Ds 2018:12

Anpassning av lagen om passagerarregister till EU:s dataskyddsreform

Sammanfattning

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen. Förordningen ska börja tillämpas den 25 maj 2018.

Samtidigt med dataskyddsförordningen antogs Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan dataskyddsdirektivet. Direktivet ska vara genomfört i svensk rätt senast den 6 maj 2018.

I promemorian görs bedömningen att dataskyddsförordningen och dataskyddsdirektivet ger utrymme för en sådan särskild reglering om personuppgiftsbehandling som finns i lagen (2006:444) om passagerarregister. Samtidigt görs bedömningen att det krävs vissa ändringar i lagen för att anpassa den till de nya regelverken. I promemorian lämnas förslag till sådana ändringar.

1. Författningsförslag

1.1. Förslag till lag om ändring i lagen (2006:444) om passagerarregister

Härigenom föreskrivs i fråga om lagen (2006:444) om passagerarregister

dels att 2, 3 och 6–10 §§ och rubrikerna närmast före 2 och 10 §§

ska ha följande lydelse,

dels att det ska införas tre nya paragrafer, 2 a, 2 b och 11 §§, och

närmast före 11 § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Lagens tillämpningsområde Förhållandet till annan reglering

2 §

1

Om inget annat följer av denna lag eller föreskrifter som har meddelats med stöd av den, tillämpas personuppgiftslagen (1998:204) vid behandlingen av personuppgifter i passagerarregistret.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

1 Ändringen innebär bl.a. att andra stycket tas bort.

Författningsförslag Ds 2018:12

En registrerad person har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.

2 a §

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

2 b §

När en behörig myndighet behandlar personuppgifter enligt denna lag för syften som faller inom tillämpningsområdet för brottsdatalagen (2018:000) gäller brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

3 §

2

I denna lag avses med

personkontroll: kontroll av personer vid inresa i Sverige, Schengenkonventionen: konventionen om tillämpning av

Schengenavtalet av den 14 juni 1985.

De begrepp som i övrigt används i denna lag har samma

2Ändringen innebär att andra stycket tas bort.

Ds 2018:12 Författningsförslag

betydelse som i personuppgiftslagen (1998:204) .

6 §

3

Personuppgifter ur passagerarregistret ska lämnas ut på begäran av Säkerhetspolisen och Tullverket för sådan verksamhet som avses i 4 §.

Regeringen

får

meddela

föreskrifter om att uppgifter ur registret ska lämnas ut även till annan myndighet än dem som anges i första stycket för sådan verksamhet som avses i 4 §.

Regeringen kan med stöd av

8 kap. 7 § regeringsformen

meddela föreskrifter om att uppgifter ur registret ska lämnas ut även till annan myndighet än dem som anges i första stycket för sådan verksamhet som avses i 4 §.

7 §

Personuppgifter ur passagerarregistret får inte lämnas ut på medium för

automatiserad behandling.

Personuppgifter ur passagerarregistret får lämnas ut

elektroniskt annat sätt än genom direktåtkomst om det inte är olämpligt.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt första stycket.

8 §

4

Säkerhetspolisen får för sådan verksamhet som avses i 4 § ha direktåtkomst till personuppgifterna i passagerarregistret.

Regeringen

får

meddela

föreskrifter om att även annan

myndighet får ha direktåtkomst

till registret för sådan

Regeringen kan med stöd av

8 kap. 7 § regeringsformen

meddela föreskrifter om att även

Tullverket

får ha

3 Senaste lydelse 2014:657. 4 Senaste lydelse 2014:657.

Författningsförslag Ds 2018:12

verksamhet som avses i 4 §. direktåtkomst till registret för sådan verksamhet som avses i 4 §.

9 §

5

En uppgift i passagerarregistret ska gallras inom 24 timmar efter överföringen till Polismyndigheten.

Om uppgifter i registret behövs för att Polismyndigheten, Säkerhetspolisen eller Tullverket ska kunna verkställa personkontroller enligt 4 §, får uppgifterna i registret dock stå kvar till dess att myndighetens kontroller är slutförda.

Regeringen

får

meddela

föreskrifter om att uppgifter i registret får stå kvar till dess att någon annan myndighet, som behöver uppgifterna för att kunna verkställa personkontroller enligt 4 §, har slutfört kontrollerna.

Regeringen kan med stöd av

8 kap. 7 § regeringsformen

meddela föreskrifter om att uppgifter i registret får stå kvar till dess att någon annan myndighet, som behöver uppgifterna för att kunna verkställa personkontroller enligt 4 §, har slutfört kontrollerna.

Rättelse och skadestånd

Skadestånd

inom

tillämpningsområdet för brottsdatalagen

10 §

Vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen gäller bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd.

Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till lagen. Detta gäller endast vid behandling av personuppgifter som omfattas av tillämpningsområdet för

5 Senaste lydelse 2014:657.

Ds 2018:12 Författningsförslag

brottsdatalagen .

Rätten att göra invändningar

11 §

Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

1. Denna lag träder i kraft den 1 mars 2019. 2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.

Författningsförslag Ds 2018:12

1.2. Förslag till lag om ändring i utlänningslagen (2005:716)

Härigenom föreskrivs att 9 kap. 3 e § utlänningslagen (2005:716)

6

ska upphöra att gälla vid utgången av februari 2019.

6 Senaste lydelse av 9 kap. 3 e § 2006:447.

2. Ärendet

Europeiska unionen har enats om en genomgripande dataskyddsreform som ska vara genomförd under våren 2018. Reformen omfattar dels Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), dels Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

Denna promemoria innehåller en analys av vilka ändringar i framför allt lagen om passagerarregister som föranleds av dataskyddsreformen. Dessutom lämnas de författningsförslag som bedöms nödvändiga för en sådan anpassning. I promemorian behandlas också en begäran från Tullverket om att få direktåtkomst till personuppgifterna i passagerarregistret (Ju2017/02018/L7).

3. Bestämmelser om behandling av personuppgifter

3.1. Nuvarande reglering i Sverige och inom EU

3.1.1 1995 års dataskyddsdirektiv, dataskyddsrambeslutet

och personuppgiftslagen

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (1995 års dataskyddsdirektiv). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Direktivet gäller inte för behandling av personuppgifter utanför gemenskapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

Den nuvarande EU-regleringen i rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) är tillämpligt på informationsutbyte över gränserna. Dataskyddsrambeslutet är alltså tillämpligt på uppgifter som överförs eller görs tillgängliga mellan medlemsstater eller mellan medlemsstater och EU-organ och vissa informationssystem. Dataskyddsrambeslutet gäller däremot inte för rent nationell personuppgiftsbehandling. Från tillämpningsområdet undantas också personuppgiftsbehandling inom området nationell säkerhet.

Bestämmelser om behandling av personuppgifter Ds 2018:12

1995 års dataskyddsdirektiv har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204). Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgiftslagen följer i princip direktivets struktur och innehåller liksom direktivet bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter, information till den registrerade, skadestånd och straff. Personuppgiftslagen är tillämplig även utanför EUrättens område och gäller både för myndigheter och enskilda som behandlar personuppgifter.

Personuppgiftslagen är subsidiär, vilket innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i annan lag eller förordning. Det finns en stor mängd sådana bestämmelser i vad som brukar kallas särskilda registerförfattningar eller andra informationshanteringsförfattningar, som framför allt reglerar hur olika myndigheter får behandla personuppgifter. Polisdatalagen (2010:361) och utlänningsdatalagen (2016:27) är exempel på sådana sektorsspecifika regleringar.

Vid genomförandet av dataskyddsrambeslutet bedömdes att merparten av rambeslutets artiklar motsvaras av bestämmelser i svensk rätt, dels i personuppgiftslagen, dels i berörda myndigheters registerförfattningar. De kompletterande bestämmelser som krävdes genomfördes i en särskild lag, lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

3.1.2. Lagen om passagerarregister

Europeiska unionens råd antog den 29 april 2004 direktiv 2004/82/EG om skyldighet för transportörer att lämna uppgifter om passagerare, det s.k. API-direktivet. I direktivet regleras flygtransportörers skyldighet att översända förhandsinformation om passagerare (API-uppgifter) till behöriga nationella myndigheter. Syftet med direktivet är att förbättra gränskontrollerna och att bekämpa olaglig invandring. Direktivet utgör också ett led i kampen mot terrorism.

Ds 2018:12 Bestämmelser om behandling av personuppgifter

API-direktivets bestämmelser om transportörers uppgiftsskyldighet har i Sverige genomförts genom bestämmelserna i 9 kap. 3 a–f §§ utlänningslagen (2005:716). Bestämmelserna innebär att en transportör som luftvägen transporterar passagerare till Sverige direkt från en stat som inte tillhör Europeiska unionen och inte heller har slutit avtal om samarbete enligt Schengenkonventionen med konventionsstaterna, på begäran av Polismyndigheten ska överföra uppgifter om de ankommande passagerarna så snart incheckningen avslutats. Informationen ska föras över till Polismyndigheten som ska spara uppgifterna i ett passagerarregister. Uppgiftsskyldigheten omfattar bl.a. namn, födelsedatum, medborgarskap, avgångs- och ankomsttid för transporten samt det totala antalet passagerare vid transporten.

Lagen om passagerarregister är en registerförfattning som reglerar hur API-uppgifterna som har förts över till Polismyndigheten får behandlas. Lagen innehåller bl.a. bestämmelser om ändamålet med behandlingen, utlämnande av uppgifter, direktåtkomst, rättelse och skadestånd. Lagen gäller i dag utöver personuppgiftslagen. Om bestämmelserna i lagen om passagerarregister avviker från bestämmelserna i personuppgiftslagen ska alltså bestämmelserna i lagen om passagerarregister tillämpas.

3.2. EU:s dataskyddsreform

3.2.1. Dataskyddsförordningen och 2016 års dataskyddsdirektiv

Europeiska kommissionen presenterade den 25 januari 2012 förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Reformen omfattar dels en allmän dataskyddsförordning som ersätter 1995 års dataskyddsdirektiv, dels ett nytt direktiv med särregler för personuppgiftsbehandling i främst den brottsbekämpande sektorn som ersätter dataskyddsrambeslutet.

Dataskyddsförordningen kommer från och med den 25 maj 2018 att utgöra grunden för generell personuppgiftsbehandling inom EU. Det huvudsakliga syftet med förordningen är bl.a. att

Bestämmelser om behandling av personuppgifter Ds 2018:12

säkerställa en enhetlig skyddsnivå över hela unionen och att undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Förordningen kommer att vara direkt tillämplig i alla EU:s medlemsstater men förutsätter och möjliggör samtidigt kompletterande och specificerade nationella bestämmelser av olika slag.

Dataskyddsdirektivet, som ska vara genomfört i nationell rätt senast den 6 maj 2018, innehåller bestämmelser om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Även sådan personuppgiftsbehandling som utförs av behöriga myndigheter för att skydda mot, förebygga och förhindra hot mot den allmänna säkerheten ingår i tillämpningsområdet. Syftet med direktivet är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, samt att säkerställa att det utbyte av personuppgifter som krävs inom unionen mellan behöriga myndigheter varken begränsas eller förbjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.

Sådan behandling av personuppgifter som omfattas av det nya dataskyddsdirektivet är undantagen från dataskyddsförordningens tillämpningsområde (artikel 2.2 d i dataskyddsförordningen).

3.2.2. Anpassning av nationell reglering till EU:s dataskyddsreform

I propositionen Ny dataskyddslag föreslår regeringen att personuppgiftslagen ska upphävas och att en ny lag med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, ska införas (prop. 2017/18:105). Förslaget antogs av riksdagen den 18 april 2018 och träder i kraft den 25 maj 2018. Dataskyddslagen innehåller bestämmelser som kompletterar dataskyddsförordningen på ett generellt plan i svensk rätt. Enligt övergångsbestämmelserna till lagen (p. 5) gäller personuppgiftslagen fortfarande i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen. Dataskyddslagen är subsidiär i

Ds 2018:12 Bestämmelser om behandling av personuppgifter

förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i sektorsspecifika registerförfattningar.

I propositionen Brottsdatalag föreslår regeringen att det nya dataskyddsdirektivet ska genomföras i svensk rätt huvudsakligen genom en ny ramlag, brottsdatalagen (prop. 2017/18:232). Lagen ska vara generellt tillämplig inom det område som direktivet reglerar men subsidiär i förhållande till annan lag eller förordning. Lagen, som föreslås träda i kraft den 1 augusti 2018, har ännu inte antagits av riksdagen.

I lagrådsremissen Brottsdatalag – kompletterande lagstiftning föreslås de anpassningar som krävs i vissa centrala författningar om rättsväsendets personuppgiftsbehandling, t.ex. polisdatalagen och åklagardatalagen (2015:433).

Denna promemoria utgår från att brottsdatalagen och lagförslagen i lagrådsremissen kommer att få det innehåll som föreslås där.

4. Anpassning av bestämmelserna i lagen om passagerarregister

4.1. Utgångspunkter

Lagen om passagerarregister har i princip inte tillämpats sedan den trädde ikraft 2006. Sedan 2017 tillämpas den dock i begränsad omfattning. Det finns genom den praktiska tillämpningen därför inte några erfarenheter av om bestämmelserna i lagen är ändamålsenligt utformade. Bestämmelserna i lagen genomför APIdirektivet. Det får förutsättas att det vid utformningen av regleringen gjordes noggranna avvägningar mellan intressen som enskildas personliga integritet och de berörda myndigheternas verksamhetsbehov, t.ex. när det gäller direktåtkomst (prop. 2005/06:129). Det finns därför inte skäl att generellt ompröva tidigare ställningstaganden och göra en allmän översyn av lagen. Utgångspunkten för förslagen i denna promemoria är alltså att huvuddragen i den nuvarande regleringen bör behållas. Det huvudsakliga syftet med promemorian är i stället att bedöma vilka anpassningar som är nödvändiga med anledning av EU:s dataskyddsreform. Som framgår av avsnitt 4.9, 4.10 och 4.12 lämnas dock förslag som inte är en direkt följd av reformen, utan som bl.a. syftar till att göra regleringen mer ändamålsenlig.

4.2. Anpassning till både dataskyddsförordningen och brottsdatalagen

Bedömning: Behandlingen av personuppgifter enligt lagen om

passagerarregister faller inom både dataskyddsförordningens och brottsdatalagens tillämpningsområde.

Anpassning av bestämmelserna i lagen om passagerarregister Ds 2018:12

Skälen för bedömningen

Vilket regelverk är tillämpligt?

Vid en anpassning av lagen om passagerarregister till EU:s dataskyddsreform är en inledande fråga vilket regelverk som är tillämpligt; dataskyddsförordningen eller brottsdatalagen.

Den föreslagna brottsdatalagen gäller enligt 1 kap. 2 § för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också vid behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet. För att brottsdatalagen ska vara tillämplig krävs alltså dels att den som behandlar personuppgifter är en behörig myndighet, dels att behandlingen utförs för något av de syften som anges i lagen. Med behörig myndighet avses bl.a. en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder, eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte (1 kap. 6 § brottsdatalagen). Exempelvis är Polismyndigheten en behörig myndighet när den behandlar personuppgifter som omfattas av lagens tillämpningsområde.

Personuppgiftsbehandling inom brottsdatalagens tillämpningsområde är undantagen från dataskyddsförordningens tillämpningsområde. Syftet med personuppgiftsbehandlingen enligt lagen om passagerarregister blir därför avgörande för vilket regelverk som är tillämpligt. API-direktivet syftar enligt artikel 1 till att förbättra gränskontrollerna och bekämpa olaglig invandring genom att transportörer översänder förhandsuppgifter om passagerare. Vidare anges i artikel 6 att personuppgifter ska översändas i syfte att underlätta verkställandet av personkontroller vid de yttre gränser som passeras när passagerarna reser in på en medlemsstats territorium för att mer effektivt kunna bekämpa den olagliga invandringen. I lagen om passagerarregister är syftet annorlunda uttryckt. Enligt 4 § ska passagerarregistret föras för att

Ds 2018:12 Anpassning av bestämmelserna i lagen om passagerarregister

underlätta verkställandet av personkontroller vid Sveriges gräns mot stater som inte tillhör EU och inte heller har träffat avtal om samarbete enligt Schengenkonventionen med konventionsstaterna. Bedömningen av vilken reglering som är tillämplig på personuppgiftsbehandling enligt lagen bör därför ta sin utgångspunkt i syftet med personkontrollen.

Personkontrollen kan ha flera syften

Enligt 9 kap. 1 § utlänningslagen ansvarar Polismyndigheten för kontroll av personer enligt kodexen om Schengengränserna. Tullverket och Kustbevakningen är skyldiga att hjälpa Polismyndigheten vid sådan kontroll och Migrationsverket får efter överenskommelse hjälpa till vid kontrollen. Personkontrollen, som är en del av den svenska gränskontrollen, syftar bl.a. till att kontrollera behörigheten för icke-svenska medborgare att resa in och vistas här i landet. Kontrollen inriktas då på att identitet, pass, visering och andra handlingar är i ordning. Personkontrollen kan även ha brottsbekämpande syften, t.ex. att förhindra gränsöverskridande brottslighet och att kontrollera om den inresande är efterlyst för brott. Kontrollen är också ett verktyg för att avvärja hot mot allmän ordning och säkerhet. Att kontrollen innefattar såväl migrationskontroll som brottsbekämpning anfördes i förarbetena som skäl för att passagerarregistret skulle regleras i en egen registerförfattning, och inte i den dåvarande polisdatalagen (1998:622) som främst innehöll bestämmelser om register för den brottsbekämpande verksamheten (prop. 2005/06:129 s. 48).

Det dubbla syftet innebär att behandling av personuppgifter enligt lagen om passagerarregister kan falla inom både dataskyddsförordningens och brottsdatalagens tillämpningsområde. Det finns därför behov av att se över vilka anpassningar av lagens bestämmelser som krävs i förhållande till båda regelverken.

Anpassning av bestämmelserna i lagen om passagerarregister Ds 2018:12

Gränsdragningsfrågor

Vilket regelverk som ska tillämpas i det enskilda fallet beror på syftet med personuppgiftsbehandlingen. I det enskilda fallet blir det myndigheten och den handläggande tjänstemannen som får avgöra vilken lagstiftning som är tillämplig. Detta är ett resultat av den nya EU-regleringen på området som är svårt att undvika. I vissa fall kan samma personuppgiftsbehandling ha flera olika syften, varav det ena ligger inom brottsdatalagens tillämpningsområde och det andra utanför. Ett sådant exempel är just kontroll av pass och resehandlingar vid inresa till Sverige, som kan kontrolleras både med avseende på om personen har rätt att resa in i Sverige (innehav av giltigt pass, behov av visum och liknande) och mot bl.a. SIS-registret, som innehåller uppgifter om personer som är efterlysta för brott. Den behandling som görs med stöd av utlännings- och medborgarskapslagstiftningen ligger under dataskyddsförordningens tillämpningsområde, medan brottsdatalagen ska tillämpas på den behandling som har ett brottsbekämpande syfte. Regelverken kan då vara tillämpliga parallellt. Sådana situationer bör alltså betraktas som olika behandlingar av personuppgifter som var och en måste ha stöd i och följa gällande regelverk (prop. 2017/18:232 s. 101).

I prop. 2017/18:232 redovisar regeringen vissa principer som bör vara vägledande i gränsdragningen mellan dataskyddsförordningen och brottsdatalagen. Bland annat anges att personuppgiftsbehandling inom ramen för kontrollverksamhet, t.ex. gränskontrollverksamhet, ligger utanför brottsdatalagens tillämpningsområde i den mån den inte utförs i brottsbekämpande syfte. Det gäller även i de fall där kontrollen utförs av tjänstemän som också har brottsbekämpande uppgifter (s. 113).

4.3. Utrymmet för särskild reglering om personuppgiftsbehandling i lagen om passagerarregister

Bedömning: Dataskyddsförordningen och brottsdatalagen ger

utrymme för en sådan särskild reglering om behandling av personuppgifter som finns i lagen om passagerarregister.

Ds 2018:12 Anpassning av bestämmelserna i lagen om passagerarregister

Skälen för bedömningen

Dataskyddsförordningen

EU-förordningar ska enligt artikel 288 i fördraget om Europeiska unionens funktionssätt ha allmän giltighet samt vara till alla delar bindande och direkt tillämpliga i varje medlemsstat i EU. Förordningar gäller alltså fullt ut och med samma innehåll inom hela EU och ska inte genomföras i nationell rätt. En medlemsstat kan behålla eller införa nationell lagstiftning på det område som en förordning omfattar, bara om förordningen ger utrymme för det.

En förutsättning för all personuppgiftsbehandling är att den sker i enlighet med de grundläggande principerna för behandling som uppställs i artikel 5 i dataskyddsförordningen, t.ex. att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Detta förutsätter emellertid att det är fråga om sådan personuppgiftsbehandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). I enlighet med skäl 8 i dataskyddsförordningen kan medlemsstaterna dessutom under vissa förutsättningar, och i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga, införliva delar av förordningen i nationell rätt.

Enligt artikel 6.3 första stycket i dataskyddsförordningen ska de grunder för behandlingen som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller den nationella rätten. Enligt artikel 6.3 andra stycket ska vidare syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan enligt artikel 6.3 andra stycket innehålla särskilda bestämmelser för att anpassa

Anpassning av bestämmelserna i lagen om passagerarregister Ds 2018:12

tillämpningen av bestämmelserna i dataskyddsförordningen. Bestämmelserna kan bl.a. gälla de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas och vilka registrerade som berörs. Bestämmelserna kan vidare gälla de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstider samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. De särskilda bestämmelserna i den nationella rätten ska i detta avseende uppfylla ett mål av allmänt intresse och vara proportionerliga mot det legitima mål som eftersträvas.

Enligt artikel 23 i dataskyddsförordningen får begränsningar ske av vissa av de rättigheter och skyldigheter som föreskrivs i förordningen. Detta förutsätter att begränsningarna sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Det förutsätter också att begränsningen sker i syfte att säkerställa något av de ändamål som anges i artikel 23, t.ex. unionens eller en medlemsstats viktiga mål av generellt allmänt intresse eller skydd av rättsväsendets oberoende och rättsliga åtgärder.

Polismyndighetens skyldighet att föra passagerarregistret är fastställd genom lag. Personuppgiftsbehandlingen är nödvändig för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Vidare uppfyller den ett mål av allmänt intresse och är proportionell mot det legitima mål som eftersträvas. Personuppgiftsbehandling enligt lagen om passagerarregister är därmed förenlig med dataskyddsförordningens krav på laglig behandling. Som redogjorts för ovan ger dataskyddsförordningen utrymme att såväl begränsa möjligheten att behandla personuppgifter som att utöka skyldigheten genom mer specificerade krav i förhållande till förordningen. Det måste dock vara fråga om sådana begränsningar till dataskyddsförordningens bestämmelser, eller sådana specifika bestämmelser som kan anses anpassa tillämpningen av förordningens bestämmelser, som är tillåtna.

I lagen om passagerarregister finns bestämmelser om bl.a. tillåtna ändamål (4 §), vilka uppgifter som passagerarregistret får

Ds 2018:12 Anpassning av bestämmelserna i lagen om passagerarregister

innehålla (5 §), utlämnande av uppgifter (6 och 7 §§), direktåtkomst (8 §), gallring (9 §) samt rättelse och skadestånd (10 §). Bestämmelserna utgör specifika krav för uppgiftsbehandlingen som säkerställer en laglig och rättvis behandling av personuppgifter. Det bedöms vara möjligt att behålla lagens kompletterande reglering även när dataskyddsförordningen ska börja tillämpas. Det finns dock behov av att förändra regleringen om hur lagen förhåller sig till annan lagstiftning. Vidare finns det skäl att överväga om vissa av bestämmelserna bör ändras eller upphävas med anledning av dataskyddsförordningen. Detta behandlas i de följande avsnitten.

Brottsdatalagen

Ett direktiv innebär en skyldighet för medlemsstaterna att införa föreskrifter i enlighet med direktivet. Det nya dataskyddsdirektivet genomförs i huvudsak genom brottsdatalagen. Lagen är en ramlag som kommer att vara anpassad till skyldigheterna och kraven i direktivet.

I 2 kap. 1 § brottsdatalagen anges att personuppgifter får behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra sin uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Med en behörig myndighets uppgift avses en uppgift som framgår av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften. Paragrafen reglerar, tillsammans med 2 §, de tillåtna rättsliga grunderna för behandling av personuppgifter enligt lagen.

Brottsdatalagen är subsidiär i förhållande till bestämmelser i annan lag eller förordning. I avsnitt 4.4.2 föreslås att bestämmelserna i lagen om passagerarregister och anslutande föreskrifter ska ha företräde framför brottsdatalagens bestämmelser. Som nämnts innehåller lagen om passagerarregister specifika bestämmelser som bl.a. preciserar syftet med behandlingen, vilka personuppgifter som får behandlas och behandlingens ändamål. Att Polismyndigheten åläggs att föra ett passagerarregister innebär att myndigheten uttryckligen getts en

Anpassning av bestämmelserna i lagen om passagerarregister Ds 2018:12

uppgift som omfattas av de syften som ingår i brottsdatalagens tillämpningsområde. Brottsdatalagen ger därför utrymme för en sådan särskild reglering om behandling av personuppgifter som finns i lagen om passagerarregister. Det finns dock även i förhållande till brottsdatalagen behov av att göra vissa anpassningar av bestämmelserna i lagen. Detta behandlas i de följande avsnitten.

4.4. Förhållandet till annan lagstiftning

4.4.1. Förhållandet till den generella dataskyddsregleringen

Förslag: Bestämmelsen i lagen om passagerarregister om hur

lagen förhåller sig till personuppgiftslagen ska upphävas och alla hänvisningar till personuppgiftslagen ska tas bort. I lagen införs i stället en bestämmelse som klargör att lagen kompletterar EU:s dataskyddsförordning.

Det införs också en bestämmelse som anger att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om passagerarregister eller föreskrifter som har meddelats i anslutning till lagen.

Skälen för förslagen

Hänvisningarna till personuppgiftslagen tas bort

I 2 § första stycket lagen om passagerarregister regleras lagens förhållande till personuppgiftslagen. Om inget annat följer av lagen om passagerarregister eller föreskrifter som har meddelats med stöd av den, tillämpas personuppgiftslagen vid behandlingen av personuppgifter i passagerarregistret. Enligt 3 § har de begrepp som används i lagen samma betydelse som i personuppgiftslagen, bortsett från två specifika definitioner. Vidare anges i 10 § att bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt lagen om passagerarregister, eller enligt föreskrifter som har meddelats med stöd av lagen.

Ds 2018:12 Anpassning av bestämmelserna i lagen om passagerarregister

När dataskyddsförordningen börjar tillämpas den 25 maj 2018 kommer personuppgiftslagen att upphävas, vilket innebär att hänvisningar till personuppgiftslagen inte kan finnas kvar. Bestämmelsen om hur lagen om passagerarregister förhåller sig till personuppgiftslagen bör därför upphävas och alla hänvisningar till personuppgiftslagen tas bort. Som anges i avsnitt 3.2.2 kommer personuppgiftslagen dock fortfarande gälla i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen.

Förhållandet till dataskyddsförordningen

Dataskyddsförordningen kommer när den börjar tillämpas att utgöra den generella reglering för behandling av personuppgifter som lagen om passagerarregister måste anpassas till. Lagen om passagerarregister kommer, som konstateras i avsnitt 4.3, att innehålla bestämmelser som kompletterar dataskyddsförordningen. Det bör införas en bestämmelse i lagen som upplyser om detta.

De hänvisningar som föreslås i promemorian bör vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att eventuella ändringar i dataskyddsförordningen får omedelbart genomslag. Det kan emellertid inte uteslutas att lagen om passagerarregister ändå kan behöva ändras i samband med framtida ändringar i förordningen.

Förhållandet till dataskyddslagen

Lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) innehåller de bestämmelser som på ett generellt plan kompletterar dataskyddsförordningen. Dataskyddslagen är, i likhet med personuppgiftslagen, subsidiär i förhållande till bestämmelser i annan lag eller förordning (1 kap. 6 §). Lagen om passagerarregister bör ha motsvarande förhållande till dataskyddslagen som den har till personuppgiftslagen. Dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen bör alltså gälla, om inte annat följer av lagen om passagerarregister eller anslutande föreskrifter.

Anpassning av bestämmelserna i lagen om passagerarregister Ds 2018:12

Det bör införas en bestämmelse i lagen om passagerarregister som upplyser om detta.

4.4.2. Förhållandet till brottsdatalagen och polisdatalagen

Förslag: När en behörig myndighet behandlar personuppgifter

enligt lagen om passagerarregister för syften som faller inom brottsdatalagens tillämpningsområde gäller brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av lagen om passagerarregister eller föreskrifter som har meddelats i anslutning till lagen. En bestämmelse med sådant innehåll ska införas i lagen om passagerarregister.

Skälen för förslaget

Förhållandet till brottsdatalagen

Personuppgiftsbehandling enligt lagen om passagerarregister som sker för brottsbekämpande syften faller inom brottsdatalagens tillämpningsområde (se avsnitt 4.2). Denna promemoria utgår från att brottsdatalagen kommer att få det innehåll som föreslås i prop. 2017/18:232 (se avsnitt 3.2.2). Även brottsdatalagen är subsidiär i förhållande till bestämmelser i annan lag eller förordning (1 kap. 5 § brottsdatalagen). Det bör i lagen om passagerarregister införas en bestämmelse som anger att brottsdatalagen och anslutande föreskrifter gäller, om inte annat följer av lagen om passagerarregister eller föreskrifter som har meddelats i anslutning till den.

Förutom att syftet med personuppgiftsbehandlingen är avgörande för om brottsdatalagen är tillämplig krävs det också att myndigheten agerar i egenskap av behörig myndighet enligt den lagen. Bestämmelsen i lagen om passagerarregister bör anpassas till detta.

Ds 2018:12 Anpassning av bestämmelserna i lagen om passagerarregister

Förhållandet till polisdatalagen

Polisdatalagen är en registerförfattning som gäller vid behandling av personuppgifter i brottsbekämpande verksamhet vid bl.a. Polismyndigheten (1 kap. 2 §). Lagen gäller dock inte vid behandling av personuppgifter enligt vissa uppräknade lagar, bl.a. lagen om passagerarregister (1 kap. 3 §). Bestämmelsen föreslås finnas kvar även efter översynen med anledning av det nya dataskyddsdirektivet och förslaget till brottsdatalag (lagrådsremissen Brottsdatalag – kompletterande lagstiftning, s. 165.). Som anförs i avsnitt 4.2 bedömdes det vid införandet av lagen om passagerarregister nödvändigt med en egen registerförfattning för behandlingen av passageraruppgifter. Skälet var att gränskontrollverksamheten innefattar både migrationskontroll och brottsbekämpning. I den mån brottsdatalagen gäller vid behandling av personuppgifter i passagerarregistret, ska alltså polisdatalagen inte tillämpas.

4.4.3. Inga hänvisningar i upplysningssyfte

Bedömning: Det bör inte införas några hänvisningar till

dataskyddsförordningen, dataskyddslagen eller brottsdatalagen endast i upplysningssyfte.

Skälen för bedömningen: I lagen om passagerarregister finns som

nämnts vissa hänvisningar till personuppgiftslagens bestämmelser. Det skulle kunna ligga nära till hands att ersätta hänvisningarna till personuppgiftslagen med hänvisningar till motsvarande innehåll i dataskyddsförordningen, dataskyddslagen och brottsdatalagen. Att enbart i upplysningssyfte hänvisa till vissa bestämmelser i dessa regelverk, som dessutom är relativt komplexa, innebär emellertid en risk för otydlighet för tillämparen. Vidare finns det risk för missuppfattningen att de bestämmelser i regelverken som det inte hänvisas till inte är tillämpliga. Dataskyddsförordningen är dessutom direkt tillämplig. Det bör därför inte införas några sådana hänvisningar i lagen om passagerarregister.

Anpassning av bestämmelserna i lagen om passagerarregister Ds 2018:12

4.5. Ändamålsbestämmelsen

Bedömning:

Ändamålsbestämmelsen i lagen om

passagerarregister är förenlig med dataskyddsförordningen och brottsdatalagen och kan behållas.

Skälen för bedömningen: En allmän dataskyddsrättslig princip är

att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Lagen om passagerarregister innehåller, i likhet med många andra registerförfattningar, en verksamhetsspecifik ändamålsbestämmelse som anger den yttersta ram inom vilken personuppgifter får behandlas. Enligt 4 § ska passagerarregistret föras för att underlätta verkställandet av personkontroller vid Sveriges gräns mot stater som inte tillhör Europeiska unionen och inte heller har träffat avtal om samarbete enligt Schengenkonventionen med konventionsstaterna.

Ändamålsbestämmelser i lagstiftning som reglerar myndigheters personuppgiftsbehandling är en slags specifika bestämmelser som anpassar tillämpningen av dataskyddsförordningen och säkerställer en laglig och rättvis behandling. Sådana bestämmelser är tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförordningen. I enlighet med artikel 23.2 a i dataskyddsförordningen ska dessutom, när så är relevant, lagstiftning som begränsar tillämpningsområdet för förordningens rättigheter och skyldigheter innehålla specifika ändamålsbestämmelser. Dataskyddsförordningen ger alltså utrymme för att ha bestämmelser om tillåtna ändamål i nationella registerförfattningar. Den nuvarande ändamålsbestämmelsen i lagen om passagerarregister bedöms därför vara förenlig med dataskyddsförordningen.

I 2 kap. 3 § brottsdatalagen anges att personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålet i lagen om passagerarregister är tillräckligt preciserat för att det ska kunna avgöras om de personuppgifter som behandlas är adekvata och relevanta för ändamålet med behandlingen. Ändamålet är också berättigat i förhållande till den rättsliga grunden. Ändamålsbestämmelsen bedöms därför vara förenlig även med brottsdatalagen. Bestämmelsen kan alltså behållas.

Ds 2018:12 Anpassning av bestämmelserna i lagen om passagerarregister

4.6. Personuppgiftsansvar

Bedömning: Bestämmelsen i lagen om passagerarregister om

personuppgiftsansvar är förenlig med dataskyddsförordningen och brottsdatalagen och kan behållas.

Skälen för bedömningen: Av 1 § lagen om passagerarregister

framgår att Polismyndigheten är personuppgiftsansvarig för behandlingen av personuppgifter i passagerarregistret.

Dataskyddsförordningens reglering om personuppgiftsansvar innebär att det som huvudregel fortfarande är den som ensam eller tillsammans med andra bestämmer ändamålen för och medlen för behandlingen av personuppgifter som är personuppgiftsansvarig. Den personuppgiftsansvarige eller de särskilda kriterierna för hur denna ska utses kan emellertid i enlighet med artikel 4.7 också föreskrivas i medlemsstaternas nationella rätt.

Brottsdatalagens definition av personuppgiftsansvarig liknar förordningens (1 kap. 6 § brottsdatalagen). Enligt brottsdatalagen kan dock endast behöriga myndigheter vara personuppgiftsansvariga. Polismyndigheten är en behörig myndighet när den behandlar personuppgifter enligt lagen om passagerarregister för brottsbekämpande syften (jfr 1 kap.2 och 6 §§brottsdatalagen).

Dataskyddsförordningen och brottsdatalagen ger därmed utrymme för att behålla den nuvarande regleringen om personuppgiftsansvar i lagen om passagerarregister. I lagen bör därför även fortsättningsvis anges att Polismyndigheten är personuppgiftsansvarig för behandlingen av personuppgifter i passagerarregistret.

4.7. Enskildas rättigheter

Förslag: Bestämmelsen i lagen om passagerarregister om rättelse

ska upphävas.

Det ska i bestämmelsen om skadestånd införas en hänvisning till brottsdatalagens bestämmelser om skadestånd.

Anpassning av bestämmelserna i lagen om passagerarregister Ds 2018:12

Bestämmelsen om att en registrerad inte har rätt att motsätta sig sådan behandling som är tillåten enligt lagen ska anpassas språkligt till dataskyddsförordningen.

Bedömning: Det bör även fortsättningsvis framgå av lagen

om passagerarregister att en registrerad inte har rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt lagen.

Skälen för förslagen och bedömningen

I lagen om passagerarregister finns vissa bestämmelser som tar sikte på enskildas rättigheter. Av 2 § andra stycket framgår att den registrerade inte har rätt att motsätta sig sådan behandling som är tillåten enligt lagen och i 10 § regleras rätten till rättelse och skadestånd genom en hänvisning till personuppgiftslagen.

Rätten att göra invändningar

Dataskyddsförordningen innehåller en rätt för den registrerade att invända mot behandling av personuppgifter i artikel 21. Där stadgas att den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning) eller 6.1 f (den allmänna intresseavvägningen som inte gäller för myndigheter när de fullgör sina uppgifter). Följden av att en invändning görs enligt artikel 21.1 är att den personuppgiftsansvarige inte längre får behandla personuppgifterna om denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

Genom artikel 23.1 i dataskyddsförordningen ges medlemsstaterna möjlighet att begränsa vissa av förordningens rättigheter och skyldigheter, inklusive rätten att göra invändningar enligt artikel 21. Enligt artikel 23.1 får en sådan begränsning göras om den sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och

Ds 2018:12 Anpassning av bestämmelserna i lagen om passagerarregister

proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa bl.a. den nationella och allmänna säkerheten, förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten, eller andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse. I artikel 23.2 anges vidare att lagstiftningsåtgärder som avses i punkt 1 ska innehålla specifika bestämmelser åtminstone, när så är relevant, avseende bl.a. ändamålen med behandlingen eller kategorierna av behandling och lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling.

Den behandling av personuppgifter som regleras i lagen om passagerarregister kan, som framgår av avsnitt 4.3, vara nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). När behandling sker på den sistnämnda grunden är rätten att göra invändningar enligt artikel 21 tillämplig. I de fall en sådan behandling sker för att fastställa, utöva eller försvara ett rättsligt anspråk kan den personuppgiftsansvarige, i enlighet med artikel 21.1, fortsätta att behandla uppgifterna även efter en invändning från den enskilde.

Det är bl.a. av brottsbekämpande skäl av stor betydelse att personuppgifter får behandlas i verksamhet som avser verkställandet av personkontroller oberoende av den registrerades inställning. Den personuppgiftsansvarige kan i princip undantagslöst visa på skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet. Under dessa omständigheter, och för att fullt ut säkerställa förutsättningarna att behandla relevanta personuppgifter, bör den registrerade inte heller fortsättningsvis ha någon rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt lagen. En sådan begränsning måste anses utgöra en nödvändig och proportionell åtgärd i syfte att säkerställa ett viktigt mål av generellt allmänt intresse. Lagen om passagerarregister innehåller dessutom specifika bestämmelser om ändamålet med behandlingen, de kategorier av personuppgifter som får behandlas samt gallring. Regleringen

Anpassning av bestämmelserna i lagen om passagerarregister Ds 2018:12

innebär en relativt snäv ram för personuppgiftsbehandlingen och minimerar risken för kränkning av den registrerades rättigheter och friheter. Den får därför anses uppfylla de krav som ställs i artikel 23.2 i dataskyddsförordningen.

Bestämmelsen i 2 § andra stycket lagen om passagerarregister om att en registrerad inte har rätt att motsätta sig behandling kan med utgångspunkt i dataskyddsförordningen därför i princip behållas. Den bör dock omformuleras så att det tydligt framgår att den utgör en begränsning av rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen. Bestämmelsen bör även ges en annan placering i lagen. Detta innebär inte någon förändring i sak.

Det finns i brottsdatalagen inga motsvarande bestämmelser om rätt att göra invändningar som i dataskyddsförordningen. Den föreslagna bestämmelsen i lagen om passagerarregister är alltså förenlig även med brottsdatalagen.

Rättelse

Enligt 28 § personuppgiftslagen är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen. Bestämmelsen gäller vid behandling av personuppgifter enligt lagen om passagerarregister (10 §). Av 28 § personuppgiftslagen framgår också att den personuppgiftsansvarige i vissa fall ska underrätta tredje man, till vilken uppgifterna har lämnats ut, om korrigeringsåtgärden. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Regleringen i 28 § personuppgiftslagen motsvaras i dataskyddsförordningen av artikel 16 om rätten till rättelse, artikel 17 om rätten till radering, artikel 18 om rätten till begränsning av behandling och artikel 19 om anmälningsskyldighet avseende rättelse, radering eller begränsning av behandling. Artikel 16 innebär att den registrerade har rätt att utan onödigt dröjsmål få felaktiga personuppgifter rättade. Den registrerade har även rätt att, med beaktande av ändamålet med behandlingen, komplettera ofullständiga uppgifter. Artikel 17 innebär att den registrerade

Ds 2018:12 Anpassning av bestämmelserna i lagen om passagerarregister

under vissa förutsättningar har rätt att utan onödigt dröjsmål få sina personuppgifter raderade, bl.a. om personuppgifterna har behandlats på ett olagligt sätt. Av artikel 18 följer att den registrerade har rätt att kräva att behandlingen begränsas, bl.a. om behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning. Enligt artikel 19 ska den personuppgiftsansvarige underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella rättelser eller radering eller begränsningar av behandling som skett enligt artiklarna 16, 17.1 och 18, om detta inte visar sig vara omöjligt eller medför en oproportionell ansträngning.

Utformningen av dessa artiklar innebär att de, till skillnad från 28 § personuppgiftslagen, kommer vara direkt tillämpliga även vid sådan personuppgiftsbehandling som sker i strid med lagen om passagerarregister. Någon hänvisning till dataskyddsförordningens bestämmelser om rättelse behövs därför inte.

I 4 kap. 9 § brottsdatalagen regleras i vilka fall den enskilde kan begära bl.a. rättelse och begränsning av behandling av personuppgifter som behandlas inom brottsdatalagens tillämpningsområde. I 4 kap. 10 § brottsdatalagen regleras den enskildes rätt att vid otillåten behandling av personuppgifter begära radering, eller, om personuppgifterna behöver finnas kvar av bevisskäl, begränsning av behandlingen. Dessa bestämmelser är generella och inte begränsade till behandling som sker enligt brottsdatalagen. Brottsdatalagen föreslås att gälla inom tillämpningsområdet för lagen om passagerarregister, under förutsättning att annat inte följer av lagen om passagerarregister eller anslutande föreskrifter (avsnitt 4.4.2). Det krävs därför inte någon hänvisning till bestämmelserna i brottsdatalagen för att de ska bli tillämpliga även vid personuppgiftsbehandling enligt lagen om passagerarregister.

Skadestånd

Artikel 82 i dataskyddsförordningen föreskriver att en person ska ha rätt till ersättning för skada som denne har lidit till följd av en överträdelse av förordningen. Av skäl 146 i

Anpassning av bestämmelserna i lagen om passagerarregister Ds 2018:12

dataskyddsförordningen framgår att med behandling som strider mot förordningen avses också behandling som strider mot medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser. I 7 kap. 1 § dataskyddslagen tydliggörs att rätten till ersättning enligt dataskyddsförordningen även gäller vid överträdelser av dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen. Att bestämmelsen i dataskyddslagen blir tillämplig följer av förslaget att dataskyddslagen ska gälla vid behandling av personuppgifter enligt lagen om passagerarregister om inte annat följer av den sistnämnda lagen eller anslutande föreskrifter (avsnitt 4.4.1). Någon hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen eller dataskyddslagen behövs därför inte i lagen om passagerarregister.

Enligt 7 kap. 1 § brottsdatalagen ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den personliga integriteten som personuppgiftsbehandling i strid med brottsdatalagen, eller föreskrifter som har meddelats i anslutning till den, har orsakat. Lagen om passagerarregister hänvisar i 10 § till bestämmelserna om skadestånd i personuppgiftslagen. Rätten till skadestånd vid skada och kränkning bör vara densamma när personuppgifter behandlas i strid med bestämmelserna i lagen om passagerarregister, för syften som faller inom brottsdatalagens tillämpningsområde, som vid behandling i strid med brottsdatalagen. Det bör framgå genom att det i lagen om passagerarregister föreskrivs att 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter i strid med lagen om passagerarregister eller anslutande föreskrifter. Det bör anges att bestämmelsen endast gäller vid behandling av personuppgifter inom brottsdatalagens tillämpningsområde.

4.8. Utlämnande av uppgifter

Bedömning: Bestämmelsen i lagen om passagerarregister om

utlämnande av uppgifter är förenlig med dataskyddsförordningen och brottsdatalagen och kan behållas.

Ds 2018:12 Anpassning av bestämmelserna i lagen om passagerarregister

Skälen för bedömningen: Enligt 6 § lagen om passagerarregister

ska personuppgifter ur passagerarregistret lämnas ut på begäran av Säkerhetspolisen och Tullverket för sådan verksamhet som avses i ändamålsbestämmelsen i 4 §. Regeringen får meddela föreskrifter om att uppgifter ur registret ska lämnas ut även till annan myndighet för sådan verksamhet. Regeringen har inte utnyttjat sin föreskriftsrätt.

Bestämmelsen om utlämnande av uppgifter syftar till att möjliggöra ett informationslämnande som annars skulle förhindras av sekretess. Reglering som syftar till att bryta sekretess får anses vara sådana preciseringar av principer om personuppgiftsbehandling som är tillåtna enligt artikel 6.2 i dataskyddsförordningen. Sekretessbrytande reglering förhindras inte heller av brottsdatalagen. Bestämmelsen i lagen om passagerarregister om utlämnande av uppgifter bedöms därför kunna behållas.

I avsnitt 4.12 föreslås att bestämmelsen om regeringens föreskriftsrätt omformuleras till en upplysningsbestämmelse.

4.9. Direktåtkomst

Förslag: Regeringens föreskriftsrätt om direktåtkomst ska

preciseras genom att det i lagen om passagerarregister anges att regeringen kan meddela föreskrifter om att Tullverket får ha direktåtkomst till registret för sådan verksamhet som avses i ändamålsbestämmelsen.

Bedömning: Bestämmelsen om direktåtkomst är förenlig

med dataskyddsförordningen och brottsdatalagen och kan behållas.

Skälen för förslaget och bedömningen

Dataskyddsförordningen och brottsdatalagen reglerar inte hur personuppgifter tillhandahålls

I 8 § lagen om passagerarregister anges att Säkerhetspolisen får ha direktåtkomst till personuppgifterna i passagerarregistret för sådan verksamhet som avses i ändamålsbestämmelsen i 4 §. Regeringen

Anpassning av bestämmelserna i lagen om passagerarregister Ds 2018:12

får meddela föreskrifter om att även annan myndighet får ha direktåtkomst till registret för sådan verksamhet. Regeringen har inte utnyttjat sin föreskriftsrätt.

Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. Enligt Informationshanteringsutredningen bör direktåtkomst anses föreligga om en myndighet hos en annan myndighet har sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen, dvs. om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (SOU 2015:39, s. 390 f.). Högsta förvaltningsdomstolen använde i rättsfallet HFD 2015 ref. 61 samma definition av direktåtkomst. I begreppet direktåtkomst ligger också att den som är personuppgiftsansvarig för registret eller databasen saknar kontroll över vilka uppgifter som den som har direktåtkomst vid ett visst tillfälle tar del av. Från integritetssynpunkt har det därför ansetts viktigt att frågor om tillgång till uppgifter genom direktåtkomst regleras särskilt i registerlagstiftningarna (se t.ex. prop. 2000/01:129, s. 73 f. och prop. 2001/02:144, s. 35 f.).

Varken dataskyddsförordningen eller brottsdatalagen innehåller några bestämmelser som specifikt reglerar frågan om elektroniskt utlämnande av personuppgifter. Det gör inte heller det nu gällande dataskyddsdirektivet eller dataskyddslagen. Att lämna ut personuppgifter elektroniskt innebär behandling av personuppgifter och ett utlämnande förutsätter därmed att reglerna om behandling av personuppgifter följs och att inte annan lagstiftning hindrar utlämnandet. Eftersom dataskyddsförordningen och brottsdatalagen inte särskilt reglerar på vilket sätt personuppgifter får lämnas ut, finns det inget som hindrar att den nuvarande bestämmelsen om direktåtkomst behålls.

I avsnitt 4.12 föreslås att bestämmelsen om regeringens föreskriftsrätt omformuleras till en upplysningsbestämmelse. Frågan är emellertid även om föreskriftsrätten bör preciseras i fråga om vilka myndigheter som ska få ha direktåtkomst. Den frågan utvecklas nedan.

Ds 2018:12 Anpassning av bestämmelserna i lagen om passagerarregister

Tullverket begär direktåtkomst till personuppgifter i passagerarregistret

Tullverket har i en skrivelse till regeringen (Ju2017/02018/L7) begärt att få direktåtkomst till personuppgifterna i passagerarregistret enligt 8 § lagen om passagerarregister. Tullverket pekar i sin skrivelse på det s.k. PNR-direktivet, vilket föreslås genomföras i svensk rätt genom lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen (se prop. 2017/18:234).

PNR-direktivet utgör ett unionsgemensamt regelverk för insamling och användning av vissa uppgifter i viss brottsbekämpande verksamhet som passagerare lämnar vid bokning av flygresor och vid incheckning. PNR-uppgifterna ska bevaras i en databas vid enheten för passagerarinformation som föreslås vara placerad vid Polismyndigheten. I PNR-uppgifter kan det även ingå API-uppgifter, som då ska behandlas enligt PNR-direktivet (se punkten 18 i bilaga I till PNR-direktivet). PNR-direktivet varken ersätter eller påverkar API-direktivet eller dess genomförande i Sverige. Regelverken kommer därför att vara parallellt tillämpliga.

Enligt Tullverket finns det ett mervärde i att behandla APIuppgifter inom ramen för passagerarregistret, tillsammans med PNR-uppgifter. Enheten för passagerarinformation kommer troligtvis bemannas med personal från bl.a. Tullverket. Att Tullverket ges direktåtkomst till passagerarregistret är enligt myndigheten nödvändigt för att personalen ska kunna utföra sina arbetsuppgifter och ha förmågan att samverka med övriga myndigheter som är placerade på enheten för passagerarinformation. Direktåtkomst är också önskvärt för att Tullverket ska kunna bistå Polismyndigheten med personkontroller. Förfrågningarna om att bistå med sådana kontroller är i dagsläget få, men eftersom fler utrikesdestinationer på svenska småflygplatser öppnas för trafik finns det enligt myndigheten anledning att anta att Tullverket kommer att utföra fler personkontroller i framtiden.

Som anges i avsnitt 4.2 ansvarar Polismyndigheten för kontroll av personer enligt kodexen om Schengengränserna. Bland annat Tullverket är skyldigt att hjälpa Polismyndigheten vid sådan kontroll. Lagen om passagerarregister trädde i kraft före kodexen om Schengengränserna. En liknande ordning för gränskontroll

Anpassning av bestämmelserna i lagen om passagerarregister Ds 2018:12

gällde i detta avseende dock redan före gränskodexen började tillämpas. Vid införandet av lagen om passagerarregister resonerade regeringen därför kring frågan om någon annan myndighet än polismyndigheterna, t.ex. Tullverket, borde kunna begära in passageraruppgifter från transportörerna samt ges direktåtkomst till registret (prop. 2005/06:129 s. 37 f och s. 79). Det anfördes bl.a. att Polisen och Tullverket hade träffat en central överenskommelse om samverkan vad gäller person- och tullkontroll vid yttre gräns. Samtidigt påpekades att Tullverket inte helt hade övertagit ansvaret för personkontroll vid någon flygplats. Om Tullverket eller någon annan myndighet i framtiden skulle få ett sådant ansvar borde de enligt regeringen dock få samma befogenheter som Polisen när det gäller möjligheten att begära in uppgifter samt ges direktåtkomst till registret. Regeringen gavs därför föreskriftsrätt om bl.a. direktåtkomst.

Det kan konstateras att det är Polismyndigheten som ansvarar för personkontrollen vid Sveriges yttre gräns. För närvarande bistår Tullverket Polismyndigheten endast i mycket begränsad omfattning vid personkontroller. Tullverket har inte heller övertagit ansvaret för personkontroll vid någon flygplats. För närvarande saknas därför skäl att frångå den bedömning som regeringen gjorde vid införandet av lagen om passagerarregister när det gäller Tullverkets möjlighet till direktåtkomst. För det fall Tullverket framöver i större utsträckning skulle bistå Polismyndigheten vid personkontroller finns dock möjlighet att, enligt 8 § andra stycket, i förordning föreskriva att Tullverket får ha direktåtkomst till personuppgifterna i passagerarregistret.

En användning av uppgifterna för de ändamål Tullverket i övrigt framfört är inte möjligt enligt lagens bestämmelser utan kräver en större översyn som inte kan tas om hand inom ramen för denna anpassning av lagens bestämmelser till EU:s dataskyddsreform.

Regeringens föreskriftsrätt bör preciseras

I bestämmelsen om regeringens föreskriftsrätt preciseras i dag inte vilka myndigheter som kan få direktåtkomst. Integritetsskyddshänsyn talar för att bestämmelsen avgränsas till vad som är nödvändigt. Bestämmelsen i 8 § andra stycket bör

Ds 2018:12 Anpassning av bestämmelserna i lagen om passagerarregister

därför ändras på så sätt att regeringen kan meddela föreskrifter om att Tullverket får ha direktåtkomst till registret för sådan verksamhet som avses i ändamålsbestämmelsen i 4 §. Det saknas behov av att peka ut någon ytterligare myndighet i bestämmelsen.

4.10. Elektroniskt utlämnande på annat sätt än genom direktåtkomst

Förslag: Personuppgifter ur passagerarregistret ska få lämnas ut

elektroniskt på annat sätt än genom direktåtkomst, om det inte är olämpligt. Regeringen ska genom föreskrifter kunna begränsa möjligheten att tillhandahålla personuppgifter på det sättet.

Skälen för förslaget

Dataskyddsförordningen och brottsdatalagen reglerar inte hur personuppgifter tillhandahålls

Enligt 7 § lagen om passagerarregister får personuppgifter ur passagerarregistret inte lämnas ut på medium för automatiserad behandling. Med utlämnande av personuppgifter på medium för automatiserad behandling avses t.ex. utlämnande genom e-post eller USB-minne.

Som nämns i avsnitt 4.9 innehåller varken dataskyddsförordningen eller brottsdatalagen några bestämmelser som specifikt reglerar frågan om elektroniskt utlämnande av personuppgifter. Detsamma gäller utlämnande på sådant sätt som anges i lagen om passagerarregister. Det gör inte heller dataskyddslagen eller API-direktivet. Att lämna ut personuppgifter på sådant sätt som anges i lagen om passagerarregister innebär behandling av personuppgifter och ett utlämnande förutsätter därför att reglerna om behandling av personuppgifter följs och att inte annan lagstiftning hindrar utlämnandet. Eftersom dataskyddsförordningen och brottsdatalagen inte särskilt reglerar hur personuppgifter får lämnas ut, finns det inget som hindrar att

Anpassning av bestämmelserna i lagen om passagerarregister Ds 2018:12

den nuvarande bestämmelsen i lagen om passagerarregister om utlämnande behålls.

Frågan är dock om bestämmelsen bör utformas på ett mer ändamålsenligt sätt. Detta behandlas i det följande.

Bör bestämmelsen utformas mer ändamålsenligt?

Numera förväntar sig både myndigheter och enskilda att handlingar i stor utsträckning kan förmedlas elektroniskt. Trots det får utlämnande av personuppgifter ur passagerarregistret bara ske på papper. Mottagaren måste därefter eventuellt vidta åtgärder för att överföra uppgifterna till elektronisk form igen. En sådan ordning framstår som otidsenlig och ineffektiv, särskilt som exempelvis myndigheter i allt större utsträckning övergår till helt elektronisk informationshantering.

Behovet av snabb och effektiv kommunikation måste emellertid vägas mot de risker för den personliga integriteten som ett elektroniskt utlämnande av personuppgifter kan innebära. Sådant utlämnande innebär nämligen som regel att mottagaren kan bearbeta informationen, t.ex. genom att samköra den mot elektroniska uppgifter som har hämtats från andra informationskällor. Det ökar riskerna för att uppgifterna kan behandlas i strid med de grundläggande kraven på dataskydd.

Riskerna med elektroniskt utlämnande bör dock inte överdrivas. Uppgifter på papper kan nämligen ganska enkelt omvandlas till elektroniska uppgifter. I vissa avseenden är elektronisk kommunikation också säkrare än traditionell postbefordran, eftersom spårbarheten är större. Uppgifterna som behandlas i passagerarregistret kan inte heller anses vara särskilt integritetskänsliga. Enligt 32 kap. 7 § offentlighets- och sekretesslagen (2009:400) gäller dessutom absolut sekretess i verksamhet som avser förande av eller uttag ur passagerarregistret för uppgift om en enskilds namn och födelsedatum samt nummer på resehandling. Sekretess gäller också för uppgift om en enskilds ekonomiska förhållanden, om det kan antas att den enskilde lider skada om uppgiften röjs. Viss sekretessreglering har också införts för att minska de risker som ett ökat elektroniskt utlämnande medför. Enligt 21 kap. 7 § offentlighets- och sekretesslagen gäller

Ds 2018:12 Anpassning av bestämmelserna i lagen om passagerarregister

sekretess för personuppgifter, om det kan antas att ett utlämnande skulle medföra att uppgifterna behandlas i strid med personuppgiftslagen. I prop. 2017/18:105 föreslås att paragrafen ändras till att gälla personuppgiftsbehandling i strid med dataskyddsförordningen och dataskyddslagen.

Sekretessbestämmelserna, tillsammans med regleringen av personuppgiftsbehandling, skyddar enskilda mot att personuppgifter som lämnas ut elektroniskt missbrukas. Den som överväger att lämna ut personuppgifter, oavsett i vilken form det görs, måste alltid överväga om sekretessregleringen lägger hinder i vägen och, om så inte är fallet, om regelverket för personuppgiftsbehandling gör det möjligt att lämna uppgifterna i elektronisk form. Mottagaren måste dessutom alltid ha rättslig grund för behandlingen och är även i övrigt skyldig att leva upp till de krav som finns i reglerna om personuppgiftsbehandling. Det bedöms därför finnas ett gott skydd för den personliga integriteten.

Sammantaget görs bedömningen att personuppgifter ur passagerarregistret bör få lämnas ut i elektronisk form. Detta ligger också i linje med hur många andra registerförfattningar som tillämpas av de brottsbekämpande myndigheterna är utformade, och som i översynen med anledning av EU:s dataskyddsreform föreslås ge än större utrymme för sådant utlämnande (se lagrådsremissen Brottsdatalag – kompletterande lagstiftning, s. 152 f.) Samma lagtekniska lösning bör väljas i lagen om passagerarregister som föreslås där. Bestämmelsen bör därför ändras på det sättet att personuppgifter ska få lämnas ut elektroniskt på annat sätt än genom direktåtkomst, om det inte är olämpligt.

När kan elektroniskt utlämnande komma i fråga?

Vid elektroniskt utlämnande på annat sätt än genom direktåtkomst bör det göras skillnad mellan utlämnande till myndigheter och utlämnande till enskilda. Det bör normalt inte anses olämpligt att lämna ut personuppgifter elektroniskt till andra myndigheter (prop. 2014/15:148 s. 113). Om det i ett enskilt fall skulle bedömas

Anpassning av bestämmelserna i lagen om passagerarregister Ds 2018:12

vara olämpligt bör emellertid personuppgifterna lämnas ut på annat sätt.

När det gäller utlämnande till enskilda bör beaktas vem mottagaren är och vilken säkerhet personuppgifterna kan antas få hos mottagaren. I de fallen är det svårare att göra en generell bedömning av om elektroniskt utlämnande kan vara lämpligt. Det bör därför finnas utrymme för regeringen att meddela föreskrifter som begränsar möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst.

Den närmare innebörden av vad som ska anses vara ett sådant olämpligt utlämnande får dock utvecklas i rättstillämpningen.

4.11. Gallring

Bedömning: Bestämmelsen i lagen om passagerarregister om

gallring är förenlig med dataskyddsförordningen och brottsdatalagen och kan behållas.

Skälen för bedömningen:

Liksom många andra

registerförfattningar innehåller lagen om passagerarregister regler om gallring. I 9 § anges att en uppgift i passagerarregistret ska gallras inom 24 timmar efter överföringen till Polismyndigheten. Om uppgifter i registret behövs för att Polismyndigheten, Säkerhetspolisen eller Tullverket ska kunna verkställa personkontroller enligt ändamålsbestämmelsen i 4 §, får uppgifterna i registret dock stå kvar till dess att myndighetens kontroller är slutförda. Regeringen får meddela föreskrifter om att uppgifter i registret får stå kvar till dess att någon annan myndighet, som behöver uppgifterna för att kunna verkställa personkontroller enligt 4 §, har slutfört kontrollerna. Regeringen har inte utnyttjat sin föreskriftsrätt.

Av artikel 5.1 e i dataskyddsförordningen följer att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Dataskyddsförordningen tillåter under vissa förutsättningar dock att avsteg görs från huvudregeln, t.ex. när personuppgifterna enbart behandlas för arkivändamål av allmänt intresse. Enligt artikel 6.3 i

Ds 2018:12 Anpassning av bestämmelserna i lagen om passagerarregister

dataskyddsförordningen är nationella bestämmelser som anpassar tillämpningen av dataskyddsförordningens bestämmelser om bl.a. lagringstid tillåtna när behandlingen grundar sig på en rättslig förpliktelse, en arbetsuppgift av allmänt intresse eller myndighetsutövning. Bestämmelsen i lagen om passagerarregister om gallring preciserar principen om lagringstid i artikel 5.1 e. Den bedöms därför vara förenlig med dataskyddsförordningen.

Enligt 2 kap. 17 § första stycket brottsdatalagen får personuppgifter inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Enligt andra stycket hindrar bestämmelsen inte att en behörig myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet. Bestämmelsen i lagen om passagerarregister om gallring bedöms vara förenlig även med brottsdatalagen och kan alltså behållas.

I avsnitt 4.12 föreslås att bestämmelsen om regeringens föreskriftsrätt omformuleras till en upplysningsbestämmelse.

4.12. Föreskriftsrätt

Förslag: Bestämmelserna i lagen om passagerarregister om

föreskriftsrätt ska omformuleras på så vis att det upplyses om att regeringen kan meddela sådana föreskrifter som anges i bestämmelserna.

Bedömning: Bestämmelserna om föreskriftsrätt är förenliga

med dataskyddsförordningen och brottsdatalagen.

Skälen för förslaget och bedömningen

Bestämmelserna om föreskriftsrätt är förenliga med dataskyddsförordningen och brottsdatalagen

Lagen om passagerarregister innehåller bestämmelser om föreskriftsrätt för regeringen i 6 § andra stycket, 8 § andra stycket och 9 § tredje stycket. Föreskriftsrätten har inte utnyttjats.

Medlemsstaterna har, enligt artikel 6.2 och 6.3 i dataskyddsförordningen, rätt att under vissa förutsättningar i nationell lagstiftning behålla eller införa mer specifika

Anpassning av bestämmelserna i lagen om passagerarregister Ds 2018:12

bestämmelser för personuppgiftsbehandling. Det finns inte något krav på att bestämmelserna måste regleras i lag. Följaktligen bör det vara upp till varje medlemsstat att bedöma på vilken nivå i normhierarkin sådana bestämmelser införs. Dataskyddsförordningen bedöms därför inte hindra att bestämmelser om personuppgiftsbehandling införs i en förordning, förutsatt att bestämmelserna är förenliga med dataskyddsförordningen. Inte heller brottsdatalagen bedöms föranleda någon ändring av bestämmelserna om föreskriftsrätt, som alltså kan behållas. Frågan är emellertid om bestämmelserna om föreskriftsrätt bör omformuleras. Detta behandlas i det följande.

Bör bestämmelserna om föreskriftsrätt omformuleras?

Rätten att meddela sådana föreskrifter som anges i 6 § andra stycket, 8 § andra stycket och 9 § tredje stycket faller inom ramen för den s.k. restkompetensen enligt 8 kap. 7 § första stycket 2 regeringsformen. Bestämmelserna bör således inte utformas som bemyndiganden utan som upplysningsbestämmelser som syftar till att tydliggöra vilket utrymme att meddela föreskrifter som ska ligga kvar på regeringen sedan riksdagen lagstiftat på området. I de aktuella bestämmelserna ska det således anges att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela sådana föreskrifter som framgår av bestämmelserna. Eftersom det redan nu står helt klart att regeringen inte kommer utnyttja rätten till vidaredelegation är det lämpligt att bestämmelserna formuleras på så sätt att det är regeringen som kan meddela sådana föreskrifter (jfr prop. 2017/18:248 s. 31).

5. Transportörers informationsskyldighet enligt utlänningslagen

Förslag: Bestämmelsen i utlänningslagen om transportörers

skyldighet att informera passagerare enligt personuppgiftslagen ska upphävas.

Skälen för förslaget: I 9 kap. 3 e § utlänningslagen anges att en

transportör som samlar in uppgifter som är avsedda att överföras enligt 3 a § ska informera passagerarna enligt bestämmelserna i 2326 §§personuppgiftslagen. Eftersom personuppgiftslagen ska upphävas måste hänvisningarna till den lagen utgå.

Transportörernas informationsskyldighet gentemot passagerarna faller inom dataskyddsförordningens tillämpningsområde. I dataskyddsförordningen har den registrerades rättigheter förstärkts i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Den information som ska tillhandahållas den registrerade har preciserats och utvidgats och det anges uttryckligen att den personuppgiftsansvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form.

Artikel 13 och 14 i dataskyddsförordningen reglerar vilken information som ska lämnas till den registrerade. Artiklarna har i allt väsentligt motsvarande innebörd som 23 och 24 §§personuppgiftslagen, även om omfattningen av den information som ska tillhandahållas har utvidgats. Artikel 15 i dataskyddsförordningen reglerar den registrerades rätt till tillgång till personuppgifter och viss annan information och motsvarar 26 § personuppgiftslagen om information som ska lämnas efter ansökan (s.k. registerutdrag).

Transportörers informationsskyldighet enligt utlänningslagen Ds 2018:12

Bestämmelserna i dataskyddsförordningen om information och tillgång till personuppgifter är direkt tillämpliga. Det finns därför inget behov av att reglera frågan i utlänningslagen. Det är inte heller lämpligt att ta in en hänvisning till dataskyddsförordningens bestämmelser endast i upplysningssyfte (se avsnitt 4.4.3). Bestämmelsen i 9 kap. 3 e § utlänningslagen bör därför utgå.

I dataskyddslagen finns undantag från vissa av dataskyddsförordningens rättigheter och skyldigheter. Rätten till information och tillgång enligt artiklarna 13–15 i dataskyddsförordningen ska enligt dataskyddslagen inte gälla sådana uppgifter som omfattas av sekretess eller tystnadsplikt (5 kap. 1 § första stycket dataskyddslagen). Om den personuppgiftsansvarige inte är en myndighet, gäller undantaget även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (5 kap. 1 § andra stycket dataskyddslagen). Vidare ska rätten till registerutdrag som huvudregel inte gälla personuppgifter som finns i löpande text som inte har fått sin slutliga utformning eller som utgör minnesanteckning eller liknande (5 kap. 2 § dataskyddslagen). Eftersom dataskyddslagen kompletterar dataskyddsförordningen blir även dessa bestämmelser i förekommande fall tillämpliga.

6. Ikraftträdande och övergångsbestämmelser

Förslag: Lagändringarna ska träda i kraft den 1 mars 2019.

Äldre föreskrifter om straff ska gälla för överträdelser som har skett före ikraftträdandet.

Skälen för förslaget

Ikraftträdande

Dataskyddsförordningen börjar tillämpas den 25 maj 2018. Samma dag träder dataskyddslagen i kraft. Brottsdatalagen föreslås träda i kraft den 1 augusti 2018. I denna promemoria föreslås ändringar som anpassar lagen om passagerarregister, och i ett avseende även utlänningslagen, till dataskyddsförordningen, dataskyddslagen och brottsdatalagen. Lagändringarna bör därför träda i kraft så snart som möjligt. De bör träda i kraft den 1 mars 2019.

Övergångsbestämmelser

Förslaget till dataskyddslag innebär att den straffrättsliga regleringen i personuppgiftslagen upphävs. Genom förslaget att ta bort hänvisningarna till personuppgiftslagen i 2 § första stycket lagen om passagerarregister utmönstras straffregleringen även från denna lag. Varken dataskyddslagen eller brottsdatalagen föreslås innehålla någon straffbestämmelse. En personuppgiftsansvarig eller ett personuppgiftsbiträde som bryter mot förordningen eller brottsdatalagen kommer i stället att kunna drabbas av sanktionsavgifter. Enligt övergångsbestämmelserna till

Ikraftträdande och övergångsbestämmelser Ds 2018:12

dataskyddslagen (p. 7) ska äldre straffbestämmelser tillämpas på överträdelser som skett före den nya lagens ikraftträdande. Även övergångsbestämmelserna till brottsdatalagen (p. 5) anger att äldre föreskrifter ska fortsätta att gälla för överträdelser som har skett före ikraftträdandet. Denna bedömning görs även här. Det bör därför införas en särskild övergångsbestämmelse med motsvarande innebörd.

Det följer av allmänna grundsatser att ny lagstiftning ska gälla för skadestånd med anledning av skadefall som inträffar efter ikraftträdandet, medan äldre lag ska tillämpas på skadefall som har inträffat dessförinnan (prop. 1972:5 s. 593). Det behövs därför inte någon övergångsbestämmelse i denna del.

Enligt allmänna förvaltningsrättsliga principer gäller att de föreskrifter som är i kraft när prövningen hos en myndighet eller förvaltningsdomstol sker som huvudregel ska tillämpas. Detta gäller i fråga om både förfarandet och prövningen i sak och även om ett överklagat beslut har fattats före ikraftträdandet. Principen är dock inte undantagslös och det kan följa av övergångsbestämmelser eller motiven till lagstiftningen att en annan ordning är avsedd (jfr RÅ 1996 ref. 57). Enligt övergångsbestämmelserna till dataskyddslagen (p. 5) gäller personuppgiftslagen fortfarande i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen. Vidare gäller personuppgiftslagen fortfarande för överklagande av beslut som har meddelats med stöd av den lagen (p. 6). Det behövs därför inte någon övergångsbestämmelse i denna del heller.

7. Konsekvenser av förslagen

Bedömning: Förslagen innebär en viss förstärkning av enskildas

skydd för den personliga integriteten. Förslaget om att personuppgifter ur passagerarregistret ska få lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt ger möjlighet till ökat informationsutbyte mellan brottsbekämpande myndigheter, vilket är positivt för det brottsbekämpande arbetet. Förslagen förväntas inte få några andra konsekvenser.

Skälen för bedömningen: Inledningsvis kan det konstateras att

konsekvenserna av dataskyddsförordningens direkt tillämpliga bestämmelser, och brottsdatalagens bestämmelser, inte analyseras inom ramen för denna promemoria.

När det gäller konsekvenserna av de förslag som läggs fram i promemorian ska det först framhållas att det huvudsakliga syftet är att föreslå de anpassningar som är nödvändiga med anledning av den nya dataskyddsregleringen. Det innebär att merparten av bestämmelserna i lagen om passagerarregister kvarstår oförändrade och att vissa bestämmelser anpassas till dataskyddsreformen utan att det sakliga innehållet förändras på ett avgörande sätt. Det kan dock noteras att förslagen innebär att ett antal hänvisningar till personuppgiftslagen ska upphävas och att dataskyddsförordningens bestämmelser, och i tillämpliga delar dataskyddslagens och brottsdatalagens bestämmelser, i stället ska gälla. Det gäller hänvisningarna till personuppgiftslagen i 2, 3 och 10 §§ lagen om passagerarregister samt 9 kap. 3 e § utlänningslagen. Dataskyddsreformen ger i viss utsträckning ett starkare integritetsskydd än personuppgiftslagen (t.ex. avseende den registrerades rätt till information). Dataskyddslagen och förslaget

Konsekvenser av förslagen Ds 2018:12

till brottsdatalag syftar till att stärka skyddet för den enskildes personliga integritet. Även förslaget att precisera regeringens föreskriftsrätt om direktåtkomst bedöms stärka skyddet för den enskildes personliga integritet. Sammantaget görs bedömningen därför att förslagen innebär en viss förstärkning av enskildas skydd för den personliga integriteten.

Förslaget om att personuppgifter ur passagerarregistret ska få lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt ger möjlighet till ökat informationsutbyte mellan brottsbekämpande myndigheter, vilket är positivt för det brottsbekämpande arbetet.

I övrigt görs bedömningen att förslagen inte har några ekonomiska konsekvenser, vare sig för det allmänna eller för enskilda, och att de inte har någon betydelse för brottsligheten. De bedöms inte heller ha någon påverkan på jämställdheten mellan kvinnor och män eller andra sådana konsekvenser som avses i 14 och 15 §§kommittéförordningen (1998:1474) eller 7 § förordningen (2007:1244) om konsekvensutredning vid regelgivning.

8. Författningskommentar

2 §

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

I paragrafen anges lagens förhållande till EU:s dataskyddsförordning. Övervägandena finns i avsnitt 4.4.1.

I paragrafen anges att lagen kompletterar dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Denna lag innehåller de kompletterande bestämmelser som gäller för passagerarregistret.

Hänvisningarna i lagen till dataskyddsförordningen är dynamiska, dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen.

2 a §

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Paragrafen, som är ny, upplyser om hur lagen förhåller sig till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) och föreskrifter som har

Författningskommentar Ds 2018:12

meddelats i anslutning till den lagen. Övervägandena finns i avsnitt 4.4.1.

Paragrafen klargör att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt denna lag. Detta gäller dock endast om inte något annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen.

2 b §

När en behörig myndighet behandlar personuppgifter enligt denna lag för syften som faller inom tillämpningsområdet för brottsdatalagen (2018:000) gäller brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Paragrafen, som är ny, upplyser om hur lagen förhåller sig till brottsdatalagen (2018:000) och föreskrifter som har meddelats i anslutning till den lagen. Övervägandena finns i avsnitt 4.4.2.

Paragrafen klargör att brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen gäller när en behörig myndighet behandlar personuppgifter enligt denna lag för syften som faller inom brottsdatalagens tillämpningsområde. Detta gäller dock endast om inte något annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen.

Enligt 1 kap. 2 § brottsdatalagen gäller den lagen vid behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder samt upprätthålla allmän ordning och säkerhet. Behörig myndighet definieras i 1 kap. 6 § brottsdatalagen. Polismyndigheten är en behörig myndighet när den behandlar personuppgifter i passagerarregistret för ändamål som faller inom brottsdatalagens tillämpningsområde.

Behandling av personuppgifter i passagerarregistret som sker för något av de syften som anges i 1 kap. 2 § brottsdatalagen faller alltså inom brottsdatalagens tillämpningsområde. Personkontroll vid Sveriges gräns kan utföras för syften som faller inom både dataskyddsförordningens och brottsdatalagens tillämpningsområde. Det blir därför nödvändigt för myndigheten att göra en bedömning av syftet med behandlingen av

Ds 2018:12 Författningskommentar

personuppgifter i passagerarregistret för att avgöra inom vilken lags tillämpningsområde behandlingen faller.

3 §

I denna lag avses med

personkontroll: kontroll av personer vid inresa i Sverige, Schengenkonventionen: konventionen om tillämpning av Schengenavtalet

av den 14 juni 1985.

Paragrafen innehåller definitioner av vissa uttryck som används i lagen. Paragrafen ändras endast redaktionellt genom att det andra stycket tas bort. Övervägandena finns i avsnitt 4.4.1.

6 §

Personuppgifter ur passagerarregistret ska lämnas ut på begäran av Säkerhetspolisen och Tullverket för sådan verksamhet som avses i 4 §.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter ur registret ska lämnas ut även till annan myndighet än dem som anges i första stycket för sådan verksamhet som avses i 4 §.

Paragrafen reglerar utlämnande av personuppgifter ur passagerarregistret. Övervägandena finns i avsnitt 4.8 och 4.12.

Andra stycket ändras på så sätt att den upplyser om att

regeringen kan meddela föreskrifter om att uppgifter ur registret ska lämnas ut även till annan myndighet än de som anges i första stycket för sådan verksamhet som anges i ändamålsbestämmelsen i 4 §.

7 §

Personuppgifter ur passagerarregistret får lämnas ut elektroniskt annat

sätt än genom direktåtkomst om det inte är olämpligt.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt första stycket.

Paragrafen reglerar när personuppgifter ur passagerarregistret får lämnas ut elektroniskt på annat sätt än genom direktåtkomst. Övervägandena finns i avsnitt 4.10.

Författningskommentar Ds 2018:12

Första stycket ändras på så sätt att personuppgifter ur

passagerarregistret får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Med sådant utlämnande avses bl.a. utlämnande genom e-post eller annan elektronisk överföring eller på ett usb-minne eller annat motsvarande medium.

Lämplighetsprövningen ska ske i varje enskilt fall. Det har betydelse vem mottagaren är för frågan om det är olämpligt att lämna ut uppgifter elektroniskt. Som regel kan det inte anses vara olämpligt att lämna ut uppgifter på det sättet till en myndighet (se prop. 2014/15:148 s. 113).

När det gäller utlämnande till enskilda krävs en mer nyanserad bedömning. Om det finns en författningsreglerad skyldighet att lämna ut en handling till en viss person får det avgöras om elektroniskt utlämnande är olämpligt med hänsyn till bl.a. innehållet i handlingen, vem som är mottagare, behovet av att kunna visa att personen i fråga har tagit del av handlingen och andra omständigheter.

Lämplighetsprövningen blir särskilt viktig när utlämnande ska ske till en enskild och det på grund av uppgifternas art, struktur, antal eller någon annan särskild omständighet finns anledning att befara att utlämnandet kan leda till integritetsrisker (jfr prop. 2014/15:148 s. 114). Bedömer myndigheten att det finns risk för att personuppgifterna kan komma att behandlas i strid med dataskyddsförordningen eller dataskyddslagen om de lämnas ut elektroniskt gäller sekretess enligt 21 kap. 7 § offentlighets- och sekretesslagen (2009:400).

Vid prövningen av om det är lämpligt att lämna ut personuppgifter elektroniskt bör även informationssäkerheten vägas in.

Om någon begär att få tillgång till en allmän handling med stöd av tryckfrihetsförordningen får den utlämnande myndigheten inte efterforska syftet med begäran, vilket kan ha betydelse vid prövningen av om det i ett enskilt fall är lämpligt att lämna ut en handling med personuppgifter elektroniskt.

I andra stycket, som är nytt, finns en upplysning om att regeringen kan meddela föreskrifter om ytterligare begränsningar av möjligheterna att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst.

Ds 2018:12 Författningskommentar

8 §

Säkerhetspolisen får för sådan verksamhet som avses i 4 § ha direktåtkomst till personuppgifterna i passagerarregistret.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att även Tullverket får ha direktåtkomst till registret för sådan verksamhet som avses i 4 §.

Paragrafen reglerar när personuppgifter ur passagerarregistret får lämnas ut genom direktåtkomst. Övervägandena finns i avsnitt 4.9 och 4.12.

Ändringarna i andra stycket innebär en upplysning om att regeringen kan meddela föreskrifter om att även Tullverket får ha direktåtkomst till passagerarregistret för sådan verksamhet som avses i ändamålsbestämmelsen i 4 §.

9 §

En uppgift i passagerarregistret ska gallras inom 24 timmar efter överföringen till Polismyndigheten.

Om uppgifter i registret behövs för att Polismyndigheten, Säkerhetspolisen eller Tullverket ska kunna verkställa personkontroller enligt 4 §, får uppgifterna i registret dock stå kvar till dess att myndighetens kontroller är slutförda.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter i registret får stå kvar till dess att någon annan myndighet, som behöver uppgifterna för att kunna verkställa personkontroller enligt 4 §, har slutfört kontrollerna.

Paragrafen reglerar gallring av uppgifter i passagerarregistret. Övervägandena finns i avsnitt 4.11 och 4.12.

Ändringarna i tredje stycket innebär en upplysning om att regeringen kan meddela föreskrifter om att uppgifter i registret får stå kvar till dess någon annan myndighet, som behöver uppgifterna för att kunna verkställa personkontroller enligt ändamålsbestämmelsen, har slutfört kontrollerna.

Skadestånd inom tillämpningsområdet för brottsdatalagen

10 §

Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller

Författningskommentar Ds 2018:12

föreskrifter som har meddelats i anslutning till lagen. Detta gäller endast vid behandling av personuppgifter som omfattas av tillämpningsområdet för brottsdatalagen .

I paragrafen regleras den registrerades rätt till skadestånd för behandling av personuppgifter inom brottsdatalagens tillämpningsområde. Övervägandena finns i avsnitt 4.7.

Enligt första meningen ska 7 kap. 1 § brottsdatalagen (2018:000) tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen. Någon möjlighet till jämkning av skadeståndet finns inte.

Av andra meningen framgår att paragrafen endast gäller vid behandling av personuppgifter inom brottsdatalagens tillämpningsområde. Skadestånd med anledning av behandling av personuppgifter som omfattas av dataskyddsförordningens tillämpningsområde regleras i dataskyddsförordningen.

Rätten att göra invändningar

11 §

Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Paragrafen, som är ny, föreskriver en begränsning av en registrerads rätt att göra invändningar enligt artikel 21.1 i dataskyddsförordningen. Övervägandena finns i avsnitt 4.7.

Paragrafen, som delvis motsvarar den hittillsvarande bestämmelsen i 2 § andra stycket, innebär ett undantag från den rätt att invända mot behandling av personuppgifter som följer av artikel 21.1 i dataskyddsförordningen. Undantaget har stöd i artikel 23 i dataskyddsförordningen. Vid sådan behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som

Ds 2018:12 Författningskommentar

har meddelats i anslutning till den gäller alltså inte rätten att göra invändningar enligt artikel 21.1.

Paragrafen gäller endast vid behandling av personuppgifter inom dataskyddsförordningens tillämpningsområde. Någon motsvarande bestämmelse finns inte i brottsdatalagen.

Ikraftträdande- och övergångsbestämmelser

1.

Denna lag träder i kraft den 1 mars 2019. 2.

Äldre föreskrifter om straff gäller fortfarande för överträdelser som

har skett före ikraftträdandet.

Övervägandena om ikraftträdande- och övergångsbestämmelser finns i avsnitt 6.

Enligt punkt 1 träder lagändringarna i kraft den 1 mars 2019. Bestämmelsen i punkt 2 innebär att personuppgiftslagens straffbestämmelse fortfarande gäller för straffbelagda gärningar som har begåtts vid behandling före den 1 mars 2019.