brottsbekämpning Ds 2011:16

att hantera uppbörden av vattenföroreningsavgifter (4 § förordningen med instruktion för Kustbevakningen).

Sammanfattningsvis föreslås att Kustbevakningen ska få behandla personuppgifter när det behövs för att utreda och besluta i ärenden om vattenföroreningsavgift samt ta emot sådana avgifter.

Internationellt samarbete

Sjöfarten är till sin karaktär internationell. För att effektivt utöva övervakning, tillsyn och kontroll inom ramen för den internationella samverkan som byggts upp sedan 1990-talet och alltjämt är under utveckling, krävs att de berörda myndigheterna i olika länder kan utbyta information. Det gäller i första hand inom de gemensamma mekanismer som byggts upp inom EU, men också vid annat samarbete med t.ex. tredjeland.

Kustbevakningen ska enligt 15 § förordningen (2007:853) med instruktion för Kustbevakningen medverka i internationellt samarbete för att utveckla gränskontroll, brottsbekämpning till sjöss, annan sjöövervakning och miljöräddningstjänst. Kustbevakningen ska vidare samverka med andra myndigheter för att främja svenskt deltagande i internationellt samarbete inom sitt verksamhetsområde.

Informationsutbyte med andra länder kan avse såväl information på en mer allmän nivå, t.ex. gemensamma lägesbilder, som utlämnande av information till en enskild tjänsteman inom ramen för ett särskilt ärende, t.ex. en gränskontrolloperation. I båda dessa fall kan verksamheten effektiviseras om behandlingen av de relevanta uppgifterna kan ske automatiserat. Informationsutbyte kan också ske genom att tjänstemän från flera länder arbetar tillsammans inom ramen för särskilda ärenden. Utlämnande sker i sådana sammanhang främst med stöd av regleringen i 8 kap. 3 § offentlighets- och sekretesslagen (2009:400).

Utredningen har inte föreslagit något särskilt ändamål för behandling av uppgifter i internationell samverkan med hänvisning till att Kustbevakningens samarbete uteslutande bedrivs som ett led i den ordinarie verksamheten och att behandling av uppgifter

Ds 2011:16 Behandling för andra ändamål än brottsbekämpning

i internationell samverkan därför alltid omfattas av något av de andra primära ändamålen för behandling av uppgifter som anges i lagen.

Kustbevakningen har mot utredningens överväganden i denna del invänt att det internationella samarbetet genomgår en snabb utveckling och ökar i en omfattning som inte fullt ut kunnat överblickas under utredningens arbete och att det finns behov av en uttrycklig ändamålsbestämmelse med sikte på denna verksamhet.

Med hänsyn till den betydelse det internationella samarbetet har för bl.a. en effektiv gränskontroll är det angeläget att det internationella samarbetet underlättas och att lagstiftningen inte i onödan utgör ett hinder för möjligheterna att utbyta information. Utredningens förslag ger begränsat utrymme för att t.ex. inom ramen för etablerade samarbetsformer dela med sig av uppgifter som är av stort intresse för motsvarande myndigheter i andra länder men som inte nödvändigtvis omfattas av något av de ändamål som anges i lagen, därför att uppgifterna inte primärt behövs i Kustbevakningens egen verksamhet. En jämförelse kan härvid göras med det särskilda ändamålet samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation, som dock inte omfattar informationsutbyte med andra än svenska myndigheter. I denna del kan också hänvisas till de överväganden som gjorts i avsnitt 9.2.3 angående behovet av en särskild ändamålsbestämmelse avseende internationellt samarbetet i den brottsbekämpande verksamheten.

Mot denna bakgrund, och för att skapa förutsättningar för en effektiv utveckling av det internationella samarbetet, bör en sådan ändamålsbestämmelse som Kustbevakningen har föreslagit tas in i lagförslaget. Den bör utformas så att den ger möjlighet att behandla uppgifter om det behövs för att Kustbevakningen ska kunna fullgöra åligganden inom ramen för internationellt samarbete på vissa närmare angivna områden. Vid internationellt samarbete ska för behandlingen självklart gälla samma integritetsskydd som vid behandling för övriga ändamål. I den utsträckning samarbetet övergår i brottsbekämpande verksamhet,

Behandling för andra ändamål än brottsbekämpning Ds 2011:16

gäller de särskilda bestämmelser i lagen som reglerar sådan behandling, se avsnitt 12.2.

Övriga ändamål

I 7 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen finns en särskild ändamålsbestämmelse som ger stöd för Kustbevakningen att behandla personuppgifter för bl.a. planering, uppföljning och utvärdering av Kustbevakningens verksamhet. Det bör övervägas om en dylik ändamålsbestämmelse behöver återfinnas i en ny lag.

I lagstiftningsärendet angående lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet uttalade Lagrådet att en sådan bestämmelse som nu diskuteras är obehövlig (prop. 2004/05:164 s 179). Lagrådet ansåg att planering, uppföljning och utvärdering av verksamhet är en integrerad del av själva verksamheten och inte någon fristående aktivitet som behöver regleras särskilt. Något sådant ändamål finns därför inte i nämnda lag. Av samma skäl avstod regeringen från att föreslå någon sådan ändamålsbestämmelse för polisens vidkommande, (se avsnitt 9.3.1).

Utredningen har inte lämnat några förslag till ändamål som motsvarar det som återfinns i nu gällande förordningens 7 §. Skälet som utredningen har anfört för detta är att det får anses vara en integrerad del av själva verksamheten att behandla uppgifter om det behövs för den administrativa interna tillsynen och uppföljningen m.m. av Kustbevakningens verksamhet. Därför behövs enligt utredningens mening inte något särskilt ändamål anges för att uppgifter som får behandlas i verksamheten också får användas för planering m.m.

Mot den bakgrunden saknas det skäl att i den här föreslagna lagen föreslå en särskild ändamålsbestämmelse som motsvarar 7 § förordningen.

Ds 2011:16 Behandling för andra ändamål än brottsbekämpning

13.2. Sekundära ändamål för behandling av personuppgifter i annan verksamhet hos Kustbevakningen

Förslag: Personuppgifter som behandlas i annan verksamhet

hos Kustbevakningen än den brottsbekämpande verksamheten ska också få behandlas om det är nödvändigt för att tillhandahålla information som behövs i

1. Kustbevakningens brottsbekämpande verksamhet,

2. en annan myndighets verksamhet om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift eller om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan, och

3. likartad verksamhet hos utländsk myndighet. Personuppgifter ska även få behandlas om det är nödvändigt för att tillhandahålla information till riksdagen eller regeringen eller till andra, om skyldighet att lämna uppgifter följer av lag eller förordning.

För att tillhandahålla information för andra ändamål än de ovan uppräknade får behandling ske endast om det nya ändamålet i det enskilda fallet inte kan anses oförenligt med det ändamål för vilket uppgifterna samlades in.

Utredningens förslag: Innehåller inte någon motsvarande

bestämmelse. Utredningen har i stället föreslagit att personuppgifter som har samlats in i Kustbevakningens behandling av personuppgifter utöver brottsbekämpning inte ska få behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt

eller har inte haft något att invända mot förslaget.

Behandling för andra ändamål än brottsbekämpning Ds 2011:16

Skäl för förslaget

Allmänna utgångspunkter

I föregående avsnitt har redovisats hur lagförslagets ändamåls- reglering bör utformas och vilka de i lagförslaget angivna primära ändamålen bör vara i frågan om annan verksamhet hos Kustbevakningen än den brottsbekämpande. I detta avsnitt diskuteras vilka sekundära ändamål som bör anges för sådan verksamhet eller med andra ord i vilken utsträckning uppgifter som har samlats in för Kustbevakningens verksamhet ska få lämnas ut till andra. Målsättningen är att de sekundära ändamålen ska vara så fullständiga som möjligt och omfatta merparten av Kustbevakningens uppgiftsutlämnande. Kustbevakningens verksamhet innefattar dock behandling av en stor mängd uppgifter av skiftande karaktär och behovet av att kunna utbyta uppgifter med andra, framför allt myndigheter, är omfattande. Det är mot den bakgrunden svårt att på ett uttömmande sätt räkna upp de ändamål för vilka uppgifter ska kunna lämnas ut. Därför bör det finnas ett visst utrymme att tillhandahålla uppgifter även för andra ändamål än de särskilt angivna, under förutsättning att det nya ändamålet inte kan anses oförenligt med insamlingsändamålet (finalitetsprincipen).

I sammanhanget bör påpekas, på samma sätt som har skett i avsnitt 9.3.1, att utlämnande av uppgifter även kan ske inom ramen för något av de primära ändamålen. Utlämnande av uppgifter till andra kan vara ett led i den egna verksamheten och således omfattas av något av de primära ändamålen.

Tillhandahållande av information till Kustbevakningens brottsbekämpande verksamhet

För att Kustbevakningen på ett effektivt sätt ska kunna lösa sina uppgifter i den brottsbekämpande verksamheten kan det fordras att personuppgifter som behandlas i Kustbevakningens övriga operativa verksamhet tillhandahålls den brottsbekämpande verksamheten. Exempelvis kan en av Kustbevakningen företagen kontroll ha genererat information som påkallar behandling i den brottsbekämpande verksamheten, för att avgöra om det råder

Ds 2011:16 Behandling för andra ändamål än brottsbekämpning

misstanke om brott och för att Kustbevakningen ska kunna vidta de åtgärder som krävs. Därför bör Kustbevakningens brottsbekämpande verksamhet, när det är nödvändigt, kunna få tillgång till uppgifter som behandlas i den övriga operativa verksamheten hos Kustbevakningen.

Bistånd och tillhandahållande av information till andra myndigheter

Kustbevakningen kan enligt lag eller förordning vara skyldig att bistå en annan myndighet med vissa uppgifter. Fiskeriverket kan exempelvis enligt 5 kap. 4 § förordningen (1994:1716) om fisket, vattenbruket och fiskerinäringen överlåta åt Kustbevakningen att bl.a. kontrollera transportdokument. Enligt 5 kap. 1 e § samma förordning ska Kustbevakningen vidare till Fiskeriverket lämna sådana uppgifter som Fiskeriverket kan antas behöva vid prövning av ärenden om vissa administrativa sanktioner enligt fiskelagen (1993:787). De uppgifter som här aktualiseras är uppgifter från Kustbevakningens kontroll- och tillsynsverksamhet. För att Myndigheten för samhällsskydd och beredskap ska kunna fullgöra rapporteringsskyldigheten enligt 14 § förordningen (2006:311) om transport av farligt gods, ska Kustbevakningen enligt samma bestämmelse förse denna myndighet med vissa uppgifter om överträdelser som kommit till Kustbevakningens kännedom. Vidare kan nämnas att Kustbevakningen även har till uppgift att tillhandahålla information till andra myndigheter enligt bl.a. fartygssäkerhetslagen (2003:364), förordningen (2004:283) om sjöfartsskydd, förordningen (2006:1213) om hamnskydd och fartygsregisterförordningen (1975:927).

I det föregående har redogjorts för den informationshantering och det informationsutbyte samt samverkan som sker mellan Kustbevakningen och andra myndigheter eller organ (se kapitel 6). Ett stort antal myndigheter i Sverige arbetar med sjöbaserad information, dvs. uppgifter som på ett eller annat sätt rör aktiviteter på svenskt vatten. De berörda myndigheterna samlar var och en för sig in verksamhetsspecifik information, som sedan kan utbytas med andra myndigheter som behöver ha tillgång till

Behandling för andra ändamål än brottsbekämpning Ds 2011:16

den. Detta innebär att det ständigt pågår ett omfattande informationsflöde mellan svenska myndigheter som arbetar med sjörelaterade frågor. Ett av de system som används för att samordna och förmedla sjöinformation är det särskilda stödsystemet benämnt SJÖBASIS. De myndigheter som berörs av informationssystemet är – förutom Kustbevakningen – bl.a. polisen, Tullverket, Fiskeriverket, Sjöfartsverket, Naturvårdsverket, Myndigheten för samhällsskydd och beredskap, SMHI och Sveriges geologiska undersökning. De uppgifter som kan bli aktuella att behandla är t.ex. vatten- och väderförhållanden samt uppgift om vem som äger ett visst fartyg.

Mot denna bakgrund föreslås att det uttryckligen anges att personuppgifter som behandlas i Kustbevakningens verksamhet inom ramen för de föreslagna primära ändamålen också ska få behandlas när det är nödvändigt för att tillhandahålla information som behövs i en annan myndighets verksamhet om det enligt lag eller förordning åligger Kustbevakningen att bistå myndigheten med viss uppgift eller om informationen tillhandahålls inom ramen för en myndighetsöverskridande samverkan.

Tillhandahållande av information till utländska myndigheter

Som tidigare redovisats ingår det i Kustbevakningens uppgifter att följa den internationella utvecklingen inom verksamhetsområdet och att medverka i internationellt samarbete för att utveckla gränskontroll, brottsbekämpning till sjöss, miljöskydd till sjöss och annan sjöövervakning. Kustbevakningen ska vidare samverka med andra myndigheter för att främja svenskt deltagande i internationellt samarbete inom sitt verksamhetsområde.

Kustbevakningens internationella, direkt operativa, samarbete har bl.a. till syfte att säkerställa ändamålsenliga operativa förberedelser i form av planer, larmrutiner, ledningsstrukturer etc. samt att genom övningar och seminarier vidmakthålla och stärka den gemensamma operativa förmågan. Utvecklingen går alltmer mot gränsöverskridande operativt samarbete. Exempel på sådana samarbeten är Kustbevakningens deltagande i samarbeten med andra europeiska länder för att bl.a. upprätthålla den inre och

Ds 2011:16 Behandling för andra ändamål än brottsbekämpning

yttre gränskontrollen och fiskerikontrollen inom EU (se avsnitt 5.2.4).

Inom ramen för det internationella samarbetet måste Kustbevakningen även fortsättningsvis kunna få behandla personuppgifter för att lämna ut dem till utländsk myndighet, som bedriver likartad verksamhet som den svenska Kustbevakningen, i den utsträckning det behövs för att fullgöra internationella åtaganden. Det kan exempelvis vara fråga om att lämna upplysningar till en utländsk motsvarighet till Kustbevakningen om vilka åtgärder som har vidtagits i Sverige med anledning av utländsk information. Eftersom det internationella informationsutbytet förutsätter att uppgifter i vissa fall kan lämnas utan föregående förfrågan från en annan stat, bör det vara möjligt att behandla och lämna ut uppgifter även om detta endast är ett allmänt åtagande och inte ett bindande krav. Sådan behandling bör även, liksom för närvarande, vara möjlig när det inte finns någon överenskommelse som reglerar uppgiftsutlämnandet.

Lagförslaget bör således innehålla en bestämmelse om att personuppgifter som behandlas inom ramen för de primära ändamål som har föreslagits i avsnitt 13.1 även får behandlas i Kustbevakningens verksamhet, utöver den brottsbekämpande, om det är nödvändigt för att tillhandahålla information som behövs i likartad verksamhet hos utländsk myndighet.

Tillhandahållande av information till riksdagen eller regeringen eller till annan myndighet med stöd av bestämmelser om uppgiftsskyldighet

Det finns även vissa situationer där personuppgifter bör få behandlas av Kustbevakningen för utlämnade till andra än de fall som nämnts ovan. Enligt 10 kap. 15 § offentlighets- och sekretesslagen (2009:400) hindrar sekretess inte att uppgift lämnas till regeringen eller riksdagen. Det bör därför i den här föreslagna lagen anges att personuppgifter får behandlas, om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen.

Behandling för andra ändamål än brottsbekämpning Ds 2011:16

Vidare innebär lagförslaget att uppgifter får behandlas för att lämnas ut till andra, om Kustbevakningen enligt lag eller förordning är skyldig att tillhandahålla sådan information. En motsvarande bestämmelse finns i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och i polisdatalagen (2010:361). Med andra avses såväl myndigheter som enskilda. Med skyldighet för Kustbevakningen att lämna ut uppgifter avses dels uppgiftsskyldighet enligt 10 kap. 28 § första stycket offentlighets- och sekretesslagen, dels andra författningsreglerade skyldigheter att lämna ut uppgifter. Enligt 6 kap. 5 § offentlighets- och sekretesslagen ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Den bestämmelsen får anses innefatta en skyldighet att lämna ut uppgifter som avses i den nya lagen (jfr prop. 2009/10:85 s. 121).

13.3. Behandling av personuppgifter när brottsmisstanke uppstår

Förslag: Uppstår misstanke om brott eller brottslig verksam-

het ska den fortsatta behandlingen av personuppgifterna ske enligt vad som gäller för sådan verksamhet.

Utredningens förslag: Innehåller inte någon motsvarande

bestämmelse.

Remissinstanserna har inte yttrat sig. Skäl för förslaget: Som tidigare framgått har Kustbevakning-

en många olika uppgifter och vad som inledningsvis endast utgjort tillsyn eller övervakning kan övergå till att bli brottsbekämpande verksamhet. Brott kan t.ex. uppdagas i samband med den rutinmässiga övervakning samt kontroll och tillsyn som Kustbevakningen bedriver i t.ex. sjösäkerhets- eller miljöskyddssyfte.

Ds 2011:16 Behandling för andra ändamål än brottsbekämpning

Tillämparen av den föreslagna lagen har att vid varje tillfälle noggrant överväga vilka bestämmelser som ska tillämpas på de personuppgifter som behandlas. Det är emellertid angeläget att personuppgiftsbehandlingen, så snart verksamheten övergår till att innefatta inslag av brottsbekämpning, bedrivs i enlighet med de särskilda förutsättningar som gäller för behandlingen inom sådan verksamhet.

Av den här föreslagna lagen bör det därför uttryckligen framgå, som en upplysning för tillämparen, att om uppgifter som insamlas i fråga om Kustbevakningens verksamhet med räddningstjänst m.m. ger anledning till misstanke om brott eller brottslig verksamhet, ska den fortsatta behandlingen av uppgifterna ske enligt bestämmelserna om behandling av personuppgifter i den brottsbekämpande verksamheten. Regeln är avsedd som ett förtydligande av hur den praktiska hanteringen ska gå till.

13.4. Känsliga personuppgifter som sökbegrepp

Förslag: Känsliga personuppgifter ska inte få användas som

sökbegrepp vid sökning i personuppgifter i den del av Kustbevakningens verksamhet som inte är brottsbekämpande. Det ska dock inte finnas något hinder mot att använda uppgifter som beskriver en persons utseende som sökbegrepp.

Utredningens förslag: Överensstämmer i huvudsak med

promemorians. Utredningen föreslår dock en annan lagteknisk lösning.

Remissinstanserna: Har tillstyrkt eller inte haft något att in-

vända mot förslaget.

Skäl för förslaget: Som tidigare har berörts i avsnitt 10.3 av-

seende den brottsbekämpande verksamheten, är vissa uppgifter särskilt integritetskänsliga, i synnerhet uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör hälsa eller sexualliv. I den del av Kustbevakningens verksamhet

Behandling för andra ändamål än brottsbekämpning Ds 2011:16

som inte är brottsbekämpande finns det inte något behov av att använda känsliga personuppgifter som sökbegrepp. Det finns således ingen anledning att tillåta dylik sökning i denna verksamhet. Förbudet mot att söka på känsliga personuppgifter ska gälla oavsett om uppgifterna har gjorts gemensamt tillgängliga eller inte. Precis som i den brottsbekämpande verksamheten ska det dock inte finnas något hinder mot att använda uppgifter som beskriver en persons utseende som sökbegrepp. Exempelvis kan det inom räddningstjänsten finnas behov av att söka på uppgift som beskriver en persons utseende vid eftersökande av försvunna personer.

13.5. Gemensamt tillgängliga uppgifter och direktåtkomst i annan operativ verksamhet än den brottsbekämpande hos Kustbevakningen

Förslag: Personuppgifter i annan operativ verksamhet hos

Kustbevakningen än den brottsbekämpande får göras gemensamt tillgängliga, om det är nödvändigt för Kustbevakningen att fullgöra sina uppgifter enligt de primära ändamålen. Regeringen ska få meddela föreskrifter om vilka svenska myndigheter som får ha direktåtkomst till personuppgifter som behandlas enligt de primära ändamålen. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga och får inte avse känsliga personuppgifter. En myndighet som medgetts direktåtkomst ska ansvara för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen ska vidare få meddela föreskrifter om att utländska myndigheter får ha direktåtkomst till personuppgifter som behandlas enligt de primära ändamålen. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga och får inte avse känsliga personuppgifter.

Ds 2011:16 Behandling för andra ändamål än brottsbekämpning

Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Utredningens förslag: Överensstämmer i huvudsak med

promemorians men omfattar inte gemensamt tillgängliga uppgifter och möjlighet till föreskrifter rörande direktåtkomst för utländska myndigheter. Utredningen har inte heller föreslagit någon uttrycklig begränsning av vilka uppgiftskategorier som inte får omfattas av direktåtkomsten eller bestämmelser om tillgångsbegränsningar, behörighet och säkerhet.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt el-

ler har inget att invända mot förslaget. Kustbevakningen har framfört att det under den fortsatta beredningen bör övervägas att också inkludera reglering av möjlighet till direktåtkomst för utländska myndigheter inom ramen för internationell samverkan. Starka skäl talar enligt Kustbevakningen för att lagen bör ge regeringen möjlighet att föreskriva om sådan direktåtkomst genom förordning.

Skäl för förslaget: Begreppet gemensamt tillgängliga uppgif-

ter har behandlats i avsnitt 8.2. I avsnittet redogörs för vikten av att begränsa möjligheten till behandling av gemensamt tillgängliga uppgifter p.g.a. risken för intrång i den enskildes personliga integritet. Risken för intrång i den personliga integriteten är inte lika påtaglig för uppgifter som behandlas i Kustbevakningens övriga operativa verksamheten jämfört med den brottsbekämpande. För att upprätthålla skyddet för den personliga integriteten föreligger emellertid även i den övriga operativa verksamheten behov av att reglera när personuppgifter får göras gemensamt tillgängliga. En sådan begränsning sker enligt detta förslag genom att personuppgifter får göras gemensamt tillgängliga, om det är nödvändigt för Kustbevakningen att fullgöra sina uppgifter enligt de primära ändamålen.

Innebörden av begreppet direktåtkomst har diskuterats i avsnitt 11.3.2. Kustbevakningen bedriver också inom den operativa verksamhet som inte avser brottsbekämpning ett omfattande

Behandling för andra ändamål än brottsbekämpning Ds 2011:16

samarbete med andra svenska myndigheter. Detta samarbete förenklas avsevärt genom möjlighet till direktåtkomst till olika uppgifter. Den kontroll och tillsyn som myndigheten ansvarar för bedrivs i allt väsentligt på områden för vilka andra myndigheter har det yttersta ansvaret, t.ex. när det gäller gränskontroll och fiskerikontroll. Det är därför naturligt att det sker ett elektroniskt uppgiftsutbyte mellan Kustbevakningen och den myndighet som har huvudansvaret. Det särskilda uppdraget att samordna civila behov av sjöövervakning och förmedla civil sjöinformation förutsätter att information kan utbytas mellan myndigheterna genom direktåtkomst.

I de ovan angivna sammanhangen finns alltså ett stort behov av utbyte av information och omfattande effektivitetsvinster kan nås genom att direktåtkomst möjliggörs. Direktåtkomst bör därför kunna medges till gemensamt tillgängliga uppgifter som behandlas för de primära ändamål som anges i 1 §. Direktåtkomst kan omfatta bl.a. dokument som är en följd av Kustbevakningens kontroll- och tillsynsverksamhet, t.ex. inspektionsrapporter. Inget hindrar att sådana dokument används som underlag av den myndighet som har medgetts direktåtkomst för bedömningar av vilka åtgärder som bör vidtas mot överträdelser som har iakttagits av Kustbevakningen. För att tydligt markera att direktåtkomst till gemensamt tillgängliga uppgifter i annan verksamhet än den brottsbekämpande inte får avse uppgifter som är särskilt känsliga ur integritetssynpunkt, föreslås en förtydligande bestämmelse om att direktåtkomsten inte ska få avse känsliga personuppgifter. Vidare förslås en bestämmelse som innebär att en svensk myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (jfr avsnitt 11.3.5).

Kontakter med myndigheter i andra länder är också en naturlig del av Kustbevakningens operativa verksamhet. Kustbevakningen har framhållit att det finns ett behov av att inom ramen för det internationella samarbetet kunna ge utländska myndigheter direktåtkomst till vissa uppgifter som behandlas i den icke

Ds 2011:16 Behandling för andra ändamål än brottsbekämpning

brottsbekämpande verksamheten. Denna promemoria ser också ett behov av en sådan reglering. Som har framhållits i tidigare avsnitt är det internationella samarbetet av stor betydelse och en stor del av Kustbevakningens verksamhet är av sådan karaktär att den är helt beroende av samverkan med myndigheter i andra länder. Samarbetet tar sig olika uttryck och bedrivs i varierande former. En viktig del är de mekanismer som byggts upp inom EU, men också samarbetet med tredjeland – t.ex. inom Baltic Sea Region Border Control Cooperation/ BSRBCC – är av stor betydelse.

De uppgifter som kan vara aktuella att tillgängliggöra genom direktåtkomst för utländska myndigheter handlar främst om fartygs namn, position, kurs och fart kompletterad med information om iakttagelser, jämte uppgifter från förhandsanmälningar. De personuppgifter som kan komma i fråga är främst sådana som endast indirekt kan hänföras till en fysisk person, framförallt sådana uppgifter om fartyg som kan användas för kontinuerlig uppdatering av en gemensam lägesbild. När det gäller den typen av uppgifter sker redan i dag ett omfattande informationsutbyte – dock inte genom direktåtkomst.

Som framgår av avsnitt 11.3.6 har bedömningen gjorts att det inte finns tillräckliga skäl för att öppna möjlighet för direktåtkomst för utländska myndigheter på det brottsbekämpande området. När det gäller den icke brottsbekämpande verksamheten är emellertid omständigheterna annorlunda. De kategorier av uppgifter som behandlas utanför brottsbekämpningen är av väsentligt mindre känslig karaktär. Dessutom är den verksamhet som Kustbevakningen bedriver, utöver den brottsbekämpande, av sådan art, variation och omfattning att det finns anledning till att ha en större flexibilitet såvitt avser direktåtkomst till uppgifter som behandlas.

Sammanfattningsvis talar övervägande skäl för att ge svenska myndigheter möjlighet att ha direktåtkomst till personuppgifter i annan verksamhet hos Kustbevakningen än den brottsbekämpande. Direktåtkomsten ska dock endast avse personuppgifter som behandlas enligt de primära ändamålen och som har gjorts

Behandling för andra ändamål än brottsbekämpning Ds 2011:16

gemensamt tillgängliga samt får inte avse känsliga personuppgifter. Även utländska myndigheter ska få ges möjlighet till direktåtkomst till dessa uppgifter. Självklart måste det vid bedömningen av om direktåtkomst ska tillåtas i det enskilda fallet beaktas om det aktuella landet har en adekvat nivå för skyddet av personuppgifter.

Författningsreglering av direktåtkomst

Frågan är då hur direktåtkomsten bör regleras. Direktåtkomst till uppgifter hos annan myndighet innebär särskilda risker från integritetssynpunkt, eftersom den utlämnande myndigheten inte har möjlighet att i varje enskilt fall ta ställning till om de eftersökta uppgifterna bör lämnas ut. I Kustbevakningens brottsbekämpande verksamhet behandlas särskilt känsliga uppgifter och därför har i avsnitt 11.3.5 föreslagits en bestämmelse av vilken framgår vilka myndigheter som är aktuella för att medges direktåtkomst.

När det däremot gäller uppgifter i Kustbevakningens övriga verksamheter kan det inte anses nödvändigt att det av lag uttryckligen framgår vilka myndigheter som kan få direktåtkomst. I dessa verksamheter behandlas inte uppgifter av känslig karaktär om enskildas personliga förhållanden på motsvarande sätt som i den brottsbekämpande verksamheten. Vidare gäller, särskilt i fråga om informationsutbytet inom Kustbevakningens samordning av sjöövervakning som inte sker i brottsbekämpande syfte och förmedling av sjöinformation, att de berörda myndigheterna i framtiden kan komma att ändras. Likaså kan förutsättningarna för det internationella samarbetet förändras. Det kan därför med kort varsel behöva ske förändringar av vem som ska få ha direktåtkomst. Mot denna bakgrund bör det i lagförslaget anges att regeringen får meddela bestämmelser om vilka myndigheter som får ha direktåtkomst till uppgifter som behandlas i Kustbevakningens icke brottsbekämpande verksamhet. När det gäller direktåtkomst för utländska myndigheter bör när så är aktuellt regeringen i förordning ange inom vilka etablerade samarbetsfor-

Ds 2011:16 Behandling för andra ändamål än brottsbekämpning

mer – t.ex. gemenskapsmekanismer – som direktåtkomst får medges.

På motsvarande sätt som föreslås för den brottsbekämpande verksamheten bör det i den föreslagna lagen finnas en bestämmelse av vilken framgår att det är regeringen eller den myndighet som regeringen bestämmer som meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet. Direktåtkomsten bör begränsas till relevanta uppgifter.

13.6. Utlämnande av uppgifter

Förslag: Regeringen ska få meddela bestämmelser om i vilken

utsträckning personuppgifter får lämnas ut till svenska och utländska myndigheter i andra fall än som anges i offentlighets- och sekretesslagen (2009:400).

Utredningens förslag: Innehåller inte någon motsvarande

bestämmelse.

Remissinstanserna: Remissinstanserna har inte yttrat sig i

frågan.

Skäl för förslaget: I fråga om uppgifter i den brottsbekäm-

pande verksamheten föreslås särskilda bestämmelser om uppgiftsskyldighet och utlämnande. Dessa bestämmelser föreslås kompletteras med en bestämmelse som anger att regeringen meddelar föreskrifter om att personuppgifter får lämnas ut även i andra fall.

När det gäller personuppgiftsbehandling för de ändamål som behandlas i detta kapitel görs emellertid bedömningen att det, till skillnad från vad som föreslås gälla för den brottsbekämpande verksamheten, inte finns anledning att införa särskilda bestämmelser i lag om uppgiftsskyldighet och utlämnande. Uppgifterna är av varierande karaktär och gemensamt för dem är att de i huvudsak är mindre integritetskänsliga än sådana som behandlas i den brottsbekämpande verksamheten. Särskilda sekretessbrytande bestämmelser kan dock behövas även i dessa verksamheter, i

Behandling för andra ändamål än brottsbekämpning Ds 2011:16

syfte att underlätta informationsutbytet mellan myndigheter på såväl nationell som internationell nivå. Sådana bestämmelser bör meddelas i förordning.

14. Övriga sekretessfrågor

Förslag: Sekretess med så kallat omvänt skaderekvisit ska i

likhet med vad som gäller för övriga brottsbekämpande myndigheter, gälla i Kustbevakningens verksamhet som avses i kustbevakningsdatalagen med att förebygga, förhindra eller upptäcka brottslig verksamhet med hänsyn till intresset av att förebygga och beivra brott.

En sekretessbrytande bestämmelse ska införas när det gäller uppgiftsutlämnande till enskild som motsvarar vad som gäller för polisen, Skatteverket och Tullverket.

Bedömning: Skydd för uppgift om enskilds personliga och

ekonomiska förhållanden i Kustbevakningens brottsbekämpande verksamhet omfattas av bestämmelsen i 35 kap. 1 § 4 p offentlighets- och sekretesslagen (2009:400).

Utredningens förslag: Överensstämmer med promemorians

utom i det avseendet att utredningen inte har föreslagit någon sekretessbrytande bestämmelse. Utredningen har vidare föreslagit en bestämmelse motsvarande den som finns för polisen och Tullverket till skydd för enskilds förhållanden av såväl personlig som ekonomisk natur.

Remissinstanserna: Remissinstanserna har tillstyrkt eller har

inget att invända mot förslaget.

Skäl för förslaget

Informationsutbyte i den brottsbekämpande verksamheten

I det föregående har poängterats att ett effektivt brottsbekämpande arbete kräver goda förutsättningar för samverkan mellan de brottsbekämpande myndigheterna. Förutsättningarna för utbyte av information kan emellertid påverkas av olika faktorer, t.ex. möjligheterna för de brottsbekämpande myndigheterna att utbyta personuppgifter genom direktåtkomst, vilka sekretessreg-

Övriga sekretessfrågor Ds 2011:16

ler som är tillämpliga och hur dessa är utformade eller vilket konkret behov en myndighet har av att få tillgång till personuppgifter i verksamheten. Utgångspunkten för ett effektivt brottsbekämpande samarbete är att myndigheter som har liknande uppgifter inom det brottsbekämpande området bör omfattas av likartade eller jämförliga regler.

Det förekommer redan idag informationsutbyte mellan de brottsbekämpande myndigheterna och dessa har tillgång till varandras databaser och register i den utsträckning offentlighets- och sekretesslagen (2009:400), personuppgiftslagen (1998:204) och olika registerförfattningar tillåter det. För att Kustbevakningen på bästa sätt ska kunna fullgöra sina uppgifter har dock myndigheten ett behov av utökat och tekniskt utvecklat samarbete och informationsutbyte med såväl andra brottsbekämpande myndigheter som övriga samverkande myndigheter.

Intresset av ett gott samarbete och goda möjligheter att utbyta information måste emellertid alltid ställas mot intresset av skydd för den personliga integriteten. Tanken bakom såväl offentlighets- och sekretesslagstiftningen som personuppgiftslagen och annan lagstiftning som reglerar behandlingen av personuppgifter är behovet av att kunna skydda den enskildes personliga integritet. När information ska utbytas måste hänsyn tas till om – och i så fall i vilken grad – sekretess gäller för de aktuella uppgifterna.

Nu gällande sekretessbestämmelser innebär att möjligheterna till informationsutbyte i viss mån begränsas. Samtidigt är det viktigt med ett effektivt sekretesskydd för känsliga uppgifter. För att underlätta Kustbevakningens samverkan med andra myndigheter på det brottsbekämpande området föreslås vissa ändringar som presenteras i det följande.

Sekretess till skydd för verksamheten

Enligt 18 kap. 1 § offentlighets- och sekretesslagen gäller sekretess bl.a. för uppgifter i polismyndighets, Skatteverkets, Tullverkets eller Kustbevakningens verksamhet för att förebygga, uppdaga, utreda eller beivra brott. Vidare framgår av 18 kap. 2 §

Ds 2011:16 Övriga sekretessfrågor

samma lag att sekretess gäller för uppgifter som hänför sig till underrättelseverksamhet som avses i bl.a. 3 § polisdatalagen (1998:622), 2 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar eller sådan verksamhet som avses i 7 § 1 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Vissa ändringar kommer att ske i bestämmelsen då polisdatalagen (2010:361) träder i kraft den 1 mars 2012. Tillämpningsområdet är emellertid i huvudsak detsamma som tidigare (prop. 2009/10:85 s. 301).

Nu gällande polisdatalag innehåller de särbestämmelser som utöver personuppgiftslagen (1998:204) behövs vid behandling av personuppgifter i polisens verksamhet för att förebygga brott m.m. I lagens 3 § finns vissa definitioner, bl.a. av begreppet underrättelseverksamhet. Lagen avgränsar på så sätt inom vilken polisverksamhet automatiserad behandling av uppgifter i underrättelseverksamhet får förekomma. Med underrättelseverksamhet avses i detta sammanhang dels polisverksamhet som består i att samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning, dels annan verksamhet som hänför sig till Säkerhetspolisens verksamhet för att förebygga eller avslöja brott mot rikets säkerhet eller förebygga terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott. Sekretess gäller för uppgift som hänför sig till sådan underrättelseverksamhet om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.

Andra stycket i 18 kap. 2 § offentlighets- och sekretesslagen innebär att den sekretess som gäller för polisens underrättelseverksamhet även gäller för sådan verksamhet hos Skatteverket och Tullverket. Vad som i Skatteverkets verksamhet avses med underrättelseverksamhet definieras i 2 § lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar.

Övriga sekretessfrågor Ds 2011:16

När det gäller Tullverkets verksamhet avses i 18 kap. 2 § andra stycket offentlighets- och sekretesslagen verksamhet enligt 7 § 1 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Härmed avses verksamhet som utförs för att förhindra och upptäcka brottslig verksamhet. I samband med att sistnämnda lag infördes utmönstrades begreppet underrättelseverksamhet.

Sekretessen har i 18 kap. 1 § andra stycket offentlighets- och sekretesslagen avgränsats med ett omvänt skaderekvisit för uppgifter som hänför sig till underrättelseverksamhet, såväl hos polisen som hos Skatteverket och Tullverket. Det innebär att uppgifter i myndigheternas underrättelseverksamhet inte får lämnas ut om det inte står klart att uppgifterna kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.

Kustbevakningens behandling av personuppgifter i myndighetens verksamhet med att förhindra eller upptäcka brottslig verksamhet som idag sker med stöd av personuppgiftslagen och förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen, omfattas inte av bestämmelserna i 18 kap. 2 § andra stycket om sekretess i underrättelseverksamhet. Härvid får i stället 18 kap. 1 § andra stycket 2 offentlighets- och sekretesslagen tillämpas, som anger att sekretess gäller för uppgift som hänför sig till åklagarmyndighets, polismyndighets, Skatteverkets, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott.

Avgränsningen av sekretessen i 18 kap. 1 § skiljer sig från regleringen i 18 kap. 2 § på så sätt att sekretessen endast gäller om följden av att uppgifterna lämnas ut kan antas bli att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas. Sekretesskyddet är här således utformat med ett rakt skaderekvisit som inte ger ett lika starkt skydd som det omvända skaderekvisitet som anges i 2 §.

Målsättningen är att Kustbevakningens behandling av personuppgifter i underrättelseverksamhet, eller verksamhet med att förhindra eller upptäcka brottslig verksamhet, ska få en motsva-

Ds 2011:16 Övriga sekretessfrågor

rande reglering i lag som idag gäller för de andra brottsbekämpande myndigheterna, dvs. polisen, Tullverket och Skatteverket. Mot bakgrund härav framstår det som naturligt att den sekretess som gäller för polisens, Tullverkets och Skatteverkets underrättelseverksamhet ska gälla även för sådan verksamhet hos Kustbevakningen. Det föreslås därför att ett tillägg med denna innebörd görs i 18 kap. 2 § andra stycket offentlighets- och sekretesslagen.

I enlighet med vad som numera gäller för behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och vad som gäller enligt den nya polisdatalagen, föreslås i lagen om personuppgiftsbehandling i Kustbevakningens verksamhet inte någon definition av begreppet underrättelseverksamhet. I 18 kap. 2 § andra stycket offentlighets- och sekretesslagen bör därför, på motsvarande sätt som för polisen och för Tullverket, införas en regel som anger att sekretess gäller i sådan verksamhet för att förebygga, förhindra och upptäcka brottslig verksamhet som anges i den här föreslagna lagen. I sak innebär att föreslagen bestämmelse att all underrättelseverksamhet inom Kustbevakningens brottsbekämpande verksamhet, oavsett hur uppgifter behandlas, omfattas av sekretess enligt andra stycket.

I 35 kap. 10 § offentlighets- och sekretesslagen finns en sekretessbrytande bestämmelse som medför att uppgifter utan hinder av sekretess får lämnas ut enligt vad som föreskrivs i lagen (1998:621) om misstankeregister, polisdatalagen (1998:622), lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet samt i förordningar som har stöd i dessa lagar. Bestämmelsen ger bl.a. en möjlighet att lämna ut uppgifter till andra stater och till enskilda. Eftersom lagförslaget – till skillnad från utredningens förslag – innehåller bestämmelser om uppgiftsskyldighet bör bestämmelsen kompletteras så att motsvarande sekretessbrytande reglering gäller även för Kustbevakningens brottsbekämpande verksamhet.

Övriga sekretessfrågor Ds 2011:16

Skäl för bedömningen

Sekretess med hänsyn till skyddet för enskilds förhållanden av såväl personlig som ekonomisk natur

Sekretessreglerna i 18 kap.14 §§offentlighets- och sekretesslagen gäller till skydd för det allmännas brottsförebyggande och brottsbeivrande arbete.

I 35 kap. 1 § offentlighets- och sekretesslagen finns korresponderande regler om sekretess till skydd för enskildas intressen, bl.a. beträffande uppgifter i register som förs i olika brottsbekämpande myndigheters verksamhet. I bestämmelsen begränsas sekretessen, precis som i 18 kap. 2 §, genom ett omvänt skaderekvisit.

I 35 kap. 1 § första stycket 4 finns en bestämmelse om sekretess som, utan att direkt hänföra sig till förundersökning eller tvångsmedel i brottmål m.m., gäller i åklagarmyndighets, polismyndighets, Skatteverkets, Statens kriminaltekniska laboratoriums, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott. Genom bestämmelsen blir det möjligt att hemlighålla uppgifter som mera allmänt hänför sig till de uppräknade myndigheternas brottsbekämpande verksamhet.

Sekretess gäller vidare för uppgifter som förekommer i vissa register, bl.a. sådana register som förs av Rikspolisstyrelsen enligt polisdatalagen (35 kap. 1 § första stycket 6 offentlighets- och sekretesslagen). I Kustbevakningens brottsbekämpande verksamhet förekommer emellertid inte någon registerföring som kräver särskild reglering. Den behandling av personuppgifter som sker här omfattas av den redan befintliga sekretessregleringen i 35 kap. 1 § första stycket 4 som redogjorts för ovan. Det saknas därför anledning att i lagförslaget på motsvarande sätt som exempelvis för polisen införa en särskild punkt i 35 kap. 1 § offentlighets- och sekretesslagen för register.

15. Bevarande och gallring

15.1. Inledning

När stora mängder uppgifter om enskilda personer samlas hos myndigheter uppstår oundvikligen integritetsrisker, i synnerhet som dagens teknik tillåter att avancerade sammanställningar av information görs på ett enkelt sätt. En metod att minska integritetskänsligheten är att se till att uppgifter som inte längre behövs för en myndighets verksamhet avlägsnas från myndighetens databaser eller register. För att uppnå detta krävs bestämmelser om gallring av uppgifter eller bestämmelser som föreskriver begränsningar i möjligheten att behandla uppgifterna i myndigheternas verksamhet.

Med gallring avses att handlingar eller uppgifter sorteras ut och förstörs. När det gäller gallring av elektroniska upptagningar innebär det normalt att viss information raderas från databäraren, dvs. det fysiska underlaget. Den egentliga informationen som finns på ett elektroniskt medium behöver dock inte förstöras för att det ska vara fråga om gallring i traditionell mening. Material kan gallras genom att den elektroniskt lagrade informationen överförs till en pappersutskrift, varefter den raderas från det elektroniska mediet.

Vid utformningen av gallringsbestämmelser måste det beaktas att vissa uppgifter behöver bevaras för framtiden för att offentlighetsprincipen inte ska bli verkningslös. Uppgifter får i princip aldrig gallras i sådan omfattning att det äventyrar arkivens roll som en del av kulturarvet eller något av de tre huvudändamålen med arkivverksamheten. Även efter en genomförd gallring måste arkiven kunna tillgodose rätten att ta del av allmänna handlingar, rättsskipningens och förvaltningens behov samt forskningsbehov. Det går alltså inte att undantagslöst föreskriva att samtliga uppgifter ska gallras när de inte längre behövs för verksamheten. Tvärtom behövs en avvägning mellan integritets- och offentlighetsintresset.

Bevarande och gallring Ds 2011:16

Sedan år 2003 föreskrivs i 2 kap. 18 § tryckfrihetsförordningen att grundläggande bestämmelser om hur allmänna handlingar ska bevaras samt om gallring och annat avhändande av sådana handlingar ska meddelas i lag. Bestämmelser om bevarande och gallring finns framför allt i arkivlagen (1990:782) men även i författningar som reglerar behandling av personuppgifter.

Handlingsoffentligheten bärs upp av arkivsystemet, som innebär att allmänna handlingar ska bevaras i arkiv. Enligt 3 § arkivlagen ska myndigheters arkiv bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen samt forskningens behov. Allmänna handlingar får enligt 10 § samma lag gallras, men vid gallringen ska det beaktas att det arkivmaterial som återstår ska kunna tillgodose de ändamål som anges i 3 §. Enligt 14 § arkivförordningen (1991:446) får statliga myndigheter gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, eller enligt särskilda gallringsföreskrifter i lag eller förordning. Arkivlagens utgångspunkt är att allmänna handlingar ska bevaras. Syftet med arkivering är att spegla verksamheten som den såg ut då den pågick. Att uppgifter arkiverats hindrar inte att uppgifterna på samma sätt som tidigare är sökbara och tillgängliga i verksamheten.

Gallring enligt Riksarkivets föreskrifter görs för att begränsa arkivens omfattning och för att arkiven inte ska tyngas av handlingar som saknar påtagligt informationsvärde, dvs. gallring görs av både ekonomiska skäl och hanteringsskäl.

Gallring görs även för att skydda den enskildes integritet. Sådana föreskrifter finns vanligtvis i de författningar som reglerar myndigheters personuppgiftsbehandling, s.k. registerförfattningar.

Som gallring räknas enligt Riksarkivets föreskrifter förstöring av allmänna handlingar och uppgifter i allmänna handlingar (se t.ex. 2 kap. 1 § RA-FS 2003:3). All överföring av uppgifter som medför informationsförluster för användaren betraktas därmed också som gallring. Överföring till annan databärare räknas enligt Riksarkivet som gallring om överföringen medför informa-

Ds 2011:16 Bevarande och gallring

tionsförlust, förlust av sökmöjligheter, eller förlust av möjlighet att fastställa informationens autenticitet.

Offentlighets- och sekretesskommittén gav i betänkandet ”Ordning och reda bland allmänna handlingar” (SOU 2002:97 s. 73) en liknande beskrivning av gallring i elektronisk miljö.

Gallringsbestämmelserna i den här föreslagna lagen bör syfta till att skydda den personliga integriteten för personer vilkas uppgifter behandlas automatiserat. När information överförs från elektronisk form till pappersform måste detta skydd anses ha uppnåtts och uppgifterna anses gallrade. Varje mindre förändring av den elektroniskt lagrade informationen, t.ex. ändrade sökmöjligheter, kan emellertid inte anses utgöra gallring enligt lagförslaget. Uppgifter kan inte heller anses gallrade enbart genom att de överförts till ett annat datamedium för digital arkivering, eftersom uppgifterna då fortfarande kan bli föremål för olika slag av sammanställningar. Innebörden av de gallringsbestämmelser som föreslås bör vara att uppgifter inte längre ska vara digitalt åtkomliga i verksamheten efter utförd gallring. Uppgifter bör anses gallrade även om de fortfarande förekommer i säkerhetskopierat material eftersom det, som konstateras i betänkandet ”Säkerhetskopiors rättsliga status”, kan vara svårt att åstadkomma att information tas bort vid samma tidpunkt i såväl verksamhets- som säkerhetskopiemiljön (SOU 2009:5 s. 143).

I personuppgiftslagen (1998:204) saknas uttryckliga regler om gallring. Däremot anges i 9 § första stycket att personuppgifter inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Samtidigt anges i 8 § andra stycket personuppgiftslagen att myndigheternas bevarande av allmänna handlingar inte hindras av lagen. Personuppgiftslagens reglering innebär alltså i den meningen en prioritering av intresset att bevara allmänna handlingar framför integritetsskyddsintresset. En sådan ordning medges också genom punkt 72 i ingressen till dataskyddsdirektivet, som anger att direktivet gör det möjligt att vid genomförandet av bestämmelserna i direk-

Bevarande och gallring Ds 2011:16

tivet ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar.

I förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen finns en bestämmelse om gallring. I 24 § förordningen föreskrivs att personuppgifter ska gallras när de inte längre behövs med hänsyn till ändamålen med behandlingen. Vidare anges att personuppgifter som behandlas i den brottsbekämpande verksamheten ska gallras senast ett år efter det att behandlingen inleddes. Riksarkivet får dock meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

15.2. Gallring av personuppgifter i Kustbevakningens brottsbekämpande verksamhet

15.2.1. Allmänt om bevarande och gallring

Förslag: Personuppgifter ska inte få bevaras under längre tid

än vad som behövs för något eller några av de ändamål som anges i det kapitel i lagen som reglerar behandling av personuppgifter i Kustbevakningens brottsbekämpande verksamhet. Denna generella bestämmelse om längsta tid för bevarande ska kompletteras med särskilda bestämmelser i lagen som anger tidpunkter för när uppgifter senast måste gallras eller inte längre får behandlas i den brottsbekämpande verksamheten.

Regeringen eller den myndighet som regeringen bestämmer ska meddela föreskrifter om bevarande för historiska, statistiska eller vetenskapliga ändamål och om att uppgifter i vissa fall ska få behandlas och bevaras under längre tid.

Regeringen ska meddela föreskrifter om digital arkivering.

Utredningens förslag: Utredningen har föreslagit att uppgif-

ter som behandlas automatiserat i ett annat ärende än en förundersökning ska gallras senast ett år efter det att ärendet har av-

Ds 2011:16 Bevarande och gallring

slutats. Utredningen har vidare föreslagit att uppgifter som inte hör till ett ärende ska gallras senast ett år efter det att de behandlades automatiserat första gången. Uppgifter som har gjorts gemensamt tillgängliga ska dock gallras senast tre år efter utgången av det kalenderår då den sista registreringen gjordes avseende personen. Utredningen har slutligen föreslagit att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter ska få gallras vid en senare tidpunkt än vad som har nämnts i det föregående eller bevaras.

Remissinstanserna: De flesta remissinstanser har tillstyrkt

eller har inte haft något att invända mot utredningens förslag.

Riksarkivet har tillstyrkt att arkivlagens bestämmelser ska gälla som huvudregel men avstyrker förslaget om en särskild gallringsbestämmelse för uppgifter i den brottsbekämpande verksamheten. Riksarkivet delar inte åsikten att den enskildes integritet stärks av att känsliga uppgifter om honom eller henne gallras, i synnerhet när uppgifterna omfattas av sekretess också i förhållande till den enskilde och uppgifterna gallras innan han eller hon kan ta del av dem. Enligt Riksarkivet bör därför uppgifterna bevaras både för att den enskilde, i vart fall i efterhand, ska kunna få kännedom om vad som har förevarit och för att möjliggöra en demokratisk kontroll. Beträffande förslaget att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om senare gallring eller bevarande anför Riksarkivet att det är svårt för en myndighet att ha kontroll över alla uppgifter som omfattas av registerförfattningarnas gallringsregler. En bestämmelse i en registerförfattning att Riksarkivet får besluta om undantag från gallring är således inte samma garanti för rätten att ta del av allmänna handlingar som om arkivlagens regler är tillämpliga.

Skäl för förslaget: Om inga särskilda gallringsbestämmelser

föreslås i lagen kommer arkivlagens (1990:782) huvudregel om bevarande att gälla. De bestämmelser om gallring som finns i eller följer av arkivlagen anger när gallring får ske och framtvingar alltså inte gallring. När sådana gallringsbestämmelser meddelas är det intresset av offentlighet och insyn som styr frågan om

Bevarande och gallring Ds 2011:16

gallring. Arkivlagens bestämmelser om bevarande och gallring syftar således inte till att tillgodose integritetsskyddsintressena.

I Kustbevakningens brottsbekämpande verksamhet behandlas en stor mängd personuppgifter automatiserat. Detta ökar typiskt sett risken för integritetsintrång. Sekretessbestämmelser och bestämmelser om begränsningar i tillgången till register kan inte fullt ut tillgodose integritetsskyddet och ersätta bestämmelser om bevarande och gallring i Kustbevakningens brottsbekämpande verksamhet. Det bör därför finnas regler om bevarande och gallring i denna verksamhet vilket inte överensstämmer med Riksarkivets uppfattning. Vid utformningen av sådana bestämmelser bör dock vägas in vilka övriga integritetsskyddande bestämmelser som är tillämpliga, t.ex. begränsningar i fråga om behandling och tillgång till uppgifter. Vidare måste en avvägning göras mellan intresset av skydd för den personliga integriteten och intresset av offentlighet och insyn i myndigheternas verksamhet.

Det är viktigt att personuppgifter bevaras endast om det finns berättigade ändamål för bevarandet. Denna princip kommer till uttryck bl.a. i artikel 5 e i dataskyddskonventionen. Normalt finns det berättigade ändamål för att bevara uppgifter i ett ärende i den brottsbekämpande verksamheten en tid efter det att ärendet avslutades. Uppgifter i tidigare brottsutredningar och underrättelseärenden får ofta betydelse i senare ärenden varför det kan vara svårt att avgöra om, och på vilket sätt, uppgifter i ett enskilt ärende kan komma att få betydelse i något annat ärende hos Kustbevakningen. Ärenden kan även av olika anledningar behövas tas upp på nytt. Vidare behöver uppgifter bevaras en tid efter det att ett ärende har avslutat med anledning av de behov som ett närarkiv normalt fyller för en myndighet. Sådant bevarande bör vara tillåtet även om det alltså inte sker för något särskilt utpekat konkret ändamål, exempelvis en viss brottsutredning. Mot den bakgrunden bör i lagförslaget införas en generell bestämmelse som anger att personuppgifter inte får bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges

Ds 2011:16 Bevarande och gallring

i det kapitel i den nya lagen, som reglerar behandling av personuppgifter i Kustbevakningens brottsbekämpande verksamhet.

Den nu föreslagna generella bestämmelsen om längsta tid för bevarande bör emellertid – av integritetsskyddsskäl – kompletteras med mer preciserade bestämmelser som föreskriver en yttersta gräns för att bevara vissa kategorier av uppgifter. Förslag till sådana bestämmelser lämnas i avsnitten 15.2.3 och 15.2.4. De särskilda gallringsbestämmelserna bör, till skillnad mot den generella bestämmelsen, endast gälla automatiserad behandling av personuppgifter. För behandling t.ex. i manuella register behövs inga särskilda gallringsbestämmelser. Motsvarande bedömning gjordes i propositionen ”Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling” (2004/05:164 s. 194) och propositionen ”Integritet och effektivitet i polisens brottsbekämpande verksamhet” (prop. 2009/10:85 s. 210).

För att tillgodose intresset av offentlighet och insyn bör regeringen eller den myndighet som regeringen bestämmer, utan hinder av bestämmelser om gallring, få meddela föreskrifter om bevarande för historiska, statistiska eller vetenskapliga ändamål. Regeringen bör även ha möjlighet att meddela föreskrifter om att vissa kategorier av uppgifter ska få behandlas och bevaras under längre tid än de i lagen angivna fristerna. För vissa speciella slag av uppgifter är nämligen fortsatt bevarande befogat (se avsnitt 15.2.4).

Digital arkivering

Arkivering är ett teknikneutralt begrepp. Handlingar och uppgifter kan således arkiveras både manuellt och digitalt. Enligt 2 kap. 12 § polisdatalagen (2010:361) har regeringen bemyndigats att meddela föreskrifter om digital arkivering. I förarbetena till bestämmelsen uttalade regeringen att om endast arkivlagens bestämmelser skulle vara tillämpliga skulle digitalt arkiverade allmänna handlingar, som inte längre behövdes i polisens brottsbekämpande verksamhet, i princip kunna fortsätta att behandlas på samma sätt som tidigare i verksamheten. Det fortsatta bevarandet skulle dock ske för arkivändamål. Mot bakgrund av att arkiv-

Bevarande och gallring Ds 2011:16

lagen inte hindrar eller ställer upp några begränsningar för fortsatt digital behandling av arkiverade uppgifter i den brottsbekämpande verksamheten, var regeringens bedömning att det fanns ett behov av närmare föreskrifter som angav ramen för sådan fortsatt behandling för att skapa nödvändigt integritetsskydd (prop. 2009/10:85 s. 212). Syftet med sådana föreskrifter kan vara att förhindra att digitalt arkiverade uppgifter fortsätter att behandlas på samma sätt som tidigare i den brottsbekämpande verksamheten, trots att bevarandet inte längre sker för verksamhetsändamål utan för arkivändamål.

Kustbevakningen har i dag inte något system för digital arkivering. Emellertid bör den reglering som nu föreslås ta i beaktande att system för digital arkivering inom överskådlig tid kan komma att införas och användas i Kustbevakningens verksamhet. Det föreslås därför att det, i likhet med vad som kommer att gälla för polisens brottsbekämpande verksamhet, införs ett bemyndigande för regeringen att meddela föreskrifter om digital arkivering i Kustbevakningens brottsbekämpande verksamhet.

15.2.2. Gallring av uppgifter som inte har gjorts gemensamt tillgängliga

Förslag: Personuppgifter som inte har gjorts gemensamt till-

gängliga ska gallras senast ett år efter det att de behandlades automatiserat första gången eller om de har behandlats i ett ärende, senast ett år efter det att ärendet avslutades.

Utredningens förslag: Överensstämmer med promemorians. Remissinstanserna: Flertalet remissinstanser har tillstyrkt el-

ler har inget att invända mot förslaget. Riksarkivet har avstyrkt förslaget om en särskild gallringsbestämmelse för uppgifter i den brottskämpande verksamheten.

Skäl för förslaget: Från integritetssynpunkt är det viktigt att

personuppgifter som samlas in i Kustbevakningens brottsbekämpande verksamhet inte behandlas längre tid än nödvändigt och att det utöver en generell bestämmelse om längsta tid för

Ds 2011:16 Bevarande och gallring

bevarande finns särskilda gallringsfrister för olika kategorier av uppgifter som behandlas automatiserat. När gallringsfristernas längd bestäms finns det anledning att göra skillnad mellan uppgifter som har gjorts gemensamt tillgängliga och andra uppgifter. När det gäller uppgifter som inte har gjorts gemensamt tillgängliga, torde behovet av att av verksamhetsskäl behandla dem under längre tid typiskt sett vara begränsat. Dessutom är det från integritetssynpunkt särskilt angeläget att sådana uppgifter inte behandlas under längre tid, eftersom det enligt förslaget endast kommer att gälla ett fåtal begränsningar för behandlingen av dem. Det föreslås därför att personuppgifter som inte har gjorts gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet ska gallras senast ett år efter det att de behandlades automatiserat första gången.

När det gäller uppgifter som behandlas inom ramen för ett ärende bör gallring lämpligen ske inom ett år efter det att ärendet avslutades. Uppgifter som inte kan hänföras till ett ärende bör i stället gallras inom ett år efter det att uppgifterna behandlades automatiserat första gången. Gränsdragningen mellan de båda fallen redovisas i författningskommentaren.

När uppgifter behandlas i ärenden om utredning eller beivrande av brott, gör sig dock särskilda hänsyn gällande. Förslaget innehåller därför andra gallringsfrister i dessa hänseenden, se avsnitt 15.2.4.

15.2.3. Gallring av gemensamt tillgängliga uppgifter

Förslag: Personuppgifter som har gjorts gemensamt tillgäng-

liga och som kan antas ha samband med brottslig verksamhet ska gallras senast tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Vid allvarlig brottslig verksamhet är tidsfristen i stället fem år. Uppgifter som har behandlats inom ramen för det internationella samarbetet ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Bevarande och gallring Ds 2011:16

Uppgifter som har behandlats enbart på den grunden att de har rapporterats till Kustbevakningens ledningscentraler ska gallras senast ett år efter rapporteringen.

Utredningens förslag: Utredningen har föreslagit att uppgif-

ter som har gjorts gemensamt tillgängliga ska gallras senast tre år efter utgången av det kalenderår då den sista registreringen gjordes avseende den aktuella personen.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt el-

ler har inget att invända mot förslaget. Riksarkivet har avstyrkt förslaget om en särskild gallringsbestämmelse för uppgifter i den brottsbekämpande verksamheten.

Skäl för förslaget: Från integritetssynpunkt är det viktigt att

personuppgifter inte behandlas längre än nödvändigt. Som redan har nämnts bör det därför i lagen anges särskilda gallringsfrister. Det kan dock vara svårt att generellt avgöra hur länge en uppgift fortfarande kan vara av betydelse för brottsbekämpningen. Uppgifter som har framkommit i ett avslutat underrättelseprojekt kan senare få betydelse för ett annat projekt eller för en förundersökning. Alltför snäva gallringsfrister kan därför få negativa konsekvenser för den brottsbekämpande verksamheten.

När det gäller gemensamt tillgängliga personuppgifter som behandlas inom ramen för Kustbevakningens brottsbekämpande verksamhet delas utredningens allmänna uppfattning att gallring normalt bör ske senast tre år från det att uppgifterna samlades in. När det gäller uppgifter om personer som kan antas ha samband med brottslig verksamhet bör dock – som huvudregel – gallring ske senast tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Vid allvarlig brottslighet ska uppgifterna gallras efter fem år. Detta överensstämmer med vad som gäller för gallring av uppgifter i polisens verksamhet (se 3 kap. 14 § polisdatalagen [2010:361]).

För polisen ska ytterligare några gallringsfrister gälla. Den brottsbekämpande verksamhet som Kustbevakningens bedriver motsvarar inte till stora delar de uppgifter som polisen har att utföra inom ramen för den verksamheten. Det finns därför inte

Ds 2011:16 Bevarande och gallring

anledning att i den här föreslagna lagen införa en särskild gallringsbestämmelse vad avser personuppgifter som har behandlats i samband med övervakning av brottsbelastade eller potentiellt sett farliga personer (se 3 kap. 14 § tredje stycket polisdatalagen). Det finns inget behov av att införa en motsvarighet till den bestämmelse i polisdatalagen som föreskriver att den tid under vilken en person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska räknas bort vid beräkningen av gallringsfristen (se 3 kap. 14 § sista stycket).

Allt arbete som sker för att fullgöra internationella åtaganden är i princip ärendebaserat. När en förfrågan kommer från ett annat land hanteras denna inom ramen för någon form av ärende. Det finns behov av att bevara ärenden en tid efter det att de avslutats, bl.a. för att i efterhand kunna svara på frågor om vidtagna åtgärder. När ett år har gått efter det att ett ärende har avslutats kan dock i allmänhet behovet inte anses vara så stort att det motiverar en fortsatt behandling. Uppgifterna bör därför kunna gallras senast ett år efter det att ett sådant ärende har avslutats. Om en uppgift från ett internationellt ärende behöver bevaras för något annat av den föreslagna lagens ändamål, kan uppgiften behandlas för det nya ändamålet i den utsträckning lagen tillåter en sådan behandling.

I det föregående har föreslagits att också uppgifter som har rapporterats till Kustbevakningens ledningscentraler ska kunna göras gemensamt tillgängliga, oavsett uppgifternas karaktär. Behovet av sådana uppgifter består dock enbart under en kortare tid. Förslaget innebär därför att uppgifterna ska gallras senast ett år efter utgången av det kalenderår då rapporteringen gjordes.

En viktig fråga är vilken gallringsfrist som ska gälla om uppgifter som har samlats in i ett viss sammanhang därefter används i ett annat projekt eller ärende. Vad bör t.ex. gälla om uppgifter, som har rapporterats till en ledningscentral, kort tid efter rapporteringen tas tillvara i ett underrättelseprojekt? Den gallringsfrist som gäller för uppgiften i dess nya sammanhang bör dock tillämpas. Uppgifter i ett underrättelseprojekt som har inhämtats

Bevarande och gallring Ds 2011:16

via en ledningscentral bör alltså gallras enligt samma principer som gäller för uppgifter som har inhämtats på annat sätt. I författningskommentaren berörs dessa och liknande frågor.

15.2.4. Ärenden om utredning eller beivrande av brott

Bedömning: Det bör inte införas några särskilda gallringsbe-

stämmelser för uppgifter i ärenden om utredning eller beivrande av brott. Det bör däremot föreskrivas vissa begränsningar i möjligheten att behandla uppgifter i brottsanmälningar, förundersökningar eller andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. Begränsningarna bör dock inte hindra att uppgifterna arkiveras eller gallras enligt arkivlagens (1990:782) bestämmelser.

Förslag: För personuppgifter i brottsanmälningar, avsluta-

de förundersökningar och andra liknande utredningar som har gjorts gemensamt tillgängliga ska följande begränsningar gälla för behandlingen.

Om en förundersökning har lagts ned, om ett åtal har lagts ned eller om den misstänkte har frikänts genom en dom som har vunnit laga kraft, ska personen inte vara sökbar som misstänkt.

Personuppgifter i en brottsanmälan, som inte har lett till förundersökning eller annan motsvarande utredning, ska inte få behandlas i Kustbevakningens brottsbekämpande verksamhet när det brott som anmälan avser har preskriberats. Uppgifter i en anmälan som avser ett handlande som inte har bedömts utgöra brott ska över huvud taget inte få behandlas.

Personuppgifter i förundersökningar och liknande brottsutredningar ska inte heller få behandlas i Kustbevakningens brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då en dom, eller ett beslut med anledning av domstolsprövning, vann laga kraft eller sedan fem år förflutit från utgången av det kalenderår då förundersökningen lades ned eller avslutades på annat sätt.

Ds 2011:16 Bevarande och gallring

När de angivna tidsfristerna har löpt ut ska uppgifter i en förundersökning få behandlas endast om

1. en ny registrering beträffande personen görs före utgången av gallringsfristen och någon av dessa uppgifter får bevaras, eller

2. uppgiften får behandlas längre enligt föreskrifter som har meddelats av regeringen.

Utredningens förslag: Innebär att uppgifter i förundersök-

ningar ska bevaras i enlighet med arkivlagens bestämmelser. Utredningen har inte föreslagit någon reglering av under vilka förutsättningar uppgifter i förundersökningar och motsvarande ska få behandlas.

Remissinstanserna: Har tillstyrkt eller har inget att invända

mot förslaget. SEKO Sjöfolk har menat att uppgifter som inte har samband med några oegentligheter ska gallras ut senast inom ett år och ser inte att det föreligger ett behov av att samla uppgifter längre om den berörde är avskriven från all misstanke om oegentligheter.

Skäl för bedömningen och förslaget

Inga gallringsbestämmelser för förundersökningar

Det finns enligt promemorians förslag anledning att skilja på gallring av uppgifter i förundersökningar och gallring av andra personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet. Idag arkiveras förundersökningar enligt arkivlagens (1990:782) bestämmelser och frågan om gallring av förundersökningar avgörs därmed av det arkivrättsliga regelverket. Det innebär att för uppgifter och handlingar i förundersökningar gäller samma regler oavsett om behandlingen sker på papper eller om den sker automatiserat. En anledning till att uppgifter i förundersökningar kan behöva behandlas även efter att ärendena har avslutats är att uppgifterna i ett senare skede, ofta tillsammans med ny information, kan läggas till grund för att på

Bevarande och gallring Ds 2011:16

nytt ta upp en nedlagd förundersökning eller för att inleda en ny förundersökning.

Skälen bakom den nuvarande ordningen gör sig fortfarande gällande. Förslaget överensstämmer därför med utredningens uppfattning att det inte bör införas några särskilda gallringsbestämmelser i fråga om förundersökningar. Detsamma bör gälla liknande brottsutredningar, t.ex. utredningar enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare. Om en uppgift från en förundersökning behandlas för ett annat ändamål, t.ex. i ett underrättelseprojekt, bör dock uppgifterna i det sammanhanget gallras enligt de gallringsbestämmelser som gäller vid behandling för detta ändamål.

En möjlighet att utan några begränsningar behandla uppgifter i alla avslutade förundersökningar skulle emellertid kunna innebära särskilda integritetsrisker. I avsaknad av särskilda gallringsbestämmelser för förundersökningar bör det därför gälla begränsningar bl.a. i fråga om hur länge uppgifter i en förundersökning får vara tillgängliga i den brottsbekämpande verksamheten. Dessa begränsningar – som kompletterar den generella bestämmelsen om längsta tid för bevarande – bör endast gälla gemensamt tillgängliga uppgifter och bör inte hindra att uppgifterna arkiveras eller gallras enligt bestämmelserna i arkivlagen. Utredningen har inte föreslagit några sådana begränsningar. Däremot finns det vissa sådana bestämmelser i den nya polisdatalagen (2010:361). Följande överväganden bygger i allt väsentlig på de förslagen och de skäl som anförts för dessa (prop. 2009/10:85 s. 221 f.).

Behandling av uppgifter om brottsmisstankar

I likhet med vad som gäller för polisens verksamhet enligt 13 § polisdatalagen och vad som gäller för Tullverket enligt 17 och 18 §§ lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, bör huvudregeln även i Kustbevakningens verksamhet vara att i en förundersökning förekommande uppgifter om att en viss person är misstänkt för brott inte får behandlas efter det att förundersökningen har lagts ned på

Ds 2011:16 Bevarande och gallring

grund av bristande bevisning eller åtal mot den misstänkte har lagts ned eller ogillats.

En sådan uppgift bör dock få behandlas, om förundersökningen har lagts ned på grund av bristande bevisning, om den misstänkte fortfarande bedöms vara skäligen misstänkt för brottet och uppgifterna behövs för att förundersökningen ska kunna tas upp på nytt. Har åtal mot personen lagts ned eller ogillats, bör uppgiften få behandlas för annat ändamål än arkivering endast om förundersökningen tas upp på nytt eller för prövning av om resning bör ske.

Av hänsyn till den enskildes integritet bör givetvis en domstols dom eller beslut, som innebär att den åtalade frias från ansvar för brott få genomslag även hos Kustbevakningen på det sättet att en sådan person inte längre anses som misstänkt. Detsamma bör gälla när en förundersökning har lagts ned. Med detta avses dock inte att alla handlingar som rör brottsmisstanken måste rensas ut, utan enbart att den åtalade personen inte får utpekas såsom misstänkt och att man vid olika typer av sökningar inte ska få träff på honom eller henne i egenskap av misstänkt. Under den period uppgifterna i ärendet får behandlas i Kustbevakningens brottsbekämpande verksamhet bör det vara möjligt att vid en sökning få fram en uppgift om att personen tidigare har varit misstänkt.

Sammanfattningsvis innebär förslaget att om en förundersökning har lagts ned på grund av bristande bevisning, om åtal har lagts ned eller om den misstänkte har frikänts genom en dom som har vunnit laga kraft, ska en uppgift om att en person är misstänkt vara sökbar endast om förundersökningsledaren har beslutat att återuppta förundersökningen eller fråga är om prövning av resning bör ske.

Tillgång till avslutade förundersökningar

I en förundersökning finns det även andra uppgifter än uppgifter om brottsmisstankar. Den nuvarande regleringen för Kustbevakningens personuppgiftsbehandling uppställer inga särskilda hinder mot behandling av sådana uppgifter, frånsett de hinder

Bevarande och gallring Ds 2011:16

som följer av de allmänna bestämmelserna i personuppgiftslagen (1998:204).

Frågan blir då i vilken utsträckning Kustbevakningen bör kunna få behandla andra typer av uppgifter i avslutade brottsutredningar än de uppgifter som har berörts i det föregående. Här gör sig olika behov gällande.

Ett sådant är Kustbevakningens behov av att kunna ha tillgång till uppgifterna en tid efter det att saken har avslutats för att lättare kunna utreda nya brott begångna av samma person eller mot samma person. Om en person återfaller i brott, är ofta tidigare brottsutredningar av intresse. Vet man att det nya brottet har begåtts tillsammans med andra, okända gärningsmän, kan uppgifter om medgärningsmän i en tidigare brottsutredning vara av vikt. Vidare kan det i den tidigare brottsutredningen finnas uppgifter om de tillvägagångssätt som användes vid det tidigare brottet.

Dessutom har Kustbevakningen behov av att ta vara på information från brottsutredningar för att samla information om vissa typer av brott. Sådan information har framför allt betydelse för det brottsförebyggande arbetet. Ett ytterligare behov är att kunna utnyttja tidigare brottsutredningar för utbildning och allmän kompetensutveckling inom Kustbevakningen.

Det är mot den angivna bakgrunden rimligt att uppgifter ur förundersökningar får vara tillgängliga i Kustbevakningens brottsbekämpande verksamhet även en viss tid efter det att saken har avslutats. Denna tid bör dock inte vara alltför lång. Bedömningen görs att fem år utgör en rimlig avvägning mellan integritetsintressena och Kustbevakningens verksamhetsbehov (jfr prop. 2009/10:85 s. 226). Det föreslås därför att personuppgifter i förundersökningar eller liknande brottsutredningar inte ska få behandlas i Kustbevakningens brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår från det att en dom, eller ett beslut med anledning av domstolsprövning, vunnit laga kraft eller sedan fem år förflutit från utgången av det kalenderår då förundersökningen lades ned eller avslutades på annat sätt. Om Kustbevakningen redan innan femårsgränsen

Ds 2011:16 Bevarande och gallring

har löpt ut bedömer att uppgifterna i ärendet inte längre behöver vara tillgängliga i den brottsbekämpande verksamheten får uppgifterna i ärendet inte längre bevaras där. Detta följer av den generella bestämmelsen om längsta tid för bevarande som har föreslagits i avsnitt 15.2.1.

I sammanhanget är det viktigt att påminna om att lagens övriga bestämmelser innebär att tillgången till uppgifter i förundersökningar kommer att begränsas på olika sätt. Åtkomsten till uppgifter ska t.ex. anpassas till vilket behov olika tjänstemän har av att få tillgång till uppgifterna och alla uppgifter får inte vara sökbara.

Tillgång till förundersökningar även efter fem år

I undantagsfall kan det finnas behov av att kunna få tillgång till uppgifter i en förundersökning som inte längre får behandlas på grund av de tidsbegränsningar som föreslås. Uppgifter i avslutade förundersökningar bör därför få behandlas längre tid än fem år om uppgifterna behövs i en ny förundersökning eller för ett underrättelseprojekt som inletts före femårsfristens utgång. Av hänsyn till enskildas integritet finns det dock inte skäl att tillåta fortsatt behandling av hela förundersökningen i den brottsbekämpande verksamheten utan tillgången bör begränsas till vissa kategorier av uppgifter. Det skulle exempelvis sannolikt räcka att i en förundersökning som lett till fällande dom behandla uppgifter om den dömde, omständigheterna kring brottet och ärendenummer eller liknande referensuppgift. Med hjälp av dessa uppgifter skulle ärendet kunna återfinnas i myndighetens arkiv (om handlingarna arkiverats). Motsvarande torde gälla beträffande nedlagda förundersökningar.

Föreskrifter om behandling av vissa kategorier av uppgifter i avslutade brottsutredningar under längre tid än fem år bör vara väl preciserade. De närmare ändamålen för behandlingen bör anges liksom när uppgifterna senast ska gallras. Bland annat med hänsyn till att sådana föreskrifter kommer att vara detaljerade och till att Kustbevakningens behov kan komma att förändras över tiden bör föreskrifterna inte meddelas i lag utan i förord-

Bevarande och gallring Ds 2011:16

ning. I avsnitt 15.2.1 föreslås att regeringen ska ha möjlighet att meddela föreskrifter om att vissa kategorier av uppgifter ska få behandlas längre än de i lagen angivna fristerna.

Tillgång till brottsanmälningar som inte har lett till förundersökning

En typ av uppgifter som kräver särskild reglering är anmälningar om brott. Ett stort antal brottsanmälningar leder till ett omedelbart beslut att inte inleda förundersökning. Skälet till detta är att det i flertalet fall saknas uppgifter om vem som kan misstänkas för brottet och att det inte heller i övrigt finns några uppgifter som kan bidra till utredningen om brottet. Detta utesluter emellertid inte att brottsanmälan kan aktualiseras senare, om det kommer fram nya omständigheter som kan leda till att brottet kan klaras upp, t.ex. om någon grips för likartade brott eller om gärningsmannen självmant erkänner brottet. Fram till den tidpunkt när brottet preskriberas finns det därför alltid ett latent behov av att kunna återuppta behandlingen av en brottsanmälan som inte har lett till förundersökning eller annan utredning. Bland annat mot den bakgrunden bör en brottsanmälan få vara tillgänglig i Kustbevakningens brottsbekämpande verksamhet även efter det att ärendet avslutats. Uppgifterna bör dock aldrig få behandlas i den brottsbekämpande verksamheten efter det att det brott som anmälan avser har preskriberats. En särskild bestämmelse om detta bör införas i den här föreslagna lagen.

Vad som nu har sagts bör dock inte gälla för sådana brottsanmälningar som har avskrivits på den grunden att det inte har förekommit något brott. Bland sådana anmälningar finns bl.a. vad som brukar kallas okynnesanmälningar (exempelvis att ogrundat beskylla en person för s.k. svartfiske eller sjöfylleri, vilket oftast sker i syfte att trakassera eller svärta ned den anmälde). Det skulle strida mot de allmänna principerna för behandling av personuppgifter i Kustbevakningens brottsbekämpande verksamhet att tillåta en längre tids behandling av helt grundlösa brottsanmälningar. Dessa bör därför enligt huvudregeln inte kunna behandlas längre än vad som behövs för handläggningen.

Ds 2011:16 Bevarande och gallring

15.3. Gallring av personuppgifter i annan operativ verksamhet hos Kustbevakningen

15.3.1. Bevarande och gallring

Förslag: Personuppgifter som behandlas i Kustbevakningens

icke brottsbekämpande verksamhet ska gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behandlas.

Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om att uppgifter – trots bestämmelserna om gallring – får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Vidare får regeringen, för vissa kategorier av uppgifter, meddela föreskrifter om att gallring ska ske senare än vad som anges i lagen.

Regeringen meddelar föreskrifter om digital arkivering.

Utredningens förslag: Utredningen har inte föreslagit någon

gallringsbestämmelse utan har förordat att arkivlagens (1990:782) och personuppgiftslagens (1998:204) bestämmelser ska gälla.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt el-

ler har inget att invända mot förslaget. Riksarkivet har tillstyrkt att arkivlagens bestämmelser ska gälla som huvudregel.

Skäl för förslaget: Som har framhållits i det föregående upp-

står oundvikligen risk för intrång i den personliga integriteten när stora mängder uppgifter om enskilda personer samlas hos myndigheter, i synnerhet som dagens teknik tillåter att avancerade sammanställningar av information kan göras på ett enkelt sätt. En metod för att minska integritetskänsligheten är att se till att uppgifter som inte längre behövs för en myndighets verksamhet avlägsnas från myndighetens databaser eller register. För att uppnå detta krävs bestämmelser om gallring av uppgifter eller om överlämnande av uppgifter till en arkivmyndighet.

Bevarande och gallring Ds 2011:16

I avsnitt 15.1 har redogjorts för vilka allmänna förutsättningar som gäller för bevarande och gallring. Vad som har anförts i det avsnittet äger även giltighet för bevarande och gallring av personuppgifter i Kustbevakningens andra verksamheter än brottsbekämpning.

I avsnitt 15.2 ovan har vidare redogjorts för övervägandena bakom de gallringsbestämmelser som föreslås gälla för uppgifter som behandlas i den brottsbekämpande verksamheten. Behovet av tydliga gallringsbestämmelser med uttryckligen angivna tidsramar för gallring gör sig starkast gällande i fråga om mer integritetskänsliga uppgifter, t.ex. sådana som rör misstankar om brott. Men även när det gäller andra typer av uppgifter finns det anledning att se till att uppgifter som inte längre behövs för en myndighets verksamhet avlägsnas från myndighetens system för automatiserad behandling.

I 2 kap. tryckfrihetsförordningen, arkivlagen och personuppgiftslagen finns bestämmelser om bevarande och gallring. Personuppgiftslagen föreskriver en skyldighet för den personuppgiftsansvarige att tillse att personuppgifter som inte längre är nödvändiga med hänsyn till ändamålen med behandlingen gallras, 9 § första stycket i). Som framgår av avsnitt 8.3.2 har bedömningen gjorts att denna bestämmelse inte ska gälla generellt vid behandling av uppgifter enligt den här föreslagna lagen. Det innebär att det beträffande sådana uppgifter som behandlas enligt lagen i den icke brottsbekämpande verksamheten, måste finnas någon form av reglering av bevarande och gallring, såvida inte arkivlagen ska utgöra den enda regleringen.

En ordning som överhuvudtaget inte föreskriver gallring av uppgifter som har behandlats automatiserat är inte godtagbar med hänsyn till behovet av att värna integritetsskyddsintresset, i synnerhet som gallringsbestämmelser regelmässigt finns i andra registerförfattningar.

Vid utformningen av en gallringsbestämmelse måste beaktas att den ska gälla för en rad olika verksamheter i vilka behoven av att kunna bevara uppgifter kan variera. Också personuppgifternas karaktär skiljer sig åt mellan verksamheterna. Det är svårare

Ds 2011:16 Bevarande och gallring

att fastställa generella gallringsfrister som är ändamålsenliga för den icke brottsbekämpande verksamheten med hänsyn till de skiftande förutsättningarna. Ett alternativ till att ange bestämda gallringsfrister är att anknyta till personuppgiftslagens bestämmelse att en uppgift inte ska bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Exempel på en sådan lösning finns i lagen (2003:763) om behandlingen av personuppgifter i socialförsäkringens administration, där det i 28 § föreskrivs att personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i lagen, samt att regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål. Motsvarande lösning har valts i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst samt lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet.

Eftersom det är fråga om verksamheter av vitt skilda slag – av vilka en del faller under regleringen i dataskyddsdirektivet – är det lämpligaste att i föreslagna lagen ange en ändamålsanknuten gallringsbestämmelse som huvudregel och inte föreskriva fasta tidsfrister.

För vissa kategorier av uppgifter kan det förekomma att gallring behöver ske senare än vad som anges i lagen, dvs. efter det att uppgifterna inte längre behövs för det ändamål för vilket de behandlas. Exempelvis kan uppgifter från en avslutad räddningstjänstinsats behöva bevaras längre för att användas i ett ärende om vattenföroreningsavgift. Därför föreslås att regeringen ska få meddela föreskrifter om att gallring ska ske vid en senare tidpunkt än vad som anges i lagen.

Om en gallringsbestämmelse med föreslaget innehåll inte kompletteras med undantagsregler kommer bevarande att ske uteslutande med beaktande av verksamhetens behov. I vissa fall kan det dock finnas anledning att bevara även sådana personupp-

Bevarande och gallring Ds 2011:16

gifter som inte längre behövs för verksamheten under en längre tid än vad gallringsbestämmelserna medger. En längre bevarandetid kan t.ex. motiveras av intresset att tillgodose behovet av källmaterial som underlag för historisk forskning eller andra vetenskapliga ändamål (jfr 9 § tredje stycket personuppgiftslagen). I många särskilda registerförfattningar finns också bestämmelser om undantag från gallringsföreskrifterna för mer eller mindre precist angivna ändamål. Det står klart att sådana behov av undantag föreligger också i fråga om de nu aktuella personuppgifterna. Gallringsbestämmelsen bör därför kompletteras med en regel av vilken framgår att undantag från gallringskravet gäller om regeringen eller den myndighet regeringen bestämmer har meddelat föreskrifter om att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. En motsvarande regel för personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet har föreslagits (se avsnitt 15.2.1). De skäl som anges där för att regeringen bör få meddela föreskrifter om digital arkivering av personuppgifter i Kustbevakningens brottsbekämpande verksamhet gör sig också gällande här. Regeringen bör därför även få meddela föreskrifter om digital arkivering för den icke brottsbekämpande verksamheten.

16. Ikraftträdande och överenskommelser

Förslag: Lagen om behandling av uppgifter i Kustbevakningens

verksamhet och de ändringar som föreslås i andra författningar ska träda i kraft den 1 mars 2012.

Utredningens förslag: Överensstämmer i huvudsak med

promemorians utom i fråga om datumet för ikraftträdandet.

Remissinstanserna: Remissinstanserna har tillstyrkt eller har

inget att invända mot förslaget.

Skäl för förslaget: Den nya lagstiftningen för behandling av

uppgifter i Kustbevakningens verksamhet bör kunna träda i kraft den 1 mars 2012. Kustbevakningen bereds därmed tillräcklig tid att övergå till den nya lagstiftningen. Vid den angivna tidpunkten träder även den nya polisdatalagen (2010:361) i kraft. De ändringar som i övrigt föreslås i offentlighets- och sekretesslagen (2009:400) bör även de av praktiska skäl träda i kraft vid samma tidpunkt.

Vidare görs bedömningen att behandling av personuppgifter och andra uppgifter som idag utförs i Kustbevakningens verksamhet utan ytterligare övergångsbestämmelser kan omfattas av bestämmelserna i den nya lagstiftningen när den träder i kraft.

17. Konsekvenserna av förslagen

Bedömning: Förslagen kommer att ge förutsättningar för

Kustbevakningen att bedriva sin verksamhet effektivt och med ett rationellt datorstöd. Förslagen innebär en flexibel reglering som ger myndigheten möjlighet att fortlöpande utveckla och anpassa sina system för automatiserad behandling av personuppgifter utan att det krävs ändringar i regelverket.

Förslagen i sig medför inte några kostnadsökningar.

Utredningens bedömning: Överensstämmer med promemo-

rians.

Remissinstanserna: Remissinstanserna har delat eller har inte

haft något att invända mot bedömningen.

Skäl för bedömningen: Förslagen innebär att en modern,

teknikneutral och allmänt ändamålsenlig reglering införs för Kustbevakningens personuppgiftsbehandling. Särskild hänsyn har tagits till de integritetsaspekter som följer av omfattande automatiserade uppgiftssamlingar i myndighetsverksamhet. Förslagen syftar vidare till att i möjligaste mån underlätta för samverkan mellan de brottsbekämpande myndigheterna, men också mellan de olika svenska myndigheter som bedriver någon form av sjörelaterad verksamhet. Förslagen är vidare ägnade att främja det internationella samarbetet som Kustbevakningen bedriver inom sina olika verksamhetsområden, med såväl andra staters myndigheter som internationella organisationer.

Förslagen kommer inte att innebära några kostnader för Kustbevakningens pågående verksamhet. Förslagen innebär en lagstiftning som är teknikneutral och möjliggör härigenom att nya datorsystem i framtiden kan användas utan att det blir nödvändigt att ändra regelverket. Den föreslagna lagstiftningen möjliggör inrättandet av ett eller flera nya register eller databaser.

Förslagen medför också flexibilitet i fråga om möjligheterna till informationsutbyte mellan myndigheter. Förslagen innebär

Konsekvenserna av förslagen Ds 2011:16

bl.a. att Rikspolisstyrelsen, polismyndigheterna och Tullverket m.fl. brottsbekämpande myndigheter i viss omfattning ska ges direktåtkomst till uppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet. Förslagen om direktåtkomst kan förväntas medföra besparingar genom de effektivitetsvinster som direktåtkomsten medför. De myndigheter som t.ex. bedriver brottsbekämpande verksamhet kan genom direktåtkomsten utföra sitt arbete på ett mer effektivt sätt.

Vissa utbildningsinsatser kan komma att krävas, men jämfört med den fortlöpande vidareutbildningen av personalen inom Kustbevakningen bedöms dessa inte vara mer omfattande än att de kan täckas av ordinarie anslag.

18. Författningskommentar

18.1. Förslag till kustbevakningsdatalag

1 kap. Lagens syfte och tillämpningsområde

Lagens syfte

1 §

I paragrafen anges det övergripande syftet med lagen. Syftet är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Motiven till bestämmelsen har redovisats i avsnitt 8.1.

Lagens tillämpningsområde

2 §

Paragrafen anger lagens tillämpningsområde. Frågan har behandlats i avsnitt 8.1.

I första stycket anges inledningsvis att lagen gäller vid behandling av personuppgifter. Med personuppgifter avses detsamma som i 3 § personuppgiftslagen (1998:204), nämligen all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Också begreppet behandling har samma innebörd som i den paragrafen. Därmed avses således varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, t.ex. insamling, registrering, organisering, lagring, bearbetning, användning, spridning eller annat tillhandahållande, sammanställning eller samkörning samt utplåning eller förstöring.

För att denna lag ska vara tillämplig krävs att behandlingen är helt eller delvis automatiserad eller att personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier (jfr 5 § personuppgiftslagen som innehåller samma rekvisit). Utanför lagens tillämpningsområde faller såle-

Författningskommentar Ds 2011:16

des helt manuell behandling av personuppgifter som inte ingår i någon samling som är tillgänglig för sökning.

Lagen gäller vidare för samtliga Kustbevakningens operativa verksamheter. Utanför lagens tillämpningsområde faller Kustbevakningens uppgift att ha förmåga att förebygga, motstå och hantera krissituationer inom sitt ansvarsområde. Någon personuppgiftsbehandling bör inte förekomma här, utan ska i stället ske inom något av de verksamhetsområden som omfattas av lagens tillämpningsområde.

Utanför lagens tillämpningsområde faller även behandling av personuppgifter i samband med de interna och administrativa åtgärder som kan förekomma i Kustbevakningens verksamhet. För behandling av uppgifter som rör sådana frågor, t.ex. i personal- och löneregister, gäller i stället personuppgiftslagens bestämmelser.

I andra stycket förtydligas när personuppgiftsbehandling ska utföras enligt reglerna i lagen (2000:343) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen.

3 §

Paragrafen innehåller bestämmelser om behandling av uppgifter om juridiska personer. Frågan har behandlats i avsnitt 8.1 och 8.5.

I paragrafen föreskrivs att vissa av lagens bestämmelser ska tillämpas vid behandling av uppgifter om juridiska personer. Detta är en utvidgning av lagens tillämpningsområde och ger ett skydd för uppgifter om juridiska personer som inte har någon motsvarighet i personuppgiftslagen (1998:204),

Paragrafen är föranledd av att det i vissa fall kan vara svårt att dra gränsen mellan personuppgifter – dvs. uppgifter som direkt eller indirekt anknyter till fysiska personer – och uppgifter om juridiska personer. För att undvika gränsdragningssvårigheter och skapa ett bättre integritetsskydd har i denna paragraf föreskrivits att vissa av lagens bestämmelser ska tillämpas också vid behandling av uppgifter om juridiska personer. Det gäller be-

Ds 2011:16 Författningskommentar

stämmelserna om tillgången till personuppgifter, personuppgiftsansvar, ändamålen för behandlingen och bevarande och gallring. Det gäller vidare vissa bestämmelser om gemensamt tillgängliga uppgifter.

4 §

Paragrafen innehåller en definition av vad som i lagen avses med begreppet gemensamt tillgängliga uppgifter. Frågan har behandlats i avsnitt 8.2.

Om avsikten är att uppgifterna ska vara åtkomliga för en i förväg obestämd krets av anställda inom Kustbevakningen får uppgifterna alltid anses vara gemensamt tillgängliga. Detsamma gäller uppgiftssamlingar som endast en bestämd krets av personer har tillgång till om det är förutsatt att denna krets kan komma att ändras längre fram. Att olika personalkategorier kan ha olika behörighet, och att en uppgift därför i praktiken vid en viss tidpunkt är åtkomlig enbart för ett begränsat antal personer, innebär alltså inte att uppgiften inte kan anses vara gemensamt tillgänglig.

Uppgifter som en annan myndighet har tillgång till genom direktåtkomst är alltid gemensamt tillgängliga, se kommentaren till 4 kap. 7 § och 5 kap. 6 §.

Om uppgifterna å andra sidan lagras på ett sådant sätt att endast en viss person har tillgång till dem, kan uppgifterna normalt inte anses gemensamt tillgängliga. En uppgift som lagras elektroniskt på hårddisken i en dator eller en server i samband med att en enskild tjänsteman arbetar med ordbehandling och som är åtkomlig endast för tjänstemannen själv (och för systemadministratören) kan alltså inte anses vara gemensamt tillgänglig. Det gäller även om syftet är att uppgiften senare ska lagras så att andra får tillgång till den. Härav följer också att insamling av personuppgifter genom upptagning av bild eller ljud med digital teknik inte omfattas av bestämmelserna om gemensamt tillgängliga uppgifter, utom i de fall där de görs gemensamt tillgängliga samtidigt som insamlingen görs, exempelvis genom en direktsändning av upptagningen till ett större antal mottagare. En

Författningskommentar Ds 2011:16

annan sak är att den som samlar in uppgifter, som kan antas bli gemensamt tillgängliga vid en senare tidpunkt, givetvis bör beakta de regler som gäller för behandling av gemensamt tillgängliga uppgifter för att inte försvåra den fortsatta behandlingen.

I vad mån uppgifter som är tillgängliga enbart för en bestämd krets av personer är att anse som gemensamt tillgängliga får bedömas med hänsyn till främst hur många personer som ingår i kretsen. Enbart det förhållandet att kretsen består av flera personer innebär inte att uppgifterna ska anses gemensamt tillgängliga. Behandling som sker exempelvis inom ramen för särskilda underrättelseprojekt i vilka endast vissa utpekade tjänstemän deltar, behöver alltså inte alltid innebär att uppgifterna görs gemensamt tillgängliga. Om antalet tjänstemän i en sådan grupp uppgår till fler än ett fåtal, måste dock de personuppgifter som behandlas inom gruppen, trots att den är avgränsad, anses vara gemensamt tillgängliga. Var gränsen går får bedömas med hänsyn till samtliga omständigheter i ett enskilt fall, men en tumregel i fråga om Kustbevakningens verksamhet kan vara att uppgifterna är att anse som gemensamt tillgängliga om antalet deltagare i gruppen överstiger ett tiotal.

I viss utsträckning kan tidsaspekten ha betydelse för om uppgifter ska anses vara gemensamt tillgängliga eller inte, se avsnitt 8.2.

5 §

Paragrafen anger hur lagen är uppbyggd. Det första kapitlet gäller för all personuppgiftsbehandling som sker enligt lagen.

Första stycket upplyser om att 2 kap. innehåller allmänna bestämmelser om sådan behandling av personuppgifter som lagen reglerar. Bestämmelserna i 2 kap. gäller alltså för all personuppgiftsbehandling som omfattas av lagen.

I andra stycket klargörs att det i 3 kap. och 4 kap. finns bestämmelser som gäller utöver 2 kap. vid personuppgiftsbehandling i Kustbevakningens brottsbekämpande verksamhet.

Ds 2011:16 Författningskommentar

I tredje stycket anges att behandling av personuppgifter i annan verksamhet hos Kustbevakningen regleras – förutom av de allmänna bestämmelserna i 1 och 2 kap. – i 5 kap.

2 kap. Allmänna bestämmelser

Förhållandet till personuppgiftslagen

1 §

Paragrafen reglerar förhållandet till personuppgiftslagen (1998:204). Om något annat inte anges i 2 § gäller denna lag i stället för personuppgiftslagen. Vid sådan personuppgiftsbehandling som omfattas av lagen ska alltså bestämmelser i personuppgiftslagen tillämpas endast om det finns en hänvisning till dem i 2 §. Skälen för denna utformning har utvecklats i avsnitt 8.3.1.

2 §

Paragrafen har behandlats i avsnitt 8.3.

Utgångspunkten är att bestämmelserna i personuppgiftslagen (1998:204) inte ska tillämpas vid sådan behandling av personuppgifter som omfattas av förevarande lag eller föreskrifter som meddelats i anslutning till lagen. Detta följer av 1 §. Vissa utpekade paragrafer i personuppgiftslagen ska dock tillämpas. Dessa anges i första stycket. Uppräkningen är uttömmande.

Enligt punkten 1 ska de definitioner som anges i 3 § personuppgiftslagen tillämpas även vid behandling av personuppgifter som omfattas av förevarande lag.

Genom hänvisningen i punkten 2 till 8 § personuppgiftslagen klargörs att bestämmelserna i förevarande lag – eller de bestämmelser till vilka lagen hänvisar – inte ska tillämpas om det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter (jfr 8 § första stycket personuppgiftslagen). Det innebär t.ex. att en myndighet inte kan vägra att ta fram och lämna ut uppgifter i enlighet med tryckfrihetsförordningens bestämmelser enbart med hänvisning till att utlämnandet inte ryms inom de i lagen angivna ändamålen för behandling. I sammanhanget bör dock understrykas att of-

Författningskommentar Ds 2011:16

fentlighetsprincipen inte innebär någon skyldighet att lämna ut uppgifter i elektronisk form. Vid bedömningen av om en uppgift kan lämnas ut i elektronisk form måste alltså lagens regler beaktas.

Av hänvisningen till 8 § personuppgiftslagen följer också att förevarande lag inte hindrar att en myndighet arkiverar eller bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet (jfr 8 § andra stycket personuppgiftslagen). Bestämmelserna om gallring i förevarande lag gäller dock framför bestämmelsen i 8 § andra stycket. Detta följer av paragrafens andra stycke.

Vidare hänvisas i punkten 3 till 9 § personuppgiftslagen, med undantag för första stycket i och tredje stycket. Hänvisningen innebär att den personuppgiftsansvarige (jfr 4 §) ska se till att uppgifterna behandlas enbart om det är lagligt och att de behandlas på ett korrekt sätt och i enlighet med god sed. I förarbetena till personuppgiftslagen (prop. 1997/98:44 s. 143) uttalas att vad som är god sed vid behandling av personuppgifter får avgöras i rättstillämpningen mot bakgrund av bl.a. de mer preciserade föreskrifter som kan utfärdas med stöd av personuppgiftslagen, de branschregler på området som kan ha utarbetats av etablerade branschorganisationer eller andra representativa sammanslutningar och hur ansvarsfulla personuppgiftsansvariga som regel beter sig.

Den personuppgiftsansvarige ska också se till dels att de behandlade personuppgifterna är adekvata och relevanta i förhållande till ändamålen för behandlingen, dels att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen för behandlingen, dels att de behandlade personuppgifterna är riktiga och, om det är nödvändigt, aktuella, dels att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Det är givet att man vid tilllämpningen av de aktuella bestämmelserna måste ta hänsyn till den särskilda karaktären hos de uppgifter som förekommer, bl.a. i den brottsbekämpande verksamheten. Exempelvis kan kravet

Ds 2011:16 Författningskommentar

på att de behandlade uppgifterna är riktiga inte anses innebära något hinder mot att samla in osäkra underrättelseuppgifter, under förutsättning att uppgifterna har relevans för underrättelsearbetet och att det framgår att uppgiftens riktighet är osäker. Hänvisningen innebär vidare att den personuppgiftsansvarige ska se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål.

Hänvisningen till 9 § första stycket d personuppgiftslagen innebär att den personuppgiftsansvarige ska se till att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). Genom att ange vissa primära och sekundära ändamål i 3 kap. och 5 kap. har ställningstagandet gjorts att vidarebehandling för dessa ändamål är förenlig med finalitetsprincipen. De primära ändamålen är uttömmande angivna medan det framgår av 3 kap. 3 § tredje stycket och 5 kap. 2 § tredje stycket att det är möjligt att lämna ut uppgifter för ett ändamål som inte kan anses oförenligt med det ändamål för vilket uppgifterna samlades in. Den personuppgiftsansvarige har därför att tillse dels att behandling inte sker för andra primära ändamål än de som anges i lagen, dels att vidarebehandling för andra sekundära ändamål än de i lagen angivna endast sker om det är förenligt med finalitetsprincipen. Hänvisningen till 9 § andra stycket personuppgiftslagen innebär att en vidarebehandling för historiska, statistiska eller vetenskapliga ändamål alltid ska anses förenlig med finalitetsprincipen.

Vidare hänvisas i punkten 4 till 22 § personuppgiftslagen. Bestämmelsen innebär att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke i Kustbevakningens verksamhet bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Av hänvisningen i punkten 5 till 23 § personuppgiftslagen följer att den myndighet som samlar in uppgifter om en enskild person från personen själv självmant ska informera honom eller henne om behandlingen. Det innebär t.ex. att Kustbevakningen i samband med att myndigheten tar emot och behandlar en upp-

Författningskommentar Ds 2011:16

gift från en person om att denne har utsatts t.ex. för brott ska underrätta honom eller henne om behandlingen. Vad informationen ska omfatta anges i 25 § personuppgiftslagen. Informationen ska omfatta uppgift om den personuppgiftsansvariges identitet, uppgift om ändamålen med behandlingen samt övrig information som den aktuella personen behöver för att ta till vara sina rättigheter i samband med behandlingen av uppgifterna.

Bestämmelserna om informationsplikt i 23 och 25 §§personuppgiftslagen modifieras emellertid av andra bestämmelser. Som framgår av hänvisningen till 27 § personuppgiftslagen gäller informationsplikten inte i den utsträckning det råder sekretess eller tystnadsplikt för informationen. Dessutom begränsas informationsskyldigheten av den särskilda bestämmelsen i tredje stycket (se nedan).

Som framgår av hänvisningen till 26 § personuppgiftslagen är den personuppgiftsansvarige också skyldig att på begäran lämna information till en sökande om huruvida personuppgifter som rör denne behandlas. Om sådan behandling sker, ska upplysning också lämnas om bl.a. ändamålet med behandlingen. Också denna informationsskyldighet modifieras genom bestämmelserna i 27 § personuppgiftslagen. Om det gäller sekretess för uppgiften enligt offentlighets- och sekretesslagen (2009:400) behöver någon information inte lämnas.

Enligt hänvisningen i punkten 6 till 28 § personuppgiftslagen ska också den lagens bestämmelser om rättelse tillämpas. Den personuppgiftsansvarige är alltså skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med förevarande lag – däribland de bestämmelser i personuppgiftslagen till vilka lagen hänvisar – eller föreskrifter som har utfärdats i anslutning till lagen. Rättelse ska dock inte ske enbart därför att uppgifter som framstod som riktiga eller rimliga när de samlades in, t.ex. brottsmisstankar, senare har visat sig vara oriktiga.

I punkten 7 görs en hänvisning till 30 och 31 §§ samt 32 § första stycket personuppgiftslagen. Enligt 30 § första stycket får ett personuppgiftsbiträde (dvs. den som behandlar personuppgifter

Ds 2011:16 Författningskommentar

för den personuppgiftsansvariges räkning) och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning behandla personuppgifter enbart i enlighet med instruktioner från den personuppgiftsansvarige. Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet, gäller dock – enligt 30 § tredje stycket – dessa i stället. Den sistnämnda bestämmelsen syftar särskilt på bestämmelser om tystnadsplikt och sekretess (se prop. 1997/98:44 s. 136). Av 31 § följer bl.a. att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de behandlade personuppgifterna. Enligt 32 § första stycket får tillsynsmyndigheten i enskilda fall besluta om vilka åtgärder som den personuppgiftsansvarige ska vidta enligt 31 §. Med tillsynsmyndigheten avses här tillsynsmyndigheten enligt personuppgiftslagen, dvs. Datainspektionen (2 § personuppgiftsförordningen [1998:1191]).

En hänvisning görs i punkten 8 till 3335 §§personuppgiftslagen. Enligt 33 § är det förbjudet att överföra personuppgifter till tredjeland om landet inte har en adekvat nivå för skyddet av personuppgifter. Frågan om en skyddsnivå är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt ska fästas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och reglerna för behandlingen i tredjeland. I 34 och 35 §§ föreskrivs undantag från förbudet. Enligt 34 § får uppgifter trots förbudet överföras dels om den registrerade har lämnat sitt samtycke till överföringen, dels om överföringen är nödvändig med hänsyn till vissa uppräknade omständigheter. Det är också enligt den paragrafen tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till dataskyddskonventionen. I 35 § föreskrivs att regeringen, och för vissa fall även den myndighet som regeringen bestämmer, får meddela föreskrifter om undantag från förbudet i 33 §.

I punkten 9 görs en hänvisning till 3840 §§personuppgiftslagen, där det framgår vilka närmare uppgifter ett personuppgifts-

Författningskommentar Ds 2011:16

ombud har. Jfr 5 § angående skyldigheten att utse personuppgiftsombud. En hänvisning görs också till 41 § personuppgiftslagen. Enligt den paragrafen har regeringen möjlighet att föreskriva att vissa särskilt känsliga behandlingar ska anmälas till Datainspektionen för förhandskontroll.

Hänvisningen i punkten 10 till 42 § personuppgiftslagen innebär att den personuppgiftsansvarige ska till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten, dvs. Datainspektionen. Sekretessbelagda uppgifter och uppgifter om vidtagna säkerhetsåtgärder behöver dock inte lämnas ut.

Datainspektionen har rätt att för sin tillsyn på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. Detta framgår av hänvisningen i punkten 11 till 43 § personuppgiftslagen. Om inspektionen inte har tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig, får den med stöd av hänvisningen till 44 § personuppgiftslagen förbjuda behandlingen. Konstaterar Datainspektionen att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, ska inspektionen genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Om det inte går att få till stånd rättelse, eller om saken är brådskande, får Datainspektionen förbjuda behandlingen, vilket följer av hänvisningen till 45 § första stycket personuppgiftslagen. Vidare hänvisas till 47 § personuppgiftslagen där Datainspektionen ges rätt att hos länsrätten ansöka om att personuppgifter som har behandlats på ett olagligt sätt ska utplånas.

Av hänvisningen i punkten 12 till 48 § personuppgiftslagen följer att den personuppgiftsansvarige ska ersätta den registrerade för sådan skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med förevarande

Ds 2011:16 Författningskommentar

lag – och de bestämmelser i personuppgiftslagen till vilka lagen hänvisar – har orsakat.

Av hänvisningen i punkten 13 till 51 § första stycket personuppgiftslagen följer att Datainspektionens beslut får överklagas till allmän förvaltningsdomstol. Som framgår av hänvisningen till 52 § första stycket personuppgiftslagen kan den personuppgiftsansvariga myndighetens beslut om information enligt 26 §, om rättelse och om underrättelse till tredje man enligt 28 § samt om upplysningar enligt 42 § personuppgiftslagen också överklagas hos allmän förvaltningsdomstol. Av hänvisningen till 53 § personuppgiftslagen följer att andra beslut inte får överklagas.

I andra stycket regleras hur gallringsregler i lagen, och i föreskrifter som meddelats i anslutning till lagen, förhåller sig till hänvisningen i första stycket punkten 2. Bestämmelsen innebär att denna lag ges företräde framför bestämmelserna i 8 § andra stycket personuppgiftslagen.

Det tredje stycket innehåller två undantag från informationsskyldigheten i 23 § personuppgiftslagen. För det första behöver information enligt 23 § inte lämnas om uppgifterna samlas in genom bild- eller ljudupptagning. För det andra behöver inte information lämnas om uppgifterna samlas in i samband med ett larm och det med hänsyn till omständigheterna inte finns tid att lämna information. Med larm avses en brådskande begäran om att Kustbevakningen omedelbart ska vidta en åtgärd av något slag. Bestämmelsen tar sikte på såväl de situationer där en person kontaktar Kustbevakningens ledningscentral som när han eller hon vänder sig till en enskild tjänsteman. Huruvida det finns tid att lämna information får avgöras från fall till fall. Avgörande för denna bedömning bör främst vara om det skulle medföra en försening av den efterfrågade åtgärden eller om denna åtgärd på något annat sätt skulle påverkas negativt av att informationen lämnades. Om undantaget från informationsplikten är tillämpligt, behöver informationen inte heller lämnas i efterhand.

Förbud enligt 44 eller 45 § personuppgiftslagen får normalt förenas med vite. I fjärde stycket föreskrivs dock att förbud som

Författningskommentar Ds 2011:16

meddelas i samband med tillsyn enligt denna lag inte får förenas med vite.

Tillgången till personuppgifter

3 §

Paragrafen har behandlats i avsnitt 8.4.

I Kustbevakningens verksamhet förekommer en betydande mängd uppgifter. Flertalet av de personuppgifter som är av integritetskänsligt slag behandlas i Kustbevakningens brottsbekämpande verksamhet, men sådana förekommer även i Kustbevakningens övriga verksamhet, t.ex. vad avser räddningstjänstverksamheten. Sådana uppgifter ska inte spridas till någon som inte är behörig att ta del av uppgifterna. I första stycket slås därför fast att tillgången till personuppgifter i Kustbevakningens verksamhet ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Bestämmelsen riktar sig inte bara till dem som är engagerade i Kustbevakningens dagliga verksamhet. Den måste också beaktas av dem som ansvarar för utformningen av nya datasystem liksom av dem som avgör vilken tillgång till personuppgifter respektive tjänsteman behöver för att kunna fullgöra sina uppgifter.

I andra stycket finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela närmare föreskrifter om förutsättningarna för tillgången till personuppgifter. Detaljbestämmelser kan således utformas så att tillgången till personuppgifter begränsas till vad som är nödvändigt för verksamhetens bedrivande.

Personuppgiftsansvar

4 §

Paragrafen innehåller bestämmelser om personuppgiftsansvar. Frågan har behandlats i avsnitt 8.5.

I paragrafen anges att Kustbevakningen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Ds 2011:16 Författningskommentar

Begreppet personuppgiftsansvarig definieras i 3 § personuppgiftslagen (1998:204). Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Flera bestämmelser i personuppgiftslagen, till vilka det hänvisas i 2 §, ålägger den personuppgiftsansvarige särskilda skyldigheter. Så är det t.ex. enligt 9 § första stycket personuppgiftslagen den personuppgiftsansvariges skyldighet att se till att de behandlade personuppgifterna är adekvata och relevanta i förhållande till ändamålen för behandlingen och att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen för behandlingen. Det ankommer också på den personuppgiftsansvarige att se till att information lämnas till den registrerade och att uppgifter gallras i rätt tid.

Den myndighet som samlar in och lagrar personuppgifter är personuppgiftsansvarig för den behandlingen. Om samma uppgift lämnas ut till en annan myndighet, genom direktåtkomst eller på annat sätt, blir den mottagande myndigheten personuppgiftsansvarig för den fortsatta behandlingen av uppgiften hos den myndigheten. När uppgifter lämnas ut till olika myndigheter kan alltså personuppgiftsansvaret för en och samma uppgift ligga hos flera myndigheter. Var och en av dessa ansvarar för den egna behandlingen.

Personuppgiftsombud

5 §

Frågan har behandlats i avsnitt 8.5.

I första stycket föreskrivs att Kustbevakningen ska utse ett eller flera personuppgiftsombud. Hänvisningen i 2 § första stycket punkten 9 till 3841 §§personuppgiftslagen (1998:204) innebär att den lagens bestämmelser om personuppgiftsombudets uppgifter blir tillämpliga vid Kustbevakningen.

Enligt andra stycket ska den personuppgiftsansvarige anmäla till tillsynsmyndigheten enligt personuppgiftslagen, dvs. Datainspektionen, när ett personuppgiftsombud utses eller entledigas.

Författningskommentar Ds 2011:16

Behandling av personuppgifter för diarieföring

6 §

Paragrafen ger möjlighet att behandla personuppgifter i två speciella fall, även om förutsättningarna för behandling enligt 3 kap. eller 5 kap. föreligger. Frågan har berörts i avsnitt 8.6.

I punkten 1 anges att personuppgifter alltid får behandlas om behandlingen är nödvändigt för diarieföring. Vilka uppgifter som måste noteras i samband med diarieföring av en handling framgår av 5 kap. 2 § offentlighets- och sekretesslagen (2009:400). Vid diarieföring av inkomna handlingar ska alltid anges vem handlingen har kommit från och i korthet vad handlingen rör.

Vidare får, enligt punkten 2, personuppgifter alltid behandlas om de har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen. Begreppet ”anmälan eller liknande” innefattar alla slag av framställningar till Kustbevakningen. Ofta ryms framställningar av detta slag inom något av de i lagen särskilt angivna ändamålen, men någon gång kan innehållet i framställan vara sådant att behovsrekvisiten i lagens 3 kap. 2 § och 5 kap. 1 § inte är uppfyllda. Eftersom framställan normalt påfordrar något slag av handläggning hos myndigheten, har det ansetts nödvändigt med en särskild bestämmelse för personuppgiftsbehandling i dessa fall. Behandlingen måste vara ”nödvändig för handläggningen”. Det kan i ett enskilt fall innebära att personuppgifter i ett e-postmeddelande inte får behandlas på annat sätt än genom att uppgifterna tas emot och därefter omedelbart arkiveras eller gallras. I ett annat fall kan bestämmelsen få till följd att personuppgifterna också får behandlas i samband med besvarandet av framställan.

Behandling av känsliga personuppgifter

7 §

Paragrafen anger i vilken utsträckning känsliga personuppgifter får behandlas i Kustbevakningens verksamhet. Frågan har behandlats i avsnitt 8.7.

Enligt första stycket får personuppgifter inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ur-

Ds 2011:16 Författningskommentar

sprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Som en följd av bestämmelsen är det inte tillåtet att föra register över eller på annat sätt göra anteckningar om enskilda enbart på den grunden att de utifrån ras, etniskt ursprung eller något annat i paragrafen angivet kriterium kan hänföras till en viss kategori av människor.

En uppgift om utseende utgör normalt inte en sådan personuppgift som avses i första stycket och den får alltså behandlas, med den begränsning som följer av tredje stycket. Om en sådan uppgift samtidigt innefattar uppgift om t.ex. etniskt ursprung, omfattas den dock av bestämmelsen.

Bestämmelsen i första stycket hindrar inte heller att uppgifter om en persons nationalitet behandlas, eftersom en sådan uppgift normalt inte ger upplysning om etniskt ursprung. Likaså faller som regel uppgifter om att en viss person närmast kommer från en viss världsdel eller ett visst land utanför förbudet mot behandling av känsliga personuppgifter. Skulle emellertid en sådan uppgift i det enskilda fallet t.ex. avslöja etniskt ursprung faller den in under paragrafen.

Andra stycket innehåller två undantag från huvudregeln. För det första får uppgifter om en person som behandlas på annan grund kompletteras med sådana uppgifter som avses i första stycket, om det är absolut nödvändigt för syftet med behandlingen. Med hänsyn till den restriktivitet som ligger i begreppet ”absolut nödvändigt” måste dock behovet av att göra sådana kompletteringar prövas noga i det enskilda ärendet. Det kan bl.a. handla om känsliga personuppgifter som är av avgörande betydelse för utredningen. Känsliga personuppgifter kan också förekomma i förundersökningar på grund av att någon under ett förhör har lämnat en sådan uppgift eller i en inlaga nämnt uppgiften. Det kan vara fråga om helt grundlösa påståenden. Eftersom

Kustbevakningen inte kan hindra någon från att yttra sig vare sig muntligen eller skriftligen kan känsliga personuppgifter på detta sätt komma att ingå i förundersökningen. Om det nedtecknade förhöret eller den inkomna handlingen ingår i förundersök-

Författningskommentar Ds 2011:16

ningen omfattas behandlingen av den känsliga personuppgiften även i dessa fall av undantaget i andra stycket.

För det andra får känsliga personuppgifter alltid behandlas i de fall som avses i 6 §, dvs. om det är nödvändigt för diarieföring eller, i fråga om uppgifter i ansökan eller liknande, om det är nödvändigt för handläggningen. Det innebär bl.a. att det är möjligt att ta emot och besvara anmälningar och liknande skrifter i elektronisk form även om dessa innehåller känsliga personuppgifter.

I tredje stycket föreskrivs att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. Syftet med bestämmelsen är att förhindra att personer beskrivs i nedsättande ordalag som kan vara kränkande för individen.

Utlämnande på medium för automatiserad behandling

8 §

Paragrafen reglerar under vilka förutsättningar uppgifter får lämnas ut i elektronisk form, t.ex. i ett e-postmeddelande eller på ett USB-minne. Bestämmelsen har inte någon sekretessbrytande verkan. Skälen för bestämmelsen har behandlats i avsnitt 8.8.

Bestämmelsen innebär att en större mängd personuppgifter, t.ex. ett helt register eller delar av ett register, inte får lämnas ut på medium för automatiserad behandling såvida inte regeringen har meddelat föreskrifter om detta eller i ett enskilt fall beslutat att sådant utlämnande får ske. Däremot kan enligt första meningen, enstaka uppgifter lämnas ut. Uttrycket enstaka används här med en något annan innebörd än i vanligt språkbruk. När personuppgifter förekommer i en eller ett fåtal handlingar är bestämmelsen således inte avsedd att utgöra ett hinder mot att handlingarna lämnas ut genom t.ex. ett e-postmeddelande. Det förhållandet att en handling, t.ex. en lista över telefonnummer, innehåller ett större antal personuppgifter hindrar inte att handlingen lämnas ut med stöd av paragrafen. Bestämmelsen är också avsedd att ge stöd för utlämnande av ett ärende eller delar av ett ärende där personuppgifter förekommer (jfr prop. 2006/07:46 s.

Ds 2011:16 Författningskommentar

124). Av andra meningen följer att regeringen har möjlighet att meddela föreskrifter om utlämnande av större uppgiftsmängder, t.ex. mellan myndigheter.

9 §

Paragrafen reglerar direktåtkomst. Frågor om direktåtkomst har behandlats i avsnitten 11.3 och 13.5. Den grundläggande innebörden av begreppet direktåtkomst är att någon har direkt tillgång till register, databaser eller andra samlingar av uppgifter som behandlas automatiserat och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i uppgiftssamlingen. I begreppet direktåtkomst ligger också att den som är ansvarig för uppgiftssamlingen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Om någon har direktåtkomst till samtliga uppgifter i en myndighets register, kan denne alltså själv välja vilka uppgifter han eller hon vill ta del av vid ett visst tillfälle, utan att myndigheten först fattar ett beslut om att just dessa uppgifter ska lämnas ut. Bestämmelserna om direktåtkomst har inte någon sekretessbrytande verkan.

I första stycket görs klart att direktåtkomst bara får förekomma i den utsträckning som följer av denna lag. Det innebär bl.a. att det ska framgå av lagen om och i vilken utsträckning bestämmelser om direktåtkomst får meddelas på lägre normgivningsnivå.

I andra stycket anges vilka övriga bestämmelser i lagen som reglerar direktåtkomst. Syftet är att skapa en överblick över regleringen.

Grundläggande krav på behandlingen

10 §

Paragrafen har behandlats i avsnitt 8.9. Innebörden av paragrafen är att det tydligt ska framgå vilka bestämmelser, de som rör den brottsbekämpande verksamheten eller de som rör den övriga operativa verksamheten, som tillämpas på behandling av personuppgifter. Bestämmelsen medför att informationssamlingar inte

Författningskommentar Ds 2011:16

får innehålla uppgifter som kan hänföras till båda verksamheterna, utan det måste vara en tydlig åtskillnad med stöd av vilka bestämmelser behandling av personuppgifter sker. Därigenom råder inte osäkerhet om exempelvis vilka regler om bevarande och gallring som ska tillämpas på behandlingen. Syftet med bestämmelsen är att upprätthålla skyddet för den personliga integriteten.

3 kap. Behandling av personuppgifter i Kustbevakningens brottsbekämpande verksamhet

1 §

Av paragrafen framgår att Kustbevakningens behandling av uppgifter i den brottsbekämpande verksamheten behandlas i detta kapitel samt, när det gäller uppgifter som görs gemensamt tillgängliga, i det påföljande.

Ändamål

2 §

Paragrafen anger de primära ändamål för vilka personuppgifter får behandlas i Kustbevakningens brottsbekämpande verksamhet. Avgränsningen av dessa ändamål har behandlats i avsnitt 9.2. Personuppgifter får också behandlas för planering, uppföljning och utvärdering av Kustbevakningens brottsbekämpande verksamhet. Sådan behandling anses utgöra en del av själva verksamheten och behöver inte regleras särskilt (se avsnitt 9.3.1 och prop. 2004/05:164 s. 179). Personuppgifter som behandlas med stöd av 2 § får också behandlas för ett antal ytterligare ändamål. Behandlingen av dessa sekundära ändamål regleras i 3 §. Av 2 kap. 6 § framgår att personuppgiftsbehandling dessutom får ske för diarieföring och inom ramen för viss ärendehantering. Vidare får personuppgifter behandlas för ett annat sekundärt ändamål i Kustbevakningens brottsbekämpande verksamhet, än de i lagen angivna, om det nya ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in. Ramarna för sådan vidarebehandling sätts således av den s.k. finalitetsprincipen. Som

Ds 2011:16 Författningskommentar

framgår av hänvisningen i 2 kap. 2 § första stycket punkten 2 till 8 § personuppgiftslagen (1998:204) får behandling också ske i den mån den är nödvändig för att Kustbevakningen ska kunna fullgöra sina skyldigheter enligt 2 kap. tryckfrihetsförordningen. Tillsammans avgränsar de nu nämnda bestämmelserna för vilka ändamål behandling av personuppgifter är tillåten i Kustbevakningens brottsbekämpande verksamhet.

En grundläggande förutsättning för att behandlingen ska vara tillåten är att den behövs för viss verksamhet hos Kustbevakningen. Med detta avses att det ska finnas ett konkret behov av att genomföra behandlingen och att detta behov svarar mot ändamålet med denna. Som exempel kan nämnas att det i en förundersökning kan vara nödvändigt att sammanställa uppgifter om vilka personer som har befunnit sig på platsen för brottet för att säkerställa att alla presumtiva vittnen har hörts i saken. Likaså måste självfallet många personuppgifter om misstänkta behandlas för att tillgodose åklagarens behov av underlag för sitt ställningstagande i åtalsfrågan. Om ändamålet är att förebygga eller förhindra brott, kan det t.ex. vara nödvändigt att sammanställa uppgifter om vem som äger eller disponerar fartyg som Kustbevakningen misstänker används i den brottsliga verksamheten.

En stor mängd av den information som Kustbevakningen samlar in och bearbetar för ett specifikt ändamål, exempelvis för att utreda ett visst brott, måste kunna vidarebehandlas för andra ändamål som antingen anknyter till det ursprungliga ändamålet eller ligger vid sidan av detta. Sådan vidarebehandling är tillåten, under förutsättning att den efterföljande behandlingen faller in under något av de primära eller sekundära ändamål som anges i lagen. Dessutom får uppgifter behandlas för andra sekundära ändamål som anges i lagen, om det efter en prövning i det enskilda fallet bedöms att vidarebehandlingen inte kan anses oförenlig med insamlingsändamålet (finalitetsprincipen).

I punkten 1 anges att personuppgifter får behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet (avsnitt 9.2.1). Den verksamhet som åsyftas är framför allt det som normalt kallas underrättelseverksamhet, dvs. arbete

Författningskommentar Ds 2011:16

med insamling, bearbetning och analys av information för att förebygga, förhindra och upptäcka brottslig verksamhet när det ännu inte finns konkreta misstankar om att ett visst brott redan har begåtts. Arbete som är inriktat på en redan begången individualiserad brottslig gärning faller in under punkten 2.

Av punkten 2 framgår att personuppgifter får behandlas för att utreda och beivra brott (avsnitt 9.2.2). Med brott avses ett konkret brott. Det kan vara fråga såväl om brott som bevisligen har begåtts, som brott som det enbart finns misstankar om. Misstankarna behöver inte vara riktade mot någon bestämd person. Om misstankarna enbart gäller icke-preciserad brottslig verksamhet, är det dock i stället fråga om sådan ”brottslig verksamhet” som avses i punkten 1. Rör misstanken ett visst brott som kan komma att begås i framtiden kan personuppgiftsbehandling vara tillåten med stöd av punkten 1. Har den förväntade gärningen nått den punkt där den är straffbar såsom försök, föreberedelse, stämpling eller anstiftan – dvs. om det finns grund för att inleda förundersökning – är det däremot fråga om personuppgiftsbehandling som faller under punkten 2.

Under punkten 2 faller all personuppgiftsbehandling inom ramen för en förundersökning (även spaning). Detsamma gäller behandling av personuppgifter som sker med stöd av 23 kap.3 och 8 §§rättegångsbalken innan en förundersökning har inletts och behandling inom ramen för en s.k. förenklad utredning enligt 23 kap. 22 § rättegångsbalken. Handläggningen av en brottsanmälan hör också hit, även om denna inte leder till något beslut att inleda förundersökning.

Punkten 2 är också tillämplig vid sådan utredning som inte utgör förundersökning men som Kustbevakningen utför, för egen räkning eller åt åklagare, med stöd av lag eller annan författning enligt reglerna om förundersökning. Ett exempel på en sådan bestämmelse är 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

Punkterna 1 och 2 avser endast brottsbekämpande verksamhet som bedrivs av Kustbevakningen. Av punkten 3 följer att behandling av personuppgifter också får ske om syftet är att gagna

Ds 2011:16 Författningskommentar

utländsk brottsbekämpande verksamhet (avsnitt 9.2.3). Personuppgifter får behandlas med stöd av denna punkt om det behövs för att fullgöra de förpliktelser som följer av internationella åtaganden. Detta gäller oavsett om den brottslighet som den utländska brottsbekämpande verksamheten avser faller in under svensk jurisdiktion eller inte. Sådana förpliktelser följer dels av vissa lagar som genomför internationella överenskommelser, dels direkt av vissa internationella överenskommelser.

Till de lagar som innehåller förpliktelser av detta slag hör t.ex. lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar och lagen (2000:343) om internationellt polisiärt samarbete. Kustbevakningen är behörig myndighet enligt dessa lagar. Sådan brottsutredning som sker inom ramen för rättslig hjälp till en annan stat hör också hemma under punkten 3, om den inte faller in under punkten 2.

I den mån en internationell överenskommelse innebär att Kustbevakningen är skyldig att överlämna information till en brottsbekämpande myndighet i en annan stat eller till någon annan kan personuppgifter behandlas enligt denna punkt. Som exempel kan nämnas skyldigheten att underrätta en främmande stats konsulat eller beskickning om att någon av statens medborgare har berövats friheten i Sverige.

Det förekommer också internationella överenskommelser som innebär att svenska myndigheter, utan att vara förpliktade till det, har möjlighet att lämna information till utländska myndigheter. Ett sådant tillhandahållande av information faller inte in under denna punkt. Däremot kan personuppgiftsbehandling som sker för sådant syfte rymmas under 3 § första stycket 2.

3 §

I denna paragraf anges de sekundära ändamål för vilka personuppgifter får behandlas i Kustbevakningens brottsbekämpande verksamhet. Frågan har behandlats i avsnitt 9.3. Behandling enligt denna paragraf förutsätter att uppgifterna redan är föremål för behandling enligt 2 §. Det är alltså inte tillåtet att samla in

Författningskommentar Ds 2011:16

personuppgifter enbart i syfte att behandla dem enligt förevarande paragraf.

Av första stycket punkten 1 framgår att personuppgifter som behandlas med stöd av 2 § även får behandlas för att tillhandhålla information som behövs i brottsbekämpande verksamhet hos vissa andra myndigheter, nämligen Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket. Det förhållandet att uppgifter får behandlas påverkar inte de bestämmelser som gäller om sekretess. Bestämmelserna i offentlighets- och sekretesslagen (2009:400) om sekretess mellan och inom myndigheter liksom bestämmelser i andra författningar som bryter sekretess ska således beaktas på vanligt sätt. Av 3 kap. 9 § framgår att Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen, har rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Enligt 3 kap. 10 § får regeringen meddela föreskrifter om att personuppgifter får lämnas ut i andra fall.

Första stycket punkten 2 ger möjlighet att behandla personuppgifter som behandlas enligt 2 § för att tillhandahålla en utländsk myndighet eller en mellanfolklig organisation den information som behövs i dess brottsbekämpande verksamhet. Denna bestämmelse ger stöd för själva behandlingen av personuppgifterna. Hur stort utrymmet är för utlämnande av uppgifter bestäms som nyss nämnts av reglerna om sekretess. Såsom kommer att beröras i anslutning till 8 § kan personuppgifterna inte tillhandahållas utländska myndigheter om de omfattas av sekretess.

Möjligheten att behandla uppgifterna genom att lämna ut dem kan också begränsas av reglerna i 3335 §§personuppgiftslagen (1998:204) som inskränker möjligheten att överföra uppgifter till tredjeland (se kommentaren till 2 kap. 2 §).

Första stycket punkten 3 a är utformad mot bakgrund av Kustbevakningens behov av att kunna, när så är påkallat, få använda

Ds 2011:16 Författningskommentar

viss information som samlats in i myndighetens brottsbekämpande verksamhet för att kunna fullgöra uppdraget att utreda och besluta i ärenden om vattenföroreningsavgift.

Av första stycket punkten 3 b framgår att personuppgifter som behandlas enligt 2 § även får användas i Kustbevakningens övriga verksamhet för all tillsyn och kontroll som myndigheten är skyldig att utföra enligt lag eller förordning, t.ex. kontroll enligt utlänningslagen (2005:716) och tillsyn enligt förordningen (2006:311) om transport av farligt gods.

Första stycket punkten 4 a är avsedd att tillgodose Kustbevakningens behov av fullgöra författningsenliga förpliktelser att direkt biträda en annan svensk myndighet i dess verksamhet. Exempel på sådant biträde är biträde till Transportmyndigheten enligt förordningen (2004:283) om sjöfartsskydd. Förevarande punkt ger Kustbevakningen rätt att behandla personuppgifter inom ramen för sådant biträde i en annan myndighets verksamhet.

Första stycket punkten 4 b ger Kustbevakningen möjlighet att behandla personuppgifter för att tillhandahålla information till svenska myndigheter i syfte att samverka mot brott. Det rör sig om tillhandahållande av uppgifter till myndigheter som inte har till uppgift att bekämpa brott, men där tillhandahållandet är till nytta för Kustbevakningens brottsbekämpande verksamhet. Syftet med punkten är att möjliggöra tillhandahållande inom ramen för myndighetsövergripande samverkan mot brott, t.ex. arbetet i ett regionalt underrättelsecentrum (RUC). En sedvanlig sekretessprövning krävs innan uppgifter kan lämnas ut.

I andra stycket anges att personuppgifter får behandlas, om det är nödvändigt för att tillhandahålla information till riksdagen eller regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till annan. Med annan avses såväl myndighet som enskild.

Exempel på uppgiftsskyldighet gentemot annan myndighet finns i 14 kap. 1 § socialtjänstlagen (2001:453) som föreskriver skyldighet att göra anmälan till socialnämnden när nämnden behöver ingripa till barns skydd. Andra exempel på uppgiftsskyl-

Författningskommentar Ds 2011:16

dighet som kan omfatta även Kustbevakningen finns i 13 kap. 6 § regeringsformen och 6 § lagen (2002:102) om revision av statlig verksamhet (skyldighet att tillhandahålla Riksdagens ombudsmän respektive Riksrevisionen begärda upplysningar). Vidare omfattas en myndighets skyldighet enligt 6 kap. 5 § offentlighets- och sekretesslagen att på begäran av en annan myndighet lämna ut uppgift som den förfogar över, i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång.

4 §

I paragrafen tydliggörs att de sekundära ändamålen inte är uttömmande. För att en uppgift ska få vidarebehandlas för något annat ändamål än de som anges i 3 § måste det emellertid i det enskilda fallet göras en bedömning att det nya ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

Bevarande och gallring

5 §

Paragrafen innehåller en generell bestämmelse om längsta tid för bevarande av personuppgifter i den brottsbekämpande verksamheten och hänvisar till de övriga bestämmelser om bevarande och gallring som finns i lagen för personuppgifter som behandlas i sådan verksamhet. Paragrafen har motiverats i avsnitt 15.2.1.

Av första stycket följer att personuppgifter aldrig får bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i kapitlets 2–4 §§. Bevarande tillåts således med hänsyn till ett eller flera ändamål. Därigenom ges stöd för att bevara uppgifter, inte bara för ett viss utpekat konkret ärende som en viss förundersökning, utan även för mer övergripande brottsbekämpande ändamål. Bestämmelsen ger exempelvis stöd för att bevara uppgifter i ett avslutat ärende, även om det vid tidpunkten då ärendet avslutas inte finns något konkret nytt ändamål för bevarandet men uppgifterna bedöms ha ett allmänt värde för Kustbevakningens verksamhet att förebygga, förhindra och upptäcka brottslig verksamhet eller utreda och beivra brott. En

Ds 2011:16 Författningskommentar

grundläggande förutsättning för bevarandet är att Kustbevakningen bedömer att uppgifterna behöver finnas tillgängliga ytterligare viss tid i den brottsbekämpande verksamheten. Första stycket avser såväl automatiserad som annan behandling av personuppgifter, t.ex. behandling i manuella register.

I andra stycket hänvisas till de övriga paragrafer som innehåller bestämmelser om bevarande och gallring. Syftet med uppräkningen är att skapa en överblick över regleringen.

I tredje stycket informeras om att regeringen kan meddela föreskrifter om digital arkivering. Syftet med sådana föreskrifter kan vara att förhindra att digitalt arkiverade uppgifter fortsätter att behandlas på samma sätt som tidigare i den brottsbekämpande verksamheten, trots att bevarandet inte längre sker för verksamhetsändamål utan för arkivändamål.

6 §

Paragrafen reglerar gallring av personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga. Vad som avses med gallring har behandlats i avsnitt 15.2. Frågan om gallring av detta slag av uppgifter har behandlats i avsnitt 15.2.2.

Som framgår av första stycket ska personuppgifter som behandlas i ett ärende gallras senast ett år efter det att ärendet avslutades, medan personuppgifter som inte kan hänföras till något ärende ska gallras senast ett år efter det att de behandlades automatiserat första gången. Gallringsfristens längd beror alltså på om personuppgifterna behandlas inom ramen för ett ärende eller inte. Begreppet ärende har här en särskild innebörd som kan avvika från den gängse innebörden av begreppet i förvaltningslagen (1998:223). Med ärende avses här en serie åtgärder som är avsedda att leda fram till ett bestämt slut. Särskilda underrättelseprojekt med en obestämd varaktighet kan t.ex. omfattas. Vidare är åtgärder som vidtas med anledning av att någon enskild har påkallat att Kustbevakningen agerar att anses som ett ärende. Det är däremot inte frågan om något ärende när en kustbevakningstjänsteman vidtar en tillfällig åtgärd inom ramen för verksamhe-

Författningskommentar Ds 2011:16

ten, t.ex. tar emot allmän information från allmänheten som inte har samband med någon pågående brottsutredning. Bestämmelsen är inte tillämplig på uppgifter som har gjorts gemensamt tillgängliga.

I andra och tredje styckena föreskrivs två undantag från gallringsbestämmelserna i första stycket. Enligt andra stycket gäller inte första stycket personuppgifter i ärenden om utredning och beivrande av brott. Det rör sig framför allt om förundersökningar och om andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. I fråga om uppgifter i sådana ärenden tillämpas i stället bestämmelserna om gallring i arkivlagen (1990:782).

Av tredje stycket följer att regeringen eller den myndighet regeringen bestämmer har möjlighet att meddela föreskrifter om att personuppgifter, trots vad som sägs i första stycket, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Utlämnande av uppgifter och uppgiftsskyldighet

7 §

Paragrafen innehåller sekretessbrytande bestämmelser om utlämnande till utländska myndigheter och mellanfolkliga organisationer. Frågan har behandlats i avsnitt 12.3.

Inom ramen för de allmänna ändamålen för personuppgiftsbehandling i 2 § punkterna 1 och 2 kan det i vissa fall finnas anledning att föra över uppgifter till en utländsk myndighet. Ett exempel är om Kustbevakningen i en svensk brottsutredning begär rättsligt bistånd från en utländsk myndighet. Av 2 § punkten 3 framgår att personuppgifter får behandlas för att fullgöra de förpliktelser som följer av internationella åtaganden (se kommentaren till den paragrafen) också i sådana fall blir det ofta aktuellt att lämna information till en utländsk myndighet. Vidare innehåller 3 § punkten 2 en bestämmelse om att personuppgifter som behandlas enligt 2 § också får behandlas för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation. De nu angivna bestämmelserna sätter gränserna för när behandling som

Ds 2011:16 Författningskommentar

har till ändamål att överföra information till en utländsk myndighet eller organisation alls får förekomma.

För att sådant utlämnande ska få ske krävs emellertid därutöver att det inte på grund av sekretess finns hinder mot att lämna över uppgifterna till en utländsk myndighet. För många av de personuppgifter som förekommer i Kustbevakningens brottsbekämpande verksamhet gäller sekretess, såväl sekretess till skydd för intresset av att förebygga och beivra brott som sekretess till skydd för enskilds ekonomiska förhållanden. Enligt 8 kap. 3 § offentlighets- och sekretesslagen (2009:400) får en sekretessbelagd uppgift inte röjas för en utländsk myndighet eller en mellanfolklig organisation annat än om utlämnandet sker i enlighet med en särskild föreskrift om detta i lag eller förordning eller om uppgiften i motsvarande fall skulle få utlämnas till en svensk myndighet och det enligt utlämnande myndighet står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen.

I vissa fall kan en utlämnandeprövning enligt nämnda paragraf vara komplicerad. I paragrafen anges därför vissa mera preciserade fall där utlämnande av en uppgift till utländsk myndighet får ske, trots att det gäller sekretess för uppgiften.

Enligt första stycket får uppgifter, om det är förenligt med svenska intressen, lämnas till Interpol eller Europol, till en polis- eller åklagarmyndighet i en stat som är ansluten till Interpol samt till utländsk kustbevakning eller tullmyndighet inom Europeiska ekonomiska samarbetsområdet (EES). Utlämnande av uppgifter får ske endast om det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott.

I andra stycket föreskrivs att personuppgifter får lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. Bestämmelsen är tillämplig när den internationella överenskommelsen ålägger Sve-

Författningskommentar Ds 2011:16

rige att lämna ut vissa slag av uppgifter. Däremot gäller den inte där det enbart sägs att utlämnande får ske.

Den utlämnande myndigheten måste alltid försäkra sig om att den mottagande staten har en adekvat nivå för skyddet av personuppgifter innan uppgifter lämnas ut, se 33 § personuppgiftslagen (1998:204).

8 §

Paragrafen innehåller en bestämmelse som i viss utsträckning bryter den sekretess som annars skulle ha gällt gentemot andra myndigheter. Frågan har behandlats i avsnitt 12.2.

I paragrafen regleras andra brottsbekämpande myndigheters rätt att, utan hinder av viss i paragrafen angiven sekretess till skydd för enskild, i den brottsbekämpande verksamheten få del av personuppgifter som har gjorts gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet. Eftersom sekretess kan hindra att uppgifter lämnas ut, har undantag gjorts för vissa typer av sekretess, där sekretessen är lika stark hos den mottagande myndigheten som hos den utlämnande. Paragrafen har utformats som en uppgiftsskyldighet. En förutsättning för att uppgifterna ska lämnas ut är dock att det finns ett behov av uppgifterna hos den mottagande myndigheten. Det är den utlämnande myndigheten som ytterst avgör om den andra myndigheten har behov av uppgiften för sin brottsbekämpande verksamhet. Det förutsätts emellertid att den myndighet som vill ha tillgång till en sådan uppgift lämnar Kustbevakningen det underlag som kan krävas för en korrekt bedömning av behovet. Uppgifter kan lämnas ut antingen på begäran av den andra myndigheten eller på Kustbevakningens eget initiativ.

Endast personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet omfattas av bestämmelsen. Det innebär att personuppgifter som förekommer i Kustbevakningens övriga verksamhet faller utanför bestämmelsens tillämpningsområde.

Ds 2011:16 Författningskommentar

9 §

Paragrafen har motiverats i avsnitten 12.2 och 12.3.

I första stycket framgår att regeringen har möjlighet att meddela föreskrifter om att personuppgifter får lämnas ut även i andra fall än som anges i 7 och 8 §§ (jfr 8 kap. 1 och 3 §§) offentlighets- och sekretesslagen (2009:400). Det kan vara aktuellt om det t.ex. finns behov av att utlämna personuppgifter till en annan utländsk myndighet med brottsbekämpande uppgifter än de som anges i 7 §. Möjligheten att lämna ut uppgifter omfattas därmed inte av den paragrafen.

I andra stycket erinras om att det i offentlighets- och sekretesslagen (2009:400) finns bestämmelser om utlämnande som gäller utöver vad som anges i lagen. Utlämnande kan exempelvis ske med stöd av generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen. En annan sådan bestämmelse, som rör utlämnande till utländska myndigheter eller mellanfolkliga organisationer, finns i 8 kap. 3 § offentlighets- och sekretesslagen.

4 kap. Gemensamt tillgängliga uppgifter i Kustbevakningens brottsbekämpande verksamhet

Personuppgifter som får göras gemensamt tillgängliga

1 §

När personuppgifter görs eller har gjorts gemensamt tillgängliga (se kommentaren till 1 kap. 4 § om innebörden av uttrycket ”gemensamt tillgängliga”) innebär det, typiskt sett, ökade risker för intrång i den personliga integriteten. Paragrafen innehåller därför en uppräkning av de typer av personuppgifter som får göras gemensamt tillgängliga. Uppräkningen är avsedd att vara uttömmande och det är alltså inte tillåtet att göra personuppgifter gemensamt tillgängliga i andra fall.

I punkten 1, som har behandlats närmare i avsnitt 10.1.1, nämns personuppgifter ”som kan antas ha samband med misstänkt brottslig verksamhet”. Rekvisitet innebär att det måste finnas en misstanke om att sådan brottslighet som avses i 3 kap. 2 § 1 har begåtts eller kommer att begås. Den brottsliga verksamheten måste vara på visst sätt kvalificerad. Huvudregeln är att

Författningskommentar Ds 2011:16

den ska innefatta brott för vilket är föreskrivet fängelse i ett år eller däröver. Även om den brottsliga verksamheten inte innefattar brott med en sådan straffskala får personuppgifter som kan antas ha samband med den brottsliga verksamheten göras gemensamt tillgängliga, om det kan antas att verksamheten sker systematiskt. Med ”brottslig verksamhet som sker systematiskt” avses brottslig verksamhet som inte i det enskilda fallet kan kategoriseras som allvarlig, men som är organiserad och kan utgöra led i en verksamhet av större omfattning. Det kan t.ex. röra sig om en person som för in en mindre mängd cigaretter, vilken hade utgjort en tillåten kvot om den var avsedd för privat bruk. Personen i fråga gör dock så frekventa resor att den totala mängden infört gods ger anledning att anta att det inte är för privat bruk utan för återförsäljning som införseln sker s.k. myrtrafik (prop. 2004/05:164 s. 71 f.).

Att personuppgifterna ”kan antas ha samband” med den brottsliga verksamheten innebär att de ska kunna antas ha någon direkt eller indirekt koppling till den brottsliga verksamheten. Det kan vara fråga om uppgifter om en misstänkt, ett vittne eller någon annan person som har en direkt anknytning till brottsligheten. Det kan även vara fråga om uppgifter om affärskontakter eller anhöriga. Det kan också vara fråga om indirekta personuppgifter, som uppgifter om transportmedel eller föremål som har eller kan antas ha anknytning till fysiska personer. Det följer av 3 kap. 2 § 1 att uppgifterna alltid ska behövas i arbetet med att förebygga, förhindra eller upptäcka den aktuella brottsliga verksamheten.

Av punkten 2, som har behandlats närmare i avsnitt 10.1.2, framgår att personuppgifter som ingår i ett ärende om utredning eller beivrande av brott alltid får göras gemensamt tillgängliga. Det handlar här om personuppgifter som behandlas enligt 3 kap. 2 § 2, t.ex. uppgifter i en brottsanmälan eller uppgifter som behandlas inom ramen för en förundersökning.

Punkten 3, som har behandlats i avsnitt 10.1.4, innebär att det är tillåtet att göra uppgifter gemensamt tillgängliga för att fullgöra internationella åtaganden, under förutsättning att det krävs att

Ds 2011:16 Författningskommentar

uppgifterna görs gemensamt tillgängliga för att fullgöra detta. Det handlar bl.a. om sådana internationella efterlysningar av personer eller föremål som kommer från andra länder. Dessa är avsedda att spridas inom Kustbevakningen. När brottsbekämpande myndigheter i Sverige bedriver brottsutredningar tillsammans med sina motsvarigheter i andra länder eller när man i flera länder bedriver parallella brottsutredningar eller samlar underrättelseinformation om samma brottslighet, kan det också finnas ett behov av att göra uppgifter gemensamt tillgängliga. Om utländska uppgifter föranleder en svensk brottsutredning eller ett svenskt underrättelseprojekt, behandlas uppgifterna med stöd av de primära ändamålen i 3 kap. 2 § 1 eller 2 och kan då göras gemensamt tillgängliga på samma sätt som andra uppgifter som förekommer i sådant ärende.

Vid rättslig hjälp förekommer ofta direktkommunikation mellan myndigheterna i olika länder. I dessa fall, där samarbetet rör en viss bestämd fråga i ett enskild ärende, torde det normalt inte finnas något behov av att göra de personuppgifter som behandlas inom ramen för ärendet gemensamt tillgängliga.

Enligt punkten 4 får även uppgifter som har rapporterats till Kustbevakningens ledningscentraler behandlas gemensamt. Motiven för denna bestämmelse har redovisats i avsnitt 10.1.3.

Särskilda upplysningar

2 §

I paragrafen uppställs krav på att de närmare ändamålen med behandlingen ska framgå. Skälen till regleringen har utvecklats i avsnitt 10.2.

Enligt bestämmelsen ska det genom upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna ska behandlas. I Kustbevakningens brottsbekämpande verksamhet måste till att börja med ges information om huruvida uppgiften behandlas enligt 3 kap. 2 § 1, 2 eller 3. Härutöver ska upplysning lämnas om för vilket närmare slag av brott eller brottslig verksamhet etc. som behandlingen sker.

Författningskommentar Ds 2011:16

Har uppgiften samlats in för visst ändamål och kommer den senare användas för något nytt ändamål, måste vid den senare behandlingen upplysning om det nya ändamålet lämnas. Om uppgifter från en förundersökning avseende visst brott senare används i underrättelseverksamhet avseende annan brottslig verksamhet, måste det således till uppgiften fogas en ny upplysning om ändamålet med denna behandling.

De aktuella förhållandena ska framgå genom en särskild upplysning eller på något annat sätt. Det innebär att en särskild upplysning endast behövs i de fall där förhållandet inte redan framgår av omständigheterna. En personuppgift som t.ex. behandlas enbart i en förundersökning (jfr 3 kap. 2 § 2) behöver därför vanligen inte kompletteras med någon särskild upplysning enligt denna paragraf.

Vid behandling av uppgifter i bild- eller ljudupptagningar eller i löpande text framgår det också i regel klart av sammanhanget varför uppgifterna behandlas. Varje enskild uppgift kan i sådana fall av praktiska skäl inte förses med en särskild upplysning om för vilket ändamål personuppgiftsbehandlingen sker. Detta framgår i stället ofta av sammanhanget. Upptagningen, textfilen eller textavsnittet ska dock förses med en särskild upplysning om ändamålet, om detta inte framgår på något annat sätt.

Om en personuppgift behandlas med stöd av bestämmelsen om rapportering till Kustbevakningens ledningscentraler bör detta framgå särskilt.

3 §

I paragrafen ställs krav på att det vid behandling av uppgifter som görs eller har gjorts gemensamt tillgängliga ska framgå om en uppgift avser en person som inte är misstänkt. Vidare ställs krav på att viss information ska värderas och förses med en särskild upplysning om resultatet av värderingen. Skälen till regleringen har utvecklats i avsnitt 10.2.

Bestämmelserna avser endast direkta personuppgifter (”Om uppgifter, […], direkt kan hänföras till en person”). Om den person som en sådan uppgift gäller inte är misstänkt vare sig för

Ds 2011:16 Författningskommentar

något brott eller för sådan brottslig verksamhet som avses i 1 § 1, följer av första stycket att detta förhållande ska framgå genom en särskild upplysning eller på något annat sätt. Förekommer det misstankar – varje sig om det handlar om ”skälig misstanke” eller om någon annan misstankegrad – behöver någon tilläggsupplysning inte lämnas. Upplysning behöver inte heller lämnas om det av sammanhanget framgår att det inte är fråga om någon misstänkt person. Om en person har hörts under en förundersökning, men det av sammanhanget framgår att han eller hon har hörts endast som målsägande eller vittne, behöver således uppgifterna inte förses med någon tilläggsupplysning.

Av andra stycket följer att uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Kravet på en sådan upplysning avser uppgifter som behandlas utan att det finns misstanke om något konkret brott, dvs. uppgifter som behandlas för ändamålet förebygga, förhindra eller upptäcka brottslig verksamhet. Bestämmelsen är därför inte tillämplig på uppgifter som behandlas i brottsutredande verksamhet.

Upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak behöver inte lämnas om det på grund av särskilda omständigheter är onödigt. Så kan exempelvis vara fallet om uppgifter om en viss person hämtas från offentliga register, t.ex. adress- och telefonuppgifter. Framgår det att en uppgift har lämnats av en kustbevakningstjänsteman, krävs det normalt inte någon värdering av trovärdigheten, eftersom det följer av en kustbevakningstjänstemans tjänsteplikt att lämna korrekta uppgifter. Däremot ska en bedömning av riktigheten i sak alltid göras, eftersom en iakttagelse eller bedömning kan vara osäker oberoende av från vem den kommer. Det kan t.ex. vara fråga om en iakttagelse som har gjorts under ogynnsamma yttre omständigheter (regn, dimma, långt avstånd eller liknande) och som därför är osäker.

Författningskommentar Ds 2011:16

Sökning

4 §

Paragrafen reglerar användningen av känsliga personuppgifter som sökbegrepp. Frågan har behandlats i avsnitt 10.3.

I första stycket föreskrivs ett förbud mot att använda känsliga personuppgifter (dvs. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv) som sökbegrepp vid sökning i gemensamt tillgängliga uppgifter.

I andra stycket klargörs att förbudet inte hindrar att Kustbevakningen använder brottsrubriceringar eller uppgifter som beskriver en persons utseende som sökbegrepp. Uppgifter som beskriver en persons utseende, t.ex. uppgifter om längd, hudfärg eller tatueringar, får också användas som sökbegrepp, även om sådana uppgifter kan ge indikationer om personens etniska ursprung.

5 §

Paragrafen innehåller särskilda sökbegränsningar vid sökning i gemensamt tillgängliga uppgifter. Frågan har berörs i avsnitt 10.3.

Mot bakgrund av att de informationsmängder som kan göras gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet sammantaget kan bli betydande har det inte ansetts lämpligt att tillåta alla slag av sökningar i informationen. Visserligen innebär den nya lagen att namn alltid kan användas som sökbegrepp. En sökning på namn eller personnummer får emellertid inte innebära att all information om personen som behandlas i Kustbevakningens brottsbekämpande verksamhet blir tillgänglig. Endast sådan information som det finns ett generellt behov av i verksamheten får tas fram.

I paragrafens första stycke finns en uttömmande uppräkning av de kategorier av personuppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar.

Ds 2011:16 Författningskommentar

I punkten 1 anges att sådana uppgifter som anger att den sökte är anmäld för brott får tas fram. Att personen ”är anmäld” innebär att avförda brottsanmälningar faller utanför. Som framgår av 9 § finns det begränsningar i fråga om behandling av vissa anmälningar. Uppgifter om personen kan trots det vara tillgängliga om någon annan av punkterna är tillämplig, t.ex. punkten 2 eller 3.

Av punkten 2 framgår att uppgifter om att den sökte är eller tidigare har varit misstänkt för brott får tas fram. Det ska således framgå om brottsmisstanken fortfarande är aktuell eller om personen har avförts som misstänkt. Enligt punkten 3 får även sådana uppgifter tas fram som anger att den sökta personen är misstänkt för att utöva eller komma att utöva viss brottslig verksamhet. Vidare får, enligt punkterna 4–7 uppgifter tas fram som anger att den sökta personen har gjort en brottsanmälan, är målsägande eller förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande. Detsamma gäller en person som har gett in eller tillhandahållits en handling. Av punkten 8 följer att uppgifter som anger att den sökta personen är anmäld försvunnen får tas fram. För att Kustbevakningen ska kunna vidta erforderliga åtgärder inför och i samband med ett ingripande får även uppgifter som anger att den sökta personen har bedömts kunna komma att möta ett ingripande med grovt våld ingå i träffbilden. Detta regleras i punkten 9. Enligt punkten 10 får uppgifter om att den sökta personen är efterlyst tas fram. Det är fråga om sådana efterlysningar som sker med stöd av efterlysningskungörelsen (1996:293) eller lagen (2000:344) om Schengens informationssystem.

Vid sökning i gemensamt tillgängliga uppgifter får det alltså inte tas fram uppgifter av annat slag, t.ex. uppgifter från underrättelsearbete som visar att den sökte är släkt med målsäganden eller den misstänkte. Vid sökning på personnummer eller samordningsnummer gäller detsamma som för sökning av namn. Med namn avses även delar av namn och med personnummer och samordningsnummer även de sifferkombinationer som ingår i numren. Också sökning med hjälp av födelsedatum eller de sis-

Författningskommentar Ds 2011:16

ta fyra kontrollsiffrorna i ett personnummer omfattas av bestämmelsen. Bestämmelsen är avsedd att omfatta motsvarande nummer som används i andra länder även om de är uppbyggda på ett annat sätt.

Bestämmelsen ställer krav på viss anpassning av de tekniska system som används vid sökning. Vid sökning på ett visst namn, N.N., ska det inte komma upp andra uppgifter om N.N. än sådana som anges i paragrafen. Bestämmelsen är dock inte avsedd att förhindra att det vid en sådan sökning, som visar att N.N. är misstänkt för ett visst brott, också går att ta del av annan, i anslutning till brottsmisstanken angiven information. Vid en sökning på en person som visserligen förekommer i de gemensamt tillgängliga personuppgifterna men inte på något av de sätt som anges i 1–10 ska det däremot inte framkomma någon information vid en initial sökning.

Möjligheten att vid en sökning få fram vissa typer av personuppgifter kan behöva begränsas ytterligare. Sådana personuppgifter som avses i punkterna 2–3, t.ex. uppgifter i nedlagda förundersökningar, är typiskt sett av mera integritetskänslig karaktär. I andra stycket erinras därför om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela föreskrifter om ytterligare begränsningar av tillgången till sådana uppgifter. Att tillgången till personuppgifter i Kustbevakningens brottsbekämpande verksamhet generellt ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter framgår av 2 kap. 3 §.

6 §

Paragrafen innehåller två undantag från sökbegränsningsregeln i 5 §. Motiven till dessa undantag har behandlats i avsnitt 10.3.

Enligt första stycket första punkten gäller 5 § inte vid sökning som sker i en viss handling eller ett visst ärende. Det handlar här om sökning i så begränsade informationsmängder att några egentliga integritetsrisker inte kan anses föreligga.

Av första stycket andra punkten framgår att 5 § inte heller gäller vid sökning i uppgiftssamlingar som har skapats för att

Ds 2011:16 Författningskommentar

utreda vissa preciserade slag av brottslighet (t.ex. smuggling i visst geografiskt område) och som enbart de som arbetar i undersökningen har tillgång till. Uppgifter som ingår i sådana uppgiftssamlingar kan inte alltid anses vara gemensamt tillgängliga (se kommentaren till 1 kap. 4 §). Om så inte är fallet, är bestämmelserna i 4 kap. inte tillämpliga på dem.

I andra stycket finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter.

Av tredje stycket följer att regeringen har möjlighet att meddela föreskrifter om ytterligare undantag från sökbegränsningarna i 5 §.

Direktåtkomst

7 §

Paragrafen innehåller bestämmelser om direktåtkomst. Frågan om direktåtkomst har behandlats i avsnitt 11.3.

Den grundläggande innebörden av begreppet direktåtkomst är att någon har direkt tillgång till personuppgifter som finns t.ex. i register, databaser eller andra samlingar av uppgifter som behandlas automatiserat och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i uppgiftssamlingen. I begreppet direktåtkomst ligger också att den som är ansvarig för uppgiftssamlingen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. I första stycket anges att Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket får medges direktåtkomst till personuppgifter i Kustbevakningens brottsbekämpande verksamhet. Bestämmelsens utformning innebär inte att de i paragrafen angivna myndigheterna har en absolut rätt till direktåtkomst. Möjligheten att lämna ut vissa uppgifter genom direktåtkomst kan vara begränsad genom att uppgifterna är skyddade av sekretess. Något utlämnande genom direktåtkomst får normalt inte ske om utlämnandet förutsätter sekretessprövning. I och med att Kustbevakningen enligt 3 kap. 8 § åläggs en sekretessbrytande uppgiftsskyldighet i förhållande till andra brottsbekämpande myndigheter kan dock uppgif-

Författningskommentar Ds 2011:16

ter som omfattas av den bestämmelsen utlämnas genom direktåtkomst.

Av andra stycket framgår att om en myndighet har beviljats direktåtkomst till personuppgifter som behandlas enligt lagen, ansvarar den för att tillgången till uppgifterna inom den egna myndigheten begränsas. I Kustbevakningens verksamhet gäller samma krav på begränsning enligt 2 kap. 3 §, oavsett på vilket sätt man fått tillgång till uppgifterna. Andra myndigheter som har beviljats direktåtkomst ska dock iaktta kravet i förevarande paragraf. Myndigheten är alltså skyldig att se till att endast den som behöver en uppgift för att fullgöra sina arbetsuppgifter har möjlighet att få del av uppgiften.

I tredje stycket informeras om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om bl.a. begränsningar i direktåtkomsten och om behörighet och säkerhet. Med utgångspunkt i paragrafens bestämmelser och eventuella föreskrifter får varje myndighet avgöra om den kan medge en annan myndighet direktåtkomst.

Bevarande av personuppgifter i ärenden om utredning eller beivrande av brott

8 §