Ds 2011:27

Brottsbekämpande myndigheters tillgång till informationssystemet för viseringar (VIS)

1. Promemorians huvudsakliga innehåll

I promemorian föreslås de författningsändringar som krävs för genomförandet av rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott.

Genom rådsbeslutet öppnas en möjlighet för brottsbekämpande myndigheter att i vissa fall kunna få tillgång till uppgifter i VIS, som är en för medlemsstaterna gemensam databas för viseringar vilken administreras av Europeiska unionen.

Rådsbeslutets bestämmelser föreslås genomföras i lagen (2000:343) om internationellt polisiärt samarbete. Förslaget omfattar regler om bl.a. förutsättningarna för sökning i VIS och tilllåten behandling av VIS-uppgifter.

Promemorian innehåller även förslag till förordningsändringar, för att ge en mer heltäckande bild av hur rådsbeslutet bör genomföras.

2. Författningsförslag

2.1. Förslag till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete

Härigenom föreskrivs i fråga om lagen (2000:343) om internationellt polisiärt samarbete

dels att nuvarande 22 och 23 §§ ska betecknas 29 och 30 §§,

dels att 2 § och den nya 30 § ska ha följande lydelse,

dels att en ny rubrik ska införas närmast efter 28 § av följande lydelse,

dels att det i lagen ska införas sju nya paragrafer, 22–28 §§, samt närmast före 22 § en ny rubrik, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §

1

I denna lag avses med – utländska tjänstemän: utländska polismän och andra utländska tjänstemän som har anmälts vara behöriga att utföra sådant gränsöverskridande arbete som avses i artikel 40 och 41 i konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 (Schengenkonventionen),

förföljande tjänstemän: utländska tjänstemän som förföljer en person på svenskt territorium enligt denna lag,

1 Senaste lydelse 2011:904.

Författningsförslag Ds 2011:27

svenska tjänstemän: svenska polismän, tulltjänstemän eller kustbevakningstjänstemän när de enligt lag eller annan författning har polisiära befogenheter,

Öresundsförbindelsen: den fasta förbindelsen över Öresund som den definieras i artikel 2 i avtalet av den 6 oktober 1999 mellan Konungariket Sveriges regering och Konungariket Danmarks regering om polisiärt samarbete i Öresundsregionen,

Prümrådsbeslutet: rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, samt

referensuppgift: en sifferbeteckning och ett fingeravtryck, eller en sifferbeteckning och den icke kodifierade delen av en DNA-profil.

Prümrådsbeslutet: rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet,

referensuppgift: en sifferbeteckning och ett fingeravtryck, eller en sifferbeteckning och den icke kodifierade delen av en DNA-profil,

– VIS-rådsbeslutet: rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förebygga, upptäcka och utreda terroristbrott och andra grova brott, och

– VIS-uppgifter: uppgifter som finns i eller har inhämtats från informationssystemet för viseringar (VIS).

Ds 2011:27 Författningsförslag

Tillgång till VIS-uppgifter

22 §

Sökning i informationssystemet för viseringar (VIS) med stöd av VIS-rådsbeslutet får göras av den centrala åtkomstpunkten på begäran av en behörig myndighet.

Behörig myndighet är Rikspolisstyrelsen, en polismyndighet, Ekobrottsmyndigheten, när den bedriver polisverksamhet, Tullverket och Kustbevakningen.

23 §

En behörig myndighet får begära att sökning görs i informationssystemet för viseringar (VIS) om det i ett ärende finns särskilda skäl att anta att VISuppgifter väsentligen kan komma att bidra till att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott som anges i

1. 2 , 4 och 5 §§ lagen ( 2003:148 ) om straff för terroristbrott,

2. 3 6 §§ lagen ( 2010:299 ) om straff för offentlig uppmaning, rekrytering och utbildning avseende terroristbrott och annan allvarlig brottslighet,

3. 3 § lagen ( 2002:444 ) om

Författningsförslag Ds 2011:27

straff för finansiering av särskilt allvarlig brottslighet i vissa fall, eller

4. bilagan till lagen ( 2003:1156 ) om överlämnande från Sverige enligt en europeisk arresteringsorder, om det för brottet är föreskrivet en frihetsberövande påföljd i tre år eller mer.

Sökning får också begäras om det i ett ärende finns särskilda skäl att anta att VIS-uppgifter väsentligen kan komma att bidra till att utreda brott som anges i första stycket.

24 §

En behörig myndighet som vill få tillgång till VIS-uppgifter ska lämna in en motiverad begäran till den centrala åtkomstpunkten.

Den centrala åtkomstpunkten ansvarar för att kontrollera att förutsättningarna i 23 § är uppfyllda innan den gör en sökning.

Vid fara i dröjsmål får sökning göras omedelbart, utan den kontroll som anges i andra stycket, om en behörig myndighet begär det.

25 §

Vid sökning får endast föl-

Ds 2011:27 Författningsförslag

jande VIS-uppgifter i ansökningsakten användas som sökbegrepp:

1. nuvarande och tidigare efternamn, förnamn, kön, födelsedatum, födelseort och födelseland,

2. nuvarande medborgarskap och medborgarskap vid födseln,

3. resehandlingens typ och nummer, utfärdande myndighet, dag för utfärdande och sista giltighetsdag,

4. huvuddestination och den planerade vistelsens varaktighet,

5. syftet med resan,

6. planerad ankomst- och avresedag,

7. planerad gränsövergång för första inresa eller transiteringsväg,

8. bostad,

9. fingeravtryck, 10. typ av visering och viseringsmärkets nummer, och

11. den person som bjudit in eller åtagit sig att stå för sökandens levnadskostnader under vistelsen.

26 §

Om efterfrågade uppgifter påträffas vid en sökning med stöd av VIS-rådsbeslutet, får den behöriga myndigheten, utöver alla de uppgifter som anges

Författningsförslag Ds 2011:27

i 25 §, även ges tillgång till

1. andra uppgifter som hämtats från ansökningsakten,

2. fotografier, och

3. uppgifter om utfärdade, vägrade, återkallade eller förlängda viseringar.

27 §

Har en myndighet fått tillgång till VIS-uppgifter som är personuppgifter, får uppgifterna inte behandlas för något annat ändamål än att förebygga, förhindra, upptäcka, utreda och beivra det eller de brott som låg till grund för sökningen enligt 23 §.

28 §

Det är förbjudet att till ett tredjeland eller en internationell organisation överföra personuppgifter som har lagts in av en annan stat i informationssystemet för viseringar (VIS), eller att göra sådana uppgifter tillgängliga.

Vid fara i dröjsmål får dock personuppgifter föras över till eller göras tillgängliga för ett tredjeland eller en internationell organisation. Detta får endast göras

1. för att förebygga, förhindra och upptäcka sådana brott som anges i 23 § första stycket, och

Ds 2011:27 Författningsförslag

2. om de villkor i övrigt som anges i 23 § första stycket är uppfyllda, samt

3. om den stat som har registrerat viseringsuppgifterna samtycker till det.

Gemensamma bestämmelser för Prümrådsbeslutet och VIS-rådsbeslutet

30 §

1

Regeringen eller den myndighet som regeringen bestämmer meddelar ytterligare föreskrifter om samarbete enligt Prümrådsbeslutet när det gäller behandling av personuppgifter samt bistånd vid större evenemang, katastrofer och allvarliga olyckor.

Regeringen eller den myndighet som regeringen bestämmer meddelar ytterligare föreskrifter om

1. samarbete enligt Prümrådsbeslutet när det gäller behandling av personuppgifter samt bistånd vid större evenemang, katastrofer och allvarliga olyckor, och

2. tillgång till uppgifter enligt VIS-rådsbeslutet.

Denna lag träder i kraft den dag regeringen bestämmer.

1 Senaste lydelse av 23 § 2011:904.

Författningsförslag Ds 2011:27

2.2. Förslag till förordning om ändring i förordningen (2010:705) om internationellt polisiärt samarbete

Härigenom föreskrivs att det i förordningen (2010:705) om internationellt polisiärt samarbete ska införas ett nytt kapitel, 4 kap., av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

4 kap. Tillgång till uppgifter enligt VIS-rådsbeslutet

Allmänna bestämmelser

1 §

Endast särskilt angivna tjänstemän vid den centrala åtkomstpunkten får ha åtkomst till VIS-uppgifter.

2 §

Vid varje behörig myndighet ska det utses en eller flera driftsenheter som får begära tillgång till VIS-uppgifter enligt lagen ( 2000:343 ) om internationellt polisiärt samarbete.

3 §

Rikspolisstyrelsen ska löpande föra en förteckning över driftsenheterna vid de behöriga myndigheterna.

Ds 2011:27 Författningsförslag

4 §

Endast särskilt angivna tjänstemän vid driftsenheterna får enligt 2 § begära tillgång till VIS-uppgifter.

5 §

Rikspolisstyrelsen ska löpande föra en förteckning över de tjänstemän vid myndigheten som har sådan behörighet som anges i 1 och 4 §§.

Varje behörig myndighet ska löpande föra en förteckning över de tjänstemän vid myndigheten som har sådan behörighet som anges i 4 §.

Sökning

6 §

En begäran om sökning enligt 23 § lagen ( 2000:343 ) om internationellt polisiärt samarbete ska ges in i skrift eller elektroniskt.

Vid fara i dröjsmål får en begäran om sökning även framställas muntligen. Den centrala åtkomstpunkten ska dokumentera en sådan begäran.

Om en sökning har gjorts utan resultat, ska den centrala åtkomstpunkten informera berörd driftsenhet om det.

Författningsförslag Ds 2011:27

7 §

Den centrala åtkomstpunkten får, om det behövs, begära att driftsenheten kompletterar en begäran om sökning enligt 23 § lagen ( 2000:343 ) om internationellt polisiärt samarbete med ytterligare uppgifter.

8 §

Har en sökning gjorts enligt 24 § tredje stycket lagen ( 2000:343 ) om internationellt polisiärt samarbete, ska åtkomstpunkten genast därefter kontrollera att villkoren i 23 § och 24 § tredje stycket samma lag var uppfyllda.

Registrering

9 §

Den centrala åtkomstpunkten ska registrera följande vid behandling av VIS-uppgifter:

1. ändamålet med sökningen och typen av brott,

2. referensnummer,

3. datum och tidpunkt för åtkomsten,

4. om 24 § tredje stycket lagen ( 2000:343 ) om internationellt polisiärt samarbete tillämpades,

5. vilka sökbegrepp som användes för sökningen,

Ds 2011:27 Författningsförslag

6. vilken typ av uppgifter som användes för sökningen, och

7. vem som begärde sökningen och vem som utförde den.

10 §

Varje överföring eller tillgängliggörande enligt 28 § andra stycket lagen ( 2000:343 ) om internationellt polisiärt samarbete ska registreras av den myndighet som överför uppgifterna eller gör dem tillgängliga.

Enskilds rätt till information, rättelse och gallring

11 §

Uppgifter om en person, som en annan stat har lagt in i informationssystemet för viseringar (VIS), får inte lämnas ut till honom eller henne innan den andra staten har beretts tillfälle att ange sin inställning till utlämnandet.

12 §

Om någon hos en behörig myndighet begär att oriktiga VIS-uppgifter om honom eller henne ska rättas eller att olagligt lagrade uppgifter ska gallras, eller om en behörig myndighet på annat sätt får vetskap om att

Författningsförslag Ds 2011:27

sådana uppgifter är oriktiga, ska myndigheten meddela viseringsmyndigheten i den stat som har lagt in uppgifterna.

13 §

Den som har begärt en åtgärd enligt 12 § ska inom två månader informeras om vilka åtgärder som har vidtagits med anledning av begäran och inom tre månader informeras om vad denna har resulterat i.

14 §

Om en svensk behörig myndighet får en begäran från en myndighet i en annan stat om att oriktiga VIS-uppgifter ska rättas, eller att olagligt lagrade uppgifter ska gallras, ska begäran utan dröjsmål lämnas till den svenska viseringsmyndighet som har lagt in uppgifterna.

Gallring

15 §

VIS-uppgifter som har lagts in av en viseringsmyndighet i en annan stat ska gallras när uppgifterna inte längre behövs för det ändamål enligt 23 § lagen ( 2000:343 ) om internationellt polisiärt samarbete som föran-

Ds 2011:27 Författningsförslag

ledde sökningen.

16 §

Om det vid en kontroll enligt 8 § framgår att förutsättningarna för en sökning inte var uppfyllda, ska den centrala åtkomstpunkten underrätta den behöriga myndigheten. VISuppgifterna ska då genast gallras.

Ytterligare föreskrifter

17 §

Rikspolisstyrelsen får, efter samråd med Tullverket och Kustbevakningen, meddela närmare föreskrifter om förfarandet i samband med sökning i VIS enligt VIS-rådsbeslutet.

Denna förordning träder i kraft den dag regeringen bestämmer.

Författningsförslag Ds 2011:27

2.3. Förslag till förordning om ändring i förordningen (1989:773) med instruktion för Rikspolisstyrelsen

Härigenom föreskrivs att 2 § förordningen (1989:773) med instruktion för Rikspolisstyrelsen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §

1

Utöver vad som följer av polislagen (1984:387), polisförordningen (1998:1558), polisutbildningsförordningen (1999:740) eller av andra föreskrifter ska Rikspolisstyrelsen särskilt

1. verka för ett förtroendefullt förhållande mellan Polisen och allmänheten,

2. utveckla och precisera de mål och riktlinjer som riksdagen och regeringen lägger fast för polisverksamheten samt förmedla detta till polisorganisationen,

3. utarbeta planer för Polisens beredskapsplanläggning,

4. föra centrala polisregister, och

5. organisera en nationell insatsstyrka med huvuduppgift att bekämpa terroraktioner i landet.

Rikspolisstyrelsen ska även

1. upprätthålla funktionen att vara

a) nationell enhet för den internationella kriminalpolisorganisationen (Interpol) och för den europeiska polisbyrån (Europol),

b) nationell kontaktpunkt för Schengens informationssystem (SIS) genom Sirenekontoret och ansvarig för den nationella delen av SIS,

c) sådan centralbyrå när det gäller penningförfalskning som föreskrivs i den internationella konventionen för bekämpande av penningförfalskning av den 20 april 1929 (SÖ 2001:6),

1 Senaste lydelse 2011:572.

Ds 2011:27 Författningsförslag

d) kontaktpunkt i brådskande fall för framställningar enligt rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater,

e) nationellt kontor för återvinning av tillgångar enligt rådets beslut 2007/845/RIF av den 6 december 2007 om samarbete mellan medlemsstaternas kontor för återvinning av tillgångar när det gäller att spåra och identifiera vinning eller annan egendom som härrör från brott,

f) nationell kontaktpunkt för den europeiska byrån för förvaltningen av det operativa samarbetet vid Europeiska unionens yttre gränser (Frontex),

g) nationellt kontaktställe för förmedling av uppgifter enligt artikel 15 i rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, och

g) nationellt kontaktställe för förmedling av uppgifter enligt artikel 15 i rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet,

h) nationell kontaktpunkt enligt Förenta nationernas resolution 55/255, antagen den 31 maj 2001 av generalförsamlingen, tilläggsprotokoll mot olaglig tillverkning av och handel med skjutvapen, deras delar och komponenter och ammunition till Förenta nationernas konvention mot gränsöverskridande organiserad brottslighet,

h) nationell kontaktpunkt enligt Förenta nationernas resolution 55/255, antagen den 31 maj 2001 av generalförsamlingen, tilläggsprotokoll mot olaglig tillverkning av och handel med skjutvapen, deras delar och komponenter och ammunition till Förenta nationernas konvention mot gränsöverskridande organiserad brottslighet, och

i) central åtkomstpunkt enligt artikel 3.3 i rådets beslut

Författningsförslag Ds 2011:27

2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott,

2. organisera en styrka inom Polisen för tjänstgöring utomlands i fredsfrämjande verksamhet (Polisens utlandsstyrka) i samarbete med Försvarsmakten och andra berörda myndigheter,

3. upprätthålla de förbindelser som behövs med utländska brottsbekämpande myndigheter, utländska gränskontrollmyndigheter och internationella organ,

4. i samråd med den nationella OPC-koordinatorn delta i arbetet i den operativa kommittén (OPC), som är en del av Aktionsgruppen mot organiserad brottslighet i Östersjöområdet,

5. biträda Regeringskansliet i det internationella arbetet på polisområdet,

6. svara för organisation och samordning av verksamhet för eftersök av trafikskadat vilt, och

7. ta emot och vidarebefordra framställningar från enskilda om rätt till information m.m. om Europols personuppgiftsbehandling enligt artikel 30 i rådets beslut av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol).

Rikspolisstyrelsen får ingå överenskommelse om samarbete med en utländsk brottsbekämpande myndighet eller utländsk gränskontrollmyndighet i länder som är medlemmar i Europeiska unionen eller som har slutit avtal enligt konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 om samarbete med konventionsländerna. Detta gäller dock inte om överenskommelsen kräver riksdagens eller Utrikesnämndens medverkan. Innan en sådan överenskommelse ingås ska Regeringskansliet (Justitiedepartementet) underrättas.

Ds 2011:27 Författningsförslag

Denna förordning träder i kraft den dag regeringen bestämmer.

Författningsförslag Ds 2011:27

2.4. Förslag till förordning om ändring i förordningen (2007:975) med instruktion för Datainspektionen

Härmed föreskrivs att 4 § förordningen (2007:975) med instruktion för Datainspektionen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

4 §

1

Myndigheten är nationell tillsynsmyndighet enligt – artikel 114 i konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 (Schengenkonventionen),

– artikel 24 i rådets beslut 2009/917/RIF av den 30 november 2009 om användning av informationsteknik för tulländamål (TIS-rådsbeslutet),

– artikel 33 i rådets beslut av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), och

– artikel 33 i rådets beslut av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol),

– artikel 30.5 i rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet.

– artikel 30.5 i rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, och

– artikel 8.5 i rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att

1 Senaste lydelse 2011:412.

Ds 2011:27 Författningsförslag

förhindra, upptäcka och utreda terroristbrott och andra grova brott.

Denna förordning träder i kraft den dag som regeringen bestämmer.

3. Inledning

3.1. Bakgrunden till rådsbeslutet

Den 8 juni 2004 beslutade den europeiska kommissionens råd att inrätta ett datasystem för utbyte av viseringsuppgifter mellan medlemsstaterna. Rådets beslut 2004/512/EG om inrättande av informationssystem för viseringar (VIS)1 ledde till beslut om att VIS ska inrättas. Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen),2 har senare antagits. Informationssystemet har ännu inte satts i operativ drift, men man är nu nära den punkten.

Efter bombdåden i Madrid år 2004 och London år 2005 intensifierades arbetet inom Europeiska unionen (EU) med att finna effektiva metoder för att bekämpa terrorism. I slutsatser som rådet antog i mars 2005 angavs att det skulle förbättra den inre säkerheten och kampen mot terrorism om myndigheter med ansvar för inre säkerhet gavs tillgång till VIS för att ”förhindra och upptäcka straffbara gärningar och utreda sådana, inbegripet terroristdåd eller terroristhot”.

Kommissionen presenterade i november 2005 ett förslag till rådsbeslut om brottsbekämpande myndigheters och Europols tillgång till VIS i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. Den 23 juni 2008 antogs rådets beslut 2008/633/RIF om åtkomst till informationssystemet för

1 EUT L 213, 15.6.2004, s. 5. 2 EUT L 218, 13.8.2008, s. 60.

Inledning Ds 2011:27

viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott,3 i fortsättningen kallat rådsbeslutet.

Enligt rådsbeslutet ska dels särskilt utsedda brottsbekämpande myndigheter i medlemsstaterna, dels Europol under vissa förutsättningar ges tillgång till uppgifter i VIS i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. Reglerna för när sökningar får göras i VIS är restriktiva och uppgifter får endast lämnas ut under vissa speciella förutsättningar.

Regeringen har i propositionen Godkännande av rådets beslut om åtkomst till informationssystemet för viseringar (VIS) i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott (prop. 2007/08:132) på ett övergripande plan redovisat vilka lagändringar som kan bli nödvändiga med anledning av rådsbeslutet. Riksdagen godkände utkastet till rådsbeslut (bet. 2007/08:JuU27, rskr. 2007/08:250), som därefter har antagits av rådet.

Enligt artikel 3 i rådsbeslutet ska medlemsstaterna utse de myndigheter som ska kunna få åtkomst till VIS-uppgifter i enlighet med rådets beslut. Vidare ska varje medlemsstat utse en central åtkomstpunkt eller centrala åtkomstpunkter genom vilken eller vilka åtkomsten ska ske. Utsedda myndigheter definieras i artikel 2.1e som myndigheter som är ansvariga för att förebygga, upptäcka eller utreda terroristbrott eller andra grova brott och som utsetts av medlemsstaterna i enlighet med artikel 3.

Regeringen beslutade den 4 december 2008 att i en förklaring till kommissionen och rådets generalsekretariat anmäla att Rikspolisstyrelsen (inklusive Säkerhetspolisen), polismyndigheterna, Ekobrottsmyndigheten (när den bedriver polisverksamhet), Tullverket och Kustbevakningen ska kunna få åtkomst till VISuppgifter samt att anmäla att Rikspolisstyrelsen ska vara central åtkomstpunkt.

3 EUT L 218, 13.8.2008, s. 129.

Ds 2011:27

Inledning

3.2. Regleringen avseende VIS

Som ovan nämns regleras inrättandet av VIS i VIS-förordningen. Förordningen innehåller bestämmelser om bl.a. ändamålet, funktionen och ansvarsfördelningen för VIS. Förordningen beskrivs närmare i avsnitt 4.3.

Departementspromemorian Författningsändringar med anledning av VIS-förordningen (Ds 2009:5) innehåller förslag till de författningsändringar som behövs med anledning av VIS-förordningen. Promemorian har remissbehandlats. Förslagen bereds för närvarande inom Regeringskansliet.

4. Schengensamarbetet beträffande visering

4.1. Allmänt om Schengensamarbetet

För att förstå bakgrunden till det nu aktuella rådsbeslutet är det nödvändigt att kort redovisa vad informationssystemet VIS innehåller och vilket syfte det fyller. Inledningsvis krävs en kort bakgrund till Schengensamarbetet.

Den fria rörligheten för personer, varor, tjänster och kapital utgör grundstenarna i EU:s regelverk för den inre marknaden. Den fria rörligheten för personer har i huvudsak förverkligats för den gemensamma arbetsmarknaden med fri etableringsrätt och erkännande av utbildningar m.m.

I syfte att påskynda förverkligandet av den fria rörligheten för personer ingick Frankrike, Tyskland och Beneluxstaterna år 1985 ett avtal om att successivt avveckla personkontrollerna vid de gemensamma gränserna och att utveckla det polisiära och rättsliga samarbetet mellan staterna. Avtalet, som är ett separat mellanstatligt avtal utanför EU, ingicks i gränsstaden Schengen i Luxemburg och benämns Schengenavtalet.

År 1990 undertecknades tillämpningskonventionen till Schengenavtalet med bestämmelser om dels praktiska åtgärder för att genomföra avvecklingen av gränskontrollerna vid de inre gränserna, dels övriga samarbetsåtgärder. Det är denna tillämpningskonvention (Schengenkonventionen) som innehåller de viktigaste reglerna för samarbetet. Numera deltar flertalet av EU:s medlemsstater i Schengensamarbetet. Vissa stater utanför

Schengensamarbetet beträffande visering Ds 2011:27

EU deltar också i Schengensamarbetet genom särskilda associeringsavtal (Norge, Island och Schweiz).1

EU:s regelverk har delvis tagit över Schengenkonventionens bestämmelser. I samband med Amsterdamfördragets ikraftträdande den 1 maj 1999 införlivades Schengenregelverket med EGrätten. Det innebär att samarbetet numera äger rum i den vanliga EU-strukturen, dvs. under medverkan av EU:s institutioner enligt de regler som gäller enligt fördragen. Schengenstaterna har alltså fortsatt sitt samarbete på de områden som Schengenregelverket omfattar i form av ett närmare samarbete inom EU:s institutionella och rättsliga ramar. Detta har skett i enlighet med bestämmelserna i det s.k. Schengenprotokollet som finns fogat till Amsterdamfördraget (se prop. 1997/98:58 s. 129 f.).

Schengensamarbetet har två syften. Det ska dels främja den fria rörligheten för personer, dels stärka åtgärderna mot internationell kriminalitet och olaglig invandring. Den fria rörligheten ska främjas genom att personkontroller vid nationsgränserna mellan Schengenstaterna upphör för alla som lagligen vistas i Schengenområdet. För att den fria rörligheten för personer inte ska leda till ökad internationell brottslighet och olaglig invandring innefattar Schengensamarbetet ett antal olika kompensatoriska åtgärder i form av bl.a. yttre gränskontroll, polisiärt och rättsligt samarbete samt en gemensam viseringspolitik.

4.2. Viseringsskyldighet

Vilka tredjelandsmedborgare som är viseringsskyldiga regleras i rådets förordning (EG) nr 539/2001 av den 15 mars 2001 om fastställande av förteckningen över tredje länder vars medborgare är skyldiga att inneha visering när de passerar de yttre gränserna

1 Detsamma gäller Liechtenstein men Liechtensteins associering har ännu inte genomförts i svensk lagstiftning, se prop. 2010/11:159.

Ds 2011:27 Schengensamarbetet beträffande visering

och förteckningen över de tredje länder vars medborgare är undantagna från detta krav.2

Bestämmelser som rör viseringar finns också bl.a. i rådets förordning (EG) nr 1683/95 av den 29 maj 1995 om en enhetlig utformning av viseringshandlingar3 och Europaparlamentets och rådets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer (kodex om Schengengränserna).4

Europaparlamentets och rådets förordning (EG) nr 810/2009 om införande av en gemenskapskodex om viseringar (viseringskodex) trädde i kraft den 5 oktober 2009.5 Viseringskodexen reglerar handläggningen av viseringar för vistelser som inte är avsedda att vara längre än tre månader under en sexmånadersperiod. Viseringskodexen är direkt tillämplig i Sverige.

4.3. VIS-förordningen

4.3.1. Bakgrund

VIS är avsett att bli ett gemensamt informationssystem för viseringar inom EU. Det centrala systemet ska ligga i Strasbourg i Frankrike. Det ska vara anslutet till de nationella systemen i varje medlemsstat via s.k. nationella gränssnitt.

VIS-förordningen trädde i kraft den 2 september 2008. Enligt artikel 51 i förordningen ska kommissionen besluta när datasystemet ska tas i drift. Förordningen ska tillämpas från och med den dagen. Det planerade datumet för driftsstart är den 11 oktober 2011.

Enligt förordningen ska VIS ha till syfte att förbättra genomförandet av den gemensamma viseringspolitiken, det kon-

2 EUT L 81, 21.3.2001, s. 1. Förordningen senast ändrad genom förordning (EG) nr 1932/2006, EUT L 405, 30.12.2006, s. 23. 3 EUT L 164, 14.7.1995, s. 1. Förordningen senast ändrad genom förordning (EG) nr 856/2008, EUT L 235, 2.9.2008, s. 1. 4 EUT L 105, 13.4.2006 s.1. 5 EUT L 243, 15.9.2009, s. 1.

Schengensamarbetet beträffande visering Ds 2011:27

sulära samarbetet och samrådet mellan medlemsstaternas centrala viseringsmyndigheter genom att underlätta utbytet av viseringsuppgifter mellan medlemsstaterna. Ett förenklat utbyte av uppgifter ska bl.a. underlätta hanteringen av viseringsansökningar, gränskontroller och inre utlänningskontroll men också bidra till att förebygga hot mot medlemsstaternas inre säkerhet. Förordningen innehåller en s.k. broklausul som reglerar brottsbekämpande myndigheters och Europols tillgång till uppgifter i VIS för att förhindra, upptäcka eller utreda terroristbrott och andra grova brott och som utgör grunden för rådsbeslutet. I VIS-förordningen finns också närmare bestämmelser om viseringsmyndigheternas registrering och användning av uppgifter i VIS, andra myndigheters åtkomst till dessa uppgifter samt om lagring och ändring av uppgifterna. Förordningen reglerar även drift och ansvar för informationssystemet samt rättigheter och skyldigheter med avseende på skyddet för personuppgifter.

4.3.2. Allmänna bestämmelser

I artikel 1 anges syftet med VIS och dess tillämpningsområde. I förordningen fastställs villkor och förfaranden för utbyte mellan medlemsstaterna av uppgifter om ansökningar om viseringar för kortare vistelse och beslut som har fattats om dessa ansökningar. Syftet är att underlätta prövningen av sådana ansökningar och beslut om dessa.

I artikel 2 anges de övergripande målen med VIS. Avsikten är att VIS ska förbättra genomförandet av den gemensamma viseringspolitiken, det konsulära samarbetet och samrådet mellan centrala viseringsmyndigheter genom att underlätta utbytet av uppgifter mellan medlemsstaterna om viseringsansökningar och de beslut som fattas med anledning av dessa ansökningar.

I artikel 3 finns den tidigare nämnda broklausulen, som reglerar brottsbekämpande myndigheters och Europols tillgång till uppgifter från VIS för att förhindra, upptäcka eller utreda terroristbrott och andra grova brott. Av artikeln framgår att med-

Ds 2011:27 Schengensamarbetet beträffande visering

lemsstaternas utsedda myndigheter under vissa förutsättningar får ges tillgång till uppgifter som viseringsmyndigheterna har registrerat i VIS. Av skäl 13 till VIS-förordningen framgår att förordningen bör kompletteras med ett separat rättsligt instrument om åtkomst till sökning i VIS för brottsbekämpande myndigheter.

Artikel 4 innehåller vissa definitioner. I artikel 5 föreskrivs vilka uppgiftskategorier som ska registreras i VIS. Det rör sig om alfanumeriska uppgifter om den sökande och om begärda, utfärdade, vägrade, ogiltigförklarade, återkallade eller förlängda viseringar. Även fotografier, fingeravtryck och länkar till andra ansökningar ska registreras.

I artikel 6 föreskrivs vilka som får ha åtkomst till VIS för att föra in, ändra, radera och inhämta uppgifter. Enbart personal vid viseringsmyndigheterna får ha åtkomst till VIS för att föra in, ändra eller radera uppgifter. Åtkomst till VIS för att inhämta uppgifter ska förbehållas personal vid de myndigheter som är behöriga beträffande vissa i förordningen angivna ändamål. Ändamål för vilka sökning får göras är prövning av viseringsansökningar, samråd och framställningar om handlingar mellan centrala viseringsmyndigheter, rapportering och statistik. Vidare får sökning göras för kontroll av viseringar, viseringsinnehavarens identitet och om villkoren för inresa till, vistelse eller bosättning inom medlemsstaternas territorium är uppfyllda. Andra tillåtna ändamål är prövning av asylansökningar och fastställande av vem som ansvarar för att pröva en asylansökan. Uppgifterna i VIS ska dock behövas för att utföra uppgifterna i enlighet med ändamålen och stå i proportion till de åsyftade målen. Varje medlemsstat ska utse de behöriga myndigheter vilkas personal ska ha befogenhet att föra in, ändra, radera eller inhämta uppgifter i VIS och översända en förteckning till kommissionen över dessa myndigheter och i vilket syfte varje myndighet får behandla uppgifterna.

I artikel 7 anges två allmänna principer för användning av VIS; en proportionalitetsprincip och ett förbud mot diskriminering. Användningen av VIS ska vara nödvändig, lämplig och stå i pro-

Schengensamarbetet beträffande visering Ds 2011:27

portion till utförandet av arbetsuppgifterna. Vidare får sökande och viseringsinnehavare inte diskrimineras på grund av kön, ras, etniskt ursprung, religiös övertygelse, funktionshinder, ålder eller sexuell läggning. Deras mänskliga värdighet och integritet ska också respekteras.

4.3.3. Viseringsmyndigheternas registrering och användning av uppgifterna i VIS

Artiklarna 8–14 innehåller föreskrifter om viseringsmyndigheternas registrering av uppgifter. Enligt artikel 8 ska viseringsmyndigheten, vid mottagandet av en viseringsansökan, utan dröjsmål upprätta en ansökningsakt genom att i VIS föra in de uppgifter som ska registreras vid en visumansökan. I samband med att ansökningsakten upprättas ska viseringsmyndigheten kontrollera i VIS huruvida någon tidigare ansökan från sökanden har registrerats i VIS av någon av medlemsstaterna. Detta görs genom sökning på personens fingeravtryck. Om det finns en tidigare ansökan registrerad, ska viseringsmyndigheten länka varje ny ansökningsakt till den tidigare akten för sökanden. Om sökanden reser i grupp eller tillsammans med sin maka eller make och/eller sina barn ska viseringsmyndigheten upprätta en ansökningsakt för var och en av dessa och länka ansökningsakterna till varandra.

Artikel 9 innehåller föreskrifter om vilka uppgifter som ska registreras vid ansökan. Viseringsmyndigheten ska registrera dels uppgifter om sökanden (bl.a. namn, medborgarskap resehandlingens typ och nummer samt ort och datum för ansökan), dels uppgifter om den person som har bjudit in sökanden eller som har åtagit sig att stå för hans eller hennes levnadsomkostnader under vistelsen. Vidare ska vissa uppgifter om resan registreras, bl.a. huvuddestination, resans varaktighet, syftet med resan, planerad ankomst- och avresedag och planerad gränsövergång för första inresa eller transitväg. Slutligen ska ett fotografi av sökanden samt sökandens fingeravtryck registreras.

Ds 2011:27 Schengensamarbetet beträffande visering

Artiklarna 10–14 behandlar vilka kompletterande uppgifter som ska registreras i olika situationer. Det rör sig om uppgifter om utfärdade viseringar (artikel 10), om prövningen av ansökan avbryts (artikel 11), avslag på ansökan (artikel 12), om visering upphävs eller återkallas eller giltighetstiden förkortas (artikel 13) och förlängning av visering (artikel 14).

Artiklarna 15–17 innehåller bestämmelser om hur viseringsmyndigheterna ska använda uppgifterna i VIS vid prövning av visumansökningar. Enligt artikel 15 ska viseringsmyndigheterna använda uppgifterna i VIS för att pröva visumansökningar. Uppgifterna i VIS ska vidare enligt artikel 16 användas för samråd och framställningar om handlingar mellan centrala viseringsmyndigheter. Denna samrådsmekanism ska enligt artikel 46 ersätta Schengens rådfrågningssystem. Viseringsmyndigheterna ska också enligt artikel 17 ha åtkomst till vissa uppgifter för rapportering och statistik.

4.3.4. Andra myndigheters åtkomst till uppgifterna i VIS

Artiklarna 18–22 innehåller bestämmelser om hur vissa andra myndigheter än viseringsmyndigheterna får använda uppgifter i VIS.

De myndigheter som ansvarar för kontrollen vid de yttre gränserna och för kontroll inom medlemsstaternas territorium av om villkoren för inresa till, vistelse eller bosättning inom medlemsstaternas territorium är uppfyllda, ska enligt artiklarna 18–20 kunna göra sökningar för att kunna kontrollera en persons identitet, om viseringen är äkta och om villkoren för inresa, vistelse eller bosättning är uppfyllda. Vid denna kontroll ska myndigheten kunna göra sökningar på viseringsmärkets nummer i kombination med verifiering av viseringsinnehavarens fingeravtryck. Sådan kontroll får dock endast göras för att kontrollera viseringsinnehavarens identitet, viseringens äkthet och om villkoren för inresa till medlemsstaternas territorium är uppfyllda. Under en period av högst tre år efter det att VIS har tagits i drift

Schengensamarbetet beträffande visering Ds 2011:27

får sökning göras på grundval av enbart viseringsmärkets nummer. Denna treårsperiod kan dock komma att begränsas när det gäller luftgränser. För viseringsinnehavare vilkas fingeravtryck inte kan användas ska sökningen göras på enbart viseringsmärkets nummer.

Om en sökning på viseringsmärkets nummer i kombination med verifiering av viseringsinnehavarens fingeravtryck visar att det finns uppgifter om viseringsinnehavaren i VIS, ska gränskontrollmyndigheten kunna inhämta även andra uppgifter i ansökningsakten samt länkade ansökningsakter, bl.a. fotografier. Dessa får dock endast användas för att kontrollera viseringsinnehavarens identitet, viseringens äkthet och om villkoren för inresa till medlemsstaternas territorium enligt artikel 5 i kodexen om Schengengränserna är uppfyllda.

I artikel 21 behandlas asylmyndigheters användning av uppgifter i VIS för att fastställa vilken medlemsstat som ansvarar för prövningen av en asylansökan. Dessa myndigheter ska dessutom enligt artikel 22 ha rätt att använda uppgifter i VIS för att pröva en asylansökan. I bestämmelserna preciseras under vilka förutsättningar olika slags uppgifter får användas.

4.3.5. Lagring och ändring av uppgifter

I artiklarna 23–25 behandlas lagring respektive ändring och radering av uppgifter. Varje ansökningsakt ska enligt artikel 23 som huvudregel lagras i VIS i fem år. Lagringsperioden börjar löpa vid olika tidpunkter beroende på om visering har utfärdats, förlängts eller dragits tillbaka, om förfarandet har lagts ner eller avbrutits eller om visering har avslagits, ogiltigförklarats, förkortats eller återkallats.

När en visering har utfärdats börjar lagringsperioden löpa samma dag som viseringen upphör att gälla. Efter utgången av lagringsperioden ska VIS automatiskt radera ansökningsakten och länkarna till denna.

Ds 2011:27 Schengensamarbetet beträffande visering

Endast den medlemsstat som översänt uppgifterna till VIS har enligt artikel 24 rätt att ändra eller radera uppgifterna. Om en medlemsstat anser sig ha stöd för att uppgifter som behandlas i VIS är oriktiga eller att uppgifter har behandlats i VIS i strid med VIS-förordningen, ska den omedelbart meddela den ansvariga medlemsstaten. Den ansvariga medlemsstaten ska sedan kontrollera de berörda uppgifterna och – om det krävs – omedelbart rätta eller radera dem.

Om en sökande har blivit medborgare i någon av medlemsstaterna före utgången av lagringsperioden, ska enligt artikel 25 den medlemsstat som upprättade ansökningsakten och de länkade uppgifterna omedelbart radera akter och länkar i VIS. Den medlemsstat i vilken en sökande har erhållit medborgarskap ska utan dröjsmål informera den eller de ansvariga medlemsstaterna. Om avslag på en viseringsansökan har upphävts av en domstol eller överklagandeinstans ska den medlemsstat som avslog ansökan – så snart beslutet har vunnit laga kraft – radera de uppgifter som lagts in i VIS med anledning av avslaget.

4.3.6. Övriga bestämmelser

Artiklarna 26–36 behandlar olika frågor som är kopplade till driften och ansvaret för VIS. Det finns bestämmelser om den operativa förvaltningen (artikel 26), var det centrala datasystemet och dess reservsystem ska finnas (artikel 27) och förhållandet mellan det centrala och de nationella systemen (artikel 28). Det finns också bestämmelser om ansvaret för användningen av uppgifter från VIS (artikel 29), lagring av uppgifter som härrör från VIS i nationella informationssystem (artikel 30), överföring av VIS-uppgifter till tredjeland och internationella organisationer (artikel 31), datasäkerhet (artikel 32), skyldighet att registrera vissa uppgifter (artikel 34) och egenkontroll (artikel 35). Det finns även föreskrifter om skadestånd (artikel 33) och sanktioner (artikel 36).

Schengensamarbetet beträffande visering Ds 2011:27

Artiklarna 37–44 reglerar enskildas rättigheter och kontroll över personuppgiftsbehandlingen. Det finns bestämmelser om enskildas rätt till information (artikel 37), enskildas rätt till åtkomst, rättelse och radering (artikel 38) och rättsmedel (artikel 40). Medlemsstaternas samarbete för att säkerställa rätten till åtkomst, rättelse och radering regleras också (artikel 39). Detsamma gäller den nationella tillsynsmyndighetens och Europeiska datatillsynsmannens tillsyn (artiklarna 41 och 42) och samarbetet dem emellan (artikel 43).

Artiklarna 45–51 innehåller slutbestämmelser. Här finns bl.a. bestämmelser om genomförandet (artiklarna 45, 46 och 47) och driftsstart (artikel 48).

Av artikel 51 framgår slutligen att VIS-förordningen träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning. VIS-förordningen ska börjas tillämpas från och med den dag då VIS tas i drift. Artikeln innehåller också vissa övergångsbestämmelser.

5. Innehållet i rådsbeslutet

5.1. Inledning

I detta avsnitt beskrivs översiktligt bestämmelserna i rådsbeslutet. Rådsbeslutet fastställer de villkor som ska gälla för att utsedda brottsbekämpande myndigheter och Europol ska få tillgång till uppgifter i VIS i syfte att förebygga, upptäcka och utreda terroristbrott och andra grova brott. Syftet med flertalet av bestämmelserna kan sägas vara att utesluta att rutinmässiga sökningar görs och att skydda inhämtade uppgifter från missbruk (skäl 6–8). Rådsbeslutet innehåller bestämmelser om vilka myndigheter som får inhämta uppgifter från VIS, hur sökningar i VIS ska gå till, under vilka förutsättningar sökningar får ske, hur inhämtade uppgifter får användas och hur länge de får sparas. Rådsbeslutet innehåller vidare bestämmelser om skadestånd och sanktioner vid felaktig behandling av personuppgifter, bestämmelser om enskildas rätt till insyn och rättelse samt bestämmelser om övervakning och kontroll.

Rådsbeslutet är tillämpligt i de medlemsstater som deltar i Schengensamarbetet, se avsnitt 4.1. Vad som sägs i det följande om medlemsstater omfattar även de stater som genom associationsavtal ingår i Schengensamarbetet.

Rådsbeslutet i svensk översättning fogas till denna promemoria som bilaga 1.

Innehållet i rådsbeslutet Ds 2011:27

5.2. Uppgifter får inhämtas endast för att bekämpa allvarlig brottslighet

Enligt rådsbeslutet får endast särskilt utsedda myndigheter ha tillgång till uppgifter i VIS i syfte att bekämpa terroristbrott och andra grova brott (artikel 1). Artikel 2 innehåller definitioner. Terroristbrott definieras i artikel 2.1c som brott enligt nationell rätt som motsvarar eller är likvärdiga med brott enligt artiklarna 1–4 i rådets rambeslut 2002/475/RIF av den 13 juni 2002 om bekämpande av terrorism.1 Grova brott definieras i artikel 2.1d som former av brottslighet som motsvarar eller är likvärdiga med de brottstyper som avses i artikel 2.2 i rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna.2 Vidare klargörs i artikel 2.2 att de definitioner som förekommer i VIS-förordningen även är tillämpliga på VIS-rådsbeslutet.

5.3. Vilka som kan få tillgång till uppgifter i VIS

I artikel 3 anges vilka myndigheter som ska kunna få tillgång till uppgifter i VIS. Varje medlemsstat ska utse de nationella brottsbekämpande myndigheter som ska ha tillgång till VIS (i rådsbeslutet benämnda utsedda myndigheter). Utsedda myndigheter definieras i artikel 2.1e som myndigheter som är ansvariga för att förebygga, upptäcka eller utreda terroristbrott eller andra grova brott och som har utsetts av medlemsstaterna i enlighet med artikel 3. Vidare ska varje medlemsstat utse en central åtkomstpunkt eller centrala åtkomstpunkter genom vilken eller vilka åtkomsten ska ske. Varje medlemsstat ska föra en förteckning över de driftsenheter inom de utsedda myndigheterna som ska ha åtkomst till VIS genom de centrala åtkomstpunkterna. Medlemsstaterna ska också se till att det endast är särskilt utsedd personal

1 EUT L 164, 22.6.2002, s. 3. 2 EUT L 190, 18.7.2008, s. 1.

Ds 2011:27 Innehållet i rådsbeslutet

vid dessa driftsenheter och de centrala åtkomstpunkterna som har direkt eller indirekt tillgång till VIS.

Regeringen beslutade den 4 december 2008 att i enlighet med artikel 3.2 och 3.3 i en förklaring till kommissionen och rådets generalsekretariat anmäla att Rikspolisstyrelsen (inklusive Säkerhetspolisen), polismyndigheterna, Ekobrottsmyndigheten (när den bedriver polisverksamhet), Tullverket och Kustbevakningen ska kunna få åtkomst till VIS-uppgifter. Samtidigt anmäldes att Rikspolisstyrelsen ska vara central åtkomstpunkt.

5.4. Tillgången till uppgifter i VIS

I artikel 5 anges de villkor som ska vara uppfyllda för att en behörig myndighet ska få tillgång till uppgifter i VIS. Följande villkor ställs upp:

1. sökningarna ska vara nödvändiga för att förebygga, upptäcka eller utreda terroristbrott eller andra grova brott,

2. sökningarna ska vara nödvändiga i ett specifikt ärende, och

3. det ska finnas rimliga skäl att anse att inhämtandet av VISuppgifter väsentligen kommer att bidra till att brotten i fråga förebyggs, upptäcks eller utreds.

Vad den centrala åtkomstpunkten ska kontrollera innan den behandlar en begäran från en utsedd myndighet är alltså att villkoren i rådsbeslutet är uppfyllda. Rådsbeslutet innehåller inte någon definition av begreppet specifikt ärende. Artikeln föreskriver att sökningar i VIS endast får ske på särskilt angivna uppgifter i ansökningsakten. Vidare regleras vilka uppgifter som ska lämnas ut om det uppstår en träff vid sökningen.

Av artikel 6 framgår under vilka förutsättningar som utsedda myndigheter i en medlemsstat där VIS-förordningen ännu inte har fått verkan kan få tillgång till uppgifter i VIS. I artikel 7 behandlas villkoren för Europols tillgång till VIS. Där framgår bl.a. att Europols behandling av VIS-uppgifter förutsätter samtycke från den medlemsstat som har fört in uppgifterna i VIS.

Innehållet i rådsbeslutet Ds 2011:27

5.5. Förfarandet för att få tillgång till uppgifter i VIS

En myndighet som vill få tillgång till uppgifter i VIS måste lämna en motiverad, skriftlig eller elektronisk, begäran till den centrala åtkomstpunkten (artikel 4). Denna ska kontrollera att samtliga villkor för tillgång till VIS är uppfyllda. Hur denna kontroll ska gå till regleras inte närmare i rådsbeslutet. Om villkoren är uppfyllda, ska den centrala åtkomstpunkten behandla begäran, dvs. söka i VIS. Om sökningen leder till att de efterfrågade uppgifterna påträffas ska den centrala åtkomstpunkten föra över uppgifterna till den myndighet som har begärt dem. Den behöriga myndigheten får då tillgång inte bara till alla de typer av uppgifter som får användas för sökning i VIS (artikel 5.2) utan även till eventuella övriga uppgifter, fotografi och uppgifter om utfärdade, vägrade, återkallade och förlängda viseringar (artikel 5.3).

I brådskande undantagsfall ska den centrala åtkomstpunkten omedelbart behandla begäran om sökning och först i efterhand kontrollera att villkoren för sökning var uppfyllda. I sådana situationer kan begäran att få tillgång till uppgifter också framställas muntligen.

5.6. Skydd av personuppgifter som härrör från VIS

Artikel 8 föreskriver en lägsta nivå för det dataskydd som ska gälla för behandlingen av personuppgifter som inhämtas med stöd av rådsbeslutet. Av skäl 9 framgår att rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete3 (dataskyddsrambeslutet) bör tillämpas på personuppgifter som behandlas enligt rådsbeslutet. Medlemsstaterna ska säkerställa en tillräcklig skyddsnivå som motsvarar åtminstone den som följer av Europarådets konvention av den

3 EUT L 350, 30.12.2008, s. 60.

Ds 2011:27 Innehållet i rådsbeslutet

28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Medlemsstaterna ska också beakta Europarådets ministerkommittés rekommendation nr R (87) 15 från den 17 september 1987 om polisens användning av personuppgifter.

Rådsbeslutet innehåller uttryckliga bestämmelser som begränsar rätten att använda personuppgifter som har inhämtats från VIS med stöd av rådsbeslutet. Behandling får ske endast för att förhindra, upptäcka, utreda och åtala terroristbrott eller andra grova brott.

Vidare föreskrivs i artikel 8.4 att personuppgifter som har inhämtats från VIS med stöd av rådsbeslutet inte får överföras till eller göras tillgängliga för ett tredjeland eller en internationell organisation. Undantag gäller under vissa förutsättningar i brådskande fall.

Varje medlemsstat ska enligt artikel 9 garantera säkerheten för VIS-uppgifter under och efter överföringen till de behöriga myndigheterna. I det ingår att besluta om nödvändiga säkerhetsåtgärder för att skydda inhämtade uppgifter. Syftet med säkerhetsåtgärderna ska bl.a. vara att hindra obehöriga personer från att få tillgång till VIS-uppgifter samt att garantera att det finns möjlighet att kontrollera vilka uppgifter som har inhämtats, vem som har inhämtat dem och för vilket ändamål. I rådsbeslutet föreskrivs att den behandling av personuppgifter som grundar sig på rådsbeslutet ska övervakas av nationella tillsynsmyndigheter. Det förskrivs också en uttrycklig skyldighet för de myndigheter som har tillgång till VIS-uppgifter att samarbeta med tillsynsmyndigheterna (artikel 11).

5.7. Ansvar och sanktioner

Enligt artikel 10 ska varje person eller medlemsstat som har lidit skada till följd av otillåten behandling eller något annat handlande som är oförenligt med bestämmelserna i rådsbeslutet som huvudregel ha rätt till ersättning av den medlemsstat som är an-

Innehållet i rådsbeslutet Ds 2011:27

svarig för den uppkomna skadan. Medlemsstaterna ansvarar också i vissa fall för skador på VIS. Skadeståndsanspråk mot en medlemsstat för skador som avses i artikeln ska regleras genom nationell lagstiftning.

I artikel 12 föreskrivs att en medlemsstat ska vidta nödvändiga åtgärder för att se till att all användning av VIS-uppgifter som strider mot bestämmelserna i rådsbeslutet föranleder effektiva, proportionerliga och avskräckande sanktioner. Dessa kan vara av administrativ eller straffrättslig karaktär.

5.8. Gallring av inhämtade uppgifter

Artikel 13 innehåller bestämmelser om bevarande av VIS-uppgifter i nationella register. Sådana uppgifter får bevaras i nationella register endast om det är nödvändigt i ett enskilt fall och i enlighet med de ändamål som fastställs i rådsbeslutet. De får inte bevaras längre än vad som är nödvändigt i det enskilda fallet.

5.9. Enskildas rätt till information, rättelse och radering

När det gäller enskildas rätt att få information om uppgifter som har inhämtats från VIS och som avser dem själva hänvisar rådsbeslutet till nationell rätt (artikel 14). En medlemsstat får dock lämna ut information om sådana uppgifter först efter det att den medlemsstat som har lagt in uppgifterna i VIS har beretts tillfälle att yttra sig. Om genomförandet av det rättsliga uppdrag som uppgifterna avser eller skyddet av tredje mans rättigheter och friheter kräver det, ska information inte lämnas till den registrerade.

Enskilda ska också ha rätt att få oriktiga uppgifter om sig rättade och olagligt lagrade uppgifter raderade. En behörig myndighet som tar emot en sådan begäran eller som får andra indikationer på att uppgifter som behandlas i VIS är oriktiga, ska

Ds 2011:27 Innehållet i rådsbeslutet

omedelbart underrätta den viseringsmyndighet som har lagt in uppgifterna i VIS. När det gäller rättelse och radering av uppgifter i VIS hänvisar rådsbeslutet till artikel 24 i VIS-förordningen.

Artikel 14 föreskriver också skyldighet att inom vissa tidsfrister informera en berörd person om vilka åtgärder som har vidtagits med anledning av en begäran om rättelse. Vidare föreskrivs att var och en som har vägrats rätt till information, rättelse eller radering ska ha rätt att väcka talan eller överklaga till en behörig myndighet eller domstol.

5.10. Registrering av uppgiftsinhämtning från VIS

Artikel 16 innehåller detaljerade bestämmelser om registrering av uppgiftsbehandling i enlighet med rådsbeslutet. Av bestämmelserna framgår att varje medlemsstat ska säkerställa att all behandling av uppgifter som inhämtats från VIS med stöd av rådsbeslutet registreras, för att möjliggöra kontroll av varför och hur uppgifter har inhämtats från VIS och hur uppgifterna har behandlats. Bestämmelserna syftar till att göra det möjligt att i efterhand kontrollera att all databehandling är lagenlig och säker.

Personuppgifter som har registrerats i nu angivna syfte får användas endast för övervakning av att behandlingen av personuppgifter är lagenlig och för att trygga datasäkerheten. Det föreskrivs en särskild gallringsfrist för de registrerade uppgifterna.

5.11. Övriga bestämmelser

I artikel 15 slås fast att varje medlemsstat ansvarar för kostnaderna för åtkomst till VIS enligt rådsbeslutet.

Artikel 17 innehåller bestämmelser om övervakning och utvärdering. Den förvaltningsmyndighet som avses i VIS-förordningen ska se till att system införs för att övervaka hur VIS fungerar enligt rådsbeslutet. Förvaltningsmyndigheten ska ha åtkomst till den information om uppgiftsbehandling i VIS som

Innehållet i rådsbeslutet Ds 2011:27

behövs för det tekniska underhållet. Myndigheten ska vidare vid vissa tidpunkter lämna en rapport till Europaparlamentet, rådet och kommissionen om hur VIS fungerat i tekniskt hänseende. Kommissionen ska vid vissa i rådsbeslutet angivna tidpunkter utarbeta en samlad utvärdering av VIS.

Av artikel 18 framgår att rådsbeslutet får verkan från och med det datum som fastställs av rådet så snart kommissionen har informerat rådet om att VIS-förordningen har trätt i kraft och är fullt tillämplig. Enligt nuvarande planering (juli 2011) ska informationssystemet vara klart för driftsättning den 11 oktober 2011.

6. Rättsliga utgångspunkter

6.1. Internationella överenskommelser om dataskydd

6.1.1. Europakonventionen och FN-konventionen om medborgerliga och politiska rättigheter

År 1948 antog Förenta nationerna (FN) den allmänna förklaringen om de mänskliga rättigheterna. De rättigheter som räknas upp i förklaringen har därefter vidareutvecklats bl.a. i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) från år 1950 och FN:s konvention om medborgerliga och politiska rättigheter från år 1966.

Enligt artikel 8 i Europakonventionen har var och en rätt till respekt bl.a. för sitt privat- och familjeliv. En offentlig myndighet får inte inskränka åtnjutandet av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. I rekvisitet ”med stöd av lag” ligger, utöver att intrånget ska ha stöd i nationell lagstiftning, att den åberopade lagstiftningen måste uppfylla vissa minimikrav i fråga om kvalitet och tydlighet. En rättighetsinskränkande tolkning ska kunna förutses och lagstiftningen ska vara allmänt tillgänglig. Åtgärder som innefattar intrång i en skyddad rättighet kan godtas endast om de är proportionerliga. Det innebär att

Rättsliga utgångspunkter Ds 2011:27

intrånget måste svara mot ett angeläget samhällsbehov och stå i rimlig proportion till det syfte som ska uppnås.

I artikel 13 i Europakonventionen föreskrivs att var och en, vars i konventionen angivna fri- och rättigheter kränkts, ska ha tillgång till ett effektivt rättsmedel inför en nationell myndighet. Detta gäller även om kränkningen har förövats av någon som utövat offentlig myndighet. Innebörden av artikeln är att den enskilde ska ha tillgång till en nationell instans för att kunna få saken prövad och kunna få rättelse.

Även i FN:s konvention om medborgerliga och politiska rättigheter finns en bestämmelse till skydd för godtyckligt eller olagligt ingripande i någons privat- eller familjeliv (artikel 17).

6.1.2. Europeiska unionens stadga om de grundläggande rättigheterna

Lissabonfördraget innebär att EU:s stadga om de grundläggande rättigheterna, tillkännagiven av parlamentet, rådet och kommissionen den 7 december 2000 och anpassad den 12 december 2007, är rättsligt bindande. Detta framgår av en referens till stadgan i artikel 6.1 i det ändrade EU-fördraget (prop. 2007/08:168 s. 58). I stadgan bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser, Europakonventionen, unionens och Europarådets sociala stadgor samt rättspraxis vid EU-domstolen och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte är att kodifiera de grundläggande fri- och rättigheter som EU redan erkänner.

I artikel 8 i stadgan föreskrivs bl.a. att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reg-

Ds 2011:27 Rättsliga utgångspunkter

lerna efterlevs. Av artikel 51 i stadgan framgår att den riktar sig till verksamhet som utförs av EU:s egna organ och institutioner och att den blir tillämplig för medlemsstaterna endast i de fall där de tillämpar EU-rätten. Stadgan är följaktligen inte tillämplig på nationell lagstiftning inom områden där EU inte har lagstiftningskompetens.

När det gäller de garanterade rättigheternas räckvidd anförs i artikel 52 i stadgan att varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan ska vara föreskriven i lag och vara förenlig med proportionalitetsprincipen och det väsentliga innehållet i fri- och rättigheterna. I den mån rättigheterna i stadgan motsvarar rättigheter som skyddas av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen. Stadgans artiklar får inte tolkas som att de inskränker eller inkräktar på rättigheter enligt andra konventioner eller överenskommelser om fri- och rättigheter.

6.1.3. Dataskyddskonventionen

I Europarådets konvention från år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen) finns bestämmelser av betydelse för automatisk databehandling av personuppgifter. Dataskyddskonventionen trädde i kraft den 1 oktober 1985 och har ratificerats av samtliga medlemsstater i EU.

Dataskyddskonventionens innehåll kan ses som en precisering av skyddet för enskilda i artikel 8 i Europakonventionen vid automatisk databehandling. Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med automatiserad behandling av personuppgifter och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna.

Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste iaktta i sin nationella lagstiftning. Personuppgifter som är föremål för automatisk

Rättsliga utgångspunkter Ds 2011:27

databehandling ska hämtas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Vidare måste uppgifterna vara relevanta för ändamålen och får inte senare användas på ett sätt som är oförenligt med dessa. Uppgifterna måste också vara korrekta och aktuella och de får inte bevaras längre än vad som är nödvändigt för ändamålen. Känsliga personuppgifter, dvs. uppgifter om bl.a. ras, politisk tillhörighet eller religiös uppfattning samt uppgifter om brott, får behandlas endast om nationell lagstiftning ger ett tillfredsställande skydd.

I konventionen föreskrivs att lämpliga skyddsåtgärder ska vidtas för att förhindra avsiktlig eller otillåten förstörelse m.m. Vidare finns bestämmelser om registrerade personers möjligheter till insyn i register och rätt att få uppgifter rättade.

Dataskyddskonventionens roll som grundläggande dokument för automatiserad behandling av personuppgifter inom EU har i princip övertagits av dataskyddsdirektivet (se avsnitt 6.1.5). Direktivet omfattar dock inte behandling av personuppgifter inom områden som allmän säkerhet, försvar och statens säkerhet. På dessa områden är dataskyddskonventionen därför fortfarande av betydelse. Såvitt gäller polissamarbete och straffrättsligt samarbete finns numera också bestämmelser i dataskyddsrambeslutet (se avsnitt 6.1.6).

Europarådets ministerkommitté antog år 2001 ett tilläggsprotokoll till dataskyddskonventionen. Det innehåller bestämmelser om tillsynsmyndigheter och överföring av personuppgifter till länder som inte är bundna av konventionen. Sverige har ratificerat tilläggsprotokollet som trädde i kraft den 1 juli 2004.

6.1.4. Europarådets rekommendation för polissektorn

Utöver dataskyddskonventionen har Europarådet tagit fram sektorsvisa rekommendationer om dataskydd, bl.a. en rekommendation som reglerar användningen av personuppgifter inom polissektorn, No. R (87) 15. Rekommendationen innehåller regler för behandling av personuppgifter som polisen samlar in,

Ds 2011:27 Rättsliga utgångspunkter

lagrar, använder eller överför med hjälp av automatiserad behandling i syfte att förhindra och bekämpa brott eller upprätthålla allmän ordning. Endast sådana uppgifter som är nödvändiga för att förhindra en verklig fara eller bekämpa ett visst brott får samlas in, om inte den nationella lagstiftningen tillåter ett mer omfattande uppgiftssamlande. Olika kategorier av lagrade uppgifter ska så långt som möjligt kunna skiljas från varandra efter graden av riktighet och tillförlitlighet. I synnerhet ska uppgifter som grundar sig på fakta kunna skiljas från uppgifter som grundar sig på omdömen eller personliga värderingar.

6.1.5. Dataskyddsdirektivet

Rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter,1 dataskyddsdirektivet, syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Direktivet innehåller generella krav och riktlinjer för all behandling av personuppgifter. Medlemsstaterna får inom den ram som anges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen. Direktivet ger medlemsstaterna möjlighet att göra undantag för sådan behandling av personuppgifter som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. Dataskyddsdirektivet har genomförts i svensk rätt genom personuppgiftslagen (1998:204; se avsnitt 6.2.2). Lagen har gjorts generellt tillämplig och omfattar således även sådan verksamhet som faller utanför direktivets tillämpningsområde (prop. 1997/98:44 s. 40 f.).

1 EUT L 281, 23.11.1995, s. 31.

Rättsliga utgångspunkter Ds 2011:27

verskridande informationsutbyte.

6.1.6. Dataskyddsrambeslutet

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete2(dataskyddsrambeslutet) reglerar dataskyddet inom angivna områden. Rambeslutet föranleddes av att det infördes nya EUinstrument om utvidgat polisiärt och rättsligt samarbete avseende gränsö

Dataskyddsrambeslutet förpliktar medlemsstaterna att behandla uppgifter som utbyts mellan staterna inom ramen för det angivna samarbetet på ett sådant sätt att skyddet för enskildas integritet värnas. Rambeslutet utgör ett komplement till andra instrument om informationsutbyte inom ramen för polisiärt och straffrättsligt samarbete. Det innehåller bl.a. bestämmelser om allmänna utgångspunkter för behandlingen av personuppgifter och känsliga personuppgifter, rättelse, radering och gallring av personuppgifter, information till den registrerade samt skadestånd och sanktioner. Till stora delar motsvarar innehållet i rambeslutet det som finns i dataskyddsdirektivet.

Rambeslutet beslutades den 27 november 2008 och trädde i kraft den 19 januari 2009. I artikel 28 regleras förhållandet mellan rambeslutet och tidigare antagna unionsakter. Finns det tidigare beslutade bestämmelser i andra rättsakter som reglerar utbyte av personuppgifter eller tillgång till informationssystem som inrättats enligt EU-fördraget och som innehåller särskilda villkor för mottagarens användning av uppgifterna ska dessa villkor ha företräde framför dataskyddsrambeslutets regler.

Regeringen har i propositionen Godkännande av Dataskyddsrambeslutet (prop. 2008/09:16) på ett övergripande plan övervägt vilka lagändringar som kan krävas. Riksdagen har godkänt utkastet till rambeslut (bet. 2008/09:JuU7, rskr. 2008/09:41). Utredningen om informationsutbyte vid brottsbekämpning m.m. har i delbetänkandet Dataskydd vid europeiskt polisiärt

2 EUT L 350, 30.12.2008, s. 60.

Ds 2011:27 Rättsliga utgångspunkter

och straffrättsligt samarbete (SOU 2011:20) lämnat förslag till hur rambeslutet ska genomföras i svensk rätt. Utredningen har bl.a. föreslagit en ny lag om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom EU. Lagen föreslås gälla för vidarebehandling av personuppgifter som svenska myndigheter som deltar i polisiärt eller straffrättsligt samarbete har tagit emot från en annan medlemsstat i EU. Betänkandet är föremål för remissbehandling.

6.1.7. Översyn av EU:s dataskyddsreglering

Kommissionen har inlett en översyn av EU:s dataskyddsreglering som omfattar både dataskyddsdirektivet och dataskyddsrambeslutet. Den 4 november 2010 publicerade kommissionen ett meddelande med en strategi för översynen. I meddelandet betonar kommissionen vikten av att stärka skyddet för enskildas rättigheter och det inre marknadsperspektivet. De rättsliga förutsättningarna för behandling av personuppgifter ska vara desamma inom hela unionen. I februari 2011 antog rådet slutsatser om meddelandet. I dessa välkomnas meddelandet och de övergripande ambitioner som anges där. I Europaparlamentet behandlas en initiativrapport i frågan, som man planerar att anta i juli 2011. Kommissionen förväntas därefter lägga fram förslag till lagstiftning under hösten 2011.

6.1.8. Prümrådsbeslutet

Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet,3 (Prümrådsbeslutet), bygger på en konvention kallad Prümkonventionen, som år 2005 ingicks mellan sju av EU:s medlemsstater. Prümråds-

3 EUT L 210, 6.8.2008, s. 1.

Rättsliga utgångspunkter Ds 2011:27

beslutet innehåller bestämmelser som syftar till att fördjupa det gränsöverskridande samarbetet mellan de myndigheter i medlemsstaterna som ansvarar för att förebygga och utreda brott. I huvudsak ska detta ske genom förenklade former för utbyte av DNA-profiler, fingeravtryck och uppgifter om fordon. Rådsbeslutet aktualiserar inte inrättande av några nya databaser, utan bygger på ett automatiserat utbyte av uppgifter som redan finns lagrade i medlemsstaternas befintliga databaser. I rådsbeslutet regleras också skyldigheten att översända vissa personuppgifter och andra uppgifter till en annan medlemsstat vid större evenemang med gränsöverskridande verkningar. Därutöver finns en fakultativ bestämmelse om översändande av uppgifter till skydd mot terrorism. Bestämmelserna om uppgiftsutbyte kompletteras med utförliga bestämmelser om dataskydd. Dessa bestämmelser måste genomföras innan uppgiftsutbytet får inledas. Utöver bestämmelserna om informationsutbyte innehåller rådsbeslutet bestämmelser om frivilligt operativt samarbete.

6.2. Den svenska lagstiftningen

6.2.1. Regeringsformen

Enligt en ny bestämmelse i 2 kap. 6 § andra stycket regeringsformen ska var och en gentemot det allmänna vara skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden, se propositionen En reformerad grundlag (prop. 2009/10:80 s. 178 f.). Skyddet mot intrång ska kunna begränsas i lag bara i den ordning som föreskrivs i 2 kap. regeringsformen. Som exempel på åtgärder som kan innebära kartläggning anges i propositionen bl.a. registrering i polisens register (prop. 2008/09:80 s. 179 f.). Bestämmelsen omfattar dock bara vissa kvalificerade intrång i den personliga integriteten. Vid bedömningen av vad som kan anses utgöra ett betydande intrång ska man enligt förarbetsuttalandena väga in upp-

Ds 2011:27 Rättsliga utgångspunkter

gifternas karaktär och omfattning samt ändamålet med behandlingen och omfattningen av utlämnandet av uppgifter till andra.

Det skydd som avses i 2 kap. 6 § regeringsformen kan endast begränsas genom lag och i övrigt enligt vad som föreskrivs i 2 kap.2022 §§regeringsformen. Vidare föreskrivs i 2 kap. 19 § att lag eller annan föreskrift inte får meddelas strid med Sveriges åtaganden enligt Europakonventionen.

Lagändringarna trädde i kraft den 1 januari 2011.

6.2.2. Personuppgiftslagen

Lagens tillämpningsområde

Personuppgiftslagen (1998:204), genom vilken dataskyddsdirektivet genomfördes i svensk rätt (se prop. 1997/98:44, bet. 1997/98:KU18, rskr. 1997/98:180), har gjorts generellt tillämplig och omfattar, som tidigare nämnts, även verksamhet som faller utanför direktivets tillämpningsområde. Lagen trädde i kraft den 24 oktober 1998 och innehåller de generella regler som krävs för genomförandet av direktivet. Lagen anger den grundläggande ramen för behandling av personuppgifter. Särreglering i lag eller förordning gäller emellertid enligt 2 § personuppgiftslagen framför bestämmelserna i personuppgiftslagen. Att det krävs en särskild författning för att avvika från det integritetsskydd som personuppgiftslagen ger, är enligt förarbetena en garanti för att behovet av särregler övervägs noga i den ordning som gäller för författningsgivning.

Grundläggande krav på behandlingen

Personuppgiftslagen innehåller generella bestämmelser om behandling av personuppgifter. Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, exempelvis att samla in, söka, bevara och sprida uppgifter.

Rättsliga utgångspunkter Ds 2011:27

Lagen omfattar i princip endast behandling av personuppgifter som är helt eller delvis automatiserad. Även viss manuell behandling omfattas, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Personuppgiftslagens centrala bestämmelser om behandling av personuppgifter finns i 9 §. Där uppställs vissa grundläggande krav på den personuppgiftsansvarige, som ska se till att personuppgifter behandlas bara om det är lagligt. Den personuppgiftsansvarige ska vidare se till att personuppgifter behandlas på ett korrekt sätt och i enlighet med god sed, att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, att de inte behandlas för något ändamål som är oförenligt med det för vilket de samlades in, att de personuppgifter som behandlas är riktiga och om nödvändigt aktuella, att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen och att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Information och rättelse

Flera bestämmelser i personuppgiftslagen syftar till att trygga den enskildes rätt till information och olika kontrollmöjligheter. Om uppgifterna samlats in från någon annan än den enskilde, ska den registrerade som huvudregel informeras när uppgifterna registreras, eller, om avsikten med behandlingen är att lämna ut dem till tredje man, när uppgifterna lämnas ut första gången (24 §). Sådan information behöver dock inte lämnas om det finns bestämmelser om registreringen eller utlämnande av uppgifterna i lag eller författning eller om det skulle vara omöjligt eller kräva en oproportionerligt stor arbetsinsats att informera. I en särskild bestämmelse preciseras vad informationen ska omfatta (25 §).

Ds 2011:27 Rättsliga utgångspunkter

Den personuppgiftsansvarige är skyldig att efter ansökan, en gång per år, gratis informera om huruvida och i så fall vilka uppgifter om sökanden som behandlas, ändamålet med behandlingen, varifrån uppgifterna kommer och till vem de lämnas ut (26 §). Från uppgiftsskyldigheten undantas dock bl.a. sådana uppgifter som omfattas av sekretess eller tystnadsplikt gentemot den registrerade (27 §).

Utöver den personuppgiftsansvariges allmänna skyldighet enligt 9 § att se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen kan den registrerade begära att den personuppgiftsansvarige snarast ska rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller i enlighet med föreskrifter som har meddelats med stöd av lagen (28 §). Om felaktiga personuppgifter har lämnats ut till tredje man, ska denne i vissa fall informeras om korrigeringen.

Säkerhet vid behandlingen

I 30–32 §§ finns allmänna bestämmelser om säkerheten vid behandling av personuppgifter. Bestämmelserna avser att trygga både den tekniska säkerheten och att de personer som behandlar uppgifterna har tillräckliga instruktioner för att behandla uppgifterna på ett korrekt sätt. Den personuppgiftsansvarige har ett stort ansvar för säkerheten. Tillsynsmyndigheten kan bl.a. i enskilda fall besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige ska vidta.

Överföring av personuppgifter till tredjeland

Det är som huvudregel förbjudet att till tredjeland föra över personuppgifter under behandling, eller för behandling, om landet inte har en adekvat skyddsnivå för personuppgifter (33 §). Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till

Rättsliga utgångspunkter Ds 2011:27

samtliga omständligheter som har samband med överföringen. Ett antal omständigheter som anses speciellt viktiga räknas upp särskilt. Av 34 § följer bl.a. att det är tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till dataskyddskonventionen. Ytterligare undantag från kravet på viss skyddsnivå kan beslutas efter bemyndigande (35 §).

Skadestånd

En personuppgiftsansvarig är skadeståndsskyldig i de fall behandling av personuppgifter i strid med personuppgiftslagen orsakar den registrerade skada (48 §). Skadeståndsansvaret är i princip strikt. Den registrerade ska visa att det förekommit en olaglig behandling och att denna skadat eller kränkt honom eller henne.

6.2.3. Polisdatalagen

Den 29 april 2010 beslutade riksdagen att anta en ny polisdatalag som träder i kraft den 1 mars 2012 (prop. 2009/10:85, bet. 2009/10:JuU19, rskr. 2009/10:255). Lagen ska ersätta den nuvarande polisdatalagen (1998:622). Den nya lagen kommer att gälla i stället för personuppgiftslagen och innehålla hänvisningar till de bestämmelser i personuppgiftslagen som ska vara tillämpliga i polisens brottsbekämpande verksamhet.

Syftet med den nya lagen är att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagen reglerar, med några få undantag, all behandling av personuppgifter i polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten. Personuppgiftsbehandling i sådan verksamhet som inte är brottsbekämpande,

Ds 2011:27 Rättsliga utgångspunkter

exempelvis hanteringen av förvaltningsärenden, omfattas inte av lagen utan regleras liksom nu i personuppgiftslagen.

Polisen får enligt den nya lagen behandla personuppgifter om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden. Lagen bygger på en uppdelning mellan å ena sidan behandling av ”gemensamt tillgängliga uppgifter” och å andra sidan annan behandling. Begreppet ”gemensamt tillgängliga uppgifter” har införts som ett teknikneutralt begrepp i stället för register och databas som tidigare använts för att definiera uppgifter som har gjorts tillgängliga för en större krets. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte vara gemensamt tillgängliga, medan däremot uppgifter som en annan brottsbekämpande myndighet har tillgång till genom direktåtkomst alltid anses vara gemensamt tillgängliga. För behandling av gemensamt tillgängliga uppgifter finns olika begränsande bestämmelser för att värna den personliga integriteten.

Ett fåtal register regleras särskilt i den nya lagen, bl.a. register över DNA-profiler och fingeravtrycksregister. Säkerhetspolisens personuppgiftsbehandling regleras i ett särskilt kapitel.

Kompletterande bestämmelser finns i polisdataförordningen (2010:1155), som också träder i kraft den 1 mars 2012.

I samband med genomförandet av delar av Prümrådsbeslutet (se avsnitt 6.1.8) infördes en bestämmelse i den nya polisdatalagen av vilken det framgår att det i lagen (2000:343) och förordningen (2010:705) om internationellt polisiärt samarbete finns bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Om det i dessa författningar finns bestämmelser som avviker från polisdatalagens, ska de förstnämnda tillämpas i stället. I övrigt tillämpas polisdatalagen, inklusive de bestämmelser i personuppgiftslagen till vilka polisdatalagen hänvisar (se 2 kap. 2 § polisdatalagen). Bestämmelser som på samma sätt reglerar förhållandet mellan avvikande bestämmelser i lagen eller förordningen om internationellt polisiärt samarbete och regler i Tullverkets respektive Kustbevakningens

Rättsliga utgångspunkter Ds 2011:27

registerförfattningar, finns i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och föreslås införas i den nya kustbevakningsdatalagen (se avsnitt 6.2.4 och 6.2.5).

Mot bakgrund av att den nya polisdatalagen träder i kraft innan lagstiftningen som genomför det nu aktuella rådsbeslutet kan förväntas börja tillämpas, diskuteras behovet av författningsändringar enbart med utgångspunkt i den nya polisdatalagen.

6.2.4. Behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet

För Tullverkets brottsbekämpande verksamhet finns regler om behandling av personuppgifter i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och i förordningen (2005:791) med samma benämning. Det finns även bestämmelser om hantering av personuppgifter i annan lagstiftning, t.ex. i lagen (2000:1219) om internationellt tullsamarbete och i förordningen (2000:1222) med samma benämning, tullagen (2000:1281) och i EU-lagstiftning.

Lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet gäller liksom polisdatalagen i stället för personuppgiftslagen och innehåller hänvisningar till de bestämmelser i personuppgiftslagen som är tillämpliga. Lagen innehåller dels allmänna regler om behandling av personuppgifter i Tullverkets brottsbekämpande arbete, dels bestämmelser om en särskild databas, tullbrottsdatabasen. I lagen anges vilka typer av personuppgifter som får behandlas i tullbrottsdatabasen. Vidare regleras vilka sökbegrepp som får användas. Dessutom innehåller lagen regler om när gallring av olika uppgifter ska ske.

I Tullverkets brottsbekämpande verksamhet får personuppgifter behandlas om det behövs för att förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra visst brott, eller för att fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen om internationellt tullsamarbete. Vidare får person-

Ds 2011:27 Rättsliga utgångspunkter

uppgifter behandlas när det är nödvändigt för att tillhandahålla information till andra svenska brottsbekämpande myndigheter.

I samband med genomförandet av delar av Prümrådsbeslutet (se avsnitt 6.1.8) infördes en bestämmelse i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet av vilken det framgår att det i lagen och förordningen om internationellt polisiärt samarbete finns bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Om det i dessa författningar finns bestämmelser som avviker från lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, ska de förstnämnda bestämmelserna tilllämpas i stället.

6.2.5. Behandling av personuppgifter hos Kustbevakningen

Nuvarande reglering

Kustbevakningens personuppgiftsbehandling regleras i förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen. Förordningen gäller utöver personuppgiftslagen och reglerar personuppgiftsbehandling vid verksamhet som rör brottsbekämpning, kontroll och tillsyn samt ärenden om vattenföroreningsavgift. Personuppgifter får behandlas i Kustbevakningens brottsbekämpande verksamhet, om det är nödvändigt för att förhindra eller upptäcka brottslig verksamhet som innefattar brott som Kustbevakningen enligt lag eller förordning har som uppgift att ingripa mot eller för att utreda sådana brott. Lagen innehåller dels allmänna regler om behandling av personuppgifter i Kustbevakningens brottsbekämpande arbete, dels bestämmelser om en särskild databas, kustbevakningsdatabasen.

Rättsliga utgångspunkter Ds 2011:27

Förslag till ny kustbevakningsdatalag

Reglerna om Kustbevakningens behandling av personuppgifter är föremål för översyn. Nyligen har departementspromemorian Kustbevakningsdatalag (Ds 2011:16) remitterats. I promemorian föreslås en ny lag som ska ersätta den nuvarande förordningen om behandling av personuppgifter inom Kustbevakningen. Lagen föreslås gälla i stället för personuppgiftslagen men innehålla hänvisningar till de bestämmelser i personuppgiftslagen som ska vara tillämpliga i Kustbevakningens verksamhet.

Syftet med lagen, som är utformad efter mönster av den nya polisdatalagen, är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. En utgångspunkt är att skapa en teknikneutral och flexibel reglering där de yttre ramarna för behandlingen av uppgifter i Kustbevakningens verksamhet som är viktiga från integritetssynpunkt slås fast i lagen. I lagen regleras bl.a. ändamålen för behandling och de begränsningar som ska gälla för behandling av vissa typer av uppgifter. Förslaget innebär vidare att vissa grundläggande krav ställs på all behandling av uppgifter som omfattas av lagen, medan det för verksamhet som är särskilt känslig ur integritetssynpunkt, framförallt behandlingen av uppgifter för brottsbekämpande ändamål, uppställs särskilda villkor.

Lagförslaget reglerar, med några få undantag, all behandling av personuppgifter i Kustbevakningens operativa verksamhet. Behandling av personuppgifter i samband med interna och administrativa åtgärder faller dock utanför lagens tillämpningsområde. För sådan behandling ska personuppgiftslagen tillämpas.

I den nya lagen föreslås också en bestämmelse av vilken det framgår att det i lagen och förordningen om internationellt polisiärt samarbete finns bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Om det i dessa författningar finns bestämmelser som avviker från den föreslagna kustbevakningsdatalagen föreslås de förstnämnda bestämmelserna tillämpas i stället.

Ds 2011:27 Rättsliga utgångspunkter

Den nya lagen föreslås träda i kraft den 1 mars 2012.

6.2.6. Lagen och förordningen om internationellt polisiärt samarbete

I lagen (2000:343) om internationellt polisiärt samarbete regleras samarbetet mellan svenska brottsbekämpande myndigheter och motsvarande myndigheter i andra medlemsstater i EU samt Norge, Island och Schweiz, i den utsträckning Sverige i en internationell överenskommelse har gjort åtaganden om sådant samarbete som regleras i lagen. I lagen regleras bl.a. Schengensamarbetet och Prümsamarbetet, men även visst annat polissamarbete. Lagen är tillämplig inte bara för polismän utan även för tulltjänstemän och kustbevakningstjänstemän, när dessa enligt lag eller annan författning utövar polisiära befogenheter. Lagen kompletteras av förordningen (2010:705) om internationellt polisiärt samarbete.

I lagen finns bl.a. en bestämmelse som reglerar hur uppgifter som har mottagits från andra stater får användas om den andra staten har ställt upp ett sådant villkor, s.k. användningsbegränsning. Om en svensk myndighet har fått upplysningar eller bevismaterial från en annan stat och det på grund av överenskommelse med den andra staten gäller villkor som begränsar möjligheterna att använda materialet, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning. Det innebär att villkoret tar över exempelvis reglerna om åtalsplikt. Svenska myndigheter har motsvarande möjlighet att ställa upp villkor som begränsar möjligheten att använda uppgifter eller bevisning som lämnas till en annan stat. Villkoren får dock inte strida mot en internationell överenskommelse som är bindande för Sverige. Som tidigare nämnts (avsnitt 6.2.3, 6.2.4 och 6.2.5) gäller avvikande bestämmelser i lagen och förordningen om behandling av personuppgifter som följer av internationella överenskommelser framför reglerna i polisens och Tull-

Rättsliga utgångspunkter Ds 2011:27

verkets registerförfattningar och samma lösning föreslås för Kustbevakningens del.

7. Genomförandet av rådsbeslutet

7.1. Utgångspunkter

I detta avsnitt redovisas överväganden och bedömningar av i vilka avseenden genomförandet av rådsbeslutet kräver lagändringar för svensk del. Utöver förslag till lagändringar presenteras också förslag till förordningsändringar, i syfte att ge en mer heltäckande bild av den framtida regleringen.

7.2. Författningsregleringen

Bedömning: Vissa av de frågor som behandlas i rådsbeslutet

kräver lagform. De grundläggande bestämmelserna om tillgång till VIS-uppgifter bör finnas i lag.

Förslag: Bestämmelserna i rådsbeslutet genomförs i huvudsak

i lagen om internationellt polisiärt samarbete och i förordningen till den lagen. Avvikande bestämmelser om behandling av personuppgifter i lagen om internationellt polisiärt samarbete och i den tillhörande förordningen ska, i fråga om VISuppgifter, gälla istället för bestämmelserna i respektive myndighets registerförfattning.

Genomförandet av rådsbeslutet Ds 2011:27

Skälen för bedömningen och förslaget

Reglering i lag eller förordning?

Genomförandet av rådsbeslutet kräver vissa författningsbestämmelser. Till en början krävs bestämmelser om villkoren för åtkomst till VIS-uppgifter och förfarandet för att få tillgång till sådana uppgifter. För att leva upp till rådsbeslutet krävs det också bestämmelser om bl.a. hur man tillåts söka efter och behandla VIS-uppgifter, när sådana uppgifter ska gallras och enskildas rätt till information om och rättelse av uppgifter. Frågan är då vilka bestämmelser som bör finnas i lag och vilka som kan genomföras på förordningsnivå.

Som redovisas närmare i avsnitt 7.7 får en behörig myndighet – om förutsättningarna för att söka i VIS är uppfyllda och de efterfrågade uppgifterna finns i VIS – tillgång till en rad olika uppgifter ur ansökningsakten, inklusive fotografi och fingeravtryck av den som ansökt om visum. Enligt 2 kap. 6 § regeringsformen får betydande inskränkningar i den personliga integriteten endast göras genom lag. Frågan är om det förhållandet att svenska myndigheter medges tillgång till VIS-uppgifter kan anses innebära ett sådant intrång i enskildas personliga integritet att det omfattas av grundlagsbestämmelsens skydd. Om så är fallet måste i varje fall villkoren för tillgången till VIS-uppgifter regleras i lag.

Fri- och rättighetsskyddet i 2 kap. regeringsformen utgår från den principiella inställningen att skyddet gäller lika för både svenska medborgare och andra som vistas här. Av naturliga skäl kommer merparten av VIS-uppgifterna att röra tredjelandsmedborgare som inte vistas i Sverige. Dessa åtnjuter inte skydd enligt bestämmelserna i 2 kap. regeringsformen. Med tanke på att även uppgifter om den person som har bjudit in och/eller åtagit sig att stå för sökandens levnadskostnader under vistelsen ska registreras i ansökningsakten, kommer det dock även att förekomma uppgifter i VIS om svenska medborgare och andra personer bosatta i Sverige. Vidare kommer det att finnas uppgifter i VIS om

Ds 2011:27 Genomförandet av rådsbeslutet

tredjelandsmedborgare som vistas i Sverige då sökningen äger rum. En sökning i VIS kan alltså komma att avse personer som omfattas av fri- och rättighetsskyddet i 2 kap. 6 § RF. Utlänningar utom riket omfattas inte av skyddet i nämnda bestämmelse men har enligt artikel 8 i Europakonventionen rätt till respekt bl.a. för sitt privat- och familjeliv (se avsnitt 6.1.1).

Det är därför av intresse att diskutera om tillgången till VISuppgifter trots allt kan anses vara en sådan begränsning av den personliga integriteten att genomförandet i viss utsträckning kräver lagform.

Vid bedömningen av vad som kan anses utgöra ett betydande intrång enligt bestämmelsen i regeringsformen ska man enligt förarbetena väga in uppgifternas karaktär och omfattning samt ändamålet med behandlingen och omfattningen av utlämnandet av uppgifter till andra. Det utvidgade integritetsskyddet bör enligt regeringen ta sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom krav på frivilligt godkännande. Det betonas också att det är åtgärdens effekter som är av avgörande betydelse vid bedömningen av om den ska anses innebära övervakning eller kartläggning i den mening som avses i grundlagsbestämmelsen, inte det huvudsakliga syftet med åtgärden. Grundlagsbestämmelsen omfattar dock bara vissa kvalificerade intrång i den personliga integriteten (se prop. 2009/10:80 s. 178 f.).

Som utgångspunkt kan konstateras att VIS, när det tagits i bruk i samtliga regioner, kommer att innehålla uppgifter om alla personer från tredjeland som sökt visering till en medlemsstat. I hela Schengenområdet görs det enligt uppgift cirka 20 miljoner ansökningar om visering varje år. Man beräknar att informationssystemet så småningom kan komma att omfatta uppgifter om upp till 80 miljoner personer. Inte bara sökandens personuppgifter kommer att finnas registrerade utan även uppgifter om syftet med resan, uppgifter om garanten, dvs. den person som bjudit in och/eller åtagit sig att stå för sökandens levnadskostnader under vistelsen, uppgifter om resehandlingen samt sökandens fotografi och fingeravtryck. Uppgifterna ska bevaras

Genomförandet av rådsbeslutet Ds 2011:27

under en relativt lång tid. Det ställs visserligen stränga krav för att en brottsbekämpande myndighet ska ges tillgång till uppgifter i VIS, men uppgifterna rör enskildas personliga sfär. Vidare är syftet med tillgången att uppgifterna ska användas vid bekämpning av allvarlig brottslighet.

Dessutom måste vissa bestämmelser som krävs för att genomföra rådsbeslutet ges lagform för att kunna ges företräde framför andra lagbestämmelser i myndigheternas registerlagstiftningar. Det gäller t.ex. bestämmelser om begränsningar i rätten att använda och behandla uppgifter (se avsnitt 7.8 och 7.9.2).

Regeringen har tidigare gjort den preliminära bedömningen att författningsbestämmelser som reglerar förutsättningarna för när en behörig myndighet ska kunna ges tillgång till uppgifter i VIS kan införas på förordningsnivå (prop. 2007/08:132 s. 11). Bedömningen gjordes innan bestämmelsen i 2 kap. 6 § regeringsformen trädde i kraft (se avsnitt 6.2.1). Eftersom bestämmelsen i regeringsformen är ny och det därför inte finns någon erfarenhet av hur bestämmelsen ska tolkas, kan det inte med säkerhet hävdas att den nya regleringen innebär ett krav på att reglerna ska finnas i lag, men sammantaget framstår det som den lämpligaste lösningen.

Vid en samlad bedömning talar således övervägande skäl för att de centrala bestämmelserna, som t.ex. regleringen av förutsättningarna för att få söka i VIS och att få behandla VIS-uppgifter, bör finnas i lag.

I vilken författning bör de nya reglerna placeras?

I propositionen om godkännande av rådsbeslutet övervägde regeringen på ett allmänt plan vilka lagändringar som kan aktualiseras. Några lagförslag presenterades dock inte, varför det inte heller diskuterades i vilken eller vilka författningar som de nya bestämmelserna bör placeras.

Den författningsreglering som genomförandet av rådsbeslutet kräver kommer främst att rikta sig till den centrala åtkomst-

Ds 2011:27 Genomförandet av rådsbeslutet

punkten och de behöriga myndigheterna. De behöriga myndigheterna är för svensk del Rikspolisstyrelsen, polismyndigheterna, Ekobrottsmyndigheten (när den bedriver polisverksamhet) samt Tullverket och Kustbevakningen (se avsnitt 5.3). Rådsbeslutets regler om användningsbegränsningar och gallring kommer dock att bli tillämpliga även för åklagare, domstolar och andra myndigheter som får del av VIS-uppgifter.

När det gäller frågan i vilken författning åtkomsten till VISuppgifter ska regleras påverkar kraven i rådsbeslutet flera myndigheters lagstiftning. Samma bestämmelse i rådsbeslutet skulle därför behöva genomföras i minst tre olika författningar, om regleringen skulle arbetas in i respektive myndighets registerlagstiftning. Med en sådan lösning riskerar regleringen att med tiden bli inkoherent. Det bästa är om reglerna om åtkomst till VIS-uppgifter kan samlas i en lag.

Det finns dock inte någon författning som framstår som en självklar placering för de nya bestämmelserna bl.a. därför att polisen och Tullverket delvis tillämpar olika lagstiftning vid internationellt samarbete. Det skulle kunna tala för att bestämmelserna placeras i en helt ny lag. Med en sådan lösning skulle man kunna få en samlad och överskådlig reglering av brottsbekämpande myndigheters tillgång till uppgifter ur VIS. Mot denna lösning talar dock det förhållandet att regleringen rörande internationellt samarbete redan är splittrad på ett flertal författningar. Vidare kan det förutses att nya former av internationellt samarbete och informationsutbyte inom en snar framtid kommer att behöva författningsregleras. Att införa en särskild författning för varje ny form av samarbete skulle göra författningsregleringen ännu mer splittrad och försvåra ytterligare för tillämparen. En särlösning för varje ny samarbetsform leder, förutom att det motverkar önskvärd överskådlighet, sannolikt även till en dubbelreglering av vissa frågor.

En annan tänkbar lösning är att placera reglerna om tillgång till VIS i någon av de lagar som redan behandlar internationellt samarbete. Delar av det polisiära samarbetet, främst Schengensamarbetet som VIS-rådsbeslutet har en direkt koppling till,

Genomförandet av rådsbeslutet Ds 2011:27

regleras i lagen om internationellt polisiärt samarbete. Det som kan tala mot att placera de nu aktuella bestämmelserna i den lagen är dock att den främst reglerar operativt polisiärt samarbete, medan det nu aktuella rådsbeslutet endast rör villkoren för att få tillgång till vissa uppgifter i ett specifikt datasystem.

I propositionen Genomförande av Prümrådsbeslutet – automatiserat uppgiftsutbyte har regeringen och riksdagen nyligen tagit ställning för att bestämmelserna i Prümrådsbeslutet om automatiserat uppgiftsutbyte (se avsnitt 6.1.8) i huvudsak ska genomföras i lagen om internationellt polisiärt samarbete och i den förordning som kompletterar lagen (prop. 2010/11:129, bet. 2010/11JuU15, rskr. 2010/11:302). I det lagstiftningsärendet införs nya bestämmelser i såväl den nuvarande polisdatalagen (1998:622) som den nya polisdatalagen (2010:361) och i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Ändringarna innebär att avvikande bestämmelser om behandling av personuppgifter i lagen om internationellt polisiärt samarbete eller i förordningen till den lagen ska gälla i stället för bestämmelserna i respektive myndighets registerlagstiftning (prop. 2010/11:129 s. 45 f.). I promemorian med förslag till en ny kustbevakningsdatalag föreslås en bestämmelse av motsvarande innebörd (Ds 2011:16 s. 111 f.).

Även om reglerna om polisiärt samarbete redan är spridda i ett flertal författningar underlättar det för tillämparen om man i så stor utsträckning som möjligt samlar nya regler om sådant samarbete i samma lag. Samma lagtekniska lösning som i det nyss nämnda lagstiftningsärendet bör därför väljas. Den anpassning av lagstiftningen som rådsbeslutet kräver bör därför genomföras i lagen om internationellt polisiärt samarbete och i förordningen till den lagen.

I betänkandet Utökat polissamarbete i Norden och EU (SOU 2011:25) föreslås ändringar i lagen om internationellt polisiärt samarbete i syfte att genomföra bl.a. de delar av Prümrådsbeslutet som inte är obligatoriska. Som nyss nämnts kan även fler samarbetsformer komma att regleras i den lagen. På sikt förefaller det därför nödvändigt med en teknisk omarbetning av

Ds 2011:27 Genomförandet av rådsbeslutet

lagen om internationellt polisiärt samarbete. En sådan omarbetning kan t.ex. innebära att lagen delas in i olika kapitel, som vart och ett reglerar en viss typ av samarbete, för att åstadkomma en mera överskådlig och lättillämpad reglering. En så omfattande förändring av lagen är dock varken lämplig eller möjlig att genomföra inom ramen för detta lagstiftningsärende.

Föreskrifter i förordning

Även om de grundläggande bestämmelserna om tillgången till VIS-uppgifter bör tas in i lag, innehåller rådsbeslutet åtskilliga detaljbestämmelser som bör regleras i förordning. Därför bör det av en upplysningsbestämmelse framgå att regeringen, eller den myndighet regeringen bestämmer, meddelar närmare föreskrifter om tillgången till VIS-uppgifter. Genom prop. 2010/11:129 har det i lagen om internationellt polisiärt samarbete införts en motsvarande bestämmelse som upplyser att det kan finnas bestämmelser om samarbetet enligt Prümrådsbeslutet på lägre normgivningsnivå. Bestämmelsen finns under rubriken ”Samarbete enligt Prümrådsbeslutet”. Det kan vara lämpligt att samla upplysningsbestämmelserna i en paragraf.

7.3. Definitioner

Förslag: I lagen om internationellt polisiärt samarbete införs

definitioner av begreppen VIS-rådsbeslutet och VIS-uppgifter.

Skälen för förslaget: I rådsbeslutet definieras i artikel 2.1 be-

greppen informationssystemet för viseringar (VIS), Europol, terroristbrott, grova brott och utsedda myndigheter.

Enligt rådsbeslutet definieras terroristbrott som brott enligt nationell rätt som motsvarar eller är likvärdiga med brott enligt

Genomförandet av rådsbeslutet Ds 2011:27

artiklarna 1–4 i rådets rambeslut av den 13 juni 2002 om bekämpande av terrorism (2002/475/RIF)1. Artiklarna om straffansvar i rambeslutet har genomförts i 25 §§ lagen (2003:148) om straff för terroristbrott (se avsnitt 7.5). När rambeslutet ändrades genom rådets rambeslut 2008/919/RIF av den 28 november 2008 om ändring av rambeslut 2002/475/RIF om bekämpande av terrorism2 genomfördes ändringen i svensk rätt genom lagen (2010:299) om straff för offentlig uppmaning, rekrytering och utbildning avseende terroristbrott och annan särskilt allvarlig brottslighet. Definitionen i rådsbeslutet får således anses omfatta brott enligt dessa lagar. Någon definition av begreppet behöver därför inte införas. Däremot krävs en hänvisning till dessa lagar. Frågan om även lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall ska anses vara terroristbrott i detta sammanhang behandlas i avsnitt 7.5.

Innebörden av begreppet grova brott är enligt rådsbeslutet brott enligt nationell rätt som motsvarar eller är likvärdiga med de former av brottslighet som avses i artikel 2.2 i rådets rambeslut 2002/584/RIF om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna. Enligt artikel 2.2 i rambeslutet ska i bestämmelsen angivna brott medföra överlämnande på grundval av en europeisk arresteringsorder enligt villkoren i rambeslutet och utan kontroll av om det föreligger dubbel straffbarhet för gärningen, förutsatt att brotten, som de definieras i den utfärdande medlemsstatens lagstiftning, kan leda till fängelse eller annan frihetsberövande åtgärd i minst tre år i den utfärdande medlemsstaten. Artikeln har införlivats i svensk rätt genom 2 kap. 2 § andra stycket lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder. Av denna bestämmelse framgår att den brottslighet som avses är de gärningar som finns angivna i bilagan och för vilka det är föreskrivet en frihetsberövande påföljd i tre år eller mer. När det gäller definitionen av grova brott enligt rådsbeslutet innebär vad

1 EUT L 164, 22.6.2002, s. 3. 2 EUT L 330, 9.12.2008, s. 21.

Ds 2011:27 Genomförandet av rådsbeslutet

som nu sagts således att brottet dels ska finnas med i bilagan till 2003 års lag, dels enligt nationell rätt kunna leda till en frihetsberövande påföljd i tre år eller mer.

Någon definition av begreppet behöver därför inte införas. Däremot krävs en hänvisning till nämnda bilaga och att det anges att det för brottet ska vara föreskrivet en frihetsberövande påföljd i tre år eller mer.

Enligt rådsbeslutet avses med utsedda myndigheter myndigheter som är ansvariga för att förebygga, upptäcka eller utreda terroristbrott eller andra grova brott och som utsetts av medlemsstaterna i enlighet med artikel 3 i rådsbeslutet. I svensk lagstiftning används normalt begreppet "behöriga myndigheter”, se t.ex. 5 § lagen (2000:344) om Schengens informationssystem. Vilket begrepp som används är en nationell angelägenhet så länge som rådsbeslutets förpliktelser uppfylls. Någon anledning att införa ett nytt begrepp med anledning av rådsbeslutet finns inte. I lagen om internationellt polisiärt samarbete används redan begreppet behörig svensk myndighet (se rubriken närmast före 15 §). Någon särskild definition som anger vilka myndigheter som är behöriga att begära sökning i VIS enligt rådsbeslutet bör inte införas. Däremot kan det förenkla för tillämparen om det anges vilka dessa myndigheter är i anslutning till bestämmelserna om sökning i VIS.

Definitionen i rådsbeslutet av Europol överensstämmer med hur begreppet används i svensk lagstiftning. Någon särskild definition av begreppet är inte nödvändig i detta sammanhang, eftersom reglerna i rådsbeslutet riktar sig direkt till Europol och dess tillsynsorgan, inte till medlemsstaterna.

Däremot finns det skäl att införa en definition av rådsbeslutet, för att inte tynga alla bestämmelser med rådsbeslutets fullständiga namn. Därigenom definieras också indirekt begreppet VIS.

Av praktiska skäl bör vidare begreppet VIS-uppgifter definieras. Med detta avses uppgifter som antingen finns i eller har inhämtats från informationssystemet för viseringar (VIS). Som beskrivs i de följande avsnitten kommer särskilda bestämmelser

Genomförandet av rådsbeslutet Ds 2011:27

ater.

att gälla för uppgifter som har hämtats in från VIS, bl.a. användningsbegränsningar och särskilda krav på gallring av sådana uppgifter. Det väcker frågan hur man ska betrakta information, som i och för sig finns i VIS och som har inhämtats av brottsbekämpande myndigheter, men som också under utredningen har bekräftats på annat sätt. Det kan t.ex. gälla uppgifter som kommer fram under ett förhör eller finns i ett beslagtaget pass eller någon annan handling. Ska även sådana uppgifter betraktas som VISuppgifter därför att de belyser samma förhållanden som informationen i VIS? En sådan tolkning skulle föra alltför långt. Begreppet VIS-uppgift bör därför, utöver de uppgifter som finns i själva informationssystemet VIS, endast avse de uppgifter som direkt har hämtats in från VIS och som antingen finns i en utskrift eller motsvarande eller – om uppgifterna har förmedlats muntligen – har nedtecknats i anslutning till sökning i informationssystemet. Det förhållandet att ett förhör hålls angående förhållanden som belyses i en sådan handling innebär således inte att det skapas VIS-uppgifter.

I artikel 2.2 i rådsbeslutet klargörs att de definitioner som finns i VIS-förordningen även gäller för rådsbeslutet. I artikel 4 i VIS-förordningen definieras bl.a. olika typer av visering, viseringsmärke, viseringsmyndighet, sökande och resehandling. Dessa definitioner gäller således men föranleder ingen lagstiftningsåtgärd.

Som tidigare nämnts har Island, Norge och Schweiz slutit avtal med EU som innebär att staterna godtar Schengenregelverket och dess utveckling med vissa undantag och tillägg.3 Vad som i fortsättningen sägs om medlemsstater gäller därför även dessa stater, dvs. samtliga Schengenst

3 Detsamma gäller Liechtenstein men Liechtensteins associering har ännu inte genomförts i svensk lagstiftning, se prop. 2010/11:159.

Ds 2011:27 Genomförandet av rådsbeslutet

7.4. Behörig myndighet och central åtkomstpunkt

Förslag: Behöriga myndigheter, dvs. Rikspolisstyrelsen,

polismyndigheter, Ekobrottsmyndigheten (när den bedriver polisverksamhet), Tullverket och Kustbevakningen, ska ha rätt att få tillgång till uppgifter i VIS med stöd av rådsbeslutet. Detta ska framgå av lagen om internationellt polisiärt samarbete.

Rikspolisstyrelsen ska vara s.k. central åtkomstpunkt. Det innebär att styrelsen ska genomföra sökningarna i VIS och ge övriga behöriga svenska myndigheter tillgång till VIS-uppgifter. Rikspolisstyrelsen ska föra en förteckning över de driftsenheter vid de behöriga myndigheterna som ska ha tillgång till VIS-uppgifter genom den centrala åtkomstpunkten. Endast vederbörligen bemyndigad personal vid dessa driftsenheter och vid den centrala åtkomstpunkten ska få hantera VIS-uppgifter. Allt detta regleras i förordning.

Skälen för förslaget: I artikel 3 i rådsbeslutet föreskrivs vilka

myndigheter som ska kunna få tillgång till uppgifter i VIS. Varje medlemsstat ska utse de nationella brottsbekämpande myndigheter som ska kunna få tillgång till VIS-uppgifter (i rådsbeslutet benämnda utsedda myndigheter) samt en eller flera s.k. centrala åtkomstpunkter genom vilken eller vilka åtkomsten ska ske.

Regeringen beslutade, som tidigare nämnts, den 4 december 2008 att i en förklaring till kommissionen och rådets generalsekretariat anmäla att Rikspolisstyrelsen (inklusive Säkerhetspolisen), polismyndigheterna, Ekobrottsmyndigheten (när den bedriver polisverksamhet), Tullverket och Kustbevakningen ska vara behöriga myndigheter i Sverige och att Rikspolisstyrelsen ska vara central åtkomstpunkt (dnr Ju2008/10131/PO). Vilka myndigheter som är behöriga bör framgå av författning. Att Rikspolisstyrelsen ska vara central åtkomstpunkt bör återspeglas genom en komplettering av myndighetens instruktion.

Genomförandet av rådsbeslutet Ds 2011:27

Enligt artikel 3 i rådsbeslutet ska varje medlemsstat på nationell nivå föra en förteckning över de driftsenheter inom de behöriga myndigheterna som ska kunna få tillgång till uppgifter i VIS genom den centrala åtkomstpunkten. Endast vederbörligen bemyndigad personal vid dessa driftsenheter och den centrala åtkomstpunkten ska kunna medges tillgång till VIS-uppgifter. Genomförandet av rådsbeslutet i dessa delar kräver författningsreglering, men bestämmelserna kan genomföras på förordningsnivå.

Uppgiften att utse driftsenhet bör ankomma på varje behörig myndighet, vilket bör framgå av förordning. Rådsbeslutet innehåller få krav på dessa enheter. Ett sådant är krav på särskild utbildning av enheternas personal. Driftsenheter utanför polisväsendet måste vidare kunna uppfylla de krav i fråga om datasäkerhet som den centrala åtkomstpunkten ställer upp. Driftsenheten måste rimligen också kunna uppfylla vissa krav på tillgänglighet.

Det ligger i sakens natur att antalet driftsenheter inte bör vara alltför många. Det torde inte finnas något som hindrar att t.ex. flera polismyndigheter har en gemensam driftsenhet. Å andra sidan kan vissa myndigheter av geografiska eller organisatoriska skäl ha behov av att kunna peka ut flera driftsenheter. Rikspolisstyrelsen skulle exempelvis kunna peka ut sina operativa organ Säkerhetspolisen och Rikskriminalpolisen som driftsenheter om det anses lämpligt.

Syftet med bestämmelserna om central åtkomstpunkt och driftsenheter torde framför allt vara att tillgodose datasäkerheten för VIS. När VIS-uppgift har förts in i en annan datamiljö, t.ex. fogats till materialet i en förundersökning, gör sig inte kraven på datasäkerhet för VIS längre gällande. Uppgifterna får då behandlas enligt de vanliga reglerna för personuppgiftsbehandling i den brottsbekämpande verksamheten, dock alltid med beaktande av de särskilda begränsningar som gäller enligt rådsbeslutet för behandling och bevarande av VIS-uppgifter (se bl.a. avsnitt 7.8 och 7.11).

Ds 2011:27 Genomförandet av rådsbeslutet

7.5. Villkor för tillgång till VIS-uppgifter för behöriga myndigheter

Förslag: Villkoren för de behöriga myndigheternas tillgång

till VIS-uppgifter lagregleras.

Skälen för förslaget

Innehållet i rådsbeslutet

I artikel 5 i rådsbeslutet anges villkoren för att behöriga myndigheter ska få tillgång till VIS-uppgifter. En grundläggande förutsättning är att sökningen faller inom myndighetens behörighetsområde. Dessutom anges i artikeln vilka närmare villkor som ska vara uppfyllda. Till en början krävs att sökningarna är nödvändiga för att förebygga, upptäcka eller utreda terroristbrott eller andra grova brott. Sökningarna ska vidare vara nödvändiga i ett specifikt ärende. Rådsbeslutet innehåller inte någon definition av uttrycket ”specifikt ärende”. Det ska också finnas rimliga skäl att anse att inhämtande av VIS-uppgifter väsentligen kommer att bidra till att brotten i fråga förebyggs, upptäcks eller utreds.

Den centrala åtkomstpunkten ansvarar för att villkoren för sökning i VIS är uppfyllda innan den behandlar en begäran från en driftsenhet vid en behörig myndighet.

Hur bör regleringen utformas?

De i artikel 5.1 angivna förutsättningarna för när en myndighet ska kunna få tillgång till uppgifter i VIS, dvs. behovet av uppgifter och förväntat resultat, saknar av naturliga skäl motsvarighet i svensk rätt. Författningsbestämmelser som genomför rådsbeslutet i denna del krävs således. Frågan är om bestämmelserna behöver ges lagform. I propositionen om godkännande av rådsbeslutet gjorde regeringen den preliminära bedömningen att

Genomförandet av rådsbeslutet Ds 2011:27

författningsbestämmelserna i denna del kan regleras på förordningsnivå (prop. 2007/08:132 s. 10 f.).

Som redovisas i avsnitt 7.2 bör de grundläggande bestämmelserna om tillgång till VIS-uppgifter ges lagform. Dit hör regleringen av förutsättningarna för att få söka i VIS. Den bedömning som gjordes i propositionen om godkännande av rådsbeslutet, före grundlagsreformen, bör därför frångås.

Mot bakgrund av att rådsbeslutet har tillskapats som ett led i kampen mot terrorism och andra grova brott och att det innehåller strikta krav i fråga om skydd av VIS-uppgifter, bör regleringen utformas i nära anslutning till hur rådsbeslutet har formulerats för att säkerställa skyddet för VIS. I sammanhanget kan anmärkas att rådsbeslutet i fråga om villkoren för tillgång har formulerats med VIS-förordningen – som är direkt tillämplig i svensk rätt – som mönster. Även detta talar för att välja en utformning av reglerna som i väsentliga delar motsvarar vad som i övrigt gäller i svensk rätt i fråga om tillgång till VIS-uppgifter.

Vilka brott ska kunna ligga till grund för sökning i VIS?

Enligt artikel 1 i rådsbeslutet ska syftet med en sökning i VIS vara att förebygga, upptäcka eller utreda terroristbrott eller andra grova brott. I artikel 2 definieras, som tidigare nämnts, vad som avses med terroristbrott respektive grova brott. Begreppet terroristbrott avspeglas i svensk lagstiftning huvudsakligen genom 2, 4 och 5 §§ lagen (2003:148) om straff för terroristbrott. När en ändring gjordes i rambeslutet om bekämpande av terrorism, som innebar att vissa anknytande gärningar ska vara kriminaliserade, genomfördes ändringarna i en ny lag, lagen (2010:299) om straff för offentlig uppmaning, rekrytering och utbildning avseende terroristbrott och annan särskilt allvarlig brottslighet. Som särskilt allvarlig brottslighet enligt 2010 års lag anses även brott enligt 3 § lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall (finansieringslagen). Finansieringslagen genomför den internationella konventionen om bekäm-

Ds 2011:27 Genomförandet av rådsbeslutet

pande av finansiering av terrorism som antogs av Förenta nationernas generalförsamling den 9 december 1999. Förutom brott enligt 2010 års lag får således brott enligt finansieringslagen anses utgöra terroristbrott enligt definitionen i rådsbeslutet.

Begreppet grova brott såsom det definieras i artikel 2 avspeglas i svensk lagstiftning genom bilagan till lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder (arresteringsorderlagen). Uppräkningarna av brott i lagen om straff för terroristbrott och i bilagan till arresteringsorderlagen sammanfaller till stora delar. I avsnitt 7.3 konstateras att det nu aktuella rådsbeslutet inte bör föranleda att någon definition av de båda begreppen införs. I stället bör hänvisningar göras till de redan vedertagna tolkningarna av dessa båda begrepp.

Syftet med regleringen i rådsbeslutet torde vara att säkerställa att brottsbekämpande myndigheter ska kunna få tillgång till uppgifter i VIS endast i de fall där brottsligheten är så allvarlig att skälen för att ge insyn i VIS väger tyngre än de motstående intressena. I rådsbeslutet ställs emellertid inte något krav på att det ska vara fråga om exakt samma brottstyper som de som har utpekats vid genomförandet av de ovan nämnda rambesluten. Det ska enligt artikel 2.1 punkterna c och d vara fråga om brott som ”motsvarar eller är likvärdiga med” sådana brott. Även om det eventuellt skulle finnas ett begränsat utrymme för att i nationell rätt peka ut någon ytterligare brottstyp som grund för en sökning i VIS är det tveksamt om det finns skäl att göra detta. Av integritetsskäl bör möjligheterna att söka i VIS vara väl definierade och avgränsade. Detta uppnås bäst genom hänvisningar till inarbetade regleringar.

För att en sökning i VIS ska få göras bör således den som begär sökningen kunna hänföra begäran till att den behövs i ett specifikt ärende som avser terroristbrott eller annat grovt brott enligt de författningar som angetts ovan.

Genomförandet av rådsbeslutet Ds 2011:27

Övriga villkor för sökning

Det krävs enligt rådsbeslutet att sökningen sker i syfte att förebygga, upptäcka eller utreda terroristbrott eller andra grova brott. Sökning i VIS kan således aktualiseras både vid underrättelsearbete och förundersökning, under förutsättning att det brott som undersöks är av ovan angivet slag. I rådsbeslutet används endast begreppet brott, såväl då det är fråga om att förebygga och upptäcka som att utreda brott, medan man i svensk lagstiftning skiljer mellan underrättelseverksamhet som innebär att förebygga, förhindra och upptäcka brottslig verksamhet och utredning och beivrande av konkreta brott. Det är rimligt att tolka det i rådsbeslutet använda begreppet brott så att det omfattar såväl konkreta brott som sådan icke-preciserad brottslig verksamhet som är föremål för underrättelseverksamhet.

Slutligen ska det också kunna antas att en sökning i VIS väsentligen kommer att bidra till att brotten i fråga förebyggs, upptäcks eller utreds. Det krävs med andra ord en prognos om vilken betydelse eventuellt förekommande VIS-uppgifter kan ha för brottsutredningen eller underrättelsearbetet.

Samtliga dessa villkor bör återspeglas i regleringen av tillgång till VIS-uppgifter.

7.6. Förfarandet för att få tillgång till VIS-uppgifter

Förslag: Förfarandet för att få tillgång till VIS-uppgifter lag-

regleras.

Skälen för förslaget

Innehållet i rådsbeslutet

Artikel 4 i rådsbeslutet innehåller detaljerade bestämmelser om förfarandet för att få tillgång till uppgifter i VIS. Av artikeln

Ds 2011:27 Genomförandet av rådsbeslutet

framgår att om en behörig myndighet vill få åtkomst till VISuppgifter och villkoren för tillgång till sådana uppgifter är uppfyllda, ska driftsenheten vid den behöriga myndigheten lämna in en motiverad skriftlig eller elektronisk begäran till den centrala åtkomstpunkten. Vid mottagandet av en sådan begäran ska den centrala åtkomstpunkten kontrollera om villkoren för tillgång till VIS-uppgifter är uppfyllda. Om så är fallet ska särskilt angivna tjänstemän vid den centrala åtkomstpunkten behandla begäran, dvs. utföra sökningen.

Förfarandet vid en normal sökning

Tillgången till VIS-uppgifter förutsätter bedömningar i flera steg. Det första steget är att någon vid en behörig myndighet kommer fram till att uppgifter i VIS skulle väsentligen kunna bidra till att viss brottslig verksamhet kan förebyggas eller upptäckas eller att ett visst brott kan utredas och konstaterar att det är fråga om ett brott för vilket en sökning i VIS tillåts. Han eller hon kan då vända sig till myndighetens driftsenhet med en begäran om att en sökning i VIS initieras. Varje behörig myndighet ska, som tidigare nämnts, utse en eller flera driftsenheter genom vilka frågan om sökningar i VIS kanaliseras. En åklagare bör på motsvarande sätt av den polismyndighet (eller annan behörig myndighet) som biträder honom eller henne i en förundersökning kunna begära att en sökning i VIS initieras. Den som väcker frågan om sökning i VIS måste givetvis lämna de uppgifter som behövs för den fortsatta handläggningen av frågan.

Om villkoren i artikel 5 i rådsbeslutet är uppfyllda kan driftsenheten lämna in en motiverad skriftlig eller elektronisk begäran om sökning till den centrala åtkomstpunkten. Av begäran bör det bl.a. framgå

i vilket ärende (vilken förundersökning eller vilket underrättelseärende) som sökningen begärs,

Genomförandet av rådsbeslutet Ds 2011:27

vilket eller vilka brott som misstanken avser eller vilken brottslighet underrättelseärendet omfattar,

vilka VIS-uppgifter sökningen ska omfatta,

vem som beslutat om begäran om sökning i VIS, och

varför sökningen i VIS bedöms vara nödvändig.

Därefter ska den centrala åtkomstpunkten kontrollera om villkoren i artikel 5.1 är uppfyllda. Hur denna kontroll ska gå till, t.ex. om den ska skötas manuellt eller tekniskt, framgår inte av rådsbeslutet. Mot bakgrund av att den centrala åtkomstpunkten ansvarar för att kontrollera att villkoren för åtkomst är uppfyllda, torde enbart en maskinell kontroll av att exempelvis samtliga fält i en ansökan är ifyllda inte vara tillräcklig. Av naturliga skäl kommer det dock i praktiken att vara svårt för den centrala åtkomstpunkten att kontrollera innehållet i de uppgifter som den behöriga myndigheten lämnar som underlag för sin framställan. Det ligger därför närmast till hands att förstå bestämmelserna i rådsbeslutet så att den centrala åtkomstpunkten normalt ska godta de uppgifter som en behörig myndighet lämnar och lägga dem till grund för sin bedömning av om villkoren är uppfyllda. Vid behov kan den centrala åtkomstpunkten begära att den behöriga myndigheten kompletterar eller förtydligar sin framställning, t.ex. om det inte framgår i vilket ärende eller för vilket brott sökning begärs. Den centrala åtkomstpunkten bör således kontrollera att den information som lämnas är adekvat i förhållande till de krav som ställs i artikel 5.1 i rådsbeslutet. Om samtliga villkor för åtkomst är uppfyllda ska den centrala åtkomstpunkten behandla begäran.

Det finns av naturliga skäl inga svenska författningsbestämmelser som reglerar förfarandet för tillgång till VIS-uppgifter. Sådana bestämmelser måste således införas. Som anges i avsnitt 7.2 bör de grundläggande bestämmelserna om tillgång till VISuppgifter regleras i lag. De centrala bestämmelserna om förfa-

Ds 2011:27 Genomförandet av rådsbeslutet

randet för att få tillgång till VIS-uppgifter får anses vara av den karaktären.

Endast de befattningshavare vid den centrala åtkomstpunkten som är särskilt utpekade för uppgiften får göra sökningar i VIS (artikel 3.6). Detta kan regleras i förordning.

Sökning i brådskande undantagsfall

I ett brådskande undantagsfall får, enligt artikel 4.2, den centrala åtkomstpunkten omedelbart behandla en skriftlig, elektronisk eller t.o.m. en muntlig begäran och ge tillgång till VIS-uppgifter. Först i efterhand ska den centrala åtkomstpunkten kontrollera att alla villkor för åtkomst enligt artikel 5.1 var uppfyllda. I det inryms även kontroll av huruvida det rört sig om det rådsbeslutet benämner brådskande undantagsfall. Denna kontroll ska enligt rådsbeslutet äga rum utan oskälig fördröjning efter det att begäran har behandlats.

Regleringen innebär att den centrala åtkomstpunkten i brådskande fall i praktiken kommer utföra sökningar i VIS som grundas på den behöriga myndighetens bedömning att villkoren för tillgång till VIS-uppgifter är uppfyllda och att saken brådskar. Som tidigare nämnts kommer den centrala åtkomstpunkten dessutom i praktiken att få godta de uppgifter som de behöriga myndigheterna lämnar i sina framställningar. Detta visar på vikten av att även den behöriga myndigheten gör en noggrann bedömning av om villkoren för åtkomst är uppfyllda. Det är också viktigt att de behöriga myndigheterna eftersträvar en gemensam lägsta standard för vad en begäran om tillgång till uppgifter i VIS ska innehålla.

När den centrala åtkomstpunkten har genomfört en brådskande sökning ska den genast kontrollera att villkoren för tillgång till VIS-uppgifter var uppfyllda och att det förelåg fara i dröjsmål. Det framgår inte av artikel 4 vad som gäller om det vid denna kontroll skulle visa sig att förutsättningarna för att hämta in uppgifter från VIS inte var uppfyllda. Enligt artikel 13.1 får

Genomförandet av rådsbeslutet Ds 2011:27

emellertid uppgifter som har hämtats in från VIS endast bevaras när det är nödvändigt i ett enskilt fall och för ändamål som anges i rådsbeslutet. I artikel 13.3 föreskrivs vidare att all annan användning av VIS-uppgifter ska anses vara otillbörlig användning av uppgifterna. Det får således anses följa en skyldighet att omedelbart gallra sådana uppgifter som på felaktiga grunder har hämtats in från VIS (se vidare avsnitt 7.11).

7.7. Bestämmelser om sökning i VIS

Förslag: Rådsbeslutets bestämmelser om vilka typer av upp-

gifter som får användas för sökning i VIS genomförs i lagen om internationellt polisiärt samarbete. Endast följande uppgifter får användas som sökbegrepp vid sökning i VIS:

  • nuvarande och tidigare efternamn, förnamn, kön, födelsedatum, födelseort och födelseland,
  • nuvarande medborgarskap och medborgarskap vid födseln,
  • resehandlingens typ och nummer, utfärdande myndighet, dag för utfärdande och sista giltighetsdag,
  • huvuddestination och den planerade vistelsens varaktighet,
  • syftet med resan,
  • planerad ankomst- och avresedag,
  • planerad gränsövergång för första inresa eller transiteringsväg,
  • bostad,
  • fingeravtryck,
  • typ av visering och viseringsmärkets nummer, och
  • uppgifter om den som har bjudit in den som söker visum eller har åtagit sig att stå för hans eller hennes levnadskostnader under vistelsen.

Ds 2011:27 Genomförandet av rådsbeslutet

Om sökningen ger resultat ges också tillgång till vissa andra uppgifter, bl.a. fotografier.

Skälen för förslaget: I avsnitt 4.3.3 har redovisats vilka uppgifter

i en visumansökan som ska registreras i VIS. Som framgår där ska dels uppgifter om sökanden (inklusive fotografi och fingeravtryck) registreras, dels uppgifter om den som har bjudit in sökanden eller som har åtagit sig att stå för hans eller hennes levnadsomkostnader under vistelsen. Även uppgifter om den planerade vistelsen, däribland destination, varaktighet, bosättning och sysselsättning samt planerad gränsövergång för första inresa eller transitväg, ska registreras. Om en viseringsmyndighet fattar beslut om att bl.a. bevilja, återkalla eller avslå en visumansökan, ska vissa kompletterande uppgifter, inklusive skälen för beslutet, registreras. Om exempelvis ansökan avslagits på grund av att resehandlingar saknats eller är förfalskade, eller därför att sökanden har ansetts utgöra ett hot mot en medlemsstats allmänna ordning eller inre säkerhet, ska ansökningsakten kompletteras med uppgift om detta. I VIS-förordningen preciseras under vilka förutsättningar olika slags uppgifter i VIS får användas av olika myndigheter.

Artikel 5.2 i rådsbeslutet innehåller bestämmelser om vilka typer av uppgifter som får användas för sökning i VIS. Sökning får endast ske på någon eller några av följande särskilt angivna uppgifter i ansökningsakten:

  • efternamn, efternamn vid födseln (tidigare efternamn), förnamn, kön, födelsedatum, födelseort och födelseland,
  • nuvarande medborgarskap och medborgarskap vid födseln,
  • resehandlingens typ och nummer, utfärdande myndighet, dag för utfärdande och sista giltighetsdag,
  • huvuddestination och den planerade vistelsens varaktighet,
  • syftet med resan,

Genomförandet av rådsbeslutet Ds 2011:27

  • planerad ankomst- och avresedag,
  • planerad gränsövergång för första inresa eller transiteringsväg,
  • bostad,
  • fingeravtryck,
  • typ av visering och viseringsmärkets nummer, och
  • uppgifter om den person som har bjudit in eller åtagit sig att stå för sökandens levnadskostnader under vistelsen.

Enligt artikel 5.3 innebär en träff vid sökning i VIS att det ges tillgång dels till samtliga de uppgifter som anges i artikel 5.2, dels till följande ytterligare uppgifter:

  • eventuella övriga uppgifter som hämtas från ansökningsakten,
  • fotografier, och
  • eventuella uppgifter om utfärdade, vägrade, återkallade eller förlängda viseringar.

Om en sökning i VIS leder till en träff kommer alltså den behöriga myndigheten, så som rådsbeslutet är utformat, att ges tillgång till en stor mängd uppgifter. Detta gäller oavsett om sökningen bara tagit sikte på någon enstaka VIS-uppgift som exempelvis när och var inresa ska ske.

För att upprätthålla ett tillfredsställande integritetsskydd är det av stor vikt att sökningarna inte tillåts bli alltför breda. För att svensk rätt ska leva upp till de krav som ställs i rådsbeslutet krävs det författningsbestämmelser. I propositionen om godkännande av rådsbeslutet gjorde regeringen den preliminära bedömningen att reglerna i denna del kan införas i förordning (prop. 2007/08:132 s. 11).

Sett ur integritetssynpunkt är en av de viktigaste frågorna i vilken utsträckning VIS-uppgifter får sökas och användas för

Ds 2011:27 Genomförandet av rådsbeslutet

brottsbekämpande ändamål. Mot bakgrund av de ändamål för vilka VIS-uppgifterna har samlats in, informationssystemets omfattning, att ett flertal myndigheter kommer att kunna begära ut uppgifter ur VIS, samt den stora mängd uppgifter om en person som myndigheten ges tillgång till då sökningen leder till träff, är frågan under vilka förutsättningar de brottsbekämpande myndigheterna ska tillåtas få tillgång till VIS-uppgifter av avgörande betydelse från integritetssynpunkt. Även om det i och för sig inte finns något lagtekniskt hinder mot att sökförfarandet regleras i förordning, talar omständigheterna sammantaget för att frågan bör lagregleras. För att uppnå enhetlighet när det gäller regleringen av tillgång till uppgifter i VIS (jfr VIS-förordningens regler) bör regleringen även omfatta en bestämmelse som anger vilka VIS-uppgifter som de behöriga myndigheterna ges tillgång till när en sökning leder till träff.

Det bör i sammanhanget framhållas att rådsbeslutet även innehåller andra bestämmelser som syftar till att åstadkomma ett gott skydd för den personliga integriteten vid behandling av VIS-uppgifter, t.ex. bestämmelser om för vilka ändamål VISuppgifter får vidarebehandlas och krav på utbildning av den personal som ska behandla sådana uppgifter.

7.8. Användningsbegränsningar

Förslag: Skyldigheten enligt rådsbeslutet att endast behandla

VIS-uppgifter för vissa angivna ändamål regleras i lagen om internationellt polisiärt samarbete.

Skälen för förslaget: Rådsbeslutet innehåller uttryckliga be-

stämmelser som begränsar rätten att behandla personuppgifter som har hämtats in från VIS med stöd av rådsbeslutet. Enligt artikel 8.3 får uppgifterna endast behandlas i syfte att förhindra, upptäcka, utreda och åtala terroristbrott eller andra grova brott. En svensk myndighet kan behöva inhämta uppgifter från VIS

Genomförandet av rådsbeslutet Ds 2011:27

därför att uppgifterna behövs i underrättelseverksamhet eller i en förundersökning. I den nya polisdatalagen finns bestämmelser som anger för vilka ändamål uppgifter får behandlas i den brottsbekämpande verksamheten. Motsvarande gäller för de andra myndigheternas författningar om personuppgiftsbehandling. Varken polisdatalagen eller någon av de andra myndighetsförfattningarna innehåller av naturliga skäl några bestämmelser som innebär att uppgifter som inhämtats från VIS inte får behandlas för andra ändamål än de som anges i rådsbeslutet. För att genomföra rådsbeslutet krävs det således regler om detta.

I 3 § lagen om internationellt polisiärt samarbete föreskrivs att om en svensk myndighet har fått uppgifter eller bevisning som har överlämnats från en annan stat för att användas i underrättelseverksamhet om brott och det på grund av en överenskommelse med den andra staten följer villkor som begränsar möjligheten att utnyttja materialet, ska den svenska myndigheten följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författning (s.k. användningsbegränsning). Bestämmelserna gäller också i fråga om överenskommelser med mellanfolkliga organisationer. En liknande bestämmelse finns i 4 kap. 2 § lagen (2000:1219) om internationellt tullsamarbete. Motsvarande reglering finns i 5 kap. 1 § lagen (2000:562) om internationell rättslig hjälp i brottmål i fråga om uppgifter som erhålls genom rättslig hjälp. Bestämmelserna innebär att svenska regler om hur myndigheter ska handla i olika avseenden, exempelvis reglerna om att inleda förundersökning eller skyldighet att lämna information till andra myndigheter, inte ska tillämpas i den utsträckning de strider mot villkoren i överenskommelsen med den andra staten eller mellanfolkliga organisationen.

Eftersom uppgifter ur VIS hämtas från en EU-gemensam databas skiljer sig dock det informationsutbyte som regleras i rådsbeslutet från sådant informationsutbyte som sker mellan stater (prop. 2007/08:132 s. 12). Frågan är därför om 3 § lagen om internationellt polisiärt samarbete kan anses tillämplig på uppgifter som svenska myndigheter inhämtar från VIS med stöd av rådsbeslutet. Det förutsätter att Sverige kan anses ha fått uppgifterna

Ds 2011:27 Genomförandet av rådsbeslutet

direkt från en annan stat, vilket kan ifrågasättas. Även om paragrafen skulle anses tillämplig vad gäller uppgifter som en annan medlemsstat har fört in i VIS är det än mera tveksamt om den kan anses tillämplig på uppgifter som Sverige själv har fört in i VIS och som erhålls vid sökning (a. prop.). Samma oklarhet torde råda vad gäller tillämpligheten av reglerna om användningsbegränsningar i 4 kap. 2 § lagen om internationellt tullsamarbete och 5 kap. 1 § lagen om internationell rättslig hjälp i brottmål.

Mot bakgrund av den tveksamhet som uttalats i propositionen om godkännande av rådsbeslutet om huruvida regeln om användningsbegränsningar i 3 § lagen om internationellt polisiärt samarbete kan anses tillämplig och då svenska brottsbekämpande myndigheter främst kan antas komma att vara intresserade av uppgifter som tillförs VIS av svenska viseringsmyndigheter, bör de användningsbegränsningar som följer av rådsbeslutet regleras särskilt.

För att uppfylla rådsbeslutets krav bör det således införas en generell bestämmelse i den svenska lagstiftningen som reglerar hur VIS-uppgifter som har hämtats in med stöd av rådsbeslutet får användas. En sådan bestämmelse kräver lagform. Detta sammanhänger med att användningsbegränsningar kan komma i konflikt med bestämmelser i lag om en myndighets skyldighet att utreda brott eller att vidta andra åtgärder för att fullgöra sina uppgifter. Som exempel kan nämnas att en polismyndighet eller en åklagare enligt 23 kap. 1 § rättegångsbalken i princip är skyldig att inleda förundersökning så snart det finns anledning att anta att ett brott som hör under allmänt åtal har begåtts (jfr prop. 1990/91:131 s. 14 f.).

En konsekvens av att det införs en regel om användningsbegränsningar för VIS-uppgifter blir att polisen och andra myndigheter som tar emot och behandlar VIS-uppgifter måste märka dessa eller på annat sätt säkerställa att rådsbeslutets regler om användningsbegränsningar efterlevs.

Det bör anmärkas att Utredningen om informationsutbyte vid brottsbekämpning m.m. har haft till uppgift att föreslå de

Genomförandet av rådsbeslutet Ds 2011:27

lagändringar som krävs för genomförandet av dataskyddsrambeslutet (se avsnitt 6.1.6). Utredningen har i delbetänkandet Dataskydd vid europeiskt polisiärt och straffrättsligt samarbete (SOU 2011:20) föreslagit en särskild lag om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom EU. Betänkandet är nu föremål för remissbehandling. Någon hänsyn till betänkandets förslag har inte tagits i denna promemoria.

7.9. Dataskydd

7.9.1. Dataskyddsnivå och datasäkerhet

Bedömning: Den svenska lagstiftningen uppfyller rådsbeslu-

tets krav på dataskydd och datasäkerhet.

Skälen för bedömningen

Dataskydd

Artikel 8.1 föreskriver en lägsta nivå för det dataskydd som ska gälla för behandlingen av personuppgifter som inhämtats med stöd av rådsbeslutet. Av artikeln framgår att behandlingen av personuppgifter ska följa dels bestämmelserna om skydd av personuppgifter i rådsbeslutet, dels den nationella rätten i den medlemsstat som inhämtar uppgifter. Varje medlemsstat ska säkerställa en skyddsnivå i nationell rätt som minst motsvarar vad som krävs enligt dataskyddskonventionen (se avsnitt 6.1.3) och, för de medlemsstater som har ratificerat det, tilläggsprotokollet av den 8 november 2001 till konventionen. Sverige har ratificerat både dataskyddskonventionen och tilläggsprotokollet. Vidare ska Europarådets ministerkommittés rekommendation nr R (87) 15 av den 17 september 1987 om polisens användning av personuppgifter beaktas. Rekommendationen innehåller grund-

Ds 2011:27 Genomförandet av rådsbeslutet

läggande skyddsbestämmelser som ska tillämpas vid automatisk behandling av personuppgifter inom polisens verksamhet.

Som tidigare nämnts (avsnitt 6.1.6) trädde dataskyddsrambeslutet i kraft den 19 januari 2009. I dess artikel 28 regleras förhållandet mellan rambeslutet och tidigare antagna unionsakter. Finns det bestämmelser som reglerar utbyte av personuppgifter eller tillgång till informationssystem som inrättats enligt EUfördraget och som innehåller särskilda villkor för mottagarens användning av uppgifterna, ska dessa villkor ha företräde framför dataskyddsrambeslutets regler. Eftersom rådsbeslutet om brottsbekämpande myndigheters tillgång till VIS trädde i kraft den 2 september 2008 gäller således rådsbeslutets reglering om dataskydd framför den generella regleringen i dataskyddsrambeslutet. I den utsträckning det saknas särskilda regler i rådsbeslutet gäller dock regleringen i dataskyddsrambeslutet

Datasäkerhet

Artikel 9 i rådsbeslutet innebär en skyldighet för medlemsstaterna att i olika avseenden garantera säkerheten för VIS-uppgifter under och efter överföringen till de behöriga myndigheterna. Varje medlemsstat ska besluta om nödvändiga säkerhetsåtgärder när det gäller uppgifter som den inhämtar från VIS enligt rådsbeslutet och därefter lagrar. Syftet med säkerhetsåtgärderna ska bl.a. vara att hindra att obehöriga personer får tillgång till VISuppgifter samt att garantera att det finns möjlighet att kontrollera vilka uppgifter som har inhämtats, vem som har inhämtat dem och för vilket ändamål. Bestämmelserna överensstämmer i allt väsentligt med artikel 118 i Schengenkonventionen, som reglerar datasäkerhet för uppgifter i Schengens informationssystem (SIS). Den bestämmelsen har inte ansetts kräva någon lagstiftningsåtgärd, eftersom de grundläggande kraven i personuppgiftslagen har bedömts vara tillräckliga (prop. 1999/2000:64 s. 148). Av artikel 4.1 i rådsbeslutet framgår vidare att de VIS-uppgifter till vilka åtkomst ges ska överföras till driftsenheterna vid de

Genomförandet av rådsbeslutet Ds 2011:27

behöriga myndigheterna på ett sådant sätt att det inte hotar uppgifternas säkerhet

Behövs det författningsändringar?

De grundläggande kraven i 9 § första stycket personuppgiftslagen innebär i huvudsak att en personuppgiftsansvarig ska se till att personuppgifter behandlas bara om det är lagligt, att uppgifterna alltid behandlas på ett korrekt sätt, att uppgifter samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och att de inte behandlas för något ändamål som är oförenligt med det för vilket de samlades in. Enligt paragrafen ska alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna uppgifter som är felaktiga eller ofullständiga i förhållande till ändamålen. Allmänna krav på säkerhet vid behandling av personuppgifter regleras i 31 § personuppgiftslagen Enligt denna bestämmelse ska den personuppgiftsansvarige bl.a. vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.

Nämnda bestämmelser i personuppgiftslagen är tillämpliga vid polisens behandling av personuppgifter, eftersom det i 2 kap. 2 § första stycket 3 och 7 den nya polisdatalagen finns en uttrycklig hänvisning till dessa. Även i Tullverkets brottsbekämpande verksamhet är de aktuella bestämmelserna tillämpliga, se 6 § första stycket 3 och 6 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Förordningen (2003:188) om behandling av personuppgifter i Kustbevakningen gäller utöver personuppgiftslagen men har inga särbestämmelser i detta avseende, vilket innebär att personuppgiftslagens bestämmelser gäller. I promemorian med förslag till ny kustbevakningsdatalag föreslås i 2 kap. 2 § 3 och 7 hänvisningar till nyssnämnda bestämmelser i personuppgiftslagen (Ds 2011:16 s. 13 f).

Det förhållandet att VIS även innehåller vissa uppgifter som inte kan anses vara personuppgifter innebär inte något problem,

Ds 2011:27 Genomförandet av rådsbeslutet

eftersom man i praktiken tillämpar samma dataskydd för sådana uppgifter.

I tidigare lagstiftningsärenden har svensk rätt bedömts uppfylla den allmänna skyddsnivå som dataskyddskonventionen kräver (se bl.a. prop. 1999/2000:64 s. 147 f.). I propositionen om godkännande av rådsbeslutet gjordes också bedömningen att rådsbeslutets krav är uppfyllda (prop. 2007/08:132 s. 13). Något skäl att frångå denna bedömning har inte framkommit. Det krävs således inte några lagstiftningsåtgärder, eftersom svensk rätt redan uppfyller rådsbeslutets krav på dataskydd och datasäkerhet.

7.9.2. Överföring av uppgifter till tredjeland

Enligt artikel 8.4 i rådsbeslutet får personuppgifter som inhämtats från VIS med stöd av rådsbeslutet inte överföras eller göras tillgängliga för ett tredjeland eller en internationell organisation. I ett brådskande undantagsfall får sådana uppgifter dock överföras till eller göras tillgängliga för ett tredjeland eller en internationell organisation uteslutande i syfte att förebygga och upptäcka terroristbrott och andra grova brott och i enlighet med de förutsättningar för sökning av VIS-uppgifter som gäller enligt rådsbeslutet. Sådan överföring förutsätter dock att den medlemsstat som registrerat uppgifterna samtycker till det och att det sker i enlighet med nationell rätt i den medlemsstat som överför uppgifterna eller gör dem tillgängliga.

Enligt 33 § personuppgiftslagen får personuppgifter som är under behandling inte föras över till tredjeland om det mottagande landet inte har en adekvat nivå för skyddet av personuppgifter. Från förbudet finns vissa undantag i 34 §, bl.a. för överföring till länder som har anslutit sig till dataskyddskonventionen. Enligt 35 § personuppgiftslagen har regeringen också möjlighet att föreskriva ytterligare undantag från förbudet, bl.a. om det behövs med hänsyn till ett viktigt allmänt intresse. Bestämmelserna är tillämpliga på personuppgiftsbehandling i polisens verk-

Genomförandet av rådsbeslutet Ds 2011:27

samhet (2 kap. 2 § första stycket 8 den nya polisdatalagen) och, eftersom det inte finns några avvikande bestämmelser i förordningen om behandling av personuppgifter inom Kustbevakningen, även i dess verksamhet. De föreslås också vara tillämpliga enligt 2 kap. 2 § första stycket 8 förslaget till ny kustbevakningsdatalag (Ds 2011:16 s. 15). När det gäller Tullverket finns bestämmelser om utbyte av uppgifter i 2 kap.6 och 7 §§ lagen (2000:1219) om internationellt tullsamarbete. Av bestämmelserna framgår bl.a. att en behörig svensk myndighet på eget initiativ eller efter ansökan får lämna ut uppgifter till en behörig utländsk myndighet, under förutsättning att uppgifterna är tillgängliga enligt svensk lag eller administrativ praxis. Svenska myndigheter har då en möjlighet att ställa upp villkor för användningen av de upplysningar eller det bevismaterial som lämnas ut.

Till skillnad mot bestämmelserna i personuppgiftslagen är förbudet i rådsbeslutet mot att överföra personuppgifter som har inhämtats från VIS med stöd av rådsbeslutet inte avhängigt av dataskyddsnivån i det mottagande landet. Som huvudregel gäller i stället ett absolut förbud mot att överföra personuppgifter till tredjeland. För att uppfylla skyldigheten i rådsbeslutet behövs därför en bestämmelse i nationell rätt. Av samma skäl som redovisats i avsnitt 7.8 bör även denna begränsning i rätten att behandla inhämtade VIS-uppgifter ges lagform.

Möjligheten att i brådskande undantagsfall överföra personuppgifter från VIS till tredjeland torde vara avsedd att ge utrymme för att i en situation, där det finns en konkret och överhängande risk för att ett terroristbrott eller annat grovt brott kommer att begås i det landet, kunna bistå med VIS-uppgifter i syfte att förebygga eller upptäcka brottet.

Begränsningen i möjligheterna att föra över personuppgifter till tredjeland gäller inte viseringsuppgifter som har införts i VIS av svenska viseringsmyndigheter. I fråga om sådana uppgifter ska enligt artikel 8.4 nationell rätt tillämpas. Det innebär att reglerna i respektive myndighets registerlagstiftning och personuppgifts-

Ds 2011:27 Genomförandet av rådsbeslutet

lagen gäller för överföring eller tillgängliggörande av sådana uppgifter.

7.9.3. Registrering

Förslag: Skyldigheten att för kontrolländamål registrera all

uppgiftsbehandling som härrör från åtkomst till VIS regleras i förordning. Den centrala åtkomstpunkten ska ansvara för att registreringsskyldigheten uppfylls. I fråga om överföring av personuppgifter till tredjeland ska den som överför uppgifterna, eller gör dem tillgängliga på annat sätt, ansvara för registreringen.

Skälen för förslaget: Rådsbeslutet föreskriver i artikel 16.1 en

skyldighet att säkerställa att all behandling av uppgifter som inhämtats från VIS i enlighet med rådsbeslutet registreras. Bestämmelsen syftar till att göra det möjligt att i efterhand kontrollera att sökningar i VIS och övrig databehandling sker lagenligt och säkert. Av registreringen ska framgå bl.a. ändamålet med sökningen, referensnummer för det nationella registret, datum och exakt tidpunkt för åtkomsten, samt vilka uppgifter och vilken typ av uppgifter som använts för sökningen, vem som beställde och vem som utförde sökningen. Enligt artikel 8.4 ska även sådana överföringar som i brådskande undantagsfall skett till tredjeland registreras. När det gäller ”vilka uppgifter som använts för sökningen” avses de specifika data som användes vid sökningen, t.ex. en viss persons efternamn eller födelseort. När det gäller registrering av ”vilken typ av uppgifter som använts för sökningen” avses det sökbegrepp som användes, dvs. efternamn eller födelseort.

Av artikel 16.2 framgår vidare att registerposter som innehåller personuppgifter, t.ex. namnet på den som utförde sökningen, endast får användas för övervakning av att behandlingen av personuppgifter är lagenlig och för att trygga datasäkerheten. En-

Genomförandet av rådsbeslutet Ds 2011:27

dast registerposter som innehåller uppgifter som inte är personuppgifter får användas för övervakning och utvärdering av hur VIS fungerar.

Av rådsbeslutet framgår inte vem som ska ansvara för att registreringsskyldigheten uppfylls. Det är dock naturligt att denna uppgift läggs på den centrala åtkomstpunkten. Samma bedömning gjordes i propositionen om godkännande av rådsbeslutet (prop. 2007/08:132 s. 16). Registrering av överföring till tredjeland bör dock alltid göras av den myndighet som överför uppgifterna i fråga.

För att återspegla skyldigheten att registrera uppgifter för kontrolländamål krävs det författningsreglering. Skyldigheten att registrera all uppgiftsbehandling som härrör från åtkomst till VIS kan regleras i förordning.

I propositionen om godkännande av rådsbeslutet gjordes bedömningen att de aktuella bestämmelserna i rådsbeslutet innebär en skyldighet för medlemsstaterna att föra register som visar hur inhämtade uppgifter behandlas. Mot bakgrund av att utvecklingen generellt går mot att behandling av personuppgifter i traditionella register överges bör registerbegreppet undvikas. Så länge de uppgifter som enligt rådsbeslutet ska registreras kan sammanställas och göras sökbara och tillgängliga för tillsynsmyndigheten och systemet möjliggör att uppgifterna kan gallras på det sätt som rådsbeslutet föreskriver, bör utgångspunkten vara att skapa en så teknikneutral bestämmelse som möjligt. Den nya förordningsbestämmelsen bör därför endast reglera vilka uppgifter som ska registreras men däremot inte ställa krav på att ett specifikt register ska inrättas.

Enligt artikeln krävs det också särskilda regler om gallring av de registrerade uppgifterna. Den frågan behandlas i avsnitt 7.11.

Ds 2011:27 Genomförandet av rådsbeslutet

7.10. Skadestånd

Förslag: Bestämmelsen i personuppgiftslagen om skadestånd

ska gälla vid behandling av personuppgifter från VIS.

Skälen för förslaget

Innehållet i rådsbeslutet

Artikel 10.1 i rådsbeslutet innehåller bestämmelser om skadestånd. Enligt artikeln har varje person eller medlemsstat som har lidit skada till följd av en otillåten behandling eller av något annat handlande som är oförenligt med bestämmelserna i rådsbeslutet rätt till ersättning av den medlemsstat som är ansvarig för den uppkomna skadan. Denna stat ska emellertid helt eller delvis befrias från detta ansvar om den kan styrka att den inte är ansvarig för den händelse som orsakade skadan.

Enligt artikel 10.2 ska, om en medlemsstats underlåtenhet att uppfylla sina skyldigheter enligt rådsbeslutet orsakar skada på VIS, den medlemsstaten anses ansvarig för skadan, såvida inte en annan medlemsstat har underlåtit att vidta rimliga åtgärder för att förhindra skadan eller för att begränsa dess verkningar. I artikel 10.3 föreskrivs att skadeståndsanspråk mot en medlemsstat för en sådan skada som avses i punkterna 1 och 2 ska regleras genom den nationella lagstiftningen i den medlemsstat som är svarande.

Överväganden

Liksom inom andra områden kan det inte uteslutas att behandling av personuppgifter från VIS förorsakar skada för enskilda eller för medlemsstater. I sådana fall bör skadestånd kunna utgå under samma förutsättningar som gäller för felaktig behandling av personuppgifter enligt personuppgiftslagen, dvs. 48 § person-

Genomförandet av rådsbeslutet Ds 2011:27

uppgiftslagen bör tillämpas. Där föreskrivs att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat. Med skada avses i detta sammanhang personskada, sakskada, och ren förmögenhetsskada. Ersättningsskyldigheten kan – i den utsträckning det är skäligt – jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Skadeståndsbestämmelsen i personuppgiftslagen gäller enligt sin ordalydelse endast vid behandling av personuppgifter i strid mot bestämmelserna i den lagen. En särskild hänvisning måste därför göras till 48 § personuppgiftslagen för att den paragrafen ska gälla för behandling som sker enligt bestämmelser i andra lagar och förordningar (jfr prop. 1997/98:97 s. 90). Den nya polisdatalagen innehåller en sådan hänvisning varför bestämmelsen är tillämplig på polisens personuppgiftsbehandling i dess brottsbekämpande verksamhet. Även Tullverkets behandling av personuppgifter omfattas av personuppgiftslagens bestämmelser om skadestånd (6 § 10 lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet). Förordningen om behandling av personuppgifter inom Kustbevakningen hänvisar i 23 § till personuppgiftslagens bestämmelse om skadestånd. Samma reglering föreslås i den nya kustbevakningsdatalagen (2 kap. 2 § 12, se Ds 2011:16 s. 15).

Mot bakgrund av att det föreslås att de grundläggande bestämmelserna om tillgång till VIS-uppgifter regleras i lagen om internationellt polisiärt samarbete måste en hänvisning göras i den lagen till personuppgiftslagen, för att skadeståndsbestämmelserna i personuppgiftslagen ska gälla för den behandling av personuppgifter som rådsbeslutet kan ge upphov till. Genom propositionen Genomförande av Prümrådsbeslutet – automatiserat uppgiftsutbyte införs i och för sig en sådan bestämmelse (prop. 2010/11:129 s. 15). Enligt den paragrafen ska bestämmelserna i personuppgiftslagen om rättelse och skadestånd gälla vid behandling av personuppgifter enligt lagen om internationellt polisiärt samarbete eller föreskrifter som meddelats med stöd av

Ds 2011:27 Genomförandet av rådsbeslutet

den lagen. Sett till ordalydelsen skulle paragrafen kunna tillämpas även beträffande rättelse och skadestånd på grund av otillåten behandling av VIS-uppgifter. Eftersom bestämmelsen är placerad under rubriken ”Samarbete enligt Prümrådsbeslutet” bör dock paragrafen flyttas och rubriken ges en ny lydelse.

Det bör i detta sammanhang nämnas att personuppgiftslagens skadeståndsbestämmelse endast reglerar skadestånd till den registrerade, medan VIS-förordningens krets av skadeståndsberättigade är betydligt vidare och omfattar varje person och medlemsstat. Skadeståndsskyldighet kan även aktualiseras vid skador på VIS. Att allmänna skadeståndsrättsliga regler tillämpas om en ersättningsfråga inte berörs i den nu aktuella skadeståndsregeln behöver dock inte uttryckligen anges.

7.11. Gallring

Förslag: I förordningen om internationellt polisiärt samar-

bete införs bestämmelser om hur länge VIS-uppgifter som har inhämtats med stöd av rådsbeslutet får bevaras.

Skälen för förslaget

Innehållet i rådsbeslutet

Enligt artikel 23.1 i VIS-förordningen ska varje ansökningsakt lagras i VIS i fem år (se avsnitt 4.3.5.). Rådsbeslutet reglerar bevarande av VIS-uppgifter i nationella register i artikel 13.1. Bestämmelserna innebär en skyldighet för medlemsstaterna att i nationella register gallra sådana VIS-uppgifter som inte längre behövs i ett enskilt fall i enlighet med de ändamål som fastställs i rådsbeslutet. Enligt artikel 13.2 ska gallringsbestämmelsen dock inte inverka när det gäller sådana uppgifter som medlemsstaterna själva har fört in i VIS. Med andra ord ska enligt rådsbeslutet sådana uppgifter som svenska viseringsmyndigheter har lagt in i

Genomförandet av rådsbeslutet Ds 2011:27

VIS och som därefter hämtas in i t.ex. en svensk förundersökning gallras på samma sätt som andra uppgifter som behandlas i brottsbekämpande verksamhet.

VIS-uppgifter som härrör från en annan medlemsstat och som har inhämtats av en svensk behörig myndighet ska däremot gallras enligt bestämmelsen i artikel 13.1. Gallring ska då ske när uppgiften inte längre behövs i det enskilda fallet för det ändamål som sökningen gällde.

Enligt rådsbeslutets artikel 16.3 ska uppgifter som registrerats enligt artikel 16.1 i rådsbeslutet, dvs. uppgifter om vilken behandling av VIS-uppgifter som har förekommit, raderas ett år efter att denna femårsperiod har löpt ut. Det sagda gäller dock inte om registreringen behövs för redan påbörjade tillsynsförfaranden enligt artikel 16.2.

Gallringsregler i polisdatalagen

För polisens brottsbekämpande verksamhet finns gallringsregler i den nya polisdatalagen med tillhörande förordning. I 2 kap. 12 § polisdatalagen (2010:361) finns en generell bestämmelse om längsta tid för bevarande av personuppgifter i den brottsbekämpande verksamheten. Enligt den bestämmelsen får personuppgifter inte bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i lagen. Bestämmelsen ger stöd för att bevara uppgifter inte bara för ett visst utpekat konkret ärende, som en viss förundersökning, utan även för mer övergripande brottsbekämpande ändamål. Bakgrunden till bestämmelsen är att uppgifter i tidigare brottsutredningar och underrättelseärenden ofta får betydelse i senare ärenden men att det, när ett ärende avslutas, kan vara svårt att avgöra om, och på vilket sätt, uppgifterna kan komma att få betydelse i något annat ärende hos polisen. Ärenden kan även av olika anledningar behövas tas upp på nytt.

Regleringen i 2 kap. 12 § polisdatalagen kompletteras av specifika gallringsbestämmelser. När det gäller ärenden om utred-

Ds 2011:27 Genomförandet av rådsbeslutet

ning eller beivrande av brott är dock utgångspunkten att sådana ärenden inte ska gallras. I vissa sådana ärenden föreskrivs istället för gallringsregler en längsta tid för bevarande. Bestämmelserna om längsta tid för bevarande hindrar inte att handlingar arkiveras och gallras enligt arkivlagens (1990:782) bestämmelser. När behandlingen inte längre är tillåten för brottsbekämpande ändamål kan bevarande således ske för arkivändamål. Enligt 27 § polisdataförordningen (2010:1155) ges Riksarkivet möjlighet att efter samråd med Rikspolisstyrelsen meddela föreskrifter om bevarande av uppgifter för historiska, statistiska och vetenskapliga ändamål.

Som angetts ovan finns i polisdatalagen bestämmelser som anger hur länge personuppgifter i vissa ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga – dvs. tillgängliga för fler än ett fåtal personer – längst får bevaras i polisens brottsbekämpande verksamhet. Huvudregeln är att uppgifter i en avskriven brottsanmälan ska kunna behandlas fram till den tidpunkt då brottet preskriberas, eftersom förundersökning kan inledas om det kommer fram omständigheter som gör att brottet kan klaras upp. Om en förundersökning har lett till åtal eller annan domstolsprövning kan uppgifterna ändå få bevaras i polisens brottsbekämpande verksamhet under viss angiven tid under förutsättning att uppgifterna behöver bevaras för något eller några av lagens ändamål. Eftersom det kan vara fråga om betydande mängder information har det av integritetsskäl bestämts en yttersta tidsgräns om fem år för sådan fortsatt behandling. I polisdataförordningen finns föreskrifter om att vissa kategorier av uppgifter får bevaras under längre tid än vad som anges i polisdatalagen.

Gallringsregler för Kustbevakningens verksamhet

I 24 § (2003:188) förordningen om behandling av personuppgifter inom Kustbevakningen föreskrivs att personuppgifter ska gallras när de inte längre behövs med hänsyn till ändamålen med

Genomförandet av rådsbeslutet Ds 2011:27

behandlingen. I fråga om underrättelseuppgifter förskrivs att de ska gallras senast ett år efter det att behandlingen inleddes.

I promemorian med förslag till ny kustbevakningsdatalag föreslås gallringsregler som till stor del liknar de som finns i den nya polisdatalagen. I den nya kustbevakningsdatalagen föreslås bl.a. att uppgifter inte får bevaras längre än vad som behövs för något eller några av de i lagen angivna ändamålen. Reglerna har även i övrigt utformats med den nya polisdatalagen som modell (Ds 2011:16 s. 299 f.).

Gallringsregler i Tullverkets brottsbekämpande verksamhet

I 27 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet regleras gallring. Uppgifter som behandlas automatiserat i ett ärende ska som huvudregel gallras senast ett år efter det att ärendet avslutades. Gallringsbestämmelsen gäller dock inte uppgifter i förundersökningar. Tullverkets gallringsregel har alltså inte samma koppling till behovet av uppgifterna som gallringsbestämmelserna för polisens och Kustbevakningens verksamhet. I 27 § lagen finns ett bemyndigande för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter om att uppgifter ska bevaras under längre tid än de frister som annars gäller. I bestämmelsen anges inte för vilka ändamål det får föreskrivas att uppgifter ska bevaras längre. I 4 § förordningen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet föreskrivs att uppgifter och handlingar i ett ärende som avser prövning av om förundersökning ska inledas får bevaras längre än vad som anges i 27 § lagen, men att de ska gallras senast vid utgången av det kalenderår då påföljd inte längre kan dömas ut för det brott som omfattades av prövningen av om förundersökning ska inledas.

Ds 2011:27 Genomförandet av rådsbeslutet

Behövs det nya gallringsbestämmelser?

Som nämnts inledningsvis innebär rådsbeslutet en skyldighet att gallra VIS-uppgifter när uppgifterna inte längre behövs för sitt ursprungliga ändamål. Det innebär t.ex. att om en VIS-uppgift har hämtats in för att utreda ett visst brott och förundersökningen beträffande det brottet läggs ner, får uppgiften inte bevaras längre oavsett vilka svenska gallringsregler som gäller för den typen av förundersökning. Detta gäller även om det hos polisen t.ex. har inletts en förundersökning om ett annat brott för vilken VIS-uppgiften skulle kunna få betydelse.

Även om gällande lagstiftning för polisen till viss del motsvarar rådsbeslutets krav på gallringsbestämmelser ger den utrymme för att uppgifter bevaras även när uppgifterna inte längre behövs för det ändamål för vilket uppgifterna inhämtades. Om uppgifterna anses behövas för något annat brottsbekämpande ändamål tillåter lagstiftningen att uppgifterna får vara tillgängliga i den brottsbekämpande verksamheten för detta nya ändamål ytterligare en viss tid. Gallringsbestämmelserna i Tullverkets lagstiftning uppfyller inte heller kraven i rådsbeslutet då dessa som tidigare nämnts saknar koppling till behovet av uppgifterna. När det gäller Kustbevakningen ligger dess nuvarande reglering i linje med rådsbeslutets krav. Den föreslagna kustbevakningsdatalagen innehåller emellertid en reglering som liknar den nya polisdatalagens, vilket innebär att den lämnar större utrymme för att bevara uppgifter än vad rådsbeslutet medger.

Mot bakgrund av att registerlagstiftningen hos respektive myndighet innehåller eller föreslås innehålla mer generösa regler när det gäller bevarande av uppgifter än vad rådsbeslutet medger, krävs det en särskild gallringsregel beträffande inhämtade VISuppgifter för att svensk rätt ska leva upp till de krav som rådsbeslutet ställer i denna del. En sådan gallringsbestämmelse skulle egentligen behöva ges lagform för att få företräde framför gallringsbestämmelserna i respektive registerlagstiftning. Detta var också den utgångspunkt som regeringen hade i propositionen om godkännande av rådsbeslutet (prop. 2007/08:132 s. 13 f.).

Genomförandet av rådsbeslutet Ds 2011:27

Som tidigare nämnts (avsnitt 6.2.3) innehåller emellertid polisdatalagen och lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet numera bestämmelser av vilka det framgår att avvikande regler om behandling av personuppgifter i lagen och förordningen om internationellt polisiärt samarbete gäller i stället för registerlagstiftningen. En motsvarande bestämmelse föreslås i den nya kustbevakningsdatalagen (1 kap. 2 § andra stycket, se Ds 2011:16 s. 13). Det innebär att en ny gallringsbestämmelse avseende VIS-uppgifter kan införas på förordningsnivå.

Uttrycket ”nationellt register” som används i rådsbeslutet bör inte tolkas bokstavligt mot bakgrund av att syftet med bestämmelsen är att begränsa behandlingen av VIS-uppgifter. Dels är många av polisens register lokala, dels kan med modern teknik en digitalt lagrad uppgift vara tillgänglig för många utan att den formellt behandlas i ett register. För att åstadkomma en teknikneutral bestämmelse bör gallringsregeln därför utformas generellt.

Det bör understrykas att rådsbeslutets krav på gallring av VIS-uppgifter som inhämtats med stöd av rådsbeslutet ställer krav på de behöriga myndigheterna att skapa förutsättningar för att kunna särskilja inhämtade VIS-uppgifter från andra uppgifter, i syfte att säkerställa att uppgifterna kan gallras på det sätt som rådsbeslutet kräver. Det kan även vara lämpligt att – om i något undantagsfall en VIS-uppgift skulle lämnas till domstol med anledning av åtal – domstolen uppmärksammas på att en sådan uppgift inte får bevaras när den inte längre behövs för ändamålet.

Eftersom den centrala åtkomstpunkten i undantagsfall ska genomföra en sökning utan den kontroll som normalt ska föregå en sökning, kan det vid den obligatoriska efterkontrollen visa sig att förhållandena i det enskilda fallet inte var sådana att en sökning i VIS var tillåten. Det bör därför införas en bestämmelse om att uppgifter som har inhämtats från VIS i sådana fall omedelbart ska gallras. En sådan gallringsregel bör rikta sig till såväl den centrala åtkomstpunkten som den behöriga myndighet som har fått tillgång till VIS-uppgifterna.

Ds 2011:27 Genomförandet av rådsbeslutet

Rådsbeslutet förutsätter även en särskild gallringsregel för uppgifter som registreras i enlighet med kraven i artikel 16, dvs. sådana uppgifter som bildar en logg över sökningarna i VIS. En gallringsregel av detta slag kräver inte reglering i vare sig lag eller förordning. Regler om loggning i polisens verksamhet finns i dag endast i form av föreskrifter från Rikspolisstyrelsen. Motsvarande ordning torde gälla inom övriga berörda myndighetsområden. Något skäl att införa en annan ordning finns inte.

7.12. Enskildas rättigheter

7.12.1. Rätt till information

Förslag: I förordning införs ett förbud mot att lämna infor-

mation angående sådana uppgifter om en person som har lagts in i VIS av en annan medlemsstat, innan den andra staten har beretts tillfälle att ange sin inställning till utlämnandet. Skyldigheten att informera den som har begärt rättelse om handläggningen regleras också i förordning.

Skälen för förslaget: I artikel 14 i rådsbeslutet regleras enskildas

rätt att få information om uppgifter som avser dem själva och som har inhämtats från VIS med stöd av rådsbeslutet.

Enligt artikel 14.1 i rådsbeslutet styrs en enskilds rätt att få ut uppgifter om sig själv som huvudregel av nationell rätt i den stat i vilken den enskilde åberopar denna rätt.

I 23 och 2527 §§personuppgiftslagen finns generella bestämmelser om information till den registrerade. Bestämmelserna gäller även för personuppgiftsbehandling inom polisen, och Tullverket (2 kap. 2 § första stycket 5 den nya polisdatalagen respektive 6 § 4 lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet). Eftersom förordningen om behandling av personuppgifter inom Kustbevakningen gäller utöver personuppgiftslagen och förordningen inte innehåller några sär-

Genomförandet av rådsbeslutet Ds 2011:27

bestämmelser beträffande enskildas rätt till information gäller nyssnämnda bestämmelser i personuppgiftslagen även för dess verksamhet. I promemorian med förslag till ny kustbevakningsdatalag föreslås en motsvarande hänvisning som i den nya polisdatalagen (2 kap 2 § första stycket 5; se Ds 2011:16 s. 14).

Enligt 23 § personuppgiftslagen ska den personuppgiftsansvarige självmant informera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som ska lämnas är enligt 25 § uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen samt övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade känner till. Enligt 26 § har berörda personer som huvudregel rätt att få information om de uppgifter som finns registrerade om dem. Var och en som ansöker om det har rätt att en gång om året gratis få information från den personuppgiftsansvarige om vilka personuppgifter som har behandlats, varifrån de har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare uppgifterna lämnats. Rätten till information gäller dock enligt 27 § inte om uppgifterna omfattas av sekretess eller tystnadsplikt. Den rätt enligt 24 § personuppgiftslagen en enskild har att få information om behandlingen av sådana personuppgifter rörande honom eller henne som härrör från någon annan källa än den registrerade själv gäller dock inte om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i lag eller annan författning, vilket är fallet med uppgifter som behandlas av de brottsbekämpande myndigheterna.

Mot bakgrund av att 24 § personuppgiftslagen inte är tillämplig i polisens och Tullverkets brottsbekämpande verksamhet och att en motsvarande lösning föreslagits för Kustbevakningen, kräver bestämmelsen i artikel 14.4 i rådsbeslutet om att information i vissa fall inte ska lämnas ut till den enskilde inte några författningsändringar. Samma bedömning gjordes i propositionen om godkännande av rådsbeslutet (prop. 2007/08:132 s. 15).

Ds 2011:27 Genomförandet av rådsbeslutet

Enligt rådsbeslutet får en medlemsstat lämna ut uppgifter till en enskild först efter det att den medlemsstat som har registrerat uppgifterna i VIS har beretts tillfälle att yttra sig (artikel 14.3). Bestämmelsen, som saknar motsvarighet i personuppgiftslagen, bör inte tolkas så att svenska myndigheter skulle vara bundna av vad den andra staten har för uppfattning i frågan. Den andra statens ståndpunkt kan emellertid komma att spela roll för bedömningen av om uppgifterna omfattas av utrikessekretess enligt 15 kap 1 § offentlighets- och sekretesslagen (2010:400) – jfr prop. 1999/2000:64 s. 144 – eller någon annan sekretessbestämmelse. De upplysningar som den andra staten lämnar i samband med en sådan förfrågan kan ju t.ex. leda till att brottsmisstankarna i Sverige utvidgas och att förundersökningssekretess hindrar utlämnande. Skyldigheten enligt rådsbeslutet att inhämta yttrande från den stat som har lagt in uppgifterna i VIS bör regleras i förordning.

7.12.2. Rättelse och gallring av oriktiga uppgifter

Förslag: Bestämmelsen i personuppgiftslagen om rättelse ska

genom en hänvisning i lagen om internationellt polisiärt samarbete tillämpas vid behandling av VIS-uppgifter. I förordning införs bestämmelser om förfarandet vid enskilds begäran om rättelse eller gallring av uppgifter.

Skälen för förslaget: I rådsbeslutet föreskrivs att en enskild ska

ha rätt att få oriktiga uppgifter om sig själv rättade eller olagligt lagrade uppgifter raderade (artikel 14.5). Rättelse och radering ska ske enligt nationell rätt.

Enligt 28 § personuppgiftslagen är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter om inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. Bestämmelsen är till-

Genomförandet av rådsbeslutet Ds 2011:27

lämplig i de behöriga myndigheternas verksamhet (2 kap. 2 § första stycket 6 den nya polisdatalagen, 6 § 5 lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och 23 § förordningen om behandling av personuppgifter inom Kustbevakningen). Se även 2 kap. 2 § första stycket 6 förslaget till kustbevakningsdatalag (Ds 2011:16 s. 15).

Mot bakgrund av att åtkomsten till VIS-uppgifter ska regleras i lagen om internationellt polisiärt samarbete krävs det en hänvisning i den lagen till personuppgiftslagen, för att bestämmelsen om rättelse i personuppgiftslagen ska gälla för den behandling av personuppgifter som regleras i lagen om internationellt polisiärt samarbete. Som tidigare nämnts (avsnitt 7.10) har en sådan bestämmelse införts i samband med genomförandet av delar av Prümrådsbeslutet. Rubriken närmast före den aktuella bestämmelsen bör dock flyttas och ges en ny lydelse, se avsnitt 7.10.

Enligt artikel 14.5 i rådsbeslutet ska den behöriga myndigheten även meddela viseringsmyndigheten i den medlemsstat som har lagt in uppgifterna i VIS, om en person begär att oriktiga uppgifter om honom eller henne ska rättas eller att olagligt lagrade uppgifter ska raderas. Detsamma ska gälla om en behörig myndighet på annat sätt får vetskap om att uppgifter i VIS är oriktiga. I artikel 14.6 föreskrivs vidare att den som begärt rättelse ska informeras så snart som möjligt och under alla förhållanden inte senare än 60 dagar räknat från den dag som begäran om rättelse lämnades in (eller tidigare om en kortare tidsfrist följer av nationell rätt). I artikel 14.7 föreskrivs också att den som har begärt rättelse så snart som möjligt ska informeras om vilka åtgärder som har vidtagits till följd av begäran. Sådan information ska lämnas inte senare än tre månader räknat från den dag då personen begärde att få uppgifterna korrigerade eller raderade (eller tidigare om en kortare tidsfrist följer av nationell rätt). Rådsbeslutets skyldigheter i dessa delar kan genomföras genom förordning.

Ds 2011:27 Genomförandet av rådsbeslutet

7.12.3. Rätt att överklaga

Bedömning: Den svenska regleringen uppfyller rådsbeslutets

bestämmelser om rätt att överklaga.

Skälen för bedömningen: Enligt artikel 14.8 i rådsbeslutet ska

var och en som har vägrats rätt att få ut uppgifter om sig själv, eller vägrats rättelse eller radering, ha rätt att väcka talan eller överklaga till behörig myndighet eller domstol. Enligt 52 § personuppgiftslagen får en myndighets beslut om information och rättelse, underrättelse till tredje man samt upplysningar till allmänheten överklagas till förvaltningsdomstol. Dessa bestämmelser är tillämpliga på behandling av personuppgifter i polisens brottsbekämpande verksamhet och i Kustbevakningens verksamhet (2 kap 2 § första stycket 13 den nya polisdatalagen respektive 25 § förordningen om behandling av personuppgifter inom Kustbevakningen). Se även 2 kap. 2 § första stycket 13 förslaget till ny kustbevakningsdatalag (Ds 2011:16 s. 15). Tullverkets beslut om rättelse och om utlämnande av information får enligt 30 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet överklagas hos allmän förvaltningsdomstol. Bestämmelserna i rådsbeslutet i denna del bedöms därför inte kräva några författningsändringar. Samma bedömning gjordes i propositionen om godkännande av rådsbeslutet (prop. 2007/08:132 s. 16).

7.13. Tillsyn

Förslag: Datainspektionen utses till tillsynsmyndighet enligt

rådsbeslutet.

Skälen för förslaget: Enligt artikel 8.5 i rådsbeslutet ska behö-

rigt eller behöriga organ som enligt nationell rätt har till uppgift att utöva tillsyn över personuppgiftsbehandling övervaka att den

Genomförandet av rådsbeslutet Ds 2011:27

behandling av personuppgifter som grundar sig på rådsbeslutet är lagenlig. Medlemsstaterna ska se till att dessa organ har tillräckliga resurser för att utföra de uppgifter som tilldelas dem. Organen ska se till att behandlingen av personuppgifter granskas enligt rådsbeslutet minst var fjärde år, i förekommande fall i enlighet med internationella redovisningsstandarder (artikel 8.6).

Datainspektionen är tillsynsmyndighet enligt personuppgiftslagen med uppgift att bl.a. verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter (se 2 § personuppgiftsförordningen [1998:1191] och 1 och 2 §§ förordningen [2007:975] med instruktion för Datainspektionen). Inspektionen granskar myndigheters behandling av personuppgifter bl.a. efter anmälan från enskilda. Myndigheten kan även, inom ramen för sin tillsyn, göra tillsynsbesök och egeninitierade granskningar. Denna tillsyn omfattar även den behandling av personuppgifter som sker i polisens (2 kap 2 § första stycket 11 i den nya polisdatalagen) och Kustbevakningens verksamhet samt i Tullverkets brottsbekämpande verksamhet (6 § första stycket 9 lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet). De befogenheter som Datainspektionen har gentemot berörda myndigheter får anses uppfylla kraven i rådsbeslutet.

Därutöver har Säkerhets- och integritetsskyddsnämnden till uppgift att granska Säkerhetspolisens behandling av uppgifter enligt polisdatalagen (1 § lagen [2007:980] om tillsyn över viss brottsbekämpande verksamhet). Det ingår i nämndens uppgifter att på begäran av enskild kontrollera bl.a. om han eller hon varit föremål för otillåten personuppgiftsbehandling. Nämnden är skyldig att underrätta den enskilde som begärt kontrollen om att den har utförts. Enligt den nya regleringen för polisen kommer även den personuppgiftsbehandling som förekommer i den öppna polisens brottsbekämpande verksamhet att stå under tillsyn av både Datainspektionen och Säkerhets- och integritetsskyddsnämnden, se 2 kap. 6 § den nya polisdatalagen och 1 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet i dess lydelse enligt SFS 2010:367.

Ds 2011:27 Genomförandet av rådsbeslutet

Det är naturligt att Datainspektionen utses till tillsynsmyndighet även för personuppgiftsbehandling som utförs med stöd av VIS-rådsbeslutet. Kravet i artikel 8.6 i rådsbeslutet att en granskning ska göras minst vart fjärde år bör inte föranleda författningsreglering. Det får ankomma på Datainspektionen att anpassa sin verksamhet så att kraven i rådsbeslutet kan uppfyllas.

7.14. Sanktioner

Bedömning: Svensk rätt uppfyller rådsbeslutets krav på

sanktioner.

Skälen för bedömningen: Artikel 12 i rådsbeslutet föreskriver

en skyldighet för medlemsstaterna att vidta nödvändiga åtgärder för att se till att all användning av VIS-uppgifter som strider mot bestämmelserna i rådsbeslutet är straffbara genom sanktioner, inklusive administrativa och/eller straffrättsliga sådana. Dessa ska enligt rådsbeslutet vara effektiva, proportionella och avskräckande.

När det gäller administrativa sanktioner innehåller varken den nya polisdatalagen, lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet eller förordningen om behandlingen av personuppgifter inom Kustbevakningen några sådana bestämmelser. I 4446 §§personuppgiftslagen finns bestämmelser om vite. Bestämmelserna innebär att tillsynsmyndigheten (dvs. Datainspektionen) kan förelägga vite i en rad olika situationer. Personuppgiftslagens bestämmelser om vite är dock inte tillämpliga i polisens brottsbekämpande verksamhet enligt den nya polisdatalagen (2 kap 2 § fjärde stycket den nya polisdatalagen). Bestämmelserna om vite är inte heller tillämpliga i Tullverkets brottsbekämpande verksamhet då det saknas hänvisningar till dessa bestämmelser i 6 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Eftersom förordningen om behandling av personuppgifter inom Kustbe-

Genomförandet av rådsbeslutet Ds 2011:27

vakningen gäller utöver personuppgiftslagen och inte har några särbestämmelser i detta avseende gäller reglerna om vite för närvarande i Kustbevakningens verksamhet. I promemorian med förslag till ny kustbevakningsdatalag föreslås dock samma lösning för Kustbevakningens verksamhet som för polisens och Tullverkets, dvs. att vitesreglerna inte ska gälla (se 2 kap 2 § fjärde stycket förslaget till ny kustbevakningsdatalag, Ds 2011:16 s. 15). Att tillsynsmyndigheten inte har möjlighet att förelägga vite har motiverats med att regler om vite inte bör tillämpas mellan statliga myndigheter (se bl.a. prop. 2004/05:164 s. 54 och 2006/07:46 s. 105).

Vad gäller straffrättsliga sanktioner saknas bestämmelser av det slaget i berörda myndigheters författningar om personuppgiftsbehandling.

I 49 § personuppgiftslagen föreskrivs straffansvar för överträdelser av olika bestämmelser i personuppgiftslagen. I förarbetena till den nya polisdatalagen gjordes bedömningen att någon hänvisning till bestämmelsen om straffansvar inte skulle göras i den lagen (prop. 2009/10:85 s. 91). Regeringen konstaterade att behandlingen av personuppgifter kommer att utföras av personer som är anställda av statliga myndigheter och som redan omfattas av bestämmelserna om tjänstefel m.m. i brottsbalken. Det finns även andra straffbestämmelser som kan bli tillämpliga. Om någon olovligen bereder sig tillgång till VIS kan han eller hon dömas för dataintrång (4 kap. 9 c § brottsbalken). Beroende på omständigheterna kan också ansvar för brott mot tystnadsplikt aktualiseras (20 kap. 3 § brottsbalken). Vidare kan reglerna om disciplinansvar för tjänsteförseelse enligt lagen (1994:260) om offentlig anställning komma att aktualiseras.

En motsvarande bedömning av behovet av straffbestämmelser gjordes vid tillkomsten av lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (prop. 2004/05:164 s. 55). Även i promemorian med förslag till ny kustbevakningsdatalag görs samma bedömning (Ds 2011:16 s. 138 f.).

Eftersom rådsbeslutet inte ställer krav på en viss typ av sanktioner utan enbart på att det finns sanktioner som är effektiva,

Ds 2011:27 Genomförandet av rådsbeslutet

proportionella och avskräckande, finns det inte skäl att göra någon annan bedömning än vad som har gjorts i tidigare lagstiftningsärenden. Svensk rätt får därför, som angetts i propositionen om godkännande av rådsbeslutet (prop. 2007/08:132 s. 17), anses uppfylla rådsbeslutets krav på sanktioner.

7.15. Övriga frågor

Bedömning: Övriga bestämmelser i rådsbeslutet kräver inga

lagstiftningsåtgärder.

Skälen för bedömningen: I artikel 1 anges syftet med rådsbe-

slutet och dess tillämpningsområde Bestämmelsen kräver ingen lagstiftningsåtgärd.

Artikel 8.8 föreskriver att personalen vid de myndigheter som ska ha åtkomst till VIS ska ges lämplig utbildning. I artikel 11 föreskrivs att medlemsstaterna ska se till att varje myndighet som har åtkomst till VIS-uppgifter vidtar de åtgärder som är nödvändiga för att följa rådsbeslutet och att de vid behov samarbetar med tillsynsorganen. Av artikel 15 framgår att varje medlemsstat på egen bekostnad ska inrätta och underhålla den tekniska infrastruktur som är nödvändig för att genomföra rådsbeslutet samt bära kostnaderna för åtkomst till VIS enligt rådsbeslutet. Enligt artikel 17.5 ska medlemsstaterna och Europol förse förvaltningsmyndigheten och kommissionen med den information de behöver för att kunna utarbeta rapporter om VIS. Ingen av de angivna bestämmelserna kräver några lagstiftningsåtgärder.

I artikel 6 regleras villkoren för åtkomst till VIS-uppgifter för utsedda myndigheter i en medlemsstat i vilken VIS-förordningen ännu inte har fått verkan. I artikel 7 anges villkoren för Europols åtkomst till VIS-uppgifter och i artikel 8.2 regleras dataskyddet vid Europols behandling av VIS-uppgifter. Artikel 17.1–3 reglerar ansvaret för den förvaltningsmyndighet som enligt artikel 26 i VIS-förordningen ska ansvara för den operativa förvaltningen

Genomförandet av rådsbeslutet Ds 2011:27

av det centrala VIS. Myndighetens ansvar omfattar även övervakning och utvärdering av hur VIS fungerar enligt rådsbeslutet. Artikel 18 innehåller regler om ikraftträdande. Ingen av dessa artiklar behöver genomföras i svensk rätt.

8. Ekonomiska konsekvenser m.m.

8.1. Ekonomiska och andra konsekvenser

Bedömning: Förslagen i promemorian leder endast till be-

gränsade ekonomiska konsekvenser. De kostnader som kan uppstå med anledning av bestämmelserna i rådsbeslutet ryms inom befintliga anslag för berörda utgiftsområden.

Skälen för bedömningen: Förslagen innebär en möjlighet för

brottsbekämpande myndigheter att få tillgång till uppgifter i VIS vid viss allvarlig brottslighet och en skyldighet att, om sökningar görs, dokumentera dessa på visst sätt.

Förslagen medför att polisen, Tullverket och Kustbevakningen inledningsvis måste göra vissa kompletteringar i sina datasystem, men dessa är av begränsat slag. Kostnaderna för dessa förändringar bedöms kunna rymmas inom ramen för befintliga anslag för respektive myndighet. Såvitt gäller Ekobrottsmyndigheten så ansvarar Rikspolisstyrelsen för de polisiära datasystem som används där. De kostnader som kan uppstå på grund av skyldigheten att registrera vissa uppgifter är marginella och uppvägs mer än väl av de fördelar från brottsbekämpningssynpunkt som tillgången till VIS-uppgifter innebär.

Datainspektionen är redan tillsynsmyndighet för personuppgiftsbehandlingen vid de myndigheter som berörs av rådsbeslutet. Uppgiften att utöva tillsyn även över den nu aktuella per-

Ekonomiska konsekvenser m.m. Ds 2011:27

sonuppgiftsbehandlingen innebär bara en marginell förändring som ryms inom myndighetens befintliga anslag.

När det gäller konsekvenser i övrigt kommer förslagen att ha en positiv inverkan på brottsbekämpningen, eftersom de ger en ökad möjlighet för brottsbekämpande myndigheter att snabbt och enkelt inhämta sådan information som kan vara värdefull i ett enskilt ärende.

Några andra konsekvenser bedöms förslagen inte få.

8.2. Ikraftträdande

Förslag: Författningsförslagen ska träda i kraft den dag som

regeringen bestämmer.

Skälen för förslaget: Det är ännu inte bestämt i detalj när råds-

beslutet ska börja tillämpas. Av artikel 18.2 i rådsbeslutet framgår att så snart kommissionen har informerat rådet om att VISförordningen har trätt i kraft och är fullt tillämplig, ska rådet fastställa från vilket datum rådsbeslutet ska få verkan. Mot den bakgrunden bör författningsförslagen träda i kraft den dag regeringen bestämmer.

9. Författningskommentar

9.1. Förslaget till lag om ändring i lagen (2000:343) om internationellt polisärt samarbete

2 §

I denna lag avses med – utländska tjänstemän: utländska polismän och andra utländska tjänstemän som har anmälts vara behöriga att utföra sådant gränsöverskridande arbete som avses i artikel 40 och 41 i konventionen om tilllämpning av Schengenavtalet av den 14 juni 1985 (Schengenkonventionen),

förföljande tjänstemän: utländska tjänstemän som förföljer en person på svenskt territorium enligt denna lag,

svenska tjänstemän: svenska polismän, tulltjänstemän eller kustbevakningstjänstemän när de enligt lag eller annan författning har polisiära befogenheter,

Öresundsförbindelsen: den fasta förbindelsen över Öresund som den definieras i artikel 2 i avtalet av den 6 oktober 1999 mellan Konungariket Sveriges regering och Konungariket Danmarks regering om polisiärt samarbete i Öresundsregionen,

Prümrådsbeslutet: rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet

referensuppgift: en sifferbeteckning och ett fingeravtryck, eller en sifferbeteckning och den icke kodifierade delen av en DNA-profil,

Författningskommentar Ds 2011:27

– VIS-rådsbeslutet: rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förebygga, upptäcka och utreda terroristbrott och andra grova brott, och

– VIS-uppgifter: uppgifter som finns i eller har inhämtats från informationssystemet för viseringar (VIS).

I paragrafen definieras vissa grundläggande begrepp som används i lagen. De sex första är oförändrade. Två nya definitioner införs. Skälen till att dessa begrepp definieras utvecklas i avsnitt 7.3.

”VIS-rådsbeslutet” definieras genom en hänvisning till den fullständiga benämningen på rådsbeslutet.

Termen ”VIS-uppgifter” definieras som uppgifter som finns i eller som har inhämtats från informationssystemet för viseringar (VIS). Begreppet VIS-uppgift omfattar, utöver de uppgifter som finns i själva informationssystemet VIS, endast de uppgifter som direkt har hämtats in från VIS och som antingen finns i en utskrift eller motsvarande eller – om uppgifterna har förmedlats muntligen – har nedtecknats i anslutning till sökning i informationssystemet. Uppgifter som enbart belyser samma förhållanden som uppgifter i VIS, exempelvis uppgifter som antecknas i ett polisförhör, är däremot inte VIS-uppgifter.

Tillgång till VIS-uppgifter

22 §

Sökning i informationssystemet för viseringar (VIS) med stöd av VISrådsbeslutet får göras av den centrala åtkomstpunkten på begäran av en behörig myndighet.

Behörig myndighet är Rikspolisstyrelsen, en polismyndighet, Ekobrottsmyndigheten, när den bedriver polisverksamhet, Tullverket och Kustbevakningen.

Ds 2011:27 Författningskommentar

Paragrafen, som återspeglar artiklarna 3.1 och 3.3 i rådsbeslutet, är ny. Den behandlas i avsnitt 7.4. Av paragrafen framgår vilka myndigheter som är behöriga att söka i respektive att begära sökning i VIS enligt rådsbeslutet.

Av första stycket framgår att det endast är den centrala åtkomstpunkten som får utföra sökningar i VIS. Sökningarna görs på begäran av en behörig myndighet. Regeringen har i en förklaring till kommissionen och rådets generalsekretariat anmält att Rikspolisstyrelsen ska vara central åtkomstpunkt. Det är således endast Rikspolisstyrelsen som kommer att ha direktåtkomst till VIS. Övriga myndigheter som kan få tillgång till VISuppgifter får det via Rikspolisstyrelsen.

Av andra stycket framgår vilka myndigheter som har utsetts att vara behöriga myndigheter enligt rådsbeslutet. Dessa är Rikspolisstyrelsen, polismyndigheterna, Ekobrottsmyndigheten (när den bedriver polisiär verksamhet), Tullverket och Kustbevakningen. Rikspolisstyrelsen inkluderar Säkerhetspolisen. De behöriga myndigheterna ska enligt rådsbeslutet utse s.k. driftsenheter, genom vilka framställningar om sökning i VIS kanaliseras. En enskild tjänsteman vid en behörig myndighet kan således inte begära sökning i VIS. Inget hindrar att en behörig myndighet utser flera driftsenheter eller att flera myndigheter har en gemensam driftsenhet.

23 §

En behörig myndighet får begära att sökning görs i informationssystemet för viseringar (VIS) om det i ett ärende finns särskilda skäl att anta att VIS-uppgifter väsentligen kan komma att bidra till att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott som anges i

1. 2 , 4 och 5 §§ lagen ( 2003:148 ) om straff för terroristbrott,

2. 3 6 §§ lagen ( 2010:299 ) om straff för offentlig uppmaning, rekrytering och utbildning avseende terroristbrott och annan allvarlig brottslighet,

3. 3 § lagen ( 2002:444 ) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall, eller

Författningskommentar Ds 2011:27

4. bilagan till lagen ( 2003:1156 ) om överlämnande från Sverige enligt en europeisk arresteringsorder om det för brottet är föreskrivet en frihetsberövande påföljd i tre år eller mer.

Sökning får också begäras om det i ett ärende finns särskilda skäl att anta att VIS-uppgifter väsentligen kan komma att bidra till att utreda brott som anges i första stycket.

Paragrafen, som är ny, behandlas i avsnitt 7.5. Paragrafen föranleds av artikel 5.1 i rådsbeslutet och reglerar villkoren för tillgång till VIS-uppgifter.

Av första stycket framgår under vilka förutsättningar en behörig myndighet får begära sökning i VIS i underrättelseverksamhet. Det krävs till en början att VIS-uppgifter anses behövas för att kunna förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar terroristbrott eller andra grova brott. De begrepp som används är desamma som i polisdatalagen (2010:361). Den verksamhet som åsyftas med ”förebygga, förhindra eller upptäcka brottslig verksamhet” kallas underrättelseverksamhet. Underrättelseverksamhet består främst i insamling, bearbetning och analys av information.

I bl.a. polisdatalagen skiljer man mellan begreppen brott och brottslig verksamhet. Med begreppet brott åsyftas ett konkret brott. Det kan vara fråga om såväl brott som bevisligen har begåtts som brott som det enbart finns misstankar om. Misstankarna behöver inte heller vara riktade mot någon bestämd person. Underrättelseverksamhet däremot är inriktad på brottslig verksamhet. Med brottslig verksamhet avses misstankar om ickepreciserad brottslighet, dvs. när det ännu inte finns konkreta misstankar om att ett visst brott har begåtts (prop. 2009/10:85 s. 318). För att en sökning i VIS ska vara tillåten krävs dock att misstankarna är så konkretiserade att det är möjligt att avgöra att den brottsliga verksamheten tillhör någon av de angivna brottstyperna, se nedan.

VIS-uppgifter får endast sökas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar vissa angivna brottstyper, nämligen terroristbrott eller andra grova brott eller

Ds 2011:27 Författningskommentar

utreda sådana brott. Med terroristbrott avses enligt rådsbeslutet brott som motsvarar eller är likvärdiga med de brott som har utpekats som terroristbrott enligt artiklarna 1–4 vid genomförandet av rådets rambeslut 2002/475/RIF av den 13 juni 2002 om bekämpning av terrorism. Begreppet avspeglas i svensk lagstiftning i 2, 4 och 5 §§ lagen (2003:148) om straff för terroristbrott, i 36 §§ i lagen (2010:299) om straff för offentlig uppmaning, rekrytering och utbildning avseende terroristbrott och annan särskilt allvarlig brottslighet och i 3 § lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall. Med grova brott avses enligt rådsbeslutet sådana brott som i svensk rätt motsvarar eller är likvärdiga med de former av brottslighet som avses i artikel 2.2 i rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna. I svensk rätt anges dessa brott i bilagan till lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder jämförd med 2 kap. 2 § andra stycket samma lag, som förutsätter att det för brottet även är föreskrivet en frihetsberövande påföljd om tre år eller mer.

En ytterligare förutsättning för sökning i VIS är att uppgifterna behövs i ett specifikt ärende. Mot bakgrund av att sökningar får göras i underrättelseverksamhet avser uttrycket ”ett ärende” ett visst preciserat underrättelseärende. Detta måste vara så pass avgränsat att det är möjligt för den centrala åtkomstpunkten att konstatera att sökningen begärs för ett specifikt ärende. Eftersom rådsbeslutet dessutom ställer krav på att uppgifter endast behandlas för det ändamål för vilket sökningen gjordes och bara bevaras så länge uppgifterna behövs i det enskilda fallet är det nödvändigt att ärendet är tillräckligt avgränsat.

Slutligen ska det finnas rimliga skäl att anta att uppgifterna väsentligen kommer att bidra till att den brottsliga verksamheten kan förebyggas, förhindras eller upptäckas. Det måste med andra ord finnas förväntningar på att sökningen kommer att leda till ett positivt resultat i det enskilda ärendet. Härigenom förhindras att rutinsökningar görs och säkerställs att sökning i VIS bara

Författningskommentar Ds 2011:27

sker när det bedöms vara nödvändigt och efter en noggrann prövning från fall till fall.

Av andra stycket framgår att sökning i VIS även får göras under samma förutsättningar som anges i första stycket för att utreda sådana brott som anges där. Med uttrycket ”utreda brott” avses förundersökning eller annan utredning enligt bestämmelserna i 23 kap. rättegångsbalken.

24 §

En behörig myndighet som vill få tillgång till VIS-uppgifter ska lämna in en motiverad begäran till den centrala åtkomstpunkten.

Den centrala åtkomstpunkten ansvarar för att kontrollera att förutsättningarna i 23 § är uppfyllda innan den gör en sökning.

Vid fara i dröjsmål får sökning göras omedelbart, utan den kontroll som anges i andra stycket, om en behörig myndighet begär det.

Paragrafen är ny och föranleds av artikel 4 i rådsbeslutet. Förslaget behandlas i avsnitt 7.6. I paragrafen regleras förfarandet för att få tillgång till VIS-uppgifter.

Av första stycket framgår att en behörig myndighet som vill få tillgång till VIS-uppgifter ska lämna in en motiverad begäran till den centrala åtkomstpunkten. Rådsbeslutet anger inte närmare vad begäran ska innehålla. Ett grundläggande krav måste dock vara att man av begäran kan utläsa huruvida förutsättningarna för tillgång till VIS-uppgifter är uppfyllda.

I andra stycket klargörs att det är den centrala åtkomstpunkten som ansvarar för att kontrollera att förutsättningarna för att få tillgång till VIS-uppgifter är uppfyllda, innan den genomför en sökning i VIS. Den centrala åtkomstpunkten ska således kontrollera att brottet eller den brottsliga verksamheten innefattar terroristbrott eller annat grovt brott så som brotten anges i 23 §, att begäran görs inom ramen för ett angivet ärende och att det anges särskilda skäl för varför sökningen antas ge positiva resultat för förundersökningen eller underrättelseärendet. Om upp-

Ds 2011:27 Författningskommentar

gifterna är ofullständiga eller i annat avseende otillräckliga, bör den centrala åtkomstpunkten begära komplettering av uppgifterna och – i sista hand – avslå begäran om sökning. I fråga om de närmare omständigheter som ligger till grund för begäran är den centrala åtkomstpunkten i praktiken hänvisad till att godta de uppgifter som den behöriga myndigheten lämnar, om det inte är uppenbart att det är något fel i framställningen, exempelvis att den befattningshavare som begär sökningen är obehörig. Regleringen förutsätter att den behöriga myndigheten själv gör en omsorgsfull bedömning av om förutsättningarna för tillgång till VIS-uppgifter är uppfyllda och att den begäran som lämnas in till den centrala åtkomstpunkten utformas på ett sätt som möjliggör en sådan kontroll som åvilar åtkomstpunkten.

Av tredje stycket framgår att den centrala åtkomstpunkten vid fara i dröjsmål får genomföra en sökning omedelbart på begäran av en behörig myndighet. En sådan begäran får även framställas muntligen. Med ”fara i dröjsmål” avses att åtgärden ska vara så brådskande att, om den inte genomförs omedelbart, den riskerar att inte få avsedd effekt. Det kan t.ex. vara fråga om att snabbt få uppgift om vilken resväg eller vistelseort en visumsökande har angett för att kunna gripa honom eller henne.

Vid sökning får endast följande VIS-uppgifter i ansökningsakten användas som sökbegrepp:

1. nuvarande och tidigare efternamn, förnamn, kön, födelsedatum, födelseort och födelseland,

2. nuvarande medborgarskap och medborgarskap vid födseln,

25 §

3. resehandlingens typ och nummer, utfärdande myndighet, dag för utfärdande och sista giltighetsdag,

4. huvuddestination och den planerade vistelsens varaktighet,

5. syftet med resan,

6. planerad ankomst- och avresedag,

7. planerad gränsövergång för första inresa eller transiteringsväg,

Författningskommentar Ds 2011:27

8. bostad,

9. fingeravtryck, 10. typ av visering och viseringsmärkets nummer, och 11. den person som bjudit in eller åtagit sig att stå för sökandens levnadskostnader under vistelsen.

Paragrafen är ny och föranleds av artikel 5.2 i rådsbeslutet. Förslaget behandlas i avsnitt 7.7.

Av paragrafen framgår vilka VIS-uppgifter som får användas som sökbegrepp vid en sökning i VIS enligt rådsbeslutet. De tilllåtna sökbegreppen motsvarar flertalet av de uppgifter som ska registreras i VIS. I ett enskilt fall kan det variera vilka uppgifter som är av intresse. Särskilt när det gäller brottsutredningar är behovet av uppgifter som regel mer begränsat och lättare att konkretisera än vid underrättelseverksamhet. Rutinmässiga sökningar i VIS i syfte att fånga upp allmän kunskap är emellertid inte tillåtna. Inte heller andra former av rutinsökningar får förekomma. Kraven i 23 § på dels att VIS-uppgifterna ska behövas i ett specifikt ärende, dels att det ska finnas särskilda skäl att anta att uppgifterna kan antas bidra väsentligt till att den brottsliga verksamheten kan förebyggas, förhindras, upptäckas eller utredas innebär att alltför vidlyftiga sökningar inte tillåts. Den behöriga myndigheten bör alltid ange vilka sökbegrepp som är av intresse i det specifika ärendet. Om den centrala åtkomstpunkten bedömer att den begärda sökningen inte kan leda fram till ett rimligt resultat, t.ex. därför att den är så opreciserad att man kan anta att den ger tusentals träffar, bör den samråda med den driftsenhet som begärt sökningen om hur sökningen eventuellt kan begränsas.

Vad som kan sökas fram är också avhängigt av hur registreringen i VIS har reglerats. Det är t.ex. inte möjligt att använda fotografier för sökning i informationssystemet. Däremot kan den behöriga myndigheten, om förutsättningar för sökning är uppfyllda och sökningen ger positivt resultat, få tillgång till de fotografier som finns lagrade i VIS, se 26 §.

Ds 2011:27 Författningskommentar

26 §

Om efterfrågade uppgifter påträffas vid en sökning med stöd av VISrådsbeslutet, får den behöriga myndigheten, utöver alla de uppgifter som anges i 25 §, även ges tillgång till

1. andra uppgifter som hämtats från ansökningsakten,

2. fotografier, och

3. uppgifter om utfärdade, vägrade, återkallade eller förlängda viseringar.

Paragrafen, som är ny, behandlas i avsnitt 7.7. Paragrafen föranleds av artikel 5.3 i rådsbeslutet och reglerar vilka uppgifter som den behöriga myndigheten får ges tillgång till, om de efterfrågade uppgifterna påträffas vid sökningen.

Om en sökning i VIS leder till träff ges den behöriga myndigheten tillgång till samtliga de uppgifter som enligt 25 § får användas som sökbegrepp. Vidare ges tillgång även till eventuella övriga uppgifter som hämtats från ansökningsakten t.ex. vilken myndighet som tagit emot ansökan och sökandens aktuella sysselsättning och arbetsgivare, fotografier samt eventuella uppgifter om utfärdade, vägrade återkallade eller förlängda viseringar. I VIS kommer det inte att finnas länkade dokument som t.ex. förhör, tjänsteanteckningar och liknande. Vid träff i VIS kan det därför inte ges tillgång till den typen av uppgifter.

Om sökningen i VIS ger vid handen att det inte finns några uppgifter av det slag som efterfrågas, t.ex. om personen eller uppgiften i fråga inte förekommer i informationssystemet, ska den begärande driftsenheten underrättas om detta.

27 §

Har en myndighet fått tillgång till VIS-uppgifter som är personuppgifter, får uppgifterna inte behandlas för något annat ändamål än att förebygga, förhindra, upptäcka, utreda och beivra det eller de brott som låg till grund för sökningen enligt 23 §.

Författningskommentar Ds 2011:27

Paragrafen är ny och föranleds av artikel 8.3 i rådsbeslutet. Skälen till att bestämmelsen behövs behandlas i avsnitt 7.8. I paragrafen föreskrivs att inhämtade VIS-uppgifter som är personuppgifter inte får behandlas fritt utan endast för att förebygga, förhindra, upptäcka, utreda eller åtala det eller de brott som föranledde sökningen i VIS.

Det är således inte tillåtet att använda inhämtade personuppgifter i syfte att exempelvis utreda andra allvarliga brott. Om uppgifterna skulle behövas för att utreda eller åtala ett annat brott får det i stället övervägas om det finns rättsliga förutsättningar för att göra en ny sökning i VIS med anledning av det nya brottet.

Paragrafen ger stöd för att använda personuppgifter från VIS även för lagföring. Det ligger i sakens natur att, om åtal väcks och VIS-uppgifterna ges in till domstol, det därmed också är tilllåtet för domstolarna att behandla uppgifterna.

28 §

Det är förbjudet att till ett tredjeland eller en internationell organisation överföra personuppgifter som har lagts in av en annan stat i informationssystemet för viseringar (VIS), eller att göra sådana uppgifter tillgängliga.

Vid fara i dröjsmål får dock personuppgifter föras över till eller göras tillgängliga för ett tredjeland eller en internationell organisation. Detta får endast göras

1. för att förebygga, förhindra och upptäcka sådana brott som anges i 23 § första stycket, och

2. om de villkor i övrigt som anges i 23 § första stycket är uppfyllda, samt

3. om den stat som har registrerat viseringsuppgifterna samtycker till det.

Ds 2011:27 Författningskommentar

Paragrafen, som är ny, behandlas i avsnitt 7.9.2. Paragrafen föranleds av artikel 8.4 i rådsbeslutet och reglerar överföringar av VIS-uppgifter som är personuppgifter till tredjeland.

Av första stycket framgår att det enligt huvudregeln är förbjudet att överföra personuppgifter som har inhämtats från VIS med stöd av rådsbeslutet till tredjeland eller till en internationell organisation. Förbudet omfattar även tillgängliggörande, dvs. att göra det möjligt för mottagaren att på egen hand inhämta personuppgifterna. Förbudet är inte relaterat till vilken dataskyddsnivå som finns i det mottagande landet. Förbudet gäller således både i förhållande till länder med en godtagbar skyddsnivå och länder som inte anses ha ett acceptabelt dataskydd.

I andra stycket görs ett undantag från förbudet i första stycket. I en akut situation får personuppgifter som har inhämtats från VIS föras över till eller göras tillgängliga för ett tredjeland eller en internationell organisation. Detta får emellertid endast göras under förutsättning att det sker för att förebygga, förhindra eller upptäcka terroristbrott eller andra grova brott, att villkoren för åtkomst till VIS i övrigt är uppfyllda och att den medlemsstat som har registrerat uppgifterna i VIS samtycker till åtgärden. Det är alltså inte i något fall tillåtet att överföra personuppgifter från VIS till tredjeland eller till en internationell organisation i syfte att utreda ett redan begånget brott. Motsvarande förbud gäller för tillgängliggörande.

Regeringen eller den myndighet som regeringen bestämmer meddelar ytterligare föreskrifter om

30 §

1. samarbete enligt Prümrådsbeslutet när det gäller behandling av personuppgifter samt bistånd vid större evenemang, katastrofer och allvarliga olyckor, och

2. tillgång till uppgifter enligt VIS-rådsbeslutet.

Författningskommentar Ds 2011:27

Paragrafen innehåller en upplysning om att det får meddelas bestämmelser om samarbetet enligt Prümrådsbeslutet på lägre normgivningsnivå. Ändringen innebär att det i paragrafen anges att det på lägre normgivningsnivå även kan finnas bestämmelser som rör tillgången till uppgifter enligt VIS-rådsbeslutet. Frågan behandlas i avsnitt 7.2. Paragrafen ändras också redaktionellt.

Ds 2011:27

Bilaga 1

Rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott

III

(Rättsakter som antagits i enlighet med fördraget om Europeiska unionen)

RÄTTSAKTER SOM ANTAGITS I ENLIGHET MED AVDELNING VI I FÖRDRAGET

OM EUROPEISKA UNIONEN

RÅDETS BESLUT 2008/633/RIF

av den 23 juni 2008

om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas

utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och

andra grova brott

EUROPEISKA UNIONENS RÅD HAR BESLUTAT FÖLJANDE

med beaktande av fördraget om Europeiska unionen, särskilt

artiklarna 30.1 b och 34.2 c,

med beaktande av kommissionens förslag,

med beaktande av Europaparlamentets yttrande, och

av följande skäl:

(1)

Genom rådets beslut 2004/512/EG av den 8 juni 2004 om

inrättande av informationssystemet för viseringar (VIS) (1)

skapades VIS som ett system för utbyte av uppgifter mellan

medlemsstaterna. Inrättandet av VIS utgör ett av de centrala

initiativen i Europeiska unionens politik för att inrätta ett

område med frihet, säkerhet och rättvisa. VIS ska ha till

syfte att förbättra genomförandet av den gemensamma

viseringspolitiken och bör även bidra till inre säkerhet och

till kampen mot terrorism under klart fastställda och

kontrollerade förhållanden.

(2)

Vid sitt möte den 7 mars 2005 antog rådet slutsatser, i vilka

det angavs att ”för att VIS fullt ut ska kunna nå upp till

målet om att förbättra den inre säkerheten och kampen mot

terrorism” är det nödvändigt att se till att medlemsstaternas

myndigheter med ansvar för inre säkerhet ges åtkomst till

VIS ”inom ramen för deras befogenheter för att förhindra

och upptäcka straffbara gärningar och utreda sådana,

inbegripet terroristdåd eller terroristhot”, ”under strikt

iakttagande av bestämmelserna om skydd av personupp-

gifter”.

(3)

I kampen mot terrorism och andra grova brott är det

väsentligt att de berörda organen förfogar över så full-

ständig och uppdaterad information som möjligt inom sina

respektive områden. Medlemsstaternas behöriga nationella

organ behöver information om de ska kunna utföra sina

arbetsuppgifter. Informationen i VIS kan vara nödvändig

för att förebygga och bekämpa terrorism och grova brott

och bör därför vara tillgänglig för sökningar för de utsedda

myndigheterna, med förbehåll för att de villkor som anges i

detta direktiv är uppfyllda.

(4)

Dessutom har Europeiska rådet framhållit att Europol har

en nyckelroll i samarbetet mellan medlemsstaternas

myndigheter i fråga om utredningar av gränsöverskridande

brottslighet när det gäller att stödja brottsförebyggande

åtgärder, analyser och utredningar av brottslighet i hela

unionen. Följaktligen bör också Europol få åtkomst till VIS-

uppgifter inom ramen för sina arbetsuppgifter och i

enlighet med konventionen av den 26 juli 1995 om

upprättandet av en europeisk polisbyrå (2).

(5)

Detta beslut kompletterar Europaparlamentets och rådets

förordning (EG) nr 767/2008 av den 9 juli 2008 om

informationssystemet för viseringar (VIS) och utbytet

mellan medlemsstater av uppgifter om viseringar för

kortare vistelser (VIS-förordningen) (3) i den mån den ger

en rättslig grund, i enlighet med avdelning VI i fördraget om

Europeiska unionen, och tillåter utsedda myndigheter och

Europol att få åtkomst till VIS.

13.8.2008

SV

Europeiska unionens officiella tidning

L 218/129

(1) EUT L 213, 15.6.2004, s. 5.

(2) EGT C 316, 27.11.1995, s. 2. Konventionen senast ändrad genom

protokollet om ändring av konventionen (EUT C 2, 6.1.2004, s. 3).

(3) Se sidan 60 i detta nummer av EUT.

Bilaga 1

Ds 2011:27

(6)

Det är nödvändigt att utse behöriga myndigheter i

medlemsstaterna liksom de centrala åtkomstpunkterna för

åtkomsten samt att föra en förteckning över de operativa

enheter inom de utsedda myndigheterna som är bemyndi-

gade att ha åtkomst till VIS i syfte att förebygga, upptäcka

och utreda terroristbrott och andra grova brott som avses i

rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en

europeisk arresteringsorder och överlämnande mellan

medlemsstaterna (1). Det är väsentligt att se till att veder-

börligen bemyndigad personal med rätt att få åtkomst till

VIS begränsas till dem som ”har behov av att veta” och har

lämplig kunskap om datasäkerhets- och dataskyddsbestäm-

melser.

(7)

Begäran om åtkomst till VIS ska av de operativa enheterna

hos de utsedda myndigheterna lämnas till de centrala

åtkomstpunkterna. De centrala åtkomstpunkterna ska där-

efter behandla framställningarna om tillträde till VIS efter

att ha kontrollerat att samtliga villkor för tillträdet är

uppfyllda. I ett brådskande undantagsfall bör de centrala

åtkomstpunkterna behandla begäran omedelbart och utföra

kontrollen först i efterhand.

(8)

För att skydda personuppgifter, och i synnerhet för att

utesluta rutinsökningar, ska behandlingen av VIS-uppgifter

endast ske efter prövning från fall till fall. Sådana särskilda

fall föreligger bland annat när möjligheten till sökning har

samband med en specifik händelse, eller med en fara

kopplad till grov brottslighet, eller med en specifik person

eller specifika personer som det finns allvarliga skäl att

förmoda kommer att begå eller har begått terroristbrott

eller andra grova brott eller en eller flera personer som har

ett relevant samband med en sådan person eller sådana

personer. De utsedda myndigheterna och Europol bör

således endast söka efter uppgifter i VIS om de har rimlig

anledning att förmoda att sökningen kommer att ge dem

information som på ett avgörande sätt hjälper dem att

förhindra, upptäcka eller utreda allvarliga brott.

(9)

När förslaget till rambeslut om skydd av personuppgifter,

vilket behandlas inom ramen för polissamarbete och

straffrättsligt samarbete, har trätt i kraft, bör det tillämpas

på personuppgifter som behandlas enligt detta beslut. Innan

reglerna i det rambeslutet blir tillämpliga måste det

emellertid, för att dessa ska kunna kompletteras, föreskrivas

lämpliga bestämmelser för att säkerställa nödvändigt

dataskydd. Varje medlemsstat bör säkerställa en tillräcklig

skyddsnivå i nationell rätt som minst motsvarar den som

följer av Europarådets konvention av den 28 januari 1981

om skydd för enskilda vid automatisk databehandling av

personuppgifter och motsvarande rättspraxis enligt artikel 8

i europeiska konventionen om skydd för de mänskliga

rättigheterna och de grundläggande friheterna, samt, för de

medlemsstater som har ratificerat den, tilläggsprotokollet av

den 8 november 2001 till den konventionen, och bör

beakta Europarådets ministerkommittés rekommendation

nr R (87) 15 av den 17 september 1987 om polisens

användning av personuppgifter.

(10)

Regelbundna utvärderingar bör ske av hur effektivt tillsynen

av detta besluts tillämpning fungerar.

(11)

Eftersom målen för detta beslut, dvs. införandet av vissa

skyldigheter och villkor för åtkomst till VIS-uppgifter för

medlemsstaternas utsedda myndigheter och för Europol,

inte i tillräcklig utsträckning kan uppnås av medlemssta-

terna och de därför, på grund av åtgärdens omfattning och

verkningar, bättre kan uppnås på EU-nivå, får rådet anta

bestämmelser i enlighet med subsidiaritetsprincipen, vilken

avses i artikel 2 i fördraget om Europeiska unionen och

definieras i artikel 5 i fördraget om upprättandet av

Europeiska gemenskapen. I enlighet med proportionalitets-

principen i samma artikel går detta beslut inte utöver vad

som är nödvändigt för att uppnå de målen.

(12)

I enlighet med artikel 47 i fördraget om Europeiska

unionen inverkar inte detta beslut på Europeiska gemen-

skapens befogenheter, vilket särskilt gäller de befogenheter

som utövas i kraft av förordning (EG) nr 767/2008 och

Europaparlamentets och rådets direktiv 95/46/EG av den

24 oktober 1995 om skydd för enskilda personer med

avseende på behandling av personuppgifter och om det fria

flödet av sådana uppgifter (2).

(13)

Detta beslut utgör en utveckling av bestämmelser i

Schengenregelverket i vilka Förenade kungariket inte deltar

i enlighet med rådets beslut 2000/365/EG av den 29 maj

2000 om en begäran från Förenade konungariket Storbri-

tannien och Nordirland om att få delta i vissa bestämmelser

i Schengenregelverket (3). Förenade kungariket deltar därför

inte i antagandet av detta beslut, som inte är bindande för

eller tillämpligt i Förenade kungariket.

(14)

Detta beslut utgör en utveckling av bestämmelser i

Schengenregelverket i vilka Irland inte deltar i enlighet

med rådets beslut 2002/192/EG av den 28 februari 2002

om Irlands begäran om att få delta i vissa bestämmelser i

Schengenregelverket (4). Irland deltar därför inte i antagan-

det av detta beslut, som inte är bindande för eller tillämpligt

i Irland.

L 218/130

SV

Europeiska unionens officiella tidning

13.8.2008

(1) EGT L 190, 18.7.2002, s. 1.

(2) EGT L 281, 23.11.1995, s. 31. Direktivet ändrat genom förordning

(EG) nr 1882/2003 (EUT L 284, 31.10.2003, s. 1).

(3) EGT L 131, 1.6.2000, s. 43.

(4) EGT L 64, 7.3.2002, s. 20.

Bilaga 1

Ds 2011:27

(15)

Information i VIS kan dock i enlighet med rambeslut 2006/

960/RIF av den 18 december 2006 om ett förenklat

informations- och underrättelseutbyte mellan de brottsbe-

kämpande myndigheterna i Europeiska unionens medlems-

stater (1) tillhandahållas Förenade kungariket och Irland av

medlemsstaternas behöriga myndigheter, vilkas utsedda

myndigheter har åtkomst till VIS i enlighet med detta

beslut. Information inom Förenade kungarikets och Irlands

nationella viseringsregister kan tillhandahållas andra med-

lemsstaters behöriga brottsbekämpande myndigheter. För

varje form av direkt åtkomst till VIS för Förenade

kungarikets och Irlands centrala myndigheter krävs det i

enlighet med dessa länders nuvarande ställning i fråga om

deltagande i Schengenregelverket ett avtal mellan gemen-

skapen och dessa medlemsstater, vilket eventuellt kan

kompletteras med andra regler rörande villkoren och

förfarandena för åtkomsten.

(16)

När det gäller Island och Norge utgör detta beslut, med

undantag av artikel 7, i enlighet med avtalet mellan

Europeiska unionens råd och Republiken Island och

Konungariket Norge om dessa staters associering till

genomförandet, tillämpningen och utvecklingen av Schen-

genregelverket (2) en utveckling av bestämmelser i Schen-

genregelverket vilka omfattas av det område som avses i

artikel 1.B i rådets beslut 1999/437/EG (3) om vissa

tillämpningsföreskrifter för det avtalet.

(17)

När det gäller Schweiz utgör detta beslut, med undantag av

artikel 7, i enlighet med avtalet mellan Europeiska unionen,

Europeiska gemenskapen och Schweiziska edsförbundet

om Schweiziska edsförbundets associering till genom-

förandet, tillämpningen och utvecklingen av Schengen-

regelverket, en utveckling av bestämmelser i Schengen-

regelverket, vilka omfattas av det område som avses i

artikel 1.B i beslut 1999/437/EG jämförd med artikel 4.1 i

rådets beslut 2004/849/EG (4).

(18)

Detta beslut utgör, förutom artikel 6, en rättsakt som

bygger vidare på Schengenregelverket eller som på annat

sätt anknyter till det i enlighet med artikel 3.2 i 2003 års

anslutningsakt och artikel 4.2 i 2005 års anslutningsakt.

(19)

Detta beslut respekterar de grundläggande rättigheter och

iakttar de principer som återspeglas bland annat i Euro-

peiska unionens stadga om de grundläggande rättigheterna.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Syfte och tillämpningsområde

I detta beslut fastställs de villkor enligt vilka utsedda myndigheter

i medlemsstaterna och Europeiska polisbyrån (Europol) kan få

åtkomst till sökningar i informationssystemet för viseringar (VIS)

i syfte att förebygga, upptäcka och utreda terroristbrott och andra

grova brott.

Artikel 2

Definitioner

1. I detta direktiv gäller följande definitioner:

a)

Informationssystemet för viseringar (VIS): Informationssyste-

met för viseringar, inrättat genom beslut 2004/512/EG.

b)

Europol: Europeiska polisbyrån, inrättad genom konventio-

nen av den 26 juli 1995 om upprättandet av en europeisk

polisbyrå (”Europolkonventionen”).

c)

terroristbrott: brott enligt nationell rätt som motsvarar eller

är likvärdigt med brott enligt artiklarna 1–4 i rådets

rambeslut 2002/475/RIF av den 13 juni 2002 om

bekämpande av terrorism (5).

d)

grova brott: former av brottslighet som motsvarar eller är

likvärdiga med de former av brottslighet som avses i

artikel 2.2 rådets rambeslut 2002/584/RIF.

e)

utsedda myndigheter: myndigheter som är ansvariga för att

förebygga, upptäcka eller utreda terroristbrott eller andra

grova brott och som utsetts av medlemsstaterna i enlighet

med artikel 3.

2. Definitionerna i förordning (EG) nr 767/2008 ska också

vara tillämpliga.

Artikel 3

Utsedda myndigheter och centrala åtkomstpunkter

1. Medlemsstaterna ska utse de myndigheter som avses i

artikel 2.1 e och som har tillstånd för åtkomst till VIS-uppgifter i

enlighet med detta beslut.

2. Varje medlemsstat ska föra en förteckning över utsedda

myndigheter. Senast den 2 december 2008 ska varje medlemsstat

i en förklaring till kommissionen och rådets generalsekretariat

anmäla sina utsedda myndigheter och får när som helst ändra

eller ersätta sin förklaring med en annan förklaring.

13.8.2008

SV

Europeiska unionens officiella tidning

L 218/131

(1) EUT L 386, 18.12.2006, s. 89.

(2) EGT L 176, 10.7.1999, s. 36.

(3) EGT L 176, 10.7.1999, s. 31.

(4) Beslut 2004/849/EG av den 25 oktober 2004 om undertecknande

på Europeiska unionens vägnar och provisorisk tillämpning av vissa

bestämmelser av avtalet mellan Europeiska unionen, Europeiska

gemenskapen och Schweiziska edsförbundet om Schweiziska

edsförbundets associering till genomförandet, tillämpningen och

utvecklingen av Schengenregelverket (EUT L 368, 15.12.2004, s. 26).

(5) EGT L 164, 22.6.2002, s. 3.

Bilaga 1

Ds 2011:27

3. Varje medlemsstat ska utse den centrala åtkomstpunkt eller

de centrala åtkomstpunkter genom vilken eller vilka åtkomsten

ska ske. Medlemsstaterna får utse mer än en central åtkomst-

punkt för att avspegla sin organisatoriska eller administrativa

struktur vid uppfyllandet av sina konstitutionella eller rättsliga

skyldigheter. Senast den 2 december 2008 ska varje medlemsstat

i en förklaring till kommissionen och rådets generalsekretariat

anmäla sin centrala åtkomstpunkt eller centrala åtkomstpunkter

och får när som helst ändra eller ersätta sin förklaring med en

annan förklaring.

4. Kommissionen ska offentliggöra de förklaringar som avses i

punkterna 2 och 3 i Europeiska unionens officiella tidning.

5. På nationell nivå ska varje medlemsstat föra en förteckning

över de driftsenheter inom de utsedda myndigheterna som ska

ha tillstånd till åtkomst till VIS genom den centrala åtkomst-

punkten eller de centrala åtkomstpunkterna.

6. Endast vederbörligen bemyndigad personal vid dessa drifts-

enheter och den centrala åtkomstpunkten eller de centrala

åtkomstpunkterna ska ha tillstånd till åtkomst till VIS i enlighet

med artikel 4.

Artikel 4

Förfarande för åtkomst till VIS

1. Om villkoren i artikel 5 är uppfyllda ska de driftsenheter

som avses i artikel 3.5 lämna in en motiverad skriftlig eller

elektronisk begäran till de centrala åtkomstpunkter som avses i

artikel 3.3 om åtkomst till VIS. Vid mottagande av en begäran

om åtkomst ska den eller de centrala åtkomstpunkterna

kontrollera om villkoren för åtkomst enligt artikel 5 är uppfyllda.

Om samtliga villkor för åtkomst är uppfyllda ska den veder-

börligen bemyndigade personalen vid den centrala åtkomst-

punkten eller de centrala åtkomstpunkterna behandla begäran.

De VIS-uppgifter till vilka åtkomst ges ska överföras till de

driftsenheter som avses i artikel 3.5 på ett sådant sätt att de inte

hotar uppgifternas säkerhet.

2. I ett brådskande undantagsfall får den centrala åtkomst-

punkten eller de centrala åtkomstpunkterna ta emot en skriftlig,

elektronisk eller muntlig begäran. I sådana fall ska den eller de

centrala åtkomstpunkterna omedelbart behandla begäran och

först i efterhand kontrollera om alla villkoren för åtkomst enligt

artikel 5 är uppfyllda, bland annat huruvida det rört sig om ett

brådskande undantagsfall. Kontrollen i efterhand ska äga rum

utan oskälig fördröjning efter det att begäran har behandlats.

Artikel 5

Villkor för åtkomst till VIS-uppgifter för medlemsstaternas

utsedda myndigheter

1. Utsedda myndigheter ska ha åtkomst till VIS för sökningar

inom sitt behörighetsområde och om följande villkor uppfyllts:

a)

Sökningarna är nödvändiga för att förebygga, upptäcka eller

utreda terroristbrott eller andra grova brott.

b)

Sökningarna är nödvändiga i ett specifikt ärende.

c)

Det finns rimliga skäl att anse att inhämtande av VIS-

uppgifter väsentligen kommer att bidra till att brotten i

fråga förebyggs, upptäcks eller utreds.

2. Sökningarna i VIS ska vara begränsade till sökningar på

någon eller några av följande VIS-uppgifter i ansökningsakten:

a)

Efternamn, efternamn vid födseln (tidigare efternamn),

förnamn, kön, födelsedatum, födelseort och födelseland.

b)

Nuvarande medborgarskap och medborgarskap vid födseln.

c)

Resehandlingens typ och nummer, utfärdande myndighet

samt dag för utfärdande och sista giltighetsdag.

d)

Huvuddestination och den planerade vistelsens varaktighet.

e)

Syftet med resan.

f)

Planerad ankomst- och avresedag.

g)

Planerad gräns för första inresa eller transiteringsväg.

h)

Bostad.

i)

Fingeravtryck.

j)

Typ av visering och viseringsmärkets nummer.

k)

Uppgifter om den person som har bjudit in och/eller åtagit

sig att stå för sökandens levnadskostnader under vistelsen.

3. Vid en träff vid sökning i VIS ska åtkomst ges till samtliga

uppgifter som anges i punkt 2 samt till

a)

eventuella övriga uppgifter som hämtats från ansöknings-

akten,

b)

fotografier,

c)

eventuella uppgifter om utfärdade, vägrade, återkallade eller

förlängda viseringar.

Artikel 6

Villkor för åtkomst till VIS-uppgifter för utsedda

myndigheter i en medlemsstat i vilken förordning (EG)

nr 767/2008 ännu inte har fått verkan

1. Utsedda myndigheter i en medlemsstat i vilken förordning

(EG) nr 767/2008 ännu inte har fått verkan ska ha åtkomst till

VIS för sökningar inom sitt behörighetsområde, och

a)

på samma villkor som anges i artikel 5.1 och

L 218/132

SV

Europeiska unionens officiella tidning

13.8.2008

Bilaga 1

Ds 2011:27

b)

efter en vederbörligen motiverad skriftlig eller elektronisk

begäran till en utsedd myndighet i en medlemsstat på vilken

förordning (EG) nr 767/2008 är tillämplig; denna myndig-

het ska därefter begära att den eller de nationella centrala

åtkomstpunkterna gör sökningen i VIS.

2. En medlemsstat i fråga om vilken förordning (EG) nr 767/

2008 ännu inte har fått verkan ska göra sin viseringsinformation

tillgänglig för medlemsstater som omfattas av förordning (EG)

nr 767/2008, på grundval av en vederbörligen motiverad

skriftlig eller elektronisk begäran som ska uppfylla de villkor

som fastställs i artikel 5.1.

3. Artiklarna 8.1 och 8.3–8.6, artikel 9.1, artikel 10.1 och

10.3, artikel 12, artikel 13.1 och 13.3 i detta beslut ska tillämpas

i enlighet med detta.

Artikel 7

Villkor för Europols åtkomst till VIS-uppgifter

1. Europol ska ha åtkomst till VIS för sökningar inom ramen

för sitt uppdrag och

a)

när det är nödvändigt för att Europol ska kunna fullgöra

sina arbetsuppgifter i enlighet med artikel 3.1.2 i Europol-

konventionen och för särskilda analysändamål enligt

artikel 10 i Europolkonventionen, eller

b)

när det är nödvändigt för att Europol ska kunna fullgöra

sina arbetsuppgifter i enlighet med artikel 3.1.2 i Europol-

konventionen och för analyser av allmän karaktär och

strategiskt slag, enligt artikel 10 i Europolkonventionen,

under förutsättning att VIS-uppgifterna avidentifieras av

Europol före en sådan behandling och bevaras i en form

som inte längre möjliggör identifiering av de registrerade

personerna.

2. Artikel 5.2 och 5.3 ska vara tillämpliga i enlighet med detta.

3. Europol ska med anledning av detta beslut utse en

specialenhet med vederbörligen bemyndigade Europoltjänstemän

som ska agera som central åtkomstpunkt för sökningar i VIS.

4. Behandling av uppgifter som Europol erhållit genom

åtkomst till VIS förutsätter samtycke från den medlemsstat

som fört in uppgifterna i VIS. Europol ska inhämta detta

samtycke från den nationella Europolenheten i medlemsstaten.

Artikel 8

Skydd av personuppgifter

1. Behandlingen av personuppgifter i enlighet med detta beslut

ska följa nedanstående bestämmelser och den nationella rätten i

den medlemsstat som inhämtar uppgifter. När det gäller

behandlingen av personuppgifter som inhämtas i enlighet med

detta beslut, ska varje medlemsstat säkerställa en tillräcklig

skyddsnivå i nationell rätt som minst motsvarar den enligt

Europarådets konvention av den 28 januari 1981 om skydd för

enskilda vid automatisk databehandling av personuppgifter, och

för de medlemsstater som har ratificerat det, tilläggsprotokollet

av den 8 november 2001 till den konventionen, och ska beakta

Europarådets ministerkommittés rekommendation nr R (87) 15

av den 17 september 1987 om polisens användning av

personuppgifter.

2. Europols behandling av personuppgifter i enlighet med detta

beslut ska överensstämma med Europolkonventionen och de

bestämmelser som antagits för dess genomförande och ska

övervakas av det oberoende gemensamma tillsynsorgan som

inrättats enligt artikel 24 i konventionen.

3. De personuppgifter som erhålls i enlighet med detta beslut

från VIS ska enbart behandlas för att förhindra, upptäcka, utreda

och åtala för terroristbrott eller andra grova brott.

4. Personuppgifter som i enlighet med detta beslut inhämtats

från VIS får inte överföras eller göras tillgängliga för ett tredjeland

eller en internationell organisation. I ett brådskande undan-

tagsfall får sådana uppgifter dock överföras till eller göras

tillgängliga för ett tredjeland eller en internationell organisation,

uteslutande i syfte att förebygga och upptäcka terroristbrott och

andra grova brott och på de villkor som anges i artikel 5.1 i detta

beslut, förutsatt att den medlemsstat som registrerat uppgifterna

i VIS samtycker och att det sker i enlighet med nationell rätt i den

medlemsstat som överför uppgifterna eller gör dem tillgängliga.

Medlemsstaterna ska i enlighet med nationell rätt se till att

register förs över sådana överföringar och på begäran ställa dem

till förfogande för nationella dataskyddsmyndigheter. Överför-

ingen av uppgifter från den medlemsstat som förde in

uppgifterna i VIS i enlighet med förordning (EG) nr 767/2008

ska omfattas av den medlemsstatens nationella rätt.

5. Behörigt eller behöriga organ som i enlighet med nationell

rätt har till uppgift att övervaka de genom detta beslut utsedda

myndigheternas behandling av personuppgifter ska övervaka att

den behandling av personuppgifter som grundar sig på detta

beslut är laglig. Medlemsstaterna ska se till att dessa organ har

tillräckliga resurser för att utföra de uppgifter som de tilldelas

enligt detta beslut.

6. De organ som avses i punkt 5 ska se till att behandlingen av

personuppgifter granskas enligt detta beslut minst vart fjärde år, i

förekommande fall i enlighet med internationella redovisnings-

standarder.

13.8.2008

SV

Europeiska unionens officiella tidning

L 218/133

Bilaga 1

Ds 2011:27

7. Medlemsstaterna och Europol ska medge att det eller de

behöriga organ som avses i punkterna 2 och 5 erhåller

nödvändig information så att de kan utföra sina uppgifter i

enlighet med denna artikel.

8. Personalen vid de myndigheter som är berättigade till

åtkomst till VIS ska innan de bemyndigas att behandla uppgifter

som lagras i VIS erhålla lämplig utbildning om reglerna för

datasäkerhet och skydd av uppgifter och få information om alla

relevanta brott och påföljder.

Artikel 9

Datasäkerhet

1. Den ansvariga medlemsstaten ska garantera säkerheten för

uppgifterna under överföringen till de utsedda myndigheterna

och när de tagits emot av dem.

2. Varje medlemsstat ska besluta om nödvändiga säkerhets-

åtgärder när det gäller uppgifter som ska inhämtas från VIS enligt

detta beslut och därefter lagras, särskilt för att

a)

fysiskt skydda uppgifter, bland annat genom att utarbeta

beredskapsplaner för att skydda kritisk infrastruktur,

b)

hindra obehöriga personer från att få tillträde till nationella

anläggningar vid vilka medlemsstaten lagrar uppgifter

(kontroll vid ingången till anläggningen),

c)

hindra obehörig läsning, kopiering, ändring eller radering

av uppgifter eller datamedier (kontroll av datamedier),

d)

hindra obehöriga från att skaffa sig kännedom om, ändra

eller radera lagrade personuppgifter (kontroll av lagring),

e)

hindra obehörig behandling av uppgifter från VIS (kontroll

av behandlingen av uppgifter),

f)

garantera att personer som är behöriga att söka i VIS endast

har åtkomst till de uppgifter som omfattas av deras

sökningstillstånd genom individuella och unika användar-

identiteter och skyddade åtkomstmetoder (åtkomstkont-

roll),

g)

garantera att alla myndigheter med rätt till åtkomst till VIS

skapar profiler som beskriver uppgifter och ansvar för

personer som har befogenhet för åtkomst och sökning av

uppgifter och att utan dröjsmål ge de nationella till-

synsmyndigheter som avses i artikel 8.5 tillgång till dessa

profiler på begäran (personalprofiler),

h)

garantera möjlighet att verifiera och fastställa till vilka organ

personuppgifter kan överföras med användning av

datakommunikationsutrustning (kontroll av kommunika-

tionen),

i)

garantera möjlighet att verifiera och fastställa vilka upp-

gifter som har hämtats från VIS när, av vem och för vilket

ändamål (kontroll av dataregistrering),

j)

hindra obehörig läsning och kopiering av personuppgifter

när de överförs till eller från VIS, särskilt med hjälp av

lämplig krypteringsteknik (kontroll av transport),

k)

övervaka att de säkerhetsföreskrifter som avses i denna

punkt är verkningsfulla och vidta nödvändiga organisato-

riska åtgärder för intern övervakning för att säkerställa

överensstämmelse med detta beslut (självgranskning).

Artikel 10

Skadeståndsansvar

1. Varje person eller medlemsstat som har lidit skada till följd

av en otillåten behandling eller av något annat handlande som är

oförenligt med bestämmelserna i detta beslut har rätt till

ersättning av den medlemsstat som är ansvarig för den

uppkomna skadan. Den medlemsstaten ska helt eller delvis

befrias från detta ansvar om den kan styrka att den inte är

ansvarig för den händelse som orsakade skadan.

2. Om en medlemsstats underlåtenhet att uppfylla sina

skyldigheter enligt detta beslut orsakar skada på VIS, ska den

medlemsstaten anses ansvarig för denna skada, såvida inte en

annan medlemsstat har underlåtit att vidta rimliga åtgärder för

att förhindra skadan eller för att begränsa dess verkningar.

3. Skadeståndsanspråk mot en medlemsstat för en sådan skada

som avses i punkterna 1 och 2 ska regleras genom den nationella

lagstiftningen i den medlemsstat som är svarande.

Artikel 11

Egenkontroll

Medlemsstaterna ska se till att varje myndighet som har åtkomst

till VIS-uppgifter vidtar de åtgärder som är nödvändiga för att

följa detta beslut och vid behov samarbetar med det eller de

nationella organ som avses i artikel 8.5.

Artikel 12

Sanktioner

Medlemsstaterna ska vidta nödvändiga åtgärder för att se till att

all användning av VIS-uppgifter som strider mot bestämmelserna

i detta beslut är straffbar genom sanktioner, inklusive adminis-

trativa och/eller straffrättsliga sanktioner, vilka ska vara effektiva,

proportionella och avskräckande.

L 218/134

SV

Europeiska unionens officiella tidning

13.8.2008

Bilaga 1

Ds 2011:27

Artikel 13

Bevarande av VIS-uppgifter i nationella register

1. Uppgifter som hämtats från VIS får bevaras i nationella

register endast när det är nödvändigt i ett enskilt fall i enlighet

med de ändamål som fastställs i detta beslut och i enlighet med

de tillämpliga rättsliga bestämmelserna, inbegripet bestämmel-

serna om uppgiftsskydd, och inte längre än vad som är

nödvändigt i det enskilda fallet.

2. Punkt 1 ska inte inverka på bestämmelserna i en medlems-

stats nationella lagstiftning när det gäller de utsedda myndig-

heternas införande i sina nationella register av uppgifter som den

medlemsstaten har lagt in i VIS i enlighet med förordning (EG) nr

767/2008.

3. All sådan användning av uppgifter som inte överensstämmer

med punkterna 1 och 2 ska anses vara otillbörlig användning

enligt varje medlemsstats nationella rätt.

Artikel 14

Rätt till åtkomst, korrigering och radering

1. Personers rätt till åtkomst till uppgifter som erhållits från VIS

och som avser dem enligt detta beslut ska utövas enligt den

nationella rätten i den medlemsstat i vilken de åberopar denna

rätt.

2. Om så följer av den nationella rätten, ska den nationella

tillsynsmyndigheten avgöra om uppgifterna får lämnas ut och

hur detta ska ske.

3. En annan medlemsstat än den som har lagt in uppgifterna i

VIS enligt förordning (EG) nr 767/2008 får lämna ut

information om sådana uppgifter endast om den i förväg har

gett den medlemsstat som lagt in uppgifterna tillfälle att meddela

sin ståndpunkt.

4. Information ska inte lämnas ut till den registrerade om

genomförandet av det rättsliga uppdrag som uppgifterna avser

eller skyddet av tredjemans rättigheter och frihet kräver det.

5. En person har rätt att få oriktiga uppgifter som avser denne

korrigerade och olagligt lagrade uppgifter raderade. Om de

utsedda myndigheterna mottar en sådan ansökan eller om de har

några andra bevis som tyder på att uppgifterna som behandlats i

VIS är oriktiga, ska de omedelbart meddela viseringsmyndigheten

i den medlemsstat som har lagt in uppgifterna i VIS, vilken ska

kontrollera de berörda uppgifterna och om nödvändigt ome-

delbart korrigera eller radera dem i enlighet med artikel 24 i

förordning (EG) nr 767/2008.

6. Den berörda personen ska informeras så snart som möjligt

och under alla förhållanden inte senare än 60 dagar räknat från

den dag som ansökan lämnades in eller tidigare om en kortare

tidsfrist följer av nationell rätt.

7. Den berörda personen ska så snart som möjligt informeras

om vilka åtgärder som vidtas till följd av utövandet av hans eller

hennes rätt till korrigering och radering och under alla

förhållanden inte senare än tre månader räknat från den dag

då personen ansöker om att få uppgifterna korrigerade eller

raderade eller tidigare om en kortare tidsfrist följer av nationell

rätt.

8. I varje medlemsstat ska var och en ha rätt att väcka talan

eller överklaga till de behöriga myndigheterna eller domstolarna i

den medlemsstat som vägrade den berörda personen den rätt att

få åtkomst till eller den rätt att korrigera eller radera uppgifter

som avser denne, som föreskrivs i den här artikeln.

Artikel 15

Kostnader

Varje medlemsstat och Europol ska på egen bekostnad inrätta

och underhålla den tekniska infrastruktur som är nödvändig för

att genomföra detta beslut samt bära kostnaderna för åtkomst till

VIS enligt detta beslut.

Artikel 16

Registerföring

1. Varje medlemsstat och Europol ska säkerställa att all

uppgiftsbehandling som härrör från åtkomst till VIS i enlighet

med detta beslut registreras för att kontrollera huruvida

sökningen är tillåten, för att övervaka att databehandlingen sker

lagenligt, och för egenkontroll av datasäkerheten och upp-

gifternas kvalitet.

I dessa register ska följande anges:

a)

Det exakta ändamålet med sökningen enligt artikel 5.1 a,

inbegripet den berörda typen av terroristbrott eller annat

grovt brott och, för Europol, det exakta ändamålet med

sökningen enligt artikel 7.1.

b)

Referensnummer för det nationella registret.

c)

Datum och exakt tidpunkt för åtkomsten.

d)

I förekommande fall, att tillämpning skett av förfarandet i

artikel 4.2.

e)

Vilka uppgifter som använts för sökningen.

f)

Vilken typ av uppgifter som använts för sökningen.

g)

I enlighet med nationella regler eller Europolkonventionens

bestämmelser, beteckningen för den tjänsteman som

utförde sökningen och för den tjänsteman som beordrade

sökningen eller tillgången.

13.8.2008

SV

Europeiska unionens officiella tidning

L 218/135

Bilaga 1

Ds 2011:27

2. Registerposter innehållande personuppgifter ska endast

användas för övervakning av att behandlingen av personuppgif-

ter är lagenlig och för att trygga datasäkerheten. Endast

registerposter som innehåller uppgifter som inte är personupp-

gifter får användas för den övervakning och utvärdering som

omnämns i artikel 17 i detta beslut.

3. Registret ska på lämpligt sätt skyddas mot obehörig åtkomst

och ska raderas ett år efter det att den lagringsperiod som anges i

artikel 23.1 i förordning (EG) nr 767/2008 har löpt ut, såvida

inte registret behövs för redan påbörjade övervakningsförfar-

anden enligt punkt 2 i denna artikel.

Artikel 17

Övervakning och utvärdering

1. Den förvaltningsmyndighet som avses i förordning (EG)

nr 767/2008 ska se till att system införs för att övervaka hur VIS

fungerar enligt detta beslut jämfört med mål för produktivitet,

kostnadseffektivitet, säkerhet och tjänsternas kvalitet.

2. Förvaltningsmyndigheten ska ha åtkomst till den informa-

tion om uppgiftsbehandling i VIS som behövs för det tekniska

underhållet.

3. Två år efter det att VIS tagits i drift, och därefter vartannat år,

ska förvaltningsmyndigheten lämna en rapport till Europa-

parlamentet, rådet och kommissionen om hur VIS fungerat i

tekniskt hänseende enligt detta beslut. Rapporten ska innefatta

uppgifter om hur effektivt VIS har fungerat i förhållande till

kvantitativa indikatorer som kommissionen fastställt på förhand

och särskilt uppgifter om behovet och användningen av

artikel 4.2.

4. Tre år efter det att VIS tagits i drift, och därefter vart fjärde

år, ska kommissionen utarbeta en samlad utvärdering av VIS

enligt detta beslut. Utvärderingen ska omfatta en undersökning

av de resultat som uppnåtts mot bakgrund av målen, en

bedömning av om skälen till detta beslut fortsatt är giltiga,

tillämpningen av detta beslut när det gäller VIS, säkerheten för

VIS och eventuella konsekvenser för den framtida användningen.

Kommissionen ska överlämna utvärderingsrapporterna till

Europaparlamentet och rådet.

5. Medlemsstaterna och Europol ska förse förvaltningsmyndig-

heten och kommissionen med den information som behövs för

att utarbeta de rapporter som avses i punkterna 3 och 4. Denna

information ska inte äventyra arbetsmetoder eller innehålla

uppgifter som avslöjar källor, personal eller de utredningar som

görs av de utsedda myndigheterna.

6. Förvaltningsmyndigheten ska förse kommissionen med den

information som behövs för att genomföra de samlade

utvärderingar som avses i punkt 4.

7. Under en övergångsperiod innan förvaltningsmyndigheten

får ansvaret ska kommissionen ha ansvar för att utarbeta och

lägga fram de rapporter som avses i punkt 3.

Artikel 18

Ikraftträdande och tillämpningsdatum

1. Detta beslut träder i kraft den tjugonde dagen efter det att

det har offentliggjorts i Europeiska unionens officiella tidning.

2. Detta beslut får verkan från och med det datum som ska

fastställas av rådet så snart kommissionen har informerat rådet

om att förordning (EG) nr 767/2008 har trätt i kraft och är fullt

tillämplig.

Rådets generalsekretariat ska offentliggöra detta datum i Euro-

peiska unionens officiella tidning.

Utfärdat i Luxemburg den 23 juni 2008.

På rådets vägnar

I. JARC

Ordförande

L 218/136

SV

Europeiska unionens officiella tidning

13.8.2008

Bilaga 1

Ds 2011:27