Ds 2013:77

Register över tillträdesförbud vid idrottsarrangemang

Till statsrådet och chefen för Justitiedepartementet

Chefen för Justitiedepartementet, statsrådet Ask, beslutade den 2 maj 2013 att ge f.d. överdirektören Olof Egerstedt i uppdrag att biträda departementet med att ta fram ett underlag för lagstiftning om register över bl.a. tillträdesförbud vid idrottsarrangemang (Ju 2013:C).

Från och med den 27 maj 2013 anställdes hovrättsassessorn Cecilia Ahlström för att arbeta som sekreterare inom ramen för uppdraget.

Härmed överlämnas promemorian Register över tillträdesförbud vid idrottsarrangemang.

Uppdraget är med detta slutfört.

Linköping i december 2013

Olof Egerstedt

Cecilia Ahlström

1. Promemorians huvudsakliga innehåll

Förevarande departementspromemoria baseras på en inom Justitiedepartementet upprättad uppdragspromemoria. Uppdraget går ut på att skapa rättsliga förutsättningar för ett eller flera register över personer som har meddelats tillträdesförbud av åklagare eller domstol enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang respektive stängts av från tillträde till ett arrangemang efter beslut av en arrangör (arrangörsavstängning). I sammanhanget ska särskilt beaktas den avvägning som måste göras mellan behovet av att hantera en personuppgift och det integritetsintrång hanteringen innebär. En utgångspunkt för uppdraget är det förslag om ett nationellt register som finns i delbetänkandet Mindre våld för pengarna (SOU 2012:23) avgivet av utredningen Nationell samordning mot brottslighet i samband med idrottsarrangemang.

I promemorian läggs fram förslag till författningsreglering av frågor som rör ett nationellt register över meddelade tillträdesförbud (tillträdesförbudregistret). Däremot läggs inte fram något förslag till författningsreglering av ett register över arrangörsavstängningar. Det offentligrättsligt reglerade och av myndigheter hanterade tillträdesförbudinstitutet och å andra sidan det på interna idrottsliga regler baserade institutet arrangörsavstängningar skiljer sig åt rättsligt, principiellt och verksamhetsmässigt. Dessa förhållanden har vad gäller arrangörsavstängningar lett oss till slutsatsen att inte föreslå någon särskild registerförfattning för sådana avstängningar. För

Promemorians huvudsakliga innehåll Ds 2013:XX

sammanställningar av uppgifter på det området är personuppgiftslagen (1998:204) tillämplig.

Förslagen som rör tillträdesförbudsregistret innebär i huvudsak att en särskild registerförfattning i form av lag läggs fram. En reglering av ett register över tillträdesförbud kan ses som den avslutande länken i en kedja av rättsligt reglerade åtgärder rörande institutet tillträdesförbud. Den bärande tanken med lagen är att ett register ska stärka möjligheterna för främst idrottsarrangörer att mer verksamt förhindra att personer med tillträdesförbud kommer in på aktuella arrangemangsarenor och därmed att stävja idrottsanknuten brottslighet på arenorna.

Samtidigt som reglerna för ett särskilt register ska tillgodose ändamålsintressena, ska reglerna ge skydd mot att de registrerades personliga integritets kränks. Lagen främjar både effektivitet och rättssäkerhet. En ledstjärna har varit att lagens ändamål ska vara precisa och uttömmande angivna och att andra bestämmelser i lagen ska korrespondera med ändamålen. Tillträdesförbudsregisterlagen ska gälla utöver personuppgiftslagen. Det innebär att den senare lagen ska tillämpas, om inte annat följer av tillträdesförbudsregisterlagen.

Förslaget till tillträdesförbudsregisterlag innehåller i huvudsak följande. Registret ska föras av Rikspolisstyrelsen. Lagen ska gälla hos idrottsorganisationer, specialidrottsförbund, Rikspolisstyrelsen och polismyndigheter. Dessa organ ska ha tillgång till registret. Ändamålet med personuppgiftsbehandlingen ska vara att förebygga, förhindra eller upptäcka överträdelser av ett tillträdesförbud. Ett ytterligare ändamål är att fullgöra förpliktelser som följer av internationella åtaganden. De uppgifter som får behandlas är begränsade till bl.a. sedvanliga identitetsuppgifter, fotografier och tillträdesförbudsbeslut. Inte minst fotografier har bedömts som särskilt betydelsefull för nyttan av registret. Fotografier ska tillföras registret genom att polisen tar bilder i samband med utredningen i ett ärende om tillträdesförbud eller genom att bilderna hämtas från bl.a. passregistret.

Vart och ett av de organ som har tillgång till registret ska ha personuppgiftsansvar för den behandling som man utför. Den

Ds 2013:XX Promemorians huvudsakliga innehåll

behandling som andra än Rikspolisstyrelsen utför får inte omfatta sådan behandling som påverkar uppgifterna i registret, såsom registrering, ändring och radering. Personuppgifter i registret ska kunna vara åtkomliga genom direktåtkomst. Uppgifterna i registret ska gallras senast när ett tillträdesförbud inte längre gäller. För uppgifter i registret föreslås en bestämmelse om sekretess i offentlighets- och sekretesslagen (2009:400). För personer utanför myndighetsområdet ska gälla tystnadsplikt i fråga om uppgifter som inhämtats från tillträdesförbudsregistret. För personer hos myndigheter tillämpas i stället offentlighet- och sekretesslagen.

Reglerna om tillträdesförbudsregistret föreslås träda i kraft den 1 juli 2014.

2. Författningsförslag

2.1. Förslag till lag om register över tillträdesförbud vid idrottsarrangemang

Härigenom föreskrivs följande.

Register över tillträdesförbud vid idrottsarrangemang

1 § Rikspolisstyrelsen får med hjälp av automatiserad behandling föra ett register med uppgifter om personer som har meddelats tillträdesförbud enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang (tillträdesförbudsregistret), dock inte sådana interimistiska tillträdesförbud som avses i 9 a § nämnda lag.

Lagens tillämpningsområde

2 § Denna lag gäller hos idrottsorganisationer, specialidrottsförbund, Rikspolisstyrelsen och polismyndigheter vid behandling av personuppgifter i fråga om personer som har meddelats tillträdesförbud enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang.

Lagen gäller behandling som är helt eller delvis automatiserad. Lagen gäller även för annan behandling, om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av

Författningsförslag Ds 2013:XX

personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Med idrottsorganisation avses i denna lag en organisation som anordnar idrottsarrangemang och som är medlem i ett specialidrottsförbund. Med specialidrottsförbund avses i denna lag ett specialidrottsförbund som är anslutet till Sveriges Riksidrottsförbund.

Lagens syfte

3 § Syftet med denna lag är att göra det möjligt att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätthålla gällande beslut om tillträdesförbud vid idrottsarrangemang och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Ändamålet med personuppgiftsbehandlingen

4 § Personuppgifter får behandlas om det behövs för att

1. förebygga, förhindra eller upptäcka överträdelse av ett

tillträdesförbud, eller

2. fullgöra förpliktelser som följer av internationella åtagan-

den.

Förhållandet till personuppgiftslagen

5 §Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i tillträdesförbudsregistret, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna lag.

Ds 2013:XX Författningsförslag

Personuppgifter som får behandlas i registret

6 § I tillträdesförbudsregistret får endast sådana personuppgifter behandlas som behövs för de ändamål som anges i 4 §.

Dessa uppgifter är:

1. namn,

2. personnummer eller samordningsnummer,

3. alias,

4. fotografi,

5. folkbokföringsadress och annan stadigvarande adress,

6. idrottsanknytning och anknytning till idrottsorganisation,

7. beslut om tillträdesförbud enligt lagen (2005:321) om till-

trädesförbud vid idrottsarrangemang, och

8. överträdelse av tillträdesförbud.

Tillgången till personuppgifter

7 § Idrottsorganisationer, specialidrottsförbund och polismyndigheter har trots sekretess enligt 35 kap. 4 § offentlighets- och sekretesslagen (2009:400) rätt att ta del av personuppgifter i tillträdesförbudsregistret, om det behövs för behandling som avses i 4 §.

8 § En idrottsorganisation, ett specialidrottsförbund eller en polismyndighet som får ta del av personuppgifter ur tillträdesförbudsregistret ska begränsa tillgången till personuppgifter till vad tjänstgörande säkerhetspersonal, varje tjänsteman eller handläggare har behov av för att kunna fullgöra sina arbetsuppgifter.

Författningsförslag Ds 2013:XX

Personuppgiftsansvar

9 § Idrottsorganisationer, specialidrottsförbund, Rikspolisstyrelsen och polismyndigheter har personuppgiftsansvar för den behandling av personuppgifter som envar utför.

Den behandling som idrottsorganisationer, specialidrottsförbund och polismyndigheter får utföra omfattar inte sådan behandling som påverkar uppgifterna i registret.

Direktåtkomst

10 § Direktåtkomst till personuppgifter i tillträdesförbudsregistret får medges idrottsorganisationer, specialidrottsförbund och polismyndigheter.

Hos idrottsorganisationer och specialidrottsförbund ska behörigheten till direktåtkomst begränsas till personer med ansvar för säkerhetsfrågor.

Utlämnande på medium för automatiserad behandling

11 § Får en personuppgift lämnas ut, kan det ske på medium för automatiserad behandling.

Gallring

12 § En uppgift i registret ska gallras om uppgiften inte längre behövs för de ändamål som anges i 4 § 1, dock senast när tillträdesförbudets giltighetstid har löpt ut eller om tillträdesförbudet dessförinnan har upphävts.

Ds 2013:XX Författningsförslag

Tystnadsplikt

13 § Den som tar del av en uppgift som har inhämtats med stöd av denna lag får inte obehörigen röja eller utnyttja det som han eller hon på detta sätt har fått veta om någon enskilds personliga förhållanden. I det allmännas verksamhet ska i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400) tillämpas.

Närmare föreskrifter

14 § Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om tillämpningen av denna lag.

Denna lag träder i kraft den 1 juli 2014.

Författningsförslag Ds 2013:XX

2.2. Förslag till lag om ändring i lagen (2005:321) om tillträdesförbud vid idrottsarrangemang

Härigenom föreskrivs i fråga om lagen (2005:321) om tillträdesförbud vid idrottsarrangemang att det i lagen ska införas en ny paragraf, 8 a §, av följande lydelse.

8 a § En polismyndighet får fotografera en person som kan antas bli föremål för tillträdesförbud enligt denna lag för att fotografiet ska kunna läggas in i tillträdesförbudsregistret enligt lagen ( 2014:000 ) om register över tillträdesförbud vid idrottsarrangemang.

Denna lag träder i kraft den 1 juli 2014.

Ds 2013:XX Författningsförslag

2.3. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 35 kap. 4 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

35 kap.

4 §

I annat fall än som avses i 1 § första stycket 6 och 7 och 3 § gäller sekretess i verksamhet som avser förande av eller uttag ur register

1. för uppgift som har tillförts ett särskilt register som förs över strafföreläggande och föreläggande av ordningsbot,

2. för annan uppgift hos Rikspolisstyrelsen, som rör brott eller den som har misstänkts, åtalats eller dömts för brott, om uppgiften har lämnats dit för databehandling inom rättsväsendets informationssystem i ett annat register än som avses i 1,

3. för belastningsuppgift som har tillförts vägtrafikregistret,

och

4. för uppgift som har tillförts ett särskilt register som författningsenligt förs hos myndighet angående brott eller tjänsteförseelser begångna av personer som är eller har varit verksamma hos myndigheten.

3. för belastningsuppgift som har tillförts vägtrafikregistret,

4. för uppgift som har tillförts ett särskilt register som författningsenligt förs hos myndighet angående brott eller tjänsteförseelser begångna av personer som är eller har varit verksamma hos myndigheten,

och

5. för personuppgift som har tillförts tillträdesförbudsregistret med stöd av lagen ( 2014:000 ) om register över tillträdesförbud vid idrottsarrangemang.

Författningsförslag Ds 2013:XX

Sekretessen enlig första stycket 1 gäller inte i ärende om strafföreläggande eller föreläggande av ordningsbot.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Denna lag träder i kraft den 1 juli 2014.

Ds 2013:XX Författningsförslag

2.4. Förslag till ändring i passförordningen (1979:664)

Härigenom föreskrivs att 23 § passförordningen (1979:664) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

23 §

Rikspolisstyrelsen skall föra ett centralt passregister samt ett centralt register över omständigheter som avses i 20 § 1 och 3 passlagen (1978:302). Uppgifter förs in i passregistret av Rikspolisstyrelsen och passmyndighet inom riket.

Rikspolisstyrelsen skall på begäran lämna ut uppgift i form av fotografisk bild av enskild från passregistret till polismyndighet, Ekobrottsmyndigheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kustbevakningen, Tullverket, Skatteverket och Kronofogdemyndigheten.

Uppgift i form av fotografisk bild av enskild från passregistret ska vid behov lämnas ut för att läggas in i det av Rikspolisstyrelsen förda tillträdesförbudsregistret enligt lagen ( 2014:000 ) om register över tillträdesförbud vid idrottsarrangemang.

Denna förordning träder i kraft den 1 juli 2014.

Författningsförslag Ds 2013:XX

2.5. Förslag till ändring i förordningen (2005:661) om nationellt identitetskort

Härigenom föreskrivs i fråga om förordningen (2005:661) om nationellt identitetskort att det i förordningen ska införas en ny paragraf, 16 a §, av följande lydelse.

16 a §

Uppgift i form av fotografisk bild av enskild från registret ska vid behov lämnas ut för att läggas in i det av Rikspolisstyrelsen förda tillträdesförbudsregistret enligt lagen ( 2014:000 ) om register över tillträdesförbud vid idrottsarrangemang.

Denna förordning träder i kraft den 1 juli 2014.

3. Inledning

3.1. En kort bakgrund

3.1.1. Tillträdesförbud m.m.

För att förstärka skyddet mot brottslighet vid idrottsarrangemang infördes den 1 juli 2005 lagen (2005:321) om tillträdesförbud vid idrottsarrangemang (tillträdesförbudslagen). Lagen innehåller bestämmelser som gör det möjligt att vid straffansvar förbjuda en person att få tillträde till och vistas på en inhägnad plats som huvudsakligen är avsedd för idrottsutövning när ett idrottsarrangemang anordnas på platsen (tillträdesförbud). Förutsättningarna för ett sådant förbud är att det finns risk för att personen kommer att begå brott under arrangemanget och att brottet är ägnat att störa ordningen eller säkerheten där. Tillträdesförbud beslutas av åklagare. Beslutet kan överklagas till allmän domstol. Uppgifter om meddelade tillträdesförbud tas in i belastningsregistret.

Personer som inte har meddelats tillträdesförbud kan i andra former nekas tillträde till ett idrottsarrangemang. Enligt idrottens interna regelverk finns det möjlighet att i förväg besluta att den som med viss grad av svårhet har burit sig illa åt bl.a. genom att bryta mot ordningsregler ska nekas tillträde till arrangemanget under en viss tid (arrangörsavstängning). Beslut om avstängning fattas av arrangören. En överträdelse av en avstängn-

Inledning Ds 2013:XX

ing är inte straffbelagd. Här kan tilläggas att den som förfogar över en idrottsanläggning normalt kan bestämma vem som ska få vistas där och i det enskilda fallet neka tillträde för den som stör eller kan befaras störa ordningen. Ett exempel på detta är när en påtagligt berusad person inte släpps in.

Under år 2012 meddelades 91 stycken tillträdesförbud. Det innebär en minskning jämfört med åren 2010 (102 stycken) och 2011 (161 stycken).

1

Besluten om tillträdesförbud är främst

hänförliga till fotboll. Av de beslut som meddelades under år 2012 var 75 hänförliga till fotboll, 15 till ishockey och ett förbud gällde båda idrottsformerna. Enligt uppgift från Rikskriminalpolisen uppgår antalet meddelade tillträdesförbud under 2013 till och med den 1 november till 128 stycken. Den 1 november 2013 fanns det 115 stycken gällande tillträdesförbud. Under år 2012 registrerade Åklagarmyndigheten nio misstankar om överträdelser av tillträdesförbud varav sex ledde till lagföring (en person misstänktes för två överträdelser) och i två fall lades förundersökningen ned.

Någon heltäckande statistik över antalet arrangörsavstängningar föreligger inte. Enligt uppgift uppgår antalet arrangörsavstängningar inom fotboll och ishockey i november 2013 till sammanlagt cirka 80 stycken.

3.1.2. Betänkandet Mindre våld för pengarna

Regeringen beslutade i mars 2011 att en särskild utredare – i egenskap av nationell samordnare på området – skulle lämna förslag till hur brottslighet i samband med idrottsarrangemang kan motverkas (Dir. 2011:22).

Utredaren lämnade i april 2012 över ett delbetänkande Mindre våld för pengarna (SOU 2012:23). Där lämnas en bred redogörelse för läget beträffande den idrottsrelaterade brottsligheten, vidtagna och pågående åtgärder däremot från bl.a. idrotts-

1 Statistik från åklagarmyndigheten hämtad från Samverkansrådet mot idrottsrelaterad brottslighet och deras uppföljning av tillträdesförbudslagen under år 2012.

Ds 2013:XX

Inledning

rörelsen och polisen samt ett spektrum av förslag till åtgärder mot och idéer kring bekämpandet av den angivna brottsligheten. Bland de mer konkreta förslagen återfinns förslag till ändringar i lagen om tillträdesförbud vid idrottsarrangemang med anknytande förordning (2005:323).

I fråga om själva tillträdesförbudsinstitutet föreslås att förbudstiden utökas från nuvarande högst ett år till att kunna omfatta längst tre år, att förbudet ska kunna gälla inte bara såsom idag en inhägnad idrottsplats utan också ett område i dess omedelbara närhet och att straffet för en överträdelse av ett tillträdesförbud höjs från böter eller fängelse i högst sex månader till böter eller fängelse i högst ett år.

Delbetänkandet innehåller också författningsförslag som innebär att tillträdesförbudslagen tillförs ett nytt kapitel ”Behandling av uppgifter” med bestämmelser som öppnar möjligheter för ett gemensamt, nationellt register över meddelade tillträdesförbud och arrangörsavstängningar. Bestämmelsernas syfte och tillämpningsområde tar sikte på behandling av personuppgifter i, som det heter, idrottens brottsbekämpande verksamhet. Det föreslås att Sveriges Riksidrottsförbund får ansvaret för registret och att arrangerande idrottsföreningar och respektive specialidrottsförbund får behandla personuppgifter med anknytning till registret. De nämnda idrottsarrangörerna ska var och en vara personuppgiftsansvarig för den behandling av personuppgifter som man utför. Direktåtkomst till uppgifter i registret kan medges. Polisen och Åklagarmyndigheten ska ha rätt att ta del av uppgifter hänförliga till registret.

Delbetänkandet har remissbehandlats. Synpunkterna från remissinstanserna är med några undantag ganska sparsamma när det gäller register- och personuppgiftsfrågorna. Regeringen har inte tagit slutlig ställning till de framlagda författningsförslagen såvitt nu är ifråga.

Utredaren avlämnade planenligt i mars 2013 sitt slutbetänkande Mera glädje för pengarna (SOU 2013:19).

Inledning Ds 2013:XX

3.2. Utredningsuppdraget

3.2.1. Uppdragspromemorian

Det uppdrag (Ju 2013:C) som förevarande departementspromemoria grundas på är en inom Justitiedepartementet upprättad promemoria den 30 april 2013 (Ju2013/3474P). Uppdraget är avgränsat till ta sikte på frågor kring delbetänkandets förslag om inrättandet av ett nationellt register över beslut om tillträdesförbud och arrangörsavstängningar. Det handlar närmast om modaliteter kring ett register och egentligen inte om frågan huruvida ett eller flera register ska inrättas eller inte. Ett kompletterande och i vissa avseenden förnyat beredningsunderlag ska tas fram. Uppdragspromemorian finns med som bilaga.

I huvudsak rör det sig om fem spörsmål som ska belysas eller utredas, nämligen: 1. vilka slags personuppgifter behöver kunna behandlas för att ett förbud eller avstängning ska kunna upprätthållas på ett ändamålsenligt sätt, 2. hur detta behov förhåller sig till reglerna i personuppgiftslagen (1998:204), 3. lämpligheten av att ett nationellt register omfattar såväl tillträdesförbud som arrangörsavstängningar; separata lösningar är möjliga, 4. vem ska vara personuppgiftsansvarig och registerförare för de register som kan bli aktuella, 5. i vilken utsträckning det är lämpligt att skilda aktörer får direktåtkomst till uppgifter i register.

Dessa spörsmål väcker i sin tur ett antal anknytande frågor som också behöver behandlas. Inom ramen för uppdraget kan även andra frågor tas upp och belysas. Vid utförande av uppdraget ska beaktas och en utgångspunkt vara det förslag om nationellt register som lämnas i delbetänkandet Mindre våld för pengarna och de synpunkter som remissinstanserna har lämnat

Ds 2013:XX

Inledning

angående detta. Efter att justitiedepartementet förlängt uppdraget ska det redovisas senast den 15 december 2013.

Behovet av en utredning om införandet av ett eller flera register förestavas av intresset att klubbar som ordnar idrottsarrangemang kan få kännedom om vilka personer som vid ett idrottsarrangemang saknar rätt att besöka arrangemanget så att de kan förhindra att sådana personer släpps in vid t.ex. inpasseringskontroll. Därtill finns enligt uppdragpromemorian ett behov för klubbarna att kunna handlägga och följa upp ärenden om tillträdesförbud och arrangörsavstängningar.

En fråga som särskilt lyfts fram i uppdragspromemorian är om personuppgiftslagen hindrar den typ av personuppgiftsbehandling som kan behövas för att möta klubbarna behov. Datainspektionen har i ett ärende gjort bedömningen att det rör sig om verksamhet som är av allmänt intresse och därför tillåten enligt 10 § personuppgiftslagen. Behandlingen hos klubbarna av personuppgifter innefattar emellertid enligt inspektionen uppgifter om lagöverträdelser vilken behandling i princip är förbjuden för andra än myndigheter enligt 21 § samma lag.

Vidare belyses i uppdragspromemorian vissa remissynpunkter på vad som föreslås i delbetänkandet Mindre våld för pengarna. Därvid noteras att remissinstanserna har bejakat behovet av en lagreglering av personuppgiftshanteringen för att hindra att oönskade personer får tillträde till idrottsarrangemang. I fråga om förslagets utformning finns kritiska röster, bl.a. mot att Riksidrottsförbundet, som inte är en myndighet, föreslås få ansvaret för registret. Det har även ifrågasatts om personuppgiftsbehandlingen av uppgifter om personer som har blivit avstängda av en arrangör ska tillåtas på det sätt som föreslagits.

Enligt uppdragspromemorian kan det också uppfattas som en svaghet att delbetänkandet inte innehåller någon närmare analys av vilka personuppgifter som det finns behov av för klubbarna och andra att hantera för att uppnå syftet med behandlingen; därmed inte heller om hanteringen är förenligt med personuppgiftslagen eller om det är ändamålsenligt att möta behovet med lagstiftning.

Inledning Ds 2013:XX

I sistnämnda hänseenden ska enligt uppdragspromemorian särskilt beaktas den avvägning som måste göras mellan behovet av att hantera en uppgift och det integritetsintrång som hanteringen innebär. Avvägningen ska resultera i de författningsförslag som bedöms vara nödvändiga och ändamålsenliga för att detta syfte ska kunna tillgodoses.

3.2.2. Utredningsarbetet och dess redovisning

Vårt utredningsarbete är inriktat på att ta fram ett beredningsunderlag i form av författningsförslag ifråga om de i uppdragspromemorian angivna spörsmål med anknytande frågor som behöver regleras på detta sätt. Något tidsmässigt utrymme för att behandla andra frågor har inte funnits.

Redan här kan nämnas att ämnet arrangörsavstängningar tas upp för sig och efter det att tillträdesförbudsfrågorna har behandlas. En del av det som skrivs i fråga om tillträdesförbudsinstitutet har dock giltighet också för arrangörsavstängningarna, bl.a. delar av det som tas upp i avsnitt 4 Rättsliga utgångspunkter.

För att skaffa oss ett bra underlag för belysning och bedömning av utredningsuppdragets frågor har vi samrått med företrädare för Datainspektionen, Rikspolisstyrelsen och Åklagarmyndigheten samt företrädare för några idrottsorganisationer, Riksidrottsförbundet, Svenska Fotbollförbundet och Svenska Ishockeyförbundet. Vi har vidare bevistat några allsvenska fotbollsmatcher för att få mer kunskaper om och insikter i de praktiska och juridiska frågor som finns kring inpasseringskontroller samt andra säkerhetsfrågor av intresse.

Ds 2013:XX

Inledning

3.3. Idrottens organisation

I våra överväganden och förslag förekommer olika idrottsliga organ. Det kan därför vara på plats att kort beskriva hur idrotten i Sverige är organiserad på ett övergripande plan.

Svensk idrott utgörs av drygt 20 000 idrottsföreningar som är organiserade inom olika förbund: Svenska Riksidrottsförbundet, Specialidrottsförbund, Specialidrottsdistriktsförbund och Distriktsidrottsförbund för att nämna de i sammanhanget mer centrala.

Riksidrottsförbundet, som är en ideell förening, är en paraplyorganisation för merparten av den svenska idrottsrörelsen. Riksidrottsförbundet består av de 70 specialidrottsförbunden med till dem anslutna ideella föreningar (idrottsklubbar) som bedriver idrottslig verksamhet. Genom medlemskap i ett specialidrottsförbund blir en ideell förening också ansluten till Riksidrottsförbundet. Varje förbund och förening bestämmer i princip själv om sin verksamhet. Samtidigt har Riksidrottsförbundet tillsammans med sina medlemsorganisationer skapat gemensamma regler och riktlinjer för idrottens utformning i förbund och föreningar. Riksidrottsförbundets stämma är dess högsta beslutande organ. Riksidrottsförbundet får bidrag från staten på drygt 1,7 miljarder kronor att fördela till idrotten. Även kommunerna lämnar betydande bidrag till idrottsföreningarna.

Ett specialidrottsförbund, som är en oberoende organisation, är ansvarigt för sin specifika idrott såsom fotboll, ishockey, bandy, handboll, golf och friidrott för att nämna några idrotter. Många specialidrottsförbund administrerar flera idrotter. Exempel på specialidrottsförbund är Svenska Fotbollförbundet (SvFF), Svenska Ishockeyförbundet och Svenska Simförbundet. En idrottsklubb får tas upp som medlem i ett specialidrottsförbund under förutsättning bl.a. att klubben bedriver sådan idrottslig verksamhet som administreras av det aktuella specialidrottsförbundet och att föreningen har förbundit sig att i sin idrottsliga verksamhet följa Riksidrottsförbundets och

Inledning Ds 2013:XX

specialidrottsförbundets stadgar, tävlingsregler och beslut fattade av överordnat idrottsorgan. Bara idrottsutövare som är medlem i en förening ansluten till ett specialidrottsförbund har rätt att delta i specialidrottsförbundets tävlingsverksamhet.

SvFF är det största specialidrottsförbundet med över 3 000 föreningar som medlemmar. SvFF har till uppgift att bl.a. främja och administrera fotbollen i landet. Allsvenskan, Damallsvenskan och Superettan administreras således av SvFF. Förbundet är anslutet till FIFA

2

och UEFA

3

och ska följa dessa organisation-

ers regler.

Svenska Ishockeyförbundet är den samlande organisationen som främjar, utvecklar och administrerar främst ishockey på alla nivåer. Det finns cirka 600 ishockeyföreningar och närmare 2 300 lag. Ishockeyn spelas nationellt i följande nivåer. SHL

4

(tidigare Elitserien) 12 lag, HockeyAllsvenskan 14 lag samt Division 1 (53 lag) och Division 2-5 och bl.a. damserier (Riksserien damer består av 8 föreningar). Ishockeyförbundet är medlem i Internationella Ishockeyförbundet (IIHF).

Specialidrottsförbunden organiserar sin regionala verksamhet i specialidrottsdistriktsförbund. Antalet specialidrottsdistriktsförbund varierar över tiden och uppgår idag till cirka 700 stycken.

Distriktsidrottsförbunden är Riksidrottsförbundets regionala kontor. Sverige är uppdelat i 21 distrikt med ett distriktsidrottsförbund i varje distrikt.

Riksidrottsförbundets stämma beslutade år 1999 att tillåta specialidrottsförbund att ge dess medlemsföreningar en möjlighet att upplåta rätten att delta i specialidrottsförbundets tävlingsverksamhet till aktiebolag för idrottslig verksamhet. Bland villkoren för en sådan upplåtelse kan nämnas dels att bolaget ska följa Riksidrottsförbundets stadgar samt specialidrottsförbundets stadgar och tävlingsregler, dels att den upplåtande föreningen även fortsättningsvis ska bedriva sådan idrottslig verksamhet

2 Fédération Internationale de Football Association. 3 Union Européennes de Football. 4 Svenska Hockeyligan.

Ds 2013:XX

Inledning

som ligger till grund för medlemskapet i specialidrottsförbundet. I november 2012 fanns i Sverige 22 föreningar som till aktiebolag upplåtit rätten att delta i det aktuella specialidrottsförbundets tävlingsverksamhet (se Ds 2013:24 s. 60 ff.). Bland dem kan nämnas inom fotbollen AIK Fotboll AB, Djurgårdens Elitfotboll AB och Hammarby Fotboll AB samt inom ishockeyn AIK Ishockey AB, Djurgården Hockey AB och Växjö Lakers Idrott AB.

3.4. En ny polisorganisation

Vårt uppdrag innebär som framgått att vi ska utgå från det förslag om ett nationellt register som lämnas i delbetänkandet Mindre våld för pengarna (SOU 2012:23). Bedömningen av om det är lämpligt att ett nationellt register ska omfatta såväl beslut om tillträdesförbud som arrangörsavstängningsbeslut ska redovisas särskilt; separata lösningar för de båda slagen av beslut är således möjliga. Vidare ska särskilt övervägas vem som ska vara personuppgiftsansvarig och registerförare för de olika register som kan bli aktuella. I ljuset av de synpunkter som framkommit vid remissbehandlingen av det nämnda betänkandet bl.a. när det gäller förslaget att ge Riksidrottsförbundet, som inte är en myndighet, ansvaret för registret har vi att överväga tänkbara alternativ där en myndighet är registeransvarig. När det gäller ett register över tillträdesförbud har blickarna därvid fallit på bl.a. Rikspolisstyrelsen.

Mot den här bakgrunden finns det skäl att kort redovisa det arbete som pågår med att reformera polisväsendet i organisatoriskt hänseende. I juli 2010 tillkallade regeringen en parlamentarisk kommitté med uppgift att analysera om polisens nuvarande organisation utgör ett hinder för de krav som regeringen ställer på bl.a. högre kvalitet och väsentligt förbättrade resultat i polisens verksamhet. I ett betänkande den 30 mars 2012 En sammanhållen svensk polis föreslår kommittén bl.a. att Rikspolisstyrelsen och de 21 polismyndigheterna samt Statens

Inledning Ds 2013:XX

kriminaltekniska laboratorium (SKL) ska ombildas till en sammanhållen myndighet, Polismyndigheten. I budgetpropositionen för år 2013 föreslog regeringen att Rikspolisstyrelsen och de 21 polismyndigheterna ska ombildas till en samlad polismyndighet per den 1 januari 2015. Riksdagen godkände den 18 december 2012 regeringens förslag. Regeringen har därefter gett en särskild utredare i uppdrag att besluta om och genomföra de åtgärder som krävs för att ombilda Rikspolisstyrelsen och de 21 polismyndigheterna till en sammanhållen myndighet. I budgetpropositionen för år 2014 föreslås att även SKL ska ingå i den nya Polismyndigheten.

En författningsreglering rörande register över tillträdesförbud m.m. bör träda i kraft under år 2014. Om Rikspolisstyrelsen ska ges en roll som registeransvarig i sammanhanget kommer det därför att krävas en ändrad reglering i samband att en ny polisorganisation har intagits per den 1 januari 2015 där Rikspolisstyrelsen och polismyndigheterna i olika böjningsformer byts ut mot Polismyndigheten i våra författningsförslag.

4. Rättsliga utgångspunkter

4.1. Inledning

Regler om personuppgiftsbehandling finns på såväl internationell som nationell nivå, medan regler som rör tillträdesförbud fortfarande är nationella. I detta avsnitt finns en översiktlig redogörelse för olika regelverk och lagstiftningsarbeten som har relevans för analysen av hur ett personuppgiftsregister över tillträdesförbud bör utformas.

4.2. Lagen om tillträdesförbud vid idrottsarrangemang

För att förstärka skyddet mot brottslighet i samband med idrottsarrangemang infördes den 1 juli 2005 lagen (2005:321) om tillträdesförbud vid idrottsarrangemang (tillträdesförbudslagen).

Lagen är indelad i fyra olika avsnitt. I det första avsnittet (1-5 §§) finns bestämmelser om vad som avses med tillträdesförbud och om förutsättningarna för förbud. Dessutom innehåller avsnittet några generella bestämmelser bl.a. rörande förbudens giltighetstid. Därefter följer ett avsnitt om förfarandet hos åklagaren i frågor om tillträdesförbud (6–12 §§). Detta innehåller också bestämmelser om hävande eller ändring av förbud. I det tredje avsnittet finns bestämmelser om domstolsprövning av åklagarens beslut (13–21 §§). Det avslutande avsnittet behandlar överträdelser av tillträdesförbud (22 §).

Rättsliga utgångspunkter Ds 2013:XX

Enligt lagens 1 § kan en person som har fyllt femton år förbjudas att få tillträde till och vistas på inhägnad plats där idrott utövas när idrottsarrangemang anordnas på platsen av en idrottsorganisation (tillträdesförbud). Även platser där det bedrivs annan verksamhet än idrott i samband med ett idrottsarrangemang, t.ex. försäljning av mat och dryck, omfattas av förbudet (prop. 2004/05:77 s. 28).

En förutsättning för att någon ska kunna meddelas tillträdesförbud är att det på grund av särskilda omständigheter finns risk för att personen kommer att begå brott under idrottsarrangemang och att brottet är ägnat att störa ordningen eller säkerheten där (2 § 1 st.). Vid bedömningen av om det finns sådan risk ska det särskilt beaktas om personen tidigare har begått ett sådant brott under eller annars i samband med ett idrottsarrangemang. Enligt vad regeringen uttalade i motiven till lagen bör tillträdesförbud som regel komma i fråga endast när någon faktiskt har begått sådant brott. I andra fall torde det vara svårt att påvisa den risk som krävs för att tillträdesförbud ska beslutas. I rena undantagsfall bör dock en brottsrisk kunna anses föreligga och förbud beslutas trots att personen inte tidigare har begått brott. Till exempel kan en brottsrisk föreligga i fråga om en person som har påträffats med pyrotekniska varor vid inpassering till ett idrottsarrangemang och saknat tillstånd för att använda varorna (a. prop. s. 61). De brott som kan komma ifråga är dels sådana som riktar sig mot själva arrangemanget, dels sådana som avser övergrepp av olika slag på enskilda. Risk för annan brottslighet, som inte kan knytas till ordningen eller säkerheten, kan inte läggas till grund för tillträdesförbud. Brott som har begåtts före femton års ålder får inte beaktas.

Av 6 § första stycket tillträdesförbudslagen framgår att det är allmän åklagare som prövar frågor om tillträdesförbud. Åklagaren har möjlighet att få biträde av polisen med olika utredningsåtgärder under utredningen (8 §). Innan åklagaren avgör en fråga om tillträdesförbud ska viss underrättelse och kommunicering ske med parterna (9 §). Det är åklagaren som bestämmer hur underrättelsen ska ske. Den idrottsorganisation

Ds 2013:XX Rättsliga utgångspunkter

som ansöker om ett tillträdesförbud är part i det ärende som ansökan gett upphov till. I de fall som det är en polismyndighet som gjort en anmälan till åklagare är det istället specialidrottsförbundet för den aktuella idrottsverksamheten inom Sveriges Riksidrottsförbund som blir part i ärendet hos åklagaren (9 § 2 st.).

Enligt lagens ursprungliga utformning fick en fråga om tillträdesförbud tas upp enbart på ansökan av den idrottsorganisation som anordnar det eller de idrottsarrangemang som förbudet avses skydda eller av specialidrottsförbundet för den aktuella idrottsverksamheten inom Sveriges Riksidrottsförbund. Den 1 april 2009 ändrades tillträdesförbudslagen på sådant sätt att även en polismyndighet fick rätt att ta initiativ till en fråga om tillträdesförbud (prop. 2008/09:78). I praktiken har utvecklingen sedan dess inneburit att det i regel är polisen som gör anmälan om tillträdesförbud till åklagaren och inte de enskilda idrottsorganisationerna eller specialidrottsförbunden. Den ordningen har visat sig vara snabbare och enklare och därmed mer ändamålsenlig.

I samma lagändring gavs åklagare möjlighet att meddela interimistiska (tillfälliga) tillträdesförbud i avvaktan på att ett ärende om tillträdesförbud slutligt avgörs, om det slutliga avgörandet av särskilda skäl inte kan avvaktas. Härigenom kan den som befaras begå ordnings- eller säkerhetsstörande brott under ett idrottsarrangemang omedelbart meddelas ett tillträdesförbud. Ett interimistiskt tillträdesförbud får gälla i högst fyra veckor. I samma lagstiftningsärende infördes i ordningslagen (1993:1617) straffsanktionerade förbud mot att inneha eller använda pyrotekniska varor på en idrottsanläggning när ett idrottsarrangemang ordnas där, att obehörigen beträda en spelplan och att kasta in föremål på en spelplan.

Ett meddelat tillträdesförbud gäller för viss tid, högst ett år, och börjar gälla omedelbart, om inte annat bestäms (3 §). Detta innebär att ett tillträdesförbud gäller, även om det begärs domstolsprövning av åklagarens beslut. I en lagrådsremiss den 28 november 2013 har regeringen föreslagit att tiden förlängs till högst tre år.

Rättsliga utgångspunkter Ds 2013:XX

Den som bryter mot ett tillträdesförbud döms enligt 22 § för överträdelse av tillträdesförbud till böter eller fängelse i högst sex månader.

4.3. Sekretessreglering

Beroende på hur ett tillträdesförbudsärende hanteras gäller skilda regler om sekretess. Som nämnts i det föregående kan ett ärende om tillträdesförbud förekomma fristående hos åklagare eller domstol. Det kan också förekomma i samband med förundersökning eller handläggas gemensamt med mål om allmänt åtal för brott. Polisens befattning med tillträdesförbudsfrågor sker antingen i samband med brottsutredning eller fristående, och då som ett förvaltningsärende.

4.3.1. Sekretess i brottsutredningar m.m.

Enligt 18 kap. 1 § offentlighets- och sekretesslagen (2009:400) gäller sekretess för uppgift som bl.a. hänför sig till förundersökning i brottmål eller i annan verksamhet för att förebygga brott, under förutsättning att det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas om uppgiften röjs (s.k. förundersökningssekretess). Sekretessen gäller inte bara uppgifter som hänför sig till en viss förundersökning utan också, vilket framgår av 18 kap. 1 § andra stycket, till uppgift i annan verksamhet som syftar till att bl.a. förebygga, uppdaga eller utreda brott och som bedrivs av polis och åklagare m.fl.

Enligt 35 kap. 1 § första stycket 1 gäller sekretess för uppgift om enskildas personliga och ekonomiska förhållanden som förekommer i förundersökningar, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Under samma förutsättningar gäller sekretess också i annan verksamhet som syftar till att bl.a. förebygga, uppdaga eller utreda brott och som bedrivs av polis

Ds 2013:XX Rättsliga utgångspunkter

och åklagare m.fl. myndigheter (1 § första stycket 4). I nämnda bestämmelse regleras också sådan sekretess som gäller för uppgifter i register som Rikspolisstyrelsen för med stöd av polisdatalagen (2010:361) och i Åklagarmyndighetens ärenderegister (1 § första stycket 6 och 9).

5

Sekretessen gäller i huvud-

sak med omvänt skaderekvisit, dvs. med presumtion för sekretess. Sekretessen upphör, med några undantag, att gälla om uppgifterna lämnas till domstol med anledning av åtal (35 kap. 7 §). Även beslut huruvida åtal skall väckas eller om att förundersökning inte ska inledas eller om att förundersökning ska läggas ned är offentliga (35 kap. 6 §). Här kan nämnas att det för ärenden om kontaktförbud finns en särskild sekretessbestämmelse i 35 kap. 5 §; sekretessen gäller dock inte beslut i ett ärende. Någon motsvarande sekretessbestämmelse finns däremot inte i fråga om ärenden om tillträdesförbud.

För uppgifter i belastningsregistret, där beslut om tillträdesförbud registreras, gäller absolut sekretess (35 kap. 3 §), liksom i andra register som förs angående brott (35 kap. 4 §).

4.3.2. Sekretess i tillträdesförbudsärenden

För tillträdesförbudsärendenas vidkommande innebär i förekommande fall förundersökningssekretessen att polis och åklagare ofta hindras från att informera en idrottsorganisation om sådan idrottsanknuten brottslighet som begås på en annan plats än en idrottsarena, innan något beslut om tillträdesförbud är fattat. Regeringen har i förarbetena till tillträdesförbudslagen uttalat att detta i och för sig kan tyckas otillfredsställande men att det skulle innebära ett principgenombrott att föreskriva ett undantag från sekretessen för att ge idrottsorganisationerna möjlighet att få del av sådana uppgifter (se prop. 2004/05:77 s. 54). När brott har begåtts inne på en idrottsarena eller i omedelbar anslutning till denna torde idrottsorganisationerna

5 Om sekretessen för uppgift i form av fotografisk bild i bl.a. passregistret se avsnitt 5.17.

Rättsliga utgångspunkter Ds 2013:XX

själva i regel känna till detta. Som framgått saknas en särskild sekretessreglering för ärenden om tillträdesförbud som hanteras fristående från en brottsutredning. De sekretessbestämmelser som finns i 18 kap. 1 § och 35 kap. 1 §offentlighets- och sekretesslagen tar sikte på bl.a. verksamhet för att förebygga brott som bedrivs av polis och åklagare. Tillträdesförbudslagstiftningen syftar till att förebygga brott. Ett fristående enskilt ärende om tillträdesförbud skulle därmed kunna omfattas av den nämnda sekretessen. Bestämmelserna tar emellertid sikte på brottsförebyggande och brottsbeivrande verksamhet i allmänhet utan anknytning till något konkret fall. Tillträdesförbudsärenden hos polis och åklagare omfattas därmed inte av de nämnda sekretessbestämmelserna. För dessa ärenden saknas som angetts dessutom särskild sekretessreglering. Slutsatsen blir med det anförda att från förundersökning fristående ärenden om tillträdesförbud i princip är offentliga.

4.3.3. Sekretess om ett utlämnande strider mot bestämmelserna i personuppgiftslagen

I 21 kap. 7 § offentlighets- och sekretesslagen finns en särskild sekretessbestämmelse som tar sikte på att förhindra otillåten behandling av personuppgifter. Enligt sekretessbestämmelsen råder ett generellt förbud för myndigheter att lämna ut personuppgifter, om det kan antas att uppgiften efter utlämnandet kommer att behandlas i strid med personuppgiftslagen. Sekretessbestämmelsen är tillämplig vid alla utlämnanden av personuppgifter från en myndighet oavsett från vilka informationstillgångar uppgifterna hämtas. Bestämmelsen har i praktiken främst betydelse i fråga om sådana utlämnanden av personuppgifter som myndigheten är skyldig att göra enligt bestämmelserna om offentlighetsprincipen i 2 kap. tryckfrihetsförordningen.

Ds 2013:XX Rättsliga utgångspunkter

4.4. Rätten att i vissa fall bestämma vem som får vistas på en plats

Enligt gällande rätt bestämmer i princip den som med äganderätt eller med annan rätt förfogar över en plats vem som ska få vistas där. Det gäller även om platsen är tillgänglig för allmänheten såsom en idrottsanläggning. Tillträdesförbudslagen påverkar inte den rätt att i det enskilda fallet begränsa tillträdet till platsen som tillkommer den som förfogar över denna, se 1 § tredje stycket tillträdesförbudslagen.

Idrottsorganisationerna använder ett system med förbud i vissa fall för personer att under viss tid besöka idrottsevenemang. Dessa förbud meddelas med stöd av vad som brukar benämnas arrangörsrätten (arrangörsavstängning) och baseras inte på lagen om tillträdesförbud. Förbuden grundas oftast på att personerna i fråga tidigare har begått brott eller på annat sätt burit sig illa åt på en idrottsanläggning. Förbuden upprätthålls genom att de avstängda personerna avvisas i samband med biljettkontroll vid inpassering till anläggningarna. Besluten om avstängning fattas av idrottsföreningarna eller av respektive specialidrottsförbund. En formell hantering gäller för beslutsfattandet. En överträdelse av en arrangörsavstängning är inte straffsanktionerad. Se nedan i avsnitt 6 för ytterligare beskrivning av hur arrangörsavstängningarna hanteras i praktiken.

Enligt 4 kap. 6 § andra stycket brottsbalken döms den som obehörigen intränger eller kvarstannar i kontor, fabrik, annan byggnad eller fartyg, på upplagsplats eller på annat dylikt ställe för olaga intrång. I rättsfallet NJA 1995 s. 84 ansåg Högsta domstolen att bestämmelsen om olaga intrång inte var tillämplig då en person, som av en affärsinnehavare förbjudits att besöka hans affärslokal, trots förbudet gått in i lokalen. Domstolen uttalade bl.a. att bestämmelsen endast är avsedd att utgöra ett skydd för lokaler och vissa andra utrymmen som inte är tillgängliga för allmänheten. Vad gäller tillämpningen av bestämmelsen om olaga intrång i idrottssammanhang fann Hovrätten över Skåne och Blekinge i dom den 20 oktober 1999 i

Rättsliga utgångspunkter Ds 2013:XX

mål B 679-99 att en person, som av en fotbollsklubb avstängts från alla matcher klubben deltog i men som trots avstängningen tagit sig in på en idrottsplats när klubben spelade match, inte gjort sig skyldig till olaga intrång. Enligt hovrätten åtnjöt idrottsplatsen – som under offentliga idrottsevenemang är tillgänglig och upplåten för allmänheten – inte skydd enligt bestämmelsen om olaga intrång.

4.5. Övergripande rättslig reglering till skydd för personuppgifter

4.5.1. Regeringsformen

Grundläggande bestämmelser om skydd för den personliga integriteten finns i regeringsformen. Av 2 kap. 6 § andra stycket regeringsformen följer sedan den 1 januari 2011 (prop. 2009/10:80, bet. 2009/10:KU19 och bet. 2010/11:KU4) att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Bestämmelsen innebär alltså att enskilda är skyddade mot åtgärder från det allmännas sida men träffar inte åtgärder som en enskild vidtar i förhållande till en annan enskild. Begränsningar av det skydd som bestämmelsen föreskriver får endast göras i form av lag och under de förutsättningar som anges i 2 kap.21 och 22 §§regeringsformen.

Bakgrunden till bestämmelsen är att det ansågs finnas vissa brister i lagstiftning som innefattade intrång i den enskildes personliga integritet. Dessa brister bestod i att de avvägningar mellan olika motstående intressen som normalt ska göras i lagstiftningsärenden i vissa fall var bristfälligt redovisade och att det i första hand var de negativa effekterna av olika integritetsbegränsande åtgärder som var knapphändigt belysta (prop. 2009/10:80 s. 175 f.). Av bl.a. dessa skäl ansågs det därför

Ds 2013:XX Rättsliga utgångspunkter

finnas ett behov av att stärka skyddet av den personliga integriteten i grundlag. Det är i första hand personuppgiftslagen (1998:204) som ska tillgodose regeringsformens krav i fråga om integritetsskydd när det gäller automatiserad personuppgiftsbehandling (prop. 2009/10:85 s. 67).

4.5.2. Internationella konventioner

FN-konventionen om medborgerliga och politiska rättigheter och Europakonventionen

Förenta nationerna (FN) antog år 1948 en universell deklaration om de mänskliga rättigheterna – Förenta Nationernas allmänna förklaring om de mänskliga rättigheterna. De rättigheter som räknas upp i förklaringen har därefter vidareutvecklats bl.a. i den europeiska konventionen om skydd för de mänskliga rättigheterna och grundläggande friheterna (Europakonventionen) från år 1950 och FN:s konvention om medborgerliga och politiska rättigheter från år 1966.

Sverige anslöt sig till FN-konventionen år 1971, varefter konventionen trädde i kraft år 1976. I konventionen behandlas vad som hör till skyddet för den personliga integriteten främst i artikel 17. Enligt denna bestämmelse finns ett skydd mot godtyckligt eller olagligt ingripande i bl.a. någons privat- och familjeliv. FN:s generalförsamling antog även år 1990 riktlinjer om datoriserade register med personuppgifter.

Europakonventionen är sedan den 1 januari 1995 inkorporerad i svensk rätt och gäller här i landet som lag (prop. 1993/94:117, bet. 1993/94:KU24). Enligt artikel 8 i konventionen har var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten,

Rättsliga utgångspunkter Ds 2013:XX

landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Behandlingen av personuppgifter och t.ex. tillgången till registrerade personuppgifter kan i och för sig falla inom tillämpningsområdet för artikel 8 i Europakonventionen. All slags behandling av personuppgifter omfattas dock inte, utan frågan måste gälla privatliv, familjeliv, hem eller korrespondens. Primärt innebär artikel 8 att staten ska avhålla sig från ingrepp i den skyddade rättigheten. Artikeln innebär även en skyldighet för staten att vidta positiva åtgärder för att skydda den enskildes privatsfär. Sådana positiva åtgärder kan utgöras av lagstiftning. I sin praxis har Europadomstolen också framhållit att kravet på att ingreppet ska vara nödvändigt inte är synonymt med ”oundgängligt”. Vad som krävs är däremot att det finns ett ”angeläget samhälleligt behov”. Inskränkningen i den grundläggande rättigheten måste vidare stå i rimlig proportion till det syfte som ska tillgodoses genom inskränkningen. Varje konventionsstat har själv en viss frihet att avgöra om en inskränkning är nödvändig. Europadomstolen förbehåller sig dock rätten att övervaka om denna frihet utnyttjas på ett rimligt sätt.

Dataskyddskonventionen

Bestämmelser av betydelse för automatisk databehandling av personuppgifter finns också i Europarådets konvention från år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen) och dess tilläggsprotokoll. Konventionen trädde i kraft den 1 oktober 1985 och samtliga medlemsstater i EU har anslutit sig till den. Det pågår sedan år 2010 en översyn av konventionen inom Europarådet.

Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Konventionens innehåll kan ses som en

Ds 2013:XX Rättsliga utgångspunkter

precisering av skyddet för den personliga integriteten som följer av artikel 8 i Europakonventionen.

Konventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste iaktta i sin nationella lagstiftning. Det finns bl.a. krav på att uppgifterna ska inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet, att vissa typer av uppgifter får undergå automatisk databehandling endast under vissa förutsättningar och att uppgifterna inte får bevaras längre än vad som är nödvändigt för ändamålen.

Dataskyddskonventionens roll som grundläggande dokument för automatiserad behandling av personuppgifter inom EU har i princip övertagits av dataskyddsdirektivet (se vidare nedan). Direktivet omfattar dock inte behandling av personuppgifter inom t.ex. statens verksamhet på straffrättens område. På detta område är alltså dataskyddskonventionen fortfarande av betydelse (prop. 2009/10:85 s. 47).

4.5.3. EU-rättslig reglering

Stadgan om de grundläggande rättigheterna

Lissabonfördraget innebär att Europeiska unionens stadga om de grundläggande rättigheterna, tillkännagiven av parlamentet, rådet och kommissionen den 7 december 2000 och anpassad den 12 december 2007, numera är rättsligt bindande. En referens till stadgan har införts i artikel 6.1 i det ändrade EU-fördraget (prop. 2007/08:168 s. 58). I stadgan bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser, Europakonventionen, unionens och Europarådets sociala stadgor samt rättspraxis vid EU-domstolen och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte är att kodifiera de grundläggande fri- och rättigheter som EU redan erkänner.

Rättsliga utgångspunkter Ds 2013:XX

Av artikel 51 följer att stadgan riktar sig till EU:s egna organ och institutioner och att den blir tillämplig för medlemsstaterna endast i de fall där de tillämpar EU-rätten.

I stadgans artikel 7 föreskrivs att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sin korrespondens. I artikel 8 föreskrivs vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.

Dataskyddsdirektivet

Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Medlemsstaterna får inom den ram som anges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen. Direktivet är inte tillämpligt på sådan behandling av personuppgifter som faller utanför unionsrätten såsom t.ex. statens verksamhet på straffrättens område. Direktivet omfattar alltså inte statens behandling av personuppgifter i brottsbekämpande verksamhet.

Dataskyddsdirektivet är endast tillämpligt på behandling av uppgifter om fysiska personer och berör alltså inte skyddet för juridiska personer. Direktivet omfattar inte bara automatiserad behandling, utan också manuell behandling av personuppgifter

Ds 2013:XX Rättsliga utgångspunkter

som ingår eller kommer att ingå i ett register. Direktivet omfattar inte behandling av personuppgifter för privat bruk.

Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligt angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.

Personuppgifter får enligt direktivet behandlas bara i vissa fall. Personuppgifter får bl.a. behandlas om den registrerade otvetydigt har lämnat sitt samtycke, om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åligger den registeransvarige eller är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning. Personuppgifter får även behandlas om intresset av att den registeransvarige får behandla uppgifterna väger tyngre än den registrerades intresse av att de inte behandlas.

Vissa särskilda i direktivet angivna kategorier av uppgifter får som huvudregel inte behandlas. Det gäller uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I direktivet görs dock undantag från denna regel i vissa särskilt angivna situationer, bl.a. med uttryckligt samtycke från den registrerade.

Dataskyddsdirektivet föreskriver att den registeransvarige, med vissa undantag, ska informera den registrerade om att personuppgifter är föremål för behandling. Direktivet innehåller även regler om säkerhet vid behandlingen. Dataskyddsdirektivet har i svensk rätt genomförts genom personuppgiftslagen (1998:204) och ett antal särregleringar i förhållande till denna lag (särskilda registerförfattningar).

I januari 2012 presenterade Europeiska kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Förslaget innebär bl.a. att dataskydds-

Rättsliga utgångspunkter Ds 2013:XX

direktivet ska ersättas av en generell dataskyddsförordning. I reformen ingår också förslag till direktiv som ska ersätta dataskyddsrambeslutet (se nedan).6

Det huvudsakliga syftet med kommissionens förslag till dataskyddsförordning är att ytterligare harmonisera och effektivisera skyddet av personuppgifter i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Eftersom regleringen föreslås få formen av en förordning och en sådan är direkt tillämplig i medlemsstaterna, kommer regleringen, om förslaget genomförs, att ersätta dataskyddsdirektivet och därigenom också personuppgiftslagen. Förslaget till förordning minskar sannolikt utrymmet för registerförfattningar även om det lämnas visst utrymme för att behålla registerförfattningar på vissa områden, t.ex. arbetsmarknadsområdet 7

Dataskyddsrambeslutet

På EU-nivå finns kompletterande rättsakter till dataskyddsdirektivet, bl.a. det s.k. dataskyddsrambeslutet

8

med särskilda

regler om skydd för personuppgifter i frågor som rör polisiärt och straffrättsligt samarbete. Rambeslutet är föranlett av ett antal EU-instrument rörande utvidgat polisiärt och rättsligt samarbete avseende gränsöverskridande informationsutbyte.

Dataskyddsrambeslutet innebär förpliktelser för medlemsstaterna endast i den utsträckning de behandlar personuppgifter som överförts från ett land till ett annat och har alltså ingen relevans för personuppgifter som samlas in och behandlas inom medlemsstaten.

Sedan den 1 juli 2013 är dataskyddsrambeslutet helt genomfört i svensk rätt (prop. 2012/13:73). Då trädde en ny lag

6 Regeringskansliets Faktapromemoria 2011/12:FPM119 s. 1. 7 Regeringskansliets Faktapromemoria 2011/12:FPM117 s. 1 f. 8 Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete.

Ds 2013:XX Rättsliga utgångspunkter

(2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom EU i kraft.

4.5.4. Personuppgiftslagen

Dataskyddsdirektivet har som tidigare angetts genomförts i svensk rätt genom personuppgiftslagen (1998:204), som i huvudsak följer dataskyddsdirektivets text och disposition. Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Både den tidigare datalagen (1973:289) och den nu gällande personuppgiftslagen utgör en generellt tillämplig skyddsreglering som gäller både för myndigheter och för enskilda som behandlar personuppgifter. Rent privat behandling av personuppgifter har traditionellt varit undantagen denna skyddslagstiftning. Personuppgiftslagen kompletteras av personuppgiftsförordningen (1998:1191).

Tillämpningsområde

Personuppgiftslagen anger den grundläggande ramen för behandling av personuppgifter. Utgångspunkten är att behandling av personuppgifter är tillåten i de fall och på de villkor lagen anger. Med personuppgifter i personuppgiftslagens mening avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Lagen är subsidiär i förhållande till annan lag eller förordning, dvs. särregler i annan lagstiftning gäller framför bestämmelserna i personuppgiftslagen (2 §). Vid lagens införande anfördes att det traditionella svenska systemet med särregler i särskilda författningar var att föredra framför generella undantag från den nya lagen (prop. 1997/98:44 s. 41). Sedan ett antal år tillbaka har det införts en stor mängd s.k. registerförfattningar med bestämmelser om behandling av

Rättsliga utgångspunkter Ds 2013:XX

personuppgifter som reglerar särskilda myndigheters personuppgiftsbehandling. Att det krävs en särskild författning för att avvika från det integritetsskydd som personuppgiftslagen ger, är en garanti för att behovet av särregler övervägs noga i den ordning som gäller för författningsgivning. Se mer om registerförfattningar nedan under avsnitt 4.5.5.

Personuppgiftslagen innehåller generella riktlinjer för behandling av personuppgifter och i 3 § definieras olika för lagen relevanta uttryck och begrepp. Begreppet behandling av personuppgift omfattar i stort sett allt man kan göra med sådana uppgifter, vare sig det sker på automatisk väg eller inte, såsom att exempelvis samla in, registrera, söka, bevara, sammanställa och sprida uppgifter (3 §). Så snart personuppgifter på något sätt hanteras är det alltså fråga om behandling som faller under lagen, om behandlingen är helt eller delvis automatiserad (5 § första stycket) eller avser ett manuellt register med personuppgifter som är strukturerade eller ordnade så att de är sökbara på person (5 § andra stycket). Lagen är teknikneutral i den meningen att den i fråga om automatiserad behandling inte begränsas till dataregister. All automatiserad behandling omfattas, alltså även personuppgifter som framgår av bilder och ljud. Det avgörande är att personuppgifterna är föremål för automatiserad behandling, inte om de är ordnade i ett register eller inte. Om uppgifter samlas in manuellt och sedan behandlas automatiserat, är även insamlandet en sorts behandling som omfattas av lagen. På samma sätt faller ett utlämnande genom manuella utskrifter från ett automatiserat register under lagens bestämmelser.

Enligt definitionen i 3 § framgår att den som själv eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter är den personuppgiftsansvarige. I de fall där det inte med stöd av 2 § är bestämt i lag eller förordning vem som är personuppgiftsansvarig kan det vara svårt att på förhand bedöma vem eller vilka som är personuppgiftsansvariga för en viss behandling. Det är den som faktiskt – med eller utan rätt – har bestämt över behandlingen som är

Ds 2013:XX Rättsliga utgångspunkter

personuppgiftsansvarig.

9

Den personuppgiftsansvarige är

ansvarig för att en behandling av personuppgifter sker i enlighet med tillämpliga bestämmelser, t.ex. i fråga om de säkerhetsåtgärder som behöver vidtas, och är den som registrerade kan vända sig till för att få ett registerutdrag. Den som behandlar personuppgifter för den personuppgiftsansvariges räkning definieras som personuppgiftsbiträde. Av Datainspektionens allmänna råd framgår att med benämningen personuppgiftsbiträde avses alltid någon utanför den personuppgiftsansvariges organisation.

10

Ett personuppgiftsbiträde får behandla person-

uppgifter enbart i enlighet med instruktioner från den personuppgiftsansvarige.

De grundläggande kraven på behandling

I 9 § ges vissa grundläggande krav på all behandling av personuppgifter som omfattas av lagen. Den personuppgiftsansvarige, vilket oftast är den organisation där personuppgifterna behandlas, ska se till att personuppgifter behandlas bara om det är lagligt samt att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed. Vidare ska personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålet med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in. Den personuppgiftsansvarige ska definiera avsikten med insamlingen och användningen av personuppgifterna på ett så precist sätt som möjligt. Personuppgifterna får inte sedan behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (finalitetsprincipen, 9 § d). Det sistnämnda kan bli aktuellt att pröva när personuppgifter lämnas ut till tredje man. Ett sådant utlämnande får alltså inte vara oförenligt med det

9Personuppgiftslagen En kommentar, Sören Öman och Hans-Olof Lindblom, tredje upplagen, s. 78. 10 Datainspektionens allmänna råd – Säkerhet för personuppgifter, reviderad november 2008.

Rättsliga utgångspunkter Ds 2013:XX

ändamål för vilket uppgifterna ursprungligen samlades in. Om personuppgifter lämnas ut i form av allmänna handlingar med stöd av bestämmelserna i 2 kap. tryckfrihetsförordningen blir en sådan prövning dock inte aktuell.

De personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Med detta krav avses att personuppgifterna ska vara av sådant slag att de hör till saken (relevanta) och är ägnade att uppnå det mål man har med behandlingen (adekvata). Inte heller får fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Därutöver ska de uppgifter som behandlas vara riktiga och, om det är nödvändigt, aktuella. Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen.

Av 9 § i) framgår att personuppgifter inte heller får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Enligt 8 § andra stycket hindrar inte denna bestämmelse att allmänna handlingar arkiveras. Enligt 10 § arkivlagen (1990:782) får allmänna handlingar gallras, men det får inte ske på ett sådant sätt att ändamålen med arkivbildningen inte kan tillgodoses. Enligt 14 § arkivförordningen (1991:446) får statliga myndigheter bara gallra allmänna handlingar i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Utgångspunkten i en statlig myndighets verksamhet är alltså att handlingar, och därmed personuppgifter, ska bevaras för arkivändamål om inga särskilda gallringsbestämmelser gäller för verksamheten.

Tillåten behandling av personuppgifter

I 10 § personuppgiftslagen finns en uttömmande uppräkning av i vilka situationer behandling av personuppgifter är tillåten. Av bestämmelsen följer att personuppgifter får behandlas antingen

Ds 2013:XX Rättsliga utgångspunkter

om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig av olika angivna skäl, bl.a. för att en arbetsuppgift av allmänt intresse ska kunna utföras eller med stöd av en s.k. intresseavvägning. Intresseavvägningen innebär att behandlingen får utföras om den är nödvändig för att tillgodose ett berättigat intresse hs den personuppgiftsansvarige, eller hos den tredje man till vilken personuppgifterna lämnas och detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. I ett beslut av Datainspektionen den 30 maj 2011 har inspektionen uttalat att Djurgårdens Elitfotboll AB:s behandling av personuppgifter för handläggning och uppföljning av personer som har blivit föremål för arrangörsavstängning och/eller tillträdesförbud är nödvändig för att en arbetsuppgift av allmänt intresse ska kunna utföras och att den personuppgiftsbehandlingen därför var tillåten enligt 10 § personuppgiftslagen (diarienummer 1841-2010).

Utöver vad som följer av 11–12 §§, dvs. för direkt marknadsföring eller i de fall att ett samtycke har återkallats, har den enskilde ingen rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt personuppgiftslagen.

Känsliga personuppgifter och personnummer

Enligt 13 § är det generellt sett förbjudet att behandla känsliga personuppgifter. Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening eller uppgifter som rör hälsa eller sexualliv. Från förbudet att behandla känsliga personuppgifter finns, utöver när den registrerade har lämnat sitt samtycke eller själv offentliggjort uppgiften (15 §), vissa undantag bl.a. för hälso- och sjukvårdsändamål samt forskning och statistik (16–20 §§).

Personnummer eller samordningsnummer får enligt 22 § bara behandlas utan samtycke om det är klart motiverat med hänsyn

Rättsliga utgångspunkter Ds 2013:XX

till ändamålet med behandlingen, vikten av en säker identifiering eller något annan beaktansvärt skäl.

Personuppgifter om lagöverträdelser

Av 21 § följer ett förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Sådana personuppgifter omfattas som regel inte av definitionen i 13 § av känsliga personuppgifter, men de berör ändå känsliga förhållanden. Med hänsyn till detta finns det särskilda begränsningar i fråga om vilka personuppgiftsansvariga som får behandla sådana uppgifter.

När det gäller lagöverträdelser anger lagtexten att det ska vara fråga om en överträdelse som innefattar brott och att således ett straff måste vara föreskrivet för överträdelsen. I kommentaren till personuppgiftslagen anges att en uppgift om att någon har eller kan ha begått något visst brott utgör en uppgift om lagöverträdelse, även om det inte finns någon dom eller motsvarande beträffande brottet.

11

Från förbudet för enskilda, dvs. andra än myndigheter, kan det enligt 21 § andra och tredje styckena göras undantag genom antingen generella föreskrifter eller beslut i enskilda fall, beslutade av regeringen, eller efter vidare delegation av tillsynsmyndigheten (dvs. Datainspektionen enligt 9 § personuppgiftsförordningen). Att behandla personuppgifter i strid med 21 § är straffbart (49 § första stycket b) och kan bl.a. föranleda skadestånd (48 §).

11 Personuppgiftslagen, En kommentar, Sören Öman och Hans-Olof Lindblom, tredje upplagan, s. 271.

Ds 2013:XX Rättsliga utgångspunkter

Övriga bestämmelser

Bestämmelser om i vilka fall information om behandling av personuppgifter ska lämnas till den enskilde finns i 23–29 §§ och föreskrifter om säkerheten vid behandling av personuppgifter finns i 30–32 §§.

Enligt 33 § personuppgiftslagen är det förbjudet att till tredje land, dvs. ett land utanför EU och ESS, föra över personuppgifter om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller i princip alla slag av personuppgifter och är inte begränsat till exempelvis kategorierna känsliga personuppgifter eller uppgifter om lagöverträdelser. Förbudet gäller inte stater som anslutit sig till dataskyddskonventionen. I vissa fall får dock överföring av personuppgifter till tredje land ske även om det aktuella landet inte har en sådan adekvat skyddsnivå som avses i personuppgiftslagen, t.ex. om den registrerade har lämnat sitt samtycke eller för att rättsliga anspråk ska kunna fastställas (34–35 §).

Personuppgiftslagen innehåller också bestämmelser om bl.a. tillsyn, skadestånd, straff och överklagande (43–49 och 51-53 §§). Datainspektionen är tillsynsmyndighet enligt personuppgiftslagen.

4.5.5. Registerförfattningar

Registerförfattningarna har till huvudsakligt syfte att anpassa personuppgiftsregleringen till de särskilda behov som myndigheter har i sina respektive verksamheter samt att göra avvägningar mellan behovet av effektivitet i berörd verksamhet och behovet av skydd för den enskildes integritet. Detta sker genom att registerförfattningarna reglerar inrättandet och användningen av viktigare register eller andra personuppgiftssamlingar inom den offentliga sektorn. Den bakomliggande tanken är att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt genom lag

Rättsliga utgångspunkter Ds 2013:XX

(prop. 1990/91:60 s. 50, bet. KU 1990/91:11 s. 11, se även prop. 1997/98:44 s. 41).

Registerförfattningarna reglerar myndigheternas behandling av personuppgifter och är tänkta att ge ett anpassat integritetsskydd vid myndighetens hantering av personuppgifter då behov finns att avvika från eller komplettera det integritetsskydd som personuppgiftslagen annars ger.

Alltsedan 1960-talet har myndigheternas hantering av särskilt integritetskänsliga eller kontroversiella dataregister reglerats genom lag eller förordning. Exempel på detta är den särskilda reglering som sedan länge funnits kring det statliga person- och adressregistret, SPAR, samt register hos domstolar och hos polisen. Den största andelen registerförfattningar härstammar dock från 1990-talet och framåt.

En utgångspunkt vid utarbetandet av registerförfattningar är att regleringen så långt som möjligt ska vara i överensstämmelse med personuppgiftslagen och därmed med dataskyddsdirektivets materiella bestämmelser samt att behovet av särregler i förhållande till personuppgiftslagen bör övervägas noga (prop. 1997/98:44 s. 41 och Öman, Särskilda registerförfattningar, Festskrift till Peter Seipel, s. 694 f.).

En omständighet som kan tala för en särreglering i förhållande till personuppgiftslagen är att en särskild författning under vissa förutsättningar anses innebära en bättre garanti för utformningen av integritetsskyddet vad gäller särskilt känsliga register eller andra personuppgiftssamlingar.

Exempel på fall då en särskild författningsreglering i form av en registerförfattning kan anses motiverad är vidare när en nödvändig behandling av personuppgifter över huvud taget inte är tillåten enligt personuppgiftslagen, när personuppgiftslagen visserligen reglerar ett visst förhållande men det finns anledning att avvika från eller precisera den regleringen, när personuppgiftslagens bestämmelser kan ge upphov till tolkningsproblem och det finns anledning att ha tydliga bestämmelser, när det finns anledning att begränsa möjligheterna till behandling av uppgifter av integritetsskäl i fråga om myndigheters registrering

Ds 2013:XX Rättsliga utgångspunkter

och åtkomst till stora och känsliga uppgiftsmängder, eller när det finns anledning att vara särskilt tydlig gentemot allmänheten, t.ex. i fråga om vilka uppgifter om enskilda som en myndighet registrerar.

4.5.6. Polisdatalagen

Polisdatalagen (2010:361) trädde i kraft den 1 mars 2012. Syftet med lagen är att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagen reglerar, med några få undantag, all behandling av personuppgifter i Polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten. Personuppgiftsbehandling i sådan verksamhet som inte är brottsbekämpande, exempelvis hanteringen av förvaltningsärenden, omfattas inte av lagen utan regleras av personuppgiftslagen.

Polisen får enligt 2 kap. 7 § polisdatalagen behandla personuppgifter om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden.

4.5.7. Pågående och framtida översyn av registerförfattningarna

I oktober 2011 beslutade regeringen att ge en särskild utredare i uppdrag att se över registerlagstiftningen och vissa därmed sammanhängande frågor (dir. 2011:86). Utredningen har antagit namnet Informationshanteringsutredningen.

Av kommittédirektiven framgår bl.a. följande om bakgrunden till uppdraget. Flera statliga utredningar har påtalat att registerförfattningarna behöver ses över, bl.a. för att skapa ett mer

Rättsliga utgångspunkter Ds 2013:XX

samordnat och enhetligt regelverk, vilket skulle främja bl.a. skyddet av den personliga integriteten. Vidare har Datainspektionen sedan år 2005 i sina årsredovisningar pekat på ett allt starkare behov av en översyn och ett samlat grepp när det gäller registerlagstiftningen inom statsförvaltningen. Även Riksrevisionen anser att registerförfattningarna bör ses över.

I Informationshanteringsutredningens uppdrag ingår att, efter en översiktlig inventering av gällande registerförfattningar och en närmare analys av registerförfattningarna inom tre olika verksamhetsområden, utarbeta en generell modell för hur registerförfattningar bör struktureras, vilka begrepp som bör användas samt hur dessa begrepp bör definieras. Utredarens uppdrag är en del av en översyn av registerlagstiftningen som kommer att ske etappvis med hänsyn till det stora antalet registerförfattningar. Utredningens uppdrag, i den del som avser översynen av registerförfattningarna, ska redovisas senast den 1 december 2014.

En annan beaktansvärd faktor när det gäller framtiden för registerlagstiftningen i stort är det arbete som pågår inom EU för att skapa ett mer enhetligt skydd för personuppgifter inom unionen och som redogjorts för ovan. Ny gemenskapsrättslig lagstiftning på området kan komma att avsevärt påverka utrymmet för medlemsstaterna att ha kvar olika former av särregleringar som berör skyddet av personuppgifter.

Behovet av anpassade regler för personuppgiftshantering i olika hänseenden kvarstår oaktat den pågående Informationshanteringsutredningen och det allmänna behov som finns av enhetlighet, och därmed översyn, av registerlagstiftningen samt det arbete som pågår inom EU. Detta behov av anpassade regler gör sig påtagligt gällande i fråga om ett särskilt register över tillträdesförbud. Den pågående översynen och arbetet inom EU bör därmed inte hindra att man redan nu inför en registerförfattning på det området.

5. Överväganden och förslag

5.1. Inledning

När tillträdesförbudslagen infördes i juli 2005 skedde det för att effektivare kunna motverka idrottsanknuten brottslighet i syfte att öka tryggheten och trivseln i samband med idrottsarrangemang (prop. 2004/05:77 s. 15 f.). Avsikten med tillträdesförbudslagen var bl.a. att den skulle bidra till att avskräcka presumtiva brottslingar och minska nyrekryteringen till de grupper som ägnar sig åt idrottsrelaterad brottslighet. Tanken var att personer som tillhörde dessa grupper inte skulle kunna värva nya anhängare under arrangemangen, om de utestängdes från dessa. Vidare skulle potentiella nya anhängare, särskilt unga personer, bli mindre intresserade av att vara med i grupperna, om gruppmedlemmar hade blivit utestängda från arrangemangen (prop. 2004/05:77 s. 21 f.).

Både polisen och idrottsorganisationerna har uttalat att tillträdesförbudslagen är en värdefull lagstiftning som, om den utnyttjas effektivt, kan bidra till att idrottsrelaterade brott och ordningsstörningar på och utanför idrottsanläggningarna minskar. Tillträdesförbudslagen har hittills dock inte kommit att få så stor användning som avsikten var vid dess tillkomst (prop. 2008/09:78 s. 23). Det begås alltjämt brott i samband med idrottsarrangemang, främst i samband med fotboll och ishockey.

12

Det kan röra sig om slagsmål inne på arenan, slagsmål

och andra ordningsstörningar runt arenan eller skadegörelse på

12 I promemorian har vi byggt våra resonemang som beskriver idrottsarrangörernas arbetssätt och behov på de förhållanden som gäller inom fotboll och ishockey.

Överväganden och förslag Ds 2013:XX

transportmedel, närliggande restauranger och butiker (se bl.a. dir. 2011:22).

Utöver de skäl som analyseras i förarbetena (prop. 2008/09:78 s. 23 f.) såsom svårigheterna att ansöka om tillträdesförbud p.g.a. identifieringsproblem, att det förekommer hot mot företrädarna för idrottsorganisationerna som gör att dessa avstår från att ansöka samt att handläggningstiden hos åklagarna i ett ärende om tillträdesförbud och uteblivna underrättelser om meddelade tillträdesförbud begränsar effektiviteten, har ytterligare ett påtagligt dilemma framträtt, nämligen svårigheterna att se till att meddelade tillträdesförbud följs. Vid våra kontakter med berörda myndigheter och företrädare för idrottsarrangörerna har svårigheterna för en arrangör att fullfölja sitt arrangörsansvar, att utestänga personer med tillträdesförbud från en arena, beskrivits. Det har bl.a. framkommit att arrangörerna behöver ytterligare verktyg för att tillträdesförbudsinstitutet ska få effekt på arenorna. Ett sådant verktyg är ett register med samlade uppgifter över personer med tillträdesförbud, till vilket idrottsarrangörerna behöver ha tillgång till.

Förslaget om att inrätta ett nationellt register över meddelade tillträdesförbud i syfte att stärka möjligheterna att stävja idrottsanknuten brottslighet på idrottsarenor är inte i sig omstritt, utan får utifrån ett allmänt intresse anses vällovligt. Vad det därmed handlar om i förevarande utredning är att skapa regler för ett särskilt register över tillträdesförbud som ska tillgodose både de ändamålsintressen som finns och de berättigade intressena av skydd mot intrång i den personliga integriteten för de personer som registreras.

Normgivningsnivå

Som redovisats tidigare finns det ett ganska omfattande regelverk och flera internationella konventioner till skydd för personuppgifter vid automatiserad behandling. Vår bedömning är att ett tillträdesförbudsregister i princip låter sig inordnas i dessa regel-

Ds 2013:XX Överväganden och förslag

system. En fråga som förtjänar att beröras redan inledningsvis är vilken normgivningsnivå som är lämplig för det nu aktuella ändamålet. Vi har ovan under avsnitt 4.5.1 redogjort för att regeringsformen innehåller grundläggande bestämmelser om skydd för den personliga integriteten. Att det allmänna registrerar personuppgifter om enskilda innebär inget åliggande för den enskilde och har inte heller ansetts som ett ingrepp i enskildas personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 regeringsformen. Det har därmed inte krävts lagform för registerförfattningarna utan de har i princip hört till regeringens primärområde och såldes kunnat regleras i förordningsform (SOU 2012:90 s. 202).

Den 1 januari 2011 ändrades emellertid regeringsformen på sådant sätt att det i 2 kap. 6 § andra stycket numera föreskrivs att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Regeringsformens utvidgade integritetsskydd innebär att en begränsning av det skydd som bestämmelsen föreskriver endast får göras i form av lag och under vissa förutsättningar. Det har förutsatts att den nya lydelsen av paragrafen bl.a. medför att när nya föreskrifter, som innebär begränsningar i rätten till skydd mot betydande integritetsintrång, övervägs ska sådana begränsningar genomföras genom lag (prop. 2009/10:80 s. 242 f.).

Med hänsyn till det nu redovisade och utifrån att det i ett tillträdesförbudsregister är aktuellt att behandla belastningsuppgifter till vilka enskilda idrottsorganisationer ska medges åtkomst anser vi sammantaget att det är lämpligast att föreskrifterna beslutas av riksdagen. Vår utgångspunkt när det gäller lämplig normgivningsnivå är därmed att en författning om tillträdesförbudsregister bör regleras i lagform.

Överväganden och förslag Ds 2013:XX

Brottsbekämpande och brottsförebyggande verksamhet

När man närmar sig frågan om en författningsreglering av ett register över tillträdesförbud har vi vidare funnit att det i några avseenden är betydelsefullt hur man definierar en personuppgiftsbehandling i form av ett register av angivet slag i förhållande till de rättsliga förutsättningar m.m. som är aktuella. Ty som framgått är en del konventioner upphängda på begrepp som brottsbekämpande och brottsförebyggande. På lagstiftningssidan är polisdatalagens (2010:361) tillämpning knuten till personuppgiftsbehandling i ”polisens brottsbekämpande verksamhet”. Resonemanget i det följande är i första hand relaterat till polisen, och i viss mån till åklagarna, men inte till idrottsorganisationerna.

Här ska först sägas att en grundläggande utgångspunkt är att regleringen om tillträdesförbud i första hand syftar till att förebygga brott (se prop. 2004/05:77 s. 47 f.). Samtidigt kan en brottsförebyggande verksamhet – särskilt om den bedrivs av polisen – inte sällan också sägas vara av mer eller mindre brottsbekämpande slag, åtminstone indirekt. När det gäller tillträdesförbudslagen kan emellertid noteras att polisens roll är relativt begränsad. Den består i dels att biträda åklagaren med utredning i frågor om tillträdesförbud, dels att på eget initiativ anmäla en fråga om ett sådant förbud till åklagaren. Uppgifterna, som delvis är av förvaltningskaraktär, hör i det sammanhang som nu belyses till det brottsförebyggande området. Av uttalanden i förarbetena till tillträdesförbudslagen får anses framgå att regeringen närmast har varit benägen att för åklagarnas vidkommande inte bedöma verksamheten som brottsbekämpande (se a. prop. s. 47.). Det brottsbekämpande inslaget i polisens roll i tillträdesförbudsärenden är så pass underordnat att vi bedömer att samma synsätt kan anläggas också i fråga om en polismyndighets uppgifter i tillträdesförbudsärendena. En annan sak är att ett polisarbete mot brottslighet som resulterar i att en fråga om tillträdesförbud aktualiseras, liksom polisens verksamhet mot överträdelser av meddelade tillträdesförbud, kan

Ds 2013:XX Överväganden och förslag

ses som brottsbekämpande i vedertagen mening, men det är inte den saken som det är fråga om nu. Vår slutsats är därför att polisdatalagen inte är tillämplig i fråga om polisens uppgifter rörande hanteringen av personuppgifter i själva tillträdesförbudsärendena.

När det sedan gäller frågan om hur man ska se på ett särskilt tillträdesförbudsregister, blir det än mer tydligt att registrets syfte med den inriktning vi föreslår, i likhet med tillträdesförbudslagens primära syfte, i första hand ska vara brottsförebyggande. Det är ju själva poängen med registret. Samtidigt kommer registret, för polisen, i vissa fall också att kunna fylla en brottsbekämpande funktion. Personuppgifter i ett register t.ex. namn och fotografi kan ligga till grund för ett ingripande mot en person som har tillträdesförbud men som trots det uppehåller sig inne på en arena. Det skulle dock föra för långt att säga att detta förhållande är sådant att en personuppgiftsbehandling som polisen utför skulle falla under polisdatalagen eller kollidera med någon dataskyddskonvention.

Konsekvenserna av vårt resonemang kring vilken karaktär som behandling av personuppgifter i ett tillträdesförbudsregister har innebär att behandlingen i princip kommer att falla under personuppgiftslagen. Hur den lagtekniska lösningen då ska bli är delvis beroende på hur ändamålsbestämmelserna utformas och vilka personuppgifter som behöver registreras; även andra förhållanden är av betydelse. Att ett nytt register helt inordnas under personuppgiftslagen anser vi dock inte vara en framkomlig väg. Det kommer att behövas särbestämmelser. Vi har funnit att det är tveksamt om särbestämmelserna lämpligen kan inordnas i befintlig rättsstruktur (t.ex. ingå i polisdatalagens 4 kap. om register eller i tillträdesförbudslagen), utan mycket talar för att de särbestämmelser som behövs tas in i en särskild registerförfattning som kompletterar bestämmelserna i personuppgiftslagen. Innan vi fördjupar oss i hur en registerförfattning bör utformas kan det finnas skäl att lite närmare skärskåda hur behovet av en reglering ser ut.

Överväganden och förslag Ds 2013:XX

5.2. Behovet av reglering

Bedömning: För att främja en effektiv och rättssäker hanter-

ing samt efterlevnaden av meddelade tillträdesförbud och samtidigt ge ett starkt skydd för den personliga integriteten behöver man reglera personuppgiftsbehandlingen hänförlig till tillträdesförbud hos idrottsarrangörerna och polismyndigheterna.

Skälen för bedömningen: De åtgärder som lagstiftaren vidtagit

bl.a. genom tillträdesförbudslagen med efterföljande ändringar har varit ett viktigt led i det förebyggande arbetet mot idrottsanknuten brottslighet. Tillträdesförbudslagen i dess nuvarande form har emellertid visat sig vara ett inte tillräckligt effektivt verktyg för att motverka idrottsanknuten brottslighet och det finns därför behov av ytterligare åtgärder.

Sedan den senaste lagändringen som bl.a. gav polisen möjlighet att initiera tillträdesförbudsärenden hos åklagaren har utvecklingen inneburit att det numera i princip alltid är polisen som gör anmälan om tillträdesförbud istället för den enskilda idrottsorganisationen eller specialidrottsförbundet. Detta har visat sig vara ett effektivare arbetssätt, men medför också att arrangören kommer längre från processen fram till att ett tillträdesförbud meddelas. Många gånger meddelas dessutom ett tillträdesförbud p.g.a. händelser som inte har inträffat i nära anslutning till eller på en arena. Ordningsstörningar och kriminalitet utanför arenorna är i princip uteslutande polisens ansvar. En konsekvens av det beskrivna är att det numera meddelas tillträdesförbud för personer som är okända för en arrangör trots att arrangören i nästa led ansvarar för att personen inte kommer in på ett idrottsarrangemang som anordnas.

Den enskilde arrangören får i regel information om ett meddelat tillträdesförbud först när arrangören tar del av åklagarens skriftliga beslut. Ett beslut om tillträdesförbud är relativt kortfattat och saknar som utgångspunkt uppgifter som

Ds 2013:XX Överväganden och förslag

kan användas för identifiering av den enskilde, om denne inte är känd för arrangören sedan tidigare. Besluten innehåller t.ex. inte fotografier. Utöver svårigheterna att identifiera personer som har tillträdesförbud med kopplingar till den egna idrottsorganisationen ska en arrangör dessutom kunna hantera personer med tillträdesförbud som har koppling till andra idrottsorganisationer från mötande lag. Det nu anförda medför att det finns ett klart behov hos idrottsarrangörerna av att få hantera personuppgifter kopplade till individer som har meddelats tillträdesförbud. Med hänsyn till att nuvarande regler i personuppgiftslagen överhuvudtaget inte tillåter en idrottsarrangör att behandla personuppgifter om lagöverträdelser måste behovet mötas av nya särskilda bestämmelser som tillåter detta.

Mot den angivna bakgrunden är den centrala utgångspunkten att det finns ett behov av att det skapas en registerreglering som ger en idrottsarrangör och polismyndigheterna ett verktyg som gör det möjligt att bättre upprätthålla meddelade tillträdesförbud, men som samtidigt ger ett bra integritetsskydd för den enskilde. Utredningsarbetet handlar bl.a. om att konkret skapa rättsliga garantier för att nya möjligheter att använda elektroniskt tillgänglig information och sammanställningar som rör tillträdesförbud, inte på ett otillbörligt sätt inkräktar på den enskildes personliga integritet.

Det verktyg mot idrottsanknuten brottslighet som tillträdesförbudslagen utgör blir vassare och mer fullständigt om det kompletteras med möjligheten för en idrottsarrangör att behandla personuppgifter om personer som meddelats tillträdesförbud. Därmed skulle idrottsarrangörerna få en reell möjlighet att faktiskt identifiera och avvisa personer som inte äger rätt att vara på en arena när det pågår ett idrottsarrangemang.

Det kan noteras att antalet överträdelser av tillträdesförbud är relativt få. Under år 2012 registrerade Åklagarmyndigheten nio misstankar om överträdelser av tillträdesförbud varav sex ledde till lagföring (en person misstänktes för två överträdelser) och i två fall lades förundersökningen ned. Mellan den 1 januari-31 augusti 2013 har Åklagarmyndigheten registrerat tolv stycken

Överväganden och förslag Ds 2013:XX

överträdelse av tillträdesförbud.

13

Hur dessa har lagförts finns

det ännu inte någon information om. Bakom siffrorna kan antas att det döljer sig ett mörkertal men det är svårt att säkert veta i vilken mån det beror på att det är svårt att upptäcka en överträdelse eller om det faktiskt är så att överträdelser är ovanliga.

14

Några av de idrottsarrangörer som vi samrått med har

uppgett att arrangörens fokus ligger på att personer med tillträdesförbud överhuvudtaget inte ska komma in på arenan varför det främst är utanför arenan vid insläpp som man försöker identifiera enskilda via bl.a. övervakningskameror. Det är ovanligare att man söker efter personer med tillträdesförbud inne på arenan om inte personen uppträder ordningsstörande och därför tilldrar sig övervakningssystemets uppmärksamhet.

5.3. Ett register över tillträdesförbud vid idrottsarrangemang

Förslag: Ett register med personer som har meddelats

tillträdesförbud enligt tillträdesförbudslagen ska få föras. Registret ska inte omfatta interimistiska tillträdesförbud. Rikspolisstyrelsen får med hjälp av automatiserad behandling föra registret.

Skälen för förslaget: Vi föreslår att det införs en ny särskild

registerlag som gör det möjligt att skapa ett register med uppgifter om personer som har meddelat tillträdesförbud och att Rikspolisstyrelsen får föra detta register med hjälp av automatiserad behandling. Vi kallar registret för tillträdesförbudsregistret. Våra närmare överväganden om vilka personuppgifter som ska få registreras i registret utvecklas närmare i

13 Uppgifter från Åklagarmyndighetens utvecklingscentrum i Malmö den 15 november 2013 och från Samverkansrådet mot idrottsrelaterad brottslighet, uppföljning av tillträdesförbudslagen m.m. under år 2012, s. 5. 14 Se även Samverkansrådets uppföljning av tillämpningen av tillträdesförbudslagen under år 2010, s. 10.

Ds 2013:XX Överväganden och förslag

avsnitten 5.8 och 5.9 och i avsnitt 5.11 utvecklar vi våra överväganden i fråga om att Rikspolisstyrelsen ska föra och ansvara för registret.

5.4. Lagens tillämpningsområde

Förslag: Lagen ska tillämpas av idrottsorganisationer,

specialidrottsförbund, Rikspolisstyrelsen och polismyndigheter vid behandling av personuppgifter i fråga om personer som har meddelats tillträdesförbud enligt tillträdesförbudslagen.

Lagen ska vara tillämplig i fråga om behandling av personuppgifter som är helt eller delvis automatiserad eller den behandling som sker i manuella register, om uppgifter ingår i eller ska ingå i en strukturerad samling som är sökbar eller kan sammanställas enligt särskilda kriterier.

I lagen ska idrottsorganisation och specialidrottsförbund definieras.

Skälen för förslaget: Det bör inledningsvis framhållas att vår

utgångspunkt är att tillämpningsområdet ska begränsas till det som påkallar särreglering i förhållande till personuppgiftslagens regler och övriga registerförfattningar som är tillämpliga hos de aktuella myndigheterna. En ytterligare utgångspunkt är att lagen inte ska leda till överlappande lagstiftning i den bemärkelsen att mer än en författning är tillämplig beträffande samma behandling av personuppgifter, eftersom detta skulle kunna leda till tillämpningssvårigheter. Tillämpningsområdet för den lagreglering som nu föreslås är därför snäv och lagen ska enbart tillämpas av idrottsorganisationer, specialidrottsförbund och polismyndigheter när det gäller personuppgifter om personer som har meddelats tillträdesförbud som förs i ett särskilt register. Även

Överväganden och förslag Ds 2013:XX

Rikspolisstyrelsen ska tillämpa lagen när styrelsen behandlar personuppgifter om meddelade tillträdesförbud i registret som registerförare. Skälet till att vi gjort bedömningen att lagen inte ska tillämpas av Åklagarmyndigheten framgår av avsnitt 5.9.3.

Såväl polismyndigheterna som Åklagarmyndigheten har idag rätt att behandla personuppgifter vid handläggning av ärenden om tillträdesförbud; vid anmälan, under utredning, vid beslutsfattande osv. Vid den hanteringen kommer inte den föreslagna lagen att vara tillämplig utan då är det andra personuppgiftsbestämmelser som tillämpas. Även Rikspolisstyrelsen behandlar idag personuppgifter i samband med att ett tillträdesförbud meddelats när styrelsen t.ex. för in ett av åklagaren eller domstolen meddelat tillträdesförbud i belastningsregistret.

Lagen ska endast tillämpas på behandling av uppgifter om personer som meddelats tillträdesförbud i det särskilda tillträdesförbudsregistret. Några gränsdragningsproblem i förhållande till t.ex. polisdatalagen och polisens rena brottsbekämpande verksamhet uppstår därmed inte. För åklagarnas del omfattas deras personuppgiftsbehandling i kärnverksamheten av förordning (2006:937) om behandling av personuppgifter inom åklagarväsendet. Skälen som ligger till grund för att i denna promemoria föreslå en särreglering när det gäller tillträdesförbud tar sikte på behovet av att genom ett samlat grepp kunna hantera personuppgifter hänförliga till just meddelade tillträdesförbud. För idrottsarrangörernas vidkommande kan några gränsdragningsproblem till annan lagstiftning eller verksamhet knappast aktualiseras, eftersom deras personuppgiftshantering inte är reglerad av andra personuppgiftsregler än personuppgiftslagens. Den föreslagna lagens förhållande till personuppgiftslagen regleras i och med förslaget.

Lagen bör, i likhet med personuppgiftslagen, omfatta all behandling av personuppgifter som sker helt eller delvis automatiserat eller i manuella register som strukturerats på visst sätt och gjorts tillgängliga för sökning eller sammanställning. Utgångspunkten är att Rikspolisstyrelsen ska upprätta ett automatiserat (elektroniskt) register med ett i lagen angivet urval

Ds 2013:XX Överväganden och förslag

av personuppgifter som förs in i registret för det i lagen specifika ändamålet, nämligen främst att förebygga, förhindra eller upptäcka överträdelse av tillträdesförbud. Med hänsyn till att förslaget bygger på att bl.a. idrottsorganisationerna ska kunna medges direktåtkomst till registret kommer det att krävas en viss lägsta säkerhetsnivå hos de enskilda idrottsorganisationerna. Det har redan konstaterats att idrottsarrangörerna kommer att behöva använda registret i olika omfattning och i någon mån utifrån olika förutsättningar såsom antalet tillträdesförbud, klubbens storlek och ekonomi, antalet anställda, it-resurser osv. Det får därför förutsättas att det finns ett behov av viss manuell behandling av personuppgifterna i registret, i vart fall initialt. Det skulle inte vara ändamålsenligt att låta den manuella behandlingen helt omfattas av personuppgiftslagen, eftersom det då inte är tillåtet för idrottsorganisationer att behandla personuppgifter om lagöverträdelser. Med hänsyn härtill är det vår uppfattning att även manuell behandling ska omfattas av lagen om personuppgifterna är strukturerade på sådant sätt att de ingår i eller är avsedda att ingå i en samling som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier.

I lagen bör de idrottsarrangörer som omfattas av lagen definieras. Idrottsorganisation definieras som en organisation som anordnar idrottsarrangemang och som är medlem i ett specialidrottsförbund som är anslutet till Sveriges Riksidrottsförbund. Även specialidrottsförbund bör definieras i lagen som ett specialidrottsförbund som är anslutet till Sveriges Riksidrottsförbund.

5.5. Lagens syfte

Förslag: Syftet med tillträdesförbudsregisterlagen ska vara att

möjliggöra behandling av personuppgifter för att på ett ändamålsenligt sätt kunna upprätthålla gällande beslut om tillträdesförbud vid idrottsarrangemang och att skydda

Överväganden och förslag Ds 2013:XX

människor mot att deras personliga integritet kränks vid sådan behandling.

Skälen för förslaget: Som vi redan konstaterat i inledningen till

detta kapitel finns det ett rättmätigt krav från bl.a. idrottsarrangörer på att den lagstiftning som tillkommit för att stävja idrottsanknuten brottslighet och ordningsstörningar innehåller de verktyg som är nödvändiga för att syftet med reglerna ska kunna uppnås. Den befintliga lagstiftningen om tillträdesförbud är alltför uddlös och gör det svårt för idrottsorganisationerna att bedriva ett effektivt säkerhetsarbete i anslutning till ett idrottsarrangemang. En förutsättning för arbetet med att förebygga att personer som redan bedömts utgöra en risk för ordningsstörande och brottsligt agerande inte kommer in på en arena är därför att även idrottsarrangörerna får behandla uppgifter om personer som har meddelats tillträdesförbud.

Att ge enskilda idrottsarrangörer möjlighet att bygga upp samlingar av uppgifter om enskilda inger emellertid betänkligheter från integritetssynpunkt. För samtidigt som idrottsarrangörerna har det behovet så kan hanteringen av personuppgifter innebära en risk för intrång i den personliga integriteten. Vår utgångspunkt har därför varit att hitta en balans mellan å ena sidan skyddet för den personliga integriteten och å andra sidan samhällets rättmätiga krav på att personer som har tillträdesförbud till ett idrottsarrangemang förhindras att överträda tillträdesförbudet.

Vad som avses med den personliga integriteten är inte klart och entydigt definierat men gemensamt för hur lagstiftaren har resonerat i tidigare lagstiftningssammanhang är att man verkar utgå från att en kränkning av integriteten innebär ett oönskat intrång i en fredad sfär som den enskilde bör vara tillförsäkrad (se bl.a. prop. 2005/06:173 s. 14 f.). Vid vårt övervägande av hur stor risken för intrång i den personliga integriteten kan bli med ett tillträdesförbudsregister kontra intresset av att föra ett register är vissa faktorer särskilt beaktansvärda. Faktorer som vi

Ds 2013:XX Överväganden och förslag

anser bör beaktas särskilt är arten av personuppgifter som ska få behandlas, omfattningen av behandlingen, storleken på registret, vilka som får tillgång till det och på vilket sätt: direktåtkomst eller på annat sätt samt hur länge personuppgifterna bevaras i registret.

Tillträdesförbudsregistret kommer att vara ett mindre register, 115 löpande förbud per den 1 november 2013, och de uppgifter som kan vara aktuella att behandla är relativt få och merparten av dem förhållandevis harmlösa. Vi har i författningsförslaget valt att ange vilka slags personuppgifter som ska få behandlas. I avsnitten 5.8 och 5.9 diskuteras mer ingående behovet av att kunna behandla vissa uppgifter. Det är framför allt uppgiften om meddelat tillträdesförbud och överträdelse av tillträdesförbud som tillsammans med fotografi kan vara en särskilt känslig uppgift. Förslaget innebär att även enskilda idrottsarrangörer ska få hantera dessa uppgifter i registret som bl.a. kan utgöra uppgifter om lagöverträdelser. Det är dock inte fråga om att ge tillgång till uppgifter om lagöverträdelser rent generellt utan i begränsad och utpekad omfattning. Vid en avvägning mellan de motstående intressena anser vi att därför att behovet av att få behandla uppgifterna i princip väger tyngre än risken för integritetsintrång, men att den risken kan minimeras genom att registret ges ett snävt tillämpningsområde.

Ur integritetshänseende anser vi att det även har viss betydelse att det är fråga om en registrering av personer som rent faktiskt har meddelats tillträdesförbud och som därmed genom sitt eget agerande har orsakat förbudet. Det ska givetvis inte förekomma personuppgifter kopplade till individer som kan tänkas komma att bli föremål för ett tillträdesförbud, vilka möjligen skulle kunna anses vara mer skyddsvärda ur integritetshänseende. Dock är det naturligtvis så att den omständigheten att uppgifter om enskilda kommer att kunna sammanställas och göras tillgängliga såväl hos enskilda idrottsorganisationer som vid polisen kan ses som ett intrång i den enskildes personliga integritet. Det är därför viktigt inte minst

Överväganden och förslag Ds 2013:XX

för integritetsskyddet att lagen, såsom vi föreslår, tydligt och uttömmande anger för vilka ändamål uppgifterna får behandlas.

Ytterligare en aspekt som har betydelse vid bedömningen av vilket intrång i den personliga integriteten som tillträdesförbudsregistret kan leda till är hur behandlingen sker och omfattningen av densamma. Som kommer att utvecklas ytterligare nedan är det endast registerföraren som får registrera, ändra, radera osv. uppgifter i registret. Härigenom begränsas den behandling som övriga får utföra. Detta, menar vi, minskar risken för integritetsintrång. Under avsnitt 5.13 behandlas detta mer ingående.

Av särskild betydelse för registrets användbarhet är att framförallt idrottsarrangörerna kan få tillgång till registrets uppgifter på automatisk väg, exempelvis genom direktåtkomst. En sådan möjlighet kan dock innebära ökade risker för att den enskildes integritet kränks bl.a. genom att det kan medföra att antalet personer som får tillgång till uppgifterna blir fler och att uppgifterna enklare sprids på ett otillåtet sätt. För att möjliggöra att uppgifterna i registret kan nås genom direktåtkomst samtidigt som skyddet för personuppgifter upprätthålls har vi förslagit att det föreskrivs i lagen om en begränsning av vilka, hos idrottsarrangörerna, som kan få behörighet genom direktåtkomst samt att respektive organisation och myndighet som utför personuppgiftsbehandling är ansvarig för den behandling som utförs. Vårt lagförslag innebär också att personuppgiftslagens regler om säkerhet vid behandling av personuppgifter kommer att vara tillämpliga och anser därmed att förslaget har nått ett tillfredsställande integritetsskydd i den delen.

Som redan angetts ska registret enbart innehålla uppgifter kopplade till meddelade tillträdesförbud. Vi har övervägt i vilken mån som personuppgifter ska finnas kvar i registret en tid efter att ett beslut om tillträdesförbud har löpt ut. För den enskilde kan emellertid ett sådant bevarande innebära att integritetsintrånget kvarstår en längre tid. Med hänsyn härtill och till att fråga många gånger är om unga personer samt till hur ändamålsbestämmelsen har utformats har vi stannat vid den slut-

Ds 2013:XX Överväganden och förslag

satsen att uppgifterna ska gallras ur registret direkt när ett tillträdesförbud upphör, oavsett om det beror på att det har upphävts eller att giltighetstiden har löpt ut. Gallringsförslaget behandlas i avsnitt 5.15.

5.6. Tillåtna ändamål med personuppgiftsbehandlingen

Förslag: I lagen ska det anges för vilka ändamål som person-

uppgifter får behandlas. Ändamålen, som är uttömmande angivna, är att personuppgifter får behandlas om det behövs för att förebygga, förhindra eller upptäcka överträdelse av ett tillträdesförbud samt för att fullgöra förpliktelser som följer av internationella åtaganden.

Skälen för förslaget: Syftet med ändamålsbestämmelsen är att

ange en tydlig ram för när personuppgifter får behandlas med stöd av tillträdesförbudsregisterlagen. Med hänsyn till den begränsade och snäva verksamhet som lagen avser att reglera är det vår uppfattning att ändamålsbestämmelserna också måste formuleras snävt. Vi förslår därför en uttömmande reglering av för vilka ändamål personuppgifterna i registret ska få behandlas. Uppgifterna ska enbart få behandlas för att förebygga, förhindra eller upptäcka en överträdelse av ett tillträdesförbud samt för att fullgöra Sveriges förpliktelser som följer av internationella åtaganden.

I allmänhet gäller att det kan finnas behov av att behandla flertalet personuppgifter i registret vid ett och samma tillfälle för alla angivna ändamål. Samtliga av de registrerade personuppgifterna får därför behandlas för alla angivna ändamål i den mån det behövs. Genom att uttömmande föreskriva för vilka särskilda och uttryckligt angivna ändamål som personuppgifterna får behandlas minskar den integritetsrisk som personuppgiftsbehandling i någon mån alltid innebär. Samtidigt är det centralt att

Överväganden och förslag Ds 2013:XX

ändamålsbestämmelsen möjliggör ett effektivt arbetssätt för att en reglering ska vara motiverad.

Det kan diskuteras i vilken mån det finns ett behov hos idrottsorganisationerna och specialidrottsförbunden att få behandla personuppgifter även för andra ändamål, t.ex. för utredning om framtida tillträdesförbud, för ansökan om tillträdesförbud osv. Med hänsyn bl.a. till att det numera i princip uteslutande är polisen som anhängiggör ett ärende om tillträdesförbud och inte de enskilda idrottsorganisationerna eller specialidrottsförbunden bedömer vi att behoven av få använda registeruppgifterna för sådana ändamål är ytterst begränsat och vi föreslår därför inte någon sådan ändamålsbestämmelse.

Förebygga

Här åsyftas det förebyggande arbete som sker på planeringsstadiet inför ett arrangemang men även det förebyggande arbete som sker i anslutning till arrangemanget i direkt anslutning till en arena. Genom att identifiera personer med tillträdesförbud och därmed hindra dessa från att släppas in på ett arrangemang kan man förebygga såväl en överträdelse av förbudet som befarade störningar och brottsliga handlingar vid arrangemanget.

I begreppet inbegrips även den kontaktverksamhet som idrottsorganisationerna många gånger utför som syftar till att personer med koppling till den egna organisationen ska förmås att ändra sitt uppförande och därmed långsiktigt minska risken för kriminellt och ordningsstörande beteende vid idrottsarrangemang.

Ett lyckat säkerhetsarbete handlar många gånger om att arrangören är väl förberedd och en del i förberedelserna är att ha kontroll över vilka personer som har tillträdesförbud vid ett visst arrangemang. Sådan kännedom bidrar också till hur säkerhetsarbetet utformas och omfattningen av detsamma. Ett tillträdesförbudsregister kan dessutom, genom sin blotta existens, väntas få en viss förebyggande och allmänpreventiv effekt genom

Ds 2013:XX Överväganden och förslag

att det blir känt att ett meddelat tillträdesförbud även får den följden att personuppgifter registreras i ett register som används vid insläpp till idrottsarrangemang.

Förhindra

Genom att det blir tillåtet för t.ex. en arrangör att behandla personuppgifter kopplade till personer med tillträdesförbud ska möjligheten till identifiering underlättas. Därmed får arrangören bättre möjligheter att i större utsträckning förhindra att en person med tillträdesförbud kommer in på arenan. Det är framför allt vid arenainsläppet som personuppgifterna i registret kan användas till att hindra en person med tillträdesförbud från att komma in på arrangemanget genom att denna avvisas.

Upptäcka

Härmed avses den behandling av personuppgifter som genom att underlätta identifiering inne på arenan, antingen av arrangören eller av polisen, möjliggör att en överträdelse av ett tillträdesförbud upptäcks.

Internationella åtaganden

I det s.k. Prümrådsbeslutet (Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet) behandlas i artiklarna 13–15 informationsutbyte i samband med större evenemang med gränsöverskridande verkningar. Som exempel på större evenemang nämns betydande idrottsevenemang. I artikel 14.1 beskrivs närmare om informationsutbytet av personuppgifter.

Överväganden och förslag Ds 2013:XX

Sverige har genomfört artikeln i svensk rätt genom en bestämmelse i 3 kap. 1 § förordningen (2010:705) om internationellt polisiärt samarbete som föreskriver att bl.a. Rikspolisstyrelsen och polismyndigheter i samband med större evenemang med gränsöverskridande verkningar på begäran av en myndighet i en annan stat eller på eget initiativ, i syfte att förebygga brottslig verksamhet eller upprätthålla allmän ordning och säkerhet, ska lämna ut bl.a. uppgifter om en person om det finns skäl att anta att personen kommer att begå brott vid evenemanget eller utgöra hot mot den allmänna ordningen och säkerheten vid detta.

Sverige har således en skyldighet att lämna ut personuppgifter till andra stater under vissa förutsättningar. Tillträdesförbudsregisterlagen bör därför möjliggöra behandling av personuppgifter för att sådana förpliktelser ska kunna fullgöras.

5.7. Lagens förhållande till personuppgiftslagen

Förslag: Tillträdesförbudsregisterlagen ska gälla utöver per-

sonuppgiftslagen. Detta innebär att personuppgiftslagen ska gälla vid behandling av personuppgifter i tillträdesförbudsregistret, om inte annat följer av tillträdesförbudsregisterlagen eller föreskrifter som är meddelade med stöd av den lagen. I klargörande syfte anges detta uttryckligen i den nya lagen.

Skälen för förslaget: En viktig fråga är i vilken omfattning som

personuppgiftslagens bestämmelser ska vara tillämpliga på behandlingen av personuppgifter i tillträdesförbudsregistret. Personuppgiftslagen är generellt tillämplig på all behandling av personuppgifter hos idrottsorganisationerna och specialidrottsförbunden samt hos Rikspolisstyrelsen och polismyndigheterna, om det inte finns avvikande bestämmelser i lag eller förordning. När de gäller de två sistnämnda finns, såsom tidigare nämnts, avvikande bestämmelser i bl.a. polisdatalagen (2010:361) medan

Ds 2013:XX Överväganden och förslag

det saknas avvikande bestämmelser som omfattar de enskilda organisationernas personuppgiftsbehandling.

Vi har under arbetets gång övervägt vilken lagstiftningsteknik som är mest lämplig för regleringen av behandlingen av personuppgifter i ett tillträdesförbudsregister. I tidigare lagstiftningsärenden har olika lagstiftningstekniker valts.

En modell som förekommer är att den särskilda författningen gäller utöver personuppgiftslagen. Det innebär att om en fråga är oreglerad i den särskilda författningen kommer bestämmelserna i personuppgiftslagen därmed att vara tillämpliga. Detta kan ske genom att i den särskilda lagen överhuvudtaget inte nämna personuppgiftslagen, vilket innebär att personuppgiftslagens bestämmelser utan vidare kommer att vara tillämpliga, i den mån den särskilda författningen inte innehåller avvikande bestämmelser (se 2 § personuppgiftslagen). En liknande och tydligare lösning, som ger samma effekt, är att i den särskilda författningen uttryckligen ange att den gäller utöver personuppgiftslagen. Båda alternativen har bl.a. den fördelen att ändringar som görs i personuppgiftslagen får direkt genomslag även på det särreglerade området och det är tydligt när man avviker från personuppgiftslagen och det bakomliggande EU-direktivet. Nackdelen med dessa alternativ är att tillämparen måste beakta både den särskilda lagen och personuppgiftslagen och det kan därvid vara svårt att överblicka vilka bestämmelser i personuppgiftslagen som är tillämpliga. Modellen har använts i flera särskilda registerförfattningar, däribland patientdatalagen (2008:355) och studiestödslagen (2009:287).

En annan modell är att den särskilda författningen är heltäckande och upprepar de bestämmelser i personuppgiftslagen som ska vara tillämpliga, och således gäller i stället för personuppgiftslagen. En sådan lösning har använts i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens underrättelseverksamhet och militära säkerhetstjänst (prop. 2006/07:46). Metoden kan medföra praktiska fördelar för tillämparen då alla bestämmelser som är relevanta finns samlade i en enda lag. En nackdel är dock att identiska bestämmelser upp-

Överväganden och förslag Ds 2013:XX

repas i olika författningar. Dessutom innebär även mindre ändringar i personuppgiftslagen att motsvarande justeringar måste göras i den särskilda författningen. Den särskilda lagen kan även komma att bli onödigt omfattande.

Ytterligare ett sätt att utforma lagstiftningen på är att lagen innehåller, utöver de bestämmelser som avviker från personuppgiftslagen, en hänvisning till de lagrum i personuppgiftslagen som är tillämpliga. Härigenom gäller särlagstiftningen i stället för personuppgiftslagen. Denna lösning har valts i bl.a. polisdatalagen, lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (prop. 2004/05:164) och kustbevakningsdatalagen (2012:145; prop. 2011/12:45). Fördelarna med en sådan koppling till personuppgiftslagen är att lagstiftningen blir mer överskådlig och lättillämpad jämfört med om inga hänvisningar görs till personuppgiftslagen. Samtidigt undviks en omfattande dubbelreglering.

Frågan om vilken författningsteknik som bör användas har troligen inte någon betydelse för integritetsskyddet (se t.ex. Sören Öman, Särskilda registerfattningar, Festskrift till Peter Seipel, s. 695). Vi har stannat vid att föreslå att lagen ska gälla utöver personuppgiftslagen och därmed i lagen föreskriva de avvikande bestämmelser som ska gälla utöver personuppgiftslagen.

Vårt förslag innebär därför att tillträdesförbudsregisterregleringen endast ska innehålla de viktigaste särbestämmelserna och förtydligandena som vi har bedömt att det finns behov av. Den nya lagen bör därför komplettera personuppgiftslagen vad avser frågor som är specifika för främst idrottsrörelsens möjligheter att upprätthålla meddelade tillträdesförbud och begränsas till att avse dessa särbehov. De särregler som föreslås kommer att vara förhållandevis få och kommer inte att gälla för någon omfattande verksamhet. Lagen blir således inte alltför omfattande. Vårt förslag till tillträdesförbudsregisterlag utgår från personuppgiftslagens begrepp och terminologi och anger de undantag, preciseringar och förtydliganden i förhållande till personuppgiftslagen som från integritetssynpunkt bedöms motiverade.

Ds 2013:XX Överväganden och förslag

5.8. Personuppgifter som en idrottsarrangör behöver kunna behandla för identifiering

Bedömning: En idrottsarrangör har behov av att kunna be-

handla uppgift om den enskildes namn, alias, personnummer eller samordningsnummer, fotografi, adress samt själva beslutet om tillträdesförbud.

Skälen för bedömningen: Vid de kontakter som vi har haft med

polisen och idrottsarrangörer (fotboll och ishockey) har samstämmigt framkommit vilka personuppgifter som det finns behov för idrottsarrangörerna att få behandla. Behoven kan naturligtvis variera mellan olika idrottsarrangörer och idrottsarrangemang beroende på en mängd skilda förhållanden, såsom antalet individer med anknytning till organisationen som har tillträdesförbud, om individen är känd för arrangören, idrottsarenans storlek och antalet insläppsställen.

Arbetet med att genomföra ett säkert, tryggt och trivsamt idrottsarrangemang är en av arrangörernas högsta prioriteringar. I det ingår att identifiera personer som har tillträdesförbud och som därmed inte ska komma in på en arena där det pågår ett idrottsarrangemang. Detta arbete påbörjas, särskilt vid s.k. högriskmatcher, ofta lång tid i förväg.

15

Det största arbetet görs

emellertid i anslutning till själva arrangemanget: i närområdet runt arenan, vid visiteringspunkter, entréer och biljettkontroller samt via övervakningskameror från arenans ledningshytt. Såväl publikvärdar, ordningsvakter, arrangörens egen säkerhetspersonal som poliser arbetar med detta. Det har uttalats att insläppssituationen ofta är kritisk, eftersom man på relativt kort tid ska hantera ett stort antal människor. Vid insläppen ska utöver biljettkontroll ibland även någon form av visitering äga rum.

15 För en utförlig beskrivning av förberedelsearbetet inför olika idrottsarrangemang se SOU 2012:23 s. 113 ff.

Överväganden och förslag Ds 2013:XX

En viktig del av identifieringen sker via övervakningskameror, antingen genom att visiteringspersonal eller ordningsvakter känner igen en person och ställer frågan till ledningshytten om personen har tillträdesförbud eller att en person blir igenkänd från ledningshytten och att anrop görs därifrån till ordningsvakter, visiteringspersonal eller publikvärdar.

Igenkänning är således det främsta medlet för att en viss person ska kunna hindras från att komma in på arenan. För detta behövs ett fotografi (ansiktsbild) på den enskilde. Även namn och eventuellaalias är viktiga igenkänningsuppgifter. Det har bl.a. framkommit att många av personerna främst är kända under ett alias. De har framhållits, främst från ordningsvaktshåll, att även ålder är viktigt för att snabbt kunna avgöra, med blotta ögat, om en person är aktuell eller inte. I vissa, snabba situationer kan ålder vara en mer användbar uppgift än ett fotografi. Ålder kan hämtas från personnumret eller, i förekommande fall,

samordningsnumret som i sig är uppgifter som säkerställer en

identitet när en person väl är aktuell att kontrollera. För att en arrangör ska kunna kontrollera att ett tillträdesförbud även omfattar det aktuella arrangemanget måste arrangören ha tillgång till uppgifter om beslutet om tillträdesförbud. Även adress kan ha viss betydelse som identifieringsverktyg.

Mycket säkerhetsarbete är vunnet om denna första del av identifieringen lyckas, eller som en idrottsarrangör uttryckte det; ”det vi släpper in, är det vi får hantera inne på arenan”.

5.9. Personuppgifter som får behandlas

Förslag: De personuppgifter om en enskild person som har

meddelats ett tillträdesförbud som ska få behandlas av idrottsorganisationer, specialidrottsförbund och polismyndigheter är namn, personnummer eller samordningsnummer, eventuellt alias, fotografi, folkbokföringsadress eller annan stadigvarande adress, vilken idrottsorganisation och idrott

Ds 2013:XX Överväganden och förslag

som den enskilde har anknytning till, beslutet om tillträdesförbud och eventuella överträdelser av tillträdesförbud.

Bedömning: Varken Åklagarmyndigheten eller Riksidrotts-

förbundet bedöms ha något behov av att kunna behandla personuppgifterna med stöd av lagförslaget.

Skälen för förslaget och bedömningen: Vi har under avsnitt 4

Rättsliga utgångspunkter skrivit om vilka krav som kan ställas på behandlingen av personuppgifter, bl.a. att det krävs att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen. De personuppgifter som enligt vårt förslag ska få registreras med stöd av tillträdesförbudsregisterlagen ska således dels höra till saken (relevanta), dels vara ägnade att uppnå de ändamål som anges med behandlingen (adekvata). Från integritetssynpunkt är det väsentligt att inte andra uppgifter än de som bedöms uppfylla detta registreras och behandlas. Den tidigare utredningens (SOU 2012:23) förslag kritiserades bl.a. av Datainspektionen för att förslaget möjliggjorde behandling av fler personuppgifter än vad som var nödvändigt med hänsyn till de föreslagna ändamålen med behandlingen.

Vi har i föregående avsnitt redogjort för det behov hos idrottsarrangörerna som framträtt under utredningsarbetet. För att kunna möta det behovet samtidigt som integritetsskyddet värnas föreslår vi att lagen innehåller en uttömmande uppräkning av vilka personuppgifter som ska få registreras och behandlas i tillträdesförbudsregistret. Dessa uppgifter får behandlas under förutsättning att det behövs för det ändamål för vilket en behandling utförs.

Med utgångspunkt i ändamålsbestämmelsen, som anger att behandling bl.a. får ske om det behövs för att förebygga, förhindra eller upptäcka överträdelse av tillträdesförbud, bedömer vi att det i huvudsak behövs uppgifter dels för säker

Överväganden och förslag Ds 2013:XX

identifiering, dels för att kunna avgränsa sökning och uttag av uppgifter ur registret. Uppgifter av detta slag utgör både en rättssäkerhetsfaktor och en integritetsskyddsfaktor.

Såsom redan konstaterats kommer behovet av vilka personuppgifter som behöver behandlas kunna se olika ut vid olika tillfällen och beroende på vem som ska behandla uppgifterna. Kraven på att personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen innebär därför att alla i registret tillåtna personuppgifter inte måste eller ens bör behandlas vid all behandling som kan vara aktuell. Kan en arbetsuppgift kopplad till ändamålsbestämmelsen utföras utan att en viss i och för sig tillåten personuppgift behandlas, ska detta ske. Det sagda innebär t.ex. att även om ett fullständigt personnummer är nödvändigt för att säkerställa en identitet vid en överträdelse, behövs den uppgiften kanske inte för att hindra en person från att komma in på arenan, då det istället kan räcka med tillgång till namn och fotografi.

I avsnitt 5.8 har idrottsarrangörernas behov av tillgång till personuppgifter för identifiering av enskilda behandlats. Utöver dessa uppgifter finns det ett behov av att få behandla personuppgifter som underlättar den praktiska hanteringen av uppgifterna i registret och som bidrar till att minsta möjliga antal uppgifter behandlas vid varje tillfälle. Nedan följer en genomgång av hur behovet av att få behandla personuppgifter för att sökning och uttag av uppgifter ur registret ska kunna begränsas. En utgångspunkt är att tillgången till personuppgifter ska begränsas till vad som behövs för att ett tillträdesförbud ska kunna upprätthållas utan att fler personuppgifter sprids till fler personer än vad som är nödvändigt.

Vi kommer i avsnitt 5.17 att lämna en närmare redogörelse för våra överväganden i fråga om hur ett fotografi ska kunna föras in i registret och hur det bör regleras.

Ds 2013:XX Överväganden och förslag

5.9.1. Uppgifter för säker identifiering

De personuppgifter som enligt vår bedömning ska få behandlas för att på ett tillförlitligt sätt identifiera enskilda med tillträdesförbud är namn, eventuellt alias, personnummer eller samordningsnummer, fotografi, adress samt själva beslutet om tillträdesförbud. I vissa fall kan naturligtvis även idrotts- och idrottsorganisationsanknytning ha betydelse vid identifieringsarbetet. För en närmare beskrivning av betydelsen av att behandla anknytning till idrottsform och idrottsorganisation se nästa avsnitt (5.9.2).

5.9.2. Avgränsa sökning och uttag av personuppgifter ur registret

En del i det förberedande säkerhetsarbetet som redan har beskrivits är att ta reda på vilka individer som har meddelats tillträdesförbud och därmed inte får komma in på arrangemanget. Ett beslut om tillträdesförbud omfattar som utgångspunkt inte enbart en viss idrottsorganisations arrangemang. När besluten rör fotboll omfattar de i enlighet med åklagarnas rekommendationer oftast samtliga matcher i serierna Allsvenskan och Superettan, matcher i Svenska Cupen och landskamper samt cupmatcher och landskamper som anordnas av UEFA och FIFA i Sverige (Åklagarmyndighetens RättsPM 2010:1). Ett förbud kan också omfatta ett visst lags träningsmatcher om dessa äger rum på en inhägnad idrottsplats. För ishockeyns del gäller besluten oftast för Elitserien i ishockey (Svenska Hockeyligan), Kvalserien till Elitserien, HockeyAllsvenskan, SM-slutspelet i ishockey samt landskamper och mästerskap i Sverige anordnade av Svenska Ishockeyförbundet och Internationella Ishockeyförbundet. Ett beslut kan också avse flera idrottsformer exempelvis både fotboll och ishockey.

För den enskilde idrottsarrangören innebär beslutens utformning att denne har ett ansvar för att inte någon med

Överväganden och förslag Ds 2013:XX

tillträdesförbud till något av de arrangemang som omfattas av beslutet får tillträde till arrangemanget. I praktiken räcker det dock många gånger att arrangören koncentrerar sig på att inte någon med tillträdesförbud som kan associeras med de två mötande lagen försöker få tillträde till arrangemanget. För att i det läget inte behöva hantera personuppgifter som omfattar individer utan engagemang i de lag som möts, behöver arrangören kunna avgränsa sin sökning och uttag i tillträdesförbudsregistret till att avse endast individer som kan väntas intressera sig för tillträde till arrangemanget. I praktiken personer med anknytning till de två lag som möts.

För att kunna begränsa uttaget och sökningarna i registret till de relevanta individerna föreslår vi därför att även klubbanknytning och idrottsanknytning ska få behandlas. Med hänsyn till hur besluten om tillträdesförbud vanligen är utformade bör dock ingen begräsning göras i lagen i hur idrottsarrangörerna får söka i registret, eftersom de i grunden ska kunna utestänga samtliga individer med tillträdesförbud som omfattar det aktuella arrangemanget. Under utredningsarbetet har vi erfarit att det förekommer att ordningsstörande individer visat intresse av att delta i arrangemang mellan lag som de inte sammankopplats med enbart för att utföra ordningsstörande aktiviteter. Det måste därför, som redan nämnts, finnas en möjlighet för arrangören att, om det bedöms nödvändigt, få tillgång även till dessa individers personuppgifter från registret i de fall som de har tillträdesförbud.

5.9.3. Polisens och åklagarens behov av att behandla personuppgifter i tillträdesförbudsregistret

Polis och åklagares behov av att ta del av uppgifter om enskilda ser delvis annorlunda ut än idrottsarrangörernas. Detta beror främst på att arbetsuppgifterna skiljer sig åt men framför allt på att myndigheterna har rätt att ta del av personuppgifterna genom annan lagstiftning och från andra register, däribland misstanke-

Ds 2013:XX Överväganden och förslag

registret och belastningsregistret. I vårt uppdrag har uttryckligen angetts att polis och åklagares rätt att vid behov ta del av uppgifter i ett tillträdesförbudsregister ska säkerställas.

Vi har under utredningsarbetet inhämtat besked från Åklagarmyndigheten om att myndigheten, i förhållande till de ändamål som förslås i vårt lagförslag, inte har något egentligt behov av tillgång till personuppgifterna i registret. Myndigheten har inte någon faktisk del i det arbete som pågår i anslutning till att ett idrottsarrangemang anordnas. Uppgifterna i registret kommer dessutom som utgångspunkt att vara hämtade från Åklagarmyndighetens egna ärenderegister, Cåbra, till vilket åklagarna naturligtvis redan har tillgång. Enligt vår slutliga bedömning ska Åklagarmyndigheten inte omfattas av tillträdesförbudsregisterlagen.

Även polismyndigheterna har, som sagts, tillgång till personuppgifter hänförliga till tillträdesförbud genom andra register såsom belastningsregistret. Det registret är emellertid inte sökbart på det sätt som tillträdesförbudsregistret är tänkt att vara. Det är inte heller på ett enkelt sätt möjligt att sammanställa personuppgifter hänförliga till alla löpande tillträdesförbud som t.ex. specifikt omfattar en viss idrott eller idrottsorganisation. Polisens behov av att inför ett visst idrottsarrangemang veta hur många individer som har tillträdesförbud och vilka dessa är kan således endast svårligen hanteras inom de befintliga registren. Med hänsyn härtill och till intresset av att polismyndigheterna har uppgifter som omfattar de angivna ändamålen, liksom att de ofta medverkar i säkerhetsarbetet vid ett idrottsarrangemang, är det vår bedömning att de har ett behov av att behandla de uppgifter som vi föreslår ska få omfattas av tillträdesförbudsregistret.

Överväganden och förslag Ds 2013:XX

5.9.4. Riksidrottsförbundets behov av att behandla personuppgifter i tillträdesförbudsregistret

I den tidigare utredningen (SOU 2012:23) förslogs att bl.a. Riksidrottsförbundet skulle ges möjlighet att behandla personuppgifter med stöd av de särskilda författningsförslag som lämnades. Vi har under vårt utredningsarbete erfarit att Riksidrottsförbundet inte ansvarar för något idrottsarrangemang där lagen om tillträdesförbud aktualiseras.

Utifrån den snäva ändamålsbestämmelse som vi har valt att föreslå gör vi bedömningen att Riksidrottsförbundets uppgifter inte direkt omfattar att förebygga, förhindra eller upptäcka en överträdelse av ett tillträdesförbud oaktat att förbundet på andra sätt arbetar aktivt med att stävja idrottsanknuten brottslighet. Med hänsyn härtill och till att föreskrifterna i en särskild registerförfattning noga ska övervägas varvid integritetsaspekten ska ha särskild betydelse har vi gjort bedömningen att de saknar behov av att behandla personuppgifter med stöd av tillträdesförbudsregisterlagen. Vår bedömning är sammanfattningsvis att Riksidrottsförbundet inte ska ingå i den krets av aktörer som ska få behandla personuppgifter i tillträdesförbudsregistret med stöd av tillträdesförbudsregisterlagen.

5.10. Hur förhåller sig den föreslagna personuppgiftsbehandlingen till personuppgiftslagen?

Bedömning: Reglerna i personuppgiftslagen tillåter inte fullt

ut att idrottsorganisationer behandlar personuppgifter på sätt som dessa har behov av för att de ska kunna hindra personer som har meddelats ett tillträdesförbud från att komma in på en idrottsarena.

Skälen för bedömningen: I 10 § personuppgiftslagen finns en

uttömmande uppräkning av i vilka situationer som person-

Ds 2013:XX Överväganden och förslag

uppgifter får behandlas. Ett par av de uppräknade situationerna kan vara aktuella när det gäller den behandling som rör ett tillträdesförbudsregister. Personuppgifter får t.ex. behandlas om behandlingen är nödvändig för att en arbetsuppgift av allmänt intresse ska kunna utföras. Vidare får personuppgifter behandlas med stöd av en intresseavvägning. Intresseavvägningen innebär att behandlingen får utföras om den är nödvändig för att tillgodose ett berättigat intresse hos den personuppgiftsansvarige eller hos den till vilken uppgifterna lämnas och detta intresse väger tyngre än de registrerades intresse av skydd mot kränkning av den personliga integriteten.

Enligt 21 § personuppgiftslagen är det förbjudet för andra än myndigheter att behandla uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En uppgift om att någon har eller kan ha begått brott utgör en uppgift om lagöverträdelse, även om någon lagföring (ännu) inte har skett. Även en registrering av misstanke om brott är således förbjuden enligt denna bestämmelse. Beslut om tillträdesförbud grundar sig på att det finns risk för att personen i fråga kommer att begå brott. Vid bedömningen av om det finns sådan risk ska det särskilt beaktas om personen tidigare begått liknande brott; åklagarens beslut om tillträdesförbud ska innehålla bl.a. de skäl som bestämt utgången, däribland den brottslighet som åberopas vid riskbedömningen. Att en person har tillträdesförbud registreras i belastningsregistret. Den behandling som bl.a. en idrottsarrangör har behov av att utföra är som tidigare nämnts för att förebygga, förhindra eller upptäcka överträdelser av tillträdesförbud. Mot den bakgrunden är det vår bedömning att den behandling av uppgifter som idrottsklubbarna behöver utföra som utgångspunkt omfattar sådan behandling som inte är tillåten för annan än myndighet enligt 21 § personuppgiftslagen.

Av andra stycket nämnda lagrum framgår att regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om undantag från förbudet i första stycket, och av tredje stycket framgår att regeringen i enskilda fall får besluta om undantag

Överväganden och förslag Ds 2013:XX

från förbudet i första stycket samt att regeringen får överlåta åt tillsynsmyndigheten, dvs. Datainspektionen, att fatta sådana beslut. Varken regeringen eller Datainspektionen har fattat något sådant nu gällande beslut för den tänkta behandlingen.

16

Av 9 § personuppgiftsförordningen (1998:1191) framgår att Datainspektionen dels får meddela föreskrifter om undantag från förbudet i 21 § personuppgiftslagen för andra än myndigheter att behandla sådana uppgifter som avses i bestämmelsen, dels i enskilda fall får besluta om undantag från förbudet. I Datainspektionens föreskrifter om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. (se Datainspektionens författningssamling [DIFS 1998:3] framgår bl.a. att personuppgifter om lagöverträdelser får behandlas utan hinder av förbudet i 21 § personuppgiftslagen om behandlingen avser endast enstaka uppgift som är nödvändig för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras i ett enskilt fall. Den behandling som idrottsklubbarna med vårt förslag kommer att utföra är avsedd att vara regelbunden och till sin karaktär sådan att den inte kan anses avse endast enstaka uppgifter. Behandlingen omfattas därmed inte av något undantag i DIFS 1998:3. En förutsättning för att en idrottsarrangör redan idag ska kunna behandla personuppgifter om lagöverträdelser för avsett ändamål är således att Datainspektionen, eller regeringen, för varje enskild organisation efter ansökan beviljar undantag från förbudet i 21 § personuppgiftslagen eller föreskriver om undantag i en författning.

Sammanfattningsvis är det vår bedömning att hanteringsreglerna i personuppgiftslagen är tillämpliga på den föreslagna personuppgiftsbehandlingen. Den tänkta behandlingen får anses vara nödvändig för att en arbetsuppgift av allmänt intresse ska kunna utföras. Behandlingen av personuppgifter är dock inte förenlig med förbudet för andra än myndigheter att behandla uppgifter om lagöverträdelser. Slutsatsen är att den hantering av

16 Se dock Datainspektionens beslut den 30 maj 2011 som beskrivs under avsnitt 4.5.4. Det aktuella tillståndet löpte ut den 30 juni 2013.

Ds 2013:XX Överväganden och förslag

personuppgifter som en arrangör av ett idrottsarrangemang har ett behov av att behandla för att uppnå avsett syfte i princip inte är förenligt med 21 § personuppgiftslagen. En lagstiftning om ett tillträdesförbudsregister råder bot på detta.

Att i tillträdesförbudsregisterlagen uttryckligen ange att den lagen gäller utöver personuppgiftslagen innebär inte någon saklig skillnad gentemot vad som skulle gälla även utan en sådan bestämmelse. Det har dock som vi tidigare sagt ett pedagogiskt värde att i lagen klargöra hur lagen förhåller sig till personuppgiftslagen.

5.11. Vem ska föra och ansvara för ett tillträdesförbudsregister?

Förslag: Rikspolisstyrelsen ska föra tillträdesförbudsregistret.

Skälen för förslaget: I delbetänkandet Mindre våld för pengarna

(SOU 2012:23) bedömdes Riksidrottsförbundet vara mest lämpat att få ansvaret för det gemensamma registret enligt förslagets 18 § (s. 163). Mot detta riktades några kritiska röster. Kammarrätten i Göteborg har avstyrkt att Riksidrottsförbundet ska ansvara för ett nationellt register som innehåller enskildas lagöverträdelser bl.a. på grund av att Riksidrottsförbundet inte är en myndighet. Kammarrätten har bl.a. anfört att det, mot bakgrund av att det är fråga om integritetskänsliga uppgifter som även finns i belastningsregistret, är lämpligare att Rikspolisstyrelsen administrerar ett register med personuppgifter rörande personer som har meddelats tillträdesförbud. Även Justitiekanslern har ifrågasatt Riksidrottsförbundets lämplighet som registerförare med hänsyn till att ansvaret bör ligga på en myndighet och förordat Rikspolisstyrelsen, vilket även Statskontoret har gjort. Riksidrottsförbundet uttryckte för egen del en inte odelat positiv inställning.

Överväganden och förslag Ds 2013:XX

Som redan konstaterats kommer tillträdesförbudsregistret att innehålla en del känsliga personuppgifter och utgöra ett samlat register över samtliga meddelade tillträdesförbud i landet. Med hänsyn till de integritets- och säkerhetsaspekter som hanteringen kommer att rymma är det vår bedömning att det bör vara en myndighet som är registerförare. Vi har vid våra överväganden funnit att det framför allt är två myndigheter som kan vara aktuella som registerförare, nämligen Rikspolisstyrelsen och Åklagarmyndigheten.

Det som talar för Åklagarmyndigheten som registerförare är att det är åklagaren som beslutar om tillträdesförbud och därmed har omedelbar tillgång till de personuppgifter som ska ingå i ett register. Åklagarens beslut kan i och för sig överklagas till allmän domstol vilket har skett för tre av de 92 tillträdesförbud som utfärdades mellan den 1 januari-31 augusti 2013. Vid samråd med Åklagarmyndigheten har framkommit att myndigheten har begränsad erfarenhet av en roll med registerförande uppgifter utöver egna diarieföringssystem, och man är inte på samma sätt som Rikspolisstyrelsen ansvarig för något nationellt register idag. Åklagarmyndigheten har därför inte heller någon organisation uppbyggd för en sådan arbetsuppgift. Företrädare för Åklagarmyndigheten har själva uppgett att en registerförande roll är främmande från deras övriga verksamhet. Vi delar denna bedömning varvid även beaktas att Åklagarmyndigheten inte har något eget behov av tillgång till uppgifterna i registret (se avsnitt 5.9.3).

Att polisen har en allt mer framträdande roll när det gäller ärenden om tillträdesförbud och därmed har ett behov av tillgång till uppgifter ur ett register talar för att registeransvaret bör knytas till polisen, och då till Rikspolisstyrelsen. För att Rikspolisstyrelsen ska vara registerförare talar särskilt att styrelsen är en myndighet som har stor vana och kunskap att hantera register med uppgifter som de nu aktuella.

Ett meddelat tillträdesförbud medför att den enskilde registreras i belastningsregistret (se 3 § 5 p lagen [1998:620] om belastningsregister). Det är Rikspolisstyrelsen som är register-

Ds 2013:XX Överväganden och förslag

förare och personuppgiftsansvarig för personuppgiftsbehandlingen i belastningsregistret. Rikspolisstyrelsen ansvarar också för andra register med personuppgifter (se t.ex. misstankeregistret) och har en väl utbyggd organisation och erfarenhet för sådan verksamhet. Med hänsyn till vad vi konstaterat ovan om att tillträdesförbudsregistret främst har ett brottsförebyggande syfte kan förandet av registret, enligt vår bedömning, dessutom med fog anses falla inom Rikspolisstyrelsens kärnverksamhet. Vi anser därmed, till skillnad från vad som uttalades i Mindre våld för pengarna (SOU 2012:23 s. 164 f.), att det inte kan anses ”artfrämmande” för Rikspolisstyrelsen att föra registret.

Rikspolisstyrelsens uppgift som registerförare blir, utöver att utveckla tillträdesförbudsregistret rent tekniskt, att i första hand ta emot och sammanföra personuppgifter enligt tillträdesförbudsregisterlagens bestämmelse om vilka personuppgifter som får behandlas i registret och strukturera personuppgifterna för sökning och sammanställning. Hur personuppgiftsansvaret ska fördelas behandlas under avsnitt 5.13 nedan.

5.12. Tillgången till personuppgifter

Förslag: En ny sekretessbestämmelse införs i 35 kap. 4 §

offentlighets- och sekretesslagen. Bestämmelsen innebär att det ska gälla sekretess för personuppgift som har tillförts tillträdesförbudsregistret.

Idrottsorganisationer, specialidrottsförbund och polismyndigheter ska trots den föreslagna sekretessbestämmelsen ha rätt att ta del av personuppgifter i registret, om det behövs för att förebygga, förhindra eller upptäcka överträdelse av ett tillträdesförbud. En bestämmelse om detta tas in i tillträdesförbudsregisterlagen.

Överväganden och förslag Ds 2013:XX

Den lagen ska innehålla en bestämmelse som innebär att de som får ta del av uppgifter ur registret ska begränsa tillgången till personuppgifter till vad tjänstgörande säkerhetspersonal, varje tjänsteman eller handläggare har behov av för att kunna fullgöra sina arbetsuppgifter.

Skälen för förslaget: En del av de personuppgifter som vi har

föreslagit ska få finnas i tillträdesförbudsregistret är av belastningskaraktär och därmed mycket skyddsvärda, medan andra utgöras av tämligen harmlösa identitetsuppgifter. Samlat är dock uppgifterna om en registrerad person sådana att registeruppgifterna som helhet bör skyddas av sekretess. Ett sådant skydd av personuppgifterna i registret är också en del av integritetsskyddet. Vi föreslår därför att det införs en ny bestämmelse om sekretess i offentlighets- och sekretesslagen (2009:400) till skydd för den enskilde.

Sekretessbestämmelser till skydd för enskild finns i ett flertal kapitel under avdelning V i offentlighets- och sekretesslagen, däribland 35 kap., som reglerar sekretess till skydd för enskild i verksamhet som syftar till att förebygga eller beivra brott m.m. Sekretessen enligt 1 § skyddar enskilds personliga och ekonomiska förhållanden. Sekretessen omfattar bl.a. uppgifter i utredning enligt bestämmelserna om förundersökning i brottmål och annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, en polismyndighet m.fl. statliga myndigheter. Sekretessen gäller också uppgifter i register som förs av Rikspolisstyrelsen enligt polisdatalagen (1998:622) och misstankeregistret. Sekretessen gäller med det strängare skaderekvisitet, dvs. om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men.

Bestämmelser om sekretess för vissa andra register än de som nämnts finns i 35 kap. 3 och 4 §§. I 3 § regleras sekretessen för belastningsregistret. I 4 § regleras sekretessen för andra register angående brott m.m. Bestämmelserna i 4 § gäller i verksamhet

Ds 2013:XX Överväganden och förslag

som avser förande av eller uttag ur register, däribland register över strafföreläggande och föreläggande av ordningsbot samt vägtrafikregistret, såvitt gäller belastningsuppgifter. Sekretessen är absolut, dvs. det gäller inte något skaderekvisit som villkor för sekretessen.

Våra överväganden i frågan om var en sekretessbestämmelse till skydd för personuppgifter i tillträdesförbudsregistret lämpligen hör hemma har lett oss till att en sådan bestämmelse bör inordnas som en ny punkt i 35 kap. 4 §. Det bedömer vi som mest logiskt i förhållande till övriga register som omfattas av den bestämmelsen samt att sekretessen då blir absolut.

Vi föreslår att det införs en bestämmelse om att sekretess gäller för personuppgifter som har tillförts tillträdesförbudsregistret med stöd av tillträdesförbudsregisterlagen. Detta innebär att samtliga uppgifter i registret blir skyddade av sekretess så länge det för sig om personuppgifter, dvs. information som kan hänföras till en fysisk person som är i livet, medan t.ex. statistiska uppgifter och sammanställningar inte omfattas av sekretessen.

En konsekvens av sekretessbestämmelsen är att det måste införas en sekretessbrytande bestämmelse som ger idrottsarrangörerna och polismyndigheterna rätt att ta del av uppgifterna i registret. Detta är även en förutsättning för att dessa ska kunna medges direktåtkomst till registret, då bestämmelsen om direktåtkomst inte i sig kan anses få sekretessbrytande verkan. Till den som uppgifterna rör kan uppgifter lämnas ut med tillämpning av 12 kap. 1 § offentlighets- och sekretesslagen.

Vi föreslår därför en bestämmelse i tillträdesförbudsregisterlagen som anger till vem och i vilka fall som uppgifter får lämnas ut. Eftersom den sekretessbrytande bestämmelsen bl.a. ska möjliggöra direktåtkomst, måste prövningen göras innan direktåtkomsten beviljas.

I gengäld anser vi att bestämmelsen om tillgång till personuppgifter i registret bör kompletteras med en integritetsskyddande bestämmelse som innebär att de som har rätt att ta del av uppgifter ur registret ska begränsa tillgången till person-

Överväganden och förslag Ds 2013:XX

uppgifter till vad tjänstgörande säkerhetspersonal, varje tjänsteman eller handläggare har behov av för att kunna fullgöra sina arbetsuppgifter. Varje idrottsarrangör och polismyndighet som tar del av personuppgifter från registret är, som vi föreslår i nästa avsnitt, personuppgiftsansvarig för den behandling som de därmed utför. Därigenom uppnås ett integritetsskydd som bör stärkas ytterligare genom att tillgången till uppgifter sedan ska begränsas inom den organisation som har tagit del av uppgifterna.

5.13. Personuppgiftsansvar

Förslag: Idrottsorganisationer, specialidrottsförbund, Riks-

polisstyrelsen och polismyndigheter ska var och en vara personuppgiftsansvarig för den behandling av personuppgifter som var och en utför.

Idrottsorganisationer, specialidrottsförbund och polismyndigheter ska inte få utföra sådan behandling som enbart Rikspolisstyrelsen som registerförare får utföra, dvs. utföra sådan behandling som påverkar uppgifterna i registret.

Skälen för förslaget: Enligt personuppgiftslagen definieras den

personuppgiftsansvarige som den som ensam eller i förening med andra bestämmer ändamålen med och medlen för behandling av personuppgifter. Personuppgiftslagen innehåller också hanteringsregler som innebär skyldigheter för den som är ansvarig för den personuppgiftsbehandling som sker i en verksamhet. Enligt personuppgiftslagen har den personuppgiftsansvarige ett långtgående ansvar för att all behandling av personuppgifter sker i överensstämmelse med tillämpliga bestämmelser, t.ex. i fråga om vilka säkerhetsåtgärder som behöver vidtas. Den som har personuppgiftsansvar är också ansvarig för att registrerade uppgifter är korrekta. Det är till den

Ds 2013:XX Överväganden och förslag

personuppgiftsansvarige som den person som är registrerad kan vända sig för att t.ex. få ett utdrag från registret. I personuppgiftsansvarets konstruktion ligger dessutom att även underlåtenhet att vidta föreskrivna åtgärder omfattas, t.ex. underlåtenhet att genomföra den behandling som krävs för att lämna ett registerutdrag. Det är bara den personuppgiftsansvarige som kan göras skadeståndsansvarig för behandlingar som sker i strid mot bestämmelserna i personuppgiftslagen, även om andra har deltagit i en behandling. Av definitionen följer att personuppgiftsansvaret kan delas eller vara gemensamt för flera myndigheter eller organisationer. Som huvudregel kan enbart fysiska eller juridiska personer som har rättskapacitet vara personuppgiftsansvariga.

17

Som nyss sagts är det enligt personuppgiftslagen den personuppgiftsansvarige som bestämmer ändamålen med personuppgiftsbehandling. I de särskilda registerförfattningarna anges emellertid istället, som utgångspunkt, de tillåtna ändamålen med behandlingen.

18

Vi har i det föregående föreslagit att även till-

trädesförbudsregisterlagen ska ha en bestämmelse där de tillåtna ändamålen med behandlingen uttryckligen och i princip uttömmande anges (se avsnitt 5.6). Detta innebär att det inte kommer att vara den personuppgiftsansvarige som bestämmer ändamålen för behandlingen av personuppgifter enligt tillträdesförbudsregisterlagen.

Enligt definitionerna i personuppgiftslagen avgörs vem som är personuppgiftsansvarig för en viss behandling efter en bedömning av de faktiska omständigheterna i det enskilda fallet. Lagstiftaren kan emellertid istället välja att genom lag eller förordning bestämma vem som är personuppgiftsansvarig. I registerförfattningar finns det därför ofta bestämmelser i vilka det tydligt pekas ut vem, eller vilka, som är personuppgiftsansvariga för den behandling av uppgifter som regleras i respektive författning. En sådan bestämmelse tar då över

17 Se Öman och Lindblom, Personuppgiftslagen (den 11 september 2013, Zeteo), kommentaren till 3 §. 18 Öman, Särskilda registerförfattningar, Festskrift till Peter Seipel, 2006, s. 697.

Överväganden och förslag Ds 2013:XX

regleringen i personuppgiftslagen. Ett sådant utpekande gör personuppgiftsansvaret tydligare. En sådan ordning har därför ansetts lämpligt från integritetssynpunkt. Att, som vi föreslår, ändamålen tydligt lagregleras medför att det även är lämpligt med ett uttryckligt utpekande av personuppgiftsansvaret. Eftersom det inte heller bedöms finnas några egentliga nackdelar med att särskilt ange vem som är personuppgiftsansvarig, bör en bestämmelse om detta tas in i lagen.

I frågan om hur personuppgiftsansvaret ska fördelas när det gäller personuppgiftsbehandlingen i ett tillträdesförbudsregister gör vi följande bedömning. Vår uppfattning är att den som råder över den faktiska behandlingen av personuppgifter också ska ha ansvaret för behandlingen. På myndighetsområdet är då utgångspunkten att varje myndighet inom en myndighetsstruktur anges som ansvarig för den personuppgiftsbehandling som den utför. En annan modell, som tillämpas, är att en överordnad myndighet är personuppgiftsansvarig för den behandling som sker gemensamt för myndigheterna i en myndighetsstruktur.

De flesta registerförfattningar avser personuppgiftsbehandling inom en myndighets verksamhet eller inom en myndighetsstruktur och inte, såsom vi har tänkt här, personuppgiftsbehandling av skilda myndigheter och enskilda aktörer. En sådan modell förutsätter särskilda överväganden och lösningar. Avgörande för vilken modell som är mest lämplig bör emellertid vara det som ger det bästa integritetsskyddet och som samtidigt möjliggör för den personuppgiftsansvarige att utöva den kontroll och det inflytande som personuppgiftsansvaret kräver.

Baserat på den genomgång vi gjort av skilda aspekter på personuppgiftsansvaret ska med beaktande av vad som framkommit vid våra kontakter med berörda myndigheter och idrottsorganisationer samt utifrån vad remissinstanserna till den tidigare utredningen (SOU 2012:23) uppgett har vi stannat vid att det i huvudsak finns två möjliga alternativ. Det ena alternativet är att Rikspolisstyrelsen ensam bär personuppgiftsansvaret för all den behandling av personuppgifter som sker med stöd av tillträdesförbudsregisterlagen och att övriga aktörer

Ds 2013:XX Överväganden och förslag

(polismyndigheterna och idrottsarrangörer) enbart får behandla personuppgifterna i enlighet med instruktioner från Rikspolisstyrelsen, dvs. att övriga är att likna vid personuppgiftsbiträden. Den andra modellen är att samtliga myndigheter och idrottsarrangörer som får behandla personuppgifter med stöd av lagen är personuppgiftsansvariga för den behandling som var och en utför.

Bestämmelser till skydd för den personliga integriteten vid personuppgiftsbehandling ställer höga krav på den personuppgiftsansvarige och dennes system samt förutsätter att den personuppgiftsansvarige har faktiska möjligheter att leva upp till kraven i bestämmelserna. Utan sådana faktiska möjligheter för den personuppgiftsansvarige får bestämmelserna rent praktiskt en begränsad betydelse för skyddet för den personliga integriteten.

Det som kan tala för den förstnämnda ordningen är att Rikspolisstyrelsen möjligen får anses ha bäst förutsättningar för att leva upp till de krav som ställs på en personuppgiftsansvarig när det gäller skyddet för den personliga integriteten och då särskilt i fråga om säkerheten vid personuppgiftsbehandling (30 och 31 §§ samt 32 § första stycket personuppgiftslagen). Det kan antas att detta inte är fullt så enkelt, i vart fall initialt, för flera av idrottsaktörerna. Vi har dock under utredningen förstått att specialidrottsförbunden och Riksidrottsförbundet lägger stor kraft på att sprida kunskap och stötta sina medlemmar även i sådana frågor. För den enskilde kan det dessutom vara till fördel med en bestämmelse om ett ensamt personuppgiftsansvar eftersom det minskar risken för att det i efterhand blir svårt att avgöra vem av flera möjliga som faktiskt har utfört en viss behandling. Samtidigt så är behovet hos t.ex. idrottsarrangörerna, som ska använda registret, sådant att de inte enbart kan anses behandla personuppgifter för en annan personuppgiftsansvariges, dvs. Rikspolisstyrelsens, räkning såsom rollen som personuppgiftsbiträde innebär.

Den enskildes möjligheter att på ett okomplicerat och smidigt sätt göra personuppgiftsansvaret gällande är en viktig del av det

Överväganden och förslag Ds 2013:XX

integritetsskydd som personuppgiftslagen syftar till att säkerställa. Det finns emellertid uppenbara svagheter med att låta en myndighet vara ansvarig för personuppgiftsbehandling som äger rum hos andra aktörer, och det utanför myndighetens faktiska kontroll. I praktiken kan det komma bli svårt för Rikspolisstyrelsen att utöva den kontroll och det inflytande som personuppgiftsansvaret kräver. Bland annat när det gäller kontrollen över säkerheten när idrottsarrangörerna behandlar personuppgifter från registret. Åtkomsten till uppgifter får ske elektroniskt och samma uppgifter kan då behandlas av såväl av idrottsarrangören som av Rikspolisstyrelsen. Vår uppfattning är att det kan antas följa en större medvetenhet och omsorg om hur uppgifterna behandlas om man rent faktiskt är ansvarig för behandlingen och att behandlingen inte strider mot lag.

I och med att ramen för tillåten personuppgiftsbehandling enligt vårt förslag sätts av lagstiftaren genom ändamålsbestämmelsen, istället för att de övergripande ändamålen bestäms av berörda myndigheter eller idrottsaktörer, kan man hävda att om en ensam myndighet bär hela ansvaret för all personuppgiftshantering så ger detta faktiskt ett sämre integritetsskydd. Vår avsikt är därför att själva behandlingen ska vara avgörande för personuppgiftsansvaret. Därmed blir varje myndighet eller organisation som får rätt att behandla personuppgifter enligt lagen också ansvarig för den behandling som var och en utför. Dock anser vi att det bör införas begränsningar i vilken behandling av personuppgifter som idrottsarrangörerna och de enskilda polismyndigheterna får utföra.

5.13.1. Vilken behandling ska de olika personuppgiftsansvariga få utföra?

Tillträdesförbudsregistret kan förväntas bli ett litet register. Per den 1 november 2013 fanns det 115 gällande tillträdesförbud. Polismyndigheterna, idrottsorganisationerna och specialidrotts-

Ds 2013:XX Överväganden och förslag

förbunden ska inte få utföra sådan behandling som enbart Rikspolisstyrelsen som registerförare får utföra.

Med hänsyn till att registret förs av Rikspolisstyrelsen som erhåller uppgifter från polismyndigheterna och Åklagarmyndigheten samt i viss mån, när det gäller befintliga fotografier, inhämtar dessa från andra register som styrelsen för, är det vår uppfattning att viss typ av behandling endast ska få utföras av registerföraren. Enskilda idrottsarrangörer och polismyndigheter har inte tillgång till uppgifter och fattar inte beslut om tillträdesförbud varför det, enligt vår bedömning, är olämpligt att dessa ska kunna utföra behandling som innebär att uppgifterna i registret läggs till eller ändras i något avseende.

I 3 § personuppgiftslagen anges att behandling av personuppgifter enligt den lagen innebär varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter såsom exempelvis insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande, spridning, tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Kort sagt det mesta som kan göras med en personuppgift.

Vår uppfattning är att de flesta av dessa behandlingsformer enbart ska få utföras av registerföraren. Rikspolisstyrelsen kommer därmed också att bli ansvarig för att uppgifter som härrör från annat håll och som förs in i registret är korrekta. Denna ordning är inte unik utan finns på andra områden t.ex. i fråga om belastningsregistret. Däremot kommer övriga som också har ett personuppgiftsansvar att vara ansvariga när de behandlar en specifik personuppgift från registret och att den behandlingen sker på ett sätt som inte strider mot lagstiftningen.

Tanken är med vårt förslag är att det är Rikspolisstyrelsen som fullt ut ansvarar för uppgifterna som förs in i registret, eftersom det enbart är Rikspolisstyrelsen som ska registrera personuppgifter i registret. Det är därtill enbart Rikspolisstyrelsen som kommer att kunna utföra ändringar, rättelser etc. i registret. Den behandling som en idrottsarrangör, och för den delen också en polismyndighet, ska få utföra bör enligt vår

Överväganden och förslag Ds 2013:XX

uppfattning omfatta det som behöver göras för att arrangören ska kunna använda uppgifterna för de ändamål som anges i 4 § i lagförslaget. Detta innebär att arrangören bl.a. får inhämta, använda, sortera och sammanställa personuppgifterna men inte registrera, ändra, förstöra etc. personuppgifterna, dvs. påverka uppgifterna i registret.

5.14. Utlämnande av personuppgifter

Bedömning: Arbetet med att förebygga, förhindra eller upp-

täcka en överträdelse av ett tillträdesförbud underlättas och effektiviseras om idrottsarrangörerna och polismyndigheterna får tillgång till personuppgifterna i registret genom elektroniskt utlämnande. Idrottsarrangörerna och polismyndigheterna ska därför kunna få direktåtkomst till uppgifter i ett tillträdesförbudsregister.

Förslag: Lagen ska reglera hur personuppgifter från registret

får lämnas ut till idrottsarrangörer och polismyndigheter i elektronisk form.

5.14.1. Idrottsarrangörernas behov av elektronisk åtkomst

Det är i huvudsak främst för att tillgodose idrottsarrangörernas behov av tillgång till personuppgifter kopplade till individer som har meddelats tillträdesförbud som ett tillträdesförbudsregister bör skapas. Polismyndigheterna och Åklagarmyndigheten har som redan anförts i princip tillgång till samtliga dessa uppgifter, om än från andra register, i andra sammanställningar och på annat sätt. Det hade helt enkelt inte funnits något påtagligt behov som hade kunnat motivera ett register över tillträdesförbud om inte idrottsarrangörerna medges tillgång till uppgifterna i registret. Med detta som utgångspunkt är det upp-

Ds 2013:XX Överväganden och förslag

enbart att idrottsarrangörerna måste få tillgång till uppgifterna på ett sätt som underlättar och effektiviserar deras arbete med att hindra personer med tillträdesförbud från att komma in på ett idrottsarrangemang. Motsvarande tillgång främjar också polisens arbete på området. De integritetsrisker som kan finnas måste dock vägas in när bestämmelserna utformas.

De olika idrottsarrangörerna kommer att ha delvis olika behov av tillgång till personuppgifter ur ett tillträdesförbudsregister beroende bl.a. på om det är fråga om ett idrottsslag eller idrottsorganisation där det förekommer personer som har meddelats tillträdesförbud eller inte. I de allra flesta idrotter förekommer inte några tillträdesförbud och därmed inte heller något behov av tillgång till uppgifter. Vissa idrottsorganisationer har inte egna supportrar med tillträdesförbud men möter regelbundet andra klubbar som har supportrar som har meddelats tillträdesförbud. Andra arrangörer kommer fortlöpande inför varje arrangemang att behöva behandla uppgifter från ett tillträdesförbudsregister. Med hänsyn till hur besluten om tillträdesförbud är utformade i fråga om vilka arrangemang som omfattas av ett förbud kommer alla idrottsarrangörer (i vissa serier) inom fotboll och ishockey att ha ett behov av att kunna få tillgång till uppgifter från ett tillträdesförbudsregister.

En ordning som innebär att tillgången till uppgifterna i huvudsak skulle ske genom manuell behandling skapar praktiska problem, särskilt som många idrottsarrangemang oftast äger rum på kvällar eller under veckoslut. Uppgifterna som en idrottsarrangör behöver ha tillgång till måste därför vara lättillgänglig även utanför vanlig kontorstid. För de fall som idrottsarrangören inte skulle medges elektronisk tillgång till registret kan arrangören tvingas avstå från att begära ut uppgifterna då en fördröjning gör att det inte längre är ändamålsenligt att få tillgång till dem. Elektronisk tillgång till ett tillträdesförbudsregister är således inte bara ett enkelt och arbetsbesparande sätt att lämna ut information på utan ibland det enda i praktiken möjliga sättet att göra uppgifterna tillgängliga när de behövs. En tillträdesförbudsregisterlag bör således möjliggöra detta.

Överväganden och förslag Ds 2013:XX

5.14.2. Elektroniska utlämnandeformer

Personuppgifter kan lämnas ut på olika sätt; muntligen, i pappersform eller i elektronisk form. Att personuppgifter utlämnas innebär att de lämnas ut till eller görs tillgängliga för en extern mottagare. Personuppgiftslagen innehåller inte några särskilda bestämmelser som reglerar om eller under vilka förutsättningar uppgifter får lämnas ut i elektronisk form istället för på papper. I lagen ställs det däremot krav på att behandlingen ska vara tillräckligt säker i förhållande till hur integritetskänsliga uppgifterna som ska utlämnas är. Av 31 § nämnda lag följer nämligen att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av bl.a. de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna och de särskilda risker som finns med behandlingen av personuppgifter. Bestämmelsen kommer att vara tillämplig på tillträdesförbudsregistret. Det ställs även andra krav i lagen som anses innebära begränsningar i möjligheten att lämna ut uppgifter. Dessa begränsningar finns särskilt i 9 § första stycket d), e) och f) personuppgiftslagen som anger att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlade in, att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen samt att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen.

Flertalet registerförfattningar innehåller bestämmelser där det framgår både i vilken utsträckning som personuppgifter får behandlas genom att utlämnas och när utlämnande får göras i elektronisk form. Motivet för sådan särreglering av sättet eller den särskilda tekniken för utlämnandet är att själva den elektroniska formen anses kunna medföra risker för otillbörliga integritetsintrång (prop. 2007/08:126 s. 73). I regel innebär elektroniskt utlämnande i någon form nämligen att mottagaren

Ds 2013:XX Överväganden och förslag

efter utlämnandet har större möjligheter att bearbeta och sprida informationen än om utlämnandet skett i pappersform (prop. 2011/12:45 s. 97). De elektroniska utlämnandeformerna saknar legala definitioner och inrymmer i sig ett stort antal variationer såsom användning av e-post, direktöverföring mellan elektroniska informationssystem via kommunikationsnät eller genom att mottagaren själv ges möjlighet att bereda sig elektronisk tillgång till den utlämnande aktörens databas eller register. De termer som ofta används i lagstiftningssammanhang för elektroniskt utlämnande är utlämnande på medium för automatiserad behandling och direktåtkomst (SOU 2012:90 s. 82 f.).

Begrepp som utlämnande på medium för automatiserad behandling och direktåtkomst har över tid och i olika registerförfattningar getts delvis olika innebörd. Den tekniska utvecklingen har lett till att skillnaderna mellan direktåtkomst och annat elektroniskt utlämnande minskat och att det kan vara svårt att dra en gräns mellan de olika utlämnandeformerna. En översyn av registerlagstiftningen med bl.a. beaktande av om det finns anledning att bibehålla åtskillnaden mellan olika former av elektroniskt utlämnande har, som redan nämnts, tillsatts av regeringen (dir. 2011:86). Regeringen har i andra lagstiftningssammanhang uttryckt att mycket står att vinna med en mer enhetlig och tydlig begreppsbildning, men att den frågan inte bör lösas inom ramen för det enskilda lagstiftningsärendet (se t.ex. prop. 2007/08:160 s. 58). De författningsförslag som vi lämnar har därför som utgångspunkt att inte frångå den begreppsbildning som för närvarande får anses gälla inom registerförfattningsområdet.

5.14.3. Direktåtkomst

Förslag: Idrottsorganisationer, specialidrottsförbund och

polismyndigheter ska kunna medges direktåtkomst till personuppgifter i tillträdesförbudsregistret. Hos en idrotts-

Överväganden och förslag Ds 2013:XX

organisation och ett specialidrottsförbund ska behörigheten till direktåtkomst begränsas till personer med ansvar för säkerhetsfrågor.

Skälen för förslaget: Med direktåtkomst avses i regel att någon

utomstående har direkt tillgång till någon annans register eller databas och på egen hand kan göra sökningar, sammanställningar eller på annat sätt ta del av uppgifterna, dock utan att själv kunna påverka innehållet i registret eller databasen. I begreppet ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Den aktör som lämnar ut uppgifter genom direktåtkomst fattar således inte beslut om utlämnande av uppgifter i varje enskilt fall. I stället måste en förhandsprövning göras av allt utlämnande som kan komma att ske genom direktåtkomst. Den faktiska begränsningen av direktåtkomsten görs sedan med hjälp av olika tekniska lösningar beroende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet, exempelvis genom olika behörighetsnivåer. Från integritetsskyddssynpunkt har det med hänsyn till det nu anförda ansetts vara av stor betydelse att särskilt reglera frågor om tillgång till uppgifterna genom direktåtkomst i registerlagstiftningarna (se t.ex. prop. 2007/08:160 s. 57 f. och prop. 2009/10:85 s. 168).

Vi har i avsnitt 5.14.1 beskrivit idrottsarrangörernas behov av att personuppgifter utlämnas elektroniskt och stannat vid att tillträdesförbudsregisterlagen bör möjliggöra sådant utlämnande. Frågan om detta utlämnande ska få ske genom direktåtkomst får avgöras efter en avvägning mellan nyttan med direkåtkomst för arrangörerna och motstående integritetsintressen. Vid en sådan avvägning väger enligt vår uppfattning de effektivitetsvinster som direktåtkomst skulle medföra över till fördel för att detta ska tillåtas.

Bestämmelser om elektroniskt utlämnande i form av direktåtkomst har inte en enhetlig utformning utan förekommer i

Ds 2013:XX Överväganden och förslag

olika varianter som författningstekniskt skiljer sig från varandra. Grovt sett kan det sägas finnas tre kategorier (SOU 2012:90 s. 200 f.). Den första kategorin är registerförfattningar vari direktåtkomsten begränsas genom att där anges att utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. Ett exempel är 5 kap. 4 § patientdatalagen (2008:355). I andra registerförfattningar föreskrivs i vilka konkreta fall direktåtkomst får medges, se t.ex. 2 kap. 8 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet vari det anges bl.a. att Kronofogdemyndigheten får ha direktåtkomst till vissa i bestämmelsen angivna uppgifter. En tredje kategori är registerförfattningar som innefattar en beskrivning i vilka fall direktåtkomst inte får medges.

Med hänsyn till att fråga är om enskilda subjekt som ska kunna medges direktåtkomst till personuppgifter av belastningskaraktär har vi stannat vid att föreslå att det i tillträdesförbudsregisterlagen uttryckligen ska anges vilka som får medges direktåtkomst till uppgifterna i registret.

Vid den avvägning som vi har gjort i fråga om att möjliggöra direktåtkomst har vi beaktat att personuppgifterna i tillträdesförbudsregistret är begränsade till antal och i lagen preciserade. För att ändock minska risken för otillbörligt integritetsintrång föreslår vi att bestämmelsen om att medge vissa aktörer direktåtkomst kompletteras med en bestämmelse om behörigheten till direktåtkomst ska begränsas för idrottsorganisationerna och specialidrottsförbunden till att endast avse personer med ansvar för säkerhetsfrågor. Vi har under utredningen erfarit att alla idrottsarrangörer som är aktuella har en tillräckligt tydlig organisationsstruktur för att detta ska vara en bra lösning.

Överväganden och förslag Ds 2013:XX

5.14.4. Utlämnande på medium för automatiserad behandling

Förslag: I de fall som personuppgifter får lämnas ut, får det

ske på medium för automatiserad behandling.

Skälen för förslaget: Med begreppet utlämnande på medium för

automatiserad behandling avses en annan form av elektroniskt utlämnande än direktåtkomst. Vanligen att elektronisk information överförs via e-post, genom utlämnande av uppgifter på cdrom, DVD eller USB-minne (se t.ex. prop. 2011/12:45 s. 96). Denna form av utlämnande innebär som regel att informationen lämnas ut i elektronisk form på ett sådant sätt att mottagaren kan bearbeta informationen (a. prop. s. 97).

När det gäller regler om möjligheterna till utlämnande på medium för automatiserad behandling hanteras detta på olika sätt i olika registerförfattningar. I vissa författningar är det uttryckligen reglerat att utlämnande får göras i denna form, se t.ex. 5 kap. 6 § patientdatalagen (2008:355). I andra författningar har frågan lämnats oreglerad medan det av motivuttalanden framgår att avsikten är att sådant utlämnande ska få ske, se t.ex. prop. 2000/01:33 s. 112 beträffande utlämnande av uppgifter från beskattningsdatabasen till andra myndigheter. Det förekommer också registerförfattningar som uttryckligen undantar möjligheten att lämna ut personuppgifter på medium för automatiserad behandling, se t.ex. 7 § lagen (2006:444) om passageraruppgifter.

Även om direktåtkomst får betraktas som den mest känsliga formen av elektroniskt utlämnande kan i vissa fall likartade risker föreligga vid andra former av elektroniskt utlämnande. Med tanke på att uppgifterna i tillträdesförbudsregistret kommer att kunna lämnas ut till enskilda idrottsarrangörer anser vi att det finnas anledning att särskilt reglera denna utlämnandeform. Det har visserligen i tidigare lagstiftningsärenden uttalats att en författningsmässig rätt till direktåtkomst även omfattar rätten att få uppgifterna på medium för automatiserad behandling eller

Ds 2013:XX Överväganden och förslag

på papper (se prop. 2007/08:160 s. 59 och E-delegationens rapport Direktåtkomst och utlämnande på medium för automatiserad behandling s. 9). När de rättsliga förutsättningarna finns får således den utlämnande aktören välja metod för utlämnande. Detta eftersom utlämnande på medium för automatiserad behandling utgör en form av behandling av personuppgifter enligt 3 § personuppgiftslagen och är som sådan tillåten under förutsättning att utlämnandet inte är oförenligt med det ändamål för vilket uppgifterna samlades in. Personuppgiftslagen innehåller som angetts inte någon bestämmelse som tar sikte på formen för utlämnandet. Med tanke på att enskilda organisationer kommer att kunna ta del av uppgifterna genom elektroniskt utlämnande och de särskilda möjligheter att bearbeta utlämnad information som följer vid all elektroniskt utlämnande, anser vi emellertid utifrån en integritetsaspekt att det finns anledning att särskilt reglera även denna utlämnandeform. Härtill kommer att begreppen har fått delvis olika betydelse i olika registerförfattningar och att olika lagstiftningstekniker har valts varför tillträdesförbudsregisterlagen, enligt vår uppfattning, blir tydligare om det medtas en uttrycklig bestämmelse som medger att ett utlämnande på medium för automatiserad behandling är tillåtet.

5.15. Bevarande och gallring

Förslag: Personuppgifterna i tillträdesförbudsregistret ska

gallras när dessa inte längre behövs för de ändamål som anges i 4 § 1 i lagen, dock senast när tillträdesförbudets giltighetstid har löpt ut eller om tillträdesförbudet dessförinnan har upphävts.

Skälen för förslaget: Från integritetssynpunkt är det viktigt att

personuppgifter inte behandlas och bevaras längre än nödvändigt och att det finns bestämmelser om längsta tid för bevarande.

Överväganden och förslag Ds 2013:XX

Vårt förslag till gallringsbestämmelse innebär att personuppgifterna i tillträdesförbudsregistret ska gallras när de inte längre behövs för ändamålet att förebygga, förhindra eller upptäcka överträdelse av ett tillträdesförbud. Detta sammanfaller som utgångspunkt med att ett tillträdesförbuds giltighetstid löper ut eller att tillträdesförbudet har upphävts.

När det gäller personuppgifterna i tillträdesförbudsregistret är behovet av att behandla dem efter att ett tillträdesförbud har löpt ut eller av annan anledning inte längre gäller, begränsat. Vi har övervägt i vilken mån som personuppgifterna i registret bör finnas kvar i registret ytterligare ett tag och t.ex. gallras först två år efter utgången av tillträdesförbudets giltighet. Med hänsyn till hur vi har valt att utforma ändamålsbestämmelsen har vi emellertid funnit att det inte finns skäl att låta personuppgifterna finnas kvar i registret en tid efter det att tillträdesförbudet har slutat gälla. Uppgifterna kan ju inte längre användas för att förebygga, förhindra eller upptäcka en överträdelse av ett tillträdesförbud, eftersom det helt enkelt inte löper något sådant längre.

För polisen finns uppgifter om tillträdesförbud tillgängliga i belastningsregistret med en gallringsfrist på fem år efter beslutet.

5.16. Tystnadsplikt

Förslag: Tystnadsplikt ska gälla för uppgift om enskilds

personliga förhållanden som inhämtats med stöd av tillträdesförbudsregisterlagen.

I det allmännas verksamhet ska i stället bestämmelserna i offentlighets- och sekretesslagen tillämpas.

Skälen för förslaget: Personuppgifterna som får registreras i

tillträdesförbudsregisterlagen kommer att behandlas av personer som är anställda eller på annat sätt knutna till enskilda idrottsarrangörer, dvs. personer som befinner sig utanför myn-

Ds 2013:XX Överväganden och förslag

dighetssfären. Med hänsyn till att det i registret kommer att förekomma personuppgifter som inte bör spridas föreslår vi därför att det införs en bestämmelse i lagen som innebär att den som kommer i kontakt med personuppgifter i tillträdesförbudsregistret har tystnadsplikt för vad man får reda på i fråga om enskilds personliga förhållanden. Uppgifterna ska inte obehörigen få röjas. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. I 20 kap. 3 § brottsbalken framgår att den som röjer en uppgift som man enligt lag är pliktig att hemlighålla döms för brott mot tystnadsplikt till böter eller fängelse i högst ett år.

När det gäller anställda vid t.ex. polismyndigheterna ska istället offentlighets- och sekretesslagen tillämpas.

5.17. Hur ska behovet av fotografi i registret regleras?

Förslag: I tillträdesförbudslagen ska införas en bestämmelse

om att polismyndighet får fotografera en person som kan antas bli föremål för tillträdesförbud.

I passförordningen och i förordningen om nationella identitetskort införs bestämmelser om att fotografisk bild av enskild som finns i passregistret och i identitetskortsregistret vid behov ska lämnas ut för att registreras i tillträdesförbudsregistret.

Skälen för förslaget: Som tidigare sagts föreligger det ett sam-

stämmigt önskemål om att ett register över meddelade tillträdesförbud ska innehålla uppgifter för igenkänning och säker identifiering. En praktiskt sett mycket relevant uppgift är därför att en fotografisk bild av den enskilde registreras i ett sådant register. Att få fram ett fotografi i form av en ansiktsbild kan ske på olika sätt. Antingen genom att polisen i samband med utredning om

Överväganden och förslag Ds 2013:XX

tillträdesförbud tar ett fotografi av den aktuella personen, eller genom att ett fotografi hämtas från något av de befintliga statliga register som innehåller sådana bilder, exempelvis vägtrafikregistret eller det centrala passregistret. Fotografier av enskilda finns också i det centrala registret för nationella identitetskort.

Från polis- och åklagarhåll har framhållits betydelsen av att ett fotografi är så nytaget, dvs. så välliknande, som möjligt för att bäst kunna användas för avsett ändamål. De är därför många gånger lämpligt att den enskilde fotograferas av polisen under utredningen i ett ärende om tillträdesförbud. Som beskrivits i avsnitt 4.3 bedrivs tillträdesförbudsärenden antingen i samband med en brottsutredning eller som ett fristående ärende om tillträdesförbud. Oavsett i vilken form ärendet bedrivs är utgångspunkten att polisen alltid sammanträffar med den enskilde i något läge; antingen vid förhör direkt i anslutning till händelsen som föranleder en anmälan, eller under förhör i ett senare skede av utredningen. Vår bedömning är att i de fall som det är möjligt och lämpligt för polisen att fotografera den enskilde under utredningen om tillträdesförbud så bör det ske. Vi förslår därför att en bestämmelse om detta införs i tillträdesförbudslagen. I de fall som förhållandena är sådana att det inte är möjligt eller lämpligt för polisen att fotografera den enskilde bör ett befintligt fotografi istället inhämtas från något statligt register med fotografier.

Som nyss sagts är vägtrafikregistret ett register med fotografier. Enligt 5 § lagen (2001:558) om vägtrafikregister är ändamålet med registret – för vilket Transportstyrelsen är registreringsmyndighet – att tillhandahålla uppgifter för verksamhet för vilken bl.a. staten eller en kommun författningsenligt ansvarar i fråga om bl.a. fordonsägare och körkortsinnehavare. Ett annat ändamål är att tillhandahålla uppgifter för bl.a. trafiksäkerhetsändamål och för att utreda trafikbrott i samband med automatisk trafiksäkerhetskontroll med hjälp av kameraövervakning. I 4 kap. 13 § förordningen (2001:650) om vägtrafikregister anges att uppgift i registret i form av fotografisk

Ds 2013:XX Överväganden och förslag

bild av enskild på begäran ska lämnas ut till bl.a. Rikspolisstyrelsen och polismyndighet. Med tanke på vägtrafikregistrets ändamål gör vi bedömningen att inte är lämpligt eller ens möjligt att det registret utan vidare ska tillhandahålla fotografier till ett register över tillträdesförbud. Detta i synnerhet när det kan finnas andra, mer närmare till hands liggande alternativ.

Ett annat register med fotografier är passregistret. Enligt 23 § första stycket passförordningen (1979:664) ska Rikspolisstyrelsen föra ett centralt passregister. Uppgifter förs in i registret av Rikspolisstyrelsen och passmyndigheterna, dvs. polismyndigheterna (2 § passlagen [1978:302]). Registret förs med stöd av personuppgiftslagen (1998:204). Ändamålet med registret är att tillhandahålla uppgifter som behövs bl.a. för att utfärda pass, för att kontrollera vilka personer som innehar pass, för att hindra att någon innehar mer än ett pass samt för identifieringskontroll i polisens verksamhet (se Ds 2007:43 s. 609). Enligt andra stycket i nämnda paragraf ska Rikspolisstyrelsen på begäran lämna ut uppgift i form av fotografisk bild av enskild från passregistret till bl.a. polismyndighet. År 2012 utfärdades nästan 1,5 miljoner pass i Sverige.

Det tredje registret med fotografier, som har stora likheter med passregistret, är det centrala registret för nationella identitetskort (identitetskortsregistret). Bestämmelser om registret finns i förordningen (2005:661) om nationellt identitetskort. Registret förs av Rikspolisstyrelsen som är personuppgiftsansvarig. Det har till ändamål att ge information om sådana uppgifter som behövs hos en passmyndighet för utfärdande av nationellt identitetskort. År 2012 utfärdades cirka 170 000 nationella identitetskort.

Passregistret och identitetskortsregistret innehåller sammanlagt omkring 6,5 miljoner personregistreringar.

För uppgifter om fotografisk bild av den enskilde i passregistret och identitetskortsregistret gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men (22 kap. 1 §

Överväganden och förslag Ds 2013:XX

offentlighets- och sekretesslagen jämfört med 6 § offentlighets- och sekretessförordningen [2009:641]).

Oavsett sekretessregleringen är det vår uppfattning att såväl passregistret som identitetskortsregistret skulle kunna vara en lämplig källa från vilken fotografier i form av ansiktsbilder hämtas till ett tillträdesförbudsregister. Vi bedömer dock att detta inte utan vidare är rättsligt möjligt ens om Rikspolisstyrelsen, utöver dessa två register, även blir ansvarig för registret över tillträdesförbud. För Rikspolisstyrelsen handlar det om två helt skilda verksamheter. Bestämmelsen om utlämnande av passbilder i passförordningen tar sikte på ett utlämnande till däri angivna myndigheter. Något uttryckligt ändamål för utlämnandet anges inte i bestämmelsen, men en rimlig tolkning är att ett utlämnande av passbilder måste ligga inom ramen för passregistrets ändamål. Det kan därför ifrågasättas om den bestämmelsen medger att fotografierna lämnas ut för att läggas in i tillträdesförbudsregistret. Ett sådant arrangemang skulle dessutom komma att innebära att uppgifterna används för ett helt annat ändamål än det som uppgifterna insamlades för, något som skulle kunna stå i konflikt med finalitetsprincipen i 9 § d) personuppgiftslagen.

Med hänsyn till det starka intresset av att det finns fotografier i tillträdesförbudsregistret gör vi bedömningen att tillgången till fotografier från passregistret och identitetskortsregistret för nu aktuellt ändamål utgör en berättigad och allmänt godtagbar angelägenhet, förutsatt att saken ges en ändamålsenlig reglering. För denna ståndpunkt talar också att det kommer att röra sig om ett relativt sett begränsat antal fotografier som lämnas ut, sannolikt totalt högst något färre än hundra årligen. Dessutom utgör bilderna skäligen harmlösa personuppgifter.

För att kunna tillhandahålla passfotografier eller fotografier från identitetskortsregistret till ett tillträdesförbudsregister krävs författningsstöd. Med hänsyn till att de nuvarande bestämmelserna om utlämnande av fotografier från dessa register regleras på förordningsnivå, bedömer vi att även den författningsreglering som nu behövs sker i förordning, och då i pass-

Ds 2013:XX Överväganden och förslag

förordningen och i förordningen om nationellt identitetskort. En sådan reglering kommer samtidigt att gälla utan att begränsas av finalitetsprincipen i personuppgiftslagen. Ges Rikspolisstyrelsen en författningsenlig rätt att hämta uppgifter ur dessa register kan det – om sekretessen bedöms gälla i förhållandet mellan de aktuella, skilda verksamheterna inom Rikspolisstyrelsen – dessutom ske utan hinder av sekretess (se 10 kap. 28 § offentlighets- och sekretesslagen).

6. Arrangörsavstängning

6.1. Inledning

Som vi har sagt i det inledande avsnittet (avsnitt 3.2.2) har vi valt att behandla tillträdesförbud och arrangörsavstängningar var för sig. Ett viktigt skäl till detta är att de båda instituten inte är vare sig principiellt eller rättsligt riktigt jämförbara, även om de praktiskt sett kan uppvisa likheter för en enskild som drabbas av endera åtgärden. Systemet med tillträdesförbud vilar på en offentligrättslig reglering och innebär myndighetsutövning mot enskilda med lagreglerade rättsföljder och förfarandebestämmelser. Den rättsliga statusen för arrangörsavstängningar är istället närmast privaträttslig och regleras genom interna bestämmelser inom idrotten och med enskilda subjekt som beslutar om arrangörsavstängningar.

I det faktum att vi således behandlar ämnena var för sig ligger att vi av principiella och systematiska skäl har stannat för att en registerreglering rörande ett gemensamt nationellt register omfattande meddelade tillträdesförbud inte tillika ska omfatta beslutade arrangörsavstängningar. Stöd för denna uppfattning finns bland remissinstanser som yttrat sig i ämnet och även i betänkandet Mera glädje för pengarna (SOU 2013:19).

Arrangörsavstängning Ds 2013:XX

6.2. En bakgrund

Det system som inom idrotten används för att i vissa fall förbjuda en person att under viss tid besöka idrottsarrangemang kallas arrangörsavstängning. Ett förbud grundas oftast på att personen i fråga har begått brott på en idrottsanläggning men kan även beslutas om en person med viss grad av svårhet burit sig illa åt genom att bryta mot ordningsregler av skilda slag. Det kan alltså gälla såväl icke straffbelagda beteenden som direkta brott, och då vanligtvis mot de särskilda bestämmelserna vid vissa idrottsarrangemang som finns i 5 kap. ordningslagen (1993:1617). En arrangörsavstängning kan betraktas som ett slags bestraffning och grundas därför som utgångspunkt inte enbart på en eventuell framtida risk för brottsligt eller ordningsstörande beteende. Möjligheterna för en arrangör att besluta om arrangörsavstängning får anses vidsträckta. Det är dock förutsatt att det ska föreligga sakliga skäl för en avstängning. Vidare följer begränsningar genom brottsbalkens regler om olaga diskriminering och i förekommande fall av de bestämmelser som har beslutats av vederbörande specialidrottsförbund (se SOU 2013:19 s. 101 ff. för en fylligare exemplifiering av vad som kan ligga till grund för en arrangörsavstängning).

En arrangörsavstängning är praktiskt sett detsamma som att en person blir portförbjuden att bevista ett idrottsarrangemang på den aktuella arenan. Avstängningen kan utsträckas till att omfatta även andra idrottsarenor. Inom t.ex. fotbollen kan en arrangörsavstängning omfatta samtliga matcharenor när Allsvenskan och Superettan samt landskamper i Sverige spelas. En arrangörsavstängning kan också omfatta andra idrottsslag än den som den avstängningsgrundande ordningsstörningen är relaterad till.

Ett beslut om avstängning fattas av idrottsföreningarna eller av vederbörande specialidrottsförbund när det gäller flera idrottsarrangemang. En formell hantering gäller för beslutsfattandet (se Malmsten, Idrottens bestraffningsregler med förklaringar, 4 uppl., s. 165 ff.). Hanteringen innebär att ett beslut

Ds 2013:XX Arrangörsavstängning

om avstängning fattas efter att den enskilde fått tillfälle att yttra sig i frågan. Beslutet dokumenteras och den avstängde underrättas om innehållet. Den avstängde kan överklaga beslutet och få det prövat av idrottens egna överklagandeinstanser (exempelvis disciplinnämnder och besvärsnämnder). Enligt Svenska Fotbollförbundets tävlingsbestämmelser kan en avstängning avse en tid om högst två år.

En arrangörsavstängning upprätthålls genom att en avstängd person avvisas i samband med biljettkontroll vid inpassering till idrottsarenan. En överträdelse av en avstängning är, till skillnad från en överträdelse av ett tillträdesförbud, inte straffbelagd. Som utgångspunkt har en idrottsarrangör inte möjlighet att avlägsna en person som kommit in på arenan enbart av det skälet att personen är arrangörsavstängd sedan tidigare. Om personen stör ordningen eller säkerheten – eller har brutit mot ett tillträdesförbud - kan däremot ett avlägsnande ske på dessa grunder. Från arrangörsavstängningar ska skiljas den rätt som den som förfogar över en idrottsanläggning har att i ett enskilt fall neka tillträde till arenan för den som t.ex. är påtagligt berusad och därmed kan befaras störa ordningen.

Det har påtalats att arrangörsavstängningar används i relativt liten utsträckning i Sverige i jämförelse med t.ex. England, och att antalet arrangörsavstängningar är minskande (SOU 2013:19 s. 101 ff.). Någon officiellt sammanställd statistik över de olika idrottsföreningarnas avstängningar finns inte. I slutet av november 2013 beräknades antalet gällande arrangörsavstängningar inom fotbollen till drygt 50 stycken och inom ishockeyns två högsta serier till 32 stycken. Utvecklingen kan ses som en följd av att institutet tillträdesförbud har vässats på olika sätt, bl.a. genom att polisen har en mer aktiv roll, att det faktiskt förekommer färre ordningsstörningar inne på arenorna, samt inte minst, att det förekommer att enskilda idrottsorganisationer fattar principbeslut om att inte använda sig av arrangörsavstängning. Det har under vårt utredningsarbete bl.a. framkommit att vissa idrottsorganisationer med många aktiva supportrar knappt tillämpar systemet med arrangörsavstängn-

Arrangörsavstängning Ds 2013:XX

ingar utan istället överlåter till polis och åklagare att genom tillträdesförbudsinstitutet hantera konsekvenserna av ordningsstörande eller brottsligt beteende i samband med idrottsarrangemang.

6.3. Bör ett register med personuppgift över arrangörsavstängda lagregleras?

Arrangörsavstängning utgör ett av flera verktyg som en idrottsarrangör har för att skapa ordning och säkerhet och därmed trygghet och trivsel vid idrottsarrangemang för såväl åskådare som spelare och funktionärer. Det finns således ett befogat intresse av att kunna upprätthålla även en arrangörsavstängning. Liksom när det gäller tillträdesförbud får det anses betydelsefullt för en idrottsarrangör att ha relevant kunskap om vilka personer som är förbjudna tillträde till ett idrottsarrangemang av en enskild arrangör och därmed vilka arrangemang, arenor och idrottsslag som arrangörsavstängningen omfattar. Utan sådana kunskaper riskerar en arrangörsavstängning att bli tämligen verkningslös. Vi har under utredningsarbetet dock erfarit att arrangörerna har god kännedom och kunskap om enskilda som är arrangörsavstängda till skillnad från hur det kan förhålla sig med personer som har meddelats tillträdesförbud. Som anförts ovan när det gäller tillträdesförbud är det ett påtagligt problem för den enskilda idrottsarrangören att denne ofta inte känner till och känner igen den enskilde. När det gäller en person som är arrangörsavstängd förhåller det sig som utgångspunkt precis tvärtom. Det är en person som arrangören själv valt att stänga av, sammanträffat med och, enligt vad vi erfarit, har kontakt med för olika åtgärder. Redan härav följer att behovet av att få behandla personuppgifter om arrangörsavstängda personer gör sig avsevärt mindre gällande än när det gäller tillträdesförbud.

Vi har inledningsvis uppgett det föreligger principiella och systematiska skäl för att inte föreslå en registerreglering som omfattar ett nationellt register över både tillträdesförbud och

Ds 2013:XX Arrangörsavstängning

arrangörsavstängningar. En komponent i den bedömningen är frågan om det överhuvudtaget är lämpligt att lagreglera möjligheten att föra ett register med personuppgifter över personer som har blivit arrangörsavstängda.

Registerförfattningarna har, som angetts i avsnitt 4.5.5 till huvudsakligt syfte att anpassa personuppgiftsregleringen till de särskilda behov som myndigheter har i sina respektive verksamheter samt att göra avvägningar mellan behovet av effektivitet i berörd verksamhet och behovet av skydd för den enskildes integritet. En registerförfattning reglerar som utgångspunkt inrättandet och användningen av viktigare personuppgiftssamlingar inom den offentliga sektorn. Det har i tidigare lagstiftningssammanhang uttryckts att den bakomliggande tanken är att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt genom lag (prop. 1990/91:60 s. 50, bet. KU 1990/91:11 s. 11, se även prop. 1997/98:44 s. 41).

Mot den här bakgrunden är det vår bedömning att det finns starka principiella skäl mot att lagstiftningsvägen reglera enskilda aktörers registrering och annan behandling av personuppgifter som omfattar belastningar som enskilda idrottsarrangörer har definierat och beslutat om. Det som kan läggas en enskild till last för att en arrangörsavstängning ska kunna meddelas är inte lagreglerat. Det saknas av den anledningen skäl att lagreglera den vidare hanteringen av sådana uppgifter. För det fall att idrottsarrangörerna har ett påtagligt behov av att få föra register över arrangörsavstängningar bör istället en bedömning göras i varje enskilt fall om detta är motiverat utifrån en helhetsbedömning av bl.a. nyttan av behandlingen kontra risken för integritetsintrång. Vid en sådan bedömning bör också beaktas om rättmätiga krav på rättssäkerhet är uppnådda i varje enskilt fall.

Därmed anser vi att frågan om ett register över arrangörsavstängningar innehållande belastningsuppgifter även fortsättningsvis får lösas genom att varje enskild idrottsarrangör efter ansökan beviljas undantag från förbudet att behandla personuppgifter om lagöverträdelser hos Datainspektionen (ett

Arrangörsavstängning Ds 2013:XX

exempel på sådant tillstånd är Datainspektionens beslut den 30 maj 2011, diarienummer 1841-2010).

En annan möjlighet är att det behov som man inom idrotten har av ordning och överblick över arrangörsavstängningar får inordnas inom ramen för personuppgiftslagen men på ett enklare sätt. Det kan göras genom att en idrottsarrangör begränsar sin sammanställning över avstängningar till att i huvudsak endast gälla berörda personers identitetsuppgifter och således inte några belastningsliknande uppgifter.

Sammanfattningsvis är det vår bedömning att ett register med uppgifter om personer som har blivit arrangörsavstängda inte bör lagregleras.

7. Ikraftträdande m.m.

Bedömning och förslag: Lag- och förordningsändringarna

bör träda i kraft den 1 juli 2014. Några särskilda övergångsbestämmelser behövs inte.

Skälen för bedömningen och förslaget: Vi har föreslagit regler

som gör det möjligt för idrottsarrangörer att få tillgång till personuppgifter över personer som har meddelats tillträdesförbud. Det är angeläget att denna möjlighet införs så snart som möjligt.

Som har berörts inledningsvis i avsnitt 3.4 pågår ett omfattande arbete med att skapa en ny sammanhållen polisorganisation som ska vara införd den 1 januari 2015. Vi har förstått att det bl.a. mot den bakgrunden inte är givet att ett helt utbyggt och elektroniskt tillträdesförbudsregister kommer att kunna vara i bruk före det datumet. Vår bedömning är dock att detta inte bör påverka ikraftträdandedatumet för de bestämmelser vi har föreslagit. Konsekvenserna av organisationsförändringen berörs också i närmast följande avsnitt. Vi gör bedömningen att de nya bestämmelserna bör träda i kraft den 1 juli 2014.

Den föreslagna regleringen avseende personuppgiftsbehandling i fråga om personer som meddelats tillträdesförbud kommer vid ikraftträdandet att ta sikte på tillträdesförbud som då löper och som tillkommer därefter. Det bedöms därför inte finnas något behov av några särskilda övergångsbestämmelser.

8. Ekonomiska konsekvenser

I utredningsuppdraget ingår att redovisa de ekonomiska konsekvenserna av våra förslag och hur eventuella ökade kostnader bör finansieras.

Som framgått lägger vi inte fram något förslag om en författningsreglering av ett register över arrangörsavstängningar. En konsekvensanalys tar därmed bara sikte på införandet av ett tillträdesförbudsregister, baserat på bl.a. de rättsliga och andra förutsättningar som våra författningsförslag rymmer.

Syftet med att införa ett tillträdesförbudsregister är att stärka möjligheterna att förhindra idrottsanknuten brottslighet på idrottsplatser, samtidigt som skyddet av den personliga integriteten ska värnas. Det handlar både om en ökad effektivitet och om en stärkt rättssäkerhet.

Införandet av ett tillträdesförbudsregister innebär vidgade uppgifter för framför allt Rikspolisstyrelsen. Även polismyndigheterna kan förutses få ett visst merarbete, låt vara att det bör bli ganska marginellt och kanske i första hand handla om att i förekommande fall ta fotografier av de personer som meddelas tillträdesförbud. Själva det operativa nyttjandet av tillträdesförbudsregistret, som främst sker av idrottsorganisationerna och polismyndigheterna, kommer att underlätta möjligheterna att se till att tillträdesförbuden upprätthålls. Den delen bedömer vi vara i stort sett kostnadsneutral.

För Rikspolisstyrelsens vidkommande innebär våra förslag kostnadsbelastande uppgifter. Kostnaderna omfattar i huvudsak två delar. Den ena gäller själva skapandet av ett register över tillträdesförbud; ett register i vilket ska läggas in gällande till-

Ekonomiska konsekvenser Ds 2013:XX

trädesförbud samt, i den utsträckning det är praktiskt möjligt, sådana personuppgifter, däribland fotografier, som registret enligt lagförslaget bör innehålla. Den andra delen gäller kostnaderna för att föra och förvalta registret. Vi har från Rikspolisstyrelsen fått ett underlag för bedömning av kostnadsbilden.

I fråga om själva skapandet av ett tillträdesförbudsregister gör Rikspolisstyrelsen den bedömningen att detta skulle kosta engångsvis ca 1 miljon kronor, om registret läggs på en server utanför polisen (genom användning av iBase, Excel eller Access). Fördelen med en sådan ordning är, såsom vi har förstått, att andra enkelt kan få åtkomst till registret. Om registret skulle läggas ”innanför” polisen, skulle kostnaden enligt Rikspolisstyrelsen bli betydligt högre, ca 5 – 7 miljoner kronor. Förvaltningskostnaderna för att administrera registret bedöms av Rikspolisstyrelsen ligga på ca 1,2 miljoner kronor per år. Det beloppet inkluderar kostnaderna för polismyndigheternas merarbete för hanteringen av tillträdesförbudsärendena.

När det först gäller kostnaden för att skapa och bygga upp ett register över tillträdesförbud räknar vi med att Rikspolisstyrelsen väljer en lösning som innebär att registret läggs på en server utanför polisen, förutsatt att denna lösning erbjuder betryggande säkerhetsarrangemang. Engångsbeloppet på 1 miljon kronor finns det inget skäl att ifrågasätta. När det sedan gäller de förvaltningskostnader m.m. som årligen kommer att belasta polisens anslagsram kan vi ställas oss bakom Rikspolisstyrelsens beräkningar. De verksamhetsmässiga fördelarna med ett register över tillträdesförbud består huvudsakligen av en ökad effektivitet när det gäller att stävja idrottsrelaterad brottslighet i samband med idrottsarrangemang. Några mätbara kostnadsbesparingar kan knappast utvinnas ur detta annat än möjligen på längre sikt.

Som berörts inledningsvis i avsnitt 3.4 pågår ett omfattande arbete med att skapa en ny sammanhållen polisorganisation: Polismyndigheten. Den nya organisationen ska intas den 1 januari 2015. Vi har förstått att det bl.a. mot den bakgrunden inte är givet att ett IT-baserat (automatiserat) register över

Ds 2013:XX Ekonomiska konsekvenser

tillträdesförbud kommer att kunna vara i bruk före detta datum. Med tanke på att ett sådant register i vart fall inledningsvis inte kommer att omfatta mer än ett hundratal tillträdesförbudsregistreringar bör det vara möjligt att från början ha ett provisoriskt register av något slag. Mot den här bakgrunden är det svårt att säga när i tiden de beskrivna kostnaderna kommer att uppstå. Alldeles oavsett detta, anser vi emellertid att beloppens storlek är sådana att finansieringen av kostnaderna kan ske inom ramen för polisens anslag.

När det gäller idrottsarrangörernas anslutning till och användning av tillträdesförbudsregistret – baserat på en systemlösning som innebär en enkel åtkomst – bedömer vi att de begränsade kostnader som kan uppstå uppvägs av den verksamhetsnytta som registret leder till.

Författningskommentar Ds 2013:XX

9. Författningskommentar

9.1. Förslaget till tillträdesförbudsregisterlag

Register över tillträdesförbud vid idrottsarrangemang

1 § Rikspolisstyrelsen får med hjälp av automatiserad behandling föra ett register med uppgifter om personer som har meddelats tillträdesförbud enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang (tillträdesförbudsregistret), dock inte sådana interimistiska tillträdesförbud som avses i 9 a § nämnda lag.

Paragrafen innebär att Rikspolisstyrelsen med hjälp av automatiserad behandling får föra ett tillträdesförbudsregister. Saken behandlas i avsnitt 5.3.

Uppgifterna i registret ska föras in av Rikspolisstyrelsen som erhåller uppgifterna från Åklagarmyndigheten och polismyndigheterna.

När en domstol meddelar ett beslut om tillträdesförbud rapporterar domstolen detta till Åklagarmyndigheten som för uppgiften vidare till Rikspolisstyrelsen för införande i belastningsregistret. En liknande ordning kommer att gälla för uppgifterna som ska in i tillträdesförbudsregistret. Tillträdesförbudsregistret kommer därmed att förses med uppgifter från Åklagarmyndigheten och polismyndigheterna, även i de fall som en domstol har meddelat tillträdesförbud.

Ds 2013:XX Författningskommentar

I den mån som Åklagarmyndigheten har uppgifterna som ska föras in i tillträdesförbudsregistret ska den myndigheten rapportera dessa uppgifter vidare till Rikspolisstyrelsen. De uppgifter som saknas hos Åklagarmyndigheten får polismyndigheterna rapportera till Rikspolisstyrelsen för införande i registret, exempelvis fotografi som har tagits av en polismyndighet. Vissa uppgifter, t.ex. befintliga fotografier som finns i register som Rikspolisstyrelsen för ska Rikspolisstyrelsen själv hämta in till tillträdesförbudsregistret. De register som avses är passregistret och registret över nationellt identitetskort.

Lagens tillämpningsområde

2 § Denna lag gäller hos idrottsorganisationer, specialidrottsförbund,

Rikspolisstyrelsen och polismyndigheter vid behandling av personuppgifter i fråga om personer som har meddelats tillträdesförbud enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang.

Lagen gäller behandling som är helt eller delvis automatiserad. Lagen gäller även för annan behandling, om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Med idrottsorganisation avses i denna lag en organisation som anordnar idrottsarrangemang och som är medlem i ett specialidrottsförbund. Med specialidrottsförbund avses i denna lag ett specialidrottsförbund som är anslutet till Sveriges Riksidrottsförbund.

Paragrafen anger tillämpningsområdet för tillträdesförbudsregisterlagen. Bestämmelsen behandlas i avsnitt 5.4.

I första stycket anges inledningsvis att lagen gäller när idrottsorganisationer, specialidrottsförbund, Rikspolisstyrelsen och polismyndigheter behandlar personuppgifter om personer som har meddelats tillträdesförbud enligt tillträdesförbudslagen. Lagen är alltså inte tillämplig vid annan verksamhet hos Rikspolisstyrelsen eller polismyndigheterna utan då är andra författningar tillämpliga. Lagen är inte heller tillämplig när idrotts-

Författningskommentar Ds 2013:XX

organisationerna eller specialidrottsförbunden i andra fall behandlar personuppgifter. Då är personuppgiftslagen tillämplig. Med begreppet personuppgifter avses detsamma som i 3 § personuppgiftslagen, dvs. all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Även begreppet behandling har samma innebörd som i personuppgiftslagen. Därmed avses således varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, t.ex. insamling, registrering, organisering, lagring, bearbetning, användning, sammanställning eller annat tillhandahållande.

I andra stycket klargörs att tillämpningsområdet är begränsat till helt eller delvis automatiserad behandling eller behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Med automatiserad behandling avses i princip behandling i datorer. Utanför lagens tillämpningsområde faller således helt manuell behandling av personuppgifter som inte ingår i eller är avsedd att ingå i någon sådan samling som nämnts.

I tredje stycket definieras vad som i lagen avses med idrottsorganisation och specialidrottsförbund. Definitionen av idrottsorganisation är att det är en organisation som anordnar idrottsarrangemang och som är medlem i ett specialidrottsförbund. Med specialidrottsförbund avses sådana specialidrottsförbund som är anslutna till Sveriges Riksidrottsförbund. Såväl idrottsorganisationer och specialidrottsförbund kan vara idrottsarrangörer av sådana idrottsarrangemang som träffas av tillträdesförbudslagen.

Lagens syfte

3 § Syftet med denna lag är att göra det möjligt att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätthålla gällande beslut om tillträdesförbud vid idrottsarrangemang och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Ds 2013:XX Författningskommentar

I paragrafen regleras det övergripande syftet med lagen. Övervägandena finns i avsnitt 5.5.

I paragrafen anges att syftet med lagen är att göra det möjligt att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätthålla gällande beslut om tillträdesförbud vid idrottsarrangemang samtidigt som den personliga integriteten skyddas vid sådan behandling. Lagen avser alltså att reglera behandlingen av personuppgifter som förs i ett särskilt register som enbart omfattar meddelade tillträdesförbud och att detta sker på ett sätt som innebär en lämplig balans mellan nyttan med personuppgiftsbehandlingen i det tänkta registret och skyddet av den personliga integriteten.

Ändamålet med personuppgiftsbehandlingen

4 § Personuppgifter får behandlas om det behövs för att

1. förebygga, förhindra eller upptäcka överträdelse av ett tillträdesför-

bud, eller

2. fullgöra förpliktelser som följer av internationella åtaganden.

Paragrafen anger de ändamål för vilka personuppgifter i tillträdesförbudsregistret får behandlas. Saken behandlas i avsnitt 5.6.

En grundläggande förutsättning för att en personuppgift i registret ska få behandlas av polismyndigheterna och idrottsarrangörerna med stöd av 4 § är att den behövs för förhindra överträdelse av ett tillträdesförbud vid ett särskilt idrottsarrangemang. Med detta avses att det ska finnas ett konkret behov av att utföra behandlingen och att detta behov svarar mot ändamålet med denna. Som exempel kan nämnas att sammanställa alla personer som har tillträdesförbud till ett specifikt fotbollsarrangemang i Allsvenskan eller att göra en förteckning över samtliga tillträdesförbud kopplade till två utpekade idrotts-

Författningskommentar Ds 2013:XX

organisationer inför ett idrottsarrangemang som omfattar dessa två idrottsorganisationer.

I punkt 1 anges att personuppgifterna i registret får behandlas om det behövs för att förebygga, förhindra eller upptäcka överträdelse av ett tillträdesförbud. Med detta avses idrottsarrangörernas förebyggande arbete på planeringsstadiet liksom den kontaktverksamhet som de utför inom den egna organisationen i förhållande till personer som antingen ska förmås ändra sitt uppförande i anslutning till ett arrangemang eller för att inte yngre personer ska intressera sig för ordningsstörande beteende vid idrottsarrangemang. Genom det identifieringsarbete som utförs i anslutning till arrangemanget, utanför och vid arenan, ska enskilda personer förhindras att överträda ett tillträdesförbud. Personer som har tillträdesförbud och som blir igenkända ska avvisas av arrangören innan personen har passerat en entrépunkt. När en överträdelse väl har skett får personuppgifterna användas för att detta ska kunna upptäckas genom att identifiering t.ex. inne på arenan äger rum.

Av punkt 2 följer att behandling av personuppgifter får utföras till följd av förpliktelser som Sverige har genom internationella åtaganden. I den mån som polisen har en skyldighet att fullgöra vissa förpliktelser och den konkreta arbetsuppgiften kräver att polisen ska kunna behandla de personuppgifter som finns i registret, så är behandlingen tillåten enligt bestämmelsen. Sådana förpliktelser kan följa dels direkt av vissa internationella överenskommelser, dels av vissa författningar som genomför internationella överenskommelser, t.ex. förordningen (2010:705) om internationellt polisiärt samarbete.

Förhållandet till personuppgiftslagen

5 §Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i tillträdesförbudsregistret, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna lag.

Ds 2013:XX Författningskommentar

I paragrafen anges lagens förhållande till personuppgiftslagen. Bestämmelsen behandlas i avsnitt 5.7.

Personuppgiftslagen gäller vid behandling av personuppgifter i registret. Tillträdesförbudsregisterlagen innehåller således enbart de särbestämmelser och förtydliganden som det föreligger behov av. I övrigt ska personuppgiftslagen tillämpas. Följaktligen blir åtskilliga av bestämmelserna i personuppgiftslagen tillämpliga vid personuppgiftsbehandlingen hänförlig till meddelade tillträdesförbud i den mån som det saknas särbestämmelser i tillträdesförbudsregisterlagen eller i särskilda föreskrifter i anslutning till lagen. Detta innebär att många av bestämmelserna i personuppgiftslagen blir tillämpliga vid idrottsarrangörernas och polisens behandling av personuppgifter i fråga om personer som har meddelats tillträdesförbud enligt tillträdesförbudslagen. Det innebär exempelvis att de begrepp som används i tillträdesförbudsregisterlagen som personuppgift och behandling av personuppgifter har den definition som framgår av 3 § personuppgiftslagen. När det gäller behandling, se dock 9 § andra stycket i tillträdesförbudsregisterlagen.

Ytterligare exempel på bestämmelser i personuppgiftslagen som är tillämpliga på tillträdesförbudsregistret är 9 §, som innehåller regler om grundläggande krav på den personuppgiftsansvariges behandling av personuppgifter, liksom 30-32 §§ som innehåller regler om säkerheten vid behandling av personuppgifter.

Personuppgifter som får behandlas i registret

6 § I tillträdesförbudsregistret får endast sådana personuppgifter behandlas som behövs för de ändamål som anges i 4 §.

Dessa uppgifter är:

9. namn, 10. personnummer eller samordningsnummer, 11. alias, 12. fotografi,

Författningskommentar Ds 2013:XX

13. folkbokföringsadress och annan stadigvarande adress, 14. idrottsanknytning och anknytning till idrottsorganisation, 15. beslut om tillträdesförbud enligt lagen (2005:321) om tillträdesförbud vid

idrottsarrangemang, och 16. överträdelse av tillträdesförbud.

I paragrafen regleras vilka personuppgifter som får behandlas i registret. Saken har behandlats i avsnitten 5.8 och 5.9.

I första stycket anges som förutsättning för att personuppgifterna i registret ska få behandlas, att det behövs för de ändamål som anges i 4 §, dvs. för att förebygga, förhindra eller upptäcka en överträdelse av ett tillträdesförbud eller för att fullgöra förpliktelser som följer av internationella åtaganden. Därmed avses att personuppgifterna inte får behandlas för några andra ändamål eller syften.

I andra stycket anges i åtta punkter en uttömmande uppräckning av vilka personuppgifter som får finnas i tillträdesförbudsregistret och som får behandlas med stöd av tillträdesförbudsregisterlagen. I punkt 1 anges att namn får registreras och behandlas. I punkt 2 anges att personnummer eller samordningsnummer får registreras och behandlas. Detta innebär att i de fall som personen inte har något svenskt personnummer ska istället samordningsnumret registreras. I de fall som en person är känd under ett alias får detta registreras och behandlas i registret enligt punkt 3. Enligt punkt 4 får fotografi av den enskilde tillföras registret och behandlas. I punkt 5 anges att folkbokföringsadress och annan stadigvarande adress får registreras och behandlas. I de fall som personen är skriven på en adress men det är känt att personen stadigvarande uppehåller sig på en annan adress får båda dessa adresser registreras och behandlas. Enligt

punkt 6 får uppgift om idrottsanknytning och anknytning till

idrottsorganisation registreras och behandlas i registret. Med idrottsanknytning avses det idrottsslag som tillträdesförbudet omfattar exempelvis fotboll eller ishockey eller kombinationen av de två idrottsslagen. När det gäller anknytning till idrotts-

Ds 2013:XX Författningskommentar

organisation avses den idrottsorganisation som personen kan knytas till exempelvis genom medlemskap eller vars supportergrupperingar personen associeras med genom att ha deltagit i händelser kring och med den supportergrupperingen eller på annat sätt manifesterat samhörighet med eller stöd åt en viss idrottsorganisation. I punkt 7 anges att själva beslutet om tillträdesförbud enligt tillträdesförbudslagen får registreras och behandlas. Därmed avses åklagarens eller domstolens beslut i dess helhet. För domstolarnas del innebär det att det slutliga beslutet eller domslutet får registreras. För åklagarens del innebär det att beslutshandlingen som sådan får registreras och behandlas i registret inbegripet beslut, giltighetstid, motivering och lagrum. Enligt punkt 8 får överträdelser av tillträdesförbud registreras och behandlas i registret. Med detta avses lagöverträdelser som har begåtts mot det gällande tillträdesförbudet. Det är alltså inte överträdelser av tidigare meddelade, men inte nu gällande, tillträdesförbud som ska registreras i registret utan enbart sådana överträdelser som har skett mot det tillträdesförbud som finns i registret enligt punkt 7.

Tillgången till personuppgifter

7 § Idrottsorganisationer, specialidrottsförbund och polismyndigheter har trots sekretess enligt 35 kap. 4 § offentlighets- och sekretesslagen (2009:400) rätt att ta del av personuppgifter i tillträdesförbudsregistret, om det behövs för behandling som avses i 4 §.

I paragrafen finns en sekretessbrytande bestämmelse. Bestämmelsen har behandlats i avsnitt 5.12.

Den sekretessbrytande bestämmelsen innebär att polis och idrottsarrangörer, trots den absoluta sekretess som råder enligt 35 kap. 4 § offentlighets- och sekretesslagen för personuppgifter som finns i tillträdesförbudsregistret, har rätt att ta del av personuppgifterna i registret om personuppgifterna behöver behandlas för att ändamålen i 4 § ska kunna uppnås.

Författningskommentar Ds 2013:XX

En förutsättning för att sekretessen ska genombrytas är alltså att ändamålet med personuppgiftsbehandlingen är sådan som avses i 4 §, dvs. för att förebygga, förhindra eller upptäcka överträdelse av ett tillträdesförbud eller för att fullgöra förpliktelser som följer av internationella åtaganden. Det sistnämnda avser polisen och inte idrottsarrangörerna vars eventuella internationella åtaganden inte omfattas av 4 § tillträdesförbudsregisterlagen.

8 § En idrottsorganisation, ett specialidrottsförbund eller en polismyndighet som får ta del av personuppgifter ur tillträdesförbudsregistret ska begränsa tillgången till personuppgifter till vad tjänstgörande säkerhetspersonal, varje tjänsteman eller handläggare har behov av för att kunna fullgöra sina arbetsuppgifter.

Paragrafen reglerar den interna tillgången till personuppgifter för polismyndigheternas och idrottsarrangörernas personal och vid ett idrottsarrangemang tjänstgörande säkerhetspersonal. Saken behandlas i avsnitt 5.12.

I paragrafen fastslås att tillgången till personuppgifter i tillträdesförbudsregistret alltid ska begränsas till vad varje anställd eller vid ett visst arrangemang tjänstgörande säkerhetspersonal behöver för att kunna fullgöra sina arbetsuppgifter. Bestämmelsen riktar sig därmed inte bara till de som är anställda inom polismyndigheterna eller hos idrottsarrangörerna, utan även till sådan säkerhetspersonal som hyrs in och anlitas vid ett enskilt idrottsarrangemang såsom ordningsvakter. Tanken är vidare att det är den personuppgiftsansvarige som får bedöma vilka personuppgifter som vilken personal behöver ha tillgång till för att kunna fullgöra sina arbetsuppgifter. Detta kan för t.ex. idrottsarrangörernas del se olika ut vid olika idrottsarrangemang beroende på hur stor risk det är för att arrangemanget intresserar personer med tillträdesförbud.

Genom tillträdesförbudsregisterlagen ges en möjlighet för enskilda idrottsarrangörer att hantera även känsliga personuppgifter i registerform. Det är av stor betydelse att dessa upp-

Ds 2013:XX Författningskommentar

gifter inte sprids till någon som inte är behörig att ta del av uppgifterna. Behandlingen är avsedd att ske med varsamhet på sådant sätt att enbart de som behöver uppgifterna för de ändamål som finns i 4 § ska få hantera dessa. I praktiken innebär detta att alla personuppgifter som finns i registret inte vid varje enskilt tillfälle behöver behandlas av all personal som får behandla dem. Idrottsarrangörerna måste avgöra vilka av t.ex. säkerhetspersonalen som behöver ha tillgång till personuppgifter och till vilka personuppgifter som tillgång ska ges. Om det är fråga om personuppgifter för att vid insläpp identifiera personer kan det räcka att t.ex. en ordningsvakt får del av namn och fotografi över samtliga med tillträdesförbud som kan förväntas komma till arrangemanget. Detta samtidigt som den säkerhetsansvarige hos idrottsarrangören har tillgång till samtliga uppgifter i registret. Det är också möjligt att arrangören, för att ändamålen i 4 § ska kunna uppnås, måste kopiera upp fysiska exemplar av vissa personuppgifter i registret till t.ex. ett urval av ordningsvakter som har som arbetsuppgift att identifiera individer med tillträdesförbud och arbeta för att dessa inte tillåts komma in på arenan. Det är upp till den personuppgiftsansvarige att göra bedömningen i dessa avseenden.

Personuppgiftsansvar

9 § Idrottsorganisationer, specialidrottsförbund, Rikspolisstyrelsen och polismyndigheter har personuppgiftsansvar för den behandling av personuppgifter som envar utför.

Den behandling som idrottsorganisationer, specialidrottsförbund och polismyndigheter får utföra omfattar inte sådan behandling som påverkar uppgifterna i registret.

Paragrafen innehåller bestämmelser om personuppgiftsansvar. Saken behandlas i avsnitt 5.13.

I första stycket anges att Rikspolisstyrelsen och var och en av polismyndigheterna, idrottsorganisationerna och specialidrotts-

Författningskommentar Ds 2013:XX

förbunden är personuppgiftsansvariga för den behandling av personuppgifter som respektive aktör utför.

Begreppet personuppgiftsansvarig definieras i 3 § personuppgiftslagen (1998:204). Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Flera bestämmelser i personuppgiftslagen ålägger den personuppgiftsansvarige särskilda skyldigheter. Så är det t.ex. enligt 9 § första stycket personuppgiftslagen den personuppgiftsansvariges skyldighet att se till att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen.

Rikspolisstyrelsen är registerförande myndighet för tillträdesförbudsregistret. Det är därför styrelsen som ensam samlar in och lagrar personuppgifter och som är ansvarig för den behandlingen. Sådan behandling får inte utföras av övriga aktörer och inte heller annan behandling av personuppgifter som påverkar uppgifterna i registret. Om uppgiften lämnas ut till en polismyndighet eller idrottsarrangör, genom direktåtkomst eller på annat sätt, blir mottagande polismyndighet eller idrottsarrangör personuppgiftsansvarig för den fortsatta behandlingen av personuppgiften hos den myndigheten eller organisationen. Var och en av dessa ansvarar då för den egna behandlingen.

Direktåtkomst

10 § Direktåtkomst till personuppgifter i tillträdesförbudsregistret får medges idrottsorganisationer, specialidrottsförbund och polismyndigheter.

Hos idrottsorganisationer och specialidrottsförbund ska behörigheten till direktåtkomst begränsas till personer med ansvar för säkerhetsfrågor.

Paragrafen innehåller bestämmelser om direktåtkomst. Övervägandena finns i avsnitt 5.14.

Enligt första stycket får direktåtkomst till personuppgifterna i tillträdesförbudsregistret medges idrottsorganisationer, special-

Ds 2013:XX Författningskommentar

idrottsförbund och polismyndigheter. Det är Rikspolisstyrelsen som medger direktåtkomst och bestämmelsen innebär inte någon rätt för mottagarna att få sådan åtkomst. Rikspolisstyrelsen har ett principiellt ansvar för att förvissa sig om att den som beviljas direktåtkomst vidtar de åtgärder som bedöms vara nödvändiga ur säkerhetssynpunkt. Direktåtkomst bör endast beviljas om det i det enskilda fallet bedöms ändamålsenligt.

Enligt andra stycket, som enbart riktar sig till idrottsarrangörerna, ska behörigheten till direktåtkomst hos dessa begränsas till de personer som har ansvar för säkerhetsfrågor. Med personer med ansvar för säkerhetsfrågor avses sådana som idrottsarrangören själv har pekat ut som ytterst ansvarig för säkerhetsfrågor vid ett idrottsarrangemang, oftast en säkerhetschef, den säkerhetsansvarige etc. I andra stycket ligger alltså en begränsning som är tänkt att medföra att den tekniska behörigheten, exempelvis inloggning, enbart tillkommer enstaka personer hos idrottsarrangörerna. Det ska alltså inte vara möjligt för andra att själva genom direktåtkomst ta del av personuppgifter i registret utan denna behörighet tillfaller någon eller några enstaka personer i varje organisation.

Utlämnande på medium för automatiserad behandling

11 § Får en personuppgift lämnas ut, kan det ske på medium för automatiserad behandling.

Paragrafen reglerar utlämnande av personuppgifter på medium för automatiserad behandling. Bestämmelsen behandlas i avsnitt 5.14.

Med utlämnande på medium för automatiserad behandling avses sådant elektroniskt utlämnande som inte är direktåtkomst, t.ex. utlämnande genom e-post, på ett USB-minne eller elektronisk överföring. Direktåtkomst regleras i 10 §.

I förevarande paragraf regleras att personuppgifter får lämnas ut på medium för automatiserad behandling i de fall som person-

Författningskommentar Ds 2013:XX

uppgifter överhuvudtaget får lämnas ut. Bestämmelsen innebär inte någon skyldighet att använda sig av elektroniskt utlämnande. Det är Rikspolisstyrelsen ansvar att ytterst bedöma om det är lämpligt att använda den typen av utlämnande. Som vid all personuppgiftsbehandling enligt tillträdesförbudsregisterlagen har man att förhålla sig till personuppgiftslagens bestämmelser om säkerheten vid behandlingen (30-32 §§). Det finns inte någon begräsning i lagen om omfattningen av uppgifter som kan lämnas ut på medium för automatiserad behandling. Detta innebär att det som utgångspunkt är möjligt för Rikspolisstyrelsen att lämna ut hela, eller delar av, tillträdesförbudsregistret på det sättet.

Gallring

12 § En uppgift i registret ska gallras om uppgiften inte längre behövs för de ändamål som anges i 4 § 1, dock senast när tillträdesförbudets giltighetstid har löpt ut eller om tillträdesförbudet dessförinnan har upphävts.

I paragrafen finns bestämmelser om gallring av personuppgifter i tillträdesförbudsregistret. Saken behandlas i avsnitt 5.15.

Av paragrafen följer att personuppgifter ska gallras om de inte längre behövs för de ändamål som anges i 4 § 1, dvs. för att förebygga, förhindra eller upptäcka överträdelse av ett tillträdesförbud. Uppgifterna ska, oavsett bedömningen av om uppgifterna behövs för de ändamål som anges i 4 § 1, alltid gallras så snart som ett tillträdesförbud har löpt ut eller upphävts i förtid. Bestämmelsen är utformad på angivet sett i syfte att tillträdesförbudsregistret ska gallras omedelbart som en uppgift inte behövs oavsett om det beror på att ett tillträdesförbud inte längre gäller eller om uppgiften som sådan inte längre skulle behövas.

Ds 2013:XX Författningskommentar

Tystnadsplikt

13 § Den som tar del av en uppgift som har inhämtats med stöd av denna lag får inte obehörigen röja eller utnyttja det som han eller hon på detta sätt har fått veta om någon enskilds personliga förhållanden. I det allmännas verksamhet ska i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400) tillämpas.

Paragrafen reglerar tystnadsplikt för uppgift om enskilds personliga förhållanden som inhämtats med stöd av lagen. Ämnet behandlas i avsnitt 5.16.

Uppgifter om enskildas personliga förhållanden som man fått del av från tillträdesförbudsregistret får enligt denna bestämmelse inte röjas eller utnyttjas. Tystnadsplikt råder för uppgifterna, dvs. uppgifterna får inte sprids vidare vare sig muntligen eller på annat sätt. Till bestämmelsen är knutet ett obehörighetsrekvisit.

Om man bryter mot tystnadsplikten, dvs. genom att obehörigen röja eller utnyttja det som man har fått veta om någons personliga förhållanden, kan man dömas till böter eller fängelse för brott mot tystnadsplikten enligt bestämmelsen i 20 kap. 3 § brottsbalken.

Såvitt avser myndigheter gäller istället för tystnadsplikten i denna bestämmelse offentlighets- och sekretesslagen.

Närmare föreskrifter

14 § Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om tillämpningen av denna lag.

Paragrafen är en upplysning om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela närmare föreskrifter om tillämpningen av tillträdesförbudsregisterlagen.

Författningskommentar Ds 2013:XX

Denna lag träder i kraft den 1 juli 2014.

Lagen träder i kraft den 1 juli 2014. Inga övergångsbestämmelser finns. Saken behandlas i avsnitt 7.

9.2. Förslaget till lag om ändring i lagen (2005:321) om tillträdesförbud vid idrottsarrangemang

8 a § En polismyndighet får fotografera en person som kan antas bli föremål för

tillträdesförbud enligt denna lag för att fotografiet ska kunna läggas in i tillträdesförbudsregistret enligt lagen ( 2014:000 ) om register över tillträdesförbud vid idrottsarrangemang.

Paragrafen är ny och reglerar att polisen får fotografera en person som kan antas bli föremål för ett tillträdesförbud. Övervägandena finns i avsnitt 5.17.

Polisen ska med stöd av bestämmelsen få fotografera en person som kan antas bli föremål för tillträdesförbud. Syftet är att fotografiet ska läggas in i tillträdesförbudsregistret om personen meddelas tillträdesförbud för att kunna behandlas för de ändamål som anges i 4 § tillträdesförbudsregisterlagen. Fotografiet kan tas t.ex. direkt vid ett idrottsarrangemang inför att polisen gör en anmälan om tillträdesförbud till åklagaren eller när ett ärende om tillträdesförbud har inletts i samband med förhör eller vid annat sammanträffande som polisen gör med den enskilde. Tanken är att fotografiet ska kunna tas när det är lämpligt i syfte att en ansiktsbild ska kunna tillföras tillträdesförbudsregistret.

Ds 2013:XX Författningskommentar

9.3. Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)

35 kap. 4 § I annat fall än som avses i 1 § första stycket 6 och 7 och 3 § gäller

sekretess i verksamhet som avser förande av eller uttag ur register

1. för uppgift som har tillförts ett särskilt register som förs över strafföreläggande och föreläggande av ordningsbot,

2. för annan uppgift hos Rikspolisstyrelsen, som rör brott eller den som har misstänkts, åtalats eller dömts för brott, om uppgiften har lämnats dit för databehandling inom rättsväsendets informationssystem i ett annat register än som avses i 1,

3. för belastningsuppgift som har tillförts vägtrafikregistret,

4. för uppgift som har tillförts ett särskilt register som författningsenligt förs hos myndighet angående brott eller tjänsteförseelser begångna av personer som är eller har varit verksamma hos myndigheten, och

5. för personuppgift som har tillförts tillträdesförbudsregistret med stöd av lagen ( 2014:000 ) om register över tillträdesförbud vid idrottsarrangemang.

Sekretessen enlig första stycket 1 gäller inte i ärende om strafföreläggande eller föreläggande av ordningsbot.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

I paragrafen regleras sekretessen för uppgifter som finns i vissa särskilda register. Det rör sig i huvudsak om uppgifter som har anknytning till brott. I paragrafen införs en ny punkt 5 som avser sekretess för personuppgifter i tillträdesförbudsregistret. Ämnet behandlas i avsnitt 5.12.

I punkt 5 regleras att sekretess gäller för personuppgifter som har tillförts tillträdesförbudsregistret. Detta innebär att personuppgifterna i registret omfattas av absolut sekretess.

En förutsättning för att sekretess ska gälla för personuppgift i registret är att det förs med stöd av tillträdesförbudsregisterlagen. Bestämmelsen ska även omfatta sådana personuppgifter som är avsedda att ingå i tillträdesförbudsregistret men som ännu inte har lagts in där (se 2 § tillträdesförbudsregisterlagen).

Bilaga Ds 2013:XX

Bilaga

Justitiedepartementet Promemoria

2013-04-30

Straffrättsenheten

Uppdrag om lagstiftning om register över tillträdesförbud vid idrottsarrangemang och arrangörsavstängningar

Bakgrund

Lagen (2005:321) om tillträdesförbud vid idrottsarrangemang innehåller bestämmelser som gör det möjligt att vid straffansvar förbjuda en person att få tillträde till och vistas på en inhägnad plats som huvudsakligen är avsedd för idrottsutövning när ett idrottsarrangemang anordnas på platsen (tillträdesförbud). En förutsättning för att ett sådant förbud ska få meddelas är att det på grund av särskilda omständigheter finns risk för att personen kommer att begå brott under idrottsarrangemanget och brottet är ägnat att störa ordningen eller säkerheten där.

Tillträdesförbud får beslutas av åklagare på ansökan av den idrottsorganisation (klubb) som anordnar det eller de arrangemang som förbudet avses skydda eller av specialidrottsförbund inom Sveriges Riksidrottsförbund för den aktuella idrottsverksamheten. Åklagarens prövning kan även initieras efter anmälan av polismyndighet.

Även personer som inte har tillträdesförbud kan nekas tillträde till ett idrottsarrangemang. Den som med äganderätt eller annan rätt förfogar över en idrottsanläggning eller annan plats kan normalt bestämma vem som ska få vistas där och i det enskilda fallet neka tillträde för den som stör ordningen. Vidare finns möjligheter enligt idrottens interna regelverk att i förväg besluta

Ds 2013:XX

Bilaga

att den som brutit mot vissa regler om t.ex. ordning ska nekas tillträde till arrangemang under en viss tid (arrangörsavstängning). Arrangörsavstängningar upprätthålls genom att de avstängda personerna avvisas i samband med biljettkontroll vid inpassering till idrottsanläggningen. En överträdelse av ett sådant förbud är dock inte straffbelagd.

Behovet av en utredning

Det är angeläget att klubbar som arrangerar idrottsarrangemang har möjlighet att ta sitt ansvar för säkerheten vid arrangemangen. En förut-sättning för detta är att klubbarna kan få kännedom om vilka personer som vid ett idrottsarrangemang kan förväntas innebära en risk för ordningen och säkerheten vid arrangemanget och förhindra att de släpps in.

Klubbarna behöver alltså kunna få tillgång till relevanta personuppgifter om individer som saknar rätt att besöka arrangemanget för att kunna använda informationen vid t.ex. inpasseringskontrollerna. Därtill finns det ett behov för klubbarna att kunna handlägga och följa upp ärenden om tillträdesförbud och arrangörsavstängningar.

En fråga är om personuppgiftslagen (1998:204) hindrar den typ av personuppgiftsbehandling som kan fordras för att möta klubbarnas behov. Datainspektionen har i ett ärende (dnr 1841-2010) gjort bedömningen att en idrottsklubbs behandling av personuppgifter för handläggning och uppföljning av personer som har blivit föremål för tillträdesförbud eller arrangörsavstängning är nödvändig för att en arbetsuppgift av allmänt intresse ska kunna utföras, och därför tillåten enligt 10 § personuppgiftslagen. Däremot menade inspektionen att klubbens behandling av personuppgifter innefattar uppgifter om lagöverträdelser i den mening som avses i 21 § samma lag, och alltså som utgångspunkt är förbjuden för andra än myndigheter. I beslutet meddelade Datainspektionen med stöd av 9 § personuppgiftsförordningen

Bilaga Ds 2013:XX

(1998:1191) under vissa förutsättningar ett tidsbegränsat undantag för klubben att behandla sådana uppgifter.

Datainspektionen har vid flera tillfällen uttalat att det krävs att klubbar ansöker och beviljas undantag från förbudet i 21 § personuppgiftslagen i det enskilda fallet (en gemensam ansökan från flera klubbar är alltså inte möjlig). Vidare har inspektionen anfört att både intresset av ett väl fungerande system för att hindra vissa personer tillträde till arenorna och integritetsintresset talar för en författningsreglering.

I delbetänkandet Mindre våld för pengarna (SOU 2012:23) har i detta syfte föreslagits ett nytt andra kapitel i lagen om tillträdesförbud vid idrottsarrangemang som ger Sveriges Riksidrottsförbund möjlighet att föra ett centralt register över såväl tillträdesförbud som arrangörsavstängningar samt möjlighet för arrangerande klubbar att hantera uppgifter med anknytning till registret.

Förslaget har remitterats. Remissinstanserna har bejakat behovet av en lagreglering av personuppgiftshanteringen för att hindra att oönskade personer får tillträde till idrottsarrangemang. När det gäller förslagets utformning har emellertid förhållandevis omfattande kritik lämnats, bl.a. från Riksdagens ombudsmän, Justitiekanslern, Rikspolisstyrelsen och Datainspektionen. Bland annat har man varit tveksam till om det är lämpligt att ge Riksidrottsförbundet, som inte är en myndighet, ansvaret för registret. Det har även ifrågasatts om behandling av uppgifter om personer som har blivit avstängda av en arrangör ska tillåtas på det sätt som utredningen föreslår. Det kan också uppfattas som en svaghet att betänkandet inte innehåller någon närmare analys av vilka personuppgifter som det finns behov för klubbar och andra att hantera för att uppnå syftet med behandlingen och därmed inte heller om hanteringens förenlighet med personuppgiftslagen eller om det är ändamålsenligt att möta behovet med lagstiftning.

Ds 2013:XX

Bilaga

Mot bakgrund av de brister i förslaget som påtalats av remissinstanserna och behovet av att fördjupa analysen i vissa avseenden behöver ett kompletterande och i vissa avseenden förnyat beredningsunderlag tas fram. En utredare bör därför ges i uppdrag att biträda Justitiedepartementet med att ta fram ett sådant underlag.

Uppdraget

Utredaren ska efter samråd med företrädare för idrottsrörelsen, göra en förnyad och mer djupgående bedömning av vilka personuppgifter som det finns behov av att behandla för att arrangörer av idrottsarrangemang ska kunna hantera och få tillgång till de personuppgifter som är nödvändiga för att förhindra att personer med tillträdesförbud eller arrangörsavstängningar får tillträde till idrottsarrangemangen och hur detta behov förhåller sig till personuppgiftslagens regler.

Utredaren ska i detta sammanhang särskilt beakta den avvägning som måste göras mellan behovet av att hantera en uppgift och det integritetsintrång hanteringen innebär.

Utredaren ska lämna de författningsförslag som han eller hon bedömer vara nödvändiga och ändamålsenliga för att detta syfte ska kunna tillgodoses.

Vid utförandet av uppdraget ska utredaren beakta och utgå från det förslag om ett nationellt register som lämnats i delbetänkandet Mindre våld för pengarna (SOU 2012:23) och de synpunkter som remissinstanserna lämnat angående detta.

Utredaren ska särskilt redovisa sin bedömning av om det är lämpligt att ett nationellt register omfattar såväl tillträdesförbud som arrangörsavstängningar. Det står utredaren fritt att föreslå

Bilaga Ds 2013:XX

separata lösningar för tillträdesförbud och arrangörsavstängningar.

Härutöver ska utredaren särskilt överväga vem som ska vara personuppgiftsansvarig och registerförare för de olika register som kan bli aktuella.

Utredaren ska också redovisa sin bedömning av i vilken utsträckning det är lämpligt att olika aktörer får direktåtkomst till uppgifter i ett centralt register. Polis och åklagares rätt att vid behov få del av uppgifter i ett sådant register ska säkerställas.

Utredaren ska samråda med Datainspektionen och vid behov med andra berörda myndigheter och organisationer.

Det står utredaren fritt att ta upp och belysa även andra frågor inom ramen för uppdraget.

Utredaren ska redovisa de ekonomiska konsekvenserna av förslaget och hur eventuella ökade kostnader bör finansieras.

Uppdraget ska redovisas senast den 15 november 2013.