Ds 2023:21
En modern lagstiftning för Kriminalvårdens personuppgiftsbehandling
Sammanfattning
Uppdraget
Utredningen har haft i uppdrag att genomföra en fullständig översyn av lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område (Kriminalvårdens brottsdatalag) och förordningen (2018:1746) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område (Kriminalvårdens brottsdataförordning) och lämna förslag till en uppdaterad registerlagstiftning för Kriminalvården.
I uppdraget har bl.a. ingått att analysera om det centrala kriminalvårdsregistret bör regleras i lag, överväga behovet av sekretessbrytande bestämmelser för direktåtkomst till säkerhetsregistret och till det centrala kriminalvårdsregistret, undersöka behovet av ändringar i registerlagstiftningen till följd av Kriminalvårdens uppdrag att delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten samt analysera hur länge Kriminalvården bör få hantera olika personuppgifter.
Överväganden och förslag
Uppgifter får göras gemensamt tillgängliga
Det införs särskilda bestämmelser i Kriminalvårdens brottsdatalag om behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga. Regelverket ersätter framför allt de detaljerade bestämmelserna i Kriminalvårdens brottsdataförordning om det centrala kriminalvårdsregistret.
Förslagen skapar en generell och teknikneutral reglering som ger skyddande ramar för den personuppgiftsbehandling som är nödvändig när Kriminalvården utför arbetsuppgifter inom brottsdatalagens
Sammanfattning Ds 2023:21
område. Det innebär att Kriminalvården kan fortsätta att behandla personuppgifter i sina nuvarande verksamhetsstöd, men regelverket tillåter också att myndigheten anpassar sina verksamhetsstöd efter den tekniska utvecklingen och verksamhetens behov.
Med gemensamt tillgängliga uppgifter avses uppgifter som inte enbart ett fåtal har tillgång till utan uppgifter som är tillgängliga för en större bestämd eller obestämd krets av tjänstemän. Uppgifter som bara ett fåtal har tillgång till anses som regel inte vara gemensamt tillgängliga. Vad som avses med ett fåtal får avgöras i varje enskilt fall, men en tumregel är att det som är tillgängligt för fler än ett tiotal personer är gemensamt tillgängligt. Underrättelseverksamhet är ett exempel på verksamhet där vissa uppgifter normalt inte är gemensamt tillgängliga.
Personuppgifter som behandlas för syften som anges i 2 kap. 1 § Kriminalvårdens brottsdatalag får göras gemensamt tillgängliga om de gäller en person som
1. är häktad, anhållen eller gripen med anledning av misstanke om brott eller verkställighet av påföljd eller utvisning,
2. är dömd till en påföljd som ska verkställas inom Kriminalvården eller till förvandlingsstraff för böter eller viten,
3. på grund av en utländsk dom är dömd till en sådan påföljd som avses i 2, eller annan påföljd som avses i lagen (2015:96) om erkännande och verkställighet av frihetsberövande påföljder inom Europeiska unionen, och som kan komma att verkställas i Sverige,
4. på grund av en svensk dom annars är föremål för överföring av straffverkställighet till ett annat land,
5. på grund av ett utländskt beslut eller en utländsk dom är frihetsberövad och ska transiteras genom Sverige för fortsatt verkställighet eller en annan åtgärd i ett annat land,
6. annars är frihetsberövad inom Kriminalvården för syften som anges i 2 kap. 1 §, eller
7. är föremål för personutredning eller annan åtgärd enligt 1 § lagen (1991:2041) om särskild personutredning i brottmål, m.m.
Det införs en generell bestämmelse i Kriminalvårdens brottsdatalag som klargör att positionsuppgifter som tas fram vid elektronisk övervakning som ett led i verkställighet av en påföljd får göras gemensamt tillgängliga. Eftersom uppgifterna medger en ingående kartläggning av var en dömd person befinner sig eller har befunnit sig får sådana uppgifter bara behandlas i högst tre månader.
Ds 2023:21 Sammanfattning
När Kriminalvården behandlar uppgifter om en registrerad, får myndigheten även göra personuppgifter om vissa andra personer gemensamt tillgängliga. Regleringen omfattar uppgifter om närstående till den registrerade, andra personer som har nära förbindelse till den registrerade, personer som i tjänst eller uppdrag har kontakter med den registrerade, andra personer som besöker eller har kontakter med intagna och målsägande. Regleringen omfattar även uppgifter om juridiska personer. Vilka uppgifter som får behandlas avseende dessa fysiska eller juridiska personer framgår av den nya förordning som föreslås.
Ett undantag från det generella sökförbudet i 2 kap. 14 § brottsdatalagen införs för uppgifter som har gjorts gemensamt tillgängliga. Det innebär att sökförbudet inte hindrar sökning på personuppgifter som har gjorts gemensamt tillgängliga i syfte att få fram ett personurval grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Sådana sökningar kan behöva göras inför placering på anstalt av en dömd person för att säkerställa att personer från grupperingar med t.ex. politiska eller etniska motsättningar inte placeras på samma avdelning eller i samma cell.
Biometrisk autentisering får användas
Kriminalvården får med hjälp av biometrisk autentisering bekräfta en persons identitet när han eller hon verkställer ett fängelsestraff, i eller utanför anstalt. En biometrisk autentisering innebär att en elektronisk mätning görs av någons fysiska karaktärsdrag. De nya reglerna innebär t.ex. att ansiktsigenkänning kan användas för att avgöra om en påstådd identitet är riktig vid de regelbundna och slumpmässiga kontroller som ska genomföras vid intensivövervakning med elektronisk kontroll. Biometrisk autentisering kan även användas för att möjliggöra säkrare identifiering vid förflyttning av intagna inom en kriminalvårdsanstalt eller mellan anstalter.
Skyldigheten att föra journal förs in i lag
Skyldigheten att föra journal över den som är häktad med anledning av misstanke om brott eller verkställighet av påföljd eller utvisning,
Sammanfattning Ds 2023:21
den som är dömd till en påföljd som ska verkställas inom Kriminalvården och den som är villkorligt frigiven eller föremål för transport för något av dessa syften föreskrivs i Kriminalvårdens brottsdatalag. Personuppgifter som behandlas i en journal får göras gemensamt tillgängliga.
Utlämnande genom direktåtkomst
Kriminalvårdens möjlighet att genom direktåtkomst tillhandahålla personuppgifter som görs eller har gjorts gemensamt tillgängliga regleras i Kriminalvårdens brottsdatalag. Även Tullverket får medges direktåtkomst till uppgifter som görs eller har gjorts gemensamt tillgängliga och till uppgifter i säkerhetsregistret.
Direktåtkomst innebär att den mottagande myndigheten fritt kan avgöra vilka uppgifter, inom ramen för den beviljade åtkomsten, som myndigheten vill ta del av. En myndighet kan därför inte tillåta en annan myndighet direktåtkomst till uppgifter som, vid en sekretessprövning, den senare myndigheten inte med säkerhet skulle ha rätt att ta del av. Det införs därför sekretessbrytande bestämmelser som möjliggör sådan direktåtkomst.
Längsta tid som personuppgifter får behandlas
Det regleras i lag hur länge personuppgifter får behandlas. Längsta tid för behandling av uppgifter regleras olika beroende på om de avser Kriminalvårdens klienter eller andra personer. Särskilda regler gäller för personer som inte ska verkställa en påföljd inom Kriminalvården, exempelvis en häktad person eller en person som varit föremål för personutredning men inte dömts för brott till sådan påföljd som Kriminalvården verkställer. Annan reglering gäller för uppgifter om dömda personer som verkställer fängelse och andra påföljder inom Kriminalvården och för övriga personuppgifter, exempelvis behandling av personuppgifter om anhöriga. I allt väsentligt innebär bestämmelserna att den yttersta tidsfrist som personuppgifter får behandlas är tre, fem eller tio år. Det införs en särskild bestämmelse för unga lagöverträdare som innebär att tiden för behandling av deras personuppgifter förkortas till fem år, utom i de fall där påföljden bestämts till fängelse.
Ds 2023:21 Sammanfattning
Personuppgifter får även behandlas i vissa fall trots att domen som ligger till grund för behandlingen inte har fått laga kraft. Samtidigt införs krav på radering om personen inte slutligen döms till en påföljd som ska verkställas inom Kriminalvården.
Den yttersta tidsfristen begränsas av 2 kap. 17 § första stycket brottsdatalagen, som anger att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det innebär att behovet av att fortsätta behandla personuppgifter måste prövas kontinuerligt och att uppgifterna ska avidentifieras eller tas bort när de inte längre behövs för det ändamål för vilket de samlades in.
Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades eller ett år efter det att de behandlades automatiserat första gången, om uppgifterna inte behandlas i ett ärende.
Bestämmelserna reglerar inte hur länge personuppgifter får behandlas för arkivändamål, utan styr endast i vilken form det är tillåtet att arkivera personuppgifter.
Säkerhetsregistret breddas
Säkerhetsförhållandena inom Kriminalvårdens verksamhet har förändrats. Det beror bl.a. på de senaste årens allvarliga utveckling av gängkriminaliteten och den svåra beläggningssituationen. För att ha möjligheter att upprätthålla en fortsatt säker kriminalvård föreslås därför ändringar som ger Kriminalvården stöd att behandla personuppgifter i säkerhetsregistret för fler syften och om fler personkategorier.
Det tydliggörs att uppgifter om den som verkställer fängelsestraff utanför anstalt får behandlas i säkerhetsregistret. Även uppgifter om en person som uppfyller kraven för registrering i säkerhetsregistret och som har dömts till fängelse, men ännu inte har påbörjat verkställigheten, får registreras. Det införs vidare en möjlighet att behandla uppgifter om häktade om det finns risk för otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler. För frivårdsklienter införs stöd för att, om det finns särskilda skäl, behandla uppgifter i säkerhetsregistret om det finns risk för att klienten utsätts för hot eller våld i lokaler där Kriminalvården
Sammanfattning Ds 2023:21
bedriver verksamhet. Detsamma gäller om det finns risk för att klienten bidrar till att allvarligt störa ordningen eller säkerheten i sådana lokaler.
Om det är absolut nödvändigt för att Kriminalvården ska kunna upprätthålla säkerheten på häkten eller i kriminalvårdsanstalter får myndigheten i säkerhetsregistret även behandla uppgifter om personer som tillsammans med andra kan antas ägna sig åt organiserad brottslig verksamhet. Det innebär en möjlighet att i vissa fall behandla uppgifter om personer som varken är häktade eller dömda för brott, om de kan antas ägna sig åt organiserad brottslig verksamhet. Det förutsätter att personerna ingår i eller har kopplingar till kriminella nätverk eller gäng eller liknande grupperingar som gemensamt ägnar sig åt brottslig verksamhet. Vilka personuppgifter som får behandlas för denna kategori framgår av den nya förordningen.
Ändringar i andra lagar
Vid verkställighet av ett fängelsestraff utanför anstalt enligt lagen (1994:451) om intensivövervakning med elektronisk kontroll får Kriminalvården ta en digital bild av den dömdes ansikte i syfte att underlätta identifieringen av honom eller henne. Fotografi får redan i dag tas av en person som verkställer ett fängelsestraff i kriminalvårdsanstalt enligt 8 kap. 1 § fängelselagen (2010:610). I såväl lagen om intensivövervakning med elektronisk kontroll som fängelselagen införs en möjlighet att använda sådana ansiktsbilder för biometrisk autentisering, dvs. ansiktsigenkänning.
En helt ny förordning
Det införs en ny, modern och kapitelindelad förordning som ersätter Kriminalvårdens nuvarande brottsdataförordning. Förordningen möter på ett bättre sätt Kriminalvårdens behov, förutsättningar och utmaningar. Den nya förordningen är mer generellt utformad och anpassad till den nya teknikneutrala reglering som föreslås i Kriminalvårdens brottsdatalag.
Vissa bestämmelser överförs från den nuvarande förordningen, t.ex. skyldigheten för andra myndigheter att lämna uppgifter till Kri-
Ds 2023:21 Sammanfattning
minalvården. De allmänna domstolarnas skyldighet att lämna uppgifter till Kriminalvården utökas dock något.
Ikraftträdande och övergångsbestämmelser
Ändringarna föreslås träda i kraft den 1 juli 2024. Det införs en särskild övergångsbestämmelse för hur länge personuppgifter om unga lagöverträdare får behandlas. Äldre bestämmelser ska vidare fortsätta att gälla för andra myndigheters skyldighet att lämna uppgifter om domar och beslut och för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet.
Konsekvenser
Förslagen berör så gott som bara Kriminalvården. När förslagen har utformats har särskild vikt lagts vid skyddet för enskildas integritet. I stor utsträckning ger förslagen ett starkare skydd för den personliga integriteten, bl.a. genom att vissa bestämmelser flyttas från förordning till lag. Förslaget om att förkorta tiden som uppgifter om unga lagöverträdare får behandlas innebär ett starkare skydd för barns integritet. Förslagen bedöms samtidigt ge Kriminalvården rättsligt stöd för att i större utsträckning behandla de personuppgifter som krävs för att upprätthålla en säker kriminalvård och förhindra att brott begås under straffverkställigheten. De ger också bättre förutsättningar för Kriminalvården att samarbeta med brottsbekämpande myndigheter.
Förslagen ger Kriminalvården möjlighet att fortsätta att använda befintliga it-system. De förutsätter dock utbildningsinsatser inom Kriminalvården och att myndigheten tar fram handböcker och fastställer rutiner för myndighetens personuppgiftsbehandling.
Utredningens förslag bedöms rymmas inom befintliga anslag för Kriminalvården. Förslagen bedöms inte heller föranleda några ökade kostnader för andra myndigheter, för enskilda eller för företag.
1. Författningsförslag
1.1. Förslag till lag om ändring i lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område
Härigenom föreskrivs i fråga om lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område
dels att 2 kap. 5 § ska upphöra att gälla och att rubriken närmast
före 2 kap. 5 § ska utgå,
dels att nuvarande 2 kap. 6 § ska betecknas 2 kap. 7 § och att rub-
riken närmast före nuvarande 2 kap. 6 § ska placeras närmast före den nya 2 kap. 7 §,
dels att nuvarande 3 kap. 1–5 §§ ska betecknas 4 kap. 1–5 §§, att
nuvarande 3 kap. 6 § ska betecknas 4 kap. 7 § och att rubriken närmast före nuvarande 3 kap. 6 § ska placeras närmast före nya 4 kap. 7 §, att nuvarande 3 kap. 7 § ska betecknas 4 kap. 8 § och att rubriken närmast före nuvarande 3 kap. 7 § ska placeras närmast före nya 4 kap. 8 §, att nuvarande 3 kap. 8 § ska betecknas 4 kap. 10 § och att rubriken närmast före nuvarande 3 kap. 8 § ska placeras närmast före nya 4 kap. 10 §,
dels att nuvarande 4 kap. 1–3 §§ ska betecknas 6 kap. 1–3 §§,
dels att det i lagen ska införas två nya kapitel, 3 och 5 kap., av
följande lydelse,
dels att 2 kap. 3 § och de nya 2 kap. 7 §, 4 kap. 2, 3, 4 och 8 §§ och
6 kap. 1 § ska ha följande lydelse,
dels att det ska införas fem nya paragrafer, 2 kap. 5 och 6 §§ och
4 kap. 3 a, 6 och 9 §§ och nya rubriker närmast före de nya 2 kap. 5 och 6 §§ och 4 kap. 6 § av följande lydelse.
Författningsförslag Ds 2023:21
Nuvarande lydelse Föreslagen lydelse
2 kap.
3 §
Kriminalvården får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.
Kriminalvården får med hjälp av biometrisk autentisering bekräfta en persons identitet när han eller hon verkställer ett fängelsestraff, i eller utanför anstalt.
Sekretessbrytande bestämmelse
5 §
Polismyndigheten, Säkerhetspolisen, Tullverket och Regeringskansliet har, trots sekretess enligt 18 kap. 11 § , 21 kap. 3 § och 35 kap. 15 § offentlighets- och sekretesslagen (2009:400) , rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177) .
Första stycket gäller inte uppgifter som behandlas i säkerhetsregistret.
Direktåtkomst
6 §
Regeringskansliet, Polismyndigheten, Säkerhetspolisen och Tullverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177) medges direktåtkomst till personuppgifter som görs eller har gjorts gemensamt till-
Ds 2023:21 Författningsförslag
gängliga. För säkerhetsregistret finns särskilda bestämmelser i 4 kap. 7 §.
För Regeringskansliet får endast sådana uppgifter som behövs i ärenden om nåd göras tillgängliga.
7 §
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. vilka personuppgifter som får behandlas enligt 1 §,
2. utlämnande av personuppgifter i andra fall än som anges i 4 §,
2. utlämnande av personuppgifter i andra fall än som anges i 4 och 6 §§, och
3. frågor som rör elektroniskt utlämnande genom direktåtkomst,
3. frågor som rör elektroniskt utlämnande genom direktåtkomst.
4. längsta tid som personuppgifter får behandlas, och
5. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 5 §.
3 kap. Gemensamt tillgängliga uppgifter
Allmän bestämmelse
1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2–5 §§. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.
Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:1177).
Författningsförslag Ds 2023:21
Personuppgifter som får göras gemensamt tillgängliga
2 § Personuppgifter som behandlas för syften som anges i 2 kap. 1 § får göras gemensamt tillgängliga om de avser en person som
1. är häktad, anhållen eller gripen med anledning av misstanke om brott eller verkställighet av påföljd eller utvisning,
2. är dömd till en påföljd som ska verkställas inom Kriminalvården eller till förvandlingsstraff för böter eller viten,
3. på grund av en utländsk dom är dömd till en sådan påföljd som avses i 2, eller annan påföljd som avses i lagen (2015:96) om erkännande och verkställighet av frihetsberövande påföljder inom Europeiska unionen, och som kan komma att verkställas i Sverige,
4. på grund av en svensk dom eller beslut annars är föremål för överföring av straffverkställighet till ett annat land,
5. på grund av ett utländskt beslut eller en utländsk dom är frihetsberövad och ska transiteras genom Sverige för fortsatt verkställighet eller en annan åtgärd i ett annat land,
6. annars är frihetsberövad inom Kriminalvården för syften som anges i 2 kap. 1 §, eller
7. är föremål för personutredning eller annan åtgärd enligt 1 § lagen (1991:2041) om särskild personutredning i brottmål, m.m.
3 § Uppgifter om en dömd person som tas fram genom elektronisk övervakning som ett led i verkställighet av en påföljd får göras gemensamt tillgängliga.
Uppgifterna får behandlas i högst tre månader. När uppgifterna inte längre får behandlas, ska de omedelbart raderas.
4 § När Kriminalvården behandlar uppgifter om en person som anges i 2 § får myndigheten även göra personuppgifter om följande personer gemensamt tillgängliga:
1. närstående till den registrerade,
2. andra personer som har nära förbindelse till den registrerade,
3. personer som i tjänst eller uppdrag har kontakter med den registrerade,
4. andra personer som besöker eller har kontakter med intagna eller
5. målsägande.
Ds 2023:21 Författningsförslag
Det som sägs i första stycket gäller även uppgifter om juridiska personer som avses i första stycket 2–5.
Regeringen meddelar föreskrifter om vilka uppgifter om en person som anges i första och andra styckena som får göras gemensamt tillgängliga.
5 § Om det av särskilda skäl krävs för planering av framtida verkställighet av ett fängelsestraff eller av säkerhetsskäl, eller om det behövs för verkställighet av övervakning enligt 28 kap. 5 § brottsbalken, får personuppgifter som anges i 2 § 2 behandlas oberoende av att domen inte har fått laga kraft.
Uppgifter som behandlas med stöd av första stycket ska raderas senast tre månader efter att domen eller beslutet fick laga kraft om personen inte slutligt döms till en påföljd som ska verkställas inom Kriminalvården. Om verkställigheten har påbörjats tillämpas i stället 5 kap. 6 eller 7 §.
Särskild upplysning
6 § Om det inte framgår av sammanhanget eller på annat sätt att en personuppgift som görs eller har gjorts gemensamt tillgänglig avser en person som inte är häktad för något av de syften som anges i 2 § 1 eller verkställer en påföljd inom Kriminalvården, ska det tydliggöras genom en särskild upplysning.
Journaler
7 § Kriminalvården ska föra journal över den som är häktad för något av de syften som anges i 2 § 1, dömd till en påföljd som ska verkställas inom Kriminalvården, villkorligt frigiven eller transporteras av Kriminalvården för något av de syften som anges i 2 § 1. Personuppgifter i en journal får göras gemensamt tillgängliga.
Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om journaler.
Författningsförslag Ds 2023:21
Känsliga personuppgifter
8 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:1177) hindrar inte sökning på personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § 1–3 eller 6 i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning.
Rätt att meddela föreskrifter
9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om uppgifter som får göras gemensamt tillgängliga, uppgiftsskyldighet och om utlämnande av personuppgifter som har gjorts gemensamt tillgängliga.
3 kap. 4 kap.
2 §
I säkerhetsregistret får uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff och som är eller har varit placerad på en säkerhetsavdelning.
I säkerhetsregistret får uppgifter behandlas om en person som är häktad för något av de syf-
ten som anges i 2 kap. 1 § 1 eller
verkställer ett fängelsestraff, i
eller utanför anstalt, och som är
eller har varit placerad på eller
uppfyller kraven för att placeras på
en säkerhetsavdelning.
I registret får även uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff, om det finns risk för att han eller hon
I registret får även uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff, i eller utanför anstalt, om det finns risk för att han eller hon
1. under häktning eller verkställighet av fängelsestraff begår brott som inte är ringa eller utövar brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer,
2. förbereder rymning eller försöker rymma,
Ds 2023:21 Författningsförslag
3. blir föremål för fritagning,
4. bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt, eller
4. bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte, i en kriminalvårdsanstalt eller i andra lokaler där Krimi-
nalvården bedriver verksamhet,
5. under häktning eller verkställighet av ett fängelsestraff utsätts för våld eller hot.
5. under häktning eller verkställighet av ett fängelsestraff utsätts för våld eller hot, eller
6. utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler.
3 §
I säkerhetsregistret får även uppgifter behandlas om en person som verkställer en påföljd inom kriminalvården, om det finns risk för att han eller hon ut-
övar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i kriminalvårdens lokaler.
I säkerhetsregistret får även uppgifter behandlas om en person som verkställer en annan påföljd än fängelse inom Kriminalvården, om det finns risk för att han eller hon
1. utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler,
2. bidrar till att allvarligt störa ordningen eller säkerheten i Kriminalvårdens lokaler, eller
3. under verkställighet av en påföljd utsätts för våld eller hot.
Behandling i säkerhetsregistret enligt första stycket 2 och 3 får endast ske om det finns särskilda skäl.
Författningsförslag Ds 2023:21
3 a §
Om det är absolut nödvändigt för att Kriminalvården ska kunna upprätthålla säkerheten på häkten och i kriminalvårdsanstalter får myndigheten i säkerhetsregistret behandla uppgifter om personer som tillsammans med andra kan antas ägna sig åt organiserad brottslig verksamhet.
4 §
Om det är absolut nödvändigt för ändamålet med behandlingen enligt 1 §, får Kriminalvården i säkerhetsregistret behandla uppgifter om en person som har personlig anknytning till eller annan nära förbindelse med en person som anges i 2 §. Om den personen inte är häktad eller verkställer fängelsestraff ska det framgå genom en särskild upplysning.
Om det är absolut nödvändigt för ändamålet med behandlingen enligt 1 §, får Kriminalvården i säkerhetsregistret behandla uppgifter om en person som är närstående till eller har annan nära förbindelse med en person som anges i 2 §. Om den personen inte är häktad eller verkställer fängelsestraff ska det framgå genom en särskild upplysning.
Sekretessbrytande bestämmelse
6 §
Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Åklagarmyndigheten har, trots sekretess enligt 18 kap. 11 § , 21 kap. 3 § och 35 kap. 15 § offentlighets- och sekretesslagen (2009:400) , rätt att ta del av personuppgifter i säkerhetsregistret, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177) .
Ds 2023:21 Författningsförslag
8 §
Personuppgifter i säkerhetsregistret får inte behandlas längre än fem år efter det att
1. den registrerade blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte,
2. den registrerade helt har verkställt en sådan påföljd som avses i 3 §, eller
3. den person som en registrerad har personlig anknytning till eller annan nära förbindelse med enligt 4 §, har blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte.
3. den person som en registrerad är närstående till eller har annan nära förbindelse med enligt 4 §, har blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av denna paragraf.
9 §
Om uppgifter behandlas enligt 2 § första stycket med stöd av en dom som inte har fått laga kraft och grunden för behandling sedan bortfaller, ska uppgifter om den registrerade och en person som anges i 4 § raderas senast tre månader efter det att domen fick laga kraft. Om verkställigheten har påbörjats tillämpas i stället 8 §.
5 kap. Längsta tid som personuppgifter får behandlas
Allmänna bestämmelser
1 § Personuppgifter som behandlas automatiserat får, om inte annat sägs, inte behandlas längre än tio år efter det att den senaste
Författningsförslag Ds 2023:21
påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört.
Av 2 kap. 17 § första stycket brottsdatalagen (2018:1177) framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
I följande paragrafer finns särskilda bestämmelser om hur länge vissa personuppgifter får behandlas:
– 3 kap. 3 § om positionsuppgifter, – 3 kap. 5 § och 4 kap. 9 § om personuppgifter som behandlas
med stöd av en dom som inte har fått laga kraft, och
– 4 kap. 8 § om uppgifter i säkerhetsregistret.
2 § Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av detta kapitel.
Personuppgifter som inte har gjorts gemensamt tillgängliga
3 § Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än
1. ett år efter det att ärendet avslutades, om uppgifterna behandlades i ett ärende, eller
2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.
Personuppgifter som har gjorts gemensamt tillgängliga
Personer som inte ska verkställa en påföljd inom Kriminalvården
4 § Personuppgifter om en häktad person, som inte har dömts för brott till en påföljd som ska verkställas inom Kriminalvården, får, om uppgifterna har gjorts gemensamt tillgängliga, inte behandlas längre än fem år efter det att den häktade frigavs från häktet.
5 § Personuppgifter om en person som varit föremål för handläggning enligt lagen (1991:2041) om särskild personutredning i brottmål, m.m., men som varken har varit häktad eller har dömts för brott till en påföljd som ska verkställas inom Kriminalvården, får, om uppgifterna har gjorts gemensamt tillgängliga, inte behandlas längre
Ds 2023:21 Författningsförslag
än tre år efter det att det mål, i vilket personutredningen gjordes, slutligt har avgjorts.
Uppgifter om dömda personer
6 § Personuppgifter om den som har dömts för brott till en påföljd som ska verkställas inom Kriminalvården och som var 18 år eller äldre vid tiden för brottet, får, om uppgifterna har gjorts gemensamt tillgängliga, inte behandlas längre än tio år efter det att den senaste påföljden helt har verkställts eller upphört av annat skäl.
7 § Personuppgifter om den som har dömts för brott till någon annan påföljd än fängelse som ska verkställas inom Kriminalvården och som var under 18 år vid tiden för brottet, får, om uppgifterna har gjorts gemensamt tillgängliga, inte behandlas längre än fem år efter det att den senaste påföljden helt har verkställts eller upphört av annat skäl. För den som har dömts till fängelse gäller 6 §.
Övriga personuppgifter
8 § Behandlingen av uppgifter om en person som anges i 3 kap. 4 § ska upphöra senast när uppgifterna om den registrerade upphör att behandlas.
Rätt att meddela föreskrifter
9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. längsta tid som personuppgifter får behandlas,
2. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i detta kapitel, och
3. begränsning av behandlingen av personuppgifter för ändamål vid digital arkivering.
Författningsförslag Ds 2023:21
Nuvarande lydelse Föreslagen lydelse
4 kap. 6 kap.
1 §
En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i
1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
2. 3 kap. 4 § om särskild upplysning, eller
2. 3 kap. 6 § och 4 kap. 4 § om särskild upplysning, eller
3. 2 kap. 5 § eller 3 kap. 7 § om den längsta tid som personuppgifter får behandlas.
3. 3 kap. 3 och 5 §§, 4 kap. 8
och 9 §§ eller 5 kap. 1 och 3–8 §§
om den längsta tid som personuppgifter får behandlas.
En sanktionsavgift får också tas ut vid överträdelse av föreskrifter som har meddelats i anslutning till denna lag om särskild upplysning eller om längsta tid som personuppgifter får behandlas.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
1. Denna lag träder i kraft den 1 juli 2024.
2. Bestämmelsen i 5 kap. 7 § ska endast tillämpas på påföljder som beslutas efter ikraftträdandet.
3. Äldre bestämmelser gäller fortfarande för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet.
Ds 2023:21 Författningsförslag
1.2. Förslag till förordning (2024:000) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
1 § I denna förordning finns kompletterande bestämmelser till lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område.
2 § I 3 kap. lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område finns särskilda bestämmelser om behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga.
3 § I 2 kap. 7 § finns bestämmelser om skyldighet för andra myndigheter att lämna uppgifter till Kriminalvården.
2 kap. Gemensamt tillgängliga uppgifter
Personuppgifter om dömda och häktade m.fl.
1 § Personuppgifter om intagna eller andra klienter eller den som genomgår personutredning får, om det behövs för verkställigheten av häktning eller påföljd eller för andra syften som anges i 2 kap. 1 § lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område göras gemensamt tillgängliga.
Personuppgifter om andra
2 § När Kriminalvården behandlar uppgifter om en person med stöd av 3 kap. 4 § lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område får följande uppgifter göras gemensamt tillgängliga:
Författningsförslag Ds 2023:21
1. namn, e-postadress, adress, telefonnummer och andra kontaktuppgifter samt relation till den registrerade och, vid behov, titel för
a) ombud eller ställföreträdare,
b) arbetsgivare, utbildare eller liknande och kontaktpersoner hos sådana,
c) statlig eller kommunal befattningshavare som i tjänsten tar befattning med den registrerade,
d) tolk,
e) vårdnadshavare, särskilt förordnad vårdnadshavare, förmyndare, god man och familjehemsförälder,
f) närstående,
g) andra personer som har nära förbindelse till den registrerade,
h) andra personer som besöker eller har kontakter med den registrerade,
i) annan intagen på häkte eller i kriminalvårdsanstalt som är dömd för delaktighet i samma brott som den registrerade,
j) övervakare, och
k) koordinator, om kriminalvården har förordnat en person som inte är tjänsteman vid myndigheten till särskild koordinator enligt 5 § förordningen (2020:792) om verkställighet av ungdomsövervakning.
Uppgift om namn och kontaktuppgifter till annan person än som anges i första stycket får göras gemensamt tillgängliga om det är nödvändigt för genomförandet av den straffrättsliga påföljd som den registrerade verkställer eller ska verkställa.
3 § I fråga om annan besökare än sådan person som besöker den häktade i tjänsten eller som den häktade tillåts att ha elektronisk kommunikation med får, utöver vad som anges i 2 §, personnummer och uppgift om språk samt sådana uppgifter som avses i 3 kap. 11 § häkteslagen (2010:611) göras gemensamt tillgängliga.
4 § Uppgifter om målsägande, som enligt med 27 § häktesförordningen (2010:2011), 35 § fängelseförordningen (2010:2010) eller 10 § förordningen (1994:1060) om intensivövervakning med elektronisk kontroll ska underrättas, får göras gemensamt tillgängliga.
Ds 2023:21 Författningsförslag
5 § I fråga om juridiska personer får följande uppgifter göras gemensamt tillgängliga:
1. benämningen på den juridiska personen, organisationsnummer, adress, e-postadress, telefonnummer och andra kontaktuppgifter, och
2. personuppgifter om
a) företrädare,
b) annan som kan ha avgörande inflytande över den juridiska personen, och
c) kontaktperson för den juridiska personen.
Journaler
6 § En journal ska dokumentera den registrerades vistelse eller verkställighet och får innehålla uppgifter om alla beslut rörande honom eller henne som har fattats, viktiga händelser under vistelsen eller verkställigheten och väsentliga uppgifter om vidtagna eller planerade åtgärder som gäller den registrerade. Journalen får även innehålla uppgifter om andra omständigheter som är av betydelse för vistelsen eller verkställigheten.
Av journalen ska det framgå vem som har dokumenterat en viss uppgift och när det gjordes.
Vid rättelse av en felaktighet ska det anges när rättelsen har gjorts och vem som har gjort den.
Om det i annan författning finns avvikande bestämmelser om journaler ska i stället de bestämmelserna gälla.
Skyldighet att lämna uppgifter till Kriminalvården
7 § Nedan angivna myndigheter ska lämna uppgifter till Kriminalvården i följande fall.
Uppgift lämnas av Uppgift lämnas om
1. Polismyndigheten Dom eller beslut som avser fängelse, skyddstillsyn, ungdomsövervakning, villkorlig dom med föreskrift om samhällstjänst eller
Författningsförslag Ds 2023:21
förvandlingsstraff för böter eller vite.
Överklagande av dom eller slutligt beslut som det har lämnats uppgift om tidigare.
Beslut under rättegången att vidare verkställighet inte får äga rum beträffande den som har dömts till skyddstillsyn.
Att dom eller slutligt beslut som uppgift har lämnats om tidigare har fått laga kraft.
Att påföljd i dom eller slutligt beslut som uppgift har lämnats om tidigare har ändrats till en annan påföljd än fängelse, skyddstillsyn, ungdomsövervakning eller villkorlig dom med föreskrift om samhällstjänst.
Att fängelse på livstid har omvandlats till fängelse på viss tid enligt lagen (2006:45) om omvandling av fängelse på livstid.
2. Regeringskansliet Beslut i nådeärenden.
3. Migrationsverket, en migrationsdomstol och Migrationsöverdomstolen
Beslut om att inhibition av en allmän domstols beslut om utvisning på grund av brott har meddelats eller upphävts, att ett tidsbegränsat uppehållstillstånd beviljats en utlänning som har utvisats på grund av brott eller att ett utvisningsbeslut på grund
Ds 2023:21 Författningsförslag
av brott helt eller delvis har upphävts.
4. De allmänna domstolarna Dom eller beslut som avser fängelse, skyddstillsyn, ungdomsövervakning, villkorlig dom med föreskrift om samhällstjänst eller förvandlingsstraff för böter eller vite.
Dom eller slutligt beslut i annat brottmål där en särskild personutredning har inhämtats från Kriminalvården.
Överklagande av dom eller slutligt beslut som det har lämnats uppgift om tidigare.
Att dom eller slutligt beslut som uppgift har lämnats om tidigare har fått laga kraft.
Att påföljd i dom eller slutligt beslut som uppgift har lämnats om tidigare har ändrats till en annan påföljd än fängelse, skyddstillsyn, ungdomsövervakning eller villkorlig dom med föreskrift om samhällstjänst.
Att fängelse på livstid har omvandlats till fängelse på viss tid enligt lagen om omvandling av fängelse på livstid.
Sådana förhållanden med betydelse för verkställighet av häktning eller straffrättsliga påföljder
Författningsförslag Ds 2023:21
som avses i 5 b § 2 förordningen (2014:1085) om rättsväsendets informationshantering.
Polismyndighetens uppgiftsskyldighet enligt första stycket 1 gäller endast sådana domar och beslut av en hovrätt eller Högsta domstolen som avses i 5 och 5 a §§ förordningen (1970:517) om rättsväsendets informationssystem.
De allmänna domstolarnas uppgiftsskyldighet enligt första stycket 4 gäller inte sådana domar och beslut av en hovrätt eller Högsta domstolen som avses i 5 och 5 a §§ förordningen om rättsväsendets informationssystem.
Utlämnande av uppgifter
8 § Uppgifter som görs eller har gjorts gemensamt tillgängliga ska på begäran lämnas ut till Regeringskansliet, en domstol, Åklagarmyndigheten, Ekobrottsmyndigheten, Tullverket, Justitiekanslern,
Riksdagens ombudsmän, Polismyndigheten, Säkerhetspolisen och Integritetsskyddsmyndigheten.
3 kap. Säkerhetsregistret
Säkerhetsregistrets innehåll
1 § Har regeringen med stöd av 7 kap. 11 § fängelselagen (2010:610) beslutat om avvikelser från bestämmelserna i 7 kap. samma lag i fråga om en intagen, ska uppgifter om honom eller henne behandlas i säkerhetsregistret, om det inte är uppenbart obehövligt.
2 § När Kriminalvården behandlar uppgifter om en person med stöd av 4 kap. 3 a § lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område får uppgifter om personens namn, personnummer och andra identitetsuppgifter, adress, telefonnummer och, i förekommande fall, företag som personen äger eller har ett bestämmande inflytande över behandlas i säkerhetsregistret.
Ds 2023:21 Författningsförslag
Av säkerhetsregistret ska det framgå till vilket kriminellt nätverk eller liknande som personen antas ha kopplingar.
3 § Av säkerhetsregistret ska det framgå
1. skälen för behandling av uppgifter i säkerhetsregistret och de omständigheter som lett till behandlingen, och
2. varifrån uppgifterna kommer och, om det inte är obehövligt, en bedömning av uppgiftslämnarens trovärdighet.
Utlämnande av uppgifter
4 § Uppgifter i säkerhetsregistret ska lämnas ut till Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och
Åklagarmyndigheten, om uppgiften kan antas ha särskild betydelse för
1. en förundersökning,
2. andra brottsbekämpande åtgärder, eller
3. att upprätthålla ordningen och säkerheten i Kriminalvårdens verksamhet.
Uppgifter i säkerhetsregistret ska lämnas ut till Regeringskansliet om uppgiften kan antas ha betydelse i ärenden
1. om nåd i brottmål,
2. enligt lagen (2022:700) om särskild kontroll av vissa utlänningar, eller
3. enligt 7 kap. 11 § eller 13 kap. 6 §fängelselagen (2010:610).
5 § Uppgifter i säkerhetsregistret får lämnas ut till en allmän domstol om uppgiften kan antas ha betydelse i ärenden enligt lagen (2006:45) om omvandling av fängelse på livstid.
Direktåtkomst
6 § Direktåtkomst till säkerhetsregistret ska begränsas till uppgifter om huruvida någon som har registrerats med stöd av 4 kap. 2 § andra stycket 1–4 och 6 lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område förekommer i registret.
Författningsförslag Ds 2023:21
4 kap. Övriga frågor
Skyldighet att anmäla oriktighet
1 § Den som i tjänsten tar del av uppgifter som behandlas i säkerhetsregistret och misstänker att uppgifterna är oriktiga ska genast anmäla det till Kriminalvården. Detsamma gäller uppgifter som görs eller har gjorts gemensamt tillgängliga av Kriminalvården och som har betydelse för verkställigheten av häktning eller påföljd.
Rätt att meddela föreskrifter
2 § Riksarkivet får, efter att ha gett Kriminalvården tillfälle att yttra sig, meddela föreskrifter om att personuppgifter som inte längre får behandlas enligt lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål.
3 § Kriminalvården får, efter att ha gett Riksarkivet tillfälle att yttra sig, meddela närmare föreskrifter om digital arkivering.
4 § Kriminalvården får, efter att ha gett berörd myndighet tillfälle att yttra sig, meddela föreskrifter om omfattningen av uppgiftsskyldigheten i 2 kap. 7 § och om tiden och sättet för att fullgöra den.
5 § Kriminalvården får meddela föreskrifter om begränsning av de personuppgifter som behandlas enligt 2 kap. 1 § lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område.
6 § Kriminalvården får meddela föreskrifter om journaler som förs med stöd av 3 kap. 7 § lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område.
7 § Kriminalvården får meddela ytterligare föreskrifter om verkställigheten av lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område och denna förordning.
Ds 2023:21 Författningsförslag
8 § Innan Kriminalvården meddelar föreskrifter med stöd av denna förordning ska Integritetsskyddsmyndigheten ges tillfälle att yttra sig över Kriminalvårdens förslag.
1. Denna förordning träder i kraft den 1 juli 2024.
2. Genom förordningen upphävs förordningen (2018:1746) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område.
3. Äldre bestämmelser gäller fortfarande för andra myndigheters skyldighet att lämna uppgifter till Kriminalvården om domar och beslut som har meddelats före ikraftträdandet. Om en sådan dom eller ett sådant beslut har överklagats, gäller detsamma även domar och beslut som därefter har meddelats i högre instanser.
4. Äldre bestämmelser gäller fortfarande för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet.
Författningsförslag Ds 2023:21
1.3. Förslag till lag om ändring i lagen (1994:451) om intensivövervakning med elektronisk kontroll
Härigenom föreskrivs i fråga om lagen (1994:451) om intensivövervakning med elektronisk kontroll
dels att rubriken närmast före 8 a § ska lyda ”Fingeravtryck och
ansiktsbild”,1
dels att det i lagen ska införas två nya paragrafer, 8 b och 8 c §§,
av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
8 b §
Vid verkställighet av dom på fängelse enligt denna lag får Kriminalvården ta en digital bild av den dömdes ansikte (ansiktsbild), i syfte att underlätta identifieringen av honom eller henne. Ansiktsbilden får endast användas för jämförelse vid automatisk autentisering eller vid annan identifiering eller kontroll av den dömde enligt denna lag.
8 c §
En ansiktsbild som tagits enligt 8 b § får inte behandlas längre än två år efter det att den senaste domen på fängelse helt har verkställts eller upphört av annat skäl.
Ansiktsbilder och biometriska data som skapats vid en automatisk autentisering enligt 8 b § ska raderas senast en vecka efter autentiseringstillfället eller, vid prövning enligt 14 § andra styck-
1 Senaste lydelse av rubriken 2022:734.
Ds 2023:21 Författningsförslag
et 1 eller 15 eller 16 §, så snart beslutet har fått laga kraft.
Denna lag träder i kraft den 1 juli 2024.
Författningsförslag Ds 2023:21
1.4. Förslag till lag om ändring i fängelselagen (2010:610)
Härigenom föreskrivs i fråga om fängelselagen (2010:610)
dels att 8 kap. 1 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 8 kap. 1 a §, av följande ly-
delse.
Nuvarande lydelse Föreslagen lydelse
8 kap.
1 §
För att underlätta identifieringen av en intagen får fotografi tas av honom eller henne.
Ett digitalt fotografi av en intagens ansikte (ansiktsbild) som tagits enligt första stycket får användas för jämförelse vid automatisk autentisering eller annan identifiering eller kontroll av den dömde enligt denna lag.
1 a §
En ansiktsbild får inte behandlas längre än två år efter det att den senaste domen på fängelse helt har verkställts eller upphört av annat skäl.
Ansiktsbilder och biometriska data som skapats vid en automatisk autentisering enligt 1 § andra stycket ska raderas senast en vecka efter autentiseringstillfället eller, vid prövning enligt 11 kap. 6 § eller 8 § 2, 12 kap. 1 § eller 13 kap. 3 eller 4 §, så snart beslutet fått laga kraft.
Denna lag träder i kraft den 1 juli 2024.
Ds 2023:21 Författningsförslag
1.5. Förslag till lag om ändring i kriminalvårdsdatalagen (2018:1235)
Härigenom föreskrivs att 3 § kriminalvårdsdatalagen (2018:1235) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 §
Personuppgifter får behandlas om det är nödvändigt för att verkställa frihetsberövanden eller genomföra transporter.
Uppgifter i Kriminalvårdens säkerhetsregister får dock endast behandlas för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet.
Uppgifter från Kriminalvårdens säkerhetsregister får dock endast behandlas för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet.
Denna lag träder i kraft den 1 juli 2024.
Författningsförslag Ds 2023:21
1.6. Förslag till förordning om ändring i förordningen (1970:517) om rättsväsendets informationssystem
Härigenom föreskrivs att 1 § förordningen (1970:517) om rättsväsendets informationssystem ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 §2
För att samla in, lagra, bearbeta och lämna uppgifter som har samband med verksamhet inom polisen och domstolsväsendet ska personuppgifter behandlas automatiserat i rättsväsendets informationssystem.
Frågor om väsentlig förändring av informationssystemet och om standarder i systemet bereds av den personuppgiftsansvarige i samråd med berörda centrala myndigheter.
I förordningen (2018:1746) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område finns det bestämmelser om skyldighet för rättsväsendets myndigheter att lämna uppgifter.
I förordningen (2024:000) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område finns det bestämmelser om skyldighet för rättsväsendets myndigheter att lämna uppgifter.
Denna förordning träder i kraft den 1 juli 2024.
2 Senaste lydelse 2022:825.
Ds 2023:21 Författningsförslag
1.7. Förslag till förordning om ändring i förordningen (1994:1060) om intensivövervakning med elektronisk kontroll
Härigenom föreskrivs att 12 §3 förordningen (1994:1060) om intensivövervakning med elektronisk kontroll ska upphöra att gälla vid utgången av juni 2024.
3 Senaste lydelse av 12 § 2005:1012.
Författningsförslag Ds 2023:21
1.8. Förslag till förordning om ändring i förordningen (1998:642) om verkställighet av frivårdspåföljder
Härigenom föreskrivs att 2 kap. 10 §, 3 kap. 5 § och 4 kap. 6 a § förordningen (1998:642) om verkställighet av frivårdspåföljder4 ska upphöra att gälla och att rubrikerna närmast före 2 kap. 10 §, 3 kap. 5 § och 4 kap. 6 a § ska utgå vid utgången av juni 2024.
4 Senaste lydelse av 2 kap. 10 § 2005:1018 3 kap. 5 § 2005:1018 4 kap. 6 a § 2005:1018.
Ds 2023:21 Författningsförslag
1.9. Förslag till förordning om ändring i offentlighets- och sekretessförordningen (2009:641)
Härigenom föreskrivs att 2 § offentlighets- och sekretessförordningen (2009:641) ska ha följande lydelse.
Nuvarande lydelse
2 §5
Myndighet Handlingar som innehåller sekretessreglerade uppgifter och som inte behöver registreras
-.-.-.-. kommunala myndigheter och trafikhuvudmän
– handlingar i ärenden om färdtjänst och riksfärdtjänst
Kriminalvården – handlingar som utgör underlag till det centrala kriminalvårdsre-
gistret,
– handlingar som hör till journaler som upprättats för enskilda i kriminalvårdsverksamhet, och – transportbeställningar
Kustbevakningen – anmälningar från sjöfarten om fartygs ankomst till svenska orter -.-.-.-.
Föreslagen lydelse
2 §
Myndighet Handlingar som innehåller sekretessreglerade uppgifter och som inte behöver registreras
-.-.-. kommunala myndigheter och trafikhuvudmän
– handlingar i ärenden om färdtjänst och riksfärdtjänst
5 Senaste lydelse 2022:652.
Författningsförslag Ds 2023:21
Kriminalvården – handlingar som utgör underlag till strukturerade uppgiftssamling-
ar som förs med stöd av lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område,
– handlingar som hör till journaler som upprättats för enskilda i kriminalvårdsverksamhet, och – transportbeställningar
Kustbevakningen – anmälningar från sjöfarten om fartygs ankomst till svenska orter -.-.-.
Denna förordning träder i kraft den 1 juli 2024.
Ds 2023:21 Författningsförslag
1.10. Förslag till förordning om ändring i fängelseförordningen (2010:2010)
Härigenom föreskrivs att 5 § fängelseförordningen (2010:2010) ska upphöra att gälla och att rubriken närmast före 5 § ska utgå vid utgången av juni 2024.
Författningsförslag Ds 2023:21
1.11. Förslag till förordning om ändring i häktesförordningen (2010:2011)
Härigenom föreskrivs att 5 § häktesförordningen (2010:2011) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
5 §
För varje intagen ska det föras en journal som dokumenterar den intagnes verkställighet.
Av journalen ska det framgå vem som har dokumenterat en viss uppgift och när det gjordes.
I 3 kap. 7 § lagen ( 2018:1699 ) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område, 2 kap. 6 § förordningen ( 2024:000 ) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område och 2 § kriminalvårdsdataförordningen (2018:1236) finns bestämmelser om journaler.
Denna förordning träder i kraft den 1 juli 2024.
Ds 2023:21 Författningsförslag
1.12. Förslag till förordning om ändring i förordningen (2020:792) om verkställighet av ungdomsövervakning
Härigenom föreskrivs i fråga om förordningen (2020:792) om verkställighet av ungdomsövervakning
dels att 9 § ska upphöra att gälla och att rubriken närmast före 9 §
ska utgå vid utgången av juni 2024,
dels att 10 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
10 §
Uppgifter om den dömde som tas fram vid elektronisk övervakning enligt 19 § lagen ( 2020:616 ) om verkställighet av ungdomsövervakning får bevaras i högst tre månader. När uppgifterna inte längre får bevaras, ska de omedelbart förstöras.
I 3 kap. 3 § lagen ( 2018:1699 ) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område finns bestämmelser om hur länge uppgifter om den dömde som tagits fram vid elektronisk övervakning får behandlas.
Denna förordning träder i kraft den 1 juli 2024.
2. Utredningens uppdrag och arbete
2.1. Uppdraget
Utredningen har haft i uppdrag att göra en fullständig översyn av lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område (Kriminalvårdens brottsdatalag) och förordningen (2018:1746) med samma namn (Kriminalvårdens brottsdataförordning) och lämna förslag till en uppdaterad registerlagstiftning för Kriminalvården. Direktiven för utredningsarbetet finns i bilaga 1.
Vid genomförandet av uppdraget skulle utredningen beakta det som framgår av förarbetena till Kriminalvårdens brottsdatalag och av Kriminalvårdens framställan till regeringen om en översyn av myndighetens registerförfattningar på dataskyddsområdet (KV 2020– 16617). I uppdraget ingår bl.a. att – analysera om det centrala kriminalvårdsregistret bör regleras i lag, – överväga behovet av sekretessbrytande bestämmelser för medgi-
vande av direktåtkomst till säkerhetsregistret och till det centrala kriminalvårdsregistret, – undersöka behovet av ändringar i registerlagstiftningen till följd
av Kriminalvårdens uppdrag att delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten, samt – analysera hur länge Kriminalvården bör få hantera olika person-
uppgifter.
Utredningens uppdrag och arbete Ds 2023:21
2.2. Avgränsning
Av direktiven framgår att utredningens uppdrag är begränsat till den lagstiftning som reglerar Kriminalvårdens behandling av personuppgifter inom brottsdatalagens område. Den lagstiftning som ligger utanför det området ingår således inte i utredningens översyn. Den del av Kriminalvårdens behandling av personuppgifter som äger rum med stöd av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen), lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning och kriminalvårdsdatalagen (2018:1235) och patientdatalagen (2008:355) kommer således inte att behandlas i denna promemoria.
2.3. Genomförandet av uppdraget
Utredningsarbetet påbörjades i mitten av maj 2022 och har bedrivits på sedvanligt sätt. Regelbundna sammanträden har hållits med en referensgrupp som Kriminalvården har utsett.
Utredningen har haft möte med företrädare för Kriminalvården – den 1 juni 2022, – den 31 oktober 2022, – den 6 december 2022, – den 17 april 2023 och – den 20 juni 2023.
Därutöver har samråd ägt rum med Biometriutredningen. Utredningen har även haft kontakt med Regeringskansliet avseende Kriminalvårdens framställan om ändringar i förordningen (2007:1172) med instruktion för Kriminalvården (kriminalvårdsinstruktionen). Vidare har utredningen haft kontakt med företrädare för Tullverket.
Ds 2023:21 Utredningens uppdrag och arbete
2.4. Promemorians disposition
Promemorian inleds med en sammanfattning och utredningens förslag på författningsändringar. I detta kapitel beskrivs utredningens uppdrag och hur arbetet har bedrivits. Därefter följer i kapitel tre en kort bakgrund. I det fjärde kapitlet finns en redogörelse av de registerförfattningar som är relevanta för uppdraget. I kapitel fem beskrivs problemen med den nuvarande lagstiftningen, sett i förhållande till Kriminalvårdens verksamhet. I kapitel sex tydliggörs varför lagstiftningen bör moderniseras. Utgångspunkterna för Kriminalvårdens nya lagstiftning behandlas i kapitel sju. Den framtida regleringen av det centrala kriminalvårdsregistret respektive säkerhetsregistret behandlas i kapitel åtta och nio. Andra relevanta ändringar i Kriminalvårdens brottsdatalag presenteras i det tionde kapitlet. I kapitel elva behandlas vissa förslag i annan lagstiftning som Kriminalvården tillämpar. I kapitel tolv behandlas Kriminalvårdens brottsdataförordning och där utvecklas varför den nuvarande förordningen bör ersättas med en ny förordning. Ikraftträdande och övergångsbestämmelser behandlas i kapitel tretton och i kapitel fjorton finns en beskrivning av konsekvenserna av förslagen. Författningskommentaren finns i kapitel femton.
3. Bakgrund
3.1. Kriminalvårdens uppdrag
I regleringsbrevet till Kriminalvården för år 2023 har regeringen slagit fast att målet är att brottsligheten ska minska och människors trygghet ska öka och att Kriminalvården ska bidra till den utvecklingen genom att fullgöra sina uppgifter.
Kriminalvården är en del av rättsväsendet och i allt väsentligt en verkställande myndighet. Myndighetens huvuduppdrag framgår av 1 och 2 §§ kriminalvårdsinstruktionen. Enligt paragraferna ska Kriminalvården verkställa utdömda påföljder, bedriva häktesverksamhet och utföra personutredningar i brottmål. Myndigheten ska verka för att påföljder verkställs på ett säkert, humant och effektivt sätt, att lagföring kan ske på ett effektivt sätt och att återfall i brott förebyggs. Det ankommer på Kriminalvården att särskilt vidta åtgärder som syftar till att brottslighet under verkställigheten förhindras, frigivning förbereds och narkotikamissbruket bekämpas. Innehållet i verkställigheten ska anpassas efter varje individs behov. Sedan mars 2020 ingår det också i Kriminalvårdens uppdrag att delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.
Enligt 2 a § kriminalvårdsinstruktionen är Kriminalvården sedan den 1 oktober 2022 beredskapsmyndighet enligt förordningen (2022:524) om statliga myndigheters beredskap. I korthet innebär uppdraget att Kriminalvården, som en av flera myndigheter, ska vara med och stärka Sveriges motståndskraft under fredstida krissituationer, höjd beredskap och krig. Arbetet innebär tät samverkan med Polismyndigheten, Säkerhetspolisen, Kustbevakningen och Skatteverket.
Kriminalvården ansvarar även för vissa transporter, bl.a. att transportera klienter mellan domstol, häkte och anstalt eller till sjukhus
Bakgrund Ds 2023:21
för vård. Myndigheten utför också transporter för andra myndigheter. Det omfattar såväl myndigheter som har uppgifter inom brottsdatalagens område som andra myndigheter.
I regleringsbrevet för år 2023 framgår de mål och återrapporteringskrav som regeringen har beslutat för Kriminalvården. Kriminalvården ska bl.a. redovisa hur myndigheten har arbetat för att upprätthålla en god säkerhet, särskilt mot bakgrund av utmaningarna med ett ökande antal klienter med koppling till organiserad brottslighet. Kriminalvården ska också motivera hur myndigheten har arbetat med säkerhetsfrågor när det gäller att skapa en säker och god arbetsmiljö för personalen samt övergripande redogöra för hur myndigheten arbetat för att förvalta och utveckla sin informationssäkerhet och för hur den planerar för att kunna möta framtida behov.
Regeringen har härtill gett Kriminalvården ett antal särskilda uppdrag som ska redovisas under åren 2023–2024. De omfattar bl.a. att beräkna vilken kapacitet som behövs i anstalt, häkte och frivård för att de i Tidöavtalet föreslagna reformerna ska kunna genomföras, redovisa vidtagna och planerade åtgärder för att utöka platskapciteten och inkomma med statistik över antalet utländska medborgare med pågående fängelseverkställigheter.
Myndigheten har sedan tidigare även ett femtontal andra, pågående särskilda uppdrag som ska redovisas under samma tid. De gäller bl.a. att utöka antalet platser i häkten och anstalter, sprida strategin bakom ”Sluta skjut” till fler orter i Sverige, digitalisera verksamheten, bedriva försöksverksamhet med snabbare lagföring och att utveckla informationsutbytet med Polismyndigheten avseende personer som har dömts för sexualbrott, våldsbrott mot närstående och brott med hedersmotiv och när det gäller unga dömda (regleringsbrevet för år 2022). Många av uppdragen ska genomföras i samråd med andra myndigheter, bl.a. Domstolsverket, Åklagarmyndigheten, Polismyndigheten och Brottsförebyggande rådet.
3.2. Kriminalvårdens verksamhet
Kriminalvården är sedan år 2006 en enda myndighet indelad i sex geografiska regioner. Myndigheten har en nationell transportenhet och huvudkontoret är placerat i Norrköping. Kriminalvården leds av en generaldirektör och varje region leds av en regionchef.
Bakgrund
Vid årsskiftet 2021/2022 hade Kriminalvården 33 häkten, 40 anstalter för män, 6 anstalter för kvinnor och 32 frivårdskontor fördelade över hela Sverige.6
Häkten och häktesplatser i Kriminalvården delas in i två säkerhetsklasser; normalhäkte och säkerhetshäkte. Säkerhetshäkten har en högre grad av säkerhet jämfört med normalhäkten.
Kriminalvårdens anstalter är indelade i tre säkerhetsklasser; 1, 2 och 3. Anstalter med klass 1 har den högsta säkerheten och anstalter med klass 3 har den lägsta säkerheten. Det finns ingen klass 1-anstalt för kvinnor. Det är förmågan att hindra rymningar, försök till fritagning, fortsatt brottslighet och missbruk som avgör vilken säkerhetsklass anstalten har. En anstalt kan ha mer än en säkerhetsklass om avdelningarna har olika nivåer av övervakning och kontroll. Varje klient bedöms individuellt för att placeras på rätt anstalt med rätt klassificering.
På ett fåtal av Kriminalvårdens anstalter finns det särskilda säkerhetsenheter med platstyperna säkerhetsplats och skyddsplats. Säkerhetsplatser är till för klienter med en varaktig risk for rymning eller fritagning och särskilt hög risk för fortsatt allvarlig brottslighet. Sådana platser kräver särskild hög nivå av övervakning och kontroll. Skyddsplatser är till för klienter som är i behov av skydd och används för de klienter som har en allvarlig hotbild riktad mot sig.
Den genomsnittliga beläggningsgraden år 2021 var 101 procent i häkte och 109 procent på anstalt.7 Beläggningsgraden fortsatte att öka år 2022.8 Hösten 2022 fanns drygt 2 200 ordinarie häktesplatser och drygt 4 500 anstaltsplatser samt ett antal tillfälliga så kallade beredskapsplatser. Målet är att det ska finnas 3 120 ordinarie häktesplatser och 6 980 anstaltsplatser år 2030. Samtidigt ska ett stort antal beredskapsplatser och tidsbegränsade platser tas fram.
Kriminalvården tillhandahåller ett ”samhälle i samhället”. I häkten och på anstalter bedrivs bl.a. sysselsättning samt hälso- och sjukvård. Som sysselsättning räknas arbete, studier, behandlingsprogram eller annan strukturerad verksamhet. Arbete kan vara olika typer av montering eller förpackning, snickeri, drift- och underhåll, jobb i mekanisk verkstad eller städning eller tvätt. Vissa typer av arbete går att utföra på bostadsrummet och lämpar sig väl för klienter som är
6 Kriminalvårdens årsredovisning 2022. 7 KOS – Kriminalvård och statistik 2021. 8 Kriminalvårdens årsredovisning 2022.
Bakgrund Ds 2023:21
häktade. Annat arbete utförs på samma sätt som på industrier och verkstäder ute i samhället, under ledning av en eller flera produktionsledare. Annan strukturerad verksamhet kan exempelvis vara självförvaltning, föräldragrupp och studiecirkeln ”Bättre framtid” inför frigivning. Klienten får betalt för all sysselsättning han eller hon utför. Det finns även utrymme för fritidsaktiviteter.
De flesta interna transporter genomförs av Kriminalvårdens nationella transportenhet, men kan i vissa fall även genomföras av medarbetare i anstalter och häkten. Transportenheten utför även transporter för Polismyndigheten, Säkerhetspolisen, Migrationsverket, Statens institutionsstyrelse, regioner och socialnämnder. Transporterna äger rum både inom Sverige och till andra länder.
Kriminalvården har sedan år 2008 också bedrivit forskning dels genom egna forsknings- och utvärderingsprojekt, dels genom att sammanställa befintlig kunskap. Kriminalvårdens interna forskning samordnas av Forsknings- och utvärderingsenheten. Enheten har i uppdrag att bidra med kunskapsunderlag, att kvalitetssäkra beslut och verka för en evidensbaserad kriminalvård. Myndigheten publicerar återkommande vetenskapliga rapporter och artiklar. Kriminalvården samarbetar också med externa forskare för att främja kunskapsutveckling inom Kriminalvårdens verksamhet. För att säkra att forsknings- och utvärderingsarbetet håller en hög vetenskaplig kvalitet har Kriminalvården knutit till sig ett vetenskapligt råd bestående av aktiva forskare inom områden som psykiatri, kriminologi, psykologi, socialt arbete och beteendeforskning. Hösten 2021 lämnade Kriminalvården in en framställning till Justitiedepartementet om ändring i kriminalvårdsinstruktionen så att myndigheten uttryckligen tilldelas uppgiften att bedriva forskning (KV 2021–15397).
3.3. Några statistiska uppgifter
Under år 20219 påbörjades nästan 20 600 verkställigheter inom Kriminalvården, varav nästan 9 500 fängelseverkställigheter och drygt 11 100 verkställigheter inom frivården. Det är drygt 500 fler fängelseverkställigheter och nästan 900 fler frivårdsverkställigheter än år 2020. Av de som påbörjade en fängelseverkställighet under år 2021 var 24 livstidsdömda, vilket är en markant ökning från år 2020 och
9 KOS – Kriminalvård och statistik 2021.
Bakgrund
den högsta siffran sedan Kriminalvården började föra statistik över livstidsdömda. Sju procent av dem var kvinnor.
I genomsnitt var nästan 2 700 klienter inskrivna i häkte och drygt 5 700 inskrivna på anstalt år 202210. Motsvarande siffror för år 2021 var närmare 2 500 respektive 5 300 inskrivna. Under år 2021 avslutades 1 208 häktningar av unga som vid påbörjad häktning var under 21 år och 160 häktningar av barn i åldrarna 15–17 år. För majoriteten av alla frihetsberövade personer var häktningstiden kortare än fyra månader.
Under år 2022 hade Kriminalvården ansvar för i genomsnitt cirka 13 100 klienter per dag som avtjänade kriminalvårdspåföljd inom frivården. Det innebar en ökning med cirka 1 000 klienter från år 2021. Under år 2021 påbörjade 16 procent av klienterna intensivövervakning med elektronisk kontroll (fotboja). Antalet klienter med fotboja minskade år 2022. Skyddstillsyn var år 2021 den vanligaste påföljden för klienter under 21 år. Under året påbörjade 38 klienter ungdomsövervakning.
Cirka 101 000 intagna och andra klienter transporterades av Kriminalvården under år 2022. Av dessa transporterades nästan 24 500 klienter åt andra myndigheter, kommuner och regioner samt drygt 3 100 klienter till utlandet.
Det genomsnittliga antalet årsarbetskrafter i Kriminalvården under år 2022 var 12 265, varav cirka 6 600 kriminalvårdare i anstalt, häkte eller inom den nationella transportverksamheten och drygt 1 000 frivårdsinspektörer. Utöver anställda medarbetare anlitar frivården även biträdande övervakare som stöd i sitt uppdrag. Vid utgången av år 2022 uppgick de till 3 904 personer.
10 Kriminalvårdens årsredovisning 2022.
4. Gällande rätt
4.1. Dataskyddsreformen
4.1.1. EU:s dataskyddsreform
I slutet av år 2015 enades Europeiska unionen (EU) om en genomgripande reform av EU:s regler om skydd för personuppgifter. Dataskyddsreformen omfattade följande två EU-rättsakter.
1. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad dataskyddsförordningen. Förordningen benämns oftast GDPR.
2. Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, här kallat dataskyddsdirektivet.
EU:s dataskyddsreglering består alltså av två rättsliga instrument; dataskyddsförordningen och dataskyddsdirektivet.
4.1.2. Två olika regelkomplex
Dataskyddsförordningen
Dataskyddsförordningen, som har tillämpats sedan den 25 maj 2018, utgör grunden för den generella personuppgiftsbehandlingen inom
Gällande rätt Ds 2023:21
EU. Syftet med förordningen är dels att skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd vid behandling av personuppgifter, dels att genom en likvärdig skyddsnivå i medlemsstaterna säkerställa ett fritt flöde av personuppgifter inom unionen. Förordningen ersatte 1995 års dataskyddsdirektiv11, som i allt väsentligt genomfördes i svensk rätt genom personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191). Som en konsekvens av att dataskyddsförordningen infördes upphävdes personuppgiftslagen och personuppgiftsförordningen (Ny dataskyddslag, prop. 2017/18:105).
Dataskyddsförordningen är direkt tillämplig i samtliga medlemsstater och gäller alltså i Sverige som om den vore en lag antagen av riksdagen. I Sverige kompletteras dataskyddsförordningen av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) med tillhörande förordning12och, för Kriminalvårdens del, kriminalvårdsdatalagen (2018:1235). Genom kriminalvårdsdatalagen anpassades regleringen av personuppgifter inom Kriminalvården till dataskyddsförordningen (Kriminalvårdsdatalag – en ny lag med anpassning till EU:s dataskyddsförordning, prop. 2017/18:248). Kriminalvårdsdatalagen, som trädde i kraft den 1 augusti 2018, gäller vid behandling av personuppgifter som inte omfattas av brottsdatalagens tillämpningsområde. Inom Kriminalvårdens hälso- och sjukvårdsverksamhet tillämpas även patientdatalagen.
Dataskyddsdirektivet
Dataskyddsdirektivet, som behandlar dataskyddet vid bl.a. brottsbekämpning, lagföring och straffverkställighet, har i svensk rätt i huvudsak genomförts genom brottsdatalagen (2018:1177) och brottsdataförordningen (2018:1202). Brottsdatalagen är en ramlag, som trädde i kraft den 1 augusti 2018. Samtidigt upphävdes den lag som hade genomfört dataskyddsrambeslutet (Brottsdatalag, prop. 2017/18:232).
11 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 12 Förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Ds 2023:21 Gällande rätt
Brottsdatalagen är generellt tillämplig inom det område som dataskyddsdirektivet reglerar, men subsidiär i förhållande till annan lag eller förordning. Den 1 januari 2019 infördes därför nya lagar om personuppgiftsbehandling för flera myndigheter, varvid myndigheternas tidigare registerförfattningar upphävdes. För Kriminalvården infördes Kriminalvårdens brottsdatalag och Kriminalvårdens brottsdataförordning. De nya registerlagarna gäller utöver brottsdatalagen och innehåller enbart bestämmelser som innebär preciseringar, undantag eller avvikelser från den lagen. Samtidigt genomfördes också ändringar i andra lagar som en följd av de nya registerförfattningarna.
Kriminalvården tillämpar båda regelsystemen
Som en effekt av EU:s dataskyddsreform finns alltså reglerna om personuppgiftsbehandling i två parallella regelverk och flertalet myndigheter, bl.a. Kriminalvården, Polismyndigheten och domstolarna, ska tillämpa såväl dataskyddsförordningen som brottsdatalagen och de författningar som kompletterar dem.
Dataskyddsförordningen, som är generellt tillämplig på automatiserad behandling av personuppgifter och viss annan strukturerad information, gäller inte när dataskyddsdirektivet är tillämpligt (se artikel 2.2 d i dataskyddsförordningen). Avgörande för vilket regelverk som en myndighet ska tillämpa är om det är en behörig myndighet som ska behandla personuppgiften och det syfte för vilket personuppgiften ska behandlas.
Genom att syftet med behandlingen styr när det gäller personuppgiftsbehandling som omfattas av unionsrätten, kan en behörig myndighets behandling av samma personuppgift antingen styras av brottsdatalagens eller dataskyddsförordningens regelverk. Typen av personuppgiftsbehandling, vilken verksamhet den behandlas i eller personuppgiftens karaktär är alltså inte avgörande för vilket regelverk som ska tillämpas.
Ett exempel på det är att det i Kriminalvårdens häktesverksamhet behandlas personuppgifter både om personer som är frihetsberövade på grund av brottsutredning, lagföring och straffverkställighet och personer som är föremål för olika administrativa frihetsberövanden, t.ex. tvångsvård, häktning enligt konkurslagen (1987:672) eller för-
Gällande rätt Ds 2023:21
var enligt utlänningslagen (2005:716). Om syftet med förvaringen i häkte är brottsbekämpning, lagföring, straffverkställighet eller ordningshållning ligger det under brottsdatalagens tillämpningsområde. Är det däremot fråga om ett frihetsberövande av något annat slag gäller som regel dataskyddsförordningen.
Närmare ledning för hur myndigheterna ska bedöma frågan om vilket regelverk som ska tillämpas, finns i Utredningens om 2016 års dataskyddsdirektivs betänkande.13 Där finns en omfattande analys av brottsdatalagen tillämpningsområde och de gränsdragningsfrågor som kan uppstå vid myndigheters personuppgiftsbehandling.
Utredningens uppdrag är begränsat till Kriminalvårdens behandling av personuppgifter inom brottsdatalagens område. Den del av kriminalvårdens registerlagstiftning som ligger utanför brottsdatalagens område, t.ex. kriminalvårdsdatalagen, kommer därför inte att behandlas i denna promemoria.
4.2. Brottsdatalagen
4.2.1. Allmänt om brottsdatalagen
Syftet med lagen
Brottsdatalagen är en ramlag som drar upp gränsen mellan å ena sidan den särskilda regleringen av behandling av personuppgifter vid brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet och å andra sidan dataskyddsförordningens tillämpningsområde. Brottsdatalagen kompletteras av brottsdataförordningen.
Syftet med brottsdatalagen är att skydda fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter och att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt. I lagen eftersträvas en väl avvägd balans mellan å ena sidan skyddet för den personliga integriteten och å andra sidan samhällets behov av att myndigheter kan behandla personuppgifter i den verksamhet som omfattas av dataskyddsdirektivets tillämpningsområde.
Brottsdatalagen är kapitelindelad. I 1 kap. finns allmänna bestämmelser om lagens tillämpningsområde och där definieras också de
13 Se SOU 2017:29 kapitel 7 och 8.
Ds 2023:21 Gällande rätt
uttryck som används i lagen. I 2 kap. regleras behandlingen av personuppgifter och i 3 kap. behandlas de personuppgiftsansvarigas skyldigheter. Enskildas rättigheter regleras i 4 kap. Tillsynen över personuppgiftsbehandling behandlas i 5 kap. och administrativa sanktionsavgifter i 6 kap. I 7 kap. regleras skadestånd och rättsmedel och i 8 kap. överföring av personuppgifter till tredjeland och internationella organisationer.
Lagens tillämpningsområde
Brottsdatalagen gäller för behandling av personuppgifter som utförs av en behörig myndighet i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller enligt 1 kap. 2 § brottsdatalagen också vid behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet.
Med behörig myndighet avses enligt 1 kap. 6 § brottsdatalagen en myndighet som har till arbetsuppgift att bedriva sådan verksamhet som nyss nämnts eller en annan aktör som utövar myndighet och behandlar personuppgifter för något av dessa syften. Vilka myndigheter som är behöriga räknas inte upp, men lagen tillämpas i huvudsak av Polismyndigheten, Tullverket, Kustbevakningen, Skatteverket, Ekobrottsmyndigheten, Åklagarmyndigheten, de allmänna domstolarna och Kriminalvården. I vissa fall tillämpas lagen även av Säkerhetspolisen, Rättsmedicinalverket, Justitiekanslern och de allmänna förvaltningsdomstolarna.
Som nyss nämnts ska en behörig myndighet dock bara tillämpa brottsdatalagen vid behandling av personuppgifter för brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet. Syftet med behandlingen av personuppgifter i det enskilda fallet är därmed avgörande för när lagen ska tillämpas, inte verksamheten som sådan. Om en behörig myndighet även har andra arbetsuppgifter, ska lagen inte tillämpas vid den personuppgiftsbehandling som utförs för de syftena.
Det är bl.a. Polismyndighetens och andra myndigheters underrättelseverksamhet som avses när formuleringen förebygga, förhindra eller upptäcka brottslig verksamhet används. Med underrättelseverksamhet avses arbete med insamling, bearbetning och analys
Gällande rätt Ds 2023:21
av information i syfte att förhindra eller upptäcka brottslig verksamhet när det ännu inte finns misstankar om att ett visst konkret brott har begåtts. Om det finns misstankar om ett konkret brott kan personuppgifter behandlas för att utreda det brottet (prop. 2017/18:232 s. 430).
Med att utreda brott avses framför allt att genomföra förundersökning enligt 23 kap. rättegångsbalken. Det kan vara fråga om ett brott som bevisligen har begåtts eller som det enbart finns misstankar om, men det ska vara fråga om ett konkret brott. Om misstankarna enbart avser icke-preciserad brottslighet, är det i stället fråga om underrättelseverksamhet.
Uttrycket lagföra brott omfattar framför allt åklagares beslut i åtalsfrågor och om åtalsunderlåtelse samt brottmålsförfarandet i allmän domstol. Även förprocessuella frågor, som förordnande av målsägandebiträde eller offentlig försvarare och beslut om häktning och andra straffprocessuella tvångsmedel avses, liksom personutredning inom ramen för ett brottmål och domstolars expediering av domar och beslut.
Behandling av personuppgifter i syfte att verkställa straffrättsliga påföljder förekommer hos ett flertal myndigheter. Kriminalvården ska exempelvis tillämpa lagen när den verkställer fängelsestraff, skyddstillsyn, samhällstjänst och ungdomsövervakning. Polismyndigheten tillämpar lagen i egenskap av uppbördsmyndighet när påföljden bestäms till böter. Statens institutionsstyrelse verkställer sluten ungdomsvård och socialnämnder verkställer i viss utsträckning straffrättsliga påföljder när påföljden bestäms till ungdomsvård, ungdomstjänst eller vård av missbrukare. På motsvarande sätt verkställer rättspsykiatriska enheter rättspsykiatrisk vård.
Det är framför allt Polismyndigheten som har till uppgift att upprätthålla allmän ordning och säkerhet. Även Kustbevakningen har vissa ordningshållande uppgifter och ska vid genomförandet av dem tillämpa lagen i samma utsträckning som Polismyndigheten.
Även andra än myndigheter som har fått till uppgift att utöva myndighet inom brottsdatalagens tillämpningsområde är behöriga myndigheter i lagens mening. Det gäller t.ex. när naturvårdsvakter och jakttillsynsmän tar egendom i beslag och när ordningsvakter upprätthåller allmän ordning och säkerhet exempelvis vid domstolsförhandlingar.
Ds 2023:21 Gällande rätt
Av 1 kap. 3 § brottsdatalagen följer att lagen enbart gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedd att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
När det gäller tillämpningsområdet görs ingen skillnad mellan att uppgifter behandlas för en behörig myndighets egen verksamhet eller för att bistå en annan svensk eller utländsk behörig myndighet, så länge syftet med behandlingen är något av dem som anges i lagen.
Brottsdatalagen är enligt 1 kap. 5 § subsidiär till annan lagstiftning. Det innebär att det kan finnas avvikande bestämmelser i registerförfattningarna för de behöriga myndigheterna. I sådana fall är det bestämmelserna i registerförfattningarna som ska tillämpas. En behörig myndighet som saknar egen registerförfattning ska tillämpa brottsdatalagen för personuppgiftsbehandling inom den lagens tilllämpningsområde.
Definitioner
I 1 kap. 6 § brottsdatalagen definieras vissa uttryck som används i lagen.
Med personuppgift avses varje upplysning om en identifierad eller identifierbar fysisk person som är i livet.
Inom begreppet behandling av personuppgifter faller varje åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter eller uppsättningar av personuppgifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämnande, spridning eller tillhandahållande på annat sätt, justering, sammanföring, begränsning, radering eller förstöring.
Biometriska uppgifter definieras i lagen som personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen. Biometri är ett samlingsnamn för sådan automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd identitet är riktig, baserat på fysiska karaktärsdrag hos den som ska identifieras.
Gällande rätt Ds 2023:21
Mönster av fingeravtryck, ansiktsgeometri, ögats iris, regnbågshinna och näthinna, röst, hand, blodkärl, dna eller gång är exempel på områden där sådan teknik kan användas. Gemensamt för teknikerna är att kroppen mäts elektroniskt. Biometriska uppgifter är alltså den information som kan tas fram ut ett biometriskt underlag. Uppgifterna kan användas för att skapa en referensmall eller för att jämföra med tidigare lagrade referensmallar i syfte att kontrollera en persons identitet.
Med genetiska uppgifter avses personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår av eller ett prov från en person. Genetiska uppgifter behandlas vid dna-analyser, av såväl identifierade som oidentifierade personer, i forensisk verksamhet för att ta fram dnaanalyser eller forensiska uppslag.
Med dataskyddsombud åsyftas den som utses av den personuppgiftsansvarige att självständigt kontrollera att personuppgifter behandlas författningsenligt och på ett korrekt sätt i enlighet med det som närmare anges i lagen.
Personuppgiftsansvarig är den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Att bestämma ändamålen med behandlingen innebär i princip att bestämma att en behandling ska utföras och varför. Att bestämma medlen för behandlingen avser främst att bestämma över de tekniska och organisatoriska medlen, dvs. hur behandlingen av personuppgifter ska gå till. Det kan vara fråga om vilka personuppgifter som ska behandlas, vilka som ska få del av dem och hur länge personuppgifterna får behandlas. Den personuppgiftsansvarige styr dock inte alltid ensam över alla medel för behandlingen. Vid direktåtkomst bestämmer den som medger åtkomsten hur tillgången tekniskt ska lösas och vilka personuppgifter som ska tillgängliggöras. Den som får direktåtkomst är personuppgiftsansvarig för behandlingen av de personuppgifter som direktåtkomsten avser. Som framgår av definitionen kan endast behöriga myndigheter vara personuppgiftsansvariga.
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter.
Ds 2023:21 Gällande rätt
4.2.2. Behandling av personuppgifter
Rättsliga grunder för behandling av personuppgifter
All behandling av personuppgifter ska ha en rättslig grund för att vara tillåten. I brottsdatalagen finns det två bestämmelser om rättslig grund.
För det första får personuppgifter behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra en arbetsuppgift i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa en straffrättslig påföljd eller upprätthålla allmän ordning och säkerhet. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut av regeringen, se 2 kap. 1 § brottsdatalagen. Bestämmelsen bildar en yttre ram för när personuppgifter får behandlas med stöd av lagen.
Nödvändighetsrekvisitet innebär att personuppgiftsbehandlingen ska behövas för att uppgiften ska gå att fullgöra på ett effektivt sätt. I kravet på nödvändighet ligger att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna. Grunden för att behandla personuppgifter finns i regleringen av den behöriga myndighetens uppgifter. För Kriminalvårdens del finns de i huvudsak i kriminalvårdsinstruktionen.
Personuppgifter får för det andra behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning. Det regleras i 2 kap. 2 § brottsdatalagen.
Normalt finns det redan rättslig grund enligt 1 § för de behöriga myndigheternas diarieföring, t.ex. att det är fråga om en handling som hänför sig till en förundersökning, ett mål eller ett ärende. Bestämmelsen i 2 kap. 2 § 1 täcker emellertid behovet av att kunna diarieföra handlingar i andra fall. Det kan även röra sig om muntliga uppgifter som dokumenteras i en tjänsteanteckning eller liknande. Vilka uppgifter som måste noteras i samband med diarieföring av en handling framgår av 5 kap. 2 § offentlighets- och sekretesslagen (2009:400). Vid diarieföring av inkomna handlingar får det således alltid anges vem en handling har kommit från och i korthet vad handlingen rör. Någon annan behandling än sådan som är nödvändig för
Gällande rätt Ds 2023:21
diarieföringen får emellertid inte utföras med stöd av punkt 1. Den fortsatta behandlingen ska således, utom i de fall där 2 kap. 2 § 2 brottsdatalagen blir tillämplig, alltid ha stöd i 2 kap. 1 §.
Uttrycket ”anmälan, ansökan eller liknande” i punkt 2 innefattar alla slags framställningar till en behörig myndighet. Bestämmelsen träffar således såväl skriftliga framställningar som uppgifter som lämnas muntligen men som nedtecknas av någon hos den behöriga myndigheten. Oftast omfattas framställningar av det slaget av bestämmelsen om rättslig grund i 2 kap. 1 § och ska då behandlas med stöd av den paragrafen.
Ändamål för behandlingen av personuppgifter
Personuppgifter får enligt 2 kap. 3 § brottsdatalagen bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålen måste bestämmas redan när uppgiften behandlas första gången, eftersom det är i förhållande till dem som det ska prövas om personuppgifterna som behandlas är adekvata och relevanta och hur många personuppgifter som behöver behandlas, jfr 2 kap. 8 §. Något hinder mot att ange flera parallella ändamål för behandlingen finns inte.
Ändamål får inte blandas ihop med den rättsliga grunden för behandling. Ändamålet ska vara mer konkret. Ändamålet ska vara tillräckligt preciserat för att det ska kunna avgöras om de personuppgifter som behandlas är adekvata och relevanta för ändamålet med behandlingen eller om för många personuppgifter behandlas. Ändamålet får alltså inte vara så vagt eller vittomfattande att någon sådan prövning i praktiken inte blir möjlig. Om det inte framgår av sammanhanget eller på annat sätt för vilket ändamål som personuppgifterna behandlas, ska det tydliggöras genom en särskild upplysning. Det som åsyftas är ändamålet i det enskilda fallet, t.ex. att personuppgifterna behandlas i en viss förundersökning eller för handläggningen av ett visst brottmål. För Kriminalvårdens del kan det vara verkställigheten av en viss persons påföljd.
Att ändamålet ska vara berättigat innebär en koppling till de rättsliga grunderna. Personuppgifter får inte behandlas för ett ändamål som inte är berättigat i förhållande till den rättsliga grunden. Personuppgifter som avser en förundersökning får t.ex. inte längre behandlas för det ändamålet när brottet har preskriberats. Uppgifter om
Ds 2023:21 Gällande rätt
verkställigheten av en påföljd får inte behandlas om påföljden har bortfallit. Däremot kan det vara berättigat för åklagare och domstolar att fortsätta att behandla personuppgifter efter en dom till dess att det står klart att den fått laga kraft (prop. 2017/18:232 s. 441).
Innan personuppgifter får behandlas för ett nytt ändamål som ligger inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § säkerställas att det finns en rättslig grund för den nya behandlingen och att behandlingen är nödvändig och proportionerlig för det nya ändamålet. Om exempelvis personuppgifter behandlas för att utreda ett brott och det upptäcks att personen i fråga har begått ett annat brott, finns det rättslig grund för att behandla personuppgifterna även för att utreda det andra brottet.
Med nödvändigt avses att det är fråga om något som behövs snarare än något som absolut krävs. Behandlingen kan vara nödvändig t.ex om det i en förundersökning finns uppgifter som avslöjar planer på fritagning av en häktad och uppgiften därför behöver lämnas till Kriminalvården. Att det ska vara proportionerligt att personuppgifterna behandlas för det nya ändamålet innebär att skälen för att behandla personuppgifterna för det nya ändamålet ska väga tyngre än det intrång som behandlingen innebär för enskilda.
Av 2 kap. 4 § andra stycket brottsdatalagen framgår att någon sådan prövning dock inte ska göras när skyldighet att lämna uppgifter följer av lag eller förordning. Både i förundersöknings- och brottmålsförfarandet finns det omfattande skyldigheter att informera myndigheter och andra. I förundersökningskungörelsen (1947:948) finns det t.ex. ingående bestämmelser om uppgiftsskyldighet. Liknande skyldigheter finns även på andra områden. Enligt 18 § Kriminalvårdens brottsdataförordning har exempelvis de allmänna domstolarna en vidsträckt skyldighet att underrätta Kriminalvården om domar och beslut. Även i andra fall är behöriga myndigheter skyldiga att lämna viss information. Ett exempel är 14 kap. 1 § 2 socialtjänstlagen (2001:453) enligt vilken rättspsykiatrisk undersökningsverksamhet, Kriminalvården, Polismyndigheten och Säkerhetspolisen är skyldiga att genast anmäla till socialnämnden om de i sin verksamhet får kännedom om eller misstänker att barn far illa. Ett annat exempel är 2 § lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet enligt vilken myndigheter som samverkar enligt lagen i vissa fall är skyldiga att lämna uppgifter till varandra. Vidare omfattas en myndighets skyldighet enligt 6 kap. 5 §
Gällande rätt Ds 2023:21
offentlighets- och sekretesslagen att på begäran av en annan myndighet lämna ut uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång.
En behörig myndighet får även behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom lagens tilllämpningsområde, se 2 kap. 5 § brottsdatalagen.
Krav på behandlingen av personuppgifter
När det är tillåtet att behandla personuppgifter och vilka krav som ställs på behandlingen framgår inte bara av brottsdatalagen och föreskrifter som har meddelats med stöd av den, utan också av de behöriga myndigheternas registerförfattningar och andra författningar som reglerar särskilda register eller särskilda samarbeten inom lagens tillämpningsområde. Även rättspraxis och tillsynsmyndighetens allmänna råd och uttalanden i fråga om personuppgiftsbehandling, liksom myndigheternas interna regler, har betydelse vid den bedömningen.
Av 2 kap. 6 § brottsdatalagen framgår att personuppgifter ska behandlas författningsenligt och på ett korrekt sätt och uppgifterna ska enligt 2 kap. 8 § vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Vid all behandling måste det alltså prövas om det går att utelämna personuppgifter, eller i vart fall att endast använda uppgifter som indirekt går att hänföra till en viss person.
Personuppgifter som behandlas ska dessutom enligt 2 kap. 7 § brottsdatalagen vara korrekta och, om det är nödvändigt, uppdaterade. En personuppgift är korrekt om den stämmer överens med de verkliga förhållandena. För att bestämma vilka de verkliga förhållandena är får man söka ledning i ändamålen med behandlingen. Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.
Så långt det är möjligt ska det göras skillnad mellan olika typer av personuppgifter. Kategorier av registrerade ska enligt 2 kap. 9 § brottsdatalagen särskiljas så att det framgår om personen är misstänkt, dömd för brott, brottsoffer eller någon annan som berörs av ett brott. Om det inte framgår av sammanhanget eller på annat sätt
Ds 2023:21 Gällande rätt
till vilken kategori personen hör, ska det tydliggöras genom en särskild upplysning. Likaså ska enligt 2 kap. 10 § personuppgifter som grundar sig på fakta skiljas från uppgifter som grundar sig på personliga bedömningar. Om grunden inte framgår av sammanhanget eller på annat sätt ska den tydliggöras genom en särskild upplysning.
Behandling av känsliga personuppgifter
Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning benämns känsliga personuppgifter. De får enligt huvudregeln i 2 kap. 11 § brottsdatalagen inte behandlas. I paragrafens andra stycke görs emellertid vissa undantag. Uppgifter om en person som redan behandlas på annan grund får kompletteras med känsliga personuppgifter när det är absolut nödvändigt för ändamålet med behandlingen. Det innebär att om andra uppgifter om en person samlas in i samband med t.ex. en förundersökning om hets mot folkgrupp, får de kompletteras med uppgifter om religiös övertygelse eller etniskt ursprung om det är av betydelse för utredningen. Under utredning av sexualbrott kan det ibland vara nödvändigt att anteckna uppgifter om den misstänktes sexualliv.
En uppgift om utseende är normalt inte en känslig personuppgift och den får alltså behandlas, med den begränsning som följer av 2 kap. 7 § andra stycket brottsdatalagen. Om en sådan uppgift samtidigt innebär uppgift om etniskt ursprung omfattas den dock av förbudet.
Förbudet mot att behandla känsliga personuppgifter hindrar inte att uppgifter om en persons nationalitet behandlas, eftersom en sådan uppgift normalt inte ger upplysning om etniskt ursprung (se Integritet och effektivitet i polisens brottsbekämpande verksamhet, prop. 2009/10:85, s. 325). Uppgifter om att en viss person kommer från en viss världsdel eller ett visst land faller också som regel utanför förbudet mot behandling av känsliga personuppgifter. Skulle en sådan personuppgift i det enskilda fallet t.ex. avslöja etniskt ursprung är dock förbudet tillämpligt.
Avbildningar av personer, t.ex. fotografier, kan avslöja många detaljer. Man kan t.ex. se hudfärg eller om personen bär klädsel eller
Gällande rätt Ds 2023:21
andra kännetecken som är typiska för den som utövar en viss religion. Även fysiska funktionsnedsättningar kan framgå av bilder och det kan också framgå att en person är sjuk eller skadad. Bilder på människor i mera normala sammanhang torde inte avslöja känsliga personuppgifter, medan bilder på människor som utövar religiösa, politiska eller sexuella aktiviteter som regel utgör känsliga personuppgifter (jfr Sören Öman och Hans-Olof Lindblom, Personuppgiftslagen. En kommentar, 4 uppl. 2011, s. 288).
Även biometriska uppgifter och genetiska uppgifter är enligt 2 kap. 12 § brottsdatalagen känsliga personuppgifter. Biometriska uppgifter och genetiska uppgifter får behandlas endast om det är särskilt föreskrivet och absolut nödvändigt för ändamålet med behandlingen. Det är vidare enligt 2 kap. 14 § förbjudet att göra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter. Även sökningar som är tillåtna kan ibland resultera i ett sådant urval, men frågan om de uppgifter som tas fram får fortsätta att behandlas ska bedömas med utgångspunkt i de allmänna reglerna om behandling av personuppgifter. För sådana sammanställningar av personuppgifter gäller absolut sekretess.
Rättelse, uppdatering och radering av personuppgifter
Alla rimliga åtgärder ska enligt 2 kap. 15 § brottsdatalagen vidtas för att personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen utan onödigt dröjsmål rättas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Personuppgifter som är inaktuella ska uppdateras om det är nödvändigt. När personuppgifter lämnas ut till en behörig myndighet ska mottagaren så långt det är möjligt ges information som gör att det går att bedöma i vilken utsträckning uppgifterna är korrekta, fullständiga, uppdaterade och tillförlitliga.
Vad som utgör rimliga åtgärder skiljer sig åt beroende på om personuppgifterna är felaktiga, ofullständiga eller inaktuella, eftersom personuppgifter alltid ska vara korrekta men endast behöver vara uppdaterade om det är nödvändigt. Vilka åtgärder som är rimliga att vidta får bedömas mot bakgrund av omständigheterna i varje enskilt fall, som t.ex. ändamålet med behandlingen, vilka personuppgifter
Ds 2023:21 Gällande rätt
som behandlas och vilka konsekvenser en felaktig eller ofullständig uppgift kan få för den enskilde.
Alla rimliga åtgärder ska enligt 2 kap. 16 § brottsdatalagen vidtas för att personuppgifter – som behandlas i strid med grundläggande krav på behandlingen av personuppgifter, som rättsliga grunder, ändamål, förbud mot att behandla känsliga personuppgifter eller längsta tid som personuppgifter får behandlas, – utan onödigt dröjsmål raderas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Skyldigheten att radera personuppgifter gäller ex officio. Om personuppgifterna behöver finnas kvar som bevisning ska i stället behandlingen av uppgifterna utan onödigt dröjsmål begränsas.
I 4 kap. 9 § brottsdatalagen regleras vad som gäller när den registrerade begär att personuppgifter ska rättas eller kompletteras och i 4 kap. 10 § regleras i vilka fall personuppgifter ska raderas på begäran av den registrerade. Det är den personuppgiftsansvarige som med stöd av 4 kap. 11 § brottsdatalagen avgör vilken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen. Regleringen i brottsdatalagen utgår dock från att felaktiga personuppgifter ska rättas och att personuppgifter som behandlas på otillåtet sätt ska raderas.
Om det visar sig att sådana uppgifter som anges i 2 kap. 15 § första stycket eller 16 § första stycket brottsdatalagen har lämnats ut, ska mottagaren omedelbart underrättas om det. Om sådana personuppgifter har gjorts tillgängliga ska, så långt det är möjligt, även den som har tagit del av personuppgifterna omedelbart underrättas, se 2 kap. 1 § brottsdataförordningen.
Längsta tid som personuppgifter får behandlas
Personuppgifter får enligt huvudregeln i 2 kap. 17 § brottsdatalagen inte behandlas längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Ibland behandlas personuppgifter för flera olika ändamål. Att det inte längre finns behov av att behandla personuppgiften för ett visst ändamål medför inte att behandlingen av den måste upphöra för alla andra ändamål samtidigt. Å andra sidan innebär det förhållandet att personuppgiften fortfarande behövs för ett visst ändamål inte att den får fortsätta att behandlas för alla än-
Gällande rätt Ds 2023:21
damål lika länge. Behovet av att fortsätta att behandla uppgifterna måste prövas kontinuerligt. Bestämmelsen hindrar inte att en behörig myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.
Om det inte finns en författningsbestämmelse om när en viss kategori av personuppgifter inte längre får behandlas för andra ändamål än arkivändamål, ska den personuppgiftsansvarige enligt 2 kap. 18 § brottsdatalagen årligen se över behovet av att fortsätta att behandla personuppgifterna.
Behandling för ändamål utanför brottsdatalagen
Personuppgifter som en behörig myndighet behandlar enligt brottsdatalagen kan behöva lämnas till en enhet inom myndigheten som bedriver verksamhet utanför lagens tillämpningsområde. Exempelvis kan personuppgifter som behandlas i Kriminalvårdens verkställande verksamhet behövas för att bedöma hur en transport till en domstol för annat än brottmålsrättegång bör planeras för att undvika säkerhetsproblem.
Av 2 kap. 22 § brottsdatalagen följer att dataskyddsförordningen ska tillämpas när en behörig myndighet behandlar personuppgifter, som behandlas med stöd av brottsdatalagen, för nya ändamål utanför brottsdatalagens tillämpningsområde. Det innebär att prövningen av om behandlingen är tillåten ska göras med utgångspunkt i dataskyddsförordningens bestämmelser. Någon prövning av om behandlingen för det nya ändamålet är förenlig med det ändamål för vilket uppgifterna ursprungligen behandlades behöver dock inte göras (se prop. 2017/18:232 s. 132). Emellertid måste det säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet innan uppgifterna lämnas ut, om inte skyldighet att lämna uppgifterna följer av lag eller förordning.
4.2.3. Personuppgiftsansvarigas skyldigheter
Personuppgiftsansvarets omfattning
Vem som är personuppgiftsansvarig framgår som regel av myndigheternas registerförfattningar. Den personuppgiftsansvarige är en-
Ds 2023:21 Gällande rätt
ligt 3 kap. 1 § brottsdatalagen ansvarig för all behandling av personuppgifter som utförs under dennes ledning eller på dennes vägnar, se. Att Kriminalvården är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför framgår av 1 kap. 2 § Kriminalvårdens brottsdatalag.
Åtgärder för att säkerställa författningsenlig behandling
I 3 kap.2–5 §§brottsdatalagen anges vilka tekniska och organisatoriska åtgärder en personuppgiftsansvarig är skyldig att vidta för att säkerställa och kunna visa att personuppgiftsbehandlingen är författningsenlig och att registrerades rättigheter skyddas. Det rör sig både om inbyggt dataskydd, dataskydd som standard och krav på loggning i automatiserade behandlingssystem. Den personuppgiftsansvarige ska också enligt 3 kap. 6 § se till att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter.
Inför en ny typ av behandling och vid betydande förändringar av redan pågående behandling, som antas medföra särskild risk för intrång i registrerades personliga integritet, är den personuppgiftsansvarige skyldig att göra en så kallad konsekvensbedömning, se 3 kap. 7 § brottsdatalagen. Om bedömningen visar att det finns särskild risk för intrång i registrerades personliga integritet eller om typen av behandling innebär särskild risk för intrång, ska den personuppgiftsansvarige samråda med tillsynsmyndigheten i god tid innan behandlingen påbörjas eller betydande förändringar genomförs. Det kallas för förhandssamråd.
Säkerheten för personuppgifter
I 3 kap.8–11 §§brottsdatalagen regleras vilka säkerhetsåtgärder som den personuppgiftsansvarige ska vidta för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada. Där regleras också när den personuppgiftsansvarige är skyldig att anmäla personuppgiftsincidenter till tillsynsmyndigheten. Om incidenten medfört eller kan antas medföra särskild risk för otillbörligt intrång i registrerades personliga integritet, ska som huvudregel även den re-
Gällande rätt Ds 2023:21
gistrerade underrättas. Någon underrättelse behöver dock inte lämnas om det gäller sekretess eller tystnadsplikt. Det finns även vissa andra undantag från anmälningsskyldigheten.
Samarbete med tillsynsmyndigheten
Den personuppgiftsansvarige och personuppgiftsbiträden är enligt 3 kap.12 och 19 §§brottsdatalagen skyldiga att samarbeta med tillsynsmyndigheten när den utför uppgifter enligt brottsdatalagen med tillhörande förordning. Integritetsskyddsmyndigheten är tillsynsmyndighet. Viss annan samarbetsskyldighet regleras i 5 kap. 5 §.
Dataskyddsombud
Den personuppgiftsansvarige ska enligt 3 kap. 13 § brottsdatalagen utse ett eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när sådana ombud utses och entledigas. Dataskyddsombudens uppgifter anges i 3 kap. 14 §. Ombuden ska bl.a. självständigt kontrollera att den personuppgiftsansvarige behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter.
Personuppgiftsbiträden
Den personuppgiftsansvarige får, om det är lämpligt, anlita personuppgiftsbiträden för att behandla personuppgifter på den personuppgiftsansvariges vägnar. Det regleras i 3 kap.16–19 §§brottsdatalagen.
Gemensamt personuppgiftsansvar
Två eller flera behöriga myndigheter är enligt 3 kap. 20 § brottsdatalagen gemensamt personuppgiftsansvariga om de gemensamt bestämmer ändamålen med och medlen för personuppgiftsbehandlingen.
Ds 2023:21 Gällande rätt
4.2.4. Enskildas rättigheter
Rätten till information
Den personuppgiftsansvarige ska på eget initiativ enligt 4 kap. 1 § brottsdatalagen göra viss allmän information tillgänglig för registrerade, exempelvis på myndighetens webbplats. Det gäller den personuppgiftsansvariges identitet och kontaktuppgifter, dataskyddsombudets kontaktuppgifter, ändamålen med behandlingen, rätten att få information och få del av personuppgifter samt att begära rättelse, radering eller begränsning av behandlingen. Även möjligheten att lämna in klagomål till tillsynsmyndigheten och kontaktuppgifterna till den ska framgå.
I enskilda fall ska den personuppgiftsansvarige, om det behövs för att den registrerade ska kunna ta till vara sina rättigheter, enligt 4 kap. 2 § brottsdatalagen lämna viss ytterligare information till den registrerade. Det rör sig om bl.a. information om den rättsliga grunden för behandlingen, kategorier av mottagare av uppgifterna, hur länge uppgifterna får behandlas och övrig nödvändig information.
Den personuppgiftsansvarige ska vidare enligt 4 kap. 3 § brottsdatalagen till den som begär det utan onödigt dröjsmål lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Om så är fallet ska sökanden få del av dem och få viss skriftlig information om behandlingen. Informationen avser bl.a. vilka personuppgifter om sökanden som behandlas, varifrån uppgifterna kommer, den rättsliga grunden för behandlingen, ändamålen med behandlingen och hur länge personuppgifterna får behandlas.
Den som har varit föremål för ett automatiserat beslut får enligt 4 kap. 4 § brottsdatalagen begära närmare information om beslutet. Information enligt 4 kap. 1, 2 och 4 §§ ska enligt 4 kap. 12 § lämnas utan avgift. Information enligt 4 kap. 3 § ska lämnas utan avgift en gång per år.
Begränsning av rätten till information
Rätten till information enligt 4 kap. 2 eller 3 § får enligt 4 kap. 5 § brottsdatalagen begränsas i den utsträckning det är författningsreglerat eller framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut. Begränsning får dock bara göras
Gällande rätt Ds 2023:21
av hänsyn till vissa i paragrafen uppräknade intressen, bl.a. intresset av att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet och intresset av att nationell säkerhet skyddas.
Om det finns grund för att begränsa informationen är den personuppgiftsansvarige inte skyldig att lämna ut skälen för beslutet eller för beslut i fråga om rättelse, radering eller begränsning av behandlingen.
Rätten till rättelse, radering och begränsning av behandlingen
På begäran av den registrerade ska den personuppgiftsansvarige enligt 4 kap. 9 § brottsdatalagen utan onödigt dröjsmål rätta eller komplettera personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen. Om den personuppgiftsansvarige inte kan fastställa att personuppgifterna är korrekta ska behandlingen av uppgifterna i stället utan onödigt dröjsmål begränsas.
Av 4 kap. 10 § brottsdatalagen följer att den personuppgiftsansvarige på begäran av den registrerade utan onödigt dröjsmål ska radera personuppgifter om de behandlas på otillåtet sätt. Detsamma gäller om radering krävs för att den personuppgiftsansvarige ska utföra en rättslig förpliktelse. Om uppgifterna behöver sparas som bevisning ska behandlingen av dem i stället utan onödigt dröjsmål begränsas.
Den personuppgiftsansvarige avgör enligt 4 kap. 11 § brottsdatalagen vilken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen.
4.2.5. Tillsyn
Tillsynsmyndighetens uppdrag och arbetsuppgifter
Av 5 kap. 1 § brottsdatalagen framgår att tillsynsmyndigheten ska ha dubbla perspektiv vid sin tillsyn. Myndigheten ska verka både för att fysiska personers grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter och för att underlätta det
Ds 2023:21 Gällande rätt
fria flödet av personuppgifter inom brottsdatalagens tillämpningsområde.
Tillsynsmyndigheten arbetsuppgifter regleras i 5 kap.2–4 §§brottsdatalagen. Av bestämmelserna framgår att tillsynsmyndigheten ska utöva allmän tillsyn över personuppgiftsbehandling, handlägga klagomål från registrerade, på begäran kontrollera om personuppgifter om en fysisk person behandlas författningsenligt, ge råd och stöd till personuppgiftsansvariga och personuppgiftsbiträden och på begäran bistå tillsynsmyndigheter i andra medlemsstater.
Tillsynsmyndighetens befogenheter
Tillsynsmyndighetens befogenheter regleras i 5 kap5–7 §§brottsdatalagen. Tillsynsmyndigheten har tillgång till både undersökningsbefogenheter, förebyggande befogenheter och korrigerande befogenheter. Befogenheterna anges i stegrande ordning men är inte kopplade till varandra på det sättet att en strängare åtgärd förutsätter att mindre ingripande åtgärder redan har prövats.
Tillsynsmyndighetens beslut får enligt 5 kap. 8 § brottsdatalagen inte verkställas omedelbart utan först när beslutet fått laga kraft.
Samarbete med tillsynsmyndigheter i andra medlemsstater
På begäran av en tillsynsmyndighet i en annan medlemsstat ska den svenska tillsynsmyndigheten bistå den utländska myndigheten. Tillsynsmyndigheten får då enligt 5 kap. 10 § brottsdatalagen använda sina vanliga befogenheter. En begäran om bistånd får enligt 5 kap. 9 § bara vägras om det skulle strida mot en lag eller förordning att tillmötesgå den.
Tillsynsmyndigheten får, om det är förenligt med svenska intressen, lämna ut en sekretessbelagd uppgift till en tillsynsmyndighet i en annan medlemsstat. Det framgår av 5 kap. 11 § brottsdatalagen. Information som tillsynsmyndigheten efter begäran har fått från en tillsynsmyndighet i en annan medlemsstat får enligt 5 kap. 12 § inte användas för något annat ändamål än det för vilket informationen begärdes. Bestämmelsen innebär ett förbud att använda upplysningarna för något annat ändamål än det som den svenska tillsynsmyn-
Gällande rätt Ds 2023:21
digheten angav i sin begäran. Uppgifterna får t.ex. inte lämnas vidare till andra myndigheter för att användas i deras verksamhet.
4.2.6. Administrativa sanktionsavgifter
Den personuppgiftsansvarige eller ett personuppgiftsbiträde kan i vissa fall bli skyldig att betala sanktionsavgift om regelverket överträds. Vilka överträdelser som kan föranleda att sanktionsavgift tas ut räknas uttömmande upp i 6 kap.1 och 2 §§brottsdatalagen.
Det gäller först och främst överträdelser som innebär att personuppgifter behandlas på otillåtet sätt. Att överträda bestämmelser som syftar till att skydda registrerades integritet eller deras rättigheter bör således som regel leda till sanktionsavgift. Sanktionsavgift kan också tas ut om den personuppgiftsansvarige har underlåtit att anmäla en personuppgiftsincident till tillsynsmyndigheten, inte har dokumenterat en sådan incident eller inte har bistått tillsynsmyndigheten på det sätt som krävs enligt lagen eller har underlåtit att följa beslut som tillsynsmyndigheten har meddelat. Ansvaret för överträdelser är strikt. Det krävs alltså varken uppsåt eller oaktsamhet för att sanktionsavgift ska kunna tas ut. Det är tillräckligt att en överträdelse har ägt rum.
I 6 kap. 3 § brottsdatalagen anges hur stor sanktionsavgift som får tas ut. Vid mindre allvarliga överträdelser ska sanktionsavgiften som högst bestämmas till 5 miljoner kronor. Vid andra överträdelser ska sanktionsavgiften som högst bestämmas till 10 miljoner kronor. I tredje stycket anges hur avgiften ska bestämmas om flera regler har överträtts genom samma personuppgiftsbehandling, eller om en eller flera regler har överträtts genom sammankopplade personuppgiftsbehandlingar.
Av 6 kap. 4 § brottsdatalagen framgår vilka omständigheter som särskilt ska beaktas vid bedömning av om avgift ska tas ut och avgiftens storlek. Uppräkningen, som omfattar fem punkter, är inte uttömmande. Bland de omständigheter som nämns är om överträdelsen varit uppsåtlig eller berott på oaktsamhet, den skada, fara eller kränkning som överträdelsen inneburit och överträdelsens karaktär, svårhetsgrad och varaktighet. Jämkning av avgiften, helt eller delvis, regleras i 6 kap. 5 §.
Ds 2023:21 Gällande rätt
I 6 kap.6–8 §§brottsdatalagen finns ytterligare bestämmelser om sanktionsavgift. Det är tillsynsmyndigheten som beslutar om sanktionsavgift. Sanktionsavgiften tillfaller staten och ska normalt betalas inom 30 dagar från det att beslutet fick laga kraft.
4.2.7. Skadestånd och överklagande
Skadestånd
Den personuppgiftsansvarige ska enligt 7 kap. 1 § brottsdatalagen ersätta den registrerade för den skada och kränkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med brottsdatalagen, eller föreskrifter som har meddelats i anslutning till den.
Paragrafen är en sådan specialbestämmelse om skadestånd som enligt 1 kap. 1 § skadeståndslagen (1972:207) tar över reglerna i den lagen. Om en ersättningsfråga inte berörs av aktuell bestämmelse – t.ex. frågan om hur ersättningen för en personskada eller sakskada ska beräknas (5 kap. skadeståndslagen) eller hur ansvaret ska fördelas när flera är skadeståndsskyldiga (6 kap. 4 § skadeståndslagen) – tillämpas de allmänna reglerna i skadeståndslagen.
För att den personuppgiftsansvarige ska bli ersättningsskyldig behöver den registrerade bevisa att behandling av den registrerades personuppgifter stått i strid med reglerna om personuppgiftsbehandling och att den har skadat eller kränkt honom eller henne.
Den registrerades rätt till skadestånd omfattar ersättning för skada och för kränkning av den personliga integriteten. Med skada avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen.
Det är bara sådan skada eller kränkning som behandlingen av personuppgifter har vållat som ersätts, vilket framgår av att behandlingen ska ha orsakat skada respektive kränkning. Orsakssambandet ska vara adekvat. Ersättningen för kränkning får uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det enskilda fallet.
Gällande rätt Ds 2023:21
Överklagande
Vilka beslut enligt brottsdatalagen som får överklagas framgår av 7 kap. 2 och 3 §§. I 7 kap. 2 § regleras i vilken utsträckning beslut som en myndighet har fattat i egenskap av personuppgiftsansvarig får överklagas. Av 7 kap. 3 § framgår att även tillsynsmyndighetens beslut får överklagas.
Besluten överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.
4.2.8. Överföring av personuppgifter till tredjeland och internationella organisationer
Förutsättningar för att överföring ska vara tillåten
I 8 kap.1–5 §§brottsdatalagen regleras förutsättningarna för en behörig myndighet att överföra personuppgifter till ett tredjeland eller en internationell organisation. Med överföring avses att en behörig myndighet skickar, vidarebefordrar eller förmedlar information i elektronisk form till någon som befinner sig i ett tredjeland eller en internationell organisation. Det är också fråga om en överföring när en behörig myndighet gör information tillgänglig för ett tredjeland eller till en internationell organisation genom att informationen tillförs ett gemensamt datasystem, t.ex. en databas hos Interpol.
Överföring är en form av personuppgiftsbehandling. För att personuppgifter ska få överföras till ett tredjeland eller en internationell organisation måste därför de allmänna förutsättningarna för att få behandla personuppgifter i 2 kap. brottsdatalagen alltid vara uppfyllda, t.ex. kraven på ändamål och personuppgifternas kvalitet.
Överföring till ett tredjeland eller en internationell organisation får vidare enligt 8 kap. 1 § endast göras om både de i punkterna 1 och 2 angivna villkoren och något av alternativen i punkten 3 samtidigt är uppfyllda.
Punkten 1 innebär en begränsning av de syften för vilka personuppgifter får överföras till ett tredjeland eller en internationell organisation. Överföringen av personuppgifter måste vara nödvändig för ett syfte som omfattas av lagens tillämpningsområde. En överföring förutsätter alltså att överföringen är nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra
Ds 2023:21 Gällande rätt
brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Det är således inte tillåtet att till en behörig myndighet i ett tredjeland eller en internationell organisation överföra personuppgifter i något annat syfte, t.ex. för att uppgifterna behövs i ett migrationsärende.
Av punkten 2 framgår att personuppgifter som huvudregel bara får överföras till en behörig myndighet i ett tredjeland eller till en internationell organisation som är en behörig myndighet.
I punkten 3 ställs dessutom krav på viss skyddsnivå för personuppgifter som överförs till ett tredjeland eller till en internationell organisation. Personuppgifter får enligt 8 kap. 3 § brottsdatalagen alltid överföras till ett tredjeland eller till en internationell organisation för vilket eller vilken kommissionen har beslutat att det finns en adekvat skyddsnivå. Om det inte finns ett sådant beslut får enligt 8 kap. 4 § personuppgifterna ändå överföras om uppgifterna kommer att omfattas av tillräckliga skyddsåtgärder hos den som mottar dem. Finns det inte något beslut om adekvat skyddsnivå eller tillräckliga skyddsåtgärder får personuppgifter överföras endast när ett undantag för särskilda situationer gäller, vilket framgår av 8 kap. 5 §. Överföringsgrunderna är alternativa men ska prövas i den ordning som de anges i 8 kap. 1 § första stycket 3.
Personuppgifter som en svensk myndighet har fått från en annan medlemsstat får enligt 8 kap. 2 § överföras till ett tredjeland eller en internationell organisation endast om den medlemsstat som lämnat uppgifterna till en svensk myndighet har medgett att de överförs. Om medgivandet på grund av tidsbrist inte kan inhämtas i förväg, får personuppgifter ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet eller för andra väsentliga intressen för Sverige eller för någon annan medlemsstat.
Andra bestämmelser om överföring
Kapitlet innehåller också bestämmelser om vidareöverföring i 8 kap. 6 och 7 §§, överföring till andra än behöriga myndigheter i 8 kap. 8 § och villkor om användningsbegränsning i 8 kap. 9 och 10 §§.
Gällande rätt Ds 2023:21
4.3. Särregleringen för Kriminalvården
Som för flera andra myndigheter i rättskedjan anpassades Kriminalvårdens lagstiftning till brottsdatalagen genom en ny lag med tillhörande förordning. Kriminalvårdens brottsdatalag och Kriminalvårdens brottsdataförordning trädde i kraft den 1 januari 2019. Det är alltså i huvudsak i de författningarna som den särreglering och de kompletterande bestämmelser finns som krävs för Kriminalvården i egenskap av behörig myndighet. Brottsdatalagen är enligt 1 kap. 5 § brottsdatalagen subsidiär till annan lagstiftning.
När det gäller Kriminalvårdens behandling av personuppgifter utanför dataskyddsdirektivets tillämpningsområde, tillämpas dataskyddsförordningen, lagen med kompletterande bestämmelser till EU:s dataskyddsförordning, kriminalvårdsdatalagen och kriminalvårdsdataförordningen (2018:1236). Kriminalvårdsdatalagen gäller vid behandling av personuppgifter i Kriminalvårdens verksamhet som avser verkställighet av frihetsberövanden och genomförande av transporter i de fall där brottsdatalagen inte är tillämplig. Inom ramen för Kriminalvårdens hälso- och sjukvård är även patientdatalagen tillämplig. Som framgått i avsnitt 4.1.2 omfattas inte sådan personuppgiftsbehandling av utredningens direktiv och kommer därför inte att behandlas.
4.4. Lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område
4.4.1. Allmänna bestämmelser
Allmänt om Kriminalvårdens brottsdatalag
Lagen (2001:617) om behandling av personuppgifter inom kriminalvården upphävdes när Kriminalvårdens brottsdatalag trädde i kraft. Liksom övriga registerförfattningar som infördes efter dataskyddsreformen är den sistnämnda lagen kapitelindelad.
Lagens tillämpningsområde
Kriminalvårdens brottsdatalag gäller enligt 1 kap. 1 § utöver brottsdatalagen när myndigheten Kriminalvården eller någon av övervak-
Ds 2023:21 Gällande rätt
ningsnämnderna, i egenskap av behörig myndighet, behandlar personuppgifter i syfte att verkställa häktning eller straffrättsliga påföljder eller biträda en annan behörig myndighet när den utför uppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder eller upprätthålla allmän ordning eller säkerhet.
Att lagen gäller utöver brottsdatalagen innebär att de grundläggande bestämmelserna om hur personuppgifter får behandlas finns i brottsdatalagen. De preciseringar, undantag eller avvikelser som behövs för Kriminalvårdens verksamhet finns däremot i Kriminalvårdens brottsdatalag.
Det är syftet med behandlingen av personuppgifter i det enskilda fallet som är avgörande för när Kriminalvårdens brottsdatalag ska tillämpas och inte verksamheten som sådan. Kriminalvården ska tilllämpa lagen på sådan personuppgiftsbehandling som äger rum vid verkställighet av häktning och straffrättsliga påföljder. Det innebär att den tillämpas vid verkställighet av fängelse, skyddstillsyn, villkorlig dom med föreskrift om samhällstjänst eller ungdomsövervakning. Kriminalvården får även behandla personuppgifter för att förebygga, förhindra eller upptäcka brottslig verksamhet i samband med sådan verkställighet. Straffverkställighet omfattar även utländska domar, om verkställigheten har övertagits från den andra staten. Kriminalvården ska även tillämpa lagen när myndigheten biträder en annan behörig myndighet när den utför uppgifter för ett syfte som anges i 1 kap. 2 § brottsdatalagen. Det gäller exempelvis när Kriminalvården biträder domstolar och undersökningsledare och genomför personutredningar i brottmål.
Kriminalvårdens brottsdatalag ska dock inte tillämpas på sådan personuppgiftsbehandling som äger rum vid förvaring i häkte och transporter som Kriminalvården utför för ändamål som ligger utanför brottsdatalagens område. Det beror på att Kriminalvården då inte agerar som behörig myndighet enligt brottsdatalagen. Exempel på frihetsberövanden utanför brottsdatalagens område är häktning enligt konkurslagen, eller en utlänning som är tagen i förvar och som placeras i en kriminalvårdsanstalt eller ett häkte med stöd av 3 kap. 18 § lagen om särskild kontroll av vissa utlänningar eller 10 kap. 1 eller 2 § utlänningslagen. Exempel på transporter utanför brottsdatalagens område är transporter till och från behandlingshem vid olika
Gällande rätt Ds 2023:21
former av tvångsvård eller till och från förhandlingar i förvaltningsdomstolar vid sådan vård.
Personuppgiftsansvar
I 1 kap. 1 § Kriminalvårdens brottsdatalag föreskrivs att Kriminalvården är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. En övervakningsnämnd är personuppgiftsansvarig för sin behandling av personuppgifter. Regleringen har sin grund i att övervakningsnämnderna är självständiga myndigheter. Bestämmelsen hindrar inte att nämnderna kan samarbeta med Kriminalvården och exempelvis utse ett gemensamt dataskyddsombud. Kriminalvården kan även vara personuppgiftsbiträde åt nämnderna och alltså den som behandlar personuppgifter för nämndernas räkning.
4.4.2. Behandling av personuppgifter
Rättsliga grunder för behandling av personuppgifter
När Kriminalvården eller en övervakningsnämnd ska behandla personuppgifter i egenskap av behörig myndighet enligt brottsdatalagen, finns de tillåtna rättsliga grunderna för behandlingen i huvudsak i 2 kap. 1 § Kriminalvårdens brottsdatalag. Bestämmelsen gäller i stället för regleringen i 2 kap. 1 § första stycket brottsdatalagen. Regleringen i 2 kap. 1 § andra stycket brottsdatalagen ska dock tillämpas. Den sistnämnda bestämmelsen ger Kriminalvården eller en övervakningsnämnd rättsligt stöd för att i vissa fall behandla personuppgifter enbart för diarieföring och nödvändig handläggning. Kriminalvården har vidare rättslig grund för att behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom brottsdatalagens tillämpningsområde, se 2 kap. 5 § brottsdatalagen och Brottsdatalag – kompletterande lagstiftning, prop. 2017/18:269, s. 253 f. och 374.
När Kriminalvården eller en övervakningsnämnd agerar i egenskap av behörig myndighet enligt brottsdatalagen, får personuppgifter behandlas om det är nödvändigt för att kunna utföra någon eller några av fyra följande uppgifter:
Ds 2023:21 Gällande rätt
1. verkställa häktning eller straffrättsliga påföljder,
2. förebygga, förhindra eller upptäcka brottslig verksamhet i sam-
band med sådan verkställighet som anges i 1,
3. biträda andra myndigheter när de fullgör uppgifter för ett syfte
som anges i 1 kap. 2 § brottsdatalagen, eller
4. fullgöra förpliktelser som följer av internationella åtaganden.
I punkten 1 omfattas fängelsestraff, även som förvandlingsstraff för böter, skyddstillsyn och villkorlig dom med föreskrift om samhällstjänst samt, sedan den 2 januari 2022, ungdomsövervakning. Lagen är även tillämplig vid straffverkställighet av utländska avgöranden. När det gäller häktning är det frihetsberövanden som faller under brottsdatalagens tillämpningsområde som omfattas. Det innebär att verkställighet av häktning för andra syften, exempelvis häktning enligt konkurslagen, inte omfattas av lagen. Punkten ger även rättsligt stöd för behandling av personuppgifter som rör säkerheten vid verkställighet, exempelvis frågor om en intagen medför förhöjd risk för rymning eller fritagning och vem som besöker den häktade eller intagne, se prop. 2017/18:269 s. 252.
Med att förebygga, förhindra eller upptäcka brottslig verksamhet i samband med sådan verkställighet som anges i 1 avses endast brottsförebyggande eller brottsbekämpande åtgärder som beslutas eller annars vidtas under själva verkställigheten av häktning eller straffrättsliga påföljder. Uttrycket i samband med verkställighet har valts för att regleringen inte ska tolkas för snävt. Det kan t.ex. vara osäkert om ett visst handlande som har betydelse ur säkerhetssynpunkt ligger före, under eller efter verkställighet, se Brottsdatalag – kompletterande lagstiftning, SOU 2017:74, s. 850. Kriminalvården har inte några särskilda befogenheter på området, utöver rätten att ta hand om narkotika som påträffas i häkte eller anstalt, se prop. 2017/18:269 s. 253.
Kriminalvården eller en övervakningsnämnd får även behandla personuppgifter när den biträder andra myndigheter vid brottsbekämpning, lagföring, verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning eller säkerhet. Konkreta exempel på när det görs är när Kriminalvården genomför personutredningar åt domstolarna, efter överenskommelse med Polismyndigheten driver viss arrestverksamhet eller när Kriminalvården transporterar fri-
Gällande rätt Ds 2023:21
hetsberövade personer till och från domstolsförhandlingar i brottmål. I biträdet ingår att tillhandahålla personuppgifter till andra myndigheter inom rättsväsendet för att de ska kunna fullgöra sina uppgifter inom brottsdatalagens tillämpningsområde. Det kan t.ex. avse uppgifter som åklagare och domstolar behöver om häktade personer och information till Polismyndigheten om avslutade vårdvistelser.
Kriminalvården har slutligen rättslig grund att behandla personuppgifter för att fullgöra vissa internationella förpliktelser, t.ex. att under vissa förutsättningar ta över verkställigheten av en utländsk frivårdspåföljd eller ett utländskt fängelsestraff och att förvara personer som är föremål för transitering genom Sverige för verkställighet av fängelsestraff i annat land.
Behandling för nya ändamål
Förutsättningarna för att behandla personuppgifter för nya ändamål regleras i 2 kap.4 och 22 §§brottsdatalagen. Det framgår av 2 kap. 2 § Kriminalvårdens brottsdatalag.
Den som överväger att behandla personuppgifter för ett nytt ändamål ska enligt 2 kap. 4 § brottsdatalagen pröva om det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Den prövningen ska göras innan uppgifterna får behandlas för nya ändamål inom lagens tillämpningsområde. Motsvarande prövning ska enligt 2 kap. 22 § brottsdatalagen göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför tillämpningsområdet. Bestämmelserna förutsätter att det görs en avvägning mellan mottagarens behov av personuppgifterna och skyddet för enskildas personliga integritet.
Behandling av känsliga personuppgifter
Kriminalvården får enligt 2 kap. 3 § Kriminalvårdens brottsdatalag behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Det innebär att behovet av att behandla sådana uppgifter måste prövas noga. Med biometriska uppgifter avses personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk
Ds 2023:21 Gällande rätt
behandling och som möjliggör eller bekräftar unik identifiering (1 kap. 6 § brottsdatalagen).
Kriminalvården får alltså använda särskild teknisk behandling för att bekräfta unik identifiering av en person. Det innebär att t.ex. fingeravtryck får användas för att identifiera en person. Med hjälp av biometri kan exempelvis säkrare identifiering vid transporter inom en kriminalvårdsanstalt genomföras.
Kriminalvården får i dag inte behandla genetiska uppgifter, se prop. 2017/18:269 s. 255.
Utlämnande av personuppgifter
Kriminalvården får enligt 2 kap. 4 § Kriminalvårdens brottsdatalag överföra personuppgifter till tredjeland och internationella organisationer i allt väsentligt i tre ärendetyper. Bestämmelsen är sekretessbrytande och utformad på ett generellt sätt för att ge förutsättningar till ett utökat internationellt samarbete.
Av punkten 1 framgår att Kriminalvården får lämna ut de personuppgifter som behövs för prövning och genomförande av överflyttning av straffverkställighet. Vid överflyttning av verkställighet till en annan stat behövs ofta ingående information om den dömde, både för att pröva frågan om överflyttning och för den framtida verkställigheten om överflyttning kommer till stånd. De personuppgifter som det kan vara fråga om rör bl.a. identiteten och den dömdes anknytning till den andra staten. En förutsättning för överföringen är att informationen lämnas till en myndighet i den andra staten som har till uppdrag att pröva om straffverkställigheten ska flyttas över eller att genomföra överflyttningen av verkställigheten till den andra staten. Om verkställighet pågår i Sverige är uppgifter om verkställigheten av stor betydelse.
Enligt punkten 2 får Kriminalvården överföra personuppgifter till en annan stat vid transitering och förvaring av en frihetsberövad person för utredning av eller lagföring för brott eller straffverkställighet. Vid transitering tas den frihetsberövade om hand tillfälligt i transiteringsstaten. Bestämmelsen ger Kriminalvården förutsättningar att lämna nödvändig information om personen som transiteras och i samband med det tillfälligt förvaras i den andra staten. Per-
Gällande rätt Ds 2023:21
sonuppgifter som kan överföras kan exempelvis röra säkerhetsfrågor eller frågor som rör den enskildes behov av medicinering.
Den tredje situationen som bestämmelsen omfattar framgår av punkten 3 och gäller vid tillfällig överflyttning av en frihetsberövad person för utredning av eller lagföring för brott eller straffverkställighet. Den gör det möjligt för Kriminalvården att överföra personuppgifter om en person som avtjänar ett längre fängelsestraff i Sverige men behöver överföras tillfälligt till en annan stat för att lagföras eller medverka i en brottsutredning i den andra staten.
Kriminalvården har rätt att i motsvarande fall behandla personuppgifter som myndigheten får från en annan stat. Det följer av rätten att behandla personuppgifter för att fullgöra förpliktelser som följer av internationella åtaganden (se prop. 2017/18:269 s. 256).
Längsta tid som personuppgifter får behandlas
Personuppgifter som behandlas automatiserat får enligt 2 kap. 5 § Kriminalvårdens brottsdatalag inte behandlas längre än tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört. Av paragrafens andra stycke framgår att 2 kap. 17 § andra stycket brottsdatalagen inte gäller vid tilllämpningen av paragrafen. Det innebär att uppgifterna, trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen om att arkivlagstiftningen har företräde, inte får arkiveras digitalt. Huvudregeln är alltså att all automatiserad behandling av personuppgifterna ska upphöra när den tid som anges i paragrafen har löpt ut, vilket innebär att uppgifterna ska tas bort. Om det har meddelats uttryckliga föreskrifter får dock enligt 2 kap. 6 § personuppgifter behandlas automatiserat under längre tid för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål. Ett bemyndigande för Riksarkivet att meddela sådana föreskrifter finns i 26 § Kriminalvårdens brottsdataförordning.
Det finns en särskild bestämmelse om längsta tid för behandling av personuppgifter i säkerhetsregistret.
Ds 2023:21 Gällande rätt
Rätt att meddela föreskrifter
Regeringen eller den myndighet som regeringen bestämmer får enligt 2 kap. 6 § Kriminalvårdens brottsdatalag med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka personuppgifter som får behandlas, utlämnande av personuppgifter i andra fall än som anges i lagen, frågor som rör direktåtkomst till personuppgifter, längsta tid som personuppgifter får behandlas och att personuppgifter får behandlas under längre tid än vad som anges i 2 kap. 5 § för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål.
4.4.3. Säkerhetsregistret
Rätten att föra register
I 3 kap. Kriminalvårdens brottsdatalag regleras rätten för Kriminalvården att föra ett säkerhetsregister.
I säkerhetsregistret får personuppgifter behandlas för två syften. Enligt punkten 1 får personuppgifter behandlas i syfte att förebygga, förhindra eller upptäcka brott eller brottslig verksamhet på häkten och i kriminalvårdsanstalter eller i samband med annan straffverkställighet. Personuppgifter får enligt punkten 2 behandlas för att säkerställa ordning och säkerhet på häkten, i kriminalvårdsanstalter och i annan verksamhet som Kriminalvården bedriver.
Det finns en bestämmelse i kriminalvårdsdatalagen, som gäller vid behandling av personuppgifter i Kriminalvårdens verksamhet som avser verkställighet av frihetsberövanden och genomförande av transporter i de fall där brottsdatalagen inte är tillämplig. Enligt 3 § andra stycket den lagen får uppgifter i Kriminalvårdens säkerhetsregister endast behandlas för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet.
Registrering avseende vissa häktade och intagna
Utgångspunkten för att det ska få finnas uppgifter om en person i säkerhetsregistret är att han eller hon bedöms utgöra en säkerhetsrisk. Vilka personkategorier som kan registreras framgår av 3 kap. 2– 4 §§ Kriminalvårdens brottsdatalag.
Gällande rätt Ds 2023:21
Uppgifter om personer som är häktade eller verkställer ett fängelsestraff får enligt 3 kap. 2 § första stycket behandlas i säkerhetsregistret om personen är eller har varit placerad på säkerhetsavdelning. Regleringen träffar enbart personer som är häktade eller intagna i kriminalvårdsanstalt för sådana syften som omfattas av brottsdatalagens område. Uppgifter om en person som är häktad enligt konkurslagen eller som förvaras i häkte med stöd av utlänningslagstiftningen får således inte behandlas i registret med stöd av bestämmelsen. Det finns alltid förutsättningar för att behandla personuppgifter i säkerhetsregistret om den som är häktad eller intagen en gång har varit placerad på säkerhetsavdelning.
Förutsättningarna för placering på säkerhetsavdelning framgår av 2 kap. 4 § fängelselagen (2010:610). Sådan placering kräver antingen varaktig risk för rymning eller fritagning och att det kan antas att den intagne är särskilt benägen att fortsätta med allvarlig brottslig verksamhet eller att det finns särskild anledning att anta att placeringen behövs för att hindra den intagne från allvarlig brottslig verksamhet under anstaltsvistelsen.
Om omständigheterna är sådana att det finns grund för placering på en säkerhetsavdelning, bör också förutsättningarna för behandling av personuppgifter i säkerhetsregistret vara uppfyllda. Eftersom bestämmelsen inte bara omfattar personer som är placerade på en säkerhetsavdelning utan också personer som har varit placerade på säkerhetsavdelning, får uppgifter om en person som har varit placerad på en säkerhetsavdelning under en tidigare straffverkställighet registreras i säkerhetsregistret om han eller hon häktas för nya brottsmisstankar.
Registret får enligt 3 kap. 2 § andra stycket Kriminalvårdens brottsdatalag innehålla uppgifter om en person som är häktad eller verkställer ett fängelsestraff, om det finns risk för att han eller hon
1. under häktningen eller verkställighet av straffet begår brott som
inte är ringa eller utövar brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer,
2. förbereder rymning eller försöker rymma,
3. blir föremål för fritagning,
4. bidrar till att allvarligt störa ordningen eller säkerheten på ett
häkte eller i en kriminalvårdsanstalt, eller
Ds 2023:21 Gällande rätt
5. under häktning eller verkställighet av ett fängelsestraff utsätts för
våld eller hot.
Behandlingen enligt andra stycket bygger på en riskbedömning. Såvitt gäller punkten 1 krävs inte att det är straffrättsligt prövat att personen har begått brott, utan redan misstanke om brott kan läggas till grund för registrering. Om ett brott är ringa eller inte får bedömas med utgångspunkt i omständigheterna i det enskilda fallet och brottets straffskala. Med brott för vilket det är förskrivet fängelse i två år eller mer avses alla brott som har ett maximistraff om två års fängelse eller mer. Genom formuleringen omfattas även livstidsstraff. Det är endast risken för brott eller brottslig verksamhet i häkte eller under verkställighet av fängelsestraff som får beaktas.
Personuppgifter får enligt punkterna 2 och 3 registreras om det finns risk för rymning eller fritagning. Har en rymning eller fritagning inträffat får det anses föreligga risk för framtida rymning eller fritagning, om inte omständigheterna talar emot det.
Vid risk för att en person bidrar till allvarliga ordningsstörningar eller äventyrar säkerheten på ett häkte eller i en kriminalvårdsanstalt, får personuppgifter behandlas i säkerhetsregistret med stöd av punkten 4. Det behöver inte vara fråga om ett straffbart handlande. Kravet på att ordningsstörningen ska vara allvarlig innebär emellertid att inte alla störningar får läggas till grund för registrering.
Om en person riskerar att utsättas för våld eller hot under verkställigheten får enligt punkten 5 uppgifter om honom eller henne behandlas i säkerhetsregistret. En sådan behandling kan behövas för att förhindra att en intagen placeras tillsammans med personer som kan utgöra ett hot mot honom eller henne under verkställigheten. Oftast kan ett hot härledas till andra häktade eller intagna och därmed utgöra en grund för att behandla personuppgifter även om dem. Det kan dock finnas en allvarlig hotbild mot en häktad eller intagen trots att det saknas vetskap om vem eller vilka som ligger bakom hotet.
Av 2 kap. 9 § brottsdatalagen följer att det ska framgå av säkerhetsregistret att personen i fråga inte själv utgör en säkerhetsrisk.
Gällande rätt Ds 2023:21
Registrering avseende andra som verkställer påföljd
I säkerhetsregistret får även uppgifter behandlas om andra som verkställer påföljder inom Kriminalvården. Enligt 3 kap. 3 § Kriminalvårdens brottsdatalag får uppgifter registreras om en person som verkställer en påföljd inom Kriminalvården, om det finns risk för att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler. Bestämmelsen kan alltså tillämpas på alla som verkställer en påföljd inom Kriminalvården och har ett bredare tillämpningsområde än 3 kap. 2 §. Den gäller vid såväl fängelsestraff som frivårdspåföljder som villkorlig dom med föreskrift om samhällstjänst, skyddstillsyn och ungdomsövervakning.
Otillbörlig påverkan kan i vissa fall innefatta ett straffbart handlande, t.ex. förtäckta hot. Det krävs inte att ett hot uttalas i Kriminalvårdens lokaler, utan regleringen träffar också den som genom exempelvis brev eller telefonsamtal hotar någon. Bestämmelsen omfattar inte bara den som angriper Kriminalvårdens personal utan också den som utövar våld mot andra klienter och personer som tillfälligt befinner sig i Kriminalvårdens lokaler.
Personer med anknytning till häktade och intagna
Med stöd av 3 kap. 4 § Kriminalvårdens brottsdatalag får Kriminalvården i säkerhetsregistret även behandla personuppgifter om personer som har personlig anknytning till eller annan nära förbindelse med någon som är häktad eller verkställer ett fängelsestraff och som är registrerad i säkerhetsregistret, men som inte själv är intagen i häkte eller verkställer påföljd. Det förutsätter dock att registreringen är absolut nödvändig för ändamålet med behandlingen. Det innebär att bestämmelsen ska tillämpas restriktivt och att det ställs väsentligt högre krav för registrering på denna grund.
Med personlig anknytning avses t.ex. anhöriga eller andra närstående till en registrerad. En person som har nära förbindelse med den som är registrerad enligt 3 kap. 2 § Kriminalvårdens brottsdatalag kan exempelvis vara en tidigare medbrottsling eller en person som tillhör samma kriminella nätverk eller våldsbejakande extremistiska rörelse (prop. 2017/18:269 s. 263). Genom kravet på nära förbindelse utesluts professionella aktörer, t.ex. försvarare, kontaktperso-
Ds 2023:21 Gällande rätt
ner och tolkar som i den egenskapen har en förbindelse med en registrerad. Uppgifter om sådana personer får alltså inte behandlas.
Om den person som registreras i säkerhetsregistret inte är häktad eller verkställer fängelsestraff ska det framgå genom en särskild upplysning. Genom sådana upplysningar kan man skilja anknytningspersoner från sådana personer som själva utgör en säkerhetsrisk.
Känsliga personuppgifter
Enligt 2 kap. 14 § brottsdatalagen är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet hindrar dock enligt 3 kap. 5 § Kriminalvårdens brottsdatalag inte sökning på personuppgifter i säkerhetsregistret i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. En sådan sökning kan t.ex. behövas för att kunna placera intagna på ett ändamålsenligt och säkert sätt.
Bestämmelsen ger endast rätt till vissa sökningar och omfattar inte rätt att söka på ras, medlemskap i fackförening eller biometriska uppgifter, se prop. 2017/18:269 s. 264 f. och 380. Om det finns en rätt att fortsätta behandla uppgifterna som sökningen ger får prövas mot 2 kap. 11 § brottsdatalagen.
Direktåtkomst till säkerhetsregistret
Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och Åklagarmyndigheten får enligt 3 kap. 6 § Kriminalvårdens brottsdatalag medges direktåtkomst till uppgifter i säkerhetsregistret i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Vilka personuppgifter som får göras tillgängliga regleras i 24 § Kriminalvårdens brottsdataförordning. Enligt den paragrafen får direktåtkomst endast medges till information om huruvida en person förekommer i säkerhetsregistret eller inte.
Den personuppgiftsansvarige ska enligt 3 kap. 6 § brottsdatalagen se till att tillgången till personuppgifter begränsas till vad varje
Gällande rätt Ds 2023:21
tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Hur mottagaren får behandla personuppgifterna styrs av brottsdatalagen och den mottagande myndighetens registerlagstiftning.
Längsta tid som personuppgifter i säkerhetsregistret får behandlas
Personuppgifter i säkerhetsregistret får enligt 3 kap. 7 § Kriminalvårdens brottsdatalag inte behandlas längre än fem år efter det att den registrerade blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt fängelsestraffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte, eller den registrerade helt har verkställt en frivårdspåföljd. Samma tidsperiod gäller för den person som en registrerad har personlig anknytning till eller annan nära förbindelse med.
I paragrafens andra stycke klargörs att 2 kap. 17 § andra stycket brottsdatalagen inte gäller vid tillämpningen av paragrafen. Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av uppgifterna ska upphöra när den tid som anges i paragrafen har löpt ut, vilket innebär att uppgifterna ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i 3 kap. 7 § Kriminalvårdens brottsdatalag.
Rätt att meddela föreskrifter
Vissa bestämmelser om innehållet i säkerhetsregistret och utlämnande av uppgifter ur registret regleras i förordning. Enligt 3 kap. 8 § Kriminalvårdens brottsdatalag bemyndigas regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om innehållet i säkerhetsregistret och om utlämnande av personuppgifter ur registret.
Ds 2023:21 Gällande rätt
4.4.4. Övriga bestämmelser
Administrativa sanktionsavgifter
En sanktionsavgift om högst 10 miljoner kronor får enligt 4 kap. 1 § Kriminalvårdens brottsdatalag tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna om tillåtna rättsliga grunder, särskilda upplysningar och längsta tid som personuppgifter får behandlas eller vid överträdelse av föreskrifter som har meddelats i anslutning till lagen och som rör särskild upplysning eller längsta tid som personuppgifter får behandlas. Uppräkningen av vilka överträdelser som kan leda till sanktionsavgift är uttömmande.
Det är tillsynsmyndigheten som i det enskilda fallet avgör om det är påkallat att ta ut sanktionsavgift. Vid överträdelser tillämpas brottsdatalagens förfaranderegler såvitt avser sanktionsavgift.
Skadestånd
Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen ska enligt 4 kap. 2 § Kriminalvårdens brottsdatalag tillämpas vid behandling av personuppgifter i strid med den lagen eller föreskrifter som har meddelats i anslutning till den. Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada eller kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Med skada avses här personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen.
För att den personuppgiftsansvarige ska bli ersättningsskyldig behöver den registrerade bevisa att behandling av den registrerades personuppgifter stått i strid med reglerna om personuppgiftsbehandling och att den har skadat eller kränkt honom eller henne. Orsakssambandet ska vara adekvat. Ersättningen för kränkning får uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det enskilda fallet.
Överklagande
I 4 kap. 3 § Kriminalvårdens brottsdatalag finns en hänvisning till 7 kap. brottsdatalagen som avser överklagande. I 7 kap. brottsdata-
Gällande rätt Ds 2023:21
lagen finns en uttömmande uppräkning av de beslut som får överklagas. Besluten överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.
4.5. Förordningen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område
4.5.1. Allmänt om förordningen
Kriminalvårdens brottsdataförordning kompletterar Kriminalvårdens brottsdatalag. Förordningen innehåller totalt 30 paragrafer, som preciserar vilka uppgifter, såväl personuppgifter som andra uppgifter, som Kriminalvården får behandla och hur länge de får behandlas. Av förordningen framgår att Kriminalvården ska föra ett centralt kriminalvårdsregister och det finns även vissa detaljbestämmelser om säkerhetsregistret. Förordningen innehåller också ett antal bestämmelser om journalföring.
4.5.2. Behandling av personuppgifter
Gemensamma bestämmelser
I 2 § Kriminalvårdens brottsdataförordning finns en allmän bestämmelse som preciserar vilka personuppgifter som får behandlas om det är nödvändigt för att utföra en uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.
Paragrafen innehåller en mycket omfattande detaljuppräkning av vilka uppgifter som får behandlas. Där nämns bl.a. namn, personnummer och adress, kommun där den registrerade är folkbokförd, ombud eller ställföreträdare för den registrerade, tolk, genomförd personutredning och rättspsykiatrisk undersökning och en domstols dom eller slutliga beslut som avser fängelse, skyddstillsyn, villkorlig dom med föreskrift om samhällstjänst, ungdomsövervakning eller förvandlingsstraff för böter eller vite och beslut i häktningsfrågor.
Ds 2023:21 Gällande rätt
Behandling av personuppgifter avseende vissa personkategorier
Förordningen är inte kapitelindelad men bestämmelserna om behandling av personuppgifter är i huvudsak uppdelade efter sex kategorier, som detaljreglerar vilka uppgifter, utöver de som anges i 2 §, som Kriminalvården får behandla för respektive kategori. Kategorierna utgår från det som föranleder att personen i fråga har aktualiserats hos Kriminalvården. För vissa av dessa kategorier finns även bestämmelser om rätt att behandla ytterligare uppgifter i en journal. För varje kategori finns bestämmelser som reglerar hur länge personuppgifterna får behandlas.
I fråga om personer som är föremål för personutredning får Kriminalvården enligt 3 § Kriminalvårdens brottsdataförordning bl.a. behandla uppgifter om att den registrerade är intagen i häkte eller kriminalvårdsanstalt med angivande av häktet eller anstalten, tidigare domar, brott som den registrerade tidigare har begått, tidigare utdömd påföljd och uppgifter om verkställigheten, datum för huvudförhandling och domstolens dom. Om det behövs för att utreda vilka åtgärder som kan antas förebygga framtida brottslighet, får även den misstänktes personliga förhållanden behandlas. Hur länge uppgifterna får behandlas framgår av 4 §.
För personer som är häktade finns i 5 § Kriminalvårdens brottsdataförordning en omfattande uppräkning av uppgifter som Kriminalvården får behandla. Kriminalvården får bl.a. behandla uppgifter om datum och tidpunkt för anhållande och häktning, restriktioner som avses i 24 kap. 5 a § rättegångsbalken, anknytning till någon annan häktad eller anhållen som är misstänkt för delaktighet i samma brott som den häktade och medgivande från den häktade om granskning av försändelser enligt 3 kap. 8 § häkteslagen. Även uppgifter om behov av hälso- och sjukvård eller utbildning och uppgifter om sysselsättning, misskötsamhet samt tid, plats, bevakning och villkor vid besök får behandlas. I fråga om den som är häktad får Kriminalvården, utöver de uppgifter som framgår av 2 och 5 §§ Kriminalvårdens brottsdataförordning, behandla personuppgifter i en journal. Längsta tid som personuppgifter om en häktad får behandlas framgår av 7 §.
I fråga om personer som är dömda till fängelse eller till fängelse som förvandlingsstraff för böter eller vite eller vars fängelsepåföljd ska verkställas i Sverige på grund av en utländsk dom, får de uppgif-
Gällande rätt Ds 2023:21
ter som framgår av 8 § Kriminalvårdens brottsdataförordning behandlas. Kriminalvården får bl.a. behandla uppgifter om anknytning till någon annan intagen som är dömd för delaktighet i samma brott som den dömde, placering på säkerhetsavdelning, permissioner och vistelser utanför anstalt och uppgifter som är nödvändiga för handläggningen av ett ärende som enligt lag eller förordning ska prövas av Kriminalvården. En del av de uppgifter som räknas upp i paragrafen får också behandlas avseende den vars fängelsestraff verkställs genom intensivövervakning med elektronisk kontroll (8 § andra stycket). Vissa uppgifter som räknas upp i paragrafen får även behandlas avseende personer som är föremål för personutredning eller som är häktade, såsom domstolens avräkningsunderlag och tid, plats, bevakning och villkor vid besök. Vilka personuppgifter som får behandlas vid journalföring framgår av 9 § och längsta tid som personuppgifter i fråga om personer som är dömda till fängelse eller som avtjänar sitt fängelsestraff genom intensivövervakning med elektronisk kontroll (s.k. fotboja) får behandlas framgår av 10 §.
Behandling av uppgifter om personer som är dömda till skyddstillsyn eller som på grund av en utländsk dom ska verkställa motsvarande påföljd i Sverige regleras i 11 § Kriminalvårdens brottsdataförordning. Kriminalvården får bl.a. behandla övervakarens namn, adress och telefonnummer, uppgifter som är nödvändiga för handläggningen av ett ärende som enligt lag eller förordning ska prövas av Kriminalvården och uppgifter om sysselsättning. Journaler får föras i den utsträckning som framgår av 12 §. Hur länge uppgifterna får behandlas framgår av 13 §.
Enligt 14 § Kriminalvårdens brottsdataförordning får journal föras avseende personer som är dömda till villkorlig dom med föreskrift om samhällstjänst eller som på grund av en utländsk dom ska verkställa motsvarande påföljd i Sverige. En sådan journal får innehålla uppgifter om samtliga beslut som har fattats, viktiga händelser under verkställigheten och väsentliga uppgifter om vidtagna eller planerade åtgärder som gäller den dömde. Den får även innehålla uppgifter om andra omständigheter som är av betydelse för verkställigheten. Av 15 § framgår hur länge personuppgifter i en sådan journal eller sådana uppgifter som anges i 2 § får behandlas.
Behandling av uppgifter om personer som är dömda till ungdomsövervakning regleras i 15 a § Kriminalvårdens brottsdataförordning. I viss utsträckning får samma uppgifter behandlas som för
Ds 2023:21 Gällande rätt
personer som är föremål för personutredning eller som är häktade, men härutöver får exempelvis även innehållet i verkställighetsplanen, uppgifter om sysselsättning eller att den dömde har ålagts kontaktförbud eller tillträdesförbud behandlas. Kriminalvården får behandla vissa uppgifter i en journal enligt 15 b §. Längsta tid som personuppgifter får behandlas framgår av 15 c §.
4.5.3. Centrala kriminalvårdsregistret
Registrets innehåll och ändamål
Av 16 § Kriminalvårdens brottsdataförordning framgår att Kriminalvården ska föra ett centralt kriminalvårdsregister. Registret ska innehålla uppgifter om i princip alla som verkställer en påföljd som Kriminalvården ansvarar för. Det innehåller således uppgifter om personer som har dömts till fängelse, skyddstillsyn, villkorlig dom med föreskrift om samhällstjänst, ungdomsövervakning eller har ålagts förvandlingsstraff för böter eller vite. Registret omfattar även dem som på grund av en utländsk brottmålsdom verkställer en sådan påföljd i Sverige. I 17 § anges genom hänvisningar till andra bestämmelser i förordningen vilka uppgifter registret får innehålla.
I 18 § Kriminalvårdens brottsdataförordning regleras andra myndigheters skyldigheter att lämna uppgifter till Kriminalvården. Polismyndigheten, Regeringskansliet, Migrationsverket, en migrationsdomstol och Migrationsöverdomstolen samt, från och med den 3 oktober 2022, även de allmänna domstolarna har sådan uppgiftsskyldighet. Skyldigheten omfattar bl.a. uppgift om dom eller beslut som avser fängelse, skyddstillsyn, villkorlig dom med föreskrift om samhällstjänst, ungdomsövervakning eller förvandlingsstraff för böter eller vite, överklagande av dom eller slutligt beslut som det har lämnats uppgift om tidigare, beslut i nådeärenden och beslut om att inhibition av en allmän domstols beslut om utvisning på grund av brott meddelas eller upphävs.
Den som i tjänsten tar del av uppgifter i det centrala kriminalvårdsregistret och misstänker att registrets innehåll är oriktigt ska enligt 25 § Kriminalvårdens brottsdataförordning genast anmäla det till Kriminalvården.
Gällande rätt Ds 2023:21
Utlämnande av uppgifter
Uppgifter i det centrala kriminalvårdsregistret ska enligt 19 § Kriminalvårdens brottsdataförordning på begäran lämnas ut till Regeringskansliet, en domstol, Åklagarmyndigheten, Ekobrottsmyndigheten, Justitiekanslern, Riksdagens ombudsmän, Polismyndigheten, Säkerhetspolisen och Integritetsskyddsmyndigheten.
Direktåtkomst
I syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning eller säkerhet får enligt 20 § Kriminalvårdens brottsdataförordning Regeringskansliet, Polismyndigheten och Säkerhetspolisen medges direktåtkomst till det centrala kriminalvårdsregistret. För Regeringskansliet får endast sådana uppgifter som behövs i ärenden om nåd göras tillgängliga.
I vilken utsträckning mottagaren får behandla personuppgifter som tillhandahålls genom direktåtkomst styrs av brottsdatalagen och den mottagande myndighetens registerlagstiftning.
4.5.4. Säkerhetsregistret
Registrets innehåll
Rätten för Kriminalvården att föra ett säkerhetsregister regleras som tidigare nämnts i 3 kap. Kriminalvårdens brottsdatalag. Säkerhetsregistret innehåller något förenklat uppgifter om personer som verkställer häktning eller påföljd och som kan utgöra en säkerhetsrisk i något avseende. Undantagsvis får Kriminalvården även behandla uppgifter om en person som har personlig anknytning till eller annan nära förbindelse med en person som är häktad eller verkställer ett fängelsestraff och som är eller har varit placerad på säkerhetsavdelning. Sådan registrering ska förses med en särskild upplysning av vilken det framgår att den registrerade inte är häktad eller intagen.
Vad registret ska innehålla framgår av 21 och 22 §§ Kriminalvårdens brottsdataförordning. Skälen för registrering och de omständigheter som lett fram till registreringen ska framgå, liksom varifrån uppgifterna kommer och, om det inte är obehövligt, en bedömning
Ds 2023:21 Gällande rätt
av uppgiftslämnarens trovärdighet. I de fall där regeringen med hänsyn till rikets säkerhet eller risken för att en intagen under verkställigheten i anstalt medverkar till terroristbrott beslutat om undantag från bestämmelserna om en intagens besök och kontakter enligt 7 kap. fängelselagen, ska även uppgifter om honom eller henne föras in i säkerhetsregistret om det inte är uppenbart obehövligt.
Den som i tjänsten tar del av uppgifter i säkerhetsregistret och misstänker att registrets innehåll är oriktigt ska enligt 25 § Kriminalvårdens brottsdataförordning genast anmäla det till Kriminalvården.
Utlämnande av uppgifter
I 23 § Kriminalvårdens brottsdataförordning regleras skyldigheten att lämna ut uppgifter i säkerhetsregistret till andra myndigheter.
Av paragrafens första stycke framgår att uppgifter ska lämnas ut till Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och Åklagarmyndigheten om uppgiften kan antas ha särskild betydelse för en förundersökning, andra brottsbekämpande åtgärder eller att upprätthålla ordningen och säkerheten i Kriminalvårdens verksamhet.
Om uppgiften kan antas ha betydelse i ärenden om nåd i brottmål, enligt lagen om särskild kontroll av vissa utlänningar, eller enligt 7 kap. 11 § eller 13 kap. 6 §fängelselagen ska uppgifter i säkerhetsregistret enligt andra stycket lämnas ut till Regeringskansliet.
Enligt tredje stycket får uppgifter i säkerhetsregistret lämnas ut till en allmän domstol om uppgiften kan antas ha betydelse i ärenden enligt lagen (2006:45) om omvandling av fängelse på livstid.
Direktåtkomst
Vilka myndigheter som får medges direktåtkomst till säkerhetsregistret framgår av 3 kap. 6 § Kriminalvårdens brottsdatalag. I 24 § Kriminalvårdens brottsdataförordning framgår att direktåtkomsten är begränsad till enbart uppgift om huruvida en person förekommer i registret.
Gällande rätt Ds 2023:21
4.5.5. Föreskriftsrätt
Riksarkivet och Kriminalvården får med stöd av 26–29 §§ Kriminalvårdens brottsdataförordning meddela föreskrifter i den utsträckning som framgår av bestämmelserna.
Riksarkivet får, efter att ha berett Kriminalvården tillfälle att yttra sig, meddela föreskrifter i fråga om behandling av personuppgifter för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål.
Kriminalvården får meddela föreskrifter om begränsning av de personuppgifter som behandlas med stöd av 2 kap. 1 § Kriminalvårdens brottsdatalag och ytterligare föreskrifter om verkställigheten av Kriminalvårdens brottsdatalag och brottsdataförordning. Efter att ha gett berörd myndighet tillfälle att yttra sig, får Kriminalvården även meddela föreskrifter om omfattningen av andra myndigheters skyldighet att lämna uppgifter till det centrala kriminalvårdsregistret. Innan Kriminalvården meddelar föreskrifter med stöd av 27– 29 §§ Kriminalvårdens brottsdataförordning ska enligt 30 § samma förordning Integritetsskyddsmyndigheten ges tillfälle att yttra sig över Kriminalvårdens förslag.
5. Problem med den nuvarande lagstiftningen
5.1. Uttalanden i samband med dataskyddsreformen
Genom dataskyddsreformen anpassades registerlagstiftningarna inom rättskedjan till EU-rätten. I lagstiftningsärendet som rörde brottsdatalagen uttalade regeringen att det i framtiden kunde finnas behov av att göra en översyn av Kriminalvårdens registerlagstiftning. Behovet av en översyn påtalades även av vissa remissinstanser, bl.a. Kriminalvården (prop. 2017/18:269 s. 246).
I förarbetena (prop. 2017/18:269 s. 246 och 257 f.) kommer följande till uttryck gällande behovet av en moderniserad lagstiftning. Kriminalvårdens lagstiftning avviker i många avseenden från den lagstiftning som gäller för övriga myndigheter i rättskedjan. De andra registerförfattningarna har tillkommit under de senaste åren, medan Kriminalvårdens registerlagstiftning tillkom bara några år efter personuppgiftslagen. Kriminalvårdens lagstiftning har en annan lagteknisk struktur än övriga registerförfattningar. Större delen av Kriminalvårdens personuppgiftsreglering finns i förordning, vilket skulle kunna ifrågasättas mot bakgrund av det utökade grundlagsskyddet i 2 kap. 6 § andra stycket regeringsformen. I förarbetena till den bestämmelsen pekas bl.a. på att myndighetsregister med ett stort antal registrerade och särskilt känsligt innehåll normalt ska regleras i lag (En reformerad grundlag, prop. 2009/10:80, s. 183). Modernare registerlagstiftning bygger inte i samma utsträckning som Kriminalvårdens registerlagstiftning på en detaljerad uppräkning av vilka personuppgifter som får behandlas.
I förarbetena framhölls även att förutsättningarna för verksamheten på häkten och kriminalvårdsanstalter har förändrats. Brottsligheten har ändrat karaktär och påföljdssystemet har ändrats. Särskilt möjligheten att avtjäna fängelsestraff utanför anstalt i form av
Problem med den nuvarande lagstiftningen Ds 2023:21
intensivövervakning medför att de som verkställer fängelsestraff i anstalt i dag generellt sett avtjänar straff för tyngre kriminalitet än förr. Även demografiska faktorer påverkar hur verksamheten på häkten och i kriminalvårdsanstalter bedrivs. Kriminalvården måste t.ex. vid placering av intagna ta större hänsyn än tidigare till faktorer som organiserad brottslighet och tillhörighet till olika kriminella grupperingar. Mot den bakgrunden framhölls det att det kan finnas behov av att i framtiden se över Kriminalvårdens registerlagstiftning och att den bör ges en struktur och ett innehåll som i större utsträckning liknar övriga registerförfattningar.
Uttalanden kring behovet av en total översyn av Kriminalvårdens registerförfattningar gjordes även i det betänkande som låg till grund för regeringens proposition (SOU 2017:74 s. 546, 562 f., 573 och 579). Utredningen påtalade även att frågan om det krävs sekretessbrytande bestämmelser för att kunna medge direktåtkomst till säkerhetsregistret bör analyseras. Justitiekanslern har också gjort bedömningen att en materiell översyn av Kriminalvårdens registerförfattning är påkallad (Justitiekanslerns beslut den 27 december 2017, dnr 10421-17-8.1).
5.2. Kriminalvårdens framställning till regeringen
I slutet av år 2020 inkom Kriminalvården till Justitiedepartementet med en framställning om översyn av myndighetens registerförfattningar. Framställningen kompletterades i början av år 2021 (se KV 2020–16617). Av framställningarna framgår sammanfattningsvis följande.
Kriminalvårdens brottsdataförordning avviker från övriga myndigheters registerförfattningar på så vis att det är personkategorin och typen av uppgift som i många fall är avgörande för om en viss personuppgift får behandlas, i stället för syftet med behandlingen. Det medför att en viss typ av personuppgiftsbehandling kan vara förenlig såväl med de rättsliga grunder som anges i brottsdatalagen som med de ändamål som anges i Kriminalvårdens brottsdatalag, samtidigt som den är otillåten enligt de detaljerade bestämmelserna i Kriminalvårdens brottsdataförordning, som anger vilken typ av uppgifter som får behandlas för en viss personkategori.
Ds 2023:21 Problem med den nuvarande lagstiftningen
Registerförfattningarnas utformning förutsätter vidare att varje förändring av Kriminalvårdens uppdrag följs av motsvarande förändringar i registerlagstiftningen, för att myndigheten ska ha rättslig grund för att behandla personuppgifter på det sätt som krävs. Exempelvis förutsatte den nya påföljden ungdomsövervakning att Kriminalvårdens brottsdataförordning ändrades så att Kriminalvården fick behandla ytterligare personuppgifter.
Det uppdrag Kriminalvården fått att delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten har inte lett till några ändringar i registerlagstiftningen. Det finns bestämmelser i sekretesslagstiftningen som medger att Kriminalvården, utan hinder av sekretess, både kan ta emot och dela med sig av information avseende organiserad brottslighet. Kriminalvården har emellertid enligt Kriminalvårdens brottsdataförordning inte rätt att behandla personuppgifter som de får genom sådan information. Det gör att den enskilde underrättelseoperatören inte har rätt att vare sig lagra, registrera, använda, bearbeta, lämna ut, sprida eller tillhandahålla relevanta personuppgifter. Utan möjlighet att föra in uppgifterna i säkerhetsregistret kan de inte heller behandlas elektroniskt och sättas i ett större sammanhang.
Kriminalvårdens brottsdataförordning innehåller en uttömmande uppräkning av vilka personuppgifter som får behandlas i samband med straffverkställighet. Bestämmelserna är emellertid enligt Kriminalvårdens uppfattning för snävt utformade för att myndigheten ska kunna fullgöra sitt uppdrag inom ramen för den myndighetsgemensamma satsningen mot organiserad brottslighet och kunna bedriva ett adekvat underrättelsearbete till skydd för säkerheten för Kriminalvårdens personal och andra som vistas i Kriminalvårdens lokaler.
Den nuvarande registerlagstiftningen är otillräcklig avseende den verksamhet som bedrivs av frivården. Kriminalvården saknar idag möjlighet att i säkerhetsregistret behandla personuppgifter avseende klienter som ska genomgå personutredning, frivårdsklienter som påbörjat verkställighet av en påföljd men inte själva riskerar att utsätta personal eller andra som vistas i Kriminalvårdens lokaler för hot eller våld eller personuppgifter avseende personer som finns i frivårdsklienters personliga nätverk. Kriminalvården saknar vidare förutsättningar att registrera uppgifter i säkerhetsregistret rörande personer som dömts till fängelse men befinner sig på fri fot i väntan på att påbörja verkställighet.
Problem med den nuvarande lagstiftningen Ds 2023:21
Bristerna i lagstiftningen innebär bl.a. att Kriminalvården har svårt att förebygga möten i Kriminalvårdens lokaler mellan personer från rivaliserande organiserade brottsnätverk och personer som på annat sätt står i konflikt med varandra. Den nuvarande registerlagstiftningen innebär vidare svårigheter att bedriva ett förebyggande säkerhetsarbete med hänsyn till personsäkerheten för de som arbetar eller annars vistas i frivårdens lokaler. Att Kriminalvården saknar grund för att registrera sådan underrättelseinformation som kan erhållas via det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten innebär att domstolarna i vissa fall inte kan förses med relevant information i personutredningarna rörande en persons konstaterade kopplingar till organiserad brottslighet. Det kan leda till att Kriminalvården föreslår påföljder eller placeringar som de med fullgod information inte hade föreslagit eller medger besöks- eller telefontillstånd med personer utanför häkten och anstalter som tillhör grov och organiserad brottslighet.
5.3. Andra problem som har påtalats
I tillägg till de brister i Kriminalvårdens registerförfattningar som framgår av Kriminalvårdens framställningar till regeringen, har företrädare för myndigheten framhållit vissa ytterligare problem med lagstiftningen. De redovisas här.
Kriminalvårdens brottsdatalag och brottsdataförordning pekar ut säkerhetsregistret och det centrala kriminalvårdsregistret som två register som Kriminalvården får föra. Det kan övervägas om det är den mest ändamålsenliga lösningen eller om det finns förutsättningar att skapa en mer generell och teknikneutral reglering som utgår från verksamhetens behov.
Det finns lagstöd för användning av positioneringsteknik i Kriminalvårdens verksamhet och myndigheten har köpt in fotbojor och programvara med sådan teknik, men det saknas i dag tydligt stöd för att behandla uppgifterna i myndighetens registerförfattningar.
För att kunna göra tillfredsställande riskbedömningar av vilka personer som utgör en säkerhetsrisk, har Kriminalvården behov av att behandla uppgifter om fler personer än vad lagstiftningen i dag tillåter. För närvarande får enbart uppgifter om personer som redan har bedömts utgöra en säkerhetsrisk behandlas.
Ds 2023:21 Problem med den nuvarande lagstiftningen
Att Kriminalvården inte kan behandla uppgifter som delas i det myndighetsgemensamma arbetet mot grov och organiserad brottslighet får konsekvenser. Exempelvis innebär det att Kriminalvården inte blir en tillräckligt effektiv samarbetspartner till övriga myndigheter. Kriminalvården riskerar exempelvis att placera klienter som ska genomföra samhällstjänst hos verksamheter som ingår i brottslig verksamhet. Myndigheten är vidare utsatt för infiltrationsförsök. Behandling av information från det myndighetsgemensamma arbetet skulle enligt Kriminalvårdens uppfattning vara användbart i anställningsförfaranden och vid upphandling av tjänster.
Bestämmelsen om biometriska data kanske bör omfattas av utredningens översyn. EU har antagit en förordning om inrättande av ett system som ska göra det möjligt för medlemsstaterna att på ett effektivt sätt få reda på vilka andra medlemsstater som har uppgifter i sina kriminalregister om en tredjelandsmedborgare.14 I syfte att förbättra medlemsstaternas informationsutbyte om brottmålsdomar finns lagförslag och utredningar som föreslår och överväger möjligheten att under vissa förutsättningar och för vissa syften få samla in och lagra bl.a. en dömd persons fingeravtryck och ansiktsbild. Det går att se möjliga användningsområden av sådan behandling även för Kriminalvården.
Kriminalvården bedriver sedan länge viss forskning och har lämnat in en framställan till regeringen med begäran att utöka kriminalvårdsinstruktionen till att inkludera även den verksamheten i myndighetens uppdrag. Med anledning av det bör det ses över hur länge uppgifter får bevaras för vetenskapliga, statistiska eller historiska ändamål.
Bestämmelserna om gallring och arkivering bör enligt Kriminalvården också ses över, särskilt såvitt gäller frivårdsklienter. En bestämmelse som ger Domstolsverket skyldighet att lämna vissa uppgifter som behöver behandlas för frivårdsklienter och motsvarande rätt för Kriminalvården att få dessa uppgifter bör övervägas.
14 Europaparlamentets och rådets förordning (EU) 2019/816 av den 17 april 2019 om inrättande av ett centraliserat system för identifiering av medlemsstater som innehar uppgifter om fällande domar mot tredjelandsmedborgare och statslösa personer (Ecris-TCN) för att komplettera det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister och om ändring av förordning (EU) 2018/1726 (förordningen om Ecris-TCN).
Problem med den nuvarande lagstiftningen Ds 2023:21
5.4. En verksamhet i förändring
De senaste åren har varit intensiva för Kriminalvården, som har haft och alltjämt har en mycket hög belastning i samtliga verksamhetsgrenar. Ökade klientvolymer inom alla verkställighetsformer (se avsnitt 3.2 och 3.3), ny lagstiftning – exempelvis gällande villkorlig frigivning, skyddstillsyn och den nya påföljden ungdomsövervakning – bidrar till belastningen. Det finns även ett stort politiskt och medialt intresse för myndighetens verksamhet.
För att hantera beläggningssituationen har Kriminalvården öppnat många häktes- och anstaltsplatser med mer modern och ändamålsenlig infrastruktur. Det pågår vidare ett femtiotal infrastrukturprojekt. Kriminalvården har också vidtagit organisatoriska åtgärder, exempelvis att stärka ledningsstödet kring generaldirektören, förstärka utbildningsorganisationen och tillsätta en infrastrukturgrupp för att förbättra förutsättningarna för den långsiktiga kapacitetsutökningen och för att hantera beläggningssituationen på kort sikt.
Behovet av snabb utökning av platser, har lett till ökade utmaningar att attrahera, rekrytera, introducera och utbilda nya medarbetare i tillräckligt snabb takt. Det finns ett stort behov av personal och Kriminalvården avser att anställa cirka 5 000 nya medarbetare inom de närmaste åren.
I Kriminalvårdens anstalter, häkten och i frivård befinner sig varje dag mellan 9 000 och 10 000 klienter som har mer eller mindre uttalade problem med narkotika. Kriminalvården har de senaste åren satsat på en utbyggd vård för att möta problemet med ett ökat missbruk bland klienter. Regelbundna urinprov, visitationer på anstalter och häkten, narkotikahundar och inpasseringskontroller är några av metoderna för att hjälpa klienterna att bli av med sitt missbruk. Dessutom förbättrar Kriminalvården områdena kring anstalterna så det blir svårare att kasta in droger.
Pandemin som orsakades av covid-19 krävde också förändringar av verksamheten. Exempelvis begränsades besöken i anstalt och häkten periodvis och besöksmöjligheten fick hanteras genom möjlighet till videomöten och kostnadsfri telefoni. Inom frivården fick klientmötena i stor utsträckning genomföras på distans.
En särskild utmaning för Kriminalvårdens verksamhet och säkerhetsarbete är att det finns fler klienter som tillhör organiserad brottslighet. Kriminalvårdens arbete med kontinuerliga säkerhetsbe-
Ds 2023:21 Problem med den nuvarande lagstiftningen
dömningar och olika riskreducerande åtgärder har därför förstärkts, liksom samverkan inom det myndighetsgemensamma arbetet mot grov organiserad brottslighet. Som ett led i säkerhetsarbetet och för att förbättra verkställighetsplaneringen, har även underrättelseverksamheten i frivården byggts ut.
Förändringarna i Kriminalvårdens verksamhet ställer på olika sätt ökade krav på en modern registerlagstiftning.
6. En delvis omodern lagstiftning
6.1. Den nuvarande regleringen skapar onödiga hinder
Dataskyddsreformen genomfördes i syfte att stärka den personliga integriteten. Reformen resulterade i en brottsdatalag som värnar det intresset och som tydligt reglerar när personuppgifter får respektive inte får behandlas. Vad som utgör en personuppgift och alltså frågan om vilka uppgifter som får behandlas med stöd av regelverket, framgår av brottsdatalagens definition av personuppgifter.
Genom dataskyddsreformen anpassades Kriminalvårdens dåvarande lag till brottsdatalagen, vilket innebar en kraftig omarbetning. Flertalet paragrafer upphävdes eller ändrades. Lagen delades in i kapitel på samma sätt som övriga registerlagar inom brottsdatalagens område och de grundläggande bestämmelserna om säkerhetsregistret, som fram till dess hade reglerats i förordning, togs av integritetsskäl in i lagen. Kriminalvårdens brottsdatalag fick genom det en modernare utformning och en struktur som liknar övriga registerlagars.
Det tidigare lagstiftningsärendet inrymde emellertid inte en materiell översyn av den då gällande förordningen, utan utredningens uppdrag var begränsat till att anpassa registerförfattningarna till brottsdatalagen. Till skillnad från övriga myndigheter i rättskedjan, regleras således alltjämt väsentliga delar av Kriminalvårdens personuppgiftsbehandling i förordning. Det gäller exempelvis det centrala kriminalvårdsregistret.
Kriminalvårdens brottsdataförordning har till följd av det alltjämt en omodern struktur, som avviker från den som gäller för övriga myndigheter i rättskedjan. Förordningen bygger på en detaljerad uppräkning av vilka uppgifter som får behandlas för olika personkategorier. Sådan reglering bygger på ett förlegat synsätt på personuppgiftsbehandling och utgår från äldre tekniska möjligheter. Det
En delvis omodern lagstiftning Ds 2023:21
kan även ifrågasättas om förordningens systematik är förenlig med dataskyddsdirektivet, enligt vilket det är syftet med behandlingen som avgör om en personuppgiftsbehandling är tillåten.
Förordningen är en svårtillämpad och snårig lagstiftning. Den kan leda till att en behandling av personuppgifter är tillåten enligt de rättsliga grunderna i brottsdatalagen och i Kriminalvårdens brottsdatalag, men otillåten enligt de detaljerade bestämmelserna i Kriminalvårdens brottsdataförordning. Till det kommer att förordningens struktur medför att ändringar i påföljdssystemet nära nog alltid måste följas av ändringar i Kriminalvårdens brottsdataförordning.
6.2. Viss reglering borde finnas i lag
Enligt 2 kap. 6 § andra stycket regeringsformen har var och en gentemot det allmänna ett skydd mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av personliga förhållanden. Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt som åtgärden har. Enligt 2 kap.20 och 21 §§regeringsformen kan inskränkningar i skyddet enbart göras genom lag och bara för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle.
Konstitutionsutskottet har i flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och särskilt känsligt innehåll ska regleras särskilt i lag (se bl.a. bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 48). Som utredningen och regeringen konstaterade redan i lagstiftningsärendet rörande brottsdatalagen bör såväl det centrala kriminalvårdsregistret som säkerhetsregistret med hänsyn till antalet registrerade och karaktären av de uppgifter som registreras i dessa regleras i lag (se SOU 2017:74 s. 562 och prop. 2017/18:269 s. 258, jfr Behandling av personuppgifter inom kriminalvården, prop. 2000/01:126, s. 21).
Genom dataskyddsreformen lyftes säkerhetsregistret in i lag. Den tidigare utredningen gjorde bedömningen att det även fanns ett behov av att se över regleringen av det centrala kriminalvårdsregistret. I förarbetena konstaterades att en sådan översyn skulle kräva ytterligare analyser bl.a. på grund av att regleringen av vilka uppgifter
Ds 2023:21 En delvis omodern lagstiftning
som får föras i registret är svåröverskådlig och att behovet av registrering och informationsutbyte behöver analyseras närmare. Det var något som inte lät sig göras inom ramen för det lagstiftningsärendet (se prop. 2017/18:269 s. 258).
6.3. Utökad användning av fotboja ställer nya krav
6.3.1. Kort om fotboja
Intensivövervakning med elektronisk kontroll, även kallad fotboja, är ett alternativt sätt att avtjäna fängelsestraff som omfattar högst sex månader. I korthet innebär verkställigheten att klienten avtjänar sitt fängelsestraff i hemmet och intensivövervakas med hjälp av en elektronisk fotboja.
Kriminalvården beslutar om ett fängelsestraff ska verkställas med fotboja utanför anstalt enligt 2 § och 9 § lagen (1994:451) om intensivövervakning med elektronisk kontroll (IÖVL). För verkställigheten gäller strikta former. Enligt 3 § IÖVL gäller förbud för den dömde att vistas utanför bostaden annat än på särskilt angivna tider och för i förväg bestämda ändamål såsom förvärvsarbete, utbildning eller vård. Efterlevnaden av förbudet ska kontrolleras med elektroniska hjälpmedel. I förarbetena konstateras det att Kriminalvården bör ha fria händer att utforma den elektroniska kontrollen på effektivaste och billigaste sätt (se Försöksverksamhet med intensivövervakning med elektronisk kontroll, prop. 1993/94:184 s. 27). Bestämmelsens ordalydelse hindrar således inte att annan, mer utvecklad, teknik används för att kontrollera verkställigheten.
Under den tid som den dömde avtjänar straffet gäller enligt 4 § IÖVL ett allmänt skötsamhetskrav och krav på nykterhet och annan drogfrihet. Den dömde är enligt 4 § andra stycket IÖVL i regel skyldig att underkasta sig provtagning för kontroll av drogfrihetskravet under tiden som övervakningen pågår. Frivården gör oanmälda hembesök för att kontrollera att den dömde är på plats och inte är påverkad av alkohol eller andra beroendeframkallande medel.
Vid verkställighet utanför anstalt ska Kriminalvården enligt 13 § IÖVL besluta om särskilda föreskrifter enligt 8 § IÖVL. Föreskrifterna ska bl.a. gälla vilken bostad den dömde ska ha under verkställighetstiden och under vilka tider och för vilka ändamål den dömde får vistas utanför bostaden. Kriminalvården får också besluta sär-
En delvis omodern lagstiftning Ds 2023:21
skilda föreskrifter som avser läkarvård, nykterhetsvård eller annan vård eller behandling eller deltagande i särskilt anordnade program eller verksamheter som med hänsyn till den dömdes förhållanden framstår som lämpliga.
Sedan den 1 oktober 2022 får Kriminalvården även meddela särskilda föreskrifter om förbud för den dömde att vistas på en särskilt angiven plats eller inom ett särskilt angivet område, ett så kallat vistelseförbud. Det finns möjlighet att använda elektroniska hjälpmedel för att kontrollera att en sådan föreskrift följs. Elektroniska hjälpmedel får således användas för att kontrollera att den dömde deltar i sådan programverksamhet som har bedömts lämplig för honom eller henne och att han eller hon efterlever ett vistelseförbud.
Vid all användning av tvingande åtgärder som innebär övervakning eller ingrepp i den enskildes rörelsefrihet måste proportionalitetsprincipen beaktas både vid beslut om åtgärden och vid kontroll av efterlevnaden. Proportionalitetsprincipen gäller även utan särskild reglering, se 5 § förvaltningslagen (2017:900). Om en mindre ingripande åtgärd är tillräcklig, t.ex. ett telefonsamtal till anordnaren av verksamheten för att kontrollera att den dömde deltar i ett behandlingsprogram, ska den användas i stället.
6.3.2. Den tekniska utvecklingen
Rent tekniskt går intensivövervakning med fotboja till på det sättet att den övervakade bär en elektronisk sändare runt fotleden som står i kontakt med en mottagare som installeras i den dömdes bostad. Mottagaren har en räckvidd på cirka 25–45 meter och registrerar den dömdes närvaro. När den dömde avlägsnar sig utanför mottagarens räckvidd bryts kontakten och ett larm går till en centraldator. När den övervakade enligt upprättat schema ska befinna sig på sin arbetsplats eller i annan sysselsättning kontrolleras närvaron där genom personliga besök eller signalpejling i närheten av platsen. Övervakningen görs alltså genom radioteknologi.
Den tekniska utvecklingen innebär att det numera finns goda möjligheter till effektiv elektronisk övervakning genom positioneringsteknik, som t.ex. gps (Global Positioning System). Gps är ett satellitnavigationssystem för bestämning av positioner med mycket stor noggrannhet. Tillgången till sådan teknik gör det möjligt att i
Ds 2023:21 En delvis omodern lagstiftning
realtid eller i efterhand följa hur den övervakade förflyttar sig. Fördelen med gps-tekniken är att den elektroniska övervakningen kan äga rum även utomhus och på andra ställen än i hemmet, förutsatt att det finns satelliter eller trådlösa nätverk som kan ge positionsbestämning. Med hjälp av gps-tekniken kan särskilda zoner anges som den övervakade antingen måste hålla sig inom (tvingande zoner) eller inte får beträda (uteslutande zoner). Tekniken kan således tillhandahålla en högre grad av säkerhet i övervakningen.
Nästa generations fotbojor som Kriminalvården nu inför kan fungera som en traditionell fotboja med radioteknologi men har också kompletterats med gps. Det finns således en mottagare i fotbojan som kan ta emot satellitsignaler och som räknar om signalerna till en position. I praktiken betyder det att Kriminalvården kan få en position på en person som bär fotboja överallt, så länge den dömde är ute i det fria.
6.3.3. När används fotboja inom Kriminalvården?
Som alternativ till korta fängelsestraff
Av 1 § IÖVL framgår att lagen endast är tillämplig vid verkställighet av domar på fängelse om högst sex månader. Lagen gäller dock inte sådant fängelse som dömts ut tillsammans med skyddstillsyn enligt 28 kap. 3 § brottsbalken. I och med att det ska vara fråga om en dom på fängelse utesluts även t.ex. beslut om förvandlingsstraff avseende böter enligt 15 § bötesverkställighetslagen (1979:189) och förverkande av villkorligt medgiven frihet som beslutats av övervakningsnämnd enligt 26 kap. 19 § andra stycket brottsbalken.
Det behöver inte vara fråga om ett enda utdömt straff. Flera domar på korta fängelsestraff kan verkställas med fotboja om den sammanlagda verkställighetstiden inte överstiger sex månader. Förverkande av villkorligt medgiven frihet genom dom omfattas också. Det kan även vara fråga om en kombination av utdömt fängelsestraff och ett sådant förverkande. Det avgörande är den sammanlagda strafftiden som ska verkställas.
En delvis omodern lagstiftning Ds 2023:21
Under fängelsetiden
Det finns möjlighet att övervaka intagna elektroniskt under tiden de verkställer ett fängelsestraff i anstalt. Den möjligheten betraktas som en säkerhetshöjande åtgärd (prop. 2009/10:135 s. 70 f.). Sådan övervakning äger rum med stöd av regleringen i 2 kap. 1 § fängelselagen enligt vilken en intagen får underkastas viss övervakning och kontroll för att ordningen eller säkerheten ska kunna upprätthållas. Att en intagen är skyldig att bära utrustning för elektronisk kontroll framgår av 1 kap. 23 § Kriminalvårdens föreskrifter och allmänna råd om fängelse (KVFS 2011:1).
I slutet av ett fängelsestraff, vid villkorlig frigivning och för att kontrollera föreskrifter vid skyddstillsyn
För att minska risken för att en intagen återfaller i brott eller för att på annat sätt underlätta för hans eller hennes anpassning i samhället får Kriminalvården enligt 11 kap. 1 § fängelselagen bevilja tillstånd till vistelse utanför anstalt genom en utslussningsåtgärd. För att Kriminalvården ska kunna utöva nödvändig kontroll av en beviljad utslussningsåtgärd, t.ex. utökad frigång, har myndigheten med stöd av 11 kap. 6 § fängelselagen möjlighet att använda elektroniska hjälpmedel för att säkerställa att den intagne inte vistas utanför bostaden annat än på bestämda tider.
Kriminalvården kan även fatta beslut om att använda elektronisk övervakning vid villkorlig frigivning och under verkställighet av skyddstillsyn för att kontrollera att en föreskrift följs (se 26 kap. 17 § och 28 kap. 6 §brottsbalken, Förstärkta återfallsförebyggande åtgärder vid villkorlig frigivning, prop. 2018/19:77, s. 27 f. och 63 och Utökade kontroll- och stödmöjligheter avseende skyddstillsyndömda, prop. 2020/21:85, s. 54 f.). Ett beslut om elektronisk övervakning bör normalt endast komma i fråga för föreskrifter avseende vistelseort eller boende. Tiden för elektronisk övervakning ska bestämmas efter omständigheterna i det enskilda fallet och med beaktande av proportionalitetsprincipen.
Ds 2023:21 En delvis omodern lagstiftning
Vid ungdomsövervakning
Den som har begått brott innan han eller hon har fyllt arton år kan dömas till ungdomsövervakning enligt 32 kap. 3 a § brottsbalken. Under verkställigheten gäller vissa inskränkningar i rörelsefriheten. Kontrollen av att inskränkningarna efterlevs ska enligt 19 § lagen (2020:616) om verkställighet av ungdomsövervakning göras med elektroniska hjälpmedel, om inte särskilda skäl talar emot det.
Inte ett alternativ till häktning
I dag saknas möjligheter att använda elektronisk övervakning som alternativ till häktning. I betänkandet Färre i häkte och minskad isolering (SOU 2016:52) föreslogs bl.a. att s.k. hemarrest och områdesarrest skulle införas som nya alternativ till häktning. Enligt förslaget skulle Kriminalvården då kunna övervaka den misstänkte elektroniskt. Betänkandet har beretts inom Regeringskansliet men förslagen om hemarrest och områdesarrest behandlades inte i den proposition som behandlade betänkandet. Regeringen konstaterade att den inte avsåg att gå vidare med förslaget (Effektivare hantering av häktningar och minskad isolering, prop. 2019/20:129, s. 16).
6.3.4. Kan tillämpningsområdet utvidgas?
Kriminalvården lämnade i juli 2019 in en framställning till Justitiedepartementet med förslag som i huvudsak syftade till att öka förutsättningarna för dömda att avtjäna fängelsestraff med fotboja och därigenom minska beläggningsgraden i fängelserna.15 Framställningen ledde till vissa förändringar i regelverket om verkställighet av fängelse med fotboja (se Ökad kontroll vid verkställighet av fängelse med fotboja, prop. 2021/22:196). Syftet med ändringarna var att göra Kriminalvårdens handläggning av ärenden som rör verkställighet med fotboja mer effektiv och öka möjligheterna för dömda att verkställa sitt straff på det sättet.
I framställningen föreslog Kriminalvården att tillämpningsområdet skulle utvidgas till verkställighet av fängelsestraff med en straff-
15 Framställan om utökad tillämpning av intensivövervakning med elektronisk kontroll m.m., Ju2019/02420.
En delvis omodern lagstiftning Ds 2023:21
tid under ett år. Frågan behandlades emellertid inte i den promemoria som utarbetades av Justitiedepartementet16 och som en följd av det inte heller i propositionen (prop. 2021/22:196 s. 11). Justitiedepartementet har avslutat ärendet.
Fotboja med positioneringsteknik tillhandahåller en högre grad av säkerhet i övervakningen och ger bättre förutsättningar att hantera risker. Tekniken innebär således att Kriminalvården kan öka möjligheterna till kriminalvård under friare former för fler dömda personer. Frågan i vilken ytterligare utsträckning fotboja kan användas för att minska beläggningsgraden på landets anstalter ligger emellertid utanför utredningens uppdrag.
6.3.5. Nykterhetskontroll vid fotboja
Ansiktsigenkänning och alkoholmätare
För den som har fotboja gäller nolltolerans mot alkohol och droger. Verkställigheten innebär bl.a. oanmälda kontrollbesök där den dömde får genomföra utandningsprov för att Kriminalvården ska kunna kontrollera nykterheten. Stödet för att använda elektroniska hjälpmedel finns i 4 § andra stycket IÖVL.
Det konstaterades redan i lagstiftningsarbetet som låg till grund för införandet av intensivövervakning med elektronisk kontroll, först som försöksverksamhet, att en kontroll av att den dömde inte bryter mot drogförbudet genom alkoholkonsumtion kan anordnas med elektroniska hjälpmedel. Det fanns då förslag om olika tekniska lösningar, av vilka installation av en anordning för mätning av alkoholhalten i utandningsluften var en. Vilken kontrollform som var lämpligast, personlig eller elektronisk, överlämnade statsmakterna åt Kriminalvårdsstyrelsen17 att avgöra, se prop. 1993/94:184 s. 24.
Det har under de senaste åren utvecklats teknik som ger helt nya möjligheter att säkert identifiera en person, exempelvis genom ansikts- och röstigenkänning. Den nya generationen av fotbojor, som kan kombineras med alkoholmätare och som levereras med en smartphone, ger nya förutsättningar för Kriminalvården att kontrollera nykterheten. En teknisk lösning för att genomföra en sådan
16 Effektivare förfarande och utökad kontroll vid verkställighet av fängelsestraff med fotboja, Ju2020/04109. 17 Den centrala förvaltningsmyndigheten för de lokala kriminalvårdsmyndigheterna och transporttjänsten fram till år 2006, när Kriminalvården blev en myndighet.
Ds 2023:21 En delvis omodern lagstiftning
nykterhetskontroll kan vara att telefonen fotograferar klienten när denne blåser i alkoholmätaren. Genom användning av ett ansiktsigenkänningsprogram kan därmed identifieringen av att det är den dömde som gör utandningsprovet säkras. Med sådan teknik kan Kriminalvården på ett mycket resurseffektivt sätt genomföra nykterhetskontroller. Tekniken kan också fungera som ett stöd för den dömde. Den dömde bör kontrolleras rutinmässigt och sådan kontroll kan läggas som slumpmässighet i systemet.
Ansiktsigenkänning i andra fall
Biometri skulle även kunna användas för att möjliggöra säkrare identifiering vid förflyttning av en intagen inom en kriminalvårdsanstalt eller mellan anstalter. Det finns andra lagstiftningar som behandlar biometri. Migrationsverket, Polismyndigheten och utlandsmyndigheterna får exempelvis enligt 14 och 15 §§utlänningsdatalagen (2016:27) behandla känsliga personuppgifter i form av fingeravtryck och fotografier om uppgifterna är absolut nödvändiga för att t.ex. kontrollera utlänningar under vistelsen i Sverige eller för viss testverksamhet inom lagens tillämpningsområde. Enligt artikel 5.3 i förordningen om Ecris-TCN, som är direkt tillämplig i Sverige, får vidare bl.a. en dömd tredjelandsmedborgares ansiktsbild samlas in och lagras i en medlemsstat, om den dömande medlemsstatens rätt tillåter att dömda personers ansiktsbilder samlas in och lagras (se närmare om Ecris-TCN i avsnitt 8.7.3). Ansiktsbilder får enligt artikel 6 än så länge endast användas för att bekräfta identiteten hos en sådan medborgare som har identifierats som ett resultat av en alfanumerisk sökning eller en sökning med hjälp av uppgifter om fingeravtryck. Enligt skäl 24 bör det dock i framtiden vara möjligt att använda ansiktsbilder för automatiserad biometrisk matchning, förutsatt att de tekniska och politiska kraven är uppfyllda. Kommissionen kan därför med stöd av artikel 6 komma att komplettera förordningen när det gäller sådan användning av ansiktsbilder, jfr artikel 10.1 d.
En delvis omodern lagstiftning Ds 2023:21
6.4. Lagstiftningen behöver komma i kapp tekniken
Som framgår ovan har tekniken utvecklats snabbare än lagstiftningen. Teknik och juridik är två olika discipliner som behöver mötas i ett modernt samhälle.
Till följd av teknikutvecklingen har lagstiftaren bl.a. infört bestämmelser som ger Kriminalvården möjlighet att använda positioneringsteknik för att kontrollera efterlevnaden av vissa föreskrifter vid elektronisk övervakning. En sådan bestämmelse finns i 8 § andra stycket IÖVL. Det är emellertid inte självklart att rätten att använda sådan teknik ger möjlighet att också lagra och behandla sådana personuppgifter som skapas vid användning av moderna positioneringssystem.
Redan tidigare har det konstaterats att Kriminalvården inom en snar framtid kommer att behöva kunna använda biometriska uppgifter (se SOU 2017:74 s. 558). När automatiserad teknik används för att avgöra om en påstådd identitet är riktig, exempelvis när ett fotografi bearbetas i ett ansiktsigenkänningsprogram, omfattas behandlingen av bestämmelserna om biometri och anses därmed utgöra känsliga personuppgifter.
Kriminalvården är en av de myndigheter som får behandla biometriska uppgifter i den utsträckning som brottsdatalagen tillåter. Det framgår av 2 kap. 12 § brottsdatalagen och 2 kap. 3 § Kriminalvårdens brottsdatalag. Sådana uppgifter får således behandlas om det är absolut nödvändigt för ändamålet med behandlingen.
Enligt 2 kap. 12 § brottsdatalagen krävs det emellertid även att behandling av biometriska uppgifter ska vara särskilt föreskriven. Behandling av biometriska uppgifter förutsätter således att Kriminalvårdens författningar innehåller bestämmelser om i vilket syfte, i vilken utsträckning och hur länge sådana uppgifter får behandlas. För att kunna genomföra en nykterhetskontroll med ansiktsigenkänningsprogram vid fotboja, behöver Kriminalvården exempelvis få tillåtelse att samla in och behandla ansiktsbilder och biometriska uppgifter för det syftet. Dessutom behövs bestämmelser om hur länge sådana uppgifter får behandlas.
Det finns ett riksdagsbeslut att införa en 8 a § i IÖVL enligt vilken Kriminalvården, vid verkställighet utanför anstalt av en dom på fängelse i sex månader, ska förelägga den dömde att lämna fingeravtryck. Det gäller emellertid bara om den dömdes fingeravtryck inte
Ds 2023:21 En delvis omodern lagstiftning
redan finns i det fingeravtrycksregister som förs av Polismyndigheten enligt lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område (polisens brottsdatalag). Bestämmelsen träder i kraft den dag som regeringen bestämmer.
6.5. Samhällsförändringar kräver nya möjligheter att behandla personuppgifter
Förutsättningarna för verksamheten på häkten och kriminalvårdsanstalter har förändrats avsevärt de senaste åren. Den ökade beläggningen i anstalt bedöms främst bero på ett ökat inflöde och längre strafftider.18 Ändringarna i påföljdssystemet men även i brottslighetens karaktär innebär vidare att de som verkställer fängelsestraff i anstalt i dag generellt sett avtjänar straff för tyngre kriminalitet än förr. Kriminalvården måste även ta större hänsyn än tidigare till sådana faktorer som organiserad brottslighet och tillhörighet till olika kriminella grupperingar.
Organiserad brottslighet är ett allvarligt samhällsproblem som berör hela samhället och är en av rättsväsendets största utmaningar. Både enskilda och olika samhällsinstitutioner blir drabbade av den. En svårighet när det gäller att bekämpa organiserad brottslighet är att den ofta har en komplex struktur och är föränderlig. Den förändras på det sättet att nya tillvägagångssätt och metoder används inom befintliga brottsstrukturer och att nya typer av brott begås. Brottsligheten anpassas också till lagstiftningen och myndigheternas kontrollsystem genom att svagheter och luckor i dem utnyttjas.
Av polisens rapport om organiserad brottslighet år 2015 och Nationella underrättelsecentrets myndighetsgemensamma lägesbild om organiserad brottslighet år 2018–2019 respektive 2021 framgår bl.a. följande. Den organiserade brottsligheten bedrivs i huvudsak i olika typer av nätverk. Personerna har olika roller i brottsligheten. Lojalitet och kompetens är två viktiga förutsättningar för att de kriminella aktörerna ska kunna genomföra de brottsupplägg som är vanliga inom nätverken. Lojaliteten kan vara grundad på gemensam tillhörighet till en avgränsad definierad grupp, ofta med gemensamma symboler och kännetecken. Släktskap och gemensam uppväxt kan också borga för lojalitet vid organiserad brottslighet. Territoriell
18 Kriminalvårdens budgetunderlag 2022 s. 7.
En delvis omodern lagstiftning Ds 2023:21
samhörighet utgör en ytterligare grund för lojalitet inom ett nätverk. Dessutom finns det andra typer av aktörer och lojalitet inom organiserad brottslighet. Kompetensen som krävs kan, om den inte finns hos kärnan i nätverket, införskaffas genom olika experter och möjliggörare som med olika incitament, främst ekonomiska, bidrar till brottsligheten. Rörligheten mellan de kriminella grupperingarna ökar emellertid och organiserad brottslighet begås även av aktörer i löst sammansatta nätverk, där vissa relationer och kontakter består och andra byts ut vid behov. Aktörerna ägnar sig åt flera olika typer av brott och denna s.k. multikriminalitet är sannolikt en av faktorerna till varför kriminell samverkan bedöms äga rum mer och mer utanför tidigare fasta strukturer. Multikriminaliteten är ett sätt att sprida riskerna och att öka möjligheterna till brottsvinster.
Den organiserade brottsligheten får allt tydligare kopplingar till företag. Det handlar inte bara om brottslighet som drabbar företagare, utan även om att legal och illegal verksamhet blandas i företag som drivs av kriminella. Av Nationella underrättelsecentrumets myndighetsgemensamma lägesbild år 2018–2019 respektive 2021 framgår att företag bedöms i ökande utsträckning användas för att begå brott mot staten, privata företag eller enskilda personer, att kriminella individer som har förmåga och kapacitet att använda företag för olika brottsliga ändamål bedöms öka i antal och att utvecklingen har medfört en växande marknad för oseriös bolagsförmedling. Myndigheter och företag utsätts vidare för korruption, infiltration och otillåten påverkan.
Samhällsförändringarna innebär att Kriminalvårdens registerförfattningar kan behöva uppdateras, trots att delar av lagstiftningen är förhållandevis ny. Framför allt kan regleringen om säkerhetsregistret behöva ses över så att det fungerar som ett effektivt verktyg i Kriminalvårdens verksamhet. Den ökade gängkriminaliteten, förekomsten av lösa nätverk, där medlemmarna från tid till annan begår brott tillsammans, och de allt vanligare angreppen på personer som ses som konkurrenter i den brottsliga verksamheten gör att Kriminalvården behöver kunna behandla fler uppgifter om personer som kan innebära ett säkerhetshot mot Kriminalvården och dess personal eller mot intagna.
Ds 2023:21 En delvis omodern lagstiftning
6.6. Samarbetet mot den organiserade brottsligheten
6.6.1. Det myndighetsgemensamma arbetet
Det är sedan länge en självklar princip att myndigheter är skyldiga att samarbeta och bistå varandra i den utsträckning det är möjligt. Principen kommer bl.a. till uttryck i 8 § förvaltningslagen. Sådant samarbete kan vara mer eller mindre formaliserat. Det förekommer samarbeten i allt från tydliga och långsiktiga samverkansstrukturer till tillfälliga bilaterala kontakter mellan olika myndigheter. Det är naturligt och nödvändigt att de brottsbekämpande myndigheterna samarbetar på olika sätt för att bekämpa brottslighet.
Regeringen gav år 2009 tolv svenska myndigheter, varav några myndigheter inom rättsväsendet, i uppdrag att samverka mot den grova och organiserade brottsligheten. Sedan den 31 mars 2020 finns uppdraget inskrivet i berörda myndigheters instruktioner. För Kriminalvårdens del regleras uppgiften i 2 § tredje stycket kriminalvårdsinstruktionen.
Myndigheterna som i dag ingår i samverkan är Arbetsförmedlingen, Ekobrottsmyndigheten, Försäkringskassan, Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, Migrationsverket, Polismyndigheten, Skatteverket, Säkerhetspolisen, Tullverket och Åklagarmyndigheten. Det är således såväl myndigheter med brottsbekämpande uppgifter som andra myndigheter. Ytterligare nio myndigheter medverkar som nätverksmyndigheter. De är Arbetsmiljöverket, Bolagsverket, Centrala studiestödsnämnden, Finansinspektionen, Inspektionen för vård och omsorg, Pensionsmyndigheten, Statens Institutionsstyrelse, Transportstyrelsen och Länsstyrelsen i Stockholms län, som samordnar övriga länsstyrelser i arbetet.
6.6.2. Samarbetet äger rum i underrättelsefasen
Myndigheternas informationsutbyte inom den nationella satsningen mot organiserad brottslighet äger till största delen rum i underrättelsefasen, dvs. innan det är fråga om att utreda eller beivra ett visst konkret brott. Underrättelsearbetet handlar om att samla in, bearbeta och analysera information för att förhindra eller upptäcka brottslig verksamhet när det ännu inte finns konkreta misstankar om att ett visst brott har begåtts.
En delvis omodern lagstiftning Ds 2023:21
I underrättelsearbetet behandlas information om vissa personer eller om vissa företeelser och fenomen. För att få en bild av den brottsliga verksamheten och personerna som tros ligga bakom den, kan uppgifter behöva samlas in från olika myndigheter. Svårigheterna för myndigheterna rör i huvudsak utlämnande av uppgifter som var för sig inte är av så stor betydelse men som tillsammans med andra uppgifter bedöms vara det. Inom den befintliga myndighetssamverkan utbyts exempelvis uppgifter om strategiska personer. Med strategiska personer avses personer som utifrån den gemensamma strategiska inriktningen bedöms vara viktigare än andra att samla information om. De är ofta huvudmän för en viss brottslighet och står bl.a. för planering och organisation. Beträffande sådana personer och deras närmaste medhjälpare är utgångspunkten att vidta olika åtgärder i syfte att reducera personernas kriminella förmåga och därmed det samhällshot som personerna bedöms utgöra.
De uppgifter som exempelvis kan komma att utbytas rörande en strategisk person är uppgifter om sysselsättning, tillgångar, bidrag av olika slag, relationer och släktskap. Uppgifter av den karaktären kan vara viktiga för att få en samlad bild över deltagande i eller kopplingar till brottslig verksamhet.
Det huvudsakliga informationsutbytet i det myndighetsgemensamma arbetet äger rum mellan de brottsbekämpande myndigheterna. När det gäller de icke brottsbekämpande myndigheternas delaktighet i samverkan och informationsutbytet kan man lite förenklat säga att de, genom att få del av information om olika företeelser och strategiska personer, varnas och ges möjlighet att inrikta sin verksamhet. Informationen kan föranleda myndigheten att göra undersökningar och kontroller och vidta åtgärder inom ramen för sitt respektive uppdrag och regelverk.
De icke brottsbekämpande myndigheterna kan bidra med information från sina respektive verksamheter som behövs i den brottsbekämpande verksamheten. Ofta rör det sig om uppgifter om vistelseadress, inkomstuppgifter etc., men även mer känslig information kan vara av betydelse. Exempelvis att en person som tillhör ett visst kriminellt nätverk har börjat umgås med en person som tillhör ett annat kriminellt nätverk.
Ds 2023:21 En delvis omodern lagstiftning
6.6.3. Rättsligt stöd för informationsutbytet
Utbyte av information är en av de grundläggande förutsättningarna för ett väl fungerande samarbete mellan myndigheter. För att myndigheter ska kunna utbyta information krävs dels att informationen inte omfattas av sekretess eller att sekretessen kan brytas, dels att bestämmelser om behandling av personuppgifter i myndigheternas registerförfattningar ger stöd för att uppgifter lämnas ut. Det sistnämnda beror på att informationen normalt behandlas automatiserat.
Lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet trädde i kraft den 15 augusti 2016. Den infördes i syfte att förbättra samverkan och möjliggöra ett ökat informationsutbyte mellan de samverkande myndigheterna. Lagen består av tre paragrafer och kompletteras av några få bestämmelser i förordningen (2016:775) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet.
Enligt lagen ska de av regeringen utpekade myndigheterna, trots sekretess, lämna ut uppgifter som en annan myndighet behöver inom ramen för särskilt beslutad samverkan mellan myndigheter för att förebygga, förhindra eller upptäcka brottslig verksamhet som är av allvarlig eller omfattande karaktär och som bedrivs i organiserad form eller systematiskt av en grupp individer. Avsikten med formuleringen ”förebygga, förhindra eller upptäcka brottslig verksamhet” var att avgränsa tillämpningsområdet för myndigheternas uppgiftsskyldighet och samverkan till underrättelseverksamhet (se Informationsutbyte vid samverkan mot organiserad brottslighet, prop. 2015/16:167, s. 28). Brottsbekämpande verksamhet som inte direkt kan knytas till en konkret brottsutredning omfattas således av lagen, däremot omfattas inte samverkan som avser att utreda och lagföra brott. För sådan samverkan finns det i stället sekretessbrytande bestämmelser, bl.a. 10 kap.21–24 §§offentlighets- och sekretesslagen, som gör det lättare för myndigheterna att utbyta information.
Genom lagen om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet åläggs deltagande myndigheter alltså en sekretessbrytande uppgiftsskyldighet. Uppgifter kan lämnas efter förfrågan men också spontant, om myndigheten vet vilka uppgifter en annan myndighet behöver. I de flesta fall torde behovet av information väckas i ett pågående projekt och därmed föregås av en dis-
En delvis omodern lagstiftning Ds 2023:21
kussion mellan de berörda myndigheterna om behovet av och lämpligheten i att lämna ut viss information. En utgångspunkt är att en uppgift ska lämnas ut om den mottagande myndigheten behöver uppgiften inom ramen för samverkan. En intresseavvägning ska dock göras av den utlämnande myndigheten och en uppgift ska inte lämnas ut om övervägande skäl talar för att det intresse som sekretessen ska skydda har företräde framför intresset av att uppgiften lämnas ut.
Kriminalvården har framhållit att de nuvarande registerförfattningarna inte ger myndigheten tillräcklig möjlighet att registrera uppgifter som de får från samarbetet eller som de vill lämna till andra som medverkar i samarbetet.
6.6.4. Kriminalvårdens brottsförebyggande arbete
Kriminalvården bedriver viss underrättelseverksamhet
Underrättelseverksamhet är i många avseenden inte lika reglerad som annan verksamhet. De myndigheter som bedriver underrättelseverksamhet har som regel ålagts den uppgiften i författning. Det gäller dock inte alla myndigheter.
Kriminalvårdens kärnverksamhet är enligt 1 § kriminalvårdsinstruktionen att verkställa utdömda påföljder, bedriva häktesverksamhet och utföra personutredningar i brottmål. Det brottsförebyggande uppdrag som Kriminalvården har är begränsat. Enligt 2 § andra stycket kriminalvårdsinstruktionen ska Kriminalvården bl.a. särskilt vidta åtgärder som syftar till att brottslighet under verkställigheten förhindras och att narkotikamissbruket bekämpas.
Arbetet med att förhindra att den som verkställer straff begår brott är enligt utredningens mening en viktig del i straffverkställigheten. Fokus är att förhindra både att brott planeras eller begås under verkställigheten och att de dömda återfaller i brott senare. Andra viktiga frågor är att förhindra att narkotika förekommer på häkten och i kriminalvårdsanstalter och att hindra rymning och fritagning. För att kunna fullgöra dessa arbetsuppgifter krävs att Kriminalvården bl.a. bedriver underrättelseverksamhet.
Enligt 2 § första stycket kriminalvårdsinstruktionen ska Kriminalvården verka för att påföljder verkställs på ett säkert, humant och effektivt sätt. Placeringen av fängelsedömda och kontrollen av deras
Ds 2023:21 En delvis omodern lagstiftning
kontakter med omvärlden är två saker som har direkt betydelse för säkerheten på en anstalt. Som en del i det säkerhetsarbetet behöver Kriminalvården också bedriva underrättelseverksamhet. Kriminalvården behöver även bedriva underrättelseverksamhet för att garantera säkerheten vid verkställighet av andra påföljder som verkställs inom Kriminalvården. Det krävs t.ex. för att säkerställa att dömda personer inte tillåts genomföra samhällstjänst eller utslussningsåtgärder på företag som drivs eller kontrolleras av kriminella.
Rättslig grund för att behandla personuppgifter i underrättelsesyfte
Kriminalvården har i dag sällan rättslig grund att behandla personuppgifter som myndigheten får del av genom det myndighetsgemensamma samarbetet mot den organiserade brottsligheten. Det beror bl.a. på att det i huvudsak är underrättelseinformation som delas och att Kriminalvården enbart får behandla personuppgifter som rör deras klienter. Kriminalvårdens möjlighet att behandla personuppgifter i syfte att förebygga, förhindra eller upptäcka brott eller brottslig verksamhet är vidare begränsad till sådan behandling som äger rum vid verkställighet av häktning eller straffrättsliga påföljder, se 2 kap. 1 § och 3 kap. 1 § 1 Kriminalvårdens brottsdatalag. Kriminalvården får inte heller behandla personuppgifter för att utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. Kriminalvården har dock viss möjlighet att behandla personuppgifter för dessa syften när myndigheten biträder andra behöriga myndigheter när de fullgör uppgifter för dessa syften.
7. Utgångspunkter för Kriminalvårdens nya lagstiftning
7.1. En verksamhet i förändring
Kriminalvårdens verksamhet är en spegel av samhället i stort. Samhällsförändringarna med växande gängkriminalitet, allt fler mycket unga personer som begår mycket allvarliga brott, släktbaserade och andra kriminella nätverk och många utländska medborgare som begår brott är endast en del av de förändringar som ställer stora krav på myndigheten. Dessutom har lagstiftningen på för Kriminalvården avgörande områden ändrats under senare år. Fler personer döms till längre fängelsestraff och fler är häktade på grund av ändrade straffskalor. Ändrade påföljdsregler påverkar även Kriminalvården på annat sätt.
Ökade krav på Kriminalvården ställer i sin tur högre krav på att myndigheten har effektiva verktyg. Möjligheten att behandla personuppgifter är en viktig del i arbetet. Den nuvarande regleringen av myndighetens personuppgiftsbehandling svarar emellertid inte mot de behov som Kriminalvården har i dag. Ett huvudskäl till det är en detaljerad förordningsreglering, som hindrar möjligheterna att behandla personuppgifter i den utsträckning som krävs och att kunna utveckla nya it-system.
7.2. En modernare personuppgiftsreglering krävs
Utredningens övergripande uppdrag är att göra en översyn av och uppdatera Kriminalvårdens registerförfattningar till en modern registerlagstiftning, som till struktur och innehåll i större utsträckning liknar registerförfattningar för andra myndigheter i rättskedjan.
Utgångspunkter för Kriminalvårdens nya lagstiftning Ds 2023:21
Inom ramen för uppdraget ska det bl.a. analyseras om det centrala kriminalvårdsregistret bör regleras i lag, om det behövs sekretessbrytande bestämmelser för att medge direktåtkomst till säkerhetsregistret och det centrala kriminalvårdsregistret och hur länge Kriminalvården bör få hantera olika personuppgifter.
I motsats till vad som varit fallet med övriga myndigheter som tillämpar brottsdatalagen gjordes inte någon genomgripande översyn av Kriminalvårdens personuppgiftsbehandling under 2000-talet, utöver de justeringar som följde med införandet av brottsdatalagen. Det har fått till följd att den del av regleringen som inte ändrades då är betydligt mer omodern, eftersom den bygger på hur personuppgiftsreglering utformades för närmare 25 år sedan. En avgörande fråga är därför om den nya regleringen bara bör bygga vidare på den personuppgiftsreglering som finns eller om den bör vara mer framåtsyftande.
Det är av central betydelse för tilltron till Kriminalvårdens arbete och till straffsystemet att frihetsberövanden och påföljder kan verkställas med högt ställda krav på säkerhet. Det väcker frågan om lagstiftningen i tillräcklig utsträckning tillåter Kriminalvården att använda nya tekniska möjligheter. Kriminalvården behöver vidare ha samma förutsättningar att behandla personuppgifter som andra myndigheter i rättskedjan för att underlätta samarbetet mot grov och organiserad brottslighet. Det innebär att det bör övervägas om en mer generell reglering av Kriminalvårdens personuppgiftsbehandling kan införas.
7.3. En modern lag och omodern förordning
Den del av Kriminalvårdens personuppgiftsbehandling som regleras i brottsdatalagen och Kriminalvårdens brottsdatalag uppfyller till största delen de krav som kan ställas på en modern lagstiftning. Den kan emellertid behöva uppdateras framför allt mot bakgrund av det försämrade säkerhetsläget. Däremot är, som tidigare nämnts, Kriminalvårdens brottsdataförordning föråldrad och utgör därmed ett betydande hinder. Den leder också till merarbete för lagstiftaren genom att det krävs ändringar i förordningen så snart påföljdssystemet ändras. Utgångspunkten för det fortsatta arbetet bör därför vara att den nuvarande förordningen ska ersättas med en ny, modernare för-
Ds 2023:21 Utgångspunkter för Kriminalvårdens nya lagstiftning
ordning, medan Kriminalvårdens brottsdatalag bör behållas men moderniseras i vissa avseenden.
En ny lagstiftning bör också ge Kriminalvården bättre förutsättningar att använda modern teknik i sitt verkställighetsarbete. I den mån resurskrävande kontroller kan ersättas med kontroll genom tekniska hjälpmedel behöver det övervägas vilka krav det ställer på lagstiftningen.
7.4. Höga krav på integritetsskydd
Det förhållandet att den nya lagstiftningen bör syfta till att Kriminalvården ska kunna behandla personuppgifter på ett modernare sätt innebär inte att några avkall bör göras på skyddet för enskildas integritet. Särskilt när det gäller häktade och andra intagna måste beaktas att det är fråga om tvångsåtgärder mot enskilda. Att någon är häktad eller verkställer en påföljd inom Kriminalvården anses vara integritetskänsliga uppgifter. Mot den bakgrunden måste även den nya regleringen uppfylla högt ställda krav på integritetsskydd.
En viktig del i integritetsskyddet är att se till att se till att frågor regleras på rätt författningsnivå. I dag regleras delar av Kriminalvårdens personuppgiftsbehandling på förordningsnivå, trots att regleringen borde finnas i lag. En given utgångspunkt är därför att sådana bestämmelser som normalt finns i lag ska finnas i lag även när det gäller Kriminalvårdens personuppgiftsbehandling.
8. Den framtida regleringen av det centrala kriminalvårdsregistret
8.1. Inledande synpunkter
8.1.1. Hur bör regleringen utformas?
I kapitel 5 och 6 har utredningen redovisat en rad problem som den nuvarande regleringen för med sig och som behöver övervägas. Det är framför allt den detaljerade och uttömmande regleringen i Kriminalvårdens brottsdataförordning av vilka uppgifter som får finnas i det centrala kriminalvårdsregistret som skapar praktiska problem. Den regleringen ställer också krav på att lagstiftaren snabbt följer upp eventuella förändringar i Kriminalvårdens arbetsuppgifter, för att nödvändig personuppgiftsbehandling ska ha rättsligt stöd.
I kapitel 7 anges vissa utgångspunkter för den nya regleringen. En första fråga är hur den framtida regleringen av det centrala kriminalvårdsregistret bör utformas för att på bästa sätt svara mot Kriminalvårdens behov samtidigt som enskildas integritet värnas.
En given utgångspunkt är att den nya regleringen – i motsats till den nuvarande – endast bör omfatta behandlingen av personuppgifter. Det utesluter naturligtvis inte att andra typer av uppgifter behandlas av Kriminalvården. Brottsdatalagen och de flesta registerförfattningar som kompletterar den lagen reglerar emellertid endast hur personuppgifter får behandlas. Detsamma bör gälla för Kriminalvårdens registerförfattningar. Det får sedan ankomma på Kriminalvården att avgöra hur andra typer av uppgifter som är nödvändiga för verksamheten bör hanteras i myndighetens it-stöd.
En annan utgångspunkt är att den nuvarande avvägningen mellan vad som regleras i lag respektive förordning behöver ses över, så att regleringen motsvarar de krav som numera ställs på omfattande behandling av personuppgifter. Vidare behöver det övervägas om reg-
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
leringen kan göras mer generell, så att den inte alltid behöver anpassas vid förändringar i annan för Kriminalvården relevant lagstiftning. Onödiga detaljregler bör också undvikas. Slutligen bör den nya regleringen så långt möjligt vara teknikneutral och tillhandahålla ett ändamålsenligt verktyg för Kriminalvården vid behandling av personuppgifter.
8.1.2. En omodern och opraktisk reglering
Bakgrund
En grundläggande fråga är om det behövs en särskild reglering av det centrala kriminalvårdsregistret eller om det bör överlämnas till Kriminalvården att – inom de ramar som anges i brottsdatalagen och den kompletterande lagstiftningen – själv avgöra hur och i vilken utsträckning personuppgifter som i dag finns i det registret bör behandlas.
Det centrala kriminalvårdsregistret har funnits sedan kriminalvårdens registerlagstiftning anpassades till regleringen i personuppgiftslagen (1998:204). Det nuvarande registret utgör det centrala verksamhetsstödet inom Kriminalvården. Det är emellertid inte, som namnet antyder, fråga om ett enda stort register där samtliga uppgifter samlas och finns tillgängliga för alla som har tillgång till registret. I stället är det fråga om ett större antal delsystem som är tekniskt sammankopplade så att uppgifter kan hämtas från de olika delsystemen. Beroende på behörigheter är olika delar av registret åtkomliga för olika kategorier av personal. Den som arbetar inom frivården har t.ex. behov av och tillgång till andra uppgifter i kriminalvårdsregistret än den som arbetar på ett häkte eller i en kriminalvårdsanstalt.
Kriminalvårdens nuvarande verksamhetsstöd
Enligt 16 § Kriminalvårdens brottsdataförordning ska Kriminalvården föra ett centralt kriminalvårdsregister över i princip alla som verkställer en påföljd inom Kriminalvården. Kriminalvården får enligt 6, 9, 12, 14 och 15 b §§ Kriminalvårdens brottsdataförordning också behandla personuppgifter i en journal. Regleringen av Krimi-
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
nalvårdens verksamhetsstöd ger intrycket att det centrala kriminalvårdsregistret, säkerhetsregistret och myndighetens journaler är tekniskt åtskilda.
För behandling av personuppgifter inom brottsdatalagens område använder Kriminalvården i huvudsak två verksamhetsstöd. Det största kallas kriminalvårdsregistret. Lite förenklat kan kriminalvårdsregistret sägas innehålla en samlad mängd uppgifter om en viss person som verkställer eller har verkställt en påföljd (inklusive förvandlingsstraff) inom Kriminalvården. Vidare innehåller registret samlade uppgifter om personer som är eller har varit häktade, men som inte har dömts till en sådan påföljd, och om personer som är eller varit föremål för personutredning i brottmål. De materiella reglerna om vilka uppgifter som behöver registreras finns i annan lagstiftning, bl.a. strafftidslagen, fängelselagen, häkteslagen och IÖVL. Kriminalvårdsregistret används för personuppgiftsbehandling, men det är samtidigt det verksamhetsstöd som Kriminalvården använder för att verkställa häktningar och påföljder på ett ändamålsenligt sätt. Registret innehåller därför såväl personuppgifter som en mängd andra uppgifter, som är nödvändiga för att Kriminalvården ska kunna utföra sitt uppdrag.
Kriminalvårdens andra verksamhetsstöd är säkerhetsregistret. Att myndigheten får föra ett säkerhetsregister framgår av 3 kap. 1 § kriminalvårdens brottsdatalag. Säkerhetsregistret är en särskild databas där Kriminalvården tillåts behandla uppgifter om personer som bedöms utgöra en säkerhetsrisk i Kriminalvårdens verksamhet. Många av uppgifterna som behandlas i säkerhetsregistret hämtas från kriminalvårdsregistret. Säkerhetsregistret behandlas i kapitel 9.
Kriminalvården har inget separat verksamhetsstöd för journaler utan journalföring görs, enkelt uttryckt, bl.a. i form av daganteckningar i kriminalvårdsregistret. Journal förs för häktade och för personer som är dömda till fängelse, skyddstillsyn, villkorlig dom med föreskrift om samhällstjänst och ungdomsövervakning. Kriminalvårdens skyldighet att föra journaler framgår av annan lagstiftning, bl.a. fängelseförordningen och häktesförordningen.
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
Kriminalvårdens synpunkter på den nuvarande regleringen
Kriminalvården har framhållit att det centrala kriminalvårdsregistret successivt har anpassats till ny teknik och nya rättsliga förutsättningar och att registret därför motsvarar dagens författningskrav. Myndigheten har lyft behovet av att inte bara kunna registrera fler uppgifter i det centrala kriminalvårdsregistret utan att i stället få en mer allmänt hållen, modern lagstiftning. Eftersom dagens reglering är knuten till vilken påföljd som ska verkställas, måste regelverket ändras varje gång påföljdssystemet ändras. Detsamma gäller om Kriminalvården får överta uppgifter från någon annan myndighet. Regleringen är vidare onödigt detaljerad. Även registrering av sådant som inte är personuppgifter regleras. Det gäller t.ex. uppgifter om detaljer i domar och beslut av domstolar eller inom Kriminalvården. Den nuvarande strukturen skapar en svårtillämpad lagstiftning, som emellanåt hindrar behandling av personuppgifter som annars skulle vara tillåten enligt brottsdatalagen och Kriminalvårdens brottsdatalag. Det framgår bl.a. av redovisningen i avsnitt 6.1. Kriminalvården har ifrågasatt om det bör finnas ett stort författningsreglerat register för den operativa verksamheten eller om den behandling av personuppgifter som förekommer i det centrala kriminalvårdsregistret bör regleras på något sätt som mera liknar den reglering som övriga myndigheter i rättskedjan har.
Många uppgifter samlas på ett ställe
Den nuvarande strukturen i Kriminalvårdens it-system har byggts upp under en lång tid (se bl.a. prop. 2000/01:126 s. 21 f.). Eftersom det som kallas kriminalvårdsregistret samtidigt utgör det huvudsakliga it-stödet i både anstalts- och häktesverksamheten och frivårdens verksamhet innehåller registret en stor mängd uppgifter och de rör såväl personuppgifter som andra uppgifter. Det är fråga om många personuppgifter. Uppgifterna rör i betydande utsträckning brott och brottslighet och är därför till stor del integritetskänsliga. Genom att uppgifterna får bevaras under förhållandevis lång tid efter det att verkställigheten av en påföljd eller häktning har upphört finns det uppgifter om ett mycket stort antal personer.
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
8.1.3. En ny generell och teknikneutral reglering
Utredningens bedömning: I stället för bestämmelser om det
centrala kriminalvårdsregistret bör kriminalvårdens brottsdatalag innehålla särskilda bestämmelser om behandling av uppgifter som görs eller har gjorts gemensamt tillgängliga.
Skälen för utredningens bedömning
Behövs det en särskild reglering av kriminalvårdsregistret?
Det som talar för att det behövs en särskild reglering av det centrala kriminalvårdsregistret är framför allt att registret dels rör integritetskänsliga personuppgifter, dels innehåller uppgifter om så många personer. Det finns, såvitt känt, inte några planer inom Kriminalvården på att myndigheten inom överskådlig tid ska byta ut den nuvarande it-strukturen rörande dem som verkställer påföljder eller annars hanteras inom Kriminalvården inom brottsdatalagens tillämpningsområde. Det kan därför förutses att de skäl som talar för en lagreglering kommer att kvarstå under överskådlig tid. Ett annat skäl för att lagreglera kriminalvårdsregistret är att en sammanhållen struktur av det slaget underlättar möjligheterna att exempelvis reglera Kriminalvårdens uppgiftslämnande till andra myndigheter och andra myndigheters uppgiftslämnande till Kriminalvården, eller att medge undantag från vissa krav i sekretesslagstiftningen. En tydligare reglering innebär också en rättssäkerhetsgaranti för den enskilde, som har rätt att kunna begära information om sin verkställighet.
Det som talar emot att införa en särskild reglering av det centrala kriminalvårdsregistret är att det, utöver grundlagskravet på att omfattande register bör lagregleras, inte finns något annat tydligt behov av ett sådant register. Dagens teknik medger andra lösningar än att samla all information i ett enda register. En lagreglering som förutsätter att det allra mesta av personuppgiftsbehandlingen i den operativa verksamheten i Kriminalvården regleras i ett enda register skulle vidare begränsa den framtida utvecklingen av Kriminalvårdens itsystem. Registerbegreppet har länge kritiserats, bl.a. för att det har en teknisk anknytning och eftersom dagens it-system normalt inte konstrueras som traditionella register (se prop. 2009/10:85 s. 126).
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
Som tidigare nämnts är det nuvarande it-stödet inte heller utformat som ett enda stort register.
Eftersom Kriminalvården alltjämt har behov av att behandla en stor mängd personuppgifter, som till betydande del är integritetskänsliga, bör behandlingen regleras i lag. Om det går att åstadkomma en reglering, som ger samma skydd för enskildas integritet, på annat sätt än genom att lagreglera det centrala kriminalvårdsregistret, bör enligt Kriminalvården den lösningen väljas.
Två tänkbara alternativ
Det står alltså mellan två tänkbara alternativ. Det ena är att lagreglera det centrala kriminalvårdsregistret och att ta in vissa kompletterande bestämmelser om bl.a. längsta tid för behandling och direktåtkomst i lag. Det andra alternativet är att skapa en helt ny reglering för Kriminalvårdens viktigaste it-stöd. Den regleringen bör då inte utgå från att behandlingen av personuppgifter äger rum i olika register eller databaser utan i stället ges en generell och teknikneutral utformning, som utgår från samma principer som lagstiftningen för flertalet övriga myndigheter i rättskedjan.
En möjlighet att skapa en alternativ reglering kan vara att göra skillnad mellan uppgifter som behandlas enbart av ett fåtal personer och sådana uppgifter som görs gemensamt tillgängliga för ett flertal. Det är en lösning som infördes genom polisdatalagen och som sedan fördes över till polisens brottsdatalag (se prop. 2009/10:85 s. 126 och prop. 2017/18:269 s. 162 f.). Bestämmelser om gemensamt tillgängliga uppgifter har också tagits in i andra myndigheters registerförfattningar, bl.a. Tullverkets, Skatteverkets och Kustbevakningens. En sådan reglering anger i vilka situationer som personuppgiftsbehandling är tillåten, men överlåter de tekniska formerna för behandlingen till myndigheterna själva.
En generell reglering i lag
Kriminalvårdens behov av att kunna behandla merparten av personuppgifter inom brottsdatalagens område motsvaras i princip av det som nu behandlas i det centrala kriminalvårdsregistret. Som framgått innebär det behandling av personuppgifter av sådan omfattning och
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
sådant slag att åtminstone huvuddragen av den reglering som krävs bör finnas i lag. Bestämmelserna om personuppgiftsbehandling i det centrala kriminalvårdsregistret bör dock, på samma sätt som gäller för andra myndigheter i rättskedjan, ersättas med mer generella bestämmelser.
I stället för att peka ut ett register eller en databas för att definiera de personuppgifter som får behandlas av en större krets, skulle bestämmelser om gemensamt tillgängliga uppgifter ge Kriminalvården utrymme att anpassa sitt verksamhetsstöd efter den tekniska utvecklingen och verksamhetens behov. En modernare och mer teknikneutral reglering av det slaget ger myndigheten bättre förutsättningar att utföra sitt uppdrag på ett ändamålsenligt och rättssäkert sätt. Den lösningen bör därför väljas. Skyddet för fysiska personers grundläggande rättigheter och friheter vid behandlingen kan upprätthållas genom att regelverket innehåller tydliga ramar för när myndigheten får behandla personuppgifter, vilka uppgifter som får behandlas och hur länge uppgifterna får behandlas. En generell reglering av hur länge personuppgifterna får behandlas ger de bästa förutsättningarna för att tillgodose verksamhetens behov. En sådan reglering ger också fortsatt stöd för att bedriva uppföljning, statistik och forskning. Att uppgifterna bevaras så att den registrerade kan ta del av relevant information om sitt frihetsberövande eller sin verkställighet är en självklarhet i ett rättssamhälle. Den registrerades rätt till information och att få ta del av de uppgifter som behandlas regleras i 4 kap. brottsdatalagen.
Om dessutom detaljregleringen i kriminalvårdens brottsdataförordning tas bort blir lagstiftningen mer användarvänlig. På samma sätt som för övriga myndigheter i rättskedjan, innebär en generell reglering att det blir det tydligare att det är syftet med och behovet av att behandla en viss personuppgift som är avgörande för om behandlingen är tillåten. En sådan reglering minskar behovet av framtida lagändringar till följd av ändringar t.ex. i påföljdssystemet.
Utredningen anser således att den nuvarande regleringen av det centrala kriminalvårdsregistret bör ersättas med en reglering som gör skillnad mellan sådana personuppgifter som görs gemensamt tillgängliga och sådana som inte är gemensamt tillgängliga.
Utredningen återkommer i kapitel 9 till vad som bör gälla för säkerhetsregistret och i kapitel 12 till förordningsregleringen.
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
8.2. Gemensamt tillgängliga uppgifter
8.2.1. Den nuvarande regleringen
En detaljreglering i förordning
Som tidigare nämnts regleras det centrala kriminalvårdsregistret i 16 § Kriminalvårdens brottsdataförordning. Där framgår att Kriminalvården ska föra ett register över personer som är häktade, har dömts till fängelse, skyddstillsyn, villkorlig dom med föreskrift om samhällstjänst eller ungdomsövervakning, har ålagts fängelsestraff för böter eller vite eller på grund av utländsk brottmålsdom har dömts till en sådan påföljd som tidigare räknats upp och som ska verkställas i Sverige. Registret pekar därmed ut personer som är häktade och i princip alla som verkställer en påföljd som Kriminalvården ansvarar för. En dom på skyddstillsyn som förenas med föreskrift att genomgå viss vård eller behandling eller med föreskrift om särskild behandlingsplan (även kallad kontraktsvård) faller under uppräkningen i 16 §.
Vilka uppgifter som registret får innehålla framgår av 17 § Kriminalvårdens brottsdataförordning genom hänvisningar till andra bestämmelser i förordningen. Uppräkningen omfattar, som tidigare nämnts, inte enbart personuppgifter utan även en rad andra uppgifter. Det gäller framför allt uppgifter om domar och beslut och om olika tidpunkter av betydelse för verkställigheten.
De uppgifter som får finnas i registret är följande: – den häktade eller dömdes namn, personnummer eller annan iden-
tifieringsuppgift, fotografi, adress, telefonnummer, yrke och utbildning, kön, medborgarskap och språk, – genomförd personutredning och rättspsykiatrisk undersökning,
läkarintyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål, m.m., utredning med utlåtande om risk för återfall i brottslighet enligt 10 § lagen om omvandling av fängelse på livstid och yttrande från socialnämnden enligt 11 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare, – en domstols dom eller slutliga beslut som avser fängelse, skydds-
tillsyn, villkorlig dom med föreskrift om samhällstjänst, ungdomsövervakning eller förvandlingsstraff för böter eller vite och beslut i häktningsfrågor,
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
– domstolens avräkningsunderlag, – ansökan om nåd och regeringens beslut i sådana frågor, – annat beslut av regeringen som avser den registrerade och som
har betydelse för verkställigheten av påföljd, – ansökan och beslut enligt lagen om omvandling av fängelse på
livstid, – överklagande av en domstols dom eller beslut, regeringens beslut
eller en myndighets beslut, – tidpunkt för verkställighetens början, prövotid och övervak-
ningstid, – tidpunkt för frigivning från kriminalvårdsanstalt och återstående
strafftid vid villkorlig frigivning, – verkställighet av samhällstjänst och intensivövervakning med
elektronisk kontroll, – beslut av myndighet i en annan stat om verkställighet av påföljd
som avser den registrerade, – andra uppgifter om verkställighet av påföljd, – tidpunkten för bortfallande av fängelse enligt 35 kap. 8 och 9 §§
brottsbalken eller förvandlingsstraff för böter eller vite enligt 18 och 21 §§bötesverkställighetslagen (1979:189), – uppgifter om transport i fråga om personer som är häktade, – uppgifter om permissioner och vistelser utanför anstalt enligt
9 kap. 1 §, 10 kap.1, 2 och 4 §§ och 11 kap. 1 §fängelselagen i fråga om personer som är dömda till fängelse, eller till fängelse som förvandlingsstraff för böter eller vite eller vars fängelsepåföljd enligt en utländsk dom ska verkställas i Sverige, – övervakarens namn, adress och telefonnummer i fråga om perso-
ner som är dömda till skyddstillsyn, fängelse, eller till fängelse som förvandlingsstraff för böter eller vite eller vars fängelsepåföljd enligt en utländsk dom ska verkställas i Sverige, – sysselsättning i fråga om personer som är dömda till skyddstillsyn
eller som på grund av utländsk dom ska verkställa motsvarande påföljd i Sverige, och
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
– innehållet i en verkställighetsplan i fråga om personer som är
dömda till ungdomsövervakning.
Förordningen ger Kriminalvården stöd för att behandla fler uppgifter i det centrala kriminalvårdsregistret än de som framgår genom hänvisningarna i 17 §, men regleringen är svårgenomtränglig.
Andra myndigheters skyldighet att lämna uppgifter till det centrala kriminalvårdsregistret regleras i 18 § förordningen. Bestämmelsen ändrades hösten 2022, när rättsväsendet gick från ett rapporteringssystem där Polismyndigheten i allt väsentligt agerade ombud för informationsflödet till olika myndigheter, däribland Kriminalvården, till ett digitalt system där de allmänna domstolarna i princip tog över den uppgiften såvitt avser domar och andra beslut i brottmål. De allmänna domstolarna rapporterar sedan den 3 oktober 2022 i huvudsak brottmålsavgöranden och andra uppgifter i brottmål direkt till Brottsförebyggande rådet, Ekobrottsmyndigheten, Kriminalvården, Polismyndigheten, Tullverket och Åklagarmyndigheten. Polismyndigheten är dock alltjämt skyldig att lämna uppgifter om domar och beslut i hovrätt och Högsta domstolen i fråga om äldre avgöranden.
Kriminalvårdens skyldighet att lämna uppgifter till andra myndigheter regleras i 19 § Kriminalvårdens brottsdataförordning. I 20 § förordningen framgår vilka myndigheter som får medges direktåtkomst till det centrala kriminalvårdsregistret.
Som tidigare nämnts fungerar det centrala kriminalvårdsregistret som en sammanhållande länk för alla personuppgifter som behöver vara tillgängliga för ett flertal inom Kriminalvården. Registret består av en rad delsystem.
8.2.2. En modernare reglering
Utredningens förslag: Särskilda bestämmelser ska gälla för be-
handling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i Kriminalvårdens verksamhet.
Personuppgifter får göras gemensamt tillgängliga om det behövs för något av de syften för vilka Kriminalvården får behandla personuppgifter enligt 2 kap. 1 § Kriminalvårdens brottsdatalag.
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
Skälen för utredningens förslag
Syftet med behandlingen bör vara avgörande
Regleringen i 16 § Kriminalvårdens brottsdataförordning utgår från att personuppgiftsbehandlingen ska avse en person som tillhör någon av de uppräknade kategorierna. Det kan ifrågasättas om utformningen av bestämmelsen är förenlig med regleringen i brottsdatalagen, som i stället har utgångspunkten att det är ändamålet med behandlingen av personuppgifter som ska vara avgörande. Att en person tillhör en viss kategori bör inte ensamt kvalificera för personuppgiftbehandling. En person kan omfattas av uppräkningen i bestämmelsen men behandlingen av personuppgifter kan ändå ligga utanför brottsdatalagens tillämpningsområde. Exempelvis kan en person som avtjänar ett fängelsestraff behöva ta del av Kriminalvårdens hälso- och sjukvård. Personuppgifterna behandlas då inte med stöd av Kriminalvårdens brottsdatalag utan med stöd av kriminalvårdsdatalagen och patientdatalagen.
Vilka personuppgifter som får göras gemensamt tillgängliga bör i stället utgå från syftet med personuppgiftsbehandlingen. För att Kriminalvården ska kunna utföra sina arbetsuppgifter på ett ändamålsenligt sätt bör bestämmelsen korrespondera med syftena för vilka Kriminalvården får behandla personuppgifter enligt 2 kap. 1 § Kriminalvårdens brottsdatalag. Det innebär att de uppgifter som bör kunna göras gemensamt tillgängliga är personuppgifter som Kriminalvården tillåts behandla i syfte att
1. verkställa häktning eller straffrättsliga påföljder,
2. förebygga, förhindra eller upptäcka brottslig verksamhet i samband med verkställighet av häktning eller straffrättsliga påföljder,
3. biträda andra myndigheter när de fullgör uppgifter för ett syfte som anges i 1 kap. 2 § brottsdatalagen, eller
4. fullgöra förpliktelser som följer av internationella åtaganden. Av integritetsskäl bör det preciseras vilka personuppgifter som får göras gemensamt tillgängliga. Utredningen återkommer till det i avsnitt 8.3.
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
Begreppet gemensamt tillgängliga uppgifter
Med gemensamt tillgängliga uppgifter avses uppgifter som inte enbart ett fåtal har tillgång till utan uppgifter som är tillgängliga för en större bestämd eller obestämd krets av tjänstemän (se bl.a. prop. 2009/10:85 s. 125 f., Åklagardatalag, prop. 2014/15:63, s. 151 f. och Tullbrottsdatalag, prop. 2016/17:91, s. 208 f.).
Begreppet gemensamt tillgängliga uppgifter myntades när det infördes i polisdatalagen. Regleringen är väl beprövad och förekommer i registerförfattningarna för Polismyndigheten, Tullverket, Åklagarmyndigheten, Ekobrottsmyndigheten, Kustbevakningen och Skatteverket. Den förefaller fungera tillfredsställande.
Vad avses med gemensamt tillgängliga uppgifter?
Med gemensamt tillgängliga personuppgifter avses alltså sådana uppgifter som är tillgängliga för en större bestämd eller obestämd krets av tjänstemän. Uppgifter som bara ett fåtal personer har tillgång till anses som regel inte vara gemensamt tillgängliga. Vad som avses med ett fåtal bör avgöras i varje enskilt fall. Hänsyn bör tas till bl.a. verksamhetens omfattning, uppgifternas karaktär och syftet med behandlingen. Antalet bör ställas i relation till såväl myndighetens som den aktuella verksamhetens storlek. Att olika personalkategorier har olika behörighet är inte tillräckligt för att tillgången ska anses begränsad till ett fåtal. Det bör röra sig om ett fåtal personer totalt, inte av en viss personalkategori. Även tidsaspekten ska beaktas, men kan aldrig vara ensamt avgörande. I ett långvarigt projekt kan uppgifter anses gemensamt tillgängliga trots att antalet deltagare vid varje given tidpunkt är begränsat. En tumregel kan vara att uppgifterna är att anse som gemensamt tillgängliga om antalet deltagare i gruppen överstiger tio.
Att en uppgift ”är tillgänglig” för en viss person bör förstås så att personen har såväl faktisk möjlighet att ta del av uppgiften som rättslig behörighet till det. Det spelar däremot inte någon roll hur många personer som faktiskt tar del av de aktuella uppgifterna. Det bör inte heller ha någon betydelse om den som har tillgång till uppgiften kan påverka den eller bara läsa den (se prop. 2009/10:85 s. 127).
I häktesverksamhet och anstaltsverksamhet ligger det i sakens natur att uppgifterna om dem som är intagna och om de personer som
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
har yrkesmässig eller annan kontakt med de intagna behöver vara gemensamt tillgängliga. Det beror på att en obestämd krets av personalen behöver kunna ha tillgång till uppgifterna. Det gäller normalt även vid verkställighet av de icke frihetsberövande påföljder som verkställs inom Kriminalvården. Om t.ex. en verkställighetsplan är tillgänglig för i princip alla frivårdsinspektörer, eller för alla som tjänstgör vid ett visst kontor, spelar det ingen roll att den faktiskt bara hanteras av ett fåtal personer. Uppgifterna anses ändå vara gemensamt tillgängliga.
Uppgifter som en annan myndighet får tillgång till genom direktåtkomst anses alltid vara gemensamt tillgängliga (prop. 2014/15:63 s. 152 och prop. 2016/17:91 s. 209).
8.2.3. Undantag för viss behandling
Utredningens förslag: Bestämmelserna om gemensamt tillgäng-
liga uppgifter ska inte gälla när personuppgifter behandlas med stöd av bestämmelsen i brottsdatalagen om behandling av personuppgifter för diarieföring eller för att utföra andra nödvändiga handläggningsuppgifter.
Skälen för utredningens förslag: De särskilda bestämmelserna om
behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga, bör inte gälla när Kriminalvården behandlar personuppgifter med stöd av 2 kap. 2 § brottsdatalagen. Bestämmelsen ger stöd för behandling av personuppgifter för diarieföring eller nödvändig handläggning i vissa fall där behandlingen inte har stöd i de tillåtna rättsliga grunderna, t.ex. för att nödvändighetsrekvisitet inte är uppfyllt. Ett typiskt exempel är inkomna skrivelser som inte direkt rör verksamheten. Bestämmelsen om personuppgiftsbehandling vid diarieföring syftar alltså inte till att möjliggöra behandling av personuppgifter i den operativa verksamheten, utan enbart till att inkomna handlingar ska kunna hanteras enligt offentlighets- och sekretesslagen och att tillgodose rätten till tillgång till allmänna handlingar enligt tryckfrihetsförordningen. En motsvarande bestämmelse finns för övriga myndigheter inom rättsväsendet som har en reglering som bygger på att personuppgifter får göras gemensamt tillgängliga.
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
8.3. Personuppgifter som får göras gemensamt tillgängliga
8.3.1. Den nuvarande regleringen
Med stöd av dagens reglering får det centrala kriminalvårdsregistret innehålla uppgifter om personer som – är häktade, – har dömts till fängelse, skyddstillsyn, villkorlig dom med före-
skrift om samhällstjänst eller ungdomsövervakning, – har dömts till fängelse som förvandlingsstraff för böter eller vite,
eller – på grund av en utländsk brottmålsdom har dömts till en sådan
påföljd som tidigare räknats upp och som ska verkställas i Sverige.
Uppräkningen är uttömmande.
8.3.2. Uppgifter om Kriminalvårdens klienter
Utredningens förslag: Personuppgifter som behandlas för syf-
ten som anges i 2 kap. 1 § Kriminalvårdens brottsdatalag får göras gemensamt tillgängliga om de gäller en person som
1. är häktad, anhållen eller gripen med anledning av misstanke om brott eller verkställighet av påföljd eller utvisning,
2. är dömd till en påföljd som ska verkställas inom Kriminalvården eller till förvandlingsstraff för böter eller viten,
3. på grund av en utländsk dom är dömd till en sådan påföljd som avses i 2, eller annan påföljd som avses i lagen (2015:96) om erkännande och verkställighet av frihetsberövande påföljder inom Europeiska unionen, och som kan komma att verkställas i Sverige,
4. på grund av en svensk dom annars är föremål för överföring av straffverkställighet till ett annat land,
5. på grund av ett utländskt beslut eller en utländsk dom är frihetsberövad och ska transiteras genom Sverige för fortsatt verkställighet eller en annan åtgärd i ett annat land,
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
6. annars är frihetsberövad inom Kriminalvården för syften som anges i 2 kap. 1 §, eller
7. är föremål för personutredning eller annan åtgärd enligt 1 § lagen (1991:2041) om särskild personutredning i brottmål, m.m.
Skälen för utredningens förslag
Personuppgifter som behandlas i syfte att verkställa häktning och andra frihetsberövanden inom brottsdatalagens område
Att bedriva häktesverksamhet är en av Kriminalvårdens huvuduppgifter. I häkten förvaras den som är 15 år eller äldre som är häktad, anhållen eller gripen på grund av misstanke om brott, men också den som är häktad av annan anledning än misstanke om brott. I häkten förvaras vidare personer i avvaktan på att förpassas till en kriminalvårdsanstalt eller ett särskilt ungdomshem eller på grund av tillfällig placering med stöd av fängelselagen samt den som är omhändertagen enligt 28 kap. 1 § fjärde stycket brottsbalken i avvaktan på att ett beslut om undanröjande av skyddstillsyn får laga kraft.
Den som är anhållen eller häktad på grund av misstanke om brott ska enligt 24 kap. 22 § rättegångsbalken tas i förvar. Det gäller normalt också gripna. Med förvarstagande avses placering i polisarrest eller häkte. Kriminalvårdens brottsdatalag tillämpas även på den som är häktad efter dom i avvaktan på att domen får laga kraft eller för att hindra att han eller hon undandrar sig verkställighet av beslut om utvisning på grund av brott. Regleringen bör alltså omfatta den som är häktad, anhållen eller gripen. Även en dömd person, som ska överföras eller förpassas till kriminalvårdsanstalt för verkställighet av fängelsestraff, ska enligt 9 § strafftidslagen i anslutning till det tas in i häkte i avvaktan på anstaltsplacering eller om det behövs med hänsyn till transportförhållandena. Kriminalvårdens brottsdatalag tilllämpas vidare på den som är omhändertagen efter beslut enligt 26 kap. 22 § och 28 kap. 6 b §brottsbalken och förvaras i häkte samt den som enligt 9 § tredje stycket lagen (1998:603) om verkställighet av sluten ungdomsvård förvaras i häkte i väntan på förpassning till ett särskilt ungdomshem.
För att säkerställa att Kriminalvårdens reglering omfattar all personuppgiftsbehandling som avser personer som förvaras i häkte för syften som anges i 2 kap. 1 § Kriminalvårdens brottsdatalag bör det
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
införas en punkt som fångar upp resterande fall. Den bör t.ex. även omfatta ett vittne som i ett brottmål har häktats med stöd av 36 kap. 21 § rättegångsbalken. Regleringen bör formuleras så att det klart framgår att den inte omfattar de som är frihetsberövade av andra skäl (se avsnitt 8.11.2).
Kriminalvården bedriver även transporttjänst inom brottsdatalagens tillämpningsområde. När personer som är frihetsberövade av något av de nyss angivna skälen transporteras till och från häkten eller anstalter i samband med domstolsförhandlingar eller förundersökningsåtgärder biträder Kriminalvården åklagare och de allmänna domstolarna vid brottsbekämpning och lagföring.
Uppgifter av nu aktuellt slag behöver kunna göras gemensamt tillgängliga.
Personuppgifter som behandlas i syfte att verkställa straffrättsliga påföljder
En annan av Kriminalvårdens huvuduppgifter är att verkställa straffrättsliga påföljder. Som framgår i avsnitt 8.2.1, omfattar regleringen i 16 § kriminalvårdens brottsdataförordning personer som verkställer en påföljd inom brottsdatalagens område som Kriminalvården ansvarar för. Det omfattar alla som ska verkställa ett fängelsestraff, i eller utanför anstalt, villkorlig dom med föreskrift om samhällstjänst, skyddstillsyn och ungdomsövervakning. Även de som verkställer förvandlingsstraff för böter och viten omfattas. När personer transporteras från häkten till kriminalvårdsanstalter för verkställighet, eller mellan kriminalvårdsanstalter, görs det inom ramen för straffverkställigheten. När övervakningsnämnderna prövar vissa frågor om verkställighet görs även det inom ramen för straffverkställigheten. Det förekommer också att Kriminalvården biträder andra behöriga myndigheter vid verkställighet av påföljd. Det gäller exempelvis när en person som har omhändertagits med stöd av 28 kap. 11 § brottsbalken förvaras i häkte.
Merparten av den personuppgiftsbehandling som äger rum när Kriminalvården med stöd av fängelse- och häkteslagsstiftningen vidtar åtgärder för att underlätta den dömdes anpassning i samhället eller motverka negativa effekter av frihetsberövanden utgör led i verkställigheten. En utgångspunkt måste därför vara att sådan per-
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
sonuppgiftsbehandling omfattas av brottsdatalagens tillämpningsområde (jfr Brottsdatalag, SOU 2017:29, s. 217 f.).
Kriminalvårdens verksamhet förutsätter att uppgifter om personer som verkställer en straffrättslig påföljd även fortsättningsvis kan behandlas på i princip samma sätt som i dag. Sådana personuppgifter bör därför kunna göras gemensamt tillgängliga.
Normalt bör det inte bli aktuellt att behandla personuppgifter i syfte att verkställa straffrättsliga påföljder innan en dom har fått laga kraft. En dom på skyddstillsyn går emellertid i verkställighet omedelbart, om inte domstolen beslutar annat. Skyddstillsyn ska alltså förenas med övervakning från dagen för domen. I vissa undantagsfall kan Kriminalvården även behöva behandla personuppgifter för planering av framtida verkställighet av fängelsestraff eller av säkerhetsskäl. Regleringen bör när det finns särskilda skäl tillåta att uppgifter görs gemensamt tillgängliga om det krävs i sådana fall. En sådan bestämmelse bör av integritetsskäl förenas med krav på att uppgifterna raderas, om personen inte slutligt döms till en påföljd som ska verkställas inom Kriminalvården.
Uppgifter på grund av en utländsk dom eller ett utländskt beslut
Kriminalvården har vissa internationella förpliktelser, bl.a. att under vissa förutsättningar ta över verkställigheten av en utländsk frivårdspåföljd eller ett utländskt fängelsestraff och att förvara personer som är föremål för transitering genom Sverige för verkställighet av fängelsestraff i annat land. Fullgörande av internationella förpliktelser utgör enligt 2 kap. 1 § Kriminalvårdens brottsdatalag en tillåten rättslig grund för Kriminalvårdens personuppgiftsbehandling. För att utföra den uppgiften behöver Kriminalvården kunna hantera nödvändiga personuppgifter i myndighetens verksamhetsstöd. Uppgifterna behöver kunna göras gemensamt tillgängliga i samma utsträckning som motsvarande uppgifter med anledning av en svensk dom eller ett svenskt beslut.
Kriminalvården behöver även kunna behandla personuppgifter för att kunna avgöra om verkställigheten av en utländsk påföljd ska tas över. Behandling för det ändamålet kan kräva att uppgifterna görs gemensamt tillgängliga.
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
Genom lagen (2015:96) om erkännande och verkställighet av frihetsberövande påföljder inom Europeisk unionen har Kriminalvården, i egenskap av behörig myndighet, fått i uppgift att hantera frågor om överföring även av rättspsykiatrisk vård och sluten ungdomsvård. Det gäller såväl påföljder som ska överföras till Sverige som svenska domar som ska överföras för verkställighet i ett annat land. Det innebär att Kriminalvården måste kunna hantera personuppgifter även i de fallen.
Uppgifter om personer som är föremål för personutredning
Kriminalvården ansvarar för att utföra personutredningar i brottmål. I lagen om särskild personutredning i brottmål, m.m. föreskrivs att Kriminalvården ska genomföra sådan utredning om en misstänkts personliga förhållanden som krävs för att domstolen ska kunna avgöra påföljdsfrågan. Kriminalvården ska även avge yttranden som belyser återfallsrisken. När Kriminalvården genomför en personutredning eller avger ett yttrande görs det primärt för att det ska finnas ett tillräckligt underlag för att kunna lagföra någon för brott. Vid personutredning kan Kriminalvården sägas biträda framför allt domstolarna vid lagföring av brott.
Enligt 3 § Kriminalvårdens brottsdataförordning får Kriminalvården behandla personuppgifter om en person som är föremål för personutredning. Det saknas dock uttryckligt stöd för att registrera uppgifter om sådana personer i det centrala kriminalvårdsregistret, såvida inte personen samtidigt är intagen i häkte eller kriminalvårdsanstalt (se 3 och 16 §§ Kriminalvårdens brottsdatalag).
När regleringen görs mer generell bör den omfatta alla personer som blir föremål för personutredning. Uppgifterna bör kunna göras gemensamt tillgängliga dels därför att olika delar av myndigheten kan behöva engageras i personutredningsarbetet, dels därför att personutredningen utgör en viktig del i den fortsatta dokumentationen i de fall där personen ska avtjäna en påföljd inom Kriminalvården.
Kriminalvårdens statistik- och forskningsverksamhet
Kriminalvården ansvarar i dag för underlaget till en stor del av den samlade rättsstatistiken. Myndigheten har även för sin egen verk-
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
samhet behov av omfattande statistik. Dessutom bedriver Kriminalvården sedan år 2008 forskning som rör framför allt verkställighet av straffrättsliga påföljder.
Kriminalvårdens statistik- och forskningsverksamhet är ett led i arbetsuppgifter som ligger inom brottsdatalagens tillämpningsområde. Den rättsliga grunden i kriminalvårdens brottsdatalag har bedömts täcka även behandling av personuppgifter för sådana syften (se prop. 2017/18:269 s. 254).
För forskning gäller delvis andra förutsättningar än för Kriminalvårdens övriga verksamhet, bl.a. i fråga om sekretess. Det bör inte finnas något behov av att göra personuppgifter som behandlas för forskningsändamål gemensamt tillgängliga. Det beror bl.a. på att den forskning som Kriminalvården bedriver i allt väsentligt presenteras i form av anonymiserade uppgifter och uppgifter på gruppnivå snarare än individnivå.
8.3.3. Positionsuppgifter vid elektronisk övervakning
Utredningens förslag: Uppgifter om en dömd person som tas
fram vid elektronisk övervakning som ett led i verkställighet av en påföljd får göras gemensamt tillgängliga. Uppgifterna får behandlas i högst tre månader. När uppgifterna inte längre får behandlas, ska de omedelbart raderas.
Skälen för utredningens bedömning
Den nuvarande regleringen
Det finns i dag stöd i flera olika lagstiftningar för att Kriminalvården får använda elektronisk övervakning vid verkställighet av påföljder.
Elektronisk övervakning innebär att den som övervakas förses med en fotboja. Som framgår i avsnitt 6.3 innebär fotboja att den dömde ska bära på sig en utrustning som gör att det tekniskt går att kontrollera var han eller hon befinner sig. Den teknik som används går alltså ut på att lokalisera den övervakade.
Enligt 3 § IÖVL äger verkställighet av fängelsestraff rum utanför anstalt i form av intensivövervakning. Som ett led i det säkerhetshöjande arbetet på en kriminalvårdsanstalt finns det möjlighet att med
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
stöd av 2 kap. 1 § fängelselagen elektroniskt övervaka den som är intagen. Kriminalvården har även viss möjlighet att använda elektronisk övervakning när dömda beviljas permission eller särskild permission, se 10 kap. 5 § andra stycket fängelselagen. Elektronisk övervakning får också enligt 11 kap. 6 § fängelselagen användas som ett led i utslussningen från en kriminalvårdsanstalt. Elektronisk övervakning kan med stöd av 26 kap. 17 § brottsbalken vidare användas för att förstärka kontrollen över dömda som friges villkorligt från fängelsestraff. Kriminalvården får också med stöd av 28 kap. 6 § brottsbalken och 19 § lagen (2020:616) om verkställighet av ungdomsövervakning använda elektronisk övervakning för att kontrollera efterlevnaden av de föreskrifter som meddelas som ett led i verkställigheten av skyddstillsyn eller ungdomsövervakning.
Positionsuppgifter medger en ingående kartläggning av var en person befinner sig eller har befunnit sig. Även om det inte är fråga om en insamling av uppgifter i hemlighet är det fråga om uppgifter som är integritetskänsliga och därför bara bör få behandlas en kortare tid. Skyddet i 2 kap. 6 § andra stycket regeringsformen innebär att regleringen bör finnas i lag.
I 10 § förordningen (2020:792) om verkställighet av ungdomsövervakning framgår att uppgifter om den dömde som tas fram vid elektronisk övervakning får bevaras i högst tre månader. När uppgifterna inte längre får bevaras, ska de omedelbart förstöras. Någon motsvarande bestämmelse finns inte i annan lagstiftning som tillåter elektronisk övervakning vid straffverkställighet.
En generell bestämmelse
Det bör införas en generell bestämmelse i Kriminalvårdens brottsdatalag som ger Kriminalvården stöd att behandla uppgifter om var en dömd person, som får kontrolleras genom elektronisk övervakning, befinner sig. Den bör utformas med 10 § förordningen om verkställighet av ungdomsövervakning som förebild. En generell reglering innebär att lagstiftningen inte behöver ändras varje gång påföljdssystemet uppdateras. Bestämmelsen i 10 § förordningen om verkställighet av ungdomsövervakning blir överflödig och kan ersättas med en hänvisning.
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
Eftersom alla som arbetar med klienten behöver tillgång till positionsuppgifterna bör uppgifterna få göras gemensamt tillgängliga. Genom att utforma bestämmelsen generellt, får Kriminalvården möjlighet att anpassa sitt verksamhetsstöd för behandling av den dömdes position efter verksamhetens behov och den tekniska utvecklingen.
Ur integritetssynpunkt är det viktigt att uppgifter om den dömdes position inte bevaras längre än nödvändigt. Syftet med övervakningen är att Kriminalvården ska kunna kontrollera att föreskrifter under verkställighet av en påföljd efterlevs och omedelbart kunna ingripa vid en överträdelse. Uppgifterna behöver även bevaras tillräckligt länge för att den enskilde ska kunna tillvarata sina rättigheter. Tre månader, som gäller enligt förordningen om verkställighet av ungdomsövervakning, bedöms vara tillräckligt. Det bör även vara tillräckligt för att Kriminalvården ska hinna utreda eventuell missskötsamhet. Uppgifter om en dömd persons position som har tagits fram genom elektronisk övervakning bör därför få behandlas i högst tre månader. Uppgifterna bör omedelbart raderas när de inte längre får behandlas. Det innebär att uppgifterna inte heller får bevaras för arkivändamål eller forskning.
8.3.4. Uppgifter om andra personer än klienter
Utredningens förslag: När Kriminalvården behandlar uppgifter
om en person som anges i 3 kap. 2 § Kriminalvårdens brottsdatalag får myndigheten även göra personuppgifter om följande personer gemensamt tillgängliga:
1. närstående till den registrerade,
2. andra personer som har nära förbindelse till den registrerade,
3. personer som i tjänst eller uppdrag har kontakter med den registrerade,
4. andra personer som besöker eller har kontakter med intagna eller
5. målsägande. Detsamma ska gälla uppgifter om juridiska personer som avses i 2–5.
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
Regeringen meddelar föreskrifter om vilka uppgifter om en person som anges i första stycket som får göras gemensamt tillgängliga.
Skälen för utredningens förslag
Uppgifter om närstående och andra som har kontakt med intagna
Kriminalvårdens behov av att behandla uppgifter om andra personer än klienterna avser framför allt personer som i tjänst eller uppdrag har kontakt med intagna, anhöriga till en häktad eller dömd person och andra som en intagen får besök av eller som på annat sätt håller kontakt med honom eller henne. Behandlingen av sådana uppgifter är också nödvändig för att Kriminalvården ska kunna upprätthålla restriktioner enligt 24 kap. 5 a § rättegångsbalken.
Om det är nödvändigt för att utföra en uppgift som anges i 2 kap. 1 § Kriminalvårdens brottsdatalag får enligt 2 § Kriminalvårdens brottsdataförordning vissa i paragrafen uppräknade personuppgifter som namn, adress och telefonnummer till bl.a. den registrerades närstående, vårdnadshavare, familjehemsföräldrar, ombud, arbetsgivare, utbildningsanstalt, kontaktperson eller tolk behandlas.
Det bör införas en bestämmelse i Kriminalvårdens brottsdatalag som tillåter att Kriminalvården behandlar personuppgifter om andra än klienterna. Det bör också föreskrivas att uppgifterna får göras gemensamt tillgängliga. Som för all personuppgiftsbehandling krävs enligt 2 kap. 1 § Kriminalvårdens brottsdatalag att behandlingen är nödvändig. Att uppgifterna ska vara adekvata och uppdaterade framgår av 2 kap.7 och 8 §§brottsdatalagen.
Vem som är närstående får avgöras från fall till fall. Begreppet används även i andra författningar, exempelvis rättegångsbalken, polislagen, patientsäkerhetslagen (2010:659) och fängelseförordningen. Med begreppet avses i första hand familjen och andra nära anhöriga, t.ex. sambo och dennes barn.
En person som har nära förbindelse till den registrerade är ett vidare begrepp än närstående och omfattar fler personer. Kravet på att det ska vara en nära förbindelse klargör att inte varje person som den registrerade har en bekantskap med avses. För att en person ska omfattas av begreppet krävs att relationen har någon form av dignitet. Det kan exempelvis vara en släkting, granne eller vän men också en
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
arbetsgivare. Likaså kan en tidigare medbrottsling tillhöra den kategorin. Även om tidigare medbrottslingar inte har kontakt med varandra, har Kriminalvården i vissa fall behov av att kunna behandla personuppgifter om dem. Det gäller särskilt om de tillhör kriminella nätverk.
Med en person som i tjänst eller uppdrag har kontakt med den häktade eller dömde avses professionella aktörer som exempelvis en övervakare, den registrerades ombud, en tolk eller en präst som besöker den registrerade. Det kan även vara företrädare för sociala myndigheter, Arbetsförmedlingen, Försäkringskassan eller andra myndigheter.
I undantagsfall kan man tänka sig att det finns andra personer som, utan att falla in under någon av de tidigare punkterna, annars besöker eller har kontakter med intagna och vilkas personuppgifter behöver behandlas, t.ex. en journalist som besöker en intagen. Det kan också vara en präst eller annan person som, utan att ha någon personlig förbindelse med en viss intagen, besöker ett häkte i syfte att bryta intagnas isolering. De personerna omfattas då av begreppet andra personer som besöker eller har kontakter med den registrerade.
Uppgifter om målsägande
Kriminalvården ska i vissa fall tillfråga en målsägande om han eller hon vill bli underrättad, exempelvis om att den som är intagen friges, rymmer eller fritas eller att en person ska verkställa sitt fängelsestraff genom fotboja. Det framgår av 27 § häktesförordningen, 35 § fängelseförordningen och 10 § förordningen (1994:1060) om intensivövervakning med elektronisk kontroll.
Av 8 § Kriminalvårdens brottsdataförordning framgår att Kriminalvården får behandla uppgifter om målsägande som ska underrättas enligt 27 § häktesförordningen eller 35 § fängelseförordningen. Det bör framgå av Kriminalvårdens brottsdatalag att Kriminalvården får behandla personuppgifter om målsägande och att uppgifterna får göras gemensamt tillgängliga. Genom kravet på att behandlingen ska vara nödvändig omfattas bara sådana målsägande som Kriminalvården är skyldig att underrätta. Det bör även gälla målsägande som har begärt underrättelse enligt 10 § förordningen om intensivövervak-
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
ning med elektronisk kontroll. Vilka uppgifter som får behandlas kan regleras i förordning.
Uppgifter om juridiska personer
Dataskyddsdirektivet gäller enbart till skydd för fysiska personer och tillämpningsområdet för brottsdatalagen har utformats med det som grund. När dagens registerförfattningar inom brottsdatalagens område infördes, lät man emellertid införa bestämmelser om skydd för uppgifter om juridiska personer i de myndigheters registerförfattningar där man tidigare ansett att det fanns goda skäl att ge visst skydd även för sådana uppgifter och därför redan infört bestämmelser om det (se prop. 2017/18:269 s. 113).
Kriminalvårdens lagstiftning innehåller inga särskilda regler om behandling av uppgifter om juridiska personer. Det är dock uppenbart att uppräkningen i Kriminalvårdens brottsdataförordning kan träffa även juridiska personer, t.ex. arbetsgivare eller utbildningssamordnare. Sådana uppgifter får alltså behandlas i dag. Någon ändring av det är inte avsedd. För att förtydliga att behandlingen även kan avse sådana uppgifter bör det framgå av paragrafen.
Den närmare regleringen bör finnas i förordning
Närmare bestämmelser om vilka uppgifter som ska få behandlas om andra personer än den om är häktad eller verkställer en påföljd kan regleras i Kriminalvårdens brottsdataförordning. Det bör därför framgå av lagen att regeringen meddelar föreskrifter i sådana frågor.
8.3.5. Särskild upplysning
Utredningens förslag: Om det inte framgår av sammanhanget,
ska en personuppgift som görs eller har gjorts gemensamt tillgänglig förses med en upplysning om att personen inte är intagen i häkte eller verkställer en påföljd.
Skälen för utredningens förslag: I 2 kap. 9 § brottsdatalagen ställs
krav på att personuppgifter som rör olika kategorier av registrerade
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
särskiljs, så att det så långt det är möjligt framgår om personen är misstänkt, dömd för brott, brottsoffer eller någon annan som berörs av ett brott. Om det inte framgår av sammanhanget eller på annat sätt till vilken kategori personen hör, ska det tydliggöras genom en särskild upplysning. Det bör i de flesta fall framgå av sammanhanget varför uppgifter om personen behandlas. I de undantagsfall där det inte framgår ska alltså uppgiften förses med en särskild upplysning.
Kriminalvården behandlar fortlöpande en mängd personuppgifter som inte rör personer som verkställer en påföljd eller är häktade. Det kan vara fråga om personer som i tjänst eller uppdrag har kontakter med en häktad eller dömd person. Det kan också röra sig om anhöriga, arbetsgivare eller andra. Normalt framgår det av sammanhanget att personuppgifterna inte rör en person som avtjänar en påföljd eller är häktad. Om så inte är fallet bör emellertid personuppgiften förses med en särskild upplysning om det.
8.3.6. Ett särskilt kapitel om gemensamt tillgängliga uppgifter
Utredningens förslag: De nya bestämmelserna om gemensamt
tillgängliga uppgifter bör samlas i ett särskilt kapitel i Kriminalvårdens brottsdatalag.
Skälen för utredningens förslag: För att få en enhetlig systematik
bör bestämmelserna om gemensamt tillgängliga uppgifter regleras i ett särskilt kapitel i Kriminalvårdens brottsdatalag. I samma kapitel bör bestämmelser om vilka som får medges direktåtkomst föras in. Hur länge personuppgifterna får behandlas bör också regleras i lagen. Vissa detaljer beträffande gemensamt tillgängliga uppgifter kan dock fortfarande regleras i förordning.
Den nya regleringen innebär att detaljstyrningen av vilken information som får behandlas av Kriminalvården upphör, med undantag för uppgifter som behandlas i säkerhetsregistret. Det kommer alltjämt att finnas vissa begränsningar, t.ex. när det gäller behandlingen av känsliga personuppgifter, men i princip får Kriminalvården fria händer att behandla personuppgifter så länge de uppfyller kraven på ändamål och uppgifterna är korrekta och relevanta och, vid behov, uppdaterade. När det gäller uppgifter om Kriminalvårdens klienter får alla typer av uppgifter göras gemensamt tillgängliga. Däremot
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
kommer det att finnas begränsningar när det gäller möjligheten att göra uppgifter om andra personer gemensamt tillgängliga.
8.4. Särskilt om journaler
8.4.1. Skyldigheten att föra journal ska framgå av lag
Utredningens förslag: Skyldigheten att föra journal över den
som är häktad för något av de syften som anges i 2 § 1 Kriminalvårdens brottsdatalag, dömd till en påföljd som ska verkställas inom Kriminalvården, villkorligt frigiven eller transporteras av Kriminalvården för något av de syften som anges i 2 § 1 ska framgå av Kriminalvårdens brottsdatalag.
Skälen för utredningens förslag: Kriminalvårdens skyldighet att
föra journal framgår av flera förordningar, bl.a. häktesförordningen och fängelseförordningen. Av 6, 9, 12, 14 och 15 b §§ Kriminalvårdens brottsdataförordning framgår att Kriminalvården får behandla personuppgifter i en journal i fråga om den som är häktad eller som på grund av en svensk eller utländsk dom är dömd till en påföljd som ska verkställas inom Kriminalvården.
Som tidigare nämnts förs journaler i dag bl.a. i kriminalvårdsregistret. Det innebär att uppgifterna inte finns i ett separat it-stöd, utan behandlas tillsammans med andra uppgifter om en häktad eller dömd person. Journalerna förs fortlöpande och innehåller detaljanteckningar om den pågående behandlingen.
Det kan ifrågasättas om dokumentationen av detaljer angående frihetsberövandet eller verkställigheten bör benämnas just journaler. Det finns emellertid flera skäl som talar för att behålla det begreppet även framöver. För det första finns det många hänvisningar till journalföring även i andra lagar. För det andra är det till stor del fråga om frihetsberövade personer, där kravet på dokumentation angående behandlingen fyller en särskilt viktig funktion. För det tredje är journal är ett vedertaget begrepp, inte bara inom Kriminalvården, som tydligt beskriver syftet med dokumentationen och personuppgiftsbehandlingen.
Den journalföring som görs av Kriminalvården inom brottsdatalagens område omfattar ett stort antal personer och uppgifter av så-
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
dan karaktär att det av integritetsskäl bör införas grundläggande bestämmelser om journalföring i lag.
Närmare bestämmelser om vilka uppgifter som journaler som används inom brottsdatalagens område bör omfatta kan framgå av förordning.
8.4.2. Uppgifter i en journal får göras gemensamt tillgängliga
Utredningens förslag: Personuppgifter som behandlas i en jour-
nal får göras gemensamt tillgängliga.
Skälen för utredningens förslag: Uppgifter i en journal behandlas
i dag bl.a. i det centrala kriminalvårdsregistret. Uppgifterna behöver även framöver kunna behandlas inom Kriminalvården och det finns, framför allt när det gäller intagna, ett generellt behov av att låta fler än ett fåtal få tillgång till sådana uppgifter. Det bör därför införas en bestämmelse som innebär att uppgifter i en journal får göras gemensamt tillgängliga.
8.4.3. Vissa bestämmelser om journaler kan upphävas
Utredningens förslag: Bestämmelserna om journalföring i fäng-
elseförordningen, förordningen om intensivövervakning med elektronisk kontroll, förordningen om verkställighet av frivårdspåföljder och förordningen om verkställighet av ungdomsövervakning upphävs.
Skälen för utredningens förslag: Det finns bestämmelser om jour-
nalföring i 5 § häktesförordningen, 5 § fängelseförordningen, 12 § förordningen om intensivövervakning med elektronisk kontroll, 2 kap. 10 §, 3 kap. 5 § och 4 kap. 6 a § förordningen (1998:642) om verkställighet av frivårdspåföljder, 9 § förordningen om verkställighet av ungdomsövervakning och 6 § andra stycket kriminalvårdsinstruktionen. Kriminalvården tillämpar bestämmelserna i fråga vid journalföring inom brottsdatalagens område. Bestämmelserna i häktesförordningen och kriminalvårdsinstruktionen tillämpas även vid journalföring vid verkställighet av frihetsberövanden och ge-
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
nomförande av transporter i de fall där brottsdatalagen inte är tillämplig.
När det införs en generell bestämmelse om skyldighet att föra journal i Kriminalvårdens brottsdatalag, kan bestämmelserna om journalföring i fängelseförordningen, förordningen om intensivövervakning med elektronisk kontroll, förordningen om verkställighet av frivårdspåföljder och förordningen om verkställighet av ungdomsövervakning upphävas. Bestämmelserna om journalföring i häktesförordningen och kriminalvårdsinstruktionen behöver dock finnas kvar, eftersom de även tillämpas på personuppgifter utanför brottsdatalagens tillämpningsområde.
8.5. Sökbegränsningar för gemensamt tillgängliga uppgifter
8.5.1. Allmänt om sökbegränsningar
Med hänsyn till att de informationsmängder som får göras gemensamt tillgängliga sammantaget kan bli betydande har det av integritetsskäl ansetts nödvändigt med sökbegränsningar i bl.a. polisens verksamhet, eftersom det inte är lämpligt att tillåta fri sökning i informationen. För att värna den personliga integriteten har det därför införts en bestämmelse som begränsar resultatet vid sökning i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer, samordningsnummer eller liknande identitetsbeteckningar. Syftet med begränsningsregeln är att det vid en initial allmän sökning i polisens informationsmängder bara ska vara möjligt att få fram vissa typer av uppgifter som ansetts vara intressanta. Om det finns förutsättningar för att gå vidare och söka efter andra uppgifter beror på syftet med sökningen i det enskilda fallet.
Bestämmelsen är enbart avsedd att träffa sökningar i automatiserade behandlingssystem (SOU 2017:74 s. 438). Med automatiserade behandlingssystem avses för verksamheten särskilt utformade eller anpassade behandlingsystem där personuppgifter behandlas mer eller mindre strukturerat, exempelvis verksamhetsstöd i form av dokument- och ärendehanteringssystem och olika typer av register och databaser (prop. 2017/18:232 s. 177).
Begränsningen gäller bara för gemensamt tillgängliga uppgifter i respektive myndighets it-stöd. Den hindrar inte att det vid sökning
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
även tas fram andra uppgifter som myndigheten har tillgång till, exempelvis genom direktåtkomst till andra myndigheters register. Vilken sökning som är tillåten i andra register regleras i de författningar som gäller för dem.
8.5.2. Det krävs inte någon generell sökbegränsning
Utredningens bedömning: Det bör inte införas någon generell
begränsning av möjligheten att söka i uppgifter som är gemensamt tillgängliga i Kriminalvården.
Skälen för utredningens bedömning
Inga sökbegränsningar i dag
Kriminalvårdens nuvarande lagstiftning innehåller inga sökbegränsningar. Det måste emellertid ses mot bakgrund av den detaljreglering som förekommer i Kriminalvårdens brottsdataförordning. Där anges i detalj vilka uppgifter, både personuppgifter och andra uppgifter, som får behandlas.
Läget förändras emellertid om Kriminalvården får en lagstiftning som i större utsträckning medger behandling av personuppgifter. Då aktualiseras frågan om det bör införas någon form av sökbegränsning av det slag som finns för polisen.
En jämförelse med författningar för andra myndigheter i rättskedjan
Som tidigare nämnts finns det i 3 kap. 5 § polisens brottsdatalag en bestämmelse om sökbegränsning vid sökning i automatiserade behandlingssystem i gemensamt tillgängliga uppgifter, om sökningen görs på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar. Det finns liknande bestämmelser i 3 kap. 5 § lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område, 3 kap. 4 § lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område, 3 kap. 4 § lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
område och 3 kap. 3 § lagen (2018:1697) om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område.
Lagen (2018:1698) om domstolarnas behandling av personuppgifter inom brottsdatalagens område innehåller inte bestämmelser om gemensamt tillgängliga uppgifter och det finns därmed inte heller någon sökbegränsning av nu aktuellt slag i den lagstiftningen.
Kriminalvårdens behov av att behandla personuppgifter
Behandlingen av personuppgifter inom Kriminalvården skiljer sig på avgörande sätt från den som görs hos de andra myndigheter som har en reglering som skiljer mellan behandling av uppgifter som är gemensamt tillgängliga och uppgifter som bara är tillgängliga för ett fåtal personer. Det är framför allt uppgifter om personer som är häktade eller som verkställer eller ska verkställa en påföljd som behandlas i Kriminalvårdens verksamhet. Fokus ligger på den häktade eller dömde. I motsats till det som gäller för de brottsbekämpande myndigheterna är personen och hans eller hennes roll alltid identifierad. Det är alltså redan från början helt klart vem personen är och varför hans eller hennes personuppgifter behöver behandlas. Det finns inte heller någon risk för att personen byter roll på det sätt som kan vara fallet i en förundersökning eller att de grundläggande förutsättningarna för behandling av personuppgifterna förändras. Vidare står det redan från början klart att personuppgifter beträffande den som är häktad eller intagen i fängelse kommer att behöva behandlas av fler än ett fåtal och således kommer att behöva göras gemensamt tillgängliga.
När det gäller verkställighet av häktning och frihetsberövande påföljder kan således konstateras att behandlingen av personuppgifter är mer förutsebar än vad som är fallet i brottsbekämpning. Detsamma gäller för Kriminalvårdens övriga verksamhet. I allt väsentligt rör det sig om behandling av de typer av personuppgifter som i dag anges i detaljuppräkningarna i Kriminalvårdens brottsdataförordning.
Inget behov av sökbegränsningar i framtiden heller
Syftet med sökbegränsningarna som finns i de brottsbekämpande myndigheternas registerförfattningar är att det inte ska vara möjligt
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
att genom en enkel sökning på ett personnummer eller en liknande identitetsuppgift kunna få fram all information som finns om personen i fråga. Det kan t.ex. vara fråga om uppgifter om olika brottsmisstankar, om att personen ska vittna i en rättegång eller har lämnat uppgifter om ett brott. När det gäller Kriminalvården kan personuppgifterna i huvudsak bara röra en persons verkställighet av häktning eller påföljd eller någons kontakter med en sådan person. Det finns då inte samma behov av att begränsa den initiala sökningen på ett personnummer eller en liknande identitetsuppgift. Tvärtom är det viktigt att den som inom Kriminalvården behandlar personuppgifter om någon som verkställer häktning eller en påföljd eller genomför personutredning redan från början får tillgång till nödvändiga uppgifter. Det bör därför inte heller i framtiden finnas någon generell sökbegränsning som träffar gemensamt tillgängliga uppgifter som behandlas av Kriminalvården inom brottsdatalagens område.
Det bör också framhållas att enligt 3 kap. 6 § brottsdatalagen ska den personuppgiftsansvarige se till att tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Därmed ställs det krav på att Kriminalvården begränsar tillgången till uppgifter på annat sätt.
Utredningen återkommer i avsnitt 8.6.3 till frågan om sökning i känsliga personuppgifter.
8.6. Behandling av känsliga personuppgifter
8.6.1. Allmänt om behandlingen av känsliga personuppgifter
Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning benämns känsliga personuppgifter. Sådana uppgifter får enligt huvudregeln i 2 kap. 11 § brottsdatalagen inte behandlas. I paragrafens andra stycke görs emellertid vissa undantag. Uppgifter om en person som redan behandlas på annan grund får kompletteras med känsliga personuppgifter när det är absolut nödvändigt för ändamålet med behandlingen. Behandling av känsliga personuppgifter på den grunden är vanlig inom Kriminalvården, särskilt när det gäller intagna i häkte eller kriminalvårdsanstalt. Den behövs t.ex. för att tillgodose intag-
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
nas behov av att kunna utöva sin religiösa tro eller få medicinsk behandling eller specialkost.
Biometriska uppgifter får enligt 2 kap. 12 § brottsdatalagen behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen. Det finns en bestämmelse med motsvarande innebörd i 2 kap. 3 § Kriminalvårdens brottsdatalag, som tillåter Kriminalvården att behandla biometriska uppgifter i samma utsträckning. Bestämmelsen ger förutsättningar att använda automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd identitet är riktig. Det innebär att t.ex. fingeravtryck får användas för att identifiera en person. Utredningen återkommer till behandling av biometriska uppgifter i avsnitt 8.9.
8.6.2. Den nuvarande regleringen fyller de flesta behoven
Utredningens bedömning: I allt väsentligt fyller den nuvarande
regleringen avseende behandling av känsliga personuppgifter de behov som Kriminalvården har.
Skälen för utredningens bedömning: I allt väsentligt möter den nu-
varande regleringen de behov som Kriminalvården har av att kunna behandla känsliga personuppgifter i sin verksamhet. Förordningen om Ecris-TCN (se avsnitt 8.7.3) påverkar inte heller den behandling av personuppgifter som normalt äger rum inom myndigheten, utan innebär att Kriminalvården kommer att få biträda bl.a. Polismyndigheten i vissa fall.
Teknikutvecklingen gör dock att det är rimligt att överväga om Kriminalvården bör tillåtas använda biometriska data i större utsträckning än i dag. Kriminalvården har redan stöd för att behandla biometriska uppgifter i motsvarande mån som brottsdatalagen tillåter. Utredningen återkommer till frågan i avsnitt 8.7.2.
8.6.3. Sökning i känsliga personuppgifter
Utredningens förslag: Sökförbudet i brottsdatalagen ska inte
hindra sökning på personuppgifter, som har gjorts gemensamt tillgängliga, i syfte att få fram ett personurval grundat på etniskt
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning.
Skälen för utredningens förslag
Den nuvarande regleringen
I 3 kap. 5 § Kriminalvårdens brottsdatalag finns ett undantag för sökning på känsliga personuppgifter i säkerhetsregistret. Däremot finns det ingen motsvarande bestämmelse i det nuvarande regelverket för sökning på känsliga personuppgifter i det centrala kriminalvårdsregistret.
Undantag från sökförbudet bör införas
Sökförbudet i 2 kap. 14 § brottsdatalagen utgår från ändamålet med sökningen. Om ändamålet inte är att få fram ett urval av personer grundat på känsliga personuppgifter är sökningen tillåten. Det gäller även om känsliga personuppgifter används vid sökningen (se prop. 2017/18:269 s. 264).
I motsats till de flesta myndigheter i rättskedjan har Kriminalvården i dag inte något undantag från det generella sökförbudet i 2 kap. 14 § brottsdatalagen, utöver det som gäller för säkerhetsregistret. I den nya regleringen behövs det ett undantag för sökningar i personuppgifter som har gjorts gemensamt tillgängliga. Kriminalvården måste kunna bedriva sin verksamhet på ett ändamålsenligt och säkert sätt med de förutsättningar som råder, bl.a. den höga beläggningsgraden på häkten och anstalter och ökningen av dömda personer som tillhör kriminella grupperingar. Kriminalvården kan exempelvis behöva göra en sökning inför placering av en dömd person för att säkerställa att personer från grupperingar med t.ex. politiska eller etniska motsättningar inte placeras på samma avdelning eller i samma cell. En sökning kan även behövas för att tillgodose intagnas behov och deras rättigheter enligt fängelselagen och häkteslagen, exempelvis rätten för den intagne att utöva sin religion eller behovet av särskild kost grundat på hälsoskäl eller religiös tro.
Om Kriminalvården har rätt att fortsätta att behandla uppgifterna som en sådan sökning ger får prövas mot 2 kap. 11 § brottsdatalagen.
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
Rätten att göra sökningar med stöd av den nu föreslagna bestämmelsen ger alltså inte någon generell rätt att fortsätta att behandla uppgifterna i fråga.
Rätten att söka på känsliga personuppgifter bör dock inte gälla ras, eftersom det inte finns någon vetenskaplig grund för att dela in människor i skilda raser (se prop. 2017/18:232 s. 151 f.). Det finns inte heller något behov av att göra sökningar baserade på medlemskap i fackförening. Sökning som syftar till att få fram ett urval av personer grundat på sådana uppgifter bör alltså inte vara tillåten. Detsamma gäller sökning i biometriska uppgifter.
8.7. Särskilt om biometriska uppgifter
8.7.1. Insamling av fingeravtryck och fotografier för brottsutredning och lagföring
Bestämmelser om när fingeravtryck och fotografier får tas av personer för brottsutredning och lagföring finns i rättegångsbalken. Sådan upptagning görs normalt under förundersökningsskedet. Av 28 kap. 14 § rättegångsbalken framgår att fotografi och fingeravtryck får tas av den som är anhållen eller häktad. Om det behövs för att utreda ett brott på vilket fängelse kan följa får fingeravtryck tas även av andra, t.ex. av misstänkta som inte är frihetsberövade.
Kompletterande bestämmelser finns i förordningen (1992:824) om fingeravtryck m.m. Av 2 § förordningen framgår bl.a. att det är obligatoriskt att ta fingeravtryck och fotografi av den som har häktats och i vissa fall även av den som har anhållits. Om någon är misstänkt för att före 15 års ålder ha begått ett brott får, om det finns särskilda skäl, bl.a. fotografi och fingeravtryck tas av honom eller henne med stöd av 36 § första stycket 2 lagen med särskilda bestämmelser om unga lagöverträdare. Det är framför allt Polismyndigheten som samlar in sådana biometriska data.
Fingeravtryck och fotografier behandlas i Polismyndighetens fingeravtrycks- och signalementsregister. Registren regleras i 5 kap. 11–17 §§ polisens brottsdatalag.
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
8.7.2. Biometrisk autentisering
Utredningens förslag: Kriminalvården får med hjälp av biomet-
risk autentisering bekräfta en persons identitet när han eller hon verkställer ett fängelsestraff i eller utanför anstalt.
Skälen för utredningens förslag
Biometri
Biometri är ett samlingsnamn för sådan automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd identitet är riktig. En biometrisk autentisering innebär att en elektronisk mätning görs av någons fysiska karaktärsdrag, till exempel av fingeravtryck, näthinna eller ansiktsgeometri, se Modernare regler för användningen av tvångsmedel, prop. 2021/22:119, s. 173. Ansiktsigenkänning utgår exempelvis från mätning av olika delar av ansiktet, som bl.a. avståndet mellan ögonen, näsans bredd, käklinjens längd och formen på kindbenen. Det har blivit allt vanligare att mobiltelefoner och andra informationsbärare kan öppnas med hjälp av biometrisk autentisering, t.ex. fingeravtryck eller röst- eller ansiktsigenkänning.
Behovet av biometrisk autentisering i Kriminalvårdens verksamhet
Som framgått i avsnitt 6.3.5 kan biometrisk autentisering vara ett mycket effektivt verktyg för att bekräfta en persons identitet i samband med straffverkställighet. Exempelvis kan automatiserade metoder som ansiktsigenkänning användas för att avgöra om en påstådd identitet är riktig vid de regelbundna nykterhetskontroller som ska göras vid intensivövervakning med elektronisk kontroll.
I dag används ett resurskrävande förfarande för att säkerställa att nykterhetskontroller utförs av den dömde vid intensivövervakning, nämligen besök hos honom eller henne. Att kunna använda metoder som möjliggör att kontrollen utförs på distans skulle underlätta för Kriminalvården. En sådan möjlighet skulle kunna vara att låta den dömde via ett digitalt medium visa att kontrollen utförs. Även det kräver emellertid att en tjänsteman momentant kontrollerar att så är
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
fallet. Lagstiftningen bör därför möjliggöra för Kriminalvården att använda biometrisk autentisering för sådana kontroller.
Tekniken för att genomföra nykterhetskontroller slumpmässigt med hjälp av ansiktsigenkänning finns redan i de fotbojor som Kriminalvården använder. När en person förses med fotboja, får han eller hon också en mobiltelefon. Samma biometriska autentisering som används för att öppna mobiltelefonen kan också användas när den dömde blåser i ett mätinstrument för att kontrollera nykterheten, se avsnitt 6.3.5. Genom att använda exempelvis ansiktsigenkänning skulle Kriminalvården kunna få bekräftat att det är den dömde som genomför utandningsprovet.
Med den nya regleringen om gemensamt tillgängliga uppgifter, som föreslås ersätta bestämmelserna om det centrala kriminalvårdsregistret, kommer det även att finnas stöd för att behandla de biometriska data som krävs vid biometrisk autentisering genom ansiktsigenkänning.
Samma teknik och utrustning som nyss nämnts kan också användas för att underlätta identifiering av en person som har dömts till fängelse och som ska transporteras av Kriminalvården. Biometrisk autentisering skulle även kunna användas för att möjliggöra säkrare identifiering vid sådan förflyttning av intagna inom en anstalt eller mellan anstalter som görs som ett led i straffverkställigheten.
Innebär biometrisk autentisering att Kriminalvården behandlar personuppgifter?
Den 1 juni 2022 trädde lagändringar i kraft som bl.a. innebär en skyldighet för en enskild att i vissa fall medverka till biometrisk autentisering, till exempel med hjälp av sitt fingeravtryck, för att öppna en mobiltelefon eller liknande kommunikationsutrustning som har tagits i beslag, se 27 kap. 17 f § rättegångsbalken. I förarbetena till bestämmelsen uttalade regeringen att det vid biometrisk autentisering endast är fråga om en momentan behandling av personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen i fråga. Regeringen konstaterade att behandlingen enbart äger rum i det avläsningsbara informationssystemet – exempelvis i en mobiltelefon eller en surfplatta – och att inga uppgifter lagras eller sparas någon annan-
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
stans av den brottsbekämpande myndigheten. Mot den bakgrunden gjorde regeringen bedömningen att den biometriska autentiseringen inte innebar någon personuppgiftsbehandling som utförs av en behörig myndighet. I stället kan det t.ex. vara den enskilde, mobiloperatören eller tillverkaren som utför personuppgiftsbehandlingen. Brottsdatalagen bedömdes därmed inte vara tillämplig. Därför föreslogs det inte heller någon reglering i rättegångsbalken, som riktar sig till de brottsbekämpande myndigheterna, som innebär att biometriska uppgifter inte får sparas eller behandlas för något annat ändamål än autentiseringen (se prop. 2021/22:119 s. 154).
Till skillnad från den biometriska autentisering som kan göras enligt 27 kap. 17 f § rättegångsbalken, skulle biometrisk autentisering för att bekräfta en dömd persons identitet innebära att den biometriska autentiseringen kommer att göras med Kriminalvårdens utrustning och genom en kontroll mot de uppgifter om den dömde (den ansiktsbild) som är lagrad i Kriminalvårdens datasystem. Behandlingen är visserligen momentan vid varje autentiseringstillfälle, men den skulle göras genom sökning och jämförelse i Kriminalvårdens informationssystem. Det är därför tydligt att Kriminalvården skulle utföra personuppgiftsbehandling vid sådan biometrisk autentisering. Därmed krävs det en ny reglering.
Det bör införas en bestämmelse om biometrisk autentisering
Kriminalvården får enligt 2 kap. 3 § Kriminalvårdens brottsdatalag behandla biometriska uppgifter om det är absolut nödvändigt för att verkställa häktning eller straffrättsliga påföljder. Behandling av biometriska uppgifter ska emellertid vara särskilt föreskriven, se 2 kap. 12 § brottsdatalagen. Det bör därför införas en bestämmelse i Kriminalvårdens brottsdatalag som anger när biometrisk autentisering får användas för att bekräfta en persons identitet.
Det finns redan stöd i 8 kap. 1 § fängelselagen för Kriminalvården att fotografera den som verkställer ett fängelsestraff i kriminalvårdsanstalt för att underlätta identifiering av honom eller henne. Fotografier av intagna får behandlas i det centrala kriminalvårdsregistret enligt 2 § första stycket 1 och 17 § Kriminalvårdens brottsdataförordning. Det är rimligt att modern teknik får användas för att genomföra identifieringen. Utredningen återkommer till frågan om
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
rätten att fotografera en person bör omfatta alla som har dömts till fängelse, alltså även personer som ska avtjäna fängelsestraffet utanför anstalt med fotboja.
Det kan övervägas om biometrisk autentisering bör tillåtas även vid verkställighet av andra påföljder än fängelse, som exempelvis vård eller annan behandling som genomförs vid skyddstillsyn. Kriminalvården har framhållit att myndigheten ser ett tydligt behov av ansiktsigenkänning även vid bl.a. skyddstillsyn, där formerna för verkställigheten i många fall liknar dem som gäller vid verkställighet av fängelsestraff med fotboja. En dom på skyddstillsyn kan exempelvis förenas med föreskrift att den dömde ska avhålla sig från alkohol. Han eller hon är i sådana fall skyldig att på begäran lämna utandningsprov. Det finns emellertid i dag inga bestämmelser som ger stöd för att exempelvis fotografera en person för identifiering när han eller hon har dömts till någon annan påföljd än fängelse. Utredningen bedömer därmed att det är en fråga som inte kan tas om hand inom ramen för detta uppdrag.
Det kan även diskuteras om det, exempelvis av legalitetsskäl, bör anges vilka former av biometrisk autentisering som bör få användas. Med hänsyn till den snabba teknikutvecklingen finns det en risk för att en sådan precisering skulle leda till att bestämmelsen snabbt blir omodern. Någon precisering bör därför inte göras i Kriminalvårdens brottsdatalag. Vilken teknik som kommer att kunna användas i praktiken avgörs emellertid av vilka regler om insamling av uppgifter, exempelvis fotografier eller fingeravtryck, som införs i andra lagar, t.ex. fängelselagen eller IÖVL.
8.7.3. Informationsutbyte om brottmålsdomar i EU
Nya bestämmelser om fingeravtryck
Informationssystemet för utbyte av uppgifter ur kriminalregister inom EU (Ecris) är ett decentraliserat system som baseras på medlemsstaternas nationella register. Systemet har varit i bruk sedan år 2012. Under år 2019 antog EU en förordning om inrättande av ett kompletterande system, som ska göra det möjligt för medlemsstaterna att på ett effektivt sätt få reda på vilka andra medlemsstater som har uppgifter i sina kriminalregister om en tredjelandsmedborgare (Ecris–TCN).
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
Med anledning av förordningen om Ecris–TCN har riksdagen beslutat att införa bestämmelser i bl.a. 8 kap. 7 a § fängelselagen och 8 a § IÖVL. De nya bestämmelserna innebär att fingeravtryck av en person ska tas om han eller hon ska verkställa en dom eller ett beslut på fängelse i lägst sex månader, i eller utanför anstalt, och fingeravtrycket inte finns i det fingeravtrycksregister som förs av Polismyndigheten.
Vid verkställighet genom intensivövervakning med elektronisk kontroll ska fingeravtryck av den dömde tas av Polismyndigheten efter föreläggande från Kriminalvården. Vid verkställighet i anstalt ska fingeravtrycken tas av Kriminalvården eller, om det är lämpligare, Polismyndigheten. När fingeravtrycken har tagits emot av Polismyndigheten ska Kriminalvården omedelbart förstöra eventuella kopior som myndigheten har.
Bestämmelserna i fråga ska träda i kraft den dag som regeringen bestämmer.
Kriminalvårdens behandling av fingeravtryck
Regeringen konstaterade att det inte behövdes några lagändringar i bestämmelserna om Kriminalvårdens behandling av personuppgifter för den personuppgiftsbehandling som krävs för att Kriminalvården ska kunna utfärda förelägganden om upptagning av fingeravtryck och ta fingeravtryck och översända dem till Polismyndigheten (Nya regler om informationsutbyte om brottmålsdomar i EU, prop. 2021/22:172, s. 46 f.). Ändringar i regleringen av vilka uppgifter Kriminalvården får behandla i fråga om personer som är dömda till fängelse kan enligt regeringen göras på förordningsnivå. Några sådana ändringar har ännu inte beslutats.
För att Kriminalvården ska kunna kontrollera om fingeravtryck från den aktuella personen redan finns i registret och för att bedöma om ett föreläggande ska utfärdas med stöd av den föreslagna bestämmelsen i IÖVL, konstaterades att Kriminalvården bör kunna medges direktåtkomst till fingeravtrycksregistret genom ett tillägg i 5 kap. 17 § polisens brottsdatalag. De närmare gränserna för direktåtkomsten ska regleras på förordningsnivå.
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
8.7.4. Biometriutredningen
En särskild utredare ser över förutsättningarna för att använda biometri som verktyg i brottsbekämpningen (Biometriutredningen, dir. 2021:34 och 2022:19). Syftet är att fler personer som misstänks för brott ska kunna identifieras med hjälp av fingeravtryck, dna, ansiktsbilder eller liknande information om individuella kännetecken. Uppdraget omfattar de rättsliga möjligheterna att samla in, lagra och använda biometrisk information. Uppdraget ska redovisas senast den 20 juni 2023.
Biometriutredningen kommer enligt uppgift att lämna förslag som utökar tillämpningsområdet för de bestämmelser som beslutats med anledning av förordningen om Ecris-TCN, men som ännu inte har trätt i kraft. Biometriutredningens förslag innebär att alla som döms till fängelse ska lämna ett biometriskt underlag omfattande fingeravtryck, ansiktsbild och salivprov för dna-analys. Det biometriska underlaget föreslås tas av Kriminalvården i samband med straffverkställighet, i den mån sådant underlag inte redan finns i Polismyndighetens register.
Biometriutredningen kommer enligt uppgift att föreslå de ändringar i Kriminalvårdens författningar som de bedömer krävs för att Kriminalvården ska ha stöd för att ta upp och översända det biometriska underlaget och för att avgöra om ett föreläggande ska skickas till den dömde. Förslagen bedöms inte påverka de förslag som presenteras i denna promemoria, eftersom de innebär att Kriminalvården får en ny, generell reglering som medger behandling av de personuppgifter som Biometriutredningens förslag förväntas omfatta.
8.8. Utlämnande genom direktåtkomst
Utredningens förslag: Kriminalvårdens möjlighet att tillhanda-
hålla personuppgifter som görs eller har gjorts gemensamt tillgängliga genom direktåtkomst regleras i lag. Utöver de myndigheter som i dag har möjlighet att få direktåtkomst till det centrala kriminalvårdsregistret bör även Tullverket få det.
Skälen för utredningens förslag: Registerförfattningar ger i vissa
fall möjlighet att tillhandahålla personuppgifter genom direktåt-
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
komst. Det finns inte någon legaldefinition av uttrycket direktåtkomst. Det som vanligtvis avses med direktåtkomst är att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. Direktåtkomst ger inte mottagaren någon rätt att behandla personuppgifterna. Mottagaren måste alltså ha rättsligt stöd i sin egen registerlagstiftning för personuppgiftsbehandlingen.
I samtliga registerförfattningar inom brottsdatalagens område, med undantag för Kriminalvårdens, kräver direktåtkomst lagstöd (se prop. 2017/18:269 s. 132). Det gäller i dag för säkerhetsregistret men däremot inte för det centrala kriminalvårdsregistret. Direktåtkomst till sistnämnda register regleras i 20 § Kriminalvårdens brottsdataförordning. Enligt den paragrafen får Regeringskansliet, Polismyndigheten och Säkerhetspolisen, för ett syfte som anges i 1 kap. 2 § brottsdatalagen, medges direktåtkomst till det centrala kriminalvårdsregistret. För Regeringskansliet får emellertid bara sådana uppgifter som behövs i ärenden om nåd göras tillgängliga.
Av hänsyn till skyddet för enskildas integritet bör möjligheten till direktåtkomst till uppgifter som får göras gemensamt tillgängliga regleras i lag, på samma sätt som gäller för andra myndigheter i rättskedjan. Bestämmelsen om direktåtkomst bör därför flyttas till Kriminalvårdens brottsdatalag. Bestämmelsen bör arbetas om så att den avser direktåtkomst till personuppgifter som görs eller har gjorts gemensamt tillgängliga. Även Tullverket, vars brottsbekämpande verksamhet har fått allt större betydelse, bör dock ges möjlighet att få direktåtkomst med stöd av bestämmelsen. Det skulle t.ex. underlätta för Tullverket att få uppgift om var häktade är placerade. Bestämmelsen kan i övrigt tas in i lagen utan ändringar i sak. Frågan om direktåtkomst kräver en sekretessbrytande bestämmelse behandlas i avsnitt 10.3.2.
8.9. Personuppgifter som inte görs gemensamt tillgängliga
8.9.1. Personuppgifter som endast ett fåtal har tillgång till
Uppgifter som lagras på ett sådant sätt att endast en viss person har tillgång till dem, kan normalt inte anses vara gemensamt tillgängliga.
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
Personuppgifter som lagras elektroniskt på hårddisken i en dator eller en server i samband med att en enskild tjänsteman arbetar med ordbehandling och som är åtkomliga endast för tjänstemannen själv (och för en eller flera systemadministratörer) kan alltså inte anses vara gemensamt tillgängliga. I sådana fall bör bestämmelserna om gemensamt tillgängliga uppgifter inte vara tillämpliga. Det gäller även om syftet är att uppgifterna senare ska lagras så att andra får tillgång till dem. Det bör alltså vara först när insamlade uppgifter görs tillgängliga för fler än ett fåtal personer som de strängare bestämmelserna om gemensamt tillgängliga uppgifter blir tillämpliga.
Den som samlar in uppgifter, som kan antas bli gemensamt tillgängliga vid en senare tidpunkt, kan emellertid redan vid insamlingstillfället beakta de särskilda regler som gäller för behandling av gemensamt tillgängliga personuppgifter för att inte försvåra den fortsatta behandlingen.
8.9.2. Kriminalvårdens underrättelseverksamhet
Kriminalvården bedriver viss underrättelseverksamhet. Den verksamheten har framför allt till syfte att stödja myndighetens säkerhetsarbete och bidra till att upptäcka brottslig verksamhet som kan förekomma i häkten och kriminalvårdsanstalter eller inom Kriminalvårdens övriga verksamhet. Exempelvis behöver rymnings- eller fritagningsförsök kunna stävjas. En person som är dömd för brott ska inte heller kunna begå eller planera brott under verkställigheten. Det innebär inte att Kriminalvården har en brottsbekämpande roll, även om myndigheten enligt sin instruktion ska vidta åtgärder som syftar till att brottslighet under verkställigheten ska förhindras och verka för att klienterna inte ska återfalla i brott. I de fall där brott upptäcks anmäler Kriminalvården det till Polismyndigheten eller åklagare.
Underrättelseverksamheten består i att samla in, bearbeta och analysera information som senare antingen kan föras in i säkerhetsregistret eller spridas i annan form till den operativa verksamheten i Kriminalvården. Det ligger i sakens natur att underrättelseverksamhet bedrivs i en begränsad krets. De uppgifter som behandlas är därför normalt inte gemensamt tillgängliga. Först när analysarbetet har nått så långt att det finns grund för att sprida uppgifterna aktualiseras frågan om de bör kunna göras gemensamt tillgängliga.
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
Den nya reglering som föreslås i avsnitt 8.2.2 innebär att underrättelseverksamheten, i likhet med Kriminalvårdens övriga verksamhet, får utökade möjligheter att behandla personuppgifter. Myndigheten kommer inte längre att vara hänvisad till att bara behandla uppgifter av det slaget i säkerhetsregistret eller i kriminalvårdsregistret. I underrättelsetjänsten kan man t.ex. samla viss information om personer eller företeelser i ärenden, för att bearbeta och analysera den. Informationen kan senare tillföras säkerhetsregistret, eller något av delsystemen i kriminalvårdsregistret, om förutsättningarna för sådan behandling är uppfyllda.
Kriminalvården ska även enligt sin instruktion delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten. Det är en uppgift som myndigheten delar med ett flertal andra myndigheter. Inte heller det uppdraget ger myndigheten en brottsbekämpande roll. Hänsyn måste emellertid tas till den uppgiften när det gäller hur den framtida registerlagstiftningen bör utformas. Utredningen återkommer till den frågan i avsnitt 10.4.2.
8.10. Längsta tid som personuppgifter får behandlas
8.10.1. Den nuvarande regleringen
Gallring enligt registerförfattningar syftar till att skydda enskildas personliga integritet genom att det föreskrivs när den automatiserade behandlingen av personuppgifter ska upphöra. För att tydligt skilja mellan arkivrättsliga regler och regler om dataskydd, har bestämmelserna i registerförfattningarna inom brottsdatalagens tilllämpningsområde formulerats så att de, i stället för att ange hur länge uppgifter får bevaras och när de ska gallras, anger den yttersta gränsen för hur länge vissa personuppgifter får behandlas automatiserat (se prop. 2017/18:232 s. 163 f.).
Vid all personuppgiftsbehandling är det ett grundläggande krav att uppgifterna inte behandlas under längre tid än vad som är nödvändigt. Det följer av huvudregeln i 2 kap. 17 § första stycket brottsdatalagen. Det är ändamålet med behandlingen i det enskilda fallet som avses. Ibland behandlas personuppgifter för flera olika ändamål. Att det inte längre finns behov att behandla en personuppgift för ett visst ändamål medför inte att behandlingen av den samtidigt måste upphöra för alla andra ändamål. Att personuppgiften behövs för ett
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
visst ändamål innebär dock inte att den får fortsätta att behandlas för alla ändamål lika länge. Behovet av att fortsätta behandla uppgiften måste alltså prövas kontinuerligt för varje ändamål för sig. Det innebär att personuppgifter ska upphöra att behandlas när de inte längre behövs för det ändamål för vilket de samlades in. Det kan också handla om att uppgifter måste avidentifieras.
Om det inte är föreskrivet i lag eller annan författning när en viss kategori av personuppgifter inte längre får behandlas, ska den personuppgiftsansvarige enligt 2 kap. 18 § brottsdatalagen årligen se över behovet av att fortsätta behandla uppgifterna. Den personuppgiftsansvarige ska vidare enligt 2 kap. 2 § brottsdataförordningen se till att det finns rutiner som säkerställer att de som behandlar personuppgifter respekterar tidsfristerna för när uppgifterna inte längre får behandlas.
Personuppgifter som behandlas automatiserat får enligt huvudregeln i 2 kap. 5 § första stycket Kriminalvårdens brottsdatalag inte behandlas längre än tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört. I 4, 7, 10, 13, 15 och 15 c §§ Kriminalvårdens brottsdataförordning finns det bestämmelser som reglerar hur länge olika typer av personuppgifter får behandlas. Regleringen är knuten till vilken personkategori som uppgifterna hör. De tidsfrister som anges i bestämmelserna utgör den yttersta frist för hur länge personuppgifterna får behandlas. Bestämmelserna syftar till att skydda enskildas personliga integritet genom att det föreskrivs när den automatiserade behandlingen av personuppgifter senast ska upphöra.
Kriminalvården genomför varje natt gallring av uppgifter i kriminalvårdsregistret.
8.10.2. Längsta tid för behandling regleras i lag
Utredningens förslag: Bestämmelserna om längsta tid som per-
sonuppgifter får behandlas tas in i Kriminalvårdens brottsdatalag. Regleringen görs generell.
Skälen för utredningens förslag: Bestämmelserna om hur länge
personuppgifter får behandlas automatiserat bör hållas samman med regleringen om behandlingen av uppgifterna i övrigt och därför lyf-
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
tas in i lag. För att skapa en användarvänlig och modern registerförfattning bör bestämmelserna göras generella. Det innebär att den detaljreglering som är knuten till olika personkategorier bör tas bort. Det bör dock göras skillnad mellan hur länge personuppgifter om olika kategorier av dömda får behandlas. Vidare bör det även fortsättningsvis finnas särskild reglering för häktade som inte döms för brott och för personer som inte döms till en påföljd som ska verkställs inom Kriminalvården.
När viss detaljreglering utgår kan det framstå som att möjligheterna att behandla personuppgifter blir alltför generösa. Avsikten är dock inte att generellt utöka den tid som personuppgifter får behandlas. I de flesta fall kommer ändringarna inte att innebära någon förändring i praktiken, eftersom personuppgifter enligt 2 kap. 17 § första stycket brottsdatalagen inte får behandlas när de inte längre behövs.
Bestämmelserna om hur länge personuppgifter får behandlas reglerar inte i vilken utsträckning det är tillåtet att behandla personuppgifter för arkivändamål, utan styr endast i vilken form det får göras. Bestämmelserna hindrar inte arkivering på papper, se 2 kap. 17 § andra stycket brottsdatalagen. Som utredningen återkommer till i avsnitt 8.12.2 bör det framgå att 2 kap. 17 § andra stycket brottsdatalagen inte gäller vid tillämpningen av bestämmelserna om hur länge personuppgifter får behandlas automatiserat.
8.10.3. Personuppgifter som inte har gjorts gemensamt tillgängliga
Utredningens förslag: Personuppgifter som inte har gjorts ge-
mensamt tillgängliga får inte behandlas längre än
1. ett år efter det att ärendet avslutades, om uppgifterna behandlas i ett ärende, eller
2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.
Skälen för utredningens förslag: Det bör införas en bestämmelse
som anger hur länge personuppgifter som inte har gjorts gemensamt tillgängliga som längst får behandlas. Bestämmelsen kan i huvudsak
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
utformas med de som gäller för Polismyndigheten, Tullverket, Skatteverket och Kustbevakningen som förebild.
Det innebär att avgörande för hur länge personuppgifter, som inte har gjorts gemensamt tillgängliga, bör få behandlas bör vara om uppgifterna behandlas i ett ärende eller inte. Med begreppet ärende avses något som kan avvika från den gängse innebörden av begreppet i förvaltningslagen. Med ärende avses i detta sammanhang en serie åtgärder som är avsedda att leda fram till ett bestämt slut (se Skattebrottsdatalag, prop. 2016/17:89, s. 156).
I Kriminalvårdens underrättelseverksamhet behandlas för närvarande personuppgifter som huvudregel inte i ärenden. Regleringen av när behandlingen ska upphöra utgår då från när registreringen avseende en viss person gjordes. Det händer dock att personuppgifter i underrättelseverksamhet behandlas i ärenden, exempelvis i samband med en särskild händelse. När personuppgifter i underrättelseverksamhet behandlas i ärenden bör uppgifterna inte få behandlas längre än ett år efter det att ärendet avslutades (jfr prop. 2017/18:269 s. 167).
Åtgärder som vidtas med anledning av att en enskild har krävt att Kriminalvården agerar är normalt att anse som ett ärende. Det gäller dock inte när en tjänsteman vidtar en tillfällig åtgärd inom ramen för verksamheten, t.ex. tar emot allmän information från allmänheten som inte har samband med någon pågående verkställighet eller någon annan verksamhet som Kriminalvården bedriver.
8.10.4. Personuppgifter som har gjorts gemensamt tillgängliga
Uppgifter om vissa häktade
Utredningens förslag: Uppgifter om en person som har varit
häktad, men som inte har dömts för brott till en påföljd som ska verkställas inom Kriminalvården, får inte behandlas längre än fem år efter det att personen frigavs från häktet.
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
Skälen för utredningens förslag
Den nuvarande regleringen
Personuppgifter om en häktad får enligt 7 § Kriminalvårdens brottsdataförordning inte behandlas längre än två år efter det att den häktade frigavs från häktet. Om den som varit häktad döms till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst får enligt 7 § första stycket 2 Kriminalvårdens brottsdataförordning personuppgifterna i stället behandlas tio år efter det att den senaste påföljden helt har verkställts.
Tiden för behandling bör i vissa fall förlängas
Kriminalvården har inte behov av att behandla uppgifter om personer som inte döms för brott, eller som har dömts till en påföljd som inte ska verkställas inom Kriminalvården, lika länge som uppgifter om personer som döms för brott till en påföljd som ska verkställas där. Även hänsynen till enskildas integritet talar för att Kriminalvården inte bör få behandla sådana personuppgifter lika länge som andra uppgifter.
Den tid som uppgifterna om en häktad person som inte döms för brott får behandlas är emellertid enligt Kriminalvården i dag för kort. Fristen räknas från den tidpunkt när personen frigavs från häkte, inte från när förundersökningen avslutades eller brottmålet avgjordes slutligt. Det är långt ifrån självklart att ett brottmål, där den tilltalade har varit häktad men har försatts på fri fot, avgörs slutligt inom två år. Därmed finns det en avsevärd risk för att uppgifter om en person, som efter mer än två år döms till fängelse eller en annan påföljd som ska verkställas inom Kriminalvården, inte längre är tillgängliga. Det gäller särskilt i mål där någon har varit häktad men där förundersökningen inte har lagts ner eller åtal inte har väckts inom två år. Det kan även vara fråga om någon som har varit häktad men har försatts på fri fot i samband med huvudförhandlingen i tingsrätten. Högsta domstolen har i ett rättsfall från år 2021, som bl.a. gäller frågan om långsam handläggning, uttalat att en handläggningstid om två år per instans för relativt okomplicerade brottmål får godtas (se NJA 2021 s. 820). Det innebär att det finns en påtaglig risk för att det tar mer än två år för en slutlig prövning i ett
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
mål som inte kräver skyndsam handläggning, exempelvis ett mål där den tilltalade inte längre är häktad.
Även om det är fråga om behandling av personuppgifter som rör personer som kanske inte i ett längre perspektiv behöver behandlas i Kriminalvårdens verksamhet, är det rimligt att Kriminalvården får behandla personuppgifterna till dess att det står klart att så inte är fallet. Längsta tid för behandling bör därför förlängas till fem år. Höjningen motiveras främst av den måltillströmning som rättsväsendet har och den ökade trenden att avgöra mål som rör samma person i ett sammanhang. Det innebär fler omfattande mål och att vissa mål tar längre tid att avgöra slutligt.
Uppgifter om vuxna dömda
Utredningens förslag: Personuppgifter om den som har dömts
för brott till en påföljd som ska verkställas inom Kriminalvården och som var 18 år eller äldre vid tiden för brottet, får inte behandlas längre än tio år efter det att den senaste påföljden helt har verkställts eller upphört av annat skäl.
Skälen för utredningens förslag
Den nuvarande regleringen
Enligt 4 och 7 §§ Kriminalvårdens brottsdataförordning får uppgifter om personer som varit föremål för personutredning eller som varit häktade inte behandlas längre än tio år efter det att den senaste påföljden helt har verkställts om personen har dömts till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst.
I fråga om personer som dömts till fängelse, fängelse som förvandlingsstraff för böter eller vite, skyddstillsyn, villkorlig dom med föreskrift om samhällstjänst eller som på grund av en utländsk dom ska verkställa någon av dessa påföljder framgår av 10, 13 och 15 §§ Kriminalvårdens brottsdataförordning att uppgifter som inte behandlas i en journal inte får behandlas längre än två år efter det att villkorlig frigivning har ägt rum, intensivövervakning med elektronisk kontroll har upphört, övervakningen har upphört eller förskriften om samhällstjänst helt har verkställts.
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
För personer som dömts till ungdomsövervakning får enligt 15 c § Kriminalvårdens brottsdataförordning personuppgifter som inte behandlas i en journal inte behandlas längre än två år efter det att verkställigheten har avslutats. Om personuppgifterna behandlas i en journal, får personuppgifterna inte behandlas längre än tio år efter det att den senaste påföljden avseende den registrerade helt har verkställts.
Regleringen är svårtillämpad
Eftersom bestämmelserna om vilka uppgifter som får behandlas i det centrala kriminalvårdsregistret och i journalerna, som förs som anteckningar i delsystem till det registret, är många och detaljerade är det inte helt lätt att överblicka vilka uppgifter som får behandlas och hur länge. Bestämmelserna för dem som döms till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst blir vidare svårtillämpade, eftersom olika tidsfrister anges i olika paragrafer. Att 4 och 7 §§ Kriminalvårdens brottsdataförordning förutsätter att personen genomgått personutredning eller häktats före påföljden, kan inte vara avsett att innebära någon skillnad i praktiken eller föranleda att uppgifterna ska få behandlas längre än för personer som dömts till samma påföljd men som inte genomgått en personutredning eller varit frihetsberövade. Eftersom en personutredning enligt 1 § lagen om särskild personutredning i brottmål, m.m. ska inhämtas när det i ett brottmål behövs för att avgöra påföljdsfrågan eller annars behövs en särskild utredning om en misstänkts personliga förhållanden eller om åtgärder som kan antas bidra till att han eller hon avhåller sig från fortsatt brottslighet, har den absoluta merparten av dem som dömts till en sådan påföljd också genomgått en personutredning.
En generell reglering
De olika bestämmelserna om längsta tid för behandling bör ersättas av en generell bestämmelse som anger hur länge personuppgifter får behandlas för personer som dömts för brott som ska verkställas inom Kriminalvården och som var 18 år eller äldre vid tiden för brottet eller brotten. En sådan bestämmelse träffar därmed den som har
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
dömts till fängelse, även som förvandlingsstraff för böter eller vite, skyddstillsyn, med eller utan föreskrifter, och villkorlig dom, med föreskrift om samhällstjänst. Bestämmelsen omfattar även den som har dömts till en sådan påföljd i en utländsk dom om påföljden ska verkställas i Sverige inom Kriminalvården. Ungdomsövervakning bör emellertid inte omfattas av bestämmelsen, eftersom enligt 32 kap. 3 a § brottsbalken endast den som har begått brott innan han eller hon har fyllt 18 år får dömas till ungdomsövervakning. Regleringen bör inte heller gälla för andra påföljder än fängelse, om den dömde var under 18 år vid tiden för brottet.
Bestämmelsen bör ange den yttersta tidsfrist som bör gälla för behandling av personuppgifterna i fråga. Den bör bestämmas till tio år efter det att den senaste påföljden helt har verkställts eller upphört av annat skäl. Det innebär emellertid inte att uppgifterna alltid får behandlas så länge. Enligt 2 kap. 17 § första stycket brottsdatalagen får personuppgifter inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det innebär att behovet av att fortsätta behandla uppgifterna måste prövas kontinuerligt. Lagstiftningen blir dock genom en generell bestämmelse mer överskådlig och moderniseras.
Uppgifter om dömda personer under 18 år
Utredningens förslag: Personuppgifter om den som har dömts
för brott till en annan påföljd än fängelse och som var under 18 år vid tiden för brottet, får inte behandlas längre än fem år efter det att den senaste påföljden helt har verkställts eller upphört av annat skäl.
Skälen för utredningens förslag: När det gäller hur länge person-
uppgifter får behandlas i kriminalvårdsregistret, finns det i dag ingen särreglering för personer som var under 18 år vid tiden för brottet. De bestämmelser som redovisats tidigare tillämpas därmed för alla som döms för brott till en påföljd som ska verkställas inom Kriminalvården, oavsett ålder. Däremot görs det skillnad mellan uppgifter i journaler och andra uppgifter.
I annan lagstiftning finns det ofta särregler som gäller för den som har begått brott innan han eller hon har fyllt 18 år. Som exempel
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
kan nämnas bestämmelserna om straffmätning i 29 kap. 7 § brottsbalken och bestämmelserna om hur länge personuppgifter får behandlas i belastningsregistret i lagen (1998:620) om belastningsregister.
Personuppgifter om dömda personer som var under 18 år vid tiden för brottet bör inte få behandlas lika länge som uppgifter om personer som var över 18 år. Särskilda regler för dömda personer som var under 18 år vid tiden för brottet bör därför införas för att harmonisera med annan lagstiftning som gäller unga personer som lagförs. En lämplig lösning är att sådana uppgifter som längst får behandlas i fem år efter det att den senaste påföljden helt har verkställts eller upphört av annat skäl. Den längsta tiden för behandling bör tillämpas också om den dömde i samma dom även döms för brott som har begåtts efter det att han eller hon har fyllt 18 år. Den kortare tiden för behandling bör dock inte gälla i de fall där påföljden är fängelse, eftersom det då har varit fråga om ett särskilt allvarligt brott. Förslaget innebär att personuppgifter inte bör få behandlas lika länge för den som var under 18 år vid tiden för brottet eller brotten, utom i de fall där påföljden bestämts till fängelse.
Utredningen återkommer till behovet av övergångsreglering beträffande denna personkategori.
Uppgifter om dömda personer när domen inte fått laga kraft
Utredningens förslag: Personuppgifter får i vissa fall behandlas
trots att domen inte har fått laga kraft. Om det slutliga avgörandet innebär att personen inte döms till en påföljd som ska verkställas inom Kriminalvården ska uppgifterna raderas senast tre månader efter det att domen eller beslutet fick laga kraft. Om verkställigheten har påbörjats tillämpas i stället den längsta tid som personuppgifter får behandlas om den som dömts till en sådan påföljd.
Skälen för utredningens förslag: I avsnitt 8.3.2 föreslås en bestäm-
melse som tillåter att uppgifter om personer som är dömda till en påföljd som ska verkställas inom Kriminalvården får göras gemensamt tillgängliga, om det av särskilda skäl krävs för planering av framtida verkställighet av fängelsestraff eller av säkerhetsskäl, eller
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
om det behövs för omedelbar verkställighet av övervakning enligt 28 kap. 5 § brottsbalken, oberoende av att domen ännu inte har fått laga kraft.
Av integritetsskäl kan det övervägas om det behövs bestämmelser som anger hur länge personuppgifter som härrör från domar som inte har fått laga kraft får behandlas. I 2 kap. 17 § brottsdatalagen föreskrivs att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Den regleringen ger dock inte ett tillräckligt skydd för den personliga integriteten i dessa fall. Det bör därför föreskrivas att uppgifter som behandlas med stöd av en dom som inte har fått laga kraft ska raderas senast tre månader efter laga kraft, om personen inte döms till en påföljd som ska verkställas inom Kriminalvården. Att uppgifterna ska raderas innebär att de inte får arkiveras. Tidsfristen är en avvägning mellan skyddet för den personliga integriteten och att uppgifter bevaras tillräckligt länge för att den enskilde ska kunna ta tillvara sina rättigheter.
Om verkställigheten har hunnit påbörjas tillämpas i stället längsta tid som personuppgifter om dömda personer, som har dömts till den påföljd som föranledde personuppgiftsbehandlingen, får behandlas. Det kan vara fallet om den dömde har avgett nöjdförklaring men åklagaren eller målsägande har överklagat domen.
För personuppgifter som även behandlas med stöd av någon annan grund, t.ex. att personen har varit föremål för personutredning eller varit häktad, tillämpas i stället bestämmelserna om längsta tid för behandling i 5 kap. Det innebär att kravet på radering enbart träffar sådana uppgifter som uteslutande behandlas med stöd av den särskilda bestämmelsen om domar som inte har fått laga kraft.
Uppgifter om personer som varit föremål för personutredning
Utredningens förslag: Uppgifter om en person som inte har bli-
vit dömd för brott till en påföljd som ska verkställas inom Kriminalvården får inte behandlas längre än tre år efter det att det mål i vilket en personutredning har genomförts slutligt har avgjorts.
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
Skälen för utredningens förslag
Den nuvarande regleringen
Uppgifter om en person som har varit föremål för personutredning får enligt 4 § första stycket 1 kriminalvårdens brottsdataförordning inte behandlas längre än två år efter det att det mål i vilket personutredningen har begärts har avgjorts slutligt. Om den som varit föremål för personutredning döms till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst får enligt 4 § första stycket 2 kriminalvårdens brottsdataförordning personuppgifterna i stället behandlas tio år efter det att den senaste påföljden helt har verkställts.
Tiden för behandling bör förlängas något
De skäl som tidigare har redovisats beträffande häktade som inte döms för brott gör sig i viss mån gällande även för personer som varit föremål för personutredning men som inte döms till en påföljd som ska verkställas inom Kriminalvården. Den tidsfrist inom vilken uppgifterna som längst får behandlas bör därför förlängas. Eftersom tidsfristen räknas från det att det mål i vilket personutredningen har genomförts slutligt har avgjorts är det tillräckligt att fristen förlängs med ytterligare ett år. Det innebär att längsta tid för behandling bör vara tre år.
Uppgifter i journaler
Utredningens förslag: Det behövs inte några särskilda bestäm-
melser om hur länge personuppgifter får behandlas i en journal.
Skälen för utredningens förslag: Personuppgifter i en journal om
en häktad person får enligt 7 § Kriminalvårdens brottsdataförordning inte behandlas längre än två år efter det att den häktade frigavs från häktet eller tio år efter det att den senaste påföljden helt har verkställts, om den häktade efter att ha frigetts från häkte har dömts till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst. I fråga om personer som dömts till fängelse får enligt
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
10 § förordningen personuppgifter i en journal inte behandlas längre än tio år efter att den senaste påföljden avseende den registrerade helt har verkställts. Övriga uppgifter får inte behandlas längre än två år efter det att villkorlig frigivning har ägt rum eller intensivövervakning med elektronisk kontroll har upphört. Motsvarande bestämmelser i fråga om personer som har dömts till en annan påföljd som ska verkställas inom Kriminalvården finns i 13, 15 och 15 c §§.
Det saknas enligt utredningens mening skäl att ha särskilda bestämmelser för hur länge uppgifter i journaler får behandlas för en viss personkategori. Uppgifter i en journal bör därför som längst få behandlas så länge som personuppgifter som har gjorts gemensamt tillgängliga för den kategori som personen tillhör får behandlas. De särskilda bestämmelserna om hur länge uppgifter i journaler får behandlas bör alltså inte föras över till den nya lagstiftningen.
Uppgifter om andra personer än klienter
Utredningens förslag: Behandlingen av uppgifter om närstå-
ende, andra personer som har nära förbindelse till den registrerade, personer som i tjänst eller uppdrag har haft kontakt med den registrerade eller andra som har besökt eller har haft kontakt med den registrerade ska upphöra att behandlas senast när uppgifterna om den registrerade upphör att behandlas.
Skälen för utredningens förslag: Det finns i dag inte några särskilda
bestämmelser om hur länge uppgifter som längst får behandlas om personer som har behandlats på grund av deras kontakter med häktade eller dömda. Enligt 2 kap. 17 § brottsdatalagen får emellertid personuppgifter inte behandlas längre än vad som behövs för ändamålet med behandlingen. Det innebär att behandlingen av många personuppgifter av nu aktuellt slag kan upphöra relativt snabbt. Det kan t.ex. gälla personuppgifter om en försvarare eller tolk som har lämnat uppdraget.
Det bör av integritets- och tydlighetsskäl införas en uttrycklig bestämmelse om att alla uppgifter om en person som haft professionella eller personliga kontakter med en häktad eller dömd person ska upphöra att behandlas senast när uppgifterna om den häktade eller dömde upphör att behandlas.
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
Uppgifter för forskning
Utredningens bedömning: Det behövs inga bestämmelser om
längsta tid för att behandla personuppgifter i Kriminalvårdens forsknings- och statistikverksamhet.
Skälen för utredningens bedömning: Intresset för att utvärdera
Kriminalvårdens verksamhet ökat. Kriminalvården har begärt att det i kriminalvårdsinstruktionen tydliggörs att forskning ingår i Kriminalvårdens uppgifter. Frågan bereds i Regeringskansliet.
Det finns ingen reglering i Kriminalvårdens brottsdatalag eller brottsdataförordning som anger hur länge myndigheten får behandla personuppgifter för forsknings- eller statistikverksamhet. Huvudregeln är dock att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen, se 2 kap. 17 § första stycket brottsdatalagen.
Enligt 2 kap. 5 § kriminalvårdens brottsdatalag får personuppgifter inte behandlas automatiserat längre än tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört. Det finns emellertid ett bemyndigande i 2 kap. 6 § 5 och 26 § Kriminalvårdens brottsdataförordning för Riksarkivet att föreskriva att viss personuppgiftsbehandling ska undantas från gallringsskyldigheten för historiska, statistiska eller vetenskapliga ändamål. Riksarkivet får således meddela föreskrifter om att Kriminalvården får behandla personuppgifter längre för statistik- och forskningsändamål. Några sådana föreskrifter finns dock inte.
Statistik- och forskningsverksamheten utgår i stor utsträckning från personuppgifter som upprättas eller hämtas in från olika register såväl inom som utanför Kriminalvården. Personuppgifterna omfattar i vissa fall känsliga personuppgifter. Personuppgiftsbehandlingen äger rum i särskilt upprättade forskningsregister. De ligger utanför Kriminalvårdens gemensamma it-system. Statistik- och forskningsresultat presenteras med avidentifierade uppgifter eller på aggregerad nivå. Därmed bedömer utredningen att det inte behöver införas någon särskild bestämmelse i Kriminalvårdens brottsdatalag som anger hur länge personuppgifter får behandlas för forsknings- och statistikverksamhet.
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
8.11. Personuppgiftsbehandling som inte omfattas av brottsdatalagens tillämpningsområde
8.11.1. Olika lagstiftningar skapar problem
Utredningens förslag: Det tydliggörs att uppgifter från Krimi-
nalvårdens säkerhetsregister får behandlas med stöd av kriminalvårdsdatalagen i syfte att förebygga och förhindra incidenter av betydelse för enskildas säkerhet.
Skälen för utredningens förslag: Kriminalvården har två kategorier
av arbetsuppgifter inom den operativa verksamheten som faller utanför brottsdatalagens tillämpningsområde. Den ena är att verkställa vissa frihetsberövanden på annan grund än misstanke om brott eller straffverkställighet. Den andra är att genomföra transporter av personer som är frihetsberövade på annan grund än brott eller misstanke om brott. Stödet för att behandla personuppgifter för sådana ändamål finns i stället i dataskyddsförordningen, med kompletterande lagstiftning, kriminalvårdsdatalagen och kriminalvårdsdataförordningen.
Personuppgifter som behandlas för sådana syften får enligt 3 § första stycket kriminalvårdsdatalagen behandlas om det är nödvändigt för att verkställa frihetsberövanden eller genomföra transporter. Det finns inte stöd för att behandla uppgifterna i det centrala kriminalvårdsregistret, men däremot i en journal (se 2 och 4 §§kriminalvårdsdataförordningen). Enligt 3 § andra stycket kriminalvårdsdatalagen får uppgifter i Kriminalvårdens säkerhetsregister behandlas för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet. Andra stycket är formulerat så att det väcker frågan om bestämmelsen ger stöd för att t.ex. Kriminalvårdens nationella transportenhet får behandla uppgifter i säkerhetsregistret om intagna och transporterade som faller utanför brottsdatalagens område. Det har aldrig varit avsikten, eftersom all behandling i säkerhetsregistret görs med stöd av Kriminalvårdens brottsdatalag. Av förarbetena till kriminalvårdsdatalagen framgår att det är av yttersta vikt att Kriminalvården, inom ramen för myndighetens omfattande förebyggande säkerhetsarbete, kan använda sig av uppgifterna i säkerhetsregistret (se prop. 2017/18:248 s. 22). Bestämmelsen ger enligt utredningens mening stöd för att i t.ex. transportverksamheten behandla sådana
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
personuppgifter som kommer från säkerhetsregistret och som transportenheten har fått tillgång till för att i den verksamheten förebygga och förhindra incidenter av betydelse för enskildas säkerhet. Paragrafen bör formuleras om, så att det tydligare framgår hur den ska tillämpas.
8.11.2. Ingen ändrad reglering
Utredningens bedömning: Vissa uppgifter om personer som är
intagna i kriminalvårdsanstalt eller häkte eller föremål för transport ligger utanför tillämpningsområdet för Kriminalvårdens brottsdatalag och får därför inte behandlas med stöd av den nu aktuella lagstiftningen.
Skälen för utredningens bedömning
Personer som häktats på annan grund än misstanke om brott
Häkteslagens reglering omfattar även personer som är häktade av annan anledning än misstanke om brott. Enligt 2 kap. 12 § konkurslagen får en gäldenär häktas om det är uppenbart otillräckligt med ett reseförbud. Frågan om häktning prövas av rätten på begäran av en borgenär. Enligt 2 kap. 16 § utsökningsbalken får en gäldenär eller tredje man häktas, om det föreligger synnerliga skäl. En fråga om häktning prövas, efter framställning av Kronofogdemyndigheten, av den tingsrätt som enligt 18 kap. 1 § utsökningsbalken prövar överklagande av Kronofogdemyndighetens beslut. Ett vittne kan, som nyss nämnts, under vissa förutsättningar häktas med stöd av 36 kap. 21 § rättegångsbalken. I den mån ett sådant beslut avser vittnen i tvistemål, konkursförfarandet eller andra måltyper än brottmål ligger häktningen utanför brottsdatalagens område.
Häktning för andra ändamål än misstanke om brott eller verkställighet av påföljd eller utvisning ligger utanför brottsdatalagens tilllämpningsområde (se prop. 2017/18:269 s. 373). Det innebär att personuppgifter om sådana kategorier av intagna inte får behandlas med stöd av den nu aktuella regleringen. I förtydligande syfte bör det, som redovisats i avsnitt 8.3.2, framgå av bestämmelsen att det är uppgifter om den som är häktad med anledning av misstanke om
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
brott eller verkställighet av påföljd eller utvisning som omfattas av regleringen i Kriminalvårdens brottsdatalag.
Andra personer som tillfälligt förvaras i häkte eller kriminalvårdsanstalt
Det finns olika bestämmelser som medger att personer tillfälligt förvaras i häkte eller kriminalvårdsanstalt. Ett exempel på det är 10 kap. 20 § utlänningslagen. Enligt den paragrafen får Migrationsverket besluta att en utlänning som hålls i förvar ska placeras i kriminalvårdsanstalt, häkte eller polisarrest. Det gäller, förutom den som av allmän domstol har utvisats på grund av brott, bl.a. om det är nödvändigt av säkerhetsskäl eller av transporttekniska skäl. En liknande reglering finns i 3 kap. 18 § lagen om särskild kontroll av vissa utlänningar. Regleringen i 45 c § lagen (1988:870) om vård av missbrukare i vissa fall är ett annat exempel. Missbrukaren får tas i förvar, om det är nödvändigt för att en transport enligt 45 § samma lag ska kunna genomföras. Enligt 9 § tredje stycket lagen om verkställighet av sluten ungdomsvård får en person som är dömd till sluten ungdomsvård förvaras i häkte eller i polisarrest i väntan på förpassning, om det är nödvändigt för att förpassningen ska kunna genomföras. Den dömde omfattas då av regleringen i häkteslagen.
De nu aktuella kategorierna faller, med undantag för den som är häktad för verkställighet av utvisning på grund av brott eller förvaras i häkte i väntan på förpassning enligt lagen om verkställighet av sluten ungdomsvård, utanför brottsdatalagens tillämpningsområde. Därmed får personuppgifter om dem inte behandlas med stöd av den nu aktuella regleringen.
Personer som är föremål för transport utanför brottsdatalagens område
Enligt 6 § kriminalvårdsinstruktionen ska Kriminalvården verkställa de transporter som Polismyndigheten och Säkerhetspolisen överlämnar enligt 29 a § polislagen (1984:387). Kriminalvården ska också lämna andra myndigheter den hjälp med transporter som är särskilt föreskriven. Myndigheten genomför därmed transporter av personer som är frihetsberövade av annat skäl än misstanke om brott. Det kan röra sig om transport av personer enligt lagen (1990:52) med
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
särskilda bestämmelser om vård av unga eller lagen om vård av missbrukare i vissa fall, transporter till förhandling i allmän förvaltningsdomstol eller mellan Statens institutionsstyrelses boenden, transport av förvarstagna som har utvisats av annat skäl än brott och transport av intagna enligt lagen (1991:1128) om psykiatrisk tvångsvård mellan olika vårdinrättningar. Därmed får uppgifter om sådana personer inte behandlas med stöd av den nu aktuella regleringen.
De skilda regelverken ställer ibland till problem
I förarbetena till Kriminalvårdens brottsdatalag konstateras att personuppgiftsbehandling som äger rum i samband med förvaring i häkte och transporter som Kriminalvården utför för ändamål som ligger utanför brottsdatalagens område inte omfattas av Kriminalvårdens brottsdatalag (se prop. 2017/18:269 s. 249). Kriminalvården har lyft att detta är ett problem. Så som regelverken är utformade får Kriminalvården exempelvis inte behandla personuppgifter om personer som förvaras tillfälligt i häkte för ändamål som ligger utanför brottsdatalagens område i kriminalvårdsregistret. Kriminalvården har också behov av att kunna föra digitala listor på ett häkte där det framgår vilka personer som är intagna, oavsett om de är frihetsberövade på grund av brott eller annat skäl. Det behövs bl.a. för att kunna hantera de intagnas kost, medicinering och sjukvård m.m.
Genom förslaget i avsnitt 8.2.2 att Kriminalvården får göra personuppgifter inom brottsdatalagens område gemensamt tillgängliga hanteras problemet i vart fall delvis. Det beror på att ett sådant regelverk överlämnar formerna för behandlingen av personuppgifter till Kriminalvården. Kriminalvården kan exempelvis behandla personuppgifterna i ett register, en databas eller i en digital lista. Så som förslaget är utformat är det vidare inget som hindrar att personuppgifter som behandlas med stöd av Kriminalvårdens brottsdatalag behandlas tillsammans med personuppgifter som behandlas med stöd av ett annat regelverk, så länge bestämmelserna om personuppgiftsbehandling tillämpas på ett korrekt sätt. En gemensam digital lista kan exempelvis både innehålla personuppgifter som behandlas inom brottsdatalagens område och personuppgifter som behandlas med stöd av dataskyddsförordningen och den lagstiftning som kompletterar den. I vilken utsträckning som Kriminalvården får behandla
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
personuppgifter av sistnämnda slag vid verkställighet av frihetsberövanden och transporter styrs alltså av dataskyddsförordningen med kompletterande lagstiftning och kriminalvårdsdatalagen.
8.12. Arkivlagstiftningen
8.12.1. Allmänna handlingar ska bevaras
En myndighet är enligt arkivlagen (1990:782) skyldig att bevara allmänna handlingar i ett arkiv. En handling är allmän om den förvaras hos en myndighet och är inkommen till eller upprättad hos myndigheten. Myndigheternas arkiv är enligt 3 § arkivlagen en del av det nationella kulturarvet och ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov.
Arkivlagstiftningen har som utgångspunkt företräde framför personuppgiftslagstiftningen på så sätt att intresset av att bevara allmänna handlingar har prioritet framför skyddet för personlig integritet. Det framgår av 2 kap. 17 § andra stycket brottsdatalagen. Utrymmet för att radera uppgifter i allmänna handlingar begränsas därmed av arkivlagstiftningen.
Även om huvudregeln är att myndigheternas arkiv ska bevaras, får allmänna handlingar under vissa förutsättningar gallras, se 10 § arkivlagen. Om det finns avvikande bestämmelser i annan lag eller i förordning om gallring av vissa allmänna handlingar har enligt 10 § tredje stycket arkivlagen de bestämmelserna företräde framför arkivlagens bestämmelser. Sådana undantag finns i registerförfattningarna inom brottsdatalagens område.
8.12.2. Arkivlagstiftningen har inte företräde
Utredningens förslag: Det ska fortsatt framgå att 2 kap. 17 §
andra stycket brottsdatalagen inte gäller vid tillämpningen av bestämmelser som reglerar hur länge personuppgifter får behandlas.
Skälen för utredningens förslag: Bestämmelserna i 2 kap. 5 § första
stycket och 3 kap. 7 § Kriminalvårdens brottsdatalag och 4, 7, 10, 13,
Ds 2023:21 Den framtida regleringen av det centrala kriminalvårdsregistret
15 och 15 c §§ Kriminalvårdens brottsdataförordning reglerar den längsta tid som Kriminalvården får behandla personuppgifter för olika personkategorier automatiserat. Av bestämmelserna framgår att 2 kap. 17 § andra stycket brottsdatalagen inte gäller när respektive paragraf tillämpas. Det innebär att all automatiserad behandling av personuppgifter senast ska upphöra när den tid som anges i paragraferna löpt ut. Digital arkivering är alltså som utgångspunkt inte tillåten. Uppgifterna får däremot behandlas för arkivändamål om de överförs till pappersform. Motsvarande bestämmelse finns i andra myndigheters registerförfattningar.
När bestämmelser om längsta tid för att behandla personuppgifter samlas i ett kapitel i Kriminalvårdens brottsdatalag, bör det även fortsättningsvis framgå att bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen inte gäller vid tillämpningen av bestämmelserna i kapitlet.
8.12.3. Föreskrifter om digital arkivering
Utredningens förslag: Kriminalvården får meddela föreskrifter
om digital arkivering.
Skälen för utredningens förslag: Regeringen eller den myndighet
som regeringen bestämmer kan meddela särskilda föreskrifter med stöd av 2 kap. 6 § Kriminalvårdens brottsdatalag. I 26–30 §§ Kriminalvårdens brottsdataförordning anges i vilken utsträckning Kriminalvården eller annan myndighet får utfärda föreskrifter. Som nyss nämnts får Riksarkivet enligt 26 § meddela föreskrifter om att handlingar får bevaras längre för vissa ändamål.
Kriminalvården bör, i likhet med andra myndigheter som tillämpar brottsdatalagen, ges möjlighet att använda e-arkiv, jfr. 4 kap. 13 § polisens brottsdatalag, 4 kap. 5 § lagen om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område och 4 kap. 12 § lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Kriminalvården bör därför ges befogenhet att, efter hörande av Riksarkivet, meddela föreskrifter om digital arkivering. En sådan bestämmelse bör tas in i Kriminalvårdens brottsdataförordning. Om det införs möjlighet att använda digitala
Den framtida regleringen av det centrala kriminalvårdsregistret Ds 2023:21
arkiv kan det behövas närmare föreskrifter om begränsningar för sådan behandling.
8.13. Annan föreskriftsrätt
Utredningens förslag: Regeringen eller den myndighet som re-
geringen bestämmer kan meddela föreskrifter om uppgifter som får göras gemensamt tillgängliga, uppgiftsskyldighet och utlämnande av personuppgifter.
Skälen för utredningens förslag: Vissa bestämmelser om uppgifter
som får göras gemensamt tillgängliga, om andra myndigheters skyldighet att lämna uppgifter till Kriminalvården och om utlämnande av personuppgifter bör finnas i förordning. Det bör därför framgå av lagen att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter i sådana frågor.
9. Säkerhetsregistret
9.1. Den nuvarande regleringen av säkerhetsregistret
9.1.1. Allmänt
I avsnitt 4.4.3 och 4.5.4 finns en närmare redogörelse för den reglering som gäller för säkerhetsregistret, som är det ena av de två verksamhetsstöd som Kriminalvården använder i sin kärnverksamhet. Säkerhetsregistret, som i motsats till det centrala kriminalvårdsregistret är en enda databas, regleras dels i 3 kap. Kriminalvårdens brottsdatalag, dels i 21–24 §§ Kriminalvårdens brottsdataförordning. Syftet med säkerhetsregistret är dels att förebygga, förhindra eller upptäcka brott eller brottslig verksamhet på häkten och i kriminalvårdsanstalter eller i samband med annan straffverkställighet, dels att säkerställa ordning och säkerhet på häkten, i kriminalvårdsanstalter och i annan verksamhet som Kriminalvården bedriver.
I säkerhetsregistret får endast föras uppgifter om personer som bedöms utgöra en kvalificerad säkerhetsrisk i Kriminalvårdens verksamhet. Uppgifter om personer som är häktade eller intagna i kriminalvårdsanstalt för ändamål inom brottsdatalagens tillämpningsområde får enligt 3 kap. 2 § Kriminalvårdens brottsdatalag behandlas i säkerhetsregistret, om personen är eller har varit placerad på säkerhetsavdelning. Vidare får uppgifter om personer som är häktade eller intagna i kriminalvårdsanstalt behandlas i säkerhetsregistret om det finns risk för att personen begår brott eller utövar brottslig verksamhet av allvarligare slag. Även risk för att personen förbereder rymning eller försöker rymma, blir föremål för fritagning eller bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt kan vara grund för registrering. Detsamma gäller risk för att personen under häktning eller fängelsestraff utsätts för våld eller hot. Enligt 3 kap. 3 § Kriminalvårdens brottsdatalag får uppgifter behandlas om en person som verkställer en påföljd inom
Säkerhetsregistret Ds 2023:21
Kriminalvården om det finns risk för att personen utövar våld eller hot mot personal eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler. Den bestämmelsen omfattar alla som verkställer en påföljd inom Kriminalvården, oberoende av påföljd, och den är tillämplig i alla typer av lokaler som Kriminalvården disponerar. Uppgifter får alltså registreras i säkerhetsregistret både för att skydda Kriminalvårdens verksamhet och för att skydda enskilda personer.
Vilka uppgifter som får föras i säkerhetsregistret framgår, förutom i 3 kap. Kriminalvårdens brottsdatalag, av 21 och 22 §§ Kriminalvårdens brottsdataförordning.
9.1.2. Säkerhetsregistrets syfte i förhållande till de tillåtna rättsliga grunderna
All behandling av personuppgifter ska ha en rättslig grund för att vara tillåten. I 2 kap. 1 § första stycket brottsdatalagen anges de rättsliga grunder som tillåter personuppgiftsbehandling med stöd av det regelverket. Uppräkningen är uttömmande. Vidare ger regleringen i 2 kap. 2 § brottsdatalagen rätt att behandla personuppgifter för bl.a. diarieföring.
Alla myndigheter får inte behandla personuppgifter för samtliga de rättsliga grunder som framgår av 2 kap. 1 § brottsdatalagen. Vilka rättsliga grunder som en myndighet tillåts behandla personuppgifter för framgår av respektive myndighets registerförfattning. De myndighetsspecifika bestämmelserna om rättslig grund gäller i stället för bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen.
Kriminalvården får bl.a. behandla personuppgifter för att förebygga, förhindra eller upptäcka brottslig verksamhet i samband med verkställighet av häktning eller straffrättsliga påföljder, men däremot inte för att upprätthålla allmän ordning och säkerhet, se 2 kap. 1 § Kriminalvårdens brottsdatalag. Det är främst Polismyndigheten som har till uppgift att upprätthålla allmän ordning och säkerhet.
Att Kriminalvården får behandla personuppgifter i säkerhetsregistret i syfte att säkerställa ordning och säkerhet på häkten, i kriminalvårdsanstalter och i annan verksamhet som Kriminalvården bedriver innebär inte att myndigheten går utöver den tillåtna rättsliga grunden för behandling av personuppgifter. Sådan behandling äger rum med stöd av 2 kap. 1 § 1 Kriminalvårdens brottsdatalag, enligt
Ds 2023:21 Säkerhetsregistret
vilken Kriminalvården får behandla personuppgifter för att kunna verkställa häktning eller straffrättsliga påföljder. I Kriminalvårdens uppdrag ingår att verka för att påföljder verkställs på ett säkert, humant och effektivt sätt, se 2 § kriminalvårdsinstruktionen. Vissa ordningshållande uppgifter är nödvändiga för att utföra Kriminalvårdens grunduppdrag och får därmed anses ingå i uppdraget att verkställa häktning eller straffrättsliga påföljder.
9.2. Kriminalvårdens önskemål om förändringar
Kriminalvården har när det gäller säkerhetsregistret framhållit att det finns behov av att kunna registrera fler personer och fler uppgifter än vad den nuvarande lagstiftningen tillåter. Ett huvudskäl till det är att det finns betydligt större risk för konflikter och säkerhetsincidenter i dag än tidigare. Ett stort antal kriminella nätverk är i konflikt med varandra och det påverkar även Kriminalvårdens verksamhet, både anstalts- och häktesverksamheten och frivården. Det kan vara fråga om mycket allvarliga säkerhetshot. Kriminalvården har bl.a. fått avvärja planerade mord i kriminalvårdsanstalt. Man har också upptäckt och kunnat avvärja flera planerade fritagningsförsök.
En viktig fråga är vilka krav som ska gälla för att en person ska få registreras i säkerhetsregistret. Genom att det krävs att personen redan är intagen i häkte eller kriminalvårdsanstalt saknar Kriminalvården möjlighet att tidigt registrera personer som ska verkställa fängelsestraff men som befinner sig på fri fot. Det gäller även om de redan från början kan antas innebära en betydande säkerhetsrisk, t.ex. genom att ha en framträdande position i ett kriminellt nätverk. Det är vidare inte tydligt vad som gäller i fråga om den som verkställer fängelsestraff utanför anstalt. Det finns behov av att i vissa fall kunna registrera även sådana personer i säkerhetsregistret.
Det är en prioriterad uppgift för Kriminalvården att kunna följa utvecklingen när det gäller kriminella nätverk och deras kapacitet att hota säkerheten i Kriminalvårdens verksamhet. Den nuvarande regleringen ger dock bara möjlighet att behandla uppgifter om den som är häktad eller intagen i kriminalvårdsanstalt och personer som har personlig anknytning till eller annan nära förbindelse med dem. Myndigheten har därför svårt att upprätthålla en tillräckligt god kunskap om personer som kan utgöra säkerhetshot mot Kriminal-
Säkerhetsregistret Ds 2023:21
vårdens verksamhet, t.ex. genom att arrangera fritagningar eller smuggla in förbjudna föremål. Kriminalvården vill därför kunna behandla uppgifter om personer som ingår i olika kriminella nätverk eller gäng i säkerhetsregistret, om det bland de intagna finns personer som tillhör nätverket eller gänget.
Möjligheten att behandla uppgifter om risk för otillbörlig påverkan är enligt Kriminalvårdens mening också alltför begränsad. Det är enbart risken för att personer som själva verkställer en påföljd utövar otillbörlig påverkan som kan föranleda behandling i säkerhetsregistret. Om t.ex. besökare eller andra som är i direktkontakt med intagna försöker påverka personalen eller intagna på ett otillbörligt sätt, exempelvis försöker förmå en intagen att gå med i ett kriminellt nätverk, är det inte en grund för behandling i säkerhetsregistret.
Det är också viktigt att Kriminalvården kan ta hand om och behandla underrättelseinformation från andra myndigheter för att motverka att de intagna får frigång till eller placeras i utslussningsåtgärder hos företag eller organisationer där det kan finnas personer med kriminella kontakter.
Vidare har Kriminalvården noterat att personer med kontakter i kriminella nätverk söker anställning inom myndigheten. Kriminalvården skulle vilja kontrollera i säkerhetsregistret att den som söker anställning i myndigheten inte har kontakt med personer som förekommer i säkerhetsregistret.
9.3. Säkerhetsförhållandena har förändrats
Utredningens bedömning: Kriminalvården behöver kunna be-
handla fler uppgifter i säkerhetsregistret.
Skälen för utredningens bedömning: Trots att regleringen av
säkerhetsregistret är ganska ny har förhållandena inom kriminalvårdens verksamhet, på samma sätt som i samhället i övrigt, ändrats framför allt genom de senaste årens allvarliga utveckling av gängkriminaliteten. Det gäller särskilt det förhållandet att lojaliteter mot olika gäng eller kriminella nätverk snabbt kan förändras och att säkerheten för enskilda personer därmed kan växla på ett sätt som inte förekom tidigare. Till det kommer att beläggningssituationen inom Kriminalvården är mycket högre i dag än tidigare och sannolikt
Ds 2023:21 Säkerhetsregistret
kommer att vara det under en ganska lång tid framöver. Det medför att dubbelbeläggning har blivit vanligare både i kriminalvårdsanstalter och på häkten. För Kriminalvården innebär det bl.a. att det krävs en bra underrättelsebild för att hålla potentiella antagonister isär. Det är viktigt att personer som är i konflikt med varandra inte, på grund av bristande information, riskerar att placeras tillsammans på häkten och i kriminalvårdsanstalter.
Den ökande risken för hot, våld och allvarliga ordningsstörningar leder också till ett större behov av att förflytta intagna för att bemästra problemen. Det är då viktigt att det finns tillräcklig information om dem som förflyttas för att undvika problem under transporten och på den nya placeringsorten. Den information som finns i säkerhetsregistret är då en värdefull hjälp.
I sammanhanget bör också beaktas att möjligheterna att upprätthålla restriktioner för häktade, att bereda fängelsedömda meningsfull verksamhet utanför kriminalvårdsanstalt och risken för incidenter i frivården också påverkas av att de personer som utgör en faktisk risk mot Kriminalvårdens verksamhet har blivit fler.
Sammanfattningsvis har enligt utredningens mening säkerhetsförhållandena förändrats så mycket att det nu är nödvändigt att se över möjligheterna att registrera uppgifter i säkerhetsregistret.
9.4. Det behövs ett särskilt register
Utredningens bedömning: Kriminalvården har ett fortsatt be-
hov av ett särskilt säkerhetsregister.
Skälen för utredningens bedömning: I avsnitt 8.2.2 har utred-
ningen föreslagit att Kriminalvården, i likhet med flertalet andra myndigheter i rättskedjan, ska få behandla personuppgifter på ett modernare sätt. Det väcker frågan om det alltjämt finns behov av ett särskilt säkerhetsregister.
Säkerhetsregistret fyller en mycket viktig funktion i Kriminalvården. I databasen behandlas uppgifter som härrör från underrättelseverksamhet. Det är uppgifter som enbart vissa anställda inom Kriminalvården bör ha tillgång till, för att inte äventyra säkerheten på häkten och kriminalvårdsanstalter. Vidare behöver mycket känsliga uppgifter av underrättelsekaraktär kunna behandlas i databasen, t.ex.
Säkerhetsregistret Ds 2023:21
uppgifter om risk för våld mot intagna och risk för fritagning. Att det är fråga om underrättelseuppgifter innebär att uppgifterna inte har samma robusthet som uppgifter i en förundersökning eller dom. Både av verksamhetsskäl och av integritetsskäl att det viktigt att tillgången till uppgifterna kan begränsas. Kriminalvårdens behov tillgodoses därför bäst genom att det finns ett särskilt säkerhetsregister.
9.5. Fler fängelsedömda behöver registreras
Utredningens förslag: Det tydliggörs att också uppgifter om den
som verkställer ett fängelsestraff utanför anstalt får behandlas i säkerhetsregistret. Även uppgifter om en person som uppfyller kraven för registrering i säkerhetsregistret och som har dömts till fängelse, men ännu inte har påbörjat verkställigheten, får registreras. Om domen ändras, så att det inte längre finns grund för behandling, ska personuppgifterna raderas.
Skälen för utredningens förslag
Personer som verkställer fängelsestraff utanför anstalt
Numera verkställs fängelsestraff i förhållandevis stor utsträckning utanför anstalt. Det kan t.ex. vara fråga om kortare fängelsestraff som i sin helhet verkställs med fotboja eller längre fängelsestraff där slutet av straffet verkställs genom olika utslussningsåtgärder eller med fotboja.
Det är naturligtvis lika viktigt att säkerhetsincidenter uppmärksammas och att nödvändiga åtgärder kan vidtas även om den dömde verkställer fängelsestraffet, helt eller delvis, utanför anstalt. Numera kan sådan verkställighet bedrivas såväl i Kriminalvårdens som i någon annans regi. Den kan även bedrivas till viss del i den dömdes hem, om han eller hon avtjänar straffet med fotboja.
Många intagna som har ett säkerhetshotande beteende eller som riskerar att utsättas för hot eller våld kommer förr eller senare till ett stadium av straffet där det kan verkställas under andra former än i kriminalvårdsanstalt, t.ex. genom vårdvistelse eller vistelse i ett halvvägshus. Som redan nämnts har antalet personer som kan vara inblandade i konflikter mellan olika kriminella nätverk successivt ökat
Ds 2023:21 Säkerhetsregistret
under senare år. Säkerhetshotande incidenter kan inträffa även när den intagne befinner sig i ett halvvägshus, på ett vårdhem, en arbetsplats eller i någon annan verksamhet utanför kriminalvårdsanstalt. Det är därför nu nödvändigt att tydliggöra möjligheterna till behandling i säkerhetsregistret av uppgifter om fängelsedömda som verkställer straffet utanför anstalt.
Regleringen bör ändras så att det inte råder någon tvekan om att rätten att behandla uppgifter i säkerhetsregistret omfattar hela tiden som en person verkställer ett fängelsestraff, oavsett var verkställigheten äger rum.
Personer som har villkorlig frigivning
I slutet av ett fängelsestraff förekommer normalt villkorlig frigivning. Under den villkorliga frigivningen förutsätts den dömde hålla viss kontakt med Kriminalvården. Frigivningen kan enligt 26 kap. 12 § brottsbalken förenas med övervakning och den frigivne är enligt 26 kap. 11 § andra stycket brottsbalken skyldig att inställa sig hos Kriminalvården efter kallelse. Under den villkorliga frigivningen bör också behandling i säkerhetsregistret få förekomma. Möjligheten till sådan behandling har betydelse både för personal som övervakar den dömde och för att förhindra att den dömde återfaller i brott under den villkorliga frigivningen.
Det bör normalt inte komma i fråga att genomföra en första registrering i säkerhetsregistret av en fängelsedömd under villkorlig frigivning, men det kan inte uteslutas att det först vid den tidpunkten framkommer något som motiverar en sådan registrering. Det kan t.ex. först då komma till Kriminalvårdens kännedom att personen i fråga har kopplingar till ett känt kriminellt nätverk.
Personer som ska verkställa fängelsestraff
En förutsättning för att uppgifter om en person ska få behandlas i säkerhetsregistret är att personen i fråga antingen är häktad eller redan har påbörjat verkställigheten av en påföljd inom Kriminalvården. Det innebär att behandling av uppgifter om en person som är dömd till fängelse, men som är på fri fot i väntan på att avtjäna fängelsestraffet, inte får förekomma. Det gäller även om det är en person
Säkerhetsregistret Ds 2023:21
som kan antas medföra en avsevärd säkerhetsrisk. Det kan t.ex. vara en person som har fått ett fängelsestraff men som har frigetts från häktning under handläggningen eller vid domen eller någon som har frikänts i underrätt men dömts till fängelsestraff i högre instans och då inte häktats i samband med domen. Det kan även vara fråga om en person som visserligen är häktad men befinner sig utomlands, t.ex. någon som har avvikit eller fritagits under häktningstiden. Om en sådan person exempelvis har en framträdande roll i ett kriminellt mc-gäng eller tillhör ett kriminellt nätverk med våldskapital kan det enligt Kriminalvården finnas starka skäl för att kunna behandla personuppgifter om honom eller henne i säkerhetsregistret redan innan verkställigheten av fängelsestraffet har hunnit påbörjas.
Det finns enligt utredningens mening goda skäl för att i vissa fall låta Kriminalvården behandla uppgifter om en person i säkerhetsregistret redan när det finns en dom på fängelsestraff, även om domen inte har fått laga kraft. På så sätt ges Kriminalvården möjlighet att, redan när verkställigheten inleds, ha nödvändig information om personer som utgör särskilda säkerhetsrisker eller har en allvarlig hotbild mot sig.
Behandling av uppgifter i säkerhetsregistret om personer som är dömda för brott, men som befinner sig på fri fot efter domen i avvaktan på att avtjäna ett fängelsestraff eller en annan påföljd inom Kriminalvården, ger Kriminalvården större möjlighet att få tillgång till relevanta uppgifter som kan påverka säkerheten. Det krävs bl.a. för att kunna placera personer i rätt säkerhetsklass och se till att personer från rivaliserande nätverk inte placeras tillsammans.
Vad bör gälla för behandling av uppgifter om personer som ska verkställa straff?
En annan grundläggande förutsättning för behandling i säkerhetsregistret är att personen i fråga är eller har varit intagen på säkerhetsavdelning. Det kravet kan i vissa fall vara uppfyllt beträffande en person som ska avtjäna fängelsestraff men som befinner sig på fri fot. Det kravet är emellertid inte uppfyllt om en person, som utgör en avsevärd säkerhetsrisk eller har ett betydande säkerhetshot riktat mot sig, inte tidigare har dömts till en påföljd inom Kriminalvården eller bara har förekommit inom frivården. Det kan t.ex. röra sig om en person med en framträdande position i ett mc-gäng eller ett kri-
Ds 2023:21 Säkerhetsregistret
minellt nätverk. För att sådana personer ska kunna behandlas i säkerhetsregistret innan en dom har fått laga kraft behöver det tillföras en ytterligare grund för behandlingen. Den kan lämpligen utformas så att personen i fråga ska uppfylla kraven på att placeras på säkerhetsavdelning. Det innebär i praktiken att det inte ställs lägre krav än i dag för registrering, men det ger Kriminalvården bättre möjlighet att planera för den framtida verkställigheten.
Om uppgifter om en person ska få behandlas i säkerhetsregistret redan innan domen har fått laga kraft måste det emellertid kombineras med en regel som säkerställer att uppgifterna raderas om personen i en högre instans frikänns eller döms till en påföljd som inte ska verkställas inom Kriminalvården. Regleringen kan lämpligen utformas på det sättet att uppgifterna ska raderas senast tre månader efter det att domen fick laga kraft. Kravet på radering bör dock inte gälla för den undantagssituationen att den dömde har hunnit påbörja verkställigheten av påföljden. Det kan inträffa exempelvis om den dömde har avgett nöjdförklaring men åklagaren därefter överklagar domen. I de fallen bör uppgifterna få behandlas i samma utsträckning som annars gäller för uppgifter i säkerhetsregistret, eftersom Kriminalvården då har behov av att ha kvar uppgifter om verkställigheten.
En tydligare reglering
Uppgifter om den som avtjänar ett fängelsestraff kan enligt 3 kap. 3 § kriminalvårdens brottsdatalag redan i dag behandlas i säkerhetsregistret bl.a. om det finns risk att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler. Regleringen blir emellertid tydligare om lagtexten ändras så att 3 kap. 2 § anger alla de omständigheter som kan ligga till grund för registrering av den som verkställer fängelsestraff. Det innebär att den paragrafen även bör omfatta hot och våld mot personal eller andra personer som befinner sig i Kriminalvårdens lokaler. Vidare bör den som bidrar till att allvarligt störa ordningen eller säkerheten i andra lokaler där Kriminalvården bedriver verksamhet än i häkten eller kriminalvårdsanstalter, t.ex. i halvvägshus, omfattas.
Säkerhetsregistret Ds 2023:21
Regleringen bör även omfatta häktade
I dag träffar regleringen i 3 kap. 3 § inte den som är häktad. Det innebär att personuppgifter om häktade inte får behandlas i säkerhetsregistret om det finns risk för att den häktade utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra som uppehåller sig i Kriminalvårdens lokaler. Även om häktade som regel inte har samma möjligheter att röra sig fritt i lokalerna som andra intagna finns det samma risk för otillbörlig påverkan. Risken för våld och hot mot personalen kan vara lika stor som när det gäller de som är intagna i kriminalvårdsanstalt. Samma regler bör därför gälla för häktade som för intagna i kriminalvårdsanstalt.
9.6. Frivårdsklienter bör kunna registreras i större utsträckning
Utredningens förslag: Uppgifter om den som verkställer en på-
följd inom frivården får, om det finns särskilda skäl, behandlas i säkerhetsregistret om det finns risk för att han eller hon utsätts för hot eller våld i lokaler där Kriminalvården bedriver verksamhet. Även uppgifter om den som bidrar till att allvarligt störa ordningen eller säkerheten i sådana lokaler får behandlas i säkerhetsregistret om det finns särskilda skäl.
Skälen för utredningens förslag
Den nuvarande regleringen
Enligt 3 kap. 3 § Kriminalvårdens brottsdatalag får uppgifter om en person behandlas, oberoende av vilken påföljd personen verkställer, om det finns en risk för att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler. Däremot finns det i dag ingen grund för att behandla uppgifter om att en viss frivårdsklient själv riskerar att utsättas för hot eller våld. Det finns inte heller någon grund för att behandla uppgifter om en frivårdsklient som riskerar att bidra till att allvarligt störa ordningen eller säkerheten i Kriminalvårdens lokaler.
Ds 2023:21 Säkerhetsregistret
Kriminalvårdens synpunkter
Kriminalvården får inte sällan genom underrättelsesamarbetet med andra myndigheter uppgifter om att en frivårdsklient riskerar att utsättas för hot eller våld från t.ex. ett visst gäng eller kriminellt nätverk. Informationen kan enligt Kriminalvården i dag inte hanteras på ett bra sätt, eftersom det inte finns stöd för att behandla uppgifterna i säkerhetsregistret. Sådana uppgifter kan frivården ha ett behov av att kunna behandla i säkerhetsregistret både för klienternas säkerhet och för att kunna undvika att säkerhetshotande situationer uppstår. Risk för att klienten utsätts för hot eller våld hanteras i dag genom anteckningar på lokala frivårdskontor eller genom lokal personkännedom på frivårdskontoren. Om klienten flyttas mellan olika frivårdskontor under verkställigheten följer emellertid sådan kunskap inte alltid med. Kriminalvården ser därför ett behov av att kunna behandla uppgifter om vissa frivårdsklienter för att kunna förebygga att de t.ex. vid besök på ett frivårdskontor ska utsättas för hot eller våld från andra personer som har kallats dit. Kriminalvården har även framhållit att den som allvarligt stör ordningen eller säkerheten i sådana lokaler bör få registreras, eftersom det är viktigt att i största möjliga mån kunna förebygga sådana situationer.
Det finns behov av utökad registrering
Kriminalvården har ett tydligt ansvar för att personer som är intagna i häkte eller fängelse inte utsätts för hot och våld. Uppgifter om att en intagen riskerar att utsättas för sådana åtgärder får enligt 3 kap. 2 § andra stycket 5 kriminalvårdens brottsdatalag behandlas i säkerhetsregistret. Frågan är om motsvarande bör gälla för frivårdsklienter som riskerar att utsättas för hot eller våld när de vistas i Kriminalvårdens lokaler.
Som tidigare nämnts har säkerhetsförhållandena inom Kriminalvården förändrats. Det är givetvis viktigt att personer som är skyldiga att inställa sig hos Kriminalvården som ett led i verkställigheten inte riskerar att vid ett sådant besök utsättas för hot eller våld. Det kan bli en oavsiktlig effekt om det saknas kunskap om att en viss person löper särskild risk för att utsättas för det. Då kan t.ex. två personer som tillhör olika kriminella nätverk och som är i konflikt
Säkerhetsregistret Ds 2023:21
med varandra råka kallas till besök på ett frivårdskontor vid samma tidpunkt.
Det är rimligt att lagstiftningen tillhandahåller möjligheter för Kriminalvården att kunna undvika säkerhetsincidenter på frivårdskontor. Om det finns ett tillräckligt preciserat hot mot en frivårdsklient bör uppgifter om det kunna behandlas i säkerhetsregistret och på så vis vara tillgängliga för fler än dem som arbetar på ett visst frivårdskontor. Någon generell registrering bör dock av integritetsskäl inte få förekomma. Det bör därför krävas särskilda skäl för att uppgifter om en frivårdsklient ska få behandlas i säkerhetsregistret vid säkerhetshot som riktar sig mot honom eller henne. Ett särskilt skäl kan vara att Kriminalvården fått kännedom om ett konkret hot mot klienten eller en konkret konflikt inom ett gäng eller ett kriminellt nätverk som klienten tillhör eller har tillhört. Det kan även vara fråga om frivårdsklienter som har en familjekonflikt som riskerar att leda till hot eller våld.
Det bör även vara möjligt att, om det finns särskilda skäl, behandla uppgifter om klienter som bidrar till att allvarligt störa ordningen eller säkerheten i lokaler där Kriminalvården bedriver frivård. Att behandla personuppgifter om sådana klienter har inte bara betydelse för frivårdsverksamheten. Det kan även ha betydelse bl.a. om en dom på skyddstillsyn senare omvandlas till fängelse.
9.7. Risken för otillbörlig påverkan
Utredningens förslag: Uppgifter om den som är häktad eller
verkställer ett fängelsestraff får behandlas i säkerhetsregistret om det finns risk för att han eller hon utövar otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler.
Skälen för utredningens förslag
En tydligare reglering
Kriminalvården har framhållit att möjligheterna att behandla uppgifter om personer som utövar eller försöker utöva otillbörlig påverkan på intagna eller personal är alltför begränsade i dag. Enligt myndig-
Ds 2023:21 Säkerhetsregistret
hetens mening bör det bl.a. vara möjligt att registrera även andra än de som verkställer en påföljd, om de försöker utöva otillbörlig påverkan på klienter eller på Kriminalvårdens personal.
Enligt 3 kap. 3 § Kriminalvårdens brottsdatalag får uppgifter behandlas om en person som verkställer en påföljd inom Kriminalvården, om det finns risk för att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler. Bestämmelsen träffar alla som verkställer en påföljd inom Kriminalvården och har således ett bredare tillämpningsområde än 3 kap. 2 §. Eftersom redan risken för påverkan ger möjlighet att behandla uppgifter om Kriminalvårdens klienter, oberoende av vilken påföljd de verkställer, ger den nuvarande regleringen i och för sig möjlighet att registrera intagna som utgör en säkerhetsrisk av det skälet. När tillämpningsområdet för 3 kap. 2 § kriminalvårdens brottsdatalag utvidgas bör det av tydlighetsskäl anges i den paragrafen att risken för hot, våld och otillbörlig påverkan utgör grund för behandling i säkerhetsregistret. Det innebär att regleringen även kommer att omfatta häktade, vilket inte är fallet i dag. Behovet av att kunna behandla uppgifter om häktade som medför risk för otillbörlig påverkan är påtagligt, eftersom det finns ett betydande antal personer som tillhör olika kriminella nätverk som numera är häktade.
Bör även andra få registreras?
Frågan är om det också bör införas en möjlighet att registrera andra personer än intagna, om de kan misstänkas för att utsätta intagna eller personal för otillbörlig påverkan. Det kan diskuteras om t.ex. uppgifter om besökare eller andra som har kontakt med intagna bör få behandlas i säkerhetsregistret av det skälet.
Det finns anledning att erinra om att syftet med säkerhetsregistret är att förebygga, förhindra och upptäcka brott eller brottslig verksamhet i samband med verkställighet och att säkerställa ordning och säkerhet i Kriminalvårdens verksamhet. Det ligger därför i sakens natur att det främst är uppgifter om intagna eller andra klienter som behöver behandlas för att uppnå de syftena. Även om det finns ett visst utrymme för att behandla uppgifter om andra personer som har anknytning till eller kontakter med de intagna är möjligheterna
Säkerhetsregistret Ds 2023:21
till det begränsade. Det ska vara absolut nödvändigt att uppgifterna behandlas.
Det kan i och för sig i enskilda fall finnas en risk för att någon utomstående kan försöka utöva otillbörlig påverkan på intagna eller personal. I första hand bör det mötas med andra åtgärder från Kriminalvårdens sida, t.ex. att dra in besökstillstånd eller rätt att kommunicera elektroniskt. Är det fråga om en häktad bör information om försök till otillbörlig påverkan föras vidare till åklagaren, om den häktade har eller har haft restriktioner. Det kan även vara fråga om att Kriminalvården inte bör låta en viss aktör ta emot intagna för vistelse eller arbete eller att leverera till myndigheten. Vidare kommer den föreslagna utvidgade registreringen av personer som ingår i eller har kopplingar till kriminella nätverk och andra grupperingar eller konstellationer som gemensamt ägnar sig åt organiserad brottslighet (se avsnitt 9.9.1) att medföra att uppgifter om personer som kan utgöra en risk för otillbörlig påverkan sannolikt kan behandlas på den grunden. De skäl som talar för att tillåta ytterligare behandling av uppgifter om utomstående i säkerhetsregistret väger inte lika tungt som de integritetsskäl som talar emot en sådan reglering. Det bör därför inte införas någon möjlighet att behandla uppgifter om andra personer än intagna och sådana som avtjänar påföljd inom Kriminalvården.
9.8. Uppgifter om personer som är föremål för personutredning
Utredningens bedömning: Den som undergår personutredning
bör inte få registreras i säkerhetsregistret.
Skälen för utredningens bedömning
Den nuvarande regleringen
Kriminalvården får enligt 2 kap. 1 § 3 Kriminalvårdens brottsdatalag behandla personuppgifter vid biträde åt andra myndigheter som utför uppgifter inom brottsdatalagens tillämpningsområde. Ett vanligt exempel på biträde är genomförandet av personutredningar enligt
Ds 2023:21 Säkerhetsregistret
lagen om särskild personutredning i brottmål, m.m. Oftast lämnas uppdraget att göra personutredning av en allmän domstol, men i vissa fall av en åklagare eller annan undersökningsledare. De sistnämnda kan besluta om att inhämta en personutredning innan åtal har väckts. Beslut om att inhämta yttrande från Kriminalvården innan åtal har väckts, får enligt 2 § andra stycket lagen om särskild personutredning i brottmål, m.m. meddelas endast under förutsättning att den misstänkte har erkänt gärningen eller att det annars finns sannolika skäl för misstanken att han eller hon har begått brottet. Sannolika skäl för misstanke om brott finns i regel när en misstänkt person är häktad, men det kan finnas även i andra fall. I fråga om misstänkta personer som inte är häktade, men mot vilka åtal är väckt, beslutar rätten i regel att inhämta ett yttrande från Kriminalvården om annan påföljd än böter eller villkorlig dom i förening med böter kan förutses vid en fällande dom.
Personutredning bör inte utgöra grund för behandling
Både när Kriminalvården utför personutredningar rörande frihetsberövade och personer som är på fri fot kan det ibland komma fram omständigheter som talar för att uppgifter om personen bör kunna behandlas i säkerhetsregistret om han eller hon döms till fängelse. Det kan t.ex. visa sig att en person som är ostraffad har en roll i eller nära kontakter med kriminella nätverk. I säkerhetsregistret får emellertid uppgifter bara behandlas om en person som är häktad eller verkställer en påföljd inom kriminalvården. Det innebär att det i det angivna exemplet saknas rättsligt stöd för Kriminalvården att behandla personuppgifter i säkerhetsregistret, om personen i fråga är på fri fot. Det kan även finnas andra situationer där det kan komma fram skäl som talar för att registrera en person mot vilken allmänt åtal är väckt och personutredning genomförd. Ett exempel på det kan vara om en häktad fritas eller lyckas rymma.
Det finns emellertid inte tillräckliga skäl för att tillåta att personuppgifter behandlas i säkerhetsregistret redan under personutredningen eller när personutredningen lämnas till domstol, mot bakgrund av att det då ännu är osäkert om personen i fråga kommer att dömas för brott och vilken påföljd som i sådana fall väljs. Oskulds-
Säkerhetsregistret Ds 2023:21
presumtionen talar i sådana fall starkt emot att uppgifterna får behandlas.
9.9. Bör fler uppgifter kunna behandlas om andra än klienter?
9.9.1. Personer knutna till kriminella nätverk m.m.
Utredningens förslag: Om det är absolut nödvändigt för att Kri-
minalvården ska kunna upprätthålla säkerheten på häkten eller i kriminalvårdsanstalter får myndigheten i säkerhetsregistret behandla uppgifter om personer som tillsammans med andra kan antas ägna sig åt organiserad brottslig verksamhet.
Skälen för utredningens förslag
Risken för negativ påverkan ökar
Som tidigare nämnts påverkar förekomsten av kriminella nätverk Kriminalvårdens verksamhet alltmer, eftersom ett stort antal personer med sådana kopplingar antingen är häktade eller intagna i kriminalvårdsanstalt. De pågående ansträngningarna att komma till rätta med den brottslighet som sådana nätverk bedriver kommer sannolikt att resultera i att ytterligare ett antal personer med sådana kopplingar kommer att hanteras av Kriminalvården under lång tid framöver. Ett stort antal sådana personer avtjänar redan mycket långa fängelsestraff.
Samtidigt finns det, enligt vad Polismyndigheten uppger, ett stort antal personer med mer eller mindre starka kopplingar till kriminella nätverk som inte verkställer någon påföljd. Även om det är fråga om personer med tydliga kopplingar till personer som är intagna i kriminalvårdsanstalt eller häkte, faller de som regel utanför de kategorier vilkas personuppgifter i dag får behandlas i säkerhetsregistret. Det gäller trots att de kan ha ett stort våldskapital eller på annat sätt utgöra ett tydligt säkerhetshot. Sådana personer kan utgöra ett hot mot Kriminalvårdens verksamhet på olika sätt. De kan t.ex. planera och genomföra fritagningar eller hota och trakassera kriminalvårdstjänstemän.
Ds 2023:21 Säkerhetsregistret
Det bör också nämnas att när häktade personer med kopplingar till kriminella nätverk döms till sluten ungdomsvård eller till någon annan påföljd som inte verkställs inom Kriminalvården upphör möjligheterna att tillföra nya uppgifter om dem i säkerhetsregistret.
Vid sidan av de kriminella nätverken, som numera får mest uppmärksamhet, finns det fortfarande mc-gäng som kan utgöra säkerhetshot av motsvarande slag.
En mer fullständig registrering är nödvändig
Dagens reglering, som innebär att Kriminalvården får behandla uppgifter om framför allt personer som är intagna i häkte eller kriminalvårdsanstalt, leder till att bara vissa personer i ett kriminellt nätverk eller mc-gäng får behandlas i säkerhetsregistret. Det finns därmed risk för att personer som allvarligt kan hota säkerheten i Kriminalvårdens verksamhet kan få tillstånd att besöka intagna eller att kommunicera elektroniskt med dem. Det kan också innebära att personer under utslussning kan komma att placeras i verksamheter där de kan fortsätta sin brottsliga verksamhet.
Samhällsutvecklingen innebär att hoten mot Kriminalvårdens verksamhet har ökat kraftigt. Det är därför nödvändigt att utöka möjligheterna att behandla uppgifter i säkerhetsregistret om andra än Kriminalvårdens klienter.
Eftersom det är fråga om att behandla uppgifter om personer som varken är häktade eller intagna bör det krävas att behandlingen ska vara absolut nödvändig för att Kriminalvården ska kunna upprätthålla säkerheten på häkten och i anstalter. Det innebär att tillämpningen ska vara restriktiv.
Kriminalvården bör endast få behandla uppgifter om personer som tillsammans med andra kan antas ägna sig åt organiserad brottslig verksamhet. Begreppet organiserad brottslig verksamhet är inte definierat i svensk lagstiftning. Det används ibland synonymt med begreppet kriminella nätverk, som inte heller är definierat i svensk lag (se Skärpta straff för brott i kriminella nätverk, prop. 2022/23:53, s. 24). Med att personer kan antas ägna sig åt organiserad brottslig verksamhet avses här att personer som antas ingå i eller ha kopplingar till kriminella nätverk eller gäng eller liknande grupperingar som gemensamt ägnar sig åt organiserad brottslighet. Hit hör också
Säkerhetsregistret Ds 2023:21
personer som misstänks tillhöra eller sympatisera med terroristorganisationer. Även konstellationer av brottsliga aktörer med lägre organisationsgrad omfattas, såsom familje- och släktbaserade nätverk och nätverk som bygger på gemensamt ursprung, boendemiljö eller gemensamma tidigare erfarenheter. Med organiserad brottslighet avses här allvarligare brottslighet.
Frågan är då vad som bör krävas för att det ska kunna antas att personen tillhör en sådan gruppering. Kan antas är ett lågt ställt krav som innebär att det ska föreligga någon konkret omständighet som talar för att personen tillsammans med andra ägnar sig åt organiserad brottslig verksamhet. Ibland framgår det av handlingar som är offentliga, t.ex. domar eller förundersökningar som har lämnats till domstol. I andra fall kan det framgå av personens eget agerande, t.ex. att han eller hon bär klädsel, föremål eller tatueringar som associeras med en viss gruppering. Det kan även framgå av information i sociala medier, t.ex. bilder eller kommentarer, att personen har deltagit i någon sammankomst med personer som är kända för att ägna sig åt organiserad brottslighet. Det kan också framgå genom underrättelseinformation som andra myndigheter, främst Polismyndigheten, har delat med sig till Kriminalvården. Utvidgningen av möjligheterna till behandling av personuppgifter riskerar därmed inte att drabba personer i allmänhet.
Kravet på att grupperingen tillsammans kan antas ägna sig åt organiserad brottslighet innebär också att inte alla grupper som gemensamt ägnar sig åt brottslighet får registreras. Grupperingar som ägnar sig åt mindre allvarlig brottslighet faller t.ex. utanför. Kravet på särskild upplysning bör gälla även för den nya kategori av personer som får behandlas.
Vilka personuppgifter bör få tillföras säkerhetsregistret?
Den närmare regleringen av vilka uppgifter om en person som kan antas ägna sig åt organiserad brottslighet som får tillföras säkerhetsregistret kan regleras i förordning. Det bör vara fråga om uppgifter om namn och andra identitetsuppgifter, adresser, telefonnummer och, i förekommande fall, uppgifter om företag som personen driver. Det bör också framgå vilket kriminellt nätverk eller annan gruppering som personen antas tillhöra.
Ds 2023:21 Säkerhetsregistret
Uppgifterna bör få göras gemensamt tillgängliga
Uppgifter om att en viss person har kopplingar till ett visst kriminellt nätverk eller mc-gäng eller liknande bör få göras gemensamt tillgängliga. Det är nödvändigt för att uppgifterna ska kunna komma till nytta i Kriminalvårdens verksamhet. Sådana uppgifter kan t.ex. vara viktiga för placeringsbeslut och när transporter, vårdvistelser och frigång m.m. planeras. Andra uppgifter än att personen i fråga kan antas tillhöra en sådan gruppering och vilken grupp det är fråga om bör däremot inte få göras gemensamt tillgängliga, exempelvis uppgifter som avslöjar vilken information som ligger till grund för behandlingen.
Tillgången till uppgifter i säkerhetsregistret bör, på samma sätt som i dag, begränsas till de personer som för sina dagliga arbetsuppgifter behöver tillgång till registret. Övrig personal inom Kriminalvården får kontakta en behörig person som får avgöra om uppgifter ur registret bör lämnas ut.
9.9.2. Uppgifter om andra personer
Utredningens bedömning: Det finns inget behov av nya bestäm-
melser för att fler uppgifter ska kunna behandlas om andra personer än dömda och de som har behandlats i avsnitt 9.9.1.
Utredningens förslag: Begreppet en person som ”har personlig
anknytning” till den som behandlas i säkerhetsregistret bör bytas ut mot en person som ”är närstående”.
Skälen för utredningens bedömning och förslag
Den nuvarande regleringen
Enligt 3 kap. 4 § Kriminalvårdens brottsdatalag får Kriminalvården, om det är absolut nödvändigt för ändamålet med behandlingen i säkerhetsregistret, behandla uppgifter om en person som har personlig anknytning till eller annan nära förbindelse med en person som är häktad eller verkställer fängelsestraff i anstalt. Regleringen medger att uppgifter om både personer som har nära kontakt med
Säkerhetsregistret Ds 2023:21
en intagen på grund av sin profession och personer som har kontakt enbart av personliga skäl behandlas. Med personlig anknytning avses framför allt familjemedlemmar och andra närstående. Annan nära förbindelse kan avse t.ex. vänner, grannar och arbetsgivare eller någon som har kontakter med den intagne av professionella skäl.
Om den registrerade personen inte är häktad eller verkställer fängelsestraff ska det framgå genom en särskild upplysning.
Det förekommer att personer både har en personlig och en professionell anknytning till den som verkställer en påföljd. Det bör i så fall framgå av säkerhetsregistret.
Behovet av att kunna behandla uppgifter om andra än klienter
Som tidigare nämnts ställs det höga krav för att personuppgifter om någon utomstående ska få behandlas i säkerhetsregistret. Det måste dels finnas ett konkret behov av behandling, dels vara absolut nödvändigt. Med de redan föreslagna utvidgningarna av möjligheterna att behandla uppgifter i säkerhetsregistret är behovet av att kunna behandla uppgifter om fler utomstående inte lika stort. Mot den bakgrunden och med hänsyn till registrets ändamål finns det inte tillräckliga skäl att nu utöka möjligheterna att behandla uppgifter om utomstående.
Terminologin bör ändras
I 3 kap. 4 § Kriminalvårdens brottsdatalag används begreppet ”den som har personlig anknytning” till den som är registrerad i säkerhetsregistret. Med det avses enligt förarbetena t.ex. anhöriga eller andra närstående till en registrerad (prop. 2017/18:269 s. 380). För att göra det tydligare vilken personkrets som avses bör samma uttryck användas som i andra författningar, nämligen närstående. Det är också ett av de begrepp som utredningen föreslår ska gälla för de situationer där Kriminalvården får behandla uppgifter om andra personer än den registrerade och när det är tillåtet att göra uppgifterna gemensamt tillgängliga. Genom att använda samma uttryck som i andra författningar ökar möjligheterna att få fram rättspraxis, se t.ex. NJA 2007 s. 874 och RÅ 2009 ref 17.
Ds 2023:21 Säkerhetsregistret
9.10. Bör säkerhetsregistret få användas i anställningsärenden?
Utredningens bedömning: Syftet med säkerhetsregistret bör in-
te utökas till att omfatta anställningsärenden.
Skälen för utredningens bedömning: Kriminalvården har stort be-
hov av att rekrytera personal under de kommande åren. Samtidigt har myndigheten noterat att man utsätts för att personer som själva är kriminellt belastade eller som har kontakter med gäng eller kriminella nätverk försöker få anställning i myndigheten. Risken för infiltration har enligt Kriminalvården ökat under senare år. Även om myndigheten gör stora ansträngningar att inte anställa personer som kan ha andra lojaliteter, så skulle enligt myndigheten tillgång till säkerhetsregistret i anställningsärenden innebära att möjligheterna att avslöja infiltrationsförsök skulle öka.
Anställning av personal är något som ligger utanför brottsdatalagens tillämpningsområde. Hur personuppgifter får användas i sådana ärenden regleras av dataskyddsförordningen och den kompletterande svenska lagstiftningen, inte brottsdatalagen. Redan den omständigheten och att utredningens uppdrag endast omfattar brottsdatalagens område gör att det inte finns skäl att ta upp frågan. Det kan trots det finnas skäl att något utveckla frågan.
Det finns bestämmelser i 2 kap.4 och 22 §§brottsdatalagen om behandling av personuppgifter som har samlats in med stöd av brottsdatalagen och tillhörande författningar för nya ändamål. Det är således inte uteslutet att uppgifter om en person som behandlas med stöd av brottsdatalagen och Kriminalvårdens registerförfattningar kan tillföras ett ärende som handläggs med stöd av dataskyddsförordningen. I ett enskilt fall får det alltså bedömas om det finns förutsättningar för att behandla personuppgifter för ett nytt ändamål.
Det bör även framhållas att Kriminalvården enligt 4 § förordningen (1999:1135) om misstankeregister för en rad ändamål har rätt att få uppgifter om att någon har åtalats för brott. Kriminalvården har rätt att få uppgifter i fråga om den som myndigheten avser att anställa eller anlita för något av följande ändamål:
a) övervakare,
Säkerhetsregistret Ds 2023:21
b) förtroendeman enligt lagen om särskild personutredning i brottmål, m.m. eller fängelseförordningen,
c) personutredare enligt lagen om särskild personutredning i brottmål, m.m.,
d) biträde enligt 6 § andra stycket lagen om intensivövervakning med elektronisk kontroll eller 33 § fängelseförordningen,
e) kontrollör enligt 3 kap. 4 § förordningen om verkställighet av frivårdspåföljder, eller
f) särskild koordinator enligt 8 § lagen om verkställighet av ungdomsövervakning.
Kriminalvården har rätt att i motsvarande fall enligt 10 § förordningen (1999:1134) om belastningsregister få uppgifter om personer som förekommer i belastningsregistret.
Det kan således konstateras att Kriminalvården har goda möjligheter att få tillgång till relevant information i anställningsärenden och ärenden om uppdrag inom kriminalvården. Skyddet för enskildas integritet bör enligt utredningens mening väga tyngre än myndighetens intresse av att kunna få fram säkerhetskänslig information i anställningsärenden. Sammanfattningsvis finns det därför inget skäl att överväga att utvidga tillämpningsområdet för säkerhetsregistret på det sätt som Kriminalvården har efterfrågat.
9.11. Alla säkerhetsproblem behöver inte behandlas i säkerhetsregistret
Säkerhetsregistret är till för att Kriminalvården ska kunna behandla personuppgifter om personer som på olika sätt kan utgöra ett allvarligt hot mot framför allt myndighetens verksamhet, intagna eller anställda.
I kapitel 8 har utredningen föreslagit att Kriminalvården ska få behandla personuppgifter på ett friare sätt än i dag. Det ger myndigheten ökad möjlighet att, om förutsättningarna för personuppgiftsbehandling är uppfyllda, behandla personuppgifter i syfte att förbättra säkerhetsarbetet och att avstyra säkerhetsincidenter även på annat sätt än genom behandling i säkerhetsregistret. Ett effektivt säkerhetsarbete är en nyckelfråga för Kriminalvården. Den nya generella regleringen ger betydligt bättre förutsättningar för myndigheten att behandla sådana uppgifter. Det kan t.ex. vara fråga om att
Ds 2023:21 Säkerhetsregistret
behandla uppgifter i kriminalvårdsregistret om intagna som visserligen utgör säkerhetsrisker, men som inte kvalificerar sig för placering på säkerhetsavdelning. Sådana personer kan t.ex. medföra ökad risk för otillbörlig påverkan eller misstänkas för att ägna sig åt brottslig verksamhet under verkställighet av påföljder. Även personuppgifter som bidrar till att minska risken för säkerhetshotande verksamhet och som Kriminalvården får del av genom samarbetet med andra myndigheter, t.ex. Polismyndigheten, kan i många fall behandlas med stöd av de nya generella bestämmelserna. Det kan exempelvis göras i särskilda ärenden.
10. Andra ändringar i Kriminalvårdens brottsdatalag
10.1. Sekretessbrytande bestämmelser för direktåtkomst
10.1.1. Bakgrund
Frågan om det behövs sekretessbrytande bestämmelser för att kunna medge direktåtkomst övervägs normalt innan det införs möjlighet till direktåtkomst. Det är emellertid oklart om några sådana överväganden gjordes innan de nuvarande bestämmelserna om direktåtkomst till det centrala kriminalvårdsregistret och säkerhetsregistret infördes.
Vissa myndigheter får enligt 3 kap. 6 § Kriminalvårdens brottsdatalag medges direktåtkomst till säkerhetsregistret. När den lagen infördes konstaterades det att direktåtkomsten till uppgifter i säkerhetsregistret redan var författningsreglerad. Frågan om det behövs sekretessbrytande bestämmelser för att kunna medge direktåtkomst berördes emellertid inte i förarbetena till Kriminalvårdens tidigare registerlagstiftning och föreföll då inte ha utgjort något problem. Att vissa bestämmelser om säkerhetsregistret flyttades till lag aktualiserade frågan om det krävs sekretessbrytande bestämmelser. Utredningen hade emellertid inte utrymme att behandla den frågan. Regeringen uttalade att det kunde finnas anledning att återkomma till den frågan vid en översyn av Kriminalvårdens registerlagstiftning (se prop. 2017/18:269 s. 266). Det ingår i direktiven för denna utredning att överväga frågan.
Det centrala kriminalvårdsregistret regleras enbart i Kriminalvårdens brottsdataförordning. Vissa myndigheter får enligt 20 § medges tillgång till det registret genom direktåtkomst. Inte heller den
Andra ändringar i Kriminalvårdens brottsdatalag Ds 2023:21
regleringen innehåller någon sekretessbrytande bestämmelse och det finns inte några förarbeten som belyser varför det förhåller sig så.
10.1.2. Sekretess inom Kriminalvården
Allmänt om sekretessen
I Sverige arbetar myndigheterna under stor öppenhet. Det gäller även Kriminalvården. Offentligheten är viktig för att demokratin ska fungera men även för att den enskilde medborgaren ska kunna garanteras rättssäkerhet i mötet med myndigheterna. I viss utsträckning omfattas Kriminalvårdens verksamhet av sekretess.
Utredningsuppdraget omfattar enbart Kriminalvårdens personuppgiftsbehandling inom brottsdatalagens område. Av det skälet redovisas här endast sådan sekretess som berör det området. Det bör dock framhållas att sekretessbestämmelser i 21 kap. offentlighets- och sekretesslagen om bl.a. hälsotillstånd gäller oavsett i vilken verksamhet de finns. Det finns även andra sekretessbestämmelser som är generellt tillämpliga och som undantagsvis kan förekomma i Kriminalvårdens verksamhet, t.ex. utrikessekretess.
Sekretess till skydd för Kriminalvårdens verksamhet
Inom Kriminalvården gäller i förhållandevis liten utsträckning sekretess till skydd för verksamheten. Det finns dock ett fåtal sådana bestämmelser.
Enligt 18 kap. 8 § offentlighets- och sekretesslagen gäller sekretess för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs. Det gäller bl.a. om åtgärden avser myndighetens byggnader och andra anläggningar.
Enligt 18 kap. 11 § första stycket offentlighets- och sekretesslagen gäller sekretess inom Kriminalvården för uppgift om åtgärd som har till syfte att hindra rymning eller fritagning, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs. Av andra stycket framgår att sekretess också gäller inom Kriminalvården för uppgift om åtgärd som har till syfte att upprätthålla ordningen och säkerhe-
Ds 2023:21 Andra ändringar i Kriminalvårdens brottsdatalag
ten i myndighetens verksamhet, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs.
Sekretess till skydd för enskild
Den allmänna bestämmelsen om sekretess inom Kriminalvården finns i 35 kap. 15 § offentlighets- och sekretesslagen. Enligt paragrafen gäller sekretess för uppgift om en enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående lider men eller att fara uppkommer för att någon utsätts för våld eller lider annat allvarligt men om uppgiften röjs. Sekretessen gäller inte beslut av Kriminalvården eller en övervakningsnämnd. Sekretessen gäller dock för uppgift i ett sådant beslut, om det av särskild anledning kan antas att den enskilde eller någon närstående utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
Sekretessen i 35 kap. 15 § första stycket offentlighets- och sekretesslagen hindrar enligt 15 a § inte att uppgift om den vars dom på ungdomsövervakning verkställs enligt lagen om verkställighet av ungdomsövervakning lämnas av Kriminalvården till en enskild eller till en annan myndighet, om det behövs för att genomföra en verkställighetsplan enligt den lagen.
I viss utsträckning gäller även sekretess enligt andra bestämmelser i 35 kap. offentlighets- och sekretesslagen i Kriminalvården. Enligt 35 kap 1 § gäller sekretess för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer bl.a. i
1. utredning enligt bestämmelserna om förundersökning i brottmål,
2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott,
3. angelägenhet som avser säkerhetsprövning enligt säkerhetsskyddslagen (2018:585),
4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott eller verkställa uppbörd och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen.
Andra ändringar i Kriminalvårdens brottsdatalag Ds 2023:21
Sekretessen enligt 35 kap. 1 § första stycket 1 hindrar enligt 35 kap. 10 b § offentlighets- och sekretesslagen inte att en uppgift lämnas till Kriminalvården, om uppgiften behövs för att upprätta en verkställighetsplan enligt lagen om verkställighet av ungdomsövervakning och uppgiftslämnandet syftar till att fastställa vilka åtgärder som kan vidtas för att förebygga att den dömde återfaller i brott eller på annat sätt utvecklas ogynnsamt.
Enligt 35 kap. 13 § offentlighets- och sekretesslagen gäller sekretess hos domstol i brottmål samt i annat mål eller ärende som bestämmelserna om förundersökning i brottmål är tillämpliga på, för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden som framkommer vid särskild personutredning, rättspsykiatrisk undersökning eller annan sådan utredning, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. Motsvarande sekretess gäller i en annan myndighets verksamhet, bl.a. Kriminalvården, för att bistå domstol med sådan utredning.
Sekretess för statistik- och forskningsändamål
Kriminalvården bedriver, som tidigare nämnts, viss statistik- och forskningsverksamhet. Enligt 24 kap. 8 § offentlighets- och sekretesslagen gäller sekretess i sådan verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde.
Vid utlämnande av uppgifter till annan myndighet för forskningsändamål gäller en särskild sekretessregel i 11 kap. 3 § första stycket offentlighets- och sekretesslagen. Bestämmelsen innebär att sekretessen överförs till den myndighet som tar emot uppgifterna. Sekretessbelagda uppgifter inom Kriminalvården som i forskningssyfte lämnas till ett universitet eller en forskningsmyndighet fortsätter alltså att vara sekretessbelagda hos den mottagande myndigheten. Av paragrafens andra stycke framgår att den överförda sekretessen inte blir tillämplig på en uppgift som ingår i ett beslut hos den mottagande myndigheten.
Ds 2023:21 Andra ändringar i Kriminalvårdens brottsdatalag
10.1.3. Möjligheten att lämna uppgifter till andra myndigheter
Bestämmelser som möjliggör informationsutbyte
Offentlighets- och sekretesslagen innehåller bestämmelser som möjliggör utbyte av uppgifter mellan myndigheter utan hinder av sekretess. Av 10 kap. 2 § offentlighets- och sekretesslagen framgår att sekretessbelagda uppgifter får lämnas från en myndighet till en annan om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestämmelsen, som är avsedd att tillämpas restriktivt, medger inte sekretessgenombrott på den grunden att den mottagande myndigheten behöver uppgifterna i sin verksamhet. Enligt 10 kap. 28 § första stycket hindrar sekretess inte att uppgifter lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. Uppgifter kan vidare, med vissa undantag, lämnas ut med stöd av 10 kap. 19–26 §§, när uppgifterna behövs för olika i paragraferna angivna ändamål inom brottsbekämpningen, bl.a. förundersökning.
Enligt 10 kap. 27 §, den s.k. generalklausulen, gäller som huvudregel att en uppgift får lämnas ut till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Undantag görs dock för vissa sekretessregler som är av begränsat intresse här. Bedömningen av om en uppgift kan lämnas ut ska enligt huvudregeln göras av den myndighet som innehar uppgiften. Det gäller dock inte i de fall där utlämnandebestämmelsen har konstruerats så att uppgiften alltid ska lämnas ut om det begärs eller där det anges att prövningen ska göras av någon annan.
En annan viktig bestämmelse är 6 kap. 5 § offentlighets- och sekretesslagen. Den reglerar informationsskyldigheten mellan myndigheter och anses utgöra en precisering av den allmänna samverkansskyldighet som gäller för myndigheter enligt 8 § förvaltningslagen. Enligt 6 kap. 5 § offentlighets- och sekretesslagen ska en myndighet på begäran av en annan myndighet lämna ut uppgifter i den mån uppgiften inte är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Bestämmelsen kan sägas motsvara allmänhetens rätt att få tillgång till handlingar genom offentlighetsprincipen, men utlämnandeskyldigheten är mer vidsträckt och omfattar alla typer av uppgifter som myndigheten förfogar över. Den inkluderar uppgifter i handlingar som inte är allmänna. Paragrafen innebär att om en myn-
Andra ändringar i Kriminalvårdens brottsdatalag Ds 2023:21
dighet begär att få del av uppgifter hos en annan myndighet och någon sekretessbrytande bestämmelse är tillämplig, så ska uppgifterna lämnas ut. Detsamma gäller givetvis om de begärda uppgifterna är offentliga.
Det finns även en lag om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet. Enligt den lagen ska en myndighet, trots sekretess, som regel lämna uppgift till en annan myndighet inom ramen för särskilt beslutad samverkan i vissa fall, om det behövs för den mottagande myndighetens deltagande i samverkan.
Regleringen ses över
En särskild utredare har fått i uppdrag att se över möjligheterna att förenkla uppgiftslämnandet till brottsbekämpande myndigheter. Uppdraget består i att skapa förbättrade möjligheter till informationsutbyte mellan brottsbekämpande myndigheter och vissa andra statliga myndigheter, kommunala myndigheter samt enskilda huvudmän för fristående skolor. Syftet är att arbetet med att förebygga och bekämpa brott ska effektiviseras (dir. 2022:37). Genom tilläggsdirektiv har uppdraget utvidgats på det sättet att utredaren även ska ta ställning till hur det kan inrättas en huvudregel i sekretesslagstiftningen som innebär att de myndigheter och andra aktörer som omfattas av uppdraget ska kunna utbyta information med brottsbekämpande myndigheter när det behövs för att förebygga och bekämpa brott. Oavsett vilken slutsats utredaren kommer fram till ska han lämna författningsförslag som innebär en sådan ny huvudregel. Uppdraget ska redovisas den 31 oktober 2023.
10.1.4. Förhållandet mellan sekretess och direktåtkomst
En bestämmelse om direktåtkomst reglerar endast tillåtligheten av ett visst tillvägagångssätt för att lämna ut uppgifter. En sådan bestämmelse har alltså inte någon självständig sekretessbrytande verkan. Den är inte att se som en uppgiftsskyldighet enligt 10 kap. 28 § första stycket offentlighets- och sekretesslagen (se bl.a. Integritet och effektivitet i polisens brottsbekämpande verksamhet, prop. 2009/10:85, s. 189 och där anmärkta propositioner). Möjligheterna för t.ex. en myndighet att vid informationsutbyte med en annan
Ds 2023:21 Andra ändringar i Kriminalvårdens brottsdatalag
myndighet överföra uppgifter genom att medge den senare direktåtkomst till uppgifter som behandlas automatiserat begränsas därför inte sällan av sekretess. Eftersom direktåtkomst innebär att den mottagande myndigheten fritt kan avgöra vilka uppgifter – inom ramen för den beviljade direktåtkomsten – den vill ta del av, blir uppgifterna att anse som utlämnade i och med att direktåtkomst medges. Det spelar ingen roll om den mottagande myndigheten faktiskt tar del av en viss uppgift eller inte.
En myndighet kan mot den bakgrunden inte tillåta en annan myndighet direktåtkomst till uppgifter som, vid en sekretessprövning, den senare myndigheten inte med säkerhet skulle ha rätt att ta del av (se bl.a. Utökat elektroniskt informationsutbyte, prop. 2007/08:160, s. 73 och prop. 2009/10:85 s. 189). Direktåtkomst förutsätter därför att det är fråga om offentliga uppgifter, uppgifter som omfattas av en författningsbestämmelse om uppgiftsskyldighet eller – i undantagsfall – uppgifter som kan lämnas ut rutinmässigt med stöd av generalklausulen. För att kunna lämna ut sekretessbelagda uppgifter genom direktåtkomst behövs det därför normalt sekretessbrytande bestämmelser.
I 11 kap. 4 § offentlighets- och sekretesslagen finns en särskild bestämmelse om överföring av sekretess vid direktåtkomst. Om en myndighet hos en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i den upptagningen är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Sekretessen gäller dock inte om uppgiften ingår i ett beslut hos den mottagande myndigheten. Sekretessen enligt paragrafen ska, enligt 1 kap. 8 § offentlighets- och sekretesslagen, inte heller tillämpas när det hos den mottagande myndigheten finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 5, och 7 §§ den lagen som skyddar samma intresse. Sekretessen enligt 11 kap. 4 § gäller alltså, med det undantag som nyss angetts, för sådana uppgifter som andra myndigheter får tillgång till genom direktåtkomst till det centrala kriminalvårdsregistret och säkerhetsregistret.
I tidigare lagstiftningsärenden har det ansetts nödvändigt att införa sekretessbrytande bestämmelser även för direktåtkomst som enbart består i tillgång till uppgifter om att en viss person förekommer i ett register. Ett exempel på en sådan bestämmelse är 2 kap. 9 § polisens brottsdatalag.
Andra ändringar i Kriminalvårdens brottsdatalag Ds 2023:21
10.2. En sekretessbrytande bestämmelse för direktåtkomst till säkerhetsregistret
10.2.1. Den nuvarande regleringen
Enligt 3 kap. 6 § Kriminalvårdens brottsdatalag får Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och Åklagarmyndigheten medges direktåtkomst till personuppgifter i säkerhetsregistret. Det gäller dock inte uppgifterna om enskilda personer i registret. I 24 § Kriminalvårdens brottsdataförordning föreskrivs nämligen att direktåtkomst till säkerhetsregistret ska begränsas till uppgifter om någon som har registrerats med stöd av 3 kap. 2 § andra stycket Kriminalvårdens brottsdatalag förekommer i registret.
10.2.2. Det behövs en sekretessbrytande bestämmelse
Utredningens förslag: I Kriminalvårdens brottsdatalag före-
skrivs att Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Åklagarmyndigheten, trots sekretess enligt 18 kap. 11 §, 21 kap. 3 § och 35 kap. 15 §offentlighets- och sekretesslagen, har rätt att ta del av personuppgifter i säkerhetsregistret, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen.
Skälen för utredningens förslag
Det behövs en sekretessbrytande bestämmelse
Kriminalvårdens registerlagstiftning är, som redan påpekats, omodern. När brottsdatalagen infördes gjordes enbart de anpassningar som då ansågs nödvändiga till den nya regleringen. Det innebar att frågan om det behövdes en sekretessbrytande bestämmelse för direktåtkomst till säkerhetsregistret inte utreddes när registret lagreglerades.
Som framgår av avsnitt 10.1.4 behövs det sekretessbrytande bestämmelser om direktåtkomst ska kunna medges till uppgifter som är sekretessbelagda. Inom Kriminalvården förekommer huvudsakligen sekretess till skydd för enskild. För att öka möjligheterna för
Ds 2023:21 Andra ändringar i Kriminalvårdens brottsdatalag
Kriminalvården att kunna medge direktåtkomst bör det införas en sekretessbrytande bestämmelse.
Även om den information som kan bli tillgänglig för myndigheter utanför Kriminalvården genom direktåtkomst till säkerhetsregistret är mycket begränsad (uppgift om en viss person förekommer i registret) bör det, av hänsyn till skyddet för enskildas integritet, införas en sekretessbrytande bestämmelse för att underlätta möjligheterna för Kriminalvården att medge direktåtkomst. Det förhållandet att det nu föreslås att betydligt fler uppgifter ska kunna behandlas i säkerhetsregistret understryker vikten av att det finns en sådan bestämmelse.
Vilka sekretessbestämmelser bör regleringen omfatta?
Frågan är då vilka bestämmelser i offentlighets- och sekretesslagen som den sekretessbrytande bestämmelsen bör omfatta.
Den vanligaste grunden för sekretess inom Kriminalvården torde vara sekretess enligt 35 kap. 15 § offentlighets- och sekretesslagen. Den bestämmelsen gäller generellt i Kriminalvårdens verksamhet, dvs. både i häktes- och anstaltsverksamheten och inom frivården. Den gäller med ett rakt skaderekvisit, vilket innebär att presumtionen är för offentlighet. För utlämnande av uppgifter krävs det en sekretessprövning i varje enskilt fall där en sådan uppgift ska lämnas till någon av de myndigheter som har möjlighet att få direktåtkomst. Även om uppgifterna kan lämnas ut efter en sådan prövning innebär det att tid och kraft måste läggas på en prövning som normalt alltid ger samma resultat. En sekretessbrytande bestämmelse skulle därför underlätta informationsutbytet.
Det är svårt att se något behov av att kunna bryta sekretessen enligt 18 kap. 8 § offentlighets- och sekretesslagen. Den sekretessen torde sällan behöva brytas, eftersom det är en sekretess som såvitt gäller Kriminalvården i huvudsak rör deras fasta anläggningar. Det finns inte heller något behov av att bryta sekretessen enligt 24 kap. 8 § offentlighets- och sekretesslagen.
Den sekretess som gäller enligt 18 kap. 11 § offentlighets- och sekretesslagen för uppgifter om åtgärder som syftar till att hindra rymning och fritagning gäller även inom Polismyndigheten och Säkerhetspolisen. Den sekretess som syftar till att upprätthålla ord-
Andra ändringar i Kriminalvårdens brottsdatalag Ds 2023:21
ning och säkerhet inom Kriminalvårdens verksamhet gäller däremot enbart inom Kriminalvården. Sekretessen gäller i båda fallen med ett rakt skaderekvisit, vilket innebär att presumtionen är för offentlighet. Uppgifter som omfattas av sekretessen torde inte vara föremål för informationsutbyte mellan myndigheter i någon större utsträckning, men kan under speciella omständigheter behöva brytas.
Sekretessen i 21 kap. 3 § första stycket offentlighets- och sekretesslagen gäller för uppgift om enskilds bostadsadress, telefonnummer och andra jämförbara uppgifter som kan användas för att komma i kontakt med den enskilde, om det finns särskild anledning att anta att han eller hon, eller någon närstående, kan komma att utsättas för våld eller annat allvarligt men om uppgiften röjs. Den sekretessen har införts för att säkerställa skyddet för det som brukar kallas skyddade adresser hos alla myndigheter (se Sekretessfrågor – skyddade adresser, m.m., prop. 2005/06:161, s. 55 f.). Sekretessen i paragrafens första stycke skyddar personer som anses ha stort behov av att uppgifter om deras uppehållsort inte röjs. Sådan sekretess skyddar inte sällan Kriminalvårdens klienter eller anhöriga till dem. Sekretess enligt 21 kap. 3 § första stycket offentlighets- och sekretesslagen gäller hos alla myndigheter. Det innebär att en uppgift som lämnas till exempelvis en brottsbekämpande myndighet har samma skydd gentemot allmänheten hos den mottagande myndigheten som hos Kriminalvården. Dessutom är de brottsbekämpande myndigheterna vana vid att hantera denna sekretess. Mot den nu angivna bakgrunden bör uppgifter som omfattas av sekretess enligt 21 kap. 3 § första stycket kunna lämnas utan hinder av sekretessen.
Sammanfattningsvis bör alltså sekretessgenombrottet omfatta sekretess enligt 18 kap. 11 §, 21 kap. 3 § och 35 kap. 15 §offentlighets- och sekretesslagen.
Tullverket bör får tillgång till uppgifter i säkerhetsregistret
I dag har bara ett fåtal myndigheter möjlighet att få tillgång till uppgifter ur säkerhetsregistret genom direktåtkomst. Direktåtkomsten är dessutom begränsad till enbart uppgift om en person förekommer i säkerhetsregistret eller inte.
Tullverket ska enligt 3 och 4 §§ förordningen (2016:1332) med instruktion för Tullverket förebygga och motverka brottslighet i
Ds 2023:21 Andra ändringar i Kriminalvårdens brottsdatalag
samband med in- och utförsel av varor, delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten samt bedriva viss utrednings- och åklagarverksamhet i fråga om brott mot bestämmelser om in- och utförsel av varor. Tullverkets brottsbekämpande verksamhet har under senare år fått allt större betydelse. Tullverket har fått utökade befogenheter och en helt ny lagstiftning har förslagits (Tullverkets rättsliga befogenheter i en ny tid, SOU 2022:48). Gängbrottslighetens utbredning och den omfattande smugglingen av narkotika och vapen gör att uppgifter från Kriminalvården kan antas ha särskild betydelse även för Tullverkets verksamhet. Personer som förekommer i Tullverkets brottsutredningar är inte sällan häktade. Tullverket har därför samma behov som polisen att kunna få kännedom om en viss person förekommer i Kriminalvårdens säkerhetsregister.
10.3. En sekretessbrytande bestämmelse för direktåtkomst till andra uppgifter
10.3.1. Den nuvarande regleringen
I 20 § Kriminalvårdens brottsdataförordning föreskrivs att Regeringskansliet, Polismyndigheten och Säkerhetspolisen får för ett syfte som anges i 1 kap. 2 § brottsdatalagen medges direktåtkomst till det centrala kriminalvårdsregistret. För Regeringskansliet får emellertid endast sådana uppgifter som behövs i ärenden om nåd göras tillgängliga.
10.3.2. Det behövs en sekretessbrytande bestämmelse
Utredningens förslag: I Kriminalvårdens brottsdatalag före-
skrivs att Regeringskansliet, Polismyndigheten, Säkerhetspolisen och Tullverket, trots sekretess enligt 18 kap. 11 §, 21 kap. 3 § och 35 kap. 15 §offentlighets- och sekretesslagen, har rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen. Samma begränsning som i dag ska gälla för Regeringskansliets direktåtkomst.
Andra ändringar i Kriminalvårdens brottsdatalag Ds 2023:21
Skälen för utredningens förslag
Den nya regleringen kräver delvis andra överväganden
Den nuvarande regleringen avser direktåtkomst till det centrala kriminalvårdsregistret. I kapitel 8 föreslås emellertid en modernare och mer teknikneutral författningsreglering. Förslaget innebär att Kriminalvården, med undantag för regleringen av säkerhetsregistret, inte längre kommer att vara bunden att samla informationen om sina klienter i ett visst namngivet register. Om samma myndigheter, som enligt gällande lagstiftning får medges direktåtkomst till det centrala kriminalvårdsregistret, i fortsättningen ska kunna få tillgång till uppgifter från Kriminalvården i samma utsträckning som i dag krävs det en reglering av direktåtkomst till uppgifter som görs eller har gjorts gemensamt tillgängliga. Mot bakgrund av hur Kriminalvårdens nuvarande it-struktur är utformad innebär det inte någon egentlig skillnad i fråga om de överväganden som krävs för att lämna ut uppgifter.
Det behövs en sekretessbrytande bestämmelse
Som framgått i avsnitt 10.1.4 behövs det sekretessbrytande bestämmelser om direktåtkomst ska kunna medges till uppgifter som är sekretessbelagda. I avsnitt 10.1.2 redovisas vilken sekretess som gäller i dag. För att behålla möjligheterna för Kriminalvården att kunna medge direktåtkomst till de uppgifter som i dag finns i det centrala kriminalvårdsregistret bör det därför införas en sekretessbrytande bestämmelse. Regleringen bör emellertid i stället gälla uppgifter som har gjorts gemensamt tillgängliga.
Av samma skäl som angetts i avsnitt 10.2.2 bör sekretessgenombrottet omfatta sekretess enligt 18 kap. 11 §, 21 kap. 3 § och 35 kap. 15 §offentlighets- och sekretesslagen.
Samma begränsning som i dag bör gälla för Regeringskansliets direktåtkomst.
Tullverket bör får tillgång till gemensamt tillgängliga uppgifter
Som framgått av avsnitt 10.2.2 har Tullverket fått en allt viktigare brottsbekämpande roll. Tullverket biträder åklagare med utredning av smugglingsbrott. Inte sällan är de misstänkta häktade. Tullverket
Ds 2023:21 Andra ändringar i Kriminalvårdens brottsdatalag
har då bl.a. behov av att få information om var den häktade är placerad och om det är aktuellt att förflytta honom eller henne. Enligt vad Tullverket har uppgett har det från tid till annan har varit svårt att få tillgång till sådana uppgifter från Kriminalvården. Vissa brottsutredningar berör personer intagna i kriminalvårdsanstalt. Tullverket har då samma behov av att få uppgift om placering. Den nya regleringen bör därför ge möjlighet för Tullverket att på enklare sätt kunna få tillgång till uppgifter som har gjorts gemensamt tillgängliga inom Kriminalvården.
10.4. Nya eller utvidgade uppgifter för Kriminalvården
10.4.1. Kriminalvårdens statistik- och forskningsverksamhet
Utredningens bedömning: Det behövs inga några ändringar i re-
gisterlagstiftningen för att statistik- och forskningsverksamhet ska kunna bedrivas inom Kriminalvården.
Skälen för utredningens bedömning
Bakgrund
Enligt 2 kap. 5 § brottsdatalagen får en behörig myndighet behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom brottsdatalagens område. Kriminalvården ansvarar för underlaget till en stor del av den samlade rättsstatistiken. Myndigheten har även för sin egen verksamhet behov av omfattande statistik. Kriminalvården bedriver sedan år 2008 forskning som rör framför allt verkställighet av straffrättsliga påföljder. Ansvaret för verksamheten, som omorganiserades år 2015, ligger på myndighetens forsknings- och utvärderingsenhet. Ett vetenskapligt råd är knutet till myndighetens forskning.
Kriminalvården har i en framställning till regeringen begärt att få ett tydligare uppdrag när det gäller myndighetens forskning. Något beslut i den frågan finns ännu inte. Mycket talar dock för att Kriminalvården kommer att få ett uttryckligt uppdrag att bedriva forskning av betydelse för verksamheten. Det aktualiserar frågan om ett
Andra ändringar i Kriminalvårdens brottsdatalag Ds 2023:21
sådant uppdrag kräver någon författningsändring i fråga om myndighetens personuppgiftsbehandling.
Brottsdatalagen eller dataförordningen?
Frågan om vilken lagstiftning som är tillämplig i Kriminalvårdens statistik- och forskningsverksamhet behandlades i samband med att Kriminalvårdens brottsdatalag infördes. Där anförde regeringen följande.
Kriminalvården ansvarar i dag för underlaget till en stor del av den samlade rättsstatistiken. Myndigheten har även för sin egen verksamhet behov av omfattande statistik. Dessutom bedriver Kriminalvården sedan länge viss forskning som rör framför allt verkställighet av straffrättsliga påföljder. Enligt 2 kap. 5 § brottsdatalagen får en behörig myndighet behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom lagens tillämpningsområde. Kriminalvårdens statistik- och forskningsverksamhet är ett led i uppgifter som ligger inom brottsdatalagens tillämpningsområde. Den rättsliga grunden i kriminalvårdens brottsdatalag täcker därmed även behandling av personuppgifter för sådana syften (prop. 2017/18:269 s. 253 f.).
Det underlag som krävs för Kriminalvårdens forskning hämtas i dag huvudsakligen från det centrala kriminalvårdsregistret. I vissa fall torde uppgifterna kunna hämtas från sådant material som tidigare har behandlats i registret i fråga.
Det är dock inte självklart att all den forskningsverksamhet som Kriminalvården bedriver ryms inom tillämpningsområdet för brottsdatalagen. Det torde endast vara sådan forskning som rör t.ex. verkställigheten av påföljder, återfallsrisk eller något annat ändamål som tydligt hör till de syften som anges i 2 kap. 1 § Kriminalvårdens brottsdatalag.
Forskning som rör andra frågor får givetvis också bedrivas inom Kriminalvården, men den personuppgiftsbehandling som förekommer måste då ha rättsligt stöd i dataskyddsförordningen. Det kan t.ex. vara forskning om hälsotillståndet hos intagna. Forskning anses vara en uppgift av allmänt intresse (artikel 6.1 e). Personuppgiftsbehandling är därmed tillåten om den i övrigt uppfyller kraven på behandling i förordningen. Även de andra krav som ställs i dataskyddsförordningen, t.ex. om skyddsåtgärder, måste också vara uppfyllda.
Ds 2023:21 Andra ändringar i Kriminalvårdens brottsdatalag
Behandling för nya ändamål
Förutsättningarna för att behandla personuppgifter för nya ändamål regleras i 2 kap. 4 § och 22 §brottsdatalagen, se 2 kap. 2 § Kriminalvårdens brottsdatalag. Enligt 2 kap. 4 § brottsdatalagen ska den som överväger att behandla personuppgifter för ett nytt ändamål göra en prövning av om det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet innan uppgifterna får behandlas för nya ändamål inom lagens tillämpningsområde. Motsvarande prövning ska enligt 2 kap. 22 § brottsdatalagen göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför tillämpningsområdet. Det är alltså denna prövning som behöver göras av Kriminalvården innan personuppgifter behandlas för ett nytt ändamål utanför brottsdatalagens tillämpningsområde.
Ingen ny reglering behövs
Efter en prövning enligt 2 kap.4 och 22 §§brottsdatalagen får alltså personuppgifter som behandlas inom brottsdatalagens tillämpningsområde även behandlas för forskning som bedrivs med stöd av dataskyddsförordningen. Därmed behövs det inte några författningsändringar för att statistik- och forskningsverksamheten ska kunna fortsätta att bedrivas på samma sätt som i dag inom Kriminalvården.
10.4.2. Samverkan mot organiserad brottslighet
Utredningens bedömning: Det behövs inte några ändringar i re-
gisterlagstiftningen för att Kriminalvården ska kunna delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.
Andra ändringar i Kriminalvårdens brottsdatalag Ds 2023:21
Skälen för utredningens bedömning
Dagens reglering
Genom en ändring i 2 § kriminalvårdsinstruktionen den 31 mars 2020 fick Kriminalvården i uppdrag att delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten. Det har beskrivits i avsnitt 6.6.4.
De samverkande myndigheterna förutsätts verka i samarbetet inom ramen för sina ordinarie arbetsuppgifter. Regeringen konstaterade i förarbetena till lagen om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet att det inte bör finnas något hinder för myndigheter som inte har i uppgift att särskilt bedriva brottsbekämpande verksamhet och underrättelseverksamhet att delta i samverkan, se prop. 2015/16:167 s. 28.
Samarbetet innebär inte att alla myndigheter bedriver underrättelseverksamhet
Uppdraget innebär inte att myndigheterna får några sådana arbetsuppgifter som är förutsättningen för att en myndighet ska vara en behörig myndighet enligt brottsdatalagen. De myndigheter utanför rättskedjan som deltar i samverkan blir inte genom uppdraget behöriga myndigheter i brottsdatalagens mening. Inte heller blir en myndighet som deltar i samverkan genom att fullgöra sin uppgiftsskyldighet en behörig myndighet i brottsdatalagens mening, se SOU 2017:29 s. 195 f. Myndigheterna ska därför inte tillämpa brottsdatalagen på grund av samarbetet eller uppgiftsskyldigheten.
Mot den bakgrunden står det enligt utredningens mening klart att samverkansuppdraget inte innebär att de berörda myndigheterna har fått nya arbetsuppgifter. Myndigheter som inte hade till uppgift att särskilt bedriva brottsbekämpande verksamhet eller underrättelseverksamhet före samarbetet, fick alltså inte heller dessa uppgifter i och med att samverkansuppdraget tydliggjordes i myndigheternas instruktioner.
Ds 2023:21 Andra ändringar i Kriminalvårdens brottsdatalag
Inga ändringar behövs
De förändringar i Kriminalvårdens möjligheter att behandla personuppgifter som föreslås i kapitel 8 och 9 innebär att myndigheten kan behandla personuppgifter som de får tillgång till genom samarbetet, om förutsättningarna för att behandla uppgifterna är uppfyllda. Därmed behövs det inga ändringar av det skälet att Kriminalvården har fått en uttrycklig uppgift i kriminalvårdsinstruktionen att medverka i samarbetet.
10.4.3. Kriminalvården som beredskapsmyndighet
Kriminalvården är numera enligt 2 a § kriminalvårdsinstruktionen beredskapsmyndighet enligt förordningen (2022:524) om statliga myndigheters beredskap. De uppgifter som följer av det nya uppdraget omfattas inte av brottsdatalagens tillämpningsområde. Det föranleder därför inga överväganden här.
11. Ändringar i andra lagar
11.1. Biometrisk autentisering
11.1.1. Insamling av ansiktsbilder
Utredningens förslag: Vid verkställighet av dom på fängelse
genom intensivövervakning med elektronisk kontroll får Kriminalvården ta en digital bild av den dömdes ansikte (ansiktsbild). Ansiktsbilden får endast användas som jämförelsebild vid automatisk autentisering eller vid annan identifiering eller kontroll av den dömde enligt IÖVL.
Skälen för utredningens förslag
Allmänt om biometri
Biometri definieras som automatiserad igenkänning av individer baserat på deras biologiska eller beteendebaserade kännetecken. Det finns många typer av biometriska kännetecken, exempelvis strukturen av åsarna på fingertopparna, strukturen hos ögats iris och en handskriven underskrifts utformning. För biometriska it-system finns det två övergripande typer av igenkänning. Systemen kan användas för att automatiskt identifiera eller verifiera en persons identitet.19
Ansiktsigenkänning är exempel på en biometrisk teknik som på senare år har gått igenom en snabb utveckling och – även om det görs ständiga förbättringar – bedöms som pålitlig. Igenkänningen görs vanligen genom att utvalda ansiktsdrag från en ansiktsbild
19 H. Karlzén m.fl. (2021), Biometriska metoder för teknisk bevakning, s. 10 f. FOI.
Ändringar i andra lagar Ds 2023:21
(digital bild) jämförs med bilder på en eller flera personers ansikten.20
I takt med teknikutvecklingen och att fotografier på papper i allt väsentligt har ersatts av digitala bilder, har ansiktsigenkänning fått en allt större plats i våra samhällen. Tekniken används i dag exempelvis vid automatiska passkontroller på flygplatser runt om i världen och av brottsbekämpande myndigheter. Datainspektionen (numera Integritetsskyddsmyndigheten) konstaterade redan hösten 2019 att polisen får använda ansiktsigenkänning för att utreda brott.21 Ansiktsigenkänning är även vanlig i privata sammanhang. Exempelvis har dagens mobiltelefoner i allmänhet en inbyggd funktion för ansiktsigenkänning. Även BankID tillhandahåller ansiktsigenkänning för identifiering och signering.
Skyddet för den personliga integriteten vid fotografering
Enligt 2 kap. 6 § regeringsformen är var och en skyddad mot påtvingade kroppsliga ingrepp från det allmännas sida. Vidare är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
Fotografering räknas inte som ett kroppsligt ingrepp i den mening som avses i 2 kap. 6 § första stycket regeringsformen (se Kontroll av biometriska kännetecken i resehandlingar, prop. 2017/18:35, s. 12). Att fotografera någon kan däremot i vissa fall utgöra ett sådant intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket (prop. 2009/10:80 s. 177). Det gäller även lagring av fotografier. Avgörande för bedömningen av om en åtgärd ska anses innebära övervakning eller kartläggning i bestämmelsens mening är inte dess huvudsakliga syfte utan vilken effekt som åtgärden har. Vad som utgör ett betydande intrång i den personliga integriteten får bedömas utifrån åtgärdens intensitet eller omfattning samt uppgifternas integritetskänsliga natur (prop. 2009/10:80 s. 177 f. och 250).
Ett skydd mot integritetsintrång av olika slag följer även av Europakonventionen, som gäller som lag i Sverige. I artikel 8.1 anges att
20 Europeiska dataskyddsstyrelsen, Riktlinjer för ansiktsigenkänning inom rättsväsendet, version 1.0, antagna den 12 maj 2022, s. 7. 21 Pressmeddelande från Datainspektionen den 24 oktober 2019, hämtat den 15 april 2023 från www.imy.se.
Ds 2023:21 Ändringar i andra lagar
var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Den rättigheten innefattar bl.a. skydd mot att bli fotograferad. Inskränkningar i skyddet kan godtas bara om de har stöd i lag och i ett demokratiskt samhälle är nödvändiga med hänsyn till vissa uppräknade ändamål, däribland statens säkerhet, den allmänna säkerheten eller förebyggande av oordning eller brott.
Ett likartat skydd mot integritetsintrång följer av artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna (EU:s rättighetsstadga). I den mån stadgan omfattar rättigheter som motsvarar sådana som garanteras i Europakonventionen, ska de ha samma innebörd och räckvidd som i konventionen.
FN:s konvention om barnets rättigheter (barnkonventionen) gäller sedan den 1 januari 2020 som lag i Sverige. Enligt artikel 16 får inget barn utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv. Vidare framgår av artikel 3 att vid alla åtgärder som rör barn, vare sig de vidtas av offentliga eller privata sociala välfärdsinstitutioner, domstolar, administrativa myndigheter eller lagstiftande organ, ska i första hand beaktas vad som bedöms vara barnets bästa. Barnets bästa kan inte frikopplas från övriga rättigheter i konventionen. Rättigheterna ska ses som en helhet.
Från det straffbara området för kränkande fotografering enligt 4 kap. 6 a § brottsbalken har undantagits sådan fotografering som görs som ett led i myndigheters verksamhet.
Den nuvarande regleringen
Kriminalvården får enligt 8 kap. 1 § fängelselagen ta fotografi av den som verkställer ett fängelsestraff i kriminalvårdsanstalt, för att underlätta identifieringen av honom eller henne. Regleringen tillåter såväl fotografi av någons ansikte som av en annan kroppsdel som kan underlätta identifieringen av den dömde, exempelvis fotografi av en tatuering som den dömde har. Begreppet fotografi omfattar vidare bilder framtagna genom olika tekniker, exempelvis en digital eller analog metod. Fotografierna utgör personuppgifter som får behandlas i det centrala kriminalvårdsregistret, se 17 § Kriminalvårdens brottsdataförordning. Det finns ingen motsvarande regel i IÖVL som ger Kriminalvården möjlighet att fotografera den som ska verk-
Ändringar i andra lagar Ds 2023:21
ställa ett fängelsestraff utanför anstalt för att underlätta identifieringen av honom eller henne.
En ny bestämmelse i IÖVL
Det bör införas en bestämmelse i IÖVL som ger Kriminalvården rätt att ta ett digitalt fotografi (ansiktsbild) av en dömd person för att underlätta identifieringen av honom eller henne. Syftet är att fotografiet ska kunna användas bl.a. vid biometrisk autentisering. Fotografier som tagits enligt fängelselagen och ansiktsbilder som tas med stöd av IÖVL bör få göras gemensamt tillgängliga enligt de bestämmelser som föreslås i Kriminalvårdens brottsdatalag, se avsnitt 8.3.
11.1.2. Ansiktsigenkänning vid verkställighet av fängelsedom
Utredningens förslag: Om det är absolut nödvändigt för verk-
ställigheten, får Kriminalvården behandla biometriska uppgifter genom biometrisk autentisering i syfte att bekräfta en dömd persons identitet om han eller hon verkställer ett fängelsestraff, i eller utanför anstalt.
De ansiktsbilder som utgör jämförelseunderlag vid biometrisk autentisering får inte behandlas längre än två år efter det att påföljden helt har verkställts eller upphört av annat skäl.
De ansiktsbilder och den biometriska data som skapats vid den automatiska autentiseringen ska raderas senast en vecka efter autentiseringstillfället eller, vid prövning av misskötsamhet, så snart Kriminalvårdens eller övervakningsnämndens beslut i frågan har fått laga kraft.
Skälen för utredningens förslag
Modern teknik bör få användas
Verkställighet av fängelsestraff utanför anstalt förutsätter enligt 6 § IÖVL att Kriminalvården utövar noggrann tillsyn över den dömde och fortlöpande håller sig underrättad om hans eller hennes förhållanden. Under verkställigheten får den dömde inte vistas utanför bo-
Ds 2023:21 Ändringar i andra lagar
staden annat än på särskilt angivna tider och för bestämda ändamål, såsom förvärvsarbete, utbildning, vård och liknande, vilket regleras i 3 § IÖVL. Den dömde ska vidare enligt 4 § första stycket IÖVL bl.a. iaktta skötsamhet och avhålla sig från alkohol och andra beroendeframkallande medel samt vissa dopningsmedel och hälsofarliga varor. Den dömde är skyldig att under verkställigheten på begäran lämna blod-, urin-, utandnings-, saliv-, svett- eller hårprov för kontroll av att han eller hon inte är påverkad. Undantag gäller dock om det motiveras av medicinska eller liknande skäl. Elektroniska hjälpmedel får användas för att kontrollera att den dömde efterlever formerna för verkställigheten, exempelvis avhåller sig från alkohol. Det framgår av 4 § IÖVL.
Även verkställighet av dom på fängelse i anstalt förutsätter tillsyn av den dömde. Den dömde är exempelvis enligt 8 kap. 6 § fängelselagen skyldig att på begäran lämna bl.a. utandningsprov för kontroll av att han eller hon inte är påverkad av alkohol. Detsamma gäller enligt 11 kap. 7 § fängelselagen den som är beviljad utslussningsåtgärd. När en intagen beviljas permission, särskild permission eller tillstånd till utslussningsåtgärd ska vistelsen utanför anstalt förenas med de villkor som behövs. Kriminalvården får, med stöd av 10 kap. 5 § andra stycket och 11 kap. 6 § första stycketfängelselagen, använda elektroniska hjälpmedel för att kontrollera att den dömde efterlever dessa villkor.
Kontrollen av den dömde förutsätter i dag att en frivårdsinspektör beger sig fysiskt till den dömde, manuellt verifierar hans eller hennes identitet och sedan genomför exempelvis en nykterhetskontroll genom att låta den dömde göra ett utandningsprov. Viss tillsyn kan dock skötas med hjälp av elektronisk övervakning.
I takt med att allt fler döms till fängelse, har tillsynen över de dömda blivit en mycket resurskrävande uppgift för Kriminalvården. För att upprätthålla en effektiv och säker straffverkställighet, bör modern och beprövad teknik få användas som ett led i verkställigheten.
Polismyndigheten använder ansiktsigenkänning
Allt fler brottsbekämpande myndigheter tillåts använda ansiktsigenkänning som ett verktyg i sina verksamheter. Under våren 2021
Ändringar i andra lagar Ds 2023:21
driftsatte polisen ett it-system, Abis, som ger förutsättningar för att kunna söka efter en ansiktsbild. Abis står för Automatic Biometric Identification System. It-systemet innehåller både fingeravtryck och ansiktsbilder som tas vid daktyloskopering samt sökfunktionalitet för båda typerna av biometri. Kort efter det att it-systemet togs i bruk driftsatte polisens nationella forensiska centrum ett nytt standardförfarande som går ut på att en bild på en okänd person söks med en algoritm för ansiktsigenkänning mot ansiktsbilderna i Abis. Bilden söks i syfte att få fram ett uppslag på vem personen skulle kunna vara. Sökutfallet analyseras sedan manuellt av forensiker. Integritetsskyddsmyndigheten har gett klartecken till att Polismyndigheten får använda metoden i verksamheten på nationellt forensiskt centrum.22
Ansiktsigenkänning är absolut nödvändig vid verkställighet av dom på fängelse
Kriminalvården får enligt 2 kap. 12 § brottsdatalagen och 2 kap. 3 § Kriminalvårdens brottsdatalag behandla biometriska uppgifter endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen. Begreppet absolut nödvändigt manar till försiktighet och innebär att sådana uppgifter aldrig bör behandlas slentrianmässigt.
Som framgått av tidigare avsnitt, bl.a. avsnitt 6.5 och 7.1, har förutsättningarna för Kriminalvårdens verksamhet förändrats. De rådande förhållandena med ökad beläggning och ökat antal utdömda fängelsepåföljder, ställer allt högre krav på Kriminalvården. Som en konsekvens av det behöver Kriminalvården, om det finns rättsliga och praktiska förutsättningar, kunna använda modern teknik i verkställigheten. Om exempelvis en nykterhetskontroll kan genomföras med samma rättssäkerhet utan att en frivårdsinspektör behöver bege sig fysiskt till den dömde, kan resurser frigöras och användas till andra arbetsuppgifter inom Kriminalvården. Elektronisk övervakning medger tätare kontroller. Biometrisk autentisering genom ansiktsigenkänning får därmed anses vara absolut nödvändig för att Kriminalvården ska kunna utföra sin arbetsuppgift att verkställa fängelsestraff. För den enskilde kan digital kontroll upplevas som en
22 Nyhet från NFC den 9 februari 2022, hämtad den 31 mars 2023 från www.polisen.se.
Ds 2023:21 Ändringar i andra lagar
mindre integritetskränkning än ett oanmält fysiskt besök av kriminalvårdare i hemmet eller på arbetsplatsen.
Av integritetsskäl bör Kriminalvårdens möjligheter att använda biometrisk autentisering begränsas till myndighetens behov som det beskrivs i dag. Det innebär att tekniken enbart får användas för att bekräfta den dömdes identitet, om han eller hon har dömts till fängelse och verkställer straffet. Tekniken kommer därmed att begränsas till situationer där den dömde redan är skyldig att underkasta sig identitetskontroll. I stället för att kontrollen genomförs manuellt ges Kriminalvården möjlighet att övergå till automatiserade kontroller. I vilken utsträckning den dömdes identitet bör bekräftas genom en manuell eller automatisk process är en fråga som Kriminalvården får avgöra.
Ett godtagbart intrång i den dömdes integritet
Kriminalvården föreslås, som framgår ovan, endast få använda biometrisk autentisering för att bekräfta identiteten hos personer som har dömts till fängelse. Det ska alltså inte vara tillåtet att identifiera den dömde genom att matcha honom eller henne mot andra personer i en databas, utan den biometriska matchningen kommer enbart att göras mot den dömdes egen ansiktsbild. Risken för integritetsintrång begränsas därmed väsentligt. Förslaget kommer vidare enbart att omfatta personer som har dömts till fängelse. Det är alltså inte fråga om identifiering av personer i allmänhet eller ens alla som verkställer en påföljd inom Kriminalvården. Eftersom den föreslagna ansiktsigenkänningen förutsätter att den dömde medverkar, kommer han eller hon också att vara medveten om när autentiseringen görs.
Fotografering och användande av fotografier i det nu angivna syftet får anses utgöra godtagbara intrång i de rättigheter som skyddas av regeringsformen och Europakonventionen. Detsamma får anses gälla enligt barnkonventionen för den som har begått brott innan han eller hon har fyllt 18 år, om det finns synnerliga skäl att bestämma påföljden till fängelse.
Ändringar i andra lagar Ds 2023:21
Den bild som används för jämförelse får behandlas i två år
Det fotografi eller den ansiktsbild som tas och lagras vid verkställighet av dom på fängelse, i eller utanför anstalt, och som är avsedd att användas som jämförelseunderlag vid en biometrisk autentisering är en personuppgift som får behandlas så länge det bedöms vara nödvändigt, se 2 kap. 17 § första stycket brottsdatalagen. Som längst får enligt förslaget i avsnitt 8.10.4 personuppgifter behandlas i tio år efter det att påföljden helt har verkställts eller upphört av annat skäl. Frågan är dock om sådana bilder som nu avses bör få behandlas så länge. Det praktiska behovet av sådana bilder upphör i många fall kort tid efter det att påföljden helt har verkställts. En lämplig lösning kan vara att sådana bilder får behandlas som längst två år efter det att påföljden helt har verkställts eller upphört av annat skäl.
Det bör införas en särskild bestämmelse i IÖVL och fängelselagen som anger hur länge sådana fotografier eller ansiktsbilder som utgör jämförelseunderlag vid biometrisk autentisering bör få behandlas. Tidsfristen bör gälla oavsett om den som verkställer fängelsestraffet var 18 år eller yngre vid tiden för brottet.
Den biometriska datan ska raderas
Varje autentisering innebär en ny behandling av känsliga personuppgifter. Den biometriska data som skapats vid ett autentiseringstillfälle bör endast få användas för att bekräfta den dömdes identitet vid det aktuella tillfället och eventuell misskötsamhet i samband med ett autentiseringstillfälle. Av integritetsskäl bör tidsfristen för radering vara kort. Det bör därför föreskrivas i IÖVL och fängelselagen att de bilder och den biometriska data som skapats vid en biometrisk autentisering ska raderas senast en vecka efter autentiseringstillfället.
Bestämmelserna i 2 kap.4 och 22 §§brottsdatalagen ger visst utrymme för Kriminalvården att behandla personuppgifter för ett nytt ändamål, t.ex. att utreda eventuella fel i den tekniska utrustningen. Den mycket korta tid som biometriska data föreslås få behandlas gör det emellertid svårt att hinna göra den prövning som behövs för att kunna utreda eventuell misskötsamhet. För trovärdigheten i straffsystemet måste Kriminalvården kunna utreda om en klient har misskött sig. Det bör därför föreskrivas i IÖVL och fängelselagen att uppgifterna får behandlas längre vid utredning av viss missköt-
Ds 2023:21 Ändringar i andra lagar
samhet, eftersom datan kan behövas som underlag vid en sådan utredning. En lämplig lösning är att låta uppgifterna, vid utredning om viss misskötsamhet, behandlas till dess att Kriminalvårdens eller övervakningsnämndens beslut i frågan har fått laga kraft. Eventuella systemfel bör kunna utredas inom en vecka. Om det inte räcker får en prövning mot 2 kap. 22 § brottsdatalagen göras.
Det krävs inga nya sekretessbestämmelser
Utredningens förslag innebär att Kriminalvården får stöd att behandla ansiktsbilder och biometriska data i syfte att identifiera en person som har dömts till fängelse som ska verkställas i eller utanför anstalt. Enligt 2 § 1 och 16 § Kriminalvårdens brottsdataförordning får Kriminalvården om det är nödvändigt för att utföra en uppgift som anges i 2 kap. 1 § Kriminalvårdens brottsdatalag behandla fotografier av enskilda i det centrala kriminalvårdsregistret. Det finns även visst stöd enligt 2 kap. 3 § Kriminalvårdens brottsdatalag för att behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Det finns dock inget stöd för att behandla biometriska data i det centrala kriminalvårdsregistret.
Som framgår i avsnitt 10.1.2 omfattas Kriminalvårdens verksamhet i viss utsträckning av sekretess. Enligt 35 kap. 15 § OSL gäller bl.a. sekretess inom kriminalvården för uppgift om en enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider med eller att fara uppkommer för att någon utsätts för våld eller lider annat allvarligt men om uppgiften röjs. Bestämmelsen gäller generellt i kriminalvårdens verksamhet. Den skyddar i första hand den som är eller varit föremål för Kriminalvårdens åtgärder, däribland intagna i kriminalvårdsanstalt eller personer som avtjänar fängelsestraff med fotboja. Sekretessen är vidsträckt. Enligt 21 kap. 7 § OSL gäller sekretess vidare för personuppgift om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med dataskyddsförordningen. Det avgörande vid den bedömningen är vad som händer med personuppgifterna efter att de har lämnats ut och vad sökanden, det vill säga den som begärt ut dem, ska använda dem till. Bestämmelsen är tillämplig hos samtliga myndigheter och det finns ingen begränsning i fråga om vilka uppgifter som bestämmelsen omfattar.
Ändringar i andra lagar Ds 2023:21
Ansiktsbilder och biometriska data är personuppgifter som kan vara föremål för sekretess enligt 35 kap. 1 § och 21 kap. 7 § OSL. Den föreslagna behandlingen av ansiktsbilder och biometriska data medför inte ett behov av starkare sekretess. Det finns därför inte skäl att föreslå några nya sekretessbestämmelser.
11.2. Personutredningar i brottmål
Utredningens bedömning: Förslaget om gemensamt tillgängliga
uppgifter bedöms ge Kriminalvården det stöd som krävs för att behandla personuppgifter om personer som är föremål för personutredning.
Skälen för utredningens bedömning: Kriminalvården ansvarar för
att utföra personutredningar i brottmål. Kriminalvården biträder då andra myndigheter som utför uppgifter inom brottsdatalagens tilllämpningsområde. Oftast lämnas uppdraget att göra personutredning av en allmän domstol, men i vissa fall av en åklagare eller annan undersökningsledare. Kriminalvården får enligt 2 kap. 1 § 3 Kriminalvårdens brottsdatalag och 3 § Kriminalvårdens brottsdataförordning behandla personuppgifter vid personutredning.
Med de ändringar som föreslås i avsnitt 8.3.2 bedömer utredningen att det finns tillräckligt rättsligt stöd för Kriminalvården att behandla uppgifter om personer som genomgår personutredningar. Visst säkerhetsarbete får vidare anses ingå vid utförandet av uppdraget. Kriminalvården får exempelvis med stöd av de bestämmelser som föreslås om gemensamt tillgängliga uppgifter behandla personuppgifter i sådan utsträckning att myndigheten har förutsättningar att undvika att personer från rivaliserande kriminella nätverk möts på ett frivårdskontor.
Det kan övervägas om det i kriminalvårdsinstruktionen bör föreskrivas att Kriminalvården ska verka för att personutredningar utförs på ett säkert sätt. Eftersom instruktionen är föremål för översyn, lämnar utredningen inga förslag i den delen.
12. Kriminalvårdens brottsdataförordning
12.1. En helt ny förordning
Utredningens förslag: Det ska införas en ny, modern förordning
som ersätter Kriminalvårdens nuvarande brottsdataförordning och som är anpassad efter Kriminalvårdens behov i dag.
Skälen för utredningens förslag: Som framgått i avsnitt 6.1, avviker
Kriminalvårdens brottsdataförordning från den lagtekniska struktur som gäller för motsvarande förordningar för övriga myndigheter i rättskedjan. En modernisering av förordningen förutsätter så pass omfattande ändringar att den nuvarande förordningen bör upphävas och ersättas med en ny förordning.
Kriminalvårdens nya brottsdataförordning bör vara indelad i kapitel och bestämmelserna bör i större utsträckning göras generella. Viss detaljreglering behöver dock behållas. Det gäller exempelvis bestämmelsen om andra myndigheters skyldighet att lämna uppgifter till Kriminalvården. Som framgått av avsnitt 8.1.3 bör vissa bestämmelser som i dag finns i förordningen lyftas in i Kriminalvårdens brottsdatalag, bl.a. av integritetsskäl. Några bestämmelser behöver omarbetas för att anpassas till dagens förutsättningar på häkten, kriminalvårdsanstalter och frivårdskontor. Det finns också bestämmelser som bör utgå. I den mån bestämmelser flyttas över till den nya förordningen bör även de språkliga förändringar som krävs göras.
Den nya förordningen bör ha samma benämning som den nuvarande. Namnet följer samma systematik som övriga registerförfattningar inom brottsdatalagens tillämpningsområde och klargör att förordningen kompletterar Kriminalvårdens brottsdatalag.
Kriminalvårdens brottsdataförordning Ds 2023:21
Hänvisningar till förordningen i andra författningar behöver också ändras, som en följd av att förordningen får ett nytt författningsnummer.
12.2. Vissa bestämmelser behöver finnas kvar
12.2.1. Skyldigheten för andra myndigheter att lämna uppgifter till Kriminalvården
Utredningens förslag: Polismyndigheten, Regeringskansliet,
Migrationsverket, en migrationsdomstol och Migrationsöverdomstolen samt de allmänna domstolarna ska i samma utsträckning som i dag lämna uppgifter till Kriminalvården.
Skälen för utredningens förslag: Vilka myndigheter som är skyl-
diga att lämna uppgifter till det centrala kriminalvårdsregistret framgår av 18 § Kriminalvårdens brottsdataförordning. I paragrafen anges också vilka uppgifter som de uppräknade myndigheterna ska lämna. Paragrafen ändrades hösten 2022 på så sätt att de allmänna domstolarna i huvudsak övertog den skyldighet att lämna uppgifter som tidigare hade ålegat Polismyndigheten. Det finns även bestämmelser om uppgiftsskyldighet i andra författningar. Exempelvis regleras uppgiftsskyldighet för de allmänna domstolarna i expedieringsregelverket, främst förordningen (1990:893) om underrättelse om dom i vissa brottmål, m.m. men även i 16 § förordningen (1996:271) om mål och ärenden i allmän domstol.
Bestämmelser som anger till vilka myndigheter och vilka uppgifter som ska rapporteras och hur överföringen av uppgifterna ska gå till finns framför allt i förordningen (2014:1085) om rättsväsendets informationshantering. Domstolarnas rapporteringsskyldighet är enligt 5 a § kopplad till den uppgiftsskyldighet om domar och beslut som följer av lag eller förordning.
Det förhållandet att utredningens förslag innebär att det inte längre finns något krav på att Kriminalvården ska föra ett centralt kriminalvårdsregister påverkar inte myndighetens behov av rapportering från andra myndigheter. De uppgifter som andra myndigheter ska lämna är även i framtiden nödvändiga för att Kriminalvården ska kunna utföra sina arbetsuppgifter. Bestämmelsen i 18 § Kriminalvår-
Ds 2023:21 Kriminalvårdens brottsdataförordning
dens brottsdataförordning bör därför i sak oförändrad föras över till den nya förordningen. Vissa språkliga justeringar krävs emellertid till följd av utredningens förslag att den nya regleringen ska bygga på att uppgifter görs gemensamt tillgängliga, i stället för att de behandlas i det centrala kriminalvårdsregistret. Utredningen återkommer till att de allmänna domstolarnas uppgiftsskyldighet bör utökas något, se avsnitt 12.4.1.
12.2.2. Journaler
Utredningens förslag: Den generella bestämmelsen i Kriminal-
vårdens brottsdatalag om journaler bör kompletteras med en bestämmelse i Kriminalvårdens brottsdataförordning som närmare anger vad journaler ska innehålla. Kriminalvården får meddela närmare föreskrifter om journalföring. Avvikande bestämmelser om journaler i annan lagstiftning ska gälla i stället för de nu aktuella bestämmelserna.
Skälen för utredningens förslag: Bestämmelser om journalföring
finns i dag i 6, 9, 12, 14, och 15 b §§ Kriminalvårdens brottsdataförordning. Som framgått i avsnitt 8.4 bör skyldigheten att föra journal i huvudsak regleras i Kriminalvårdens brottsdatalag. Närmare bestämmelser om vilka uppgifter som journalföringen bör omfatta bör dock samlas i en bestämmelse i Kriminalvårdens brottsdataförordning. Regleringen bör, på samma sätt som i dag, i generella termer ange vad som bör antecknas i de journaler som förs inom Kriminalvården. Det bör även finnas en bestämmelse som anger att Kriminalvården får meddela närmare föreskrifter om journalföring.
Om det i andra författningar som Kriminalvården ska tillämpa finns avvikande bestämmelser om journaler, ska i stället de bestämmelserna gälla. Det innebär t.ex. att patientdatalagens bestämmelser om journaler fortsätter att gälla.
Kriminalvårdens brottsdataförordning Ds 2023:21
12.2.3. Andra bestämmelser
Utredningens förslag: Allmänna bestämmelser samt bestämmel-
serna om utlämnande av uppgifter, vissa bestämmelser om säkerhetsregistret, skyldigheten att anmäla oriktigheter och vissa övriga frågor förs oförändrade i sak över till den nya förordningen.
Skälen för utredningens förslag: I 1 § Kriminalvårdens brottsdata-
förordning anges att förordningen innehåller kompletterande bestämmelser till Kriminalvårdens brottsdatalag. Vidare hänvisas till bl.a. 18 §, som anger andra myndigheters uppgiftsskyldighet. En motsvarande bestämmelse bör finnas i den nya förordningen.
Enligt 19 § Kriminalvårdens brottsdataförordning ska uppgifter i det centrala kriminalvårdsregistret på begäran lämnas ut till vissa utpekade myndigheter. Bestämmelser om säkerhetsregistrets innehåll, utlämnande av uppgifter i säkerhetsregistret och direktåtkomst till säkerhetsregistret regleras i 21–24 §§ Kriminalvårdens brottsdataförordning. I 25 § föreskrivs en skyldighet att anmäla oriktighet i register och i 26–30 §§ regleras rätten för Riksarkivet och Kriminalvården att meddela föreskrifter. Som utvecklas i avsnitt 12.4.1 bör bestämmelserna som reglerar utlämnande av uppgifter även omfatta Tullverket. I övrigt bör nu nämnda bestämmelser föras över oförändrade i sak till den nya förordningen. Vissa språkliga justeringar och materiella ändringar krävs dock, bl.a. till följd av utredningens förslag att regleringen ska bygga på att uppgifter görs gemensamt tillgängliga, i stället för att de behandlas i det centrala kriminalvårdsregistret.
12.3. Bestämmelser som inte längre behövs
Utredningens förslag: Detaljerade bestämmelser om vilka upp-
gifter som får behandlas avseende olika personkategorier utmönstras.
Skälen för utredningens förslag: Som framgått i tidigare avsnitt är
Kriminalvårdens brottsdataförordning mycket detaljerad och avviker påtagligt från dagens registerförfattningar. I stor utsträckning
Ds 2023:21 Kriminalvårdens brottsdataförordning
finns den materiella regleringen om hur en frihetsberövad eller dömd person ska behandlas i annan lagstiftning, som häkteslagen och fängelselagen.
Brottsdatalagen och Kriminalvårdens brottsdatalag anger tydliga ramar för vilken personuppgiftsbehandling som är tillåten inom brottsdatalagens område. Detaljerade bestämmelser som räknar upp vilka uppgifter, både personuppgifter och andra uppgifter, som får behandlas för olika personkategorier är överflödiga och gör att reglerna om personuppgiftsbehandling blir svårtillämpade. Det kan vidare ifrågasättas om vissa bestämmelser i förordningen är förenliga med bestämmelserna i brottsdatalagen. Detaljbestämmelser och bestämmelser som saknar betydelse för personuppgiftsbehandlingen bör utmönstras.
12.4. Andra ändringar
12.4.1. Utlämnande av uppgifter
Utredningens förslag: Uppgifter som har gjorts gemensamt till-
gängliga och uppgifter i säkerhetsregistret ska kunna lämnas ut till Tullverket. Samma begränsningar som gäller för andra myndigheter ska gälla för utlämnande till Tullverket.
Skälen för utredningens förslag: Uppgifter i centrala kriminal-
vårdsregistret ska enligt 19 § Kriminalvårdens brottsdataförordning på begäran lämnas ut till Regeringskansliet, en domstol, Åklagarmyndigheten, Ekobrottsmyndigheten, Justitiekanslern, Riksdagens ombudsmän, Polismyndigheten, Säkerhetspolisen och Integritetsskyddsmyndigheten. Uppgifter i säkerhetsregistret får enligt 23 § första stycket Kriminalvårdens brottsdataförordning lämnas ut till Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och Åklagarmyndigheten om uppgiften kan antas ha särskild betydelse för en förundersökning, andra brottsbekämpande åtgärder eller att upprätthålla ordningen och säkerheten i Kriminalvårdens verksamhet. Uppgifter i säkerhetsregistret får även lämnas ut till Regeringskansliet eller allmän domstol med stöd av paragrafens andra och tredje stycke.
Kriminalvårdens brottsdataförordning Ds 2023:21
Uppgifter som har gjorts gemensamt tillgängliga samt uppgifter i säkerhetsregistret bör, som föreslagits i avsnitt 10.2.2 och 10.3.2, även kunna lämnas ut till Tullverket. Det behöver återspeglas i den nya förordningen. Samma begränsningar som gäller för utlämnande till andra myndigheter bör gälla för Tullverket. Det innebär att endast uppgift om huruvida en person förekommer i säkerhetsregistret ska lämnas ut.
12.4.2. Uppgift om dom eller beslut i mål där personutredningar har gjorts
Utredningens förslag: De allmänna domstolarnas skyldighet att
lämna uppgifter till Kriminalvården ska omfatta dom eller slutligt beslut i alla brottmål där domstolen har inhämtat en särskild personutredning från Kriminalvården.
Skälen för utredningens förslag: Som framgått i avsnitt 12.2.1, är
vissa myndigheter skyldiga att lämna uppgifter till Kriminalvården, däribland de allmänna domstolarna. Kriminalvården har påtalat att myndighetens skyldighet att inte längre behandla vissa uppgifter även omfattar situationer där domstolarna i dag inte är skyldiga att lämna uppgift om domar och beslut.
Kriminalvården ska enligt 1 § lagen om särskild personutredning i brottmål, m.m. på begäran av annan myndighet, i regel en allmän domstol, utföra en personutredning i brottmål. Ett beslut att inhämta ett sådant yttrande meddelas i allmänhet efter att allmänt åtal har väckts. Om allmänt åtal inte har väckts, får beslut att inhämta yttrande meddelas endast under förutsättning att den misstänkte har erkänt gärningen eller det annars finns sannolika skäl för misstanken att han eller hon har begått brottet.
I fråga om personer som är föremål för personutredning får Kriminalvården enligt 4 § första stycket 1 Kriminalvårdens brottsdataförordning inte behandla personuppgifter längre än två år efter det att det mål i vilket personutredningen har begärts slutligt har avgjorts. Vid en fällande dom där påföljden bestäms till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst får uppgifterna behandlas som längst tio år efter att den senaste påföljden helt har verkställts.
Ds 2023:21 Kriminalvårdens brottsdataförordning
De allmänna domstolarnas uppgiftsskyldighet enligt 18 § Kriminalvårdens brottsdatalag är i dag knuten till domar eller beslut som avser vissa påföljder. Det innebär att Kriminalvården inte alltid får den information som behövs för att på ett korrekt sätt kunna avsluta behandlingen av personuppgifter enligt sin lagstiftning. Kriminalvården har behov av att få uppgift om slutliga avgöranden i alla mål där en personutredning har gjorts. Det kan exempelvis handla om information om att ett mål avslutats genom en avskrivning på grund av att åtalet har lagts ner eller att domstolen har meddelat en frikännande dom eller dömt till böter. För att Kriminalvården ska kunna avsluta behandlingen av personuppgifter inom den tidsfrist som anges i Kriminalvårdens brottsdatalag, behöver de allmänna domstolarnas uppgiftsskyldighet omfatta dom eller slutligt beslut i alla mål där personutredning har gjorts, dvs. även mål som inte har lett till någon påföljd som ska verkställas inom Kriminalvården. Ändringen i domstolarnas skyldighet att lämna uppgifter om domar eller beslut bör göras i den nya förordningen.23
Utredningen gör bedömningen att det rör sig om ett begränsat antal ytterligare domar och beslut som de allmänna domstolarna behöver underrätta Kriminalvården om.
12.4.3. Föreskriftsrätt om digital arkivering
Utredningens förslag: Kriminalvården får meddela föreskrifter
om digital arkivering.
Skälen för utredningens förslag: Som framgår i avsnitt 8.12.3 bör
Kriminalvården, i likhet med andra myndigheter som tillämpar brottsdatalagen, ges möjlighet att använda digitala arkiv. Kriminalvården bör därför ges rätt att, efter hörande av Riksarkivet, meddela föreskrifter om digital arkivering. En sådan bestämmelse bör tas in i Kriminalvårdens brottsdataförordning. Om det införs möjlighet att använda digitala arkiv kan det behövas närmare föreskrifter om begränsningar för en sådan behandling.
23 Jfr Domstolsverkets promemoria De allmänna domstolarnas rapportering inom brottmålsförfarandet, den 3 december 2021, diarienummer DOV 2021/178, s. 34.
Kriminalvårdens brottsdataförordning Ds 2023:21
12.5. Vad innebär förändringarna för Kriminalvården?
En övergång från den detaljreglering som gäller i dag enligt Kriminalvårdens brottsdataförordning till en ny reglering innebär inte att det blir tillåtet att behandla personuppgifter utan några begränsningar. Den sätter emellertid fokuset på två saker. Den ena är att Kriminalvårdens personal i betydligt större utsträckning än i dag måste lägga vikt vid att överväga om syftet med behandlingen är tilllåtet. Den andra är att Kriminalvården kommer att behöva inte bara utbilda personalen om den nya regleringen utan framför allt ta fram olika dokument, som anger vilka personuppgifter som typiskt sett behöver behandlas beträffande olika personkategorier. Det kommer sannolikt att visa sig att Kriminalvården har behov av att behandla de allra flesta av de personuppgifter och andra uppgifter som i dag räknas upp i olika paragrafer i Kriminalvårdens brottsdataförordning. Kriminalvården måste säkerställa att tjänstemännen har de verktyg som behövs för att hantera den nya regleringen. Kriminalvårdens nya brottsdataförordning ger också myndigheten bättre förutsättningar att möta nya förändringar i påföljdssystemet.
13. Ikraftträdande och övergångsbestämmelser
13.1. Ikraftträdande
Utredningens förslag: Förslagen bör träda i kraft den 1 juli 2024.
Skälen för utredningens förslag: Det är angeläget att Kriminalvår-
den så snart som möjligt får en modernare registerlagstiftning på plats. Förslagen innebär till stora delar förenklingar och förbättringar i förhållande till den reglering som finns. De bedöms därför inte kräva några omfattande förändringar i de befintliga it-systemen. Förslagen bör därför träda i kraft så snart som möjligt.
Utredningen bedömer att det bör vara möjligt att låta förslagen träda i kraft den 1 juli 2024.
13.2. Övergångsbestämmelser
13.2.1. Uppgifter om unga lagöverträdare
Utredningens förslag: Det införs en övergångsbestämmelse till
den nya bestämmelsen om längsta tid för behandling av uppgifter om den som var under 18 år vid tiden för brottet. Den paragrafen bör endast gälla för påföljder som döms ut efter ikraftträdandet.
Skälen för utredningens förslag: I avsnitt 8.10.4 föreslår utred-
ningen att längsta tid för behandling av personuppgifter om vissa personkategorier ska differentieras mera än i dag. Det innebär i allt väsentligt att tiden för behandling av personuppgifter blir något längre, men i vissa fall att tiden blir kortare. I den mån tiden förlängs
Ikraftträdande och övergångsbestämmelser Ds 2023:21
torde Kriminalvården tämligen enkelt kunna ange ett nytt slutdatum för hur länge uppgifterna som längst får behandlas.
För uppgifter om unga lagöverträdare kommer längsta tid för behandling av personuppgifter att förkortas. Om den bestämmelsen skulle tillämpas på alla påföljder som redan verkställs skulle Kriminalvården behöva lägga ner ett omfattande arbete för att se till att uppgifterna inte behandlas för länge. Den bestämmelsen bör därför enbart gälla för påföljder som döms ut efter ikraftträdandet. En övergångsbestämmelse som föreskriver det bör därför införas.
I övrigt krävs det inte några övergångsbestämmelser med anledning av de nya bestämmelserna om längsta tid för behandling.
13.2.2. Andra myndigheters uppgiftsskyldighet
Utredningens förslag: Det införs en övergångsbestämmelse som
reglerar andra myndigheters skyldighet att lämna uppgifter till Kriminalvården i vissa fall.
Skälen för utredningens förslag: I Kriminalvårdens nuvarande
brottsdataförordning finns det en övergångsbestämmelse av vilken det framgår att äldre föreskrifter fortfarande gäller för domar och beslut som har meddelats före ikraftträdandet. Om en sådan dom eller ett sådant beslut har överklagats, gäller detsamma även domar och beslut som därefter har meddelats i högre instanser.
Övergångsbestämmelsen infördes för att domstolarna skulle veta om domar och beslut skulle rapporteras enligt den gamla eller nya rapporteringslösningen. Det finns enligt uppgifter från Domstolsverket fortfarande behov av en sådan övergångsbestämmelse, eftersom det inte med säkerhet kan sägas att de domar och beslut som meddelats av underrätt före den 3 oktober 2022 då den nya rapporteringslösningen infördes, slutligt har avgjorts den 1 juli 2024.
Övergångsbestämmelsen innebär vidare att de allmänna domstolarnas något mer omfattande uppgiftsskyldighet enbart ska tilllämpas på domar och beslut som meddelas efter ikraftträdandet.
Ds 2023:21 Ikraftträdande och övergångsbestämmelser
13.2.3. Arkiverade uppgifter
Utredningens förslag: Det införs en övergångsbestämmelse som
anger att äldre bestämmelser fortfarande gäller för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet.
Skälen för utredningens förslag: Arkivlagstiftningen har enligt
2 kap. 17 § andra stycket brottsdatalagen som utgångspunkt företräde framför lagstiftningen om personuppgiftsbehandling på så sätt att intresset av att bevara allmänna handlingar har prioritet framför skyddet för personlig integritet. Utrymmet för att radera uppgifter i allmänna handlingar begränsas som huvudregel därmed av arkivlagstiftningen. Allmänna handlingar får emellertid med stöd av arkivlagens bestämmelser under vissa förutsättningar gallras. Avvikande bestämmelser om gallring i annan lag eller förordning, som i registerförfattningarna inom brottsdatalagens område, har företräde framför arkivlagstiftningen.
Utredningen föreslår nya, mer enhetliga frister för längsta tid för behandling av vissa personuppgifter. Som redovisas i avsnitt 8.12.2, ska det även fortsättningsvis framgå att 2 kap. 17 § andra stycket brottsdatalagen inte gäller vid tillämpningen av bestämmelser som reglerar hur länge personuppgifter får behandlas. All automatiserad behandling av personuppgifter ska därmed upphöra senast när den tid som anges i Kriminalvårdens registerförfattningar har löpt ut. Om de föreslagna tidsfristerna skulle tillämpas även för uppgifter som är arkiverade skulle det krävas en omfattande arbetsinsats för att anpassa dem till den nya regleringen. Det gäller särskilt om Kriminalvården använder sig av möjligheten som anges i avsnitt 8.12.3 att meddela föreskrifter om digital arkivering. Det bör därför införas en övergångsbestämmelse som föreskriver att äldre bestämmelser fortfarande gäller för uppgifter i handlingar som har omhändertagits för arkivering innan ändringarna träder i kraft.
13.2.4. Inga andra övergångsbestämmelser behövs
Utredningens bedömning: Det behöver inte införas några andra
övergångsbestämmelser.
Ikraftträdande och övergångsbestämmelser Ds 2023:21
Skälen för utredningens bedömning: De ändringar som föreslås är
av den arten att de normalt inte kräver några övergångsbestämmelser. I huvudsak innebär ändringsförslagen förenklingar för Kriminalvården. De kan därför tillämpas på den personuppgiftsbehandling som äger rum inom Kriminalvården i dag.
Utredningens förslag i avsnitt 8.2 om gemensamt tillgängliga uppgifter tillåter Kriminalvården att behandla personuppgifter i samma utsträckning som de nuvarande bestämmelserna om det centrala kriminalvårdsregistret. Kriminalvården förfogar över möjligheten att övergå till ett annat it-system eller en annan databas, genom att bestämmelserna är teknikneutrala. Det behövs därför inga särskilda övergångsbestämmelser.
Utredningen föreslår i avsnitt 8.10.4 och 9.5 en viss möjlighet att behandla personuppgifter innan en dom har fått laga kraft. Det kräver inte några övergångsbestämmelser, eftersom det inte kan bli aktuellt att behandla personuppgifter från några andra domar än sådana som meddelas när bestämmelserna trätt i kraft.
I avsnitt 8.8 och 10.2.2 föreslår utredningen att Tullverket får medges direktåtkomst till uppgifter som görs och har gjorts gemensamt tillgängliga samt uppgifter i säkerhetsregistret. Det behövs inte några övergångsbestämmelser till den ändringen.
Inte heller förslaget i avsnitt 8.4 att vissa bestämmelser om journalföring ska föras in i lag eller förslaget i avsnitt 8.3.5 om särskilda upplysningar kräver några övergångsbestämmelser.
Inte heller förslaget om biometrisk autentisering, som behandlas i avsnitt 8.7.2 och 11.1.2, kräver övergångsbestämmelser
14. Konsekvenser
14.1. Inledning
Av direktiven framgår att utredningen ska bedöma de ekonomiska konsekvenserna av förslagen för det allmänna, behovet av skydd för den personliga integriteten och förslagens konsekvenser för Kriminalvårdens verksamhet. I det ingår att göra en integritetsanalys och analysera myndighetens möjligheter att delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna ska utredningen föreslå hur de ska finansieras.
Utredningen har i de olika kapitlen analyserat konsekvenserna för enskilda och för Kriminalvårdens verksamhet. I detta kapitel görs en mer övergripande och sammanfattande bedömning av de konsekvenser som utredningens förslag kan antas medföra.
14.2. Allmänt om konsekvenserna för Kriminalvården
Utredningens bedömning: Förslagen till moderniseringar och
förtydliganden och en mer generell lagstiftning underlättar Kriminalvårdens personuppgiftsbehandling. Lagstiftningen ställer delvis nya krav på dem som ska tillämpa den nya lagstiftningen. Kriminalvårdens it-system kan behöva viss anpassning.
Skälen för utredningens bedömning: Utredningens förslag innebär
i allt väsentligt förbättringar, förenklingar och modernisering av Kriminalvårdens registerförfattningar inom brottsdatalagens område. Lagstiftningen görs generell och ersätter framför allt den detaljerade regleringen i förordningen (2018:1746) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område. Det är syftet
Konsekvenser Ds 2023:21
med personuppgiftsbehandlingen som kommer att vara avgörande för om en viss personuppgiftsbehandling är tillåten, inte vilken personkategori personen tillhör eller om uppgiften framgår av en detaljerad uppräkning i förordningen. Lagstiftningen riskerar därmed inte att hindra sådan personuppgiftsbehandling som är tänkt att vara tillåten. Vidare krävs inte längre några uppdateringar när påföljdssystemet ändras. Förslagen möter också på ett bättre sätt Kriminalvårdens behov av att behandla personuppgifter och ger förbättrade förutsättningar för en säker kriminalvård.
En modern och mer generell lagstiftning ställer samtidigt högre krav på de tjänstemän som ska tillämpa den. Det kommer därför att krävas att Kriminalvården genomför utbildningsinsatser, som i princip omfattar alla anställda i den operativa verksamheten, och tar fram handböcker och annat stöd som kan behövas vid myndighetens personuppgiftshantering.
Förslagen är utformade så att Kriminalvården kan fortsätta att använda befintliga it-system även efter att ändringarna trätt i kraft. Om myndigheten vill möjliggöra personuppgiftsbehandling i samma utsträckning som förslagen tillåter, kan emellertid vissa anpassningar av myndighetens verksamhetsstöd behövas. Säkerhetsregistret kan bl.a. behöva ändras i begränsad utsträckning. Vidare behöver den automatiska gallringen ses över när vissa tidsfrister förändras.
14.3. Konsekvenser för andra myndigheter
Utredningens bedömning: Möjligheten för Tullverket att få till-
gång till uppgifter genom direktåtkomst underlättar samarbetet med Kriminalvården. Den utökade uppgiftsskyldigheten för de allmänna domstolarna bedöms vara marginell.
Skälen för utredningens bedömning: Kriminalvården samarbetar
med andra myndigheter i syfte att bl.a. förebygga, förhindra eller upptäcka brottslig verksamhet. Möjligheten för Tullverket att få direktåtkomst till uppgifter som görs eller har gjorts gemensamt tillgängliga och uppgifter i säkerhetsregistret, öppnar för ett nytt sätt för Kriminalvården och Tullverket att samarbeta över myndighetsgränserna och möjliggör ett enklare informationsutbyte. Det ökar förutsättningarna för att Tullverket får del av rätt information vid
Ds 2023:21 Konsekvenser
rätt tillfälle och kan därigenom få en positiv effekt på det brottsförebyggande och brottsbekämpande arbetet.
I avsnitt 12.4.2 har utredningen föreslagit en viss utökad uppgiftsskyldighet för de allmänna domstolarna. Ändringen bedöms innebära en marginell förändring.
14.4. Konsekvenser för enskilda
14.4.1. Ett stärkt skydd för den personliga integriteten
Utredningens bedömning: Utredningens förslag innebär i allt
väsentligt ett förstärkt skydd för den personliga integriteten.
Skälen för utredningens bedömning: Bestämmelser om skydd för
den personliga integriteten finns framför allt i Europakonventionen och regeringsformen. Var och en har enligt artikel 8 i Europakonventionen rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Den rättigheten får endast inskränkas genom lag och om det i ett demokratiskt samhälle är nödvändigt bl.a. för att förebygga oordning eller brott eller för att skydda andra personers fri- och rättigheter. Enligt 2 kap. 6 § andra stycket regeringsformen är vidare var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
Syftet med brottsdatalagen och brottsdataförordningen och kompletterande registerförfattningar för olika myndighetsområden är att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av personuppgifter som görs i syfte att bl.a. förebygga, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Utredningens förslag innebär i stor utsträckning ett stärkt skydd för den personliga integriteten.
En tydlig förbättring ur integritetssynpunkt är att bestämmelser om uppgifter som görs eller har gjorts gemensamt tillgängliga och om journalföring införs i lag. Det innebär att Kriminalvårdens personuppgiftsbehandling inom brottsdatalagens område, som medför att personuppgifter om ett stort antal dömda personer behandlas, regleras på ett tydligt sätt i lag. Genom det ges skyddande ramar för
Konsekvenser Ds 2023:21
den personuppgiftsbehandling som bedöms nödvändig och det säkerställs att intrånget i den personliga integriteten är proportionerligt i förhållande till det som ska uppnås med behandlingen. Kriminalvården får inte möjlighet att samla in, behandla eller dela personuppgifter för fler ändamål än den nuvarande lagstiftningen tillåter. Däremot ger förslagen ett teknikneutralt, överskådligt och lättillgängligt regelverk som ger bättre förutsättningar för Kriminalvården att utföra sina arbetsuppgifter på ett ändamålsenligt sätt.
Direktåtkomst är en integritetskänslig form för att lämna ut uppgifter. Utredningens förslag att reglera åtkomsten i lag i stället för i förordning ger ett bättre integritetsskydd. Att regleringen också föreslås omfatta Tullverket, innebär en viss ökad risk för integritetsintrång för den enskilde eftersom behandlingen kan leda till ytterligare informationsutbyte. Risken för integritetsintrång begränsas emellertid genom Tullverkets registerlagstiftning, som anger i vilken utsträckning myndigheten får behandla de personuppgifter som myndigheten får del av. Därmed bedöms ett tillfredsställande skydd för den enskildes personliga integritet kunna upprätthållas.
Utredningen föreslår att biometrisk autentisering tillåts. Det innebär behandling av känsliga personuppgifter. Risken för integritetsintrång begränsas emellertid av paragrafens mycket snäva tilllämpningsområde. Personuppgifter och den biometriska data som skapas vid en autentisering får inte användas för något annat ändamål än att bekräfta identiteten av en person som har dömts för brott till fängelse och som verkställer sådan påföljd. Det föreslås strikta krav på radering av uppgifterna och den biometriska data som skapas. Uppgifterna får inte heller delas med någon annan myndighet. Den enskilde kommer vidare att få information om behandlingen och ha kontroll över när den genomförs, eftersom det är den enskilde själv som kommer att utföra autentiseringen. Att genomföra en nykterhetskontroll med hjälp av ansiktsigenkänning innebär vidare enligt utredningens bedömning en lägre risk för integritetsintrång än dagens reglering, som förutsätter att en nykterhetskontroll genomförs vid ett oannonserat besök av en frivårdsinspektör.
Förslaget om behandling av positionsuppgifter ger en preciserad rättslig grund för i vilken utsträckning som Kriminalvården får behandla positionsuppgifter. Vidare föreskrivs att positionsuppgifter ska raderas efter tre månader. Förslaget innebär ett stärkt skydd för den personliga integriteten.
Ds 2023:21 Konsekvenser
Förslaget om att införa bestämmelser i lag som klargör hur länge personuppgifterna som längst får behandlas, skapar ett bättre integritetsskydd för enskilda.
14.4.2. Biometrisk autentisering kräver särskild förberedelse
Utredningens bedömning: Kriminalvårdens användning av bio-
metrisk autentisering vid straffverkställighet bör föregås av en konsekvensbedömning och ställer krav vid upphandling av den teknik som ska användas. Den nya arbetsmetoden förutsätter vidare utbildningsinsatser och att rutiner för att hantera det nya verkställighetsverktyget fastställs.
Skälen för utredningens bedömning: Innan någon form av biomet-
risk autentisering tas i bruk bör Kriminalvården genomföra en konsekvensbedömning enligt 3 kap. 7 § första stycket brottsdatalagen. Om bedömningen visar att det finns särskild risk för intrång i den dömdes personliga integritet eller om typen av behandling innebär särskild risk för intrång, ska Kriminalvården även samråda med Integritetsskyddsmyndigheten enligt 3 kap. 7 § andra stycket brottsdatalagen, s.k. förhandssamråd.
Användning av ansiktsigenkänning, som är den autentiseringsform som ligger närmast till hands, ställer krav vid upphandling av den teknik som ska användas. Tekniken behöver inte vara framtagen av Kriminalvården, men myndigheten behöver tillräckligt med information om tekniken för att säkerställa bl.a. att de biometriska uppgifterna som läses in enbart används för att bekräfta identiteten av en viss person. Uppgifterna får alltså inte överföras till tredjeland som ett led i behandlingen, lämnas ut till andra myndigheter eller aktörer i samband med användningen eller användas för något annat syfte. Vidare måste tekniken möta lagstiftningens stränga krav på radering.
Det kommer att krävas utbildningsinsatser innan Kriminalvården kan börja använda ansiktsigenkänning eller andra metoder för biometrisk autentisering. Rutiner behöver tas fram för när tekniken ska användas, hur den dömde ska informeras och vilken information som ska förmedlas inför användandet av verktyget. Det behöver vi-
Konsekvenser Ds 2023:21
dare utarbetas rutiner som myndigheten kan tillämpa vid avvikelser, exempelvis när en autentisering misslyckas.
14.5. Ekonomiska konsekvenser
Utredningens bedömning: Eventuella kostnadsökningar för
Kriminalvården och andra berörda myndigheter kan finansieras inom ramen för befintliga anslag.
Förslagen bedöms inte föranleda några ökade kostnader för enskilda eller för företag.
Skälen för utredningens bedömning: Utredningens förslag ger i
allt väsentligt Kriminalvården bättre möjligheter att använda redan befintlig teknik, it-system och utrustning. De eventuella kostnadsökningar som utbildningsinsatser, framtagande av rutiner och framtida upphandlingar kan innebära för Kriminalvården bedöms rymmas inom myndighetens befintliga anslag.
Förslagen bedöms inte föranleda några kostnader som inte ryms inom befintliga anslag för andra myndigheter, eller några kostnader för enskilda eller för företag.
14.6. Konsekvenser för brottsligheten
Utredningens bedömning: Förslagen bedöms förbättra möjlig-
heterna för Kriminalvården att förhindra att brott begås under verkställigheten av påföljder. De ger också bättre förutsättningar för Kriminalvården att samarbeta med brottsbekämpande myndigheter.
Skälen för utredningens bedömning: Kriminalvården ansvarar för
att påföljder verkställs på ett säkert sätt. I det ingår bl.a. att förhindra brottslig verksamhet på kriminalvårdsanstalter eller inom Kriminalvårdens övriga verksamhet. Det förutsätter att Kriminalvården bedriver viss underrättelseverksamhet. Myndigheten förväntas också dela information inom ramen för det myndighetsgemensamma samarbetet mot den organiserade brottsligheten.
Ds 2023:21 Konsekvenser
Utredningens förslag innebär att Kriminalvården får rättsligt stöd att i större utsträckning behandla de personuppgifter som krävs och därmed bättre förutsättningar att upprätthålla en säker kriminalvård och delta i myndighetsgemensamma samarbeten. Förslagen innebär t.ex. att viss personal inom Kriminalvården kan behandla sådan information som behövs för att intagna inte ska placeras tillsammans med personer från rivaliserande nätverk eller andra som de kan planera brott tillsammans med. De nya bestämmelserna ger också Kriminalvården bättre förutsättningar att säkerställa att utslussningsåtgärder inte beviljas till företag som ägnar sig åt organiserad brottslig verksamhet. Kriminalvården tillåts vidare att, i vissa fall, behandla personuppgifter i säkerhetsregistret om personer som tillsammans med andra kan antas ägna sig åt organiserad brottslig verksamhet. Det ger bättre förutsättningar att förhindra fritagningar och andra allvarliga säkerhetsincidenter på häkten och i anstalter.
14.7. Konsekvenser för barn
Utredningens bedömning: Förslaget om att förkorta tiden som
uppgifter om unga lagöverträdare får behandlas innebär en förbättring för barn.
Skälen för utredningens bedömning: Kriminalvårdens registerför-
fattningar innehåller i dag inga särskilda bestämmelser som reglerar hur länge personuppgifter som rör unga lagöverträdare får behandlas. Det är i stället påföljdsvalet som styr hur länge personuppgifterna får behandlas.
Utredningens förslag innebär att personuppgifter om unga lagöverträdare inte får behandlas lika länge som i dag, förutom när påföljden bestäms till fängelse. Förslaget ger framför allt ett starkare skydd för barns integritet. Det innebär också att Kriminalvårdens registerförfattningar återspeglar de värderingar som finns i samhället och som återfinns i annan lagstiftning som berör lagöverträdare i åldersgruppen 15–17 år, t.ex. straffmätningsbestämmelserna.
Konsekvenser Ds 2023:21
14.8. Konsekvenser i övrigt
Utredningens bedömning: Förslagen innebär inte några andra
konsekvenser som bör redovisas.
Skälen för utredningens bedömning: Utredningen bedömer att
förslagen inte innebär några andra konsekvenser av det slag som anges i 14–15 a §§kommittéförordningen (1998:1474) som inte redan har kommenterats.
15. Författningskommentar
15.1. Förslaget till lag om ändring i lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område
2 kap.
3 §
Paragrafen reglerar behandling av biometriska uppgifter. Den har behandlats i avsnitt 8.7.2 och 11.1.2.
Första stycket är oförändrat.
Det andra stycket, som är nytt, reglerar användningen av personuppgifter för biometrisk autentisering. Enligt 2 kap. 12 § brottsdatalagen (2018:1177) får biometriska uppgifter bara behandlas om det är särskilt föreskrivet och om det är absolut nödvändigt för ändamålet med behandlingen. I stycket klargörs det att biometrisk autentisering får användas för att bekräfta identifieringen av en person som verkställer ett fängelsestraff i eller utanför anstalt. Det innebär att den dömde personens unika biometriska data får jämföras med insamlad data om honom eller henne. Om båda versionerna matchar, bekräftar autentiseringssystemet den dömdes identitet. Tekniken får däremot inte användas för att göra en biometrisk jämförelse mot insamlad biometrisk data som tillhör andra personer.
Vidare ska det vara absolut nödvändigt för verkställigheten av ett fängelsestraff att använda biometrisk autentisering. Om ansiktsbilder får samlas in inom ramen för en straffverkställighet och behöver användas för att bekräfta identiteten av den dömde, anses det vara absolut nödvändigt att behandla de personuppgifter som blir aktuella. Andra stycket preciserar användningsområdet för biometrisk
Författningskommentar Ds 2023:21
autentisering, men det begränsar inte i vilken utsträckning biometriska uppgifter kan behandlas med stöd av första stycket.
Biometrisk autentisering innebär att en eller flera unika biometriska egenskaper används för att bekräfta en persons identitet. Bestämmelsen är teknikneutral och tillåter olika metoder för biometrisk autentisering, t.ex. fingeravtryck, ansiktsigenkänning och röstigenkänning.
En biometrisk autentisering förutsätter att Kriminalvården har stöd för att samla in biometriska data. Enligt 8 kap. 1 § fängelselagen (2010:610) och 8 b § lagen (1994:451) om intensivövervakning med elektronisk kontroll får Kriminalvården ta digitala bilder av en dömd persons ansikte. Förevarande paragraf ger stöd för den fortsatta behandlingen av sådana personuppgifter, om det är fråga om digitala bilder och automatiserad behandling. Det innebär att regleringen tillåter användning av ansiktsigenkänning för att bekräfta en persons identitet, när han eller hon har dömts till fängelse och verkställer påföljden. Biometrisk autentisering får användas vid verkställighet både i och utanför anstalt.
Rätten att behandla biometriska data för att genomföra en ansiktsigenkänning innebär emellertid inte en generell rätt att fortsätta att behandla de uppgifter som skapats vid en biometrisk autentisering. Av 8 kap. 1 a § fängelselagen och 8 c § lagen om intensivövervakning med elektronisk kontroll framgår att sådana uppgifter som huvudregel ska raderas senast en vecka efter autentiseringstillfället. Kravet på snabb radering gäller emellertid inte för den jämförelsebild som Kriminalvården har tagit, se kommentaren till de paragraferna.
Sekretessbrytande bestämmelse
5 §
Paragrafen, som är ny, innehåller en bestämmelse som bryter sekretess som annars gäller inom Kriminalvården mot framför allt vissa brottsbekämpande myndigheter. Paragrafen har behandlats i avsnitt 10.2.2 och 10.3.2.
I paragrafen regleras de uppräknade myndigheternas rätt att, trots viss i paragrafen angiven sekretess, få del av personuppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården. Eftersom sekretess kan hindra att uppgifter lämnas ut, har undantag gjorts för vissa
Ds 2023:21 Författningskommentar
typer av sekretess. Paragrafen har utformats som en uppgiftsskyldighet (jfr prop. 2009/10:85 s. 331). En förutsättning för att uppgifterna ska lämnas ut är dock att det finns behov av uppgifterna hos den mottagande myndigheten för något av de ändamål som anges i 1 kap. 2 § brottsdatalagen (2018:1177).
I andra stycket görs undantag för uppgifter i säkerhetsregistret. Vad som gäller för sådana uppgifter regleras i 4 kap. 6 §.
Direktåtkomst
6 §
Paragrafen, som i huvudsak motsvarar nuvarande 20 § förordningen (2018:1746) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område, reglerar möjligheten att medge direktåtkomst till personuppgifter som görs eller har gjorts gemensamt tillgängliga. Paragrafen har behandlats i avsnitt 8.8.
I första stycket räknas de myndigheter upp som kan medges direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga. Det är Regeringskansliet, Polismyndigheten, Säkerhetspolisen och Tullverket. Med undantag för Tullverket är det samma myndigheter som hittills har kunnat medges direktåtkomst till det centrala kriminalvårdsregistret. Regleringen omfattar alla uppgifter som har gjorts gemensamt tillgängliga, med undantag för uppgifter i säkerhetsregistret. Direktåtkomst till uppgifter i det registret regleras i 4 kap. 7 §.
Direktåtkomst får medges endast för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:1177). Direktåtkomst får alltså medges till en behörig myndighet för att den ska behandla personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.
Vilken rätt den mottagande myndigheten har att behandla de personuppgifter som myndigheten får tillgång till genom direktåtkomsten framgår av den mottagande myndighetens registerförfattning.
Av andra stycket framgår att Regeringskansliet endast får ges tillgång till sådana uppgifter som behövs i ärenden om nåd.
Författningskommentar Ds 2023:21
7 §
I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter i vissa frågor.
Punkterna 1 och 3 är oförändrade. I punkten 2 läggs en hänvisning
till 6 § in.
3 kap. Gemensamt tillgängliga uppgifter
Allmän bestämmelse
1 §
Av paragrafen, som är ny och har behandlats i avsnitt 8.2.2, framgår att kapitlet innehåller bestämmelser om behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga.
Som framgår av första stycket bygger regleringen på en uppdelning mellan å ena sidan behandling av gemensamt tillgängliga uppgifter och å andra sidan annan behandling av personuppgifter.
Avgörande för bedömningen av om personuppgifter är att anse som gemensamt tillgängliga eller inte är om uppgifterna är åtkomliga för en bestämd och begränsad personkrets. Om avsikten är att uppgifterna ska vara åtkomliga för en större, eller en i förväg obestämd, krets av anställda inom Kriminalvården, får uppgifterna alltid anses vara gemensamt tillgängliga. Som exempel på det kan nämnas de allra flesta uppgifter i det nuvarande kriminalvårdsregistret. Uppgifter om intagna i häkte eller kriminalvårdsanstalt kommer med nödvändighet alltid att behöva göras gemensamt tillgängliga, eftersom uppgifterna behöver vara tillgängliga för en obegränsad krets. Detsamma gäller normalt uppgifter om andra personer som verkställer påföljder inom Kriminalvården. Även uppgifter om en person som ska genomgå personutredning kommer i många fall att bli gemensamt tillgängliga, om det inte redan från början kan förutses att endast ett fåtal personer behöver ha tillgång till personuppgifterna i fråga. Det kan dock ibland vara fallet om det är fråga om en ostraffad person som inte har haft någon kontakt med Kriminalvården tidigare och endast ett fåtal personer behöver få tillgång till personuppgifterna. Eftersom det normalt är fråga om en obestämd krets av personer som behöver få tillgång till uppgifterna, blir de dock som regel gemensamt tillgängliga.
Ds 2023:21 Författningskommentar
Att olika personalkategorier kan ha olika behörighet, och att en uppgift därför i praktiken vid en viss tidpunkt är åtkomlig enbart för ett begränsat antal personer, innebär alltså inte att uppgiften inte kan anses vara gemensamt tillgänglig. Uppgifter som en annan myndighet har tillgång till genom direktåtkomst anses alltid vara gemensamt tillgängliga.
Om uppgifterna å andra sidan lagras på ett sådant sätt att endast en viss person har tillgång till dem, kan uppgifterna normalt inte anses vara gemensamt tillgängliga. Det är framför allt i Kriminalvårdens underrättelseverksamhet som uppgifter endast är tillgängliga för ett fåtal personer. Personuppgifter som lagras elektroniskt på hårddisken i en dator eller en server i samband med att en enskild tjänsteman arbetar med ordbehandling och som är åtkomliga endast för tjänstemannen själv (och för systemadministratörer) kan alltså inte anses vara gemensamt tillgängliga. Detsamma gäller digitala upptagningar av bild eller ljud, om endast den som samlar in uppgifterna har tillgång till dem. I sådana fall är bestämmelserna i 3 kap. inte tillämpliga. Det gäller även om syftet är att uppgifterna senare ska lagras så att andra får tillgång till dem. Det är alltså först när insamlade uppgifter görs tillgängliga för fler än ett fåtal personer när Kriminalvården verkställer häktning eller påföljder eller i annan verksamhet inom brottsdatalagens tillämpningsområde som bestämmelserna i 3 kap. ska tillämpas. En annan sak är att den som samlar in uppgifter, som kan antas bli gemensamt tillgängliga vid en senare tidpunkt, redan vid insamlingstillfället bör beakta de särskilda regler som gäller för behandling av gemensamt tillgängliga personuppgifter för att inte försvåra den fortsatta behandlingen.
I vad mån uppgifter som är tillgängliga enbart för en bestämd, mindre krets av personer är att anse som gemensamt tillgängliga får bedömas med hänsyn till främst hur många personer som har tillgång till uppgifterna. Enbart det förhållandet att fler än en har tillgång till uppgifterna innebär inte att uppgifterna ska anses gemensamt tillgängliga. Behandlingar som görs exempelvis inom ramen för särskilda underrättelseprojekt i vilka endast vissa utpekade tjänstemän deltar, kan alltså falla utanför regleringen i 3 kap. Om antalet tjänstemän i en sådan grupp uppgår till fler än ett fåtal, måste dock de personuppgifter som behandlas inom gruppen, trots att den är avgränsad, anses vara gemensamt tillgängliga. Var gränsen går får bedömas med hänsyn till samtliga omständigheter i ett enskilt fall, men
Författningskommentar Ds 2023:21
en tumregel kan vara att uppgifterna är att anse som gemensamt tillgängliga om antalet deltagare i gruppen överstiger ett tiotal. Motsvarande begränsning gäller för brottsbekämpande myndigheter, bl.a. polisen (se prop. 2009/10:85 s. 335).
Även den tid under vilken uppgifter avses bli behandlade kan ha betydelse för frågan om uppgifterna ska anses vara gemensamt tillgängliga eller inte. I projekt med längre varaktighet måste man räkna med att de personer som sysslar med projektet med tiden kommer att bytas ut. Som en följd av det kommer de uppgifter som behandlas att bli tillgängliga för ett större antal personer än vad som motsvarar det normala antalet deltagare i projektet. Mot den bakgrunden kan uppgifter som behandlas i långsiktiga projekt ibland anses vara gemensamt tillgängliga, trots att antalet deltagare vid varje givet tillfälle är begränsat till en mindre grupp av personer.
När det gäller frågan om huruvida en uppgift är gemensamt tillgänglig eller inte är det viktigt att framhålla att karaktären av en uppgift kan förändras under den tid som den behandlas. Uppgifter som från början har betraktats som icke gemensamt tillgängliga kan göras gemensamt tillgängliga. Det kan t.ex. bli nödvändigt att göra viss underrättelseinformation tillgänglig för tjänstemän utanför det aktuella underrättelseprojektet. När det har gjorts ska de strängare bestämmelserna om behandling av gemensamt tillgängliga uppgifter tillämpas.
Har personuppgifter gjorts gemensamt tillgängliga ska därefter de strängare bestämmelserna om gemensamt tillgängliga uppgifter tillämpas, oberoende av hur många personer som har tillgång till uppgifterna.
Av andra stycket framgår att bestämmelserna i kapitlet inte gäller vid behandling av personuppgifter med stöd av den särskilda bestämmelsen i 2 kap. 2 § brottsdatalagen (2018:1177) om behandling av personuppgifter för diarieföring och nödvändiga handläggningsåtgärder.
Ds 2023:21 Författningskommentar
Personuppgifter som får göras gemensamt tillgängliga
2 §
Paragrafen, som är ny, reglerar, tillsammans med 3–5 §§, vilka personuppgifter som får göras gemensamt tillgängliga. Den har behandlats i avsnitt 8.3.2.
Bestämmelsen tillåter att personuppgifter avseende Kriminalvårdens klienter får göras gemensamt tillgängliga när det behövs för att verkställa häktning eller straffrättsliga påföljder, förebygga, förhindra eller upptäcka brottslig verksamhet i samband med verkställighet av häktning eller straffrättsliga påföljder, biträda andra myndigheter när de fullgör uppgifter för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177) eller fullgöra Kriminalvårdens förpliktelser som följer av internationella åtaganden. Med personuppgift avses enligt 1 kap. 6 § brottsdatalagen varje upplysning om en identifierad eller identifierbar fysisk person som är i livet.
Punkten 1 omfattar alla kategorier av personer som förvaras i
häkte med anledning av misstanke om brott eller verkställighet av påföljd. Detsamma gäller vid häktning som syftar till verkställighet av utvisning enligt en brottmålsdom. Bestämmelsen omfattar både gripna, anhållna och häktade. När Kriminalvården behandlar personuppgifter vid transport av frihetsberövade till och från häkten eller kriminalvårdsanstalter i samband med domstolsförhandlingar eller åtgärder under förundersökning, görs det med stöd av denna punkt.
Enligt punkten 2 får personuppgifter om personer som ska verkställa en påföljd som Kriminalvården ansvarar för göras gemensamt tillgängliga. Det avser personer som verkställer fängelsestraff, i eller utanför anstalt, villkorlig dom med föreskrifter om samhällstjänst, skyddstillsyn med eller utan föreskrifter (däribland kontraktsvård, samhällstjänst och behandlingsföreskrifter) och ungdomsövervakning. Även framtida påföljdsformer kommer att omfattas, om de ska verkställas inom Kriminalvården. Förvandlingsstraff för böter eller viten omfattas också. Transporter som genomförs från häkten till kriminalvårdsanstalter för straffverkställighet faller också under punkten. Punkten är även tillämplig vid övervakningsnämndernas prövning av vissa frågor om verkställighet eller när Kriminalvården biträder andra behöriga myndigheter vid verkställighet av påföljd. Likaså omfattas den personuppgiftsbehandling som krävs när Kriminalvården med stöd av fängelse- och häkteslagstiftningen eller
Författningskommentar Ds 2023:21
annan lagstiftning vidtar åtgärder för att underlätta anpassningen i samhället.
I punkten 3 tillåts att uppgifter som avser personer som Kriminalvården hanterar på grund av en utländsk dom eller ett utländskt beslut görs gemensamt tillgängliga. Kriminalvården kan under vissa förutsättningar ta över verkställigheten av en utländsk frivårdspåföljd eller ett utländskt fängelsestraff. Den personuppgiftsbehandling som krävs för att hantera ansökan och beslut i sådana frågor ryms under punkten. När Kriminalvården har övertagit verkställigheten av en utländsk påföljd tillämpas i stället punkten 2.
Punkten 3 omfattar också den situationen att Kriminalvården i egenskap av behörig myndighet tar emot och beslutar om erkännande och verkställighet av rättspsykiatrisk vård och sluten ungdomsvård. Kriminalvårdens hantering av svenska ansökningar om att en sådan påföljd ska övertas för verkställighet i ett annat land regleras i punkten 4.
I punkten 4 regleras den situationen att en svensk myndighet vill överföra verkställigheten av rättspsykiatrisk vård eller sluten ungdomsvård till ett annat land. Kriminalvården behöver då, i egenskap av behörig myndighet, behandla personuppgifter för att kunna handlägga begäran om överföring av påföljden.
Punkten 5 reglerar den personuppgiftsbehandling som är nödvän-
dig för att Kriminalvården ska kunna ta emot och förvara personer som ska transiteras genom Sverige för verkställighet av fängelsestraff i ett annat land. Det kan även vara fråga om förvaring av någon som tillfälligt utlämnas för att delta i en rättegång i en annan stat och som i samband med det behöver transiteras genom Sverige. Uppgifter om sådana personer får göras gemensamt tillgängliga.
Enligt punkten 6 omfattas även personer som av annat skäl är frihetsberövade inom Kriminalvården för syften som anges i 2 kap. 1 §. Punkten omfattar exempelvis ett vittne som i ett brottmål har häktats med stöd av 36 kap. 21 § rättegångsbalken.
Personuppgifter beträffande personer som är föremål för personutredning eller annan åtgärd enligt 1 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. omfattas av punkten 7.
Ds 2023:21 Författningskommentar
3 §
I paragrafen, som är ny, regleras behandling av positionsuppgifter som tas fram genom elektronisk övervakning. Paragrafen har behandlats i avsnitt 8.3.3.
Enligt första stycket får sådana positionsuppgifter som tas fram genom elektronisk övervakning göras gemensamt tillgängliga. Det kan vara fråga om uppgifter från elektronisk övervakning enligt fängelselagen (2010:610), lagen (1994:451) om intensivövervakning med elektronisk kontroll eller lagen (2020:616) om verkställighet av ungdomsövervakning.
Av andra stycket framgår att positionsuppgifter som tagits fram genom elektronisk övervakning som längst får behandlas i tre månader. Bestämmelsen innebär en särreglering i förhållande till 5 kap. 6 och 7 §§, som annars reglerar hur länge personuppgifter får behandlas om dömda personer. När positionsuppgifterna inte längre får behandlas ska de omedelbart raderas. Positionsuppgifter får alltså inte arkiveras eller behandlas för forskningsändamål.
Möjligheten att behandla positionsuppgifter för nya ändamål, t.ex. att behandla dem i ett ärende om avvikelse, regleras i 2 kap. 4 och 22 § brottsdatalagen (2018:1177).
4 §
Paragrafen, som är ny, behandlar frågan om uppgifter om andra personer vilkas personuppgifter behandlas, än de som har registrerats med stöd av 2 §, får göras gemensamt tillgängliga. Paragrafen har behandlats i avsnitt 8.3.4
Enligt punkten 1 får personuppgifter om närstående till den registrerade göras gemensamt tillgängliga. Med begreppet avses i första hand den registrerades familj och andra nära anhöriga, t.ex. en sambo och dennes barn. Särskilda vårdnadshavare för underåriga bör också räknas dit. Vem som är närstående får dock avgöras från fall till fall. Begreppet har samma innebörd som i andra författningar, exempelvis rättegångsbalken, polislagen (1984:387), patientsäkerhetslagen (2010:659) och fängelseförordningen (2010:2010).
I punkten 2 regleras behandling av personuppgifter om andra personer som har nära förbindelse till den registrerade. Kravet på att det ska vara en nära förbindelse klargör att inte varje person som den
Författningskommentar Ds 2023:21
registrerade har en bekantskap med avses. För att en person ska omfattas av begreppet krävs att relationen har någon form av dignitet. Det kan exempelvis vara en släkting, granne eller vän men också en arbetsgivare. Likaså kan en tidigare medbrottsling tillhöra den kategorin.
Enligt punkten 3 får uppgifter om en person som i tjänst eller uppdrag har kontakt med den häktade eller dömde göras gemensamt tillgängliga. Professionella aktörer som exempelvis ombud, liksom övervakare, god man och familjehemsföräldrar omfattas. Även en tolk, en terapeut eller en präst som besöker den registrerade kan falla in under punkten. Det kan även t.ex. företrädare för sociala myndigheter, Arbetsförmedlingen, Försäkringskassan eller andra myndigheter, liksom företrädare för utbildningsorgan.
Enligt punkten 4 får personuppgifter om andra personer som besöker eller har kontakter med intagna göras gemensamt tillgängliga. Punkten träffar andra personer som, utan att falla in under någon av de tidigare punkterna, annars besöker eller har kontakter med intagna på häkten och i kriminalvårdsanstalter. Det kan t.ex. vara en journalist som besöker en intagen. Det kan också vara en präst eller annan person som, utan att ha någon personlig förbindelse med en viss intagen, besöker ett häkte i syfte att bryta de intagnas isolering.
Av punkten 5 framgår att personuppgifter om målsägande får göras gemensamt tillgängliga. Kriminalvården ska i vissa fall tillfråga en målsägande om han eller hon vill bli underrättad, exempelvis om att den som är intagen friges, rymmer eller fritas eller att en person ska verkställa sitt fängelsestraff med fotboja. Det framgår av 27 § häktesförordningen (2010:2011), 35 § fängelseförordningen och 10 § förordningen (1994:1060) om intensivövervakning med elektronisk kontroll. Uppgifter om målsägande får emellertid, i likhet med andra personuppgifter, bara behandlas om det är nödvändigt. Uppgifter om målsägande får därför bara behandlas om det krävs för att Kriminalvården ska ha kontakt med dem.
Uppräkningen av personkategorier är uttömmande. Vilka personuppgifter som får göras gemensamt tillgängliga om de uppräknade kategorierna regleras i förordning.
Av andra stycket framgår att även uppgifter om juridiska personer får göras gemensamt tillgängliga, t.ex. uppgifter om arbetsgivare eller utbildningssamordnare. Genom att sådana uppgifter får göras gemensamt tillgängliga blir det enklare för Kriminalvården att avgöra
Ds 2023:21 Författningskommentar
om det t.ex. är olämpligt att genomföra utslussningsåtgärder på ett visst företag.
I tredje stycket anges att regeringen meddelar föreskrifter om vilka uppgifter om en fysisk eller juridisk person som får göras gemensamt tillgängliga.
5 §
Paragrafen, som är ny, ger stöd för att behandla vissa personuppgifter innan en dom har fått laga kraft. Paragrafen har behandlats i avsnitt 8.3.2 och 8.10.4.
Personuppgiftsbehandlingen är enligt första stycket begränsad till uppgifter som av särskilda skäl krävs för planering av verkställighet av framtida fängelsestraff eller av säkerhetsskäl, eller om det behövs för omedelbar verkställighet av övervakning vid dom på skyddstillsyn. Behandling av personuppgifter med stöd av bestämmelsen förutsätter alltså att det finns en dom som inte har fått laga kraft. Kravet på särskilda skäl klargör att bestämmelsen inte är avsedd att tillämpas rutinmässigt utan det är en undantagsbestämmelse.
En dom på skyddstillsyn innebär som regel särskilda skäl för behandling av personuppgifter med stöd av paragrafen. En sådan påföljd går i verkställighet omedelbart, om inte domstolen beslutar annat, och ska enligt 28 kap. 5 § brottsbalken vara förenad med övervakning från dagen för domen.
Säkerhetsaspekter kan också vara särskilda skäl. Det föreligger särskilda skäl för behandling av personuppgifter när Kriminalvården behöver behandla personuppgifter för att säkerställa att personer från rivaliserande eller samma kriminella nätverk inte placeras tillsammans på en kriminalvårdsanstalt. Om det krävs av säkerhetsskäl kan behandling av personuppgifter i undantagsfall även vara nödvändig vid någon annan påföljd som ska verkställas inom Kriminalvården, men det torde endast vara i undantagsfall som en person som ska verkställa någon annan påföljd än fängelse betraktas som en så stor säkerhetsrisk. Beslut om häktning får inte laga kraft. Personuppgifter om en häktad person får alltså behandlas direkt när beslutet har avkunnats eller meddelats.
Om den slutliga domen eller beslutet innebär att personen inte ska verkställa en påföljd inom Kriminalvården framgår av andra
Författningskommentar Ds 2023:21
stycket att uppgifter som behandlas med stöd av första stycket ska
raderas senast tre månader efter det att domen eller beslutet fick laga kraft. Det kan exempelvis vara fallet om en högre instans har frikänt personen eller bestämt påföljden till sluten ungdomsvård, rättspsykiatrisk vård, villkorlig dom eller böter. Att uppgifterna ska raderas innebär att de inte får arkiveras eller behandlas för forskningsändamål. Om verkställigheten har påbörjats innan domen fått laga kraft tillämpas i stället den längsta tid som personuppgifter om dömda får behandlas. För personuppgifter som även behandlas med stöd av någon annan grund, t.ex. att personen har varit föremål för personutredning eller varit häktad, tillämpas i stället bestämmelserna om längsta tid för behandling i 5 kap. Kravet på radering gäller således bara när personuppgiftsbehandlingen uteslutande grundar sig på första stycket.
Se kommentaren till 5 kap. 6 § angående vad som gäller om en påföljd undanröjs efter resning.
Särskild upplysning
6 §
Paragrafen, som är ny, reglerar skyldigheten att se till att det upplyses om varför en personuppgift behandlas, om det inte redan tydligt framgår. Paragrafen har behandlats i avsnitt 8.3.5.
Skälet för behandlingen ska framgå av sammanhanget eller på annat sätt. Det kan t.ex. vara tydligt genom att personuppgiften rör någon som har en viss tjänst eller visst uppdrag (åklagare, advokat, övervakare, tolk etc.) eller att det är fråga om en anhörig till en intagen. Om det inte framgår varför personuppgifterna behandlas, ska en personuppgift som görs eller har gjorts gemensamt tillgänglig förses med en upplysning om att personen inte är intagen i häkte eller verkställer en påföljd.
Ds 2023:21 Författningskommentar
Journaler
7 §
Paragrafen, som är ny och har behandlats i avsnitt 8.4.1–8.4.3, innebär att skyldigheten att föra journal över de kategorier av personer som räknas upp i den lagregleras.
I första stycket anges i vilka fall journaler ska föras. De personkategorier som omfattas är den som är häktad med anledning av misstanke om brott eller verkställighet av påföljd eller utvisning, dömd till en påföljd som ska verkställas inom Kriminalvården eller villkorligt frigiven. Detsamma gäller den som transporteras av Kriminalvården för ett sådant ändamål. Vad det närmare innebär framgår av kommentaren till 2 §.
Personuppgifter som behandlas i en journal får göras gemensamt tillgängliga.
Av andra stycket framgår att regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter. Närmare bestämmelser om journalföring regleras i förordning.
Känsliga personuppgifter
8 §
I paragrafen, som är ny, görs undantag från det generella sökförbudet i 2 kap. 14 § brottsdatalagen (2018:1177) för känsliga personuppgifter som görs eller har gjorts gemensamt tillgängliga. Paragrafen har behandlats i avsnitt 8.6.3.
Enligt paragrafen får Kriminalvården, utan hinder av sökförbudet i brottsdatalagen, utföra sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Sökningar av det slaget kan behövas för placering av intagna eller för att ge intagna möjlighet att utöva sin religion. Sökningar kan också vara nödvändiga för att en häktad eller dömd person ska få nödvändig läkarvård, medicinering eller specialkost. Undantaget från sökförbudet gäller emellertid bara vid sökning i uppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § 1– 3 eller 6.
Författningskommentar Ds 2023:21
Rätten att söka på känsliga personuppgifter är begränsad till de känsliga personuppgifter som anges i paragrafen. Det är alltså inte tillåtet att göra sökningar på ras eller medlemskap i fackförening eller i biometriska uppgifter.
I vilken utsträckning det är tillåtet att behandla någon eller några av personuppgifterna i en sammanställning av sådana uppgifter som sökningen resulterat i får prövas mot huvudregeln om behandling av känsliga personuppgifter i 2 kap. 11 § brottsdatalagen. Rätten att göra sökningar enligt denna paragraf medför alltså inte en generell rätt att fortsätta att behandla uppgifterna.
Rätt att meddela föreskrifter
9 §
I paragrafen, som är ny och har behandlats i avsnitt 8.13, upplyses om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter. Det gäller föreskrifter om vilka personuppgifter som får göras gemensamt tillgängliga, om uppgiftsskyldighet och om utlämnande av personuppgifter som har gjorts gemensamt tillgängliga.
4 kap.
2 §
Paragrafen reglerar, tillsammans med 3, 3 a och 4 §§, vilka personkategorier som får behandlas i säkerhetsregistret. Den har behandlats i avsnitt 9.5.
Första stycket reglerar behandling av uppgifter om personer som
är eller har varit placerade på säkerhetsavdelning. Paragrafens tilllämpningsområde breddas till att även omfatta personer som uppfyller kraven för att placeras på säkerhetsavdelning. Det omfattar därmed även personer som har dömts till fängelse men som inte är intagna i häkte. Vad som krävs för placering på säkerhetsavdelning framgår av 2 kap. 4 § fängelselagen (2010:610). Det klargörs att uttrycket ”verkställa ett fängelsestraff” omfattar verkställighet såväl i som utanför anstalt. Paragrafen är alltså tillämplig dels på personer som är häktade för något av de syften som framgår i 2 kap. 1 § 1 och
Ds 2023:21 Författningskommentar
6, dels på personer som verkställer fängelsestraff i kriminalvårdsanstalt, fängelsestraff som verkställs enligt lagen (1994:451) om intensivövervakning med elektronisk kontroll, vid slutet av ett längre fängelsestraff som verkställs genom olika utslussningsåtgärder eller fotboja samt vid villkorlig frigivning efter ett fängelsestraff. Om uppgifter om en person behandlas i säkerhetsregistret redan innan domen har fått laga kraft, ska uppgifterna i vissa fall raderas enligt 9 §.
I andra stycket tydliggörs att regleringen även omfattar personer som verkställer fängelsestraff utanför anstalt. Punkterna 1–3 är oförändrade.
Enligt punkten 4 får personuppgifter om en person som är häktad eller verkställer ett fängelsestraff, i eller utanför anstalt, behandlas om det finns risk för att personen bidrar till att allvarligt störa ordningen eller säkerheten, förutom på häkten eller i kriminalvårdsanstalter, även i andra lokaler där Kriminalvården bedriver verksamhet. Det motsvarar i huvudsak det som hittills har gällt enligt 3 kap. 3 § i fråga om den som verkställer fängelsestraff. Regleringen samlas nu i förevarande paragraf. Även häktade omfattas numera av punkten. Vad som avses med att allvarligt störa ordningen eller säkerheten framgår av prop. 2017/18:269 s. 261 f. och 379. Andra lokaler där Kriminalvården bedriver verksamhet omfattar exempelvis halvvägshus, vårdhem eller en arbetsplats. Det möjliggör behandling av personuppgifter i säkerhetsregistret i syfte att undvika säkerhetsincidenter på sådana platser.
Punkten 5 ändras endast redaktionellt.
Även punkten 6, som är ny, motsvarar det som hittills har gällt enligt 3 kap. 3 § beträffande den som verkställer en påföljd inom Kriminalvården, däribland fängelsestraff. Den omfattar emellertid nu även häktade.
3 §
Paragrafen är tillämplig på dem som verkställer en annan påföljd än fängelse inom Kriminalvården. Den har behandlats i avsnitt 9.6.
Punkten 1 motsvarar, med undantag för den som verkställer fäng-
elsestraff, paragrafens tidigare lydelse.
Författningskommentar Ds 2023:21
Två nya grunder för behandling i säkerhetsregistret läggs till. Enligt punkten 2 får personuppgifter behandlas i säkerhetsregistret om det finns risk för att den dömde bidrar till att allvarligt störa ordningen eller säkerheten i Kriminalvårdens lokaler. Det behöver inte vara fråga om ett straffbart handlande. Vad som avses med att allvarligt störa ordningen eller säkerheten utvecklas närmare i prop. 2017/18:269 s. 261 f. och 379. Kravet på att ordningsstörningen ska vara allvarlig innebär att inte alla störningar får läggas till grund för personuppgiftsbehandling.
Enligt punkten 3 får uppgifter om en person som riskerar att utsättas för våld eller hot under verkställigheten behandlas i säkerhetsregistret. Det kan t.ex. vara känt att personen riskerar att utsättas för hot eller våld om han eller hon skulle sammanträffa med en person kopplad till ett rivaliserande kriminellt nätverk eller en anhörig som också verkställer en påföljd inom Kriminalvården. Av 2 kap. 9 § brottsdatalagen (2018:1177) följer att det ska framgå att personen själv inte utgör en säkerhetsrisk.
Behandling i säkerhetsregistret med stöd av punkterna 2 eller 3 förutsätter enligt andra stycket att det finns särskilda skäl. Det kan exempelvis vara att Kriminalvården har fått kännedom om ett konkret hot mot klienten eller en konkret konflikt inom ett gäng eller ett kriminellt nätverk som klienten tillhör eller har tillhört. Det kan även vara fråga om frivårdsklienter som har en familjekonflikt som riskerar att leda till hot eller våld.
3 a §
Paragrafen, som är ny och har behandlats i avsnitt 9.9.1, möjliggör behandling av personuppgifter i säkerhetsregistret om personer som tillsammans med andra kan antas ägna sig åt organiserad brottslig verksamhet. Det krävs alltså inte att personen är häktad, dömd för brott eller avtjänar en påföljd.
Paragrafen tillåter personuppgiftsbehandling om det bedöms vara absolut nödvändigt för att upprätthålla säkerheten på häkten eller i kriminalvårdsanstalter. Kravet på att det ska vara absolut nödvändigt innebär att det ska prövas noga i det enskilda fallet om sådan behandling är nödvändig och att tillämpningen ska vara restriktiv.
Ds 2023:21 Författningskommentar
Med uttrycket att någon ”kan antas ägna sig åt organiserad brottslig verksamhet” avses framför allt personer som antas ingå i eller ha kopplingar till kriminella nätverk eller andra grupperingar eller konstellationer som gemensamt ägnar sig åt organiserad brottslighet. Varken begreppet organiserad brottslig verksamhet eller begreppet kriminella nätverk är definierade i svensk lagstiftning. Begreppen används ibland synonymt, även om det senare begreppet även används för att åskådliggöra förekomsten av lösare kriminella grupper, dvs. konstellationer med lägre organisationsgrad. Begreppet kriminella nätverk används i olika sammanhang för att beskriva en rad olika sorters konstellationer av brottsliga aktörer, allt från hierarkiska och formaliserade organisationer till lösare grupper. De kriminella nätverken brukar delas in i olika kategorier och undergrupper, t.ex. mc-gäng, familje- och släktbaserade nätverk och nätverk som bygger på gemensamt ursprung eller gemensamma tidigare erfarenheter. En annan kategori är stadsdels- och förortsbaserade grupper (se Skärpta straff för brott i kriminella nätverk, prop. 2022/23:53, s. 24). Med organiserad brottslighet verksamhet avses här allvarligare brottslighet. Grupper som ägnar sig åt mindre allvarlig brottslighet, t.ex. systematiska ringa stölder, omfattas alltså inte, även om brottsligheten är organiserad.
Beviskravet för att personen tillsammans med andra ägnar sig åt organiserad brottslig verksamhet är lågt ställt. Det behöver inte vara klarlagt att personen tillhör en sådan gruppering utan personuppgiftsbehandling är tillåten om det föreligger någon konkret omständighet som talar för att personen tillsammans med andra ägnar sig åt sådan verksamhet. Det kan exempelvis framgå av domar eller förundersökningar men också av personens eget agerande, t.ex. att han eller hon bär klädsel, föremål eller tatueringar som associeras med en viss gruppering, eller av information i sociala medier. Det kan också framgå genom underrättelseinformation som andra myndigheter, främst Polismyndigheten, har delat med sig till Kriminalvården.
Syftet med bestämmelsen är att avvärja och stävja hot mot Kriminalvårdens verksamhet som påverkar säkerheten. Det gäller framför allt att förhindra fritagningar och rymningar och att förbjudna föremål förs in på häkten och i kriminalvårdsanstalter. Säkerheten kan även påverkas av brottslighet som planeras eller genomförs under häktningen eller verkställigheten eller av otillbörlig påverkan på personal.
Författningskommentar Ds 2023:21
Den närmare regleringen av vilka uppgifter om en person som kan antas ägna sig åt organiserad brottslighet som får tillföras säkerhetsregistret regleras i förordning.
4 §
I paragrafen, som har behandlats i avsnitt 9.9.2, har begreppet en person som ”har personlig anknytning” till den som behandlas i säkerhetsregistret ersatts med en person som ”är närstående” till den som behandlas i säkerhetsregistret. Någon ändring i sak är inte avsedd.
Med närstående avses främst anhöriga eller andra närstående till en registrerad (se prop. 2017/18:269 s. 380). Vad det innebär utvecklas i kommentaren till 3 kap. 4 § första stycket 1.
Sekretessbrytande bestämmelse
6 §
Paragrafen, som är ny, innehåller en bestämmelse som bryter sekretess som annars skulle ha gällt mot vissa brottsbekämpande myndigheter. Den har behandlats i avsnitt 10.2.2.
I paragrafen regleras de uppräknade myndigheternas rätt att, trots viss i paragrafen angiven sekretess, få del av personuppgifter som behandlas i säkerhetsregistret. Eftersom sekretess kan hindra att uppgifter lämnas ut, har undantag gjorts för vissa typer av sekretess. Paragrafen har utformats som en uppgiftsskyldighet (jfr prop. 2009/10:85 s. 331). En förutsättning för att uppgifterna ska lämnas ut är dock att det finns behov av uppgifterna hos den mottagande myndigheten för något av de ändamål som anges i 1 kap. 2 § brottsdatalagen (2018:1177).
8 §
Paragrafen reglerar hur länge personuppgifter i säkerhetsregistret får behandlas.
I första stycket har terminologin i punkten 3 ändrats. Uttrycket en person som ”har personlig anknytning” till den som behandlas i
Ds 2023:21 Författningskommentar
säkerhetsregistret har ersatts med en person som ”är närstående” till den som behandlas i säkerhetsregistret. Det är en följdändring till ändringen i 4 § och innebär ingen ändring i sak. I övrigt är stycket oförändrat.
Andra stycket är oförändrat.
9 §
I paragrafen, som är ny och har behandlats i avsnitt 9.5, framgår att uppgifter som har behandlats i säkerhetsregistret innan en dom har fått laga kraft i vissa fall ska raderas.
Personuppgifterna ska raderas senast tre månader efter det att domen har fått laga kraft, om den lagakraftvunna domen innebär att det inte längre finns grund för behandlingen. Det kan bero på att högre instans har frikänt personen eller dömt personen för brott till en påföljd som inte ska verkställas inom Kriminalvården. Att uppgifterna ska raderas innebär att de inte får bevaras för arkivändamål eller forskningssyfte.
Kravet på radering gäller inte om den dömde har påbörjat verkställigheten av påföljden. Det kan t.ex. vara fallet om den dömde har avgett nöjdförklaring men åklagaren har överklagat domen. I sådana fall får Kriminalvården som längst behandla personuppgifterna enligt 8 §.
Se kommentaren till 5 kap. 6 § angående vad som gäller om en påföljd undanröjs efter resning.
5 kap. Längsta tid som personuppgifter får behandlas
Allmänna bestämmelser
1 §
I paragrafen, som har behandlats i avsnitt 8.10.2, framgår den yttersta tidsfrist som Kriminalvården får behandla personuppgifter automatiserat med stöd av lagen. Paragrafen motsvarar delvis nuvarande 2 kap. 5 § första stycket.
Den längsta tid som, enligt första stycket, personuppgifter får behandlas är enligt huvudregeln tio år efter det att den senaste påföljden helt har verkställts eller upphört av annat skäl. Det gäller
Författningskommentar Ds 2023:21
emellertid inte om annat sägs. Avvikande bestämmelser finns i flera paragrafer i kapitlet och i de paragrafer som det hänvisas till i tredje stycket.
Personuppgifter får emellertid aldrig behandlas längre än vad som är nödvändigt, vilket framgår av hänvisningen i andra stycket till 2 kap. 17 § första stycket brottsdatalagen (2018:1177).
I tredje stycket hänvisas till andra bestämmelser i lagen som föreskriver en kortare behandlingstid än vad som är huvudregeln enligt förevarande paragraf.
2 §
I paragrafen, som har behandlats i avsnitt 8.12.2, klargörs att personuppgifter som behandlas automatiserat, trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen om att arkivlagstiftningen har företräde, inte får arkiveras digitalt. Paragrafen motsvarar nuvarande 2 kap. 5 § andra stycket.
Utgångspunkten är alltså att all automatiserad behandling av personuppgifter ska upphöra när den tid som anges i kapitlet och de paragrafer som det hänvisas till i 1 § tredje stycket har löpt ut. Det innebär att personuppgifterna ska tas bort från den digitala miljön. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges här.
Personuppgifter som inte har gjorts gemensamt tillgängliga
3 §
I paragrafen, som är ny och har behandlats i avsnitt 8.10.3, regleras hur länge personuppgifter som inte har gjorts gemensamt tillgängliga får behandlas. Paragrafen är utformad med motsvarande bestämmelser som gäller för Polismyndigheten, Tullverket, Skatteverket och Kustbevakningen som förebild.
Om uppgifterna behandlas i ett ärende eller inte är avgörande för hur länge uppgifter som inte har gjorts gemensamt tillgängliga får behandlas. Om personuppgifter behandlas i ett ärende får de, enligt
Ds 2023:21 Författningskommentar
punkten 1, som längst behandlas ett år efter det att ärendet avsluta-
des. Med ärende avses en serie åtgärder som är avsedda att leda fram till ett bestämt slut (se prop. 2016/17:89 s. 156). Särskilda underrättelseprojekt kan anses vara ärenden i den mening som avses i paragrafen. Ett underrättelseprojekt med obestämd varaktighet, t.ex. ett projekt som fortlöpande syftar till att behandla säkerhetsfrågor som rör en viss kriminalvårdsanstalt, utgör däremot inte ett sådant ärende som omfattas av paragrafen.
Om uppgifterna inte behandlas i ett ärende får de, enligt punk-
ten 2, behandlas högst ett år efter det att de behandlades automati-
serat första gången. Det kan t.ex. vara fråga om uppgifter i ett tips som har kommit in till Kriminalvården och som antingen inte har kunnat bekräftas eller som har visat sig sakna betydelse.
Personuppgifter som har gjorts gemensamt tillgängliga
Personer som inte ska verkställa en påföljd inom Kriminalvården
4 §
I paragrafen, som är ny och har behandlats i avsnitt 8.10.4, regleras hur länge personuppgifter om en person som har varit häktad, men som inte har dömts till en påföljd som Kriminalvården ska verkställa, får behandlas. Paragrafen motsvarar delvis nuvarande 7 § förordningen (2018:1746) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område.
Personuppgifter av nu aktuellt slag får som längst behandlas fem år efter att den häktade frigavs från häktet. Exempelvis kan åklagaren ha hävt häktningen och lagt ned förundersökningen. Domstolen kan ha meddelat en frikännande dom eller bestämt påföljden t.ex. till rättspsykiatrisk vård, sluten ungdomsvård eller böter. Även situationer där domstolen dömt en häktad person för brott men hävt häktningen och meddelat en påföljdseftergift eller beslutat att den dömde ska vara fri från påföljd omfattas.
Författningskommentar Ds 2023:21
5 §
Paragrafen, som är ny, har behandlats i avsnitt 8.10.4. Den motsvarar delvis nuvarande 4 § förordningen (2018:1746) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område.
Paragrafen reglerar hur länge personuppgifter om en person som har varit föremål för personutredning enligt lagen (1991:2041) om särskild personutredning i brottmål, m.m., men som inte har dömts till en påföljd som ska verkställas inom Kriminalvården – och inte heller varit häktad – får behandlas. Sådana personuppgifter får inte behandlas längre än tre år efter det att det mål i vilket personutredningen utfördes slutligt har avgjorts. Ett sådant mål kan bl.a. avslutas genom att åklagaren lägger ner förundersökningen, att målet skrivs av eller att domstolen meddelar en frikännande dom. Det kan också vara fråga om mål där påföljden inte ska verkställas inom Kriminalvården, t.ex. rättspsykiatrisk vård.
Om personen har varit häktad, tillämpas i stället 4 §. Om personen dömts för brott till en påföljd inom Kriminalvården, tillämpas 6 eller 7 §.
Uppgifter om dömda personer
6 §
Paragrafen, som är ny, behandlas i avsnitt 8.10.4. Den motsvarar delvis nuvarande 10, 13 och 15 §§ förordningen (2018:1746) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område.
Paragrafen reglerar hur länge sådana personuppgifter om vuxna lagöverträdare som har gjorts gemensamt tillgängliga får behandlas. Den längsta tiden för behandling är tio år efter det att den senaste påföljden helt har verkställts eller upphört av annat skäl. Med att påföljden har upphört av annat skäl avses bl.a. att påföljden har undanröjts efter beslut om resning eller att den efter beslut om resning har ändrats så att det inte längre är fråga om en påföljd som ska verkställas inom Kriminalvården.
Paragrafen är tillämplig på den som var 18 år eller äldre vid tiden för brottet eller brotten och som har dömts till en påföljd som Kriminalvården ansvarar för. Om en häktad person döms till en annan
Ds 2023:21 Författningskommentar
påföljd, t.ex. ungdomsvård, ungdomstjänst, sluten ungdomsvård eller rättspsykiatrisk vård, tillämpas 4 §.
Paragrafen tillämpas också på unga lagöverträdare, som vid tiden för brottet var under 18 år, och som har dömts till fängelse.
7 §
Paragrafen, som är ny, reglerar hur länge personuppgifter om unga lagöverträdare får behandlas. Den har behandlats i avsnitt 8.10.4. Den motsvarar delvis nuvarande 15 c § förordningen (2018:1746) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område.
Uppgifter om den som var under 18 år vid tiden för brottet får, med undantag för den som har dömts till fängelse, inte behandlas längre än fem år efter det att den senaste påföljden helt har verkställts eller upphört av annat skäl. Den längsta tiden för behandling tillämpas även om den unge har dömts för flera brott i samma dom men var under 18 år vid tiden för något eller några av brotten.
Regleringen är emellertid inte tillämplig på unga lagöverträdare som har dömts till fängelse. För dem gäller i stället regleringen i 6 §, vilket innebär att personuppgifterna får behandlas som längst i tio år. Det är alltså påföljdsvalet och inte den dömdes ålder vid brottet eller brotten som avgör hur länge sådana personuppgifter får behandlas. Det gäller oavsett om fängelsestraffet ska verkställas i eller utanför anstalt.
Övriga personuppgifter
8 §
Paragrafen, som är ny och har behandlats i avsnitt 8.10.4, reglerar hur länge personuppgifter om andra än registrerade får behandlas.
Paragrafen tillämpas på uppgifter om de personer som anges i 3 kap. 4 §. Den omfattar därmed anhöriga och andra personer som är närstående till den registrerade, professionella aktörer som i tjänst eller uppdrag har kontakt med den registrerade, andra personer som besöker eller har kontakt med intagna samt målsägande. Den är också tillämplig på uppgifter om juridiska personer.
Författningskommentar Ds 2023:21
Behandlingen av personuppgifter om andra än den registrerade ska upphöra senast när behandlingen av uppgifterna om den registrerade upphör. I många fall ska emellertid behandlingen upphöra tidigare, därför att behandlingen inte längre är nödvändig. Det kan t.ex. vara fallet när ett ombud entledigas eller den registrerades familjehemsplacering upphör. I enskilda fall kan det dock vara motiverat att behandla sådana uppgifter även efter det att förordnandet eller placeringen har upphört, men det förutsätter att det finns ett särskilt behov av det.
Rätt att meddela föreskrifter
9 §
I paragrafen, som delvis motsvarar nuvarande 2 kap. 6 §, anges i vilken utsträckning regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om längsta tid för behandling och arkivering.
Punkten 1 omfattar föreskrifter om längsta tid för behandling. Punkten 2 avser föreskrifter om arkivering för vetenskapliga, sta-
tistiska och historiska ändamål.
Föreskriftsrätten omfattar enligt punkten 3, som är ny, även föreskrifter om begränsning av behandling vid digital arkivering. Punkten har behandlats i avsnitt 8.12.3.
6 kap.
1 §
Paragrafen reglerar vid vilka överträdelser sanktionsavgift får tas ut.
Hänvisningen i första stycket punkten 1 är oförändrad. Hänvisningarna i punkterna 2 och 3 till bestämmelserna om den längsta tid som personuppgifter får behandlas anpassas till de ändringar som görs i 2–5 kap. Någon ändring i sak är inte avsedd.
Andra och tredje styckena är oförändrade.
Ds 2023:21 Författningskommentar
Övergångsbestämmelser
Ikraftträdande och övergångsbestämmelserna har behandlats i avsnitt 13.2. och 13.3.
Punkten 1 föreskriver när lagen ska träda i kraft.
Enligt punkten 2 ska bestämmelsen i 5 kap. 7 §, som reglerar hur länge personuppgifter får behandlas om den som har dömts för brott till annan påföljd än fängelse och som var under 18 år vid tiden för brottet eller brotten, endast tillämpas på påföljder som har beslutats efter den 1 juli 2024.
Enligt punkten 3 ska äldre bestämmelser fortsätta att gälla för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet.
15.2. Förslaget till lag om ändring i lagen (1994:451) om intensivövervakning med elektronisk kontroll
8 b §
Paragrafen, som är ny, tillåter Kriminalvården att ta en digital bild av den dömdes ansikte (ansiktsbild) i syfte att kunna identifiera honom eller henne. Paragrafen har behandlats i avsnitt 11.1.1 och 11.1.2.
En ansiktsbild får enligt första meningen tas i samband med att verkställigheten påbörjas eller, om behovet aktualiseras senare, under verkställigheten. Det ställs inte några särskilda krav för att ta en ansiktsbild, utöver att syftet ska vara att underlätta identifieringen av den dömde. Det är Kriminalvården som avgör om en ansiktsbild ska tas. En ansiktsbild får göras gemensamt tillgänglig med stöd av 3 kap. 2 § 2 lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område.
Kriminalvården får enligt andra meningen endast använda ansiktsbilden som jämförelse vid automatisk autentisering (ansiktsigenkänning) eller annan identifiering eller kontroll av den dömde som görs med stöd av lagen. Automatisk autentisering innebär att biometriska uppgifter behandlas. När ansiktsbilder får samlas in inom ramen för en straffverkställighet och behöver användas för att bekräfta den dömdes identitet anses det vara absolut nödvändigt att behandla de personuppgifter som blir aktuella. Kriminalvården avgör om identifiering eller kontroll av den dömde enligt lagen ska göras
Författningskommentar Ds 2023:21
manuellt eller med automatisk autentisering. Ansiktsbilden får inte användas för något annat syfte än den identifiering eller kontroll som anges i lagen.
8 c §
Paragrafen, som är ny, reglerar den längsta tid som ansiktsbilder och biometriska data som tas eller skapas med stöd av lagen får behandlas. Paragrafen har behandlats i avsnitt 11.1.2.
Paragrafen innehåller en särreglering i förhållande till 5 kap. 6 § lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område och begränsar således den längsta tid som ansiktsbilder får behandlas.
Av första stycket framgår att en digital ansiktsbild som tas enligt 8 b § inte får behandlas längre än två år efter det att den senaste domen på fängelse helt har verkställts eller upphört av annat skäl. Det som regleras är behandlingen av den ansiktsbild som Kriminalvården använder för jämförelse med den fysiska personen. Den tillfälliga bild som skapas varje gång en automatisk autentisering utförs, regleras i andra stycket.
Enligt andra stycket ska de ansiktsbilder och biometriska data som tillfälligt skapats i samband med en autentisering raderas så snart autentiseringen har genomförts men senast en vecka efter autentiseringstillfället eller, vid utredning av misskötsamhet, så snart Kriminalvårdens eller övervakningsnämndens beslut i frågan har fått laga kraft. Personuppgifterna får således behandlas för att utreda missskötsamhet men det får i övrigt inte förekomma någon lagring av den data som skapats vid autentiseringen.
15.3. Förslaget till lag om ändring i fängelselagen (2010:610)
8 kap.
1 §
Paragrafen reglerar fotografering och hur ansiktsbilder får användas. Den har behandlats i avsnitt 11.1.2.
Ds 2023:21 Författningskommentar
Första stycket, som anger syftet med åtgärden, är oförändrat.
Kriminalvården får enligt andra stycket, som är nytt, använda ett digitalt fotografi som har tagits enligt första stycket av en intagens ansikte (ansiktsbild) som jämförelse vid automatisk autentisering (ansiktsigenkänning) eller annan identifiering eller kontroll av den dömde som görs med stöd av lagen. Automatisk autentisering innebär att biometriska uppgifter behandlas. När ansiktsbilder får samlas in inom ramen för en straffverkställighet och behöver användas för att bekräfta den dömdes identitet, anses det vara absolut nödvändigt att behandla de personuppgifter som blir aktuella. Kriminalvården avgör om identifiering eller kontroll av den dömde enligt lagen ska göras manuellt eller med automatisk autentisering. Ansiktsbilden får inte användas för något annat syfte än den identifiering eller kontroll som anges i lagen.
1 a §
Paragrafen, som är ny, reglerar den längsta tid som ansiktsbilder och biometriska data som tas eller skapas med stöd av lagen får behandlas. Paragrafen har behandlats i avsnitt 11.1.2.
Av första stycket framgår att ett digitalt fotografi (ansiktsbild) som tagits enligt 1 § andra stycket i syfte att kunna användas vid automatisk autentisering inte får behandlas längre än två år efter det att den senaste domen på fängelse helt har verkställts eller upphört av annat skäl. Paragrafen innebär en särreglering i förhållande till 5 kap. 6 § lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område och begränsar således den längsta tid som ansiktsbilder får behandlas.
Enligt andra stycket ska de ansiktsbilder och biometriska data som tillfälligt har skapats i samband med en automatisk autentisering raderas så snart autentiseringen har genomförts men enligt huvudregeln senast en vecka efter autentiseringstillfället. Vid utredning av misskötsamhet ska uppgifterna raderas så snart Kriminalvårdens eller övervakningsnämndens beslut i frågan har fått laga kraft. Personuppgifterna får således behandlas för att utreda systemfrågor eller misskötsamhet, men det får i övrigt inte förekomma någon lagring av den data som skapats vid autentiseringen.
Författningskommentar Ds 2023:21
15.4. Förslaget till lag om ändring i kriminalvårdsdatalagen (2018:1235)
3 §
Första stycket är oförändrat.
I andra stycket, som har behandlats i avsnitt 8.11.1, klargörs att paragrafen tillåter att uppgifter som kommer från Kriminalvårdens säkerhetsregister behandlas för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet. Paragrafen ger alltså inte stöd för att behandla personuppgifter i säkerhetsregistret om intagna och transporterade som faller utanför brottsdatalagens (2018:1177) tilllämpningsområde. Behandling i säkerhetsregistret regleras enbart i 4 kap. lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område. Någon ändring i sak är inte avsedd.
Bilaga 1
e
Promemoria
Regeringskansliet
2022-05-02 Ju2022/01554
Justitiedepartementet
Straffrättsenheten
Uppdrag angående lagstiftning om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område
EU:s dataskyddsreform
I slutet av 2015 enades EU om en genomgripande dataskyddsreform som skulle vara genomförd under våren 2018. Reformen omfattade dels den s.k. dataskyddsförordningen, dels det s.k. dataskyddsdirektivet (Europaparla mentets och rådets förordning [EU] 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG [allmän dataskyddsförordning] respektive Europaparlamentets och rådets direktiv [EU] 2016 / 680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av person uppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977 /RIF).
Den 25 maj 2018 trädde en ny lag i kraft i Sverige med kompletterande bestämmelser till dataskyddsförordningen. Samtidigt upphävdes personuppgiftslagen (prop. 2017 /19:105 Ny dataskyddslag). Dataskyddsdirektivet har i svensk rätt i huvudsak genomförts genom en ny ramlag, brottsdatalagen (2018:1177), som trädde i kraft den 1 augusti 2018. Samtidigt upphävdes den lag som hade genomfört dataskyddsrambeslutet (prop. 2017 /18:232 Brottsdatalag).
Brottsdatalagen är generellt tillämplig inom det område som dataskydds direktivet reglerar, men subsidiär i förhållande till annan lag eller förordning. För myndigheterna i rättskedjan krävdes viss särreglering som även i fort sättningen skulle komma att finnas i särskilda registerförfattningar. Den
Bilaga 1
1 januari 2019 infördes därför nya lagar om personuppgifts behandling för flera myndigheter. Lagarna gäller utöver brottsdatalagen och innehåller enbart bestämmelser som innebär preciseringar, undantag eller avvikelser från den lagen. Samtidigt genomfördes också ändringar i andra lagar som en följd av de nya registerförfattningarna (prop. 2017 /18:269 Brottsdatalag kompletterande lagstiftning).
Lagstiftningen om kriminalvårdens behandling av personuppgifter har anpassats till EU-rätten
Den 1 augusti 2018 infördes en ny lag, kriminalvårdsdatalagen, som gäller för behandling av personuppgifter inom den del av Kriminalvårdens verksamhet som inte omfattas av brottsdatalagens tillämpningsområde. Genom den nya lagen anpassades regleringen av personuppgifter inom Kriminalvården till dataskyddsförordningen (prop. 2017 /18:248 I<riminalvårdsdatalag- en ny lag med anpassning till EU:s dataskyddsförordning).
Som för flera andra myndigheter i rättskedjan skedde anpassningen av Kriminalvårdens lagstiftning till brottsdatalagen genom en ny lag och tillhörande förordning, lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område och förordningen (2018:1746) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område, som trädde i kraft den 1 januari 2019 (prop. 2017 /18:269 Brottsdatalag- kompletterande lagstiftning).
Behovet av en utredning
Utöver anpassningen till EU-rätten innebar den nya lagen och förordningen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område att kriminalvårdens reglering fick en modernare utformning. Regleringen gjordes mer generell och lättillämpad. Bestämmelserna om säkerhetsregistret lyftes av integritetsskäl upp i lag. Vissa detaljregler fördes inte över från lagen (2001 :617) och förordningen (2001 :682) om behandling av personuppgifter inom kriminalvården till den nya lagen. Bestämmelserna om överklagande, omprövning och forum fördes inte heller över till den nya regleringen (a. prop., s. 287).
I lagstiftningsärendet uttalade regeringen att det i framtiden kunde finnas ett behov av att göra en översyn av kriminalvårdens registerlagstiftning. Behovet av en översyn hade påtalats även av vissa remissinstanser, bl.a. Kriminalvården (a. prop., s. 246).
2 (5)
Bilaga 1
I förarbetena till lagen angavs i huvudsak följande gällande behovet av en uppdaterad lagstiftning. Kriminalvårdens lagstiftning avviker i många avseenden från den lagstiftning som gäller för övriga myndigheter i rätts kedjan. De andra registerförfattningarna har tillkommit under de senaste åren, medan kriminalvårdens registerlagstiftning tillkom bara några år efter personuppgiftslagen. Kriminalvårdens lagstiftning har en annan lagteknisk sttuktur än övriga registerförfattningar. Större delen av Kriminalvårdens personuppgiftsreglering finns i förordning, vilket skulle kunna ifrågasättas mot bakgrnnd av det utökade grnndlagsskyddet i 2 kap .. 6 § andra stycket regeringsformen. I förarbetena till den bestämmelsen pekas bl.a. på att myndighetsregister med ett stort antal registrerade och särskilt känsligt innehåll normalt ska regleras i lag (prop. 2009/10:80 s. 183). Modernare registerlagstiftning bygger inte i samma utsträckning som kriminalvårdens registerlagstiftning på en detaljerad uppräkning av villrn personuppgifter som får behandlas.
I förarbetena framhölls även att forntsättningarna för verksamheten på häkten och kriminalvårdsanstalter har förändrats. Brottsligheten har ändrat karaktär och påföljdssystemet har ändrats. Särskilt möjligheten att avtjäna fängelsestraff utanför anstalt i form av intensivövervakning medför att de som verkställer fängelsestraff i anstalt i dag generellt sett avtjänar straff för tyngre kriminalitet än förr. Även demografiska faktorer påverkar hur verksamheten på häkten och i kriminalvårdsanstalter bedrivs. Kriminalvården måste tex. vid placering av intagna ta större hänsyn än tidigare till faktorer som organiserad brottslighet och tillhörighet till olika kriminella grupperingar. Mot denna bakgrund angavs det att det kan finnas behov av att i framtiden göra en översyn av kriminalvårdens registerlagstiftning och att den bör ges en struktur och ett innehåll som i större utsträckning liknar övriga registerförfattningar (a. prop., s. 246 och 257 f.).
Uttalanden kring behovet av en översyn gjordes även i det betänkande som låg till grund för regeringens proposition (SOU 2017:74Brottsdatalagen kompletterande lagstiftning, s. 562 f., 573 och 579). En fråga som enligt den utredningen bör analyseras är behovet av sekretessbrytande bestämmelser för att kunna medge direktåtkomst till säkerhetsregistret.
Kriminalvården har kommit in med en framställan till regeringen om en översyn av myndighetens registerförfattningar på dataskyddsområdet
3 (5)
Bilaga 1
Qu2020/04274). Enligt Kriminalvården hindrar utformningen av registerförfattningarna myndigheten från att delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten på det sätt som forntsätts enligt myndighetens instrnktion.
Det huvudsakliga syftet med de ändringar som gjordes genom lag och förordning 2019 var att anpassa kriminalvårdens reglering till brottsdata lagen. Även om det då också gjordes vissa ytterligare förändringar och moderniseringar i kriminalvårdens reglering, kvarstår det i lagstiftnings ärendet beskrivna behovet av en uppdaterad lagstiftning. Behovet av en översyn aktualiseras även av vad Kriminalvården anför i sin framställan till regeringen. En översyn behövs både av lagen och förordningen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område.
Uppdraget
Utredaren ska göra en fullständig översyn av lagen (2018:1699) och förord ningen (2018: 17 46) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område. Syftet med översynen är att åstadkomma en uppdaterad registerlagstiftning för Kriminalvården som alltjämt är anpassad till brottsdatalagen och som till sin strnktur och innehåll i större utsträckning liknar registerförfattningarna för andra myndigheter i rättskedjan. Lagstiftningen ska vidare vara utformad så att den möjliggör för Kriminalvården att fullgöra sitt uppdrag enligt förordningen (2007:1172) med instrnktion för Kriminalvården på ett tillfredsställande sätt. Utredaren ska lämna nödvändiga författningsförslag.
Utredaren ska beakta det som framgår av förarbetena till gällande registerlag och av Kriminalvårdens framställan till regeringen. Några av de frågor som utredaren särskilt bör analysera är om det centrala kriminalvårdsregistret bör regleras i lag och behovet av sekretessb
ry
tande bestämmelser för
medgivande av direktåtkomst till säkerhetsregistret och till det centrala kriminalvårdsregistret (SOU 2017:74 s. 573 med hänvisningar). Utredaren bör vidare undersöka behovet av ändringar i registerlagstiftningen till följd av Kriminalvårdens uppdrag att delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten samt analysera hur länge Kriminalvården bör få hantera olika personuppgifter (SOU 2021:90 En översyn av den straffrättsliga regleringen om preskription s. 242).
4 (5)
Bilaga 1
Utredaren ska hålla sig informerad om arbete som bedrivs inom Regeringskansliet på det område som uppdraget avser samt inhämta det material från I<:riminalvården och andra berörda myndigheter (och organisationer) som bedöms nödvändigt.
I uppdraget ingår att redovisa de ekonomiska konsekvenserna av förslagen och hur eventuella ökade kostnader bör finansieras. Utredaren ska i arbetet beakta behovet av skydd för den personliga integriteten och göra en integritetsanalys. Utredaren ska också redovisa förslagens konsekvenser för I<:riminalvårdens verksamhet, inbegripet myndighetens möjligheter att delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.
Uppdraget ska redovisas senast den 2 maj 2023.
5 (5)