Prop. 2011/12:37

Viss tillsyn över personuppgiftsbehandling

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 24 november 2011

Fredrik Reinfeldt

Beatrice Ask

(Justitiedepartementet)

Propositionens huvudsakliga innehåll

I propositionen föreslås ett förtydligande av en beslutad ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet, när det gäller Säkerhets- och integritetsskyddsnämndens tillsyn över Säkerhetspolisens personuppgiftsbehandling.

1. Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till lag om ändring i lagen (2010:367) om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet.

2. Lagtext

Regeringen har följande förslag till lagtext.

Förslag till lag om ändring i lagen (2010:367) om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet

Härigenom föreskrivs att 1 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet i stället för dess lydelse enligt lagen (2010:367) om ändring i nämnda lag ska ha följande lydelse.

Lydelse enligt SFS 2010:367 Föreslagen lydelse

1 §

Säkerhets- och integritetsskyddsnämnden (nämnden) ska utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet.

Nämnden ska även utöva tillsyn över polisens behandling av personuppgifter enligt polisdatalagen (2010:361) och lagen (2010:362) om polisens allmänna spaningsregister. Tillsynen ska särskilt avse sådan behandling som avses i 2 kap. 10 § polisdatalagen och 12 § lagen om polisens allmänna spaningsregister.

Nämnden ska även utöva tillsyn över polisens behandling av personuppgifter enligt polisdatalagen (2010:361), och när det gäller

Säkerhetspolisen också enligt polisdatalagen (1998:622), samt lagen (2010:362) om polisens allmänna spaningsregister. Tillsynen ska särskilt avse sådan behandling som avses i 2 kap. 10 § polisdatalagen (2010:361) och 5 § polisda-talagen (1998:622) samt 12 § lagen om polisens allmänna spaningsregister.

Tillsynen ska särskilt syfta till att säkerställa att verksamhet enligt första och andra styckena bedrivs i enlighet med lag eller annan författning.

3. Ärendet och dess beredning

Lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet (tillsynslagen) innehåller bestämmelser om Säkerhets- och integritetsskyddsnämndens tillsyn. Tillsynen omfattar bl.a. Säkerhetspolisens personuppgiftsbehandling enligt polisdatalagen (1998:622).

I samband med reformeringen av lagstiftningen om personuppgiftsbehandling i polisens verksamhet föreslog regeringen i propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85) en utvidgning av Säkerhets- och integritetsskyddsnämndens tillsyn över polisens behandling av personuppgifter (a. prop. s. 272). Förslaget innebär att nämnden, utöver att utöva tillsyn över Säkerhetspolisens personuppgiftsbehandling, också får i uppgift att utöva tillsyn över behandlingen av personuppgifter i den öppna polisens brottsbekämpande verksamhet. Den 29 april 2010 beslutade riksdagen, i enlighet med förslagen i propositionen, om ändringar i 1 § tillsynslagen (bet. 2009/10:JuU19, rskr. 2009/10:255). Ändringarna träder i kraft den 1 mars 2012 (SFS 2010:367).

Säkerhets- och integritetsskyddsnämnden har vid kontakter med Regeringskansliet framfört att ändringen i tillsynslagen, som består i att hänvisningen till 1998 års polisdatalag ersätts med en hänvisning till den nya polisdatalagen, måste uppfattas på det sättet att nämnden inte med stöd av den nya polisdatalagen kan utöva tillsyn över Säkerhetspolisens personuppgiftsbehandling avseende viss behandling som skett enligt 1998 års polisdatalag. Som framgår av prop. 2009/10:85 s. 274 har någon inskränkning av nämndens tillsynsuppdrag inte varit avsedd.

Inom Regeringskansliet (Justitiedepartementet) har promemorian Viss tillsyn över personuppgiftsbehandling utarbetats för att tydliggöra Säkerhets- och integritetsskyddsnämndens uppdrag i nu berört hänseende. Promemorian har remissbehandlats. Promemorians lagförslag finns i bilaga 1. En förteckning över remissinstanserna finns i bilaga 2. Promemorian och en sammanställning över remissyttrandena finns tillgängliga i Justitiedepartementet (Ju2011/7758/L4).

Lagrådet

Regeringen bedömer att den föreslagna ändringen, som endast utgör ett förtydligande, är av så enkel beskaffenhet att Lagrådets hörande skulle sakna betydelse.

4. Säkerhets- och integritetsskyddsnämndens tillsyn

Enligt 1 § tillsynslagen ska Säkerhets- och integritetsskyddsnämnden utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet. Nämnden ska även utöva tillsyn över Säkerhetspolisens behandling av personuppgifter enligt polisdatalagen (1998:622).

Begreppet behandling av personuppgifter definieras i 3 § personuppgiftslagen (1998:204). Med behandling av personuppgifter avses bl.a. följande åtgärder: insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Tillsynen över personuppgiftsbehandlingen ska särskilt avse behandling enligt 5 § polisdatalagen. Sistnämnda bestämmelse reglerar polisens behandling av s.k. känsliga personuppgifter, dvs. uppgifter om bl.a. etniskt ursprung, politiska åsikter eller religiös övertygelse (jfr 13 § personuppgiftslagen). Nämndens tillsyn ska särskilt syfta till att säkerställa att verksamheten bedrivs författningsenligt.

Nämnden utövar enligt 2 § tillsynslagen sin tillsyn genom inspektioner och andra undersökningar.

Nämnden är också enligt 3 § tillsynslagen skyldig att på begäran av en enskild kontrollera om han eller hon har varit föremål för sådan personuppgiftsbehandling som avses i 1 § i lagen och om behandlingen har varit författningsenlig. Nämnden ska underrätta den enskilde om att kontrollen har utförts. Nämndens skyldighet att utföra kontroller enligt 3 § är således knuten till nämndens tillsynsområde så som det anges i 1 § tillsynslagen. Enligt en övergångsbestämmelse som meddelades när tillsynslagen infördes är nämnden enligt 3 § skyldig att på en enskilds begäran även kontrollera förhållanden före lagens ikraftträdande.

Vid reformeringen av lagstiftningen om polisens personuppgiftsbehandling gjordes en ändring i 1 § tillsynslagen. Förslagen i propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85) innebär, i den del som nu är av intresse, att en ny polisdatalag ska ersätta den nuvarande polisdatalagen. Som en del i reformen utökas den fristående tillsynen över polisens personuppgiftsbehandling. Säkerhets- och integritetsskyddsnämnden ska i fortsättningen bedriva tillsyn inte bara över Säkerhetspolisens personuppgiftsbehandling enligt polisdatalagen utan även över motsvarande personuppgiftsbehandling hos den öppna polisen. Detta åstadkoms genom att nämndens tillsynsområde enligt 1 § tillsynslagen utvidgas. Samtidigt ersätts hänvisningen till 1998 års polisdatalag med en hänvisning till den nya polisdatalagen. Ändringarna träder i kraft den 1 mars 2012.

5. Förtydligande av tillsynsuppgiften

Regeringens förslag: Det tydliggörs att Säkerhets- och integritetsskyddsnämndens tillsyn över Säkerhetspolisens personuppgiftsbehandling ska avse såväl den nya polisdatalagen som 1998 års polisdatalag. Ändringen ska träda i kraft samtidigt som den nya polisdatalagen, den 1 mars 2012.

Regeringens bedömning: Förslaget har inga ekonomiska konsekvenser.

Promemorians förslag och bedömning överensstämmer i allt väsentligt med regeringens förslag och bedömning.

Remissinstanserna har inte haft något att invända mot förslaget. Datainspektionen anser att det är ett viktigt klargörande och tillstyrker förslaget. Säkerhets- och integritetsskyddsnämnden har framfört att det av lagtexten tydligt bör framgå att nämndens tillsyn över Säkerhetspolisens personuppgiftsbehandling omfattar behandling enligt 1998 års polisdatalag och den nya polisdatalagen, men inte behandling enligt motsvarande äldre lagstiftning.

Skälen för regeringens förslag och bedömning: Enligt den nuvarande regleringen utövar Säkerhets- och integritetsskyddsnämnden tillsyn enbart över Säkerhetspolisens personuppgiftsbehandling. Detta ändras emellertid när den nya polisdatalagen träder i kraft. Av förarbetena till den nya polisdatalagen framgår att syftet med de beslutade ändringarna i 1 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet (tillsynslagen) är att nämndens tillsyn över Säkerhetspolisens personuppgiftsbehandling ska fortgå oförändrad, medan nämnden tillförs en ny uppgift när det gäller tillsyn över den öppna polisens personuppgiftsbehandling (prop. 2009/10:85 s. 274). Säkerhets- och integritetsskyddsnämnden har vid kontakter med Regeringskansliet gett uttryck för att 1 § i den beslutade lydelsen inte tydligt speglar denna ståndpunkt. Den omständigheten att det i 1 § tillsynslagen från och med ikraftträdandet av den nya polisdatalagen hänvisas enbart till den lagen kan enligt myndigheten uppfattas som en inskränkning av nämndens tillsynsuppdrag.

Regeringen gör följande överväganden. Den personuppgiftsbehandling enligt 1998 års polisdatalag som pågår hos Säkerhetspolisen vid den nya polisdatalagens ikraftträdande övergår då i personuppgiftsbehandling enligt den nya lagen. Detta gäller bl.a. registrering, organisering, lagring, bearbetning, ändring, återvinning, användning, utlämnande, spridning, sammanställning, utplåning eller förstöring av uppgifterna. Det spelar då ingen roll när personuppgiftsbehandlingen har påbörjats. Även hanteringen av avslutade ärenden utgör personuppgiftsbehandling enligt den nya polisdatalagen om uppgifterna är lagrade hos Säkerhetspolisen, eftersom lagring i sig är en form av behandling.

Det förhåller sig annorlunda med uppgifter som har behandlats enligt 1998 års polisdatalag men som Säkerhetspolisen har gallrat före ikraftträdandet av den nya polisdatalagen. Gallrade uppgifter kan, till följd av arkivföreskrifter, ändå finnas bevarade hos en annan myndighet. Om gallrade uppgifter finns tillgängliga, t.ex. hos arkivmyndigheten, kan de i dag bli föremål för tillsyn om de har behandlats enligt 1998 års polisdatalag. Däremot kan det uppfattas så att nämndens tillsyn enligt 1 § inte omfattar sådana uppgifter efter lagändringen. Som en konsekvens av detta kan de då inte heller kontrolleras enligt 3 §.

Avsikten med ändringen har som framgår ovan inte varit att inskränka nämndens tillsynsuppdrag. Den omständigheten att Säkerhets- och integritetsskyddsnämnden uppfattar den beslutade ändringen som en inskränkning av nämndens tillsyn enligt 1 § tillsynslagen motiverar enligt regeringens mening att lagtexten, på samma sätt som före ändringen, hänvisar direkt till 1998 års polisdatalag.

6. Författningskommentar

Förslaget till lag om ändring i lagen (2010:367) om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet

1 §

Säkerhets- och integritetsskyddsnämnden (nämnden) ska utöva tillsyn över

brottsbekämpande myndigheters användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet.

Nämnden ska även utöva tillsyn över polisens behandling av personuppgifter enligt polisdatalagen (2010:361), och när det gäller Säkerhetspolisen också enligt polisdatalagen (1998:622), samt lagen (2010:362) om polisens allmänna spaningsregister. Tillsynen ska särskilt avse sådan behandling som avses i 2 kap. 10 § polisdatalagen(2010:361) och5 § polisdatalagen (1998:622) samt 12 § lagen om polisens allmänna spaningsregister.

Tillsynen ska särskilt syfta till att säkerställa att verksamhet enligt första och andra styckena bedrivs i enlighet med lag eller annan författning.

I paragrafen regleras området för Säkerhets- och integritetsskyddsnämndens tillsyn. Första stycket och tredje stycket är oförändrade.

I andra stycket förtydligas genom ett tillägg att nämndens tillsyn över Säkerhetspolisens personuppgiftsbehandling avser såväl den nya polisdatalagen som 1998 års polisdatalag.

Promemorians lagförslag

Förslag till lag om ändring i lagen (2010:367) om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet

Härigenom föreskrivs att 1 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet, i stället för dess lydelse enligt lagen (2010:367) om ändring i nämnda lag, ska ha följande lydelse.

Lydelse enligt SFS 2010:367 Föreslagen lydelse

1 §

Säkerhets- och integritetsskyddsnämnden (nämnden) ska utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet.

Nämnden ska även utöva tillsyn över polisens behandling av personuppgifter enligt polisdatalagen (2010:361) och lagen (2010:362) om polisens allmänna spaningsregister. Tillsynen ska särskilt avse sådan behandling som avses i 2 kap. 10 § polisdatalagen och 12 § lagen om polisens allmänna spaningsregister

Nämnden ska även utöva tillsyn över polisens behandling av personuppgifter enligt polisdatalagen (2010:361) och, när det gäller

Säkerhetspolisen, också enligt motsvarande äldre lag, samt lagen (2010:362) om polisens allmänna spaningsregister. Tillsynen ska särskilt avse sådan behandling som avses i 2 kap. 10 § polisdatalagenoch motsvarande äldre bestämmelse samt 12 § lagen om polisens allmänna spaningsregister.

Tillsynen ska särskilt syfta till att säkerställa att verksamhet enligt första och andra styckena bedrivs i enlighet med lag eller annan författning.

Förteckning över remissinstanserna

1. Riksdagens ombudsmän

2. Justitiekanslern

3. Rikspolisstyrelsen

4. Säkerhetspolisen

5. Säkerhets- och integritetsskyddsnämnden

6. Datainspektionen

Justitiedepartementet

Utdrag ur protokoll vid regeringssammanträde den 24 november 2011

Närvarande: Statsministern Reinfeldt, ordförande, och statsråden Björklund, Ask, Erlandsson, Hägglund, Carlsson, Borg, Sabuni, Billström, Adelsohn Liljeroth, Tolgfors, Attefall, Engström, Kristersson, Elmsäter-Svärd, Ek, Lööf

Föredragande: statsrådet Ask

Regeringen beslutar proposition Viss tillsyn över personuppgiftsbehandling