Prop. 2009/10:85

Integritet och effektivitet i polisens brottsbekämpande verksamhet

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 21 december 2009

Fredrik Reinfeldt

Beatrice Ask

(Justitiedepartementet)

Propositionens huvudsakliga innehåll

Propositionen innehåller förslag till en ny lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet. Lagen ska ersätta den nuvarande polisdatalagen (1998:622). Lagen ska gälla i stället för personuppgiftslagen (1998:204) och innehålla hänvisningar till de bestämmelser i personuppgiftslagen som ska vara tillämpliga i polisens brottsbekämpande verksamhet.

Syftet med den nya lagen är att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. En utgångspunkt är att skapa en teknikneutral och flexibel reglering som ger ramarna för polisens personuppgiftsbehandling utan att i detalj reglera formerna för behandlingen.

Genom den nya lagen kommer man till rätta med olika problem som den nuvarande regleringen har visat sig ge upphov till, bl.a. när det gäller möjligheterna att behandla personuppgifter för att förebygga, förhindra och upptäcka brottslig verksamhet. Den nya lagen skapar också förutsättningar för ett bättre samarbete mellan de brottsbekämpande myndigheterna genom utökade möjligheter till informationsutbyte.

Lagen reglerar, med några få undantag, all behandling av personuppgifter i polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten. Personuppgiftsbehandling i sådan verksamhet som inte är brottsbekämpande, exempelvis hanteringen av förvaltningsärenden, omfattas inte av lagförslaget utan regleras liksom nu av personuppgiftslagen.

Polisen ska få behandla personuppgifter om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra

brott eller fullgöra förpliktelser som följer av internationella åtaganden. Särskilda bestämmelser föreslås för sådan behandling som sker hos Säkerhetspolisen. För behandling av personuppgifter som fler än ett fåtal personer har åtkomst till (gemensamt tillgängliga uppgifter) föreslås olika begränsande bestämmelser för att värna den personliga integriteten. Ett fåtal register föreslås regleras särskilt i den nya lagen, bl.a. register över DNA-profiler och penningtvättsregister. Vidare föreslås en särskild lag som reglerar polisens allmänna spaningsregister.

Den externa tillsynen över polisens behandling av personuppgifter förstärks. Både Datainspektionen och Säkerhets- och integritetsskyddsnämnden ska utöva sådan tillsyn.

Lagförslagen föreslås träda i kraft den 1 mars 2012.

1. Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till

1. polisdatalag,

2. lag om polisens allmänna spaningsregister,

3. lag om ändring i rättegångsbalken,

4. lag om ändring i vapenlagen (1996:67),

5. lag om ändring i säkerhetsskyddslagen (1996:627),

6. lag om ändring i lagen (2000:344) om Schengens informationssystem,

7. lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet,

8. lag om ändring i offentlighets- och sekretesslagen (2009:400),

9. lag om ändring i offentlighets- och sekretesslagen (2009:400).

2. Lagtext

Regeringen har följande förslag till lagtext.

2.1. Förslag till polisdatalag

Härigenom föreskrivs följande.

1 kap. Lagens syfte och tillämpningsområde

Lagens syfte

1 § Syftet med denna lag är att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheterna och

Ekobrottsmyndigheten, om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Lagen gäller inte vid behandling av personuppgifter enligt lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister eller lagen (2010:000) om polisens allmänna spaningsregister.

Lagen gäller inte heller när personuppgifter behandlas i vapenregister med stöd av vapenlagen (1996:67), om inte detta särskilt anges i den lagen.

3 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1. 2 kap. 7–9 §§ om ändamålen för behandlingen,

2. 2 kap. 11 § om tillgången till personuppgifter,

3. 2 kap. 12 och 13 §§ om bevarande och gallring,

4. 3 kap. 1–3, 9–12, 14 och 15 §§ om gemensamt tillgängliga uppgifter,

5. 4 kap. 18–20 §§ om behandling av personuppgifter i penningtvättsregister,

6. 4 kap. 21 och 22 §§ om behandling av personuppgifter i det internationella registret,

7. 5 kap. 1–3 §§ om ändamålen för behandlingen hos Säkerhetspolisen,

8. 5 kap. 4 § 5 om tillgången till personuppgifter hos Säkerhetspolisen,

9. 5 kap. 6 och 7 §§ om bevarande och gallring hos Säkerhetspolisen, och

10. 5 kap. 8, 9 och 12–14 §§ om gemensamt tillgängliga uppgifter hos Säkerhetspolisen.

4 § I 2 kap. finns allmänna bestämmelser om behandling av personuppgifter.

För personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även 3 kap.

För personuppgifter som behandlas i register över DNA-profiler, fingeravtrycks- eller signalementsregister, penningtvättsregister eller i det internationella registret, gäller 4 kap. i stället för 3 kap.

I 5 kap. finns bestämmelser om behandlingen av personuppgifter i Säkerhetspolisens verksamhet.

2 kap. Allmänna bestämmelser

Förhållandet till personuppgiftslagen

1 § Om inte annat anges i 2 §, gäller denna lag i stället för personuppgiftslagen (1998:204).

2 § När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i personuppgiftslagen (1998:204):

1. 3 § om definitioner,

2. 8 § om förhållandet till offentlighetsprincipen,

3. 9 §, med undantag för första stycket i och tredje stycket, om grundläggande krav på behandlingen av personuppgifter,

4. 22 § om behandling av personnummer,

5. 23 och 25–27 §§ om information till den registrerade,

6. 28 § om rättelse,

7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,

8. 33–35 §§ om överföring av personuppgifter till tredjeland,

9. 38–41 §§ om personuppgiftsombud m.m., 10. 42 § om upplysningar till allmänheten om vissa behandlingar, 11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,

12. 48 § om skadestånd, och 13. 51 § första stycket, 52 § första stycket och 53 § om överklagande. Om personuppgifter ska gallras enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.

Information enligt 23 § personuppgiftslagen behöver inte lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud. Sådan information behöver inte heller lämnas om uppgifterna samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.

Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.

Definition av DNA-analys, DNA-profil och fingeravtryck

3 § I denna lag avses med

DNA-analys: varje förfarande som kan användas för analys av deoxyribonukleinsyra i humant material,

DNA-profil: resultatet av en DNA-analys som presenteras i form av siffror eller bokstäver, och fingeravtryck: fingeravtryck eller handavtryck.

Personuppgiftsansvar

4 § Rikspolisstyrelsen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför och den behandling som utförs i polisens verksamhet vid Ekobrottsmyndigheten. Varje polismyndighet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

5 § Rikspolisstyrelsen och varje polismyndighet ska utse ett eller flera personuppgiftsombud.

Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas.

Tillsyn

6 § Ytterligare bestämmelser om tillsyn finns i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet.

Ändamål

7 § Personuppgifter får behandlas om det behövs för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller beivra brott, eller

3. fullgöra förpliktelser som följer av internationella åtaganden.

8 § Personuppgifter som behandlas enligt 7 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i

1. brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,

2. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,

3. sådan verksamhet hos polisen som avser handräckningsuppdrag,

4. annan verksamhet som polisen ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,

5. verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten, eller

6. en myndighets verksamhet

a) om det enligt lag eller förordning åligger polisen att bistå myndigheten med viss uppgift, eller

b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.

Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.

Regeringen meddelar föreskrifter om att personuppgifter som behandlas enligt 7 § och som avser efterlysta personer och avlägsnanden ur landet får behandlas för att tillhandahålla information till vissa särskilt angivna myndigheter och att uppgifter som behandlas i en förundersökning får tillhandahållas konkursförvaltare.

I ett enskilt fall får personuppgifter som behandlas enligt 7 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första–tredje styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

9 § Personuppgifter får behandlas om

1. det är nödvändigt för diarieföring, eller

2. uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Behandling av känsliga personuppgifter

10 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som avses i första stycket får också behandlas med stöd av 9 §.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Tillgången till personuppgifter

11 § Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om tillgången till personuppgifter.

Bevarande och gallring

12 § Personuppgifter får inte bevaras under längre tid än vad som behövs för något eller några av de i lagen angivna ändamålen.

I följande bestämmelser anges hur länge uppgifter som behandlas automatiserat längst får bevaras:

1. 13 § om uppgifter som inte har gjorts gemensamt tillgängliga,

2. 3 kap. 9–13 §§ om uppgifter i ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga,

3. 3 kap. 14 och 15 §§ om andra uppgifter som har gjorts gemensamt tillgängliga än som anges i 2,

4. 4 kap. 7 § om uppgifter i register över DNA-profiler,

5. 4 kap. 14–16 §§ om uppgifter i fingeravtrycks- eller signalementsregister,

6. 4 kap. 20 § om uppgifter i penningtvättsregister, och

7. 4 kap. 22 § om uppgifter i det internationella registret. Regeringen meddelar föreskrifter om digital arkivering.

13 § Personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga eller behandlas i särskilda register enligt 4 kap. ska, om de behandlas i ett ärende, gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången.

Första stycket gäller inte personuppgifter i ärenden om utredning eller beivrande av brott.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med avvikelse från första stycket, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Utlämnande av personuppgifter och uppgiftsskyldighet

14 § Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.

15 § Om det är förenligt med svenska intressen, får personuppgifter lämnas till

1. Interpol eller Europol, eller till en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, om det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott, eller

2. utländsk underrättelse- eller säkerhetstjänst. Uppgifter får vidare lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

16 § Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.

Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 4 kap.

Pr

17 § Polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten,

Tullverket och Kustbevakningen har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av uppgifter om huruvida personer förekommer i register över DNA-profiler, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.

op. 2009/10:85

Uppgifter ur sådana register ska lämnas till Statens kriminaltekniska laboratorium, om myndigheten behöver uppgifterna i sin verksamhet.

18 § Polismyndigheter, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- eller signalementsregister enligt 4 kap. 11–17 §§, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Detsamma gäller Statens kriminaltekniska laboratorium, om myndigheten behöver uppgifterna i sin verksamhet.

19 § Regeringen meddelar föreskrifter om att personuppgifter får lämnas ut i andra fall än som anges i 14–18 §§.

Bestämmelser om att uppgifter får lämnas ut finns även i offentlighets- och sekretesslagen (2009:400).

Elektroniskt utlämnande av personuppgifter

20 § Enstaka personuppgifter får lämnas ut på medium för automatiserad behandling. Regeringen meddelar föreskrifter om att uppgifter får lämnas ut på sådant medium även i andra fall.

21 § Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av denna lag.

Regeringen meddelar föreskrifter om att en utländsk myndighet, Europol eller en mellanfolklig organisation får medges direktåtkomst till personuppgifter i polisens brottsbekämpande verksamhet, om detta är nödvändigt för att fullgöra en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt eller om det följer av en EUrättsakt.

Ytterligare bestämmelser om direktåtkomst finns i 3 kap. 8 § samt 4 kap. 10 och 17 §§.

3 kap. Gemensamt tillgängliga uppgifter

1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 9 §.

Personuppgifter som får göras gemensamt tillgängliga

2 § Följande personuppgifter får göras gemensamt tillgängliga:

1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a) innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver, eller

b) sker systematiskt.

2. Uppgifter som behövs för övervakningen av en person, om han eller hon

a) kan antas komma att begå brott för vilket är föreskrivet fängelse i två år eller däröver, och

b) är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet.

3. Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott.

4. Uppgifter som behövs för att fullgöra vad som följer av internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

5. Uppgifter som har rapporterats till polisens kommunikationscentraler. DNA-profiler får inte göras gemensamt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 4 kap. Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.

Särskilda upplysningar

3 § Vid behandling enligt 1 § ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas. Har uppgifterna gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 5, ska detta särskilt framgå.

4 § Om uppgifter, som behandlas enligt 1 §, direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt.

Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta på grund av särskilda omständigheter är onödigt. Detsamma gäller uppgifter om personer som avses i 2 § första stycket 2.

Sökning

5 § Vid sökning i personuppgifter som har gjorts gemensamt tillgängliga får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös

eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp.

Första stycket hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.

6 § Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får sådana uppgifter tas fram som anger att den sökta personen

1. är anmäld för brott,

2. är eller har varit misstänkt för brott,

3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1,

4. övervakas enligt 2 § första stycket 2,

5. har anmält ett brott,

6. är målsägande i ett ärende som rör ansvar för brott,

7. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

8. har gett in eller tillhandahållits en handling,

9. är anmäld såsom försvunnen, 10. har bedömts kunna komma att möta ett polisingripande med grovt våld, eller

11. är efterlyst. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket.

7 § Bestämmelserna i 6 § gäller inte vid

1. sökning i en viss handling eller i ett visst ärende, eller

2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till.

Bestämmelserna i 6 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän och som görs

1. för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i fyra år eller däröver eller för sådant ändamål som avses i 2 § första stycket 2, eller

2. för att utreda brott för vilket är föreskrivet fängelse i fyra år eller däröver.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första och andra styckena.

Regeringen meddelar föreskrifter om ytterligare undantag från 6 §.

Direktåtkomst

8 § Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket får medges direktåtkomst till personuppgifter i polisens brottsbekämpande verk-

samhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Bevarande av personuppgifter i ärenden om utredning eller beivrande av brott

9 § I 10–12 §§ anges hur länge personuppgifter i vissa ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga längst får bevaras i polisens brottsbekämpande verksamhet.

10 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i polisens brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i polisens brottsbekämpande verksamhet när åtal inte längre får väckas för brottet.

11 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas i polisens brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, vann laga kraft.

Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i polisens brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.

Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

12 § Regeringen meddelar föreskrifter om att vissa kategorier av personuppgifter får bevaras i polisens brottsbekämpande verksamhet under längre tid än vad som anges i 10 och 11 §§.

13 § Om en förundersökning mot en person har lagts ned, om åtal har lagts ned eller om frikännande dom, som har vunnit laga kraft, har meddelats, får personen inte vara sökbar som misstänkt.

Bevarande och gallring av övriga personuppgifter

14 § Personuppgifter som har gjorts gemensamt tillgängliga enligt 2 § första stycket 1, 2, 4 eller 5 ska gallras enligt andra–sjätte styckena.

Uppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 2 § första stycket 1 ska gallras senast tre år efter utgången av

det kalenderår då registreringen avseende personen gjordes. Uppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver ska dock gallras senast fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras.

Uppgifter som har behandlats i samband med sådan övervakning som avses i 2 § första stycket 2 ska gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Uppgifter som har behandlats med stöd av 2 § första stycket 4 ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Uppgifter som har behandlats med stöd av 2 § första stycket 5 ska gallras senast ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

Den tid då en misstänkt eller övervakad person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de frister som anges i andra och tredje styckena.

15 § Regeringen meddelar föreskrifter om att vissa kategorier av personuppgifter får bevaras under längre tid än vad som anges i 14 §.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med avvikelse från 14 §, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

4 kap. Register Register över DNA-profiler

Ändamål

1 § Rikspolisstyrelsen får föra register över DNA-profiler (DNA-registret, utredningsregistret och spårregistret) i enlighet med 2–10 §§. Dessa register får även föras för att underlätta identifiering av avlidna personer.

DNA-registret

2 § DNA-registret får innehålla DNA-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som

1. genom lagakraftvunnen dom har dömts till annan påföljd än böter, eller

2. har godkänt ett strafföreläggande som avser villkorlig dom.

3 § En DNA-profil som registreras får endast ge information om identitet och inte om personliga egenskaper.

Utöver DNA-profiler får DNA-registret innehålla uppgifter om vem analysen avser och i vilket ärende profilen har tagits fram samt brottskod.

Utredningsregistret

4 § Utredningsregistret får innehålla DNA-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som är skäligen misstänkta för brott på vilket fängelse kan följa.

Bestämmelserna i 3 § gäller också vid registrering i utredningsregistret.

Spårregistret

5 § Spårregistret får innehålla DNA-profiler som har tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person.

Utöver DNA-profiler får spårregistret innehålla upplysningar som visar i vilket ärende profilen har tagits fram och brottskod.

6 § DNA-profiler i spårregistret får jämföras med DNA-profiler

1. som inte kan hänföras till en identifierbar person,

2. som finns i DNA-registret, eller

3. som kan hänföras till en person som är skäligen misstänkt för brott. DNA-profiler i spårregistret får också jämföras i andra fall om det är nödvändigt för att fullgöra en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt eller om det följer av en EU-rättsakt.

Gallring

7 § Uppgifter i DNA-registret ska gallras senast när uppgifterna om den registrerade gallras ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

Uppgifter i utredningsregistret ska gallras senast när uppgifterna om den registrerade får föras in i DNA-registret eller när förundersökning eller åtal läggs ned, åtal ogillas, åtal bifalls men påföljden bestäms till enbart böter eller när den registrerade har godkänt ett strafföreläggande som avser enbart böter.

Uppgifter i spårregistret ska gallras senast trettio år efter registreringen. Sådana uppgifter ska dock gallras senast sjuttio år efter registreringen om uppgifterna hänför sig till utredningar om

1. mord eller dråp enligt 3 kap. 1 eller 2 § brottsbalken,

2. folkrättsbrott enligt 22 kap. 6 § andra stycket brottsbalken,

3. folkmord enligt 1 § lagen (1964:169) om straff för folkmord,

4. terroristbrott enligt 3 § 1 eller 2 jämförd med 2 § lagen (2003:148) om straff för terroristbrott, eller

5. försök till brott som avses i 1, 3 eller 4.

Prover för DNA-analys

8 § Om det i samband med utredning av ett brott har tagits ett prov för

DNA-analys, får provet inte användas för något annat ändamål än det som provet togs för.

9 § Ett prov för DNA-analys som har tagits med stöd av 28 kap. rättegångsbalken, eller på begäran av en annan stat, ska förstöras senast sex månader efter det att provet togs.

Direktåtkomst

10 § Polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten,

Tullverket, Kustbevakningen och Statens kriminaltekniska laboratorium får medges direktåtkomst till register över DNA-profiler.

En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Fingeravtrycks- eller signalementsregister

Ändamål

11 § Rikspolisstyrelsen får föra fingeravtrycks- eller signalementsregister i enlighet med 12–17 §§. Dessa register får även föras för att underlätta identifiering av okända personer.

Innehåll

12 § I fingeravtrycks- eller signalementsregister får uppgifter behandlas om en person som

1. är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rättegångsbalken, eller

2. har lämnat fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll.

Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas om uppgiften kommit fram i en utredning om brott.

Uppgifter om fingeravtryck får även behandlas om det behövs för att fullgöra internationella åtaganden.

I fingeravtrycks- eller signalementsregister får inte uppgifter behandlas som har lämnats av en person under femton år enligt 36 § första stycket 2 lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

13 § Fingeravtrycks- eller signalementsregister får innehålla uppgifter om

1. fingeravtryck,

2. signalement,

3. fotografi,

4. videoupptagning,

5. identifieringsuppgifter,

6. ärendenummer, och

7. brottskod.

Gallring

14 § Uppgifter i fingeravtrycks- eller signalementsregister om en misstänkt person ska gallras senast tre månader efter det att uppgifter om personen gallrats ur misstankeregistret som förs enligt lagen (1998:621) om misstankeregister och ur belastningsregistret som förs enligt lagen (1998:620) om belastningsregister.

Uppgifter som inte kan hänföras till en identifierbar person ska gallras senast trettio år efter registreringen. Sådana uppgifter ska dock gallras senast sjuttio år efter registreringen om uppgifterna hänför sig till utredningar om

1. mord eller dråp enligt 3 kap. 1 eller 2 § brottsbalken,

2. folkrättsbrott enligt 22 kap. 6 § andra stycket brottsbalken,

3. folkmord enligt 1 § lagen (1964:169) om straff för folkmord,

4. terroristbrott enligt 3 § 1 eller 2 jämförd med 2 § lagen (2003:148) om straff för terroristbrott, eller

5. försök till brott som avses i 1, 3 eller 4.

15 § Uppgifter i fingeravtrycks- eller signalementsregister som behandlas för att fullgöra ett internationellt åtagande ska gallras när uppgifterna inte längre behövs för ändamålet med behandlingen.

Uppgifter om personer som har lämnat fingeravtryck med stöd av lagen (1991:572) om särskild utlänningskontroll ska gallras senast tio år efter registreringen.

16 §

Regeringen eller den myndighet som regeringen bestämmer med-

delar föreskrifter om att personuppgifter, med avvikelse från 14 och 15 §§, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Direktåtkomst

17 § Polismyndigheter, Ekobrottsmyndigheten, Tullverket, Kustbevakningen, Skatteverket och Statens kriminaltekniska laboratorium får medges direktåtkomst till personuppgifter i fingeravtrycks- eller signalementsregister.

En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Penningtvättsregister

Ändamål

18 § Rikspolisstyrelsen får behandla personuppgifter i penningtvättsregister om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet

1. där penningtvätt är ett led för att dölja vinning av brott eller brottslig verksamhet, eller

2. som innefattar finansiering av terrorism.

19 § I ett penningtvättsregister får personuppgifter behandlas som

1. kan antas ha samband med sådan brottslig verksamhet som avses i 18 §,

2. har rapporterats till Rikspolisstyrelsen med stöd av lag eller annan författning, eller

3. har lämnats av en utländsk myndighet som i sin stat ansvarar för arbetet med att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som avses i 18 §.

Gallring

20 § Personuppgifter i ett penningtvättsregister ska gallras senast fem år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med avvikelse från första stycket, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Det internationella registret

Ändamål

21 § Rikspolisstyrelsen får behandla personuppgifter i det internationella registret om det behövs för handläggningen av ärenden som rör internationellt polisiärt samarbete eller internationellt straffrättsligt samarbete.

Uppgifter angående dödsfall, olyckshändelser eller andra liknande händelser i utlandet får också behandlas i det internationella registret, om ärendet rör en fråga som ska handläggas av polisen.

Gallring

22 § Personuppgifter i det internationella registret ska gallras senast tre år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med avvikelse från första stycket, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

5 kap. Behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet

Ändamål

1 § Personuppgifter får behandlas i Säkerhetspolisens brottsbekämpande verksamhet om det behövs för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar

a) brott mot rikets säkerhet,

b) terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott,

c) brott enligt 3 § lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall, eller

d) tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv,

2. utreda eller beivra sådana brott som avses i 1, eller, efter särskilt beslut, annat brott,

3. fullgöra uppgifter i samband med personskydd,

4. fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627),

5. fullgöra förpliktelser som följer av internationella åtaganden, eller

6. lämna tekniskt biträde till Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten eller Tullverket.

2 § Personuppgifter som behandlas enligt 1 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i

1. brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,

2. en myndighets verksamhet, om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott,

3. Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst, om det finns särskilda skäl att tillhandahålla informationen, eller

4. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation.

Personuppgifter som behandlas enligt 1 § får även behandlas, om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.

Regeringen meddelar föreskrifter om att personuppgifter som behandlas enligt 1 § och som avser efterlysta personer och avlägsnanden ur landet får behandlas för att tillhandahålla information till vissa särskilt angivna myndigheter.

I ett enskilt fall får personuppgifter som behandlas enligt 1 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första–tredje styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

3 § Personuppgifter får behandlas om

1. det är nödvändigt för diarieföring, eller

2. uppgifterna har lämnats till Säkerhetspolisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Tillämpliga bestämmelser i 2 kap. 4 § Följande bestämmelser i 2 kap. ska tillämpas vid behandling av personuppgifter hos Säkerhetspolisen:

1. 1 och 2 §§ om förhållandet till personuppgiftslagen (1998:204), Prop. 2009/10:85

2. 3 § om definition av DNA-analys, DNA-profil och fingeravtryck,

3. 6 § om tillsyn,

4. 10 § om behandling av känsliga personuppgifter,

5. 11 § om tillgången till personuppgifter,

6. 14, 15 och 19 §§ om utlämnande av personuppgifter och uppgiftsskyldighet, och

7. 20 och 21 §§ om elektroniskt utlämnande av personuppgifter.

Personuppgiftsansvar

5 § Säkerhetspolisen är personuppgiftsansvarig för den behandling av personuppgifter som Säkerhetspolisen utför.

Säkerhetspolisen ska utse ett eller flera personuppgiftsombud. Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas.

Bevarande och gallring

6 § Personuppgifter får inte bevaras under längre tid än vad som behövs för något eller några av ändamålen i 1–3 §§.

I 7 och 12–14 §§ anges hur länge uppgifter som behandlas automatiserat längst får bevaras.

Regeringen meddelar föreskrifter om digital arkivering.

7 § Personuppgifter som behandlas automatiserat hos Säkerhetspolisen och som inte har gjorts gemensamt tillgängliga ska, om de behandlas i ett ärende, gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången.

Första stycket gäller inte personuppgifter i ärenden om utredning eller beivrande av brott.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med avvikelse från första stycket, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Behandling av gemensamt tillgängliga uppgifter

Gemensamt tillgängliga uppgifter

8 § Om det behövs för de ändamål som anges i 1 §, får personuppgifter göras gemensamt tillgängliga i Säkerhetspolisens verksamhet. Detta gäller dock inte DNA-profiler. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Bestämmelserna i 9–13 §§ gäller för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga. Bestämmelserna gäller dock inte när personuppgifter behandlas med stöd av 3 §.

Särskilda upplysningar

9 § Vid behandling enligt 8 § ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas.

10 § Om uppgifter, som behandlas enligt 8 §, direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva brottslig verksamhet, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt.

Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Sådan upplysning behöver dock inte lämnas, om det på grund av särskilda omständigheter är onödigt. Någon upplysning behöver inte heller lämnas om

1. uppgifterna ingår i en uppgiftssamling som har skapats för att bearbeta och analysera information och som enbart särskilt angivna tjänstemän har åtkomst till, och

2. bearbetningen och analysen befinner sig i ett inledande skede.

Sökning

11 § Vid sökning i personuppgifter som har gjorts gemensamt tillgängliga får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv användas som sökbegrepp endast om det är absolut nödvändigt för de ändamål som anges i 1 §.

Första stycket hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.

Regeringen eller den myndighet som regeringen bestämmer meddelar ytterligare föreskrifter om sökning i gemensamt tillgängliga uppgifter.

Bevarande och gallring

12 § Personuppgifter som har gjorts gemensamt tillgängliga ska gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Personuppgifter som behandlas i en sådan uppgiftssamling som avses i 10 § andra stycket 1 ska dock gallras senast tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Om det finns särskilda skäl får Säkerhetspolisen besluta att personuppgifter får bevaras längre tid än vad som anges i första och andra styckena, om uppgifterna fortfarande behövs för det ändamål för vilket de behandlas. Om uppgifter bevaras med stöd av ett sådant beslut, ska de gallras, eller frågan om bevarande prövas på nytt, senast vid utgången av det tionde kalenderåret efter beslutet eller, om det är fråga om uppgifter som avses i andra stycket, senast vid utgången av det tredje kalenderåret efter beslutet.

13 § Bestämmelserna i 12 § gäller inte personuppgifter i ärenden om utredning eller beivrande av brott. I fråga om behandling av sådana personuppgifter ska i stället 3 kap. 9–13 §§ tillämpas.

14 § Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med avvikelse från 12 §, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

1. Denna lag träder i kraft den 1 mars 2012, då polisdatalagen (1998:622) upphör att gälla.

2. För signalements- och känneteckensregistret och det centrala brottsspaningsregistret som förs med stöd av punkt 2 i övergångsbestämmelserna till polisdatalagen (1998:622) gäller datalagen (1973:289) i stället för denna lag till utgången av år 2014. Bestämmelserna i 2 kap. 14, 15 och 19 §§ i denna lag ska dock tillämpas på uppgifterna i registren från lagens ikraftträdande.

3. Datainspektionens tillstånd att föra de register som anges i punkt 2 upphör att gälla vid utgången av år 2014 eller vid den tidigare tidpunkt då den personuppgiftsansvarige avanmäler registret hos inspektionen. Vid ikraftträdandet av denna lag upphör Datainspektionens tillstånd för övriga register som förs med stöd av punkt 2 i övergångsbestämmelserna till polisdatalagen (1998:622) att gälla.

4. I fråga om behandling av personuppgifter i en särskild undersökning enligt 14 § första stycket 1 polisdatalagen (1998:622), som har beslutats före ikraftträdandet av denna lag, gäller 1998 års polisdatalag i stället för denna lag till utgången av år 2014.

5. Följande bestämmelser i denna lag behöver inte tillämpas förrän den 1 januari 2015

a) 3 kap. 4 § första stycket om särskilda upplysningar, när det gäller annan verksamhet än sådan som bedrivs för ändamål som anges i 2 kap. 7 § 1,

b) 3 kap. 6 och 7 §§ om sökning, och

c) 3 kap. 10, 11 och 13 §§ om behandling av personuppgifter i brottsanmälningar, avslutade förundersökningar och andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

6. Bestämmelsen i 3 kap. 4 § andra stycket i denna lag om särskilda upplysningar behöver inte tillämpas på uppgifter som har samlats in före ikraftträdandet av denna lag.

2.2. Förslag till lag om polisens allmänna spaningsregister

Härigenom föreskrivs följande.

Allmänt spaningsregister

1 § Rikspolisstyrelsen får med hjälp av automatiserad behandling föra ett allmänt spaningsregister.

Rikspolisstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i registret.

Förhållandet till personuppgiftslagen

2 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i det allmänna spaningsregistret, om inte annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till denna lag.

Ändamål

3 § Personuppgifter som framkommit i polisens brottsbekämpande verksamhet får behandlas i det allmänna spaningsregistret för att underlätta tillgången till sådan information som behövs i polisens spaningsverksamhet.

4 § Personuppgifter i registret får behandlas om det är nödvändigt för att tillhandahålla information som behövs i

1. brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,

2. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,

3. sådan verksamhet hos polisen som avser handräckningsuppdrag, eller

4. annan verksamhet som polisen ansvarar för, om det finns särskilda skäl att tillhandahålla informationen.

Personuppgifter får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Innehåll

5 § I registret får uppgifter om en person behandlas, om

1. den som uppgiften avser kan misstänkas för ett brott som inte har enbart böter i straffskalan, och

2. behandlingen är av särskild betydelse för polisens spaningsverksamhet.

6 § I registret får uppgifter om en person som inte kan misstänkas för brott behandlas, om

1. uppgiften har samband med en person som har registrerats enligt 5 §, och

2. behandlingen är av särskild betydelse för polisens spaningsverksamhet.

7 § Utöver de uppgifter som får behandlas enligt 5 och 6 §§, får uppgifter behandlas om en juridisk person eller ett transportmedel eller annat föremål som kan hänföras till en fysisk person, om

1. uppgiften kan antas ha samband med ett brott som inte har enbart böter i straffskalan, och

2. behandlingen är av särskild betydelse för polisens spaningsverksamhet.

8 § Registret ska innehålla uppgifter om

1. grunden för att en person registreras som misstänkt enligt 5 § eller att uppgifter om en juridisk person, ett transportmedel eller föremål enligt 7 § förs in i registret och omständigheterna som ger anledning till registreringen,

2. de omständigheter och händelser som ger upphov till att andra uppgifter än sådana som avses i 1 tillförs registret, och

3. uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. En upplysning enligt första stycket 3 behöver inte lämnas om det på grund av särskilda omständigheter är onödigt.

9 § Registret får, utöver vad som anges i 8 §, innehålla följande uppgifter om en person som har registrerats enligt 5 §:

1. uppgift som är ägnad att identifiera personen, dock inte DNA-profil eller fingeravtryck,

2. uppgift om vistelseadress,

3. uppgift om verkställighet av påföljd för brott,

4. uppgift om att personen är eftersökt i samband med brott,

5. uppgift om att personen tidigare har varit beväpnad, våldsam eller flyktbenägen,

6. uppgift om att personen är föremål för sådan övervakning som avses i 3 kap. 2 § första stycket 2 polisdatalagen (2010:000),

7. uppgift om anknytning till juridisk person,

8. uppgift om anknytning till andra personer som har registrerats enligt 5 § och som kan antas tillhöra samma gruppering som den registrerade,

9. uppgift om att personen har använt något speciellt tillvägagångssätt, och

10. ärendenummer.

10 § Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om de uppgifter som får behandlas i registret och om förfarandet vid registreringen.

Särskilda upplysningar

11 § Vid behandling av uppgifter som direkt kan hänföras till en person som inte är misstänkt för brott ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt.

Behandling av känsliga personuppgifter

12 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Om uppgifter om en person behandlas på annan grund, får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Tillgången till personuppgifter

13 § Tillgången till personuppgifter i registret ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Sökning

14 § Vid sökning i registret får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp.

Första stycket hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.

15 § Uppgifter i registret som direkt kan hänföras till en person som inte är misstänkt för brott får inte vara sökbara.

Utlämnande av personuppgifter och uppgiftsskyldighet

16 § Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.

17 § Om det är förenligt med svenska intressen, får personuppgifter lämnas till

1. Interpol eller Europol, eller till en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, om det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott, eller

2. en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

18 § Polismyndigheter, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av uppgifter i registret, om myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.

Regeringen meddelar föreskrifter om att uppgifter får lämnas ut i andra fall än som anges i första stycket.

Bestämmelser om att uppgifter får lämnas ut finns även i offentlighets- och sekretesslagen.

Elektroniskt utlämnande av personuppgifter

19 § Enstaka personuppgifter får lämnas ut på medium för automatiserad behandling. Regeringen meddelar föreskrifter om att uppgifter får lämnas ut på sådant medium även i andra fall.

20 § Polismyndigheter, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket får medges direktåtkomst till registret.

En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Gallring

21 § Uppgifter om en person som har registrerats enligt 5 § ska gallras senast tre år efter det att uppgiften om misstanke om brott registrerades.

Om uppgiften avser misstanke om brott för vilket lindrigare straff än fängelse i två år inte är föreskrivet, behöver uppgifterna inte gallras förrän fem år efter registreringen.

Om en ytterligare uppgift om personen förs in i registret, förlängs gallringsfristen med

1. fem år från det att den nya uppgiften fördes in i registret, om uppgiften avser misstanke om brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år,

2. tre år från det att den nya uppgiften fördes in i registret, om uppgiften avser misstanke om annat brott än som anges i 1, eller

3. ett år från det att den nya uppgiften fördes in i registret, om uppgiften inte avser misstanke om brott.

Den tid då en person som har registrerats enligt 5 § avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de frister som anges i första och andra styckena.

22 § Uppgifter om en person som avses i 6 § ska gallras senast när uppgifterna om den person som har registrerats enligt 5 § och som uppgifterna har samband med gallras.

23 § Uppgifter om en juridisk person, ett transportmedel eller annat föremål som har registrerats enligt 7 § ska gallras senast tre år efter den senaste registreringen. Om den senast införda uppgiften avser ett brott för vilket lindrigare straff än fängelse i två år inte är föreskrivet, behöver uppgifterna inte gallras förrän fem år efter det att den senaste uppgiften infördes.

24 § Om det finns synnerliga skäl, får regeringen, eller den myndighet som regeringen bestämmer, i ett enskilt fall besluta att en uppgift får bevaras under längre tid än vad som anges i 21–23 §§. Ett sådant beslut ska omprövas varje år.

25 § Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om gallring.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med avvikelse från 21–23 §§, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Rättelse och skadestånd

26 § Bestämmelserna i 28 och 48 §§personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen.

1. Denna lag träder i kraft den 1 mars 2012 och gäller till och med den 28 februari 2017.

2. Bestämmelserna i 8 § första stycket 3 i denna lag behöver inte tilllämpas på uppgifter som har samlats in före ikraftträdandet av denna lag.

2.3. Förslag till lag om ändring i rättegångsbalken

Härigenom föreskrivs att 28 kap.12 a och 12 b §§rättegångsbalken ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

28 kap.

12 a §1

Kroppsbesiktning genom tagande av salivprov får ske på den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa, om syftet är att göra en DNAanalys av provet och registrera uppgifter om resultatet av analysen i det DNA-register eller det utredningsregister som förs enligt polisdatalagen (1998:622).

Kroppsbesiktning genom tagande av salivprov får göras på den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa, om syftet är att göra en DNA-analys av provet och registrera DNA-profilen i det DNAregister eller det utredningsregister som förs enligt polisdatalagen (2010:000).

12 b §2

Kroppsbesiktning genom tagande av salivprov får ske på annan än den som skäligen kan misstänkas för ett brott, om

Kroppsbesiktning genom tagande av salivprov får göras på annan än den som skäligen kan misstänkas för ett brott, om

1. syftet är att genom en DNA-analys av provet underlätta identifiering vid utredning av ett brott på vilket fängelse kan följa, och

2. det finns synnerlig anledning att anta att det är av betydelse för utredningen av brottet.

Analysresultatet får inte jämföras med de uppgifter som finns registrerade i register som förs enligt polisdatalagen (1998:622)eller i övrigt användas för annat ändamål än det för vilket provet har tagits.

Analysresultatet får inte jämföras med de DNA-profiler som finns registrerade i register över

DNA-profiler som förs enligt po-lisdatalagen (2010:000)eller i övrigt användas för annat ändamål än det för vilket provet har tagits.

Första stycket gäller inte den som är under 15 år.

Denna lag träder i kraft den 1 mars 2012.

1 Senaste lydelse 2005:878. 2 Senaste lydelse 2005:878.

2.4. Förslag till lag om ändring i vapenlagen (1996:67)

Härigenom föreskrivs att det i vapenlagen (1996:67) ska införas en ny paragraf, 2 kap. 22 §, samt närmast före 2 kap. 22 § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 kap.

Utlämnande av personuppgifter och uppgiftsskyldighet

22 §

Bestämmelserna om utlämnande av personuppgifter och uppgiftsskyldighet i 2 kap. 14 och 15 §§ polisdatalagen (2010:000) gäller även när personuppgifter behandlas i vapenregister enligt denna lag.

Regeringen meddelar föreskrifter om att personuppgifter får lämnas ut även i andra fall.

Denna lag träder i kraft den 1 mars 2012.

2.5. Förslag till lag om ändring i säkerhetsskyddslagen (1996:627)

Härigenom föreskrivs att 12, 21 och 22 §§säkerhetsskyddslagen (1996:627) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

12 §1

Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister eller polisdatalagen (1998:622). Med registerkontroll avses också att sådana personuppgifter hämtas som Rikspolisstyrelsen eller Säkerhetspolisen behandlar utan att det ingår i ett sådant register som avses i första stycket. Med registerkontroll avses dock inte att uppgifter hämtas från en förundersökning eller särskild undersökning i kriminalunderrättelseverksamhet.

Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister eller lagen (2010:000) om polisens allmänna spaningsregister. Med registerkontroll avses också att uppgifter hämtas som behandlas med stöd av polisdatalagen (2010:000).

21 §2

Utlämnande av uppgifter vid registerkontroll får omfatta

1. för säkerhetsklass 1 eller 2: varje uppgift som finns tillgänglig om den kontrollerade och, om det är oundgängligen nödvändigt, om make eller sambo, och

2. för säkerhetsklass 3: uppgifter om den kontrollerade i belastningsregistret, misstankeregistret,

SÄPO-registret och uppgifter som annars behandlas hos Säkerhetspolisen.

2. för säkerhetsklass 3: uppgifter om den kontrollerade i belastningsregistret och misstankeregistret samt uppgifter som behandlas hos Säkerhetspolisen.

22 §3

Vid registerkontroll enligt 14 § får utlämnandet omfatta alla uppgifter om den kontrollerade som finns i belastningsregistret, misstankeregistret, SÄPO-registret och

Vid registerkontroll enligt 14 § får utlämnandet omfatta alla uppgifter om den kontrollerade som finns i belastningsregistret och misstankeregistret samt uppgifter

1 Senaste lydelse 1998:625. 2 Senaste lydelse 1998:625. 3 Senaste lydelse 2006:347.

uppgifter som annars behandlas hos Säkerhetspolisen.

som behandlas hos Säkerhetspolisen.

Denna lag träder i kraft den 1 mars 2012.

2.6. Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem

Härigenom föreskrivs att 5 § lagen (2000:344) om Schengens informationssystem ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 §

Registret skall endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna, i enlighet med respektive stats nationella lagstiftning.

Registret ska endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna, i enlighet med respektive stats nationella lagstiftning.

Rikspolisstyrelsen får registrera uppgifter i SIS endast om behandling av motsvarande slag av uppgifter är tillåten enligt person-uppgiftslagen (1998:204), polis-datalagen (1998:622) eller annan svensk författning.

Rikspolisstyrelsen får föra in uppgifter i registret endast om behandling av motsvarande slag av uppgifter är tillåten enligt person-uppgiftslagen (1998:204), polis-datalagen (2010:000)eller annan svensk författning.

Denna lag träder i kraft den 1 mars 2012.

2.7. Förslag till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet

Härigenom föreskrivs att 1 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §

Säkerhets- och integritetsskyddsnämnden (nämnden) skall utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet.

Säkerhets- och integritetsskyddsnämnden (nämnden) ska utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet.

Nämnden skall även utöva tillsyn över Säkerhetspolisens behandling av uppgifter enligt polisdatalagen (1998:622), särskilt med avseende på 5 § den lagen.

Nämnden ska även utöva tillsyn över polisens behandling av personuppgifter enligt polisdatalagen (2010:000) och lagen (2010:000) om polisens allmänna spaningsregister. Tillsynen ska särskilt avse sådan behandling som avses i 2 kap. 10 § polisdatalagen och 12 § lagen om polisens allmänna spaningsregister.

Tillsynen skall särskilt syfta till att säkerställa att verksamhet enligt första och andra styckena bedrivs i enlighet med lag eller annan författning.

Tillsynen ska särskilt syfta till att säkerställa att verksamhet enligt första och andra styckena bedrivs i enlighet med lag eller annan författning.

Denna lag träder i kraft den 1 mars 2012.

2.8. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 18 kap. 18 § och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

18 kap.

18 §

Sekretessen enligt 17 § hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i polisdatalagen (1998:622) och lagen (2000:344) om Schengens informationssystem.

Sekretessen enligt 17 § andra stycket hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i polisdatalagen (1998:622) och lagen (2000:344) om Schengens informationssystem.

35 kap.

1 §

Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men och uppgiften förekommer i

1. utredning enligt bestämmelserna om förundersökning i brottmål,

2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott,

3. angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627),

4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, en polismyndighet, Skatteverket, Statens kriminaltekniska laboratorium, Tullverket eller Kustbevakningen,

5. Statens biografbyrås verksamhet att biträda Justitiekanslern, allmän åklagare eller en polismyndighet i brottmål, 6. register som förs av Rikspolisstyrelsen enligt polisdatalagen (1998:622) eller som annars behandlas där med stöd av samma lag,

7. register som förs enligt lagen (1998:621) om misstankeregister,

8. register som förs av Skatteverket enligt lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar eller som annars behandlas där med stöd av samma lag,

9. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 4 kap. 1 §, eller

9. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, eller

10. register som förs av Tullverket enligt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet eller som annars behandlas där med stöd av samma lag.

Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

Första stycket gäller inte om annat följer av 2, 6 eller 7 §. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Denna lag träder i kraft den 1 juli 2010.

2.9. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 18 kap.2 och 18 §§, 35 kap.1 och 10 §§ samt 37 kap. 7 §offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

18 kap.

2 §

Sekretess gäller för uppgift som hänför sig till sådan underrättelseverksamhet som avses i 3 § polisdatalagen (1998:622) eller som i annat fall hänför sig till Säkerhetspolisens verksamhet för att förebygga eller avslöja brott mot rikets säkerhet eller förebygga terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott, om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.

Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 7 § 1 eller 5 kap. 1 § 1 polisdatalagen (2010:000), om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.

Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till

1. sådan underrättelseverksamhet som avses i 2 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar, eller

2. sådan verksamhet som avses i 7 § 1 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en allmän handling före år 1949.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Lydelse enligt lagförslag i avsnitt 2.8

Föreslagen lydelse

18 §

Sekretessen enligt 17 § andra stycket hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i polisdatalagen (1998:622) och lagen (2000:344) om Schengens informationssystem.

Sekretessen enligt 17 § andra stycket hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och polisdatalagen (2010:000).

35 kap.

1 §

Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men och uppgiften förekommer i

1. utredning enligt bestämmelserna om förundersökning i brottmål,

2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott,

3. angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627),

4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, en polismyndighet, Skatteverket, Statens kriminaltekniska laboratorium, Tullverket eller Kustbevakningen,

5. Statens biografbyrås verksamhet att biträda Justitiekanslern, allmän åklagare eller en polismyndighet i brottmål,

6. register som förs av Rikspolisstyrelsen enligtpolisdatalagen (1998:622) eller som annars behandlas där med stöd av samma lag,

6. register som förs av Rikspolisstyrelsen enligt polisdatalagen (2010:000) eller som annars behandlas där med stöd av samma lag,

7. register som förs enligt lagen (1998:621) om misstankeregister,

8. register som förs av Skatteverket enligt lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar eller som annars behandlas där med stöd av samma lag,

9. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, eller

9. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §,

10. register som förs av Tullverket enligt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet eller som annars behandlas där med stöd av samma lag.

10. register som förs av Tullverket enligt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet eller som annars behandlas där med stöd av samma lag, eller

11. register som förs enligt lagen ( 2010:000 ) om polisens allmänna spaningsregister.

Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

Första stycket gäller inte om annat följer av 2, 6 eller 7 §. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Nuvarande lydelse Föreslagen lydelse

10 §

Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut

1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,

2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som har meddelats med stöd i den lagen,

3. enligt vad som föreskrivs i

3. enligt vad som föreskrivs i

– lagen (1998:621) om misstankeregister,

– lagen (1998:621) om misstankeregister,

polisdatalagen (1998:622), – polisdatalagen (2010:000), – lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,

– lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,

– lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,

– lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,

– förordningar som har stöd i dessa lagar, eller

– förordningar som har stöd i dessa lagar, eller

4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken.

37 kap.

7 §

Sekretessen enligt 6 § hindrar inte att uppgift lämnas ut enligt vad som föreskrivs i polisdatalagen (1998:622) och lagen (2000:344) om Schengens informationssystem.

Sekretessen enligt 6 § hindrar inte att uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och polisdatalagen (2010:000).

1. Denna lag träder i kraft den 1 mars 2012.

2. Äldre bestämmelser gäller fortfarande för uppgifter i sådana ärenden där handlingar omhändertagits för arkivering före ikraftträdandet av denna lag.

3. Ärendet och dess beredning

Polisdatalagen (1998:622), som trädde i kraft den 1 april 1999, innehåller bestämmelser om behandling av personuppgifter hos polisen. Den innehåller de särskilda regler som, utöver bestämmelserna i personuppgiftslagen (1998:204), har ansetts nödvändiga i polisens verksamhet. För frågor som inte regleras i polisdatalagen gäller således personuppgiftslagen. Polisdatalagen utgör emellertid bara en del av den lagstiftning som reglerar behandlingen av personuppgifter i polisens verksamhet. Andra lagar som reglerar sådan behandling är bl.a. lagen (1998:620) om belastningsregister och lagen (1998:621) om misstankeregister. En stor del av den behandling av personuppgifter som sker hos polisen är dock inte författningsreglerad. Enligt övergångsbestämmelserna till polisdatalagen gäller den upphävda datalagen (1973:289) och Datainspektionens tillstånd fortfarande för de register som den 24 oktober 1998 fördes med Datainspektionens tillstånd. Detta gäller flera av de stora polisregistren, t.ex. det allmänna spaningsregistret. Övergångsbestämmelserna har förlängts flera gånger, senast till utgången av juni 2012 (prop. 2009/10:23, bet. 2009/10:JuU9, rskr. 2009/10:67).

Den 9 december 1999 tillkallade den dåvarande regeringen en särskild utredare med uppdrag att följa genomförandet av den nya polisregisterlagstiftningen och påtala eventuella brister i regelverket. Utredaren skulle överväga om det behövde vidtas några åtgärder för att lagstiftningen skulle uppnå sitt syfte att skapa en effektiv brottsbekämpning och samtidigt värna om den enskildes personliga integritet. Utredningen antog namnet Polisdatautredningen.

I november 2001 överlämnade utredningen betänkandet Behandling av personuppgifter i polisens verksamhet (SOU 2001:92). En sammanfattning av betänkandet finns i bilaga 1. Utredningens lagförslag har tagits in i bilaga 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. En remissammanställning finns tillgänglig i Justitiedepartementet (dnr Ju2001/8624/PO).

Remissinstanserna godtog i allmänhet Polisdatautredningens förslag att polisdatalagen skulle ersättas med en helt ny reglering. I fråga om enskildheter i förslaget var dock remissynpunkterna mera blandade. Flera remissinstanser efterlyste en närmare analys av olika delar av förslaget. Under den fortsatta beredningen av ärendet framkom att förslaget behövde ändras och kompletteras i flera olika avseenden. Inom Justitiedepartementet utarbetades därför departementspromemorian Behandling av personuppgifter i polisens brottsbekämpande verksamhet (Ds 2007:43). Promemorians lagförslag har tagits in i bilaga 4. Promemorian har remitterats. En förteckning över remissinstanserna finns i bilaga 5. En sammanställning av remissyttrandena finns tillgänglig i Justitiedepartementet (dnr Ju2007/9805/PO).

Den del av promemorian som rör en framställan från Kustbevakningen om att myndigheten i sin brottsbekämpande verksamhet ska få tillgång till uppgifter i belastningsregistret och misstankeregistret genom direktåtkomst (dnr Ju2005/319/PO) har behandlats i propositionen Några frågor om sekretess och tillgång till register (prop. 2008/09:152).

Inom Regeringskansliet (Försvarsdepartementet) pågår ett arbete med att ta fram ett förslag till en lag om Kustbevakningens behandling av personuppgifter. Avsnittet i promemorian om Kustbevakningens personuppgiftsbehandling bereds inom ramen för det lagstiftningsarbetet. Frågan kommer således inte att behandlas i detta lagstiftningsärende.

Regeringen gav den 29 januari 2009 Rikspolisstyrelsen i uppdrag att bl.a. inventera de digitala register, ärendehanteringssystem och uppgiftssamlingar som helt eller delvis förs med stöd av polisdatalagen eller dess övergångsbestämmelser och som omfattas av förslagen i departementspromemorian med förslag till ny lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet. Inventeringen skulle även omfatta nya datasystem som planeras att tas i bruk under de närmaste två åren (dnr Ju2009/889/PO). I uppdraget ingick att redovisa vilka av datasystemen som inte utan förändringar skulle kunna föras med stöd av förslagen i departementspromemorian. Rikspolisstyrelsen redovisade uppdraget i denna del den 14 april 2009 (dnr Ju2009/3375/PO).

Inom ramen för Rådet för rättsväsendets informationsförsörjning (RIF-rådet), som består av elva myndigheter i den s.k. rättskedjan, bedrivs ett arbete för att skapa ett elektroniskt informationsflöde som möjliggör att viss information kan återanvändas av andra myndigheter i rättskedjan. En sådan ordning innebär stora effektivitetsvinster. Arbetet syftar till att införa en helt elektronisk ärendehantering. Härigenom blir det möjligt att lättare följa ett ärende från polisanmälan till verkställd dom. Det skapar bl.a. möjlighet att få en elektronisk återkoppling till polisen om en brottsutredning har lett till dom eller inte. Regeringen har beslutat att RIF-rådet från den 15 mars 2009 ska ledas från Regeringskansliet genom expeditionschefen vid Justitiedepartementet. Arbetet, som har intensifierats särskilt vad gäller informationsflödet och samarbetet mellan polisen, åklagarväsendet, Domstolsverket, Kriminalvården och Brottsförebyggande rådet, har praktisk betydelse för hur polisen ska bygga sitt nya IT-stöd.

Lagrådet

Regeringen beslutade den 5 november 2009 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 7. Lagrådets yttrande finns i bilaga 8. Lagrådet har i allt väsentligt godtagit förslaget men också föreslagit vissa ändringar. Regeringens lagförslag har i huvudsak utformats i enlighet med vad Lagrådet har förordat. Lagrådets synpunkter behandlas i avsnitten 6.1, 6.2, 7.1, 10, 11.3, 14.4, 15.1, 17.3 och 19.3 samt i författningskommentaren.

Med anledning av Lagrådets synpunkter har det uppmärksammats att det behövs en hänvisning till 9 § andra stycket personuppgiftslagen i 4 § andra stycket förslaget till lag om polisens allmänna spaningsregister. En sådan hänvisning finns i liknande bestämmelser i andra registerlagar, se t.ex. 5 § andra stycket lagen (2009:619) om djurskyddskontrollregister.

Vidare har vissa språkliga och redaktionella ändringar gjorts.

Hänvisningar till S3

4. Gällande rätt och internationella överenskommelser

4.1. Inledning

Grundläggande bestämmelser till skydd för den personliga integriteten finns i regeringsformen. I 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. I 2 kap. 3 § andra stycket sägs att varje medborgare, i den utsträckning som anges i lag, ska skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling.

I den av regeringen nyligen framlagda propositionen En reformerad grundlag (prop. 2009/10:80) föreslås bl.a. att grundlagsskyddet för den personliga integriteten ska stärkas. Enligt en ny bestämmelse, som tas in i 2 kap. 6 § regeringsformen, ska var och en gentemot det allmänna vara skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet mot intrång ska kunna begränsas i lag bara i den ordning som föreskrivs i 2 kap. regeringsformen. Det föreslås även att 2 kap. 3 § andra stycket regeringsformen ska upphävas. Lagändringarna föreslås träda i kraft den 1 januari 2011.

Personuppgiftslagen (1998:204) har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen trädde i kraft den 24 oktober 1998. Genom lagen genomfördes Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) i svensk rätt. Personuppgiftslagen är tillämplig, om det inte i någon annan lag eller förordning har meddelats avvikande bestämmelser. Då gäller dessa. Direktivet omfattar däremot inte all personuppgiftsbehandling. Verksamhet som rör allmän säkerhet och statens verksamhet på straffrättens område omfattas t.ex. inte.

Sedan slutet av 1990-talet har det utöver personuppgiftslagen utarbetats en stor mängd specialförfattningar med bestämmelser om behandling av personuppgifter, däribland polisdatalagen (1998:622). Syftet har varit att anpassa lagstiftningen till de särskilda behov som finns inom olika verksamhetsområden och samtidigt göra avvägningar mellan behovet av effektivitet i berörd verksamhet och behovet av skydd för enskildas integritet.

Utöver en beskrivning av gällande rätt innehåller detta avsnitt en redogörelse för aktuella internationella överenskommelser och rekommendationer på dataskyddsområdet. Dessa instrument utgör en utgångspunkt för en ny lagstiftning om behandling av personuppgifter i polisens brottsbekämpande verksamhet. Vidare redovisas några nyligen antagna beslut inom Europeiska unionen (EU) som rör informationsutbyte mellan medlemsstaterna.

4.2. Internationella överenskommelser och personuppgiftslagen

4.2.1. Europakonventionen och FN-konventionen om medborgerliga och politiska rättigheter

År 1948 antog Förenta nationerna (FN) den allmänna förklaringen om de mänskliga rättigheterna. De rättigheter som räknas upp i förklaringen har därefter vidareutvecklats bl.a. i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) från år 1950 och FN:s konvention om medborgerliga och politiska rättigheter från år 1966.

Enligt artikel 8 i Europakonventionen har var och en rätt till respekt bl.a. för sitt privat- och familjeliv. En offentlig myndighet får inte inskränka åtnjutandet av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

I rekvisitet ”med stöd av lag” ligger, utöver att intrånget ska ha stöd i nationell lag, att den åberopade lagen måste uppfylla vissa minimikrav i fråga om kvalitet och tydlighet. En rättighetsinskränkande tolkning av lagen ska kunna förutses och lagen ska vara allmänt tillgänglig. De syften för vilka intrång tillåts har tolkats ganska extensivt av Europadomstolen, men domstolen avgör också vad som kan anses nödvändigt för att tillgodose ett i och för sig legitimt syfte. Hela konventionen genomsyras av att åtgärder som innefattar intrång i en skyddad rättighet kan godtas endast om de är proportionerliga. Det innebär att intrånget måste svara mot ett angeläget samhällsbehov och stå i rimlig proportion till det syfte som ska uppnås.

I artikel 13 i Europakonventionen föreskrivs att var och en, vars i konventionen angivna fri- och rättigheter kränkts, ska ha tillgång till ett effektivt rättsmedel inför en nationell myndighet. Detta gäller även om kränkningen förövats av någon under utövning av offentlig myndighet. Innebörden av artikeln är att den enskilde ska ha tillgång till en nationell instans för att kunna få saken prövad och kunna få rättelse. Prövningen kan utföras av domstol, men något krav på domstolsprövning uppställs inte. Prövning av en stats regering eller av en förvaltningsmyndighet kan vara tillräckligt för att uppfylla konventionens krav på tillgång till ett effektivt rättsmedel.

Även i FN:s konvention om medborgerliga och politiska rättigheter finns en bestämmelse till skydd för godtyckligt eller olagligt ingripande i någons privat- och familjeliv (artikel 17).

4.2.2. Dataskyddskonventionen m.m.

Bestämmelser av betydelse för automatisk databehandling av personuppgifter finns också i Europarådets konvention från år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskydds-

konventionen). Dataskyddskonventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen.

Dataskyddskonventionens innehåll kan ses som en precisering av skyddet enligt artikel 8 i Europakonventionen för enskilda vid automatisk databehandling. Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med behandling av personuppgifter och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna.

Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste iaktta i sin nationella lagstiftning. Personuppgifter som är föremål för automatisk databehandling ska hämtas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Vidare måste uppgifterna vara relevanta för ändamålen och får inte senare användas på ett sätt som är oförenligt med dessa. Uppgifterna måste också vara riktiga och aktuella och de får inte bevaras längre än vad som är nödvändigt för ändamålen.

Vissa typer av personuppgifter får, enligt konventionen, behandlas endast om den nationella lagstiftningen ger ett ändamålsenligt skydd. Till sådana personuppgifter hör uppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, hälsa, sexualliv samt uppgifter om brott.

För att skydda personuppgifter mot bl.a. oavsiktlig eller otillåten förstörelse föreskriver konventionen att lämpliga skyddsåtgärder ska vidtas. Vidare föreskrivs att den registrerade ska ha möjlighet till insyn i register och till att få uppgifter rättade. I vissa fall får undantag göras från bestämmelserna om uppgifternas beskaffenhet och rätten till insyn. Sådana inskränkningar förutsätter, enligt konventionen, stöd i den nationella lagstiftningen och att inskränkningen är nödvändig i ett demokratiskt samhälle för vissa angivna ändamål, t.ex. statens ekonomiska intressen och brottsbekämpning, samt för att skydda enskildas fri- och rättigheter.

Dataskyddskonventionens roll som grundläggande dokument för automatiserad behandling av personuppgifter inom EU har i princip övertagits av dataskyddsdirektivet (avsnitt 4.2.5). Direktivet omfattar dock inte behandling av personuppgifter inom områden som allmän säkerhet, försvar och statens säkerhet. På dessa områden är dataskyddskonventionen således fortfarande av betydelse. Såvitt gäller polissamarbete och straffrättsligt samarbete finns numera också dataskyddsrambeslutet (avsnitt 4.4.1).

Europarådets ministerkommitté antog år 2001 ett tilläggsprotokoll till dataskyddskonventionen. Det innehåller bestämmelser om tillsynsmyndigheter och överföring av personuppgifter till länder som inte är bundna av konventionen. Sverige undertecknade och ratificerade tilläggsprotokollet den 8 november 2001. Tilläggsprotokollet trädde i kraft den 1 juli 2004.

Även Organisationen för ekonomiskt samarbete och utveckling (OECD) har utarbetat internationella riktlinjer om integritetsskydd och persondataflöde över gränserna. Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som finns i dataskyddskonventionen.

4.2.3. Europarådets rekommendation för polissektorn

Utöver dataskyddskonventionen har Europarådet tagit fram sektorsvisa rekommendationer om dataskydd, bl.a. en rekommendation, No. R (87) 15, som reglerar användningen av personuppgifter inom polissektorn. Rekommendationen innehåller speciella skyddsregler för personuppgifter som polisen samlar in, lagrar, använder eller överför med hjälp av automatiserad behandling i syfte att förhindra och bekämpa brott eller upprätthålla allmän ordning. Endast sådana uppgifter som är nödvändiga för att förhindra en verklig fara eller bekämpa ett visst brott får samlas in, om inte den nationella lagstiftningen tillåter ett mer omfattande uppgiftssamlande. Olika kategorier av lagrade uppgifter ska så långt som möjligt kunna skiljas från varandra efter graden av riktighet och tillförlitlighet. I synnerhet ska uppgifter som grundar sig på fakta kunna skiljas från uppgifter som grundar sig på omdömen eller personliga värderingar.

4.2.4. Europeiska unionens stadga om de grundläggande rättigheterna

Lissabonfördraget innebär att Europeiska unionens stadga om de grundläggande rättigheterna, tillkännagiven av parlamentet, rådet och kommissionen den 7 december 2000 och anpassad den 12 december 2007, blir rättsligt bindande. Detta sker genom att en referens till stadgan införs i artikel 6.1 i det ändrade EU-fördraget (prop. 2007/08:168 s. 58). I stadgan bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser, Europakonventionen, unionens och Europarådets sociala stadgor samt rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte är att kodifiera de grundläggande fri- och rättigheter som EU redan erkänner.

I artikel 8 i stadgan föreskrivs bl.a. att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs. Av artikel 51 i stadgan följer att den riktar sig till verksamhet som utförs av EU:s egna organ och institutioner och att den blir tillämplig för medlemsstaterna endast i de fall där de tillämpar EUrätten. Stadgan är följaktligen inte tillämplig på nationell lagstiftning inom områden där EU inte har lagstiftningskompetens.

När det gäller de garanterade rättigheternas räckvidd anförs i artikel 52 i stadgan att varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan ska vara föreskriven i lag och vara förenlig med proportionalitetsprincipen och det väsentliga innehållet i fri- och rättigheterna. I den mån rättigheterna i stadgan motsvarar rättigheter som skyddas av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen. Stadgans artiklar får inte tolkas som att de inskrän-

ker eller inkräktar på rättigheter enligt andra konventioner eller överenskommelser om fri- och rättigheter.

4.2.5. Dataskyddsdirektivet och personuppgiftslagen

Dataskyddsdirektivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Medlemsstaterna får inom den ram som anges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen. Direktivet gäller inte för sådan behandling av personuppgifter som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. Direktivet omfattar således inte statens behandling av personuppgifter i brottsbekämpande verksamhet. Denna fråga kommer att behandlas närmare i avsnitt 6.4.1.

Personuppgiftslagen, genom vilken dataskyddsdirektivet genomförts i svensk rätt, har emellertid gjorts generellt tillämplig och omfattar således även sådan verksamhet som faller utanför direktivets tillämpningsområde (prop. 1997/98:44, bet. 1997/98:KU18). Lagen, som trädde i kraft den 24 oktober 1998, innehåller de generella regler som krävs för genomförandet av direktivet. Lagen anger den grundläggande ramen för behandling av personuppgifter. Särreglering i lag eller förordning gäller emellertid framför bestämmelserna i personuppgiftslagen. Att det krävs en särskild författning för att avvika från det integritetsskydd som personuppgiftslagen ger, är en garanti för att behovet av särregler övervägs noga i den ordning som gäller för författningsgivning.

Tidigare fanns det grundläggande regler om inrättande och förande av personregister med hjälp av automatisk databehandling i datalagen (1973:289), som upphävdes när personuppgiftslagen trädde i kraft. I datalagen avsågs med personregister ett register, förteckning eller andra anteckningar som fördes med hjälp av automatisk databehandling och som innehöll personuppgift som kunde hänföras till den som avsågs med uppgiften. Bara den som anmält sig till Datainspektionen och fått licens fick inrätta och föra personregister. För att få registrera känsliga personuppgifter krävdes, utöver licens, ett särskilt tillstånd från Datainspektionen. Ett sådant tillstånd behövdes t.ex. som regel för att inrätta och föra register med uppgifter om att någon misstänktes eller var dömd för brott, omdömen om den registrerade eller personuppgifter som hämtats från något annat register. Om ett personregister hade beslutats av riksdagen eller regeringen, krävdes dock inget tillstånd.

Genom personuppgiftslagen avskaffades det tidigare licens- och tillståndsförfarandet. Utgångspunkten i personuppgiftslagen är att behandling av personuppgifter är tillåten i de fall och på de villkor lagen anger.

Personuppgiftslagen innehåller generella riktlinjer för all behandling av personuppgifter. Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, exempelvis att samla in, söka, bevara och sprida uppgifter. Lagen omfattar i princip endast be-

handling av personuppgifter som är helt eller delvis automatiserad. Även manuell behandling kan dock omfattas, nämligen om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Enligt personuppgiftslagen ska en personuppgiftsansvarig se till att personuppgifter behandlas bara om det är lagligt. Den personuppgiftsansvarige ska vidare se till att personuppgifter behandlas på ett korrekt sätt och i enlighet med god sed, att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, att de inte behandlas för något ändamål som är oförenligt med det för vilket de samlades in, att de personuppgifter som behandlas är riktiga och om nödvändigt aktuella, att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen och att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Vidare reglerar personuppgiftslagen, som nämnts, när behandling av uppgifter är tillåten. Detta är i princip fallet när den registrerade har lämnat sitt samtycke eller när behandlingen är nödvändig av olika angivna skäl, bl.a. för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet och för att den personuppgiftsansvarige, eller tredje man till vilken personuppgifter lämnas ut, ska kunna utföra en arbetsuppgift i samband med myndighetsutövning.

Personuppgiftslagen innehåller ett förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Det finns dock ett bemyndigande för regeringen, eller den myndighet som regeringen bestämmer, att meddela föreskrifter om undantag från förbudet. Datainspektionen har meddelat sådana föreskrifter; DIFS 1998:3, jfr 9 § personuppgiftsförordningen (1998:1191).

Den 1 januari 2007 trädde vissa ändringar av personuppgiftslagen i kraft, som innebär att lagen i viss utsträckning har utformats enligt en s.k. missbruksmodell (prop. 2005/06:173). Regleringen tar därmed inte sikte på själva hanteringen av personuppgifterna utan på att uppgifterna inte får missbrukas till skada för någons personliga integritet. Behandling av personuppgifter i ostrukturerat material, t.ex. löpande text och enstaka bild- och ljudupptagningar, undantas från de flesta av personuppgiftslagens detaljerade hanteringsregler. Sådan behandling tillåts utan andra restriktioner än att den registrerades personliga integritet inte får kränkas.

Bestämmelserna i personuppgiftslagen redovisas närmare i samband med de förslag som lämnas i avsnitt 6.4.2.

Hänvisningar till S4-2-5

  • Prop. 2009/10:85: Avsnitt 11.2

4.3. Den nuvarande polisregisterlagstiftningen

4.3.1. Polisregisterlagstiftningen

Polisdatalagen trädde i kraft den 1 april 1999. Lagen, som gäller utöver personuppgiftslagen, utgör en del av lagstiftningen om polisens register.

Vid sidan av polisdatalagen finns det andra författningar som reglerar behandling av personuppgifter inom polisen. Några av dessa är s.k. registerförfattningar och innehåller uteslutande bestämmelser om personuppgiftsbehandling medan andra endast innehåller ett fåtal sådana bestämmelser, t.ex. om visst register. Bestämmelser om personuppgiftsbehandling finns i vapenlagen (1996:67), lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:343) om internationellt polisiärt samarbete, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister, efterlysningskungörelsen (1969:293), passförordningen (1979:664), förordningen (1997:902) om register över strafförelägganden och förordningen (1997:903) om register över förelägganden av ordningsbot. De aktuella författningarna behandlas i anslutning till beskrivningarna av registren i bilaga 6.

4.3.2. Polisdatalagen

Polisens möjligheter att föra kriminal- och polisregister reglerades tidigare i lagen (1963:197) om allmänt kriminalregister och lagen (1965:94) om polisregister m.m. Utgångspunkten i dessa lagar var att registren skulle föras manuellt. Det rättsliga stödet för att föra vissa datoriserade register, t.ex. person- och belastningsregistret, fanns i förordningen (1970:517) om rättsväsendets informationssystem (RI-förordningen). Många polisregister fördes med stöd av Datainspektionens tillstånd enligt datalagen.

Polisdatalagen innehåller endast de särbestämmelser som har ansetts nödvändiga för polisens verksamhet. I övrigt gäller personuppgiftslagen eller särskilda lagar, t.ex. lagen om belastningsregister.

Polisdatalagen gäller vid behandling av personuppgifter i polisens verksamhet och i polisverksamhet vid Ekobrottsmyndigheten för att

1. förebygga brott och andra störningar av den allmänna ordningen och säkerheten,

2. övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när något sådant inträffat, eller

3. bedriva spaning och utredning i fråga om brott som hör under allmänt åtal.

Lagen omfattar således inte all behandling av personuppgifter inom polisen. Uppgiftsbehandling inom den hjälpande och stödjande verksamheten, tillståndsverksamheten och den administrativa verksamheten faller utanför lagens tillämpningsområde. För personuppgiftsbehandling i sådan verksamhet gäller personuppgiftslagen och eventuell särreglering i annan författning. Som exempel kan nämnas att passregistret regleras av personuppgiftslagen och passförordningen (1979:664).

Inom polisen förs även ett flertal register som i och för sig faller inom polisdatalagens tillämpningsområde men som med tillämpning av lagens övergångsbestämmelser fortfarande förs med stöd av den upphävda datalagen och Datainspektionens tillstånd.

Behandling av personuppgifter som sker med stöd av lagen om belastningsregister, lagen om misstankeregister, lagen om Schengens informa-

tionssystem eller lagen om passagerarregister har uttryckligen undantagits från polisdatalagens tillämpningsområde.

Polisdatalagen innehåller allmänna bestämmelser om behandling av personuppgifter i polisiärt arbete och särskilda bestämmelser om behandling i kriminalunderrättelseverksamhet och om vissa register. Det finns två kategorier av allmänna bestämmelser i lagen, dels sådana som gäller för all behandling av personuppgifter (dvs. även sådan behandling som inte är automatiserad), dels sådana som endast gäller automatiserad behandling. Till den förstnämnda kategorin hör bestämmelser som reglerar behandling av känsliga personuppgifter (5 §), utlämnande av uppgifter, bl.a. till statistikmyndighet och utländsk myndighet (6–8 §§) och bestämmelser om rättelse och skadestånd (9 §). Därutöver gäller för automatiserad behandling även allmänna bestämmelser om behandling av uppgifter om kvarstående misstankar (10–12 §§) och om gallring (13 §).

Enligt de särskilda bestämmelserna om kriminalunderrättelseverksamhet får uppgifter i sådan verksamhet endast behandlas inom ramen för en s.k. särskild undersökning eller i kriminalunderrättelseregister (14– 21 §§). De register som regleras särskilt i lagen är – utöver kriminalunderrättelseregister – register med uppgifter om DNA-analyser, fingeravtrycks- och signalementsregister samt SÄPO-registret. Registren behandlas närmare i bilaga 6.

4.4. Vissa EU-beslut och lagstiftningsförslag

Inom ramen för EU-samarbetet har under de senaste åren förhandlats och antagits flera rambeslut och rådsbeslut som berör behandling av personuppgifter inom polisen. Flertalet av dessa ger ökade möjligheter för brottsbekämpande myndigheter att utbyta uppgifter inom sitt område. Vidare finns det s.k. dataskyddsrambeslutet, som innehåller bestämmelser om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete.

I propositionen Avskaffande av preskription för vissa allvarliga brott (prop. 2009/10:50) föreslås en ändring i polisdatalagen.

Hänvisningar till S4-4

  • Prop. 2009/10:85: Avsnitt 12.2

4.4.1. Dataskyddsrambeslutet

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) reglerar dataskyddet inom angivna områden. Rambeslutet är föranlett av ett antal nya EUinstrument rörande utvidgat polisiärt och rättsligt samarbete avseende gränsöverskridande informationsutbyte.

Dataskyddsrambeslutet förpliktar medlemsstaterna att behandla uppgifter som utbyts mellan staterna inom ramen för det angivna samarbetet på ett sådant sätt att skyddet för enskildas integritet värnas. Det innehåller bestämmelser som avser att förstärka skyddet vid behandling av personuppgifter som överförs. Rambeslutet utgör ett komplement till andra instrument om informationsutbyte inom ramen för polisiärt och straffrättsligt samarbete. Det innehåller bl.a. bestämmelser om allmänna ut-

gångspunkter för behandlingen av personuppgifter och känsliga personuppgifter, rättelse, radering och gallring av personuppgifter, information till den registrerade samt skadestånd och sanktioner. Till stora delar motsvarar innehållet dataskyddsdirektivet, som i svensk rätt har genomförts i personuppgiftslagen. Vidare finns bl.a. särskilda bestämmelser som begränsar möjligheterna att behandla personuppgifter som mottagits från en annan stat.

Regeringen har i propositionen Godkännande av dataskyddsrambeslutet (prop. 2008/09:16) på ett övergripande plan övervägt vilka lagändringar som kan krävas. Riksdagen godkände utkastet till rambeslut (bet. 2008/09:JuU7, rskr. 2008/09:41), som därefter har antagits av rådet. Rambeslutet har ännu inte genomförts i svensk rätt.

Hänvisningar till S4-4-1

4.4.2. Rådsbeslutet om tillgång till informationssystemet för viseringar

Rådets beslut 2004/512/EG om inrättande av Informationssystemet för viseringar (VIS) ledde till att VIS inrättades år 2004 som ett system för utbyte av viseringsuppgifter mellan medlemsstaterna. Samma år presenterade kommissionen ett förslag till förordning om VIS och utbytet av uppgifter mellan medlemsstaterna om viseringar för kortare vistelser (VIS-förordningen). Ett reviderat förslag till VIS-förordning, Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse, har senare antagits. VIS-förordningen kompletteras inom tredje pelaren av rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott.

Enligt rådsbeslutet ska särskilt utsedda brottsbekämpande myndigheter i medlemsstaterna och Europol under vissa förutsättningar ges tillgång till uppgifter ur VIS i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. Reglerna för hur myndigheterna får använda registret är restriktiva och uppgifter får endast lämnas ut under vissa speciella förutsättningar. Ett grundläggande krav för att en brottsbekämpande myndighet ska få tillgång till uppgifter i VIS är att den lämnar en motiverad, skriftlig eller elektronisk, begäran till en central åtkomstpunkt som ska kontrollera att samtliga villkor för tillgång till VIS är uppfyllda. Vidare krävs bl.a. att sökningarna är nödvändiga för att förebygga, upptäcka eller utreda terroristbrott eller andra grova brott, att sökningarna krävs i ett specifikt ärende och att det finns rimliga skäl att anse att inhämtandet av VIS-uppgifter väsentligen kommer att bidra till att brotten i fråga förebyggs, upptäcks eller utreds.

Regeringen har i propositionen Godkännande av rådets beslut om åtkomst till informationssystemet för viseringar i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott (prop. 2007/08:132) på ett övergripande plan övervägt vilka lagändringar som kan bli nödvändiga med anledning av rådsbeslutet. Riksdagen godkände utkastet till

rådsbeslut (bet. 2007/08:JuU27, rskr. 2007/08:250), som därefter har antagits av rådet. Rådsbeslutet har ännu inte genomförts i svensk rätt.

4.4.3. Prümrådsbeslutet

Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, (Prümrådsbeslutet), bygger på en konvention kallad Prümkonventionen, som år 2005 ingicks mellan sju av EU:s medlemsstater. Prümrådsbeslutet innehåller bestämmelser som syftar till att fördjupa det gränsöverskridande samarbetet mellan de myndigheter inom EU som ansvarar för att förebygga och utreda brott. I huvudsak ska detta ske genom förenklade former för utbyte av DNAprofiler, fingeravtryck och uppgifter om fordon. Rådsbeslutet aktualiserar inte inrättande av några nya databaser, utan bygger på ett automatiserat utbyte av uppgifter som redan finns lagrade i medlemsstaternas befintliga databaser. I rådsbeslutet regleras också skyldigheten att översända vissa personuppgifter och andra uppgifter till en annan medlemsstat vid större evenemang med gränsöverskridande verkningar. Därutöver finns en fakultativ bestämmelse om översändande av uppgifter till skydd mot terrorism. Bestämmelserna om uppgiftsutbyte kompletteras med utförliga bestämmelser om dataskydd. Dessa bestämmelser måste genomföras innan uppgiftsutbytet får inledas. Utöver bestämmelserna om informationsutbyte innehåller rådsbeslutet bestämmelser om frivilligt operativt samarbete.

Regeringen har i propositionen Godkännande av Prümrådsbeslutet (prop. 2007/08:83) på ett övergripande plan övervägt vilka lagändringar som kan krävas. Riksdagen godkände utkastet till rådsbeslut (bet. 2007/08:JuU20, rskr. 2007/08:197). Beslutet har därefter antagits av rådet.

En särskild utredare har i departementspromemorian Genomförandet av delar av Prümrådsbeslutet (Ds 2009:8) bl.a. föreslagit ändringar i polisdatalagen och lagen (2000:343) om internationellt polisiärt samarbete. Förslagen omfattar bara de delar av rådsbeslutet som är tvingande. Promemorian har remissbehandlats. Rådsbeslutet har ännu inte genomförts i svensk rätt.

Hänvisningar till S4-4-3

4.4.4. Rambeslutet om utbyte av uppgifter ur kriminalregister

Rambeslutet 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll har främst intresse för domstolar och åklagare men berör även polisens verksamhet. Rambeslutets syfte är att förbättra och underlätta utbytet av uppgifter ur kriminalregister mellan EU:s medlemsstater.

Uppgifter om brottmålsdomar utbyts för närvarande med stöd av 1959 års europeiska konvention om ömsesidig rättslig hjälp i brottmål. Systemet har visat sig ha betydande brister och domstolar meddelar ofta dom enbart med beaktande av tidigare domar som finns i deras nationella register, men utan kunskap om eventuella domar i andra medlemsstaters

register. Enligt rambeslutet ska varje medlemsstat som meddelar en dom mot en medborgare i en annan medlemsstat informera medborgarstaten om domen. Medborgarstaten ska därefter lagra informationen. Rambeslutet lägger också grunden för nästa steg i arbetet med att effektivisera informationsutbytet och möjliggöra elektronisk uppgiftsöverföring, som återspeglas i rådets beslut 2009/316/RIF av den 6 april 2009 om inrättande av det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister (Ecris) i enlighet med artikel 11 i rambeslut 2009/315/RIF. I propositionen Sveriges antagande av rambeslut om utbyte av uppgifter i kriminalregister

(

prop. 2008/09:18) har regeringen översiktligt redovisat

vilka lagstiftningsåtgärder som kan krävas. Riksdagen godkände utkastet till rambeslut (bet. 2008/09:JuU11, rskr. 2008/09:33). Rambeslutet har därefter antagits av rådet, men ännu inte genomförts i svensk rätt.

4.4.5. Rådsbeslutet om inrättande av Europol

Det fördjupade gränsöverskridande polisiära samarbetet och utbytet av information påverkas av utvecklingen av det polisiära samarbetet inom ramen för EU:s gemensamma polisbyrå, Europol. En av Europols viktigaste uppgifter är att samla in och bearbeta information om allvarlig gränsöverskridande brottslighet av visst slag och att förmedla denna information vidare till medlemsstaterna. Europols verksamhet bygger på möjligheten att från medlemsstaterna hämta in och analysera underrättelseinformation om viss grov gränsöverskridande brottslighet och sedan återföra resultatet av analyserna till medlemsstaterna. Den svenska polisens utlämnande av uppgifter sker med stöd av 7 § första stycket polisdatalagen.

Europols verksamhet har hittills byggt på Europolkonventionen (prop. 1996/97:164). Rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av europeiska polisbyrån (Europol) ersätter Europolkonventionen och dess ändringsprotokoll. Genom beslutet förändras den rättsliga grunden för Europols verksamhet från ett mellanstatligt samarbete till att Europol blir ett EU-organ. Europol ges bl.a. möjlighet att upprätta och driva nya system för informationsbehandling, t.ex. när det gäller terroristbekämpning. Rådsbeslutet innehåller också vissa nya bestämmelser om dataskydd, t.ex. inrättande av ett oberoende uppgiftsskyddsombud. Regeringen har i propositionen Godkännande av rådets beslut om inrättande av Europeiska polisbyrån (Europol) på ett övergripande plan övervägt vilka lagändringar som kan krävas (prop. 2008/09:14). Riksdagen godkände utkastet till rådsbeslut (bet. 2008/09:JuU6, rskr. 2008/09:63). Beslutet har därefter antagits av rådet.

Regeringen har i propositionen Immunitet och privilegier för Europol (prop. 2009/10:13) lämnat förslag till den lagändring som måste träda i kraft den dag rådsbeslutet ska börja tillämpas, dvs. den 1 januari 2010. Förslaget består i en ändrad hänvisning i bilagan till lagen (1976:661) om immunitet och privilegier i vissa fall. Enligt propositionen avser regeringen att i annat sammanhang överväga behovet av ytterligare lagändringar med anledning av Europolsamarbetet.

4.4.6. Rambeslutet om förenklat informations- och underrättelseutbyte

Den tillgänglighetsprincip som är väsentlig i EU:s arbete för att utveckla informationsutbytet är en av hörnstenarna i rambeslutet om förenklat informations- och underrättelseutbyte. Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater kom till efter ett svenskt initiativ. Rambeslutet innebär att brottsbekämpande myndigheter i medlemsstaterna redan på underrättelsestadiet, och över myndighetsgränserna, snabbt ska kunna utbyta befintlig information och befintliga underrättelser. Genom rambeslutet åtar sig medlemsstaterna bl.a. dels att på begäran av en annan stat lämna viss information, dels att spontant lämna vissa uppgifter.

Rambeslutet har genomförts i svensk rätt genom förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen, som trädde i kraft den 1 februari 2009. Förordningen, som bygger på förutsättningen att gällande svensk rätt redan medger utlämnande av sådana uppgifter som ska utbytas enligt rambeslutet, innehåller framför allt bestämmelser om förfarandet i samband med uppgiftsutbytet.

4.4.7. Preskription vid allvarliga brott

I propositionen Avskaffande av preskription för vissa allvarliga brott (prop. 2009/10:50) har regeringen föreslagit att åtalspreskription, påföljdspreskription och absolut preskription ska avskaffas för vissa brott, om dessa har begåtts av vuxna lagöverträdare. De brott som avses är mord, dråp, grovt folkrättsbrott, folkmord samt terroristbrott som begåtts genom mord eller dråp. Även försök till sådana brott, med undantag för grovt folkrättsbrott, ska enligt förslaget undantas från preskription. Vidare har föreslagits att sådana uppgifter i det spårregister som innehåller DNA-profiler som hänför sig till nyssnämnda brottstyper ska gallras senast sjuttio år efter registreringen, i stället för trettio år. Förslaget innebär en ändring i 27 § polisdatalagen. Ändringarna föreslås träda i kraft den 1 juli 2010.

5. Polisens register

Vissa av polisens samlingar av personuppgifter i elektronisk form är register i ordets traditionella bemärkelse, dvs. avgränsade system där uppgifter förs in på ett systematiserat sätt efter vissa kriterier och är sökbara endast med särskilda sökord. Detta gäller i första hand vissa äldre system. Nya system som också kan betraktas som register är bl.a. misstankeregistret och belastningsregistret. Utvecklingen inom polisen går mot att registerformen överges för mer flexibla datasystem.

Den nuvarande registerstrukturen har sin bakgrund i tiden före polisdatalagen, när Datainspektionen gav polisen tillstånd att föra olika en-

skilda register. Registerstrukturen är således inte ett resultat av en övergripande och konsekvent planering.

Polisens register kan delas in i tre grupper beroende på vilka bestämmelser som styr behandlingen av uppgifter, nämligen

– register som förs med stöd av bestämmelser om särskilda register i polisdatalagen eller annan lagstiftning,

– register som förs med stöd av allmänna bestämmelser i polisdatalagen och personuppgiftslagen, och

– register som enligt övergångsbestämmelserna till polisdatalagen förs med stöd av den upphävda datalagen och tillstånd från Datainspektionen.

En uppdelning kan också göras mellan centrala och lokala register. De centrala registren förs av Rikspolisstyrelsen och innehåller uppgifter från hela landet. De lokala registren förs av en polismyndighet och innehåller därmed i princip bara uppgifter från ett polisdistrikt.

De register som regleras särskilt i polisdatalagen är kriminalunderrättelseregister, register med uppgifter om DNA-analyser i brottmål, fingeravtrycks- och signalementsregister samt SÄPO-registret. Kriminalunderrättelseregister kan föras både på lokal och central nivå, medan övriga register som regleras i polisdatalagen är centrala. Det finns även särskilda bestämmelser om register i lagstiftning som gäller vid sidan av polisdatalagen, t.ex. i lagen om belastningsregister och lagen om misstankeregister. Därutöver finns centrala och lokala register som saknar särskild författningsreglering. Registren förs då med stöd av personuppgiftslagen och de allmänna bestämmelserna i polisdatalagen eller med stöd av datalagen och Datainspektionens tillstånd enligt övergångsbestämmelserna till polisdatalagen. Exempel på centrala register som saknar särskild författningsreglering är det allmänna spaningsregistret, det centrala brottsspaningsregistret samt beslags- och analysregistren. Rationell anmälningsrutin (RAR) och Datoriserad utredningsrutin (DurTvå) är exempel på sådana register på lokal nivå.

Polisen utvecklar fortlöpande nya system för att stödja sin verksamhet. En redovisning av polisens register kan därför aldrig bli fullständig. I bilaga 6 redovisas vissa befintliga datasystem som har betydelse i detta sammanhang.

Hänvisningar till S5

6. En ny lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet

6.1. Behovet av en ny lagstiftning

Regeringens bedömning: En reform av bestämmelserna om polisens behandling av personuppgifter är nödvändig.

Regeringens förslag: En ny lag införs som ersätter polisdatalagen.

Utredningens bedömning och förslag överensstämmer med promemorians.

Remissinstanserna har tillstyrkt eller inte haft några invändningar mot att bestämmelserna om polisens behandling av personuppgifter reformeras genom införandet av en ny lag som ersätter polisdatalagen.

Promemorians bedömning och förslag överensstämmer med regeringens.

Remissinstanserna: Samtliga remissinstanser delar promemorians bedömning eller har inget att invända mot den. Flertalet remissinstanser tillstyrker eller har inget att invända mot promemorians förslag. Invändningar framförs dock mot enskildheter i förslaget. Även mer generella synpunkter framförs.

Rikspolisstyrelsen uppskattar ambitionen att utöka polisens möjligheter att behandla personuppgifter i bl.a. underrättelseverksamhet. Den föreslagna lagen kommer enligt styrelsen att underlätta informationsutbytet såväl inom polisen som mellan polisen och andra myndigheter. Styrelsen anser dock att det vore olyckligt om en ny lagstiftning i syfte att skydda den personliga integriteten utformas som en hanteringslagstiftning som i detalj reglerar polisens arbetsmetoder. Rikspolisstyrelsen anser att vissa av bestämmelserna, bl.a. de föreslagna sökbegränsningarna, utgör just en sådan detaljreglering som styrelsen är emot. Säkerhetspolisen framhåller att det är nödvändigt att arbetet inriktas mot en gemensam lagstiftningsteknik för behandlingen av personuppgifter inom den brottsbekämpande verksamheten och anser att de förslag som läggs fram i promemorian för att komma till rätta med problemen med den alltmer föråldrade polisdatalagen är lovvärda.

Kammarrätten i Stockholm instämmer i att lagstiftning som reglerar användningen av datorstöd måste vara teknikoberoende och flexibel samtidigt som hänsyn till enskildas integritet tas. Kammarrätten anser att de avvägningar som görs mellan effektiviteten i brottsbekämpningen och skyddet för den personliga integriteten är väl redovisade och motiverade men framhåller, liksom några andra remissinstanser, att det är svårt att förutse förslagets sammantagna konsekvenser. Kammarrätten betonar därför, liksom flera andra remissinstanser, bl.a. Domstolsverket, vikten av att lagstiftningen noga utvärderas. Åklagarmyndigheten anser att det är uppenbart och glädjande att förslagen och övervägandena i promemorian bygger på ambitionen att reglerna om polisens personuppgiftsbehandling ska stödja modern brottsbekämpning. Åklagarmyndigheten är dock bekymrad över att såväl den gällande som den föreslagna regleringen är mycket svårtillgänglig. Ekobrottsmyndigheten anser att det är tveksamt om den föreslagna lagen innebär ett så tydligt klargörande av polisens möjligheter att behandla personuppgifter som behövs för en effektiv men också rättssäker brottsbekämpning. Kriminalvården anser att den föreslagna lagen är omfattande och detaljerad. Enligt Kriminalvården bör det övervägas om det inte är tillräckligt att endast ramarna för när behandling av personuppgifter är tillåten och de från integritetsskyddssynpunkt viktigaste bestämmelserna framgår av lagen. Kriminalvården menar att lagen kan kompletteras av mer detaljerade bestämmelser i författningar på lägre nivå med närmare avvägningar av integritetsskyddet.

Datainspektionen avstyrker att promemorians förslag läggs till grund för lagstiftning och föreslår att en kommitté tillsätts med uppdrag att utifrån polisens verksamhet och behov utarbeta ett lagförslag som förmår tillgodose skyddet för den personliga integriteten. Inspektionen anser att

den analys som ligger till grund för lagförslaget är bristfällig. Sveriges advokatsamfund anser att den föreslagna regleringen har utformats så att verkningarna från integritetsskyddssynpunkt blir synnerligen svåra att överblicka och att dessa behöver genomlysas ytterligare innan en ny reglering införs. Advokatsamfundet förordar ett mer samlat grepp för att komma till rätta med både det alltför stora antalet skilda lagar om myndigheters personuppgifts- och registerhantering och den bristande överensstämmelsen mellan grundläggande begrepp i dessa lagar. Justitiekanslern anser att det är svårt att bedöma förslaget på grund av brister i redovisningen av avvägningen mellan verksamhetsbehov och integritetsintressen. Justitiekanslern anser sig därför inte med tillräcklig grad av säkerhet kunna ställa sig bakom de enskilda förslagen i promemorian. Samtidigt anser sig Justitiekanslern inte ha tillräcklig grund för att rikta konkreta invändningar mot förslagen annat än vad gäller vissa gallringsfrister och personuppgiftsbehandling vid vissa yttrandefrihets- och tryckfrihetsbrott.

Skälen för regeringens bedömning och förslag

Allmänt om reformbehovet

Information är en av polisens viktigaste resurser för att uppnå statsmakternas mål i det brottsbekämpande arbetet. Sedan många år är modern informationsteknik en naturlig del i polisens arbete och numera utförs praktiskt taget allt polisarbete mer eller mindre med hjälp av sådan teknik. En väl utnyttjad informationsteknik är därför av stor betydelse för polisens möjligheter att bedriva sin verksamhet på ett effektivt och rättssäkert sätt. Samtidigt måste informationshanteringen ske med respekt för enskildas integritet.

Som både Polisdatautredningen och promemorian framhåller uppfyller dagens lagstiftning om behandling av personuppgifter i polisens brottsbekämpande verksamhet inte de krav som polisens verksamhet ställer på automatiserad behandling av uppgifter. Det finns även brister vad gäller skyddet för den personliga integriteten. En reform är därför nödvändig. Även remissinstanserna instämmer i behovet av reformering av gällande lagstiftning.

Polisdatalagen reglerar bara delar av personuppgiftsbehandlingen

En svaghet i den nuvarande regleringen är bl.a. att den bara täcker delar av personuppgiftsbehandlingen i den brottsbekämpande verksamheten. När polisdatalagen trädde i kraft den 1 april 1999 fördes ett stort antal av polisens register med stöd av Datainspektionens tillstånd enligt den numera upphävda datalagen. För att få möjlighet att anpassa dessa register till den nya lagstiftningen tilläts polisen under en begränsad tid att fortsätta att föra dem med stöd av de äldre bestämmelserna. Flera av registren har dock inte anpassats till polisdatalagen och bedömningen har gjorts att de inte kan föras med stöd av den lagen utan anpassning. Övergångsbestämmelserna till polisdatalagen har därför successivt förlängts

för att möjliggöra fortsatt behandling i registren, senast till utgången av år 2012 (prop. 2009/10:23).

Ett flertal av polisens register förs således fortfarande med stöd av den upphävda datalagen och Datainspektionens tillstånd. Som Datainspektionen framhåller innebär detta att polisens personuppgiftsbehandling styrs av två parallella regleringar, vilket skapar såväl tillämpningsproblem som en svåröverskådlig registerstruktur hos polisen. Det behövs därför en ny reglering som ersätter de nuvarande parallella systemen.

Behovet av en teknikneutral lagstiftning

Polisen lagrar personuppgifter i ett stort antal olika databaser. Samma personuppgift kan lagras på flera olika ställen, i olika register och ärendehanteringssystem. Rikspolisstyrelsen gör bedömningen att detta sätt att hantera uppgifter kan leda till kvalitetsbrister, vilket påtalas av styrelsen i en skrivelse till Justitiedepartementet (dnr Ju2007/478/PO). Rikspolisstyrelsen framhåller där att den nuvarande lagstiftningen bl.a. resulterat i en dubbel eller flerdubbel lagring av identiska personuppgifter. Samma eller i det närmaste samma uppgifter lagras i flera system eller register där syftet med behandlingen till vissa delar kan skilja sig åt. Detta för med sig att det uppstår en inkonsistens i informationen. Enligt Rikspolisstyrelsen är det i princip omöjligt för en informationsägare eller enskild handläggare att känna till alla de system där information om en person finns lagrad för att bl.a. genomföra rättningar och gallringar. I huvudsak samma uppgifter i olika register görs tillgängliga för den användare som getts behörighet till registren. Rikspolisstyrelsen påtalar att detta förhållande sammantaget med dubbellagring i ett stort antal register innebär att många enskilda handläggare har eller kan få tillgång till ett stort antal register och därmed också tillgång till mer information än vad som ursprungligen varit avsett. Detta försvårar också möjligheterna att kunna utreda vilken information en tjänsteman har eller har haft tillgång till. Rikspolisstyrelsen konstaterar att lagstiftarens ambition att med de metoder som valts skapa begränsningar för att skydda den enskildes integritet kan te sig fullgott men fungerar i praktiken mindre bra såväl för användaren som till skydd för integriteten. Styrelsen planerar en modernisering av polisens datasystem. Tanken är att de uppgifter som behandlas i polisens verksamhet ska lagras gemensamt på en plats i stället för i separata register. Uppgifterna ska alltså i princip inte registreras och lagras mer än en gång. Tillgången till uppgifterna ska i de allra flesta fall inte – såsom i polisens nuvarande system – vara beroende av att en uppgift finns i ett särskilt register utan vara avhängigt andra kriterier, hänförliga till uppgifterna som sådana och till användarens behörighet. Enligt Rikspolisstyrelsen kommer det planerade datasystemet att möjliggöra ett bättre integritetsskydd. Det blir bl.a. lättare att bygga upp behörighetssystem som gör det möjligt att enklare avgränsa en enskild tjänstemans tillgång till de uppgifter som han eller hon behöver för att kunna utföra sina arbetsuppgifter. Tjänstemannens behov av information kan därigenom tillgodoses på ett rättssäkert sätt. En annan fördel är att det blir enklare att hålla lagrad information uppdaterad och tillförlitlig, eftersom utgångspunkten är att varje uppgift ska lagras endast en eller ett fåtal gånger. Risken att upp-

gifter bevaras i systemet längre än nödvändigt minskar också. Enligt Rikspolisstyrelsen kommer det över huvud taget att bli lättare att med det nya systemet avgränsa, kontrollera och övervaka all elektronisk tillgång till uppgifter.

Rikspolisstyrelsens arbete med att förändra polisens datasystem har redan inletts. För att styrelsen ska kunna fullfölja det arbetet krävs det en mera teknikneutral lagstiftning som är mindre knuten till registerbegreppet än vad som är fallet med gällande rätt. Med en mera teknikneutral lagstiftning överlåts i större utsträckning till polisen att avgöra hur insamlade uppgifter ska struktureras och göras åtkomliga i verksamheten.

Utvecklingen går generellt mot att behandling av personuppgifter i traditionella register överges. Både registerbegreppet och begreppet databas har kritiserats i tidigare lagstiftningsärenden. Som exempel kan nämnas propositionen om Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling (prop. 2004/05:164 s. 60 f.). Skälen för detta är bl.a. att begreppen leder tanken till ett visst, i tekniskt avseende avgränsat, informationssystem där informationen har strukturerats på ett visst sätt. Behandling av personuppgifter kommer i framtiden i större utsträckning att ske i avancerade ärendehanteringssystem som länkas samman med varandra, ibland med digital dokumenthantering. I sådana system kan information struktureras på ett sådant sätt att systemet utöver att tjäna som ett verksamhetsstöd för ärendehanteringen även i praktiken tillgodoser samma behov som traditionella personregister genom att olika sökingångar skapas. Det huvudsakliga syftet med insamlingen av personuppgifter är i dessa fall utförandet av en viss arbetsuppgift, inte att registrera uppgifterna i ett personregister.

Det finns uppenbara nackdelar med att som nu behandla personuppgifter inom polisen i ett stort antal separata register. I en sådan struktur är det svårt att hålla alla uppgifter korrekta och uppdaterade. Det är vidare otidsenligt och resurskrävande att registrera samma uppgift flera gånger och att förvalta och administrera ett flertal olika system. Som Rikspolisstyrelsen framhåller är det mera ändamålsenligt att skapa ett system där utgångspunkten är att varje uppgift lagras endast på ett ställe och därifrån görs tillgänglig för olika berättigade ändamål. Uppgifter lagras då i större utsträckning i det sammanhang som de lagligen samlades in. Därmed blir det lättare att hålla en uppgift korrekt och uppdaterad samtidigt som det blir tydligare för den som får åtkomst till uppgiften varför uppgiften har samlats in och behandlas inom polisen.

Utgångspunkten bör således vara att skapa en så teknikneutral och flexibel lagstiftning som möjligt för polisens behandling av personuppgifter i den brottsbekämpande verksamheten. Ingen remissinstans har ifrågasatt denna utgångspunkt. Med en sådan lagstiftning skapas också möjligheter att komma till rätta med de av Rikspolisstyrelsen påtalade problemen beträffande bl.a. dubbellagring, tillgång till information, rättelse och gallring som dagens regelverk för med sig.

Den nya lagen bör således ge ramarna för polisens personuppgiftsbehandling utan att närmare reglera formerna för behandlingen. Detta innebär dock inte att polisen själv ska få avgöra vilken personuppgiftsbehandling som ska vara tillåten. En mer teknikneutral lagstiftning förutsätter att det – i syfte att värna den personliga integriteten – införs bestämmelser som reglerar polisens möjlighet att behandla personuppgifter.

Vidare måste det ställas höga krav på kontroll och tillsyn av verksamheten, både internt och externt.

Bättre förutsättningar för brottsförebyggande arbete och informationsutbyte

Ett effektivt brottsbekämpande arbete förutsätter att de brottsbekämpande myndigheterna har goda möjligheter att samla in och bearbeta information av olika slag. De uppgifter som behöver kunna samlas in och bearbetas är såväl uppgifter med anknytning till konkreta brott (dvs. uppgifter i brottsutredningar) som uppgifter som avser förväntad eller pågående brottslig verksamhet (dvs. uppgifter i kriminalunderrättelseverksamhet). Förutsättningarna för ett effektivt brottsbekämpande arbete har inte i alla avseenden beaktats vid utformningen av polisdatalagen, vilket lett till vissa tillämpningsproblem.

Ett exempel är oklarheterna kring begreppet kriminalunderrättelseverksamhet. Enligt den nuvarande lagstiftningen får uppgifter i sådan verksamhet behandlas endast under vissa förutsättningar. Behandling får ske

– om en särskild undersökning har inletts under ledning av Rikspolisstyrelsen eller en polismyndighet och det finns anledning att anta att allvarlig brottslighet har utövats eller kan komma att utövas, eller

– inom ramen för registrering i kriminalunderrättelseregister. Det har ifrågasatts om inte behandlingen av personuppgifter i vissa faktiskt existerande polisregister till viss del utgör kriminalunderrättelseverksamhet i polisdatalagens mening. Behandlingen skulle därmed vara tillåten bara inom ramen för en särskild undersökning eller i kriminalunderrättelseregister. Det är vidare osäkert i vilken utsträckning behandling av underrättelseuppgifter får ske lokalt, dvs. av en enskild tjänsteman genom användning av ordbehandling och e-post m.m. samt genom digital bild- och ljudupptagning. Det finns alltså behov av en reglering som undanröjer dessa och andra oklarheter.

Utvecklingen av polisverksamheten förutsätter, vilket Rikspolisstyrelsen poängterar, att polisen i större utsträckning tillåts att behandla personuppgifter för brottsförebyggande ändamål. Sådan behandling sker främst inom ramen för kriminalunderrättelseverksamhet. Enligt äldre synsätt skulle polisens brottsbekämpande verksamhet väsentligen vara reaktivt inriktad. Utgångspunkten var att polisen skulle ägna sig åt att utreda misstankar om konkreta brott och att personer som inte var misstänkta för konkreta brott skulle lämnas i fred. Denna utgångspunkt har övergetts och polisen arbetar sedan länge även proaktivt. Detta arbetssätt förutsätter behandling av uppgifter om misstankar mot enskilda personer redan vid en låg grad av misstanke och även om misstanken inte kunnat preciseras till att avse en viss specifik händelse eller gärning. Polisen har utvecklat en modell för ledning och styrning av verksamheten där polisens kriminalunderrättelseverksamhet spelar en avgörande roll, polisens underrättelsemodell (PUM). Modellen innebär att de polisiära underrättelser och de analyser som kriminalunderrättelseverksamheten tar fram ska ligga till grund för ledningens prioriteringar och inriktning av den operativa verksamheten. Kunskapen används för att polisen på alla nivåer ska kunna göra riktiga prioriteringar och använda adekvata operativa

metoder och resurser för olika typer av problem. Som Polisdatautredningen konstaterar ligger det i sakens natur att en brottsförebyggande arbetsmetod innebär en ökad risk för intrång i den enskildes personliga integritet jämfört med ett reaktivt arbetssätt, men att detta måste vägas mot effektiviteten i brottsbekämpningen (SOU 2001:92 s. 113). Regeringen delar denna uppfattning och anser vid en samlad bedömning att polisen bör ges ökat utrymme att behandla information i sitt brottsförebyggande arbete.

Polisen bör generellt ges bättre möjligheter att utnyttja den information och kunskap som finns inom den samlade organisationen. Flera av polisens nuvarande register förs lokalt vid respektive polismyndighet och åtkomsten till registren begränsas i regel till tjänstemän vid den egna myndigheten. Som exempel kan nämnas att polisen i princip endast har tillgång till de brottsanmälningar som gjorts i det egna polisdistriktet, eftersom varje polismyndighet har sitt eget register över brottsanmälningar (Rationell anmälningsrutin; RAR). På samma sätt förekommer det att olika organisatoriska enheter inom en myndighet inte har tillgång till insamlad information på ett effektivt och ändamålsenligt sätt. Sammantaget bör enligt regeringens mening polisen ges bättre möjligheter att ta till vara och tillgängliggöra den samlade informationen inom polisen. Utgångspunkten bör vara att behovet av information ska styra tillgången till uppgifterna. Tillgången ska inte vara beroende av var informationen har samlats in eller lagrats.

Bättre förutsättningar för att samverka i brottsbekämpningen

Från brottsbekämpningssynpunkt är det angeläget att samhällets samlade resurser används rationellt och effektivt. En väl utvecklad samverkan mellan de brottsbekämpande myndigheterna ger bättre förutsättningar att förhindra och klara upp brott, inte minst grova brott. Detta framhålls bl.a. i departementspromemorian Nationell mobilisering mot den grova organiserade brottsligheten – överväganden och förslag (Ds 2008:38), i vilken lämnas förslag på åtgärder som syftar till att lägga grunden till en effektivare och mer uthållig bekämpning av den grova organiserade brottsligheten.

En utgångspunkt för den nya lagstiftningen måste vara att, med beaktande av befogade krav på skydd för enskildas integritet, var och en av de brottsbekämpande myndigheterna kan få tillgång till uppgifter från andra brottsbekämpande myndigheter, i den mån uppgifterna behövs i verksamheten.

Ett stort antal av remissinstanserna har välkomnat promemorians tydliga målsättning att möjliggöra ett utökat och mer effektivt informationsutbyte mellan de brottsbekämpande myndigheterna.

Den grova brottsligheten är också ofta gränsöverskridande. Det internationella polisiära samarbetet är därför av stor betydelse för möjligheten att bekämpa sådan brottslighet. Sverige har i olika internationella överenskommelser förbundit sig att bistå andra länder med brottsbekämpande åtgärder av skilda slag. En ny reglering av polisens behandling av personuppgifter i den brottsbekämpande verksamheten bör därför ge polisen

goda möjligheter att utbyta information inom ramen för det internationella samarbetet.

En utvecklad samverkan är också utgångspunkten för det arbete som sedan mitten av 1990-talet bedrivs av Rådet för rättsväsendets informationsförsörjning (RIF). Arbetet syftar bl.a. till en gemensam säkerhets- och kommunikationslösning mellan myndigheterna i rådet.

Bör promemorians förslag ligga till grund för lagstiftning eller krävs det ytterligare överväganden?

Några remissinstanser kritiserar promemorians förslag. Datainspektionen, Sveriges advokatsamfund och Justitiekanslern anser bl.a. att promemorian brister i redovisningen av avvägningen mellan verksamhetsintressen och integritetsskyddsintressen. Både Datainspektionen och Sveriges advokatsamfund förordar att frågorna utreds ytterligare. Några remissinstanser som i och för sig ställer sig bakom förslaget i stort, bl.a.

Kammarrätten i Stockholm och Säkerhetspolisen, pekar på att det är svårt att överblicka de sammantagna konsekvenserna av förslaget. Andra remissinstanser, bl.a. Rikspolisstyrelsen och Åklagarmyndigheten, anser att promemorians lagförslag är för detaljerat och svårtillgängligt och att det i alltför stor utsträckning begränsar polisens möjlighet att behandla personuppgifter.

Det finns flera skäl till att det är komplicerat att utforma lagstiftning som reglerar behandlingen av personuppgifter i polisens brottsbekämpande verksamhet. Polisens verksamhet består av en mängd disparata uppgifter. Polisen hanterar också i stor utsträckning integritetskänslig information. Det är svårt att hitta en optimal balans mellan verksamhetsintressen och integritetsskyddsintressen. Det är därför inte förvånande att de brottsbekämpande myndigheterna å ena sidan och de myndigheter som har till huvuduppgift att värna den personliga integriteten å den andra har framfört diametralt olika kritiska synpunkter mot förslaget.

I och med att i stort sett all informationshantering inom polisen sker med stöd av datorer och att informationen i stor utsträckning innehåller personuppgifter är det ofrånkomligt att en personuppgiftslag påverkar polisens arbetssätt. En alltför detaljerad och begränsande reglering skulle enligt regeringens mening kunna försämra polisens förutsättningar att bekämpa brott. Från integritetsskyddssynpunkt är det dock uteslutet att helt överlåta åt polisen att utifrån verksamhetsintressen själv avgöra vilken behandling av personuppgifter som bör få ske.

En annan omständighet som gör lagstiftningsarbetet på området komplicerat är den ständigt pågående tekniska utvecklingen. Nya möjligheter att hantera information skapas fortlöpande vilket medför att bl.a. begreppsbildning snabbt blir inaktuell. Äldre lagstiftning och i viss mån även dataskyddsprinciper utgår t.ex. i stor utsträckning från att personuppgifter lagras och struktureras i särskilda register för särskilt angivna ändamål. Moderna system skapas inte på detta sätt. Utvecklingen går t.ex. mot att hela aktmaterial behandlas digitalt. En ny lagstiftning på området måste förhålla sig till att det numera finns tekniska möjligheter att lagra mycket stora mängder uppgifter under i stort sett obegränsad tid, att uppgifterna kan göras tillgängliga genom avancerade sökmotorer och

att olika uppgiftssamlingar kan länkas samman på ett otal olika sätt, att uppgifterna kan göras tillgängliga via olika former av mobil utrustning, att insamling och överföring av ljud och bild kan ske digitalt och att uppgifter kan bearbetas i avancerade analyssystem. Det ligger i sakens natur att det inte i detalj går att lagreglera hur polisen och andra myndigheter ska få hantera information digitalt. Utgångspunkten måste i stället vara att skapa generella bestämmelser till skydd för den personliga integriteten.

Frågan är då om det behövs ytterligare beredningsunderlag i detta lagstiftningsärende, vilket bl.a. Datainspektionen anser. Som underlag för arbetet finns dels Polisdatautredningens betänkande, dels en departementspromemoria som tagits fram inom Justitiedepartementet. Såväl betänkandet som promemorian har remissbehandlats. Vid utarbetandet av departementspromemorian har man övervägt det som framkommit i remissvaren på Polisdatautredningens betänkande. Likaså har betänkanden och lagstiftning på angränsande områden studerats, t.ex. beträffande Tullverket, Försvarsmakten och Kustbevakningen. Ett flertal bestämmelser i promemorians lagförslag svarar mot bestämmelser i motsvarande reglering för dessa myndigheter och förslagets struktur liknar i flera avseenden bl.a. Tullverkets lagstiftning om behandling av uppgifter i dess brottsbekämpande verksamhet. Det beredningsunderlag som nu finns motsvarar väl det krav som bör ställas på underlaget i ett lagstiftningsprojekt av detta slag. Det saknas därför skäl att inhämta ytterligare beredningsunderlag. Det kan dock finnas skäl att i annat sammanhang försöka uppnå större enhetlighet i begreppsbildningen på registerlagstiftningens område, vilket Sveriges advokatsamfund förordar.

Flera remissinstanser framför uppfattningen att det är svårt att fullt ut överblicka de sammantagna konsekvenserna av en ny lagstiftning om behandling av personuppgifter i polisens brottsbekämpande verksamhet. Att ställa ett sådant krav på en lagstiftning av detta slag låter sig dock svårligen göras. Komplex lagstiftning måste enligt regeringens mening kunna beslutas och genomföras utan att varje enskildhet kan förutses.

Lagrådet har instämt i denna bedömning. Det är emellertid viktigt att lagstiftningen utvärderas, vilket diskuteras i avsnitt 17.3.

Den kritik som framställs av remissinstanserna, både den mer övergripande och den som rör enskildheter i förslaget, kommer att beröras i de följande avsnitten.

En ny lag om behandling av personuppgifter inom polisen

Personuppgiftslagen gäller generellt för all behandling av personuppgifter, såvida det inte finns en särskild registerförfattning för viss behandling. I det lagstiftningsärende som föregick personuppgiftslagen uttalade regeringen att lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar (prop. 1997/98:44 s. 40 f.). Sådan författningsreglering, genom s.k. registerlagar, har skett utifrån det principiella ställningstagandet att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör regleras i lag. Registerförfattningar finns för ett flertal olika myndigheters verksamheter, bl.a.

för övriga myndigheter med brottsbekämpande uppgifter. För polisens del utgör bl.a. polisdatalagen en sådan lag.

Det finns inget skäl att nu göra någon annan bedömning när det gäller behovet av en särlagstiftning för polisens behandling av personuppgifter i den brottsbekämpande verksamheten. Det bör alltså även i fortsättningen finnas en särskild lag för sådan behandling. För att bättre tillgodose kravet på en effektiv brottsbekämpande verksamhet som också väl tillgodoser skyddet för den personliga integriteten bör den nuvarande polisdatalagen ersättas med en ny lag.

Polisdatautredningen föreslår att den nya lagen i likhet med den nuvarande ska benämnas polisdatalag, medan promemorian föreslår ett namn som knyter an till benämningarna på de författningar som gäller bl.a. för personuppgiftsbehandling i Tullverkets och Skatteverkets brottsbekämpande verksamhet, nämligen behandling av personuppgifter i polisens brottsbekämpande verksamhet. I lagrådsremissen benämns den nya lagen på det sätt som promemorian föreslår. Enligt Lagrådet är den föreslagna rubriken för lång och intetsägande och klargör inte att lagen handlar om registerfrågor. Ett alternativ som Lagrådet förordar är att lagen i likhet med den nuvarande lagen benämns polisdatalag. Regeringen har ingen invändning mot detta, eftersom det är praktiskt med ett kort namn som ändå ger rimlig vägledning om vad lagen handlar om. Då det också finns anledning att utgå från att den nya lagen i vardagligt språkbruk kommer att kallas polisdatalagen framstår den benämningen som lämpligast.

Hänvisningar till S6-1

6.2. Lagens syfte och skyddet för den personliga integriteten

Regeringens förslag: Syftet med denna lag ska vara att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Utredningens förslag överensstämmer med promemorians. Remissinstanserna har inte yttrat sig särskilt i frågan. Promemorians förslag överensstämmer i huvudsak med regeringens.

Promemorian föreslår dock en annan utformning av bestämmelsen om lagens syfte.

Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot promemorians förslag och bedömning. Några remissinstanser, däribland Kammarrätten i Stockholm, Ekobrottsmyndigheten och Rikspolisstyrelsen, anser dock att det i författningstexten uttryckligen bör anges att lagen, utöver att skydda den personliga integriteten, också syftar till att främja en effektiv brottsbekämpning.

Skälen för regeringens förslag: En effektiv och rättssäker brottsbekämpning förutsätter att polisen har ett bra verksamhetsstöd i form av en väl fungerande informationsteknik. Polisen måste i olika typer av utredningar och undersökningar ha möjlighet att samla in, registrera, behandla och lagra uppgifter av vitt skilda slag, bl.a. om misstänkta, målsägande, vittnen och andra personer. Uppgifter måste också vid behov kunna till-

handahållas elektroniskt till ett större antal personer vid en eller flera polismyndigheter eller andra brottsbekämpande myndigheter. Åklagare som leder förundersökningar kan t.ex. ha behov av att elektroniskt få tillgång till uppgifter från polisen. Uppgifter måste också – inom ramen för det internationella samarbetet – kunna utbytas elektroniskt med brottsbekämpande myndigheter i andra länder.

Hantering av personuppgifter på det nu beskrivna sättet kan innebära en risk för intrång i den personliga integriteten. Det är viktigt att hitta en väl avvägd balans mellan å ena sidan skyddet för den personliga integriteten och å andra sidan samhällets rättmätiga krav på att brott förebyggs och förhindras samt att brott utreds och personer som begår brott lagförs. Att brott utreds och att misstänkta lagförs är ett uttryck för att statsmakterna menar allvar med straffbuden och beaktar brottsoffrens intresse. Intrång i den personliga integriteten måste dock alltid stå i rimlig proportion till det intresse som ska tillgodoses med behandlingen av personuppgifterna.

De grundläggande bestämmelserna till skydd för den personliga integriteten finns i regeringsformen och det är i första hand personuppgiftslagen (1998:204) som ska tillgodose regeringsformens krav i fråga om integritetsskydd i automatiserad personuppgiftsbehandling, se avsnitt 4.1. Personuppgiftslagen kompletteras, såvitt nu är av intresse, av polisdatalagen (1998:622). Integritetsskyddande bestämmelser om utlämnande av personuppgifter finns även i övriga registerlagar som reglerar polisens register, liksom i offentlighets- och sekretesslagen.

Uttrycket personlig integritet är inte definierat vare sig i lag eller annan författning. Ett sätt att beskriva innebörden av detta är dock att skilja mellan olika former av handlanden som kan anses kränka den personliga integriteten. Man kan då sortera in handlanden som utgör intrång i integriteten i tre huvudkategorier: 1) intrång i en persons privata sfär, oavsett om det sker i fysisk eller annan mening; 2) insamlande av uppgifter om en persons privata förhållanden; 3) offentliggörande eller annan användning av uppgifter om en persons privata förhållanden (se Stig Strömholm, SvJT 1971 s. 695 och Individens skyddade personlighetssfär i Om våra rättigheter. Antologi utgiven av Rättsfonden, 1980, samt Integritetsskyddskommitténs delbetänkande Skyddet för den personliga integriteten. Kartläggning och analys. Del 1 [SOU 2007:22] s. 52 f.). Ett annat sätt att beskriva begreppet är att skilja mellan olika former av integritet med utgångspunkt från bl.a. de grundläggande fri- och rättigheterna i 2 kap. regeringsformen (se t.ex. SOU 1984:54 s. 42). Med denna utgångspunkt utgör regler om dataskydd bestämmelser som tar sikte på den personliga integriteten när det gäller respekten för privatlivet. Bestämmelser om skydd för privatlivet kan också sägas vara inriktade på att tillvarata integriteten i ideell mening (se SOU 1992:84 s. 187). Gemensamt för beskrivningarna synes vara att de alla utgår från att en kränkning av integriteten innebär ett oönskat intrång i en fredad sfär som den enskilde bör vara tillförsäkrad (prop. 2005/06:173 s. 15).

Även om det alltså inte är möjligt att entydigt definiera vad som avses med begreppet personlig integritet torde det stå klart att vissa faktorer är särskilt viktiga att ta hänsyn till när det gäller att bedöma intrånget i den personliga integriteten vid automatiserad behandling av personuppgifter. Sådana faktorer är arten av de personuppgifter som ska få behandlas,

vilka som ska ha tillgång till uppgifterna – genom direktåtkomst eller på annat sätt –, hur sökning ska få ske, hur lång tid personuppgifterna ska få sparas samt vilken kontroll av verksamheten som finns. Ju fler uppgifter som får behandlas, ju större möjligheter till sammanställningar och sökningar som ges och ju längre tid som uppgifterna får sparas, desto större är, typiskt sett, risken för integritetsintrång. Ju större risken för intrång är, desto mer angeläget måste ändamålet med personuppgiftsbehandlingen vara.

I 2 kap. 12 § andra stycket regeringsformen föreskrivs en proportionalitetsprincip som innebär att viss rättighetsinskränkande lagstiftning aldrig får gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Även om bestämmelsen inte gäller för 2 kap. 3 § andra stycket regeringsformen, som reglerar integritetsskyddet vid automatisk behandling av personuppgifter, anses det att en proportionalitetsprincip i vid mening gäller för all lagstiftning som inskränker de grundläggande fri- och rättigheterna. En proportionalitetsprincip finns också i Europakonventionens artikel 8, som reglerar rätten till skydd för privat- och familjeliv.

Mot bakgrund av det ovan sagda måste den närmare utformningen av de nya bestämmelserna om behandling av personuppgifter i polisens brottsbekämpande verksamhet föregås av en avvägning mellan å ena sidan intresset av en effektiv brottsbekämpning och å andra sidan intresset av skydd för den personliga integriteten. Vid den avvägningen finns det anledning att hålla i minnet att de uppgifter som kan bli aktuella att behandla ofta är särskilt integritetskänsliga, dels därför att de kan peka ut personer såsom misstänkta för brott, dels därför att de inte sällan rör enskildas personliga sfär. Blotta det förhållandet att omfattande uppgifter om en enskilds privata förhållanden kan komma att sammanställas och göras tillgängliga inom polisens verksamhet kan uppfattas som ett integritetsintrång.

I de följande avsnitten diskuteras ingående hur polisens behov av att kunna behandla vissa uppgifter lämpligen bör vägas mot behovet av skydd för den personliga integriteten. I dessa avsnitt behandlas också den kritik som bl.a. Datainspektionen framför mot promemorians förslag när det gäller skyddet för den personliga integriteten. Det finns dock skäl att redan här redovisa några allmänna utgångspunkter för övervägandena.

Det är till att börja med viktigt att den nya lagen tydligt anger för vilka ändamål behandling av personuppgifter ska få ske. Vidare bör det, på samma sätt som nu, finnas särskilda bestämmelser som begränsar möjligheterna att behandla s.k. känsliga personuppgifter, dvs. uppgifter om någons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Risken för otillbörliga intrång i den personliga integriteten är självfallet större när uppgifter registreras och lagras på ett sådant sätt att flera personer vid en eller flera myndigheter har möjlighet att ta del av dem, än när en enskild tjänsteman behandlar uppgifter vid sin egen dator utan att någon annan har åtkomst till uppgifterna. Det bör därför i lagen införas mera inskränkande bestämmelser för sådan behandling av personuppgifter som innebär att uppgifterna görs åtkomliga för en större krets – görs gemensamt tillgängliga – i den brottsbekämpande verksamheten än för

behandling av personuppgifter som inte har gjorts gemensamt tillgängliga.

En förutsättning för att polisen ska kunna bedriva ett effektivt brottsförebyggande arbete är att polisen får behandla uppgifter om personer som inte är misstänkta för något konkret brott, men ändå misstänks ägna sig åt brottslig verksamhet. Att ge polisen möjlighet att bygga upp samlingar av uppgifter om enskilda, utan att det finns någon anknytning till ett visst brott, kan emellertid inge betänkligheter från integritetssynpunkt. En utgångspunkt bör därför vara att det bör gälla större restriktivitet för behandlingen av uppgifter som inte har samband med ett konkret brott än för behandlingen av uppgifter som behövs för att utreda och beivra ett visst brott.

I ett integritetsskyddsperspektiv är det också viktigt att särskilja olika typer av uppgifter. Det är särskilt viktigt att det inte uppstår oklarheter om huruvida den person som en behandlad uppgift rör är misstänkt eller inte. Detta kommer bl.a. till uttryck i Europarådets rekommendation No. R (87) 15 om användningen av personuppgifter inom polissektorn (se avsnitt 4.2.3). En utgångspunkt för den nya lagstiftningen bör vara att det ska framgå huruvida behandlingen sker för att personen är misstänkt eller inte. Likaså bör tillförlitligheten av behandlade uppgifter kunna utläsas, exempelvis om informationen består av kontrollerade fakta eller av endast antaganden eller obekräftade påståenden.

När det bedöms vilket intrång i den personliga integriteten som olika former av behandling av personuppgifter innefattar, finns det anledning att särskilt beakta i vilken utsträckning uppgifterna kan användas för sökning och sammanställning. Ju större möjligheter det finns att söka och sammanställa insamlade och lagrade uppgifter, desto större är risken för att behandlingen av personuppgifter leder till intrång i de registrerades personliga integritet. Mot denna bakgrund bör utgångspunkten vara att reglerna utformas så att endast en viss, begränsad, information erhålls initialt när namn eller personnummer eller andra liknande identitetsbeteckningar, som kan hänföras till en bestämd individ, används som sökbegrepp i polisens brottsbekämpande verksamhet.

Som redan nämnts måste de brottsbekämpande myndigheterna kunna utbyta information sinsemellan och, i viss utsträckning, lämna information till andra myndigheter. För att kunna utbyta uppgifter på ett effektivt och rättssäkert sätt behöver myndigheterna kunna utnyttja tillgängliga tekniska hjälpmedel. Av särskild betydelse är möjligheten att vid behov snabbt kunna få tillgång till uppgifter hos andra myndigheter på automatiserad väg, exempelvis genom direktåtkomst. En sådan möjlighet kan dock innebära ökade risker för integritetsintrång. Det beror framför allt på att system för direktåtkomst normalt medför att antalet personer som har tillgång till uppgifterna blir större. För att förhindra att uppgifter blir tillgängliga i andra myndigheters verksamhet även i situationer när detta inte är nödvändigt av verksamhetsskäl i det enskilda fallet bör tillgången till automatiserad information begränsas så att endast den som behöver en viss uppgift för att kunna fullgöra sina arbetsuppgifter kan få tillgång till den genom direktåtkomst.

Från brottsbekämpningssynpunkt kan det ibland vara av värde att uppgifter bevaras under en längre tid. För den enskilde kan emellertid ett sådant bevarande innebära att integritetsintrånget består. Att uppgifterna

bevaras under lång tid medför också att den totala mängden information om en person kan komma att öka, vilket kan vara negativt från integritetsskyddssynpunkt. Det är därför nödvändigt att utforma den nya lagens bestämmelser om gallring så att personuppgifter inte bevaras under längre tid än vad som behövs.

I promemorian föreslås att bestämmelsen som anger lagens syfte utformas på samma sätt som motsvarande bestämmelse i personuppgiftslagen. Några remissinstanser, bl.a. Kammarrätten i Stockholm, Ekobrottsmyndigheten och Rikspolisstyrelsen, anser att det bör förtydligas att lagens syfte inte endast är att skydda den personliga integriteten vid personuppgiftsbehandling inom polisen utan även att främja en effektiv brottsbekämpning. Som nämnts förutsätter samhällets rättmätiga krav på ett rättssäkert och effektivt brottsbekämpande arbete bl.a. att polisen ges möjlighet att behandla personuppgifter på ett ändamålsenligt sätt med hjälp av väl fungerande informationsteknik. Samtidigt måste skyddet av den enskildes personliga integritet värnas. Båda dessa utgångspunkter är enligt regeringens mening väsentliga för den nya lagen. Mot denna bakgrund bör det i lagen komma till uttryck att dess övergripande syfte inte bara är att skydda den enskildes personliga integritet utan även att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i den brottsbekämpande verksamheten. I lagrådsremissen föreslås en bestämmelse där båda dessa syften anges. Lagrådet har invänt att den föreslagna formuleringen av bestämmelsen ger intryck av att lagen i första hand är avsedd att förstärka integritetsskyddet och endast i andra hand att ge polisen möjligheter att på ett effektivt sätt utnyttja personuppgifter i sin brottsbekämpande verksamhet. Som framgått ovan anser regeringen att båda perspektiven är väsentliga, utan att ange någon inbördes ordning mellan dessa. Regeringen godtar emellertid Lagrådets invändning, varför bestämmelsen bör formuleras om med beaktande av Lagrådets synpunkter.

Hänvisningar till S6-2

  • Prop. 2009/10:85: Avsnitt 22.1

6.3. Lagens tillämpningsområde

Regeringens förslag: Den nya lagen ska gälla vid behandling av personuppgifter i polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten. Den personuppgiftsbehandling som sker med stöd av de särskilda lagarna om belastningsregister, misstankeregister, Schengens informationssystem samt passagerarregister ska dock inte omfattas av den nya lagen.

Lagen ska inte heller gälla för personuppgiftsbehandling i polisens vapenregister eller i det allmänna spaningsregistret.

Lagen ska innehålla vissa bestämmelser om behandling av uppgifter om juridiska personer.

Utredningens förslag överensstämmer delvis med promemorians. Utredningen föreslår dock inte att lagen ska omfatta polisverksamhet vid

Ekobrottsmyndigheten eller behandling av uppgifter om juridiska personer. Utredningen föreslår att lagen, liksom polisdatalagen, ska omfatta all den personuppgiftsbehandling som faller in under 2 § 1–3 polislagen

(1984:387). Utredningen föreslår dock ett generellt undantag för insamling genom bild och ljud.

Remissinstanserna har i huvudsak inte haft någon invändning mot utredningens förslag i denna del. Rikspolisstyrelsen har dock ansett att den nya lagen ska omfatta all polisverksamhet enligt 2 § polislagen, dvs. även punkterna 4 och 5.

Promemorians förslag överensstämmer i huvudsak med regeringens.

Promemorian undantar dock insamling av personuppgifter genom hemlig teleavlyssning, hemlig teleövervakning, hemlig rumsavlyssning samt allmän och hemlig kameraövervakning från lagens tillämpningsområde. Promemorian behandlar inte frågan om lagens tillämpning på vapenregistren.

Remissinstanserna: Majoriteten av remissinstanserna har inga invändningar mot promemorians förslag. Några remissinstanser, däribland

Kammarrätten i Stockholm och Tullverket, efterlyser dock en närmare motivering till varför insamling av uppgifter genom bl.a. hemliga tvångsmedel har undantagits från lagens tillämpningsområde. Rikspolisstyrelsen anser att lagen inte bör gälla vid något slag av insamling av personuppgifter i form av bild och ljud förrän åtgärder vidtagits för att göra uppgifterna tillgängliga i presentabelt skick. Styrelsen anser vidare att beskrivningen i promemorian av polisens brottsbekämpande verksamhet inte är helt korrekt, bl.a. med hänsyn till att polisen inte längre bedriver någon allmän övervakningsverksamhet. Kustbevakningen påpekar att det är svårt att dra en gräns mellan ordningshållande uppgifter och brottsbekämpande verksamhet. Åklagarmyndigheten och Rikspolisstyrelsen ifrågasätter om behandling av uppgifter om juridiska personer ska omfattas av lagen.

Statens kriminaltekniska laboratorium anser att den nya lagen även bör gälla för laboratoriet eftersom myndigheten ingår i polisen. Säkerhetspolisen anser att det bör klargöras när myndigheten omfattas av lagens bestämmelser och avstyrker att myndigheten i vissa fall inte direkt anges i bestämmelserna utan i stället har ställning som polismyndighet alternativt Rikspolisstyrelsen.

Skälen för regeringens förslag

Myndigheter som ska omfattas av lagen

Polisdatalagen gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten. Motsvarande bör gälla för den nya lagen. Statens kriminaltekniska laboratorium anser att även laboratoriet bör omfattas av den nya lagen eftersom det ingår i polisen.

Statens kriminaltekniska laboratorium är en del av polisväsendet och är en självständig myndighet med Rikspolisstyrelsen som chefsmyndighet. Laboratoriets huvudsakliga uppdrag är att utföra kriminaltekniska undersökningar som föranleds av misstanke om brott. Myndigheten ansvarar även för forskning, utveckling, information, utbildning samt stöd och service inom hela det kriminaltekniska området. Vid bedömningen av om myndigheten ska omfattas av lagen bör det beaktas dels att verksamheten inte är brottsbekämpande i vedertagen mening, dels att myndighetens

personal inte är polismän utan specialister inom sina respektive verksamhetsområden och inte har traditionella polisiära uppgifter eller befogenheter utan arbetar som en sorts sakkunnigt biträde och expertorgan åt polismyndigheterna. Detta talar emot att laboratoriet ska omfattas av en reglering som motiveras av de särskilda krav som ställs på personuppgiftsbehandling i polisens brottsbekämpande verksamhet. Det är vidare viktigt att betona att när laboratoriet hanterar DNA-registren i egenskap av personuppgiftsbiträde åt Rikspolisstyrelsen är laboratoriet skyldigt att följa aktuella bestämmelser i den nya lagen. Utöver hanteringen av DNA-registren är den personuppgiftsbehandling som sker vid laboratoriet relativt begränsad och åtkomsten till behandlade uppgifter i huvudsak förbehållen dess egen personal. Mot denna bakgrund delar regeringen den bedömning som både Polisdatautredningen och promemorian gör att lagen inte bör omfatta Statens kriminaltekniska laboratorium. Med hänsyn till bl.a. den snabba utvecklingen på området för kriminalteknik kan det emellertid finnas anledning att i ett annat sammanhang överväga behovet av att särskilt författningsreglera personuppgiftsbehandlingen vid laboratoriet.

Säkerhetspolisen anser att det bör tydliggöras vilka av lagens bestämmelser som är tillämpliga på dess verksamhet. Inledningsvis kan konstateras att Säkerhetspolisen utgör en del av Rikspolisstyrelsen. Det saknas därför skäl att särskilt omnämna Säkerhetspolisen i författningstexten annat än när bestämmelserna tar sikte på just den verksamhet som bedrivs där. Behandlingen av personuppgifter vid Säkerhetspolisen bör regleras i ett särskilt kapitel i den nya lagen, vilket utvecklas i avsnitt 16.

I bestämmelserna i det kapitlet bör Säkerhetspolisen naturligtvis nämnas särskilt eftersom bestämmelserna endast tar sikte på behandlingen av personuppgifter vid Säkerhetspolisen. I kapitlet bör det hänvisas till övriga bestämmelser i den nya lagen som ska vara tillämpliga på Säkerhetspolisens behandling av personuppgifter.

De kapitel i lagen som reglerar personuppgiftsbehandling vid polisen i övrigt föreslås bl.a. innehålla bestämmelser som reglerar möjligheten att behandla uppgifter för att tillhandahålla information till andra. Det rör sig om bestämmelser om sekundära ändamål, sekretessbrytande bestämmelser och bestämmelser om direktåtkomst. I sådana bestämmelser omnämns mottagande myndigheter, t.ex. de myndigheter som får beviljas direktåtkomst. Eftersom exempelvis en polismyndighet bör kunna lämna ut uppgifter till Rikspolisstyrelsen och bevilja myndigheten direktåtkomst måste Rikspolisstyrelsen anges som mottagare i vissa bestämmelser.

I sådana bestämmelser som reglerar t.ex. vilka myndigheter som kan vara mottagare av personuppgifter saknas det skäl att nämna Säkerhetspolisen särskilt, eftersom den utgör en del av Rikspolisstyrelsen. Av 7 § polislagen följer att när Rikspolisstyrelsen leder polisverksamhet ska vad som i lag eller annan författning föreskrivs om polismyndighet i tillämpliga delar gälla även Rikspolisstyrelsen. Detta innebär att Säkerhetspolisen när den som en del av Rikspolisstyrelsen leder polisverksamhet för att förebygga och avslöja brott omfattas av begreppet polismyndighet i bestämmelser som anger polismyndighet som mottagande myndighet. I författningskommentaren till de aktuella bestämmelserna utvecklas detta ytterligare. I sammanhanget bör understrykas att det är polisen i övrigt,

och inte Säkerhetspolisen, som ska tillämpa de aktuella bestämmelserna och som har att bedöma bl.a. i vilken utsträckning som Säkerhetspolisen ska medges direktåtkomst.

Polisverksamhet som ska omfattas av lagen

I 1 § första stycket polisdatalagen sägs att lagen gäller vid behandling av personuppgifter i polisens verksamhet för att (1) förebygga brott och andra störningar av den allmänna ordningen och säkerheten, (2) övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när sådana inträffat, eller (3) bedriva spaning och utredning i fråga om brott som hör under allmänt åtal. Lagens tillämpningsområde motsvarar polisens uppgifter som de beskrivs i 2 § 1–3 polislagen. Polisdatalagen omfattar således inte personuppgiftsbehandling inom sådan polisverksamhet som faller under 2 § 4 och 5 polislagen, dvs. verksamhet som består i att lämna allmänheten skydd, upplysningar och annan hjälp samt annan verksamhet som ankommer på polisen enligt särskilda bestämmelser. Sådan personuppgiftsbehandling regleras av bestämmelserna i personuppgiftslagen.

Polisdatautredningen föreslår att den nya lagen ska ha samma tillämpningsområde som polisdatalagen, dvs. omfatta polisens uppgifter som de beskrivs i 2 § 1–3 polislagen. Promemorian väljer en annan lösning och föreslår att lagen ska vara tillämplig i polisens brottsbekämpande verksamhet, vilket enligt promemorian innebär ett något snävare tillämpningsområde än det nuvarande. Ett tredje alternativ skulle kunna vara att låta lagen omfatta all personuppgiftsbehandling i polisens verksamhet.

Vid valet mellan dessa alternativ bör det beaktas vilka omständigheter som gör att personuppgiftslagens allmänna regler inte är ändamålsenliga vid personuppgiftsbehandling i polisiär verksamhet. Här finns det anledning att peka på flera olika förhållanden. För det första är det nödvändigt att i polisiär verksamhet behandla en stor mängd uppgifter som, typiskt sett, är känsliga till sin natur och inte bör ges en vidare spridning. För det andra gör sig särskilt starka samhällsintressen gällande inom delar av polisens verksamhet, vilket medför att sedvanliga avvägningar mellan berörda intressen i viss mån måste göras på ett sätt som tillåter större intrång i integriteten än vad som annars hade kunnat tillåtas. Omständigheter av detta slag kan göra det befogat med särskilda – från personuppgiftslagen avvikande – bestämmelser om personuppgiftsbehandling. Det sagda gäller dock i varierande grad beträffande olika delar av polisens verksamhet. Vidare ska det beaktas att svensk lagstiftning måste vara förenlig med dataskyddsdirektivet inom dess tillämpningsområde. I den utsträckning polisens verksamhet som den beskrivs i 2 § polislagen omfattas av gemenskapsrätten är det därför nödvändigt att säkerställa att lagen uppfyller de krav som direktivet ställer upp. I dataskyddsdirektivets artikel 3.2 undantas från direktivets tillämpningsområde bl.a. behandling av personuppgifter som rör allmän säkerhet, statens säkerhet och statens verksamhet på straffrättens område. För att uppfylla direktivets krav bör personuppgiftslagen tillämpas på verksamhet som inte är undantagen från direktivets tillämpningsområde.

Behovet av en särreglering av behandlingen av personuppgifter är tydligast på det brottsbekämpande området. I annan polisverksamhet, t.ex. tillståndsgivning av olika slag, är behovet av särregler i förhållande till personuppgiftslagen litet eller obefintligt. Det skulle i och för sig ha ett visst praktiskt värde om all personuppgiftsbehandling inom polisen reglerades av en och samma lag, eftersom man därigenom skulle undvika vissa gränsdragningsproblem. Något mer påtagligt behov av en sådan samlad reglering har dock inte framkommit. Det är inte heller säkert att de begränsningar i personuppgiftsbehandlingen som bör finnas i den nya lagen skulle vara ändamålsenliga för all polisiär verksamhet.

Polisdatalagen utgår från 2 § polislagen vid beskrivningen av lagens tillämpningsområde. I den paragrafen finns en uppräkning av polisens uppgifter som tar sin utgångspunkt i polisens funktioner. Vid tillkomsten av 2 § polislagen var målsättningen att beskriva uppgifterna på ett sätt som bättre skulle överensstämma med den verksamhetsplanering som tillämpades inom polisväsendet (prop. 1983/84:111 s. 52). Då indelades polisens arbetsuppgifter i huvuduppgifterna brottsförebyggande verksamhet, övervakningsverksamhet, utredningsverksamhet och serviceverksamhet. Serviceverksamheten kom till uttryck i 2 § 4 och 5 och övrig verksamhet i 2 § 1–3 polislagen.

Även om polisens arbetsuppgifter fortfarande i allt väsentligt är desamma som vid polislagens tillkomst så har beskrivningen av uppgifterna förändrats. Som Rikspolisstyrelsen påtalar nämns inte övervakningsverksamhet längre som ett självständigt verksamhetsområde i polisens verksamhetsplanering.

Det kan således konstateras att 2 § polislagen bygger på en indelning av polisens verksamhet som polisen delvis har frångått. Detta talar mot att i den nya lagen beskriva lagens tillämpningsområde genom att återge punkterna i 2 § polislagen. Eftersom behovet av särregler i förhållande till personuppgiftslagen är tydligast när det gäller den brottsbekämpande verksamheten bör lagens tillämpningsområde vara behandling av personuppgifter i sådan verksamhet. Motsvarande lösning har valts för Tullverkets brottsbekämpande verksamhet.

Med brottsbekämpande verksamhet avses här verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet eller till att utreda eller beivra brott. Detta bör komma till uttryck i den nya lagens ändamålsbestämmelser. Frågan är då vilka polisuppgifter som ryms inom dessa ändamål och därmed bör anses utgöra brottsbekämpande verksamhet i detta sammanhang. När denna bedömning görs finns det skäl att utgå från beskrivningen av polisens uppgifter i 2 § polislagen, trots att polisen numera tillämpar en något annan indelning av arbetsuppgifterna.

Till de uppgifter som avses i 2 § 4 och 5 polislagen hör bl.a. hjälpåtgärder inom trafiken, medverkan vid katastrofer och liknande händelser, t.ex. biträde enligt räddningstjänstlagen (punkten 4). Hit hör också åligganden av skilda slag inom området för offentlig förvaltning, t.ex. tillstånds- och tillsynsärenden av olika slag (avseende exempelvis vapen, sprängämnen, offentliga tillställningar och nyttjande av offentlig plats), passärenden och ärenden om delgivning eller annan handräckning (punkten 5). Hit räknas även vissa verkställighetsåtgärder på kriminalvårdens och socialtjänstens område. Både Polisdatautredningen och promemorian anser att det i dessa fall inte finns något tydligt behov av särregler

i förhållande till personuppgiftslagen. Några skäl att göra en annan bedömning har inte framkommit. De nämnda verksamheterna kan inte heller i egentlig bemärkelse anses utgöra brottsbekämpande verksamhet och bör således inte omfattas av lagens tillämpningsområde.

Nästa fråga är om personuppgiftsbehandling i anslutning till alla de uppgifter som omfattas av 2 § 1–3 polislagen, i likhet med vad som gäller enligt polisdatalagen, bör omfattas av den nya lagen eller om punkterna inrymmer uppgifter som inte bör betraktas som brottsbekämpande i detta sammanhang.

I 2 § 1 och 2 polislagen används begreppet allmän ordning och säkerhet. Begreppet, som under lång tid har använts i polisförfattningar, är vittomfattande och svårdefinierat. Enligt bestämmelserna kan den allmänna ordningen och säkerheten störas både genom brott och på andra sätt. Sådana polisuppgifter som innebär att polisen förebygger, hindrar och ingriper mot andra störningar av den allmänna ordningen och säkerheten än som innefattar brott kan inte anses utgöra brottsbekämpande verksamhet i det här sammanhanget. Detsamma gäller övervakning av den allmänna ordningen och säkerheten som inte syftar till att förebygga brott. Rikspolisstyrelsen framhåller att polisen inte längre bedriver någon allmän övervakningsverksamhet utan att all yttre verksamhet antingen är planlagd brottsförebyggande eller brottsutredande verksamhet.

Trots att polisen inte längre har en särskild verksamhetsgren som benämns övervakning eller ordningshållande verksamhet ingår sådana uppgifter likväl i polisens arbetsuppgifter. De renodlade ordningsuppgifterna är numera inte lika tydliga som förut. Det åligger visserligen polisen att förebygga och ingripa mot störningar av den allmänna ordningen vid stora evenemang, men sådana störningar utgör inte sällan olika straffbara beteenden. Vidare har polisen till uppgift att utföra trafikövervakning, men då i regel med fokus på regelefterlevnad i fråga om bl.a. hastighetsbegränsningar. Utanför det brottsbekämpande området faller däremot uppgiften att planera och övervaka särskilda transporter, t.ex. i samband med statsbesök. Det ligger i sakens natur, som Kustbevakningen påpekar, att det är svårt att dra en tydlig gräns mellan ordningshållande uppgifter och brottsbekämpning. Detta beror på att övervakning och ordningshållande verksamhet även kan syfta till att förebygga och ingripa mot brott samt att sådan verksamhet ofta kan övergå i brottsbekämpning. Vid en slumpvis utförd trafiknykterhetskontroll, som ju i någon mening också är brottsförebyggande, kan exempelvis misstanke om brott eller brottslig verksamhet uppstå liksom vid polisens ordningshållande arbete under stora evenemang. Det skulle dock föra för långt att hävda att den mer renodlade övervakning och ordningshållande verksamhet som polisen bedriver ska betraktas som brottsbekämpande och därmed omfattas av den nya regleringen av behandlingen av personuppgifter i polisens brottsbekämpande verksamhet. Av det sagda framgår att vissa gränsdragningsproblem mellan brottsbekämpande och icke brottsbekämpande verksamhet kan uppstå, men dessa ska inte överdrivas. Polisen måste alltid i sitt arbete i det enskilda fallet ta ställning till syftet med pågående verksamhet eftersom detta har betydelse för vilka befogenheter polisen har enligt bl.a. bestämmelserna i 1024 d §§polislagen.

Vissa uppgifter som omfattas av 2 § 1–3 polislagen kan således inte anses utgöra brottsbekämpande verksamhet och bör därmed inte omfattas av den nya lagens tillämpningsområde.

Personuppgiftsbehandling med stöd av särskilda författningar

Utgångspunkten är att den nya lagen ska omfatta all behandling av personuppgifter i polisens brottsbekämpande verksamhet. Undantag bör emellertid göras för vissa register.

Som både Polisdatautredningen och promemorian föreslår bör den nya polisdatalagen inte omfatta personuppgiftsbehandling som sker med stöd av lagarna om belastningsregister, misstankeregister, Schengens informationssystem samt passagerarregister. Dessa lagar har väl avgränsade tillämpningsområden och några påtagliga tillämpningssvårigheter eller problem med en särreglering har inte framkommit. Inte heller den nuvarande polisdatalagen omfattar personuppgiftsbehandling med stöd av nämnda författningar.

Varken Polisdatautredningen eller promemorian behandlar frågan om den nya lagens tillämpning på polisens vapenregister som förs med stöd av 2 kap.1721 §§vapenlagen (1996:67). Enligt 2 kap. 20 § vapenlagen ska vapenregistren ha till ändamål att dels ge information om sådana uppgifter som behövs för att förebygga, upptäcka och utreda brott med anknytning till skjutvapen, dels att underlätta handläggningen av frågor om tillstånd enligt vapenlagen. Registren förs således delvis för brottsbekämpande ändamål. I förarbetena till bestämmelserna gjordes därför bedömningen att – utöver personuppgiftslagenpolisdatalagens allmänna bestämmelser skulle gälla för behandlingen av personuppgifter i registren (prop. 1998/99:36 s. 12 och 20). I propositionen uttalades att detta i praktiken endast skulle innebära att vissa av polisdatalagens bestämmelser om uppgiftsskyldighet och utlämnande av uppgifter skulle bli tillämpliga (a. prop. s. 20).

Det saknas skäl att föreslå någon materiell förändring av regleringen av vapenregistren. En annan och tydligare lagteknisk konstruktion bör dock väljas. De huvudsakliga bestämmelserna om vapenregistren bör även fortsättningsvis finnas i vapenlagen och kompletteras av bestämmelserna i personuppgiftslagen. Den nya polisdatalagen bör inte gälla för behandlingen av personuppgifter i vapenregistren annat än om en särskild hänvisning till den lagen görs i vapenlagen. För att åstadkomma en överensstämmelse med vad som redan gäller bör det i vapenlagen tas in en sådan hänvisning till de bestämmelser i den nya polisdatalagen om uppgiftsskyldighet och utlämnande av uppgifter som motsvarar gällande reglering.

Andra register som inte heller behandlas av Polisdatautredningen eller promemorian är registret över förelägganden av ordningsbot och registret över uppbörd i ärenden om strafförelägganden. Dessa register förs av Rikspolisstyrelsen med stöd av förordningen (1997:903) om register över förelägganden av ordningsbot respektive förordningen (1997:902) om register över strafförelägganden och utgör huvudsakligen ett stöd för polisen vid verkställighet av påföljderna föreläggande av ordningsbot och strafföreläggande. Registren har således primärt ett annat ändamål än

brottsbekämpning och faller därmed utanför den nya lagens tillämpningsområde.

Den nya lagen bör inte heller omfatta behandling av personuppgifter i polisens allmänna spaningsregister. Den frågan behandlas i avsnitt 19.

Insamling genom bild- och ljudupptagning

Promemorian föreslår ett undantag från den nya lagens tillämpningsområde vad gäller insamling av personuppgifter genom hemlig teleavlyssning, hemlig teleövervakning, hemlig rumsavlyssning samt allmän och hemlig kameraövervakning. Bl.a. Kammarrätten i Stockholm och Tullverket efterlyser skälen för undantaget. Rikspolisstyrelsen anser att undantaget bör utsträckas till att gälla all insamling av personuppgifter i form av bild och ljud och hänvisar till att Polisdatautredningen föreslår ett sådant generellt undantag. Styrelsen pekar särskilt på några bestämmelser i promemorians förslag som skulle bli svåra att tillämpa vid sådan insamling. Som exempel nämner styrelsen att personuppgifter som görs eller har gjorts gemensamt tillgängliga ska förses med en särskild upplysning om det närmare ändamålet med behandlingen och om personen som uppgiften avser inte är misstänkt för visst brott eller för att ha utövat eller för att komma att utöva allvarlig eller systematisk brottslig verksamhet.

Inledningsvis kan det konstateras att promemorians förslag skiljer sig från Polisdatautredningens bl.a. vad gäller uppdelningen mellan gemensamt tillgängliga uppgifter och andra uppgifter. Enligt promemorians förslag torde insamlingen av uppgifter och den initiala lagringen av materialet i regel komma att omfattas endast av de grundläggande dataskyddsbestämmelserna och inte av de mer begränsande bestämmelserna om gemensamt tillgängliga uppgifter. Starka skäl talar för att de grundläggande dataskyddsbestämmelserna bör gälla även vid insamling av uppgifter. Uppgifter bör t.ex. bara få behandlas om det är lagligt, om det sker på ett korrekt sätt och fler uppgifter bör inte få samlas in än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det ökade integritetsskydd som uppnås genom att låta lagens bestämmelser också gälla för insamlingen av uppgifter uppväger de eventuella problem som kan uppstå för polisen i fråga om polisens möjligheter att använda digital teknik. Något generellt undantag för insamling av uppgifter genom bild- och ljudupptagning bör således inte införas. Som Rikspolisstyrelsen förordar bör dock bestämmelsen i 23 § personuppgiftslagen (1998:204), som föreskriver en skyldighet att informera den person som uppgifter samlas in från om behandlingen, inte gälla vid sådan insamling. Den frågan behandlas i avsnitt 6.4.2. Rikspolisstyrelsen anför även synpunkter på svårigheten att tillämpa bestämmelserna om särskilda upplysningar och gallring på bild- och ljudupptagningar. Dessa frågor tas upp i avsnitt 10 och 14.3.

När det gäller insamling av personuppgifter genom hemlig teleavlyssning, hemlig teleövervakning, hemlig rumsavlyssning samt allmän och hemlig kameraövervakning finns särskilda bestämmelser i rättegångsbalken, lagen (1998:150) om allmän kameraövervakning, lagen (2007:978) om hemlig rumsavlyssning, lagen (2007:979) om åtgärder för att förhind-

ra vissa särskilt allvarliga brott och lagen (2008:854) om åtgärder för att utreda vissa samhällsfarliga brott. Särskilda bestämmelser finns dessutom i lagen (1988:97) om förfarandet hos kommunerna, förvaltningsmyndigheterna och domstolarna under krig eller krigsfara m.m. Nämnda författningar reglerar framför allt förutsättningarna för insamlingen av uppgifter men det finns även bestämmelser som begränsar användningen av de insamlade uppgifterna, bl.a. användningen av överskottsinformation. Bestämmelserna i de aktuella lagarna syftar till att värna den enskildes integritet vid användningen av hemliga tvångsmedel och allmän kameraövervakning. Det behövs dock kompletterande integritetsskyddande bestämmelser som tar sikte på behandlingen av personuppgifter. Behovet av sådana kompletterande bestämmelser synes emellertid inte vara särskilt stort vad gäller den del av behandlingen som avser insamlingen av uppgifter, eftersom bestämmelserna i den särskilda lagstiftningen är detaljerade i detta avseende. Detta talar i och för sig för att undanta insamlingen från den nya lagens tillämpningsområde, vilket också föreslås i promemorian. Eftersom den särskilda lagstiftningen på området har andra syften och inte i alla avseenden beaktar de integritetsaspekter som den nya lagen ska värna, bör emellertid även insamlingen av uppgifter genom hemliga tvångsmedel och, i förekommande fall, allmän kameraövervakning omfattas av den nya lagen. Insamlingen av uppgifter genom hemlig teleövervakning, hemlig teleavlyssning, hemlig rumsavlyssning samt allmän och hemlig kameraövervakning bör därför inte undantas från den nya lagens tillämpningsområde. Något sådant undantag finns inte heller i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Juridiska personer

I promemorian föreslås att behandling av uppgifter om juridiska personer ska omfattas av vissa grundläggande bestämmelser i den nya lagen, bl.a. bestämmelserna om tillåtna ändamål, sökbegränsningar och gallring. Motsvarande bedömning gjordes vid tillkomsten av lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (se prop. 2004/05:164 s. 55). Några remissinstanser ifrågasätter dock om ett av huvudsyftena med den nya lagstiftningen, nämligen att skydda den personliga integriteten, verkligen gör sig gällande i fråga om juridiska personer. Rikspolisstyrelsen pekar på att juridiska personer ofta används som brottshjälpmedel och att det därför bl.a. är viktigt att kunna söka på firma eller organisationsnummer för att hitta företag som kan antas ha samband med brottslig verksamhet. Även om juridiska personer inte har samma behov av integritetsskydd som fysiska personer bör enligt regeringens mening vissa grundläggande bestämmelser tillämpas även på juridiska personer. Det kan dessutom vara svårt att i den elektroniska hanteringen skilja uppgifter om juridiska personer från uppgifter om fysiska personer som är ägare av eller ställföreträdare för dessa. Starka verksamhetsskäl talar dock för att undanta juridiska personer från bestämmelserna om sökbegränsningar. Den frågan tas upp i avsnitt 11.

Hänvisningar till S6-3

6.4. Den nya lagen och personuppgiftslagen

Hänvisningar till S6-4

6.4.1. Förhållandet till personuppgiftslagen

Regeringens förslag: Den nya lagen ska gälla i stället för personuppgiftslagen. I lagen hänvisas till de bestämmelser i personuppgiftslagen som ska gälla vid behandling av personuppgifter i polisens brottsbekämpande verksamhet.

Utredningens förslag: Den nya lagen ska vara heltäckande och upprepa de bestämmelser i personuppgiftslagen som ska tillämpas i polisens verksamhet.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt förslaget eller inte haft någon invändning mot det. Dåvarande Kriminalvårdsstyrelsen har ställt sig tveksam till förslaget och menat att det är lämpligare att den nya lagen endast hänvisar till personuppgiftslagen. Statskontoret har uttalat att förhållandet mellan personuppgiftslagen och den föreslagna polisdatalagen inte är tillräckligt utrett. Riksarkivet har ansett att bestämmelserna i personuppgiftslagen, som riktar sig mot en stor krets av behandlingar inom skilda verksamhetsgrenar, kan bli missvisande om de rakt av överförs till en så speciell verksamhet som polisens. Dåvarande

Riksskatteverket har ansett att lagen bör hänvisa till bestämmelserna i personuppgiftslagen, i stället för att upprepa dem. Kammarrätten i Jönköping och Sveriges Domareförbund har förordat en lagstiftningsteknik som innebär att de bestämmelser som avviker från personuppgiftslagen regleras särskilt i den nya lagen och att det tydligt i denna hänvisas till de lagrum i personuppgiftslagen som är tillämpliga.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna tillstyrker eller har inget att invända mot förslaget. Skälen för regeringens förslag:Personuppgiftslagen bygger, som nämnts i avsnitt 4.2.5, på EG:s dataskyddsdirektiv och är generellt tilllämplig på behandling av personuppgifter. Eftersom direktivet bl.a. inte omfattar behandling av personuppgifter som utförs på området för statens brottsbekämpande verksamhet, finns det ur EG-rättslig synvinkel i och för sig inte något som hindrar att den nya lagen utformas på annat sätt än vad som anges i dataskyddsdirektivet. I sammanhanget kan dock påpekas att direktivet i huvudsak bygger på och vidareutvecklar de bestämmelser som finns i dataskyddskonventionen. Konventionen gäller även i statens brottsbekämpande verksamhet. Sverige är folkrättsligt bundet av konventionen med dess tilläggsprotokoll. Vidare bör beaktas att dataskyddsrambeslutet, som snart ska genomföras, i stora delar liknar dataskyddsdirektivet.

Trots att EG:s dataskyddsdirektiv formellt inte är tillämpligt i fråga om behandling av personuppgifter i den brottsbekämpande verksamheten bör enligt regeringens mening en reglering som avviker från de grundläggande reglerna i personuppgiftslagen införas bara om det finns goda skäl för det. Systematiska skäl talar också för att den nya regleringen bör ansluta till personuppgiftslagen. Det är således önskvärt att de bestämmelser till skydd för enskilds integritet som uppställs i personuppgiftslagen så långt

möjligt tillämpas även vid personuppgiftsbehandling inom polisens brottsbekämpande verksamhet.

Med hänvisning till det som sagts ovan bör personuppgiftslagens bestämmelser i väsentliga delar gälla även i polisens brottsbekämpande verksamhet. I denna verksamhet finns emellertid särskilda behov av att kunna behandla personuppgifter automatiserat och verksamhetens särdrag gör dessutom att personuppgiftslagens bestämmelser inte alltid är ändamålsenliga. I vissa delar bör det därför införas bestämmelser som avviker från den lagen.

Hur bör då de regler i personuppgiftslagen som ska gälla även i polisens brottsbekämpande verksamhet infogas i det nya regelverket? I tidigare lagstiftningsärenden, där motsvarande fråga har uppkommit, har olika lösningar valts. En modell har varit att i den författning som reglerar behandling av personuppgifter i en viss verksamhet över huvud taget inte nämna personuppgiftslagen. Det innebär att personuppgiftslagens bestämmelser utan vidare kommer att vara tillämpliga, i den mån den särskilda författningen inte innehåller avvikande bestämmelser (se 2 § personuppgiftslagen). En liknande modell, som ger samma effekt, är att i den särskilda författningen ange att den gäller utöver personuppgiftslagen. Den modellen används i bl.a. polisdatalagen. Nackdelen med båda dessa lösningar är att det kan vara svårt att överblicka vilka bestämmelser i personuppgiftslagen som är tillämpliga.

Polisdatautredningen föreslår en annan modell. Förslaget innebär att den nya lagen ska vara heltäckande och upprepa de bestämmelser i personuppgiftslagen som ska gälla för polisen. En liknande lösning har valts för personuppgiftsbehandling hos Försvarsmakten och Försvarets radioanstalt (prop. 2006/07:46; SFS 2007:258 och 2007:259). Fördelen med en sådan lösning är att tillämparen snabbt får klart för sig vilka bestämmelser som gäller utan att behöva gå till personuppgiftslagen. En nackdel är dock att det i viss mån blir fråga om en dubbelreglering, eftersom personuppgiftslagens bestämmelser ändå gäller om inget annat anges. En annan nackdel är att lagen blir omfattande.

Ytterligare en annan lösning har valts i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Lagen innehåller, utöver de bestämmelser som avviker från personuppgiftslagen, en hänvisning till de lagrum i personuppgiftslagen som är tillämpliga. Lagrådet hade inte några invändningar mot den valda metoden. Samma lösning har nyligen också föreslagits för Kustbevakningens personuppgiftsbehandling (SOU 2006:18) och för åklagarväsendets personuppgiftsbehandling (SOU 2008:87). Fördelarna med en sådan lösning är att lagstiftningen blir mer överskådlig, tydlig och lättillämpad jämfört med om inga hänvisningar görs till personuppgiftslagen. Samtidigt undviks en omfattande dubbelreglering.

Utvecklingen går mot ökat samarbete mellan de brottsbekämpande myndigheterna. Det ligger därför ett värde i att så långt möjligt använda samma lagstiftningsteknik för all behandling av personuppgifter inom den brottsbekämpande verksamheten, oavsett myndighet. Den nya polisdatalagen bör, mot bakgrund av det sagda, gälla i stället för personuppgiftslagen och innehålla tydliga hänvisningar till tillämpliga lagrum i den lagen.

Hänvisningar till S6-4-1

  • Prop. 2009/10:85: Avsnitt 22.1

6.4.2. Tillämpliga bestämmelser i personuppgiftslagen

Regeringens förslag: Följande bestämmelser i personuppgiftslagen ska vara tillämpliga vid behandling av personuppgifter i polisens brottsbekämpande verksamhet:

– definitioner (3 §), – förhållandet till offentlighetsprincipen m.m. (8 §), – grundläggande krav på behandlingen av personuppgifter (9 §, med undantag för paragrafens första stycke i och tredje stycket),

– behandling av personnummer (22 §), – information till den registrerade (23 och 25–27 §§), – rättelse (28 §), – säkerheten vid behandling (30 och 31 §§ samt 32 § första stycket), – överföring av personuppgifter till tredjeland (33–35 §§), – personuppgiftsombudets uppgifter m.m. (38–41 §§), – upplysningar till allmänheten om vissa behandlingar (42 §), – tillsynsmyndighetens befogenheter (43, 44 §§, 45 § första stycket och 47 §),

– skadestånd (48 §), och – överklagande (51 § första stycket, 52 § första stycket och 53 §). Bestämmelserna i 8 § andra stycket personuppgiftslagen ska dock inte tillämpas om personuppgifter ska gallras enligt bestämmelser i den nya lagen eller enligt föreskrifter som meddelats i anslutning till lagen.

Bestämmelserna om informationsskyldighet i 23 § personuppgiftslagen behöver inte tillämpas om uppgifterna samlas in

1. genom bild- eller ljudupptagning eller

2. i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.

Tillsynsmyndigheten ska inte kunna förena ett förbud att utföra viss behandling med vite.

Utredningens förslag överensstämmer i huvudsak med promemorians. Remissinstanserna: Flertalet remissinstanser har tillstyrkt förslaget eller inte haft några invändningar mot det.

Promemorians förslag överensstämmer i huvudsak med regeringens.

Promemorian föreslår dock inte något undantag från informationsplikten i 23 § personuppgiftslagen i fråga om insamling genom bild- eller ljudupptagning. Promemorian föreslår inte heller att någon hänvisning görs till 9 § första stycket c eller d, eller till andra och fjärde styckena.

Remissinstanserna: En majoritet av remissinstanserna instämmer i eller har inget att invända mot promemorians förslag. Rikspolisstyrelsen anser dock att bl.a. skyldigheten att lämna information enligt 23, 25 och 26 §§personuppgiftslagen kommer att försvåra för polisen att använda digital teknik vid insamling av uppgifter. Styrelsen anser att samma regler bör gälla vid insamling av bilder och ljud, oavsett om upptagningarna sker med analog eller digital utrustning. Rikspolisstyrelsen anser vidare att polisen alltid bör få behandla personuppgifter för historiska, vetenskapliga och statistiska ändamål och föreslår därför att den nya lagen även bör hänvisa till 9 § andra–fjärde styckena personuppgiftslagen.

Styrelsen gör bedömningen, bl.a. mot bakgrund av hänvisningen i pro-

memorians lagförslag till 8 § personuppgiftslagen, att utgallrade uppgifter torde kunna föras över till ett digitalt arkiv och där behandlas för de ändamål som anges i arkivlagen (1990:782). Datainspektionen påpekar att det av dataskyddskonventionen följer att insamlade uppgifter aldrig får användas på ett sätt som är oförenligt med det eller de specifika ändamål för vilket de samlades in (den s.k. finalitetsprincipen). Enligt Datainspektionen strider promemorians lagförslag på denna punkt mot konventionens krav. Inspektionen anser därför att det i den nya lagen bör införas en generell regel som upprätthåller finalitetsprincipen, exempelvis genom att en hänvisning görs till 9 § första stycket d personuppgiftslagen. Datainspektionen framhåller att det är positivt att tillsynsmyndigheten föreslås ha i stort sett identiska befogenheter vid tillsynen över polisens här aktuella personuppgiftsbehandling som enligt person-uppgiftslagen. Kammarrätten i Stockholm menar att 22 § personuppgiftslagen bör vara tillämplig endast när uppgifterna behandlas på annat sätt än när de görs eller har gjorts gemensamt tillgängliga.

Skälen för regeringens förslag

Redan nu tillämpas många av personuppgiftslagens bestämmelser i polisens personuppgiftsbehandling, eftersom polisdatalagen gäller utöver personuppgiftslagen. Förslaget innebär få förändringar i detta hänseende men en tydligare reglering. Nedan redovisas i vilken utsträckning personuppgiftslagens bestämmelser bör vara tillämpliga vid behandling av personuppgifter i polisens brottsbekämpande verksamhet.

Definitioner (3 §)

I 3 § personuppgiftslagen definieras vissa begrepp som är centrala vid behandling av personuppgifter. Där definieras t.ex. vad personuppgifter är (”All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.”) och vad som utgör behandling av personuppgifter (”Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.”). Definitionerna gäller också för personuppgiftsbehandling som sker med stöd av polisdatalagen. Det finns inte skäl att göra någon ändring i detta hänseende. Det är viktigt att terminologin i den nya lagen överensstämmer med personuppgiftslagens och att de begrepp som används i de båda författningarna har samma innebörd. En hänvisning till 3 § personuppgiftslagen bör därför tas in i den nya lagen.

Förhållandet till offentlighetsprincipen (8 §)

I 8 § första stycket personuppgiftslagen erinras om att personuppgiftslagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihets-

förordningen, som reglerar allmänna handlingars offentlighet. I paragrafens andra stycke anges att bestämmelserna inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Paragrafen gäller för personuppgiftsbehandling hos polisen.

I klargörande syfte bör en hänvisning till bestämmelserna i 8 § personuppgiftslagen tas in i den nya lagen. Det bör dock tydliggöras att bestämmelserna i 8 § andra stycket inte är tillämpliga när uppgifter ska gallras enligt särskilda bestämmelser i den nya lagen. Utgallrade uppgifter bör inte, till skillnad från hur Rikspolisstyrelsen har tolkat de föreslagna bestämmelserna, få bevaras i ett digitalt arkiv och vara åtkomliga för arkivändamål. Sådant bevarande kommer att vara tillåtet endast om det meddelas föreskrifter med undantag från den nya lagens gallringsbestämmelser som tillåter ett bevarande. Den frågan tas upp i avsnitt 14.1.

Grundläggande krav på behandlingen av personuppgifter (9 §)

Några av personuppgiftslagens viktigaste bestämmelser om behandling av personuppgifter finns i 9 §. Där uppställs vissa grundläggande krav på den personuppgiftsansvarige. I första stycket a och b anges att den personuppgiftsansvarige ska se till att personuppgifter endast behandlas om det är lagligt och att personuppgifter alltid ska behandlas på ett korrekt sätt och i enlighet med god sed. Enligt e–h ska den personuppgiftsansvarige se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än som är nödvändigt, att de personuppgifter som behandlas är riktiga och om nödvändigt aktuella samt att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen.

Det är naturligt att dessa krav tillämpas även vid behandling av personuppgifter inom polisens brottsbekämpande verksamhet. Den nya lagen bör därför hänvisa till 9 § första stycket a, b och e–h personuppgiftslagen.

I 9 § första stycket c anges att den personuppgiftsansvarige även ska se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna ändamål och i punkten d att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. En skyldighet för polisen att ha ett preciserat ändamål för insamlingen av personuppgifter kan sägas följa redan av de materiella bestämmelser om t.ex. förundersöknings bedrivande som styr polisens verksamhet. För att tydliggöra att personuppgifter får samlas in endast för preciserade ändamål bör det emellertid tas in en hänvisning till 9 § första stycket c personuppgiftslagen i den nya lagen.

Punkten d ger uttryck för den s.k. finalitetsprincipen. Datainspektionen anser att 9 § första stycket d bör vara tillämplig även vid behandling i polisens brottsbekämpande verksamhet. I promemorian föreslås inte någon hänvisning i den nya lagen till denna bestämmelse. Den personuppgiftsansvarige bör enligt regeringens mening liksom för närvarande ha till uppgift att tillse att uppgifter inte behandlas för ändamål som är

oförenliga med insamlingsändamålet. Det finns därför skäl att göra en hänvisning även till 9 § första stycket d personuppgiftslagen. En hänvisning bör därvid göras även till paragrafens andra och fjärde stycken. Frågan om förhållandet mellan den nya lagens ändamålsreglering och finalitetsprincipen behandlas i avsnitt 7.1.

I 9 § första stycket i och tredje stycket personuppgiftslagen finns bestämmelser om hur länge uppgifter får bevaras. Frågan om gallring och bevarande av uppgifter bör regleras särskilt i den nya lagen. Någon hänvisning till personuppgiftslagens bestämmelser i 9 § första stycket i och i tredje stycket om hur länge uppgifter får bevaras behövs därför inte. Frågan behandlas i avsnitt 14.

Behandling av personnummer (22 §)

I 22 § personuppgiftslagen föreskrivs att uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Personnummer bör således inte användas av ren slentrian. Bestämmelserna innebär att den personuppgiftsansvarige måste göra en intresseavvägning. Tyngden av de skäl som talar för att behandlingen av personnummer är påkallad måste således vägas mot behovet av skydd för den personliga integriteten. Principen bör enligt regeringens mening gälla även vid behandling i polisens brottsbekämpande arbete. Av integritetsskäl kan det många gånger vara nödvändigt att använda personnummer med hänsyn till den större säkerhet för en riktig identifiering som detta innebär, särskilt i polisens verksamhet. Till skillnad från vad Kammarrätten i Stockholm anser finns det inte skäl att göra avsteg från principen i fråga om gemensamt tillgängliga uppgifter, även om det vid behandling av sådana uppgifter i många fall är nödvändigt att behandla personnummer. Den nya lagen bör därför hänvisa även till 22 § personuppgiftslagen.

Information till den registrerade (23 och 25–27 §§)

Allmänt Personuppgiftslagens bestämmelser om sådan information som ska lämnas självmant till den registrerade och om information som ska lämnas efter ansökan av den registrerade (23 och 25–27 §§) tillämpas enligt gällande reglering vid behandling av personuppgifter i polisens brottsbekämpande verksamhet.

Av 23 § personuppgiftslagen följer att den personuppgiftsansvarige självmant ska informera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som ska lämnas är enligt 25 § uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen samt övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Information ska också, enligt 26 § personuppgiftslagen, lämnas på begäran av den registrerade. Om uppgifter behandlas ska information lämnas till

sökanden om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Under förutsättning att uppgifterna inte har lämnats ut till tredje man behöver dock information inte lämnas om personuppgifter i löpande text som inte har fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. I 26 § finns även bestämmelser om inom vilken tid en ansökan ska besvaras. Enligt 27 § personuppgiftslagen gäller inte rätten till information om det i lag eller annan författning eller i beslut som har meddelats med stöd av författning särskilt har föreskrivits att uppgifter inte får lämnas ut till den registrerade. Information behöver alltså inte lämnas om sådana förhållanden för vilka det gäller sekretess.

Bestämmelserna utgör i allt väsentligt en lämplig avvägning mellan den enskildes intresse av att få information om behandling av uppgifter om denne och polisens intresse av effektiva medel för brottsbekämpning. En hänvisning till bestämmelserna bör därför införas i den nya lagen. Det bör dock övervägas om det i den nya lagen behövs undantag från informationsskyldigheten för viss insamling av uppgifter som t.ex. insamling genom bild och ljud och insamling i samband med larm.

Undantag för insamling genom bild och ljud

Rikspolisstyrelsen anser att bestämmelserna i 23, 25 och 26 §§personuppgiftslagen är svåra att tillämpa när uppgifter samlas in genom bild- och ljudupptagning och menar att samma regler bör gälla oavsett om upptagningarna sker med analog eller digital utrustning. Som redovisas i avsnitt 6.3 bör lagen som huvudregel vara tillämplig även på insamling genom bild och ljud. Det finns dock skäl att överväga om det kan krävas att informationsskyldigheten ska fullgöras fullt ut vid sådan insamling.

Inledningsvis kan konstateras att polisens möjlighet att samla in uppgifter genom bild och ljud i stor utsträckning är oreglerad. De bestämmelser som finns reglerar insamling genom hemliga tvångsmedel, t.ex. reglerna i 27 kap. rättegångsbalken och lagen om hemlig rumsavlyssning. Vidare finns bestämmelser om insamling genom allmän kameraövervakning i lagen (1998:150) om allmän kameraövervakning och bestämmelser i 28 kap. 14 § rättegångsbalken om fotografering av anhållna och häktade. Enligt den paragrafen får även andra personer än anhållna och häktade fotograferas, om det behövs för utredning av brott på vilket fängelse kan följa. I flera betänkanden har föreslagits att polisens möjlighet att använda spaningsmetoder som t.ex. innebär användning av handmanövrerade kameror, dolda kroppsmikrofoner, inspelning av telefonsamtal och positionsbestämning bör författningsregleras (se t.ex. SOU 2003:74 och 2007:22). Bestämmelser om behandlingen av personuppgifter kan begränsa möjligheten att samla in uppgifter genom bild- och ljudupptagning. Det ligger dock inte inom ramen för detta lagstiftningsärende att överväga när sådan insamling bör få ske. Regeringen har uppdragit åt Polismetodutredningen att överväga bl.a. frågan om författningsreglering av tekniska spaningsmetoder (dir. 2007:185). Även lagen om allmän kameraövervakning har nyligen utretts (SOU 2009:87).

Frågan är om det behövs några undantag från bestämmelserna om informationsskyldighet i 23 och 2527 §§personuppgiftslagen för behandling av bild- och ljudupptagningar. Vad gäller 23 § torde i regel något av undantagen i 25 eller 27 § vara tillämpligt på sådan insamling. När en anhållen eller häktad fotograferas i samband med att fingeravtryck tas eller när skador på ett brottsoffer dokumenteras torde exempelvis undantaget i 25 § andra stycket vara tillämpligt. Det måste nämligen förutsättas att den fotograferade känner till varför insamling sker och att den sker genom automatiserad behandling samt att han eller hon förstår vad uppgifterna ska användas till. Vidare torde undantaget i 27 § vanligtvis vara tillämpligt när insamling sker för spaningsändamål inom ramen för en förundersökning eller i underrättelseverksamhet, eftersom sekretess enligt 18 kap. 1 eller 2 § offentlighets- och sekretesslagen normalt gäller i dessa fall. Detsamma gäller insamling genom hemliga tvångsmedel. Det förekommer dock situationer då polisen synes vara skyldig att lämna information enligt 23 § personuppgiftslagen. Exempelvis torde sådan skyldighet föreligga när polisen genom videofilmning öppet dokumenterar ett visst händelseförlopp, t.ex. på grund av oroligheter i samband med en fotbollsmatch. I en sådan situation framstår det emellertid inte bara som orimligt utan också som praktiskt ogörligt att informera alla personer som kan tänkas fångas på bild om att deras personuppgifter behandlas. Värdet av sådan information kan också ifrågasättas. Mot denna bakgrund bör det inte krävas att polisen tillämpar 23 § personuppgiftslagen vid insamling av personuppgifter genom bild och ljud. I sammanhanget kan erinras om undantaget i 5 a § personuppgiftslagen för behandling av personuppgifter i ostrukturerat material som infördes genom en lagändring år 2007 (prop. 2005/06:173).

Däremot finns det inte skäl att göra något undantag från bestämmelserna i 26 § personuppgiftslagen, vilket Rikspolisstyrelsen förespråkar. Bestämmelserna i den paragrafen tar sikte på den fortsatta behandlingen av personuppgifter sedan de har samlats in. Ett grundläggande krav i den nya lagen bör vara att polisen alltid ska veta för vilket ändamål en uppgift bevaras. För att kunna uppfylla detta krav måste polisen känna till det huvudsakliga innehållet av en bild- eller ljudsekvens som bevaras, t.ex. vilken person som spaningen eller brottsutredningen avsåg. Det ligger i sakens natur att polisen inte kan förväntas känna till och dokumentera identiteten på samtliga personer som förekommer i en filmsekvens t.ex. från en allmän plats. Och det faller på sin egen orimlighet att polisen skulle behöva informera samtliga dessa personer om behandlingen. Det bör framhållas – som uttalas i förarbetena till personuppgiftslagen (prop. 1997/98:44 s. 82 f.) – att den personuppgiftsansvarige bara är skyldig att utnyttja de sök- och sammanställningsmöjligheter som han eller hon har tillgång till för att få fram information att lämna till den registrerade. I sammanhanget kan erinras om att regeringen i nyssnämnda proposition hänvisade till Datalagskommitténs uttalande att ”inte ens EG-rätten kan tvinga någon att göra det som i praktiken är omöjligt” (SOU 1997:39 s. 392). Informationskravet i 26 § torde således inte bli så omfattande som Rikspolisstyrelsen synes befara.

Undantag för insamling i samband med larm

Av Datainspektionens allmänna råd om information till registrerade enligt personuppgiftslagen framgår att information enligt 23 § personuppgiftslagen bör lämnas muntligen när personuppgifter samlas in vid telefonkontakt eller annan muntlig kontakt. Det skulle uppstå praktiska svårigheter om det infördes en skyldighet att lämna uppgifter om behandlingarna av personuppgifter i kommunikationscentralernas system (KCsystemet) till en enskild person i samband med att han eller hon larmar polisen. När en person larmar eller på liknande sätt tillkallar polisen rör det sig typiskt sett om en brådskande situation som kräver omedelbar åtgärd. Både med hänsyn till risken för försening av den åtgärd som efterfrågas i det enskilda fallet och till risken för negativa konsekvenser i stort för verksamheten vid en kommunikationscentral är det orimligt att kräva att polisen lämnar information i samband med larm. I en larmsituation torde den enskilde inte heller finna sådan information särskilt angelägen. Information som inte uppfattas som relevant i en akut situation kan tvärtom tas emot negativt.

Utredningen om Kustbevakningens personuppgiftsbehandling anser att det inte är nödvändigt med några författningsförslag för att information inte ska behöva lämnas i nu aktuella fall (SOU 2006:18 s. 235). Som skäl anförs att alla som vänder sig till en myndighet i en sådan situation redan känner till att uppgifter registreras i någon form av automatiserat register. Även om undantaget i 25 § andra stycket personuppgiftslagen vanligtvis torde vara tillämpligt finns det ändå skäl att införa ett undantag som tar sikte just på larmsituationer bl.a. av det skälet att larm utgör en stor och viktig del av polisens verksamhet. Det bör i en lagregel klart framgå att information aldrig ska behöva lämnas vid larm om det med hänsyn till omständigheterna inte finns tid att lämna informationen. Bedömningen av om information ska lämnas bör göras från fall till fall. I sådan verksamhet som uteslutande består i att ta emot larm torde det endast undantagsvis finnas tid att lämna information om behandlingen av personuppgifter.

Rättelse (28 §)

I 28 § personuppgiftslagen anges att den personuppgiftsansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte behandlats i enlighet med personuppgiftslagens bestämmelser. När en personuppgiftsansvarig rättar en personuppgift, ska underrättelse lämnas till tredje man som har fått del av uppgiften, om den registrerade begär det eller om mer betydande skada eller olägenhet därigenom kan undvikas. Sådan underrättelse behöver dock inte lämnas om det visar sig vara omöjligt eller om det skulle innebära en oproportionerligt stor arbetsinsats. Dessa bestämmelser gäller vid personuppgiftsbehandling i polisens brottsbekämpande verksamhet.

Det är viktigt att personuppgifter som behandlas felaktigt hos en myndighet rättas. Bedömningen av om en uppgift har behandlats på ett felaktigt sätt måste göras mot bakgrund av de bestämmelser som gäller för behandlingen, oavsett om det är grundläggande regler i personuppgiftslagen eller specialbestämmelser för polisens verksamhet. Mot bakgrund

av det sagda bör bestämmelserna i 28 § personuppgiftslagen även i fortsättningen tillämpas vid behandling av personuppgifter i polisens brottsbekämpande verksamhet. I den nya lagen bör det alltså tas in en hänvisning till 28 § personuppgiftslagen.

Säkerheten vid behandling (30–32 §§)

I 3032 §§personuppgiftslagen finns bestämmelser om hur den personuppgiftsansvarige ska organisera arbetet med behandling av personuppgifter för att garantera säkerheten. Dessa bestämmelser är tillämpliga vid personuppgiftsbehandling i polisens brottsbekämpande verksamhet och de bör gälla där även fortsättningsvis. En hänvisning till bestämmelserna bör alltså föras in i den nya lagen. Med hänsyn till att tillsynsmyndigheten inte bör ha möjlighet att förena förbud med vite (se avsnittet Tillsynsmyndighetens befogenheter) bör någon hänvisning till 32 § andra stycket personuppgiftslagen inte göras i den nya lagen.

Överföring av personuppgifter till tredjeland (33–35 §§)

Personuppgifter som är under behandling får enligt 33 § personuppgiftslagen inte föras över till tredjeland, dvs. en stat som inte ingår i EU eller är ansluten till Europeiska ekonomiska samarbetsområdet (EES; 3 § personuppgiftslagen), om inte det mottagande landet har en adekvat nivå för skyddet av personuppgifter. Från förbudet finns vissa undantag i 34 §, bl.a. för överföring till länder som har anslutit sig till dataskyddskonventionen. Enligt 35 § har regeringen också möjlighet att föreskriva ytterligare undantag från förbudet, bl.a. om det behövs med hänsyn till ett viktigt allmänt intresse.

Förbudet mot överföring till tredjeland som inte har acceptabla skyddsnivåer, och de undantag från förbudet som föreskrivs, bör vara tillämpliga även vid behandling enligt den här föreslagna lagstiftningen. Regeringen bör även ha möjlighet att föreskriva om undantag från förbudet. Hänvisning bör således göras till 3335 §§personuppgiftslagen.

Upplysningar till allmänheten, personuppgiftsombudets uppgifter m.m. (38–42 §§)

Automatiserade behandlingar av personuppgifter ska enligt 36 § första stycket personuppgiftslagen anmälas till tillsynsmyndigheten (Datainspektionen). Anmälan behöver dock enligt 3 § personuppgiftsförordningen (1998:1191) inte göras för behandlingar som regleras genom särskilda föreskrifter i lag eller förordning. Någon skyldighet att anmäla de behandlingar som utförs med stöd av den nya lagen finns således inte, varför någon hänvisning till 36 § första stycket personuppgiftslagen inte behövs.

Den personuppgiftsansvarige kan enligt 36 § andra stycket personuppgiftslagen utse ett personuppgiftsombud. Om ett sådant ombud utses, ska bestämmelserna om ombudets skyldigheter i 3840 §§personuppgiftslagen tillämpas. I personuppgiftsombudets skyldigheter ingår bl.a. att se till att behandlingen av personuppgifter sker på ett lagligt sätt och att hjälpa

registrerade att få rättelse. Den personuppgiftsansvarige ska anmäla ombudet hos Datainspektionen. Även ett entledigande ska anmälas hos inspektionen. I avsnitt 6.5 föreslås en särskild bestämmelse med skyldighet för polisen att utse personuppgiftsombud och att anmäla till Datainspektionen när ett sådant ombud utses och entledigas. Någon hänvisning till 36 § andra stycket personuppgiftslagen behövs därför inte. Den nya lagen bör dock hänvisa till 3840 §§personuppgiftslagen.

Regeringen har enligt 41 § personuppgiftslagen möjlighet att föreskriva att vissa särskilt känsliga behandlingar ska anmälas till Datainspektionen för förhandskontroll. Detta gäller även vid personuppgiftsbehandling inom polisens brottsbekämpande verksamhet. Denna ordning bör gälla även fortsättningsvis. Den nya lagen bör därför innehålla en hänvisning till 41 §.

Enligt 42 § personuppgiftslagen ska den personuppgiftsansvarige till var och en som begär det lämna upplysningar om de behandlingar av personuppgifter som inte har anmälts till Datainspektionen. Bestämmelsen är tillämplig på de behandlingar som utförs i polisens brottsbekämpande verksamhet men innebär självfallet ingen skyldighet att lämna ut sekretesskyddad information. Det är från integritetsskyddssynpunkt viktigt att den enskilde på ett snabbt och enkelt sätt kan få besked av polisen om vilka behandlingar som utförs i den brottsbekämpande verksamheten även för sådana fall då den behandling som utförs inte omfattas av någon anmälningsskyldighet till Datainspektionen. En hänvisning till 42 § personuppgiftslagen bör därför tas in i den nya lagen.

Tillsynsmyndighetens befogenheter (43–45 §§ och 47 §)

För att kunna säkerställa att personuppgifter behandlas på ett korrekt sätt har Datainspektionen vissa befogenheter gentemot personuppgiftsansvariga. Det är rimligt att Datainspektionen i stort sett har samma befogenheter vid tillsyn över polisens personuppgiftsbehandling i den brottsbekämpande verksamheten som enligt personuppgiftslagen.

Enligt 43 § personuppgiftslagen har Datainspektionen möjlighet att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler. Paragrafen gäller för polisen och bör vara tillämplig även fortsättningsvis. En hänvisning till paragrafen ska alltså tas in i den nya lagen.

Om Datainspektionen inte efter en begäran enligt 43 § personuppgiftslagen kan få tillräckligt underlag för att konstatera att personuppgiftsbehandlingen är laglig, får myndigheten med stöd av 44 § vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än att lagra dem. Denna bestämmelse gäller för polisens personuppgiftsbehandling och Polisdatautredningen och promemorian föreslår att den ska gälla även i framtiden. Beträffande andra myndigheters personuppgiftsbehandling har man valt olika lösningar när det gäller Datainspektionens möjlighet att meddela sådana förbud. Någon sådan möjlighet finns exempelvis inte i Tullverkets brottsbekämpande verksamhet och inte heller enligt lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Däremot har Datainspektionen möjlighet att meddela sådana

förbud enligt lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar.

När det gäller frågan om Datainspektionen bör ha rätt att förbjuda behandling av personuppgifter i polisens brottsbekämpande verksamhet kan det alltså inledningsvis konstateras att en sådan möjlighet finns enligt gällande rätt. I förhållande till de myndigheter där Datainspektionen saknar sådan möjlighet har polisen en mycket mer omfattande personuppgiftsbehandling som dessutom omfattar flera olika myndigheter. Till detta kan anmärkas att polisen, enligt den nya lagen, kommer att få möjlighet att behandla vissa typer av personuppgifter i större utsträckning än för närvarande. Förslaget lämnar också större utrymme för polisen att fatta beslut om formerna för behandlingen och vilka strukturer den ska ske i. Det sagda talar sammantaget för att Datainspektionen även fortsättningsvis bör kunna förbjuda viss behandling, om det någon gång skulle inträffa att inspektionen inte får tillgång till tillräckligt underlag för att kunna bedöma personuppgiftsbehandlingen. En hänvisning bör därför göras också till 44 §.

En annan fråga är om det bör vara möjligt för Datainspektionen att förena ett sådant förbud med vite. I flera lagstiftningsärenden har en lösning valts som inte ger Datainspektionen någon sådan möjlighet. Detta har motiverats med grundsatsen att regler om vite inte bör tillämpas i förhållandet mellan statliga myndigheter (prop. 2004/05:164 s. 54 och 2006/07:46 s. 105). Eftersom vite inte bör användas mellan statliga myndigheter bör således ett förbud enligt 44 § personuppgiftslagen inte kunna förenas med vite.

En hänvisning bör vidare göras till 45 § första stycket. Där anges att Datainspektionen, om den konstaterar att personuppgifter behandlas felaktigt, ska försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden. Om det inte går att få till stånd rättelse, eller om saken är brådskande, får Datainspektionen förbjuda behandlingen. Bestämmelsen gäller redan inom polisens brottsbekämpande verksamhet och bör gälla även fortsättningsvis. Däremot bör någon hänvisning till paragrafens andra stycke eller till 46 §, som båda behandlar frågor om vite, inte göras.

Enligt 47 § personuppgiftslagen har Datainspektionen rätt att hos allmän förvaltningsdomstol ansöka om att sådana uppgifter som har behandlats på ett olagligt sätt ska utplånas. Bestämmelsen, som gäller i polisens verksamhet, har sin grund i artikel 28.3 i dataskyddsdirektivet. Där anges att varje nationell tillsynsmyndighet ska ha särskild befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. Bestämmelsen bör vara tillämplig vid behandling av uppgifter enligt den nya lagen. En hänvisning till bestämmelsen bör alltså tas in i lagen.

Frågor om tillsyn behandlas även i avsnitt 17.2.

Skadestånd (48 §) m.m.

Enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den personliga integ-

riteten som en behandling av personuppgifter i strid med den lagen har orsakat. Bestämmelsen gäller vid personuppgiftsbehandling i polisens brottsbekämpande verksamhet.

Det bör finnas en rätt till skadestånd vid skada och kränkning som uppstår när uppgifter behandlas i strid med den nya lagen. En hänvisning till 48 § personuppgiftslagen bör därför tas in i den nya lagen.

I 49 § personuppgiftslagen föreskrivs straffansvar för överträdelser av olika bestämmelser i personuppgiftslagen. Lagrådet har i ett tidigare lagstiftningsärende (prop. 2000/01:33 s. 346) ansett att legalitetsprincipen medför att paragrafen inte kan ges motsvarande tillämpning på bestämmelser som avviker från personuppgiftslagen och som har tagits in i särlagstiftning. Paragrafen kan alltså inte ges en generell tillämpning på de regler som förs in i den nya lagen. Däremot skulle i och för sig en hänvisning kunna tas in i den nya lagen med innebörd att straffbestämmelserna i personuppgiftslagen ska gälla i de delar som personuppgiftslagen ska tillämpas. En sådan ordning kan vid en första anblick förefalla naturlig. Å andra sidan kommer behandlingen av personuppgifter enligt den nya lagen att utföras av personer som är anställda vid statliga myndigheter och som redan omfattas av bestämmelserna om tjänstefel m.m. i brottsbalken. Promemorian ställer sig bakom det uttalande som Polisdatautredningen gör (SOU 2001:92 s. 193) att det inte torde bli aktuellt att tillämpa straffbestämmelsen i personuppgiftslagen mot någon anställd inom polisen (se även prop. 1997/98:97 s. 109). En motsvarande bedömning gjordes vid tillkomsten av lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (prop. 2004/05:164 s. 55). Även reglerna om disciplinansvar för tjänsteförseelse enligt lagen (1994:260) om offentlig anställning bör enligt regeringens mening vägas in när man bedömer behovet av en regel om straffansvar. Det finns inte skäl att nu göra någon annan bedömning än i tidigare lagstiftningsärenden. Någon hänvisning till bestämmelsen om straffansvar bör därför inte göras i den nya lagen.

Överklagande (51–53 §§)

I 51 § första stycket personuppgiftslagen föreskrivs att Datainspektionens beslut enligt lagen om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol. Förslaget om att Datainspektionen ska kunna meddela förbud enligt 44 § eller 45 § första stycket personuppgiftslagen innebär att en hänvisning också bör göras till 51 § första stycket.

Enligt 51 § andra stycket får Datainspektionen bestämma att dess beslut ska gälla även om det överklagas. Frågan är om denna bestämmelse ska gälla för polisens personuppgiftsbehandling. Det kan finnas skäl som talar både för och emot detta. Systematiska skäl kan tala för att regleringen bör utformas på samma sätt, oavsett vem beslutet gäller. Emellertid måste verksamhetsskäl anses tala mot införandet av en sådan möjlighet. Vid en samlad bedömning anser regeringen att Datainspektionen inte bör ges möjlighet att meddela interimistiska beslut i här aktuella fall. Hänvisning i den nya lagen bör därför göras endast till 51 § första stycket personuppgiftslagen.

En myndighets beslut om information, rättelse och underrättelse till tredje man om rättelseåtgärder, information om automatiserade beslut och allmänna upplysningar om pågående behandlingar får, enligt 52 § första stycket personuppgiftslagen, överklagas hos allmän förvaltningsdomstol. Andra beslut enligt personuppgiftslagen får enligt 53 § inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten. I förarbetena till dessa bestämmelser (prop. 2005/06:173 s. 53) uttalades att det efter införandet av en bestämmelse om överklagande i personuppgiftslagen inte är nödvändigt att ta in några överklagandebestämmelser i särskilda registerförfattningar, som hänvisar till personuppgiftslagen. I konsekvens med detta bör den nya lagen inte innehålla någon särskild bestämmelse om överklagande utan i stället enbart hänvisa till personuppgiftslagens bestämmelser om överklagande.

Hänvisningar till S6-4-2

6.5. Personuppgiftsansvar

Regeringens förslag: Rikspolisstyrelsen och varje polismyndighet ska vara personuppgiftsansvariga för den behandling av personuppgifter som respektive myndighet utför. Rikspolisstyrelsen ska även vara personuppgiftsansvarig för behandlingen av personuppgifter i polisens verksamhet vid Ekobrottsmyndigheten. Rikspolisstyrelsen och polismyndigheterna ska var och en utse ett eller flera personuppgiftsombud. Detta – liksom entledigande av personuppgiftsombud – ska anmälas till Datainspektionen.

Utredningens förslag: Rikspolisstyrelsen ska ensam vara personuppgiftsansvarig för de centrala registren i polisens verksamhet.

Remissinstanserna har inte haft något att invända mot förslaget. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Ekobrottsmyndigheten anser att personuppgiftsansvaret för behandling av personuppgifter i polisverksamheten vid myndigheten bör utövas av Ekobrottsmyndigheten. Övriga remissinstanser tillstyrker eller har inte något att invända mot förslaget.

Skälen för regeringens förslag: Enligt 3 § personuppgiftslagen är det den personuppgiftsansvarige som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

Personuppgiftsansvaret kan alltså delas mellan flera.

I registerförfattningar är det vanligt att man tydligt pekar ut vem som är ansvarig för den behandling av uppgifter som regleras i respektive författning. I polisdatalagen finns ingen generell bestämmelse om personuppgiftsansvar. I stället anges för respektive register vem som är personuppgiftsansvarig.

I de fall där det rör sig om behandling av uppgifter i större nationella uppgiftssamlingar, bör, liksom tidigare, Rikspolisstyrelsen vara personuppgiftsansvarig. Om det å andra sidan handlar om personuppgiftsbehandling inom en polismyndighet, bör ansvaret ligga på denna. Denna ordning för personuppgiftsansvaret bör komma till uttryck i den nya lagen.

Enligt den nya lagen bör som huvudregel gälla att den myndighet som utför själva behandlingen också ska ha personuppgiftsansvaret. När det gäller polisverksamhet vid Ekobrottsmyndigheten bedrivs denna av polispersonal som av Ekobrottskansliet vid Rikspolisstyrelsen ställts till Ekobrottsmyndighetens förfogande. Dessa är således inte anställda vid Ekobrottsmyndigheten. Rikspolisstyrelsen leder den verksamhet vid Ekobrottsmyndigheten som bara får utövas av anställda inom polisen (6 § 7 förordningen [1989:773] med instruktion för Rikspolisstyrelsen). Rikspolisstyrelsen är personuppgiftsansvarig för den personuppgiftsbehandling som sker med stöd av polisdatalagen vid myndigheten (prop. 2002/03:144 s. 17).

Ekobrottsmyndigheten anser att myndigheten bör ha personuppgiftsansvar för behandlingen av personuppgifter i polisens brottsbekämpande verksamhet där. Vad som enligt Ekobrottsmyndigheten talar för en sådan lösning är att polisverksamheten där utgör en del av myndighetens samlade verksamhet. Frågan om myndigheten ska vara personuppgiftsansvarig för personuppgiftsbehandlingen i polisiära datasystem övervägdes i nyssnämnda proposition. Någon förändring som motiverar en annan bedömning beträffande vem som ska vara personuppgiftsansvarig har inte skett. Personuppgiftsansvaret för behandling av personuppgifter i polisens brottsbekämpande verksamhet vid Ekobrottsmyndigheten bör alltså utövas av Rikspolisstyrelsen, vilken bedömning också görs i promemorian. I den mån polispersonal vid Ekobrottsmyndigheten behandlar personuppgifter inom ramen för sådan brottsbekämpande verksamhet som faller utanför den nya lagens tillämpningsområde, exempelvis om de behandlar personuppgifter i åklagarväsendets datasystem, är dessa underkastade den reglering som gäller för sådan verksamhet.

Regleringen i 36 § andra stycket personuppgiftslagen ger myndigheterna valfrihet när det gäller frågan om personuppgiftsombud ska utses eller inte (se avsnitt 6.4.2). Behandlingen av personuppgifter i polisens brottsbekämpande verksamhet rör i stor utsträckning uppgifter som får anses integritetskänsliga, vilket gör det särskilt angeläget med den kontroll som kan utövas av ett personuppgiftsombud. Det är också viktigt att enskilda registrerade enkelt kan vända sig till rätt person hos myndigheten bl.a. i frågor om information om behandlingen och om rättelse av felaktiga uppgifter. Mot den bakgrunden bör det ställas krav på att Rikspolisstyrelsen och polismyndigheterna, som ska ha personuppgiftsansvar enligt den nya lagen, ska utse personuppgiftsombud och anmäla dessa till Datainspektionen. Detta bör framgå direkt av lagen. Det kan anmärkas att regeringen gjorde motsvarande bedömning i propositionen Personuppgiftsbehandling hos Försvarsmakten och Försvarets radioanstalt (prop. 2006/07:46 s. 98).

Hänvisningar till S6-5

6.6. Tillgången till personuppgifter

Regeringens förslag: Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter.

Utredningen föreslår inte någon motsvarande bestämmelse.

Remissinstanserna har inte yttrat sig i frågan.

Promemorians förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Flertalet remissinstanser tillstyrker eller har inte något att invända mot förslaget. Datainspektionen anser att en bestämmelse om tillgång till personuppgifter bör ges en restriktiv tolkning och att huvudregeln bör vara att endast de som har ett direkt behov av uppgifterna bör ha tillgång till dem. Inspektionen anser vidare att den i promemorian föreslagna bestämmelsen är mycket allmänt utformad och att det därför bör införas en regel om att närmare föreskrifter om behörighet och säkerhet ska meddelas av regeringen eller den myndighet som regeringen bestämmer.

Skälen för regeringens förslag: Stora informationsmängder som är samlade så att uppgifter är enkelt sökbara på elektronisk väg medför allmänt sett en risk för intrång i den personliga integriteten. Risken för sådant intrång är särskilt stor om det – som ofta är fallet i brottsbekämpande verksamhet – rör sig om känsliga uppgifter. Vem som har rätt att använda uppgifterna och hur de sprids är omständigheter som påverkar risken för intrång i den personliga integriteten. Det är därför viktigt att det säkerställs att integritetskänsliga uppgifter görs tillgängliga bara för dem som behöver uppgifterna för att fullgöra sitt arbete. Detta bör tydligt framgå av den nya lagen. Datainspektionen menar att en bestämmelse om tillgång till personuppgifter bör tolkas restriktivt och att uppgifter i t.ex. en förundersökning bör vara tillgängliga endast för dem som arbetar med denna. En så snäv tolkning av bestämmelsen som Datainspektionen synes förorda skulle lägga hinder i vägen för polisen att utföra sina av statsmakterna påförda uppgifter. I t.ex. en brottsutredning är det många gånger av stor betydelse att polisen kan få information om andra pågående brottsutredningar för att kunna bedöma om det finns några samband mellan utredningarna. Även andra än de som arbetar i en förundersökning bör därför enligt regeringens uppfattning kunna ges möjlighet att få tillgång till uppgifter i undersökningen, om de har ett konkret behov av uppgifterna för att kunna fullgöra sitt arbete.

En bestämmelse om tillgång till personuppgifter bör omfatta både direkt tillgång till automatiserade uppgiftssamlingar och tillgång i allmänhet. Polisen ska således organisera sin verksamhet på ett sådant sätt att obefogad spridning av personuppgifter motverkas.

Modern teknik gör det enklare att organisera verksamheten så att tillgången till uppgifter som behandlas automatiserat begränsas på ett lämpligt sätt. En enskild tjänstemans åtkomst till personuppgifter (behörighet) kan knytas till viss information i stället för till olika register. Därmed kan tillgången till information om en person eller uppgifter knutna till en person begränsas med utgångspunkt från tjänstemannens arbetsuppgifter. De mest känsliga uppgifterna kommer med en sådan ordning att lättare kunna avgränsas och omges av extra integritets- och säkerhetsskydd. Vidare kommer kunskapen om och kontrollen av varje tjänstemans informationstillgång att öka. På förhand bestämda behörigheter som avgör tillgången till uppgifter kan utarbetas. Behörigheterna kan vidare anpassas till olika befattningshavares behov med hänsyn till tjänstenivå och arbetsuppgifter.

Som nämnts är det en grundläggande regel att personuppgifter inte får behandlas, om det inte behövs för att fullgöra en arbetsuppgift. För att

upprätthålla en sådan regel, och motverka att någon användare vidtar otillåtna åtgärder, och därigenom får tillgång till information som denne inte behöver i sitt arbete, krävs det att polisen har säkerhetsarrangemang som gör det möjligt att följa de åtgärder som vidtas med informationen. Denna fråga behandlas närmare i avsnitt 17.1.

Den i promemorian föreslagna bestämmelsen om tillgång till personuppgifter innebär en generell begränsning av åtkomsten till uppgifter för att förhindra att tjänstemän får tillgång till mer information än vad de behöver för att kunna fullgöra sina arbetsuppgifter. Bestämmelsen är, som Datainspektionen påpekar, allmänt hållen. Det är emellertid inte lämpligt att i lagform ange detaljerade riktlinjer för hur tillgången till personuppgifter bör avgränsas. I stället är det polisens och övriga berörda myndigheters uppgift att, utifrån respektive myndighets organisation och struktur, säkerställa att åtkomsten till personuppgifter begränsas i enlighet med bestämmelsen. Som Datainspektionen föreslår bör det tydliggöras att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela närmare föreskrifter om tillgången till personuppgifter. En sådan regel bör därför tas in i den nya lagen.

Hänvisningar till S6-6

7. Tillåtna ändamål för behandlingen

7.1. Lagens ändamålsreglering

Regeringens förslag: I lagen ska det anges för vilka ändamål behandling av personuppgifter får förekomma. Ändamålen ska delas in i primära ändamål och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns inom polisens brottsbekämpande verksamhet. Dessa ändamål är uttömmande angivna i lagen. De sekundära ändamålen avser behandling för olika typer av utlämnande av personuppgifter. I fråga om behandling av personuppgifter för andra sekundära ändamål än de i lagen angivna tillämpas den s.k. finalitetsprincipen.

Utredningens förslag: Personuppgifter ska få behandlas bara om behandlingen är nödvändig för att sådan polisverksamhet som omfattas av lagen ska kunna utföras. Utredningen föreslår också att personuppgifter ska få samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och att senare behandling inte får ske för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt utredningens förslag eller inte haft någon invändning mot det.

Promemorians förslag överensstämmer delvis med regeringens. Promemorian föreslår dock en uttömmande reglering av för vilka ändamål personuppgifter får behandlas och finalitetsprincipen föreslås inte vara tillämplig.

Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot promemorians förslag. Flera remissinstanser anser dock att förslagets sekundära ändamål är alltför begränsande. Åklagarmyndig-

heten och Rikspolisstyrelsen betonar att en uttömmande reglering av ändamålen förutsätter att de sekundära ändamålen får en tillräckligt omfattande räckvidd. Datainspektionen anser att förslaget strider mot de centrala dataskyddsprinciper som innebär att personuppgifter endast får samlas in för specifika och legitima ändamål och att personuppgifterna därefter inte får användas på ett sätt som är oförenligt med insamlingsändamålet. Inspektionen anser vidare att det bör ställas krav på att insamlingsändamålet dokumenteras.

Skälen för regeringens förslag

Ändamålsbestämmelserna bör ge utrymme för att bedriva polisarbetet med modern teknik

Den nya lagen ska vara tillämplig i polisens brottsbekämpande verksamhet. I den verksamheten förekommer personuppgiftsbehandling av vitt skilda slag. Dels förekommer mycket sedvanligt kontorsarbete som tidigare inte innebar behandling av personuppgifter, men som gör det med dagens ordbehandlingsteknik. Självklart måste den nya lagen ge polisen samma möjligheter som andra myndigheter att använda modern teknik för att upprätta vanliga dokument, göra löpande noteringar i arbetet m.m. Sådant teknikutnyttjande innefattar inte heller i sig några påtagliga integritetsrisker. Dels förekommer kvalificerad personuppgiftsbehandling, t.ex. i form av uppbyggandet och förandet av stora uppgiftssamlingar som är tillgängliga för ett flertal personer. Sådan behandling ger givetvis upphov till större risker för intrång i den personliga integriteten.

Ett sätt att komma till rätta med integritetsriskerna kan vara att generellt begränsa möjligheterna till behandling av personuppgifter, t.ex. genom att ställa upp snäva ändamålsbestämmelser för alla slag av behandling. Snäva ändamålsbestämmelser kan emellertid allvarligt försämra polisens möjligheter att använda sig av modern kontorsteknik i det brottsbekämpande arbetet. Ett generellt förbud mot behandling av uppgifter som gäller mindre allvarlig brottslighet, t.ex. snatteri, skulle innebära att polisen inte skulle kunna använda sig av sedvanlig ordbehandling i arbetet med att förebygga eller utreda sådan brottslighet. Detta är uppenbarligen inte rimligt. Ändamålsbestämmelserna bör därför utformas så att de ger utrymme för att bedriva polisarbetet på ett effektivt sätt med modern teknik.

De särskilda risker som vissa slag av personuppgiftsbehandling kan ge upphov till bör alltså motverkas på annat sätt. I avsnitt 9 föreslås att bestämmelserna om personuppgiftsbehandling ska göra skillnad mellan å ena sidan sådan behandling som avser uppgifter som har gjorts gemensamt tillgängliga och å andra sidan annan behandling. Vid behandling av det förra slaget bör det gälla särskilda bestämmelser som kan minimera de integritetsrisker som mera kvalificerad personuppgiftsbehandling kan ge upphov till.

Personuppgiftslagens regler om ändamål

Bestämmelser om för vilka ändamål uppgifter får behandlas har en central roll i registerförfattningar. Genom ändamålen sätts ramen för vilken behandling som är tillåten. Som Datainspektionen framhåller följer det av centrala dataskyddsprinciper att uppgifter endast får samlas in för specifika och legitima ändamål och att insamlade uppgifter inte får behandlas för något ändamål som är oförenligt med det ursprungliga ändamålet. Dessa principer kommer till uttryck bl.a. i artikel 6.1.a i dataskyddsdirektivet och i artikel 3 i dataskyddsrambeslutet. Artikeln i dataskyddsdirektivet har genomförts i svensk rätt genom 9 § första stycket c och d personuppgiftslagen.

I fråga om efterföljande behandling sägs i 9 § andra stycket personuppgiftslagen att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in. I de fall där en tilltänkt behandling inte direkt omfattas av de ursprungliga ändamålen måste det i princip prövas om ändamålet med den senare behandlingen är oförenlig med de ursprungliga ändamålen. Detta följer av den s.k. finalitetsprincipen, som uttrycks i 9 § första stycket d personuppgiftslagen.

Datalagskommittén uttalar i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39 s. 351) att vad som är oförenligt med de ursprungliga ändamålen får bestämmas genom praxis och de mer preciserade regler som regeringen och Datainspektionen kan utfärda.

Den nya lagens ändamålsreglering och finalitetsprincipen

Utgångspunkten i den nya lagen är att personuppgifter får behandlas enbart för vissa berättigade, angivna ändamål. Därmed kan användningen och spridningen av uppgifterna begränsas. Frågan är då hur ändamålsregleringen bör utformas.

Det är vanligt att man i registerförfattningar delar upp ändamålen i primära och sekundära. De primära ändamålen är utformade för att tillgodose den behandling som behövs i de berörda myndigheternas egen verksamhet. Sekundära ändamål reglerar i vilken utsträckning uppgifter, som samlats in för något primärt ändamål, får behandlas för att lämnas ut till enskilda eller till andra myndigheter i syfte att tillgodose deras behov. För polisens del kan det vara fråga om att uppgifter i den brottsbekämpande verksamheten behöver användas i annan polisverksamhet eller att uppgifterna behövs i brottsbekämpande verksamhet som någon annan myndighet bedriver.

Det finns flera olika möjligheter att utforma ändamålsregleringen i registerförfattningar. Det går dock att urskilja två principiellt olika sätt. Det ena är att ange samtliga ändamål för vilka behandling får ske, både primära och sekundära. Det andra är att de i lagen angivna ändamålen kompletteras med en möjlighet att vidarebehandla uppgifter även för ändamål som inte är oförenliga med insamlingsändamålet. Möjligheten till vidarebehandling får således avgöras med tillämpning av finalitetsprincipen. I flertalet registerlagar, däribland polisdatalagen, är ändamålsbestämmelserna utformade enligt det senare alternativet. Även Polisdatautredningen föreslår en sådan lösning. Promemorian förordar däremot att

ändamålen anges uttömmande enligt det förra alternativet. Den lösningen har också valts i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

En utgångspunkt bör vara att tillåtna ändamål anges så tydligt och fullständigt som möjligt. Regeringen anser att de primära ändamålen bör anges uttömmande. En svårare fråga är om även de sekundära ändamålen, som syftar till att beskriva för vilka ändamål uppgifter får tillhandahållas andra, bör anges uttömmande. Det kan finnas fördelar med en sådan reglering. Lagstiftaren kan sägas en gång för alla ha bestämt i vilken utsträckning uppgifter ska få behandlas för att spridas till andra. Under förutsättning att ändamålen är tydligt avgränsade står det genom en sådan reglering klart både för tillämpare och andra vilken personuppgiftsbehandling som får förekomma med stöd av den aktuella lagen. I förarbetena till flera registerlagar har man dock gjort bedömningen att det inte är möjligt att i en lag om personuppgiftsbehandling på ett tillräckligt preciserat sätt ange alla de situationer där utlämnande av uppgifter kan komma att aktualiseras.

Att bedöma nuvarande och förutse framtida behov av att kunna utlämna uppgifter är särskilt svårt i en sådan varierad och omfattande verksamhet som polisens brottsbekämpande verksamhet. Flera remissinstanser har också pekat på att promemorians förslag avseende sekundära ändamål är för begränsande. Även Datainspektionen kritiserar promemorians förslag för att det inte innehåller någon hänvisning till finalitetsprincipen.

Datainspektionen är vidare kritisk till att det saknas krav på att ett närmare preciserat insamlingsändamål anges och dokumenteras. Inspektionen menar att om inte finalitetsprincipen gäller och det inte ställs krav på specifika ändamål tillåts uppgifter flöda fritt inom polisens brottsbekämpande verksamhet.

Inledningsvis kan konstateras att Datainspektionens uppfattning att polisen vid insamling av uppgifter måste ha ett närmare preciserat ändamål för insamlingen, t.ex. att utreda ett visst brott, har fog för sig. Därför föreslår regeringen, i motsats till promemorian, att den nya lagen ska hänvisa till 9 § första stycket c personuppgiftslagen (se avsnitt 6.4.2). Skyldigheten att ha ett preciserat ändamål för insamlingen kan visserligen sägas följa redan av de materiella bestämmelser som styr polisens verksamhet. Detsamma gäller för den fortsatta behandlingen. Varje åtgärd (inklusive vidarebehandling), som polisen vidtar med insamlade uppgifter, måste naturligtvis ske för ett närmare preciserat ändamål (när det gäller lagringen, se avsnitt 14.1). I den nya lagen föreslås vidare bestämmelser som ställer krav på att det av uppgifter som har gjorts gemensamt tillgängliga ska framgå för vilket närmare ändamål en uppgift behandlas, se avsnitt 10. Något annat krav på dokumentation kan inte anses nödvändigt. Något sådant krav finns inte heller i andra registerlagar.

Den hänvisning till 9 § första stycket c personuppgiftslagen som regeringen föreslår ska tas in i den nya lagen innebär således att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt finalitetsprincipen får insamlade uppgifter sedan inte behandlas för ändamål som är oförenliga med det ursprungliga ändamålet.

En av polisens av statsmakterna fastlagda övergripande uppgifter är att utreda brott och bekämpa brottslig verksamhet. Har personuppgifter samlats in för att utreda ett visst brott kan det generellt sett – mot bakgrund av polisens övergripande uppgift – inte anses vara oförenligt med det ursprungliga ändamålet att behandla samma uppgifter för att utreda annat brott eller bekämpa brottslig verksamhet. I vissa undantagsfall har lagstiftaren dock bedömt att behandling för sådana nya ändamål inte bör vara tillåten. Uttrycklig reglering om detta har då införts. Sådan reglering finns i bl.a. 27 kap. 23 a § rättegångsbalken och 12 § lagen (2007:978) om hemlig rumsavlyssning, som begränsar användningen av s.k. överskottsinformation från hemliga tvångsmedel till enbart de fall som direkt anges i paragrafen. Vidare kan det – när svenska myndigheter mottar uppgifter från andra stater – finnas villkor som på grund av en internationell överenskommelse är bindande för de svenska myndigheterna och som begränsar möjligheterna att använda uppgifterna eller bevisningen. I bl.a. 3 § lagen (2000:343) om internationellt polisiärt samarbete och 5 kap. 1 § lagen (2000:562) om internationell rättslig hjälp finns bestämmelser som innebär att svenska myndigheter ska följa sådana villkor oavsett vad som är föreskrivet i lag eller annan författning.

En grundtanke med förslaget är således att det inom polisen bör vara tillåtet att använda sig av uppgifter som samlats in för ett visst brottsbekämpande ändamål för ett annat sådant ändamål, om polisen har behov av detta och det är tillåtet enligt den reglering som gäller för polisens verksamhet. Under sistnämnda förutsättning bör vidarebehandling också få ske om det behövs för brottsbekämpande ändamål hos andra myndigheter eller för vissa andra sekundära ändamål som kan förutses och som anses förenliga med finalitetsprincipen. Genom att ange de primära ändamålen och nämnda sekundära ändamål i lagen görs ställningstagandet att vidarebehandling för dessa ändamål är förenlig med finalitetsprincipen.

Som tidigare nämnts bör enligt regeringens mening de primära ändamålen anges uttömmande i lagen. När det gäller de sekundära ändamålen bör dessa uttryckas så preciserat och fullständigt som möjligt. Mot bakgrund av vad remissinstanserna anför anser regeringen dock att vidarebehandling därutöver bör vara möjlig om den är förenlig med finalitetsprincipen. För andra sekundära ändamål än de som anges i lagen bör utlämnande alltså tillåtas under förutsättning att det i det enskilda fallet inte kan anses oförenligt med insamlingsändamålet att lämna ut uppgifterna. Som Lagrådet har anfört bör detta framgå uttryckligen i den paragraf i den nya lagen där de sekundära ändamålen anges.

I syfte att åstadkomma ett fullgott integritetsskydd kompletteras den föreslagna ändamålsregleringen vidare med andra bestämmelser som sätter gränser för behandlingen, t.ex. bestämmelser om tillgång till uppgifter och om gallring. Det bör vidare framhållas att ett utlämnande alltid måste vara förenligt med offentlighets- och sekretesslagen (2009:400), vilket ger ett grundläggande integritetsskydd.

I avsnitten 7.2–7.4 diskuteras vilka de primära ändamålen för behandlingen av personuppgifter i polisens brottsbekämpande verksamhet bör vara. Lagrådet har väckt frågan om utformningen av lagens primära ändamål är för begränsande. Regeringen gör bedömningen att så inte är fallet. I avsnitt 7.6 behandlas de sekundära ändamålen.

Bestämmelserna om ändamål för behandling av personuppgifter bör inte få hindra rationella rutiner för diarieföring och ärendehantering. Det har föranlett särskilda överväganden som redovisas i avsnitt 7.5.

I 8 § första stycket personuppgiftslagen, som föreslås vara tillämplig på behandlingen av personuppgifter enligt den nya lagen, finns en erinran om att bestämmelserna i personuppgiftslagen inte ska tillämpas i den utsträckning det skulle inskränka skyldigheten enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter. Bestämmelser i grundlag tar över bestämmelser i vanlig lag. Tryckfrihetsförordningens bestämmelser har därför företräde framför bestämmelserna i den nya polisdatalagen. Behandling av personuppgifter kommer därmed alltid att vara tillåten för att uppfylla de krav som offentlighetsprincipen ställer.

Hänvisningar till S7-1

7.2. Förebygga, förhindra eller upptäcka brottslig verksamhet

Regeringens förslag: Personuppgifter ska få behandlas i polisens brottsbekämpande verksamhet, om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet.

Utredningen föreslår att bestämmelserna om kriminalunderrättelseverksamhet och kriminalunderrättelseregister ersätts med bestämmelser om behandling av uppgifter om andra personer än sådana som är misstänkta för brott. Enligt utredningen ska sådana uppgifter få behandlas för att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer. Utredningen föreslår vidare att det under vissa förutsättningar ska vara tillåtet att behandla uppgifter, om det är nödvändigt för att underlätta övervakning av vissa grovt kriminellt belastade personer och personer som kan antas vara farliga.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt eller inte invänt mot förslaget att utmönstra begreppen kriminalunderrättelseverksamhet och kriminalunderrättelseregister. Datainspektionen har dock ansett att nuvarande regler är väl avvägda. Majoriteten av remissinstanserna har ställt sig positiv till förslaget om att införa särskilda bestämmelser om behandling av uppgifter om personer som inte är misstänkta för brott.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Majoriteten av remissinstanserna godtar promemorians förslag eller har inget att invända mot det. Datainspektionen anser att det finns ett stort behov av att modernisera lagstiftningen avseende kriminalunderrättelseverksamhet men tycker att den föreslagna regleringen är för generellt utformad. Den innebär enligt inspektionen att verksamheter med helt olika förutsättningar, behov och risker kommer att styras av samma reglering. Inspektionen efterlyser en analys av hur de olika brottsförebyggande verksamheterna påverkas av regleringen och menar att det inte utan en sådan analys går att göra en proportionalitetsbedömning av det slag som förutsätts enligt bl.a. Europakonventionen.

För behandling av uppgifter som inte har gjorts gemensamt tillgängliga anser inspektionen att den föreslagna regleringen helt saknar begränsningar.

Kustbevakningen anser att rekvisitet ”förebygga” brottslig verksamhet inte bör omfattas av ändamålen. Tullverket delar däremot promemorians uppfattning att ”förebygga” bör inkluderas bland ändamålen.

Skälen för regeringens förslag

Begreppet kriminalunderrättelseverksamhet bör inte användas

Inledningsvis måste ställning tas till i vilken utsträckning personuppgifter bör få behandlas inom ramen för brottsbekämpande verksamhet som inte avser utredning eller beivrande av ett bestämt brott. Hittills har sådan personuppgiftsbehandling skett inom ramen för polisdatalagens (1998:622) bestämmelser om kriminalunderrättelseverksamhet och kriminalunderrättelseregister. Å ena sidan måste polisen, för att kunna bedriva ett framgångsrikt brottsförebyggande arbete, få behandla uppgifter om personer som inte är misstänkta för något konkret brott men väl för att medverka i pågående eller planerad brottslig verksamhet. Å andra sidan skulle en möjlighet för polisen att utan någon närmare begränsning behandla personuppgifter som inte har samband med något konkret brott öppna vägen för en omfattande behandling av personuppgifter med betydande risker för intrång i den personliga integriteten.

Underrättelseverksamhet definieras i 3 § första stycket polisdatalagen som polisverksamhet som består i att samla in, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning enligt 23 kap. rättegångsbalken. Motsvarande definition finns i 2 § första stycket lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och i 2 § första stycket i den numera upphävda lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. I polisdatalagen tar begreppet sikte på all underrättelseverksamhet som bedrivs hos polisen. För sådan underrättelseverksamhet som bedrivs av annan än Säkerhetspolisen används i sistnämnda lag begreppet kriminalunderrättelseverksamhet.

Som tidigare nämnts tillåter polisdatalagen inte att personuppgifter behandlas i kriminalunderrättelseverksamhet annat än under vissa förutsättningar som anknyter till hur polisen ska bedriva sådan verksamhet. En förutsättning är att en särskild undersökning har inletts (14 § första stycket polisdatalagen). Med begreppet särskild undersökning avses en undersökning i kriminalunderrättelseverksamhet som innebär insamling, bearbetning och analys av uppgifter i syfte att ge underlag för beslut om förundersökning eller om särskilda åtgärder för att förebygga, förhindra eller upptäcka brott. Har en särskild undersökning inletts, får personuppgifter behandlas, om det finns anledning att anta att allvarlig brottslighet har utövats eller kan komma att utövas.

Vidare får personuppgifter behandlas i kriminalunderrättelseregister för att ge underlag för de nyss nämnda särskilda undersökningarna eller underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet (17 § polisdatalagen). Sådana register får innehålla

uppgifter som kan hänföras till en enskild person endast om uppgifterna ger anledning att anta att allvarlig brottslig verksamhet utövats eller kan komma att utövas och de som avses med uppgifterna skäligen kan misstänkas för att ha utövat eller komma att utöva den brottsliga verksamheten (19 § polisdatalagen). Vissa indirekta personuppgifter, t.ex. uppgifter om transportmedel, får också behandlas i registren.

Som både Polisdatautredningen och promemorian framhåller är polisdatalagens systematik med reglering av kriminalunderrättelseverksamhet och kriminalunderrättelseregister, ägnad att ge upphov till tillämpningssvårigheter. Definitionen av kriminalunderrättelseverksamhet täcker även sådan behandling av personuppgifter som rimligen inte är så känslig att den behöver regleras särskilt. Den omfattar, utöver det arbete som sker inom ramen för särskilda undersökningar, även polisens dagliga löpande arbete med att hantera information som på olika sätt kan bidra till att förebygga, förhindra eller upptäcka brottslig verksamhet. Eftersom polisdatalagen utgår från att all behandling av uppgifter för de nu aktuella ändamålen ska ske inom ramen för särskilda undersökningar eller kriminalunderrättelseregister, har lagen kommit att försvåra polisens arbete med att verka problemorienterat och brottsförebyggande. Samtidigt har regleringen skapat oklarheter beträffande flera andra register som polisen för. Polisdatautredningen och promemorian pekar på att det kan ifrågasättas om inte behandlingen av personuppgifter i vissa existerande polisregister till viss del skulle kunna tolkas som kriminalunderrättelseverksamhet i polisdatalagens mening. Behandlingen skulle därmed inte vara tillåten annat än under de särskilda förutsättningar som gäller för behandling av uppgifter i kriminalunderrättelseverksamhet.

Av dessa skäl bör man, som både Polisdatautredningen och promemorian föreslår, inte använda begreppet kriminalunderrättelseverksamhet i den nya lagen.

Ändamålen bör vara att förebygga, förhindra eller upptäcka brottslig verksamhet

Som nyss har nämnts användes begreppet underrättelseverksamhet i den numera upphävda lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Begreppet fördes dock inte över till den nuvarande lagen i samma ämne. Den lagen innehåller i stället bestämmelser om behandling av personuppgifter för ändamålen att förhindra eller upptäcka brottslig verksamhet. Samma lösning bör väljas för polisens del. I förtydligande syfte bör bestämmelsen även innehålla ordet förebygga. Tullverket uttalar sitt stöd för detta tillägg. Av den nya lagen bör alltså framgå att personuppgifter får behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet. Därmed kommer bestämmelsen att ge utrymme för personuppgiftsbehandling inom all egentlig brottsbekämpande verksamhet inom polisen som inte direkt kan knytas till en brottsutredning, däribland behandling i polisens underrättelseverksamhet. Både behandling av mera rutinmässig karaktär, t.ex. ordbehandling, och behandling av mera kvalificerat slag kommer att omfattas av bestämmelsen.

Kustbevakningen anser att det strider mot en väl etablerad rättslig terminologi att låta ”förebygga brottslig verksamhet” omfattas av beskrivningen av kriminalunderrättelseverksamhet och att det skapar en påtaglig otydlighet i förhållande till den ordningshållande verksamheten. Som nyss nämnts är avsikten inte att det nu behandlade ändamålet enbart ska omfatta vad som traditionellt sett har betecknats som kriminalunderrättelseverksamhet, utan vara något vidare. Frågan om eventuella gränsdragningsproblem i förhållande till annan polisiär verksamhet behandlas i avsnitt 6.3.

Vilka begränsningar bör gälla för behandlingen?

Regleringen i polisdatalagen av behandling av personuppgifter i kriminalunderrättelseverksamhet har som tidigare nämnts lett till tillämpningsproblem. Regleringen av formen för behandlingen i särskilda undersökningar och kriminalunderrättelseregister har dessutom ansetts för begränsande för att tillgodose polisens behov av att bedriva en modern och effektiv brottsbekämpande verksamhet.

Frågan är om det är lämpligt att i en lag som reglerar personuppgiftsbehandling reglera i vilken form en myndighet ska bedriva sitt arbete. Så bör vara fallet endast om det är nödvändigt för regleringen av själva personuppgiftsbehandlingen. Avsikten med en sådan lag bör inte vara att detaljreglera en myndighets verksamhet. En detaljreglering försvårar också myndighetens möjlighet att anpassa sina arbetsformer till förändrade krav och förväntningar. Från integritetsskyddssynpunkt är det, som både Polisdatautredningen och promemorian har funnit, inte nödvändigt att i den nya lagen införa bestämmelser om arbete i projektform motsvarande de bestämmelser som finns om s.k. särskilda undersökningar. Från integritetsskyddssynpunkt finns det inte heller skäl att införa särskilda bestämmelser om kriminalunderrättelseregister.

Som nämns i avsnitt 7.1 och utvecklas närmare i avsnitt 9, bör olika regler gälla för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga och behandling av personuppgifter som endast ett fåtal tjänstemän har tillgång till. Skillnad bör göras mellan behandling av personuppgifter som sker i större respektive mindre projekt. Utgångspunkterna som bör gälla för gränsdragningen mellan större och mindre projekt redovisas i avsnitt 9.1. Som polisen har påpekat kommer den allra största delen av dess personuppgiftsbehandling att omfattas av reglerna för behandling av gemensamt tillgängliga uppgifter. För denna behandling bör ett flertal begränsande bestämmelser gälla som syftar till att åstadkomma en väl avvägd balans mellan verksamhetsintressen och integritetsskyddsintressen (jfr bl.a. avsnitt 9–11 och 14). För övrig behandling som behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet är det däremot tillräckligt från integritetsskyddssynpunkt att grundläggande dataskyddsbestämmelser gäller.

Regeringen delar således inte Datainspektionens uppfattning att den reglering som föreslås i promemorian inte begränsar polisens möjligheter att behandla personuppgifter i tillräckligt hög grad. Det finns andra bestämmelser som styr hur polisen ska bedriva sin verksamhet. Den polisman som – för att ta ett av inspektionens exempel – i den egna datorn

samlar uppgifter om allmänt misskötsamma ungdomar utan att ha ett bestämt brottsbekämpande syfte med behandlingen gör sig sannolikt skyldig till en tjänsteförseelse som kan beivras disciplinärt. Det bör dock betonas att det i det brottsförebyggande arbetet kan finnas sakliga skäl för exempelvis närpolisen att anteckna uppgifter om ungdomar i närområdet som bedöms befinna sig i riskzonen för att inleda en brottslig bana. Bedömningen kan t.ex. grunda sig på information från skola, föräldrar eller socialtjänst. Sådana noteringar har polisen alltid gjort. Bara för att anteckningar numera sker med hjälp av en dator bör behandlingen inte anses otillåten.

Vilken verksamhet omfattas av ändamålen?

Behandling av personuppgifter i brottsbekämpande verksamhet där det inte finns någon misstanke om ett konkret brott är särskilt känslig från integritetssynpunkt. Som Datainspektionen framhåller ingår i polisens uppgifter verksamheter av skilda slag där behovet av att behandla integritetskänsliga uppgifter varierar. Datainspektionen efterfrågar en redogörelse för de skilda behov och förutsättningar som olika brottsförebyggande verksamheter medför och en analys av hur den föreslagna regleringen kan komma att påverka de olika verksamheterna. Nedan följer en beskrivning av den verksamhet som är tänkt att omfattas av ändamålen förebygga, förhindra eller upptäcka brottslig verksamhet och hur polisen organiserar detta arbete. Redogörelsen är inte uttömmande. Den illustrerar svårigheten att dra en klar gräns mellan de olika verksamheter som inryms i ändamålen.

Den verksamhet som framför allt avses med de aktuella ändamålen är den som normalt kallas underrättelseverksamhet. Arbetet består främst i att samla in, bearbeta och analysera information och bedrivs numera enligt polisens underrättelsemodell (PUM). Detta är en modell för ledning och styrning av planlagd operativ polisverksamhet där beslut om inriktning, prioritering och genomförande baseras på underrättelser och annan relevant kunskap. Enligt modellen ska underrättelseverksamhet bedrivas på lokal, regional och central nivå. Polisen beskriver den nuvarande verksamheten på följande sätt.

Den lokala kriminalunderrättelsetjänsten finns på samtliga polismyndigheter och utgör basen i underrättelseverksamheten. Dels arbetar den med de problem som är viktiga för den egna polismyndigheten, dels medverkar den i kriminalunderrättelseverksamhet som har regional, nationell och internationell bäring.

regional nivå finns för närvarande sju samverkansområden. För att knyta samman den lokala och nationella kriminalunderrättelseverksamheten finns det, utifrån vad som överenskommits mellan polismyndigheterna i respektive samverkansområde, en regional nivå för kriminalunderrättelsetjänsten. Den regionala kriminalunderrättelsetjänsten ska vara samverkans- och samordningsfunktion för kriminalunderrättelsetjänsten inom respektive samverkansområde samt mellan dessa områden. Den ska också utgöra en länk till Rikskriminalpolisens nationella kriminalunderrättelsetjänst. Polismyndigheterna i Västra Götaland, Stockholms län och Skåne har under några år i projektform drivit regionala underrättelse-

centrum där både brottsbekämpande och andra myndigheter ingår. Exempel på det senare är Kronofogdemyndigheten och Skatteverkets fiskala del. Dessa underrättelsecentrum har under våren 2009 permanentats och fem nya har inrättats.

Den nationella kriminalunderrättelseverksamheten bedrivs vid Rikskriminalpolisen och är huvudsakligen inriktad mot grova brott och grov organiserad brottslighet på nationell och internationell nivå. Rikskriminalpolisen ska inom vissa prioriterade områden bedriva långsiktiga operativa underrättelseprojekt samt strategiska projekt. Underrättelsesektionen vid Rikskriminalpolisen utgör således ett nationellt underrättelsecentrum. Av intresse här är Rikskriminalpolisens del i samordningen av den nationella satsningen mot grov organiserad brottslighet i Samverkansrådet och i det Operativa rådet.

I departementspromemorian Nationell mobilisering mot den grova organiserade brottsligheten – överväganden och förslag (Ds 2008:38) lämnas ett flertal förslag, bl.a. på hur organisationen av polisens underrättelseverksamhet kan utvecklas. Med anledning av promemorian gav regeringen i juli 2008 Rikspolisstyrelsen i uppdrag att vidta åtgärder för att säkerställa en effektiv och uthållig verksamhet för bekämpning av den grova organiserade brottsligheten (dnr Ju2008/5776/PO). I slutredovisningen av uppdraget framgår bl.a. att polisen har vidtagit följande åtgärder (dnr Ju2009/5516/PO).

Förutom att det har inrättats ytterligare fem regionala underrättelsecentrum har det tidigare Operativa rådet vid Rikskriminalpolisen delats upp i ett samverkansråd och ett nytt operativt råd. Råden består av representanter för polisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen, Skatteverket, Kriminalvården och Kronofogdemyndigheten. Samverkansrådet har som huvuduppgift att besluta om en gemensam nationell inriktning för insatserna mot grov organiserad brottslighet. Operativa rådet har till uppgift att fatta beslut om operativa insatser mot grov organiserad brottslighet som förutsätter medverkan från olika myndigheter. Inom polisen har det vidare inrättats en nationell strategisk ledningsgrupp för att fastställa en polisiär gemensam strategisk inriktning för arbetet mot den grova organiserade brottsligheten. I denna ingår, utöver representanter för Rikspolisstyrelsen, länspolismästarna vid de polismyndigheter som har regionala underrättelsecentrum.

Inhämtning av underrättelseinformation sker på flera olika sätt. I stor utsträckning sker det genom öppna källor, men en inte obetydlig del av inhämtningen sker genom informatörer eller andra hemliga källor. En viktig del i underrättelsetjänsten utgörs av s.k. inre spaning, dvs. sökande efter information som redan finns tillgänglig inom polisen. I detta arbete ingår bl.a. sökning i register. Genom samarbete med andra myndigheter, företag och andra inhämtas också information. Även internationellt samarbete spelar en stor roll. Det gäller såväl organiserat polisiärt samarbete i multilaterala eller bilaterala former som mera informellt sådant samarbete. Genom kontakter med bl.a. myndigheter i andra länder får polisen också information inom ramen för underrättelseverksamhet.

Utifrån hur polisen organiserat sin underrättelseverksamhet kan, något förenklat, polisens underrättelsemodell beskrivas på följande sätt. Kriminalunderrättelsetjänsten samlar in information, både på egen hand och genom att ta emot information som samlas in av andra enheter inom

polisen. Informationen bearbetas och analyseras och leder fram till underrättelser. Underrättelserna delges den operativa ledningen som med underrättelserna som underlag fattar beslut om prioriteringar och adekvata brottsförebyggande aktiviteter (planlagd linjeverksamhet och planlagd insats). Kriminalunderrättelsetjänsten avgör vilken underrättelseinformation som ska delges de tjänstemän inom polisen som bedriver brottsbekämpande verksamhet. Vilka uppgifter som delges styrs av de prioriteringar som den operativa ledningen har beslutat och av överväganden som tar sikte på integritetsskyddsintressen.

Den aktuella modellen bygger således på ett flöde av information. Alla anställda inom polisen har ett ansvar för att inhämta information. Om en polisman gör iakttagelser som bedöms ha samband med misstänkt brottslig verksamhet ska informationen samlas in, dokumenteras och vidarebefordras till kriminalunderrättelsetjänsten. Informationsinhämtningen ska koncentreras till prioriterade problem. Kriminalunderrättelsetjänsten ansvarar för att annan personal inom polisen ständigt hålls informerad om inom vilka områden uppgifter främst efterfrågas, dvs. vilka de prioriterade underrättelsebehoven är. Polismän i yttre tjänst ska känna till vilka företeelser eller personer som det är särskilt viktigt att vara uppmärksam på. Den information som delges polismän i yttre tjänst kan vara av mer generellt slag eller avse vissa utpekade personer, t.ex. några som misstänks för delaktighet i brottslig verksamhet. Merparten av underrättelseinformationen stannar inom kriminalunderrättelsetjänsten. Det är i huvudsak slutsatserna av analys och bearbetning som förmedlas till andra delar av polisen.

Den beskrivna modellen förutsätter att uppgifter som inte rör misstanke om något konkret brott men väl misstanke om brottslig verksamhet, får behandlas automatiserat. Sådan behandling behövs bl.a. för insamling, dokumentation, förmedling till kriminalunderrättelsetjänsten, bearbetning och analys samt för vidareförmedling av relevant underrättelseinformation.

Personuppgiftsbehandling behövs enligt regeringens mening både i verksamhet vid särskilda underrättelseenheter och i den operativa verksamheten som i polisens underrättelsemodell beskrivs som planlagd linjeverksamhet och planlagd insats. Behoven av att behandla uppgifter och omfattningen av behandlingen skiljer sig dock åt.

Brottsförebyggande arbete bedrivs ofta i projektform på lokal, regional och nationell nivå. Storleken på projekten varierar liksom varaktigheten. Projekt är inte sällan myndighetsöverskridande. Den verksamhet som bedrivs kan sägas vara underrättelsestyrd eftersom projekten ofta startas för att komma till rätta med någon typ av brottslighet som är prioriterad. Syftet med ett projekt kan bl.a. vara att ta fram modeller och metoder i arbetet med att förebygga brott inom ett visst område. Många projekt bedrivs utan att någon personuppgiftsbehandling är nödvändig. Andra projekt förutsätter sådan behandling. Som exempel på det senare kan nämnas projekt som syftar till att komma till rätta med ungdomsbrottsligheten i ett visst område. Sådana projekt bedrivs för närvarande vanligtvis inom ramen för en särskild undersökning.

Sammanfattningsvis har polisen ett stort behov av att kunna behandla personuppgifter även i sådan brottsbekämpande verksamhet som inte avser utredning eller beivrande av ett bestämt brott. En grundläggande

förutsättning bör vara att behandlingen ska behövas för att förebygga, förhindra eller upptäcka brottslig verksamhet.

I sammanhanget är det viktigt att framhålla att underrättelseverksamhet i traditionell mening även fortsättningsvis kommer att bedrivas vid särskilda enheter med särskilt utbildade tjänstemän. Det är också en naturlig del i underrättelsearbete att begränsa antalet tjänstemän som får del av viss information, t.ex. när man kartlägger organiserad eller annan allvarlig brottslighet. Det innebär allmänt sett en risk att sprida uppgifter av underrättelsekaraktär till en vidare krets. Den faktiska tillgången till uppgifter kommer alltså att variera beroende på hur känsliga uppgifterna är och behovet av tillgång till uppgifterna. Utvecklingen inom polisen går mot att öka kompetensen hos den personal som analyserar och bearbetar särskilt känslig information. Vidare utvecklas fortlöpande olika modeller för att värdera information.

Hänvisningar till S7-2

7.3. Utreda och beivra brott

Regeringens förslag: Personuppgifter ska få behandlas i polisens brottsbekämpande verksamhet, om det behövs för att utreda eller beivra brott.

Utredningens förslag: Personuppgifter ska alltid få behandlas, om det är nödvändigt för att bedriva utredning i fråga om brott som hör under allmänt åtal.

Remissinstanserna har tillstyrkt utredningens förslag eller inte haft någon invändning mot det.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet av remissinstanserna tillstyrker eller har inget att invända mot promemorians förslag. Datainspektionen anser att den föreslagna ändamålsbestämmelsen har en låg grad av konkretion och att det torde krävas att det anges för vilket närmare slag av brott som behandling sker.

Skälen för regeringens förslag: Att utreda och beivra brott är en central uppgift för polisen. Arbetet sker framför allt inom ramen för förundersökningar enligt 23 kap. rättegångsbalken. Exempel på sådant arbete är spaning, förhör, informationsbearbetning och olika former av beslutsfattande, bl.a. om tvångsmedelsanvändning. Till uppgiften att utreda och beivra brott hör också sådant arbete som sker inom ramen för förenklade förfaranden vilka kan mynna ut i utfärdande av strafföreläggande eller föreläggande av ordningsbot. Hit hör även utredningar som polisen gör enligt reglerna i 23 kap. rättegångsbalken med stöd av bestämmelser i särskilda författningar, t.ex. utredning enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare, 9 § lagen (1988:688) om besöksförbud, 8 § lagen (2005:321) om tillträdesförbud vid idrottsarrangemang, 16 § lagen (1957:668) om utlämning för brott, 10 § lagen (1959:254) om utlämning för brott till Danmark, Finland, Island och

Norge och 4 kap. 3 § lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder. I arbetet med att utreda och beivra

brott innefattas också sådan behandling av personuppgifter som sker med stöd av 23 kap.3 och 8 §§rättegångsbalken innan förundersökning har inletts samt andra åtgärder som vidtas i syfte att samla in underlag för beslut om huruvida förundersökning ska inledas eller inte, s.k. förutredning. Till uppgiften att beivra brott hör främst föreläggande av ordningsbot men också biträde åt åklagare bl.a. i ärenden om undanröjande av ordningsbot eller strafföreläggande, ändring av påföljd och utlämning för verkställighet av straff.

Arbetet med att utreda och beivra brott skiljer sig åt från arbetet med att förebygga, förhindra eller upptäcka brottslig verksamhet. I det förra fallet utförs arbetet med anledning av att ett konkret brott har eller misstänks ha begåtts, medan arbetet i det senare fallet utförs med anledning av misstankar om pågående brottslig verksamhet som inte kan konkretiseras eller allmänna misstankar om framtida brott. Det är självklart att personuppgifter måste få behandlas även inom ramen för arbetet med att utreda och beivra brott. En förutsättning är givetvis att behandlingen behövs för ändamålet.

Datainspektionen anser att de i promemorian föreslagna ändamålen är för vaga och torde rymma de flesta uppgifter som skulle kunna samlas in.

Som nämns i avsnitt 7.2 regleras emellertid polisens verksamhet av en mängd olika bestämmelser som gäller utöver regleringen av personuppgiftsbehandling. De bestämmelser som styr polisens verksamhet att utreda och beivra brott torde regelmässigt utesluta varje form av åtgärd i fall där koppling saknas till en specifik brottsmisstanke. Här kan bl.a. erinras om skyldigheten att fatta ett formellt beslut om att inleda förundersökning och att dokumentera detta enligt 1 a § förundersökningskungörelsen (1947:948). Motsvarande krav gäller när en förundersökning utvidgas till att omfatta nya brott. Mot denna bakgrund kan det inte anses nödvändigt med några ytterligare begränsningar i fråga om vilka uppgifter som ska få behandlas för ändamålen utreda eller beivra brott. På samma sätt som föreslås i fråga om personuppgiftsbehandling för att förebygga, förhindra eller upptäcka brottslig verksamhet bör endast de grundläggande bestämmelserna i den nya lagen vara tillämpliga så länge uppgifterna inte görs gemensamt tillgängliga.

Hänvisningar till S7-3

  • Prop. 2009/10:85: Avsnitt 22.1
  • Prop. 2010/11:129: Avsnitt 8.3.3

7.4. Internationellt samarbete

Regeringens förslag: Personuppgifter ska få behandlas i polisens brottsbekämpande verksamhet, om detta krävs för att fullgöra ett internationellt åtagande.

Utredningen föreslår inte några särskilda ändamålsbestämmelser för det internationella samarbetet.

Remissinstanserna har inte yttrat sig i saken. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot promemorians förslag. Rikspolisstyrelsen påpekar att samarbetet inom Interpol sker på grundval av överenskommelser

mellan medlemsstaterna och att det är tveksamt om det omfattas av promemorians definition av ”internationella åtaganden”. Styrelsen anser därför att Interpol-samarbetet bör kommenteras särskilt under den fortsatta beredningen. Styrelsen anser vidare att det bör klargöras att trafikövervakning inom ramen för EU-samarbetet omfattas av den föreslagna lagen.

Skälen för regeringens förslag: Med ökad internationalisering och större rörlighet för såväl personer och kapital som varor och tjänster följer starkare krav på polisiärt samarbete över gränserna, särskilt om allvarlig och organiserad brottslighet ska kunna bekämpas effektivt. Det polisiära samarbetet regleras i stor utsträckning genom olika internationella överenskommelser, såväl multilaterala som bilaterala. En självklar utgångspunkt är att Sverige på bästa sätt ska fullgöra sina internationella åtaganden i fråga om polisiärt samarbete över gränserna. Med internationella åtaganden avses här folkrättsligt bindande förpliktelser. Sådana åtaganden avser framför allt samarbete med utländska brottsbekämpande myndigheter och med mellanfolkliga organisationer. Samarbetet behöver inte avse brott eller brottslig verksamhet inom den svenska polisens ansvarsområde.

Om det finns ett förpliktande åtagande för polisen att samla in, bearbeta eller lämna ut uppgifter till en utländsk myndighet eller en mellanfolklig organisation måste detta åtagande kunna fullgöras med hjälp av modern teknik. Den nya lagen bör därför ge möjlighet till personuppgiftsbehandling i internationellt samarbete. Mot bakgrund härav föreslås en särskild ändamålsbestämmelse som ger stöd för sådan behandling av personuppgifter.

En stor del av det polisiära samarbetet över gränserna äger rum som ett led i förebyggande, utredning eller lagföring av svensk brottslighet, t.ex. när en svensk myndighet begär rättslig hjälp i en annan stat. Behandlingen av personuppgifter och utlämnandet av information sker då med stöd av de primära ändamålen att förebygga, förhindra eller upptäcka brottslig verksamhet eller att utreda eller beivra brott i Sverige.

Polisens internationella samarbete regleras i en rad olika författningar. Några av de viktigaste är lagen (2000:343) om internationellt polisiärt samarbete, lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar och lagen (2000:344) om Schengens informationssystem. Dessa lagar tar direkt sikte på polisiärt samarbete över gränserna. För att fullgöra åtaganden om sådant samarbete måste polisen kunna behandla personuppgifter i den utsträckning som den konkreta arbetsuppgiften kräver det. Det som regleras i nyssnämnda författningar är främst vilka typer av samarbete som ska förekomma. Hur kommunikationen ska ske ägnas mindre utrymme.

Lagar som reglerar rättslig hjälp, bl.a. lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen (1957:668) om utlämning för brott, lagen (1959:254) om utlämning för brott till Danmark, Finland, Island och Norge och lagen (2005:500) om erkännande och verkställighet inom Europeiska unionen av frysningsbeslut, bygger också på folkrättsligt bindande överenskommelser. Indirekt ställs det samma krav på behandling av personuppgifter vid rättslig hjälp som vid polisiärt samarbete över gränserna. Enligt den svenska regleringen är det åklagare som ger rättslig hjälp, men i det praktiska utredningsarbetet och vid verkställighet av

tvångsmedel anlitar åklagaren biträde av polisen på samma sätt som i en svensk brottsutredning. Det innebär att polisen måste kunna behandla personuppgifter i ett ärende om rättslig hjälp i samma utsträckning som i en förundersökning.

Det internationella samarbetet äger i allt större utsträckning rum genom direktkontakter mellan polismyndigheter. En ökande del av det polisiära samarbetet sker dock via den internationella kriminalpolisorganisationen ICPO-Interpol (Interpol) eller det polisiära samarbetsorganet inom EU, Europol. Det finns inte några särskilda författningar som reglerar polisens samarbete med dessa organ. De författningsbestämmelser som reglerar samarbetet, och som är av intresse i detta sammanhang, rör informationsutbyte och finns i polisdatalagen, lagen om belastningsregister, lagen om misstankeregister samt lagen om Schengens informationssystem.

Det kan anmärkas att det utbyts stora mängder information i det internationella samarbetet. Som exempel kan nämnas att under år 2007 tog Interpol Stockholm emot 43 500 elektroniska meddelanden och skickade omkring 6 300 meddelanden. Till Sirene-kontoret (Schengen/SIS) inkom ungefär 44 000 meddelanden och skickades omkring 5 000 formulär. Det är således fråga om material i sådan omfattning att det omöjligen kan hanteras manuellt. Åtagandena att lämna och ta emot information måste således kunna fullgöras med hjälp av modern teknik.

Det sagda innebär att det krävs att den nya lagen medger behandling av personuppgifter för att fullgöra internationella åtaganden. Den behandling som åsyftas kan bestå i insamlande och sammanställning av skriftligt material, kontroll i register eller annat. I vissa fall kan det vara fråga om personuppgiftsbehandling som sträcker sig över en längre tid.

På sikt kommer sannolikt en del av dagens informationsutbyte – inom främst EU – att ersättas av system där polismyndigheter i olika länder får direktåtkomst till vissa uppgifter i varandras register. En sådan förändring inverkar dock inte på polisens behov av att kunna behandla uppgifter som ett led i internationellt samarbete.

Rikspolisstyrelsen väcker frågan om Interpol-samarbetet utgör ett sådant internationellt åtagande som avses i promemorians förslag. Interpol är en organisation för polissamarbete som av Förenta Nationerna har erkänts som en mellanstatlig organisation. De förpliktelser för svenskt vidkommande som kan följa med medlemskapet i Interpol får anses vara ett sådant åtagande som, enligt den föreslagna lagen, medger behandling av personuppgifter.

Rikspolisstyrelsen anser också att det bör klargöras att övervakning av vägtrafiken inom ramen för EU-samarbetet omfattas av den föreslagna lagen. Som redovisas i avsnitt 6.3 bör lagens tillämpningsområde omfatta endast den brottsbekämpande verksamheten medan personuppgiftsbehandling i annan polisiär verksamhet ska regleras av personuppgiftslagen. Då flera olika verksamheter inom polisen, däribland trafikövervakning, kan utgöra såväl brottsbekämpande som icke-brottsbekämpande verksamhet innebär en sådan gränsdragning att polisen i varje enskilt fall måste ta ställning till syftet med en viss åtgärd eller behandling. I den mån EU-samarbetet ålägger polisen att t.ex. lagra och utbyta trafikövervakningsinformation som innehåller personuppgifter får polisen avgöra om behandlingen sker inom ramen för brottsbekämpande verksamhet

eller inte. Är det fråga om brottsbekämpande verksamhet omfattas behandlingen av den nya lagen.

Hänvisningar till S7-4

7.5. Behandling av uppgifter för diarieföring m.m.

Regeringens förslag: Personuppgifter ska alltid få behandlas om behandlingen är nödvändig för diarieföring eller om uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Utredningens förslag överensstämmer delvis med promemorians. Utredningen föreslår en särskild bestämmelse enligt vilken det alltid ska vara tillåtet att diarieföra personuppgifter och behandla dem i löpande text, om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Med löpande text avses enligt utredningen text som inte har strukturerats så att sökning av personuppgifter underlättas.

Remissinstanserna har inte haft någon invändning mot förslaget. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser tillstyrker eller har inte något att invända mot förslaget. Kustbevakningen anför att bestämmelsen möjligen bör formuleras på ett annat sätt eftersom begreppet ”diarieföring” inte återfinns i sekretesslagens (numera offentlighets- och sekretesslagen; 2009:400) bestämmelser om registrering och utlämnande av allmänna handlingar. Sveriges advokatsamfund efterfrågar förtydliganden och anser bl.a., liksom Skatteverket, att det bör klargöras hur förslaget förhåller sig till de föreslagna bestämmelserna om gemensamt tillgängliga uppgifter.

Skälen för regeringens förslag

Det bör införas en särskild ändamålsbestämmelse för diarieföring m.m.

Rikspolisstyrelsen och polismyndigheterna tar dagligen emot stora mängder information av vitt skilda slag, ofta i elektronisk form. De inkommande uppgifterna kan utgöra en del av en allmän handling i tryckfrihetsförordningens mening. Enligt 5 kap. 1 § offentlighets- och sekretesslagen gäller som huvudregel att allmänna handlingar som kommit in till eller upprättats hos en myndighet ska registreras, dvs. diarieföras, så snart som möjligt. Syftet med bestämmelsen är bl.a. att garantera allmänhetens rätt att få tillgång till allmänna handlingar. I 5 kap. 2 § offentlighets- och sekretesslagen uppställs vissa minimikrav beträffande uppgifterna i ett register. När en handling registreras ska det av registret framgå (1) datum då handlingen kom in eller upprättades, (2) diarienummer eller annan beteckning handlingen fått vid registreringen, (3) i förekommande fall uppgifter om handlingens avsändare eller mottagare och (4) i korthet vad handlingen rör. Utgångspunkten är att dessa uppgifter ska vara tillgängliga för allmänheten. Uppgifterna under punkterna 3 och 4 ska utelämnas eller särskiljas, om det behövs för att registret i övriga delar ska kunna företes för allmänheten.

Vid sidan av skyldigheten att registrera allmänna handlingar ska enligt 5 § andra stycket förvaltningslagen (1986:223) en myndighet se till att det är möjligt för enskilda att kontakta myndigheten med hjälp av bl.a. epost och att svar kan lämnas på samma sätt.

Som framgår av avsnitt 7.1 föreslås att ändamålsregleringen utformas så att de primära ändamålen, dvs. de ändamål som ska tillgodose behovet av personuppgiftsbehandling i polisens egen verksamhet, anges uttömmande. Bestämmelserna ger polisen möjlighet att behandla personuppgifter som behövs bl.a. för att förebygga, förhindra eller upptäcka brottslig verksamhet eller för att utreda eller beivra brott. När en personuppgift kommer in till en myndighet, t.ex. i ett e-postmeddelande, kan det många gånger vara svårt att avgöra för vilket ändamål, om något, som det finns behov av att behandla uppgiften. I den mån personuppgiften utgör en del av en allmän handling måste den ändå utan dröjsmål kunna behandlas för diarieföring. Därutöver måste myndigheten alltid kunna leva upp till de krav på kommunikation med enskilda som ställs i förvaltningslagen. Det måste alltså finnas en möjlighet att ta emot och diarieföra personuppgifter i elektronisk form, liksom att behandla dem i det ärende som handlingen föranleder, oavsett om myndigheten anser att dessa behövs eller inte.

Mot denna bakgrund bör, som både Polisdatautredningen och promemorian föreslår, det införas bestämmelser som säkerställer att polisen alltid kan diarieföra allmänna handlingar samt ta emot och behandla personuppgifter i en handling i enlighet med förvaltningslagens bestämmelser. Bestämmelserna bör endast ge utrymme för sådan behandling som krävs för en korrekt hantering av en inkommen handling, i huvudsak diarieföring eller mottagande och besvarande av en framställan. Det är således inte möjligt att med stöd av de aktuella bestämmelserna behandla uppgifter i en brottsutredning eller i underrättelseverksamhet. Sådan behandling ska i stället ske med stöd av någon av de övriga ändamålsbestämmelserna. Bestämmelserna om diarieföring m.m. bör utformas i överensstämmelse med promemorians förslag. Uttrycket ”löpande text” bör inte användas i författningstexten, eftersom informationstekniken medger att även texter som inte på förhand har strukturerats på ett visst bestämt sätt kan bli föremål för detaljerade och preciserade sökningar. Av bestämmelserna bör framgå att personuppgifter alltid får behandlas, dels om behandlingen är nödvändig för diarieföring, dels om uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Kustbevakningen pekar på att man i de aktuella bestämmelserna i sekretesslagen inte använder begreppet ”diarieföring” och väcker frågan om bestämmelserna om diarieföring m.m. möjligen bör formuleras om. Det finns enligt regeringens mening inte skäl att frångå promemorians formulering, som tydligt beskriver den behandling som avses. Begreppet ”diarieföring” får vidare anses vara ett vedertaget begrepp för den typ av registrering som regleras i 5 kap. offentlighets- och sekretesslagen.

Förhållandet till bestämmelserna om gemensamt tillgängliga uppgifter

Som diskuteras närmare i avsnitt 9 kommer den föreslagna lagen att skilja mellan personuppgifter som endast ett fåtal personer har tillgång till och personuppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet. För gemensamt tillgängliga uppgifter föreslås lagen innehålla särskilda, mera begränsande, bestämmelser. Skatteverket och Sveriges advokatsamfund efterfrågar en analys av hur de föreslagna bestämmelserna om diarieföring m.m. förhåller sig till bestämmelserna om gemensamt tillgängliga uppgifter.

Personuppgifter som behandlas med stöd av de föreslagna bestämmelserna om diarieföring m.m. kommer i vissa fall att bli tillgängliga för en större krets personer, t.ex. i diarier. De skulle därmed i och för sig kunna sägas utgöra gemensamt tillgängliga uppgifter. De föreslagna bestämmelserna för gemensamt tillgängliga uppgifter har till syfte att reglera sådan behandling som sker i för verksamheten gemensamma uppgiftssamlingar. Syftet med de nu aktuella ändamålsbestämmelserna är emellertid inte att möjliggöra behandling av personuppgifter i den brottsbekämpande verksamheten i sig. Det är i stället fråga om en särreglering som tar sikte på sådan behandling av personuppgifter som inte ryms i de primära ändamålen men som polisen ändå måste kunna utföra dels för att hantera inkommande handlingar, dels för att tillgodose tryckfrihetsförordningens krav på att allmänheten ska ha tillgång till allmänna handlingar. Flera av de bestämmelser som föreslås gälla vid behandling av gemensamt tillgängliga uppgifter, som t.ex. särskilda upplysningar och sökbegränsningar, är inte lämpade att reglera behandling av personuppgifter i diarier m.m.

Som Skatteverket påpekar kan diarieföring inte bara tjäna allmänhetens rätt att få tillgång till allmänna handlingar, utan även tillgodose verksamhetskrav. Den behandling som avses i den föreslagna bestämmelsen om diarieföring omfattar emellertid endast sådan behandling som är nödvändig för diarieföringen. Om det när diarieföringen är avslutad, dvs. när erforderliga uppgifter är registrerade, konstateras att uppgifterna rör polisens brottsbekämpande verksamhet ska den fortsatta behandlingen utföras för ett annat i lagen angivet ändamål och i övrigt i överensstämmelse med de allmänna bestämmelserna bl.a. om gemensamt tillgängliga uppgifter. Om således uppgifter i en inkommen handling behövs för viss brottsbekämpande verksamhet, t.ex. i en förundersökning, så får fortsatt behandling utföras med stöd av bestämmelserna om personuppgiftsbehandling för det ändamålet. I vilken utsträckning personuppgifterna får göras gemensamt tillgängliga framgår av lagens bestämmelser om gemensamt tillgängliga uppgifter.

I de fall där uppgifter behandlas med stöd av nu aktuell bestämmelse bör de föreslagna reglerna om gemensamt tillgängliga uppgifter inte vara tillämpliga.

7.6. Behandling av uppgifter för att tillhandahålla information till andra

Regeringens förslag: Uppgifter som behandlas i polisens brottsbekämpande verksamhet ska också få behandlas om det är nödvändigt för att tillhandahålla information som behövs i

1. brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,

2. brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation,

3. sådan verksamhet hos polisen som avser handräckningsuppdrag,

4. annan verksamhet som polisen ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,

5. verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten, eller

6. en myndighets verksamhet

a) om det enligt lag eller förordning åligger polisen att bistå myndigheten med viss uppgift, eller

b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.

Uppgifter ska även få behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt till andra, om skyldighet att lämna uppgifter följer av lag eller förordning.

För att tillhandahålla information för andra ändamål än de ovan uppräknade får behandling ske endast om det nya ändamålet i det enskilda fallet inte kan anses oförenligt med det ändamål för vilket uppgifterna samlades in.

Utredningen föreslår inte några särskilda bestämmelser om behandling av uppgifter för att tillhandahålla information till andra.

Remissinstanserna: Flera remissinstanser, bl.a. Tullverket, har påtalat att polisen och övriga brottsbekämpande myndigheter i allt större omfattning samarbetar inom ramen för brottsbekämpningen och att dessa myndigheter i sin egen brottsbekämpande verksamhet har behov av att få del av uppgifter som finns hos polisen.

Promemorians förslag överensstämmer i huvudsak med regeringens.

Promemorians sekundära ändamål anges dock uttömmande. I promemorian föreslås inte några särskilda ändamål för behandling av uppgifter för att tillhandahålla information till Kriminalvården eller till annan myndighet i syfte att samverka mot brott. Promemorian innehåller inte heller något särskilt ändamål för tillhandahållande av uppgifter till polisens handräckningsverksamhet.

Remissinstanserna: Majoriteten av remissinstanserna har inget att invända mot promemorians förslag. Flera remissinstanser anser dock att de sekundära ändamålen inte i tillräcklig utsträckning tillgodoser polisens behov av att kunna lämna ut uppgifter. Åklagarmyndigheten anser att det måste finnas en möjlighet att lämna uppgifter till myndigheter i annat syfte än att bekämpa brott. Som exempel nämns Kriminalvårdens behov av uppgifter av betydelse för säkerheten på kriminalvårdsanstalter. Åkla-

garmyndigheten föreslår att allt utlämnande som sker med stöd av 14 kap. 3 § sekretesslagen (numera 10 kap. 27 § offentlighets- och sekretesslagen) bör tillåtas.

Även Rikspolisstyrelsen konstaterar att det förekommer situationer där andra myndigheter än de som anges i förslaget kan ha behov av uppgifter från polisens brottsbekämpande verksamhet för sin egen verksamhet. Rikspolisstyrelsen pekar särskilt på sådant utlämnande som sker inom ramen för myndighetsövergripande samverkan mot grov organiserad brottslighet, t.ex. i regionala underrättelsecentrum. Enligt styrelsen bör polisen även fortsättningsvis ha möjlighet att lämna ut uppgifter efter en intresseavvägning enligt 14 kap. 3 § sekretesslagen (numera 10 kap. 27 § offentlighets- och sekretesslagen), exempelvis till Kronofogdemyndigheten, Skatteverket (såväl dess brottsutredande som fiskala del) och Försäkringskassan. Rikspolisstyrelsen lyfter vidare fram behovet av att kunna lämna uppgifter till dels Kriminalvården, t.ex. om uppgiften behövs för att Kriminalvården ska kunna vidta särskilda säkerhetsåtgärder beträffande en intagen, dels Migrationsverket för att verket ska kunna vidta åtgärder i sin verksamhet på utlänningsområdet. Styrelsen nämner bl.a. ett planerat samarbete mellan polisen och migrationsmyndigheter i en Folkrätts- och krigsbrottskommission.

Kriminalvården påpekar att myndigheten har i uppdrag att bekämpa brott under verkställigheten och att upprätthålla säkerheten på anstalter.

För att genomföra uppdraget behöver myndigheten kunna få del av uppgifter från polisens brottsbekämpande verksamhet. Kriminalvården anser att det finns starka skäl att överväga om inte Kriminalvården bör räknas till myndigheter med brottsbekämpande verksamhet. Skatteverket anser att ändamålen för behandlingen av personuppgifter bör kompletteras. Verket anger bl.a. att det är svårt att överblicka om personuppgiftslagen och den i promemorian föreslagna lagen fullt ut möter de behov av informationsutbyte som har konstaterats i arbetet inom Rådet för rättsväsendets informationsförsörjning, särskilt vad gäller behoven av att planera och följa upp den brottsbekämpande verksamheten. Skatteverket framhåller vidare att en förutsättning för att kunna bekämpa den grova organiserade brottsligheten är bättre möjligheter att utbyta information mellan brottsbekämpande myndigheter och andra myndigheter eller delar av myndigheter. Enligt Skatteverket visar erfarenheter från samverkan i regionala underrättelsecentrum bl.a. på behovet av samverkan mellan Skatteverkets fiskala verksamhet och polisen och skattebrottsenheterna i skedet innan förundersökning. Även Kronofogdemyndigheten hänvisar till erfarenheter från samarbete i regionala underrättelsecentrum och anger att det finns skäl att överväga utökade möjligheter till informationsutbyte också med myndigheter som inte är direkt brottsbekämpande.

I fråga om tillhandahållande av information till annan polisiär verksamhet än den brottsbekämpande, delar Rikspolisstyrelsen bedömningen att särskilda skäl som huvudregel bör krävas för att personuppgifter ska få tillhandahållas. För att kunna utföra handräckningsuppdrag på ett säkert sätt behöver dock polisen, enligt styrelsen, mer regelmässigt information från den brottsbekämpande verksamheten. Kriminalvården framhåller att myndigheten ibland bistår polisen med transporter efter särskilt handräckningsbeslut och betonar att Kriminalvården då behöver de uppgifter om den som ska transporteras som kan ha betydelse för

transportens genomförande. Riksdagens ombudsmän ifrågasätter om det inte beträffande vissa typer av ärenden hos polisen kan finnas behov av att mera rutinmässigt behandla personuppgifter från den brottsbekämpande verksamheten. I så fall är det angeläget att lagstiftningen ger det utrymme som behövs, inte minst för att undvika att en restriktiv reglering ”urholkas” i den praktiska tillämpningen.

Några remissinstanser, däribland Åklagarmyndigheten, Rikspolisstyrelsen och Skatteverket, väcker frågan om det inte bör införas ett särskilt ändamål för behandling av personuppgifter om det behövs för tillsyn, planering och uppföljning.

Skälen för regeringens förslag

Allmänna utgångspunkter

Tidigare har det redovisats hur lagens ändamålsreglering bör utformas och vilka de i lagen angivna primära ändamålen bör vara. I detta avsnitt diskuteras vilka sekundära ändamål som bör anges i lagen. I och med att regleringen av sekundära ändamål inte föreslås vara uttömmande finns det ett visst utrymme att tillhandahålla uppgifter även för andra ändamål än de i lagen angivna, under förutsättning att det nya ändamålet inte kan anses oförenligt med insamlingsändamålet (finalitetsprincipen). Som tidigare betonats är dock målsättningen att de sekundära ändamålen ska vara så fullständiga som möjligt och omfatta merparten av polisens uppgiftsutlämnande.

I sammanhanget är det viktigt att komma ihåg – vilket Rikspolisstyrelsen framhåller – att utlämnande av uppgifter även kan ske inom ramen för något av de primära ändamålen. Utlämnande av uppgifter till andra kan i många fall vara ett led i den egna brottsbekämpande verksamheten och således omfattas av de primära ändamålen.

Några remissinstanser, däribland Rikspolisstyrelsen, väcker frågan om det behövs en särskild ändamålsbestämmelse som ger stöd för behandling av personuppgifter för bl.a. planering och uppföljning av verksamheten. I lagstiftningsärendet angående lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet uttalade Lagrådet att en sådan bestämmelse är obehövlig (prop. 2004/05:164 s. 179). Lagrådet ansåg att planering, uppföljning och utvärdering av verksamhet är en integrerad del av själva verksamheten och inte någon fristående aktivitet som behöver regleras särskilt. Därför föreslås inte någon sådan ändamålsbestämmelse för polisens vidkommande.

Skatteverket tar upp arbetet inom Rådet för rättsväsendets informationsförsörjning. Med hänsyn till att det är ett pågående arbete är det inte möjligt att nu anpassa den nya lagen till det informationsutbyte som kan komma att föreslås inom ramen för det arbetet.

Tillhandahållande av information till andra brottsbekämpande myndigheter

Det är från brottsbekämpningssynpunkt angeläget att samhällets samlade resurser används på ett så rationellt och effektivt sätt som möjligt. Brotts-

ligheten känner inga geografiska gränser eller myndighetsgränser. Att brottsbekämpande myndigheter bör samverka framstår därför som självklart. Lika självklart är att en sådan samverkan förutsätter möjligheter till effektivt utbyte av information.

Regeringen har tagit initiativ till en nationell mobilisering mot den grova organiserade brottsligheten. I en departementspromemoria med samma namn ges förslag på åtgärder för en effektivare och mer uthållig bekämpning av denna typ av brottslighet (Ds 2008:38). En av de viktigaste åtgärderna som lyfts fram är just ökad samverkan mellan myndigheter. Samtliga brottsbekämpande myndigheter framhåller också i sina remissvar i detta lagstiftningsärende betydelsen av en utvecklad samverkan.

Ett väl fungerande informationsutbyte skapar förutsättningar att se kopplingar mellan brottslighet inom skilda myndigheters ansvarsområden. Det är därför viktigt att den moderna teknikens möjligheter kan tas till vara för sådant informationsutbyte. Möjligheterna att få tillgång till underrättelseinformation genom direktåtkomst bör förbättras. De risker för intrång i den personliga integriteten som direktåtkomst och andra former av elektroniskt informationsutbyte kan ge upphov till och hur dessa risker bör hanteras diskuteras i avsnitt 12.

Mot denna bakgrund bör det i den nya lagen uttryckligen anges att de uppgifter som förekommer i polisens brottsbekämpande verksamhet får behandlas för att tillhandahålla information som andra brottsbekämpande myndigheter behöver i sin brottsbekämpande verksamhet. Motsvarande bestämmelser finns i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och i den förordning som reglerar behandling av personuppgifter i Åklagarmyndighetens verksamhet. I avsnitt 13 föreslås sekretessbrytande bestämmelser som ska gälla i förhållande till andra brottsbekämpande myndigheter.

Tillhandahållande av information till annan myndighet i syfte att samverka mot brott

En effektiv brottsbekämpning förutsätter samverkan inte bara mellan myndigheter som har till uppgift att bekämpa brott utan även mellan brottsbekämpande myndigheter och andra myndigheter. Som flera remissinstanser framhåller, däribland Rikspolisstyrelsen, Skatteverket och

Kronofogdemyndigheten, sker sådan samverkan t.ex. i regionala underrättelsecentrum (jfr avsnitt 7.2 om sådan samverkan). Vilka myndigheter som är representerade i underrättelsecentrum varierar. Kronofogdemyndigheten, Skatteverkets fiskala del, Kriminalvården, Migrationsverket och Försäkringskassan är exempel på myndigheter som deltar i sådan samverkan.

I departementspromemorian om nationell mobilisering mot den grova organiserade brottsligheten betonas behovet av ökad samverkan mellan myndigheter. Arbetet har övergått i en genomförandefas, sedan regeringen gett Rikspolisstyrelsen i uppdrag att vidta åtgärder för att säkerställa en effektiv och uthållig verksamhet för bekämpning av den grova organiserade brottsligheten (dnr Ju2008/5776/PO). Av slutredovisningen av uppdraget framgår bl.a. att det har etablerats permanenta regionala

underrättelsecentrum på åtta platser i landet samt att ett samverkansråd och ett operativt råd har inrättats med bred myndighetsrepresentation (dnr Ju2009/5516/PO).

Myndighetssamverkan förutsätter utbyte av information. Ofta är det tillräckligt med avidentifierade uppgifter men i den operativa verksamheten kan det vara nödvändigt att utbyta information som innehåller personuppgifter. Det ter sig mer betänkligt från integritetsskyddssynpunkt att tillåta polisen att tillhandahålla personuppgifter från den brottsbekämpande verksamheten till andra myndigheter än de som har till uppgift att bekämpa brott. Som flera remissinstanser påpekar förekommer dock redan nu ett sådant uppgiftsutlämnande efter en intresseavvägning enligt 10 kap. 27 § offentlighets- och sekretesslagen.

Polisen bör även fortsättningsvis ges möjlighet att behandla uppgifter för att tillhandahålla information till andra än brottsbekämpande myndigheter, när syftet är att samverka mot brott. Information bör få tillhandahållas om utlämnandet kan vara till nytta för den brottsbekämpande verksamheten. Begreppet samverkan kan omfatta flera olika former av samarbete. Samverkan kan avse såväl diskussioner i strategiska frågor som mer operativt samarbete, t.ex. en planerad gemensam aktion. Ett exempel på samverkan är arbetet i underrättelsecentrum. Ett annat är samverkan mellan polisen, Tullverket, Kustbevakningen och Migrationsverket vid gränskontroll.

Av skäl som anges i avsnitt 13 bör det inte införas några sekretessbrytande bestämmelser i förhållande till andra myndigheter än de brottsbekämpande.

Tillhandahållande av information till utländska brottsbekämpande myndigheter eller organisationer

Inom ramen för det internationella polissamarbetet måste polisen kunna behandla personuppgifter för att lämna ut dem i den utsträckning det behövs för att fullgöra internationella åtaganden eller om det annars är förenligt med svenska intressen. Det kan exempelvis vara fråga om att på begäran översända uppgifter till Interpol eller att lämna upplysningar till en utländsk myndighet om vilka åtgärder som har vidtagits i Sverige med anledning av utländsk information. Eftersom det internationella informationsutbytet förutsätter att uppgifter i vissa fall kan lämnas utan föregående förfrågan från en annan stat, bör det vara möjligt att behandla och lämna ut uppgifter även om detta endast är ett allmänt åtagande enligt en överenskommelse men inte ett bindande krav. Sådan behandling bör även, liksom för närvarande, vara möjlig när det inte finns någon överenskommelse som reglerar uppgiftsutlämnandet, t.ex. för att kunna varna en polismyndighet i ett annat land om ett förestående brott i det landet. I lagen bör det därför tas in en bestämmelse om att uppgifter får behandlas, om det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation. I avsnitt 12 och 13 diskuteras olika frågor som rör informationsutbyte och sekretess i det internationella samarbetet.

Tillhandahållande av information till Kriminalvården

Kriminalvården har bl.a. till uppgift att verka för att påföljder verkställs på ett säkert sätt och att återfall i brott förebyggs. Myndigheten är enligt 2 § förordningen (2007:1172) med instruktion för Kriminalvården skyldig att vidta särskilda åtgärder för att förhindra brottslighet under verkställigheten. Enligt 3 § 3 lagen (2001:617) om behandling av personuppgifter inom Kriminalvården får personuppgifter behandlas om det behövs för att upprätthålla säkerheten och förebygga brott bl.a. under den tid som en person är häktad eller intagen i kriminalvårdsanstalt. För detta ändamål ska Kriminalvården enligt 39 § förordningen (2001:682) om behandling av personuppgifter inom Kriminalvården föra ett särskilt register benämnt säkerhetsregistret.

I förarbetena till Kriminalvårdens registerlagstiftning anfördes att framväxten av kriminella sammanslutningar och nätverk förutsätter samarbete mellan Kriminalvården och polisen (prop. 2000/01:126 s. 27). Att det behövs uppgiftsutbyte mellan polisen och Kriminalvården lyfts även fram av Rymningsutredningen (SOU 2005:6 s. 120) och av Beredningen för rättsväsendets utveckling (SOU 2005:117 s. 202 f.). Det finns således ett behov av uppgiftsutbyte mellan polisen och Kriminalvården. Det är t.ex. viktigt att Kriminalvården kan få upplysningar från polisen för att kunna göra riktiga bedömningar bl.a. när det gäller placering av intagna och beslut om permissioner.

Polisen bör därför ges möjlighet att behandla uppgifter om det är nödvändigt för att tillhandahålla Kriminalvården sådan information som myndigheten behöver i sin verksamhet för att förebygga brott och upprätthålla säkerheten, bl.a. på häkten och kriminalvårdsanstalter. Flera remissinstanser, däribland Rikspolisstyrelsen och Kriminalvården, framhåller också vikten av att den nya lagen tillåter sådan behandling.

Tillhandahållande av information till annan polisiär verksamhet

För att polisen ska kunna fullgöra arbetsuppgifter som faller utanför den brottsbekämpande verksamheten behöver man ibland ha tillgång till uppgifter som har samlats in för brottsbekämpande ändamål. Uppgifter som behandlas inom den brottsbekämpande verksamheten behöver alltså i viss utsträckning kunna tillhandahållas till annan polisverksamhet.

Polisen har i varierande utsträckning tillgång till uppgifter i misstankeregistret och belastningsregistret i olika typer av förvaltningsärenden. Tillgången till uppgifter är anpassad för att svara mot de normala behoven av information. I vissa fall finns det emellertid annan information hos polisen som kan vara viktig, exempelvis underrättelseinformation. En person kan t.ex. ha sådana kontakter i kriminella kretsar att denne vid en helhetsbedömning ter sig olämplig som befattningshavare, tillståndshavare eller liknande. Det framstår därför som rimligt att polisen i viss utsträckning ska kunna lämna över uppgifter från den brottsbekämpande verksamheten till annan polisiär verksamhet. Om någon som ska besluta i ett förvaltningsärende begär information från den brottsbekämpande verksamheten har denne med stöd av 6 kap. 5 § offentlighets- och sekretesslagen rätt att få ut uppgifterna, om inte sekretess hindrar det (se nedan). Det förutsätter dock att beslutsfattaren har vetskap om att det

finns någon information som kan ha betydelse. Frågan är i vilken utsträckning uppgifter även ska få tillhandahållas utan föregående begäran.

De områden där polisen, typiskt sett, kan ha behov av att få del av information som har samlats in i den brottsbekämpande verksamheten gäller bl.a. arbete med att (1) förordna vissa befattningshavare, t.ex. arrestantvakter, (2) pröva tillståndsärenden, (3) fullgöra sin skyldighet enligt författning att bistå andra myndigheter (handräckningsskyldighet), och (4) besluta om att en tvångsåtgärd enligt t.ex. djurskyddslagen (1988:534) eller utlänningslagen (2005:716) ska verkställas vid fara i dröjsmål.

Som anförs i promemorian bör det som huvudregel krävas särskilda skäl för att tillhandahålla personuppgifter från den brottsbekämpande verksamheten till annan polisiär verksamhet, vilket också Rikspolisstyrelsen ställer sig bakom. Därigenom tydliggörs att överlämnandet kräver särskild eftertanke. Kravet på särskilda skäl bör dock, som Riksdagens ombudsmän påpekar, inte gälla för tillhandahållande av personuppgifter till verksamhet som mera rutinmässigt behöver uppgifter från den brottsbekämpande verksamheten. Enligt Rikspolisstyrelsen är så fallet för den verksamhet som består i att utföra handräckningsuppdrag åt andra myndigheter. Styrelsen framhåller att polisen behöver omfattande information, däribland information från den brottsbekämpande verksamheten, för att förebygga och minska risken att personer kommer till skada vid genomförandet av sådana uppdrag. Informationen behövs för att handräckningsåtgärden ska kunna planeras och anpassas efter den person som åtgärden avser och omständigheterna i övrigt. Även Kriminalvården, som ibland bistår polisen med vissa transporter efter särskilda handräckningsbeslut, framhåller behovet av information från den brottsbekämpande verksamheten för detta ändamål.

Eftersom det finns behov av att mera rutinmässigt tillhandahålla information till polisens handräckningsverksamhet bör det inte ställas upp något krav på särskilda skäl för att tillhandahålla personuppgifter till sådan verksamhet. Här kan också erinras om att uppgifter som polisen mottar i viss sådan verksamhet omfattas av sekretess enligt 35 kap. 20 § första stycket 2, 3, 4 och 5 offentlighets- och sekretesslagen.

Tillhandahållande av information till myndigheter i vissa andra fall

Det finns även vissa andra fall där personuppgifter bör få behandlas av polisen för utlämnande till andra. Enligt 10 kap. 15 § offentlighets- och sekretesslagen hindrar sekretess inte att uppgift lämnas till regeringen eller riksdagen. Det bör därför i den nya lagen anges att personuppgifter får behandlas, om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen. Det bör även anges att uppgifter får behandlas för att lämnas ut till andra, om det enligt lag eller förordning åligger polisen att tillhandahålla sådan information. Med andra avses såväl myndigheter som enskilda. Med skyldighet att lämna ut uppgifter avses dels uppgiftsskyldighet enligt 10 kap. 28 § första stycket offentlighets- och sekretesslagen, dels andra författningsreglerade skyldigheter att lämna ut uppgifter. Enligt 6 kap. 5 § offentlighets- och sekretesslagen ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfo-

gar över, i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Enligt promemorian innefattar denna bestämmelse (dåvarande 15 kap. 5 § sekretesslagen) inte en uppgiftsskyldighet i nu aktuellt hänseende. I flera lagstiftningsärenden därefter har dock en motsatt bedömning gjorts (se t.ex. prop. 2008/09:96 s. 80). Mot den bakgrunden får 6 kap. 5 § offentlighets- och sekretesslagen anses innefatta en sådan skyldighet att lämna uppgifter som avses i den nya lagen.

Åklagarmyndigheten anser att det alltid bör vara tillåtet att behandla uppgifter för att kunna lämna ut dem med stöd av 14 kap. 3 § sekretesslagen (numera 10 kap. 27 § offentlighets- och sekretesslagen). Det kan konstateras att polisens uppgiftslämnande enligt 10 kap. 27 § offentlighets- och sekretesslagen i flertalet fall omfattas av de mer preciserade sekundära ändamål som anges i lagen. I den mån det är fråga om uppgiftslämnande på begäran av annan myndighet kan uppgiftslämnande enligt den paragrafen dessutom, som nyss nämnts, ske med stöd av 6 kap. 5 § offentlighets- och sekretesslagen. Därutöver kan uppgiftslämnande ske om det är förenligt med finalitetsprincipen.

Polisen måste även ha möjlighet att behandla personuppgifter, om det behövs för att fullgöra författningsenliga förpliktelser att bistå en annan svensk myndighet. Detta kan exempelvis bli aktuellt när polisen bistår Riksdagens ombudsmän och Justitiekanslern med uppgifter i de fall där dessa uppträder som förundersökningsledare och åklagare. En bestämmelse om detta bör tas in i lagen.

Möjlighet för regeringen att meddela föreskrifter

Enligt 17 § polisdataförordningen (1999:81) har polisen möjlighet att till vissa myndigheter lämna ut uppgifter om efterlysta personer och avlägsnanden ur riket. Där föreskrivs även en möjlighet att till konkursförvaltare lämna ut uppgifter i en förundersökning som kan antas ha betydelse för en konkursutredning. Den nya lagen bör innehålla en bestämmelse som erinrar om att regeringen har möjlighet att meddela sådana föreskrifter.

Hänvisningar till S7-6

8. Behandling av känsliga personuppgifter

Hänvisningar till S8

Regeringens förslag: Uppgifter om en person ska inte få behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Uppgifter om en person som behandlas på annan grund ska dock få kompletteras med känsliga personuppgifter, om det är absolut nödvändigt för syftet med behandlingen. Känsliga personuppgifter ska också få behandlas, om detta är nödvändigt för diarieföring eller om uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Utredningens förslag överensstämmer i huvudsak med promemorians. Remissinstanserna: Flertalet remissinstanser har tillstyrkt förslaget eller inte haft några invändningar mot det. Ombudsmannen mot diskrimi-nering på grund av sexuell läggning har ansett att uttrycket sexuell läggning inte bör användas utan ersättas med något annat, exempelvis sexualliv eller sexuellt beteende.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser tillstyrker eller har inget att invända mot förslaget. Sveriges advokatsamfund frågar sig i vilken utsträckning behandling av känsliga uppgifter kan ske med stöd av undantaget för behandling som är nödvändig för handläggningen. Jour-nalistförbundet framhåller att behandling av känsliga uppgifter måste ske med yttersta försiktighet och föreslår att det införs en skyldighet för regeringen att varje år till riksdagen rapportera de avsteg som gjorts från förbudet att behandla känsliga personuppgifter och ange i vilken utsträckning avstegen har varit effektiva i den brottsbekämpande verksamheten.

Skälen för regeringens förslag: I lagstiftning om behandling av personuppgifter har känsliga personuppgifter en särställning. Enligt 5 § polisdatalagen (1998:622) får uppgifter om en person inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexuella läggning. Om uppgifter om en person redan behandlas på annan grund, får dock uppgifterna kompletteras med sådana uppgifter, om det är oundgängligen nödvändigt för syftet med behandlingen. Paragrafen överensstämmer med Europarådets rekommendation No. R (87) 15 om användning av personuppgifter inom polissektorn m.m. (se avsnitt 4.2.3). Innebörden av 5 § polisdatalagen är att det t.ex. inte är tillåtet att föra särskilda register över personer med viss sexuell läggning. Förekommer personen i en förundersökning eller något annat ärende, får dock uppgiften om sexuell läggning antecknas, om det bedöms vara oundgängligen nödvändigt för syftet med behandlingen.

Bestämmelserna i 5 § polisdatalagen bör föras över till den nya lagen. På motsvarande sätt som i personuppgiftslagen och lagen (2005:787) om

behandling av uppgifter i Tullverkets brottsbekämpande verksamhet bör dock begreppet sexualliv användas i stället för sexuell läggning och ordet oundgängligen ersättas med absolut. Slutligen bör det i lagtexten framhållas att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt och med respekt för människovärdet.

Riksdagen har uttalat att det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och ur biologisk synpunkt följaktligen heller ingen grund för att använda ordet ras om människor. Användningen av ordet ras i författningstexter riskerar enligt riksdagen att underblåsa fördomar. Riksdagen har dock, med anledning av ett krav i en motion, konstaterat att den inte har möjlighet att besluta att ordet ska utmönstras ur all lagstiftning, eftersom det så gott som uteslutande används i författningar som grundas på internationella överenskommelser eller författningar som genomför EG-direktiv (bet. 1997/98:KU29 s. 7). Användningen av ordet ras har även kritiserats i propositionen till den nya diskrimineringslagen (prop. 2007/08:95 s. 117). I den nyligen framlagda propositionen En reformerad grundlag (prop. 2009/10:80) har regeringen föreslagit att begreppet ras utmönstras ur regeringsformen. Det har inte varit möjligt att i detta lagstiftningsärende utmönstra ordet ras och därmed ändra den vedertagna beskrivningen av känsliga personuppgifter, jfr t.ex. 13 § personuppgiftslagen (1998:204) och 11 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Det är dock regeringens ambition att i ett annat sammanhang se över frågan om huruvida ordet ras bör utmönstras i all lagstiftning.

Polisen måste alltid ha möjlighet att diarieföra och handlägga inkommande anmälningar och liknande skrivelser. Skälen för detta har utvecklats i avsnitt 7.5. Sådan behandling bör vara tillåten även i de fall där inkommande anmälningar innehåller känsliga personuppgifter. Detta bör komma till uttryck i lagtexten som ett undantag från förbudet att behandla känsliga personuppgifter. I nyss nämnda avsnitt redogörs för vilken behandling som bör omfattas av bestämmelsen om behandling för diarieföring.

Journalistförbundet föreslår att regeringen bör åläggas att årligen rapportera till riksdagen vilka avsteg som gjorts från förbudet att behandla känsliga personuppgifter. Kontrollen av att regleringen följs bör enligt regeringens mening i första hand utövas av tillsynsmyndigheter. I avsnitt 17.2 föreslås en utökad tillsyn över polisens behandling av personuppgifter. Enligt förslaget ska Säkerhets- och integritetsskyddsnämndens tillsyn särskilt avse polisens behandling av känsliga personuppgifter. Skäl för en sådan rapportering som Journalistförbundet efterlyser saknas således.

I avsnitt 11.2 behandlas frågan om användning av känsliga personuppgifter som sökbegrepp.

Hänvisningar till US4

9. Gemensamt tillgängliga uppgifter

Hänvisningar till S9

9.1. Särskilda regler för behandling av gemensamt tillgängliga uppgifter

Regeringens förslag: I stället för bestämmelser om register och databaser ska den nya lagen innehålla särskilda regler om behandling av uppgifter som görs eller har gjorts gemensamt tillgängliga i den brottsbekämpande verksamheten. Bestämmelserna ska framför allt reglera sådan behandling av uppgifter som sker i för verksamheten gemensamma uppgiftssamlingar. Behandling som utförs av en enskild tjänsteman eller inom en begränsad grupp personer, t.ex. genom vanlig ordbehandling eller genom e-postkommunikation, ska inte omfattas av dessa bestämmelser. Registerbegreppet behålls för vissa särskilda fall.

Bestämmelserna om gemensamt tillgängliga uppgifter ska inte gälla när personuppgifter behandlas med stöd av bestämmelserna om diarieföring m.m.

Utredningens förslag innehåller inte några bestämmelser som särskilt avser gemensamt tillgängliga uppgifter.

Remissinstanserna har inte yttrat sig i frågan. Promemorians förslag överensstämmer i huvudsak med regeringens.

Promemorian tydliggör dock inte förhållandet mellan bestämmelserna om gemensamt tillgängliga uppgifter och de föreslagna bestämmelserna om behandling av personuppgifter för diarieföring m.m.

Remissinstanserna: Majoriteten av remissinstanserna ställer sig bakom promemorians förslag eller har inget att invända mot det. Flera remissinstanser, däribland Kustbevakningen och Tullverket, välkomnar att det föreslås ett teknikneutralt uttryck nämligen ”gemensamt tillgängliga uppgifter” i stället för register, databas eller uppgiftssamling. Åklagarmyndigheten har ingen invändning mot förslagets indelning av uppgifter som är gemensamt tillgängliga och sådana som inte är det och anser att regleringen av vilka uppgifter som får göras gemensamt tillgängliga synes ändamålsenlig.

Några remissinstanser, bl.a. Riksdagens ombudsmän och Uppsala universitet, anser att det är svårt att dra en gräns mellan uppgifter som är gemensamt tillgängliga och sådana som inte är det. Myndigheterna anser att avgränsningsfrågorna bör avgöras i lagstiftningsärendet. Enligt Riksdagens ombudsmän måste utrymmet att överlämna till Rikspolisstyrelsen att ge interna riktlinjer till förtydligandet av begreppet gemensamt tillgängliga uppgifter vara utomordentligt begränsat med hänsyn till avgränsningens betydelse från integritetsskyddssynpunkt. Även Uppsala universitet ifrågasätter om det är rätt väg att gå att låta användarna styra konstruktionen av ett system som det här aktuella.

Riksdagens ombudsmän anser att det bör vara ensamt avgörande för avgränsningen av gemensamt tillgängliga uppgifter om uppgifterna är åtkomliga för en bestämd och begränsad personkrets eller inte. Enligt

Riksdagens ombudsmän kan ett fåtal personer inte betyda så många personer som ett tiotal.

Rikspolisstyrelsen påpekar att de föreslagna bestämmelserna om gemensamt tillgängliga uppgifter kommer att bli tillämpliga på en stor del av behandlingen av uppgifter i den polisiära verksamheten. Sådan behandling som sker i s.k. särskilda undersökningar och andra underrättelseprojekt kommer t.ex. enligt styrelsen i normalfallet att omfattas av bestämmelserna. Mot denna bakgrund anser styrelsen att vissa av bestämmelserna som föreslås gälla för gemensamt tillgängliga uppgifter är för begränsande.

Kustbevakningen och Skatteverket invänder mot att bestämmelserna om gemensamt tillgängliga uppgifter gäller så snart en tjänsteman från en annan myndighet än polisen är delaktig i behandlingen av personuppgifter. Myndigheterna anser att ett fåtal tjänstemän från olika myndigheter bör kunna arbeta tillsammans i ett underrättelseprojekt utan att de mer begränsande bestämmelserna, t.ex. om sökbegränsningar, blir tillämpliga.

Datainspektionen anser att även antalet uppgifter och deras struktur bör beaktas vid bedömningen av om uppgifter är att anse som gemensamt tillgängliga. Vidare menar inspektionen att bestämmelserna om gemensamt tillgängliga uppgifter bör tillämpas vid insamlandet av uppgifter, om de insamlade uppgifterna är avsedda att göras gemensamt tillgängliga eller om det kan antas att de kommer att bli det. Bestämmelserna bör alltid tillämpas i polisens kriminalunderrättelseverksamhet. Inspektionen anser att det angivna antalet om ett tiotal personer som får ha tillgång till uppgifter som inte är gemensamt tillgängliga är alltför stort.

Sveriges advokatsamfund vänder sig mot den komplexa regelstruktur som de snabbt framväxande registerlagarna i allt högre grad kommit att präglas av och pekar bl.a. på bristande enhetlighet i begreppsbildningen.

Som exempel nämns att uppgiftssamlingar har betecknats och avgränsats på vitt skilda sätt. Advokatsamfundet efterlyser klargöranden i fråga om skillnaderna mellan den behandling av personuppgifter som avses ske i egentliga register respektive i löpande text samt hur behandling av elektroniska dokument i elektroniska akter avses att regleras.

Skälen för regeringens förslag

Gemensamt tillgängliga uppgifter – ett nytt begrepp

Den nya lagen kommer att gälla för all automatiserad behandling av personuppgifter i polisens brottsbekämpande arbete. Detta innebär att inte bara uppgifter som behandlas i för verksamheten gemensamma uppgiftssamlingar, t.ex. register eller ärendehanteringssystem, ska omfattas utan även sådan behandling som utförs av en enskild tjänsteman eller en begränsad grupp personer, t.ex. vanlig ordbehandling och e-postkommunikation. Risken för otillbörliga intrång i den personliga integriteten är större när personuppgifter används av flera gemensamt i verksamheten än när personuppgifter behandlas av en enskild tjänsteman vid den egna datorn utan att någon annan har åtkomst till uppgifterna. Det är därför nödvändigt att införa särskilda och mer begränsande regler för behandling av uppgifter som används av eller i vart fall är tillgängliga för fler än ett fåtal personer.

Frågan är då hur man bör avgränsa den personuppgiftsbehandling för vilken mera begränsande regler är nödvändiga.

I tidigare lagstiftning om personuppgiftsbehandling har begreppen register och databas använts för att definiera uppgifter som har gjorts tillgängliga för en större krets. Till respektive register har sedan knutits regler om åtkomst, sökmöjligheter m.m. Registerbegreppet har dock kritiserats, bl.a. därför att det har en teknisk anknytning och därför att dagens datasystem normalt inte byggs som traditionella register. Också begreppet databas har en stark teknisk anknytning och leder tanken till ett visst, i tekniskt avseende avgränsat, informationssystem. Detta är inte ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan t.ex. införas helt ostrukturerat och oorganiserat i olika filer i en dator, utan att detta förhindrar en effektiv hantering av uppgifterna för olika sammanställningar m.m. Även om registerbegreppet fortsättningsvis kommer att användas inom polisen för vissa särskilda fall (bl.a. för några av de register som undantas från den nya lagens tillämpningsområde samt register över DNA-profiler) går utvecklingen mot att registerformen överges för mer sofistikerade datasystem.

Som en följd av detta bör den nya regleringen inte bygga på att behandlingen av personuppgifter sker i olika register eller databaser utan i stället ges en mera generell utformning. Ett tänkbart alternativ är att skapa särskilda begränsande regler för personuppgiftsbehandling som avser ”samlingar av uppgifter” eller ”uppgiftssamlingar”. Begreppet uppgiftssamling används i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Begreppet är dock inte ändamålsenligt för polisens del, bl.a. därför att det kan ge intryck av att det finns i förväg definierade och avgränsade uppgiftssamlingar för all behandling i den brottsbekämpande verksamheten, trots att så inte är fallet. Eftersom den nya regleringen ska omfatta all automatiserad behandling i polisens brottsbekämpande verksamhet, bör ett annat begrepp väljas. I betänkandet Kustbevakningens personuppgiftsbehandling Integritet – Effektivitet (SOU 2006:18) föreslås i stället för databas, register eller uppgiftssamling uttrycket gemensamt tillgängliga uppgifter. Även Åklagardatautredningen använder detta uttryck i förslaget till lag om behandling av uppgifter i åklagarväsendets brottsbekämpande verksamhet (SOU 2008:87).

Det väsentliga i sammanhanget är inte på vilket sätt uppgifter tekniskt lagras utan den faktiskt åsyftade tillgängligheten. Den form av behandling som ska särskiljas bör därför definieras med avseende på det faktiska förhållande som är avgörande för behovet av särreglering, nämligen att uppgifterna är gemensamt tillgängliga i verksamheten. Den nya lagen bör därför innehålla särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet. Med den formuleringen görs det klart att det viktiga inte är var uppgiften rent tekniskt är lagrad eller behandlas, utan om ett flertal personer har möjlighet att ta del av uppgiften. I och med att uttrycket gemensamt tillgänglig har enbart en rättslig innebörd understryks lagstiftningens teknikneutralitet. Som framgår i avsnitt 6.1 bör en utgångspunkt vara att den nya lagen inte ska reglera hur uppgifterna tekniskt organiseras, utan endast utgöra en rättslig ram för vilka uppgifter som får behandlas och på vilket sätt de får användas. Polisen bör kunna välja mellan att skapa ett stort centralt datasystem eller flera mindre system eller en blandning av båda alternativen. Det kan t.ex. vara fråga

om både ärendehanteringssystem med elektroniska akter och handlingar och traditionella register med eller utan fritextfält. Den nya lagen bör således inte, som Sveriges advokatsamfund synes utgå ifrån, reglera vilken behandling som får ske i ”egentliga” register respektive i löpande text. Inte heller bör det i lagen införas några särskilda bestämmelser om elektroniska handlingar eller elektroniska akter.

Det vore, som Sveriges advokatsamfund framhåller, en fördel om samma terminologi används i myndigheters registerförfattningar, inte minst i de som gäller för de brottsbekämpande myndigheterna. Några tillämpningsproblem vad gäller begreppet gemensamt tillgängliga uppgifter torde dock inte uppkomma i förhållande till andra registerlagar, jämför t.ex. lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet där ordet databas används för att beskriva att uppgifter är tillgängliga för flera. Betänkandena med förslag till lagar om behandling av personuppgifter hos Kustbevakningen respektive åklagarväsendet föreslår också, som nyss nämnts, att uttrycket gemensamt tillgängliga uppgifter används.

Gränsdragningen mellan behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga och annan behandling

Det ligger i sakens natur att det inte är enkelt att dra en tydlig gräns mellan uppgifter som är gemensamt tillgängliga och andra uppgifter. Som

Riksdagens ombudsmän och Uppsala universitet understryker bör avgränsningsfrågorna behandlas så ingående som möjligt i lagstiftningsärendet. Riksdagens ombudsmän betonar att det avgörande bör vara om uppgifterna är åtkomliga för en bestämd och begränsad personkrets eller inte. I det följande anges de principer som bör ligga till grund för gränsdragningen.

En grundläggande förutsättning för att personuppgifter ska anses vara gemensamt tillgängliga bör vara att de kan användas gemensamt av flera, dvs. att fler än en person har åtkomst till uppgifterna. Uppgifter som endast ett fåtal personer har rätt att ta del av bör dock inte anses som gemensamt tillgängliga. Att en uppgift ”är tillgänglig” för en viss person bör förstås så att personen har såväl faktisk möjlighet att ta del av uppgiften som rättslig behörighet till det. Det bör däremot inte spela någon roll hur många personer som faktiskt tar del av de aktuella uppgifterna. Det bör inte heller ha någon betydelse om den som har tillgång till uppgiften kan påverka den eller bara läsa den.

Detta innebär till att börja med att personuppgifter blir att anse som gemensamt tillgängliga om dessa behandlas för att en obestämd krets – t.ex. hela polisorganisationen – ska kunna ta del av uppgifterna. De centrala register som Rikspolisstyrelsen för har just syftet att tillgodose informationsbehovet inom olika delar av organisationen. Som exempel på sådana befintliga register kan nämnas det allmänna spaningsregistret, det centrala kriminalunderrättelseregistret och det centrala brottsspaningsregistret. I dessa och liknande system lagras personuppgifter på ett sådant sätt att många anställda har möjlighet att vid behov kunna ta del av uppgifterna, t.ex. under arbetet med en förundersökning eller för att genomföra ett underrättelseprojekt. På liknande sätt kommer uppgifter som är

avsedda för en hel polismyndighet eller för en viss enhet inom polisorganisationen normalt att anses som gemensamt tillgängliga. Som exempel kan nämnas lokala system som Rationell anmälningsrutin (RAR) som innehåller brottsanmälningar och Datoriserad utredningsrutin (DurTvå) som innehåller förundersökningar. Detta innebär exempelvis att de flesta förundersökningar redan från början kommer att vara gemensamt tillgängliga, även om det bara är ett fåtal handläggare som arbetar med förundersökningen. Också andra uppgifter som är tillgängliga för en i förväg obestämd krets av personer bör, som huvudregel, anses gemensamt tillgängliga. Uttrycket ”gemensamt tillgängliga uppgifter” kommer att täcka inte enbart register i traditionell bemärkelse utan alla uppgiftssamlingar som är avsedda för en obestämd krets av personer.

Vidare bör personuppgifter anses vara gemensamt tillgängliga även i vissa fall när den personkrets som har tillgång till uppgifterna är bestämd och avgränsad. Om uppgifterna är tillgängliga för ett stort antal bestämda personer, bör de således anses vara gemensamt tillgängliga. De personuppgifter som behandlas i brottsbekämpande verksamhet som involverar ett flertal tjänstemän som gemensamt behandlar viss information bör alltså regelmässigt anses som gemensamt tillgängliga. Uppgifter bör dock inte anses som gemensamt tillgängliga enbart därför att två eller flera personer har tillgång till dem. Kan man redan från början konstatera att personuppgifterna endast kommer att vara tillgängliga för en avgränsad krets bestående av en handfull personer, bör uppgifterna alltså inte anses som gemensamt tillgängliga. De integritetsskyddsintressen som motiverar särskilda regler för gemensamt tillgängliga uppgifter gör sig inte lika starkt gällande när bara ett fåtal personer har tillgång till uppgifterna som när många personer har tillgång till dem. En jämförelse kan härvid göras med den relativt omfattande personuppgiftsbehandling som tillåts inom ramen för en särskild undersökning med stöd av 1416 §§polisdatalagen (1998:622).

En förutsättning för att uppgifterna inte ska anses vara gemensamt tillgängliga måste dock vara att kretsen som har tillgång till dem omfattar endast ett litet antal personer. Så kan vara fallet t.ex. med ett mindre underrättelseprojekt. Om projektet enbart engagerar en avgränsad krets, bestående av ett fåtal på förhand utpekade personer eller funktioner, bör de uppgifter som behandlas inom ramen för projektet normalt inte betraktas som gemensamt tillgängliga. Så snart det är fråga om fler än ett fåtal personer som har tillgång till uppgifterna bör utgångspunkten vara den motsatta.

Promemorian anger som en tumregel att uppgifter normalt bör anses som gemensamt tillgängliga när fler än ett tiotal personer har tillgång till dem. Promemorian använder i detta sammanhang uttrycket ”ett fåtal bestämda personer”. Riksdagens ombudsmän anser att så många som ett tiotal personer inte kan anses utgöra ett fåtal personer och Datainspektionen menar att antalet bör begränsas till färre än ett tiotal. Åklagardatautredningen anser, liksom promemorian, att storleken på personkretsen som har tillgång till en uppgift bör vara grundläggande för bedömningen av om en uppgift ska anses vara gemensamt tillgänglig eller inte. Utredningen anser dock att det inte är lämpligt att ange en allomfattande gräns för när personkretsen ska medföra det ena eller andra utfallet av bedömningen och menar att verksamheten vid den enskilda myndigheten bör

vara avgörande för gränsen för storleken på personkretsen (SOU 2008:87 s. 181).

Enligt regeringens mening bör, som Åklagardatautredningen anför, det inte i lag anges någon exakt gräns för antalet personer. Även andra omständigheter bör i det enskilda fallet kunna vägas in i bedömningen av om personuppgifter ska betraktas som gemensamt tillgängliga eller inte. Som några remissinstanser, bl.a. Riksdagens ombudsmän, påpekar är det dock viktigt från integritetsskyddssynpunkt att det i lagstiftningsärendet anges tydliga riktlinjer för gränsdragningen mellan gemensamt tillgängliga uppgifter och andra uppgifter. Det är därför lämpligt att ange en tumregel för hur många personer ett fåtal kan anses utgöra. Promemorians förslag om ett tiotal personer får, i fråga om polisens verksamhet, anses väl avvägt.

När det talas om en bestämd krets bör detta inte uppfattas som att det alltid från början måste kunna anges exakt vilka tjänstemän eller vilken krets av tjänstemän som avses få tillgång till uppgifterna. Bedömningen blir naturligtvis enklare om man på förhand vet att endast ett fåtal respektive en större krets kommer att behandla uppgifterna. Även i de fall där detta inte står klart från början kan man oftast av arbetsuppgiftens art och storlek sluta sig till om uppgifterna sannolikt kommer att behandlas av ett fåtal tjänstemän eller av en större krets.

I viss utsträckning kan också tidsaspekten ha betydelse för om uppgifter ska anses vara gemensamt tillgängliga eller inte. Detta har, som Riksdagens ombudsmän påpekar, att göra med att uppgifter som behandlas under en längre tid typiskt sett kommer fler till del, bl.a. därför att personer i en från början begränsad krets med tiden byts ut. Viss brottsbekämpande verksamhet, främst underrättelseverksamhet, leder inte alltid till ett bestämt avslut av ett visst konkret ärende. Vissa underrättelseprojekt har t.ex. inte sällan obestämd varaktighet och kan därför komma att löpa över en längre tid. Som exempel kan nämnas projekt riktade mot ungdomsbrottsligheten på en viss ort eller underrättelseprojekt avseende viss typ av mc-brottslighet eller häleriverksamhet i en viss bransch. Det ligger i sakens natur att i sådana långvariga projekt kan den personal som sysslar med projektet komma att ersättas under arbetets gång. Även om tanken från början har varit att endast en liten avgränsad krets ska syssla med projektet, är det därför långtifrån alltid möjligt att upprätthålla det kravet. Uppgiftssamlingar som tas fram i ett sådant projekt, t.ex. en sammanställning över gängbrottsligheten på en viss ort, bör därför också anses som gemensamt tillgängliga personuppgifter.

Datainspektionen invänder mot de principer för gränsdragningen som promemorian föreslår och som i allt väsentligt läggs till grund för bedömningen här. Enligt regeringens mening skulle det bli för komplicerat för tillämparen att, som inspektionen förordar, utforma en lagregel där även antalet uppgifter och deras struktur vägs in i bedömningen och där bestämmelserna om gemensamt tillgängliga uppgifter görs tillämpliga på all insamling av uppgifter som är avsedda att göras gemensamt tillgängliga eller som kan antas komma att bli det. Flera remissinstanser framhåller just vikten av så klara riktlinjer som möjligt för gränsdragningen mellan personuppgifter som är gemensamt tillgängliga och sådana som inte är det. Av nyss angivna skäl bör inte bestämmelserna om gemensamt tillgängliga uppgifter, som inspektionen föreslår, göras tillämpliga på all

insamling av uppgifter som är avsedda att göras gemensamt tillgängliga eller som kan antas komma att bli det. Som framhålls i promemorian kan det vid sådan insamling dock vara värdefullt att beakta de regler som gäller för behandling av gemensamt tillgängliga uppgifter för att inte försvåra den fortsatta behandlingen. De risker från integritetsskyddssynpunkt som inspektionen befarar både vad gäller uppbyggnad av stora, strukturerade samlingar av personuppgifter och okontrollerad insamling av uppgifter med digital teknik får inte överdrivas. Det finns andra regler som styr polisens verksamhet och som motverkar sådana risker. Som exempel på sådana andra bestämmelser kan nämnas reglerna om förundersökning och användning av tvångsmedel. Regeringen delar inte heller inspektionens åsikt att de mer begränsande bestämmelserna om gemensamt tillgängliga uppgifter alltid bör tillämpas i kriminalunderrättelseverksamhet. Polisen bör även kunna bedriva sitt arbete med att förebygga, förhindra och upptäcka brottslig verksamhet med modern teknik utan att de mer begränsande bestämmelserna om gemensamt tillgängliga uppgifter alltid blir tillämpliga, t.ex. ta emot tips, använda e-post och ordbehandlingsprogram. Denna fråga behandlas i avsnitt 7.1 och 7.2. I avsnitt 9.2 redogörs för vilka uppgifter som bör få göras gemensamt tillgängliga i verksamhet som avser att förebygga, förhindra eller upptäcka brottslig verksamhet.

Polisen bör kunna samarbeta med andra brottsbekämpande myndigheter och inom ramen för sådant samarbete behandla personuppgifter i gemensamma projekt. Bland annat för att möjliggöra ett sådant samarbete görs bedömningen i avsnitt 12 att övriga brottsbekämpande myndigheter bör kunna beviljas direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga inom polisen. Syftet med att begränsa åtkomsten till gemensamt tillgängliga uppgifter är att personuppgifter – och behandlingen av sådana uppgifter – bör kringgärdas av ett extra skydd när de sprids till andra myndigheter än polisen. Konsekvensen av begränsningen blir, som Kustbevakningen och Skatteverket påpekar, att bestämmelserna om gemensamt tillgängliga uppgifter alltid blir tillämpliga i projekt med deltagare från andra myndigheter, oavsett antalet deltagare i projektet. Vad Kustbevakningen och Skatteverket anför i denna fråga föranleder inte någon annan bedömning än den som görs i promemorian. Kustbevakningens synpunkt att myndighetsövergripande projekt och aktioner bör kunna utföras med tillräckliga sökmöjligheter behandlas i avsnitt 11. I kommande avsnitt behandlas även Rikspolisstyrelsens invändning att vissa bestämmelser om sökbegränsningar och gallring som föreslås gälla för gemensamt tillgängliga uppgifter är för begränsande, se avsnitt 11 och 14.

Bestämmelserna om gemensamt tillgängliga uppgifter bör inte gälla för sådan behandling av personuppgifter som sker med stöd av bestämmelserna om diarieföring m.m. Skälen för detta redovisas i avsnitt 7.5.

Behovet av enhetlig tillämpning

Målsättningen är, som nyss nämnts, att här så tydligt som möjligt ange principerna för gränsdragningen mellan de personuppgifter som kan anses gemensamt tillgängliga och andra uppgifter. Någon formell gräns

bör dock inte läggas fast i författning. För att uppnå enhetlighet i tillämpningen kommer det dock att finnas ett behov av ytterligare riktlinjer för polisens tillämpning av det nya begreppet. Det ankommer på Rikspolisstyrelsen att utforma de riktlinjer som behövs och att utbilda personalen.

Hänvisningar till S9-1

9.2. Förebygga, förhindra eller upptäcka brottslig verksamhet

Regeringens förslag: I polisarbete som avser att förebygga, förhindra eller upptäcka brottslig verksamhet ska enbart följande personuppgifter få göras gemensamt tillgängliga.

1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet som

a) innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver, eller

b) sker systematiskt.

2. Uppgifter som behövs för övervakningen av en person som

a) kan antas komma att begå brott för vilket är föreskrivet fängelse i två år eller däröver och

b) är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet.

Tillgången till uppgifter om övervakning av en person ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning ska dock få göras tillgänglig för andra.

Utredningens förslag överensstämmer delvis med promemorians. Utredningen föreslår att bestämmelserna om kriminalunderrättelseverksamhet och kriminalunderrättelseregister ersätts med bestämmelser om behandling av uppgifter om andra personer än sådana som är misstänkta för brott. Enligt utredningen ska sådana uppgifter få behandlas för att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer. Utredningen föreslår vidare att det under vissa förutsättningar ska vara tillåtet att behandla uppgifter, om det är nödvändigt för att underlätta övervakning av vissa grovt kriminellt belastade personer och personer som kan antas vara farliga. Utredningen föreslår inte att man ska skilja på gemensamt tillgängliga uppgifter och andra uppgifter.

Remissinstanserna: Rikspolisstyrelsen har uttalat att det bör vara tillräckligt att fängelse ingår i straffskalan för den misstänkta brottsliga verksamheten för att personuppgifter ska få behandlas. Riksdagens ombudsmän har ifrågasatt om nyttan med en bestämmelse som möjliggör registrering av uppgifter om övervakade personer väger över intresset av att skydda den enskilde mot integritetsintrång. Justitiekanslern har ansett att utformningen av bestämmelsen bör övervägas närmare och att en närmare precisering krävs av när en registrering får göras. Dåvarande Riksåklagaren har ansett att den tillåtna behandlingen bör begränsas till att avse personer som har dömts för allvarliga brott riktade mot en persons liv, hälsa eller frihet.

Promemorians förslag överensstämmer med regeringens.

Remissinstanserna: Majoriteten av remissinstanserna har inget att invända mot promemorians förslag. Riksdagens ombudsmän anser dock att den nuvarande kvalifikationsgränsen om två års fängelse i straffskalan bör behållas för behandling av personuppgifter om misstänkt brottslig verksamhet. Tullverket däremot ställer sig bakom en ändring från två till ett års fängelse. Kammarrätten i Stockholm uppger att domstolen i sak ställer sig bakom de preciseringar som föreslås gälla för uppgifter som ska få göras gemensamt tillgängliga men anser att rekvisitet ”sker systematiskt” bör analyseras närmare alternativt belysas ytterligare i författningskommentaren. Datainspektionen anser att det finns ett stort behov av att reformera bestämmelserna om kriminalunderrättelseverksamhet.

Inspektionen anser sig dock inte på det underlag som finns kunna göra en nödvändig proportionalitetsbedömning och avstyrker därför förslaget (se även avsnitt 7.2).

I fråga om behandling av uppgifter för övervakning av personer anser

Riksdagens ombudsmän att avgränsningen av vem som ska kunna anses vara allvarligt kriminellt belastad eller farlig för annans säkerhet måste göras såväl klarare som snävare. Datainspektionen saknar en närmare redogörelse för vilken eller vilka verksamheter som avses med övervakning av personer och lagstödet för denna verksamhet. Inspektionen anser vidare att det är oklart vilka ytterligare möjligheter till behandling av personuppgifter som de aktuella bestämmelserna är tänkta att ge stöd för.

Inspektionen efterlyser ytterligare överväganden i fråga om innebörden och behovet av bestämmelserna.

Skälen för regeringens förslag

Den brottsliga verksamheten måste vara av allvarligare slag

Behandling av gemensamt tillgängliga uppgifter medför särskilda risker för intrång i den enskildes personliga integritet. Det är därför av vikt att möjligheterna att göra personuppgifter gemensamt tillgängliga begränsas till de situationer där behovet är påtagligt.

I avsnitt 7.2 beskrivs den verksamhet som omfattas av ändamålen förebygga, förhindra eller upptäcka brottslig verksamhet. Eftersom dessa begrepp, som Kammarrätten i Stockholm påpekar, är relativt vaga krävs det begränsningar i fråga om vilka uppgifter som ska få göras gemensamt tillgängliga. I det följande kommer för enkelhetens skull begreppet underrättelseverksamhet att användas för att beskriva all den verksamhet som inryms i aktuella ändamål.

En första fråga är om den brottsliga verksamhet som underrättelsearbetet avser måste vara av allvarligare slag för att personuppgifter ska få göras gemensamt tillgängliga. Polisdatautredningen föreslår i denna del att det ska vara fråga om brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer. Det motsvarar vad som nu gäller för behandling av uppgifter i kriminalunderrättelseregister. I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet uppställs ett liknande krav. Enligt den lagen får uppgifter behandlas om de ger anledning att anta att verksamhet som innefattar brott för vilket är föreskrivet fängelse i minst två år eller brott som sker systematiskt har

utövats eller kan komma att utövas (12 § första stycket 1). I sitt remissyttrande över Polisdatautredningens förslag framhöll Rikspolisstyrelsen att en sådan bestämmelse skulle medföra alltför stora begränsningar i förhållande till polisens behov av att kunna behandla personuppgifter. Styrelsen förordade i stället att personuppgiftsbehandling bör tillåtas om det finns fängelse i straffskalan för det brott som innefattas i den misstänkta brottsliga verksamheten. Promemorian föreslår en lösning som ligger mellan Polisdatautredningens förslag och Rikspolisstyrelsens remissynpunkter. Promemorian ställer krav på misstänkt brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i ett år eller mer. Riksdagens ombudsmän anser att en kvalifikationsgräns om två års fängelse torde ge ett tillräckligt utrymme för behandling av personuppgifter i polisens underrättelsearbete, bl.a. med hänsyn till den behandling som inryms i det i promemorian föreslagna undantaget för systematisk brottslig verksamhet.

Att tillåta att personuppgifter i underrättelseverksamhet i större utsträckning än vad som nu är fallet görs gemensamt tillgängliga kan framstå som betänkligt från integritetsskyddssynpunkt. Det förhållandet att uppgifter om brottslig verksamhet normalt har mindre konkretion än uppgifter om enskilda brott talar också för att polisen bör ges mindre utrymme för behandling av personuppgifter i underrättelseverksamhet än för behandling i t.ex. förundersökningar. Behovet av att behandla personuppgifter i underrättelseverksamhet framstår i allmänhet som mindre ju lägre straffvärde den brottsliga verksamhet har som underrättelseverksamheten avser. Det innebär emellertid inte att den nuvarande avgränsningen för när sådan behandling är tillåten – brottslig verksamhet som innefattar brott med minst två års fängelse i straffskalan – är den lämpligaste. Den nuvarande avgränsningen måste ses mot bakgrund av att underrättelseverksamhet var ett ganska nytt arbetssätt när polisdatalagen tillkom och att det då var naturligt att sätta upp förhållandevis snäva gränser för den behandling av personuppgifter som tilläts. Som redovisas i avsnitt 7.2 har polisens arbete med att förebygga, förhindra och upptäcka brottslig verksamhet utvecklats och den nuvarande avgränsningen av när personuppgifter får behandlas har med tiden visat sig vara en hämmande faktor i polisarbetet. Det är därför nödvändigt att i den nya lagen ge större utrymme än tidigare för behandling av uppgifter i verksamhet som bedrivs inom ramen för dessa ändamål.

I linje med vad Rikspolisstyrelsen förordat i sitt tidigare remissvar skulle man i och för sig kunna tänka sig att – i fråga om underrättelseverksamhet – tillåta att personuppgifter görs gemensamt tillgängliga så snart den brottsliga verksamheten innefattar brott för vilket fängelse ingår i straffskalan. En sådan reglering skulle dock föra alltför långt, eftersom många brott med fängelse i straffskalan normalt endast leder till bötesstraff.

Ett annat alternativ är att välja den lösning som promemorian föreslår nämligen att liksom hittills anknyta till straffskalan för de brott som den misstänkta verksamheten antas innefatta, men dra gränsen vid ett i stället för två års fängelse.

Promemorians förslag innebär bl.a. att polisen får större möjlighet att behandla personuppgifter i underrättelseverksamhet angående brott som regleras inom specialstraffrätten. Av tradition har många sådana brott en

annan straffskala än brottsbalksbrott. Samtidigt är det fråga om brott som kan drabba enskilda brottsoffer mycket hårt och som av det skälet bör kunna beivras effektivare. Ett exempel på sådan brottslighet är s.k. inkassoverksamhet som bedrivs utan tillstånd. Det är en brottstyp som förekommer allt oftare och som förknippas med organiserad brottslighet, främst s.k. mc-brottslighet. Brotten består i att driva in pengar under förtäckta hot. Även i de fall där brotten rubriceras som olaga hot är straffmaximum ett års fängelse. En annan brottstyp där det också kan vara angeläget att kunna samla och på ett mer kvalificerat sätt behandla underrättelseinformation för att kunna förebygga brott är överträdelse av besöksförbud. Även bland brottsbalksbrotten finns det sådana som bör kunna angripas genom en effektiv underrättelseverksamhet, men som med dagens gränsdragning faller utanför möjligheterna till behandling av personuppgifter, t.ex. skadegörelse i form av klotter. Denna brottstyp begås av ett fåtal personer men vållar stor skada för samhället. För att kunna lagföra klottrare krävs det normalt att de ertappas på bar gärning, vilket många gånger förutsätter ett noggrant underrättelsearbete. Andra brottsbalksbrott som i vissa fall kan kräva ett effektivt underrättelsearbete är skyddande av brottsling och främjande av flykt. Detta gäller särskilt i de fall där det finns misstanke om kommande fritagning av allvarligt brottsbelastade personer.

I sammanhanget är det viktigt att betona att en stor del av polisens behandling av personuppgifter i underrättelseverksamhet kommer att omfattas av de mer begränsande bestämmelserna om gemensamt tillgängliga uppgifter. Brottsförebyggande arbete i projektform där antalet deltagare är fler än ett tiotal omfattas exempelvis av dessa bestämmelser. Polisen bör enligt regeringens mening kunna bedriva underrättelsearbete för att stävja även mindre allvarlig brottslig verksamhet, bl.a. sådan verksamhet som innefattar brott av de slag som nyss angetts. Av betydelse från integritetsskyddssynpunkt är att ju mindre allvarlig brottslig verksamhet det är fråga om desto mindre är som regel behovet av att sprida uppgifter. Polisen ansvarar för att tillgången till uppgifter begränsas till den personal som behöver ha tillgång till dem för att kunna utföra sina arbetsuppgifter.

Sammanfattningsvis bör det enligt regeringens mening i verksamhet för att förebygga, förhindra och upptäcka brott vara möjligt att göra uppgifter gemensamt tillgängliga så snart den brottsliga verksamheten innefattar brott med ett års fängelse i straffskalan.

Det förekommer även brottslighet där ett års fängelse inte ingår i straffskalan för det enskilda brottet, men där verksamheten kan misstänkas ske systematiskt. Det kan exempelvis vara fråga om ligor som har satt i system att begå snatterier. Andra exempel finns inom den ekonomiska brottsligheten, där bl.a. osant intygande, som inte är grovt, utgör ett betydande problem och där brottsligheten ofta bedrivs systematiskt och kan kräva kartläggning. Ett tredje exempel är barnpornografibrott som är ringa. Intresset av en effektiv brottsbekämpning talar för att polisen bör kunna göra även uppgifter med anknytning till sådan systematisk brottslighet gemensamt tillgängliga. En motsvarande ordning gäller för närvarande för Tullverket. Bestämmelser som gör det möjligt att göra också personuppgifter, som har samband med misstänkt brottslig verksamhet som sker systematiskt, gemensamt tillgängliga bör därför införas i den nya lagen.

Polisens underrättelsearbete avseende mindre allvarlig brottslighet kommer, som Riksdagens ombudsmän påpekar, sannolikt att avse främst systematisk brottslig verksamhet. Det finns emellertid behov av att kunna göra uppgifter gemensamt tillgängliga även beträffande brottslig verksamhet som innefattar brott med endast ett år i straffskalan och som inte bedrivs systematiskt. En sådan behandling är ofta en förutsättning för att polisen ska kunna se samband och upptäcka att viss brottslig verksamhet bedrivs systematiskt.

Uppgifterna måste antas ha samband med den brottsliga verksamheten

En annan fråga är vilka personuppgifter som bör få göras gemensamt tillgängliga och därefter behandlas gemensamt. Det är en självklarhet att uppgifter om brottsmisstankar och om de personer som är misstänkta för delaktighet i brottslig verksamhet ska få behandlas. Även uppgifter om den som inte kan misstänkas måste emellertid kunna få behandlas. Som exempel kan nämnas uppgifter om den som har informerat polisen om den misstänkta brottsliga verksamheten, uppgifter om en person som äger ett garage eller annan lokal där den misstänkta brottsliga verksamheten bedrivs och uppgifter om anhöriga eller andra som genom sitt samröre med den misstänkte kan vara av intresse i underrättelsearbetet. Som förutsättning för att uppgifter av detta slag ska få behandlas bör dock gälla att uppgifterna har en koppling till misstänkt brottslig verksamhet. Därför föreslås att bara uppgifter som kan antas ha samband med den misstänkta brottsliga verksamheten får behandlas.

Förslaget innebär att det i vissa fall kommer att vara möjligt att göra uppgifter om personer som inte själva är misstänkta för vare sig ett konkret brott eller för att delta i viss brottslig verksamhet gemensamt tillgängliga. Att sådan behandling bör omgärdas av särskilda bestämmelser till skydd för den enskildes integritet är självklart. Det behövs bl.a. bestämmelser som förhindrar att uppgifterna ges omotiverad spridning.

Frågan är då hur sådana skyddsregler lämpligen bör utformas. I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet finns bestämmelser som anger att personuppgifter av det nu diskuterade slaget får behandlas endast i ett ärende som rör viss preciserad brottslig verksamhet. Vidare får endast de som arbetar med ärendet ha direkt tillgång till uppgifterna. Tullverket lyfter fram just dessa bestämmelser som exempel på att dess lagstiftning är utformad så att den begränsar utrymmet för informationsutbyte och att detta försvårar samverkan mellan de brottsbekämpande myndigheterna.

Begränsningar av detta slag framstår som mindre ändamålsenliga för polisens del, särskilt mot bakgrund av Tullverkets erfarenheter. De skulle i alltför hög grad begränsa polisens möjlighet att förebygga, förhindra och upptäcka brottslig verksamhet. Det är inte ovanligt att samma personer är inblandade i flera brottsliga aktiviteter som pågår i olika delar av landet vid en och samma tidpunkt. Om endast de som arbetar med det ärende där en viss uppgift har kommit fram ges tillgång till uppgiften, kommer det normalt inte att vara möjligt att upptäcka sambanden med brottsliga aktiviteter som bedrivs på andra håll. Sådana samband kan utgöra grunden för en brottsmisstanke mot en person som förekommer

som ”kringperson” i flera utredningar om likartad brottslig verksamhet. Uppgifter om personer som har samband med brottslig verksamhet utan att vara misstänkta bör därför kunna behandlas gemensamt inom polisen även utanför ett visst ärende. De särskilda risker för intrång i den personliga integriteten som detta skulle kunna innebära kan motverkas genom bl.a. begränsningar i möjligheterna att genom sökning få fram vissa uppgifter. Den frågan behandlas i avsnitt 11. Dessutom bör det beträffande uppgifter som görs eller har gjorts gemensamt tillgängliga alltid framgå huruvida en person är misstänkt eller inte samt för vilket närmare ändamål som behandlingen sker, vilket utvecklas i avsnitt 10. Den allmänna bestämmelsen om att endast tjänstemän som behöver uppgifterna för sitt arbete får ges tillgång till dem har också stor betydelse (avsnitt 6.6).

Uppgifter som behövs för övervakningen av vissa personer

Både Polisdatautredningen och promemorian föreslår särskilda bestämmelser som klargör att polisen i vissa fall har rätt att behandla uppgifter för övervakning av personer. Det handlar då om övervakning av personer som är allvarligt kriminellt belastade eller som kan antas vara farliga för annans personliga säkerhet.

Även Registerutredningen föreslog sådana bestämmelser (SOU 1997:65 s. 230 f.). Enligt det förslaget skulle kriminalunderrättelseregister få innehålla uppgifter om dömda personer som antingen var allvarligt kriminellt belastade eller som kunde antas vara farliga för annans personliga säkerhet. Personuppgifterna skulle gallras senast när samtliga uppgifter om personen hade gallrats ur belastningsregistret. Den dåvarande regeringen ansåg dock att några sådana bestämmelser inte borde införas (prop. 1997/98:97 s. 113 f.). Som skäl angavs att det var svårt att se något behov av ett sådant register, varvid det bl.a. hänvisades till registreringen i belastningsregistret. Regeringen menade också att det skulle vara svårt att fastställa vilka kriterier som skulle gälla för att en person skulle anses vara allvarligt kriminellt belastad eller farlig för annans säkerhet.

Tidigare utredningar och promemorian anser det befogat att polisen, under vissa förutsättningar, genom behandling av personuppgifter får möjlighet att utöva särskild kontroll över personer som är allvarligt kriminellt belastade eller som har visat sig vara särskilt farliga för andra personers säkerhet. Regeringen anser att sådan övervakning kan utgöra ett betydelsefullt inslag i polisens samlade insatser för att förebygga, förhindra eller upptäcka brottslig verksamhet. De uppgifter som finns i misstanke- och belastningsregistren ger inte all den information som behövs för en ändamålsenlig övervakning och registren innehåller inte heller de analysverktyg som kan krävas för att övervakningen ska bli effektiv.

Det förekommer redan övervakning av detta slag inom ramen för särskilda undersökningar. Med hjälp av ett särskilt analysverktyg kan informationen analyseras och kopplingar mellan exempelvis olika grupperingar, händelser och brottsliga verksamheter upptäckas. Denna form av uppgiftssamling har i något fall benämnts Y-databas, där bokstaven Y står för yrkeskriminell. Datainspektionen har i ett tillsynsärende inspek-

terat behandlingen av personuppgifter i en sådan databas vid Polismyndigheten i Skåne. Efter att inledningsvis ha ifrågasatt om databasen omfattades av polisdatalagens bestämmelser om särskilda undersökningar, kom inspektionen fram till att så var fallet. Inspektionen framförde dock vissa synpunkter på gallringen av uppgifterna (Datainspektionens beslut den 25 maj 2007, dnr 686-2006).

Datainspektionen har efterlyst klargöranden av vilken verksamhet som avses med begreppet övervakning. Vad som avses är just den nyss beskrivna behandlingen i form av lagring, bearbetning och analys som sker i särskilda uppgiftssamlingar för att utöva kontroll över vissa personer som uppfattas som särskilt brottsbenägna eller farliga, men mot vilka det för tillfället inte finns några konkreta misstankar om brottslig verksamhet.

Uppgiftssamlingar av detta slag är av stor betydelse för att polisen långsiktigt ska kunna bedriva ett effektivt brottsbekämpande arbete. Utan tillgång till sådana uppgiftssamlingar skulle det vara svårt för polisen att bemästra den brottslighet som förekommer i kriminella nätverk som exempelvis mc-brottsligheten. Från integritetssynpunkt är i och för sig personuppgiftsbehandling av detta slag ägnad att inge betänkligheter. Detta intrång måste dock ställas mot behovet av att förebygga brott av allvarligt slag.

Frågan är då i vilken utsträckning den nya lagen bör ge polisen möjlighet att skapa sådana gemensamma uppgiftssamlingar. För att det integritetsintrång som personuppgiftsbehandlingen kan ge upphov till inte ska bli oproportionerligt bör möjligheten till behandling av personuppgifter för övervakning inskränkas till uppgifter om och kring de personer som uppfattas som särskilt brottsaktiva eller farliga. Bestämmelsen bör dock utformas något annorlunda än vad som föreslås i promemorian. Som första förutsättning bör gälla att personen kan antas komma att begå brott av mera allvarligt slag; att han eller hon tidigare är dömd för sådana brott bör alltså inte vara tillräckligt. Med brott av mera allvarligt slag avses här brott med fängelse i två år eller mer i straffskalan. Därutöver bör krävas att personen antingen är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet.

Riksdagens ombudsmän anser att avgränsningen av vem som ska kunna anses vara allvarligt kriminellt belastad eller farlig för annans säkerhet måste göras såväl klarare som snävare. Varken Polisdatautredningen, Registerutredningen eller promemorian anser dock att det är ändamålsenligt att i lagtext närmare precisera uttrycken ”allvarlig kriminell belastning” och ”hot mot andras säkerhet”. Innebörden av dessa uttryck kommer att behandlas närmare i författningskommentaren.

Någon precisering utöver vad som sägs där kan inte anses nödvändig. Både dåvarande Riksåklagaren och Riksdagens ombudsmän anger som möjlig avgränsning att endast tillåta övervakning av personer som dömts för allvarliga brott riktade mot annans liv, hälsa eller frihet. Detta skulle dock enligt regeringens mening bli för begränsande, eftersom flera av de personer som polisen tror sig veta livnär sig på allvarlig brottslighet aldrig har dömts för något sådant brott. Vidare bör vissa brott som inte direkt kan anses riktade mot liv, hälsa eller frihet kunna omfattas, exempelvis grova skattebrott och narkotikabrott. Sådana brott är nämligen ofta

led i grov organiserad brottslighet riktad mot liv, hälsa eller frihet, t.ex. människohandel.

För att en bestämmelse av detta slag ska bli meningsfull bör polisens möjlighet att göra uppgifter gemensamt tillgängliga omfatta inte bara uppgifter som direkt avser de övervakade personerna utan även uppgifter om personer som har samband med de övervakade personerna. Uppgifter måste exempelvis kunna behandlas om att en övervakad person är anställd hos en viss annan person och att den övervakade personen regelbundet besöker vissa personer. En förutsättning för behandlingen bör dock vara att uppgiften behövs för övervakningen.

Som Datainspektionen påpekar torde personuppgiftsbehandling av nu aktuellt slag för att möjliggöra övervakning i många fall rymmas inom de allmänna bestämmelserna om när uppgifter får göras gemensamt tillgängliga i underrättelsearbete. De uppgifter som behöver behandlas för övervakningen kommer med stor sannolikhet att ofta ha samband med misstänkt brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver eller som sker systematiskt. Det kan dock förekomma fall där dessa rekvisit inte är uppfyllda, samtidigt som starka skäl talar för att behandling bör kunna ske. Det kan exempelvis ibland vara svårt att precisera misstänkt brottslig verksamhet. Vidare – vilket är den största skillnaden – kan uppgifter om personer som har koppling till den övervakade behandlas i större utsträckning eftersom det inte ställs något krav på samband med brottslig verksamhet.

Tillgången till de behandlade uppgifterna bör liksom nu vara starkt begränsad. Endast de tjänstemän som har till uppgift att arbeta med övervakningen bör kunna medges åtkomst. Information om att en viss person är föremål för övervakning bör dock kunna spridas till flera, eftersom det kan vara en förutsättning för att övervakningen ska bli effektiv. Det bör tydligt framgå att personuppgifter behandlas för att möjliggöra övervakning (se avsnitt 10).

Hänvisningar till S9-2

9.3. Utreda och beivra brott

Regeringens förslag: Personuppgifter i ärenden om utredning eller beivrande av brott ska få göras gemensamt tillgängliga.

Utredningen föreslår inte att man ska skilja på uppgifter som är gemensamt tillgängliga och andra uppgifter.

Remissinstanserna har inte yttrat sig i frågan. Promemorians förslag överensstämmer med regeringens. Remissinstanserna tillstyrker eller har inget att invända mot förslaget. Skälen för regeringens förslag: Det är självklart att uppgifter som behandlas för att utreda och beivra brott måste kunna göras gemensamt tillgängliga för de tjänstemän som arbetar med utredningen. Att sådana uppgifter kan göras gemensamt tillgängliga är också en förutsättning för att direktåtkomst ska kunna ges till åklagare, som ofta leder förundersökningar. Det finns inte anledning att ställa upp något krav på att det ska vara fråga om utredning av allvarligare brott för att sådan behandling ska

vara tillåten. Flertalet förundersökningar, oavsett misstänkt brott, lagras redan nu i digital form i ett särskilt system kallat Datoriserad utredningsrutin (DurTvå; se bilaga 6).

Av lagen bör det således framgå att samtliga uppgifter som förekommer i ett ärende som avser utredning eller beivrande av brott får göras gemensamt tillgängliga. Det bör dock göras ett undantag från denna huvudregel, nämligen när det gäller DNA-profiler. Den frågan behandlas i avsnitt 9.6.

I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet föreskrivs som huvudregel att endast de personer som arbetar med ett ärende får ha direkt tillgång till uppgifter som behandlas i ärendet. En följd av detta är att möjligheten att utnyttja uppgifter som behandlas inom ramen för en utredning i en annan utredning eller i underrättelseverksamhet försvåras. Det är inte rimligt att ställa upp någon motsvarande begränsning för polisen. I en brottsutredning kan det vara viktigt att uppgifter snabbt kan inhämtas från andra brottsutredningar, så att polisen kan bedöma om det finns något samband mellan utredningarna. Uppgifter i en förundersökning måste således kunna göras gemensamt tillgängliga för andra än dem som arbetar i förundersökningen. Uppgifter av detta slag är redan nu i viss utsträckning gemensamt tillgängliga. Tillgången till uppgifter i systemet DurTvå är nämligen inte begränsad till de personer som arbetar med en viss förundersökning. För närvarande registreras även samtliga brottsanmälningar i systemet Rationell anmälningsrutin (RAR; se bilaga 6). Samtliga personuppgifter läggs in i systemet, men endast vissa uppgifter får göras sökbara. Från RAR och DurTvå hämtas uppgifter till andra register, t.ex. till det centrala brottsspaningsregistret som innehåller uppgifter om anmälda brott, tillvägagångssätt, signalement beträffande personer som setts på brottsplatsen m.m. Uppgifter från förundersökningar hämtas också till andra register. Att uppgifter i en brottsanmälan eller en förundersökning görs tillgängliga inom polisen för andra än dem som arbetar i ärendet är alltså något som redan nu förekommer i stor utsträckning och är en förutsättning för ett effektivt polisarbete. I de flesta fall är det endast fråga om att göra vissa typer av uppgifter tillgängliga för andra än dem som arbetar i förundersökningen, inte hela förundersökningen.

Det förhållandet att det öppnas möjlighet att göra uppgifter om utredning av brott gemensamt tillgängliga innebär naturligtvis inte någon skyldighet att göra det. Uppgifter i vissa förundersökningar av särskilt känsligt slag bör sannolikt över huvud taget inte göras tillgängliga för andra än dem som arbetar med förundersökningen. I vilken utsträckning möjligheten bör utnyttjas bör dock överlämnas till polisen att avgöra i det enskilda fallet.

Det bör anmärkas att Åklagardatautredningen i betänkandet med förslag till lag om behandling av uppgifter i åklagarväsendets brottsbekämpande verksamhet inte föreslår några begränsningar i fråga om möjligheten att göra uppgifter som förekommer i ärenden om utredning eller beivrande av brott gemensamt tillgängliga (SOU 2008:87 s. 227).

Hänvisningar till S9-3

  • Prop. 2009/10:85: Avsnitt 22.1, 9.5

9.4. Uppgifter som rapporteras till polisens kommunikationscentraler

Regeringens förslag: Uppgifter som rapporteras till polisens kommunikationscentraler ska få göras gemensamt tillgängliga i polisens brottsbekämpande verksamhet.

Utredningen behandlar inte frågan. Remissinstanserna har inte yttrat sig i frågan. Promemorians förslag överensstämmer med regeringens. Remissinstanserna tillstyrker eller har inget att invända mot förslaget. Skälen för regeringens förslag: Polisens kommunikationscentraler har till uppgift att effektivisera och samordna bl.a. de åtgärder som larm föranleder. Kommunikationscentralerna tar emot och vidarebefordrar inkommande larm och andra meddelanden samt vidtar och samordnar inledningsvis polisåtgärder med anledning av larm. Som stöd för denna verksamhet finns ett särskilt datasystem för kommunikationscentralerna, det s.k. KC-systemet (se bilaga 6). Till kommunikationscentralerna rapporterar polispersonalen in händelser, iakttagelser och utförda uppdrag.

KC-systemet syftar till att dokumentera, bevaka och följa upp händelser och iakttagelser som rapporteras till kommunikationscentralerna både av allmänheten och av polispersonal. Syftet är också att på ett tidigt stadium kunna få signaler om pågående och återkommande brottslighet. Vidare har behandlingen till ändamål att ge underlag för planering av polisens resurser och för uppföljning av verksamheten. Systemet stöder inte endast polisens brottsbekämpande verksamhet utan även annan polisiär verksamhet. Uppgifterna som antecknas i systemet får vara tillgängliga i tretton månader.

När kommunikationscentralen tar emot larm och meddelanden, antecknas den information som rapporteras in. Vidare antecknas vilka åtgärder som vidtas med anledning av ett larm, t.ex. om en polispatrull skickas till platsen där ett brott påstås ha begåtts. När polispatrullen har varit på platsen, rapporterar den till kommunikationscentralen vad som har hänt och vilka ytterligare åtgärder som bedöms vara nödvändiga. Det finns inte några begränsningar i fråga om vilka uppgifter som får antecknas i KC-systemet. Det som registreras är bl.a. brotts- eller händelseplatser med besked om tid, plats, händelsetyp, brottskod och övrig information som kan vara till hjälp vid en kommande insats. Systemet innehåller också personuppgifter. Något förenklat kan man säga att systemet fungerar som en postcentral där alla inrapporterade uppgifter antecknas för att senare sorteras och vidarebefordras till polisens olika verksamhetsgrenar. Uppgifter om misstänkta brott vidarebefordras till polisens utredningsenheter, medan uppgifter om misstänkt brottslig verksamhet förs över till polisens underrättelseenheter. KC-systemet används normalt inte i den brottsbekämpande verksamheten för att söka efter information. Det förekommer emellertid att sökningar görs i systemet för att få fram uppgifter till en pågående brottsutredning, t.ex. om vad som har rapporterats in till polisen under en viss kortare tidsperiod eller på en viss plats. Det är dock

endast ett begränsat antal tjänstemän som har behörighet att söka i systemet.

Polisen bör även fortsättningsvis ha möjlighet att dokumentera händelser och iakttagelser som rapporteras till polisens kommunikationscentraler. För att en sådan dokumentation ska tillgodose polisens informationsbehov är det nödvändigt att uppgifterna kan göras gemensamt tillgängliga. Som framgått ovan kan det som rapporteras innehålla vilka personuppgifter som helst. Meddelandena kan således mycket väl innehålla uppgifter som inte annars får göras gemensamt tillgängliga enligt de bestämmelser som föreslås i den nya lagen. Det kan t.ex. röra sig om uppgifter om personer som enbart misstänks delta i brottslig verksamhet som inte innefattar brott för vilket är föreskrivet ett års fängelse eller mer. Att i detta sammanhang göra skillnad på den ena eller andra typen av uppgifter är dock praktiskt ogörligt. Den personal som tar emot och dokumenterar uppgifterna har inte någon möjlighet att pröva hur uppgifterna får behandlas.

Mot denna bakgrund bör det i den nya lagen tas in en särskild bestämmelse som ger ett generellt stöd för den behandling av personuppgifter som sker vid polisens kommunikationscentraler. Uppgifterna bör få göras gemensamt tillgängliga i polisens brottsbekämpande verksamhet.

Det ska tydligt framgå att personuppgifter behandlas för nu aktuellt ändamål genom en särskild upplysning eller på något annat sätt. Vidare bör särskilda gallringsbestämmelser gälla. Dessa frågor behandlas i avsnitt 10 och 14.3.

Hänvisningar till S9-4

  • Prop. 2009/10:85: Avsnitt 22.1

9.5. Uppgifter i det internationella samarbetet

Regeringens förslag: Uppgifter i det internationella samarbetet får göras gemensamt tillgängliga om det behövs för att fullgöra den aktuella förpliktelsen.

Utredningen behandlar inte frågan. Remissinstanserna har inte yttrat sig i frågan. Promemorians förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot förslaget. Rikspolisstyrelsen ifrågasätter dock om inte kravet på att uppgifterna ska behövas för att fullgöra en internationell förpliktelse redan framgår av den bestämmelse som anger att endast uppgifter som behövs för att fullgöra en internationell förpliktelse får göras gemensamt tillgängliga.

Skälen för regeringens förslag: Den ökade internationaliseringen innebär att allt större krav ställs på polisiärt samarbete över gränserna (se avsnitt 7.4). Den föreslagna lagen bör därför ge möjlighet till personuppgiftsbehandling för internationellt samarbete. En grundläggande förutsättning för sådan behandling bör vara att den behövs för att fullgöra ett internationellt åtagande. En särskild fråga är hur man ska se på möjligheten att göra uppgifter gemensamt tillgängliga när det gäller internatio-

nellt samarbete. I princip bör man kunna utgå från samma kriterier i det arbetet som vid personuppgiftsbehandling för nationella behov.

En viktig del av det dagliga internationella samarbetet via Interpol består i utbyte av information om stulna pass, stulna fordon, stulen konst och efterlysta personer. Interpol för olika register över sådana uppgifter och medlemsstaterna utbyter fortlöpande denna information med varandra. Syftet med s.k. internationell efterlysning av personer eller föremål är att man genom det förfarandet förbättrar möjligheterna att utreda och lagföra brott. Informationsutbytet ökar möjligheterna att påträffa personer som försöker hålla sig undan rättvisan. Likaså förbättras förutsättningarna för att kunna återställa stulen egendom eller att åtminstone förhindra att värdefulla stulna föremål avyttras i andra länder.

När en svensk myndighet sänder en internationell efterlysning till Interpol sker detta som ett led i den svenska brottsbekämpningen. Uppgifterna har då gjorts gemensamt tillgängliga med stöd av de regler som föreslås i avsnitt 9.2 och 9.3. När en svensk myndighet tar emot uppgifter från andra länder om internationella efterlysningar görs det för att den andra staten vill ha bistånd med upplysningar om var det efterlysta föremålet finns (och eventuellt med ett ingripande i form av beslag) eller hjälp med att ingripa mot den efterlysta personen, om denne påträffas i Sverige. Upplysningar om efterlysta personer och efterlysta föremål måste därför kunna vidarebefordras till i princip all polispersonal. Detta görs genom att uppgifterna tillförs de nationella registren över efterlysningar. För att svensk polis ska kunna fullgöra gjorda internationella åtaganden i nu aktuella hänseenden måste således personuppgifter i viss utsträckning kunna göras gemensamt tillgängliga.

Ett annat exempel där det kan krävas att uppgifter görs gemensamt tillgängliga är förundersökningar som bedrivs parallellt i Sverige och i en annan stat och som gäller brott och brottsmisstankar som har samband med varandra. Även underrättelseuppgifter som lämnas till Sverige som ett led i ett allmänt informationsutbyte kan behöva göras gemensamt tillgängliga för att den svenska polisen ska kunna bidra med information.

Den nya lagen bör alltså ge utrymme för att göra uppgifter som behandlas inom ramen för internationellt samarbete gemensamt tillgängliga. Mot bakgrund av de särskilda risker för intrång i den enskildes personliga integritet som behandling av gemensamt tillgängliga uppgifter kan medföra bör behandlingen begränsas till de fall där behovet är mera påtagligt. När det gäller personuppgifter som behandlas för att fullgöra internationella åtaganden bör därför dessa få göras gemensamt tillgängliga endast om det krävs för att förpliktelsen ska kunna fullgöras.

En uttrycklig bestämmelse om detta bör tas in i den nya lagen. Bestämmelsen bör dock utformas något annorlunda än promemorians förslag, för att undanröja den oklarhet som Rikspolisstyrelsen pekar på.

Den internationella enheten vid Rikskriminalpolisen fungerar som kontaktpunkt vid allt internationellt polisiärt samarbete som inte sker genom direktkontakter mellan myndigheterna. I avsnitt 15.5 diskuteras de särskilda behov av behandling av uppgifter som finns i det arbetet, vilket utmynnar i förslag att Rikspolisstyrelsen får föra ett särskilt register över internationella ärenden.

Hänvisningar till S9-5

  • Prop. 2009/10:85: Avsnitt 22.1

9.6. Behandlingen av DNA-profiler

Regeringens förslag: Uttrycket ”uppgifter om resultatet av DNA-analyser” ska ersättas med begreppet ”DNA-profil”.

DNA-profiler får inte göras gemensamt tillgängliga, men får behandlas i vissa register enligt särskilda bestämmelser. Utöver detta gäller inga särskilda begränsningar för behandlingen av DNA-profiler.

Utredningens förslag: Uppgifter om resultatet av DNA-analyser i brottmål ska endast få behandlas i särskilda register samt i förundersökningar och andra brottsutredningar.

Remissinstanserna har inte yttrat sig i frågan. Promemorians förslag överensstämmer delvis med regeringens. Promemorian använder inte begreppet DNA-profil och föreslår att behandling av uppgifter om resultatet av DNA-analyser endast ska vara tillåten i förundersökningar, utöver den behandling som sker i de särskilda DNAregistren.

Remissinstanserna: Flertalet av remissinstanserna tillstyrker eller har inget att invända mot förslaget. Åklagarmyndigheten, Rikspolisstyrelsen och Statens kriminaltekniska laboratorium ifrågasätter dock promemorians uttalande att DNA-profiler utgör särskilt känsliga uppgifter och framhåller att de DNA-profiler som tas fram och registreras i DNA-registren endast utgör en sifferkombination som inte innehåller någon information om personliga egenskaper, t.ex. sjukdomsanlag eller liknande. Mot denna bakgrund anser Åklagarmyndigheten att förnyade överväganden behövs vad gäller den föreslagna regleringen av behandling av DNA-profiler.

Enligt Statens kriminaltekniska laboratorium är DNA-profiler inte mer integritetskänsliga än exempelvis fingeravtryck.

Rikspolisstyrelsen påpekar att DNA-profiler ofta utväxlas inom ramen för det internationella polisiära samarbetet. Bestämmelsen i förslaget med innebörd att DNA-profiler – utöver behandlingen i DNA-register – endast får behandlas i förundersökningar måste enligt styrelsen ändras för att det internationella uppgiftsutbytet ska kunna fortsätta. Styrelsen anser vidare att lagtexten bör förtydligas när det gäller uttrycket ”resultatet av DNA-analys”. Några remissinstanser ifrågasätter även att uppgifter om resultat av DNA-analyser inte ska få göras gemensamt tillgängliga. Statens kriminaltekniska laboratorium anser att lagtexten behöver förtydligas, bl.a. ifrågasätts hur bestämmelsen om undantag för möjligheten att göra DNA-profiler gemensamt tillgängliga förhåller sig till bestämmelserna om direktåtkomst till DNA-register.

Skälen för regeringens förslag: I polisdatalagen finns bestämmelser om behandlingen av uppgifter om resultatet av DNA-analyser. Sådana uppgifter får enligt 22 § behandlas i särskilda register samt i förundersökningar och i särskilda undersökningar. I promemorian föreslås en liknande reglering.

Som Rikspolisstyrelsen anför är uttrycket ”uppgifter om resultatet av DNA-analyser” otydligt och kan ge utrymme för olika tolkningar av vilken behandling som avses. I polisdatalagen används uttrycket ”uppgifter om resultatet av DNA-analyser” för att beskriva det som registreras i DNA-registren (registren beskrivs närmare i avsnitt 15.2). I departe-

mentspromemorian Genomförandet av delar av Prümrådsbeslutet beskrivs hur det går till när Statens kriminaltekniska laboratorium analyserar DNA-prov och tar fram DNA-profiler samt hur DNA-profilerna sedan används genom att jämföras med andra DNA-profiler (Ds 2009:8 s. 79 f.). Av redogörelsen framgår bl.a. följande. Vid en kriminalteknisk DNA-analys undersöks endast en liten del av arvsmassan med inriktning på olika analyser som benämns STR-områden. Typbestämningen av ett antal sådana STR-områden presenteras som en sifferkombination (DNAprofilen). Det är endast denna sifferkombination som registreras och används för jämförelse med andra registreringar. Den del av DNA:t som typbestäms hör till den icke kodifierade delen av DNA:t. Det finns därför inga personliga egenskaper kopplade till dessa.

De uppgifter som får registreras efter en DNA-analys anges i 24, 24 a och 25 §§polisdatalagen. Endast uppgifter som ger information om den registrerades identitet, samt uppgifter om vem analysen avser och i vilket ärende den gjorts får registreras. Det som läggs in i DNA-registren är således DNA-profilen och uppgifter om den undersöktes identitet, om den är känd, samt vissa administrativa uppgifter. För att tydliggöra att det är behandlingen av själva siffer- eller bokstavskombinationen som regleringen avser, och inte exempelvis behandlingen av ett utlåtande efter en företagen jämförelse av olika DNA-profiler, bör formuleringen ”uppgifter om resultat av DNA-analyser” ersättas med begreppet ”DNA-profil” . En definition av termen DNA-profil bör införas i den nya lagen. Av definitionen bör det framgå att en DNA-profil utgör resultatet av en DNAanalys som presenteras som en kombination av siffror eller bokstäver. Det bör också framgå att det är fråga om DNA-analys av humant material. Motsvarande ändringar har föreslagits i departementspromemorian Genomförandet av delar av Prümrådsbeslutet (Ds 2009:8 s. 120).

Några remissinstanser har kritiserat den föreslagna begränsningen att DNA-profiler endast ska få behandlas i förundersökningar och i särskilda register. Vid bedömningen av behovet av en sådan begränsning kan inledningsvis konstateras dels att det krävs expertkunskap för att tillgodogöra sig information ur en DNA-profil, eftersom en sådan profil endast utgör en kombination av siffror eller bokstäver, dels att den information som en expert kan ta fram ur en DNA-profil är begränsad. Detta innebär å ena sidan att det kan ifrågasättas om en DNA-profil utgör en sådan integritetskänslig uppgift som förutsätts i promemorian. Å andra sidan är det svårt att se något reellt polisiärt behov av att kunna behandla DNAprofiler utanför den verksamhet som bedrivs av Statens kriminaltekniska laboratorium och utanför de särskilda register där DNA-profiler registreras. Som Rikspolisstyrelsen påtalar finns det dock ett sådant behov inom ramen för det internationella samarbetet, eftersom DNA-profiler redan nu i viss utsträckning utbyts med andra länder (se prop. 2007/08:83 s. 60). Att föreskriva att DNA-profiler endast får behandlas i förundersökningar är därför enligt regeringens mening inte lämpligt. Inte heller integritetsskyddsskäl motiverar en sådan begränsning. Det är viktigt att betona att den reglering som nu föreslås inte avser hanteringen av spårmaterialet eller DNA-proverna utan behandlingen av själva resultatet av analysen i form av en DNA-profil.

Däremot bör det införas ett förbud mot att göra DNA-profiler gemensamt tillgängliga. Denna begränsning är viktig av integritetsskyddsskäl,

eftersom det därigenom bl.a. säkerställs att det inte skapas uppgiftssamlingar med DNA-profiler vid sidan av de särskilda register där DNAprofiler får behandlas.

Förbudet mot att göra DNA-profiler gemensamt tillgängliga torde inte, som Rikspolisstyrelsen befarar, utgöra något problem för det internationella uppgiftsutbytet eftersom det nu, till skillnad från i promemorian, föreslås särskilda bestämmelser för Rikspolisstyrelsens internationella register. I sammanhanget är det viktigt att framhålla, bl.a. med anledning av Statens kriminaltekniska laboratoriums begäran om förtydligande, att förbudet mot att göra DNA-profiler gemensamt tillgängliga inte gäller behandlingen av uppgifter i de register som regleras särskilt.

I avsnitt 15.2 och 15.5 övervägs vilka bestämmelser som ska gälla för behandlingen av DNA-profiler i särskilda register.

Hänvisningar till S9-6

10. Särskilda upplysningar för gemensamt tillgängliga uppgifter

Hänvisningar till S10

Regeringens förslag: Vid behandling av gemensamt tillgängliga uppgifter ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål uppgifterna behandlas. Om en uppgift direkt kan hänföras till en person som inte är misstänkt vare sig för visst brott eller för att ha utövat eller komma att utöva allvarlig eller systematisk brottslig verksamhet, ska det på samma sätt framgå att personen i fråga inte är misstänkt.

Uppgifter, som avser en person som kan antas ha samband med misstänkt brottslig verksamhet, ska som regel förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Detsamma gäller för personuppgifter som behandlas inom ramen för övervakning av misstänkta personer.

Utredningens förslag: Uppgifter om personer mot vilka det inte finns någon misstanke om brott ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

Remissinstanserna har inte haft några invändningar mot utredningens förslag.

Promemorians förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot promemorians förslag. Åklagarmyndigheten förklarar sig ha förståelse för de skäl som bär upp intresset av att ”märka” uppgifter med särskilda upplysningar. Myndigheten anser dock att det framstår som mycket svårt att praktiskt förverkliga en sådan ambition, inte minst vad gäller omfattande bild- och ljudmaterial.

Även Rikspolisstyrelsen förutser praktiska problem vid tillämpningen av de föreslagna bestämmelserna, framför allt i fråga om behandling av personuppgifter i form av bild och ljud. Styrelsen ifrågasätter exempelvis hur bestämmelserna om särskilda upplysningar ska kunna tillämpas vid videokonferenser för t.ex. utsättning i en myndighet. Styrelsen föreslår därför att behandling i form av bild och ljud undantas från kravet på

särskilda upplysningar. Rikspolisstyrelsen anser vidare att det är svårt att förstå hur bestämmelserna ska tillämpas vid behandling av personuppgifter i löpande text och efterlyser därför klargöranden i den fortsatta beredningen. Förtydliganden behövs även i fråga om kravet på särskild upplysning om ändamålet med behandlingen. Rikspolisstyrelsen anser att bestämmelsen bör tolkas så att kravet är uppfyllt om uppgiften ingår i ett särskilt underrättelseprojekt eller särskilt system med visst ändamål eller om det finns information om hur uppgiften ska hanteras.

Rikspolisstyrelsen uppger att det i all underrättelseverksamhet finns ett verksamhetsbehov av att vid analys av information kunna bedöma källans tillförlitlighet och informationens riktighet i sak. Därför har polisen infört ett värderingssystem, det s.k. 4x4-systemet, som ska användas vid inhämtningen av information. Styrelsen bedömer att systemet i stort uppfyller förslagets krav på upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Emellertid förekommer det enligt styrelsen att information som har inhämtats inte har åsatts någon värdering, t.ex. information som inhämtats från icke polisiära källor och information som översänts från brottsbekämpande myndigheter i andra länder. Rikspolisstyrelsen föreslår därför att kravet modifieras på så sätt att uppgifter så långt som möjligt ska förses med särskild upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. I och med att äldre information inte alltid har åsatts en värdering är det enligt Rikspolisstyrelsen viktigt att bestämmelserna inte gäller retroaktivt. Den stora mängd information som finns i polisens system omöjliggör en retroaktiv tillämpning.

Skälen för regeringens förslag

Krav på att vissa förhållanden ska framgå

Traditionella register förs för vissa närmare preciserade ändamål. När personuppgifter lagras i ett sådant register framgår det således av sammanhanget för vilket ändamål uppgiften lagras. Eftersom register vanligtvis konstrueras så att sökfält skapas för olika slag av uppgifter får den som söker efter information i register normalt också upplysning om till vilken kategori en viss uppgift hör, t.ex. misstänkt eller målsägande. En utgångspunkt för arbetet med den nya polisdatalagen är att lagen inte bör reglera hur uppgifter tekniskt ska lagras eller göras tillgängliga. Förslaget innebär att uppgifter av olika slag kan göras gemensamt tillgängliga utan att de för den skull behöver ingå i ett särskilt register av vilket de närmare ändamålen för behandlingen av personuppgifterna framgår. Uppgifter ska således i större utsträckning kunna lagras i det sammanhang som de lagligen samlades in för och därifrån göras tillgängliga för olika berättigade ändamål.

I och med att den nya lagen i större utsträckning kommer att tillåta att uppgifter behandlas utanför särskilda register behövs bestämmelser som säkerställer att den som söker information får motsvarande upplysningar, bl.a. om ändamålet för behandlingen, som han eller hon skulle ha fått om uppgifterna hade behandlats i ett register. Både verksamhetsskäl och integritetsskyddsskäl talar för att det vid informationssökning ska framgå varför en uppgift behandlas av polisen. Av samma skäl är det viktigt att

det framgår att en uppgift rör en icke-misstänkt person när så är fallet samt hur tillförlitlig en underrättelseuppgift bedöms vara. Sådan information är nödvändig om en uppgift tas ur sitt sammanhang för att behandlas för ett nytt ändamål. Mot denna bakgrund bör det som promemorian föreslår införas krav på att vissa förhållanden alltid ska framgå. I förtydligande syfte bör bestämmelserna utformas på ett något annorlunda sätt än i promemorians förslag. Det bör föreskrivas att aktuellt förhållande ska framgå genom en särskild upplysning eller på något annat sätt. Någon förändring i sak är dock inte avsedd utan utgångspunkten är densamma, nämligen att upplysning aldrig behöver lämnas om ett förhållande som ändå framgår av omständigheterna. Vad detta närmare innebär utvecklas i det följande.

I linje med utgångspunkten att några särskilda upplysningar inte behövs när det ändå framgår varför uppgiften behandlas, föreslås inte några motsvarande bestämmelser för uppgifter som ännu inte har gjorts gemensamt tillgängliga. Om t.ex. uppgifter förekommer i en enskild tjänstemans dator eller behandlas i en liten, klart avgränsad projektgrupp vet handläggande tjänsteman varifrån uppgiften har kommit, varför den behandlas och om en omnämnd person är misstänkt för brott eller för att utöva brottslig verksamhet eller inte.

I vilken utsträckning det kommer att bli nödvändigt att förse uppgifter med särskilda upplysningar beror på hur polisen organiserar behandlingen av personuppgifter i den brottsbekämpande verksamheten. När uppgifter behandlas i särskilda avgränsade register eller system framgår det normalt av omständigheterna för vilket ändamål uppgifterna behandlas och om en uppgift avser en person som är misstänkt eller inte. Förhållandena ändras om man bygger system som möjliggör sökning exempelvis på viss person i ett flertal system; flera olika särskilda undersökningar kanske länkas samman. I sådana fall är det viktigt att det framgår varifrån uppgiften hämtats, för vilket ändamål uppgiften behandlas och om uppgiften avser någon som inte är misstänkt.

Sammanfattningsvis bör framhållas att det väsentliga är att den som får del av personuppgifter inom polisen ska veta varför uppgifterna behandlas. I vilken utsträckning särskilda upplysningar kommer att behövas, blir avhängigt av vilka lösningar polisen väljer för sin framtida personuppgiftsbehandling. Behålls de traditionella registren kommer några särskilda upplysningar normalt inte att behövas, eftersom ändamålet med behandlingen då framgår av syftet med registret.

Uppgifter i bild- och ljudupptagningar m.m.

Både Åklagarmyndigheten och Rikspolisstyrelsen förutser praktiska problem vid tillämpningen av bestämmelserna om särskilda upplysningar. Båda myndigheterna pekar på särskilda svårigheter vid behandling av uppgifter i form av bild och ljud.

Bestämmelserna kan i förstone framstå som mer ingripande och begränsande än vad som är fallet. Det är bl.a. mot denna bakgrund som bestämmelserna föreslås utformas på ett något annorlunda sätt än i promemorieförslaget. Inledningsvis bör betonas att det inte ställs upp något krav på ”märkning” av varje enskild personuppgift i en bild- eller ljud-

upptagning. Det viktiga är att den som får tillgång till och söker i en bild- eller ljudfil vet varifrån upptagningen härrör och för vilket ändamål den behandlas. Det kan t.ex. uppnås genom att den aktuella filen förses med en särskild upplysning om ändamålet med behandlingen. Ibland behövs ingen upplysning; för exempelvis en upptagning vid hemlig kameraövervakning eller hemlig teleavlyssning i en förundersökning om grovt narkotikabrott krävs inga ytterligare upplysningar om ändamålet med behandlingen.

Om det inte framgår av sammanhanget, kan det i anslutning till bild- eller ljudfilen även behövas en särskild upplysning, t.ex. i form av en förklarande text, om vilken eller vilka personer på upptagningen som är misstänkta för brott. Därmed framgår det motsatsvis att övriga personer inte är misstänkta. Det kan exempelvis behövas en särskild upplysning om det finns spaningsbilder från en viss plats där det förekommer flera personer och endast en av dem är misstänkt. I vissa fall behövs även en värdering av uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

Rikspolisstyrelsen ifrågasätter även hur uppgifter ska kunna förses med särskilda upplysningar vid en videokonferens. Vid en sådan konferens är det vanligt att personuppgifter behandlas, eftersom syftet normalt är att utbyta information om personer. Vid s.k. utsättning diskuterar polisen olika händelser, företeelser och personer och det förekommer att bilder visas. Eftersom det vid en videokonferens alltid finns någon som berättar om de personuppgifter som behandlas och förklarar ändamålet med behandlingen, torde det inte behövas några särskilda upplysningar eftersom det framgår av sammanhanget både varför uppgifterna behandlas och om det rör sig om uppgifter om misstänkta eller inte.

Rikspolisstyrelsen undrar också hur bestämmelserna är tänkta att tilllämpas när uppgifter behandlas i löpande text. Att ställa upp ett generellt krav på att varje personuppgift i löpande text ska förses med en särskild upplysning är naturligtvis inte rimligt. Som Rikspolisstyrelsen påpekar torde det i de allra flesta fall tydligt framgå av omständigheterna för vilket ändamål uppgifterna behandlas och om uppgifterna avser personer som inte är misstänkta för brott. Om uppgifter behandlas i en särskild textfil bör det liksom för bild- och ljudfiler vara tillräckligt att förse filen med en upplysning och förklarande text om innehållet i filen. Vid övrig behandling i löpande text, t.ex. i särskilda fritextfält i register och andra system, framgår det i regel av sammanhanget varför uppgifterna behandlas. Syftet med bestämmelserna om särskilda upplysningar är framför allt att säkerställa att uppgifter som presenteras utanför sitt sammanhang förses med sådana upplysningar. Återigen är det viktigt att framhålla att frågan om huruvida det behövs särskilda upplysningar således kommer att bli beroende av hur polisen organiserar sina system, framför allt vilka sökmöjligheter som skapas. Om polisen möjliggör s.k. fritextsökningar i ett flertal sammanlänkade system bör det vid sökning på viss uppgift av träffbilden framgå för vilket ändamål den aktuella personuppgiften behandlas. Det bör framgå i vilket ärende eller vilken uppgiftssamling – t.ex. ett särskilt underrättelseprojekt – som uppgiften behandlas. Vidare bör det framgå om personen inte är misstänkt för brott.

Upplysning om ändamålet med behandlingen

Det finns som nyss nämnts både integritetsskyddsskäl och verksamhetsskäl som talar för att det bör framgå för vilket ändamål en uppgift som har gjorts gemensamt tillgänglig behandlas. Från integritetssynpunkt har detta betydelse bl.a. för möjligheterna att genom tekniska förfaranden eller administrativa bestämmelser kunna styra åtkomsten till vissa uppgifter. En upplysning om ändamålet med behandlingen kan vidare vara en förutsättning för att tillsynsmyndigheterna ska kunna kontrollera att viss behandling är berättigad och sker i enlighet med lagens bestämmelser. Framför allt av verksamhetsskäl är information om ändamålet med behandlingen viktig för att de tjänstemän som får tillgång till personuppgifter ska kunna värdera uppgifterna korrekt och använda sig av dem på ett effektivt och lagenligt sätt. Informationen behövs bl.a. för att en tjänsteman ska kunna ta ställning till om uppgiften får och bör behandlas för ett nytt ändamål. En särskild bestämmelse bör därför tas in i den nya lagen med innebörd att det alltid ska framgå för vilket ändamål en personuppgift behandlas. Om en personuppgift behandlas inom ramen för den ovan föreslagna bestämmelsen om övervakning av vissa personer, bör detta framgå särskilt. Detsamma bör gälla om en uppgift behandlas med stöd av bestämmelsen om rapportering till polisens kommunikationscentraler.

En särskild upplysning behövs endast om ändamålet för behandlingen inte framgår på något annat sätt. Som Rikspolisstyrelsen påpekar framgår ändamålet normalt av omständigheterna när en uppgift ingår i ett särskilt underrättelseprojekt eller särskilt system med ett visst ändamål.

Upplysning om att personen inte är misstänkt

Det är av stor betydelse för skyddet av den personliga integriteten att polisen behandlar personuppgifter på ett sådant sätt att det framgår om en person behandlas som misstänkt eller om behandlingen sker av någon annan anledning. Därför föreslås att det i lagen ställs krav på att det ska framgå om behandlingen avser uppgifter om en person som inte är misstänkt vare sig för ett konkret brott eller för att ha utövat eller komma att utöva brottslig verksamhet. Detta förhållande bör framgå genom en särskild upplysning eller på något annat sätt. Det kan anmärkas att det redan finns krav på särskilda upplysningar vid behandling av underrättelseuppgifter (14 och 19 §§polisdatalagen).

Ofta framgår det av omständigheterna att en uppgift avser en person som inte är misstänkt. Någon särskild upplysning behövs då inte. I en förundersökning som gäller misshandel kan det t.ex. framgå att A berörs av förundersökningen endast i egenskap av målsägande. Det kan anmärkas att det i 20 och 21 §§ förundersökningskungörelsen (1947:948) ställs krav på att det ska framgå varför en uppgift om en person antecknas i förundersökningsprotokollet. En särskild fråga är hur man ska förfara med en person som i samma sammanhang är såväl misstänkt som icke misstänkt. Sådana fall är inte ovanliga men i regel bör de inte innebära något problem eftersom det normalt framgår av omständigheterna hur situationen är.

Vidare behöver inte enskilda uppgifter i förhör, inlagor eller i bild- och ljudupptagningar förses med särskilda upplysningar, eftersom det i dessa fall normalt framgår av sammanhanget om en omnämnd – eller på bild synlig – person inte är misstänkt. Det är, som tidigare nämnts, framför allt när uppgifter presenteras utanför sitt sammanhang som det kan behövas särskilda upplysningar.

En viss uppgiftssamling kan också vara sådan till sin natur att det är uppenbart att de personer som ingår i samlingen inte är registrerade som misstänkta. Som exempel kan nämnas en förteckning över målsägande.

Lagrådet har invänt mot att ordet ”misstänkt” används när det gäller brott som ännu inte har begåtts och ansett att den formulering som används i lagrådsremissens 3 kap. 4 och 6 §§ är svårbegriplig. Ordet misstänkt används emellertid redan på detta sätt både i polisdatalagen och i motsvarande lagar där personuppgifter tillåts behandlas i underrättelseverksamhet, t.ex. lagen (2005:787) om behandling av uppgifter i

Tullverkets brottsbekämpande verksamhet. I nämnda lagar ställs även krav på viss misstankenivå. I 19 § första stycket polisdatalagen krävs t.ex. för viss behandling att en person skäligen kan misstänkas för att ha utövat eller komma att utöva brottslig verksamhet. Med hänsyn till svårigheten att avgöra graden av misstanke beträffande brottslighet som inte har konkretiserats föreslås inget motsvarande krav i den nya lagen. För att uppnå enhetlighet i lagstiftningen finns det också skäl att behålla den vedertagna terminologin ”att utöva eller komma att utöva brottslig verksamhet”, även om det som Lagrådet påpekat kan finnas invändningar mot formuleringen.

Upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak

I Europarådets rekommendation No. R (87) 15 om användningen av personuppgifter inom polissektorn anges att skilda kategorier av lagrade uppgifter så långt som möjligt ska kunna skiljas från varandra efter graden av riktighet och tillförlitlighet (princip 3.2). I synnerhet ska uppgifter som grundar sig på fakta kunna skiljas från uppgifter som har sin grund i omdömen eller personliga värderingar. Det ska således gå att utläsa om den som lämnat uppgifter som sedan registreras kan anses vara tillförlitlig samt graden av riktighet i sak, t.ex. om informationen består av kontrollerade fakta eller endast icke styrkta påståenden. I 16 § andra stycket lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet föreskrivs att uppgifter om en person som kan antas ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Vid tillkomsten av polisdatalagen övervägdes om en motsvarande bestämmelse borde tas in i den lagen. Den dåvarande regeringen lämnade dock inte något sådant förslag. Regeringen hänvisade till att den föreslagna uppdelningen på belastningsregister, misstankeregister och kriminalunderrättelseregister innebar att bekräftade och konkreta uppgifter kom att skiljas från uppgifter som grundades på skälig misstanke respektive på kriminalunderrättelseverksamhet. Att därutöver i lag ta in bestämmelser om att behand-

lade uppgifter även skulle förses med upplysning om uppgiftslämnarens trovärdighet ansågs inte befogat (prop. 1997/98:97 s. 104 f.).

I den nya lagen föreslås inte några bestämmelser om personuppgiftsbehandling i kriminalunderrättelseverksamhet eller om kriminalunderrättelseregister. Förslaget är utformat så att det kommer att vara möjligt att i en och samma uppgiftssamling sammanföra uppgifter med skiftande grad av tillförlitlighet. Rikspolisstyrelsen uppger att det inom all underrättelseverksamhet finns ett verksamhetsbehov att vid analys av information kunna bedöma källans tillförlitlighet och informationens riktighet i sak. Mot den bakgrunden finns det fog för att i den nya lagen ställa upp ett krav på tilläggsupplysningar motsvarande 16 § andra stycket lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. I den nya lagen bör det alltså tas in en bestämmelse om att uppgifter om personer som kan antas ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

Bestämmelsen bör inte gälla personuppgiftsbehandling inom ramen för brottsutredning utan enbart underrättelseverksamhet. En förundersökning rör ett konkret brott och det framgår då som regel direkt av sammanhanget varför det har ansetts finnas fog för att behandla uppgifter, t.ex. av förhörsprotokoll eller vittneslistor. Risken för missuppfattningar inom ramen för handläggningen av en sådan utredning är därför liten.

Vidare bör det, som föreslås i promemorian, finnas utrymme för att inte lämna någon tilläggsupplysning i situationer där upplysningen framstår som överflödig. Så kan vara fallet beträffande personuppgifter av helt ”neutral” karaktär, exempelvis uppgifter som har inhämtats från folkbokföringen, vägtrafikregistret och liknande källor.

Rikspolisstyrelsen anser att aktuell tilläggsinformation endast ska behöva lämnas ”så långt detta är möjligt” och hänvisar till att detta uttryckssätt används i princip 3.2. i Europarådets rekommendation. Rikspolisstyrelsen förklarar att man inom polisen använder sig av ett värderingssystem som i stort uppfyller promemorieförslagets krav på upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

Enligt styrelsen förekommer det emellertid att polisen får del av uppgifter som inte har åsatts en sådan värdering, t.ex. uppgifter från andra än polisiära källor och från utländska brottsbekämpande myndigheter.

De exempel som Rikspolisstyrelsen ger motiverar inte avsteg från den viktiga principen att uppgifterna ska förses med tilläggsinformation. De aktuella uppgifterna bör kunna förses med något slag av notering, t.ex. upplysning om att någon bedömning av källans trovärdighet eller uppgifternas riktighet i sak inte kan göras, eventuellt kompletterad med tillägget att det är en uppgift av utländskt ursprung eller från viss annan källa. En sådan notering – som torde vara av stort värde för dem som får del av en personuppgift – är tillräcklig för att uppfylla kravet på upplysning. I motsats till Rikspolisstyrelsen anser regeringen alltså att det bör krävas mer än att upplysning lämnas så långt detta är möjligt, eftersom en sådan formulering kan uppfattas som en möjlighet att efter en diskretionär bedömning avstå från att lämna upplysningar. Med hänsyn till skyddet för den personliga integriteten bör regleringen vara så tydlig som möjligt. En annan sak är att det i vissa fall saknas förutsättningar att

göra bedömningen, men då är som redan framgått en upplysning om detta tillräcklig.

Frågan om bestämmelserna om särskilda upplysningar ska gälla retroaktivt behandlas i avsnitt 18 om ikraftträdande och övergångsbestämmelser.

Hänvisningar till US9

11. Sökbegränsningar för gemensamt tillgängliga uppgifter

Hänvisningar till S11

11.1. Allmänt om sökbegränsningar

Regeringens bedömning: För att värna den personliga integriteten bör den nya lagen innehålla bestämmelser som reglerar polisens möjligheter att göra sökningar i gemensamt tillgängliga uppgifter.

Utredningen gör inte någon särskild bedömning i denna del. Remissinstanserna har inte berört frågan närmare. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot promemorians bedömning. Åklagarmyndigheten är dock tveksam till att införa begränsningar som inskränker urvalet av de uppgifter som presenteras vid en sökning, eftersom en ofullständig redovisning kan vara mer skadlig än en fullständig. Myndigheten anser att man, mot bakgrund av de övriga instrument som föreslås till skydd för integriteten, helt eller till övervägande del kan avstå från bestämmelser om sökbegränsningar. Enligt myndigheten bör en rimlig utgångspunkt vara att uppgifter som har samlats in för tillåtna syften därefter som huvudregel fullt ut ska få behandlas i enlighet med ändamålen intill dess att uppgifterna ska gallras. Rikspolisstyrelsen kritiserar förslaget om sökbegränsningar och anser att bestämmelserna på ett allt för detaljerat sätt reglerar polisens arbetsmetoder. Styrelsen hävdar att det i den föreslagna lagen finns andra bestämmelser än de om sökbegränsningar som bör anses utgöra ett tillräckligt skydd för den personliga integriteten.

Styrelsen anför vidare att det IT-stöd som polisen avser att använda är uppbyggt så att varje informationsobjekt ska registreras endast en gång, vilket innebär att polisen måste kunna söka och få fram uppgifter om ett informationsobjekt redan förekommer i systemet. Det innebär enligt styrelsen i sin tur att det för detta syfte måste gå att söka och få fram uppgifter om andra personer än de som räknas upp i förslaget. Sveriges advokatsamfund pekar på behovet av att genomlysa hur bestämmelser om sökbegränsningar förhåller sig till reglerna i 2 kap. tryckfrihetsförordningen.

Skälen för regeringens bedömning

Behovet av sökbegränsningar

Den nya lagen bör, som redovisas närmare i avsnitt 6.1, ge polisen möjlighet att utveckla och bygga upp sina system på ett friare sätt. Lagen ska därför vara teknikneutral och endast fastställa ramarna för personuppgiftsbehandlingen. Ett av syftena med den nya lagen är att polisen ska kunna dra nytta av insamlad information på ett bättre sätt. Den nya lagstiftningen kommer således att medge ett ökat informationsflöde inom polisen. Rikspolisstyrelsen och Åklagarmyndigheten invänder mot de föreslagna reglerna om sökbegränsningar och anser att de i alltför stor utsträckning begränsar tillgången till relevanta uppgifter. Sett från integritetssynpunkt är en av de viktigaste aspekterna med behandling av personuppgifter i vilken utsträckning uppgifter kan sökas och sammanställas. Ju större möjligheter det finns att på olika sätt sammanställa uppgifter om enskilda, desto större blir riskerna för intrång i enskildas integritet. I lagstiftning som rör personuppgiftsbehandling finns därför i regel olika bestämmelser som begränsar möjligheten att söka och sammanställa information, t.ex. bestämmelser om vilka sökbegrepp som får användas eller andra typer av sökbegränsningar. De möjligheter som den nya lagen ger polisen att behandla personuppgifter och mängden information, skulle – om det inte fanns några sökbegränsningar – skapa utrymme för kvalificerade former av kartläggning av enskildas personliga förhållanden, vilket i sig kan utgöra ett intrång i den personliga integriteten. Mot denna bakgrund bör det i lagen finnas bestämmelser om sökbegränsningar när det gäller sådana uppgifter som är gemensamt tillgängliga, dvs. som fler än ett fåtal tjänstemän har tillgång till. Från dessa bestämmelser föreslås dock vissa generella undantag.

Rikspolisstyrelsen anser att de föreslagna sökbegränsningarna innebär en alltför detaljerad styrning av polisens sätt att arbeta. Enligt regeringens mening bör begränsningar av detta slag vara tydliga och konkreta för att ge nödvändig vägledning, samtidigt som de inte i onödan hindrar utvecklingen av nya metoder för polisarbetet eller begränsar möjligheterna att hantera nya former av kriminalitet. Det kan antas att de föreslagna begränsningarna på något sätt kommer att integreras i polisens ITsystem, på samma sätt som exempelvis behörigheten för tjänstemännen.

Om så blir fallet kommer den enskilde tjänstemannen inte att behöva ta ställning till om begränsningarna är tillämpliga eller inte.

Rikspolisstyrelsen pekar på att sökbegränsningar kan skapa problem vid den tekniska uppbyggnaden av polisens IT-stöd, eftersom detta är tänkt att fungera så att varje informationsobjekt ska registreras endast en gång. Det förutsätter att det går att få fram uppgifter om att ett informationsobjekt redan finns inlagt i systemet. När det gäller frågan om den tekniska uppbyggnaden av polisens IT-stöd bör det enligt regeringens bedömning göras skillnad mellan att registrera nya uppgifter i systemet och att söka efter information. De sökbegränsningar som föreslås torde inte utgöra hinder mot att det i polisens IT-stöd finns en teknisk funktion som hindrar att samma uppgift registreras flera gånger.

Utgångspunkter vid utformningen av sökbegränsningar

Eftersom den nya lagen ger utrymme för att samla in och lagra en mängd olika personuppgifter i samma system kan det finnas uppgifter om samma individ i flera olika sammanhang. Det kan röra sig om allt ifrån ren underrättelseinformation till uppgifter om att personen i fråga har gjort en stöldanmälan eller förekommer som vittne i en förundersökning. En utgångspunkt vid utformningen av sökbegränsningar bör vara att inte alla tjänstemän inom polisen vid varje form av sökning ska kunna göra en sammanställning av all den information som finns i polisens system om en viss person. Polisens allmänna informationsbehov motiverar inte att polisen ges så stora möjligheter att sammanställa och få tillgång till uppgifter. Såväl sekretessregleringen som integritetsintressen talar också mot en sådan lösning. Dessutom står det inte i rimlig proportion till det integritetsintrång som det skulle kunna innebära för den enskilde att låta den som t.ex. gör en rutinmässig sökning när någon har ertappats för fortkörning få tillgång till all information om den kontrollerade. Däremot finns det situationer där vissa tjänstemän inom polisen måste kunna göra mer omfattande sökningar. Den nya lagen måste ge utrymme för en sådan flexibilitet. Vidare bör lagen medge att en polisman som har fått fram en grunduppgift, t.ex. om att den sökta personen är misstänkt för brott, söker efter ytterligare information, i den utsträckning det finns skäl för det.

I lagen bör även införas bestämmelser som begränsar användningen av känsliga personuppgifter som sökbegrepp. I avsnitten 11.2 och 11.3 redogörs närmare för hur sökbegränsningarna bör utformas.

Förhållandet mellan sökbegränsningar och offentlighetsprincipen Sveriges advokatsamfund efterfrågar en analys av hur förslagen om sökbegränsningar förhåller sig till reglerna i 2 kap. tryckfrihetsförordningen.

Varje sammanställning av personuppgifter som en myndighet kan göra med hjälp av tillgänglig teknik och rutinbetonade åtgärder är i princip att anse som en allmän handling hos myndigheten, oavsett om sammanställningen behövs för myndighetens egen verksamhet eller inte. Sådana sammanställningar utgör s.k. potentiella handlingar. Elektroniskt lagrade handlingar som har ett fixerat innehåll som går att återskapa gång på gång, t.ex. e-brev eller protokoll i elektronisk form, utgör s.k. färdiga elektroniska handlingar. Om den myndighet som förvarar elektroniskt lagrade personuppgifter är förbjuden att göra sammanställningar med hjälp av vissa sökbegrepp har inte allmänheten rätt att begära ut en sådan sammanställning. Detta framgår av 2 kap. 3 § tredje stycket tryckfrihetsförordningen (begränsningsregeln). Bestämmelsen är inte tillämplig på s.k. färdiga elektroniska handlingar (prop. 2001/02:70 s. 38).

Bestämmelser om förbud mot att använda vissa sökbegrepp är alltså av betydelse även för bedömningen av vilka handlingar som utgör allmänna handlingar hos en myndighet. Bestämmelser om för vilka ändamål personuppgifter får behandlas i en myndighets verksamhet, s.k. ändamålsbegränsningar, inskränker dock inte en myndigheters skyldighet enligt offentlighetsprincipen att sammanställa personuppgifter (se bl.a. SOU 2004:6 s. 246 och prop. 2007/08:160 s. 69 f.). I det följande föreslås ett

förbud mot att använda känsliga personuppgifter som sökbegrepp. Ett sådant förbud får genomslag vid tillämpningen av 2 kap. tryckfrihetsförordningen. Däremot får förslaget om begränsningar vid sökning på personnummer och liknande identitetsuppgifter inte den effekten.

Bestämmelserna i tryckfrihetsförordningen kompletteras av offentlighets- och sekretesslagen (2009:400), som innehåller bestämmelser om bl.a. sekretess i polisens verksamhet. Sådana bestämmelser finns bl.a. i lagens 35 kap., som innehåller bestämmelser till skydd för enskildas integritet.

Hänvisningar till S11-1

  • Prop. 2009/10:85: Avsnitt 11.3

11.2. Känsliga personuppgifter som sökbegrepp

Regeringens förslag: Känsliga personuppgifter ska inte få användas som sökbegrepp vid sökning i gemensamt tillgängliga uppgifter. Det ska dock inte finnas något hinder mot att använda brottsrubriceringar eller uppgifter som beskriver en persons utseende som sökbegrepp.

Utredningen lämnar inte några förslag i denna del. Remissinstanserna har inte berört frågan närmare. Promemorians förslag överensstämmer i huvudsak med regeringens.

I promemorian förtydligas inte att det är tillåtet att använda brottsrubriceringar som sökbegrepp.

Remissinstanserna: Det stora flertalet av remissinstanserna tillstyrker eller har inget att invända mot promemorians förslag. Rikspolisstyrelsen anför att det är viktigt att polisen i vissa fall kan använda känsliga personuppgifter som sökbegrepp för att kartlägga vissa typer av brottslig verksamhet, t.ex. hatbrott och sexualbrott. Styrelsen anser därför att frågan om känsliga personuppgifter som sökbegrepp bör analyseras närmare.

Skälen för regeringens förslag: Vissa slag av uppgifter är till sin natur särskilt integritetskänsliga, i synnerhet uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör hälsa eller sexualliv.

Detta kommer till uttryck bl.a. genom bestämmelser i dataskyddsdirektivet och i dataskyddsrambeslutet (se avsnitt 4.2.5 och 4.4.1) om särskilda begränsningar i rätten att behandla känsliga personuppgifter. I avsnitt 8 föreslås därför att känsliga personuppgifter som huvudregel inte ska få behandlas, men att uppgifter om en person som behandlas på annan grund ska få kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen. Det innebär att det i polisens olika uppgiftssamlingar kommer att finnas känsliga personuppgifter.

Sökning på känsliga personuppgifter inger särskilda betänkligheter. Sådana sökningar skulle kunna möjliggöra exempelvis kartläggning av personer med viss politisk ståndpunkt eller religiös inriktning. Mot den bakgrunden har det i 20 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet föreskrivits förbud mot att använda känsliga personuppgifter som sökbegrepp. Bestämmelser med motsvarande förbud finns även i förslagen till lag om behandling av uppgifter i Kustbevakningens verksamhet i betänkandet Kustbevakningens

personuppgiftsbehandling Integritet – Effektivitet (SOU 2006:18) och lag om behandling av uppgifter i åklagarväsendets brottsbekämpande verksamhet i betänkandet Åklagarväsendets brottsbekämpning Integritet – Effektivitet (SOU 2008:87). Rikspolisstyrelsen framhåller att det är viktigt för polisen att i vissa situationer kunna använda sig av känsliga personuppgifter som sökbegrepp. Det kan, enligt regeringens mening, i och för sig finnas situationer då en sådan möjlighet skulle vara av värde för det brottsbekämpande arbetet, t.ex. vid utredningen av ett sexualbrott eller ett våldsbrott med stark koppling till politisk eller religiös fanatism samt vid kartläggning av hatbrott. Normalt bör dock andra möjligheter till sökningar i t.ex. belastnings- och misstankeregistren eller i andra uppgiftssamlingar hos polisen utgöra ett tillräckligt stöd i det brottsbekämpande arbetet. Vidare bör framhållas att bestämmelsen inte hindrar sökning på brottsrubriceringar, t.ex. våldtäkt eller sexuellt utnyttjande av person i beroendeställning. Detta bör tydliggöras i lagtexten.

Sammantaget väger enligt regeringens mening integritetsintresset över. I den nya lagen bör det därför finnas en bestämmelse som föreskriver att känsliga personuppgifter inte får användas som sökbegrepp i polisens brottsbekämpande arbete.

Signalementsuppgifter har stor betydelse i brottsbekämpningen. Vid exempelvis sökandet efter misstänkta gärningsmän behöver polisen kunna använda sig av uppgifter om t.ex. kroppsbyggnad, ansiktsform, hår- eller hudfärg, klädsel och fysiska kännetecken som födelsemärken, tatueringar och synbara fysiska defekter. Förbudet mot att använda känsliga personuppgifter som sökbegrepp bör därför inte hindra att uppgifter som beskriver en persons utseende används som sökbegrepp. Detta – som överensstämmer med vad som gäller enligt lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet – bör komma till uttryck i den nya lagen.

11.3. Sökning på namn, personnummer eller samordningsnummer

Regeringens förslag: Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga, får sådana uppgifter tas fram som anger att den sökta personen

1. är anmäld för brott,

2. är eller har varit misstänkt för brott,

3. är misstänkt för att ha utövat eller komma att utöva viss brottslig verksamhet,

4. övervakas på grund av allvarlig kriminell belastning eller för att personen kan antas utgöra ett hot mot andras personliga säkerhet,

5. har anmält ett brott,

6. är målsägande i ett ärende som rör ansvar för brott,

7. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

8. har gett in eller tillhandahållits en handling,

9. är anmäld såsom försvunnen, 10. har bedömts kunna komma att möta ett polisingripande med grovt våld, eller

11. är efterlyst. De nu angivna begränsningarna ska dock inte gälla vid sökning i en viss handling eller i ett visst ärende. De ska inte heller gälla vid sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till.

Begränsningarna ska inte heller gälla vid sökning som utförs av särskilt angivna tjänstemän och som görs

a) för att förebygga, förhindra eller upptäcka särskilt allvarlig brottslig verksamhet,

b) för övervakning av personer som kan antas komma att begå brott och som är allvarligt kriminellt belastade eller kan antas utgöra ett hot mot andras personliga säkerhet, eller

c) för att utreda särskilt allvarliga brott. Regeringen har möjlighet att meddela föreskrifter om ytterligare undantag från bestämmelserna om sökbegränsningar.

Utredningen lämnar inte något förslag i denna fråga. Remissinstanserna har inte berört frågan närmare. Promemorians förslag överensstämmer i huvudsak med regeringens.

Promemorian innehåller dock inte något förslag om att uppgifter om personer som har bedömts kunna komma att möta ett polisingripande med grovt våld eller personer som är efterlysta får tas fram vid sökning i gemensamt tillgängliga uppgifter. Den innehåller heller inte någon bestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsning av tillgången till vissa kategorier av uppgifter eller någon bestämmelse som ger möjlighet för regeringen att meddela föreskrifter om ytterligare undantag från bestäm-

melserna om sökbegränsningar. I promemorian föreslås att sökbegränsningarna ska gälla även vid sökning på firma och organisationsnummer.

Remissinstanserna: Flertalet remissinstanser tillstyrker eller har inget att invända mot förslaget. Åklagarmyndigheten anför att utformningen av de föreslagna begränsningarna väcker osäkerhet om de helt eller delvis avser endast personuppgifter som är aktuella, alltså uppgifter i öppna, aktiva ärenden. Vidare bör enligt myndigheten klargöras om förslaget ska tolkas så att namn eller personnummer inte ska kunna användas för att identifiera en förundersökning som bör återupptas eller som utgör skäl för att inte inleda en ny förundersökning om samma sak. Rikspolisstyrelsen anser att de föreslagna bestämmelserna på ett alltför detaljerat sätt kommer att reglera polisens arbetsmetoder och omöjliggöra det normala arbetssättet vid bekämpning av bl.a. grov organiserad brottslighet. Styrelsen ifrågasätter också om förslaget, vars grundmotiv är att skydda den personliga integriteten, verkligen bör gälla juridiska personer. Enligt styrelsen kommer även det internationella polisiära samarbetet, bl.a. när det gäller Europols informationssystem EIS, att avsevärt försvåras av de föreslagna begränsningarna avseende juridiska personer. Det finns enligt

Rikspolisstyrelsen ett stort behov av att kunna söka på personnummer eller liknande identitetsbeteckningar och få besked om personen förekommer i polisens uppgiftssamlingar eller inte. Styrelsen pekar bl.a. på att det enligt förslaget inte ges någon möjlighet att flagga upp för den som söker information att den person som är föremål för sökningen är av intresse i t.ex. ett underrättelseprojekt. För att arbetet på kommunikationscentralerna ska fungera är det enligt Rikspolisstyrelsen viktigt att det på ett enkelt och effektivt sätt går att få fram uppgifter om att en person är farlig eller är efterlyst samt anledningen till efterlysningen. Styrelsen anser därför att förslaget bör kompletteras med bestämmelser som möjliggör att sådan information tas fram. I syfte att göra författningstexten mer enhetlig föreslår Rikspolisstyrelsen vidare att formuleringen av den föreslagna bestämmelsen om särskilt angivna tjänstemän med vissa uppgifter anpassas till den formulering som föreslagits när det gäller tillgången till personuppgifter.

Kustbevakningen anser att ett annat begrepp än ordet misstänkt bör användas i relation till uppgifter som rör en person som har någon form av samband med misstänkt brottslig verksamhet. Skatteverket instämmer i promemorians bedömning att det behövs begränsningar som hindrar att alla uppgifter om en fysisk person kan sökas fram i alla lägen. Uppgifter om juridiska personer och fysiska personer knutna till en juridisk person bör däremot enligt verket få tas fram. Enligt Skatteverkets uppfattning bör det dessutom alltid vara möjligt att bekräfta om en uppgift förekommer eller inte bland de personuppgifter som får göras gemensamt tillgängliga. Datainspektionen anser att förslaget inte är tillräckligt genomarbetat då det bl.a. saknas en analys av de effekter som utformningen av sökbegränsningarna kan väntas ge. Datainspektionen anför bl.a. att begränsningarna enbart gäller den initiala sökningen och endast vissa typer av sökningar. De relativt omfattande undantagen från sökbegränsningarna kommer enligt inspektionen sannolikt att medföra att avancerade sökmöjligheter – utan de föreslagna sökbegränsningarna – kommer att byggas in i polisens system. Enligt Datainspektionen kommer de före-

slagna begränsningarna med stor sannolikhet att sakna större betydelse för integritetsskyddet.

Skälen för regeringens förslag

Får sökning göras på personnummer och liknande uppgifter?

Som framgår av avsnitt 11.1 är utgångspunkten att polisen inte vid varje tillfälle och i varje situation ska kunna göra en sökning som kan leda till en kartläggning av om en viss person förekommer i den polisiära verksamheten. Frågan är då hur polisens informationsinhämtning ska begränsas.

Det är självklart att polisen gör sökningar med hjälp av bl.a. personnummer. Namn och personnummer är viktiga för identifieringen av en person och kontrolleras regelmässigt i samband med brottsutredningar och annat brottsbekämpande arbete. Detsamma gäller samordningsnummer, dvs. sådana identitetsbeteckningar som enligt 18 a § folkbokföringslagen (1991:481) kan tilldelas personer som inte är eller har varit folkbokförda i Sverige. Personuppgifter av nu aktuellt slag måste i stor utsträckning användas i brottsutredningar för att undanröja risken för personförväxling. Det är uppenbart att möjligheten att göra sökningar på sådana uppgifter även kan vara av betydelse vid underrättelseverksamhet. Det bör t.ex. vara möjligt att inom ramen för det arbete som bedrivs i en undersökning som avser viss misstänkt brottslig verksamhet, söka fram uppgifter om huruvida personer som figurerar i det ärendet också är misstänkta i andra ärenden. Den nya lagen bör således ge utrymme för sökningar på namn, personnummer och andra liknande identitetsbeteckningar.

Användandet av detta slag av uppgifter som sökbegrepp kan emellertid ge upphov till särskilda risker från integritetssynpunkt. En sökning på exempelvis ett personnummer kan, i vart fall om den sker i den samlade informationsmängd som polisen har tillgång till, ge möjlighet till kartläggning av en persons privata förhållanden. Från ett integritetsperspektiv är sådana sökningar ägnade att inge betänkligheter. Mot den bakgrunden bör en obegränsad möjlighet att göra sökningar med hjälp av detta slag av uppgifter inte införas.

I promemorian övervägs om det i den nya lagen bör tas in en bestämmelse motsvarande 21 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Enligt den bestämmelsen får namn, personnummer och samordningsnummer användas som sökbegrepp bara om uppgifterna avser en person som är misstänkt för något visst brott eller för viss brottslig verksamhet. I promemorian görs dock bedömningen att en sådan bestämmelse inte är ändamålsenlig på polisområdet. Regeringen delar den bedömningen, särskilt mot bakgrund av att en sådan bestämmelse inte tillåter att det görs vissa sökningar som kan vara nödvändiga inom ramen för ett underrättelseprojekt. I ett sådant projekt kan det vara av vikt att kunna klarlägga om personer som har anknytning till den undersökta verksamheten – men som vid den tidpunkten inte är misstänkta – förekommer som misstänkta i andra underrättelseprojekt eller i brottsutredningar som gäller liknande brott. I brottsutredningar rörande allvarliga brott, där det inte finns någon misstänkt person, måste polisen

också ha möjlighet att göra mer omfattande sökningar. Uppgifter om andra personer än misstänkta kan också – satta i ett större sammanhang – vara viktiga pusselbitar vid utredningen av ett brott eller i ett underrättelseprojekt. Mot bakgrund härav bör möjligheten att söka på namn, personnummer och liknande identitetsuppgifter också omfatta andra än misstänkta personer i vissa fall.

I promemorian föreslås att möjligheten att söka på identitetsbeteckningar som avser juridiska personer ska begränsas på samma sätt som när det gäller fysiska personer. Detta ifrågasätts av Rikspolisstyrelsen och

Skatteverket, som anför att det inte finns samma behov av integritetsskydd för juridiska personer som för fysiska personer.

Uppgifter om juridiska personer behandlas ofta i polisens verksamhet bl.a. på grund av att t.ex. aktiebolag inte sällan används som brottshjälpmedel. Vid utredning och kartläggning av exempelvis organiserad ekonomisk brottslighet är sökning på firma eller organisationsnummer för att hitta samband och kopplingar mellan olika personer en viktig del i det polisiära arbetet. Det finns således ett tydligt polisiärt behov av att kunna söka på uppgifter om juridiska personer. Behovet av integritetsskydd, exempelvis skydd mot kartläggning, är inte heller lika stort för juridiska personer som för fysiska personer. Till detta kommer att uppgifter om juridiska personer i stor utsträckning redan förekommer i offentliga register, bl.a. hos Bolagsverket. Som Rikspolisstyrelsen påpekar kan promemorians förslag i denna del också skapa svårigheter i det internationella samarbetet. Det bör därför inte införas några bestämmelser som begränsar möjligheten att göra sökningar beträffande juridiska personer.

När det gäller frågan hur möjligheten att göra sökningar närmare bör regleras delar regeringen promemorians bedömning att det i lagen uttryckligen bör anges vilka uppgifter som får tas fram vid en sökning på identitetsbeteckningar som avser en fysisk person. Den frågan behandlas i det följande.

Vilka sökningar bör omfattas av sökbegränsningar?

Polisen har olika behov av att kunna få fram uppgifter om personer beroende på i vilket sammanhang frågan aktualiseras. En första fråga är därför om de begränsningar som ska gälla för sökning på personnummer och liknande identitetsbeteckningar ska gälla i alla situationer där polisen gör en sökning med hjälp av personnummer eller endast i vissa situationer. Man kan, mycket förenklat, peka ut vissa typsituationer där polisen söker information med utgångspunkt i personuppgifter. Det kan röra sig om situationer där det utförs en allmän polisiär kontroll av något slag, t.ex. en trafikkontroll, kontroll av ungdomar som befinner sig i utsatta situationer eller kontroll i samband med ordningsproblem. I de fallen kan det vara fråga om en ren identitetskontroll eller kontroll av behörighet att föra fordon eller liknande. Det kan vidare vara fråga om att någon person begär upplysningar eller att få ta del av handlingar i den brottsbekämpande verksamheten eller att polis eller åklagare söker efter ett tidigare ärende. I de fallen utgör personnumret ofta nyckeln till att hitta rätt ärende. Det kan även röra sig om kommunikationscentralens behov av att

ta fram personuppgifter i samband med larm om brott eller ordningsstörningar. Därutöver kan det vara fråga om kontroller som görs på personer inom ramen för en brottsutredning (vittnen, misstänkta och andra personer). Det kan även röra sig om underrättelseverksamhet, där kartläggning av miljöer, företeelser och personer utgör en viktig beståndsdel. Polisen behöver alltså kunna använda sig av personnummer och liknande identitetsbeteckningar som sökbegrepp i många olika sammanhang och det går inte att enbart utifrån de olika verksamhetsbehoven avgöra vilka sökningar som ska omfattas av särskilda sökbegränsningar. Den frågan måste avgöras även utifrån andra kriterier.

Vid avgörandet av vilka sökningar som bör omfattas av sökbegränsningar kan inledningsvis konstateras att de integritetsrisker som motiverar inskränkningarna inte gör sig gällande i samma utsträckning när det är fråga om sökningar i ett begränsat material, exempelvis en viss handling eller ett visst ärende. Det är från effektivitetssynpunkt dessutom rimligt att en tjänsteman som arbetar i ett elektroniskt dokument får söka fritt i det dokumentet genom att t.ex. använda sedvanliga sökfunktioner i ett ordbehandlingsprogram. Det finns därför inte skäl att införa sökbegränsningar vid sökning i en viss handling eller ett visst ärende. I sådant arbete som bedrivs inom ramen för en särskild undersökning enligt 14 § polisdatalagen och som avser viss brottslighet (t.ex. narkotikabrottslighet i en viss region) eller vissa kriminella grupperingar (t.ex. ett mc-gäng) upprättas ofta särskilda uppgiftssamlingar. Dessa uppgiftssamlingar syftar till att kartlägga en viss brottslighet eller en viss kriminell gruppering och endast de tjänstemän som deltar i undersökningen har tillgång till dem. Även i dessa fall är det fråga om ett begränsat material som, trots att det i regel är fråga om gemensamt tillgängliga uppgifter, endast en begränsad krets av personer har tillgång till. Mot denna bakgrund bör det som promemorian föreslår även vara möjligt att fritt göra sökningar i en sådan uppgiftssamling.

För vissa delar av den brottsbekämpande verksamheten kan begränsningar i sökmöjligheterna leda till särskilda problem som motiverar att den personliga integriteten i viss mån får stå tillbaka för kravet på en effektiv brottsbekämpning. Det gäller bl.a. underrättelseverksamhet som avser särskilt allvarlig brottslighet som t.ex. grova narkotikabrott, terroristbrott och människohandel. Här finns det ett påtagligt polisiärt behov av att kunna göra mer omfattande sökningar. Det bör därför inte införas några sökbegränsningar vid sökning som görs för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i fyra år eller däröver. En förutsättning för detta bör dock vara att sökningen utförs av tjänstemän som har tilldelats särskild behörighet att utföra sådana sökningar. Dessa tjänstemän bör få utföra mer omfattande sökningar, exempelvis i flera olika uppgiftssamlingar om viss brottslighet eller vissa kriminella grupperingar. Vilka kategorier av tjänstemän som bör tilldelas denna särskilda behörighet och hur många tjänstemän det kan bli fråga om beror på hur polisen organiserar sin verksamhet. Det bör kunna vara fråga om allt ifrån ett fåtal utpekade personer vid en myndighet till samtliga personer på en rotel som har till uppgift att hantera t.ex. underrättelseverksamhet som avser särskilt allvarlig brottslighet. Det bör meddelas föreskrifter om vilka närmare kvalifikationskrav m.m. som bör ställas på dessa tjänstemän och på att

myndigheten dokumenterar vilka tjänstemän som har beviljats denna utökade möjlighet att söka efter uppgifter. Det är således inte, som Rikspolisstyrelsen förordar, tillräckligt att luta sig mot den föreslagna bestämmelsen som föreskriver att en tjänsteman vid fullgörandet av sina arbetsuppgifter endast får ha åtkomst till de uppgifter han eller hon behöver för att fullgöra dessa.

Vid övervakning av vissa personer, som kan antas komma att begå brott och som är allvarligt kriminellt belastade eller kan antas utgöra ett hot mot andras personliga säkerhet, finns ett likartat behov av att kunna göra mera omfattande sökningar. I sådana fall är det viktigt för polisen att ha kännedom om var personen brukar befinna sig, vilka kontakter han eller hon har, vilka transportmedel personen förfogar över etc., för att polisen ska kunna ingripa i tid mot nya brott. Sökbegränsningar bör därför inte gälla för sökningar som utförs som ett led i sådan övervakning. På samma sätt som när det gäller sökning i viss underrättelseverksamhet bör det dock även i dessa fall krävas att sökningen utförs av särskilt angivna tjänstemän.

Ibland kan det också finnas behov av att göra mera omfattande sökningar inom ramen för en förundersökning om ett allvarligt brott. Som exempel kan nämnas utredningar om ouppklarade allvarliga seriebrott, t.ex. upprepade våldtäkter eller mordbränder. Detsamma kan gälla vissa mordutredningar. Förundersökningar om sådana brott kan pågå under mycket lång tid, om gärningsmannen är okänd. Om det är fråga om mycket allvarliga brott, där samhällets intresse av att gärningsmannen lagförs är stort, är det försvarligt att tillåta mera omfattande sökningar om dessa kan bidra till att polisen kan spåra gärningsmannen. En lämplig avvägning är att det ska vara fråga om brott för vilket är föreskrivet fängelse i fyra år eller däröver. I likhet med vad som föreslagits i fråga om sökningar i underrättelseverksamhet eller vid övervakning av vissa personer bör emellertid sådana sökningar enbart få utföras av på förhand utpekade personer med särskilda arbetsuppgifter.

För andra situationer än de nu nämnda, dvs. vid annan sökning än i begränsade uppgiftsmängder, i underrättelseverksamhet som rör särskilt allvarlig brottslig verksamhet, vid övervakning av vissa personer och i förundersökningar om allvarliga brott, bör lagen innehålla bestämmelser som begränsar träffbilden vid sökningar på personnummer eller liknande identitetsbeteckningar.

Det kan dock inte uteslutas att det finns andra situationer än de nu nämnda där polisen har särskilda behov av att kunna söka och sammanställa information, t.ex. för att upprätthålla vissa specifika funktioner inom klart avgränsade områden. Ett exempel skulle kunna vara sådana tjänstemän med beredningsfunktioner inom underrättelseverksamhet som Rikspolisstyrelsen omnämner i redovisningen av det uppdrag som beskrivs närmare i avsnitt 3. Mot denna bakgrund bör regeringen ha möjlighet att meddela föreskrifter om ytterligare undantag från de föreslagna sökbegränsningarna.

Vilka uppgifter bör få tas fram vid en sökning?

En regel om sökbegränsningar måste självfallet utformas så att uppgifter som det generellt sett finns ett stort behov av får tas fram. Frågan är då vilka uppgifter som är sådana att de bör ingå i träffbilden vid en sökning som omfattas av sökbegränsningar.

Först och främst bör det vara möjligt att ta fram uppgifter som anger att den sökte har anmälts för brott eller är misstänkt för brott eller för allvarlig brottslig verksamhet eller brottslighet som sker systematiskt. Med allvarlig brottslig verksamhet avses här detsamma som i avsnitt 9.2, dvs. verksamhet som innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver. Även uppgifter om att den sökte tidigare har varit misstänkt för brott bör kunna tas fram. Detta överensstämmer i huvudsak med vad som föreslås i promemorian. För att undanröja den oklarhet som

Åklagarmyndigheten påtalar bör dock tydliggöras att även personuppgifter i avslutade ärenden får tas fram, så länge övriga krav för att få behandla sådana uppgifter är uppfyllda. Att även uppgifter om tidigare misstankar ska kunna tas fram motiveras bl.a. av att sådana kan behövas för att identifiera t.ex. en förundersökning som lagts ned och som bör återupptas. Det förtjänar att påpekas att detta inte innebär att en person som tidigare har varit misstänkt får pekas ut som misstänkt i polisens system. Är det fråga om en avslutad förundersökning där någon tidigare har varit misstänkt måste det tydligt framgå att personen i fråga inte längre är misstänkt (jfr avsnitt 10 och 14.4.).

Kustbevakningen anser att ett annat begrepp än misstänkt bör användas i relation till uppgifter som rör en person som har samband med misstänkt brottslig verksamhet. Även Lagrådet har invänt mot att ordet misstänkt används när det gäller brott som ännu inte har begåtts (se avsnitt 10). När polisen behandlar personuppgifter i underrättelseverksamhet är det, som regeringen tidigare framhållit, viktigt, både av verksamhets- och integritetsskäl, att det klart framgår varför uppgifterna behandlas och om personen i fråga är eller har varit misstänkt för brottslig verksamhet eller om denne endast har andra kopplingar till sådan verksamhet, och alltså inte själv är eller har varit misstänkt. Det behövs därför ett begrepp som klart uttrycker denna skillnad. Begreppet ”misstänkt” används i samband med brottslig verksamhet i bl.a. 19 § polisdatalagen och 21 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Mot bakgrund härav finner regeringen inte skäl att använda något annat begrepp.

I likhet med vad som föreslås i promemorian bör det även vara möjligt att få fram uppgift om huruvida en person övervakas på grund av allvarlig kriminell belastning eller befarad farlighet för annans personliga säkerhet.

En annan uppgift som bör vara möjlig att få fram är att personen har anmält ett brott eller att han eller hon förekommer som målsägande eller vittne i en brottsutredning. Detsamma bör gälla om någon är anmäld såsom försvunnen. Det bör också vara möjligt att få fram uppgift om en handling har lämnats in av eller expedierats till personen i fråga.

Rikspolisstyrelsen anser att det för att arbetet på kommunikationscentralerna ska fungera bör vara möjligt att få fram uppgifter om att en person är farlig eller efterlyst.

Polisens kommunikationscentraler har till uppgift att ta emot och vidarebefordra inkommande larm och andra meddelanden samt att inledningsvis vidta och samordna polisåtgärder med anledning av den inkommande informationen. Det är ofta fråga om brådskande situationer som kräver omedelbara åtgärder. För att uppgifterna ska kunna utföras på ett tillfredsställande sätt är det viktigt att personalen på kommunikationscentralerna snabbt kan få fram nödvändig och relevant information. En del av de situationer där polisen tvingas att ingripa kan medföra risker både för allmänheten och för den enskilde polismannen. Så kan t.ex. vara fallet vid ingripanden mot en person som innehar ett vapen och som kan misstänkas komma att bruka detta vid ingripandet. Det kan även vara fråga om ingripanden mot personer som av andra skäl bedöms kunna komma att utgöra en allvarlig fara för sig själv, för allmänheten eller för polispersonalen i samband med ingripandet. Uppgifter om att en person har bedömts kunna komma att möta ett ingripande med grovt våld kan i dessa situationer vara avgörande för planeringen och samordningen av polisiära åtgärder. Sådan information bör därför få tas fram vid en sökning. Det bör dock framhållas att det krävs noggranna överväganden innan den nu aktuella bedömningen kan göras och att en notering om en sådan bedömning kan ifrågasättas ur ett integritetsperspektiv. Detta bör därför förekomma endast under förutsättning att det finns konkreta omständigheter som talar för en sådan bedömning. Det kan t.ex. vara fråga om att personen vid tidigare ingripanden varit beväpnad eller våldsam. Rikspolisstyrelsen bör kunna utfärda riktlinjer för under vilka förutsättningar en person kan bedömas kunna komma att möta ett polisingripande med grovt våld och när och hur en notering om en sådan bedömning bör ske.

Även uppgiften att en person är efterlyst är viktig information i det polisiära arbetet. Sådana uppgifter bör också få tas fram vid en sökning.

Några av de kategorier av personuppgifter som nu har nämnts är till sin natur av mera känsligt slag. Det gäller särskilt uppgifter om att en person tidigare har varit misstänkt för brott, uppgifter om att en person är misstänkt för brottslig verksamhet och uppgifter om att en person övervakas. Behovet av att få tillgång till sådana uppgifter skiljer sig dessutom åt beroende på i vilket sammanhang sökningen sker. I många fall torde behovet av sådan information vara begränsat. Något behov av att t.ex. få tillgång till uppgifter om tidigare brottsmisstankar vid en rutinsökning i samband med en trafikkontroll finns knappast. Det torde i regel inte heller finnas behov av att få tillgång till underrättelseinformation vid en sådan sökning. Generellt sett torde behovet av information om samtliga sökbara kategorier av personuppgifter vara störst i underrättelseverksamhet och i samband med utredning av vissa typer av brott. Av integritetshänsyn bör tillgången till dessa kategorier av uppgifter begränsas. Föreskrifter om sådana begränsningar bör lämpligen meddelas av regeringen eller den myndighet som regeringen bestämmer.

Rikspolisstyrelsen lyfter fram behovet av att alltid kunna få besked om en viss person förekommer eller inte i polisens system och att kunna markera för den som söker information att den person som är föremål för sökningen är av intresse i t.ex. ett visst underrättelseprojekt. Även Skatteverket anser att det alltid bör vara möjligt att få besked om en person förekommer eller inte i polisens system. I vissa situationer kan det vis-

serligen finnas ett behov av att kunna få träff på personer som inte omfattas av någon av de personkategorier som föreslås i promemorian eller att kunna markera att den sökta personen är av intresse i t.ex. viss underrättelseverksamhet. Det behovet måste dock vägas mot integritetsskyddsintressen. Den nya lagen kommer att ge polisen utökade möjligheter att behandla personuppgifter i bl.a. underrättelseverksamhet. För att detta ska vara godtagbart ur ett integritetsperspektiv bör lagen innehålla bestämmelser som motverkar otillbörlig övervakning eller kartläggning av enskildas personliga förhållanden. Att endast vissa uppgifter är sökbara vid flertalet allmänna sökningar utgör en sådan begränsning. En sådan ”hit/no-hit funktion” som Rikspolisstyrelsen och Skatteverket efterfrågar bör inte möjliggöras i den nya lagen. Som anförs i avsnitt 11.1 hindrar detta emellertid inte att det i polisens system finns tekniska funktioner som hindrar att samma uppgift registreras flera gånger.

Det förtjänar att framhållas att de begränsningar som nu föreslås endast omfattar den initiala sökningen. En allmän sökning som görs med hjälp av personnummer eller motsvarande identitetsbeteckning ska alltså, enligt förslaget, ge en första träffbild som innefattar endast någon eller några av de kategorier som anges i förslaget. Sedan man väl har fått träff på en viss person, exempelvis som misstänkt för brott i en viss förundersökning, ska ytterligare uppgifter kunna tas fram genom en fortsatt behandling i den uppgiftsmängden. Möjligheten att få tillgång till ytterligare uppgifter, kanske hela förundersökningen, avgörs av vilken behörighet den berörda tjänstemannen har och om behandlingen behövs för något av lagens ändamål.

Konsekvenser av de föreslagna sökbegränsningarna Rikspolisstyrelsen riktar kritik mot förslaget om sökbegränsningar, och anser bl.a. att bestämmelserna på ett allt för detaljerat sätt reglerar polisens arbetsmetoder. Som framgått ovan tillgodoses styrelsens synpunkter i vissa delar. De sökbegränsningar som föreslås vid en initial allmän sökning torde inte vara av sådan karaktär att de påtagligt inskränker polisens frihet att välja arbetsmetoder.

Datainspektionen efterfrågar en analys av vilka effekter som utformningen av sökbegränsningarna kan väntas ge. Inspektionen anför att sökbegränsningarna med stor sannolikhet kan komma att sakna större betydelse för integritetsskyddet. Inspektionens slutsats synes grunda sig både på hur reglerna om sökbegränsningar har utformats och utformningen av lagen i stort. Det ligger i sakens natur att inskränkningar i möjligheten att göra sökningar begränsar spridningen av uppgifter. Detta gäller även om inskränkningarna bara omfattar den initiala sökningen och det finns andra undantag. I många fall torde någon sökning utöver den initiala inte bli aktuell, exempelvis därför att personen som eftersöks inte tillhör någon av kategorier som ger träff vid sökning på personnummer. I andra fall är de uppgifter som kommer fram om personen ointressanta och i åter andra fall kan ytterligare sökning hindras om tjänstemannen inte har behörighet att ta del av uppgifterna. Att det kan vara svårt att i alla avseenden överblicka konsekvenserna av begränsningarna innebär således inte att dessa kan frånkännas betydelse. De sökbegränsningar

som föreslås är enligt regeringens bedömning väl avvägda och utgör ett skydd för den personliga integriteten.

Det är emellertid viktigt att följa utvecklingen för att, vid behov, kunna göra eventuella förändringar som krävs om det skulle visa sig att de föreslagna sökbegränsningarna inte ger det integritetsskydd som varit avsett. Det är bl.a. mot den bakgrunden viktigt att lagstiftningen utvärderas (se avsnitt 17.3).

12. Informationsutbyte

Hänvisningar till S12

12.1. Behovet av ett effektivt informationsutbyte mellan brottsbekämpande myndigheter

Regeringens bedömning: En effektiv brottsbekämpning förutsätter att de brottsbekämpande myndigheterna kan utbyta information på ett rationellt sätt.

Utredningen behandlar inte frågan särskilt. Remissinstanserna: Flera remissinstanser, bl.a. dåvarande Riksåklagaren, dåvarande Riksskatteverket, Tullverket och Kustbevakningen, har påtalat behovet av ett effektivt informationsutbyte mellan de brottsbekämpande myndigheterna. De brottsbekämpande myndigheterna har ansett sig ha ett påtagligt behov av att i ökad utsträckning få direktåtkomst till varandras uppgifter.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna instämmer i promemorians bedömning. Flera remissmyndigheter, bland dem Ekobrottsmyndigheten, Tullverket och

Kustbevakningen, understryker behovet av direktåtkomst till vissa uppgifter hos polisen. Några remissinstanser kritiserar den terminologi som används.

Skälen för regeringens bedömning

Informationsutbytet måste kunna effektiviseras

Samarbetet mellan brottsbekämpande myndigheter har blivit allt viktigare i det brottsförebyggande och brottsutredande arbetet. Ett effektivt och framgångsrikt arbete mot allvarlig och organiserad brottslighet förutsätter att man kan dra nytta av den samlade kunskap om brott som finns inte bara inom olika delar av polisorganisationen utan också hos andra brottsbekämpande myndigheter. Informationsutbyte har även betydelse för bekämpning av bl.a. mängdbrottsligheten.

Uppdelningen av den brottsbekämpande verksamheten på olika myndigheter har emellertid i stor utsträckning kommit att styra möjligheterna till informationsutbyte, eftersom sekretess gäller mellan myndigheter. Det är allmänt omvittnat att detta har lett till nackdelar när det gäller effektiviteten i brottsbekämpningen. Av samma skäl som det är viktigt att man inom polisen på ett effektivare sätt kan tillgodogöra sig den infor-

mation som finns inom den egna organisationen, är det viktigt att nyttiggöra informationen i samarbetet med andra brottsbekämpande organ. Ett förbättrat informationsutbyte gör det möjligt att utnyttja de samlade resurserna effektivare och ökar förutsättningarna för att brott i större utsträckning och snabbare kan klaras upp och att felaktiga brottsmisstankar kan avföras från utredning.

Det pågår ett fortlöpande arbete med att utveckla system för informationsutbyte inom och mellan brottsbekämpande myndigheter, bl.a. inom ramen för det arbete som bedrivs av Rådet för rättsväsendets informationsförsörjning (där förutom polisen bl.a. Åklagarmyndigheten, Ekobrottsmyndigheten, Rikspolisstyrelsen, Tullverket och Skatteverket ingår). Flera utredningar har också under senare år betonat att det måste skapas förutsättningar för ett förbättrat utbyte av information mellan de brottsbekämpande myndigheterna, se bl.a. SOU 2002:113, 2005:117 och 2006:18. Den gemensamma uppfattningen hos dessa utredningar har varit att en brottsbekämpande myndighet ska kunna lämna information till en annan sådan myndighet, om den senare myndigheten behöver informationen i sin brottsbekämpande verksamhet.

I avsnitt 7.2 berörs det myndighetsöverskridande arbetet mot organiserad brottslighet. I juli 2008 gav regeringen Rikspolisstyrelsen och andra berörda myndigheter i uppdrag att vidta åtgärder för att säkerställa en effektiv och uthållig bekämpning av den grova organiserade brottsligheten (dnr Ju2008/5776/PO). I uppdraget ingick att etablera ett antal regionala underrättelsecentrum och ett nationellt underrättelsecentrum. Uppdraget har redovisats i juni 2009 (dnr Ju 2009/5516/PO). Verksamheten förutsätter att information kan utbytas snabbt och enkelt. Bland de myndigheter som deltar i arbetet kan nämnas Kronofogdemyndigheten och Kriminalvården. Det innebär att samverkan går utanför kretsen av brottsbekämpande myndigheter. Frågan om informationsutbyte med andra myndigheter än brottsbekämpande behandlas i avsnitt 12.3.4.

Det är också en allmän strävan inom EU att öka informationsutbytet mellan medlemsstaternas brottsbekämpande myndigheter. I Europeiska rådets rekommendation om utarbetande av avtal mellan polis, tull och andra specialiserade brottsbekämpande organ, som antogs i april 2006 (6856/1/06 REV 1 ENFOCUSTOM 27 ENFOPOL 35 CRIMORG 40 CORDROGUE 15), betonar rådet vikten av ett förbättrat samarbete och informationsutbyte mellan de nationella brottsbekämpande myndigheterna.

Mot de fördelar som ett förbättrat informationsutbyte innebär ska ställas att ett ökat flöde av uppgifter mellan myndigheter kan skapa större risker för intrång i den personliga integriteten, särskilt som de uppgifter som polisen behandlar ofta är av känsligt slag. Även insamling och utbyte av förhållandevis harmlösa uppgifter kan, om de skapar en totalbild av en enskild persons förhållanden, riskera att leda till intrång i den personliga integriteten.

Vid informationsutbyte mellan brottsbekämpande myndigheter bör beaktas att de myndigheter som bedriver underrättelseverksamhet har likartade regler om sådan verksamhet och att alla myndigheter tillämpar samma grundläggande regler för brottsutredning. Vidare har uppgifter som rör brott och brottsbekämpning samma sekretesskydd hos alla berörda myndigheter. Skyddet vid personuppgiftsbehandling är också lik-

artat. Även om det kan finnas nackdelar med ett ökat informationsflöde mellan de brottsbekämpande myndigheterna väger fördelarna över. De integritetsrisker som kan finnas bör dock vägas in när bestämmelserna utformas och när myndigheter beviljas direktåtkomst.

Det ligger i sakens natur att informationsutbytet till stor del avser uppgifter som omfattas av sekretess, eftersom åtskilliga av de uppgifter som behandlas inom polisens brottsbekämpande verksamhet skyddas av någon typ av sekretess. En grundläggande förutsättning för att uppgifter ska få lämnas till en annan myndighet är att sekretess inte hindrar att uppgifterna lämnas ut. Detta gäller oberoende av om det rör sig om elektroniskt lagrade uppgifter eller uppgifter på papper. I offentlighets- och sekretesslagen (2009:400) finns ett antal bestämmelser som innebär att sekretess inte hindrar utbyte av uppgifter mellan nationella brottsbekämpande myndigheter.

Enligt 10 kap. 28 § offentlighets- och sekretesslagen finns det möjlighet att meddela sekretessbrytande föreskrifter i andra lagar och förordningar. I polisdatalagen (1998:622) och polisdataförordningen (1999:81) finns bestämmelser om utlämnande av uppgifter som har sekretessbrytande effekt. Frågan om sådana bestämmelser bör införas i den nya lagen behandlas i avsnitt 13.

Informationsutbytet mellan brottsbekämpande myndigheter sker framför allt manuellt. Uppgifter kan lämnas både i pappersform och elektroniskt, t.ex. via e-post. I viss utsträckning förekommer elektroniskt utlämnande genom att mottagaren ges rätt att själv söka efter information som den utlämnande myndigheten har tillgång till (direktåtkomst), men det gäller för närvarande bara uppgifter i vissa register.

En ordning som innebär att informationsutbytet i huvudsak sker genom manuell behandling skapar praktiska problem, särskilt som brottsbekämpningen bedrivs dygnet runt. Uppgifter som en tjänsteman behöver omedelbart för att kunna genomföra en tjänsteåtgärd måste vara lätt tillgängliga även utanför vanlig kontorstid. Direktåtkomst är således inte bara ett enkelt och arbetsbesparande sätt att lämna ut information utan ibland det enda i praktiken möjliga sättet att göra uppgifterna tillgängliga när de behövs.

Det finns ett stort och växande behov av effektivt informationsutbyte mellan de brottsbekämpande myndigheterna och detta behov måste kunna tillgodoses genom ökad användning av elektronisk kommunikation. Regeringen har i ett annat lagstiftningsärende framhållit att ett utökat elektroniskt informationsutbyte mellan myndigheter är ett nödvändigt steg i samhällets IT-utveckling (prop. 2007/08:160 s. 49). En ny lag bör således underlätta sådant informationsutbyte och bidra till att utveckla samarbetet med andra brottsbekämpande myndigheter, samtidigt som den värnar om enskildas integritet.

Samma begrepp som i annan likartad lagstiftning

Begreppet direktåtkomst har ingen legaldefinition. Den grundläggande innebörden av begreppet är att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen.

För annat elektroniskt utlämnande än genom direktåtkomst används begreppet utlämnande på medium för automatiserad behandling. Sådant utlämnande kan innebära t.ex. att elektronisk information överförs via epost, genom utlämnande av uppgifter på cd-rom, DVD, USB-minne eller genom direkt överföring från ett datorsystem till ett annat via allmänna kommunikationsnät.

Denna begreppsbildning, som används i många registerförfattningar, har kritiserats i olika sammanhang, vilket också de remissmyndigheter som är kritiska hänvisar till. Integritetsskyddsutredningen påpekar i sitt delbetänkande (SOU 2007:22, Del 1, s. 462 f.) att uttrycket direktåtkomst ibland, men inte alltid, avser utlämnande på elektroniskt medium. Vidare framhåller utredningen att det finns olika uppfattningar om huruvida bestämmelser om direktåtkomst är sekretessbrytande eller inte. Utredningens slutsats är att skyddet för den personliga integriteten skulle förbättras om regelverket var enhetligare och tydligare (s. 466).

Både från verksamhets- och integritetsperspektiv är det att föredra om de begrepp som används är tydliga och används på ett enhetligt sätt. I propositionen Utökat elektroniskt informationsutbyte diskuterar regeringen om begreppen direktåtkomst och utlämnande på medium för automatiserad behandling bör användas, mot bakgrund av remisskritik i det lagstiftningsärendet (prop. 2007/08:160 s. 58). Regeringen konstaterar där bl.a. att den tekniska utvecklingen har lett till att skillnaderna mellan direktåtkomst och utlämnande på medium för automatiserad behandling har blivit så liten att det ibland kan vara svårt att dra en gräns mellan dessa former av utlämnande. Regeringen uttalar vidare att mycket står att vinna med en mer enhetlig och tydlig begreppsbildning, men att den frågan inte bör lösas inom ramen för det enskilda lagstiftningsärendet.

Det är nödvändigt att reglera andra myndigheters tillgång till uppgifter i polisens brottsbekämpande verksamhet i den nya lagen, både därför att det kan förekomma ett relativt omfattande informationsutbyte med andra myndigheter och att polisen behandlar stora mängder information som uppfattas som känslig. Det skulle kunna leda till tolkningsproblem om man nu frångår den terminologi som används – eller har föreslagits – på närliggande områden. Det är vidare varken möjligt eller lämpligt att inom ramen för detta enskilda lagstiftningsärende avgöra den principiella frågan om vilken terminologi som bör användas i registerförfattningar. Mot den bakgrunden bör samma terminologi användas i den nya lagen som i annan likartad lagstiftning. Vidare bör uttrycket elektroniskt utlämnande användas som ett överordnat begrepp, som omfattar både direktåtkomst och utlämnande på medium för automatiserad behandling (se SOU 2007:64 s. 160; jfr prop. 2008/09:96 s. 8).

Frågor om direktåtkomst behandlas i avsnitt 12.3 och frågor om elektroniskt utlämnande på annat sätt i avsnitt 12.4. De föreslagna reglerna om direktåtkomst är inte sekretessbrytande.

Hänvisningar till S12-1

12.2. Utgångspunkterna för informationsutbyte i det internationella samarbetet

Regeringens bedömning: Det internationella utbytet av information spelar en viktig roll för bekämpningen av framför allt allvarlig och gränsöverskridande brottslighet. Det arbetet bör kunna bedrivas i huvudsak på samma sätt som hittills.

Utredningen gör samma bedömning. Remissinstanserna har inte haft någon invändning eller inte kommenterat saken närmare.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser kommenterar inte frågan. Datainspektionen påpekar att tillgänglighetsprincipen, som syftar till att förenkla informationsflödet mellan brottsbekämpande myndigheter inom EU, medför risk för att medlemsstaterna förlorar kontrollen över informationsflödet och att nationell lagstiftning inte längre räcker som instrument för att skydda informationen. Inspektionen efterlyser en detaljerad genomgång av de regler som motverkar integritetsintrång.

Skälen för regeringens bedömning: Av samma skäl som ett ökat informationsutbyte mellan svenska brottsbekämpande myndigheter bidrar till ett effektivare polisarbete gör internationellt samarbete i brottsbekämpande syfte det. Det är framför allt vid bekämpningen av allvarlig och gränsöverskridande brottslighet som det internationella informationsutbytet har betydelse. Utan sådant informationsutbyte skulle exempelvis bekämpningen av grov narkotikasmuggling, människohandel, penningtvätt och många andra typer av allvarliga brott inte kunna bedrivas lika effektivt. Dessutom har Sverige genom olika internationella överenskommelser åtagit sig att överlämna information som härrör från brottsbekämpande verksamhet dels till polismyndigheter i andra länder, dels till organisationer som Interpol och Europol. Hinder mot informationsutbyte på nationell nivå riskerar naturligtvis att påverka även det internationella informationsutbytet negativt. Sverige har ådragit sig kritik avseende informationsutbyte såväl nationellt som internationellt vid utvärdering av Europols verksamhet (se SOU 2005:117 s. 153).

Informationsutbytet inom EU bygger på principen om tillgänglighet. Den formuleras i Haagprogrammet från 2004 om förstärkt frihet, säkerhet och rättvisa i Europeiska unionen. Principen innebär att en tjänsteman, som sysslar med brottsbekämpning i en av unionens medlemsstater och som behöver information för att utföra sina uppgifter, ska kunna få denna från en annan medlemsstat som innehar informationen. Principen innebär också att de brottsbekämpande myndigheterna i den medlemsstat som har informationen ska göra denna tillgänglig.

Under senare år har det polisiära samarbetet mellan länderna inom EU utvecklats snabbt. Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater har genomförts genom förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen. Syftet med rambeslutet är att få till stånd ett snabbare och enklare infor-

mationsutbyte, särskilt när det gäller allvarlig brottslighet. I avsnitt 4.4 redovisas även vissa andra EU-initiativ som syftar till att förbättra och förenkla informationsutbytet mellan medlemsstaterna.

Ett ökat informationsutbyte över gränserna måste emellertid balanseras av effektivt skydd för den enskilde bl.a. mot att uppgifterna används för andra syften. I december 2008 antogs rambeslutet om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet; EUT L 350, 30.12.2008, s. 60). Syftet med rambeslutet är att säkerställa en gemensam hög skyddsnivå för enskilda personer. Dataskyddsrambeslutet, som ska vara genomfört inom två år efter ikraftträdandet, innebär att det finns bindande förpliktelser om dataskydd mellan medlemsstaterna inom polisområdet. En redogörelse för rambeslutet finns i avsnitt 4.4.1.

Med anledning av Datainspektionens påpekande bör erinras om att många av de internationella överenskommelser som har tillkommit under senare år innehåller särskilda dataskyddsbestämmelser. Som exempel kan nämnas rådsbeslutet om inrättande av Europol (artiklarna 27–35), rådsbeslutet om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet, artiklarna 24–32), rambeslutet om förenklat informationsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen (artikel 8) och rambeslutet om utbyte av uppgifter ur kriminalregister (artikel 9). Inom vart och ett av dessa områden har man således tillskapat dataskyddsregler som är anpassade till det specifika informationsutbytet. Dessa regler kompletterar det generella skydd som Dataskyddsrambeslutet syftar till.

Det finns också anledning att i detta sammanhang framhålla att det polisiära samarbetet över gränserna i stor utsträckning sker som led i svenskt underrättelsearbete eller svensk förundersökning eller lagföring.

Sammantaget innebär utvecklingen att polisen kommer att ha ett fortsatt stort behov av att kunna utbyta uppgifter med andra länder. En ny reglering av behandlingen av personuppgifter i polisens brottsbekämpande verksamhet bör inte ställa upp onödiga hinder för sådant informationsutbyte. Möjligheterna att utbyta uppgifter bör i huvudsak motsvara vad som redan gäller. I avsnitt 12.3.5 diskuteras om utländska myndigheter bör kunna medges direktåtkomst till uppgifter i svenska register. I avsnitt 13.3 övervägs vilka sekretessbrytande bestämmelser om utlämnande som lagen bör innehålla. I det sammanhanget diskuteras det internationella informationsutbytet närmare.

Hänvisningar till S12-2

12.3. Direktåtkomst

Hänvisningar till S12-3

12.3.1. Regleringen av möjligheten till direktåtkomst

Regeringens förslag: Utlämnande genom direktåtkomst ska vara tilllåtet enbart i den utsträckning som följer av den nya lagen.

Utredningen har inte behandlat frågan. Remissinstanserna har inte berört frågan.

Promemorians förslag överensstämmer i sak med regeringens men innehåller inte något förslag om att möjligheten till direktåtkomst ska regleras uttömmande.

Remissinstanserna har inte tagit upp frågan. Skälen för regeringens förslag: I polisdataförordningen (1999:81) finns bestämmelser om direktåtkomst till särskilda register hos polisen.

Den nya polisdatalagen medför krav på en mera generell reglering, eftersom lagen enbart sätter ramarna för behandlingen men inte, annat än i några specifika fall, anger vilka register som får föras. En generell reglering väcker i sin tur frågan om tillgången till uppgifter i polisens brottsbekämpande verksamhet genom direktåtkomst bör regleras uttömmande i den nya lagen.

Från integritetssynpunkt har det fördelar med en lösning där det i lagen framgår i vilken utsträckning direktåtkomst får medges. Det underlättar också för tillämparen att det anges i vilken utsträckning direktåtkomst kan förekomma. En särskild bestämmelse som anger att direktåtkomst ska vara tillåten enbart i den utsträckning det framgår av lagen bör därför införas.

Hänvisningar till S12-3-1

  • Prop. 2009/10:85: Avsnitt 12.3.5

12.3.2. De brottsbekämpande myndigheternas behov av direktåtkomst

Regeringens bedömning: Samtliga brottsbekämpande myndigheter har behov av att kunna få direktåtkomst till uppgifter som behandlas av polisen.

Utredningen berör inte frågan om övriga brottsbekämpande myndigheters allmänna behov av direktåtkomst till uppgifter som behandlas i polisens brottsbekämpande verksamhet.

Remissinstanserna: Flera remissinstanser, bl.a. dåvarande Riksåklagaren, dåvarande Riksskatteverket, Tullverket och Kustbevakningen, har påtalat att de har behov av att kunna ta del av uppgifter som behandlas i polisens brottsbekämpande verksamhet genom direktåtkomst.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna är genomgående positiva till promemorian i denna del och välkomnar bättre förutsättningar för informationsutbyte mellan de brottsbekämpande myndigheterna. De flesta av remissinstanserna har inte något att invända mot promemorians generella beskrivning av behovet av direktåtkomst.

Skälen för regeringens bedömning

Polisens nuvarande möjligheter att få direktåtkomst till uppgifter hos andra brottsbekämpande myndigheter

I promemorian finns en ingående redogörelse för såväl polisens möjlighet till och behov av tillgång genom direktåtkomst till uppgifter inom andra delar av polisverksamheten som andra brottsbekämpande myndigheters möjlighet till och behov av sådan tillgång till uppgifter hos polisen (Ds 2007:43 s. 201 f.).

Polisens möjlighet att ta del av uppgifter som behandlas hos andra brottsbekämpande myndigheter styrs genom de författningar som gäller för dessa myndigheter.

Beträffande uppgifter som behandlas av Tullverket föreskrivs i 6 § förordningen (2005:791) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet att Ekobrottsmyndigheten, Rikspolisstyrelsen, polismyndigheter, Kustbevakningen och Skatteverket får ha direktåtkomst till sådana uppgifter i tullbrottsdatabasen som behandlas för ändamålen att förhindra och upptäcka brottslig verksamhet. Enligt 7 § får Åklagarmyndigheten, Ekobrottsmyndigheten, Rikspolisstyrelsen och polismyndigheter ha direktåtkomst till sådana uppgifter som behandlas för ändamålen att utreda och beivra visst brott, om uppgifterna förekommer i en förundersökning som leds av åklagare.

Enligt 18 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen får övriga brottsbekämpande myndigheter ha direktåtkomst till uppgifter hos Kustbevakningen. För vissa myndigheter, dock inte polisen, är tillgången till uppgifter begränsad. I betänkandet Kustbevakningens personuppgiftsbehandling Integritet – Effektivitet (SOU 2006:18) föreslås att Åklagarmyndigheten, Ekobrottsmyndigheten, Rikspolisstyrelsen, polismyndigheterna, Tullverket och Skatteverket ska kunna medges direktåtkomst till uppgifter som Kustbevakningen behandlar i sin brottsbekämpande verksamhet. Betänkandet, som har remissbehandlats, bereds inom Regeringskansliet (Försvarsdepartementet).

I betänkandet Åklagarväsendets brottsbekämpning Integritet – Effektivitet (SOU 2008:87) föreslås att Rikspolisstyrelsen, polismyndigheter, Tullverket, Kustbevakningen och Skatteverket får medges direktåtkomst till uppgifter i åklagarväsendets brottsbekämpande verksamhet. Betänkandet, som har remissbehandlats, bereds inom Regeringskansliet (Justitiedepartementet).

Andra myndigheters nuvarande möjligheter att få direktåtkomst till uppgifter som polisen behandlar

De övriga brottsbekämpande myndigheterna har redan i varierande utsträckning direktåtkomst till uppgifter som polisen behandlar i register.

Åklagarväsendet (Åklagarmyndigheten och Ekobrottsmyndigheten) har för närvarande direktåtkomst till misstankeregistret och belastningsregistret samt till uppgift om huruvida en person förekommer i DNAregister. I den polisiära verksamheten vid Ekobrottsmyndigheten har man direktåtkomst bl.a. till det centrala kriminalunderrättelseregistret och det allmänna spaningsregistret. Åklagarväsendet har också viss direktåtkomst till material i DurTvå vad avser förundersökningar som leds av åklagare.

Tullverket har direktåtkomst till misstankeregistret, belastningsregistret, Schengens informationssystem, beslags- och analysregister samt fingeravtrycks- och signalementsregister. Vidare har enskilda tulltjänstemän fått behörighet att ta del av vissa uppgifter i det allmänna spaningsregistret, godsregistret och registret över efterlysta fordon.

Kustbevakningen har direktåtkomst till Schengens informationssystem. Sedan den 1 juli 2009 kan Kustbevakningen, i likhet med övriga brotts-

bekämpande myndigheter, medges direktåtkomst till misstankeregistret och belastningsregistret (prop. 2008/09:152).

Skatteverket har direktåtkomst till misstankeregistret och belastningsregistret.

Ökade möjligheter till direktåtkomst behövs

I promemorian konstateras, något förenklat, att polismyndigheterna har behov av att få tillgång till varandras uppgifter, att Säkerhetspolisen har behov av att få tillgång till uppgifter som finns hos den övriga polisen, att åklagare har behov av framför allt tillgång till uppgifter i förundersökningar samt att Tullverket, Kustbevakningen och Skatteverket i sin brottsbekämpande verksamhet har varierande behov av tillgång både till uppgifter i förundersökningar och till underrättelseinformation.

Av de remissinstanser som uttalar sig i frågan bekräftar de flesta att andra brottsbekämpande myndigheter har ett uttalat behov av direktåtkomst till uppgifter i polisens brottsbekämpande verksamhet.

Den brottsbekämpande verksamheten måste kunna bedrivas effektivt. Modern teknik ökar möjligheterna att skapa överblick och samordning i det brottsbekämpande arbetet och att utnyttja tillgänglig information på ett effektivt sätt. Det är angeläget att dessa möjligheter kan utnyttjas. En tjänsteman vid en myndighet som arbetar med en utredning eller något annat projekt som avser en misstänkt person eller viss misstänkt brottslig verksamhet bör på ett enkelt sätt kunna skaffa sig kunskap om existerande anmälningar och om huruvida det bedrivs brottsutredningar eller underrättelseprojekt riktade mot samma person eller samma företeelse av någon annan brottsbekämpande myndighet eller av samma myndighet i någon annan del av landet. De brottsbekämpande myndigheterna har därför ofta behov av att inte bara kunna på begäran få del av viss information utan att själva få omedelbar tillgång till denna genom direktåtkomst. För en sådan möjlighet talar också kostnads- och säkerhetsskäl. Det är inte kostnadseffektivt att myndigheter avsätter resurser för att manuellt administrera ett informationsutbyte när behovet av sådant utbyte kan konstateras redan på förhand. Utlämnande på annat sätt än genom direktåtkomst, exempelvis via fax eller e-post, innebär också allmänt sett ett mindre säkert överförande av uppgifter, eftersom obehöriga då lättare kan få tillgång till dem. Verksamhetsskäl talar således för att utöka de brottsbekämpande myndigheternas möjligheter till direktåtkomst.

Vittgående möjligheter till direktåtkomst ökar emellertid riskerna för intrång i den personliga integriteten. Typiskt sett innebär direktåtkomst att uppgifter blir tillgängliga för fler personer och att den ursprungliga myndighetens möjligheter att kontrollera användningen av uppgifterna minskar. Även om det är möjligt att genom särskilda åtgärder motverka dessa risker är det likväl viktigt att myndigheternas behov av direktåtkomst övervägs noga och att behoven vägs mot integritetsriskerna.

12.3.3. Direktåtkomst för svenska brottsbekämpande myndigheter

Regeringens förslag: Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket ska kunna medges direktåtkomst till personuppgifter i polisens brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

Polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen ska kunna medges direktåtkomst till register över DNA-profiler.

Polismyndigheter, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket ska kunna medges direktåtkomst till fingeravtrycks- eller signalementsregister.

Säkerhetspolisen ska kunna medges direktåtkomst i samma utsträckning som gäller för Rikspolisstyrelsen i övrigt och för polismyndigheter.

En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Utredningens förslag: Polismyndigheter ska få ha direktåtkomst till det allmänna spaningsregistret och Statens kriminaltekniska laboratorium, polismyndigheter och åklagarmyndigheter ska få ha direktåtkomst till register med DNA-analyser i brottmål. Direktåtkomst till personuppgifter ska förbehållas de personer inom polisen som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.

Remissinstanserna: Flera myndigheter, bl.a. dåvarande Riksåklagaren, dåvarande Riksskatteverket, Tullverket och Kustbevakningen, har ansett att deras respektive myndigheter bör kunna medges direktåtkomst till uppgifter som behandlas i polisens brottsbekämpande verksamhet.

Promemorians förslag överensstämmer i huvudsak med regeringens.

Promemorian föreslår dock inte att Tullverket och Kustbevakningen ska kunna få direktåtkomst till uppgifter i register över DNA-profiler.

Remissinstanserna: Åklagarmyndigheten och Ekobrottsmyndigheten lyfter fram åklagarväsendets behov av att få direktåtkomst till underrättelseinformation, men har inga invändningar mot utformningen av förslaget.Rikspolisstyrelsen menar att åklagarväsendets tillgång till underrättelseinformation är en principiellt viktig fråga som bör diskuteras vidare men att man bör avvakta bl.a. Insynsutredningens arbete innan slutlig ställning tas. Skatteverket vänder sig mot att det ska vara en förutsättning för direktåtkomst att uppgifterna har gjorts gemensamt tillgängliga hos polisen.

När det gäller tillgången till de register som föreslås regleras särskilt anser Statens kriminaltekniska laboratorium att Tullverket och Kustbevakningen, på samma sätt som bl.a. åklagare, bör kunna medges direktåtkomst till uppgifter om huruvida en person förekommer i register över DNA-profiler, eftersom det skulle effektivisera samarbetet. Tullverket efterfrågar inte direktåtkomst till register över DNA-profiler men däremot information om huruvida en person tidigare har fått lämna DNAprov enligt bestämmelserna i 28 kap. 12 a § rättegångsbalken. Eko-

brottsmyndigheten anser att både myndigheten och polismyndigheterna bör få tillgång till uppgifter i penningtvättsregister.

Skälen för regeringens förslag

I vilken utsträckning bör andra brottsbekämpande myndigheter kunna medges direktåtkomst?

I föregående avsnitt har konstaterats att andra brottsbekämpande myndigheter behöver ha direktåtkomst till uppgifter i polisens brottsbekämpande verksamhet. I nästa avsnitt diskuteras frågan om, och i så fall i vilken utsträckning, myndigheter som biträder eller samarbetar med polisen, men som inte direkt har brottsbekämpande uppgifter, bör kunna medges direktåtkomst.

Mot de brottsbekämpande myndigheternas verksamhetsbehov måste hänsynen till enskildas integritet vägas. Integritetsaspekterna måste tillmätas central betydelse vid bedömningen av i vilken omfattning sådana myndigheter bör kunna medges direktåtkomst till uppgifter i varandras verksamhet. I de databaser och register som förs av brottsbekämpande myndigheter finns det ofta stora mängder personuppgifter. Många av dessa kan vara av känslig karaktär. Enbart det förhållandet att uppgifter om en enskild persons förhållanden samlas in och bevaras kan uppfattas som ett intrång i den personliga integriteten. Ju fler personer som har omedelbar tillgång till sådana uppgiftssamlingar, desto mera påtaglig är risken för intrång. Direktåtkomst kan också minska möjligheterna att kontrollera den vidare användningen av uppgifterna. Dessa förhållanden utgör skäl för en restriktiv hållning i fråga om direktåtkomst till uppgifter som polisen behandlar.

En viktig aspekt som bör beaktas vid den avvägning som måste göras är om det, när det är fråga om direktåtkomst till sekretessreglerade uppgifter, gäller sekretess för uppgifterna hos den mottagande myndigheten. En annan viktig aspekt är hur uppgifterna sprids och används inom den mottagande myndigheten. Om användandet av uppgifterna inom den myndigheten kan begränsas till en liten krets, är integritetsriskerna mindre än om uppgifterna ges en vid spridning. En tredje aspekt är vilka bestämmelser om informationssäkerhet (exempelvis system för behörighet, loggning och tillsyn) som gäller hos den mottagande myndigheten. Om informationssäkerheten hos den mottagande myndigheten är hög, så att det kan garanteras att informationen endast når dem som har behov av den, inger möjlighet till direktåtkomst mindre betänkligheter från integritetssynpunkt än vad som annars hade varit fallet.

Inledningsvis kan anmärkas att de brottsbekämpande myndigheterna har författningar som reglerar personuppgiftsbehandlingen på ett likartat sätt. Sekretessregleringen ger också i princip samma skydd för uppgifter i brottsbekämpningen hos samtliga brottsbekämpande myndigheter. Myndigheterna omfattas således av bl.a. bestämmelserna om skydd för brottsbekämpningen i 18 kap.1 och 2 §§offentlighets- och sekretesslagen och bestämmelserna om skydd för enskildas personliga och ekonomiska förhållanden i sådan verksamhet, som regleras i 35 kap. samma lag. Numera finns det också en särskild bestämmelse, 11 kap. 4 §, om överföring av sekretess vid direktåtkomst. Om en myndighet har elektro-

nisk tillgång till en annan myndighets upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad hos den andra myndigheten, blir sekretessbestämmelsen tillämplig också hos den mottagande myndigheten. Detta gäller dock inte om uppgiften ingår i ett beslut hos den mottagande myndigheten. Det finns även en särskild bestämmelse om vad som gäller vid konkurrens mellan den överförda sekretessen och sådan sekretess som är direkt tillämplig hos den mottagande myndigheten, 11 kap. 8 § offentlighets- och sekretesslagen, se avsnitt 13.1.

Vad sedan gäller tillgången till uppgifterna hos de mottagande myndigheterna har i avsnitt 6.6 föreslagits att en enskild tjänsteman inom polisväsendet ska ges tillgång endast till sådana uppgifter som han eller hon behöver för att kunna fullgöra sina arbetsuppgifter på ett ändamålsenligt sätt. Motsvarande begränsning bör gälla hos de myndigheter som genom direktåtkomst får tillgång till personuppgifter som polisen behandlar. Särskilda regler om detta bör införas i den nya lagen. En möjlighet till direktåtkomst behöver alltså inte innebära att annat än en begränsad krets av tjänstemän – eller enbart en viss tjänsteman – hos den mottagande myndigheten får tillgång till uppgifterna.

Vad slutligen gäller informationssäkerhet i samband med direktåtkomst har regeringen eller den myndighet som regeringen bestämmer möjlighet att meddela särskilda föreskrifter om detta. Om de brottsbekämpande myndigheterna ska ges möjlighet till direktåtkomst till varandras uppgifter, bör den myndighet som beslutar om sådan åtkomst vara skyldig att försäkra sig om att den mottagande myndigheten har en acceptabel säkerhetsnivå, exempelvis vad gäller system för utlämnande av behörighet och loggning av transaktioner samt tillsyn. Det kan i sammanhanget noteras att den tekniska utvecklingen fortlöpande ger bättre möjligheter att begränsa tillgången till olika uppgifter och att i efterhand genom bl.a. loggningsuppgifter kontrollera hur tillgången har utnyttjats. Ett av syftena med den nya tekniska struktur för lagring av personuppgifter som planeras av polisen är att göra det lättare att begränsa tillgången på detta sätt.

De ökade integritetsrisker som en möjlighet till direktåtkomst kan medföra kan alltså motverkas genom bestämmelser av annat slag, såsom befintliga bestämmelser om sekretess hos den mottagande myndigheten och bestämmelser om tillgång till uppgifter och om informationssäkerhet. Övervägande skäl talar därför för att den nya lagen bör tillåta att övriga brottsbekämpande myndigheter ges direktåtkomst till personuppgifter som behandlas i polisens brottsbekämpande verksamhet. De närmare förutsättningarna för sådan direktåtkomst diskuteras i det följande.

Hur bör direktåtkomsten till polisens uppgifter avgränsas?

En första fråga är om det, för att en myndighet ska kunna ges direktåtkomst till uppgifter i polisens brottsbekämpande verksamhet, bör krävas att uppgifterna är gemensamt tillgängliga hos polisen. Skatteverket anser att detta inte bör vara en förutsättning för direktåtkomst. Enligt verket bör det vara möjligt att arbeta i mindre myndighetsöverskridande projekt utan att uppgifterna därigenom blir gemensamt tillgängliga. Även om myndighetsöverskridande samarbete äger rum i mindre grupper innebär

informationsutbytet att uppgifter som behandlas av polisen blir tillgängliga utanför det sammanhang där de ursprungligen har behandlats. Det är då ur ett integritetsperspektiv rimligt att de särskilda, mer begränsande, reglerna om gemensamt tillgängliga uppgifter alltid tillämpas. Direktåtkomst bör således endast medges för uppgifter som är gemensamt tillgängliga.

En ytterligare förutsättning för att direktåtkomst ska kunna medges bör vara att den myndighet som beslutar om sådan åtkomst försäkrar sig om att den mottagande myndigheten har en acceptabel säkerhetsnivå. Rikspolisstyrelsen betonar vikten av att det tydligt framgår att det är polisen som avgör om uppgifter bör lämnas ut till en annan myndighet i denna form. Ekobrottsmyndigheten anser däremot att det bör ankomma på någon annan myndighet än polisen, exempelvis Datainspektionen, att avgöra om en myndighet uppfyller acceptabla krav på säkerhetsnivå för att kunna medges direktåtkomst, eftersom myndigheter inte bör ha kontrollskyldighet i förhållande till varandra. Det bör, som Rikspolisstyrelsen anför, vara den myndighet som ansvarar för datasystemen som avgör i vilken utsträckning en annan myndighet kan anses tillgodose kraven på tillräcklig datasäkerhet. Den som medger direktåtkomst ska kunna ha kontroll över att det egna datasystemet alltjämt har tillräcklig datasäkerhet även efter det att andra myndigheter fått tillgång till detta. Den närmare bedömningen av tekniska och andra förutsättningar för direktåtkomst måste därför göras av polisen.

En annan förutsättning bör vara att en enskild tjänsteman ska få ha direktåtkomst endast till sådana uppgifter som han eller hon behöver för att kunna fullgöra sina arbetsuppgifter på ett ändamålsenligt sätt. De närmare förutsättningarna för detta regleras lämpligen i förordning eller genom myndighetsföreskrifter.

I promemorian diskuteras ingående om det bör införas ytterligare begränsningar i möjligheten till direktåtkomst t.ex. enbart till visst register, viss uppgiftssamling eller viss brottstyp (Ds 2007:43 s. 221 f.). Slutsatsen är att det varken är önskvärt eller möjligt att i den nya lagen uppställa andra begränsningar vad gäller de brottsbekämpande myndigheternas direktåtkomst än de behörighets- och behovsbegränsningar som angetts ovan. Remissinstanserna framför inga synpunkter på detta och det finns inte skäl att nu göra en annan bedömning.

I avsnitt 13 behandlas frågan om huruvida sekretess hindrar direktåtkomst.

Direktåtkomst till uppgifter hos Säkerhetspolisen och till vissa särskilda register

Som tidigare har angetts bör vissa register undantas från den nya lagens tillämpningsområde, bl.a. belastningsregistret och misstankeregistret. De lagar som reglerar dessa register innehåller särskilda bestämmelser om direktåtkomst. Frågan om direktåtkomst till de registren bör därför inte regleras i den nya lagen.

I fråga om de register som föreslås regleras särskilt i den nya lagen och behandlingen av personuppgifter hos Säkerhetspolisen görs följande bedömning.

Eftersom Säkerhetspolisen behandlar särskilt känsliga uppgifter föreslås i promemorian att det inte ska vara möjligt att medge direktåtkomst till uppgifter som behandlas där. Några skäl att införa en möjlighet till direktåtkomst har inte framkommit under remissbehandlingen. Endast Säkerhetspolisens egna tjänstemän bör således kunna ges direkt tillgång till uppgifterna.

I avsnitt 15.4 behandlas penningtvättsregister, som i stor utsträckning innehåller underrättelseinformation. Denna underrättelseinformation är till sin natur sådan att det är viktigt att tillgången till den begränsas till ett fåtal personer. Ekobrottsmyndigheten menar att det skapar problem att myndigheten och Finanspolisen inte har tillgång till varandras databaser. Samma skäl som talar för att Finanspolisen ska kunna medges direktåtkomst till uppgifter som behandlas vid Ekobrottsmyndigheten och andra polismyndigheter talar enligt Ekobrottsmyndigheten för att dessa myndigheter ska kunna få direktåtkomst till penningtvättsregister.

Penningtvättsregister innehåller känslig ekonomisk information och speciell underrättelseinformation, som enligt gällande regler inte är åtkomlig ens för andra delar av polisorganisationen. Det är i stor utsträckning fråga om obearbetad information, som mottagits från finanssektorn som ett resultat av vissa företags rapporteringsskyldighet. Uppgifterna får registreras innan någon analys av uppgifternas relevans ur brottsbekämpningsperspektiv ännu har gjorts. Värdet av sådant underrättelsematerial är svårt att bedöma utan tillgång till specialkunskaper. Vidare får penningtvättsregister innehålla uppgifter om misstänkt finansiering av terrorism. I linje med att direktåtkomst inte föreslås kunna ges till de uppgifter som Säkerhetspolisen behandlar, bör direktåtkomst inte heller kunna medges till uppgifter som behandlas i särskilda register med anledning av misstänkt penningtvätt eller misstänkt finansiering av terrorism.

När det gäller register över DNA-profiler (DNA-registret, utredningsregistret och spårregistret) bör enligt promemorian de myndigheter som redan har rätt till direktåtkomst, dvs. polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten och Statens kriminaltekniska laboratorium (11 § polisdataförordningen), kunna medges direktåtkomst. För polismyndigheter och åklagarmyndigheter bör enligt promemorian åtkomsten, på samma sätt som nu, begränsas till uppgifter om huruvida en person förekommer i registret eller inte, vilket regeringen bör meddela föreskrifter om. Remissinstanserna lämnar inga synpunkter på dessa myndigheters tillgång till registren. Förslaget bör genomföras. Frågan om Statens kriminaltekniska laboratorium ska ha direktåtkomst till registren behandlas i avsnitt 12.3.4.

Varken Tullverket eller Kustbevakningen uttrycker något behov av att få direktåtkomst till register över DNA-profiler. Tullverket efterlyser däremot information om huruvida en person tidigare har fått lämna DNA-prov. Enligt 28 kap. 12 a § rättegångsbalken kan salivprov tas rutinmässigt på den som är skäligen misstänkt för brott av viss svårhetsgrad. Tullverket tar upp en fråga som är viktig både från effektivitetssynpunkt och integritetssynpunkt, nämligen hur man ska säkerställa att det inte tas upprepade salivprov på en person som redan underkastats provtagning. Själva provtagningen registreras inte men däremot utfallet av provet, om bestämmelserna i polisdatalagen medger det. I den mån personen är registrerad i DNA-registret eller utredningsregistret behöver

något nytt prov normalt inte tas. Mot den bakgrunden ter det sig rimligt att Tullverket, som i stor utsträckning ingriper mot brott för vilka straffskalan är sådan att DNA-prov kan aktualiseras, bör kunna medges tillgång till samma information som åklagare, nämligen om huruvida en viss person förekommer i register över DNA-profiler. Sådan information innebär att man kan undvika att onödiga DNA-prov tas. Vad som nu har sagts om Tullverkets behov gäller i princip även för Kustbevakningen. För närvarande är Kustbevakningens möjligheter att ingripa mot brott som ger möjlighet att ta DNA-prov begränsade, men den har utökats under senare tid. I betänkandet Kustbevakningens rättsliga befogenheter (SOU 2008:55) föreslås att myndigheten ska kunna inleda och bedriva förundersökning beträffande betydligt fler brottstyper som ger grund för att ta DNA-prov. Betänkandet, som har remissbehandlats, bereds för närvarande i Regeringskansliet (Försvarsdepartementet). Mot den nu angivna bakgrunden finner regeringen att den nya lagen bör öppna möjlighet att ge även Kustbevakningen direktåtkomst till register över DNAprofiler. Genom detta tillgodoses Statens kriminaltekniska laboratoriums synpunkter. Samma begränsning av tillgången till uppgifter som för närvarande gäller för polismyndigheter och åklagare bör gälla för Tullverket och Kustbevakningen.

När det gäller tillgången till uppgifter i fingeravtrycks- eller signalementsregister framför remissinstanserna inga synpunkter på promemorians förslag. Eftersom det finns ett stort behov av att snabbt kunna få tillgång till sådana uppgifter i identifieringssyfte bör, som föreslås i promemorian, samtliga brottsbekämpande myndigheter med undantag för åklagare kunna medges direktåtkomst till personuppgifter i registren i fråga. I avsnitt 12.3.4 behandlas frågan om Statens kriminaltekniska laboratorium ska kunna medges direktåtkomst.

Då promemorian inte innehåller något förslag om register för handläggningen av internationella ärenden har frågan om direktåtkomst till det registret inte aktualiserats. Registret har framför allt till syfte att underlätta Rikspolisstyrelsens verksamhet som mottagare och förmedlare av information. Uppgifterna i registret är knappast av intresse för andra myndigheter i deras brottsbekämpande arbete. Några verksamhetsskäl som kan motivera att andra brottsbekämpande myndigheter ska ges tillgång till registret har inte framkommit. Både integritetsskäl och verksamhetsskäl talar mot att tillåta direktåtkomst till registret. Dels kan en utländsk myndighet ha ålagt svenska myndigheter att iaktta begränsningar i spridningen av uppgifterna, dels kan det vara svårt för andra tjänstemän än de som sysslar med internationella frågor att bedöma värdet av uppgifterna. Mot den bakgrunden bör det inte införas någon möjlighet till direktåtkomst till uppgifter i det internationella registret.

Hänvisningar till S12-3-3

12.3.4. Direktåtkomst för andra svenska myndigheter

Regeringens förslag: Statens kriminaltekniska laboratorium ska kunna medges direktåtkomst till register över DNA-profiler och till fingeravtrycks- eller signalementsregister.

Regeringens bedömning: Andra myndigheter som inte är brottsbekämpande bör inte kunna medges direktåtkomst till uppgifter i polisens brottsbekämpande verksamhet.

Utredningen behandlar inte frågan. Remissinstanserna har inte haft några synpunkter. Promemorian föreslår att Statens kriminaltekniska laboratorium ska kunna medges direktåtkomst till register över DNA-profiler och till fingeravtrycks- eller signalementsregister men tar inte upp frågan om direktåtkomst för andra myndigheter.

Remissinstanserna: Rikspolisstyrelsen påpekar att Kronofogdemyndigheten, Försäkringskassan och Skatteverkets fiskala del deltar i verksamheten vid regionala underrättelsecentrum, där även Kriminalvården och Migrationsverket är representerade. I det fortsatta arbetet bör enligt styrelsen övervägas om inte även dessa myndigheter ska kunna medges direktåtkomst till uppgifter i polisens brottsbekämpande verksamhet.

Statens kriminaltekniska laboratorium anser att den nya lagen ska gälla även för laboratoriet. Kronofogdemyndigheten menar att det finns skäl att överväga utökade möjligheter till informationsutbyte även med myndigheter som inte är direkt brottsbekämpande och pekar på det samarbete som myndigheten bedriver på lokal och central nivå för att motverka grov och organiserad brottslighet. Kriminalvården pekar bl.a. på myndighetens uppgift att förhindra återfall i brott. Myndigheten menar att man har en brottsbekämpande roll och att det finns starka skäl att utvidga möjligheterna att utbyta information mellan Kriminalvården och polisen. Finansinspektionen anser sig inte ha behov av tillgång till uppgifter i penningtvättsregister, men önskar information om företagens förmåga att rapportera misstänkt penningtvätt.

Skälen för regeringens förslag och bedömning

Statens kriminaltekniska laboratoriums tillgång till vissa register

I avsnitt 6.3 har tanken på att lagen ska gälla även för Statens kriminaltekniska laboratorium avvisats. Myndigheten har dock behov av direktåtkomst till vissa av de register som enligt förslagen i avsnitt 15 ska regleras särskilt i den nya lagen. Ingen av remissinstanserna har ifrågasatt detta. Myndigheten hanterar redan nu registren med DNA-profiler (DNA-registret, utredningsregistret och spårregistret) i egenskap av personuppgiftsbiträde åt Rikspolisstyrelsen. Denna hantering förutsätter att laboratoriet har direktåtkomst till registren, vilket regleras i 11 § polisdataförordningen. Vidare utför Statens kriminaltekniska laboratorium analyser av fingeravtryck för polisens räkning och behöver av det skälet på samma sätt som nu direktåtkomst till fingeravtrycks- eller signalementsregister. Bestämmelser om att Statens kriminaltekniska laborato-

rium ska kunna medges direktåtkomst till nämnda register bör därför införas.

Bör andra myndigheter kunna medges direktåtkomst till uppgifter i polisens brottsbekämpande verksamhet?

Det allmänna myndighetsöverskridande samarbetet för att förebygga och bekämpa brott utvecklas fortlöpande. Ett viktigt inslag i detta är uppdraget till Rikspolisstyrelsen och andra berörda myndigheter att vidta åtgärder för att säkerställa en effektiv och uthållig bekämpning av grov organiserad brottslighet (se avsnitt 7.2). Informationsutbyte är en grundläggande beståndsdel i detta arbete, som även involverar myndigheter som inte är brottsbekämpande. Frågan är om detta samarbete motiverar att kretsen av myndigheter som får medges direktåtkomst vidgas utöver vad som föreslås i promemorian, eller om informationsbehovet kan tillgodoses på annat sätt.

Det är, som utvecklats tidigare, viktigt med ett närmare samarbete och ökat informationsutbyte mellan Kriminalvården och polisen för att förebygga brott. Detta markeras genom den utvidgning av lagens sekundära ändamål som föreslås i avsnitt 7.6. Enligt förslaget ska personuppgifter som behandlas i polisens brottsbekämpande verksamhet även få behandlas när det är nödvändigt för att tillhandahålla information som behövs i verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten. I samma avsnitt föreslås att ett annat sekundärt ändamål ska vara att behandla uppgifter för att tillhandahålla dessa till myndigheter som inte är brottsbekämpande, om tillhandahållandet sker i syfte att samverka mot brott. De synpunkter som Kriminalvården och Kronofogdemyndigheten framför får därmed anses tillgodosedda.

Rikspolisstyrelsen anser att det bör övervägas att ge vissa myndigheter, som inte är brottsbekämpande, direktåtkomst till uppgifter i polisens brottsbekämpande verksamhet. Regeringen vill understryka betydelsen av det samarbete som förekommer mellan polisen och myndigheter som inte är brottsbekämpande. Samarbetet kommer sannolikt att utvecklas ytterligare i framtiden. Samtidigt har detta samarbete inte samma frekvens och intensitet som exempelvis samarbetet mellan polisen och åklagare, möjligen med undantag för situationer där man i någon form bedriver verksamhet tillsammans i gemensamma lokaler. Verksamhetsintressena av direktåtkomst är därför inte lika starka som när det gäller brottsbekämpande myndigheter. Härtill kommer att det hos myndigheter utanför kretsen av brottsbekämpare kan gälla andra sekretessregler och andra krav på insyn i verksamheten.

Eftersom direktåtkomst innebär ökad risk för integritetsintrång väger integritetsintressena i detta fall tyngre än önskemålen om utökad direktåtkomst. Det finns således inte skäl att nu föreslå att någon ytterligare myndighet utanför de brottsbekämpande ska kunna få tillgång till uppgifter i polisens brottsbekämpande verksamhet genom direktåtkomst.

Både Skatteverket och Finansinspektionen tar upp frågan om tillgång till annan information om penningtvätt än den som finns penningtvättsregister. Den frågan behandlas i avsnitt 15.4.

Hänvisningar till S12-3-4

12.3.5. Direktåtkomst för utländska myndigheter

Regeringens förslag: Regeringen ska få meddela föreskrifter om att en utländsk myndighet, Europol eller en mellanfolklig organisation får medges direktåtkomst till uppgifter i polisens brottsbekämpande verksamhet. Förutsättningen ska vara att detta är nödvändigt för att fullgöra en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt eller att det följer av en EU-rättsakt.

Utredningen behandlar inte frågan. Remissinstanserna har inte yttrat sig i saken. Promemorians förslag överensstämmer delvis med regeringens. Beträffande DNA-register och fingeravtrycks- eller signalementsregister föreslås att regeringen får meddela föreskrifter om att en utländsk myndighet får medges direktåtkomst i den utsträckning detta är nödvändigt för att fullgöra en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. Promemorian innehåller inte något förslag om direktåtkomst för Europol eller mellanfolkliga organisationer.

Remissinstanserna: Remissinstanserna godtar i allmänhet förslaget.

Datainspektionen efterlyser en redogörelse för hur integritetsskyddsaspekter tillgodoses vid direktåtkomst för utländska myndigheter. Enligt inspektionen torde Prümrådsbeslutet, som förutsätter direktåtkomst till avidentifierade uppgifter, förutsätta viss ändring i förslaget. Lunds Universitet vänder sig mot att regeringen får en omfattande delegation när det gäller direktåtkomst för utländska myndigheter och förordar lagreglering.

Skälen för regeringens förslag: Numera finns så gott som all polisiär information i automatiserad form. Det aktualiserar frågan om elektronisk informationsöverföring till andra stater. Utlämnande genom direktåtkomst för utländska myndigheter till uppgifter som behandlas av polisen har hittills endast aktualiserats i ett fall.

Nyligen antogs Europeiska rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, Prümrådsbeslutet. Beslutet innehåller bl.a. bestämmelser som ålägger medlemsstaterna att tillåta direktåtkomst till vissa uppgifter i nationella DNA-register och fingeravtrycksregister. Åtkomsten ska begränsas till uppgifter om huruvida någon förekommer i registren eller inte. Prümrådsbeslutet innehåller särskilda dataskyddsregler (artiklarna 24–32). Som framgår av avsnitt 4.4.3 har riksdagen godkänt rådsbeslutet.

Eftersom det föreslås att det ska följa av den nya lagen i vilken utsträckning direktåtkomst ska vara tillåten (avsnitt 12.3.1) behövs det en bestämmelse om direktåtkomst för utländsk myndighet. Eftersom man kan förutse en fortsatt utveckling av informationsutbytet framför allt inom EU bör bestämmelsen inte knytas enbart till den överenskommelse som finns nu utan göras generell.

Lunds universitet har invänt att promemorians förslag innebär en alltför omfattande delegation till regeringen. I många registerförfattningar regleras grundläggande frågor i lag, bl.a. möjligheten att bevilja direktåtkomst, medan närmare förutsättningar för direktåtkomst ofta regleras i förordning. I de fall där riksdagen har tagit ställning till frågan om att

tillåta en utländsk myndighet direktåtkomst, genom att godkänna en internationell överenskommelse, är det enligt regeringens mening rimligt att de närmare bestämmelserna om direktåtkomsten kan beslutas av regeringen.

Om direktåtkomst till vissa uppgifter i framtiden skulle komma att regleras i EU-rättsakter som inte kräver riksdagens godkännande framstår det som naturligt med en bestämmelse som kan täcka behovet av reglering av detaljfrågor även i sådana fall.

Den i promemorian föreslagna bestämmelsen tar sikte enbart på direktåtkomst för utländska myndigheter. Mot bakgrund av att polissamarbetet i stor utsträckning äger rum genom mellanfolkliga organisationer bör bestämmelsen även omfatta direktåtkomst för mellanfolkliga organisationer som är brottsbekämpande, om det finns en bindande internationell överenskommelse om det.

Datainspektionen tar upp frågan om hur integritetsskyddet ska säkras om utländska myndigheter ges direktåtkomst till svensk information.

Inspektionen framhåller att tillgänglighetsprincipen medför en risk att medlemsstaterna förlorar kontrollen över informationsflödet och att nationell lagstiftning inte längre räcker som instrument för att skydda informationen. Här finns anledning att erinra om att möjligheten till direktåtkomst för utländska myndigheter hittills enbart aktualiserats beträffande vissa typer av uppgifter i några av de register som regleras särskilt i den nya lagen, nämligen register över DNA-profiler och fingeravtrycksregister. Direktåtkomsten ska inte omfatta uppgifter som avslöjar personens identitet. För att få ytterligare information måste den andra staten ansöka om rättslig hjälp i Sverige. Vidare innehåller Prümrådsbeslutet särskilda regler som syftar bl.a. till att säkerställa informationens korrekthet och aktualitet. Reglerna anger hur och av vem uppgifterna får användas samt tillförsäkrar berörda personer rätt till information och skadestånd. Integritetsskyddande bestämmelser finns således. När det gäller eventuella framtida överenskommelser inom EU säkerställer dataskyddsrambeslutet en hög skyddsnivå vid behandlingen av personuppgifter som överförs eller görs tillgängliga mellan medlemsstaterna.

Hänvisningar till S12-3-5

12.4. Elektroniskt utlämnande på annat sätt än genom direktåtkomst

Regeringens förslag: Enstaka personuppgifter får lämnas ut på medium för automatiserad behandling. Regeringen har möjlighet att meddela föreskrifter om att uppgifter får lämnas ut på sådant medium även i andra fall.

Utredningen lämnar inte något förslag om utlämnande av uppgifter på medium för automatiserad behandling.

Remissinstanserna har inte uttalat sig i frågan. Promemorians förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Bestämmelsen om utlämnande på medium för automatiserad behandling kritiseras från olika utgångspunkter av Rikspolisstyrelsen, Säkerhetspolisen, Statens kriminaltekniska laboratorium,

Skatteverket, Kronofogdemyndigheten, Sveriges advokatsamfund och Journalistförbundet. Flera av dessa kritiserar användningen av begreppet utlämnande på medium för automatiserad behandling. Flertalet anser att regleringen är otidsenlig och att man skapar onödiga begränsningar i informationsutbytet mellan brottsbekämpande myndigheter. Journalistförbundet anser att bestämmelsen strider mot offentlighetsprincipen.

Förbundet efterlyser också en proportionalitetsavvägning mellan skyddet för den personliga integriteten och förbudet mot att använda viss teknik.

Både Rikspolisstyrelsen och Säkerhetspolisen efterlyser klarlägganden om vilket uppgiftslämnande som är tillåtet på medium för automatiserad behandling. Rikspolisstyrelsen pekar på att det förekommer ett omfattande informationsutbyte både inom och utom landet vid såväl brottsutredningar som underrättelsearbete och att det kan krävas undantag i förordning för information till Interpol och Europol. Säkerhetspolisen framhåller att man måste kunna få stora mängder uppgifter från den övriga polisen överförda elektroniskt i samband med registerkontroll för säkerhetsprövning.

Skälen för regeringens förslag: Uppgifter kan lämnas ut från polisen i elektronisk form på medium för automatiserad behandling, bl.a. genom e-post eller genom direkt överföring från ett datasystem till ett annat via allmänna kommunikationsnät. Inte bara direktåtkomst utan även utlämnande av personuppgifter på medium för automatiserad behandling anses medföra särskilda risker från integritetssynpunkt. Sådant utlämnande innebär nämligen som regel att mottagaren kan bearbeta informationen, t.ex. genom att samköra den mot elektroniska uppgifter som har hämtats från andra informationskällor. Det ökar riskerna för att uppgifterna ska behandlas i strid med de grundläggande kraven på dataskydd. Utlämnande i elektronisk form skapar också möjlighet för myndigheterna att inrätta rutiner som innefattar dagliga överföringar av större mängder av uppgifter via t.ex. e-post. Även om direktåtkomst generellt får betraktas som den mest känsliga formen av elektroniskt utlämnande kan i vissa fall likartade risker föreligga vid andra former av elektroniskt utlämnande.

Med hänsyn härtill föreslås i promemorian att förutsättningarna för utlämnande av personuppgifter på medium för automatiserad behandling författningsregleras.

Journalistförbundet ifrågasätter om en bestämmelse av detta slag är förenlig med offentlighetsprincipen. När det gäller den frågan vill regeringen påpeka följande. Bestämmelsen påverkar inte rätten att få ta del av allmänna handlingar utan endast i vilken form handlingarna får göras tillgängliga. Vidare finns det inte någon i lag föreskriven skyldighet att lämna ut handlingar elektroniskt som är relevant i detta sammanhang (jfr 2 kap. 13 § tryckfrihetsförordningen). Offentlighetsprincipen utgör således inget hinder mot en bestämmelse av det aktuella slaget. Motsvarande bestämmelser finns i andra registerlagar, exempelvis lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

E-offentlighetskommittén (Ju 2008:06) utreder frågan om det ska införas en skyldighet, generellt eller i begränsad utsträckning, att lämna ut elektroniskt lagrade allmänna handlingar i elektronisk form (dir. 2008:26). Om en sådan skyldighet införs kan bestämmelser i olika registerlagar, bl.a. den nu föreslagna lagen, behöva ses över.

Regeringen delar promemorians bedömning att huvudregeln bör vara att bara enstaka uppgifter får lämnas ut på medium för automatiserad behandling, t.ex. genom e-post, när förutsättningarna för ett utlämnande i övrigt är uppfyllda. Detta överensstämmer med vad som redan gäller bl.a. för Tullverkets brottsbekämpande verksamhet och som föreslås för åklagarväsendets och Kustbevakningens personuppgiftsbehandling. Kritiken mot användningen av begreppet utlämnande på medium för automatiserad behandling bemöts i avsnitt 12.1.

I förhållande till myndigheter som får medges direktåtkomst bör det dock inte gälla några begränsningar i fråga om utlämnande på annat elektroniskt medium, med hänsyn till att lagen ska vara teknikneutral. Regeringen avser att i förordning meddela föreskrifter om detta. Med en sådan lösning tillgodoses de synpunkter som bl.a. Rikspolisstyrelsen,

Säkerhetspolisen, Statens kriminaltekniska laboratorium och Skatteverket framför. När det gäller utlämnande till andra myndigheter bör regeringen också ha möjlighet att i förordning medge sådant elektroniskt utlämnande.

Regeringen bör vidare ha möjlighet att i förordning medge utlämnande på medium för automatiserad behandling även i andra fall. Som exempel kan nämnas utlämnande av en förundersökning eller annan utredning enligt bestämmelserna i 23 kap. rättegångsbalken till försvarare eller annat juridiskt biträde. Behovet av att kunna använda elektronisk överföring vid informationsutbytet med Interpol och Europol, som Rikspolisstyrelsen lyfter fram, kan också lösas på detta sätt.

Hänvisningar till S12-4

13. Sekretess och uppgiftsskyldighet

Hänvisningar till S13

13.1. Allmänna utgångspunkter

Regeringens bedömning: Det behövs sekretessbrytande regler för att skapa förutsättningar för ett bättre informationsutbyte.

Utredningen diskuterar inte frågan på ett generellt plan. Remissinstanserna: Flera remissinstanser, däribland dåvarande Riksåklagaren, dåvarande Riksskatteverket, Tullverket och Kustbevakningen, har ifrågasatt varför utredningen inte i större utsträckning har beaktat behovet av informationsutbyte mellan brottsbekämpande myndigheter.

Promemorians bedömning överensstämmer i sak med regeringens. Remissinstanserna: De remissinstanser som yttrar sig i frågan ställer sig bakom promemorians bedömning.

Skälen för regeringens bedömning

Sekretess i den brottsbekämpande verksamheten

Sekretesslagen (1980:100) ersattes den 30 juni 2009 av offentlighets- och sekretesslagen (2009:400; prop. 2008/09:150). Sekretess till skydd för intresset av att förebygga eller beivra brott regleras i 18 kap. offentlighets- och sekretesslagen (tidigare 5 kap. sekretesslagen). Sekretess gäller,

i större eller mindre utsträckning, för förundersökningar och motsvarande utredningar enligt 23 kap. rättegångsbalken (18 kap. 1 §) och som regel för underrättelseuppgifter (18 kap. 2 §). De sekretessbestämmelser till skydd för enskild som tidigare fanns i 9 kap. 17 § sekretesslagen har delats upp på flera paragrafer och finns nu huvudsakligen i 35 kap. offentlighets- och sekretesslagen, som reglerar sekretess till skydd för enskild i verksamhet som syftar till att förebygga eller beivra brott.

Sekretessen enligt 35 kap. 1 § offentlighets- och sekretesslagen (som motsvarar 9 kap. 17 § första stycket sekretesslagen) skyddar enskilds personliga och ekonomiska förhållanden. Sekretessen omfattar bl.a. uppgifter i utredning enligt bestämmelserna om förundersökning i brottmål (punkten 1), användning av tvångsmedel (punkten 2), registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (punkten 3), annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, en polismyndighet, Skatteverket, Statens kriminaltekniska laboratorium, Tullverket eller Kustbevakningen (punkten 4), register som förs av Rikspolisstyrelsen enligt polisdatalagen eller som annars behandlas där med stöd av den lagen (punkten 6) och misstankeregistret (punkten 7). Brottsanmälningar omfattas också av sekretessen. Sekretessen gäller endast om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men. För beslut att väcka åtal eller att inte inleda eller lägga ned en förundersökning gäller inte sekretessen (35 kap. 6 §). Sekretessen upphör också normalt om uppgiften lämnas till domstol med anledning av åtal (35 kap. 7 §), men i en förundersökning förekommer det ofta uppgifter t.ex. om andra brott som den misstänkte har begått eller om personer som inte berörs av åtalet. För sådana uppgifter upphör sekretessen inte, om uppgiften uppenbart saknar betydelse i målet (35 kap. 7 § punkten 2). Om åtal inte väcks kvarstår också sekretessen. Därför är det mycket vanligt att det förekommer kvarstående sekretess till skydd för enskild i förundersökningar och andra brottsutredningar.

När en förundersökning eller annan motsvarande utredning inleds gäller som regel sekretess enligt både 18 kap. 1 eller 2 § och 35 kap. 1 §offentlighets- och sekretesslagen. Sekretessen enligt 18 kap. minskar efter hand och brukar normalt upphöra senast i samband med att åtal väcks.

Enligt 35 kap. 2 § gäller sekretess för uppgift i en anmälan eller utsaga av enskild i förhållande till den som anmälan eller utsagan avser, om det kan antas att fara uppkommer för att någon utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

Bestämmelser om sekretess för vissa andra av polisens register än de som regleras i 35 kap. 1 § punkterna 6 och 7 finns i 35 kap. 3 och 4 §§. I 3 § regleras sekretessen för belastningsregistret (tidigare 7 kap. 17 § sekretesslagen). I 4 § (tidigare 7 kap. 18 § sekretesslagen) regleras sekretessen för bl.a. register över strafföreläggande och föreläggande av ordningsbot (punkten 1) och uppgift hos Rikspolisstyrelsen som rör brott eller den som har misstänkts, åtalats eller dömts för brott, om uppgiften har lämnats dit för databehandling inom rättsväsendets informationssystem i ett annat register än som avses i 1 § (punkten 2).

Några sekretessbrytande bestämmelser som tidigare fanns i 9 kap. 17 § finns nu i 35 kap. 8–10 §§. Dessa avser uppgiftslämnande till enskild och till konkursförvaltare och saknar därför intresse här.

Sekretess mellan brottsbekämpande myndigheter

Ansvaret för brottsbekämpningen i Sverige är uppdelat mellan flera myndigheter. Gemensamt för dessa är att sekretess i större eller mindre utsträckning gäller för åtskilliga av de personuppgifter som behandlas inom ramen för den brottsbekämpande verksamheten. Enligt 8 kap. 1 § offentlighets- och sekretesslagen får uppgifter för vilka sekretess gäller inte röjas för andra myndigheter, om inte annat framgår av lagen (eller lag eller förordning till vilken lagen hänvisar). När uppgifter ska lämnas mellan myndigheter måste därför hänsyn tas till sekretesslagstiftningen.

Motsvarande begränsning gäller vid uppgiftslämnande mellan olika verksamhetsgrenar inom en myndighet, när dessa är att betrakta som självständiga i förhållande till varandra. Det är två kriterier som är viktiga vid bedömningen av om det är fråga om olika verksamhetsgrenar. Den ena är om verksamheterna tillämpar samma eller olika sekretessregler. Det andra är om verksamhetsgrenarna är åtskilda rent organisatoriskt (prop. 2008/09:150 s. 356 f.).

Offentlighets- och sekretesslagen innehåller bestämmelser som möjliggör utbyte av uppgifter mellan myndigheter utan hinder av sekretess. Av 10 kap. 2 § offentlighets- och sekretesslagen (tidigare 1 kap. 5 § sekretesslagen) framgår att sekretessbelagda uppgifter får lämnas från en myndighet till en annan om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestämmelsen, som är avsedd att tillämpas restriktivt, medger inte sekretessgenombrott på den grunden att den mottagande myndigheten behöver uppgifterna i sin verksamhet. Enligt 10 kap. 28 § första stycket hindrar sekretess inte att uppgifter lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning (tidigare 14 kap. 1 § sekretesslagen). Uppgifter kan vidare, med vissa undantag, lämnas ut med stöd av 10 kap. 19–26 §§, när uppgifterna behövs för olika i paragraferna angivna ändamål inom brottsbekämpningen, bl.a. förundersökning. Enligt 10 kap. 27 §, den s.k. generalklausulen (tidigare 14 kap. 3 § sekretesslagen), gäller som huvudregel att en uppgift får lämnas ut till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Undantag görs dock för vissa sekretessregler som är av begränsat intresse här. Bedömningen av om uppgiften kan lämnas ut görs av den myndighet som innehar uppgiften, utom i de fall där utlämnandebestämmelsen har konstruerats så att uppgiften alltid ska lämnas ut om det begärs.

Bestämmelsen i 6 kap. 5 § offentlighets- och sekretesslagen (tidigare 15 kap. 5 § sekretesslagen) är också viktig i sammanhanget. Den innebär att en myndighet på begäran av en annan myndighet ska lämna ut uppgifter i den mån hinder inte möter på grund av sekretess eller arbetets behöriga gång. Bestämmelsen kan sägas motsvara allmänhetens rätt att få tillgång till handlingar genom offentlighetsprincipen, men utlämnandeskyldigheten är mer vidsträckt och omfattar alla typer av uppgifter som

myndigheten förfogar över, bl.a. uppgifter i handlingar som inte är allmänna. Paragrafen innebär att om en myndighet begär att få del av uppgifter hos en annan myndighet och någon sekretessbrytande bestämmelse är tillämplig, så ska uppgifterna lämnas ut. Detsamma gäller givetvis om de begärda uppgifterna är offentliga.

I 35 kap. 10 § offentlighets- och sekretesslagen föreskrivs att en uppgift, utan hinder av sekretessen i 35 kap. 1 §, får lämnas ut enligt vad som föreskrivs i bl.a. polisdatalagen och i förordningar som meddelats med stöd av den lagen. Motsvarande bestämmelse infördes i sekretesslagen i samband med att den absoluta sekretessen för polisregister avskaffades (se prop. 1997/98:97) och har i sak oförändrad förts över till den nya offentlighets- och sekretesslagen. Syftet med bestämmelsen är bl.a. att myndigheterna inte ska behöva förlita sig på en sekretessprövning i de fall där det i författning anges att uppgifter får lämnas ut. I 68 §§polisdatalagen (1998:622) finns bestämmelser om att uppgifter får lämnas ut. Sådana bestämmelser finns även i polisdataförordningen, se bl.a. 8, 10, 17, 17 a och 18 §§.

Beredningen för rättsväsendets utveckling har i betänkandet Ett effektivare brottmålsförfarande – några ytterligare åtgärder (SOU 2005:117 s. 152 f.) föreslagit att sekretessen i 9 kap. 17 § sekretesslagen (som numera regleras i olika paragrafer i framför allt 35 kap. offentlighets- och sekretesslagen) inte ska gälla vid informationsutbyte mellan brottsbekämpande myndigheter. Skälet är att den nuvarande regleringen inte täcker det behov som myndigheterna har av att utbyta information med varandra. Betänkandet, som har remissbehandlats, bereds i Regeringskansliet (Justitiedepartementet).

Förhållandet mellan direktåtkomst och sekretess

En bestämmelse om direktåtkomst reglerar endast tillåtligheten av ett visst tillvägagångssätt för att lämna ut uppgifter. En sådan bestämmelse har alltså inte någon självständig sekretessbrytande effekt; den är inte att se som en uppgiftsskyldighet enligt 10 kap. 28 § första stycket offentlighets- och sekretesslagen (se bl.a. prop. 2004/05:164 s. 83 och 2006/07:46 s. 80). Möjligheterna för t.ex. en myndighet att vid informationsutbyte med en annan myndighet överföra uppgifter genom att medge den senare direktåtkomst till uppgifter som behandlas automatiserat begränsas därför inte sällan av sekretess. Eftersom direktåtkomst innebär att den mottagande myndigheten fritt kan avgöra vilka uppgifter – inom ramen för den beviljade direktåtkomsten – den vill ta del av, blir uppgifterna att anse som utlämnade i och med att direktåtkomst medges. Det spelar ingen roll om den mottagande myndigheten faktiskt tar del av en viss uppgift eller inte. En myndighet kan därför inte tillåta en annan myndighet direktåtkomst till uppgifter som, vid en sekretessprövning, den senare myndigheten inte med säkerhet skulle ha rätt att ta del av (prop. 2007/08:160 s. 73). Direktåtkomst förutsätter därför att det är fråga om offentliga uppgifter, uppgifter som omfattas av en författningsbestämmelse om uppgiftsskyldighet eller – i undantagsfall – uppgifter som kan lämnas ut rutinmässigt med stöd av generalklausulen.

Den dåvarande regeringen gjorde i prop. 2004/05:164 Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling bedömningen att det krävs en tydlig sekretessbrytande reglering för att Tullverket utan risk för problem från sekretessynpunkt ska kunna medge andra brottsbekämpande myndigheter direktåtkomst, om direktåtkomsten ska avse annat än uppgifter som inte omfattas av sekretess. Därför infördes en sekretessbrytande bestämmelse i 2 § förordningen (2005:791) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Samma bedömning görs avseende Kustbevakningens möjlighet att lämna ut uppgifter i betänkandet Kustbevakningens personuppgiftsbehandling – Integritet – Effektivitet (SOU 2006:18) och avseende åklagarväsendet i betänkandet Åklagarväsendets brottsbekämpning – Integritet – Effektivitet (SOU 2008:87). Betänkandena har remissbehandlats och är föremål för beredning i Regeringskansliet (Försvarsdepartementet respektive Justitiedepartementet).

De skäl som anfördes i lagstiftningsärendet rörande Tullverkets personuppgiftsbehandling för att det behövs sekretessbrytande regler har bärkraft även när det gäller uppgiftslämnande från polisen. Flera remissinstanser har i sina yttranden över utredningens förslag påtalat behovet av sekretessbrytande regler även av andra skäl. Beredningen för rättsväsendets utveckling har övervägt det generella behovet av sekretessbrytande regler och kommit till samma slutsats. Det bör därför införas sekretessbrytande regler i den nya lagen.

Det har nyligen införts en särskild bestämmelse om överföring av sekretess vid direktåtkomst (prop. 2007/08:160). Om en myndighet hos en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad blir sekretessbestämmelsen, enligt 11 kap. 4 § offentlighets- och sekretesslagen, tillämplig även hos den mottagande myndigheten. Sekretessen gäller dock inte om uppgiften ingår i ett beslut hos den mottagande myndigheten. Sekretessen enligt paragrafen ska inte heller tillämpas när det hos den mottagande myndigheten finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 5, och 7 §§ som skyddar samma intresse (11 kap. 8 § offentlighets- och sekretesslagen). Sekretessen enligt 11 kap. 4 § gäller för sådana uppgifter som andra myndigheter får tillgång till genom direktåtkomst till uppgifter som polisen behandlar. Eftersom samtliga brottsbekämpande myndigheter i princip tillämpar samma primära sekretessbestämmelser, och en bestämmelse om primär sekretess gäller framför den nu angivna paragrafen, får 11 kap. 4 § offentlighets- och sekretesslagen begränsad betydelse.

Hänvisningar till S13-1

  • Prop. 2009/10:85: Avsnitt 12.3.3

13.2. Sekretessgenombrott

Regeringens förslag: Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen, rätt att ta del av uppgifter som har gjorts gemensamt tillgängliga hos polisen, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.

Under samma förutsättningar ska polismyndigheter, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket ha rätt att ta del av uppgifter i fingeravtrycks- eller signalementsregister.

Polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen har också, under samma förutsättningar, rätt att ta del av uppgifter om huruvida personer förekommer i register över DNA-profiler.

Bestämmelserna om sekretessgenombrott gäller även i förhållande till Säkerhetspolisen.

Statens kriminaltekniska laboratorium ska ha rätt att ta del av uppgifter i register över DNA-profiler samt fingeravtrycks- eller signalementsregister, om uppgifterna behövs i myndighetens verksamhet.

Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.

Utredningens förslag: Uppgifter som behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet och uppgifter ur det allmänna spaningsregistret ska få lämnas ut till övriga brottsbekämpande myndigheter, men endast om uppgiften kan antas ha särskild betydelse för en pågående undersökning i myndighetens brottsutredande verksamhet eller för andra brottsbekämpande åtgärder (se 3 och 4 §§ förslaget till förordning, SOU 2001:92, s. 209).

Remissinstanserna har inte haft någon invändning mot utredningens förslag.

Promemorians förslag överensstämmer i huvudsak med regeringens.

Promemorian föreslår inte att sekretessen för uppgifter i register över DNA-profiler ska brytas i förhållande till Tullverket och Kustbevakningen.

Remissinstanserna: De remissinstanser som yttrar sig ställer sig i princip bakom förslaget. Kammarrätten i Stockholm anser dock att det av lagtexten bör framgå att andra brottsbekämpande myndigheter bara får tillgång till uppgifter när de behöver detta för att bedriva den brottsbekämpande verksamhet som de är ålagda enligt lag eller annan författning.

Tullverket invänder mot förslaget att samla bestämmelserna om utlämnande av uppgifter i lagens andra kapitel. Verket tar också upp frågan om de sekretessbrytande bestämmelserna är uttömmande. Rikspolisstyrelsen anser att man i det fortsatta arbetet bör överväga om inte även vissa andra myndigheter, som deltar i samarbetet i regionala underrättelsecentrum, bör omfattas av sekretessgenombrott. Åklagarmyndigheten ifrågasätter

om man inte bör göra undantag också för sekretess i ärenden om besöksförbud.

Skälen för regeringens förslag

Sekretessgenombrott mellan de brottsbekämpande myndigheterna

För att öka möjligheterna till informationsutbyte med andra brottsbekämpande myndigheter (jfr avsnitt 12.1) och för att skapa förutsättningar för att polisen ska kunna medge direktåtkomst till uppgifter som gjorts gemensamt tillgängliga i dess brottsbekämpande verksamhet behövs det regler som bryter sekretess. Frågan är då hur dessa regler bör utformas.

Eftersom den sekretessbrytande bestämmelsen bl.a. ska möjliggöra direktåtkomst, måste sekretessprövningen göras innan direktåtkomsten beviljas. Sekretessprövningen kan därför inte vara alltför komplicerad. Den sekretessbrytande regeln måste således tillåta ett relativt brett sekretessgenombrott men i gengäld kommer den, som utvecklas närmare i det följande, att kompletteras med andra integritetsskyddande bestämmelser.

Enligt promemorian ligger det i sakens natur att en sekretessbrytande bestämmelse som ska möjliggöra direktåtkomst mellan brottsbekämpande myndigheter måste vara generellt utformad, eftersom det vid direktåtkomst saknas möjlighet att göra en sekretessprövning i varje enskilt fall. Prövningen måste i stället, som nämnts ovan, göras i förväg. Med hänsyn till intresset av ett gott skydd för den personliga integriteten anser promemorian att ett fullständigt sekretessgenombrott mellan de brottsbekämpande myndigheterna inte är acceptabelt. Även om sekretessen består gentemot allmänheten och effektivitetsaspekterna väger tungt, bör någon form av begränsning i den sekretessbrytande bestämmelsen göras. Uppgifter som omfattas av sekretess till skydd för enskild kan vara mycket integritetskänsliga. Därför är det viktigt att andra enheter inom polisen och andra brottsbekämpande myndigheter får tillgång till sådana uppgifter bara när de behöver det för att kunna bedriva den brottsbekämpande verksamhet som de är ålagda enligt lag eller annan författning. Enligt promemorian bör just detta behov utgöra det rekvisit som begränsar den sekretessbrytande bestämmelsen. Regeringen ställer sig bakom den bedömningen.

Då den föreslagna regeln har det uttryckliga syftet att tillåta frekvent utlämnande bör enligt regeringens mening behovsbedömningen kunna göras inom tämligen vida ramar. Bedömningen av vad mottagaren behöver får göras främst utifrån myndighetens brottsbekämpande uppgifter och med utgångspunkt i de behov som typiskt sett föreligger. Personuppgifter som en myndighet typiskt sett inte behöver bör alltså inte vara åtkomliga. Exempelvis får Skatteverkets brottsenheter typiskt sett anses ha behov av att få tillgång till uppgifter som rör ekonomisk brottslighet och andra brott som kan ha anknytning till sådan brottslighet (framför allt förmögenhetsbrott och vissa specialstraffrättsliga brott), medan dessa enheter mycket sällan torde ha behov av att ta del av uppgifter i t.ex. förundersökningar om brott mot person, brott mot allmänheten eller miljöbrott. När det gäller Tullverket kan myndigheten typiskt sett antas ha behov av bl.a. uppgifter om brott som rör varor som är förbjudna att föra

in eller ut ur landet, exempelvis narkotika, dopningsmedel och vissa typer av vapen. Detsamma gäller uppgifter om brott som rör ekonomisk brottslighet och andra brott med anknytning till sådana brott (jfr vad som sagts angående Skatteverkets behov). För Åklagarmyndighetens del kan en avgränsning inte bygga på brottstyper, eftersom åklagare har behov av uppgifter i alla typer av brottsutredningar. Där kan i stället t.ex. en begränsning avseende tillgången till vissa typer av uppgifter vara tänkbar. Man kan t.ex. göra skillnad mellan uppgifter om brottsutredningar och andra uppgifter. Ekobrottsmyndighetens behov får bedömas med utgångspunkt i myndighetens verksamhetsområde, som är betydligt smalare än Åklagarmyndighetens. Eftersom Ekobrottsmyndigheten sysselsätter både polismän och åklagare, måste å andra sidan beaktas myndighetens behov av tillgång till uppgifter som typiskt sett det särskilda samarbetet kräver. När Säkerhetspolisen för Rikspolisstyrelsens räkning leder och bedriver polisverksamhet har Säkerhetspolisen ställning som polismyndighet och har likartade behov som övriga polismyndigheter av att få del av uppgifter. Säkerhetspolisen har även andra åligganden, bl.a. att fullgöra de uppgifter som åvilar Rikspolisstyrelsen enligt säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633). Vilka personuppgifter som Säkerhetspolisen har behov av att kunna få del av för detta ändamål regleras i nämnda författningar med kompletterande föreskrifter. För att möjliggöra direktåtkomst bör således utgångspunkten för den sekretessbrytande regeln vara att den bör täcka de behov av information som andra brottsbekämpande myndigheter typiskt sett har.

Mot bakgrund av dessa överväganden bör den sekretessbrytande bestämmelsen utformas så att uppgifter i polisens brottsbekämpande verksamhet, trots viss närmare angiven sekretess, ska kunna lämnas till Rikspolisstyrelsen, polismyndighet, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen respektive Skatteverket under två förutsättningar. Den ena är att uppgifterna är gemensamt tillgängliga. Den andra är att den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Personuppgifter som inte är gemensamt tillgängliga omfattas således inte av bestämmelsen. Sådana uppgifter kan dock komma att lämnas ut efter en sekretessprövning i det enskilda fallet med stöd av andra bestämmelser.

Sekretessbrytande regler kan föreskrivas såväl i lag som förordning. Mot bakgrund av polisverksamhetens särskilda natur bör andra myndigheters tillgång till uppgifter som behandlas av polisen normalt regleras i lag. Sekretessbrytande bestämmelser bör därför tas in i den nya lagen.

Vilka sekretessbestämmelser ska den nya regleringen omfatta?

Frågan är då vilka slag av sekretess som ska kunna brytas. Eftersom bestämmelserna i 18 kap.1 och 2 §§offentlighets- och sekretesslagen till skydd för intresset att förebygga och förhindra brott är tillämpliga hos alla brottsbekämpande myndigheter bör det i de flesta fall inte innebära någon skada för polisens verksamhet att lämna ut uppgifterna. Utgångspunkten är således redan enligt gällande rätt att uppgifter som omfattas av sekretess enligt nämnda paragrafer normalt kan lämnas ut till en annan

brottsbekämpande myndighet. Detta förutsätter emellertid att det är möjligt att på förhand bedöma om en viss förundersökning eller motsvarande kan lämnas ut. En sådan bedömning bör kunna göras för olika brottstyper eller olika slags underrättelseprojekt.

På motsvarande sätt bör det redan enligt gällande bestämmelser vara möjligt att bedöma den risk som kan vara förknippad med att lämna ut uppgifter som är sekretessbelagda med stöd av någon annan bestämmelse i 18 kap. offentlighets- och sekretesslagen.

Något generellt behov av att bryta den sekretess som kan gälla enligt 18 kap. 1 och 2 §§ kan således inte anses föreligga. I de fall där utlämnandet av en uppgift till en annan brottsbekämpande myndighet skulle innebära att polisens egen verksamhet riskerar att skadas, bör direktåtkomst givetvis inte komma ifråga. Det sagda gäller även övriga bestämmelser i 18 kap. I sådana fall får, som nyss nämnts, i stället övervägas om uppgiften kan lämnas ut med stöd av någon annan sekretessbrytande bestämmelse, exempelvis 10 kap. 2 eller 27 § offentlighets- och sekretesslagen.

Eftersom de flesta pågående eller avslutade förundersökningar som inte har lett till åtal och flertalet uppgifter i underrättelseverksamhet kringgärdas av sekretess enligt bestämmelser i 35 kap. offentlighets- och sekretesslagen till skydd för enskild, krävs det sekretessprövning i varje enskilt fall där en sådan uppgift ska lämnas till en annan brottsbekämpande myndighet. Även om uppgifterna kan lämnas ut efter en sådan prövning innebär det att tid och kraft måste läggas på en prövning som normalt alltid ger samma resultat. En sekretessbrytande regel skulle därför underlätta informationsutbytet.

I tidigare utredningar har man pekat på verksamhetsbehovet av att kunna bryta sekretessen enligt 9 kap. 17 § sekretesslagen, eftersom det påtagligt skulle underlätta informationsutbytet mellan de brottsbekämpande myndigheterna. Den paragrafen har delats upp på flera paragrafer i offentlighets- och sekretesslagen, varav flertalet saknar betydelse i detta sammanhang. Den sekretessbestämmelse som nu är av intresse är 35 kap. 1 § offentlighets- och sekretesslagen, som reglerar sekretessen bl.a. i förundersökningar och andra liknande utredningar, i misstankeregistret och i flertalet andra register i den brottsbekämpande verksamheten. Sekretessen enligt 35 kap. 1 § är tillämplig hos alla brottsbekämpande myndigheter, vilket innebär att uppgifterna har samma skydd gentemot utomstående hos den mottagande myndigheten som hos den utlämnande myndigheten. En regel som bryter denna sekretess skulle förenkla informationslämnandet till andra brottsbekämpande myndigheter och bör därför införas. Med hänsyn till de vinster för brottsbekämpningen som detta skulle innebära kan enligt regeringens mening den ökade risken för integritetsintrång godtas.

I lagrådsremissen föreslogs att sekretessgenombrottet även skulle omfatta 35 kap. 2 § offentlighets- och sekretesslagen. Eftersom den bestämmelsen endast gäller i förhållande till den som anmälan eller utsagan avser finns det inte något skäl att bryta sekretessen enligt den paragrafen.

Promemorian går igenom vissa andra sekretessbestämmelser i 7 och 9 kap. sekretesslagen som kan aktualiseras vid informationsöverföring mellan de brottsbekämpande myndigheterna. Dessa bestämmelser finns

numera i huvudsak i 35 kap. offentlighets- och sekretesslagen. Promemorian överväger bl.a. behovet av genombrott för sekretess

– för kopplingen mellan fingerade och verkliga personuppgifter, – för säkerhetsarbetet för att skydda bl.a. hotade vittnen, – för uppgift som rör utlänning och verksamhet som rör kontroll över utlänningar,

– i ärenden om besöksförbud och – för uppgifter om enskilda i vissa framställningar i Schengensamarbetet.

Enligt promemorian finns det inte anledning att låta sekretessgenombrottet omfatta fler bestämmelser. Regeringen delar den uppfattningen. Sekretessgenombrottet bör därför inte omfatta någon av de andra paragraferna i 35 kap.

Av sekretessreglerna i 35 kap. offentlighets- och sekretesslagen bör alltså den sekretessbrytande regeln endast omfatta sekretess enligt 1 §. I den mån andra sekretessbestämmelser i kapitlet är tillämpliga får det, på samma sätt som nu, göras en bedömning i det enskilda fallet av huruvida sekretessen hindrar att uppgifterna lämnas ut till en annan brottsbekämpande myndighet.

Sekretessen i 21 kap. 3 § första stycket offentlighets- och sekretesslagen (tidigare 7 kap. 1 a § sekretesslagen) gäller för uppgift om enskilds bostadsadress, telefonnummer och andra jämförbara uppgifter som kan användas för att komma i kontakt med den enskilde, om det finns särskild anledning att anta att han eller hon, eller någon närstående, kan komma att utsättas för våld eller annat allvarligt men om uppgiften röjs. Denna sekretess har införts för att säkerställa skyddet för det som brukar kallas skyddade adresser hos alla myndigheter (se prop. 2005/06:161 s. 55 f.).

Sekretessen i paragrafens första stycke skyddar personer som anses ha stort behov av att uppgifter om deras uppehållsort inte röjs. Sekretess enligt denna paragraf är relativt vanlig i brottsutredningar. Ibland gäller sekretessen till skydd för brottsoffret och ibland till skydd för den misstänkte. Sekretess enligt 21 kap. 3 § första stycket offentlighets- och sekretesslagen gäller hos alla myndigheter. Det innebär att en uppgift som lämnas till en annan brottsbekämpande myndighet har samma skydd gentemot allmänheten hos den mottagande myndigheten. Dessutom är de brottsbekämpande myndigheterna vana vid att hantera denna sekretess. Mot den nu angivna bakgrunden bör uppgifter som omfattas av sekretess enligt 21 kap. 3 § första stycket kunna lämnas vidare utan hinder av sekretessen.

Den nu föreslagna regleringen innebär alltså att ett sekretessgenombrott ska tillåtas i vissa fall. Bestämmelsen om utlämnande måste emellertid ses tillsammans med hur regelsystemet i övrigt har byggts upp. För det första får utlämnande bara avse uppgifter som har gjorts gemensamt tillgängliga. Detta innebär i sig en begränsning, eftersom en del av de uppgifter som polisen behandlar aldrig kommer att göras gemensamt tillgängliga. För behandlingen av gemensamt tillgängliga uppgifter ska (som framgår av bl.a. avsnitt 9 och 11) gälla särskilda begränsningar, vilket bl.a. innebär att enligt huvudregeln bara vissa typer av uppgifter ska vara åtkomliga vid sökning. Vidare ska det framgå för vilket ändamål uppgiften behandlas. Upplysningar som rör misstänkt brottslig verk-

samhet ska förses med upplysning om källans tillförlitlighet och uppgifternas riktighet i sak. Om direktåtkomst beviljas, kommer dessutom tillgången till olika typer av uppgifter att begränsas genom behörighetsregler. När en uppgift blir åtkomlig för en tjänsteman vid en annan myndighet kommer den myndighetens registerförfattningar – som i likhet med polisens innehåller regler som syftar till att minska risken för integritetsintrång – att bli tillämpliga. Den sekretessbrytande regeln måste också ses tillsammans med bestämmelserna om att tillgången på personuppgifter ska begränsas till vad den enskilde tjänstemannen behöver för att fullgöra sina arbetsuppgifter. Alla regler om sekretess som kan vara tillämpliga i polisens verksamhet kommer inte heller att genombrytas. Sammantaget innebär förslaget att den sekretessbrytande regeln skapar förutsättningar för bättre informationsutbyte i brottsbekämpningen, samtidigt som risken för integritetsintrång beaktas.

Åklagarmyndigheten ifrågasätter om inte även sekretessen i ärenden om besöksförbud (35 kap. 5 § offentlighets- och sekretesslagen) bör omfattas av sekretessgenombrottet. I promemorian avvisas detta under hänvisning till att uppgifter i sådana ärenden sällan är av generellt intresse för andra brottsbekämpande myndigheter. Utredningar om besöksförbud tar framför allt sikte på brott mot personers liv, hälsa, frihet eller frid.

Brotten riktar sig oftast mot nära anhöriga eller personer med vilka gärningsmannen har eller tidigare har haft någon form av relation. Polis och åklagare är de enda som utreder brott av detta slag. De uppgifter som förekommer i sådana ärenden rör ofta känsliga frågor i personernas privatliv och har som regel inte samma allmänna intresse som uppgifter om andra typer av brott. Mot den bakgrunden finns det enligt regeringens mening inte skäl att utvidga sekretessgenombrottet utöver vad som föreslås i promemorian.

Tullverket tar upp frågan hur den i promemorian föreslagna generella sekretessbrytande regeln förhåller sig till generalklausulen i 14 kap. 3 § sekretesslagen (numera 10 kap. 27 § offentlighets- och sekretesslagen).

Bestämmelserna om sekretessgenombrott i den nya lagen reglerar inte uttömmande möjligheterna att lämna ut uppgifter mellan brottsbekämpande myndigheter. De syftar enbart till att underlätta frekvent uppgiftslämnande mellan dessa genom att inte ställa krav på sekretessprövning i det enskilda fallet för sådan sekretess och under de förutsättningar som anges i bestämmelserna. Det bör genom en hänvisning i lagen framgå att det finns bestämmelser om utlämnande även i offentlighets- och sekretesslagen.

Sammanfattningsvis bör således personuppgifter som har gjorts gemensamt tillgängliga kunna lämnas till en annan brottsbekämpande myndighet utan hinder av sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen, om den mottagande myndigheten har behov av uppgiften i sin brottsbekämpande verksamhet. I den mån andra sekretessbestämmelser är tillämpliga får det, på samma sätt som nu, göras en bedömning i det enskilda fallet av huruvida sekretessen hindrar att uppgifterna lämnas ut till en annan brottsbekämpande myndighet.

Särskilt om vissa register

DNA-register, fingeravtrycks- och signalementsregister särregleras i polisdatalagen. I avsnitt 15 redovisas skälen för en fortsatt särreglering av sådana register. Där utvecklas att utgångspunkten bör vara att registren och deras användning i allt väsentligt regleras på samma sätt som nu. Vissa myndigheter har redan direktåtkomst till uppgifter i registren. Det aktualiserar frågan om man bör införa regler om sekretessgenombrott för uppgifter i register av detta slag. En regel om sekretessgenombrott underlättar för den registeransvariga myndigheten när den ska ta ställning till om en annan brottsbekämpande myndighet kan medges direktåtkomst till registren. Detta talar för att man bör införa regler om sekretessgenombrott även för uppgifter i dessa register.

Det finns för närvarande inte någon möjlighet att bevilja direktåtkomst till penningtvättsregister. Detsamma gäller motsvarigheten till det internationella registret. Någon möjlighet att bevilja direktåtkomst föreslås inte heller i den nya lagen, bl.a. av det skälet att registren innehåller känsliga uppgifter. Det finns därför inte något skäl att införa bestämmelser om sekretessgenombrott för uppgifter i dessa register. Uppgifter kan dock lämnas ut efter sedvanlig sekretessprövning.

Uppgiftsskyldighet till statistikmyndighet

I 6 § polisdatalagen föreskrivs att uppgifter som är nödvändiga för att framställa rättstatistiken ska lämnas till den myndighet som ansvarar för att framställa sådan statistik. Enligt förordningen (2001:100) om den officiella statistiken är det Brottsförebyggande rådet som är statistikansvarig myndighet. En bestämmelse om att uppgifter ska lämnas ut för statistikändamål bör finnas även i den nya lagen. Det kan anmärkas att enligt 24 kap. 8 § första stycket offentlighets- och sekretesslagen gäller absolut sekretess för personuppgifter i verksamheten hos myndighet som framställer statistik.

Den lagtekniska utformningen Kammarrätten i Stockholm anser att det bör framgå av lagtexten att uppgifterna behövs i sådan brottsbekämpande verksamhet som myndigheten är ålagd enligt lag eller annan författning. Polisen och Åklagarmyndigheten har till uppgift att bekämpa alla typer av brott. Både Tullverket och

Kustbevakningen har visserligen ett begränsat mandat att bedriva brottsbekämpning, men gränserna för detta är inte helt tydliga. Detsamma gäller Ekobrottsmyndigheten. Däremot har Skatteverket i lag tydligt avgränsade brottsbekämpande uppgifter. Mot den bakgrunden skulle den av kammarrätten föreslagna formuleringen inte fylla någon funktion för att begränsa tillämpningsområdet men skulle däremot kunna skapa osäkerhet angående tillämpningen. Det får vidare anses ligga i sakens natur att den verksamhet som respektive myndighet bedriver utförs i enlighet med det regelverk som gäller.

Tullverket kritiserar att de sekretessbrytande bestämmelserna har samlats i lagens andra kapitel. Verket förordar att regeln om sekretessge-

nombrott för gemensamt tillgängliga uppgifter placeras i tredje kapitlet och reglerna om sekretessgenombrott för uppgifter i register över DNAprofiler och fingeravtrycks- eller signalementsregister i fjärde kapitlet, eftersom det skulle underlätta för tillämparen. Det finns enligt regeringens mening både för- och nackdelar med den lösning som har föreslagits i promemorian. Vissa av de föreslagna sekretessbrytande reglerna är tillämpliga på all personuppgiftsbehandling i polisens brottsbekämpande verksamhet och har därmed sin naturliga plats i andra kapitlet, medan några av reglerna har ett smalare tillämpningsområde. Ett viktigt skäl till att hålla samman de sekretessbrytande reglerna är att kunna ge tillämparen en samlad bild av vilka bestämmelser som bryter sekretess. En uppdelning av de sekretessbrytande bestämmelserna mellan olika kapitel förutsätter att vissa bestämmelser upprepas på flera ställen och att hänvisningar görs mellan paragraferna. Att placera bestämmelserna om sekretessgenombrott i register över DNA-profiler och fingeravtrycks- eller signalementsregister tillsammans med reglerna om dessa register kan ge intrycket av att det är en uttömmande reglering. Så är emellertid inte fallet, eftersom regeln om utlämnande av uppgifter till utländsk myndighet är generell och även omfattar uppgifter ur register över DNA-profiler och fingeravtrycks- eller signalementsregister i enlighet med våra internationella åtaganden. Fördelarna med en samlad reglering av de sekretessbrytande bestämmelserna väger därför över.

Det bör tydliggöras i lagen att regeringen på samma sätt som nu har möjlighet att meddela föreskrifter om att uppgifter får lämnas ut även i andra fall än de som har redovisats ovan.

13.3. Uppgiftslämnande till utlandet

Regeringens förslag: Om det är förenligt med svenska intressen får personuppgifter lämnas till

1. Interpol eller Europol, eller till en polis- eller åklagarmyndighet i en stat som är ansluten till Interpol, om det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott, eller

2. en utländsk underrättelse- eller säkerhetstjänst. Personuppgifter får vidare lämnas till en utländsk myndighet eller mellanfolklig organisation, om det följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

Utredningens förslag överensstämmer i sak med promemorians. Remissinstanserna har antingen ställt sig bakom eller inte kommenterat förslaget.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna kommenterar i allmänhet inte förslaget. Kustbevakningen är positiv till förslaget. Statens kriminaltekniska laboratorium understryker att lagstiftningen måste leva upp till de krav som Prümsamarbetet ställer.

Skälen för regeringens förslag

Nuvarande möjligheter att lämna ut uppgifter

En utgångspunkt i offentlighets- och sekretesslagen är att en uppgift som omfattas av sekretess inte får röjas för en utländsk myndighet. Enligt 8 kap. 3 § offentlighets- och sekretesslagen får en sekretesskyddad uppgift röjas för en utländsk myndighet eller en mellanfolklig organisation i två situationer. Den ena är när utlämnandet sker enligt särskild föreskrift i lag eller förordning. Den andra är när uppgiften i motsvarande fall skulle få lämnas till en svensk myndighet och det enligt den utlämnande myndigheten står klart att det är förenligt med svenska intressen att uppgiften lämnas.

I 10 kap. 2 § offentlighets- och sekretesslagen föreskrivs att sekretess inte hindrar att en uppgift lämnas ut om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin egen verksamhet. Enligt förarbetena är denna sekretessbrytande bestämmelse avsedd att tillämpas restriktivt. Inom vissa myndighetsområden, som exempelvis polisens brottsbekämpande verksamhet, är det i ganska stor utsträckning nödvändigt att lämna ut sekretessbelagda uppgifter med stöd av den bestämmelsen. Ett typiskt exempel i det internationella samarbetet är att en svensk myndighet i samband med begäran om rättslig hjälp i en förundersökning lämnar uppgifter som omfattas av sekretess enligt 18 kap. 1 eller 2 § och 35 kap. 1 §offentlighets- och sekretesslagen till en utländsk åklagar- eller polismyndighet i syfte att få ett visst förhör genomfört. Om det är nödvändigt för en myndighet att lämna ut sekretessbelagda uppgifter för att myndigheten ska kunna fullgöra sin egen verksamhet står det i regel klart att det är förenligt med svenska intressen att lämna uppgifterna. I det följande diskuteras inte sådant internationellt samarbete som sker i svenskt intresse, utan uteslutande samarbete i syfte att bistå andra länder i deras brottsbekämpande verksamhet.

Enligt 18 kap. 18 § offentlighets- och sekretesslagen får, utan hinder av bestämmelsen i 17 § samma lag om sekretess till skydd för rättsligt samarbete på begäran av annan stat eller mellanfolklig organisation, uppgifter lämnas ut om detta har stöd i en bestämmelse i polisdatalagen eller i lagen om Schengens informationssystem.

Enligt 7 § polisdatalagen (1998:622) får uppgifter lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. Regeringen får meddela föreskrifter om visst sådant uppgiftslämnande. I 18 § polisdataförordningen (1999:81) föreskrivs att uppgifter som behandlas enligt polisdatalagen får lämnas ut i två olika situationer, om det är förenligt med svenska intressen. Den ena är utlämnande till utländsk underrättelse- eller säkerhetstjänst. Den andra är utlämnande till en utländsk polis- eller åklagarmyndighet i en stat som är ansluten till Interpol, om det behövs för att myndigheten eller organisationen ska kunna förebygga, upptäcka, utreda eller beivra brott. Bestämmelserna är sekretessbrytande. Reglerna i 7 § polisdatalagen och 18 § polisdataförordningen dispenserar emellertid inte från bestämmelserna i personuppgiftslagen om överföring av personuppgifter till tredjeland. Vid utlämnande av personuppgifter till utlandet måste polisen där-

för också göra en bedömning av om reglerna i personuppgiftslagen hindrar utlämnande.

Utgångspunkterna för den nya regleringen

Det är framför allt i tre olika situationer som informationsutbyte aktualiseras i internationellt polisiärt samarbete. Den första är där Sverige i en bindande internationell överenskommelse har förbundit sig att tillhandahålla information av visst slag utan särskild anmodan, genom direktåtkomst eller på annat sätt. Den andra är där Sverige i en sådan överenskommelse har åtagit sig att genomföra en viss åtgärd eller att lämna viss information på begäran av en annan stat eller mellanfolklig organisation. Den tredje situationen är s.k. spontant uppgiftsutlämnande, där initiativet till informationsutbytet tas av den svenska polisen. Sådant informationsutbyte kan bygga på en internationell överenskommelse, men behöver inte göra det.

Promemorian har som utgångspunkt att uppgifter ska kunna lämnas till en utländsk myndighet eller mellanfolklig organisation i samma utsträckning som enligt gällande reglering. Enligt promemorian förutsätter ett väl fungerande samarbete över gränserna att den svenska polisen inte bara bistår polismyndigheter i andra länder med svar på konkreta förfrågningar eller med rättslig hjälp i enskilda ärenden utan även att svensk polis kan lämna uppgifter spontant i de fall där utbytet främst gagnar utländska intressen. Som framhålls i promemorian är möjligheten att bryta sekretess med stöd av 8 kap. 3 § offentlighets- och sekretesslagen inte tillräcklig för att Sverige ska kunna fullgöra sina internationella åtagandena utan det behövs särskilda sekretessbrytande bestämmelser.

Eftersom ett av syftena med den nya lagen är att åstadkomma en tydligare reglering av förutsättningarna för uppgiftslämnandet mellan svenska brottsbekämpande myndigheter är det, som framhålls i promemorian, naturligt att också uppgiftslämnande till utländska brottsbekämpande myndigheter och organisationer i huvudsak regleras i lagen. Lagen bör därför innehålla de grundläggande reglerna om uppgiftslämnande, medan kompletterande regler liksom nu kan finnas i förordning.

Bindande åtaganden om att lämna uppgifter

Den nya lagens bestämmelse om utlämnande av uppgifter till utländska myndigheter och mellanfolkliga organisationer bör omfatta folkrättsligt bindande åtaganden om att lämna viss information till en annan stat eller till en mellanfolklig organisation. I promemorian diskuteras huruvida denna bestämmelse ska möjliggöra utlämnande av uppgifter oberoende av vem som har ingått de internationella överenskommelserna, mot bakgrund av att Rikspolisstyrelsen, efter bemyndigande från regeringen, har ingått bilaterala avtal om polisiärt samarbete med vissa stater. Regeln om uppgiftslämnande till en utländsk myndighet eller mellanfolklig organisation bör i likhet med gällande lagstiftning och i enlighet med vad som föreslås i promemorian endast omfatta internationella åtaganden som har godkänts av riksdagen.

Informationsutbyte med polis- och åklagarmyndigheter m.m. på begäran Prop. 2009/10:85

Det förhållandet att uppgiftslämnande till utländska polis- och åklagarmyndigheter sker frekvent talar enligt promemorian för att man bör reglera detta direkt i lagen, i stället för att som nu ha ett bemyndigande för regeringen att meddela föreskrifter om utlämnande. Regeringen delar bedömningen att den sekretessbrytande regeln för informationsutbyte på begäran av utländska polis- och åklagarmyndigheter bör finnas i lag. Förutsättningen för att lämna uppgifter till utländska brottsbekämpande myndigheter eller organisationer bör vara att uppgifterna behövs för att förebygga, förhindra, upptäcka, utreda eller beivra brott. Dessutom ska utlämnandet vara förenligt med svenska intressen.

Sverige har förbundit sig att på begäran lämna vissa uppgifter till andra stater som är anslutna till Europol. Det följer således redan av den föreslagna regeln om folkrättsligt bindande åtaganden att information kan lämnas på begäran av en sådan stat, men en tydlig reglering av vilken det framgår att uppgifter alltid får lämnas till stater som tillhör Europol, om förutsättningarna i övrigt är uppfyllda, underlättar för tillämparen. Regleringen bör också omfatta uppgiftslämnandet till själva organisationen.

Sverige har även förbundit sig att inom ramen för Interpol lämna andra stater bistånd med information, men dessa åtaganden är inte lika långtgående som när det gäller åtagandena i förhållande till stater som är medlemmar i Europol. Likaså har Sverige förbundit sig att lämna viss information till Interpol i dess egenskap av samarbetsorganisation. Den nya lagen bör därför ge utrymme för att uppgifter kan lämnas både till en annan stat som är medlem i Interpol och till organisationen som sådan.

Bestämmelsen bör utformas så att det direkt framgår att personuppgifter får lämnas till polis- och åklagarmyndigheter i stater som är anslutna till Interpol. Därmed täcks även motsvarande uppgiftslämnande till stater som ingår i Europol, eftersom staterna inom EU är medlemmar i båda. Vidare bör utlämnande få ske till båda organisationerna.

Frågor om Prümsamarbetet behandlas närmare i avsnitt 15.

Spontant uppgiftslämnande

Ett flertal konventioner och andra internationella överenskommelser som rör brottsbekämpning och som Sverige har undertecknat, innehåller bestämmelser om spontant uppgiftslämnande. I den mån sådana bestämmelser hänvisar till nationell rätt betraktas de inte som obligatoriska förpliktelser. I promemorian lämnas ett flertal exempel på sådana åtaganden (Ds 2007:43 s. 250). Det finns emellertid även överenskommelser som ålägger svenska myndigheter en uttrycklig skyldighet att, utan föregående begäran, informera en annan stat om uppgifter som den kan ha nytta av i sin brottsbekämpning. I de fallen förutsätts den svenska myndigheten, om den har tillgång till information som bedöms ha betydelse för den andra statens brottsbekämpning, självmant kontakta sin motsvarighet i en annan stat. Prümrådsbeslutet innehåller sådana bestämmelser.

Den nya lagen måste ge utrymme för att den svenska polisen spontant lämnar ut information till en annan stats brottsbekämpande myndighet, om informationen är värdefull för den statens brottsbekämpning. Som exempel kan nämnas information om nya tillvägagångssätt vid allvarlig

gränsöverskridande brottslighet eller upplysningar om konkreta brott. Om uppgifter lämnas spontant kan informationen som regel förses med villkor att den mottagande staten bara får använda den på visst sätt eller för visst ändamål. Ett sådant villkor, som är bindande för mottagaren, kan underlätta informationsutbytet i enskilda fall. Ett villkor angående användningen kan bl.a. skydda mot att uppgifterna sprids vidare och utgör därför ett integritetsskydd för den enskilde.

Uppgifter bör alltså även i fortsättningen kunna lämnas till en utländsk polis- eller åklagarmyndighet, eller till Interpol eller Europol, utan föregående begäran. Det enda krav som bör ställas i den nya lagen, utöver att uppgifterna ska behövas i mottagarens brottsbekämpning, är att uppgiftslämnandet ska vara förenligt med svenska intressen.

Utlämnande till utländsk underrättelse- eller säkerhetstjänst

Internationellt informations- och erfarenhetsutbyte utgör en viktig del av Säkerhetspolisens verksamhet. Den brottslighet som Säkerhetspolisen har till uppgift att förebygga och avslöja är nämligen i många fall gränsöverskridande till sin natur. Terrorism bedrivs t.ex. ofta av terrornätverk med omfattande internationella förgreningar. Spioneri och andra brott mot rikets säkerhet har av naturliga skäl normalt utländska kopplingar. Eftersom utbyte av underrättelseinformation är en viktig förutsättning för Säkerhetspolisens arbete, bör uppgifter i samma utsträckning som nu kunna lämnas till en utländsk underrättelse- eller säkerhetstjänst, om det är förenligt med svenska intressen. Bestämmelsen om detta bör tas in i den nya lagen i stället för i förordning, eftersom det är fråga om frekvent uppgiftslämnande. Någon annan begränsning än att utlämnandet ska vara förenligt med svenska intressen bör inte uppställas för dessa fall.

Utlämnande i andra fall

Uppgifter kan även lämnas till en utländsk myndighet eller mellanfolklig organisation efter en sekretessprövning enligt 8 kap. 3 § offentlighets- och sekretesslagen. Det kan t.ex. vara fråga om uppgiftslämnande till någon annan mottagare än de som anges i lagen eller utlämnande för något annat ändamål.

Det bör tydliggöras i lagen att regeringen har möjlighet att meddela sekretessbrytande föreskrifter om utlämnande av uppgifter för andra ändamål eller till andra utländska mottagare än de som angetts i det föregående.

Överföring av uppgifter till tredjeland

Vid utlämnande av personuppgifter till utlandet måste polisen också göra en bedömning av om reglerna i personuppgiftslagen hindrar utlämnande. Enligt 33 § personuppgiftslagen (1998:204) är det förbjudet att föra över personuppgifter till tredjeland, dvs. ett land utanför Europeiska unionen och EES-området, om landet inte har en adekvat nivå för skydd av personuppgifter. Trots förbudet i 33 § är det enligt 34 § tillåtet att under vissa förutsättningar föra över uppgifter till tredjeland, bl.a. om den regi-

strerade ger sitt samtycke till överföringen. I avsnitt 6.4.2 föreslås att reglerna i personuppgiftslagen om överföring av uppgifter till tredjeland även fortsättningsvis ska tillämpas på polisens personuppgiftsbehandling i den brottsbekämpande verksamheten.

De stater som tillhör Europol har samtliga tillträtt dataskyddskonventionen, vilket innebär att reglerna i 33 § personuppgiftslagen inte hindrar överföring av personuppgifter (34 § andra stycket personuppgiftslagen). Motsvarande gäller organisationen Europol.

När det gäller stater som enbart är anslutna till Interpol har vissa av dessa också tillträtt dataskyddskonventionen och har således en dataskyddsnivå som medger överföring av personuppgifter utan någon särskild bedömning. Även många andra stater har i och för sig en tillräcklig dataskyddsnivå, men det kräver en bedömning i det enskilda fallet. Interpol som organisation anses också uppfylla kraven på tillräcklig dataskyddsnivå.

Uppgiftslämnande till en polis- eller åklagarmyndighet i en annan stat som enbart är medlem i Interpol förutsätter alltså en noggrannare bedömning, eftersom den utlämnande myndigheten då – utöver att bedöma om det ligger i svenskt intresse att lämna uppgiften – alltid måste avgöra om den andra staten har en tillräcklig dataskyddsnivå för att överföring av personuppgifter ska vara tillåten enligt personuppgiftslagen.

14. Bevarande och gallring

Hänvisningar till S14

  • Prop. 2009/10:85: Avsnitt 9.1

14.1. Allmänt om bevarande och gallring

Regeringens förslag: Personuppgifter får inte bevaras under längre tid än vad som behövs för något eller några av de i lagen angivna ändamålen. Denna generella bestämmelse om längsta tid för bevarande ska kompletteras med bestämmelser som anger tidpunkter för när uppgifter senast måste gallras eller inte längre får behandlas i den brottsbekämpande verksamheten.

Regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela föreskrifter om att uppgifter – trots bestämmelser om gallring – får bevaras för historiska, statistiska eller vetenskapliga ändamål. Vidare kan regeringen, för vissa kategorier av uppgifter, meddela föreskrifter om att uppgifter får bevaras under längre tid än vad som anges i lagen.

Regeringens bedömning: Personuppgifter som inte längre får behandlas för brottsbekämpande ändamål och som bevaras automatiserat för arkivändamål bör avskiljas.

Utredningens förslag överensstämmer delvis med promemorians. I de fall där inga särskilda gallringsregler gäller ska enligt utredningen gallring ske om personuppgifterna inte längre behövs för ändamålet med behandlingen. Personuppgifter får dock bevaras längre för historiska, statistiska och vetenskapliga ändamål. Bestämmelserna om gallring föreslås inte vara tillämpliga på uppgifter i förundersökningar.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt utredningens förslag eller inte haft någon invändning mot det.

Promemorians förslag överensstämmer i huvudsak med regeringens förslag och bedömning. Promemorian har dock inte föreslagit någon uttrycklig bestämmelse om att uppgifter aldrig får bevaras längre än vad som behövs för något eller några av lagens ändamål.

Remissinstanserna: Flertalet av remissinstanserna ställer sig bakom promemorians förslag eller har inget att invända mot det. Majoriteten av remissinstanserna yttrar sig dock inte särskilt angående bevarande och gallring. Några remissinstanser, däribland Åklagarmyndigheten, Ekobrottsmyndigheten och Rikspolisstyrelsen, anser att bestämmelserna är komplicerade och svårtillgängliga och efterlyser förenklingar. Enligt

Rikspolisstyrelsen kommer det att vara både praktiskt och tekniskt svårt att tillämpa den föreslagna mängden gallringsregler. Styrelsen anser vidare att gallringsbestämmelserna i vissa fall är för snävt tilltagna. Styrelsen framhåller samtidigt att polisen har ett eget intresse av att gallra sådan information som inte längre behövs, eftersom överskott av information ger svårigheter att hitta ”rätt” information och är belastande för informations- och analysarbetet.

Rikspolisstyrelsen framhåller att styrelsen gör bedömningen att utgallrade uppgifter torde kunna föras över till ett digitalt arkiv och där behandlas för de ändamål som anges i arkivlagen (1990:782) samt gallras enligt bestämmelserna där. Styrelsen, liksom Datainspektionen och Kustbevakningen, anser att frågan om förutsättningarna för digital arkivering av uppgifter och vad som ska gälla för behandlingen av sådana uppgifter bör klargöras i den fortsatta beredningen.

Datainspektionen anser att den föreslagna regleringen av bevarande och gallring inte uppfyller kraven i artikel 5 e i dataskyddskonventionen.

Enligt inspektionens bedömning krävs enligt konventionen antingen ett generellt lagstadgande av innebörd att uppgifter ska gallras när de inte längre behövs för det ändamål för vilket de samlades in eller att en behovsprövning görs på förhand genom meddelande av mer preciserade gallringsbestämmelser. Datainspektionen anser inte att de föreslagna gallringsbestämmelserna eller bestämmelserna om längsta tid för bevarande i den brottsbekämpande verksamheten är tillräckligt preciserade. Bestämmelserna medför enligt Datainspektionen att samma fasta tider ska tillämpas beträffande situationer i vilka polisen måste anses ha vitt skilda behov av att bevara uppgift